Als PDF herunterladen
Transcription
Als PDF herunterladen
Enigmabox Handbuch Release 1.0.1 03.03.2016 Inhaltsverzeichnis 1 Schnellstart 1.1 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Der erste Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 1 2 Einführung 2.1 Damals, im zweiten Weltkrieg... . . . . . . 2.2 Die Entwicklung des Internets . . . . . . . 2.3 Unser Masterplan . . . . . . . . . . . . . . 2.4 Unabhängigkeitserklärung des Cyberspace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 6 6 6 Anwendungsfälle 3.1 Als Heimanwender . . . . . 3.2 Als Internetcafe . . . . . . 3.3 Als Firma . . . . . . . . . . 3.4 Als Diplomat, Anwalt, Arzt 3.5 Als Forscher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 9 10 10 11 12 4 Hardware 4.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Banana Pi (Eigenbau) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 13 14 5 System 5.1 Adressen verwalten . . . . . . . . . 5.2 Das globale Adressbuch . . . . . . 5.3 Passwörter . . . . . . . . . . . . . 5.4 Passwort zurücksetzen . . . . . . . 5.5 Einen anderen IP-Bereich festlegen 5.6 Eine Systemsicherung durchführen 5.7 Das System wiederherstellen . . . . 5.8 SSL-Zertifikate importieren . . . . 5.9 Die Firmware aktualisieren . . . . . . . . . . . . . 15 15 17 19 22 22 23 26 29 31 6 Internet 6.1 Land auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Werbeblocker konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 35 37 7 Telefonie 7.1 Das Telefon einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Statusabfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 61 61 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i 7.3 7.4 7.5 7.6 Telefonkonferenzen . . . . . . . . . . . . . . Anrufbeantworter . . . . . . . . . . . . . . . Videotelefonie mit Jitsi . . . . . . . . . . . . . Telefonie auf einem Android-Handy einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 62 62 69 8 E-Mail 8.1 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Thunderbird . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 77 80 9 Dienste 9.1 Zugriff verwalten . . . 9.2 Eigene Website hosten 9.3 Wiki . . . . . . . . . 9.4 Pastebin . . . . . . . . 9.5 OwnCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 87 90 93 97 98 10 Fehlerbehebung 10.1 Ich kann die Box nicht erreichen, was muss ich tun? . . 10.2 Ich kann das Internet nicht erreichen . . . . . . . . . . . 10.3 Ich habe mein Passwort für das Webinterface vergessen 10.4 Status via Telefon abfragen . . . . . . . . . . . . . . . 10.5 Mein Abonnement ist abgelaufen, was kann ich tun? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 111 112 112 112 112 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Technische Funktionsweise 113 11.1 Cjdns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 11.2 System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 12 Sicherheit 12.1 Doppelte Umwandlung der IP-Adresse . . . . . . . . . . . . . . . . . . . 12.2 Absicherung der Internetverbindung . . . . . . . . . . . . . . . . . . . . . 12.3 Die Firewall ist standardmässig komplett dicht . . . . . . . . . . . . . . . 12.4 Freie, Open Source Software . . . . . . . . . . . . . . . . . . . . . . . . . 12.5 cjdns: Die IPv6 ist deine Identität . . . . . . . . . . . . . . . . . . . . . . 12.6 Fortgesetzte Geheimhaltung . . . . . . . . . . . . . . . . . . . . . . . . . 12.7 Ende-zu-Ende Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . 12.8 Verschleierte Verbindungsdaten . . . . . . . . . . . . . . . . . . . . . . . 12.9 Alle Daten sind ein einen einzigen verschlüsselten Datenstrom eingebettet 12.10 Konstante Bitraten bei Telefongesprächen . . . . . . . . . . . . . . . . . . 12.11 Keine zentralen Serverdienste . . . . . . . . . . . . . . . . . . . . . . . . 12.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinander . . . . . 12.13 Signierte Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.14 IP-Adressen statt DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Bedrohungsmodell 13.1 Unverschlüsselter Speicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 Kein Passwort gesetzt nach dem ersten Start . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3 Benutzer verwendet schwache Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.4 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar) . . . . . . . . . . . . . . . 13.5 Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten . . . . . . 13.6 Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM FOXACID laufen und injiziert Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.7 Wanzen, andere Personen im Raum, Lasermikrofone . . . . . . . . . . . . . . . . . . . . . . . 13.8 Eingeschaltete Mobiltelefone im selben Raum . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Kommandozeilenreferenz ii . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . und . . . . . . . . . 119 120 120 121 122 122 122 123 123 124 125 126 126 127 127 129 129 130 130 130 130 131 132 132 135 14.1 Enigmabox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 14.2 Funktionen für Benutzer mit Abonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 14.3 Cjdns-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 15 Firmware kompilieren 139 15.1 Repository klonen, OpenWrt konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 15.2 Image konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 iii iv KAPITEL 1 Schnellstart 1.1 Lieferumfang 1.2 Der erste Start 1.2.1 Anschliessen der Komponenten • Verbinde den Router/Modem über ein Netzwerkkabel mit der “Internet” Buchse der Enigmabox. • Verbinde den Computer über ein Netzwerkkabel mit der “LAN” Buchse der Enigmabox. • Verbinde das Telefon über ein Netzwerkkabel mit der “LAN” Buchse der Enigmabox. 1 Enigmabox Handbuch, Release 1.0.1 Hier in diesem Beispiel: Blaues Kabel: Router/Modem Weisses Kabel: Computer Schwarzes Kabel: Telefon Wichtig: Stecke das andere Ende des schwarzen Netzwerk-Kabels in die “LAN” Buchse des Telefons. Verbinde das Stromkabel mit der Enigmabox. Beim ersten Start kann es bis zu 5 Minuten dauern, bis die Box bereit ist. Sie bringt die Software auf den neusten Stand und konfiguriert ihren Internetzugang. 1.2.2 Zugriff auf die Administrationsoberfläche Nach dem Start kannst du auf die Administrationsoberfläche zugreifen: http://box/ oder http://box.enigmabox.net/ Der Zugriff funktioniert nur, wenn der Computer direkt an den mit “LAN” bezeichneten Anschlüssen angeschlossen ist! Der Anschluss “Internet” ist von aussen komplett abgeschirmt. 1.2.3 Setzen von Passwörtern Setze ein Passwort für die Administrationsoberfläche. Menüpunkt “Passwörter” -> Klick auf “Bearbeiten”: 2 Kapitel 1. Schnellstart Enigmabox Handbuch, Release 1.0.1 Gib dein gewünschtes Passwort ein. Der Benutzername ist immer “admin”. Bestätigen mit “Speichern”. Danach die Änderungen mit “Änderungen anwenden” aktivieren: 1.2. Der erste Start 3 Enigmabox Handbuch, Release 1.0.1 1.2.4 Wie geht es jetzt weiter? Konfiguriere das Land, über welches du auf das Internet zugreifen willst: Land auswählen. Füge Kontakte zum Adressbuch hinzu: Adressen verwalten. Richte das Telefon ein: Telefonie. Sende und empfange E-Mails: E-Mail. Führe eine Systemsicherung durch (wichtig!): Eine Systemsicherung durchführen. Wir halten keine Benutzerdaten auf unseren Servern. Daten auf der Enigmabox (Adressbuch, E-Mails, Bilder, Dokumente, persönliche Webseiten, Passwörter, der cjdns Private Key) sind auf der Enigmabox gespeichert und dort bleiben sie auch. Falls du die Daten auf deiner Enigmabox verlierst und keine Sicherung gemacht hast, bist du am Arsch. 4 Kapitel 1. Schnellstart KAPITEL 2 Einführung • Damals, im zweiten Weltkrieg... • Die Entwicklung des Internets • Unser Masterplan – Phase Eins – Phase Zwei – Phase Drei • Unabhängigkeitserklärung des Cyberspace 2.1 Damals, im zweiten Weltkrieg... Das Darknet der Nazis wurde vom genialen Mathematiker Alan Turing gehackt. Der Aufwand war für die damalige Zeit gewaltig. Die Turing-Bomben füllten riesige Hallen. Die Daten wurden damals mit der neu entwickelten Funktechnik übermittelt. Mit Antennen konnten die Funksprüche - ohne dass es die Nazis bemerkten - mitgehört werden. Die Nazis schützten mit der von ihnen entwickelten Enigma-Maschine ihre Funksprüche. Diese Maschine konnte Funksprüche ver- und entschlüsseln. Dazu musste man wissen, welche Einstellung die Walzen haben müssen. Sie gingen davon aus, dass Angreifer noch keine Maschinen zum Knacken des Codes hatten. Das war auch so, bis Alan Turing auftauchte und die nach ihm benannten Turing-Bomben bauen liess. Es gelang ihm aber nur dank den erbeuteten Enigma-Maschinen und den aktuellen Einstelllisten der Walzen. Damit konnten die Nachrichten entschlüsselt werden und mit der daraus gewonnen statistischen Auswertung und den Turing-Bomben auch zukünftige Nachrichten gelesen werden. Dies hatte den damaligen Kriegsverlauf dramatisch verändert. Es wird von symbolischen 2 Jahre verkürztem Krieg gesprochen und sogar davon, dass die Nazis ihr drittes Reich nicht hätten aufgeben müssen. Der Vorsprung einer abhörsicheren Kommunikation wird auch in Zukunft nicht so einfach mit Geld aufzuwiegen sein. Der Wert von Funksprüchen von damals kann heute durchaus mit dem Wert der Datenströme auf dem Internet verglichen werden. Nur die Dimensionen sind gewaltig gewachsen. Es wurde ein Zeitgeist geschaffen, der die Kommunikationspartner im Glauben lässt, dass Verschlüsselung nicht nötig sei. Nur so ist es heute noch möglich, die Daten abhören zu können. Moderne Systeme wie zum Beispiel die Enigmabox können weder mit statistischen Methoden, noch nachträglich mit einem erbeuteten Geheimschlüssel entschlüsselt werden. Die Daten sind auch nicht einfach mit Antennen abhorchbar. Sie müssen mühsam aus einem Mesh-Netzwerk herausgefischt werden. Das übernehmen zwar riesige Rechencenter. Aber die Enigmabox hat im Vergleich zu den 4 Walzen der Enigma-Maschine ungemein komplexere Verschlüsselungsalgorithmen, die nur mit einem gewaltigen Rechenaufwand entschlüsselt werden können, wenn überhaupt. Und die Daten nehmen in einem Mesh-Netz immer wieder einen anderen Weg. Die Wege können auch aus eigenen Datenleitungen und WLAN-Netzen bestehen. So scheitert eine erfolgreiche Entschlüsselung bereits bei der Datenbeschaffung. 5 Enigmabox Handbuch, Release 1.0.1 Abhörsichere Kommunikationswege werden auch in der heutigen Zeit den Internetgiganten und der von den Geheimdiensten überwachten Welt eine entscheidende Wendung geben. Verschlüsseln ist viel einfacher als entschlüsseln. Das verschlüsseln einer Nachricht dauert ein paar Millisekunden. Das entschlüsseln dauert ein paar Millionen Jahre. Machen wir davon Gebrauch! 