Sicher verbunden mit IRC

Diese Doku geht teilweise auf die von Indymedia Barcelona aufbereitete Doku SecureIRCcaesen zurück, für die wir uns herzlich bedanken!

Zum gleichen Thema gibt es auch von der globalen Indymedia-Tech-Community eine Doku namens SecureIRC.

Noch sicherer als Secure IRC ist Silc, ein Chatsystem, das gedanklich auf IRC basiert, und außerdem wie auch GPG mit geheimen und öffentlichen Schlüsseln arbeitet. Mehr dazu unter SilCDe.

Wozu "sicheres IRC"?

Chatten mit gewöhnlichem IRC ist aus folgenden Gründen "unsicher":

  • Text wird unverschlüsselt übertragen und kann daher mit einfachen Mitteln von Unbeteiligten ohne Wissen der Chatter mitgelesen werden
  • Jeder Teilnehmer am IRC sieht deinen Benutzernamen (i.d.R. der echte Benutzername aus Linux/Windows) und deine IP-Adresse. Von der IP-Adresse kann ziemlich genau dein Standort bestimmt werden bzw. mit den Logdateien deines Providers deine Identidät festgestellt werden.

Zum Ausprobieren tippe das Kommando /whois deinNickName (ersetz dabei deinNickName durch den Nickname, den Du gerade verwendest) in deinen IRC-Client. Du erhältst als Antwort Informationen über Dich, die auch alle anderen Chatter über dich abfragen können. Unter anderem auch deine Hostmaske, in der Form dein-benutzername@dein-hostname oder dein-benutzername@deine-ip-adresse. Sowohl über den Hostnamen als auch über die IP-Adresse ist Dein Computer eindeutig identifizierbar. Mit diesen Infos gibts Du anderen mehr Informationen über Dich, als nötig ist. Jemand, der dir Böses will, wüsste so zum Beispiel, welchen Computer er angreifen oder ausspionieren müsste.

Um sicherer per IRC zu Chatten gibt es sowohl für die gängigen Betriebssysteme einige Möglichkeiten, die deine Daten verschlüsselt übertragen. Wenn du deinen "echten" BenutzerInnennamen? und/oder deine IP Adresse verstecken moechtest, musst du dich registrieren. Danach ist es moeglich die Server AdministratorInnen? zu bitten, die Daten fuer andere UserInnen? zu verstecken.

ALERT! Achtung: Achte darauf, in den Einstellungen deines IRC-Programms nicht deinen wirklichen Namen anzugeben, denn was du dort einträgst ist auch bei einer /whois -Abfrage zu sehen.

HELP Info: Genauso wie es beim vom Webbrowser genutzeten HTTP-Protokoll auch die sichere Variabte HTTPS (HTTP + SSL) gibt, spricht mensch bei der mit SSL gesicherten IRC-Variante von IRCS.

ALERT! Hinweis: Seit Neuesten hat der Ernesto, unser IRC-Server, ein neues Zertifikat, welches durch eine nichtkommerzielle Zertifizierungsstelle signiert wurde. Das bedeutet auch, dass ihr sobald die .crt Datei von cacert.org eingebunden ist, ohne weitere manuelle Überprüfung SSL-verschlüsselt chatten könnt. Unter Linux müsst ihr entweder das ca-certificates Packet installieren oder die Datei http://www.cacert.org/cacert.crt nach /usr/share/ca-certificates/cacert.org/cacert.org.crt speichern. Sollte dies nicht möglich sein, überprüft wenigstens ob der Public-Key den der Server leifert die md5 Prüfsumme: F5:87:D7:F1:6A:52:9D:24:93:2B:54:26:42:68:92:39 hat.

