Bitwarden

Ich bin vor einiger Zeit von LastPass auf Bitwarden gewechselt.

Bitwarden selbst bietet zwar gratis hosting an, aber ich wollte weg von der Cloud und habe es selbst gehostet, die Option besteht nämlich auch!

Es ist NUR als docker-compose Paket erhältlich und es speichert die Daten verschlüsselt mit dem Masterpasswort in einer mssql db, ja richtig gelesen Microsoft SQL, bis ich in htop dotnet gesehen habe erschloss sich mir nicht der Sinn dahinter.

Da kann man jetzt drüber streiten ob es so cool ist Microsoft basierte Software auf Linux zu nutzen, meine Freunde vom FSFE bekommen da sicher einen roten Kopf bei.

Aber es funktioniert absolut Fehlerfrei und hat für jede erdenkliche Plattform Clients. Mehr brauch ich nicht.

Accountlöschungen

Habe mich jetzt dazu entschieden, meine Twitter, Facebook und Instagram Accounts zu schließen.

Ich führe hier seit Jahren den Blog, wo ich für mich relevante Dinge niederschreibe. Ein bisschen Relevanz für außenstehende entwickelt sich da auch oft genug.
Quasi mein abgespecktes Facebook.

Außerdem habe ich am 8.5.2017 ieji.de gestartet. Eine Instanz eines weit verteilten Microblogging Netzwerkes (mastodon), das auf Anonymität und Datenschutz setzt.
Also einen Twitterersatz habe ich.

Untereinander kommunizieren klappt mittels WhatsApp und iMessage. Threema hat halt keine Sau. Das muss ich noch in Kauf nehmen.

Streng genommen habe ich auch noch bocholt.social als echten Facebook Klon, aber da läuft nix.

h2o

Ich habe vor einer Weile während Recherchen zur Performanceoptimierung für nginx von h2o erfahren. Hochkomplexe Configs wie für Mastodon beherrscht h2o leider vermutlich nicht (vermutl., weil man mittels mruby möglicherweise doch die notwendigen Configs hinfrickeln kann).

Das ist auch somit der einzige „Schandfleck“ von h2o.

Die Pros:
Perfekten http/2 support mit vielen Einstellungsmöglichkeiten
TLS1.3 support
Schneller (verhältnismäßig marginal, aber ich begnüge mich nur mit dem besten)
Open Source & kein Kommerzgeballer mit Exklusivtechnik (+ schweineteuer.)

Der Configaufbau erinnert an python mit den Einrückungen.
Ansonsten gebe ich dem Konfigurationsaufwand 8/10 Punkte.

Der Blog hier rennt natürlich auf h2o ;).

ieji.de, ein zensurfreier, anonymer microblogging service

Ich möchte hier auch mal auf meinen bald einjährigen microblogging service hinweisen.

Am einfachsten ist der mastodon mit Twitter zu vergleichen,
jedoch ist mastodon dezentral, das heißt es läuft auf viele Serverinstanzen.

Wenn man jetzt mit blubb auf der Instanz mastodon.social schreiben möchte, muss man die Person mit @blubb@mastodon.social anschreiben.
Es gibt einen federated und einen lokalen Bereich. Beim federated Bereich werden alle Nachrichten von Instanzen, die mit der lokalen Instanz verbunden sind. Es reicht schon einen Account einer anderen Instanz zu verfolgen oder anzuschreiben um eine Verbindung zu erstellen.

Meine Instanz ist die einzige, die auch über das TOR Netzwerk erreichbar ist und keine Logs führt. Zensiert wird auch nichts, solange es nicht gegen deutsches Recht verstößt oder spam ist, da ich die Instanz langfristig online halten möchte.

Ihr könnt euch hier registrieren: https://ieji.de/

ESET Internet Security

Nachdem ich Bitdefender gedroppt habe, kommt jetzt der Testbericht zur slowakischen Sicherheitslösung ESET Internet Security.

Es gibt die klassischen Module wie Computer, Internet und Network Protection.
Hier schneidet ESET gut ab, es weiß auch phishing und js driveby abzuwehren, ich nehme an, auch bitcoin mining scripts, das konnte ich jedoch nicht verifizieren.

Die vierte Kategorie Security Tools beherbergt ebenfalls einige interessante Funktionen.
Anti-Theft, die klassische Diebstahlsicherung. Hier ist eine Besonderheit. Und zwar kann man einen Phantom-Account über das Netz einrichten.
Dies erstellt einen neuen Windows Account, der ungesichert ist. Wenn man auf diesen drauf geht, werden Screenshots von Desktop und Kamera gemacht und die aktuelle IP zur my.eset Zentrale gesendet.
Natürlich ist hier auch eine virtuelle Banking Umgebung und Kindersicherung gegeben.

Zusätzlich gibt es noch den „Connected Home Monitor“, hier werden alle Computer im Netzwerk gescannt, ob Unregelmäßigkeiten entdeckt werden (z.B. Trojaner Backdoor Ports offen etc.).

Es gilt noch zu erwähnen, das ESET äußerst schonend background scannt. Wer jetzt denkt, dann scannt ESET halbherzig, liegt falsch. Jegliche ausgehende und eingehende Verbindung wird gescannt und intelligent geblockt oder durchgelassen.

Ich bin bisher zufrieden damit, es gibt sich keine CPU Kämpfe wie Bitdefender und macht seine Arbeit gut. Ich bekomme nach entsprechenden Einstellungen auch angezeigt, wenn Startup Settings editiert werden.

