Kategorie: Software & Apps

Raspberry Pi – Installation und Betrieb von WireGuard

WireGuard Logo

Obwohl die Bekanntheit von WireGuard in den letzten Monaten stark zugenommen hat, ist das VPN-Protokoll bzw, die VPN-Software immer noch verhältnismäßig unbekannt. Ich nutze WireGuard seit einigen Monaten und möchte es nicht mehr missen. Vor allem der schnelle Verbindungsaufbau, das exzellente Roaming-Verhalten und die gute Performance haben mich überzeugt.

Was sich genau hinter WireGuard verbirgt und wie die Software arbeitet, habe ich bereits in meinem Artikel „​WireGuard – neues VPN-Protokoll mit großer Zukunft“ beschrieben. Jetzt folgt sozusagen der zweite Teil, in dem ich detailliert auf die Einrichtung unter Raspbian Buster und Android eingehe.

WireGuard Installation

Die Installationsanleitung funktioniert nicht bei folgenden Raspberry Pi Modellen: 1, 2 (Ausnahme v1.2), Zero & Zero W. Bei diesen Modellen fehlen benötigte CPU-Features und WireGuard muss dort von Hand compiliert werden. Wie das geht habe ich relativ am Ende meines Artikels aufgezeigt. Davon abgesehen macht die Nutzung auf diesen Modellen aber nur eingeschränkt Spaß.

Zunächst bringen wir die Paketquellen und alle Pakete auf den aktuellen Stand. Anschließend installieren wir noch die Kernel Headers.

sudo apt update
sudo apt upgrade
sudo apt install raspberrypi-kernel-headers

Nachdem dies erledigt ist, widmen wir uns der Installation von WireGuard.

echo "deb http://httpredir.debian.org/debian buster-backports main contrib non-free" | sudo tee --append /etc/apt/sources.list.d/debian-backports.list
wget -O - https://ftp-master.debian.org/keys/archive-key-$(lsb_release -sr).asc | sudo apt-key add -
sudo apt update
sudo apt install wireguard
sudo reboot

Die Installation an sich ist damit erledigt. Jetzt können wir mit der Konfiguration fortfahren.

Generierung der benötigten Schlüsselpaare

Zum Start benötigen wir jeweils einen privaten und öffentlichen Schlüssel für den Client und den Server.

Die Erstellung der Keys wird im Verzeichnis „/etc/wireguard“ durchgeführt. Damit alle Dateien bei der Erstellung direkt restriktive Berechtigungen haben, muss die umask auf 077 gesetzt werden.

sudo su
cd /etc/wireguard
umask 077
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key
wg genkey | tee server_private.key | wg pubkey > server_public.key

Mittels „ls“ prüfen wir, ob alle vier Dateien erstellt wurden:

ls
peer1_private.key  peer1_public.key  server_private.key  server_public.key

Zum Schluss können die Keys mittels „cat“ ausgegeben werden, da wir diese später sowieso benötigen.

exit
sudo cat /etc/wireguard/peer1_private.key
sudo cat /etc/wireguard/peer1_public.key
sudo cat /etc/wireguard/server_private.key
sudo cat /etc/wireguard/server_public.key

WireGuard Server Konfiguration erstellen

Im ersten Schritt aktivieren wir das IPv4 Forwarding in der Datei „/etc/sysctl.conf“. Dies kann entweder mit Entfernen der Auskommentierung der Zeile „net.ipv4.ip_forward = 1“ oder alternativ mit diesem Befehl erfolgen:

sudo perl -pi -e 's/#{1,}?net.ipv4.ip_forward ?= ?(0|1)/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf

Wer IPv6 nutzt, muss stattdessen entsprechend die Auskommentierung der Zeile „net.ipv6.conf.all.forwarding=1“ aufheben.

Anschließend muss der Raspberry Pi neugestartet werden.

sudo reboot

Wir überprüfen den Status mit folgendem Befehl:

sysctl net.ipv4.ip_forward

Wenn das IPv4 Forwarding aktiv ist muss als Ergebnis „net.ipv4.ip_forward = 1“ zurückgegeben werden.

Jetzt erstellen wir die WireGuard-Konfiguration „/etc/wireguard/wg0.conf“. Welchen Editor ihr bevorzugt, bleibt natürlich euch überlassen.

sudo vim /etc/wireguard/wg0.conf

Folgendes Template könnt ihr als Ausgangsbasis nutzen.

[Interface]
Address = 100.64.0.1/24
ListenPort = 51820
PrivateKey = <insert server_private.key>

#replace eth0 with the interface open to the internet (e.g might be wlan0)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

#Client1 Smartphone
[Peer]
PublicKey = <insert peer1_public.key>
AllowedIPs = 100.64.0.2/32

Neben den IP-Adressen müsst ihr den privaten Schlüssel vom Server und den öffentlichen Schlüssel vom Client ergänzen. Außerdem müsst ihr bei den iptables-Regeln evtl. die Netzwerkschnittstelle anpassen. Optional könnt ihr zudem einen anderen Port definieren. Wenn alles erledigt ist, solltest ihr die Datei unbedingt speichern.

Die für den Tunnel verwendeten IP-Adressen, dürfen sich mit den lokal verwendeten, privaten IPv4-Blöcken (RFC 1918) nicht überschneiden. Beim Einsatz einer FRITZ!Box als Router wird lokal standardmäßig 192.168.178.0/24 verwendet, d.h. alle anderen Adressbereiche können ohne Probleme genutzt werden.

Eine elegante Alternative ist die Verwendung von IP-Adressen (100.64.0.0/10), die für Carrier-Grade-NAT (RFC 6598) reserviert sind. Damit ist sichergestellt, dass die Tunnel-IPs nie mit den privaten Adressbereichen kollidieren können.

WireGuard Client Konfiguration erstellen

Am besten erstellt ihr für jeden Client eine eigene Konfiguration.

sudo vim /etc/wireguard/peer1.conf

Folgendes Template könnt ihr als Ausgangsbasis nutzen.

[Interface]
Address = 100.64.0.2/32
DNS = 192.168.178.1
PrivateKey = <insert peer1_private.key>

#Server
[Peer]
PublicKey = <insert server_public.key>
Endpoint = t6bibneqwcjxplum.myfritz.net:51820
AllowedIPs = 0.0.0.0/0, ::/0
#PersistentkeepAlive = 25

Hier müsst ihr unter „[Interface]“ die IP-Adresse des Clients anpassen und den gewünschten DNS-Server eintragen. In meinem Beispiel verwende ich die private IP der FRITZ!Box. Wer daheim Pi-Hole im Einsatz hat, kann hier die Pi-Hole Adresse eintragen und kommt somit auch von unterwegs in den Genuss der Werbefreiheit.

Außerdem müsst ihr noch den privaten Schlüssel des Clients ergänzen.

Unter „[Peer]“ tragt ihr zunächst den öffentlichen Schlüssel des Servers ein.

Anschließend folgt die Internetadresse, unter welcher der WireGuard-Server erreichbar ist. Üblicherweise gibt es hier zwei Dinge zu beachten. Bei eurem Internetanschluss daheim, bekommt ihr mit großer Wahrscheinlichkeit eine dynamische IP-Adresse vom Provider zugewiesen. Der WireGuard-Client müsste die wechselnden IP-Adressen stets kennen, um sich zu verbinden. Als Hilfe kommt hier ein dynamischer DNS-Anbieter ins Spiel, der einen festen Domainnamen bereitstellt und dahinter automatisch die jweils aktuelle IP-Adresse zuweist. Bei Verwendung einer FRITZ!Box könnt ihr beispielsweise den Dienst „MyFRITZ!“ nutzen. Eine andere Alternative wäre FreeDNS. Der zweite Punkt ergibt sich, wenn der Raspberry Pi in eurem Heimnetzwerk steht. In diesem Fall müsst ihr an eurem Router ein Port-Forwarding einrichten (UDP 51820), sodass der WireGuard-Traffic des Clients auf den Server weitergeleitet wird.

Unter „AllowedIPs“ wird definiert, welche IP-Ranges über das WireGuard-VPN geroutet werden. Mit „0.0.0.0/0, ::/0“ wird der komplette IPv4- und IPv6-Traffic geroutet (full tunnel). Mit 192.168.178.0/24 könnt ihr z.B. nur euer Heimnetzwerk routen (split tunnel).

„PersistentKeepalive“ ist standardmäßig deaktiviert. Zunächst ein paar Hintergrundinfos um einzuordnen, ob ihr dieses Feature benötigt oder nicht. Normalerweise ist WireGuard nicht sehr gesprächig und sendet nur Daten, wenn etwas zu übertragen ist. Ansonsten verhält sich WireGuard ruhig. Wenn sich der Server hinter einem NAT oder einer Firewall befindet und der Client für eine bestimmte Zeit keine Daten zum Server sendet, entfernt der NAT-Router bzw. die Firewall den Host-Status aus der Verbindungstabelle. Falls jetzt der Server ein Paket zum Client sendet, kommt dieses nicht an, da der NAT-Router bzw. die Firewall nicht weiß, was mit dem Paket zu tun ist. Mit der Option „PersistentKeepalive“ sendet der Client alle x Sekunden ein leeres Paket, um die Verbindung aufrechtzuhalten. Ein Wert von 25 Sekunden hat sich in der Praxis bewährt und funktioniert mit einem Großteil von Firewalls und NAT-Routern.

Kurz zusammengefasst benötigt ihr dieses Feature also nur, wenn ihr vom Server euren Client erreichen möchtet, obwohl dieser seit längerer Zeit keine Pakete gesendet hat. Die meisten Benutzer werden dieses Feature nicht benötigen. Falls doch, einfach die Auskommentierung der Zeile rückgängig machen.

WireGuard Server starten

Nun können wir WireGuard auf dem Server starten. Anstatt alle einzelnen Schritte manuell mit dem „wg“-Tool durchzuführen, bedienen wir uns beim Tool „wg-quick“.

sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 100.64.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Danach prüfen wir den Status der wg0-Schnittstelle.

sudo wg
interface: wg0
  public key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxljP1wpITnI=
  private key: (hidden)
  listening port: 51820

peer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxtJd9/esWN4=
  allowed ips: 100.64.0.2/32

Der Server läuft und ist für die Verbindung des Clients bereit.

