Als PDF herunterladen

Transcription

Als PDF herunterladen
Enigmabox Handbuch
Release 1.0.1
03.03.2016
Inhaltsverzeichnis
1
Schnellstart
1.1 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Der erste Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1
1
2
Einführung
2.1 Damals, im zweiten Weltkrieg... . . . . . .
2.2 Die Entwicklung des Internets . . . . . . .
2.3 Unser Masterplan . . . . . . . . . . . . . .
2.4 Unabhängigkeitserklärung des Cyberspace
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
5
6
6
6
Anwendungsfälle
3.1 Als Heimanwender . . . . .
3.2 Als Internetcafe . . . . . .
3.3 Als Firma . . . . . . . . . .
3.4 Als Diplomat, Anwalt, Arzt
3.5 Als Forscher . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
9
10
10
11
12
4
Hardware
4.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2 Banana Pi (Eigenbau) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
13
14
5
System
5.1 Adressen verwalten . . . . . . . . .
5.2 Das globale Adressbuch . . . . . .
5.3 Passwörter . . . . . . . . . . . . .
5.4 Passwort zurücksetzen . . . . . . .
5.5 Einen anderen IP-Bereich festlegen
5.6 Eine Systemsicherung durchführen
5.7 Das System wiederherstellen . . . .
5.8 SSL-Zertifikate importieren . . . .
5.9 Die Firmware aktualisieren . . . .
.
.
.
.
.
.
.
.
.
15
15
17
19
22
22
23
26
29
31
6
Internet
6.1 Land auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Werbeblocker konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
35
37
7
Telefonie
7.1 Das Telefon einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 Statusabfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
61
61
3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
i
7.3
7.4
7.5
7.6
Telefonkonferenzen . . . . . . . . . . . . . .
Anrufbeantworter . . . . . . . . . . . . . . .
Videotelefonie mit Jitsi . . . . . . . . . . . . .
Telefonie auf einem Android-Handy einrichten
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
62
62
62
69
8
E-Mail
8.1 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2 Thunderbird . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
77
80
9
Dienste
9.1 Zugriff verwalten . . .
9.2 Eigene Website hosten
9.3 Wiki . . . . . . . . .
9.4 Pastebin . . . . . . . .
9.5 OwnCloud . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
87
87
90
93
97
98
10 Fehlerbehebung
10.1 Ich kann die Box nicht erreichen, was muss ich tun? . .
10.2 Ich kann das Internet nicht erreichen . . . . . . . . . . .
10.3 Ich habe mein Passwort für das Webinterface vergessen
10.4 Status via Telefon abfragen . . . . . . . . . . . . . . .
10.5 Mein Abonnement ist abgelaufen, was kann ich tun? . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
111
111
112
112
112
112
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11 Technische Funktionsweise
113
11.1 Cjdns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
11.2 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
12 Sicherheit
12.1 Doppelte Umwandlung der IP-Adresse . . . . . . . . . . . . . . . . . . .
12.2 Absicherung der Internetverbindung . . . . . . . . . . . . . . . . . . . . .
12.3 Die Firewall ist standardmässig komplett dicht . . . . . . . . . . . . . . .
12.4 Freie, Open Source Software . . . . . . . . . . . . . . . . . . . . . . . . .
12.5 cjdns: Die IPv6 ist deine Identität . . . . . . . . . . . . . . . . . . . . . .
12.6 Fortgesetzte Geheimhaltung . . . . . . . . . . . . . . . . . . . . . . . . .
12.7 Ende-zu-Ende Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . .
12.8 Verschleierte Verbindungsdaten . . . . . . . . . . . . . . . . . . . . . . .
12.9 Alle Daten sind ein einen einzigen verschlüsselten Datenstrom eingebettet
12.10 Konstante Bitraten bei Telefongesprächen . . . . . . . . . . . . . . . . . .
12.11 Keine zentralen Serverdienste . . . . . . . . . . . . . . . . . . . . . . . .
12.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinander . . . . .
12.13 Signierte Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12.14 IP-Adressen statt DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
13 Bedrohungsmodell
13.1 Unverschlüsselter Speicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.2 Kein Passwort gesetzt nach dem ersten Start . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.3 Benutzer verwendet schwache Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.4 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar) . . . . . . . . . . . . . . .
13.5 Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten . . . . . .
13.6 Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM
FOXACID laufen und injiziert Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.7 Wanzen, andere Personen im Raum, Lasermikrofone . . . . . . . . . . . . . . . . . . . . . . .
13.8 Eingeschaltete Mobiltelefone im selben Raum . . . . . . . . . . . . . . . . . . . . . . . . . .
14 Kommandozeilenreferenz
ii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . .
. . .
. . .
. . .
. . .
und
. . .
. . .
. . .
119
120
120
121
122
122
122
123
123
124
125
126
126
127
127
129
129
130
130
130
130
131
132
132
135
14.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
14.2 Funktionen für Benutzer mit Abonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
14.3 Cjdns-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
15 Firmware kompilieren
139
15.1 Repository klonen, OpenWrt konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
15.2 Image konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
iii
iv
KAPITEL 1
Schnellstart
1.1 Lieferumfang
1.2 Der erste Start
1.2.1 Anschliessen der Komponenten
• Verbinde den Router/Modem über ein Netzwerkkabel mit der “Internet” Buchse der Enigmabox.
• Verbinde den Computer über ein Netzwerkkabel mit der “LAN” Buchse der Enigmabox.
• Verbinde das Telefon über ein Netzwerkkabel mit der “LAN” Buchse der Enigmabox.
1
Enigmabox Handbuch, Release 1.0.1
Hier in diesem Beispiel:
Blaues Kabel: Router/Modem
Weisses Kabel: Computer
Schwarzes Kabel: Telefon
Wichtig: Stecke das andere Ende des schwarzen Netzwerk-Kabels in die “LAN” Buchse des Telefons.
Verbinde das Stromkabel mit der Enigmabox. Beim ersten Start kann es bis zu 5 Minuten dauern, bis die Box bereit
ist. Sie bringt die Software auf den neusten Stand und konfiguriert ihren Internetzugang.
1.2.2 Zugriff auf die Administrationsoberfläche
Nach dem Start kannst du auf die Administrationsoberfläche zugreifen: http://box/ oder http://box.enigmabox.net/
Der Zugriff funktioniert nur, wenn der Computer direkt an den mit “LAN” bezeichneten Anschlüssen angeschlossen
ist! Der Anschluss “Internet” ist von aussen komplett abgeschirmt.
1.2.3 Setzen von Passwörtern
Setze ein Passwort für die Administrationsoberfläche.
Menüpunkt “Passwörter” -> Klick auf “Bearbeiten”:
2
Kapitel 1. Schnellstart
Enigmabox Handbuch, Release 1.0.1
Gib dein gewünschtes Passwort ein. Der Benutzername ist immer “admin”. Bestätigen mit “Speichern”.
Danach die Änderungen mit “Änderungen anwenden” aktivieren:
1.2. Der erste Start
3
Enigmabox Handbuch, Release 1.0.1
1.2.4 Wie geht es jetzt weiter?
Konfiguriere das Land, über welches du auf das Internet zugreifen willst: Land auswählen.
Füge Kontakte zum Adressbuch hinzu: Adressen verwalten.
Richte das Telefon ein: Telefonie.
Sende und empfange E-Mails: E-Mail.
Führe eine Systemsicherung durch (wichtig!): Eine Systemsicherung durchführen. Wir halten keine Benutzerdaten
auf unseren Servern. Daten auf der Enigmabox (Adressbuch, E-Mails, Bilder, Dokumente, persönliche Webseiten,
Passwörter, der cjdns Private Key) sind auf der Enigmabox gespeichert und dort bleiben sie auch. Falls du die Daten
auf deiner Enigmabox verlierst und keine Sicherung gemacht hast, bist du am Arsch.
4
Kapitel 1. Schnellstart
KAPITEL 2
Einführung
• Damals, im zweiten Weltkrieg...
• Die Entwicklung des Internets
• Unser Masterplan
– Phase Eins
– Phase Zwei
– Phase Drei
• Unabhängigkeitserklärung des Cyberspace
2.1 Damals, im zweiten Weltkrieg...
Das Darknet der Nazis wurde vom genialen Mathematiker Alan Turing gehackt. Der Aufwand war für die damalige
Zeit gewaltig. Die Turing-Bomben füllten riesige Hallen. Die Daten wurden damals mit der neu entwickelten Funktechnik übermittelt. Mit Antennen konnten die Funksprüche - ohne dass es die Nazis bemerkten - mitgehört werden.
Die Nazis schützten mit der von ihnen entwickelten Enigma-Maschine ihre Funksprüche. Diese Maschine konnte
Funksprüche ver- und entschlüsseln. Dazu musste man wissen, welche Einstellung die Walzen haben müssen. Sie
gingen davon aus, dass Angreifer noch keine Maschinen zum Knacken des Codes hatten. Das war auch so, bis Alan
Turing auftauchte und die nach ihm benannten Turing-Bomben bauen liess. Es gelang ihm aber nur dank den erbeuteten Enigma-Maschinen und den aktuellen Einstelllisten der Walzen. Damit konnten die Nachrichten entschlüsselt
werden und mit der daraus gewonnen statistischen Auswertung und den Turing-Bomben auch zukünftige Nachrichten gelesen werden. Dies hatte den damaligen Kriegsverlauf dramatisch verändert. Es wird von symbolischen 2 Jahre
verkürztem Krieg gesprochen und sogar davon, dass die Nazis ihr drittes Reich nicht hätten aufgeben müssen.
Der Vorsprung einer abhörsicheren Kommunikation wird auch in Zukunft nicht so einfach mit Geld aufzuwiegen
sein. Der Wert von Funksprüchen von damals kann heute durchaus mit dem Wert der Datenströme auf dem Internet
verglichen werden.
Nur die Dimensionen sind gewaltig gewachsen. Es wurde ein Zeitgeist geschaffen, der die Kommunikationspartner im
Glauben lässt, dass Verschlüsselung nicht nötig sei. Nur so ist es heute noch möglich, die Daten abhören zu können.
Moderne Systeme wie zum Beispiel die Enigmabox können weder mit statistischen Methoden, noch nachträglich mit
einem erbeuteten Geheimschlüssel entschlüsselt werden. Die Daten sind auch nicht einfach mit Antennen abhorchbar.
Sie müssen mühsam aus einem Mesh-Netzwerk herausgefischt werden. Das übernehmen zwar riesige Rechencenter.
Aber die Enigmabox hat im Vergleich zu den 4 Walzen der Enigma-Maschine ungemein komplexere Verschlüsselungsalgorithmen, die nur mit einem gewaltigen Rechenaufwand entschlüsselt werden können, wenn überhaupt. Und die
Daten nehmen in einem Mesh-Netz immer wieder einen anderen Weg. Die Wege können auch aus eigenen Datenleitungen und WLAN-Netzen bestehen. So scheitert eine erfolgreiche Entschlüsselung bereits bei der Datenbeschaffung.
5
Enigmabox Handbuch, Release 1.0.1
Abhörsichere Kommunikationswege werden auch in der heutigen Zeit den Internetgiganten und der von den Geheimdiensten überwachten Welt eine entscheidende Wendung geben.
Verschlüsseln ist viel einfacher als entschlüsseln. Das verschlüsseln einer Nachricht dauert ein paar Millisekunden.
Das entschlüsseln dauert ein paar Millionen Jahre. Machen wir davon Gebrauch!
2.2 Die Entwicklung des Internets
1969 als Projekt des Verteidigungsministerium gestartet, verbindet es heute jeden Computer auf dem Planeten. Doch:
Verschlüsselung ist “optional”, muss mit Zusatzprogrammen nachträglich eingebaut werden, war so nicht vorgesehen. Das Internet ist ein gefährlicher Ort geworden - alle Daten fliessen im Klartext über die Leitungen. Auf diesem
Fundament findet heutzutage all unsere Kommunikation statt.
Dieses Fundament ist so kaputt, dass sich ein paar Individuen um den Erdball dazu entschieden haben, das Internet neu
zu bauen. Diesmal verschlüsselt und auf sicheren Protokollen basierend. Caleb James DeLisle hat cjdns entwickelt,
um diese Vision näher zur Manifestation zu bringen. Wir bringen euch die Enigmabox, mit der dieses noch etwas
leere, aber verschlüsselte Netzwerk sinnvoll und produktiv genutzt werden kann.
2.3 Unser Masterplan
2.3.1 Phase Eins
So viele cjdns-Boxen wie möglich ausrollen. VPN-Zugang zum Clearnet anbieten. (Die meisten Menschen sind immer
noch vom alten Internet abhängig und auf seine Dienste angewiesen). Entwickeln, integrieren und konfigurieren von
bekannten Internetdiensten wie E-Mail, VoIP, XMPP, Twitter, [dein-IPv6-kompatibler-Dienst], damit diese reibungslos
mit cjdns in dieser verteilten Umgebung laufen.