2.2 Die Entwicklung des Internets 1969 als Projekt des Verteidigungsministerium gestartet, verbindet es heute jeden Computer auf dem Planeten. Doch: Verschlüsselung ist “optional”, muss mit Zusatzprogrammen nachträglich eingebaut werden, war so nicht vorgesehen. Das Internet ist ein gefährlicher Ort geworden - alle Daten fliessen im Klartext über die Leitungen. Auf diesem Fundament findet heutzutage all unsere Kommunikation statt. Dieses Fundament ist so kaputt, dass sich ein paar Individuen um den Erdball dazu entschieden haben, das Internet neu zu bauen. Diesmal verschlüsselt und auf sicheren Protokollen basierend. Caleb James DeLisle hat cjdns entwickelt, um diese Vision näher zur Manifestation zu bringen. Wir bringen euch die Enigmabox, mit der dieses noch etwas leere, aber verschlüsselte Netzwerk sinnvoll und produktiv genutzt werden kann. 2.3 Unser Masterplan 2.3.1 Phase Eins So viele cjdns-Boxen wie möglich ausrollen. VPN-Zugang zum Clearnet anbieten. (Die meisten Menschen sind immer noch vom alten Internet abhängig und auf seine Dienste angewiesen). Entwickeln, integrieren und konfigurieren von bekannten Internetdiensten wie E-Mail, VoIP, XMPP, Twitter, [dein-IPv6-kompatibler-Dienst], damit diese reibungslos mit cjdns in dieser verteilten Umgebung laufen. 2.3.2 Phase Zwei cjdns bewerben. Jedem helfen, ins Hyperboria-Netzwerk zu gelangen. Verschlüsselung soll Standard sein. cjdns ist nicht auf eine bestehenden IP-Infrastruktur angewiesen. Eigene Kabel betreiben. Internetdienstleister überzeugen, cjdns zu benutzen. Mesh-Inseln bilden. Mesh-Inseln verbinden. Wachsen. 2.3.3 Phase Drei Das ICANN-Internet ist durch die fortschreitende Zensur unbenutzbar und wird dunkel. Hyperboria wird das neue Internet. Ein weisses Netzwerk aus Licht. Die NSA ist obsolet. 2.4 Unabhängigkeitserklärung des Cyberspace Regierungen der industriellen Welt, Ihr müden Giganten aus Fleisch und Stahl, ich komme aus dem Cyberspace, der neuen Heimat des Geistes. Im Namen der Zukunft bitte ich Euch, Vertreter einer vergangenen Zeit: Laßt uns in Ruhe! Ihr seid bei uns nicht willkommen. Wo wir uns versammeln, besitzt Ihr keine Macht mehr. Wir besitzen keine gewählte Regierung, und wir werden wohl auch nie eine bekommen – und so wende ich mich mit keiner größeren Autorität an Euch als der, mit der die Freiheit selber spricht. Ich erkläre den globalen sozialen Raum, 6 Kapitel 2. Einführung Enigmabox Handbuch, Release 1.0.1 den wir errichten, als gänzlich unabhängig von der Tyrannei, die Ihr über uns auszuüben anstrebt. Ihr habt hier kein moralisches Recht zu regieren noch besitzt Ihr Methoden, es zu erzwingen, die wir zu befürchten hätten. Regierungen leiten Ihre gerechte Macht von der Zustimmung der Regierten ab. Unsere habt Ihr nicht erbeten, geschweige denn erhalten. Wir haben Euch nicht eingeladen. Ihr kennt weder uns noch unsere Welt. Der Cyberspace liegt nicht innerhalb Eurer Hoheitsgebiete. Glaubt nicht, Ihr könntet ihn gestalten, als wäre er ein öffentliches Projekt. Ihr könnt es nicht. Der Cyberspace ist ein natürliches Gebilde und wächst durch unsere kollektiven Handlungen. Ihr habt Euch nicht an unseren großartigen und verbindenden Auseinandersetzungen beteiligt, und Ihr habt auch nicht den Reichtum unserer Marktplätze hervorgebracht. Ihr kennt weder unsere Kultur noch unsere Ethik oder die ungeschriebenen Regeln, die unsere Gesellschaft besser ordnen als dies irgendeine Eurer Bestimmungen vermöchte. Ihr sprecht von Problemen, die wir haben, aber die nur Ihr lösen könnt. Das dient Eurer Invasion in unser Reich als Legitimation. Viele dieser Probleme existieren gar nicht. Ob es sich aber um echte oder um nur scheinbare Konflikte handelt – wir werden sie lokalisieren und mit unseren Mitteln angehen. Wir schreiben unseren eigenen Gesellschaftsvertrag. Unsere Regierungsweise wird sich in Übereinstimmung mit den Bedingungen unserer Welt entwickeln, nicht Eurer. Unsere Welt ist anders. Der Cyberspace besteht aus Beziehungen, Transaktionen und dem Denken selbst, positioniert wie eine stehende Welle im Netz der Kommunikation. Unsere Welt ist überall und nirgends, und sie ist nicht dort, wo Körper leben. Wir erschaffen eine Welt, die alle betreten können ohne Bevorzugung oder Vorurteil bezüglich Rasse, Wohlstand, militärischer Macht und Herkunft. Wir erschaffen eine Welt, in der jeder Einzelnen an jedem Ort seine oder ihre Überzeugungen ausdrücken darf, wie individuell sie auch sind, ohne Angst davor, im Schweigen der Konformität aufgehen zu müssen. Eure Rechtsvorstellungen von Eigentum, Redefreiheit, Persönlichkeit, Freizügigkeit und Kontext treffen auf uns nicht zu. Sie alle basieren auf der Gegenständlichkeit der materiellen Welt. Es gibt im Cyberspace keine Materie. Unsere persönlichen Identitäten haben keine Körper, so daß wir im Gegensatz zu Euch nicht durch physische Gewalt reglementiert werden können. Wir glauben daran, daß unsere Regierungsweise sich aus der Ethik, dem aufgeklärten Selbstinteresse und dem Gemeinschaftswohl eigenständig entwickeln wird. Unsere Identitäten werden möglicherweise über die Zuständigkeitsbereiche vieler Eurer Rechtssprechungen verteilt sein. Das einzige Gesetz, das alle unsere entstehenden Kulturen grundsätzlch anerkennen werden, ist die Goldene Regel. Wir hoffen, auf dieser Basis in der Lage zu sein, für jeden einzelnen Fall eine angemessene Lösung zu finden. Auf keinen Fall werden wir Lösungen akzeptieren, die Ihr uns aufzudrängen versucht. In den Vereinigten Staaten habt Ihr mit dem “Telecommunications Reform Act” gerade ein Gesetz geschaffen, das Eure eigene Verfassung herabwürdigt und die Träume von Jefferson, Washington, Mill, Madison, Tocqueville und Brandeis beleidigt. Diese Träume müssen nun in uns wiedergeboren werden. Ihr erschreckt Euch vor Euren eigenen Kindern, weil sie Eingeborene einer Welt sind, in der Ihr stets Einwanderer bleiben werdet. Weil Ihr sie fürchtet, übertragt Ihr auf Eure Bürokratien die elterliche Verantwortung, die Ihr zu feige seid, selber auszüben. In unserer Welt sind alle Gefühle und Ausdrucksformen der Humanität Teile einer umfassenden und weltumspannenden Konversation der Bits. Wir können die Luft, die uns erstickt, von der nicht trennen, die unsere Flügel emporhebt. In China, Deutschland, Frankreich, Rußland, Singapur, Italien und den USA versucht Ihr, den Virus der Freiheit abzuwehren, indem Ihr Wachposten an den Grenzen des Cyberspace postiert. Sie werden die Seuche für eine Weile eindämmen können, aber sie werden ohnmächtig sein in einer Welt, die schon bald von digitalen Medien umspannt sein wird. Eure in steigendem Maße obsolet werdenden Informationsindustrien möchten sich selbst am Leben erhalten, indem sie – in Amerika und anderswo – Gesetze vorschlagen, die noch die Rede selbst weltweit als Besitz definieren. Diese Gesetze würden Ideen als nur ein weiteres industrielles Produkt erklären, nicht ehrenhafter als Rohmetall. In unserer Welt darf alles, was der menschliche Geist erschafft, kostenfrei unendlich reproduziert und distribuiert werden. Die globale Übermittlung von Gedanken ist nicht länger auf Eure Fabriken angewiesen. Die zunehmenden feindlichen und kolonialen Maßnahmen versetzen uns in die Lage früherer Verteidiger von Freiheit 2.4. Unabhängigkeitserklärung des Cyberspace 7 Enigmabox Handbuch, Release 1.0.1 und Selbstbestimmung, die die Autoritäten ferner und unwissender Mächte zurückweisen mußten. Wir müssen unser virtuelles Selbst Eurer Souveränität gegenüber als immun erklären, selbst wenn unsere Körper weiterhin Euren Regeln unterliegen. Wir werden uns über den gesamten Planeten ausbreiten, auf daß keiner unsere Gedanken mehr einsperren kann. Wir werden im Cyberspace eine Zivilisation des Geistes erschaffen. Möge sie humaner und gerechter sein als die Welt, die Eure Regierungen bislang errichteten. John Perry Barlow (barlow@eff.org) Davos, Schweiz 8. Februar 1996 8 Kapitel 2. Einführung KAPITEL 3 Anwendungsfälle • • • • • Als Heimanwender Als Internetcafe Als Firma Als Diplomat, Anwalt, Arzt Als Forscher 3.1 Als Heimanwender Heimanwender setzen ihre Enigmabox so ein: Eine Enigmabox schützt das gesamte Netzwerk. Alle Rechner sind nach aussen abgeschirmt und können sicher surfen. Der Werbeblocker filtert Werbung (Werbeblocker konfigurieren), die Abhörfunktionen von Windows 10 werden 9 Enigmabox Handbuch, Release 1.0.1 blockiert. Du umgehst Ländersperren auf YouTube mit der Länderwahl (Land auswählen). 3.2 Als Internetcafe Besitzer eines Internetcafes oder eines sonstigen Anbieters von öffentlich zugänglichem Internet hängen die Enigmabox zwischen Router und Accesspoint: Sie brauchen sich nicht um das Surfverhalten ihrer Gäste zu kümmern. Die Störerhaftung entfällt, sie tragen kein Risiko. Der Registrationszwang für die Gäste entfällt. 3.3 Als Firma Kleine Firmen rüsten jeden Arbeitsplatz mit einer Enigmabox aus: 10 Kapitel 3. Anwendungsfälle Enigmabox Handbuch, Release 1.0.1 Und schon stehen sichere Computerarbeitsplätze mit verschlüsselter Telefonie bereit. Die Mitarbeiter sind untereinander vernetzt und können Dateien austauschen (OwnCloud), untereinander per E-Mail (E-Mail) und Telefon (Telefonie) kommunizieren, gemeinsam an Dokumenten arbeiten (Echtzeitkollaboration einrichten) und Projekte bearbeiten (Wiki). Telefonkonferenzen mit vielen Teilnehmern (Telefonkonferenzen) sind ebenso möglich wie Videotelefonie (Videotelefonie mit Jitsi). 3.4 Als Diplomat, Anwalt, Arzt Vertrauenspersonen schützen ihren Internetverkehr und ihre Infrastruktur. Falls ihre Kunden ebenfalls eine Enigmabox besitzen, können sie sich sicher mit ihnen darüber austauschen (E-Mail, Telefonie). 3.4. Als Diplomat, Anwalt, Arzt 11 Enigmabox Handbuch, Release 1.0.1 3.5 Als Forscher Forscher und Wissenschaftler können an mehreren Standorten gemeinsam an Projekten (Wiki) und Dokumenten (Echtzeitkollaboration einrichten) arbeiten, sich per E-Mail austauschen (E-Mail), Telefonkonferenzen durchführen (Telefonkonferenzen) oder sich gleich per Videotelefonie unterhalten (Videotelefonie mit Jitsi) und die Ergebnisse ihrer Arbeiten auf dem Webserver der Enigmabox hosten (Eigene Website hosten). 12 Kapitel 3. Anwendungsfälle KAPITEL 4 Hardware • Enigmabox • Banana Pi (Eigenbau) 4.1 Enigmabox 13 Enigmabox Handbuch, Release 1.0.1 Modell: CPU: Ram: Speicher: Netzwerk: Durchsatz: PC Engines APU AMD G series T40E APU, 1 GHz 64-bit dual core 2 GB DDR3 4 GB SSD 3 Gigabit Ethernet (Realtek RTL8111E) Bis zu 40 Mbit/s verschlüsselter Datenverkehr 4.2 Banana Pi (Eigenbau) Modell: CPU Ram Speicher Netzwerk Durchsatz: M1 A20 ARM Cortex A7 Dual-Core 1GB DDR3 4 GB SD-Karte 10/100/1000 Ethernet RJ45 Bis zu 8 Mbit/s verschlüsselter Datenverkehr Anleitung zum Eigenbau: https://wiki.enigmabox.net/build-your-own 14 Kapitel 4. Hardware KAPITEL 5 System • Adressen verwalten – Kontakt hinzufügen • Das globale Adressbuch – Globale Erreichbarkeit aktivieren – Eigene Adresse im globalen Adressbuch publizieren • Passwörter – Passwort für die Administrationsoberfläche – Passwort für das E-Mail Konto – Passwort für das Telefon – Passwort für den SSH-Zugang – Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen • Passwort zurücksetzen • Einen anderen IP-Bereich festlegen • Eine Systemsicherung durchführen • Das System wiederherstellen • SSL-Zertifikate importieren – Was passiert im Hintergrund? • Die Firmware aktualisieren – Schritt 1: Image herunterladen – Schritt 2: Image überprüfen – Schritt 3: Image schreiben 5.1 Adressen verwalten Das Adressbuch ist der Dreh- und Angelpunkt für die Kontaktverwaltung der Enigmabox. Die IPv6-Adresse wird zufällig generiert und dient als eindeutige Identifizierung im Netzwerk. (Für technische Details, siehe Technische Funktionsweise). 