WireGuard beenden funktioniert mit diesem Befehl:

sudo wg-quick down wg0

Wenn WireGuard beim Systemstart automatisch geladen werden soll, kann dies mit folgendem Befehl realisiert werden:

sudo systemctl enable wg-quick@wg0
Created symlink /etc/systemd/system/multi-user.target.wants/wg-quick@wg0.service → /lib/systemd/system/wg-quick@.service.

Der Daemon kann folgendermaßen gesteuert werden. Dabei müsst ihr allerdings darauf achten, dass ihr WireGuard zuerst beendet, sofern ihr es manuell gestartet habt.

sudo systemctl start wg-quick@wg0
sudo systemctl stop wg-quick@wg0
systemctl status wg-quick@wg0

Zum Schluss werden die Berechtigungen von „/etc/wireguard/“ und allen Dateien noch einmal korrigiert. Damit wird sichergestellt, dass nur root die entsprechenden Berechtigungen besitzt.

sudo chown -R root:root /etc/wireguard/
sudo chmod -R og-rwx /etc/wireguard/*

WireGuard Client unter Android einrichten

Die Einstellungen in der Android-App können manuell, mittels einer Datei oder mit einem QR-Code erfolgen. Die letzte Variante ist dabei am bequemsten. Hierfür muss auf dem Server der QR-Code erstellt werden.

sudo apt install qrencode

Nach dem Installieren von „qrencode“ kann der QR-Code von der Client-Konfiguration erstellt werden:

sudo cat /etc/wireguard/peer1.conf | qrencode -t ansiutf8

Auf dem Android-Gerät muss zunächst die WireGuard App via Google Play installiert werden. Daraufhin kann der erstellte QR-Code mit der App gescannt werden, um die Konfiguration zu importieren. Nachdem ein Name vergeben wurde, kann die Verbindung aktiviert werden.

Mit einem Klick auf den gerade erstellten Tunnel werden einige Infos angezeigt, unter anderem auch eine Trafficstatistik.

Auf dem Server kann ebenfalls der Status ausgegeben werden. Dort werden unter anderem alle verbundenen Clients angezeigt:

sudo wg
interface: wg0
  public key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxljP1wpITnI=
  private key: (hidden)
  listening port: 51820

peer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxtJd9/esWN4=
  endpoint: 11.12.13.14:53019
  allowed ips: 100.64.0.2/32
  latest handshake: 56 seconds ago
  transfer: 927.04 KiB received, 64.85 MiB sent

Der Client kann nun auch via Ping erreicht werden:

ping 100.64.0.2
PING 100.64.0.2 (100.64.0.2) 56(84) bytes of data.
64 bytes from 100.64.0.2: icmp_seq=1 ttl=64 time=95.9 ms
64 bytes from 100.64.0.2: icmp_seq=2 ttl=64 time=112.4 ms
64 bytes from 100.64.0.2: icmp_seq=3 ttl=64 time=71.7 ms

Noch zwei kleine Tipps für die Android-App. Ich importieren die Konfig vom Server immer zweimal. Einmal als „full tunnel“ mit „0.0.0.0/0, ::/0“ und einmal als „split tunnel“, lediglich mit dem Heimnetzwerk eingetragen, z.B. 192.168.178.0/24. So habt ihr volle Kontrolle und könnt je nach Situation den richtigen Tunnel nutzen.

Beim Bearbeiten eines Tunnels (Tunnel Infos anzeigen und dann rechts oben auf das Stift-Icon) könnt ihr außerdem festlegen, welche Apps keinen Traffic über den Tunnel schicken dürfen.

Troubleshooting

WireGuard ist ein Kernel-Modul, das via DKMS automatisch installiert wird, sobald das System einen neuen Kernel benutzt. In seltenen Fällen kann es jedoch passieren, dass WireGuard nicht automatisch eingebunden wird und mit dem neuen Kernel nicht mehr funktioniert.

In diesem Fall sollte zunächst geprüft werden, ob das WireGuard Modul geladen wurde:

lsmod | grep wireguard

Falls nicht kann es hilfreich sein, das Kernel-Modul neu zu konfigurieren:

sudo dpkg-reconfigure wireguard-dkms
sudo modprobe wireguard

Wenn dies keine Abhilfe schafft, könnt ihr noch folgendes ausprobieren:

sudo apt remove wireguard
sudo apt install bc libncurses5-dev
sudo apt install wireguard

Sollte dies auch keine Besserung bringen, könnt ihr alternativ das WireGuard Kernel Module und das wg Tool selber kompilieren. Davor muss aber sichergestellt sein, dass alle installierten WireGuard-Pakete deinstalliert sind!

sudo apt remove wireguard
# Toolchain installieren
sudo apt install libmnl-dev raspberrypi-kernel-headers build-essential git pkg-config
#Code laden
git clone https://git.zx2c4.com/wireguard-linux-compat
git clone https://git.zx2c4.com/wireguard-tools
# Kernel Module und das wg Tool kompilieren und installieren
make -C wireguard-linux-compat/src -j$(nproc)
sudo make -C wireguard-linux-compat/src install
make -C wireguard-tools/src -j$(nproc)
sudo make -C wireguard-tools/src install
# Neustarten und fertig
sudo reboot

Die aktuell installierte Version könnt ihr am besten via „dmesg“ herausfinden:

dmesg | grep wireguard
[   15.677458] wireguard: loading out-of-tree module taints kernel.
[   15.687104] wireguard: WireGuard 0.0.20200318 loaded. See www.wireguard.com for information.
[   15.687119] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld . All Rights Reserved.

Quellen

  • https://www.wireguard.com/install/
  • https://github.com/adrianmihalko/raspberrypiwireguard
  • https://www.reddit.com/r/pihole/comments/bnihyz/guide_how_to_install_wireguard_on_a_raspberry_pi/
  • https://emanuelduss.ch/2018/09/wireguard-vpn-road-warrior-setup/
  • https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-als-vpn-server-mit-wireguard/

WireGuard – neues VPN-Protokoll mit großer Zukunft

WireGuard Logo

WireGuard erfreut sich seit geraumer Zeit wachsender Beliebtheit. Hinter WireGuard verbirgt sich sowohl ein VPN-Protokoll, als auch eine VPN-Software. Während es vor zwei Jahren quasi unbekannt war, hat die Bekanntheit in den letzten Monaten stark zugenommen. Grund dafür ist neben der guten Performance und dem schnellen Verbindungsaufbau sicherlich auch die Aufnahme in den stabilen Linux Kernel 5.6, welcher Anfang April 2020 erscheinen dürfte.

Ich selbst bin im Herbst 2019 auf WireGuard gestoßen, als jemand in einem Forum WireGuard vorstellte und als „heißen Scheiß“ bezeichnet hatte. Mittlerweile nutze ich WireGuard seit mehreren Monaten und kann dieser Aussage nur zustimmen :-)

Einleitung

Das VPN-Protokoll WireGuard und die gleichnamige Open Source Software wurden von Jason A. Donenfeld ins Leben gerufen. WireGuard sieht sich selber als extrem einfache, aber dennoch schnelle und moderne VPN-Lösung. Gleichzeitig soll es durch die Nutzung der neuesten Kryptographie-Techniken extrem sicher sein. Im direkten Vergleich mit IPsec und OpenVPN soll es leistungsfähiger, einfacher, schlanker und schneller sein.

Ursprünglich wurde WireGuard nur für den Linux-Kernel entwickelt, ist mittlerweile aber zudem für Windows, macOS, BSD, iOS und Android verfügbar.

Die ersten Snapshots wurden im Juni 2016 veröffentlich. Zwei Jahre später im Juni 2018 wurde der Code und das Protokoll als experimentell bezeichnet und darauf hingewiesen, dass noch kein stabiles Release existiert. Dies trifft bis zum heutigen Tag zu, könnte sich aber bald ändern.

Rund eineinhalb Jahre nach dem Vorschlag von Donenfeld zur Aufnahme in den Hauptzweig ist es nun soweit. Linus Torvalds hat vor wenigen Tagen den Entwicklungszweig Net-Next in den Hauptzweig der Kernel-Entwicklung integriert. Damit wird WireGuard erstmals Teil eines stabilen Linux-Kernels. Der Kernel 5.6 wird für Anfang April erwartet. Grund der langen Verzögerung war der Crypto-Unterbau von WireGuard, welcher einen anderen Ansatz als die Crypto-API des Linux-Kernels verfolgt und deshalb für Unstimmigkeiten gesorgt hatte. Letztlich wurden die neuen Crypto-Funktionen aber im kürzlich veröffentlichten Kernel 5.5 umgesetzt.

Technik

Der Grundgedanke hinter WireGuard ist erfrischend neu und simpel. WireGuard arbeitet ausschließlich auf Schicht 3 des OSI-Modells und ermöglicht die Netzwerkkopplung auf Peer-to-Peer-Basis. Softwareseitig gibt es keine Unterschiede zwischen den Teilnehmern. Alleine die Konfiguration entscheidet, ob ein Peer als Client oder Server arbeitet. Aus diesem Grund sind sogenannte Road-Warrior-Szenarien mit einem zentralen Server und mehreren Clients kein Problem.

Unterstützt wird neben IPv4 auch IPv6. Des Weiteren kann IPv4 in IPv6 getunnelt werden und umgekehrt. Die Verbindung zwischen zwei Peers wird über einen einzelnen, frei wählbaren UDP-Port geregelt. Standardmäßig ist dies UDP-Port 51820.

Zum Verbindungsaufbau wird auf beiden Seiten der VPN-Verbindung lediglich ein Schlüsselpaar benötigt. Der private Schlüssel bleibt dabei lokal, der öffentliche Schlüssel wird der Gegenstelle bekannt gemacht. Auf eine Zertifikat-Infrastruktur kann getrost verzichtet werden. Außerdem kann optional ein symmetrischer Schlüssel (PSK) verwendet werden, der die Verbindung zusätzlich sichert.

