Algemeen

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie Thunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.

Wat is Ansible

Ansible is een automation tool, een tool dus waarmee je je beheer van je (cloud)servers maar ook fysieke servers op zowel Windows als Linux kan beheren en bijv. applicaties kan installeren. Het werkt zonder agent, dat doet bijv. een andere automation tool zoals Puppet wel. Ansible werkt in principe door het opzetten van een SSH verbinding, voert uit wat het uit moet voeren en verbreekt de verbinding weer. Ansible is OpenSource. 

Toepassingen

Ansible kent vele toepassingen, zo kan je er dus bestaande servers in een eigen datacenter en/of in de cloud mee beheren maar ook kan Ansible gebruikt worden om netwerkapparatuur mee te configureren of bepaalde policies gepushed worden. Denk bijv. aan een ACL waarmee toegang geregeld wordt vanaf een beheersLAN. 

Playbook

Alles in Anslble draait om zgn. playbooks. Stukken Ansible code waarmee bepaalde zaken worden geregeld. Tijdens de RedHat meeting in Bussum van 14-03-2018 werd uitgelegd hoe belangrijk naamgeving kan zijn. Gebruik bijv. niet "installatie server" maar "Installatie en starten Apache webserver". Als er dan iets mis gaat weet je tenminste in welk playbook het mis gaat en waar. Klinkt simpel maar het zijn vaak dit soort kleine dingen die je in je enthousiasme over het hoofd ziet. Dat je niet zelf het wiel hoeft uit te vinden, klinkt ook nogal logisch en met een git repo (galaxy) van zo'n 15.000 vrij beschikbare playbooks en modules hoeft dat ook niet. Even een bestaand voorbeeld aanpassen is een stuk makkelijker en sneller dan zelf allerlei code en modules bij elkaar rapen. 

Een voorbeeldje van een task binnen een playbook:

--

# This task installs and enables apache on webservers
- name: ensure apache is installed
yum: pkg=httpd state=latest
- name: ensure apache is running
service: name=httpd state=running enabled=yes
- name: copy files to document root
copy: src=cloud.png dest=/var/www/html/cloud.png
- name: copy application code to document root
template: src=index.html.j2 dest=/var/www/html/index.html
notify: restart apache

Security

Het begint ein-de-lijk ook bij het bedrijfsleven en overheid door te dringen dat security (app, server, netwerk enz.) niet meer het ondergeschoven kindje kan zijn maar volle aandacht verdiend. Zo kan Ansible worden ingezet om periodiek root-wachtwoorden te wijzigen, security policies te implementeren en als zo'n policy in bijv. in een test omgevinging werkt dan kan dat gemakkelijk naar productie worden doorgezet. 

AdBlock en andere advertentie blokkeerplugins zijn leuk maar een toenemend aantal populaire website detecteren deze software en geven vervolgens irritante meldingen, bieden bepaalde functionaliteit niet meer of weigeren zelfs toegang. Daarnaast moeten deze advertentieblokkeer-plugins worden geinstalleerd en bijgehouden worden. 

Er is nu een alternatief: Pi-hole 

Pi-hole is geen browser plug-in maar biedt een DNS (bijvoorbeeld op een Rasberry Pi) waarin adressen van bekende advertentieaanbieders worden geblokkeerd. Het resultaat is nagenoeg advertentie-vrije sites en omdat Pi-hole geen browser plugin is, geen vervelende meldingen meer van websites of beperkte functionaliteit. 

Je kunt Pi-hole proberen door gebruik te maken van onze test DNS server. Dat is eenvoudig, zorg ervoor dat je ns5.linuxpro.nl als primaire DNS gebruikt en je kan AdBlock en dergelijke plug-ins uitschakelen. 

Instellen primaire DNS linux

Open een terminal scherm en verkrijg root rechten bijvoorbeeld door sudo su - te geven

Ga naar de directory etc: cd /etc

Open het bestand resolv.conf met bijv vi : vi resolv.conf

Ga op de eerste regel staan waar nameserver xxx.xxx.xxx.xxx staat middels de pijltjes toetsen en als je met de cursor op de letter n staat druk je op i en type exact het volgende: nameserver 77.172.2.25 en druk op [ENTER]

Sluit vi af: druk op [ESC] en type in: :wq

Herstart je browser, schakel je advertieblokkeer-software uit en probeer maar eens naar bijv. de website van de Telegraaf of nu.nl te gaan. Geen of nauwelijks advertenties en geen vervelende meldingen meer. 

Wachtwoordmanager

Voor het gebruik van een (centrale) wachtwoordmanager is veel te zeggen. Op al je devices één plek met als je logins en wachtwoorden kan heel veilig zijn. Ook kan een wachtwoordmanager sterkte wachtwoorden genereren en opslaan die je niet hoeft te onthouden terwijl je wel gewoon overal kan inloggen. 