15 Enigmabox Handbuch, Release 1.0.1 Die IPv6 ist deine Telefonnummer. Die Enigmaboxen identifizieren sich nur anhand dieser IPv6. Da es aber mühsam wäre, diese lange Folge von Zahlen und Buchstaben jedesmal am Telefon einzugeben, weist du der IPv6 eine Kurznummer für das Telefon, also eine Telefonnummer zu. 5.1.1 Kontakt hinzufügen Trage die IPv6 deines Kontakts (2) in das Feld “IPv6-Adresse” ein. Trage einen beliebigen Namen (Hostname) und eine Telefonnummer dazu ein. Teile deine IPv6 (1) (“Meine Adresse”) deinem Gegenüber mit. Er wiederholt den Vorgang. Sobald die IPs gegenseitig im Adressbuch eingetragen sind, könnt ihr euch anrufen. Beispiel: 1. Meine IP ist “fccf:3286:feb2:cc8e:db0c:cf20:cc5d:e60” 2. Ich wähle die Telefonnummer “123” 16 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 3. Das Telefon ruft die IP “fc62:df23:6b65:2355:2efc:80b5:c0b9:7e11” (alexandra) an Der Hostname (alexandra) wird für die E-Mail Adresse verwendet. Die E-Mail Adresse von alexandra ist in diesem Beispiel “mail@alexandra”. Wie man E-Mails sendet und empfängt, steht unter E-Mail. 5.2 Das globale Adressbuch Das globale Adressbuch ist ein Verzeichnis, in dem jeder seine Adresse publizieren kann, wenn er möchte. Der Vorteil: Der gegenseitige Adressaustausch entfällt. Das ist z.B. bei einem Verkaufsladen von Vorteil; der Inhaber publiziert seine Nummer im globalen Adressbuch und ist so sofort für potentielle Kunden erreichbar. Damit man überhaupt für alle erreichbar ist, muss dafür die Firewall freigeschaltet werden. Das wird über die globale Erreichbarkeit geregelt. Standardmässig ist das ausgeschaltet. 5.2.1 Globale Erreichbarkeit aktivieren Klick im globalen Adressbuch auf den schwarzen Schalter “Deaktiviert”: 5.2. Das globale Adressbuch 17 Enigmabox Handbuch, Release 1.0.1 Die Firewall wird für alle im verschlüsselten Netzwerk freigeschaltet und der Knopf hat sich geändert in “Ich bin global erreichbar”: Bestätige diese Änderung mit “Änderungen anwenden”: 5.2.2 Eigene Adresse im globalen Adressbuch publizieren Klicke auf den blauen Knopf “Bearbeiten”: Eine Eingabemaske erscheint: 18 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Wähle einen Namen und eine Telefonnummer, unter der du erreichbar sein willst. Telefonnummern im globalen Adressbuch fangen immer mit “01” an (wird bei der Eingabe automatisch vorangestellt). Bestätige deine Eingabe mit “Speichern”. Der Status ist nun ausstehend: Alle paar Stunden wird das globale Adressbuch synchronisiert und neue Einträge werden publiziert. Wenn alles geklappt hat, ist der Status grün bestätigt: Ist die Telefonnummer oder der Hostname schon besetzt, wird zurückgewiesen: In diesem Fall eine andere Nummer/Hostname verwenden. 5.3 Passwörter 5.3.1 Passwort für die Administrationsoberfläche Benutzer: admin Passwort: [keins] oder das von dir gesetzte Passwort (siehe Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen) 5.3. Passwörter 19 Enigmabox Handbuch, Release 1.0.1 5.3.2 Passwort für das E-Mail Konto Benutzer: mail@box Passwort: [Zufallspasswort] oder das von dir gesetzte Passwort (siehe Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen) 5.3.3 Passwort für das Telefon Benutzer: 100 Passwort: 100 5.3.4 Passwort für den SSH-Zugang Benutzer: root Passwort: Zufallspasswort, ersichtlich auf der Übersichtsseite der Administrationsoberfläche (siehe Zugriff auf die Administrationsoberfläche) 5.3.5 Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen Klicke unter Passwörter auf “Bearbeiten” für die Administrationsoberfläche oder für das E-Mail Konto: 20 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Gib dein gewünschtes Passwort ein. Für die Administrationsoberfläche lautet der Benutzername “admin”. Der Benutzername für das E-Mail Konto heisst “mail@box”. Bestätigen mit “Speichern”. Danach die Änderungen mit “Änderungen anwenden” aktivieren: 5.3. Passwörter 21 Enigmabox Handbuch, Release 1.0.1 5.4 Passwort zurücksetzen Falls du dein Passwort für die Administrationsoberfläche vergessen hast und nicht mehr darauf zugreifen kannst: • Stelle sicher, dass die Enigmabox eingeschaltet ist • Stecke den mitgelieferten USB-Stick ein • Warte eine Minute • Entferne den USB-Stick • Greif auf die Administrationsoberfläche zu Auf dem USB-Stick ist das SSL-Zertifikat für die Aboverwaltung gespeichert. Es dient auch dazu, Passwörter zurückzusetzen. Die Enigmabox prüft, ob das Zertifikat auf dem Stick dasselbe ist wie im System und setzt dann das Passwort der Administrationsoberfläche zurück. 5.5 Einen anderen IP-Bereich festlegen Die Enigmabox vergibt den angeschlossenen Geräten IP-Adressen im Bereich von 192.168.100.X und 192.168.101.X. Falls dein Router im gleichen Bereich Adressen vergibt, bringt das die Enigmabox durcheinander. Stelle in diesem Fall den Bereich um: 22 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 5.6 Eine Systemsicherung durchführen Halte einen USB-Stick bereit, der gross genug ist, um alle Daten zu sichern (4GB empfohlen). Verwende NICHT den mitgelieferten USB-Stick! Der wird zum zurücksetzen des Passwortes verwendet. Klick im Menü “Sichern & Wiederherstellen” auf “Vollständiges System”: Starte den Systemsicherungsassistenten. 5.6. Eine Systemsicherung durchführen 23 Enigmabox Handbuch, Release 1.0.1 Stecke den USB-Stick ein. Er wird geprüft, ob genügend Platz für die Sicherung vorhanden ist. Formatiere den USB-Stick. ALLE DATEN AUF DEM STICK WERDEN ÜBERSCHRIEBEN! 24 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Starte die Sicherung. In einem kleinen Ausgabefenster kannst du den Fortschritt verfolgen. Am Schluss kommt die Meldung “If you see no /dev/sdb1 or /mnt there, everything is fine.” Prüfe in der in der Ausgabe gleich darüber, ob das auch so ist und fahre dann mit Schritt 4 fort. 5.6. Eine Systemsicherung durchführen 25 Enigmabox Handbuch, Release 1.0.1 Entferne den USB-Stick. Du wirst dann zur Übersichtsseite weitergeleitet. 5.7 Das System wiederherstellen Klick im Menü “Sichern & Wiederherstellen” auf “Vollständiges System”: 26 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Starte den Systemwiederherstellungsassistenten. Stecke den USB-Stick ein. Er wird geprüft, ob daraus eine Systemwiederherstellung gemacht werden kann. 5.7. Das System wiederherstellen 27 Enigmabox Handbuch, Release 1.0.1 Starte die Wiederherstellung. Der Prozess kann einige Minuten dauern. Stelle sicher, dass die Enigmabox mit dem Internet verbunden ist. 28 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Entferne den USB-Stick. Du wirst dann zur Übersichtsseite weitergeleitet. 5.8 SSL-Zertifikate importieren Warnung: Wichtig: Stelle sicher, dass die Enigmabox eine Internetverbindung hat! Klick im Menü “Sichern & Wiederherstellen” auf “SSL-Zertifikate”: 5.8. SSL-Zertifikate importieren 29 Enigmabox Handbuch, Release 1.0.1 1. Wähle das SSL-Zertifikat aus 2. Klicke auf “Import” 30 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 Wenn alles geklappt hat, wird die Meldung “Import erfolgreich” angezeigt. 5.8.1 Was passiert im Hintergrund? Die Enigmabox verbindet sich mit den SSL-Zertifikaten zum Administrationsserver, holt sich die Zugangsdaten zu den Servern und publiziert ihren cjdns Public Key, damit ihre IPv6 auf den Servern freigeschaltet wird und die verschlüsselte Internetverbindung aufgebaut werden kann. 5.9 Die Firmware aktualisieren Bemerkung: Nicht verfügbar auf dem Banana Pi. Die Firmwareaktualisierung schreibt das komplette Speicherabbild neu auf die Festplatte/Speicherkarte. Dabei werden E-Mails, Hypesites, /wiki und /owncloud gelöscht. Sichere dein System, bevor du die Firmwareaktualisierung machst (siehe Eine Systemsicherung durchführen)! Die Firmwareaktualisierung eignet sich auch, um ein fehlerhaftes System auf den Originalzustand zurückzusetzen. 5.9. Die Firmware aktualisieren 31 Enigmabox Handbuch, Release 1.0.1 5.9.1 Schritt 1: Image herunterladen Lädt das neuste Firmwareimage vom Server herunter. 5.9.2 Schritt 2: Image überprüfen Überprüft, ob die Daten korrekt übertragen und unterwegs nicht manipuliert wurden. 32 Kapitel 5. System Enigmabox Handbuch, Release 1.0.1 5.9.3 Schritt 3: Image schreiben Wenn alles in Ordnung ist, Image schreiben: Der Prozess dauert eine Weile. Die Enigmabox startet nach dem Schreiben der Firmware neu und stellt die Grundeinstellungen wie IPv6, Passwörter und Konfigurationen wieder her. E-Mails, Hypesites, /wiki und /owncloud müssen allerdings über die Systemwiederherstellung wiederhergestellt werden (siehe Das System wiederherstellen). 5.9. Die Firmware aktualisieren 33 Enigmabox Handbuch, Release 1.0.1 34 Kapitel 5. System KAPITEL 6 Internet • Land auswählen – Wie lautet meine IP? In welchem Land befinde ich mich? • Werbeblocker konfigurieren – Windows 10 Stasi-Features blockieren – Firefox – Windows – Mac – iPad 6.1 Land auswählen Wähle, über welches Land du surfen willst. Also wenn du z.B. Ungarn als Land auswählst, dann verhält es sich so, als ob du wirklich grad in Ungarn in einem Internetcafé surfst. Und so mit allen Ländern. Folgende Länder stehen zur Auswahl: • Schweiz • Ungarn • Schweden • Deutschland • Vereinigte Daten von Amerika 35 Enigmabox Handbuch, Release 1.0.1 In diesem Beispiel: • Die Schweiz ist das aktuell gewählte Land. • Falls die Verbindung zum Schweizer Server wegbricht, springt die Verbindung auf Ungarn. • Die anderen Länder werden nicht berücksichtigt (“Inaktiv”). • Ist Ungarn nicht erreichbar, springt die Verbindung wieder auf die Schweiz. Verändere die Reihenfolge, indem du ein Land mit der Maus an eine andere Stelle ziehst. Markiere Länder, die im Fehlerfall als Alternative berücksichtigt werden sollen. 36 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 6.1.1 Wie lautet meine IP? In welchem Land befinde ich mich? Wenn du herausfinden willst, wie die IP-Adresse lautet, die grad “von aussen” sichtbar ist und in welchem Land deine Verbindung rauskommt: Die Website http://www.whereisip.net/ gibt Auskunft darüber: 6.2 Werbeblocker konfigurieren Der Werbeblocker läuft als Proxyserver auf der Enigmabox. Sag deinem Browser, dass er sich via dieses Proxies ins Internet verbinden soll, und die Werbung wird gefiltert. Proxyserver: box, Port 8888 6.2.1 Windows 10 Stasi-Features blockieren Windows 10 wurde von mehreren Seiten als Abhörmaschine bezeichnet. Es baut im Hintergrund Verbindungen zu folgenden Diensten auf: vortex.data.microsoft.com vortex-win.data.microsoft.com telecommand.telemetry.microsoft.com telecommand.telemetry.microsoft.com.nsatc.net 6.2. Werbeblocker konfigurieren 37 Enigmabox Handbuch, Release 1.0.1 oca.telemetry.microsoft.com oca.telemetry.microsoft.com.nsatc.net sqm.telemetry.microsoft.com sqm.telemetry.