2.3.2 Phase Zwei
cjdns bewerben. Jedem helfen, ins Hyperboria-Netzwerk zu gelangen. Verschlüsselung soll Standard sein. cjdns ist
nicht auf eine bestehenden IP-Infrastruktur angewiesen. Eigene Kabel betreiben. Internetdienstleister überzeugen,
cjdns zu benutzen. Mesh-Inseln bilden. Mesh-Inseln verbinden. Wachsen.
2.3.3 Phase Drei
Das ICANN-Internet ist durch die fortschreitende Zensur unbenutzbar und wird dunkel. Hyperboria wird das neue
Internet. Ein weisses Netzwerk aus Licht.
Die NSA ist obsolet.
2.4 Unabhängigkeitserklärung des Cyberspace
Regierungen der industriellen Welt, Ihr müden Giganten aus Fleisch und Stahl, ich komme aus dem Cyberspace, der
neuen Heimat des Geistes. Im Namen der Zukunft bitte ich Euch, Vertreter einer vergangenen Zeit: Laßt uns in Ruhe!
Ihr seid bei uns nicht willkommen. Wo wir uns versammeln, besitzt Ihr keine Macht mehr.
Wir besitzen keine gewählte Regierung, und wir werden wohl auch nie eine bekommen – und so wende ich mich mit
keiner größeren Autorität an Euch als der, mit der die Freiheit selber spricht. Ich erkläre den globalen sozialen Raum,
6
Kapitel 2. Einführung
Enigmabox Handbuch, Release 1.0.1
den wir errichten, als gänzlich unabhängig von der Tyrannei, die Ihr über uns auszuüben anstrebt. Ihr habt hier kein
moralisches Recht zu regieren noch besitzt Ihr Methoden, es zu erzwingen, die wir zu befürchten hätten.
Regierungen leiten Ihre gerechte Macht von der Zustimmung der Regierten ab. Unsere habt Ihr nicht erbeten, geschweige denn erhalten. Wir haben Euch nicht eingeladen. Ihr kennt weder uns noch unsere Welt. Der Cyberspace
liegt nicht innerhalb Eurer Hoheitsgebiete. Glaubt nicht, Ihr könntet ihn gestalten, als wäre er ein öffentliches Projekt.
Ihr könnt es nicht. Der Cyberspace ist ein natürliches Gebilde und wächst durch unsere kollektiven Handlungen.
Ihr habt Euch nicht an unseren großartigen und verbindenden Auseinandersetzungen beteiligt, und Ihr habt auch
nicht den Reichtum unserer Marktplätze hervorgebracht. Ihr kennt weder unsere Kultur noch unsere Ethik oder die
ungeschriebenen Regeln, die unsere Gesellschaft besser ordnen als dies irgendeine Eurer Bestimmungen vermöchte.
Ihr sprecht von Problemen, die wir haben, aber die nur Ihr lösen könnt. Das dient Eurer Invasion in unser Reich als
Legitimation. Viele dieser Probleme existieren gar nicht. Ob es sich aber um echte oder um nur scheinbare Konflikte
handelt – wir werden sie lokalisieren und mit unseren Mitteln angehen. Wir schreiben unseren eigenen Gesellschaftsvertrag. Unsere Regierungsweise wird sich in Übereinstimmung mit den Bedingungen unserer Welt entwickeln, nicht
Eurer. Unsere Welt ist anders.
Der Cyberspace besteht aus Beziehungen, Transaktionen und dem Denken selbst, positioniert wie eine stehende Welle
im Netz der Kommunikation. Unsere Welt ist überall und nirgends, und sie ist nicht dort, wo Körper leben.
Wir erschaffen eine Welt, die alle betreten können ohne Bevorzugung oder Vorurteil bezüglich Rasse, Wohlstand,
militärischer Macht und Herkunft.
Wir erschaffen eine Welt, in der jeder Einzelnen an jedem Ort seine oder ihre Überzeugungen ausdrücken darf, wie
individuell sie auch sind, ohne Angst davor, im Schweigen der Konformität aufgehen zu müssen.
Eure Rechtsvorstellungen von Eigentum, Redefreiheit, Persönlichkeit, Freizügigkeit und Kontext treffen auf uns nicht
zu. Sie alle basieren auf der Gegenständlichkeit der materiellen Welt. Es gibt im Cyberspace keine Materie.
Unsere persönlichen Identitäten haben keine Körper, so daß wir im Gegensatz zu Euch nicht durch physische Gewalt
reglementiert werden können. Wir glauben daran, daß unsere Regierungsweise sich aus der Ethik, dem aufgeklärten
Selbstinteresse und dem Gemeinschaftswohl eigenständig entwickeln wird. Unsere Identitäten werden möglicherweise
über die Zuständigkeitsbereiche vieler Eurer Rechtssprechungen verteilt sein. Das einzige Gesetz, das alle unsere
entstehenden Kulturen grundsätzlch anerkennen werden, ist die Goldene Regel. Wir hoffen, auf dieser Basis in der
Lage zu sein, für jeden einzelnen Fall eine angemessene Lösung zu finden. Auf keinen Fall werden wir Lösungen
akzeptieren, die Ihr uns aufzudrängen versucht.
In den Vereinigten Staaten habt Ihr mit dem “Telecommunications Reform Act” gerade ein Gesetz geschaffen, das
Eure eigene Verfassung herabwürdigt und die Träume von Jefferson, Washington, Mill, Madison, Tocqueville und
Brandeis beleidigt. Diese Träume müssen nun in uns wiedergeboren werden.
Ihr erschreckt Euch vor Euren eigenen Kindern, weil sie Eingeborene einer Welt sind, in der Ihr stets Einwanderer
bleiben werdet. Weil Ihr sie fürchtet, übertragt Ihr auf Eure Bürokratien die elterliche Verantwortung, die Ihr zu feige
seid, selber auszüben. In unserer Welt sind alle Gefühle und Ausdrucksformen der Humanität Teile einer umfassenden
und weltumspannenden Konversation der Bits. Wir können die Luft, die uns erstickt, von der nicht trennen, die unsere
Flügel emporhebt.
In China, Deutschland, Frankreich, Rußland, Singapur, Italien und den USA versucht Ihr, den Virus der Freiheit
abzuwehren, indem Ihr Wachposten an den Grenzen des Cyberspace postiert. Sie werden die Seuche für eine Weile
eindämmen können, aber sie werden ohnmächtig sein in einer Welt, die schon bald von digitalen Medien umspannt
sein wird.
Eure in steigendem Maße obsolet werdenden Informationsindustrien möchten sich selbst am Leben erhalten, indem
sie – in Amerika und anderswo – Gesetze vorschlagen, die noch die Rede selbst weltweit als Besitz definieren. Diese
Gesetze würden Ideen als nur ein weiteres industrielles Produkt erklären, nicht ehrenhafter als Rohmetall. In unserer
Welt darf alles, was der menschliche Geist erschafft, kostenfrei unendlich reproduziert und distribuiert werden. Die
globale Übermittlung von Gedanken ist nicht länger auf Eure Fabriken angewiesen.
Die zunehmenden feindlichen und kolonialen Maßnahmen versetzen uns in die Lage früherer Verteidiger von Freiheit
2.4. Unabhängigkeitserklärung des Cyberspace
7
Enigmabox Handbuch, Release 1.0.1
und Selbstbestimmung, die die Autoritäten ferner und unwissender Mächte zurückweisen mußten. Wir müssen unser
virtuelles Selbst Eurer Souveränität gegenüber als immun erklären, selbst wenn unsere Körper weiterhin Euren Regeln
unterliegen. Wir werden uns über den gesamten Planeten ausbreiten, auf daß keiner unsere Gedanken mehr einsperren
kann.
Wir werden im Cyberspace eine Zivilisation des Geistes erschaffen. Möge sie humaner und gerechter sein als die Welt,
die Eure Regierungen bislang errichteten.
John Perry Barlow ([email protected])
Davos, Schweiz
8. Februar 1996
8
Kapitel 2. Einführung
KAPITEL 3
Anwendungsfälle
•
•
•
•
•
Als Heimanwender
Als Internetcafe
Als Firma
Als Diplomat, Anwalt, Arzt
Als Forscher
3.1 Als Heimanwender
Heimanwender setzen ihre Enigmabox so ein:
Eine Enigmabox schützt das gesamte Netzwerk. Alle Rechner sind nach aussen abgeschirmt und können sicher surfen. Der Werbeblocker filtert Werbung (Werbeblocker konfigurieren), die Abhörfunktionen von Windows 10 werden
9
Enigmabox Handbuch, Release 1.0.1
blockiert. Du umgehst Ländersperren auf YouTube mit der Länderwahl (Land auswählen).
3.2 Als Internetcafe
Besitzer eines Internetcafes oder eines sonstigen Anbieters von öffentlich zugänglichem Internet hängen die Enigmabox zwischen Router und Accesspoint:
Sie brauchen sich nicht um das Surfverhalten ihrer Gäste zu kümmern. Die Störerhaftung entfällt, sie tragen kein
Risiko. Der Registrationszwang für die Gäste entfällt.
3.3 Als Firma
Kleine Firmen rüsten jeden Arbeitsplatz mit einer Enigmabox aus:
10
Kapitel 3. Anwendungsfälle
Enigmabox Handbuch, Release 1.0.1
Und schon stehen sichere Computerarbeitsplätze mit verschlüsselter Telefonie bereit. Die Mitarbeiter sind untereinander vernetzt und können Dateien austauschen (OwnCloud), untereinander per E-Mail (E-Mail) und Telefon (Telefonie) kommunizieren, gemeinsam an Dokumenten arbeiten (Echtzeitkollaboration einrichten) und Projekte bearbeiten
(Wiki). Telefonkonferenzen mit vielen Teilnehmern (Telefonkonferenzen) sind ebenso möglich wie Videotelefonie (Videotelefonie mit Jitsi).
3.4 Als Diplomat, Anwalt, Arzt
Vertrauenspersonen schützen ihren Internetverkehr und ihre Infrastruktur. Falls ihre Kunden ebenfalls eine Enigmabox
besitzen, können sie sich sicher mit ihnen darüber austauschen (E-Mail, Telefonie).
3.4. Als Diplomat, Anwalt, Arzt
11
Enigmabox Handbuch, Release 1.0.1
3.5 Als Forscher
Forscher und Wissenschaftler können an mehreren Standorten gemeinsam an Projekten (Wiki) und Dokumenten (Echtzeitkollaboration einrichten) arbeiten, sich per E-Mail austauschen (E-Mail), Telefonkonferenzen durchführen (Telefonkonferenzen) oder sich gleich per Videotelefonie unterhalten (Videotelefonie mit Jitsi) und die Ergebnisse ihrer
Arbeiten auf dem Webserver der Enigmabox hosten (Eigene Website hosten).
12
Kapitel 3. Anwendungsfälle
KAPITEL 4
Hardware
• Enigmabox
• Banana Pi (Eigenbau)
4.1 Enigmabox
13
Enigmabox Handbuch, Release 1.0.1
Modell:
CPU:
Ram:
Speicher:
Netzwerk:
Durchsatz:
PC Engines APU
AMD G series T40E APU, 1 GHz 64-bit dual core
2 GB DDR3
4 GB SSD
3 Gigabit Ethernet (Realtek RTL8111E)
Bis zu 40 Mbit/s verschlüsselter Datenverkehr
4.2 Banana Pi (Eigenbau)
Modell:
CPU
Ram
Speicher
Netzwerk
Durchsatz:
M1
A20 ARM Cortex A7 Dual-Core
1GB DDR3
4 GB SD-Karte
10/100/1000 Ethernet RJ45
Bis zu 8 Mbit/s verschlüsselter Datenverkehr
Anleitung zum Eigenbau: https://wiki.enigmabox.net/build-your-own
14
Kapitel 4. Hardware
KAPITEL 5
System
• Adressen verwalten
– Kontakt hinzufügen
• Das globale Adressbuch
– Globale Erreichbarkeit aktivieren
– Eigene Adresse im globalen Adressbuch publizieren
• Passwörter
– Passwort für die Administrationsoberfläche
– Passwort für das E-Mail Konto
– Passwort für das Telefon
– Passwort für den SSH-Zugang
– Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen
• Passwort zurücksetzen
• Einen anderen IP-Bereich festlegen
• Eine Systemsicherung durchführen
• Das System wiederherstellen
• SSL-Zertifikate importieren
– Was passiert im Hintergrund?
• Die Firmware aktualisieren
– Schritt 1: Image herunterladen
– Schritt 2: Image überprüfen
– Schritt 3: Image schreiben
5.1 Adressen verwalten
Das Adressbuch ist der Dreh- und Angelpunkt für die Kontaktverwaltung der Enigmabox. Die IPv6-Adresse wird
zufällig generiert und dient als eindeutige Identifizierung im Netzwerk.