Andere VPN-Protokolle unterstützen eine Vielzahl von Algorithmen zum Schlüsselaustausch, zum Chiffrieren und zur Hash-Berechnung. WireGuard geht einen anderen Weg und kennt für jede Aufgabe nur einen fest codierten Algorithmus. Curve25519 für den Schlüsselaustausch, ChaCha20 für die Verschlüsselung, Poly1305 für die Authentifizierung, BLAKE2 für das Hashing und SipHash24 für die Hashtable.

Durch die vollständige Neuentwicklung und den Fokus auf Grundfunktionen kann komplett auf Altlasten verzichtet werden, was sich auch im Quelltext zeigt. Während OpenVPN und IPSec auf mehrere Hunderttausend Zeilen Code kommen, begnügt sich WireGuard mit ca. 7.000 Zeilen.

Ein weiteres Merkmal ist das eingebaute „Roaming“. Wechselt ein Peer (Client), also z.B. ein Smartphone, zwischen WLAN und Mobilfunknetz, bleibt die WireGuard-Verbindung bestehen und der Anwender bekommt davon nichts mit. Selbst wenn es in seltenen Fällen zu einem Verbindungsabbruch führt, ist die Verbindung fast unmittelbar wiederhergestellt. Andere VPN-Protokolle wie IPSec oder OpenVPN sind im direkten Vergleich quälend langsam.

Die gute Performance ist unter anderem darin begründet, dass WireGuard unter Linux direkt im Kernel arbeitet. Somit entfallen häufige Kontextwechsel zwischen Userland und Kernel und die Datenpakete können deutlich schneller abgearbeitet werden. Zudem besitzt WireGuard spezielle Optimierungen für die MIPS-Prozessor-Architektur, sodass es auch für leistungsschwache Geräte interessant ist.

Fazit

Ich habe WireGuard vor ca. fünf Monaten auf meinem Raspberry Pi und meinem Smartphone installiert. Seitdem ist mein Smartphone zu 100% über den WireGuard-VPN-Tunnel online. Weder daheim noch unterwegs musste ich bisher irgendwelche Probleme feststellen. Die Performance ist super und das Roaming-Verhalten spitze. Wie vom Entwickler versprochen gibt es hier keine Abbrüche oder Verzögerungen. Einziger Negativpunkt ist das spärliche Logging auf beiden Seiten.

In einem weiteren Artikel werde ich detailliert auf die Einrichtung unter Raspbian Buster und Android eingehen. Stay tuned!

SSH-Keys direkt unter Windows 10 erstellen

Windows 10 OpenSSH-Client

Die Implementierung von OpenSSH in Windows 10 schreitet weiter voran. Mit Version 1709 hat Windows 10 erstmals einen SSH-Client und -Server erhalten. Ab Windows 10 1809 ist der OpenSSH-Client bereits standardmäßig installiert. Davor musste das optionale Feature von Hand aktiviert werden.

Darüber hinaus können SSH-Keys erzeugt werden, sofern der OpenSSH-Client installiert ist. Das Ganze funktioniert relativ einfach direkt aus der Eingabeeinforderung oder der PowerShell.

  1. „ssh-keygen“ eintippen und Enter-Taste drücken.
    ssh-keygen
  2. Anschließend wird ein Pfad und Dateiname für den Key vorgeschlagen. Wenn dieser passt könnt ihr mit der Eingabetaste zum nächsten Schritt, alternativ könnt ihr aber auch einen anderen Pfad und Namen vergeben.
  3. Jetzt könnt ihr eine Passphrase vergeben. Obwohl dieser Schritt optional ist, empfehle ich starkes Passwort zu verwenden, um den Key vor Missbrauch zu schützen.
  4. Zum Schluss wird der Key-Fingerprint angezeigt. Der Public Key wird standardmäßig unter dem Namen „id_rsa.pub“ angelegt.

Hier alle Schritte im Überblick:

Windows 10 ssh-keygen

Selbstverständlich werden auch weitere Public Key Algorithmen und viele weitere Optionen unterstützt. Hier ein kleiner Überblick aller Möglichkeiten:

usage: ssh-keygen [-q] [-b bits] [-t dsa | ecdsa | ed25519 | rsa]
                  [-N new_passphrase] [-C comment] [-f output_keyfile]
       ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
       ssh-keygen -i [-m key_format] [-f input_keyfile]
       ssh-keygen -e [-m key_format] [-f input_keyfile]
       ssh-keygen -y [-f input_keyfile]
       ssh-keygen -c [-P passphrase] [-C comment] [-f keyfile]
       ssh-keygen -l [-v] [-E fingerprint_hash] [-f input_keyfile]
       ssh-keygen -B [-f input_keyfile]
       ssh-keygen -F hostname [-f known_hosts_file] [-l]
       ssh-keygen -H [-f known_hosts_file]
       ssh-keygen -R hostname [-f known_hosts_file]
       ssh-keygen -r hostname [-f input_keyfile] [-g]
       ssh-keygen -G output_file [-v] [-b bits] [-M memory] [-S start_point]
       ssh-keygen -T output_file -f input_file [-v] [-a rounds] [-J num_lines]
                  [-j start_line] [-K checkpt] [-W generator]
       ssh-keygen -s ca_key -I certificate_identity [-h] [-U]
                  [-D pkcs11_provider] [-n principals] [-O option]
                  [-V validity_interval] [-z serial_number] file ...
       ssh-keygen -L [-f input_keyfile]
       ssh-keygen -A
       ssh-keygen -k -f krl_file [-u] [-s ca_public] [-z version_number]
                  file ...
       ssh-keygen -Q -f krl_file file ...

Wem die standardmäßigen 2048-Bit-RSA-Keys zu schwach sind, der kann mit folgenden Befehlen stärkere Keys erzeugen:

ssh-keygen -t rsa -b 4096
ssh-keygen -t ecdsa -b 521
ssh-keygen -t ed25519

Die Zukunft von DNS? DNS over TLS (DoT) und DNS over HTTPS (DoH)

Das mittlerweile über 30 Jahre alte Domain Name System (DNS) ist nach wie vor einer der wichtigsten Dienste in vielen IP-basierten Netzwerken. Die Hauptaufgabe von DNS ist die Namensauflösung, d.h. die Umsetzung von Domainnamen in IP-Adressen. Große Probleme bei DNS sind die fehlende Sicherheit und Privatsphäre. Die DNS-Kommunikation findet über UDP-Port 53 im Klartext statt und kann daher quasi von jedem mitgelesen und manipuliert werden. Die Missbrauchsmöglichkeiten von DNS sind erschreckend einfach umzusetzen, was viele Fälle in der Vergangenheit zeigen. Darüber hinaus können Nachrichtendienste, Provider und Betreiber von DNS-Servern die DNS-Kommunikation mitlesen und wissen, wer wann welche Internetadressen bzw. -dienste aufgerufen hat. Damit lassen sich Nutzerprofile erstellen und eine großflächige Überwachung realisieren. Einige Anbieter von DNS-Servern nutzen die Daten unter anderem auch für Werbezwecke.

Spätestens jetzt sollte jedem klar sein, dass die ursprüngliche Implementierung von DNS deutliche Nachbesserungen in den Bereichen Privatsphäre, Datenschutz und Sicherheit benötigt.

DNSSEC

Diese Probleme wurden schon früher erkannt. Einige wollte man bereits im Jahr 1999 mittels DNSSEC (Domain Name System Security Extensions) angehen. Die erste Implementierung (RFC 2535) erwies sich jedoch als nicht praxistauglich, weshalb 2005 eine Neufassung von DNSSEC veröffentlicht wurde (RFC 4033). Damit wird DNS um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitert. Konkret bedeutet dies, dass Zonen signiert werden und DNSSEC-Nutzer somit die Echtheit einer DNS-Anfrage verifizieren können. Wenn die Signatur ungültig ist, werden die Daten verworfen. Auf den Root-Nameservern wurde DNSSEC im Mai 2010 eingeführt.

Allerdings hat sich DNSSEC immer noch nicht flächendeckend durchgesetzt. Die Hauptgründe liegen an der als kompliziert geltenden Umsetzung (ein Relikt aus den Anfangszeiten) und daran, dass nicht alle Probleme von DNS gelöst werden. Beispielsweise werden nach wie vor alle Daten unverschlüsselt übertragen und können mitgelesen und archiviert werden. Des Weiteren werden die Manipulationsmöglichkeiten nicht vollständig unterbunden und einige Provider unterstützen noch immer kein DNSSEC auf ihren DNS-Resolvern. Bei Interesse kann diese Information auf https://internet.nl über den Punkt „Test your connection“ geprüft werden. Unabhängig davon bleibt die „letzte Meile“ dennoch in fast allen Fällen ungesichert. Ein Großteil der Heimrouter und so gut wie alle Betriebssysteme und Browser unterstützen kein DNSSEC. Damit kann der User nach wie vor nicht darauf vertrauen, dass die DNS-Antworten korrekt sind.

Bei DNSSEC sind die Daten zumindest digital signiert. Die Übertragung erfolgt jedoch im Klartext. Zwischen User und Provider-DNS-Server sind die Daten fast immer komplett ungesichert.

Daraufhin wurden in den letzten Jahren mehrere Protokolle mit dem Ziel entwickelt, die fehlende Privatsphäre und den nicht vorhandenen Datenschutz nachzurüsten. Dies geschieht mittels Verschlüsselung. Mittlerweile haben sich zwei Favoriten durchgesetzt: DNS-Anfragen werden entweder mit TLS verschlüsselt (DNS over TLS (DoT) ) oder in HTTPS verpackt (DNS over HTTPS (DoH)). Anderen Alternativen wie DNSCurve oder DNSCrypt sind faktisch tot.

