blog/shl@INTERDOSE

Besitzer eines iPhones mit altem T-Mobile Vertrag können sich freuen: es gibt einen absolut simplen und effizienten Weg die mitgelieferte UMTS Flatrate bzw. das Volumen-Paket mit dem Notebook zu nutzen.
Der Ansatz heißt: MultiSIM.

Die MultiSIM bekommt man im T-Punkt gegen einen recht niedrigen Betrag direkt zum mitnehmen. Es handelt sich um eine zweite SIM-Karte, die allerdings ausschließlich für den Datenverkehr freigegeben ist. Telefonieren kann man nicht. Gegen einen weiteren geringen Betrag kann man im T-Punkt auch gleich noch das web’n'walk prepaid-Angebot mitnehmen. Dieses Paket enthält einen web’n'walk USB-Stick (siehe unten) und eine prepaid-SIM inklusive etwas Startguthaben.
Beides in Kombination macht die iPhone Flatrate Notebook tauglich. (Ich spreche hier von “geringem Betrag”, weil sich die Preise recht häufig ändern – ich habe vor etwa einem Monat ca. €50,- bezahlt)

Benutzer von MacOS X werden sich über den Stick besonders freuen, denn einfach hätte man die Installation und die Bedienung gar nicht gestalten können. Auf dem Stick befindet sich neben dem Huawai HSDPA-Modem ein mass storage device mit der kompletten Software, die der Benutzer benötigt, um den Stick unter MacOS in Betrieb zu nehmen.

Die Verbindung aufzubauen ist denkbar einfach. Entschieden einfacher als damals™ mit der Vodafone PCMCIA Karte unter MacOS 10.4.

Auf das Telefonbuch der SIM-Karte kann man auch problemlos zugreifen. Einen sync mit dem Apple Adressbuch habe ich bisher nicht versucht, sollte aber durch die Export-Funktion der T-Mobile Software recht einfach sein.

Falls der iPhone Vertrag keine Flatrate enthält, ist der Statistik Funktion Gold wert. Laut meinen Messungen ist sie recht genau und vor allem übersichtlich. Teuren über-Traffic kann man so vermeiden.

Ja, sogar “komfortabel” SMS versenden ist kein Problem. Und weil die SIM-Karte ja eine Kopie der iPhone-SIM ist sogar mit der gleichen Absenderrufnummer. Ankommende SMS werden allerdings nur auf dem iPhone selbst signalisiert.

Der Stick enthält noch ein paar weitere Features: eine externe UMTS-Antenne ist anschließbar, aber noch viel reizender – zumindest für mich – eine miniSD-Karte kann eingesetzt werden, was den UMTS-Stick um ein “zweites Laufwerk” und damit Massenspeicher erweitert. In meinem Fall ist eine 8GB miniSD mein ständiger Begleiter geworden.

Wer einen noch einfacheren Weg findet, die iPhone Flatrate mit dem Notebook zu nutzen: ich freue mich über Feedback!

Sebastian Apple, iPhone, mobile living, wireless infrastructure

Erstes Posting 2009 erst heute? Nein, ich bin nicht verstorben, ich bin nur verdammt weit weg.

Was tun, wenn der Hotspot-Provider die ganzen interessanten Protokolle sperrt?

Zenbu Wireless z.B. sperrt Protokolle wie SMTP(s) und Jabber. Kerberos geht zwar noch durch, die fuer AFS noetigen Ports sind aber wieder geblockt. Also – was tun?

Wer ein VPN per OpenVPN ins heimische Internet hat, dem sei geholfen: die Konfiguration einfach durch folgende Zeile erweitern, und damit allen Traffic durch’s VPN schieben.
redirect-gateway
Was passiert hier?

OpenVPN erweitert die Routing-Table des Betriebssystems um ein paar weitere Routen. Als erstes sehen wir uns die Table ohne das VPN an.
root@X60s ~ # ip ro sh
10.10.24.0/24 dev wlan0 proto kernel scope link src 10.10.24.119
169.254.0.0/16 dev wlan0 scope link metric 1000
default via 10.10.24.1 dev wlan0
Die default-Route zeigt wie zu erwarten war ueber das Interface wlan0 direkt auf den Router des Hotspot-Providers.
Wenn wir das VPN hochfahren, veraendert sich die Table folgendermassen:
root@X60s ~ # ip ro sh
192.168.253.5 dev tun0 proto kernel scope link src 192.168.253.6
80.190.170.254 via 10.10.24.1 dev wlan0
192.168.253.0/24 via 192.168.253.5 dev tun0
10.10.24.0/24 dev wlan0 proto kernel scope link src 10.10.24.119
172.16.0.0/16 via 192.168.253.5 dev tun0
169.254.0.0/16 dev wlan0 scope link metric 1000
default via 192.168.253.5 dev tun0
Die default-Route wird in das VPN (192.168.253.0/24) gelegt, so dass aller Traffic auch die richtige Destination hat. Um das VPN aber ueberhaupt nutzen zu koennen, fuegt OpenVPN eine Host-Route zum VPN-Gateway (hier 80.190.170.254) ein. Aller Traffic fuehrt also weiterhin zum Hotspot-Provider, ist aber eingepackt in frische handliche VPN-Pakete zum heimischen Gateway.

