Uni-Weimar VPN Client unter Linux mit OpenConnect

März 2nd, 2018 § 0 comments § permalink

Seit einiger Zeit gibt es ein neues VPN-Setup an der BUW, die Technik dahinter nennt sich Cisco AnyConnect und für Linux-Nutzer gibt es zwar einen closed-source Client von Cisco, der auch manchmal funktioniert (Anleitung hier, Client gibt es hier) - aber idealerweise möchte man sein VPN direkt in den NetworkManager integrieren und möglichst auf proprietäre Software verzichten.

Glücklicherweise gibt es eine Lösung dafür - OpenConnect - Normalerweise lässt sich das für jede Distribution installieren, wenn es entsprechende Pakete gibt. Für Arch Linux z.B.

pacman -S networkmanager-openconnect wget

Ubuntu:

apt install network-manager-openconnect wget

Damit kann man sich auch ohne die nervige Cisco-Software mit dem VPN verbinden - zumindest in der Theorie - denn bei der Konfiguration gibt es ein interessantes Häkchen "Cisco Desktop Trojaner erlauben", was gesetzt werden muss:

Die OpenConnect Website klärt auf:

The 'Cisco Secure Desktop' is a bit of a misnomer — it works by downloading a trojan binary from the server and running it on your client machine to perform some kind of 'verification' and post its approval back to the server. This seems anything but secure to me, especially given their history of trivially-exploitable bugs.

It's also fairly easy to subvert, by running your own modified binary instead of the one you download from the server. Or by running their binary but poking at it with gdb.

We support this idiocy, but because of the security concerns the trojan will be executed only if a userid is specified on the command line using the --csd-user= option, or the --csd-wrapper= option is used to handle the script in a 'safe' manner.

Bei Cisco liest sich das so:

The AnyConnect Posture Module provides the AnyConnect Secure Mobility Client the ability to identify the operating system, antivirus, antispyware, and firewall software installed on the host. The Host Scan application, which is among the components delivered by the posture module, is the application that gathers this information.

In the adaptive security appliance (ASA), you can create a prelogin policy that evaluates endpoint attributes such as operating system, IP address, registry entries, local certificates, and filenames. Based on the result of the prelogin policy’s evaluation, you can control which hosts are allowed to create a remote access connection to the security appliance.

Wieso ist das überhaupt aktiv? Es funktioniert jedenfalls auch ohne Virenscanner und Firewall...

Hier ist das entsprechende Script was für den BUW-VPN funktioniert - zusätzlich muss wget noch installiert sein.

Das muss im entsprechenden Formular angegeben werden: csd-wrapper.sh - herunterladen und ausführbar machen z.B. so:

wget -O ~/csd-wrapper.sh https://gitlab.bau-ha.us/snippets/4/raw

chmod +x ~/csd-wrapper.sh

Dann noch im Network-Manager Dialogfeld auswählen und dann sollte es funktionieren.

Testen kann man via

$ openconnect vpngate.uni-weimar.de --csd-wrapper ./csd-wrapper.sh

Damit kann man sich dann mit NetworkManager mit dem VPN verbinden.

 

Und dann kann man direkt bei der Netzwerkauswahl den VPN anschalten ohne Umwege über den Cisco-Client.

Links:

https://web.archive.org/web/20161006072143/http://blog.yunak.eu/2013/07/19/openconnect/

http://kozelj.org/anyconnect-picket-fence-torn-down

Der Maschinenraum im Radio bei bauhaus.fm

Januar 20th, 2018 § 0 comments § permalink

Wir waren im Radio! Als Teil des 53h bauhaus.fm Sendungsmarathons haben wir eine Stunde lang über Meltdown und Spectre sowie den Maschinenraum allgemein gesprochen. Hört euch auch die anderen Beiträge der 53h Sendung an.

Los geht's:

swopspot goes summary

Juli 15th, 2012 § 1 comment § permalink

Das Hotel Miranda hat uns eingeladen in ihren Räumlichkeiten swopspot zur summary 2012 auszustellen. Und wir haben dankend angenommen.

Marv kam auf die großartige Idee, wie wir die Seite bzw. deren Content präsentieren können, denn ein Beamer in der Ecke lockt nun wirklich niemanden an. Auch wird ein Computer im Kioskmodus eher selten wirklich benutzt.

Also, man nehme zwei Hände voll mit Items von der Seite, stecke sie in Plexiglaskugeln, bastle Etiketten und hänge sie an die Decke. Dazu ein bisschen Licht, jede menge Hardware und Mate und viel Spass an der Unseriösität.

Heute zum Sonntag sind wir noch einmal von 14:00 bis 18:00 vor Ort. Es wird ausgestellt, präsentiert, erklärt und vorgeführt.

Hier noch ein paar Bilder vom Samstag, die uns freundlicherweise der Paul gemacht hat. Danke dafür.

Das Schwert der tausend Wahrheiten
https://swopspot.net/stuffs/980191226

mischa präsentiert, bernd codet & marv erzählt

zwei begeisterte besucher

das mit Abstand beliebteste Objekt
https://swopspot.net/stuffs/980191228

Update: Marv hat auch ein paar Bilder auf sein Blog gestellt.

World Usability Day

Oktober 24th, 2011 § 1 comment § permalink

Am 11.11.11, ab 10:00 gibt es in der M18 eine kleine "unconference" zum World Usability Day. Es wird nicht nur um klassische Usability gehen – Produktdesign, Nutzerforschung, Interaktionsdesign, Human Centered Design, Services, Informationsarchitektur und Architektur (solche zum anfassen!) werden auch ihren Platz finden.

Soweit zum Thema. Bleibt "unconference" zu klären. Die Wikipedia meint zu dem Format: "there is no agenda until... the attendees made one up." Sprich: Wer von den Anwesenden eine Diskussionsrunde, einen Workshop leiten oder einen Vortrag geben möchte sei dazu aufgerufen, genau das zu tun. (Vorträge sollten ca. 20 Minuten lang sein, damit Platz für Fragen und Diskussion bleibt)
Dass das Konzept funktioniert zeigen z.B. das EduCamp und das UXCamp Europe.

Also: kommet zahlreich, bringt Ideen mit.

UPDATE:

Wir freuen uns ankündigen zu dürfen, dass Prof. Dr. Bernhard Klein gegen 11 Uhr einen Vortrag über "usability in urban design" halten wird. Auch Prof. Jay Rutherford ist mit dabei.

UPDATE 2:

...und trägt um 14:00 zu "Core Competencies in Information Design" vor.

Anmeldung, Fragen:   wud@m18.uni-weimar.de

world usability day

Pure Data Convention

August 5th, 2011 § 0 comments § permalink

Nächste Woche ist das 4te Treffen der Künstler und Programmierer der Pure Data Convention. Der Maschinenraum wird versuchen dabei unterstützend als Ort zum Quatschen, Chillen und Mate-Trinken zu fungieren.
Natürlich gibt es wie immer die Möglichkeit sich der Realität zu Entziehen, Musik zu hören, Ideen zu tauschen oder einfach nur E-Mails zu checken.

Die wichtigsten Infos gibts hier.

Where Am I?

You are currently browsing the Uni category at maschinenraum.