(Für technische Details, siehe Technische Funktionsweise).
15
Enigmabox Handbuch, Release 1.0.1
Die IPv6 ist deine Telefonnummer. Die Enigmaboxen identifizieren sich nur anhand dieser IPv6.
Da es aber mühsam wäre, diese lange Folge von Zahlen und Buchstaben jedesmal am Telefon einzugeben, weist du
der IPv6 eine Kurznummer für das Telefon, also eine Telefonnummer zu.
5.1.1 Kontakt hinzufügen
Trage die IPv6 deines Kontakts (2) in das Feld “IPv6-Adresse” ein. Trage einen beliebigen Namen (Hostname) und
eine Telefonnummer dazu ein.
Teile deine IPv6 (1) (“Meine Adresse”) deinem Gegenüber mit. Er wiederholt den Vorgang.
Sobald die IPs gegenseitig im Adressbuch eingetragen sind, könnt ihr euch anrufen.
Beispiel:
1. Meine IP ist “fccf:3286:feb2:cc8e:db0c:cf20:cc5d:e60”
2. Ich wähle die Telefonnummer “123”
16
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
3. Das Telefon ruft die IP “fc62:df23:6b65:2355:2efc:80b5:c0b9:7e11” (alexandra) an
Der Hostname (alexandra) wird für die E-Mail Adresse verwendet. Die E-Mail Adresse von alexandra ist in diesem
Beispiel “mail@alexandra”.
Wie man E-Mails sendet und empfängt, steht unter E-Mail.
5.2 Das globale Adressbuch
Das globale Adressbuch ist ein Verzeichnis, in dem jeder seine Adresse publizieren kann, wenn er möchte. Der Vorteil:
Der gegenseitige Adressaustausch entfällt. Das ist z.B. bei einem Verkaufsladen von Vorteil; der Inhaber publiziert
seine Nummer im globalen Adressbuch und ist so sofort für potentielle Kunden erreichbar.
Damit man überhaupt für alle erreichbar ist, muss dafür die Firewall freigeschaltet werden. Das wird über die globale
Erreichbarkeit geregelt. Standardmässig ist das ausgeschaltet.
5.2.1 Globale Erreichbarkeit aktivieren
Klick im globalen Adressbuch auf den schwarzen Schalter “Deaktiviert”:
5.2. Das globale Adressbuch
17
Enigmabox Handbuch, Release 1.0.1
Die Firewall wird für alle im verschlüsselten Netzwerk freigeschaltet und der Knopf hat sich geändert in “Ich bin
global erreichbar”:
Bestätige diese Änderung mit “Änderungen anwenden”:
5.2.2 Eigene Adresse im globalen Adressbuch publizieren
Klicke auf den blauen Knopf “Bearbeiten”:
Eine Eingabemaske erscheint:
18
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Wähle einen Namen und eine Telefonnummer, unter der du erreichbar sein willst. Telefonnummern im globalen
Adressbuch fangen immer mit “01” an (wird bei der Eingabe automatisch vorangestellt).
Bestätige deine Eingabe mit “Speichern”.
Der Status ist nun ausstehend:
Alle paar Stunden wird das globale Adressbuch synchronisiert und neue Einträge werden publiziert.
Wenn alles geklappt hat, ist der Status grün bestätigt:
Ist die Telefonnummer oder der Hostname schon besetzt, wird zurückgewiesen:
In diesem Fall eine andere Nummer/Hostname verwenden.
5.3 Passwörter
5.3.1 Passwort für die Administrationsoberfläche
Benutzer: admin
Passwort: [keins] oder das von dir gesetzte Passwort (siehe Passwort für die Administrationsoberfläche oder das
E-Mail Konto setzen)
5.3. Passwörter
19
Enigmabox Handbuch, Release 1.0.1
5.3.2 Passwort für das E-Mail Konto
Benutzer: mail@box
Passwort: [Zufallspasswort] oder das von dir gesetzte Passwort (siehe Passwort für die Administrationsoberfläche
oder das E-Mail Konto setzen)
5.3.3 Passwort für das Telefon
Benutzer: 100
Passwort: 100
5.3.4 Passwort für den SSH-Zugang
Benutzer: root
Passwort: Zufallspasswort, ersichtlich auf der Übersichtsseite der Administrationsoberfläche (siehe Zugriff auf die
Administrationsoberfläche)
5.3.5 Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen
Klicke unter Passwörter auf “Bearbeiten” für die Administrationsoberfläche oder für das E-Mail Konto:
20
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Gib dein gewünschtes Passwort ein.
Für die Administrationsoberfläche lautet der Benutzername “admin”. Der Benutzername für das E-Mail Konto heisst
“mail@box”.
Bestätigen mit “Speichern”.
Danach die Änderungen mit “Änderungen anwenden” aktivieren:
5.3. Passwörter
21
Enigmabox Handbuch, Release 1.0.1
5.4 Passwort zurücksetzen
Falls du dein Passwort für die Administrationsoberfläche vergessen hast und nicht mehr darauf zugreifen kannst:
• Stelle sicher, dass die Enigmabox eingeschaltet ist
• Stecke den mitgelieferten USB-Stick ein
• Warte eine Minute
• Entferne den USB-Stick
• Greif auf die Administrationsoberfläche zu
Auf dem USB-Stick ist das SSL-Zertifikat für die Aboverwaltung gespeichert. Es dient auch dazu, Passwörter zurückzusetzen. Die Enigmabox prüft, ob das Zertifikat auf dem Stick dasselbe ist wie im System und setzt dann das
Passwort der Administrationsoberfläche zurück.
5.5 Einen anderen IP-Bereich festlegen
Die Enigmabox vergibt den angeschlossenen Geräten IP-Adressen im Bereich von 192.168.100.X und 192.168.101.X.
Falls dein Router im gleichen Bereich Adressen vergibt, bringt das die Enigmabox durcheinander.
Stelle in diesem Fall den Bereich um:
22
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
5.6 Eine Systemsicherung durchführen
Halte einen USB-Stick bereit, der gross genug ist, um alle Daten zu sichern (4GB empfohlen). Verwende NICHT den
mitgelieferten USB-Stick! Der wird zum zurücksetzen des Passwortes verwendet.
Klick im Menü “Sichern & Wiederherstellen” auf “Vollständiges System”:
Starte den Systemsicherungsassistenten.
5.6. Eine Systemsicherung durchführen
23
Enigmabox Handbuch, Release 1.0.1
Stecke den USB-Stick ein. Er wird geprüft, ob genügend Platz für die Sicherung vorhanden ist.
Formatiere den USB-Stick. ALLE DATEN AUF DEM STICK WERDEN ÜBERSCHRIEBEN!
24
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Starte die Sicherung.
In einem kleinen Ausgabefenster kannst du den Fortschritt verfolgen. Am Schluss kommt die Meldung “If you see no
/dev/sdb1 or /mnt there, everything is fine.” Prüfe in der in der Ausgabe gleich darüber, ob das auch so ist und fahre
dann mit Schritt 4 fort.
5.6. Eine Systemsicherung durchführen
25
Enigmabox Handbuch, Release 1.0.1
Entferne den USB-Stick. Du wirst dann zur Übersichtsseite weitergeleitet.
5.7 Das System wiederherstellen
Klick im Menü “Sichern & Wiederherstellen” auf “Vollständiges System”:
26
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Starte den Systemwiederherstellungsassistenten.
Stecke den USB-Stick ein. Er wird geprüft, ob daraus eine Systemwiederherstellung gemacht werden kann.
5.7. Das System wiederherstellen
27
Enigmabox Handbuch, Release 1.0.1
Starte die Wiederherstellung.
Der Prozess kann einige Minuten dauern. Stelle sicher, dass die Enigmabox mit dem Internet verbunden ist.
28
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Entferne den USB-Stick. Du wirst dann zur Übersichtsseite weitergeleitet.
5.8 SSL-Zertifikate importieren
Warnung: Wichtig: Stelle sicher, dass die Enigmabox eine Internetverbindung hat!
Klick im Menü “Sichern & Wiederherstellen” auf “SSL-Zertifikate”:
5.8. SSL-Zertifikate importieren
29
Enigmabox Handbuch, Release 1.0.1
1. Wähle das SSL-Zertifikat aus
2. Klicke auf “Import”
30
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
Wenn alles geklappt hat, wird die Meldung “Import erfolgreich” angezeigt.
5.8.1 Was passiert im Hintergrund?
Die Enigmabox verbindet sich mit den SSL-Zertifikaten zum Administrationsserver, holt sich die Zugangsdaten zu
den Servern und publiziert ihren cjdns Public Key, damit ihre IPv6 auf den Servern freigeschaltet wird und die verschlüsselte Internetverbindung aufgebaut werden kann.
5.9 Die Firmware aktualisieren
Bemerkung: Nicht verfügbar auf dem Banana Pi.
Die Firmwareaktualisierung schreibt das komplette Speicherabbild neu auf die Festplatte/Speicherkarte. Dabei werden
E-Mails, Hypesites, /wiki und /owncloud gelöscht. Sichere dein System, bevor du die Firmwareaktualisierung machst
(siehe Eine Systemsicherung durchführen)!
Die Firmwareaktualisierung eignet sich auch, um ein fehlerhaftes System auf den Originalzustand zurückzusetzen.
5.9. Die Firmware aktualisieren
31
Enigmabox Handbuch, Release 1.0.1
5.9.1 Schritt 1: Image herunterladen
Lädt das neuste Firmwareimage vom Server herunter.
5.9.2 Schritt 2: Image überprüfen
Überprüft, ob die Daten korrekt übertragen und unterwegs nicht manipuliert wurden.
32
Kapitel 5. System
Enigmabox Handbuch, Release 1.0.1
5.9.3 Schritt 3: Image schreiben
Wenn alles in Ordnung ist, Image schreiben:
Der Prozess dauert eine Weile. Die Enigmabox startet nach dem Schreiben der Firmware neu und stellt die Grundeinstellungen wie IPv6, Passwörter und Konfigurationen wieder her. E-Mails, Hypesites, /wiki und /owncloud müssen
allerdings über die Systemwiederherstellung wiederhergestellt werden (siehe Das System wiederherstellen).
5.9. Die Firmware aktualisieren
33
Enigmabox Handbuch, Release 1.0.1
34
Kapitel 5. System
KAPITEL 6
Internet
• Land auswählen
– Wie lautet meine IP? In welchem Land befinde ich mich?
• Werbeblocker konfigurieren
– Windows 10 Stasi-Features blockieren
– Firefox
– Windows
– Mac
– iPad
6.1 Land auswählen
Wähle, über welches Land du surfen willst. Also wenn du z.B. Ungarn als Land auswählst, dann verhält es sich so, als
ob du wirklich grad in Ungarn in einem Internetcafé surfst. Und so mit allen Ländern.
Folgende Länder stehen zur Auswahl:
• Schweiz
• Ungarn
• Schweden
• Deutschland
• Vereinigte Daten von Amerika
35
Enigmabox Handbuch, Release 1.0.1
In diesem Beispiel:
• Die Schweiz ist das aktuell gewählte Land.
• Falls die Verbindung zum Schweizer Server wegbricht, springt die Verbindung auf Ungarn.
• Die anderen Länder werden nicht berücksichtigt (“Inaktiv”).
• Ist Ungarn nicht erreichbar, springt die Verbindung wieder auf die Schweiz.
Verändere die Reihenfolge, indem du ein Land mit der Maus an eine andere Stelle ziehst. Markiere Länder, die im
Fehlerfall als Alternative berücksichtigt werden sollen.
36
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
6.1.1 Wie lautet meine IP? In welchem Land befinde ich mich?
Wenn du herausfinden willst, wie die IP-Adresse lautet, die grad “von aussen” sichtbar ist und in welchem Land deine
Verbindung rauskommt: Die Website http://www.whereisip.net/ gibt Auskunft darüber:
6.2 Werbeblocker konfigurieren
Der Werbeblocker läuft als Proxyserver auf der Enigmabox. Sag deinem Browser, dass er sich via dieses Proxies ins
Internet verbinden soll, und die Werbung wird gefiltert.
Proxyserver: box, Port 8888
6.2.1 Windows 10 Stasi-Features blockieren
Windows 10 wurde von mehreren Seiten als Abhörmaschine bezeichnet.