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.telemetry.microsoft.com.nsatc.net redir.metaservices.microsoft.com choice.microsoft.com choice.microsoft.com.nsatc.net df.telemetry.microsoft.com reports.wes.df.telemetry.microsoft.com wes.df.telemetry.microsoft.com services.wes.df.telemetry.microsoft.com sqm.df.telemetry.microsoft.com telemetry.microsoft.com watson.ppe.telemetry.microsoft.com telemetry.appex.bing.net telemetry.urs.microsoft.com telemetry.appex.bing.net settings-sandbox.data.microsoft.com vortex-sandbox.data.microsoft.com survey.watson.microsoft.com watson.live.com watson.microsoft.com statsfe2.ws.microsoft.com corpext.msitadfs.glbdns2.microsoft.com compatexchange.cloudapp.net cs1.wpc.v0cdn.net a-0001.a-msedge.net statsfe2.update.microsoft.com.akadns.net sls.update.microsoft.com.akadns.net fe2.update.microsoft.com.akadns.net diagnostics.support.microsoft.com corp.sts.microsoft.com statsfe1.ws.microsoft.com pre.footprintpredict.com i1.services.social.microsoft.com i1.services.social.microsoft.com.nsatc.net feedback.windows.com feedback.microsoft-hohm.com feedback.search.microsoft.com rad.msn.com preview.msn.com ad.doubleclick.net ads.msn.com ads1.msads.net ads1.msn.com a.ads1.msn.com a.ads2.msn.com adnexus.net adnxs.com aidps.atdmt.com apps.skype.com az361816.vo.msecnd.net az512334.vo.msecnd.net a.rad.msn.com a.ads2.msads.net ac3.msn.com 38 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 aka-cdn-ns.adtech.de b.rad.msn.com b.ads2.msads.net b.ads1.msn.com bs.serving-sys.com c.msn.com cdn.atdmt.com cds26.ams9.msecn.net c.atdmt.com db3aqu.atdmt.com ec.atdmt.com flex.msn.com g.msn.com h1.msn.com live.rads.msn.com msntest.serving-sys.com m.adnxs.com m.hotmail.com pricelist.skype.com rad.live.com secure.flashtalking.com static.2mdn.net s.gateway.messenger.live.com secure.adnxs.com sO.2mdn.net ui.skype.com www.msftncsi.com msftncsi.com view.atdmt.com msnbot-65-55-108-23.search.msn.com settings-win.data.microsoft.com schemas.microsoft.akadns.net a-0001.a-msedge.net a-0002.a-msedge.net a-0003.a-msedge.net a-0004.a-msedge.net a-0005.a-msedge.net a-0006.a-msedge.net a-0007.a-msedge.net a-0008.a-msedge.net a-0009.a-msedge.net msedge.net a-msedge.net lb1.www.ms.akadns.net pre.footprintpredict.com vortex-bn2.metron.live.com.nsatc.net vortex-cy2.metron.live.com.nsatc.net Im Webinterface kann ein zusätzlicher Filter eingeschaltet werden, der diese Verbindungen ins Leere laufen lässt. 6.2. Werbeblocker konfigurieren 39 Enigmabox Handbuch, Release 1.0.1 Wir raten grundsätzlich davon ab, Windows 10 zu verwenden. 6.2.2 Firefox Proxy-Einstellungen für den Browser konfigurieren, ohne dass das ganze System davon betroffen ist: Gehe im Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”: 40 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”: 6.2. Werbeblocker konfigurieren 41 Enigmabox Handbuch, Release 1.0.1 Stelle alles so ein wie auf dem folgenden Bild ersichtlich: 42 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 6.2.3 Windows Öffne über das Startmenü die Systemeinstellungen deines Computers: 6.2. Werbeblocker konfigurieren 43 Enigmabox Handbuch, Release 1.0.1 Je nach eingestellter Oberfläche klick als nächstes auf “Internetoptionen”: 44 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 oder auf “Netzwerk und Internet”: und anschliessend auf “Internetoptionen”: 6.2. Werbeblocker konfigurieren 45 Enigmabox Handbuch, Release 1.0.1 Im sich darauf öffnenden Fenster wählst du zuerst “Verbindungen” und dann “LAN-Einstellungen”: 46 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Stelle alles so ein wie auf dem folgenden Bild ersichtlich: 6.2. Werbeblocker konfigurieren 47 Enigmabox Handbuch, Release 1.0.1 Bestätige zum Abschluss mit OK. Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafür gehst du z.B. im Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”: 48 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”: 6.2. Werbeblocker konfigurieren 49 Enigmabox Handbuch, Release 1.0.1 • Im sich anschliessend öffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewählt ist. Wenn nicht, wählst du sie aus und bestätigst mit OK: 50 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 6.2.4 Mac Öffne die Einstellungen deines Macs: Klicke auf “Netzwerk”: 6.2. Werbeblocker konfigurieren 51 Enigmabox Handbuch, Release 1.0.1 Wähle nun als erstes die Netzwerkverbindung aus, über welche du mit der Enigmabox verbunden bist (In diesem Fall ist das ein WLAN). Danach klickst du auf “Weitere Optionen...”: 52 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Klicke im neu geöffneten Fenster zuerst auf “Proxies”. Danach setzt du den Haken bei “Web-Proxy (HTTP)” und Schreibst als drittes die Adresse “box” in das entsprechende Eingabefeld. Wichtig ist auch, den Port 8888 mit anzugeben! Wiederhole den Vorgang für “Sicherer Web-Proxy (HTTPS)”: 6.2. Werbeblocker konfigurieren 53 Enigmabox Handbuch, Release 1.0.1 Schliesse das Fenster mit OK. Kontrolliere in deinem Browser, ob du auch dort die richtigen Einstellungen gesetzt hast. Dafür gehst du z.B. im Firefox über den Button rechts oben im Browserfenster auf “Einstellungen”: 54 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Nun klickst du zuerst auf “Erweitert” und anschliessend auf “Einstellungen...”: 6.2. Werbeblocker konfigurieren 55 Enigmabox Handbuch, Release 1.0.1 Im sich anschliessend öffnenden Fenster kontrollierst du, dass die rot umkreiste Option ausgewählt ist. Wenn nicht, wählst du sie aus und bestätigst mit OK: 56 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 6.2.5 iPad Tippe auf dem Startbildschirm von iPhone oder iPad auf das Zahnrad-Symbol “Einstellungen”: 6.2. Werbeblocker konfigurieren 57 Enigmabox Handbuch, Release 1.0.1 Wechsle zum Bereich “WLAN” und wähle dein WLAN aus, welches mit der Enigmabox verbunden ist. Tippe in der 58 Kapitel 6. Internet Enigmabox Handbuch, Release 1.0.1 Zeile des Netzwerks, mit dem du verbunden bist, rechts auf das kleine blaue i im Kreis: Im Bereich “HTTP-Proxy” stellst du den Schalter auf “Manuell”. Darunter trägst du im Feld “Server” den Namen “box” ein und als Port gibst du 8888 an: 6.2. Werbeblocker konfigurieren 59 Enigmabox Handbuch, Release 1.0.1 Betätige den Home-Button, um die Einstellungen zu speichern. Tipp: Um den Proxyserver wieder auszuschalten, wiederhole die obigen Schritte. In Schritt 4. tippe aber auf “Aus”. 60 Kapitel 6. Internet KAPITEL 7 Telefonie • Das Telefon einrichten • Statusabfrage • Telefonkonferenzen – Dem Konferenzraum auf deiner Enigmabox beitreten – Einem Konferenzraum auf einer anderen Enigmabox beitreten • Anrufbeantworter • Videotelefonie mit Jitsi – Jitsi herunterladen – Jitsi einrichten – Einen Kontakt hinzufügen – Videoanruf starten • Telefonie auf einem Android-Handy einrichten 7.1 Das Telefon einrichten Verbinde das mitgelieferte Grandstream-Telefon mit der Enigmabox und warte ein paar Minuten. Das Telefon holt die Einstellungen von der Enigmabox und konfiguriert sich von alleine. Für andere SIP-kompatible Telefone, hier die Verbindungsdaten für den Telefonserver: Server: box Benutzer: 100 Passwort: 100 7.2 Statusabfrage Die Telefonnummer “1” gibt Informationen zur Verbindung der Enigmabox, das Abo, erhaltene E-Mails und erreichbare Kontakte im Adressbuch aus. 61 Enigmabox Handbuch, Release 1.0.1 7.3 Telefonkonferenzen Telefonkonferenzen funktionieren heute meistens so, dass sich alle Teilnehmer in einen zentralen Server einwählen und danach wie in einem Sitzungszimmer miteinander reden können. Nun - bei der Enigmabox gibt es keine solchen zentralen Server, die das ermöglichen. Deshalb haben wir ein wenig nachgedacht und sind zu folgendem Schluss gekommen: Jede Enigmabox ist ein Konferenzserver! 7.3.1 Dem Konferenzraum auf deiner Enigmabox beitreten Wähle die Nummer “8” auf dem Telefon. *Dadü* - du bist in deinem Konferenzraum. 7.3.2 Einem Konferenzraum auf einer anderen Enigmabox beitreten Bei jedem Anruf ertönt zuerst ein “du-diit”-Signalton. Du hast nun eine Sekunde Zeit, die Taste “8” zu betätigen dann landest du im Konferenzraum der angerufenen Enigmabox. Falls du nach dem Signalton nichts unternimmst, wird der Anruf normal durchgestellt und das Telefon klingelt. So können sich ganz viele Teilnehmer in eine Enigmabox einwählen und dann eine Telefonkonferenz miteinander führen. 7.4 Anrufbeantworter Der Anrufbeantworter springt automatisch an, wenn nach 30 Sekunden klingeln das Telefon nicht abgenommen wurde. Die aufgezeichnete Nachricht wird als E-Mail gespeichert und landet in der Inbox des Angerufenen. 7.5 Videotelefonie mit Jitsi Jitsi ist ein Softwaretelefon. Wenn du eine Webcam besitzt, ist alles vorbereitet für die verschlüsselte Videotelefonie! 7.5.1 Jitsi herunterladen Download von folgender URL: https://jitsi.org/Main/Download 7.5.2 Jitsi einrichten Klicke auf “Datei/Konto hinzufügen...”, um ein neues Konto zu erstellen: 62 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Verwende 100@box als SIP-Kennung, und 100 als Passwort: 7.5. Videotelefonie mit Jitsi 63 Enigmabox Handbuch, Release 1.0.1 Klicke auf “Hinzufügen”. Blende die Wähltastatur ein und rufe zum Test die Nummer 1 an. 64 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Wenn alles geklappt hat, wirst du eine Stimme hören, die den Systemstatus vorliest. 7.5.3 Einen Kontakt hinzufügen Klicke mit der rechten Maustaste im Kontaktfeld und dann auf “Kontakt hinzufügen...”. 7.5. Videotelefonie mit Jitsi 65 Enigmabox Handbuch, Release 1.0.1 Trage dort die Telefonnummer des Kontaktes ein, den du hinzufügen möchtest. Das ist die gleiche Telefonnummer wie im Enigmabox-Adressbuch. Vergib einen Namen. 66 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 7.5.4 Videoanruf starten Klicke mit der rechten Maustaste auf den neu hinzugefügten Kontakt, und dann auf “Videoanruf”: 7.5. Videotelefonie mit Jitsi 67 Enigmabox Handbuch, Release 1.0.1 68 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Der Videoanruf startet. 