DNS over TLS (DoT)

Das Prinzip von DoT (RFC 7858 und RFC 8310) ist simpel. Die DNS-Informationen werden über eine TCP-Verbindung mit dem Resolver ausgetauscht, die via Transport Layer Security (TLS) authentifiziert und verschlüsselt ist. Damit können Nutzer die gewünschten Daten vom Nameserver beziehen, ohne dass Dritte mitlesen können. Eine Validierung der DNS-Daten erfolgt nicht durch DoT, deshalb sollte DoT immer in Kombination mit DNSSEC verwendet werden.

Schauen wir uns DNS over TLS genauer an. Die Kommunikation läuft über den TCP-Port 853. Sollte dies nicht funktionieren, ist in der Regel das „normale“ DNS via UDP-Port 53 als Fallback aktiv. Dies ist aber von den Sicherheitseinstellungen des Systems abhängig. In der Praxis dürfte dies vor allem in Unternehmen und öffentlichen WLAN-Hotspots problematisch sein, da der relativ unbekannte TCP-Port 853 hier vermutlich blockiert wird. Mit dem Zurückfallen auf UDP-Port 53 ist DoT nutzlos, ohne Fallback funktioniert die Namensauflösung auf dem Client nicht mehr. Ein weiteres Problem ist der relativ große Overhead durch TCP und TLS, der eine Namensauflösung deutlich einbremst. Dies ist allerdings nicht so tragisch, da zum einen geöffnete DoT-Verbindungen für mehrere DNS-Abfragen verwendet werden und zum anderen einige Performance-Optimierungen mit der neuen TLS-Version 1.3 auf den Weg gebracht wurden.

DoT kann ohne Probleme bereits heute genutzt werden. Bei den Betriebssystemen wird das Protokoll ab Android 9 (Pie) unterstützt (siehe Screenshot). Zu finden ist die Option in den Einstellungen unter „Netzwerk & Internet“ unter dem Punkt „Privates DNS“. Bei der Option „Automatisch“ testet Android, ob der Nameserver DoT anbietet und verwendet es gegebenenfalls. Darüber hinaus kann ab Version 239 des DNS-Resolvers in Linux-Systemd (systemd-resolved) DoT genutzt werden, welches allerdings standardmäßig deaktiviert ist.

Ebenso existieren bereits eine Vielzahl an DNS-Resolvern. Eine gute Übersicht bekannter DoT-Server findet ihr hier beim DNS Privacy Project.

Wenn ihr eure Surf-Gewohnheiten nicht mit großen amerikanischen Konzernen teilen wollt (Google, Cloudflare, usw.), existiert hier eine zweite Liste mit kleineren DoT-Servern und „no logging“-Policy. Einige davon stehen in Deutschland und bieten zusätzlich eine Blockierung von Werbung und Trackern. Empfehlen kann ich euch das Projekt Blahdns.

DNS over HTTPS (DoH)

Auf den ersten Blick scheint DoH (RFC 8484) eine gewisse Ähnlichkeit mit DoT zu haben. Auch hier kommt eine TCP-Verbindung mit TLS zum Einsatz, um Lauscher das Leben schwer zu machen. Der Unterschied ist, dass die DNS-Informationen zusätzlich im HTTPS-Protokoll verpackt sind.  Wie bei DoT erfolgt bei DoH keine Validierung der DNS-Daten, weshalb DNSSEC auch hier in Kombination verwendet werden sollte.

DoH wurde in nur wenigen Monaten durch die IETF-Gremien gepeitscht. Als treibende Kräfte hinter DoH stecken unter anderem Mozilla und Google. Kein Wunder, denn DoH ist im Vergleich zu herkömmliches DNS und DoT (beide auf Systemebene) auf Anwendungsebene umgesetzt und steckt damit direkt im Browser. Die DNS-Kommunikation erfolgt via HTTPS zwischen Browser und Webserver. Stichwort HTTPS: Was zunächst als nebensächlich erscheint, könnte in der Praxis gravierende Auswirkungen haben und die bewährte Infrastruktur großflächig umkrempeln.

Theoretisch könnte bei DoH jeder Webserver als DNS-Resolver fungieren. Die ursprüngliche Idee dahinter ist, dass ein Webserver direkt alle für den Webseitenaufbau benötigten IP-Adressen mitliefert und nicht wie bisher, diverse einzelne DNS-Anfragen gestellt werden müssen. Selbst bei komplexen Webseiten wäre nur noch eine einzige DNS-Anfrage notwendig. Allerdings würde dieses Verhalten Tür und Tor für Malware und Phisher öffnen. Webseiten können dir ohne Probleme Antworten für Dritte unterschieben, Stichwort Out-Of-Bailiwick.

Eine weitere Konsequenz ist, dass über DoH-fähige Webserver beliebige DNS-Daten angefragt werden können. Dieser Traffic lässt sich von normalem Web-Traffic nicht mehr unterscheiden und lässt sich im Gegensatz zu DoT praktisch nicht blockieren. Des Weiteren wäre damit auch die Gefahr einer DNS-basierten Zensur gebannt. Wenn jeder Webserver DNS-Daten liefern kann, wäre eine Zensur schlicht und ergreifend aussichtslos. Gleichzeitig könnte die Namensauflösung via DoH dezentral über viele Webserver erfolgen, was automatisch die Privatsphäre stärkt.

Die zuletzt genannten Punkte sind aktuell aber eher Wunschdenken. Die Realität sieht so aus, dass Mozilla und Google in ihren Browsern zwar DoH implementiert haben, die Namensauflösung aber über einen zentralen Server erfolgt. Anstatt einem unabhängigen dezentralen DNS-Verkehr haben wir Stand heute eine ungesunde Zentralisierung bei amerikanischen Großkonzernen, die dann sämtliche Webseiten sehen würden, welche im Browser aufgerufen werden. Was das für die Privatsphäre bedeutet, könnt ihr euch selber ausmalen. Davon abgesehen wären diese zentralen DNS-Knoten dann geradezu prädestiniert für einen staatlichen Lauschangriff.

Ein weiteres Problem könnte sich in größeren Unternehmen ergeben. Mit DoH werden die internen DNS-Resolver umgangen und interne Dienste könnten somit nicht mehr erreichbar sein. Auch die Administrierbarkeit und Fehlersuche gestaltet sich deutlich schwieriger bis unmöglich, wenn zukünftig in jeder Anwendung unterschiedliche DNS-Resolver zum Einsatz kommen.

Eine Liste von verfügbaren DNS-Servern findet ihr beim DNS Privacy Project oder hier bei Github.

Fazit

Zusammengefasst muss ich sagen, dass der Hype um DoT und DoH nicht ganz gerechtfertigt ist. Beide Protokolle verfügen über gewisse Nachteile und sind nicht uneingeschränkt zu empfehlen. Jedem sollte bewusst sein, dass die Absicherung der „letzten Meile“ ohne DNSSEC sinnlos ist. DoT und DoH sichern die Verbindung zum DNS-Resolver ab. DNSSEC kümmert sich um die Validierung der erhaltenen DNS-Daten.

Was bedeutet dies nun in der Praxis? Wie so oft wird es keine Lösung geben, die alle problematischen Punkte komplett beseitigt. Ich unterstütze allerdings die Meinung, dass herkömmliches DNS durch seine Dezentralität prinzipiell besser dazu geeignet ist, die Privatsphäre zu schützen. Zentrale DoT- bzw. DoH-Server in den Händen großer Unternehmen bewirken eher das Gegenteil.

Ein möglicher Ansatz wäre die Verwendung eines DNS-Resolvers mit DNSSEC-Unterstützung und eine lokale Kopie der Root-Zone. Diese Anforderungen lassen sich zum Beispiel mit einem Raspberry Pi und Unbound als DNS-Resolver in Kombination mit Hyperlocal umsetzen. Nachteil ist die fehlende Verschlüsselung, was jedoch verschmerzbar ist, da durch Caching und Zonentransfer DNS-Anfragen in vielen Fällen erst gar nicht gestellt werden. Wenn sich ein Lauscher im lokalen Netz bzw. innerhalb der „letzten Meile“ befindet, ist DNS vermutlich eines der kleineren Probleme.

Ein anderer Ansatz wäre DNSSEC in Kombination mit DoT. Dabei sollten allerdings möglichst viele DNS-Resolver verwendet werden, sodass die Anfragen auf verschiedene DoT-Server verteilt werden. Damit wird das Erstellen von Profilen erschwert und man könnte sogar die Nutzung  von Google, Cloudflare und Co in Erwägung ziehen.

User Profile Wizard: Lokales Windows-Benutzerprofil zu Domäne migrieren

Mit dem Tool User Profile Wizard von ForensiT lassen sich lokale Benutzerprofile unter Windows mit wenigen Klicks zu einer Domäne migrieren. Des Weiteren ist mit dem Tool auch die Übernahme von Benutzerprofilen von einer Domäne zu einer anderen möglich.

Ich habe das Tool vor zig Jahren das erste Mal erfolgreich eingesetzt. Erst kürzlich hatte ich es erneut gebraucht, jedoch erst nach kurzer Suche wiedergefunden. Wie bei der ersten Nutzung konnte ich damit einige lokale Windows-Profile blitzschnell und ohne Probleme in ein Domänenprofil umwandeln. Der große Vorteil ist, dass sämtliche Daten, Programme und Einstellungen erhalten bleiben.

User Profile Wizard ist unter Windows 7, Windows 8(.1) und Windows 10 funktionstüchtig. Folgende Schritte sind zur Migration eines Userprofils notwendig.

  1. User Profile Wizard mit Adminrechten starten und Willkommens-Dialog bestätigen
  2. Das gewünschte Benutzerprofil markieren und auf „Weiter“ klicken, die weiteren Optionen zur Deaktivierung bzw. Löschung des lokalen Profils würde ich zur Sicherheit nach erfolgreicher Migration von Hand vornehmen.
  3. Die neue Domäne und den Domänenuser eintragen und sicherstellen, dass der Punkt „Join Domain“ aktiviert ist
  4. Jetzt müsst ihr lediglich noch die Anmeldedaten des Domänen-Benutzers eingeben und die Migration des Benutzerprofils startet.
  5. Nach kurzer Zeit ist der Vorgang beendet. Mit einem Neustart werden alle Änderungen aktiv.