Jetzt kann er Provider blocken was er will, denn der Traffic ist nicht mehr so einfach aufzuhalten. Um zu sehen, ob der Traffic wirklich durch das VPN faellt, helfen Websites wie ip.tools.interdose.com.

Vorraussetzung fuer diesen ganzen Spass ist natuerlich, dass der Port auf dem das VPN sich verbinden will nicht geblockt ist. Aber auch hier kann man sich behelfen: Port 443 ist nahezu immer offen.

Sebastian mobile living, networking, wireless infrastructure

Das waere zwar eigentlich eher ein Beitrag fuer einen privaten Weblog, doch da die Zielgruppe eher Technik-Menschen als Familienmitglieder und Freunde sind, veroeffentliche ich es hier. Alles fing mit einer einfachen Fragestellung an:

Wie bringe ich mein Notebook samt aller Daten sinnvoll und sicher ans andere Ende der Welt?

Ich bin kein grosser Freund von Festplattenverschluesselung, zumindest nicht mit den Wegen die ich bisher auf unixoiden Systemen (vornehmlich Debian mit dmcrypt) gesehen habe. Eine echte Alternative ist bitlocker in Verbindung mit Vista auch nicht, denn ich sehe nach wie vor keinen wirklichen Vorteil in einer komplett-Verschluesselung meines Betriebssystems. Ausserdem sehe ich in bitlocker nur dann einen Sinn, wenn ein Anmeldepasswort gewaehlt wird, was in unter 10min nicht einzugeben ist. Nein, das ist keine Alternative fuer mich. Die encryption in ZFS ist noch nicht offiziell als stable erklaert worden, also auch nicht wirklich eine Alternative, denn – zumindest ich – bin bei Verschluesselungssystemen lieber etwas uebervorsichtig mit non-release Software. Was bringt mir die Verschluesselung, wenn sie so gut ist, dass ich eines Tages selbst nicht mehr an meine Daten komme?

Kritische Daten liegen lokal nur in Kopien vor; sie sind dauerhaft im AFS gespeichert und somit auf mindestens zwei Volume-Servern gesichert. Ich vertraue OpenAFS und Kerberos weit genug, als dass ich sagen kann “das ist hinreichend sicher” – sowohl gegen Angriffe als auch gegen Zerstoerung oder Verlust. Eben diese kritischen Daten – selbst wenn die lokale Kopie potentiell outdated ist – gilt es allerdings zu schuetzen, denn diese Daten gehen niemanden etwas an. Nicht den netten Agent von der Homeland-Security, nicht den Spitzbuben der mir mein Notebook klaut und vor allem nicht den neugierigen Menschen der mein Notebook anguggt, falls ich mal nicht im Raum bin und vergessen habe das Ding zu sperren – gut, bisher alles noch nicht vorgekommen. Wie schuetze ich solche Daten? Eben durch Verschluesselung, oder aber in dem ich sie gar nicht auf der lokalen Festplatte durch die Botanik trage.

Weniger kritische Daten, z.B. meine iTunes Library sind normalerweise lokal direkt verfuegbar, als Backup allerdings auf externen Medien vorhanden. (Meine komplette CD-Sammlung neu einlesen is laestig aber machbar) – hier sehe ich absolut keinen Sinn in einer Verschluesselung. Ebenso wenig bei Working-Copies irgendwelcher OpenSource Repositories. Diese Daten sind 100%ig legal, nicht geheim – sogar nichtmal vertraulich.

Wenn ich mir den aktuellen Inhalt meiner Festplatte genauer ansehe, zaehle ich drei verschiedene Typen von Daten:

1. Betriebssystem und Anwendungen
   Diese Daten sind irrelevant und sehr einfach wiederherstellbar. Einen Debian Mirror gibt es eigentlich ueberall, und innerhalb von zwei Stunden ist mein Betriebssystem wieder komplett hergestellt und konfiguriert.
2. unkritische Daten wie z.B. iTunes, Subversion Checkouts und alles womit man sich die Zeit im Flugzeug vertreiben kann
   Diese Daten sind nicht geheim oder vertraulich, effektiv wiederherstellbar und ein Verlust ist zu verkraften.
3. kritische Daten
   Die Kopien der Interdose Betriebsdaten aus dem AFS sowie z.B. SSH- und PGP-Keys. Schuetzenswert.

Insgesamt komme ich damit auf etwa 200GB.