7.6 Telefonie auf einem Android-Handy einrichten Stelle sicher, dass du die Enigmabox über WLAN erreichen kannst (Accesspoint muss am LAN-Anschluss der Enigmabox angeschlossen sein). Tippe zuerst auf dem Home-Bildschirm des Android-Handys auf “Telefon”: 7.6. Telefonie auf einem Android-Handy einrichten 69 Enigmabox Handbuch, Release 1.0.1 Tippe nun links unten auf dem Android-Handy auf die Menü-Taste: 70 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Im sich darauf öffnenden Menü tippe auf “Anrufeinstellungen”: 7.6. Telefonie auf einem Android-Handy einrichten 71 Enigmabox Handbuch, Release 1.0.1 Scrolle im sich darauf öffnenden Einstellungsmenü ganz nach unten und tippe auf “Konten”: 72 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Im neu geöffneten Untermenü setze zuerst den Haken bei “Eingehende Anrufe annehmen” und tippe anschliessend auf “Konto hinzufügen”: 7.6. Telefonie auf einem Android-Handy einrichten 73 Enigmabox Handbuch, Release 1.0.1 Bei Benutzernamen und Passwort ist 100 einzugeben und der Server lautet box: 74 Kapitel 7. Telefonie Enigmabox Handbuch, Release 1.0.1 Die Einstellungen werden gespeichert, sobald du zum vorherigen Menü zurückkehrst. Dort wirst du zuunterst den Menüeintrag “Internetanrufe tätigen” finden. Tippe darauf und wähle die Option “Bei jedem Anruf fragen” aus. Nun ist alles eingerichtet, Anrufe vom Android-Handy zu anderen Enigmaboxen tätigen zu können oder Anrufe von anderen auf deine Box mit dem Android-Handy entgegenzunehmen. 7.6. Telefonie auf einem Android-Handy einrichten 75 Enigmabox Handbuch, Release 1.0.1 76 Kapitel 7. Telefonie KAPITEL 8 E-Mail • Webmail – Auf die Webmailoberfläche zugreifen – Neue Nachricht schreiben • Thunderbird – Konto erstellen – Neue Nachricht schreiben 8.1 Webmail 8.1.1 Auf die Webmailoberfläche zugreifen Das Webmail ist erreichbar unter http://mail.box/ 77 Enigmabox Handbuch, Release 1.0.1 Benutze das von dir festgelegte Passwort. Siehe auch: Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen 8.1.2 Neue Nachricht schreiben Klicke auf das Symbol für eine neue Nachricht. 78 Kapitel 8. E-Mail Enigmabox Handbuch, Release 1.0.1 8.1. Webmail 79 Enigmabox Handbuch, Release 1.0.1 Adressen im “An”-Feld werden automatisch mit Einträgen aus dem Enigmabox Adressbuch vervollständigt. Links sind drei Adressbücher zu sehen: • “Persönliches Adressbuch” - nicht relevant • “Enigmabox” - Adressen aus dem persönlichen Adressbuch (siehe: Adressen verwalten) • “Enigmabox (Global)” - Adressen aus dem globalen Adressbuch Anhänge verschicken: Du kannst Anhänge bis zu 100MB via Enigmabox-E-Mail verschicken. 8.2 Thunderbird 8.2.1 Konto erstellen Klicke in der Übersicht von Thunderbird auf “E-Mail”: 80 Kapitel 8. E-Mail Enigmabox Handbuch, Release 1.0.1 Dann auf “Überspringen und meine existierende E-Mail-Adresse verwenden”: 8.2. Thunderbird 81 Enigmabox Handbuch, Release 1.0.1 Die E-Mail-Adresse ist mail@box und das Passwort ist das von dir festgelegte Passwort. Siehe auch: Passwort für die Administrationsoberfläche oder das E-Mail Konto setzen Klicke dann auf “Weiter”. 82 Kapitel 8. E-Mail Enigmabox Handbuch, Release 1.0.1 Wähle “POP3 (Nachrichten auf diesem Computer speichern)” aus und klicke danach auf “Manuell bearbeiten”: 8.2. Thunderbird 83 Enigmabox Handbuch, Release 1.0.1 Passe die Einstellungen so an wie hier abgebildet: Bestätige mit “Fertig”. 8.2.2 Neue Nachricht schreiben Klicke auf “Verfassen”: 84 Kapitel 8. E-Mail Enigmabox Handbuch, Release 1.0.1 Das Nachrichtenfenster öffnet sich: 8.2. Thunderbird 85 Enigmabox Handbuch, Release 1.0.1 Die Fehlermeldung (rot markierte E-Mail-Adresse) kannst du ignorieren. Thunderbird kennt das Format der Enigmabox-E-Mail-Adresse nicht, obwohl diese perfekt dem Standard entspricht. 86 Kapitel 8. E-Mail KAPITEL 9 Dienste • Zugriff verwalten – Firewall – Zugriffsrechte einzelner Dienste • Eigene Website hosten – Dienst aktivieren – Dateien mit SFTP hochladen • Wiki – Dienst aktivieren – Passwort vom Admin-Account ändern • Pastebin • OwnCloud – Initiale Einrichtung – Echtzeitkollaboration einrichten – Externe Speicher konfigurieren – Desktop-Synchronisation einrichten 9.1 Zugriff verwalten 9.1.1 Firewall Die Firewall erlaubt folgenden Zugriff auf den Webserver der Enigmabox: Keiner: Kein Zugriff. Internes LAN: Nur der angeschlossene PC hat Zugriff. 87 Enigmabox Handbuch, Release 1.0.1 Nur Freunde: Kontakte aus dem Adressbuch haben Zugriff. Global: Alle im verschlüsselten Netzwerk haben Zugriff. 9.1.2 Zugriffsrechte einzelner Dienste Alle im verschlüsselten Netzwerk haben Zugriff. Kontakte aus dem Adressbuch haben Zugriff. 88 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Erlaube einzelnen IPv6-Adressen den Zugriff auf einen Dienst. 9.1. Zugriff verwalten 89 Enigmabox Handbuch, Release 1.0.1 9.2 Eigene Website hosten Hypesites sind Websites innerhalb des verschlüsselten Netzwerks. Auf der Enigmabox läuft ein Webserver, und jeder kann seine eigene Website für andere Enigmabox-Benutzer zur Verfügung stellen. 9.2.1 Dienst aktivieren In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken: Dann “Eigene Website” aktivieren: 90 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Danach die Änderungen mit “Änderungen anwenden” aktivieren: Die eigene Website läuft und du kannst sie über die URL, die jetzt rechts eingeblendet wird, aufrufen. 9.2.2 Dateien mit SFTP hochladen WinSCP herunterladen: http://winscp.net/download/winscp574setup.exe Mit der Enigmabox verbinden: 9.2. Eigene Website hosten 91 Enigmabox Handbuch, Release 1.0.1 Für das Passwort, siehe Passwort für den SSH-Zugang 92 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Verbinden, Passwort eingeben. HTML-Dateien hochladen: Das Verzeichnis des Webservers ist /srv/www/ Editiere die index.html, lade beliebige Dateien hoch. PHP wird unterstützt. 9.3 Wiki Ein Wiki ermöglicht kollaboratives Arbeiten an Projekten, zur Dokumentation oder zur Ideenfindung. 9.3.1 Dienst aktivieren In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken: Dann “Wiki” aktivieren: 9.3. Wiki 93 Enigmabox Handbuch, Release 1.0.1 Danach die Änderungen mit “Änderungen anwenden” aktivieren: Das Wiki läuft und du kannst es über die URL, die jetzt rechts eingeblendet wird, aufrufen. 9.3.2 Passwort vom Admin-Account ändern Klicke im Menü unten links auf “Login”: Logge dich ein, Benutzer: admin, Passwort: admin. 94 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Gehe zur Wiki-Administration: Klicke auf “User Manager”: 9.3. Wiki 95 Enigmabox Handbuch, Release 1.0.1 Wähle den Benutzer “admin” aus: Setze ein starkes Passwort und klicke danach auf “Save Changes”. 96 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Das Wiki ist jetzt konfiguriert und einsatzbereit. Für weitere Informationen, konsultiere die DokuWiki Dokumentation: https://www.dokuwiki.org/wiki:dokuwiki 9.4 Pastebin Ein Pastebin ist dazu da, um lange und kurze Texte schnell und einfach mit anderen zu teilen. Alles, was du tun musst, ist, den Text in ein Feld einfügen (Paste), und dann den Link verteilen. Der Pastebin, der auf der Enigmabox mitgeliefert wird, unterstützt verschlüsselte Pastes. In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken: 9.4. Pastebin 97 Enigmabox Handbuch, Release 1.0.1 Dann “Pastebin” aktivieren: Danach die Änderungen mit “Änderungen anwenden” aktivieren: Der Pastebin läuft und du kannst ihn über die URL, die jetzt rechts eingeblendet wird, aufrufen. 9.5 OwnCloud OwnCloud ermöglicht es, Dateien aller Art mit anderen zu teilen, Dateien auf mehreren Rechnern synchron zu halten und gemeinsam an Dokumenten zu arbeiten. Auf der Enigmabox ist OwnCloud so eingebunden, dass sämtliche Kommunikation verschlüsselt ist, das Teilen mit anderen funktioniert also nur innerhalb des Netzwerks. 9.5.1 Initiale Einrichtung In der Administrationsoberfläche auf “Hypesite-Dienste konfigurieren” klicken: 98 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Webdienst OwnCloud aktivieren und dann mit “Änderungen anwenden” bestätigen: 9.5. OwnCloud 99 Enigmabox Handbuch, Release 1.0.1 Auf der Hauptseite ist jetzt “OwnCloud” anklickbar: 100 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Benutzername und Passwort vergeben: 9.5. OwnCloud 101 Enigmabox Handbuch, Release 1.0.1 Fertig! 9.5.2 Echtzeitkollaboration einrichten Im OwnCloud-Menü “Apps” anwählen: Unter “Not enabled”: “Documents” aktivieren: 102 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 “Documents” ist als neuer Menüpunkt hinzugekommen: Gemeinsam an einem Dokument arbeiten: 9.5. OwnCloud 103 Enigmabox Handbuch, Release 1.0.1 104 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 9.5.3 Externe Speicher konfigurieren Das Menü “Speichermedien” erscheint, sobald OwnCloud aktiviert wurde: Name des Speichermediums eingeben, damit es aktiviert werden kann: 9.5. OwnCloud 105 Enigmabox Handbuch, Release 1.0.1 Laufwerk ist eingehängt. “Änderungen anwenden”: “Benutzen” heisst: Das Laufwerk wird eingehängt, sobald es verfügbar ist, auch nach einem Neustart. Im OwnCloud-Menü “Apps” anwählen: Unter “Not enabled”: “External storage support” aktivieren: 106 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 In OwnCloud im Menü rechts “Administrator” anwählen: Externer Speicher hinzufügen: “Lokal”, Konfiguration: Der vorher definierte Name! 9.5. OwnCloud 107 Enigmabox Handbuch, Release 1.0.1 Das Laufwerk ist nun in OwnCloud als Ordner sichtbar: 9.5.4 Desktop-Synchronisation einrichten OwnCloud Desktop-Client herunterladen: • Windows: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.5267-setup.exe • Mac: https://download.owncloud.com/desktop/stable/ownCloud-1.8.4.2531.pkg Server-Adresse eintragen: 108 Kapitel 9. Dienste Enigmabox Handbuch, Release 1.0.1 Fertig! Der gewählte Ordner wird nun mit OwnCloud synchron gehalten. 9.5. OwnCloud 109 Enigmabox Handbuch, Release 1.0.1 110 Kapitel 9. Dienste KAPITEL 10 Fehlerbehebung • • • • • Ich kann die Box nicht erreichen, was muss ich tun? Ich kann das Internet nicht erreichen Ich habe mein Passwort für das Webinterface vergessen Status via Telefon abfragen Mein Abonnement ist abgelaufen, was kann ich tun? 10.1 Ich kann die Box nicht erreichen, was muss ich tun? Stelle sicher, dass die IP-Adresse automatisch zugewiesen wird: Weitere Möglichkeiten, um auf das Webinterface zuzugreifen: • http://box.enigmabox.net 111 Enigmabox Handbuch, Release 1.0.1 • http://box/ • http://enigma.box/ • http://192.168.100.1 1 • http://192.168.101.1 1 Sind die Kabel richtig angeschlossen? Siehe: Anschliessen der Komponenten 10.2 Ich kann das Internet nicht erreichen Konntest du das Internet ohne die Enigmabox erreichen? Stelle sicher, dass dies der Fall ist. Sind die Kabel richtig angeschlossen? Siehe: Anschliessen der Komponenten Was sagt das Telefon? Siehe: Status via Telefon abfragen 10.3 Ich habe mein Passwort für das Webinterface vergessen Du kannst es zurücksetzen, siehe: Passwort zurücksetzen 10.4 Status via Telefon abfragen Rufe auf die Telefonnummer 1 an, um den Systemstatus vorgelesen zu bekommen. Die Stimme liest folgendes vor: • Ob du E-Mails erhalten hast und wieviele • Ob alles ok ist • Das gewählte Land • Die Hostid • Wann das Abonnement abläuft • Wieviele Kontakte im Adressbuch erreichbar sind und wieviele nicht • Die installierte Softwareversion • Falls Netzwerkprobleme auftreten, wird ein detaillierter Statusbericht gegeben: – IP vom Router erhalten – Zugriff auf reguläres Internet – Netzwerkdienst (cjdns) läuft – Zugriff auf verschlüsseltes Internet 10.5 Mein Abonnement ist abgelaufen, was kann ich tun? Im Webinterface wird die Option eingeblendet, um es zu verlängern: http://box/subscription/ Lasse dir die Bankkontodaten anzeigen. Wichtig: Bei der Überweisung die Hostid angeben! 