Es baut im Hintergrund Verbindungen zu folgenden Diensten auf:
vortex.data.microsoft.com
vortex-win.data.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
6.2. Werbeblocker konfigurieren
37
Enigmabox Handbuch, Release 1.0.1
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
choice.microsoft.com
choice.microsoft.com.nsatc.net
df.telemetry.microsoft.com
reports.wes.df.telemetry.microsoft.com
wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
sqm.df.telemetry.microsoft.com
telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
telemetry.appex.bing.net
telemetry.urs.microsoft.com
telemetry.appex.bing.net
settings-sandbox.data.microsoft.com
vortex-sandbox.data.microsoft.com
survey.watson.microsoft.com
watson.live.com
watson.microsoft.com
statsfe2.ws.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
compatexchange.cloudapp.net
cs1.wpc.v0cdn.net
a-0001.a-msedge.net
statsfe2.update.microsoft.com.akadns.net
sls.update.microsoft.com.akadns.net
fe2.update.microsoft.com.akadns.net
diagnostics.support.microsoft.com
corp.sts.microsoft.com
statsfe1.ws.microsoft.com
pre.footprintpredict.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
feedback.windows.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
rad.msn.com
preview.msn.com
ad.doubleclick.net
ads.msn.com
ads1.msads.net
ads1.msn.com
a.ads1.msn.com
a.ads2.msn.com
adnexus.net
adnxs.com
aidps.atdmt.com
apps.skype.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
a.rad.msn.com
a.ads2.msads.net
ac3.msn.com
38
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
aka-cdn-ns.adtech.de
b.rad.msn.com
b.ads2.msads.net
b.ads1.msn.com
bs.serving-sys.com
c.msn.com
cdn.atdmt.com
cds26.ams9.msecn.net
c.atdmt.com
db3aqu.atdmt.com
ec.atdmt.com
flex.msn.com
g.msn.com
h1.msn.com
live.rads.msn.com
msntest.serving-sys.com
m.adnxs.com
m.hotmail.com
pricelist.skype.com
rad.live.com
secure.flashtalking.com
static.2mdn.net
s.gateway.messenger.live.com
secure.adnxs.com
sO.2mdn.net
ui.skype.com
www.msftncsi.com
msftncsi.com
view.atdmt.com
msnbot-65-55-108-23.search.msn.com
settings-win.data.microsoft.com
schemas.microsoft.akadns.net
a-0001.a-msedge.net
a-0002.a-msedge.net
a-0003.a-msedge.net
a-0004.a-msedge.net
a-0005.a-msedge.net
a-0006.a-msedge.net
a-0007.a-msedge.net
a-0008.a-msedge.net
a-0009.a-msedge.net
msedge.net
a-msedge.net
lb1.www.ms.akadns.net
pre.footprintpredict.com
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
Im Webinterface kann ein zusätzlicher Filter eingeschaltet werden, der diese Verbindungen ins Leere laufen lässt.
6.2. Werbeblocker konfigurieren
39
Enigmabox Handbuch, Release 1.0.1
Wir raten grundsätzlich davon ab, Windows 10 zu verwenden.
6.2.2 Firefox
Proxy-Einstellungen für den Browser konfigurieren, ohne dass das ganze System davon betroffen ist:
Gehe im Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”:
40
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”:
6.2. Werbeblocker konfigurieren
41
Enigmabox Handbuch, Release 1.0.1
Stelle alles so ein wie auf dem folgenden Bild ersichtlich:
42
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
6.2.3 Windows
Öffne über das Startmenü die Systemeinstellungen deines Computers:
6.2. Werbeblocker konfigurieren
43
Enigmabox Handbuch, Release 1.0.1
Je nach eingestellter Oberfläche klick als nächstes auf “Internetoptionen”:
44
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
oder auf “Netzwerk und Internet”:
und anschliessend auf “Internetoptionen”:
6.2. Werbeblocker konfigurieren
45
Enigmabox Handbuch, Release 1.0.1
Im sich darauf öffnenden Fenster wählst du zuerst “Verbindungen” und dann “LAN-Einstellungen”:
46
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Stelle alles so ein wie auf dem folgenden Bild ersichtlich:
6.2. Werbeblocker konfigurieren
47
Enigmabox Handbuch, Release 1.0.1
Bestätige zum Abschluss mit OK.
Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafür gehst du z.B. im
Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”:
48
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”:
6.2. Werbeblocker konfigurieren
49
Enigmabox Handbuch, Release 1.0.1
• Im sich anschliessend öffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewählt ist. Wenn
nicht, wählst du sie aus und bestätigst mit OK:
50
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
6.2.4 Mac
Öffne die Einstellungen deines Macs:
Klicke auf “Netzwerk”:
6.2. Werbeblocker konfigurieren
51
Enigmabox Handbuch, Release 1.0.1
Wähle nun als erstes die Netzwerkverbindung aus, über welche du mit der Enigmabox verbunden bist (In diesem Fall
ist das ein WLAN). Danach klickst du auf “Weitere Optionen...”:
52
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Klicke im neu geöffneten Fenster zuerst auf “Proxies”. Danach setzt du den Haken bei “Web-Proxy (HTTP)” und
Schreibst als drittes die Adresse “box” in das entsprechende Eingabefeld. Wichtig ist auch, den Port 8888 mit anzugeben! Wiederhole den Vorgang für “Sicherer Web-Proxy (HTTPS)”:
6.2. Werbeblocker konfigurieren
53
Enigmabox Handbuch, Release 1.0.1
Schliesse das Fenster mit OK.
Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafür gehst du z.B. im
Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”:
54
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”:
6.2. Werbeblocker konfigurieren
55
Enigmabox Handbuch, Release 1.0.1
Im sich anschliessend öffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewählt ist. Wenn nicht,
wählst du sie aus und bestätigst mit OK:
56
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
6.2.5 iPad
Tippe auf dem Startbildschirm von iPhone oder iPad auf das Zahnrad-Symbol “Einstellungen”:
6.2. Werbeblocker konfigurieren
57
Enigmabox Handbuch, Release 1.0.1
Wechsle zum Bereich “WLAN” und wähle dein WLAN aus, welches mit der Enigmabox verbunden ist. Tippe in der
58
Kapitel 6. Internet
Enigmabox Handbuch, Release 1.0.1
Zeile des Netzwerks, mit dem du verbunden bist, rechts auf das kleine blaue i im Kreis:
Im Bereich “HTTP-Proxy” stellst du den Schalter auf “Manuell”. Darunter trägst du im Feld “Server” den Namen
“box” ein und als Port gibst du 8888 an:
6.2. Werbeblocker konfigurieren
59
Enigmabox Handbuch, Release 1.0.1
Betätige den Home-Button, um die Einstellungen zu speichern.
Tipp: Um den Proxyserver wieder auszuschalten, wiederhole die obigen Schritte. In Schritt 4. tippe aber auf “Aus”.
60
Kapitel 6. Internet
KAPITEL 7
Telefonie
• Das Telefon einrichten
• Statusabfrage
• Telefonkonferenzen
– Dem Konferenzraum auf deiner Enigmabox beitreten
– Einem Konferenzraum auf einer anderen Enigmabox beitreten
• Anrufbeantworter
• Videotelefonie mit Jitsi
– Jitsi herunterladen
– Jitsi einrichten
– Einen Kontakt hinzufügen
– Videoanruf starten
• Telefonie auf einem Android-Handy einrichten
7.1 Das Telefon einrichten
Verbinde das mitgelieferte Grandstream-Telefon mit der Enigmabox und warte ein paar Minuten. Das Telefon holt die
Einstellungen von der Enigmabox und konfiguriert sich von alleine.
Für andere SIP-kompatible Telefone, hier die Verbindungsdaten für den Telefonserver:
Server: box
Benutzer: 100
Passwort: 100
7.2 Statusabfrage
Die Telefonnummer “1” gibt Informationen zur Verbindung der Enigmabox, das Abo, erhaltene E-Mails und erreichbare Kontakte im Adressbuch aus.
61
Enigmabox Handbuch, Release 1.0.1
7.3 Telefonkonferenzen
Telefonkonferenzen funktionieren heute meistens so, dass sich alle Teilnehmer in einen zentralen Server einwählen
und danach wie in einem Sitzungszimmer miteinander reden können.
Nun - bei der Enigmabox gibt es keine solchen zentralen Server, die das ermöglichen. Deshalb haben wir ein wenig
nachgedacht und sind zu folgendem Schluss gekommen:
Jede Enigmabox ist ein Konferenzserver!
7.3.1 Dem Konferenzraum auf deiner Enigmabox beitreten
Wähle die Nummer “8” auf dem Telefon. *Dadü* - du bist in deinem Konferenzraum.
7.3.2 Einem Konferenzraum auf einer anderen Enigmabox beitreten
Bei jedem Anruf ertönt zuerst ein “du-diit”-Signalton. Du hast nun eine Sekunde Zeit, die Taste “8” zu betätigen dann landest du im Konferenzraum der angerufenen Enigmabox.
Falls du nach dem Signalton nichts unternimmst, wird der Anruf normal durchgestellt und das Telefon klingelt.
So können sich ganz viele Teilnehmer in eine Enigmabox einwählen und dann eine Telefonkonferenz miteinander
führen.
7.4 Anrufbeantworter
Der Anrufbeantworter springt automatisch an, wenn nach 30 Sekunden klingeln das Telefon nicht abgenommen wurde.
Die aufgezeichnete Nachricht wird als E-Mail gespeichert und landet in der Inbox des Angerufenen.
7.5 Videotelefonie mit Jitsi
Jitsi ist ein Softwaretelefon. Wenn du eine Webcam besitzt, ist alles vorbereitet für die verschlüsselte Videotelefonie!
7.5.1 Jitsi herunterladen
Download von folgender URL: https://jitsi.org/Main/Download
7.5.2 Jitsi einrichten
Klicke auf “Datei/Konto hinzufügen...”, um ein neues Konto zu erstellen:
62
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Verwende 100@box als SIP-Kennung, und 100 als Passwort:
7.5. Videotelefonie mit Jitsi
63
Enigmabox Handbuch, Release 1.0.1
Klicke auf “Hinzufügen”.
Blende die Wähltastatur ein und rufe zum Test die Nummer 1 an.
64
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Wenn alles geklappt hat, wirst du eine Stimme hören, die den Systemstatus vorliest.
7.5.3 Einen Kontakt hinzufügen
Klicke mit der rechten Maustaste im Kontaktfeld und dann auf “Kontakt hinzufügen...”.
7.5. Videotelefonie mit Jitsi
65
Enigmabox Handbuch, Release 1.0.1
Trage dort die Telefonnummer des Kontaktes ein, den du hinzufügen möchtest. Das ist die gleiche Telefonnummer
wie im Enigmabox-Adressbuch. Vergib einen Namen.
66
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
7.5.4 Videoanruf starten
Klicke mit der rechten Maustaste auf den neu hinzugefügten Kontakt, und dann auf “Videoanruf”:
7.5. Videotelefonie mit Jitsi
67
Enigmabox Handbuch, Release 1.0.1
68
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Der Videoanruf startet.
7.6 Telefonie auf einem Android-Handy einrichten
Stelle sicher, dass du die Enigmabox über WLAN erreichen kannst (Accesspoint muss am LAN-Anschluss der Enigmabox angeschlossen sein).
Tippe zuerst auf dem Home-Bildschirm des Android-Handys auf “Telefon”:
7.6. Telefonie auf einem Android-Handy einrichten
69
Enigmabox Handbuch, Release 1.0.1
Tippe nun links unten auf dem Android-Handy auf die Menü-Taste:
70
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Im sich darauf öffnenden Menü tippe auf “Anrufeinstellungen”:
7.6. Telefonie auf einem Android-Handy einrichten
71
Enigmabox Handbuch, Release 1.0.1
Scrolle im sich darauf öffnenden Einstellungsmenü ganz nach unten und tippe auf “Konten”:
72
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Im neu geöffneten Untermenü setze zuerst den Haken bei “Eingehende Anrufe annehmen” und tippe anschliessend
auf “Konto hinzufügen”:
7.6. Telefonie auf einem Android-Handy einrichten
73
Enigmabox Handbuch, Release 1.0.1
Bei Benutzernamen und Passwort ist 100 einzugeben und der Server lautet box:
74
Kapitel 7. Telefonie
Enigmabox Handbuch, Release 1.0.1
Die Einstellungen werden gespeichert, sobald du zum vorherigen Menü zurückkehrst. Dort wirst du zuunterst den
Menüeintrag “Internetanrufe tätigen” finden. Tippe darauf und wähle die Option “Bei jedem Anruf fragen” aus.
Nun ist alles eingerichtet, Anrufe vom Android-Handy zu anderen Enigmaboxen tätigen zu können oder Anrufe von
anderen auf deine Box mit dem Android-Handy entgegenzunehmen.