Tot voor kort was er eentje die ik zelf ook gebruikte en vele met mij, LastPass.

Echter LastPass is overgenomen door een LogMeIn en dat bedrijf heeft een erg twijfelachtige reputatie. Daarnaast wil LogMeIn allerlei functionaliteit toevoegen aan LastPass waardoor er twijfel is over de betrouwbaarheid maar nog meer over de veiligheid. Kortom, tijd om LastPass te laten voor wat het is en op zoek te gaan naar een alternatief.

Alternatief

LinuxPro is onlangs voor de Cloud dienst overgestapt op Nextcloud en heeft de Passman applicatie daarmee beschikbaar gestelt voor een groter publiek. Het gebruik van de LinuxPro Cloud en Passman is overigens gewoon gratis en draait op servers in een nederlands datacenter (GlobalSwitch)

Aanmelden

Meld je aan op https://cloud.linuxpro.nl Dat is eenvoudig, vul je emailadres in en je ontvangt op het door je opgegeven emailadres een link waarmee je je account kan activeren. Naast Passman heb je ook beschikking over oa. een agenda, adresboek en bestandsopslag. Al deze diensten kan je benaderen via de website, via de Owncloud app (iOS en Android) en je kan bijv. de agenda op je smartphone gebruiken of je vakantiefoto's delen met anderen al dan niet beveiligd met een wachtwoord of verloopdatum.

Passman

Na het inloggen kies je het sleutelsymbooltje om een wachtwoordkluis aan te maken. Deze kluis komt dan ge-encrypt op onze server. Door de versleutelingis de data voor niemand te gebruiken behalve door jezelf.  Maak een kluis aan, geef 'm een naam en vergeet vooral je passphrase niet. Je kan ook je aanwezige inlogs vanuit LassPass exporteren naar een csv bestand en dat vervolgens in Passman inlezen. Je hebt dan 1x al je al aanwezige logins en wachtwoorden beschikbaar in Passman. 

Extensie

Voor oa. Google Chrome is de gratis Passman extensie beschikbaar waardoor je eigenlijk dezelfde functionaliteit terug hebt als met LastPass, enige verschil is dat je nu een door jezelf aangemaakte wachtwoordkluis gebruikt die draait op een server in Nederland en er verder niemand bij jouw data kan anders dan jijzelf. Wel zo'n prettig gevoel

Felenasoft is de maker van het video surveillance pakket Xeoma. Met Xeoma kunnen ip cctv camera's worden bekeken, filters per camera worden toegepast en opnames worden gemaakt. Xeoma draait niet alleen op Windows maar ook op Mac OS-X en Linux. Wij probeerden de Linux versie. Er zijn trouwens voor smartphones van Andrioid en Apple app's beschikbaar.

Surveillance

Xeoma geeft van de gevonden IP camera's het bekende blokjesbeeld. Als je op zo'n videobron klikt wordt deze full screen maar kan ook worden gekozen om de opnames van de betreffende camera te bekijken of de configuratie aan te passen. Het maakte niet uit of 't een oudere IP camera is, een HD camera of ONVIF camera is. Tijdens de eerste keer opstarten wordt het lokale netwerk automatisch gescand. De gevonden cctv camera's worden getoond en er kan een username/password worden ingegeven. Voor oudere pc's is het handig dat het mozaik of blokjesbeeld in een lagere kwaliteit stream kan worden getoond maar de full-screen weergave en de opname in hogere kwaliteit (HD) gebeuren. Op die manier is de belasting van de servers laag te houden. 

Filters

De filters zijn het krachtigste gedeelte van Xeoma. Met meerdere filters kan een ketting /chain worden gemaakt. Hiermee kan bijvoorbeeld eerst een filter worden geladen waarmee een deel van het beeld buiten de motion detection wordt gehouden, tijd / datum en een naam kan worden weergegeven en per camera kan zo worden geconfigureerd hoe lang opnames bewaard moeten blijven. Dat kan op basis van tijd, opslagruimte en beschikbare ruimte. 

Een voorbeeld van een camera, het filter voor bewegings-detectie
en het filter voor de opname eigenschappen.

Opnames

Terugkijken van opnames is makkelijk gemaakt doordat er een kalender wordt getoond en zo makkelijk gezien kan worden tot wanneer de opnames teruggaan. Tijdens het bekijken van opnames kan makkelijk de tijd worden versneld, de opnames worden stilgezet of een screenshot worden bewaard van het huidige beeld. 

Cloud

Xeoma biedt ook een cloud oplossing. Die is echter door ons niet gebruikt of getest en kunnen we dus ook geen recensie over geven.

Conclusie

Xeoma is niet gratis maar er zijn verschillende licentiemodellen. Ik gebruikte hiervoor eerst motion en later zoneminder maar deze programma's, weliswaar open-source freeware, kunnen niet tippen aan de mogelijkheden en stabiliteit van Xeoma