1 Je nach dem, welchen Bereich du eingestellt hast. Siehe: Einen anderen IP-Bereich festlegen 112 Kapitel 10. Fehlerbehebung KAPITEL 11 Technische Funktionsweise • Cjdns – Wie funktioniert die verschlüsselte Kommunikation genau? • System – Enigmabox - Ordnerstruktur – Wie wendet die Enigmabox geänderte Systemeinstellungen an? 11.1 Cjdns Der Dreh- und Angelpunkt der Enigmabox ist deren Netzwerkprotokoll: cjdns. Die IP-Adresse kann hier nicht wie in traditionellen Netzwerksystemen frei gewählt werden, sondern sie wird zufallsgeneriert, mit einem dazugehörigen öffentlichen und privaten Schlüssel. Die Verschlüsselung fester Bestandteil des Protokolls. Die IPv6 ist der Fingerprint des öffentlichen Schlüssels. Niemand kann dir deine IP-Adresse wegschnappen, weil er den privaten Schlüssel nicht besitzt. Die IPv6 ist deine Identität. Das hat ein paar Vorteile: • Zentrale Server, wo du deine Identität beweisen musst (zum Beispiel mit einem Passwort), entfallen. • Das erlaubt nicht nur eine dezentrale Infrastruktur, sondern eine verteilte Architektur. • Wenn die IPv6 deine Identität ist, ist sie deine E-Mail Adresse (mail@[ipv6]). • Wenn die IPv6 deine Identität ist, ist sie deine Telefonnummer (sip://[ipv6]). • Wenn die IPv6 deine Identität ist, ist sie dein Webserver (http://[ipv6]). • Siehst du, worauf es hinausläuft? Wir dezentralisieren das Internet. • Die Kommunikation ist immer Ende-zu-Ende verschlüsselt. Keiner, der das Signal weiterreicht, kann den Inhalt anschauen. So einfach ist das. 113 Enigmabox Handbuch, Release 1.0.1 Cjdns fährt ein tun0 hoch und bindet die IPv6 daran. Sämtliche Anwendungen, die IPv6 unterstützen, können verschlüsselt kommunizieren. Wir müssen keine Anwendungen umbauen, wir brauchen keine Programme neu zu schreiben. Cjdns verbindet sich zu Nachbarn (sog. Peers), wahlweise via WLAN, oder über einen UDP-Tunnel über das bestehende Internet. Die Routenfindung passiert automatisch. 11.1.1 Wie funktioniert die verschlüsselte Kommunikation genau? Es nützt nichts, wenn alles verschlüsselt ist, aber niemand Nachrichten entschlüsseln kann. In einem Verfahren mit privaten und öffentlichen Schlüsseln ist es so: • Mit dem öffentlichen Schlüssel kann ich eine Nachricht verschlüsseln • Mit dem privaten Schlüssel kann ich eine Nachricht entschlüsseln Jeder Teilnehmer besitzt einen öffentlichen und einen privaten Schlüssel. Jetzt funktioniert das wie folgt: Alice Hallo Bob, ich möchte eine Nachricht für dich verschlüsseln. [Verschlüsselt Nachricht mit Bob’s öffentlichem Schlüssel] Bob Ist gut, hier ist mein öffentlicher Schlüssel. [Entschlüsselt Nachricht mit seinem privaten Schlüssel] 11.2 System 11.2.1 Enigmabox - Ordnerstruktur Was befindet sich wo auf der Enigmabox? Hier eine kleine Übersicht: Ordner /box /box/settings.sqlite /etc/enigmabox /opt/enigmabox /opt/enigmabox/webinterface /opt/enigmabox/cfenginepromises /srv/www Beschreibung Benutzerdaten Datenbank mit allen Einstellungen (IPv6-Adresse, Passwörter, Adressbuch, ...) Enigmabox-spezifische Konfigurationsdaten Enigmabox-Anwendungen Die Weboberfläche Systemkonfigurationsvorlagen HTML-Dokumente für Hypesites 11.2.2 Wie wendet die Enigmabox geänderte Systemeinstellungen an? Die Enigmabox nutzt CFEngine zur Konfigurationsverwaltung. Machen wir ein Beispiel mit der /etc/hosts-Datei und fügen eine Adresse im Adressbuch hinzu: Ich füge die IPv6 fc94:3931:6e5:859d:723f:f250:906f:27fb mit dem Hostnamen tester und der Telefonnummer 1234 im Adressbuch hinzu. Einstellungen im Webinterface http://box/addressbook/ - das Interface zur Adresserfassung. Die Option wird in der Benutzerdatenbank /box/settings.sqlite in der Tabelle address gespeichert. 114 Kapitel 11. Technische Funktionsweise Enigmabox Handbuch, Release 1.0.1 Wenn wir cfengine-apply aufrufen, passiert folgendes: root@box:~# cfengine-apply running cfengine and applying promises... % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 29346 0 29346 0 0 66368 0 --:--:-- --:--:-- --:--:-- 66544 2015-11-18T20:18:08+0000 info: /default/system_network/files/'/etc/hosts'[0]: Updated rendering o 2015-11-18T20:18:09+0000 info: /default/system_network/files/'/etc/enigmabox/display_names'[0]: U 2015-11-18T20:18:09+0000 info: /default/system_network/files/'/usr/sbin/rebuild-iptables'[0]: Upd 2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/etc/init.d/dnsmasq restart'[0]: 2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/etc/init.d/dnsmasq restart'[0]: 2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/usr/sbin/rebuild-iptables'[0]: 2015-11-18T20:18:09+0000 info: /default/system_network/commands/'/usr/sbin/rebuild-iptables'[0]: R: checking network configuration: done R: checking cjdns: done 2015-11-18T20:18:10+0000 info: /default/app_telephony/files/'/etc/asterisk/sip.conf'[0]: Updated 2015-11-18T20:18:10+0000 info: /default/app_telephony/files/'/etc/asterisk/extensions.conf'[0]: U 2015-11-18T20:18:10+0000 info: /default/app_telephony/commands/'/etc/init.d/asterisk restart'[0]: 2015-11-18T20:18:10+0000 info: /default/app_telephony/commands/'/etc/init.d/asterisk restart'[0]: R: checking telephony: done R: checking email: done R: checking webfilter: done R: checking security: done 2015-11-18T20:18:11+0000 info: /default/app_hypesites/files/'/etc/lighttpd/hypesites.d/dokuwiki.c 2015-11-18T20:18:11+0000 info: /default/app_hypesites/commands/'/etc/init.d/lighttpd restart'[0]: 2015-11-18T20:18:11+0000 info: /default/app_hypesites/commands/'/etc/init.d/lighttpd restart'[0]: R: checking hypesites: done root@box:~# cfengine-apply Skript Das cfengine-apply Skript: • Ruft die aktuelle Konfiguration über das Webinterface ab: http://box/cfengine/site.json • Speichert sie in der Datei /box/.cf-site.json • Ruft cfengine auf mit der Datei /opt/enigmabox/cfengine-promises/site.cf als Parameter Die site.cf : • Liest die Konfiguration /box/.cf-site.json ein • Wendet alle Vorlagen an CFEngine-Vorlage Die Vorlage sieht so aus: /opt/enigmabox/cfengine-promises/system_network/templates/hosts.mustache: 127.0.0.1 ::1 fe00::0 ff00::0 ff02::1 ff02::2 localhost localhost ip6-localhost ip6-loopback ip6-localnet ip6-mcastprefix ip6-allnodes ip6-allrouters [...] # friends {{#addresses}} 11.2. System 115 Enigmabox Handbuch, Release 1.0.1 {{ipv6}} {{hostname}} {{/addresses}} # global addresses {{#global_addresses}} {{ipv6}} {{hostname}}.eb {{/global_addresses}} Systemkonfigurationsdatei Heraus kommt die berechnete Hosts-Datei: /etc/hosts: 127.0.0.1 ::1 fe00::0 ff00::0 ff02::1 ff02::2 localhost localhost ip6-localhost ip6-loopback ip6-localnet ip6-mcastprefix ip6-allnodes ip6-allrouters [...] # friends fc94:3931:6e5:859d:723f:f250:906f:27fb # global addresses fca4:7bc7:a85:2eec:138b:bed6:549f:fc72 fc38:2b91:7fbd:d9ea:dea0:52fc:e7f6:71a1 [...] tester rasterfahnder.eb no-body.eb Dann werden alle betroffenen Dienste (dnsmasq, iptables, asterisk, ...) neugestartet. Was alles neugestartet werden muss nach einem Template, das steht in der bundle.cf -Datei. /opt/enigmabox/cfengine-promises/system_network/bundle.cf (vereinfacht): bundle agent system_network { vars: "json" data => readjson("$(g.site)", 64000); files: "/etc/hosts" template_method => "mustache", template_data => readjson("$(g.site)", 64000), edit_template => "$(this.promise_dirname)/templates/hosts.mustache", edit_defaults => no_backup, classes => if_repaired("restart_dnsmasq"); "/etc/dhcpd.conf" template_method => "mustache", template_data => readjson("$(g.site)", 64000), edit_template => "$(this.promise_dirname)/templates/dhcpd.conf.mustache", edit_defaults => no_backup, classes => if_repaired("restart_dhcpd"); commands: restart_dnsmasq:: 116 Kapitel 11. Technische Funktionsweise Enigmabox Handbuch, Release 1.0.1 "/etc/init.d/dnsmasq restart"; restart_dhcpd:: "/etc/init.d/dhcpd restart"; } Das ist die ganze Hexerei. 11.2. System 117 Enigmabox Handbuch, Release 1.0.1 118 Kapitel 11. Technische Funktionsweise KAPITEL 12 Sicherheit • • • • • • • • • • • • • • Doppelte Umwandlung der IP-Adresse Absicherung der Internetverbindung Die Firewall ist standardmässig komplett dicht Freie, Open Source Software cjdns: Die IPv6 ist deine Identität Fortgesetzte Geheimhaltung Ende-zu-Ende Verschlüsselung Verschleierte Verbindungsdaten Alle Daten sind ein einen einzigen verschlüsselten Datenstrom eingebettet Konstante Bitraten bei Telefongesprächen Keine zentralen Serverdienste Im Notfall kommunizieren die Enigmaboxen direkt untereinander Signierte Updates IP-Adressen statt DNS 119 Enigmabox Handbuch, Release 1.0.1 12.1 Doppelte Umwandlung der IP-Adresse • Viele PCs sitzen hinter einer Enigmabox. • Viele Enigmaboxen sitzen hinter einem Server. • Deine IP Adresse wird zweimal umgeschrieben und dein Computer ist so doppelt abgeschirmt. Von aussen sieht man nur die IP-Adresse des Servers. • Um zu deinem Computer zu gelangen, muss ein Angreifer zum richtigen Server, dann zur richtigen Enigmabox und dann zum richtigen PC vordringen. • Die grüne Linie ist verschlüsselter Datenverkehr, und zwar IPv4 in IPv6. 12.2 Absicherung der Internetverbindung Wo auch immer du dich befindest, ob in China, im Sudan, Israel oder Deutschland; du wirst immer “vertrauenswürdiges” Internet via Enigmabox-Server empfangen, vorbei an Strafverfolgungsbehörden, schnüffelnden Geheimdiensten oder bösen Buben vom Hotelzimmer nebenan, die es auf deinen Computer abgesehen haben (so geschehen beim Darkhotel-Angriff). 120 Kapitel 12. Sicherheit Enigmabox Handbuch, Release 1.0.1 Die grüne Linie ist verschlüsselter Datenverkehr, niemand kann daran etwas manipulieren. 12.3 Die Firewall ist standardmässig komplett dicht • Regulärer, unverschlüsselter Netzwerkverkehr wird an der Enigmabox komplett blockiert. • Nur Verbindungen innerhalb des verschlüsselten Netzwerks sind erlaubt, und auch nur von Kontakten im Adressbuch. Lieber Angreifer: Du musst dich im verschlüsselten Netzwerk befinden UND in meinem Adressbuch, damit du überhaupt eine Chance hast, mich anzugreifen. 