7.6. Telefonie auf einem Android-Handy einrichten
75
Enigmabox Handbuch, Release 1.0.1
76
Kapitel 7. Telefonie
KAPITEL 8
E-Mail
• Webmail
– Auf die Webmailoberfläche zugreifen
– Neue Nachricht schreiben
• Thunderbird
– Konto erstellen
– Neue Nachricht schreiben
8.1 Webmail
8.1.1 Auf die Webmailoberfläche zugreifen
Das Webmail ist erreichbar unter http://mail.box/
77
Enigmabox Handbuch, Release 1.0.1
Benutze das von dir festgelegte Passwort. Siehe auch: Passwort für die Administrationsoberfläche oder das E-Mail
Konto setzen
8.1.2 Neue Nachricht schreiben
Klicke auf das Symbol für eine neue Nachricht.
78
Kapitel 8. E-Mail
Enigmabox Handbuch, Release 1.0.1
8.1. Webmail
79
Enigmabox Handbuch, Release 1.0.1
Adressen im “An”-Feld werden automatisch mit Einträgen aus dem Enigmabox Adressbuch vervollständigt.
Links sind drei Adressbücher zu sehen:
• “Persönliches Adressbuch” - nicht relevant
• “Enigmabox” - Adressen aus dem persönlichen Adressbuch (siehe: Adressen verwalten)
• “Enigmabox (Global)” - Adressen aus dem globalen Adressbuch
Anhänge verschicken: Du kannst Anhänge bis zu 100MB via Enigmabox-E-Mail verschicken.
8.2 Thunderbird
8.2.1 Konto erstellen
Klicke in der Übersicht von Thunderbird auf “E-Mail”:
80
Kapitel 8. E-Mail
Enigmabox Handbuch, Release 1.0.1
Dann auf “Überspringen und meine existierende E-Mail-Adresse verwenden”:
8.2. Thunderbird
81
Enigmabox Handbuch, Release 1.0.1
Die E-Mail-Adresse ist mail@box und das Passwort ist das von dir festgelegte Passwort. Siehe auch: Passwort für die
Administrationsoberfläche oder das E-Mail Konto setzen
Klicke dann auf “Weiter”.
82
Kapitel 8. E-Mail
Enigmabox Handbuch, Release 1.0.1
Wähle “POP3 (Nachrichten auf diesem Computer speichern)” aus und klicke danach auf “Manuell bearbeiten”:
8.2. Thunderbird
83
Enigmabox Handbuch, Release 1.0.1
Passe die Einstellungen so an wie hier abgebildet:
Bestätige mit “Fertig”.
8.2.2 Neue Nachricht schreiben
Klicke auf “Verfassen”:
84
Kapitel 8. E-Mail
Enigmabox Handbuch, Release 1.0.1
Das Nachrichtenfenster öffnet sich:
8.2. Thunderbird
85
Enigmabox Handbuch, Release 1.0.1
Die Fehlermeldung (rot markierte E-Mail-Adresse) kannst du ignorieren. Thunderbird kennt das Format der
Enigmabox-E-Mail-Adresse nicht, obwohl diese perfekt dem Standard entspricht.
86
Kapitel 8. E-Mail
KAPITEL 9
Dienste
• Zugriff verwalten
– Firewall
– Zugriffsrechte einzelner Dienste
• Eigene Website hosten
– Dienst aktivieren
– Dateien mit SFTP hochladen
• Wiki
– Dienst aktivieren
– Passwort vom Admin-Account ändern
• Pastebin
• OwnCloud
– Initiale Einrichtung
– Echtzeitkollaboration einrichten
– Externe Speicher konfigurieren
– Desktop-Synchronisation einrichten
9.1 Zugriff verwalten
9.1.1 Firewall
Die Firewall erlaubt folgenden Zugriff auf den Webserver der Enigmabox:
Keiner: Kein Zugriff.
Internes LAN: Nur der angeschlossene PC hat Zugriff.
87
Enigmabox Handbuch, Release 1.0.1
Nur Freunde: Kontakte aus dem Adressbuch haben Zugriff.
Global: Alle im verschlüsselten Netzwerk haben Zugriff.
9.1.2 Zugriffsrechte einzelner Dienste
Alle im verschlüsselten Netzwerk haben Zugriff.
Kontakte aus dem Adressbuch haben Zugriff.
88
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Erlaube einzelnen IPv6-Adressen den Zugriff auf einen Dienst.
9.1. Zugriff verwalten
89
Enigmabox Handbuch, Release 1.0.1
9.2 Eigene Website hosten
Hypesites sind Websites innerhalb des verschlüsselten Netzwerks. Auf der Enigmabox läuft ein Webserver, und jeder
kann seine eigene Website für andere Enigmabox-Benutzer zur Verfügung stellen.
9.2.1 Dienst aktivieren
In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken:
Dann “Eigene Website” aktivieren:
90
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Danach die Änderungen mit “Änderungen anwenden” aktivieren:
Die eigene Website läuft und du kannst sie über die URL, die jetzt rechts eingeblendet wird, aufrufen.
9.2.2 Dateien mit SFTP hochladen
WinSCP herunterladen: http://winscp.net/download/winscp574setup.exe
Mit der Enigmabox verbinden:
9.2. Eigene Website hosten
91
Enigmabox Handbuch, Release 1.0.1
Für das Passwort, siehe Passwort für den SSH-Zugang
92
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Verbinden, Passwort eingeben.
HTML-Dateien hochladen:
Das Verzeichnis des Webservers ist /srv/www/
Editiere die index.html, lade beliebige Dateien hoch. PHP wird unterstützt.
9.3 Wiki
Ein Wiki ermöglicht kollaboratives Arbeiten an Projekten, zur Dokumentation oder zur Ideenfindung.
9.3.1 Dienst aktivieren
In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken:
Dann “Wiki” aktivieren:
9.3. Wiki
93
Enigmabox Handbuch, Release 1.0.1
Danach die Änderungen mit “Änderungen anwenden” aktivieren:
Das Wiki läuft und du kannst es über die URL, die jetzt rechts eingeblendet wird, aufrufen.
9.3.2 Passwort vom Admin-Account ändern
Klicke im Menü unten links auf “Login”:
Logge dich ein, Benutzer: admin, Passwort: admin.
94
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Gehe zur Wiki-Administration:
Klicke auf “User Manager”:
9.3. Wiki
95
Enigmabox Handbuch, Release 1.0.1
Wähle den Benutzer “admin” aus:
Setze ein starkes Passwort und klicke danach auf “Save Changes”.
96
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Das Wiki ist jetzt konfiguriert und einsatzbereit. Für weitere Informationen, konsultiere die DokuWiki Dokumentation:
https://www.dokuwiki.org/wiki:dokuwiki
9.4 Pastebin
Ein Pastebin ist dazu da, um lange und kurze Texte schnell und einfach mit anderen zu teilen. Alles, was du tun
musst, ist, den Text in ein Feld einfügen (Paste), und dann den Link verteilen. Der Pastebin, der auf der Enigmabox
mitgeliefert wird, unterstützt verschlüsselte Pastes.
In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken:
9.4. Pastebin
97
Enigmabox Handbuch, Release 1.0.1
Dann “Pastebin” aktivieren:
Danach die Änderungen mit “Änderungen anwenden” aktivieren:
Der Pastebin läuft und du kannst ihn über die URL, die jetzt rechts eingeblendet wird, aufrufen.
9.5 OwnCloud
OwnCloud ermöglicht es, Dateien aller Art mit anderen zu teilen, Dateien auf mehreren Rechnern synchron zu halten und gemeinsam an Dokumenten zu arbeiten. Auf der Enigmabox ist OwnCloud so eingebunden, dass sämtliche
Kommunikation verschlüsselt ist, das Teilen mit anderen funktioniert also nur innerhalb des Netzwerks.
9.5.1 Initiale Einrichtung
In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken:
98
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Webdienst OwnCloud aktivieren und dann mit “Änderungen anwenden” bestätigen:
9.5. OwnCloud
99
Enigmabox Handbuch, Release 1.0.1
Auf der Hauptseite ist jetzt “OwnCloud” anklickbar:
100
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Benutzername und Passwort vergeben:
9.5. OwnCloud
101
Enigmabox Handbuch, Release 1.0.1
Fertig!
9.5.2 Echtzeitkollaboration einrichten
Im OwnCloud-Menü “Apps” anwählen:
Unter “Not enabled”: “Documents” aktivieren:
102
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
“Documents” ist als neuer Menüpunkt hinzugekommen:
Gemeinsam an einem Dokument arbeiten:
9.5. OwnCloud
103
Enigmabox Handbuch, Release 1.0.1
104
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
9.5.3 Externe Speicher konfigurieren
Das Menü “Speichermedien” erscheint, sobald OwnCloud aktiviert wurde:
Name des Speichermediums eingeben, damit es aktiviert werden kann:
9.5. OwnCloud
105
Enigmabox Handbuch, Release 1.0.1
Laufwerk ist eingehängt. “Änderungen anwenden”:
“Benutzen” heisst: Das Laufwerk wird eingehängt, sobald es verfügbar ist, auch nach einem Neustart.
Im OwnCloud-Menü “Apps” anwählen:
Unter “Not enabled”: “External storage support” aktivieren:
106
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
In OwnCloud im Menü rechts “Administrator” anwählen:
Externer Speicher hinzufügen: “Lokal”, Konfiguration: Der vorher definierte Name!
9.5. OwnCloud
107
Enigmabox Handbuch, Release 1.0.1
Das Laufwerk ist nun in OwnCloud als Ordner sichtbar:
9.5.4 Desktop-Synchronisation einrichten
OwnCloud Desktop-Client herunterladen:
• Windows: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.5267-setup.exe
• Mac: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.2531.pkg
Server-Adresse eintragen:
108
Kapitel 9. Dienste
Enigmabox Handbuch, Release 1.0.1
Fertig!
Der gewählte Ordner wird nun mit OwnCloud synchron gehalten.
9.5. OwnCloud
109
Enigmabox Handbuch, Release 1.0.1
110
Kapitel 9. Dienste
KAPITEL 10
Fehlerbehebung
•
•
•
•
•
Ich kann die Box nicht erreichen, was muss ich tun?
Ich kann das Internet nicht erreichen
Ich habe mein Passwort für das Webinterface vergessen
Status via Telefon abfragen
Mein Abonnement ist abgelaufen, was kann ich tun?
10.1 Ich kann die Box nicht erreichen, was muss ich tun?
Stelle sicher, dass die IP-Adresse automatisch zugewiesen wird:
Weitere Möglichkeiten, um auf das Webinterface zuzugreifen:
• http://box.enigmabox.net
111
Enigmabox Handbuch, Release 1.0.1
• http://box/
• http://enigma.box/
• http://192.168.100.1 1
• http://192.168.101.1 1
Sind die Kabel richtig angeschlossen? Siehe: Anschliessen der Komponenten
10.2 Ich kann das Internet nicht erreichen
Konntest du das Internet ohne die Enigmabox erreichen? Stelle sicher, dass dies der Fall ist.
Sind die Kabel richtig angeschlossen? Siehe: Anschliessen der Komponenten
Was sagt das Telefon? Siehe: Status via Telefon abfragen
10.3 Ich habe mein Passwort für das Webinterface vergessen
Du kannst es zurücksetzen, siehe: Passwort zurücksetzen
10.4 Status via Telefon abfragen
Rufe auf die Telefonnummer 1 an, um den Systemstatus vorgelesen zu bekommen. Die Stimme liest folgendes vor:
• Ob du E-Mails erhalten hast und wieviele
• Ob alles ok ist
• Das gewählte Land
• Die Hostid
• Wann das Abonnement abläuft
• Wieviele Kontakte im Adressbuch erreichbar sind und wieviele nicht
• Die installierte Softwareversion
• Falls Netzwerkprobleme auftreten, wird ein detaillierter Statusbericht gegeben:
– IP vom Router erhalten
– Zugriff auf reguläres Internet
– Netzwerkdienst (cjdns) läuft
– Zugriff auf verschlüsseltes Internet
10.5 Mein Abonnement ist abgelaufen, was kann ich tun?
Im Webinterface wird die Option eingeblendet, um es zu verlängern: http://box/subscription/
Lasse dir die Bankkontodaten anzeigen. Wichtig: Bei der Überweisung die Hostid angeben!
1
Je nach dem, welchen Bereich du eingestellt hast. Siehe: Einen anderen IP-Bereich festlegen
112
Kapitel 10. Fehlerbehebung
KAPITEL 11
Technische Funktionsweise
• Cjdns
– Wie funktioniert die verschlüsselte Kommunikation genau?
• System
– Enigmabox - Ordnerstruktur
– Wie wendet die Enigmabox geänderte Systemeinstellungen an?
11.1 Cjdns
Der Dreh- und Angelpunkt der Enigmabox ist deren Netzwerkprotokoll: cjdns. Die IP-Adresse kann hier nicht wie
in traditionellen Netzwerksystemen frei gewählt werden, sondern sie wird zufallsgeneriert, mit einem dazugehörigen
öffentlichen und privaten Schlüssel. Die Verschlüsselung fester Bestandteil des Protokolls. Die IPv6 ist der Fingerprint
des öffentlichen Schlüssels. Niemand kann dir deine IP-Adresse wegschnappen, weil er den privaten Schlüssel nicht
besitzt. Die IPv6 ist deine Identität.