IRCS-Programme für mehrere Betriebssysteme

XChat

Website: http://www.xchat.org/

Betriebssysteme: Linux, Windows und weitere

Lizenz: GNU GPL (für Windows existiert neben einer GPL-Variante auch eine Shareware-Version)

Download:

  • Debian Woody (3.0): XChat ist im offiziellen Paket-Pool enthalten
  • Debian Sarge (3.1): XChat ist im offiziellen Paket-Pool enthalten
    • Empfohlen ist das Packet: ca-certificates (Common CA Certificates PEM files)
  • Windows: http://www.silverex.org
  • Mac OS X: Ports sind über Fink und OpenDarwin erhältlich
  • Andere Distributionen und Betriebssysteme: Links zu Versionen für weitere Betriebssysteme gibt's unten auf der [http://xchat.org/download/][XChat-Download-Seite]].

Mit XChat kannst du dich per SSL zum IRC-Server verbinden. Nach Download und Installation startest Du das Programm, legst ein neues Netzwerk namens "Indymedia (SSL)" an und trägst als Server irc.indymedia.org und dahinter als Port /6697 statt /6667 ein. Außerdem musst du "SSL für alle Server dieses Netzes benutzen" wählen. Danach das Fenster schließen und in der Serverliste auf Verbinden bzw. Connect klicken.

TIP Tipp: Um Hilfe zu den einzelnen Optionen der Verbindungseinstellungen zu erhalten, einfach kurz die Maus über dem Eingabefeld stehen lassen. Das funktioneirt allerdings nicht bei allen Feldern.

TIP Tipp: Falls du XChat von der Konsole startest und nach dem Start direkt mit dem Server verbunden werden möchtest, kannst Du folgenden Aufruf verwenden: xchat ircs://irc.indymedia.org:6697 (in alten Versionen: xchat /server -ssl irc.indymedia.org). Wenn du XChat schon gestartet hast kannst du dich statt über die Serverliste auch über die XChat-Eingabezeile mit diesem Befehl mit dem Server verbinden: /sslserver irc.indymedia.org:6697

Die Screenshots auf SecureIRCcas erleichtern ggf. die Einrichtung.

Tritt der Fehler: "* Verbindung gescheitert. Fehler: unable to get local issuer certificate.? (20)" so kennt XChat das Root-Zertifikat von der cacert noch nicht - es kann sein, dass nach der oben beschriebenen Einrichtung dessen ein neustart des IRC-Clients nötig ist.

KvIRC

Website: http://www.kvirc.net/

Betriebssysteme: Linux, Windows und weitere

Lizenz: GNU GPL

Download:

  • Debian Sarge (3.1): Stabile und Entwicklungs-Releases sind über den KvIRC-Paketpool erhältlich *
  • Andere: Stabile und Entwicklungs-Releases sind über die KvIRC-Website erhältlich.

Auch mit KvIRC kannst du dich per SSL zum IRC-Server verbinden. Eventuell musst Du dazu KvIRC selbst kompilieren, um die SSL-Unterstützung hinzuzufügen (das configure-Skript fügt bei der Kompilierung den SSL-Support automatisch hinzu, sofern die OpenSSL-Development-Dateien gefunden werden).

* Um den KvIRC-Paketpool unter Debian zu verwenden, einfach die folgenden Zeilen (die zweite Zeile ist optional) am Ende der Datei /etc/apt/source.list einfügen:

deb ftp://ftp.kvirc.net/pub/kvirc/snapshots/debian/ ./
deb-src ftp://ftp.kvirc.net/pub/kvirc/snapshots/debian/ ./
Falls sich die URLs dieser Paketquellen ändern, wird das auf auf der KvIRC-Website im Bereich CVS-Snapshots bekannt gegeben.

ChatZilla

Website: http://mozilla.org/projects/rt-messaging/chatzilla/

Betriebssysteme: Linux, Windows, Mac OS und weitere*

Lizenz: MPL (Mozilla Public License, eine Open-Source-Lizenz)

Download:

  • Debian Woody (3.0): Mozilla, das ChatZilla enthält, ist im offiziellen Paket-Pool enthalten, für Firefox, was ebenfalls über den offiziellen Paketpool verfügbar ist, kann ChatZilla als Erweiterung installiert werden
  • Debian Sarge (3.1): Mozilla, das ChatZilla enthält, ist im offiziellen Paket-Pool enthalten, für Firefox, was ebenfalls über den offiziellen Paketpool verfügbar ist, kann ChatZilla als Erweiterung installiert werden
  • Andere Linux-Distributionen, Windows, Mac OS:
  • weitere*

Seit Version 0.9.64 hat ChatZilla standardmässig Unterstützung für sicheres Chatten über IRC (IRCS) an Bord. ChatZilla ist ein IRC-Client, der sowohl bei der Mozilla-Suite integriert ist als auch als Firefox-Erweiterung installiert werden kann.