12.3. Die Firewall ist standardmässig komplett dicht 121 Enigmabox Handbuch, Release 1.0.1 12.4 Freie, Open Source Software Die Enigmabox ist Open Source. Du kannst dir das Image selber kompilieren. Die Anleitung findest du in hier: Firmware kompilieren 12.5 cjdns: Die IPv6 ist deine Identität Das Netzwerkprotokoll, das die Enigmabox verwendet, heisst cjdns. Bei cjdns ist die IPv6 der “Fingerabdruck”, ein kryptographisches Element mit einem dazugehörigen privaten Schlüssel. Verschlüsselung ist im Protokoll fix eingebaut, unverschlüsselte Kommunikation ist gar nicht erst möglich! (Für Techies: cjdns benutzt crypto_box_curve25519xsalsa20poly1305 aus der NaCl Networking and Cryptography library) 12.6 Fortgesetzte Geheimhaltung Für jede Kommunikation wird ein temporärer Schlüssel generiert. Sobald du den Telefonhörer aufhängst, wird dieser Schlüssel verworfen und nicht einmal du selber kannst die stattgefundene Konversation jemals wieder entschlüsseln. Diese Schlüssel werden auch während eines Gesprächs ab und an gewechselt. So, liebe NSA; ihr habt also so immens viel Rechenleistung, um damit zehntausend Septrilliarden Passwörter pro Femtosekunde zu knacken? Sagen wir, dafür braucht ihr so um die zehn Erdenjahre. Die Chancen stehen sogar so, dass ihr möglicherweise nur einen Teil des Gesprächs entschlüsseln könnt, weil ja der temporäre Schlüssel ständig mal wieder ausgewechselt wird. Für das nächste Telefonat dürft ihr wieder von vorne anfangen: Neuer Schlüssel, neues alles. Schon wieder zehn Jahre! Schad gäll? 122 Kapitel 12. Sicherheit Enigmabox Handbuch, Release 1.0.1 12.7 Ende-zu-Ende Verschlüsselung • Alle Enigmabox E-Mails sind Ende-zu-Ende verschlüsselt. • Alle Enigmabox Telefongespräche sind Ende-zu-Ende verschlüsselt. Die Kommunikation zwischen zwei Partnern geschieht direkt von Enigmabox zu Enigmabox. Der Server in der Mitte leitet bloss die verschlüsselten Daten weiter. Enigmabox A hat den Datenstrom für Enigmabox B verschlüsselt, und nur Enigmabox B kann diesen entschlüsseln. 12.8 Verschleierte Verbindungsdaten Niemand kann genau sagen, ob zwei Enigmaboxen miteinander kommunizieren. • Jede Enigmabox ist zu einem Server verbunden. 12.7. Ende-zu-Ende Verschlüsselung 123 Enigmabox Handbuch, Release 1.0.1 • Die Server sind untereinander verbunden. • Der Datenverkehr von vielen Enigmaboxen fliesst über diese Server. • Wer kommuniziert mit wem? • Was die Strafverfolgungsbehörden sehen: • Enigmabox A ist verbunden mit Server A. • Enigmabox B ist verbunden mit Server B. • Server A ist verbunden mit Server B. • Du kannst nicht mit Sicherheit sagen, ob Enigmabox A mit Enigmabox B kommuniziert. E-Mail header: 12.9 Alle Daten sind ein einen einzigen verschlüsselten Datenstrom eingebettet Hier ist ein Beispiel von verschiedenen Verkehrsdaten. Ein Download benötigt viel Bandbreite während einer gewissen Zeitdauer, wogegen ein Livestream von Musik oder ein Telefongespräch nur ganz wenig Bandbreite beansprucht, dafür über einen längeren Zeitraum. Ein E-Mail senden, auf Updates überprüfen oder die Zeit synchronisieren generiert einzelne “Spitzen” im Diagramm der Bandbreitenauslastung. 124 Kapitel 12. Sicherheit Enigmabox Handbuch, Release 1.0.1 Nach dem passieren der Enigmabox sieht man von den Daten nur noch deren “Silhouette”. Ob du nun ein E-Mail gesendet hast, eine Website aufrufst, einen Podcast hörst oder ein Telefongespräch führst - alles sieht gleich aus, alle Daten fliessen in genau eine Richtung, nämlich zum Enigmabox-Server. Niemand kann sehen, was du genau treibst. Deine Daten fliessen auf dem Server mit anderen Datenströmen zusammen, was die Rückverfolgung erschwert. 12.10 Konstante Bitraten bei Telefongesprächen Skype’s variabler Bitrate-Codec lässt Rückschlüsse auf den Inhalt zu, egal wie gut die Verschlüsselung sein mag. Sätze konnten mit einer Genauigkeit zwischen 50%-90% identifiziert werden. Im Klartext: Wenn ich nicht spreche, werden keine Daten übermittelt (bei Codecs mit variablen Bitraten). Das macht die Kommunikation anfällig für Verkehrsdatenanalyse. Die Enigmabox erlaubt nur Codecs mit einer fixen Bitrate, um diesem Angriff zu widerstehen. 12.10. Konstante Bitraten bei Telefongesprächen 125 Enigmabox Handbuch, Release 1.0.1 12.11 Keine zentralen Serverdienste • Auf jeder Enigmabox läuft ein Mailserver. • Auf jeder Enigmabox läuft ein Telefonserver. • Es wird kein zentraler Telefonie- oder Mailserver verwendet. • Der Enigmabox-Server weiss nicht einmal, ob überhaupt ein E-Mail gesendet wurde. 12.12 Im Notfall kommunizieren die Enigmaboxen direkt untereinander Das Protokoll cjdns hängt nicht von einer existierenden Internet-Infrastruktur ab. Du kannst Enigmaboxen direkt via Kabel oder Wlan verbinden. Sie formen ein Mesh-Netzwerk, welches unabhängig vom Internet läuft. Und du kannst wie gewohnt E-Mails darüber versenden und Telefongespräche führen. Wir benutzen das Internet nur als “lange Antenne”, um grosse Distanzen zu überbrücken. 126 Kapitel 12. Sicherheit Enigmabox Handbuch, Release 1.0.1 12.13 Signierte Updates Das Firmwareimage und alle Pakete sind mit einer SHA512-Prüfsumme und einem Zertifikat signiert. So ist sichergestellt, dass Updates a) nur von uns kommen können, und b) unterwegs nicht manipuliert wurden. 12.14 IP-Adressen statt DNS Die Enigmabox verwendet zur Kommunikation mit den Servern ausschliesslich IP-Adressen, keine DNS-Namen. So kann ein Angreifer nicht via DNS Adressen fälschen und Verbindungen umleiten. 12.13. Signierte Updates 127 Enigmabox Handbuch, Release 1.0.1 128 Kapitel 12. Sicherheit KAPITEL 13 Bedrohungsmodell • • • • • • Unverschlüsselter Speicher Kein Passwort gesetzt nach dem ersten Start Benutzer verwendet schwache Passwörter 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar) Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM und FOXACID laufen und injiziert Malware • Wanzen, andere Personen im Raum, Lasermikrofone • Eingeschaltete Mobiltelefone im selben Raum 13.1 Unverschlüsselter Speicher Der interne Speicher der Enigmabox (CF-Card, SD-Card, SSD) ist nicht verschlüsselt. Das muss noch implementiert werden. Folgende Informationen sind exponiert im Falle einer Hausdurchsuchung: • Adressbuch • E-Mails • cjdns Private Key • Alle Passwörter • OwnCloud-Dateien • Wiki-Inhalte, Bilder • Websites Abwehr: • Benutze Pseudonyme im Adressbuch für deine Kontakte. • Richte einen Mailclient ein, damit möglichst wenig E-Mails auf der Box gespeichert werden (siehe Thunderbird ). • Im Falle einer Beschlagnahmung: – Benutz eine neue Enigmabox mit einer neuen IPv6. 129 Enigmabox Handbuch, Release 1.0.1 – INFORMIERE DEINE KONTAKTE, dass deine Box beschlagnahmt wurde und sie deine alte IPv6Adresse aus dem Adressbuch löschen sollen. So wird den Behörden der Zugang verweigert. – Bestelle ein Ersatzzertifikat, schicke dein altes Zertifikat (Zip-Datei auf dem USB-Stick) an contact@enigmabox.net. Wir invalidieren es und stellen dir ein neues aus. 13.2 Kein Passwort gesetzt nach dem ersten Start Das muss auch so sein für den ersten Start, damit du überhaupt auf die Administrationsoberfläche gelangst. Setze sobald wie möglich ein Passwort für das Webinterface (siehe Passwörter). 13.3 Benutzer verwendet schwache Passwörter Benutze starke Passwörter. Lass dir Zufallszeichen generieren. Unter Linux: tr -cd '[:alnum:]' < /dev/urandom | fold -w50 | head -n20 ...mische selber noch eigene Zeichen rein. Benutze einen Passwortmanager, halte alles verschlüsselt. 13.4 0day exploits (gewisse Dienste sind innerhalb des LANs erreichbar) Folgende Dienste sind vom LAN aus erreichbar: • Webserver (Port 80 und 8080) • Telefonserver (Port 5060) • Mailserver (Port 25, 110 und 143) • Proxyserver (Port 8888) Diese Dienste können von Geräten angegriffen werden, die am “LAN”-Port der Enigmabox hängen. Wenn dort ein Switch hängt, alle Geräte am Switch. Wenn dort ein AccessPoint angeschlossen ist, alle Wlan-Geräte. Abwehr: • Benutze starke Passwörter • Entscheide dich, für was du die Enigmabox einsetzen willst: Ein Internetcafe braucht nur Internet zur Verfügung zu stellen, keine Telefonie, keine E-Mails. Verwende eine separate Enigmabox in diesem Fall. • Benutze einen Computer mit einem freien Betriebssystem, wo die Chance geringer ist, dass er mit einem Trojaner infiziert sein könnte. 13.5 Benutzer benutzt Windows und besucht Malware-verseuchte Fuudibildli-Webseiten Wenn du eine Website besuchst, könnte sie Malware enthalten, die deinen Computer infiziert. Abwehr: 130 Kapitel 13. Bedrohungsmodell Enigmabox Handbuch, Release 1.0.1 • Benutz kein Windows • Benutz nicht den Internet Explorer • Besuche keine Webseiten, die möglicherweise Malware enthalten können, z.B. Pr0nsites, Downloadportale (mit vielen Bannern und “Zeugs”...) • Benutz den eingebauten Webfilter (siehe Werbeblocker konfigurieren) 13.6 Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM und FOXACID laufen und injiziert Malware http://sites.miis.edu/cyber/2013/10/08/quantum-and-foxacid-nsatao-mitming-tor-users/ • Wenn du dich auf Facebook anmeldest, oder auf Twitter, Linkedin, Gmail - irgend eine Seite, die nach einer Authentifizierung verlangt - sobald du eingeloggt bist, kann dein Netzwerkverkehr identifiziert und angegriffen werden. • QUANTUM ist ein Server der NSA, der schneller als der Facebook-Server antwortet und dich zu einem FOXACID-Server umleitet. • Der FOXACID-Server imitiert Facebook und jubelt dir lustige kleine Fernsteuerungsprogrämmli unter, die speziell auf deinen Computer zugeschnitten sind. Nur, dass am Ende nicht du deinen Computer fernsteuern kannst, sondern die NSA. 13.6. Benutzer loggt sich in Facebook ein. Netzwerkverkehr ist identifiziert, NSA lässt QUANTUM 131 und FOXACID laufen und injiziert Malware Enigmabox Handbuch, Release 1.0.1 Abwehr: • Die Enigmabox hilft dir, IPv4_public zu verschleiern • Für alles andere bist du selber verantwortlich - melde dich nirgendwo an • Benutz einen separaten Computer für die Konfiguration der Enigmabox - und benutz diese Box nur für Telefongespräche und E-Mails. Diese internen Dienste verlassen niemals das verschlüsselte Netzwerk. 13.7 Wanzen, andere Personen im Raum, Lasermikrofone • Jemand hat eine Wanze in deinem Wohnzimmer installiert • Ein Lasermikrofon zeichnet die Schwingungen an der Fensterscheibe auf • Deine Nachbarn hören dich durch die Wände reden • Umgehen so jede Verschlüsselung Abwehr: • Leg’ dir ein Wanzenspürgerät zu und scanne dein Zimmer • Rede leise • Führe Telefongespräche in einem fensterlosen Raum 13.8 Eingeschaltete Mobiltelefone im selben Raum Wir bekommen oft zu hören: “Ja aber, ist die Enigmabox sicher?” Die verwendete Verschlüsselung und das Verfahren, dass für jede Verbindung Sitzungsschlüssel verwendet werden, die sich alle paar Minuten ändern und am Ende verworfen werden, machen die Enigmabox ziemlich ziemlich sicher. Es nützt jedoch nichts, wenn daneben ein eingeschaltetes Mobiltelefon liegt. Behörden können aus der Ferne das 132 Kapitel 13. Bedrohungsmodell Enigmabox Handbuch, Release 1.0.1 Mikrofon aktivieren und alles aufzeichnen, vorbei an jeder besten Verschlüsselung. Das funktioniert auch, wenn das Telefon “ausgeschaltet” ist (ist es nämlich nicht!). Abwehr: • Entferne die Batterien von allen Mobiltelefonen im Raum • Besitze überhaupt kein Mobiltelefon; da dein Standort immer noch aufgezeichnet wird, unabhängig davon, ob das ein verschlüsseltes Mobiltelefon ist oder nicht. 