Skip to content

Posts categoriezed as IT-Security General

General IT security topics

OpenVPN for Your PiHole

OpenVPN for Your PiHole published on

Goal

PiHole only available via OpenVPN

Steps to Achieve

Install OpenVPN on PiHole server according to https://ubuntu.com/server/docs/service-openvpn

At https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04 you find a hint, how to set up a client config script.

create a file /etc/openvpn/client/make_config.sh on the server, below the adjusted to the current ubuntu configuration with easy-rsa

#!/bin/bash

# First argument: Client identifier

OPENVPNDIR=/etc/openvpn

KEY_DIR=$OPENVPNDIR/easy-rsa/pki
OUTPUT_DIR=$OPENVPNDIR/client/files
BASE_CONFIG=$OPENVPNDIR/client/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/issued/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/private/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${OPENVPNDIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

Then you can run /etc/openvpn/client/make_config.sh CLIENTNAME and you get a ovpn file in /etc/openvpn/client/files/

You now can import that in your NetworkManager. The good old resolv.conf does not work, so you can add the IP address 10.8.0.1 of the VPN server as DNS in theconfiguration, where the pihole is running.

Add iptable rules

We have to block the external interface in the chain DOCKER-USER, see https://docs.docker.com/network/iptables/.

With these commands you can successful block everything, except port 80 from outside (for letsencrypt) and everything in the network 10.8.0.1/24 (openVPN)

sudo iptables -I DOCKER-USER -i ens3 ! -s 10.8.0.1/24 -j DROP
sudo iptables -I DOCKER-USER -i ens3 -m comment --comment "Accept all connections from VPN to Docker - Drop all other" ! -s 10.8.0.1/24 -j DROP
sudo iptables -I DOCKER-USER -i ens3 -p tcp --dport 80 -m comment --comment "Accept HTTP for letsencrypt" -j ACCEPT

# block all IPv6 traffic except 80 for letsencrypt and 22 for ssh
sudo ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo ip6tables -A INPUT -j DROP

Save them (iptables-persistent must be installed):

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

Disable DNS Configuration from NetworkManager in Linux Mint

Disable DNS Configuration from NetworkManager in Linux Mint published on

Overview

The initial goal was, that my openvpn client configuration is able to set the DNS server.

Somehow that was not possible, even though we have set dhcp-option DNS 10.8.0.1 in the ovpn file.

But nevertheless, perhaps you want to get rid of your Network manager fingering in your resolv.conf convfig, then follow below:

Steps to Do

From https://askubuntu.com/a/623956/733411

  1. Edit /etc/NetworkManager/NetworkManager.conf
  2. Change to 
    dns=none

Now feel free use your /etc/resolv.conf

e.g. like that:

nameserver 9.9.9.9          # quad 9
nameserver 149.112.112.112  # secondary quad 9
nameserver 2620:fe::fe      # IPv6 quad 9

Add Additional List to PiHole

Add Additional List to PiHole published on
  1. Go to your PiHole Admin at pihole.example.com/admin
  2. Go to Group Management >> Addlist
  3. Add the list you want there (e.g. https://dbl.oisd.nl)
  4. Click on the link "online" above, or go to Tools >> Update Gravity, or pihole.example.com/admin/gravity.php
  5. Update the database

Now you can check on the start page, there should be about 1Mio blocked domains.
I added https://dbl.oisd.nl, see https://oisd.nl/how2use

Sign a PDF on Linux with SuisseID

Sign a PDF on Linux with SuisseID published on

Assumed, your SuisseID Smartcard already is working on your Linux workstation.

  1. Download LocalSigner from Open eGov Plattform of Confoederatio Helvetica
  2. Untar it to ~/opt or wherever you want 
    tar xvzf localsigner_4.1.3_linux.tar.gz --directory=~/opt
  3. Make sure you use Java 8 (Oracle or OpenJDK). I had some issues with openJDK 10
  4. run localsigner 
    ~/opt/LocalSigner/local-signer.sh
  5. If the PDF is not PDF/A, then a "convert" button is shown, hit it
  6. the rest is self-explanatory, select a source and a destination, then click on "sign" on the bottom-right
  7. to check the signature, there is a command line tool. Run: 
    pdfsig ~/path/signed-file.pdf

CAS IS-M: Modul “Zusammenarbeit mit Partnern, Outsourcing”

CAS IS-M: Modul “Zusammenarbeit mit Partnern, Outsourcing” published on

Meine Notizen zum Modul "Zusammenarbeit mit Partnern, Outsourcing". Kann evtl. auch als Gedankenauffrischer verwendet werden, bei eigenem Outsourcing-Projekt.

  • habe ich an alles gedacht?
  • mögliche kritische Punkte
  • etc.