Bitdefender Testbericht nach einem halben Jahr

Wie oben erwähnt nutze ich Bitdefender circa seit einem halben Jahr. Seitdem habe ich die AV Software wohl 3x neu installieren müssen weil irgendwas plötzlich FUBAR war und nix mehr half. Zudem habe ich zuletzt festgestellt das Bitdefender extrem viel CPU und RAM zieht. Website technisch ist die Erkennungen von Schadsoftware auf Websites, wie z.B. JavaScript driveby Mittelmaß. Daher scheiß auf die 20€ Jahresgebühr.

Ich habe es jetzt durch eset Internet Security ersetzt. Der erste Eindruck ist gut. Mehr dazu im morgigen Blogeintrag!

Core Networks GmbH

Seit etwa einem halben Jahr nutze ich die Nameserver von Core Networks und ich bin begeistert.
Die Nameserver sind immer aktuell gehalten, in getrennten Locations (Frankfurt & Köln) und beherrschen einige Records.
Interessant ist hier, das bei erstellen eines NS Eintrages direkt DNSSEC/NSEC3 Einträge generiert werden, DANE wird auch unterstützt.
Seit kurzem ziehe ich meine Domains zu Core Networks um. Das ganze wird zwar nicht gerade zu domainssaubillig.de Preisen angeboten, was aber nichts macht,
denn die Tatsache, das man sofort automatisch auf seiner Domain DNSSEC/NSEC3 generiert bekommt, das aufgeräumte Interface und die Performance sprechen für sich!

Nach der ersten Überweisung kann man auf Rechnung, PayPal oder Lastschrift bezahlen.

Vorbehaltlose Empfehlung!

DDoS Filter für den kleinen Geldbeutel

Man nehme drei VPSes von BuyVM mit https://buyvm.net/kvm-dedicated-server-slices Voxility Filter in Luxemburg.

Das ganze kostet je nach Ausstattung zwischen 15-30€ im Monat und hat einen Durchsatz von circa 1000-3000MBit/s mit Traffic Flat.

Zuvor hatte ich für 15€ einen !350GB Traffic! Filter Service von X4B.net geholt. Bis dieser dann eine Stunde ausgefallen ist und man auf Anfragen nur mit den Schultern gezuckt hat.

Dachte ich mir okay, single point of failure wird beim nächsten Versuch ausgeschlossen.
Daher jetzt drei kleine VPS (1,5-3GHZ 1 CPU Core, ~2GB RAM, ~30GB SSD/HDD reichen völlig!) die in Preis Leistung unendlich mal besser sind als herkömmliche Anti DDoS Lösungen.

Cloudflare Business Angebot 200€ pro Tunnel FÜR EINE WEBSEITE.
Blazingfast Protected TCP Angebot 30€ pro Tunnel FÜR 3 PORTS.
Diverse GRE Tunnel Anbieter die nur auf Anfrage ein Angebot rausgeben, also meist über 200€ im Monat kosten, z.B. Psychz und Incapsula.

Die Konfiguration ist verhältnismäßig simpel!
Dazu leite ich mal auf das BuyVM DDoS Gre Tunnel howto weiter, da ich ja eh schon kostenlos Werbung mache.

X4B.net

Heute kam es, nebst den kleinen UDP Aussetzern durch den Tunnel, was noch ansatzweise verkraftbar war (da UDP derzeit Hauptangriffsziel ist), zu einer längeren Downtime durch X4B.net.

Das nehme ich mal als Grund, einen Erfahrungsbericht zu X4B.net zu erstellen.

Da habe ich natürlich sofort den Support informiert, es ist nicht hinnehmbar das man durch einen DDoS Schutz über 5 Minuten Downtime hat.
Gerade bei einem Service der dies eigentlich um jeden Preis verhindern sollte.

Was bekomme ich als Antwort?

„https://status.x4b.net/incident/1863

If you need high availability you should consider instead of ordering the budget singlehomed locations instead ordering the standard line (with Anycast HA).“

Wahnsinn. Hätte ich nicht sofort jegliches Tunneling entfernt, wäre meine Seiten auch jetzt, anderthalb Stunden später noch down. Dienst sofort gecancelt.

Und natürlich bekommt man kein Geld zurück! Auch bei einem Dienstausfall nicht, was imho einem ein Sonderkündigungsrecht einräumt. Ein Grund mehr den Laden zu meiden.

Habe als Abschluss auf das Ticket noch gefragt, ob die Herren eine Empfehlung hätten, wie ich die Änderungen dessen GRE Tunnel Script rückgängig machen kann und natürlich eine grantige Antwort, „Simply remove anything you have done, and reboot your server.“, zurückbekommen, mit anschließender Ticketschließung.

Zuvor hatte ich einige negative Erfahrungsberichte auf Google gefunden, es aber nicht weiter hinterfragt, da ich mir von sowas gerne selbst ein Bild mache.

Damit kann ich als Fazit nur eine klare Warnung ausgeben, X4B.net als DDoS-Schutz nicht einzusetzen. Der Support ist wirklich durchweg zynisch und grantig.

Als Anhang schreibe ich hier noch ein HowTo für’s manuell die GRE-Tunnel Script Änderungen rückgängig machen drunter.

Zuerst um mit dem Webserver wieder auf eure normale IP zu hören, falls ihr den Webserver nur auf die interne IP horchen lasst:
sed -i — ’s/10.16.0.x/EURE_SERVERIP/g‘ configfile.cnf (oder als wildcard *)
Aus /etc/modules die entsprechenden Module entfernen (ipip / ip_gre). Aus Kernel entfernbar über „modprobe -r ipip“ bzw ip_gre.
ip rule del from 10.16.0.108/30 lookup X4B0
nano /etc/iproute2/rt_tables (alle x4b zeilen entfernen)