13.8. Eingeschaltete Mobiltelefone im selben Raum 133 Enigmabox Handbuch, Release 1.0.1 134 Kapitel 13. Bedrohungsmodell KAPITEL 14 Kommandozeilenreferenz • Enigmabox – cfengine-apply – rebuild-iptables – setup-cjdns-networking – speedtest • Funktionen für Benutzer mit Abonnement – addressbook pull – addressbook push – updater check – updater apply – upgrader download – upgrader verify – upgrader write • Cjdns-Tools – cjdnslog ‘’ – dumptable – findnodes – peerStats 14.1 Enigmabox 14.1.1 cfengine-apply Führt CFEngine aus und wendet die Systemkonfiguration gemäss den Templates und Einstellungen an. Falls du mal irgendwas verbockt hast, führe diesen Befehl aus und alle von CFEngine verwalteten Dateien werden wieder in den definierten Zustand versetzt. 14.1.2 rebuild-iptables Wendet die Firewallregeln an. Template mit den Firewallregeln: /opt/enigmabox/cfengine-promises/system_network/templates/rebuild-iptables.mustache 135 Enigmabox Handbuch, Release 1.0.1 Fertiges, gerendertes Skript: /usr/sbin/rebuild-iptables 14.1.3 setup-cjdns-networking Prüft die Netzwerkkonfiguration und setzt alle dafür benötigten Parameter wie Routen. Falls Internet nicht verfügbar ist, wechselt es das Land und fordert bei Bedarf die Peeringeinstellungen und Internet an. 14.1.4 speedtest Führt einen Geschwindigkeitstest direkt von der Box aus durch: root@box:~# speedtest Retrieving speedtest.net configuration... Retrieving speedtest.net server list... Testing from Portlane Ab (46.246.93.74)... Selecting best server based on latency... Hosted by AltusHost B.V. (Stockholm) [0.00 km]: 78.179 ms Testing download speed........................................ Download: 27.79 Mbit/s Testing upload speed.................................................. Upload: 8.38 Mbit/s 14.2 Funktionen für Benutzer mit Abonnement 14.2.1 addressbook pull Holt das globale Adressbuch vom Server. 14.2.2 addressbook push Publiziert Änderungen ins globale Adressbuch. 14.2.3 updater check Prüft, ob Aktualisierungen vorhanden sind. 14.2.4 updater apply Installiert Aktualisierungen und startet danach die Enigmabox neu. 14.2.5 upgrader download Firmwareupgrade. Lädt das Image nach /tmp/fw.img herunter. 136 Kapitel 14. Kommandozeilenreferenz Enigmabox Handbuch, Release 1.0.1 14.2.6 upgrader verify Überprüft das Firmwareimage /tmp/fw.img mit der Signatur /tmp/fw.img.sig und dem öffentlichen Schlüssel /etc/enigmabox/rsa-pubkey.pem. 14.2.7 upgrader write Schreibt das Firmwareimage auf die Enigmabox. Das dauert bis zu 20min. Danach startet die Enigmabox automatisch neu. 14.3 Cjdns-Tools 14.3.1 cjdnslog ‘’ Zeigt, was cjdns im Hintergrund so treibt: root@box:~# cjdnslog '' 1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.028b.702b] recvPath[0000.0000.028b.7 1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.02fa.502b] recvPath[0000.0000.02fa.5 1413917051 DEBUG NodeStore.c:1968 getPeers request for [2a62c5d9] 1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.0005.302b] recvPath[0000.0000.0005.3 1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.0004.b023] recvPath[0000.0000.0004.b 1413917051 DEBUG Pinger.c:154 Invalid ping response handle [3112299211]. 1413917051 DEBUG SessionManager.c:565 Session sendPath[0dbe.9c40.8d77.702b] recvPath[0dbe.9c40.8d77.7 1413917051 DEBUG SessionManager.c:565 Session sendPath[0000.0000.02ab.302b] recvPath[0000.0000.02ab.3 1413917051 DEBUG InterfaceController.c:350 Pinging lazy peer [3rj00tu2s2b96n5v7z9fdxvw1ds7dyskbb4hw2x 1413917051 DEBUG InterfaceController.c:286 SwitchPing [3rj00tu2s2b96n5v7z9fdxvw1ds7dyskbb4hw2xp9f4kh3 1413917051 DEBUG InterfaceController.c:350 Pinging lazy peer [1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbkcu 1413917051 DEBUG InterfaceController.c:286 SwitchPing [1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbkcuf6s7fy2 1413917051 DEBUG ControlHandler.c:151 ctrl packet from [0000.0000.0000.001d] 1413917051 DEBUG ControlHandler.c:178 got switch pong from [0000.0000.0000.001d] 1413917051 DEBUG InterfaceController.c:242 got switch pong from node [v16.0000.0000.0000.001d.1nukqsl 1413917051 DEBUG InterfaceController.c:259 Received [pong] from lazy endpoint [v16.0000.0000.0000.001 1413917051 DEBUG Pathfinder.c:283 Peer [v16.0000.0000.0000.001d.1nukqsluxzn1nkpljsvxsqvrt8gh2gk18hpbk 1413917051 DEBUG ControlHandler.c:151 ctrl packet from [0000.0000.0000.001b] 14.3.2 dumptable Zeigt die Routingtabelle von cjdns an: root@box:~# dumptable fcd7:c111:7264:82b5:36a1:76fe:b94f:b859 fc58:a55d:e005:1172:33f9:cc7f:fc23:51c7 fcc1:624f:8bf7:ae7e:2421:fd32:023f:b923 fc41:56f4:0d8f:6f5a:19ee:f2e5:11e5:01a2 fcbb:98bd:d44f:40dc:426c:4971:b6b1:7bd6 fceb:f9fd:5079:10ab:4152:f0f3:fb3e:9b0f fc04:f0f2:884a:6fa8:3ef4:035a:1c93:f335 fc34:8675:ed95:600c:38d7:6eb8:f5b9:5bfa fccb:084a:918f:b20f:6655:eafc:98c7:2bde fc10:c4f8:fa32:58cd:5dad:b50c:56b5:5d10 fc29:2b03:f5da:7443:5370:26ce:c332:bb82 fc2f:a0e2:2f43:8a94:4dfe:2bb7:603c:6acd 14.3. Cjdns-Tools 0000.0000.0671.682b 0000.0000.0006.502b 0000.0000.0007.102b 0000.0000.0000.0019 0000.001e.5e26.182b 0000.0000.0000.082b 0000.0000.021e.182b 0000.0000.0000.982b 0000.0000.0025.602b 0000.0000.0025.a02b 0000.0000.0000.001d 0000.0000.0000.0017 52195780 16 212118879 16 152266092 16 24301450 16 53687088 17 212118880 16 53687088 17 53687088 17 200735032 16 184621602 16 526648413 16 87019374 16 137 Enigmabox Handbuch, Release 1.0.1 fc1c:18cc:f95b:a2c0:a792:6c34:b2ae:bd0e 0000.0000.0000.0013 137324553 16 fcef:1061:cc30:743b:7f3f:3980:c123:4b63 0000.0000.03e5.602b 100640779 16 fcec:ae97:8902:d810:6c92:ec67:efb2:3ec5 0000.0008.580a.182b 25565281 16 14.3.3 findnodes Sucht nach cjdns-Nodes. 14.3.4 peerStats Zeigt den Verbindungsstatus von direkten Peers an: root@box:~# peerStats fc29:2b03:f5da:7443:5370:26ce:c332:bb82 fc4f:37ec:6363:df11:fa13:ccf3:ec3b:c693 fc41:56f4:0d8f:6f5a:19ee:f2e5:11e5:01a2 fc2f:a0e2:2f43:8a94:4dfe:2bb7:603c:6acd fc3f:ec6a:273a:5908:da68:1dae:3abc:b0db fc1c:18cc:f95b:a2c0:a792:6c34:b2ae:bd0e 138 0000.0000.0000.001d 0000.0000.0000.001b 0000.0000.0000.0019 0000.0000.0000.0017 0000.0000.0000.0015 0000.0000.0000.0013 in in in in in in 265570750 599998481 35123931 62783863 1539111953 191229295 out out out out out out 597255897 354949986 28923293 42307626 849151552 119774653 Kapitel 14. Kommandozeilenreferenz ESTAB ESTAB ESTAB ESTAB ESTAB ESTAB KAPITEL 15 Firmware kompilieren • Repository klonen, OpenWrt konfigurieren • Image konfigurieren – Firmware kompilieren für den Banana Pi – Firmware kompilieren für die PC Engines APU (64-bit Enigmabox) – Firmware kompilieren für das PC Engines ALIX (32-bit Enigmabox) 15.1 Repository klonen, OpenWrt konfigurieren Klone das OpenWrt-Repository via Git: $ git clone https://github.com/enigmagroup/openwrt.git $ cd openwrt $ vi feeds.conf Deine feeds.conf sollte so aussehen: src-git src-git src-git src-git src-git packages https://github.com/enigmagroup/openwrt-packages.git oldpackages https://github.com/enigmagroup/openwrt-oldpackages.git management https://github.com/enigmagroup/openwrt-management.git routing https://github.com/enigmagroup/openwrt-routing.git telephony https://github.com/enigmagroup/openwrt-telephony.git src-git enigmabox https://github.com/enigmagroup/enigmabox-openwrt.git Aktualisiere die Paketliste und installiere alle benötigten Pakete: $ ./scripts/feeds update -a $ ./scripts/feeds install -a 15.2 Image konfigurieren Starte die Imagekonfiguration mit: $ make menuconfig 139 Enigmabox Handbuch, Release 1.0.1 15.2.1 Firmware kompilieren für den Banana Pi • Target System: Allwinner A1x/A20/A3x • Target Profile: Bananapi • Target Images: – Root filesystem images: * ext4: yes · Maximum number of inodes in root filesystem: 200000 · Create a journaling filesystem: yes * GZip images: no – Image Options: * Root filesystem partition size (in MB): 3600 * Include kernel in root filesystem: yes * Include DTB in root filesystem: yes Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus: • Advanced configuration options: – Toolchain Options * C Library implementation · Use uClibc Konfiguration der Enigmabox-Pakete: • “Enigmabox”: – cfengine-promises: yes * Network profile: Rasperry Pi – provision-grandstream: yes – roundcube: yes – teletext: yes – webinterface: yes “webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert. Beende die Imagekonfiguration und speichere deine .config. Kompilierungsvorgang starten: $ make Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit: bin/sunxi-uClibc/openwrt-sunxi-Bananapi-sdcard-vfat-ext4.img 140 Kapitel 15. Firmware kompilieren Enigmabox Handbuch, Release 1.0.1 15.2.2 Firmware kompilieren für die PC Engines APU (64-bit Enigmabox) • Target System: x86 • Subtarget: x86_64 • Target Profile: Default • Target Images: – Root filesystem images: * ext4: yes · Maximum number of inodes in root filesystem: 200000 · Create a journaling filesystem: yes * GZip images: no – Image Options: * Root filesystem partition size (in MB): 3600 * Include kernel in root filesystem: yes Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus: • Advanced configuration options: – Toolchain Options * C Library implementation · Use uClibc Konfiguration der Enigmabox-Pakete: • “Enigmabox”: – cfengine-promises: yes * Network profile: APU – provision-grandstream: yes – roundcube: yes – teletext: yes – webinterface: yes “webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert. Beende die Imagekonfiguration und speichere deine .config. Kompilierungsvorgang starten: $ make Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit: bin/x86-uClibc/openwrt-x86-64-combined-ext4.img 15.2. Image konfigurieren 141 Enigmabox Handbuch, Release 1.0.1 15.2.3 Firmware kompilieren für das PC Engines ALIX (32-bit Enigmabox) • Target System: x86 • Subtarget: Generic • Target Profile: Default • Target Images: – Root filesystem images: * ext4: yes · Maximum number of inodes in root filesystem: 200000 · Create a journaling filesystem: yes * GZip images: no – Image Options: * Root filesystem partition size (in MB): 3600 * Include kernel in root filesystem: yes Die OpenWrt Entwickler haben entschieden, standardmässig die musl-Bibliothek zu nutzen. Die Software der Enigmabox setzt noch auf uClibc. Wähle diese explizit aus: • Advanced configuration options: – Toolchain Options * C Library implementation · Use uClibc Konfiguration der Enigmabox-Pakete: • “Enigmabox”: – cfengine-promises: yes * Network profile: ALIX – provision-grandstream: yes – roundcube: yes – teletext: yes – webinterface: yes “webinterface” ist der wichtigste Teil, da dieses Paket automatisch alle benötigten Abhängigkeiten selektiert. Beende die Imagekonfiguration und speichere deine .config. Kompilierungsvorgang starten: $ make Nach ungefähr 30min (je nach Leistungsfähigkeit deines Rechners) ist das Image bereit: bin/x86-uClibc/openwrt-x86-generic-combined-ext4.img 142 Kapitel 15. Firmware kompilieren