Zusammenarbeit mit Partnern, Outsourcing

AKV mit RACI darstellen/analysieren

AKV mit RACI darstellen/analysieren published on

Mit AKV werden Aufgaben, Kompetenzen und Verantwortlichkeiten einer Person bezeichnet.
Eine Möglichkeit diese über eine Organisation zu analysieren und darzustellen ist RACI, welches für folgendes steht:

  • Responsible
  • Accountable
  • Consulted
  • Informed

Mit einer Matrix können diese gut dargestellt werden (Quelle HSLU, IS-M 2018 "Governance der Informationssicherheit", Daniel Eugster):
Bild RACI-Matrix

Information Security Governance in Law

Information Security Governance in Law published on

Kurzzusammenfassung für Prufungsvorbereitung

Was ist Corporate Governance

Als Corporate Governance bezeichnet man die Steuerung innerhalb der Organisation, mit dem Ziel das Management zu unterstützen und verbessern. Es soll die Aktionärsstellung durch Organisation- und Strukturfragen geschützt werden. Es geht um grundlegende Verhaltenspflichten im Bereich Organistation und Führung und um das grundlegende Verhältnis zwischen Geschäftsleitung und Verwaltungsrat.

Die Governance definiert Regeln, Metriken, Prozess und organisatorische Strukturen um eine effektive Planung und Steuerung sicherzustellen.

Das "Governance Model" liefert Antworten zu fragen wie:

  • Was wird getan?
  • Wie wird es getan?
  • Wer ist verantwortlich?
  • Wie soll gemessen werden?

Wie ist Corporate Governance in der Schweiz geregelt?

Die Corporate Governance ist durch das Schweizerische Aktienrecht geregelt. In der Praxis gibt es umfassende Corprate-Governance-Leitlinien (siehe Selbstregulierungswerke "Swiss Code of Best Practice for Corporate Governance" und "SIX-Richtlinie der Schweizer Börse")

Weiter gibt es die Grundsätze der OECD und das US Gesetz "Sarbanes Oxley Act (SOX)" aus dem Jahre 2002. Der SOX verlangt die genaue Nachvollziehbarkeit und eindeutige Zuordnung unternehmerischer Handlungen von Personen.

Selbstregulierungen wie ISO9001 und Good Priv@cy sind für die Corporate Governance von Bedeutung.

Rolle der Gremien

Oberstes Organ ist die Generalversammlung. Ihr sind die wichtigsten Kompetenzen unübertragbar zugeordnet (Art. 698 ff OR). Sie muss alljährlich innerhalb von 6 Monaten nach Jahresabschluss stattfinden. Grundsätzlich gilt absolutes Mehr, bei wichtigen Beschlüssen qualifizierte Mehrheit. Die GV wählt den Verwaltungsrat.

Der Verwaltungsrat fällt Beschlüsse, die nicht in den Bereich der Generalversammlung fallen. Ihm obliegt die Oberleitung und Oberaufsicht der AG. Weitere Aufgaben sind:

  • Festlegung der Organisation
  • Planung
  • Personelle Entscheide
  • Rapportierung an die Aktionäre
  • Benachrichtigung des Richters bei Überschuldung

Der Verwaltungsrat ist verantwortlich für die professionelle, strategische Führung und überwacht die operative Geschäftsleitung. Er muss ein Internes Kontrollsystem (IKS) betreiben und führt Risikobeurteilungen durch. Die Revisionsstelle überprüft das Vorhandensein eines IKS.

Das Gesetz schreibt in Art. 727 ff. OR die Revisionsstelle als spezielles Kontrollorgan vor, da die Kontrollrechte des Aktionärs eingeschränkt sind. Es gibt die ordentliche und eingeschränkte Revision. Gem. Art. 727 OR sind folgende Organisationen zur ordentlichen Revision verpflichtet:

Gesellschaften, die zwei der nachstehenden Grössen in zwei aufeinander folgenden Geschäftsjahren überschreiten:
a. Bilanzsumme von 20 Millionen Franken,
b. Umsatzerlös von 40 Millionen Franken
c. 250 Vollzeitstellen im Jahresdurchschnitt;

Für alle anderen Gesellschaften gilt die eingeschränkte Revision gemäss Art. 727a OR. Gemäss Ziffer zwei gilt hier:

Mit der Zustimmung sämtlicher Aktionäre kann auf die eingeschränkte Revision verzichtet werden, wenn die Gesellschaft nicht mehr als zehn Vollzeitstellen im Jahresdurchschnitt hat.

Der Swiss Code of Best Practice sieht im Entwurf von 2014 verschiedene Commitees vor, welche Ausschüsse des VR sind:

  • Audit Committee (siehe nachfolgende Folie)
  • Compensation Committee
  • Nomination Committee

Das Audit Committee ist der Prüfungsausschuss des Verwaltungsrates und setzt sich vertieft mit Finanz- und Rechnungswesen auseinander. Es besteht aus nicht exekutiven Mitgliedern des VR.

Das Advisory Board hat beratende und empfehlende Funktion und wenig Entscheidungsbefugnisse.

Page Footer