Das hat ein paar Vorteile:
• Zentrale Server, wo du deine Identität beweisen musst (zum Beispiel mit einem Passwort), entfallen.
• Das erlaubt nicht nur eine dezentrale Infrastruktur, sondern eine verteilte Architektur.
• Wenn die IPv6 deine Identität ist, ist sie deine E-Mail Adresse (mail@[ipv6]).
• Wenn die IPv6 deine Identität ist, ist sie deine Telefonnummer (sip://[ipv6]).
• Wenn die IPv6 deine Identität ist, ist sie dein Webserver (http://[ipv6]).
• Siehst du, worauf es hinausläuft? Wir dezentralisieren das Internet.
• Die Kommunikation ist immer Ende-zu-Ende verschlüsselt. Keiner, der das Signal weiterreicht, kann den Inhalt
anschauen.
So einfach ist das.
113
Enigmabox Handbuch, Release 1.0.1
Cjdns fährt ein tun0 hoch und bindet die IPv6 daran. Sämtliche Anwendungen, die IPv6 unterstützen, können verschlüsselt kommunizieren. Wir müssen keine Anwendungen umbauen, wir brauchen keine Programme neu zu schreiben.
Cjdns verbindet sich zu Nachbarn (sog. Peers), wahlweise via WLAN, oder über einen UDP-Tunnel über das bestehende Internet. Die Routenfindung passiert automatisch.
11.1.1 Wie funktioniert die verschlüsselte Kommunikation genau?
Es nützt nichts, wenn alles verschlüsselt ist, aber niemand Nachrichten entschlüsseln kann. In einem Verfahren mit
privaten und öffentlichen Schlüsseln ist es so:
• Mit dem öffentlichen Schlüssel kann ich eine Nachricht verschlüsseln
• Mit dem privaten Schlüssel kann ich eine Nachricht entschlüsseln
Jeder Teilnehmer besitzt einen öffentlichen und einen privaten Schlüssel.
Jetzt funktioniert das wie folgt:
Alice
Hallo Bob, ich möchte eine Nachricht für dich
verschlüsseln.
[Verschlüsselt Nachricht mit Bob’s öffentlichem
Schlüssel]
Bob
Ist gut, hier ist mein öffentlicher Schlüssel.
[Entschlüsselt Nachricht mit seinem privaten
Schlüssel]
11.2 System
11.2.1 Enigmabox - Ordnerstruktur
Was befindet sich wo auf der Enigmabox? Hier eine kleine Übersicht:
Ordner
/box
/box/settings.sqlite
/etc/enigmabox
/opt/enigmabox
/opt/enigmabox/webinterface
/opt/enigmabox/cfenginepromises
/srv/www
Beschreibung
Benutzerdaten
Datenbank mit allen Einstellungen (IPv6-Adresse, Passwörter, Adressbuch,
...)
Enigmabox-spezifische Konfigurationsdaten
Enigmabox-Anwendungen
Die Weboberfläche
Systemkonfigurationsvorlagen
HTML-Dokumente für Hypesites
11.2.2 Wie wendet die Enigmabox geänderte Systemeinstellungen an?
Die Enigmabox nutzt CFEngine zur Konfigurationsverwaltung. Machen wir ein Beispiel mit der /etc/hosts-Datei und
fügen eine Adresse im Adressbuch hinzu:
Ich füge die IPv6 fc94:3931:6e5:859d:723f:f250:906f:27fb mit dem Hostnamen tester und der Telefonnummer 1234
im Adressbuch hinzu.
Einstellungen im Webinterface
http://box/addressbook/ - das Interface zur Adresserfassung.
Die Option wird in der Benutzerdatenbank /box/settings.sqlite in der Tabelle address gespeichert.
114
Kapitel 11. Technische Funktionsweise
Enigmabox Handbuch, Release 1.0.1
Wenn wir cfengine-apply aufrufen, passiert folgendes:
root@box:~# cfengine-apply
running cfengine and applying promises...
% Total
% Received % Xferd Average Speed
Time
Time
Time Current
Dload Upload
Total
Spent
Left Speed
100 29346
0 29346
0
0 66368
0 --:--:-- --:--:-- --:--:-- 66544
2015-11-18T20:18:08+0000
info: /default/system_network/files/'/etc/hosts'[0]: Updated rendering o
2015-11-18T20:18:09+0000
info: /default/system_network/files/'/etc/enigmabox/display_names'[0]: U
2015-11-18T20:18:09+0000
info: /default/system_network/files/'/usr/sbin/rebuild-iptables'[0]: Upd
2015-11-18T20:18:09+0000
info: /default/system_network/commands/'/etc/init.d/dnsmasq restart'[0]:
2015-11-18T20:18:09+0000
info: /default/system_network/commands/'/etc/init.d/dnsmasq restart'[0]:
2015-11-18T20:18:09+0000
info: /default/system_network/commands/'/usr/sbin/rebuild-iptables'[0]:
2015-11-18T20:18:09+0000
info: /default/system_network/commands/'/usr/sbin/rebuild-iptables'[0]:
R: checking network configuration: done
R: checking cjdns: done
2015-11-18T20:18:10+0000
info: /default/app_telephony/files/'/etc/asterisk/sip.conf'[0]: Updated
2015-11-18T20:18:10+0000
info: /default/app_telephony/files/'/etc/asterisk/extensions.conf'[0]: U
2015-11-18T20:18:10+0000
info: /default/app_telephony/commands/'/etc/init.d/asterisk restart'[0]:
2015-11-18T20:18:10+0000
info: /default/app_telephony/commands/'/etc/init.d/asterisk restart'[0]:
R: checking telephony: done
R: checking email: done
R: checking webfilter: done
R: checking security: done
2015-11-18T20:18:11+0000
info: /default/app_hypesites/files/'/etc/lighttpd/hypesites.d/dokuwiki.c
2015-11-18T20:18:11+0000
info: /default/app_hypesites/commands/'/etc/init.d/lighttpd restart'[0]:
2015-11-18T20:18:11+0000
info: /default/app_hypesites/commands/'/etc/init.d/lighttpd restart'[0]:
R: checking hypesites: done
root@box:~#
cfengine-apply Skript
Das cfengine-apply Skript:
• Ruft die aktuelle Konfiguration über das Webinterface ab: http://box/cfengine/site.json
• Speichert sie in der Datei /box/.cf-site.json
• Ruft cfengine auf mit der Datei /opt/enigmabox/cfengine-promises/site.cf als Parameter
Die site.cf :
• Liest die Konfiguration /box/.cf-site.json ein
• Wendet alle Vorlagen an
CFEngine-Vorlage
Die Vorlage sieht so aus:
/opt/enigmabox/cfengine-promises/system_network/templates/hosts.mustache:
127.0.0.1
::1
fe00::0
ff00::0
ff02::1
ff02::2
localhost
localhost ip6-localhost ip6-loopback
ip6-localnet
ip6-mcastprefix
ip6-allnodes
ip6-allrouters
[...]
# friends
{{#addresses}}
11.2. System
115
Enigmabox Handbuch, Release 1.0.1
{{ipv6}}
{{hostname}}
{{/addresses}}
# global addresses
{{#global_addresses}}
{{ipv6}}
{{hostname}}.eb
{{/global_addresses}}
Systemkonfigurationsdatei
Heraus kommt die berechnete Hosts-Datei:
/etc/hosts:
127.0.0.1
::1
fe00::0
ff00::0
ff02::1
ff02::2
localhost
localhost ip6-localhost ip6-loopback
ip6-localnet
ip6-mcastprefix
ip6-allnodes
ip6-allrouters
[...]
# friends
fc94:3931:6e5:859d:723f:f250:906f:27fb
# global addresses
fca4:7bc7:a85:2eec:138b:bed6:549f:fc72
fc38:2b91:7fbd:d9ea:dea0:52fc:e7f6:71a1
[...]
tester
rasterfahnder.eb
no-body.eb
Dann werden alle betroffenen Dienste (dnsmasq, iptables, asterisk, ...) neugestartet.
Was alles neugestartet werden muss nach einem Template, das steht in der bundle.cf -Datei.
/opt/enigmabox/cfengine-promises/system_network/bundle.cf (vereinfacht):
bundle agent system_network
{
vars:
"json"
data => readjson("$(g.site)", 64000);
files:
"/etc/hosts"
template_method => "mustache",
template_data => readjson("$(g.site)", 64000),
edit_template => "$(this.promise_dirname)/templates/hosts.mustache",
edit_defaults => no_backup,
classes => if_repaired("restart_dnsmasq");
"/etc/dhcpd.conf"
template_method => "mustache",
template_data => readjson("$(g.site)", 64000),
edit_template => "$(this.promise_dirname)/templates/dhcpd.conf.mustache",
edit_defaults => no_backup,
classes => if_repaired("restart_dhcpd");
commands:
restart_dnsmasq::
116
Kapitel 11. Technische Funktionsweise
Enigmabox Handbuch, Release 1.0.1
"/etc/init.d/dnsmasq restart";
restart_dhcpd::
"/etc/init.d/dhcpd restart";
}
Das ist die ganze Hexerei.
11.2. System
117
Enigmabox Handbuch, Release 1.0.1
118
Kapitel 11. Technische Funktionsweise
KAPITEL 12
Sicherheit
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Doppelte Umwandlung der IP-Adresse
Absicherung der Internetverbindung
Die Firewall ist standardmässig komplett dicht
Freie, Open Source Software
cjdns: Die IPv6 ist deine Identität
Fortgesetzte Geheimhaltung
Ende-zu-Ende Verschlüsselung
Verschleierte Verbindungsdaten
Alle Daten sind ein einen einzigen verschlüsselten Datenstrom eingebettet
Konstante Bitraten bei Telefongesprächen
Keine zentralen Serverdienste
Im Notfall kommunizieren die Enigmaboxen direkt untereinander
Signierte Updates
IP-Adressen statt DNS
119
Enigmabox Handbuch, Release 1.0.1
12.1 Doppelte Umwandlung der IP-Adresse
• Viele PCs sitzen hinter einer Enigmabox.
• Viele Enigmaboxen sitzen hinter einem Server.
• Deine IP Adresse wird zweimal umgeschrieben und dein Computer ist so doppelt abgeschirmt. Von aussen sieht
man nur die IP-Adresse des Servers.
• Um zu deinem Computer zu gelangen, muss ein Angreifer zum richtigen Server, dann zur richtigen Enigmabox
und dann zum richtigen PC vordringen.
• Die grüne Linie ist verschlüsselter Datenverkehr, und zwar IPv4 in IPv6.
12.2 Absicherung der Internetverbindung
Wo auch immer du dich befindest, ob in China, im Sudan, Israel oder Deutschland; du wirst immer “vertrauenswürdiges” Internet via Enigmabox-Server empfangen, vorbei an Strafverfolgungsbehörden, schnüffelnden Geheimdiensten
oder bösen Buben vom Hotelzimmer nebenan, die es auf deinen Computer abgesehen haben (so geschehen beim
Darkhotel-Angriff).
120
Kapitel 12. Sicherheit
Enigmabox Handbuch, Release 1.0.1
Die grüne Linie ist verschlüsselter Datenverkehr, niemand kann daran etwas manipulieren.
12.3 Die Firewall ist standardmässig komplett dicht
• Regulärer, unverschlüsselter Netzwerkverkehr wird an der Enigmabox komplett blockiert.
• Nur Verbindungen innerhalb des verschlüsselten Netzwerks sind erlaubt, und auch nur von Kontakten im
Adressbuch.
Lieber Angreifer: Du musst dich im verschlüsselten Netzwerk befinden UND in meinem Adressbuch, damit du überhaupt eine Chance hast, mich anzugreifen.
12.3. Die Firewall ist standardmässig komplett dicht
121
Enigmabox Handbuch, Release 1.0.1
12.4 Freie, Open Source Software
Die Enigmabox ist Open Source.
Du kannst dir das Image selber kompilieren. Die Anleitung findest du in hier: Firmware kompilieren
12.5 cjdns: Die IPv6 ist deine Identität
Das Netzwerkprotokoll, das die Enigmabox verwendet, heisst cjdns. Bei cjdns ist die IPv6 der “Fingerabdruck”, ein
kryptographisches Element mit einem dazugehörigen privaten Schlüssel. Verschlüsselung ist im Protokoll fix eingebaut, unverschlüsselte Kommunikation ist gar nicht erst möglich!