Neben der Personal-Edition existieren zwei weitere, kostenpflichtige Versionen (Professional Edition, Corporate Edition) mit einem größeren Funktionsumfang. Eine Vergleichstabelle liefert eine detaillierte Auflistung der Unterschiede. Größtenteils handelt es sich aber um Automatisierungsfunktionen, die erst bei einer größeren Menge von umzustellenden Profilen wichtig sind.

Raspberry Pi – SSH Hardening

Raspberry Pi Logo

Die wohl am häufigsten genutzte Methode zur Administration eines Raspberry Pis ist Secure Shell (SSH). In den aktuellen Raspbian Versionen ist SSH bereits integriert und muss lediglich aktiviert werden.

Im aktuellen Raspbian Buster (basiert auf Debian 10 Stable) kommt OpenSSH in Version 7.9p1 zum Einsatz. Die Standard-Konfiguration ist in puncto Sicherheit zwar in Ordnung, aber mit einigen Handgriffen lässt sich die Administrationsschnittstelle deutlich besser absichern. Damit steigt die Hürde für potenzielle Angreifer deutlich. Dies ist vor allem wichtig, wenn euer Pi aus dem Internet erreichbar ist.

Mein Artikel bezieht sich auf Raspbian Buster mit OpenSSH 7.9, ist aber größtenteils auch für andere Distributionen und OpenSSH-Versionen anwendbar.

Grundlagen und hilfreiche Befehle

OpenSSH besteht aus zwei Teilen: Dem Server Daemon (sshd) und dem Client (ssh). In diesem Tutorial widme ich mich ausschließlich sshd. Die Konfigurationsdatei des Servers befindet sich hier:

/etc/ssh/sshd_config

Der Status des sshd-Daemons kann mit folgendem Befehl abgefragt werden:

systemctl status ssh.service
● ssh.service - OpenBSD Secure Shell server
   Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2019-11-02 08:44:33 GMT; 2 weeks 3 days ago

Damit könnt ihr sicherstellen, dass sshd automatisch startet (enabled) und gerade läuft (active (running)). Des Weiteren seht ihr auch die 10 letzten Logeinträge.

Mit folgendem Befehl könnt ihr die aktiven SSH-Sessions einsehen:

ss -n -o state established '( dport = :22 or sport = :22 )'

Bei Änderungen an der Server-Konfiguration empfehle ich diese vor dem Neustart des Dienstes zu prüfen. Damit könnt ihr Syntaxfehler und Probleme mit ungültigen Einstellungen in „/etc/ssh/sshd_config“ verhindern:

sudo sshd -t

Zum Anwenden der Änderungen empfehle ich sshd folgendermaßen neuzustarten. Mit dieser Variante besteht die größte Chance, dass offene Remote-Sessions nicht geschlossen werden.

sudo systemctl reload ssh.service

SSH-Server: Einstellungen

Wie oben bereits erwähnt lassen sich die Einstellungen in der Datei „/etc/ssh/sshd_config“ anpassen und sind nach einem Neustart von sshd aktiv. Einige Einstellungen sind bereits standardmäßig deaktiviert. Diese sind in der Config-Datei auskommentiert. Es schadet jedoch nicht diese noch einmal zu überprüfen.
Über die Protokoll-Version müssen wir uns keine Sorgen machen, da ab OpenSSH 7.0 SSH Version  1 bereits beim Kompilieren deaktiviert wird.
Standardmäßig hört der Server auf Port 22. Dieser kann geändert werden, um beispielsweise die Anzahl der Angriffe zu verringern. Einen Sicherheitsgewinn gibt es meiner Meinung nach nicht.
Wenn der Server mehrere IP-Adressen besitzt, kann über „ListenAdress“ eingeschränkt werden, auf welcher IP eine Verbindung akzeptiert werden soll.

#Port22
#ListenAddress 0.0.0.0
#ListenAddress ::

Da wir auf unserem Raspberry keine grafische Benutzeroberfläche haben, können wir das X11-Protokoll getrost deaktiviert lassen. Davon abgesehen wird vom Server ein Rückkanal zum Client geöffnet, was sicherheitstechnisch nicht ganz unbedenklich ist.

#X11Forwarding no

Mittels .rhosts-Datei kann der Zugriff von fremden Systemen lediglich anhand der IP-Adresse erlaubt werden. Dieser Zugriff ist heutzutage nicht mehr üblich und daher standardmäßig deaktiviert.

#IgnoreRhosts yes

Useraccounts ohne Passwort dürfen sich nicht via SSH anmelden. Auch diese Option ist per Default deaktiviert.

#PermitEmptyPasswords no

Eine direkte Anmeldung mit dem Account „root“ sollte in der Regel nicht erlaubt werden (PermitRootLogin no). Falls dies aus bestimmten Gründen dennoch notwendig sein sollte, ist die Option „without-password“ in Ordnung. Diese ist standardmäßig gesetzt und erlaubt eine Public-Key-Authentifizierung mit dem root Account.

#PermitRootLogin without-password

Die maximale Zahl der Anmeldeversuche pro User sind standardmäßig auf 6 gesetzt. Ich würde empfehlen den Wert weiter zu verringern, beispielsweise auf 3.

MaxAuthTries 3

Inaktive Sessions können nach einer bestimmten Zeit automatisch beendet werden. Mit „ClientAliveInterval“ wird festgelegt, nach wie vielen Sekunden Inaktivität der Server eine Nachricht an den Client sendet. „ClientAliveCountMax“ ist die Anzahl, wie oft dies der Server wiederholt, bis der Client getrennt wird. In meinem Beispiel oben wird der Client nach 15 Minuten getrennt.

ClientAliveInterval 300
#ClientAliveCountMax 3

Normalerweise erfolgt die Anmeldung am Server mit Username und Passwort. Eine bessere Alternative ist die Public-Key-Authentifizierung. Diese ist bereits standardmäßig erlaubt.

#PubkeyAuthentication yes

Zur Einrichtung muss auf dem Client zunächst ein neues Schlüsselpaar generiert werden. Wählt hier „Ed25519“, sofern nichts gravierendes dagegenspricht. Unter Windows könnt ihr dies prima mit PuTTYGen erledigen. Ab Windows 10 1809 kann dies auch direkt via PowerShell oder der Eingabeaufforderung erledigt werden. Unter Linux nutzt ihr ssh-keygen. Der Einsatz einer Passphrase ist zwar optional, aber ich empfehle ein starkes Passwort zu verwenden, um den Key vor Missbrauch zu schützen.

ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/id_ed25519

Im nächsten Schritt muss der Public Key auf dem Server eingetragen werden. PuTTYGen stellt euch den String bereit, den ihr in die „authorized_keys“ kopieren müsst.

ssh pi@192.168.10.10
mkdir ~/.ssh
chmod 700 ~/.ssh
vi ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

Unter Linux geht dies mit „ssh-copy-id“ etwas einfacher.

ssh-copy-id -i ~/.ssh/id_ed25519.pub pi@192.168.10.10

Abschließend solltet ihr prüfen, ob die Anmeldung via Public-Key-Authentifizierung funktioniert. Falls ja, könnt ihr nun die Passwort-Anmeldung an eurem SSH-Server deaktivieren.

PasswordAuthentication no
#ChallengeResponseAuthentication no

SSH-Server: Cipher-Suites und Verschlüsselungsalgorithmen

Zur Prüfung, welche Cipher-Suites und Verschlüsselungsalgorithmen euer OpenSSH-Server anbietet, eignet sich das Python-Script „ssh-audit“:

cd ~
wget https://github.com/jtesta/ssh-audit/releases/download/v2.1.0/ssh-audit-2.1.0.tar.gz
tar -xvzf ssh-audit-2.1.0.tar.gz
~/ssh-audit-2.1.0/ssh-audit.py localhost

Alternativ könnt ihr auch Nmap dazu verwenden:

nmap -p22 -n -sV --script ssh2-enum-algos localhost

Schauen wir uns zunächst die Algorithmen für den Schlüsseltausch an. Falls Curve25519 nicht ausreichend ist, könnt ihr noch „diffie-hellman-group-exchange-sha256“ hinzufügen.

KexAlgorithms curve25519-sha256@libssh.org

Danach folgen die Schlüssel bzw. Algorithmen für die Authentifizierung. Hier solltet ihr alle vorhandenen Host-Schlüssel löschen und neu generieren.

cd /etc/ssh
sudo rm ssh_host_*key*
sudo ssh-keygen -t ed25519 -f ssh_host_ed25519_key -N "" < /dev/null
sudo ssh-keygen -t rsa -b 4096 -f ssh_host_rsa_key -N "" < /dev/null

Anschließend könnt ihr in eure „sshd_config“ folgendes eintragen:

HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKeyAlgorithms ssh-ed25519,ssh-rsa

Als nächstes nehmen wir uns den symmetrischen kryptographischen (Ciphers) sowie MAC (Message Authentication Code) Algorithmen an. Folgendes gilt aktuell als sicher:

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

Prüft zur Sicherheit, dass ihr vor dem Neustart von sshd eine Verbindung habt, damit ihr euch im Notfall nicht den Zugang zu eurem Raspberry absägt.

Einen guten Artikel mit weiteren Details über die einzelnen Cipher-Suites und Verschlüsselungsalgorithmen findet ihr hier: https://stribika.github.io/2015/01/04/secure-secure-shell.html

Unterhaltungssoftware für Windows 10

Moderne Rechner sind alles andere als reine Arbeitsgeräte. Die meisten Windows-10-User verwenden ihren Computer auch für ein bisschen Entertainment zwischendurch, manche spielen und daddeln sogar stundenlang damit. Nicht jedes Programm, das zu Unterhaltungszwecken verwendet wird, befindet sich irgendwo auf einem fremden Server und gelangt nur per Browser auf das Display. Es stehen auch genügend Apps vom Puzzlespiel über Online Poker bis Aufbau- und Belagerungsabenteuer zur Auswahl, die sich nach guter, alter Manier installieren lassen, sodass sie auch bei ausgeschaltetem WLAN funktionieren. Hier ein paar Beispiele für kurzweilige Software, die Leben in die Bude bringt.