Ein moeglicher Loesungsansatz ist – wie oben schon erwaehnt – Vista und bitlocker. Generell eine schoene Loesung, doch ich sehe einen Haken: sobald das Windows mal nicht mehr starten mag, kann ich nicht einfach ein grml per USB-Stick booten und meine Daten sichern. Das verschluesselte NTFS ist nicht lesbar, selbst wenn ich den Key kenne. Bei einer Rekonstruktion bin ich auf die Vista Installations-DVD angewiesen, doch mein Thinkpad X60s hat kein optisches Laufwerk.
Linux mit dmcrypt? Um ehrlich zu sein: der Aufwand ist mir zu hoch und die Kommandos zu kryptisch. Ausserdem habe ich keine Erfahrung damit, und debugging am Produktiv-System ohne Erfahrung moechte ich nicht erleben muessen. ZFS mit crypt … dito.
Was mir noch auszuprobieren bleibt ist dmcrypt via LUKS. Ich selbst habe keine Erfahrungen damit, doch das Folgende versetzt mich in “Probierlaune”:

Da das direkte Aufrufen von dm_crypt ein bisschen kompliziert ist, hat der Autor ein Programm namens „cryptsetup” geschrieben, welches den Zugriff vereinfacht.
Außerdem gibt es das Linux Unified Key Setup, kurz LUKS, welches zum einen die Möglichkeit bietet, bis zu 8 Passwörter für ein und die selbe Partiton/Container festzulegen, und zum anderen alle nötigen Informationen im Header der selbigen speichert und damit einen Transport der Daten auf ein anderes System möglich macht.

[Quelle: Michael Stapelberg]

Was bleibt? Truecrypt, z.B. – oder das “secure Drive” was IBM seinen Thinkpads schenkt. ThinkVantage habe ich bisher auf jedem Thinkpad gerne und problemlos genutzt. Nur ist leider die Groesse des “secure Drives” beschraenkt: 1GB pro Benutzer. Von den 200GB die ich oben gezaehlt habe, fallen in die dritte Kategorie allerdings nur wenige hundert Megabytes. Genug Platz waere also. Wie kann ich das Laufwerk schuetzen? In die ThinkVantage Client Security ist das wunderschoen integriert, d.h. ich kann sowohl Passwoerter als auch meinen Fingerabdruck nutzen – in beliebiger Kombination natuerlich. Ein Nachteil existiert natuerlich: das System funktioniert nur unter Windows. Aber grade in Bezug auf die Akku-Laufzeit und die selten gesehenen Steckdosen bzw. suendhaft teuren Adapter in Flugzeugen kann ich damit leben.

Was brauche ich also, wenn ich die Client Security nutzen?
Effektiv nur einen Zugang zum Internet um die heimische AFS-Zelle aufrufen zu koennen. Die notwendigen Keys fuer SSH, PGP und den VPN-Zugang sowie eine Auswahl der wichtigsten Firmen-Daten passen in die 1GB Grenze. Selbst wenn mir die Datei die hinter dem Laufwerk steht kaputt geht, sind immernoch alle Daten im AFS zu finden – stark gesichert und vor Verlust geschuetzt. Bis mir ein Netz-Zugang zur Verfuegung steht, bin ich etwas eingeschraenkt, aber wenn ich die Daten richtig auswaehle sollte das minimal sein.

Auf Dauer? Nicht wirklich – denn durch die boesen Unix-Strahlen™ die aus meinen Fingern kommen (zumindest nennt Dominik das so) lebt eine Windows-Installation bei mir nicht lange. Aber es geht in meinem Falle ja auch nur um die Ueberbrueckung von ein paar wenigen Wochen.

Ist das ein Loesungsansatz? Ich denke schon.
Hat ein Leser eine bessere Idee? Ich bitte um Feedback – in den Kommentaren oder gerne auch per Mail.

Sebastian Piratsphäre, Thinkpad, mobile living, more security!

Wer Xing (oder früher openBC) benutzt, wird in kürzester Zeit eine beträchtliche Summe von Kontakten sammeln. Und Xing hat uns eine neue Funktion geschenkt, die uns Apple-Usern das Leben noch einfacher macht: eine Export-Funktion die Address Book-verwertbare Daten ausspuckt.

Etwas versteckt, aber vorhanden – oben rechts im Adressbuch-Reiter:

Und spätestens jetzt macht der Sync auf’s iPhone richtig Spaß!

Sebastian iPhone, mobile living

Um den Flatrate-Zugang an den deutschen Telekom Hotspots zu aktivieren, muß mit dem iPhone eine SMS an die Service-Nummer 9526 mit dem Inhalt
open
gesendet werden. Mit welchen Kosten diese SMS verbunden ist, werde ich auf der nächsten Rechnung sehen, aber innerhalb von kürzester Zeit bekommt man seine persönlichen Zugangsdaten für das Captive Portal der Hotspots.

Schön, daß es so gut dokumentiert ist.

Update: Ich habe grade eben bei Wolfgang ein paar weitere Features gefunden:

Send a SMS with the text “OPEN” to the number 9526. You’ll receive the required information as response.

The credentials are very cryptic! In order to change them send the SMS “ALIAS <new username>” to 9526. <new username>; stands for the username you would like to use to log in (”<new username>@t-mobile.de” … don’t forget the suffix!).

You can change your password, too! Send an SMS ”PASSWORT <new password>” to 9526.

Danke Wolfgang!

Und vielleicht noch ein Link zu fscklog, weil sich das Passwort ja doch niemand merken möchte.

Sebastian iPhone, mobile living, wireless infrastructure