(Für Techies: cjdns benutzt crypto_box_curve25519xsalsa20poly1305 aus der NaCl Networking and Cryptography
library)
12.6 Fortgesetzte Geheimhaltung
Für jede Kommunikation wird ein temporärer Schlüssel generiert. Sobald du den Telefonhörer aufhängst, wird dieser
Schlüssel verworfen und nicht einmal du selber kannst die stattgefundene Konversation jemals wieder entschlüsseln.
Diese Schlüssel werden auch während eines Gesprächs ab und an gewechselt.
So, liebe NSA; ihr habt also so immens viel Rechenleistung, um damit zehntausend Septrilliarden Passwörter pro
Femtosekunde zu knacken? Sagen wir, dafür braucht ihr so um die zehn Erdenjahre. Die Chancen stehen sogar so,
dass ihr möglicherweise nur einen Teil des Gesprächs entschlüsseln könnt, weil ja der temporäre Schlüssel ständig mal
wieder ausgewechselt wird. Für das nächste Telefonat dürft ihr wieder von vorne anfangen: Neuer Schlüssel, neues
alles. Schon wieder zehn Jahre! Schad gäll?
122
Kapitel 12. Sicherheit
Enigmabox Handbuch, Release 1.0.1
12.7 Ende-zu-Ende Verschlüsselung
• Alle Enigmabox E-Mails sind Ende-zu-Ende verschlüsselt.
• Alle Enigmabox Telefongespräche sind Ende-zu-Ende verschlüsselt.
Die Kommunikation zwischen zwei Partnern geschieht direkt von Enigmabox zu Enigmabox. Der Server in der Mitte
leitet bloss die verschlüsselten Daten weiter. Enigmabox A hat den Datenstrom für Enigmabox B verschlüsselt, und
nur Enigmabox B kann diesen entschlüsseln.
12.8 Verschleierte Verbindungsdaten
Niemand kann genau sagen, ob zwei Enigmaboxen miteinander kommunizieren.
• Jede Enigmabox ist zu einem Server verbunden.
12.7. Ende-zu-Ende Verschlüsselung
123
Enigmabox Handbuch, Release 1.0.1
• Die Server sind untereinander verbunden.
• Der Datenverkehr von vielen Enigmaboxen fliesst über diese Server.
• Wer kommuniziert mit wem?
• Was die Strafverfolgungsbehörden sehen:
• Enigmabox A ist verbunden mit Server A.
• Enigmabox B ist verbunden mit Server B.
• Server A ist verbunden mit Server B.
• Du kannst nicht mit Sicherheit sagen, ob Enigmabox A mit Enigmabox B kommuniziert.
E-Mail header:
12.9 Alle Daten sind ein einen einzigen verschlüsselten Datenstrom
eingebettet
Hier ist ein Beispiel von verschiedenen Verkehrsdaten. Ein Download benötigt viel Bandbreite während einer gewissen
Zeitdauer, wogegen ein Livestream von Musik oder ein Telefongespräch nur ganz wenig Bandbreite beansprucht, dafür
über einen längeren Zeitraum. Ein E-Mail senden, auf Updates überprüfen oder die Zeit synchronisieren generiert
einzelne “Spitzen” im Diagramm der Bandbreitenauslastung.
124
Kapitel 12. Sicherheit
Enigmabox Handbuch, Release 1.0.1
Nach dem passieren der Enigmabox sieht man von den Daten nur noch deren “Silhouette”. Ob du nun ein E-Mail
gesendet hast, eine Website aufrufst, einen Podcast hörst oder ein Telefongespräch führst - alles sieht gleich aus, alle
Daten fliessen in genau eine Richtung, nämlich zum Enigmabox-Server. Niemand kann sehen, was du genau treibst.
Deine Daten fliessen auf dem Server mit anderen Datenströmen zusammen, was die Rückverfolgung erschwert.
12.10 Konstante Bitraten bei Telefongesprächen
Skype’s variabler Bitrate-Codec lässt Rückschlüsse auf den Inhalt zu, egal wie gut die Verschlüsselung
sein mag. Sätze konnten mit einer Genauigkeit zwischen 50%-90% identifiziert werden.
Im Klartext: Wenn ich nicht spreche, werden keine Daten übermittelt (bei Codecs mit variablen Bitraten). Das macht
die Kommunikation anfällig für Verkehrsdatenanalyse.
Die Enigmabox erlaubt nur Codecs mit einer fixen Bitrate, um diesem Angriff zu widerstehen.
12.10. Konstante Bitraten bei Telefongesprächen
125
Enigmabox Handbuch, Release 1.0.1
12.11 Keine zentralen Serverdienste
• Auf jeder Enigmabox läuft ein Mailserver.
• Auf jeder Enigmabox läuft ein Telefonserver.
• Es wird kein zentraler Telefonie- oder Mailserver verwendet.
• Der Enigmabox-Server weiss nicht einmal, ob überhaupt ein E-Mail gesendet wurde.
12.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinander
Das Protokoll cjdns hängt nicht von einer existierenden Internet-Infrastruktur ab. Du kannst Enigmaboxen direkt via
Kabel oder Wlan verbinden. Sie formen ein Mesh-Netzwerk, welches unabhängig vom Internet läuft. Und du kannst
wie gewohnt E-Mails darüber versenden und Telefongespräche führen.
Wir benutzen das Internet nur als “lange Antenne”, um grosse Distanzen zu überbrücken.
126
Kapitel 12. Sicherheit
Enigmabox Handbuch, Release 1.0.1
12.13 Signierte Updates
Das Firmwareimage und alle Pakete sind mit einer SHA512-Prüfsumme und einem Zertifikat signiert. So ist sichergestellt, dass Updates a) nur von uns kommen können, und b) unterwegs nicht manipuliert wurden.
12.14 IP-Adressen statt DNS
Die Enigmabox verwendet zur Kommunikation mit den Servern ausschliesslich IP-Adressen, keine DNS-Namen. So
kann ein Angreifer nicht via DNS Adressen fälschen und Verbindungen umleiten.
12.13. Signierte Updates
127
Enigmabox Handbuch, Release 1.0.1
128
Kapitel 12. Sicherheit
KAPITEL 13
Bedrohungsmodell
•
•
•
•
•
•
Unverschlüsselter Speicher
Kein Passwort gesetzt nach dem ersten Start
Benutzer verwendet schwache Passwörter
0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar)
Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten
Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM und FOXACID laufen und injiziert Malware
• Wanzen, andere Personen im Raum, Lasermikrofone
• Eingeschaltete Mobiltelefone im selben Raum
13.1 Unverschlüsselter Speicher
Der interne Speicher der Enigmabox (CF-Card, SD-Card, SSD) ist nicht verschlüsselt. Das muss noch implementiert
werden.
Folgende Informationen sind exponiert im Falle einer Hausdurchsuchung:
• Adressbuch
• E-Mails
• cjdns Private Key
• Alle Passwörter
• OwnCloud-Dateien
• Wiki-Inhalte, Bilder
• Websites
Abwehr:
• Benutze Pseudonyme im Adressbuch für deine Kontakte.
• Richte einen Mailclient ein, damit möglichst wenig E-Mails auf der Box gespeichert werden (siehe Thunderbird
).
• Im Falle einer Beschlagnahmung:
– Benutz eine neue Enigmabox mit einer neuen IPv6.
129
Enigmabox Handbuch, Release 1.0.1
– INFORMIERE DEINE KONTAKTE, dass deine Box beschlagnahmt wurde und sie deine alte IPv6Adresse aus dem Adressbuch löschen sollen. So wird den Behörden der Zugang verweigert.
– Bestelle ein Ersatzzertifikat, schicke dein altes Zertifikat (Zip-Datei auf dem USB-Stick) an [email protected]. Wir invalidieren es und stellen dir ein neues aus.
13.2 Kein Passwort gesetzt nach dem ersten Start
Das muss auch so sein für den ersten Start, damit du überhaupt auf die Administrationsoberfläche gelangst.
Setze sobald wie möglich ein Passwort für das Webinterface (siehe Passwörter).
13.3 Benutzer verwendet schwache Passwörter
Benutze starke Passwörter. Lass dir Zufallszeichen generieren. Unter Linux:
tr -cd '[:alnum:]' < /dev/urandom | fold -w50 | head -n20
...mische selber noch eigene Zeichen rein. Benutze einen Passwortmanager, halte alles verschlüsselt.
13.4 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar)
Folgende Dienste sind vom LAN aus erreichbar:
• Webserver (Port 80 und 8080)
• Telefonserver (Port 5060)
• Mailserver (Port 25, 110 und 143)
• Proxyserver (Port 8888)
Diese Dienste können von Geräten angegriffen werden, die am “LAN”-Port der Enigmabox hängen. Wenn dort ein
Switch hängt, alle Geräte am Switch. Wenn dort ein AccessPoint angeschlossen ist, alle Wlan-Geräte.
Abwehr:
• Benutze starke Passwörter
• Entscheide dich, für was du die Enigmabox einsetzen willst: Ein Internetcafe braucht nur Internet zur Verfügung
zu stellen, keine Telefonie, keine E-Mails. Verwende eine separate Enigmabox in diesem Fall.
• Benutze einen Computer mit einem freien Betriebssystem, wo die Chance geringer ist, dass er mit einem Trojaner infiziert sein könnte.
13.5 Benutzer benutzt Windows und besucht Malware-verseuchte
Fuudibildli-Webseiten
Wenn du eine Website besuchst, könnte sie Malware enthalten, die deinen Computer infiziert.
Abwehr:
130
Kapitel 13. Bedrohungsmodell
Enigmabox Handbuch, Release 1.0.1
• Benutz kein Windows
• Benutz nicht den Internet Explorer
• Besuche keine Webseiten, die möglicherweise Malware enthalten können, z.B. Pr0nsites, Downloadportale (mit
vielen Bannern und “Zeugs”...)
• Benutz den eingebauten Webfilter (siehe Werbeblocker konfigurieren)
13.6 Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM und FOXACID laufen und injiziert
Malware
http://sites.miis.edu/cyber/2013/10/08/quantum-and-foxacid-nsatao-mitming-tor-users/
• Wenn du dich auf Facebook anmeldest, oder auf Twitter, Linkedin, Gmail - irgend eine Seite, die nach einer
Authentifizierung verlangt - sobald du eingeloggt bist, kann dein Netzwerkverkehr identifiziert und angegriffen
werden.
• QUANTUM ist ein Server der NSA, der schneller als der Facebook-Server antwortet und dich zu einem
FOXACID-Server umleitet.
• Der FOXACID-Server imitiert Facebook und jubelt dir lustige kleine Fernsteuerungsprogrämmli unter, die speziell auf deinen Computer zugeschnitten sind. Nur, dass am Ende nicht du deinen Computer fernsteuern kannst,
sondern die NSA.
13.6. Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM
131
und FOXACID laufen und injiziert Malware
Enigmabox Handbuch, Release 1.0.1
Abwehr:
• Die Enigmabox hilft dir, IPv4_public zu verschleiern
• Für alles andere bist du selber verantwortlich - melde dich nirgendwo an
• Benutz einen separaten Computer für die Konfiguration der Enigmabox - und benutz diese Box nur für Telefongespräche und E-Mails. Diese internen Dienste verlassen niemals das verschlüsselte Netzwerk.
13.7 Wanzen, andere Personen im Raum, Lasermikrofone
• Jemand hat eine Wanze in deinem Wohnzimmer installiert
• Ein Lasermikrofon zeichnet die Schwingungen an der Fensterscheibe auf
• Deine Nachbarn hören dich durch die Wände reden
• Umgehen so jede Verschlüsselung
Abwehr:
• Leg’ dir ein Wanzenspürgerät zu und scanne dein Zimmer
• Rede leise
• Führe Telefongespräche in einem fensterlosen Raum
13.8 Eingeschaltete Mobiltelefone im selben Raum
Wir bekommen oft zu hören: “Ja aber, ist die Enigmabox sicher?”
Die verwendete Verschlüsselung und das Verfahren, dass für jede Verbindung Sitzungsschlüssel verwendet werden,
die sich alle paar Minuten ändern und am Ende verworfen werden, machen die Enigmabox ziemlich ziemlich sicher.
Es nützt jedoch nichts, wenn daneben ein eingeschaltetes Mobiltelefon liegt. Behörden können aus der Ferne das
132
Kapitel 13. Bedrohungsmodell
Enigmabox Handbuch, Release 1.0.1
Mikrofon aktivieren und alles aufzeichnen, vorbei an jeder besten Verschlüsselung. Das funktioniert auch, wenn das
Telefon “ausgeschaltet” ist (ist es nämlich nicht!).
Abwehr:
• Entferne die Batterien von allen Mobiltelefonen im Raum
• Besitze überhaupt kein Mobiltelefon; da dein Standort immer noch aufgezeichnet wird, unabhängig davon, ob
das ein verschlüsseltes Mobiltelefon ist oder nicht.