Throne Together: ein Puzzlespiel für flinke Baumeister

Bei Throne Together haben wir es mit einem netten Puzzle- und Ratespiel zu tun, das die Gehirnzellen anregt und schnell zu einem gern gesehenen Zeitvertreib wird. Der User schlüpft in die Rolle eines Baumeisters, der für einen Kunden ein ganzes Schloss errichtet. Ziel ist es, der beste Architekt des Königreichs zu werden, doch vorher gibt es jede Menge zu tun. Die Wünsche des Auftraggebers müssen ebenso Beachtung finden wie die Gesetze der Statik. Die zur Verfügung stehenden Blöcke gehören also so aufeinandergelegt, dass sie den Bauplan erfüllen und auf keinen Fall zu einem Zusammenbruch führen. Das Spiel wartet mit 65 teilweise ziemlich komplizierten Leveln auf. Es fordert dazu heraus, hohe Türme und schmale Brücken zu errichten, manchmal auch im Kampf gegen die Zeit. Wer sich mit Facebook vernetzt, der hat die Möglichkeit, seinen Fortschritt mit Freunden zu teilen und Hilfsmittel zu verschenken, in der Hoffnung, irgendwann selbst freundliche Gaben zu erhalten. Throne Together ist kostenlos zu haben, beinhaltet aber In-App-Käufe.

888Poker: Online Poker mit allen modernen Raffinessen

Bereits seit Anfang des neuen Jahrtausends gibt es das digitale Poker. Waren die Anwendungen anfangs noch unpraktisch und visuell langweilig, so bieten sie heutzutage eine große Vielfalt. Die Online Poker Software von 888 gehört auf diesem Gebiet zu den Marktführern mit stetig steigender Nutzerzahl. Auf die Spieler warten hier zahlreiche Poker-Varianten, die als Cash Game oder im Turnierformat gespielt werden können. Das zu jeder Tages- und Nachtzeit hohe Spieleraufkommen eröffnet dem Nutzer jederzeit die Möglichkeit, die passenden Gegner für eine Partie Texas Hold’em oder Omaha hi-lo zu finden. Wer möchte, kann zwar auch auf der Homepage über den Browser zocken, doch der Download der Pokersoftware ist kostenlos und durchaus zu empfehlen – sowohl für den stationären Rechner als auch fürs Smartphone. Die Pokerregeln sind zu sperrig, um sie an dieser Stelle ins Detail zu erklären, auch stehen so viele Spielvarianten zur Auswahl, dass es schwer ist, eine Auswahl zu treffen. Neueinsteiger im Online Poker finden aber auf 888Poker genügend Erklärungen und Tutorials, um in ihr neues Hobby hereinzufinden. Es ist empfehlenswert, zuerst mit Spielgeld zu beginnen, bevor es mit echtem Barem in die Vollen geht.

Endless Skater: rasanter Bildschirmsport mit Adrenalinkick

Sport auf dem Bildschirm stellt immer noch die bequemste Variante dar, sich selbst in Bewegung zu setzen. Endless Skater ist eine kostenlose Windows 10 App mit schöner Optik und intuitiver Steuerung, die den User auf ein fahrendes Rollbrett versetzen, um verschiedene Level zu bestehen. Wer sich in der Skater-Welt auskennt, der wählt einen bekannten Protagonisten aus und hofft, dass er dem großen Vorbild gerecht wird. Wie auch schon beim Online Poker stehen unterschiedliche Spielmodi zur Wahl, für Abwechslung ist also gesorgt. Zu Anfang führt ein kleines Tutorial in die Bedienung der Software, danach geht es dann richtig zur Sache. Der frischgeborene Super-Skater muss Hindernisse überspringen, über Rampen rattern und Gegenständen ausweichen. Er kann noch dazu elegante Tricks vollführen, um seinen Score zu verbessern und zum Meister seines Fachs zu werden. Einige Inhalte sind leider nur per In-App-Kauf freizuschalten, aber auch mit Hilfe einer hohen Leistung lassen sich neue Strecken und Tricks aktivieren.

Age of Empires: Castle Siege – Online Poker für echte Krieger

Bereits seit vielen Jahren geistert Age of Empires über die Bildschirme der Nation. Diese noch vergleichsweise frische Variante mit dem Zusatztitel Castle Siege ist speziell für Windows 10 konzipiert und lässt sicher niemanden kalt, der das komplexe Strategiespiel noch von früher kennt. Neulinge werden sich ebenfalls bald schon im Bann der wuselnden kleinen Dorfbewohner und Krieger befinden, die sich in Windeseile bereitmachen, um gegen die Nachbarn in den Krieg zu ziehen. Die App ist kostenlos, doch nur mit In-App-Käufen lässt sich der Spielverlauf beschleunigen, um dem Gegner noch besser gewachsen zu sein. Die erste Herausforderung besteht darin, eine starke Festung zu errichten, damit der zu erwartende Angriff des Feindes möglichst im Sand verläuft. Danach sollte der erste Feldzug auf feindliches Gebiet erfolgen, um seine Ressourcen zu erobern und damit die eigene Weiterentwicklung voranzutreiben. Das fühlt sich auch ein bisschen wie Online Poker an, denn hier wie dort wird es am Ende nur einen Sieger geben.

Minecraft: Landschaftsbau für clevere Würfelexperten

Noch ein Klassiker: Minecraft gehört zu den meistgespielten digitalen Games der Welt, und das seit einer beträchtlichen Zahl von Jahren. Es ist auch als App für Windows 10 zu haben, allerdings nur für 90 Probeminuten kostenlos. Danach werden für die Vollversion 26,99 Euro fällig, für eine schier endlose Welt voll mit dreidimensionalem Gestaltungspotenzial und gefährlichen Zombies, Hexen und Skeletten. Im Kreativmodus kann der User ganz gemächlich die würfelförmige Landschaft erforschen und sie nach Belieben gestalten. Er baut Häuser, ganze Schlösser, Schiffe oder was immer ihm gerade vorschwebt. Der Überlebensmodus dient dazu, sich gegen die zahlreichen finsteren Feinde zu behaupten und dabei trotzdem das eine oder andere Bauprojekt zu vollenden. Minecraft fordert die Fantasie und Kreativität heraus und treibt auf Wunsch auch den Adrenalinspiegel in die Höhe. Diese App stellt auch die Option bereit, sich mit Freunden im Multiplayer-Modus zu verbinden – ganz wie bei einer Partie Texas Hold’em.

Pinball FX3: digitales Flipperspiel mit Show-Effekt

Flipperfreunde werden sich sicher noch an den schönen Klassiker Pinball FX erinnern, der nun schon in dritter Auflage unterwegs ist. Ebenso wie das analoge Kartenspiel auf dem Rechner zum Online Poker mutierte, ist aus dem mechanischen Automaten ein virtuelles Spiel geworden, das seinen physisch greifbaren großen Bruder perfekt nachahmt. Die Flipperkugel muss sich durch einen Parcours aus Röhren, Spalten, Tunneln und anderen Hindernissen winden, um schließlich wieder zurück in ihren Slot zu fallen. Umso länger der Spieler seinen kleinen, runden Kumpanen im Rennen hält, desto mehr Punkte kann er absahnen. In Pinball FX3 besteht die Wahl zwischen mehreren Flipper-Designs, die zum Beispiel das Thema Marvel-Helden oder Star Wars aufgreifen. Außerdem sind die Level breitgefächert, genau das Richtige, um in der Mittagspause kurz ein aufregendes Spielchen zu wagen. Die kostenlose Variante enthält allerdings nur zwei unterschiedliche Automaten, andere Geräte stehen erst nach Zahlung einer Gebühr bereit.

Forza Motorsport 6 – Apex

Autorennen gehören weiterhin zu den beliebtesten Computerspielen überhaupt. Wahrscheinlich schlummert in den meisten von uns doch irgendwo versteckt ein Lewis Hamilton oder Felipe Massa. Mit der Windows-10-App Forza Motorsport 6 – Apex kann jeder, der möchte, endlich den Beweis antreten, was er als Rennfahrer wirklich draufhat. Mehr als 60 verschiedene Fahrzeuge stehen in der beliebten Freeware bereit, um über eine der 20 Pisten zu düsen. Darunter sind echte Tourenwagen zu finden, aber auch Muscle Cars und seltsame Exoten. Die Strecken sind auf 6 Regionen aufgeteilt und sie enthalten sowohl Tag- und Nachtwechsel als auch sich verändernde Wetterbedingungen. Damit das Ambiente stimmt, hat der User während des Rennens ein detailreiches Cockpit vor Augen, das er nach Belieben bedienen kann. Nun gilt es nur noch, die eigenen Freunde zu informieren und sie zu einem harten Wettkampf herauszufordern! Übrigens gibt es inzwischen auch eine kostenpflichte Variante dieses Spiels, sie hält sicher einige Überraschungen bereit. Doch für den Anfang genügt die Gratis-Variante, sie verfügt über eine absolut ausreichende Ausstattung und beschert garantiert viele Stunden Fahrspaß.

Vergnügen auf Windows 10 muss gar nicht teuer sein

Langeweile ade, jetzt hält das Vergnügen Einzug! Und zwar nicht unbedingt gegen Geld, sondern auf Wunsch auch „für lau“. So findet jeder sein Spielchen, das nicht nur zu seinen persönlichen Ansprüchen, sondern auch zum eigenen Geldbeutel passt. Beim Online Poker zum Beispiel muss niemand echtes Geld ins Spiel bringen, sondern wer will, der beschränkt sich ganz auf digitale Coins. Ebenso sind In-App-Käufe kein Muss, sondern sie bringen nur einen zusätzlichen Reiz ins Spiel. So finden die Apps einen breiten Streukreis aus ganz unterschiedlichen User-Gruppen, und das ist auch gut so.