13.8. Eingeschaltete Mobiltelefone im selben Raum
133
Enigmabox Handbuch, Release 1.0.1
134
Kapitel 13. Bedrohungsmodell
KAPITEL 14
Kommandozeilenreferenz
• Enigmabox
– cfengine-apply
– rebuild-iptables
– setup-cjdns-networking
– speedtest
• Funktionen für Benutzer mit Abonnement
– addressbook pull
– addressbook push
– updater check
– updater apply
– upgrader download
– upgrader verify
– upgrader write
• Cjdns-Tools
– cjdnslog ‘’
– dumptable
– findnodes
– peerStats
14.1 Enigmabox
14.1.1 cfengine-apply
Führt CFEngine aus und wendet die Systemkonfiguration gemäss den Templates und Einstellungen an.
Falls du mal irgendwas verbockt hast, führe diesen Befehl aus und alle von CFEngine verwalteten Dateien werden
wieder in den definierten Zustand versetzt.
14.1.2 rebuild-iptables
Wendet die Firewallregeln an.
Template mit den Firewallregeln:
/opt/enigmabox/cfengine-promises/system_network/templates/rebuild-iptables.mustache
135
Enigmabox Handbuch, Release 1.0.1
Fertiges, gerendertes Skript:
/usr/sbin/rebuild-iptables
14.1.3 setup-cjdns-networking
Prüft die Netzwerkkonfiguration und setzt alle dafür benötigten Parameter wie Routen. Falls Internet nicht verfügbar
ist, wechselt es das Land und fordert bei Bedarf die Peeringeinstellungen und Internet an.
14.1.4 speedtest
Führt einen Geschwindigkeitstest direkt von der Box aus durch:
root@box:~# speedtest
Retrieving speedtest.net configuration...
Retrieving speedtest.net server list...
Testing from Portlane Ab (46.246.93.74)...
Selecting best server based on latency...
Hosted by AltusHost B.V. (Stockholm) [0.00 km]: 78.179 ms
Testing download speed........................................
Download: 27.79 Mbit/s
Testing upload speed..................................................
Upload: 8.38 Mbit/s
14.2 Funktionen für Benutzer mit Abonnement
14.2.1 addressbook pull
Holt das globale Adressbuch vom Server.
14.2.2 addressbook push
Publiziert Änderungen ins globale Adressbuch.
14.2.3 updater check
Prüft, ob Aktualisierungen vorhanden sind.
14.2.4 updater apply
Installiert Aktualisierungen und startet danach die Enigmabox neu.
14.2.5 upgrader download
Firmwareupgrade. Lädt das Image nach /tmp/fw.img herunter.
136
Kapitel 14. Kommandozeilenreferenz
Enigmabox Handbuch, Release 1.0.1
14.2.6 upgrader verify
Überprüft das Firmwareimage /tmp/fw.img mit der Signatur /tmp/fw.img.sig und dem öffentlichen Schlüssel
/etc/enigmabox/rsa-pubkey.pem.
14.2.7 upgrader write
Schreibt das Firmwareimage auf die Enigmabox. Das dauert bis zu 20min. Danach startet die Enigmabox automatisch
neu.
14.3 Cjdns-Tools
14.3.1 cjdnslog ‘’
Zeigt, was cjdns im Hintergrund so treibt:
root@box:~# cjdnslog ''
1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.028b.702b] recvPath[0000.0000.028b.7
1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.02fa.502b] recvPath[0000.0000.02fa.5
1413917051 DEBUG NodeStore.c:1968 getPeers request for [2a62c5d9]
1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.0005.302b] recvPath[0000.0000.0005.3
1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.0004.b023] recvPath[0000.0000.0004.b
1413917051 DEBUG Pinger.c:154 Invalid ping response handle [3112299211].
1413917051 DEBUG SessionManager.c:565 Session sendPath[0dbe.9c40.8d77.702b] recvPath[0dbe.9c40.8d77.7
1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.02ab.302b] recvPath[0000.0000.02ab.3
1413917051 DEBUG InterfaceController.c:350 Pinging lazy peer [3rj00tu2s2b96n5v7z9fdxvw1ds7dyskbb4hw2x
1413917051 DEBUG InterfaceController.c:286 SwitchPing [3rj00tu2s2b96n5v7z9fdxvw1ds7dyskbb4hw2xp9f4kh3
1413917051 DEBUG InterfaceController.c:350 Pinging lazy peer [1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbkcu
1413917051 DEBUG InterfaceController.c:286 SwitchPing [1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbkcuf6s7fy2
1413917051 DEBUG ControlHandler.c:151 ctrl packet from [0000.0000.0000.001d]
1413917051 DEBUG ControlHandler.c:178 got switch pong from [0000.0000.0000.001d]
1413917051 DEBUG InterfaceController.c:242 got switch pong from node [v16.0000.0000.0000.001d.1nukqsl
1413917051 DEBUG InterfaceController.c:259 Received [pong] from lazy endpoint [v16.0000.0000.0000.001
1413917051 DEBUG Pathfinder.c:283 Peer [v16.0000.0000.0000.001d.1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbk
1413917051 DEBUG ControlHandler.c:151 ctrl packet from [0000.0000.0000.001b]
14.3.2 dumptable
Zeigt die Routingtabelle von cjdns an:
root@box:~# dumptable
fcd7:c111:7264:82b5:36a1:76fe:b94f:b859
fc58:a55d:e005:1172:33f9:cc7f:fc23:51c7
fcc1:624f:8bf7:ae7e:2421:fd32:023f:b923
fc41:56f4:0d8f:6f5a:19ee:f2e5:11e5:01a2
fcbb:98bd:d44f:40dc:426c:4971:b6b1:7bd6
fceb:f9fd:5079:10ab:4152:f0f3:fb3e:9b0f
fc04:f0f2:884a:6fa8:3ef4:035a:1c93:f335
fc34:8675:ed95:600c:38d7:6eb8:f5b9:5bfa
fccb:084a:918f:b20f:6655:eafc:98c7:2bde
fc10:c4f8:fa32:58cd:5dad:b50c:56b5:5d10
fc29:2b03:f5da:7443:5370:26ce:c332:bb82
fc2f:a0e2:2f43:8a94:4dfe:2bb7:603c:6acd
14.3. Cjdns-Tools
0000.0000.0671.682b
0000.0000.0006.502b
0000.0000.0007.102b
0000.0000.0000.0019
0000.001e.5e26.182b
0000.0000.0000.082b
0000.0000.021e.182b
0000.0000.0000.982b
0000.0000.0025.602b
0000.0000.0025.a02b
0000.0000.0000.001d
0000.0000.0000.0017
52195780 16
212118879 16
152266092 16
24301450 16
53687088 17
212118880 16
53687088 17
53687088 17
200735032 16
184621602 16
526648413 16
87019374 16
137
Enigmabox Handbuch, Release 1.0.1
fc1c:18cc:f95b:a2c0:a792:6c34:b2ae:bd0e 0000.0000.0000.0013 137324553 16
fcef:1061:cc30:743b:7f3f:3980:c123:4b63 0000.0000.03e5.602b 100640779 16
fcec:ae97:8902:d810:6c92:ec67:efb2:3ec5 0000.0008.580a.182b 25565281 16
14.3.3 findnodes
Sucht nach cjdns-Nodes.
14.3.4 peerStats
Zeigt den Verbindungsstatus von direkten Peers an:
root@box:~# peerStats
fc29:2b03:f5da:7443:5370:26ce:c332:bb82
fc4f:37ec:6363:df11:fa13:ccf3:ec3b:c693
fc41:56f4:0d8f:6f5a:19ee:f2e5:11e5:01a2
fc2f:a0e2:2f43:8a94:4dfe:2bb7:603c:6acd
fc3f:ec6a:273a:5908:da68:1dae:3abc:b0db
fc1c:18cc:f95b:a2c0:a792:6c34:b2ae:bd0e
138
0000.0000.0000.001d
0000.0000.0000.001b
0000.0000.0000.0019
0000.0000.0000.0017
0000.0000.0000.0015
0000.0000.0000.0013
in
in
in
in
in
in
265570750
599998481
35123931
62783863
1539111953
191229295
out
out
out
out
out
out
597255897
354949986
28923293
42307626
849151552
119774653
Kapitel 14. Kommandozeilenreferenz
ESTAB
ESTAB
ESTAB
ESTAB
ESTAB
ESTAB
KAPITEL 15
Firmware kompilieren
• Repository klonen, OpenWrt konfigurieren
• Image konfigurieren
– Firmware kompilieren für den Banana Pi
– Firmware kompilieren für die PC Engines APU (64-bit Enigmabox)
– Firmware kompilieren für das PC Engines ALIX (32-bit Enigmabox)
15.1 Repository klonen, OpenWrt konfigurieren
Klone das OpenWrt-Repository via Git:
$ git clone https://github.com/enigmagroup/openwrt.git
$ cd openwrt
$ vi feeds.conf
Deine feeds.conf sollte so aussehen:
src-git
src-git
src-git
src-git
src-git
packages https://github.com/enigmagroup/openwrt-packages.git
oldpackages https://github.com/enigmagroup/openwrt-oldpackages.git
management https://github.com/enigmagroup/openwrt-management.git
routing https://github.com/enigmagroup/openwrt-routing.git
telephony https://github.com/enigmagroup/openwrt-telephony.git
src-git enigmabox https://github.com/enigmagroup/enigmabox-openwrt.git
Aktualisiere die Paketliste und installiere alle benötigten Pakete:
$ ./scripts/feeds update -a
$ ./scripts/feeds install -a
15.2 Image konfigurieren
Starte die Imagekonfiguration mit:
$ make menuconfig
139
Enigmabox Handbuch, Release 1.0.1
15.2.1 Firmware kompilieren für den Banana Pi
• Target System: Allwinner A1x/A20/A3x
• Target Profile: Bananapi
• Target Images:
– Root filesystem images:
* ext4: yes
· Maximum number of inodes in root filesystem: 200000
· Create a journaling filesystem: yes
* GZip images: no
– Image Options:
* Root filesystem partition size (in MB): 3600
* Include kernel in root filesystem: yes
* Include DTB in root filesystem: yes
Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus:
• Advanced configuration options:
– Toolchain Options
* C Library implementation
· Use uClibc
Konfiguration der Enigmabox-Pakete:
• “Enigmabox”:
– cfengine-promises: yes
* Network profile: Rasperry Pi
– provision-grandstream: yes
– roundcube: yes
– teletext: yes
– webinterface: yes
“webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert.
Beende die Imagekonfiguration und speichere deine .config.
Kompilierungsvorgang starten:
$ make
Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit:
bin/sunxi-uClibc/openwrt-sunxi-Bananapi-sdcard-vfat-ext4.img
140
Kapitel 15. Firmware kompilieren
Enigmabox Handbuch, Release 1.0.1
15.2.2 Firmware kompilieren für die PC Engines APU (64-bit Enigmabox)
• Target System: x86
• Subtarget: x86_64
• Target Profile: Default
• Target Images:
– Root filesystem images:
* ext4: yes
· Maximum number of inodes in root filesystem: 200000
· Create a journaling filesystem: yes
* GZip images: no
– Image Options:
* Root filesystem partition size (in MB): 3600
* Include kernel in root filesystem: yes
Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus:
• Advanced configuration options:
– Toolchain Options
* C Library implementation
· Use uClibc
Konfiguration der Enigmabox-Pakete:
• “Enigmabox”:
– cfengine-promises: yes
* Network profile: APU
– provision-grandstream: yes
– roundcube: yes
– teletext: yes
– webinterface: yes
“webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert.
Beende die Imagekonfiguration und speichere deine .config.
Kompilierungsvorgang starten:
$ make
Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit:
bin/x86-uClibc/openwrt-x86-64-combined-ext4.img
15.2. Image konfigurieren
141
Enigmabox Handbuch, Release 1.0.1
15.2.3 Firmware kompilieren für das PC Engines ALIX (32-bit Enigmabox)
• Target System: x86
• Subtarget: Generic
• Target Profile: Default
• Target Images:
– Root filesystem images:
* ext4: yes
· Maximum number of inodes in root filesystem: 200000
· Create a journaling filesystem: yes
* GZip images: no
– Image Options:
* Root filesystem partition size (in MB): 3600
* Include kernel in root filesystem: yes
Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus:
• Advanced configuration options:
– Toolchain Options
* C Library implementation
· Use uClibc
Konfiguration der Enigmabox-Pakete:
• “Enigmabox”:
– cfengine-promises: yes
* Network profile: ALIX
– provision-grandstream: yes
– roundcube: yes
– teletext: yes
– webinterface: yes
“webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert.
Beende die Imagekonfiguration und speichere deine .config.
Kompilierungsvorgang starten:
$ make
Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit:
bin/x86-uClibc/openwrt-x86-generic-combined-ext4.img
142
Kapitel 15. Firmware kompilieren