„www“ und „https://“ in Chrome-Adresszeile ab Chrome 78

Google Chrome Logo

Ab Chrome 76 werden Internet-Adressen in der Adresszeile standardmäßig ohne „https://“ und „www“ angezeigt. In meinem Artikel „„www“ und „https://“ in Chrome-Adresszeile anzeigen“ habe ich euch gezeigt, wie ihr das Verhalten anpassen könnt, damit diese meiner Meinung nach wichtigen URL-Bestandteile wieder angezeigt werden.

Mit der kürzlich veröffentlichten Version 78 hat Google diesbezüglich im Chrome abermals eine Änderung durchgeführt. Der relativ einfache Workaround über „chrome://flags/“ funktioniert damit leider nicht mehr. Die entsprechenden Optionen (siehe Screenshot) sind schlicht und einfach nicht mehr vorhanden.

Wer die Flags vor Chrome 78 gesetzt hat, kommt weiterhin in den Genuss der vollen URL.

Ab Chrome 78 müssen die drei Flags von Hand in der „Local State“ Datei eingepflegt werden. Dafür muss Chrome zunächst komplett beendet werden. Anschließend diese Datei mit einem Texteditor öffnen, sie befindet sich unter folgendem Pfad:

C:\Users\USERNAME\AppData\Local\Google\Chrome\User Data\

Dort muss folgendes eingetragen werden.

{
	"browser": {
		"enabled_labs_experiments": [
			"omnibox-ui-hide-steady-state-url-scheme@2",
			"omnibox-ui-hide-steady-state-url-trivial-subdomains@2",
			"omnibox-ui-hide-steady-state-url-path-query-and-ref@2"
		]
	}, ... ...
}

Vermutlich sind bei euch schon diverse andere Einstellungen vorhanden. In diesem Fall müsst ihr die drei Optionen von Hand an der richtigen Stelle einfügen. Achtet dabei streng auf die Einhaltung der Syntax.

Zum Schluss die Datei speichern und Chrome starten. Wenn alles geklappt hat, solltet ihr nun die volle URL sehen können (siehe Screenshot).

Wenn es nicht funktioniert, habt ihr höchstwahrscheinlich bei der Syntax einen Fehler gemacht und Chrome kann die Datei „Local State“ nicht lesen. In diesem Fall wird die alte Datei in „Local State.bad“ umbenannt und eine neue „Local State“-Datei generiert. Dann einfach nochmal die Syntax prüfen und den Fehler beheben.

Kategorien: Software & Apps

Arbeiten mit Windows? So macht ihr euren PC sicher

Windows Logo

Die gute Nachricht schon mal vorweg: Betrachtet man die Sicherheitsfunktionen, die bereits vorinstalliert sind, schneidet Windows 10 schon mal wesentlich besser ab, als seine Vorgänger-Versionen. Allerdings sollte man sich bei der Arbeit mit Windows nicht unbedingt auf die voreingestellten Sicherheitsmaßnahmen verlassen, sondern lieber mit ein paar individuellen Anpassungen die Systemsicherheit erhöhen. Wie ihr dies bewerkstelligen könnt und was ihr dabei beachten solltet, zeigen wir euch im folgenden Artikel.

Sicherheitsmaßnahmen für die Arbeit mit Windows

  • Ein sicheres Passwort für das Nutzer-Konto festlegen

Egal, ob ihr euch mit eurer Microsoft-ID oder einem lokalen Windows-Konto anmeldet: Ein sicheres Kennwort ist auf jeden Fall ein Muss. Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen und mindestens zehn Zeichen lang sein. Beim Kennworthinweis solltet ihr darauf achten, dass ihr eine Sicherheitsfrage verwendet, deren Antwort nur euch selbst bekannt ist. Auch sollte die Sicherheitsfrage nur euch selbst helfen und nicht anderen, die sich unerlaubterweise Zugriff zu eurem Konto verschaffen wollen.

  • Bildcode als sichere Alternative zum Passwort

Anstatt eines Passwortes könnt ihr bei Windows 10 auch einen Bildcode verwenden. Dazu müsst ihr die PC-Einstellungen öffnen und zum Menüpunkt „Passwort“ navigieren. Ihr könnt euch dann ein Foto aus eurem Speicher aussuchen und an einer beliebigen Stelle drei Gesten darauf zeichnen. Diese Funktion ist natürlich ideal für Geräte mit einem Touch-Screen, aber auch für andere Geräte ist sie geeignet. Falls ihr eure Gesten vergesst, könnt ihr euch auch einfach mit eurem Passwort anmelden.

  • Automatische Updates aktivieren

Grundsätzlich werden Windows-Aktualisierungen und System-Updates aufgrund der Voreinstellungen automatisch heruntergeladen und installiert, so dass ihr euch darum gar nicht kümmern müsst. Allerdings kann es aufgrund von Aktualisierungen oder dergleichen vorkommen, dass die Funktion „Automatisches Update“ deaktiviert wird. Deshalb solltet ihr im Wartungscenter regelmäßig checken, ob die Funktion noch aktiviert ist. Wurde ein Update installiert, wartet Windows zwei Tage, bis es den PC automatisch neu startet. Erst dann werden die Aktualisierungen vollständig übernommen. Das heißt, auch wenn ihr bereits alle Updates heruntergeladen und installiert habt, kann es sein, dass euer PC dennoch ungeschützt ist. Ihr solltet deshalb den Neustart eures Computers zeitnah selbstständig durchführen, um Änderungen wirksam zu machen.

  • Auch App-Updates automatisch installieren lassen

Apps aus dem Windows-Store werden nicht automatisch mit den System-Updates durchgeführt. Allerdings könnt ihr einstellen, dass auch die Apps automatisch aktualisiert werden. Geht dazu zum Windows Store. Dort klickt ihr mit der linken Maustaste auf die drei Querstriche links oben und dann auf „Einstellungen“. Unter dem Punkt „App-Updates“ könnt ihr dann festlegen, dass auch Aktualisierungen für Apps automatisch durchgeführt werden.

  • Benachrichtigungen für fremde Augen ausblenden

Je nach Einstellungen zeigt Windows 10 auf dem Sperrbildschirm und im Benachrichtungscenter häufig persönliche Informationen an. Es benachrichtigt euch zum Beispiel, wenn Mails eintreffen, wenn Termine aus eurem Kalender anstehen oder wenn es an der Zeit ist, Aktualisierungen vorzunehmen. Nicht alle davon sind aber dafür bestimmt, von Fremden gesehen zu werden. Durch einen Klick mit der rechten Maustaste auf das Benachrichtigungs-Icon könnt ihr die Funktion „Benachrichtigungen ausblenden“ wählen. Hier könnt ihr euch entscheiden, ob ihr die Benachrichtigungen für eine, für drei oder für acht Stunden ausblenden lassen wollt.

  • Windows Defender einsetzen

Der Windows Defender wurde im Vergleich zu den vorherigen Versionen sehr stark verbessert. Er ist sozusagen ein vollwertiger Virenscanner. Er entdeckt sehr viel mehr Malware als zuvor, da er versucht, unbekannte und auffällige Dateien aufzuspüren. Findet er etwas Auffälliges schickt er automatisch ein Protokoll an Microsoft, wo die Datei dann auf schädliche Codes untersucht wird. Auch die Einbindung des Virenscanners in den Internet Explorer ist neu. Der Defender wird hier zur Prüfung von Active-X-Erweiterungen genutzt. Wenn ihr Einstellungen beim Defender ändern wollt, tippt ihr einfach „Defender“ in die Suchleiste auf dem Desktop ein. So gelangt ihr ganz einfach zur entsprechenden App.

  • On-Demand-Scanner nutzen

Der Defender bietet auch einen On-Demand-Scanner mit dem ihr gezielt bestimmte Dateien Verzeichnisse überprüfen könnt. Dazu müsst ihr den Defender öffnen und auf der Startseite die Option „Benutzerdefiniert“ wählen. Wenn ihr auf „Jetzt überprüfen“ klickt, könnt ihr den Ordner oder ein Laufwerk auswählen, das auf einen Virenbefall geprüft werden soll und den Scan schließlich mit „Ok“ starten.

  • Ein VPN verwenden

Auch die Verwendung eines VPNs bietet einen zuverlässigen Schutz vor Fremdzugriffen. Mit einem VPN werden alle eure Daten bei der Übertragung verschlüsselt und durch eine Art Tunnel geschickt. So werden sie optimal vor dem Zugriff von Unbefugten geschützt. Auch eure IP-Adresse wird verschlüsselt, so dass ihr euch weitestgehend anonym im Netz aufhalten könnt. Es gibt zahlreiche VPN-Anbieter (zum Beispiel, dieses). Welches das beste VPN für euch ist, findet ihr mit ein bisschen Internet-Recherche schnell heraus.

Wir sehen also, dass Windows bereits viele Sicherheits-Features mitbringt. Um diese auch wirklich optimal zu nutzen, sind häufig nur die richtigen Einstellungen nötig. Verbesserte Sicherheit muss also weder unbedingt viel Zeit, noch viel Geld kosten.

„www“ und „https://“ in Chrome-Adresszeile anzeigen

Der vor einigen Wochen veröffentlichte Chrome 76 bringt unter anderem eine Änderung der Adresszeile mit sich.  Internet-Adressen werden nun standardmäßig ohne „https://“ und „www“ angezeigt.

Bereits im September 2018 hatte Google die Adresszeile des Chrome Browsers überarbeitet, sodass „www“ und „triviale Subdomains“ ausgeblendet wurden. Die Kritik der Nutzer war groß und Google ruderte nach kurzer Zeit wieder zurück. Allerdings hatten die Entwickler damals schon angekündigt, dass die Subdomain „www“ eines Tages wieder ausgeblendet werden würde. Mit Chrome 76 wurde diese Ankündigung nun umgesetzt. Laut Google wurde einige Monate mit der URL-Darstellung experimentiert und man lege großen Wert auf Einfachheit und Nutzbarkeit. Die URL-Komponenten, die für viele Chrome-User irrelevant sind, wurden zur besseren Lesbarkeit weggelassen.

Es mag sein, dass viele Nutzer nicht genau wissen, was sich hinter den URL-Bestandteilen „https://“, „http://“ sowie „www“ verbirgt. Dennoch bin ich der Meinung, dass diese ein wichtiger Bestandteil der URL sind und deshalb nicht ausgeblendet werden sollten. Außerdem liefern sie für versierte Anwender Informationen über Inhalt und Struktur der Webseite. Viele Reaktionen im Chromium Bug-Tracker sehen das ähnlich.

Glücklicherweise lässt sich die Anzeige aller URL-Bestandteile wieder relativ einfach aktivieren.

Vollständige URL-Anzeige in Chrome aktivieren

  1. Öffnet einen neuen Tab in Chrome und gebt dort „chrome://flags/“ ein.
  2. Oben in der Suche nach „Omnibox UI Hide“ suchen.
  3. Die drei Werte von „Default“ auf „Disabled“ ändern.
  4. Anschließend unten auf den Button „Relaunch Now“ klicken“.
  5. Nach einem Neustart von Chrome wird die komplette URL angezeigt.

Eine alternative Lösung ist die Installation der Erweiterung „Suspicious Site Reporter„. Das Add-on ist eigentlich dazu gedacht, verdächtige Webseiten an Google zu melden. An netter Nebeneffekt sorgt es allerdings für eine „unzensierte“ Adressleiste.

Kategorien: Software & Apps

3 Funktionen, die Windows abschaffen sollte

Windows Logo

Windows 10 bringt Nutzern viele Vorteile gegenüber den älteren Versionen. Allerdings gibt es, wenn man genauer hinschaut, genauso viele nutzlose Funktionen und Gadgets. Genau die gehören ein- für allemal verbannt. Nicht nur, dass sie Nutzer tierisch nerven, sondern sie nehmen, wie Howtogeek.com eindrucksvoll aufzeigt, auch unnötigen Platz weg. Darüber hinaus sind sie alles andere als effektiv und trotz der sonstigen Vorteile, die Windows 10 mit sich bringt, nicht das, was wir gut durchdacht nennen würden. Hier unsere drei meist verhassten Features.

Platz 1: Den Ordner “3D Objekte”

Wann hast du eigentlich das letzte Mal irgendetwas in diesen Ordner gepackt? Noch nie? Dann geht es dir wie 95% aller Windows Nutzer. Unter der Rubrik „Dieser PC“ befindet sich der Ordner für 3D Objekte, dessen Sinn man wohl gar nicht erst zu verstehen versuchen sollte. Er macht nämlich keinen Sinn. Bei Windows 10 wurde er zusammen einem Update hinzugefügt, Brauchen tut ihn allerdings niemand. Also nichts wie weg damit – das zumindest würden wir uns fürs nächste Update wünschen.

Platz 2: Den schrecklichen News Feed

Dass Microsoft zukunftsweisend ist, das steht außer Frage. Dennoch kann man sich manchmal doch fragen, warum uns die Entwickler mit derart viel Mist überladen. Es gibt beispielsweise unter Microgaming Edge einen News Feed. Den allerdings kann man genauso in die Tonne schmeißen wie den 3D Objekte Ordner. Wer das Chaos liebt, der wird dieses Registerkarte womöglich lieben. Das jedoch dürften die wenigsten sein. Clickbait Artikel stehen beim News Feed im Vordergrund. Hier dreht sich also alles um Reiche und Promis, Angebote für Kreditkarten, Shopping Tipps und all das, was auch sonst niemand wirklich gebrauchen kann. Der User von heute weiß schließlich selbst am besten, wie er gezielt nach eben solchen Angeboten und Artikeln sucht – und noch dazu auf eine Weise, die bedeuten weniger chaotisch ist.

Platz 3: Die chaotische Zeitleiste

Damit wären wir auch schon beim nächsten heillosen Durcheinander, das Windows 10 offenbar perfektioniert hat. Man könnte Nutzern eine simple Ansicht bieten, doch die Macher setzen lieber auf eine Zeitleiste, die mitunter für totale Verwirrung sorgt. Der Vorteil ist eine Synchronisation mit dem Microsoft Konto. Allerdings dürfte es für den Durchschnittsverbraucher nicht gerade einfach sein, die letzten Aktivitäten, besuchte Seiten & Co. mit sämtlichen Details zu überblicken. Howtogeek.com erklärt zudem: „Nicht jede Anwendung hat sich integriert, und das macht es noch komplizierter. Chrome zeigt keine Webseiten an, die Sie in der Zeitleiste besucht haben. In vielen anderen Apps werden keine von Ihnen ausgeführten Aktivitäten und Dateien angezeigt, die Sie in der Zeitleiste geöffnet haben.“

Mehr Ordnung bei Windows – mehr Spaß beim Spielen

Wer schon einmal Roulette im 888 Casino gespielt hat, der weiß, dass Ordnung gerade am PC unglaublich wichtig ist. Wenn wir eines auch bei Windows nicht gebrauchen können, dann sind es unnütze Funktionen oder die besagte chaotische Timeline. 888 ist ein Anbieter für Casino Spiele, Poker & Co, an dem sich selbst Windows noch ein Beispiel nehmen könnte. Klare Strukturen und eine simple Menüführung machen es Nutzern hier nämlich besonders leicht, sich zurechtzufinden. Für Nutzloses bleibt da natürlich kein Platz.
Im Gegenteil: Online Casinos haben im Gegensatz zu Betriebssystemen den Vorteil, sich aufs Wesentliche zu fokussieren. Wir könnten neben unseren Top 3 Funktionen noch weitere nennen, die User so manches Mal in den Wahnsinn treiben. Bleibt also zu hoffen, dass die nächste Windows Version auf all diesen „Krempel“ verzichtet und ein wenig geradliniger wird. Ein weiterer Vorteil an 888 ist übrigens, dass du nicht mit Werbung überschüttet wirst. Was das anbelangt, ist das altbekannte Windows Solitaire Spiel eindeutig technisch überholt.

Windows 95 App für nostalgische Momente

Lang ist’s her, da gelang Microsoft mit seinem Betriebssystem Windows 95 den großen Durchbruch. Auch heute noch wird Windows von einem Großteil der Bevölkerung genutzt. Alternative Betriebssysteme können da nicht mithalten. Für alle, die die guten alten Zeiten einmal mehr miterleben möchten, gibt es nun die zweite Version der 95 App zum Download.

Github stellt die Windows 95 kostenlos zum Download zur Verfügung. Felix Rieseberg ist der Entwickler, der sich das feste Ziel geschickt hat, die guten alten Zeiten zurück zu holen – mit Erfolg, wie sich seit der Neuveröffentlichung zeigt. Und das Beste ist, dass es die App nicht nur für Windows gibt, sondern auch für MacOS sowie Linux. Kurzum: Wer Nostalgie liebt, kann jetzt auf Windows 95 umsteigen, ohne an Qualität einbüßen zu müssen. Die Datei ist auf der Github Seite unter Downloads zu finden. 280 Megabyte freier Speicherplatz werden benötigt – also ein recht überschaubares Gadget für diejenigen unter uns, die Spielereien mögen.

Die Windows 95 App im Test

Wie T-Online.de erklärt, werden sowohl eine 32- als auch eine 64-Bit Version der App zur Verfügung gestellt. Gleichzeitig liefert die Seite eine Schritt-für-Schritt Anleitung, mit deren Hilfe Leser herausfinden können, welche Version auf dem eigenen PC installiert ist. Inzwischen wurde zur Windows 95 App sogar eine zweite Variante herausgebracht, die nicht nur die klassischen Spiele zurückholt, sondern bei der auch fleißig mit Paint gemalt werden kann. Die erste Version wurde vor rund einem Jahr veröffentlicht, der große Anklang blieb aber aus. Offenbar wissen Windows Nutzer von heute die Modernität der neuen Versionen zu schätzen. Gerade Windows 10 steht bei den Usern hoch im Kurs – allein deshalb, weil dies die perfekte Basis für moderne Spiele ist. Gamer profitieren von zahlreichen neuen Funktionen, an die bei Windows 95 noch nicht einmal zu denken gewesen wäre.

Nichts für moderne Spiele

Wer Lust auf innovative Casino Spiele hat, der sollte sich zunächst die Party Casino Bewertung zu Gemüte führen. Spätestens nach ein paar Minuten wird klar, wie sehr wir doch von den neueren Windows Versionen profitieren. Nostalgiker kommen dennoch auch in modernen Online Casinos auf ihre Kosten, da selbst dort immer mal wieder die guten alten Zeiten aufleben – bevorzugt in Form traditioneller Automatenspiele, wie man sie vor Jahrzehnten lediglich in lokalen Gaststätten und Spielhallen fand. Das Gehen mit der Zeit mag für viele Nostalgie Fans ein wenig schwer sein, doch Fakt ist, dass es sich lohnt, Neues zu erkunden. An neuen Spielideen und Gaming-Highlights mangelt es im Party Casino jedenfalls nicht – die Voraussetzungen sind allerdings ein wenig höher, als es eine Windows 95 App hergeben würde.
Wer mehr über den Download und die wichtigsten Funktionen der Windows 95 App erfahren will, der kann sich auf T-Online.de ausführlich informieren. Die App gibt es derzeit kostenlos. Somit ist es ein Leichtes, einfach selbst auf Tuchfühlung zu gehen und die Anfänge des Gaming mit Minesweeper, Solitaire oder dergleichen einfach noch einmal neu aufleben zu lassen.

Aus neu mach alt

Die Benutzeroberfläche der Windows 95 App wurde vom Original übernommen. Das gilt natürlich auch für die unvergesslichen Soundeffekte, die manch einer sicher schon schmerzlich vermisst hat. Erst mit Windows 95 schaffte es Microsoft, DOS endgültig abzulösen. Heute erinnert man sich gerne an diese Zeit zurück, denn sie war zukunftsweisend für alle Windows Versionen, die danach herausgebracht wurden. Der Kultstatus ist jedenfalls unvergessen, und zumindest ein Stück davon bekommen wir dank Felix Rieseberg nun wieder zurück. Wer mag, kann den Download gleich starten und ohne großen Aufwand in Erinnerungen schwelgen – es lohnt sich!