HELP Info: Mozilla, Mozilla-Suite und Firefox werden oft und gerne durcheinander geschmissen, deshalb hier kurz eine Aufklärung: Die Mozilla-Suite ist das Bundle bestehend aus Browser, E-Mail-Programm, HTML-Editor, Adressbuch und eben dem IRC-Client ChatZilla. Firefox ist der reine Webbrowser, der von der Mozilla-Suite völlig unabhängig ist. Beide Programme werden vom Mozilla-Projekt entwickelt, das aber auch noch andere Software produziert.

Benutzen:

  • Starten: Zum Starten klickt mensch im Extra_-Menü von Mozilla oder Firefox auf den Eintrag _!ChatZilla.
  • Verbindung herstellen: Um die Verbindung mit dem Indymedia-Server herzustellen, kann einer der folgenden Befehle in das Feld *client* eingegeben werden:
    • /attach ircs://irc.indymedia.org:6697/
    • /sslserver irc.indymedia.org
  • Viele weitere Befehle sind über den Befehl /help abrufbar

* Versionen für weitere Betriebssysteme gibt's auf dem FTP-Server in den 'contrib'-Unterverzeichnissen der jeweils aktuellsten Versionen von Mozilla-Suite und Firefox. Ob die ChatZilla-Erweiterung mit diesen Firefox-Versionen funktioniert, wurde noch nicht getestet, vermutlich klappt's aber. Mit der Mozilla-Suite klappt's auf jeden Fall.

IRCS-Programme für einzelne Betriebssysteme

Linux, BSD & UNIX

irssi

Website: http://irssi.org/

Betriebssysteme: Linux, xBSD, Mac OS X, Windows (Cygwin) und weitere*

Lizenz: GNU GPL

irssi ist ein text-basierter IRC client, der SSL unterstützt. Er ist besonders bei Techies, die viel über Konsole arbeiten, beliebt, unter anderem auch wegen der starken Anpassbarkeit seiner Bedienung. Siehe dazu auch das englischsprachige IrssiHowTo.

irssi wird mit vielen Linux- und BSD-Distributionen ausgeliefert, oder ist über deren Paketverzeichnisse verfügbar. Es ist natürlich auch möglich, das Programm selbst zu kompilieren. Wie das geht, wird nachfolgend erklärt.

ALERT! Achtung: Unter Windows ist irssi nur mit Hilfe von Cygwin lauffähig.

* Versionen für viele weitere Betriebssysteme gibt's auf der irssi-Website.

*zum SSL-Verbindung mit irssi aufbauen folgene Zeile eingeben:

/connect -ssl_cafile /usr/share/ca-certificates/cacert.org/cacert.org.crt irc.indymedia.org 6697 (Einige Nutzer hatten Probleme mit der Option -ssl_capath deshalb wird hier besser direkt auf das Root-Zertifikat der CaCert Organisation verwiesen)

BitchX

Website: http://www.bitchx.org/

Betriebssysteme: Linux, xBSD, Mac OS X, Windows (Cygwin) und weitere*

Lizenz: teilweise BSD-kompatibel, teilweise GNU GPL

BitchX ist ein populärer Kommandozeilen-IRC-Client, und gleichzeitig auch einer der ältesten IRC-Clients. Entsprechend antik sind auch Teile seines Codes.

TIP Info: Die BitchX-Programmierer schmieden derzeit an BitchX 2, einem völlig neuen Client, der auf einer gänzlich anderen Basis aufbaut und zu großen Teilen neu geschrieben wird. Mehr Infos dazu gibt es auf auf der BitchX-Website

BitchX wird mit vielen Linux- und BSD-Distributionen ausgeliefert, oder ist über deren Paketverzeichnisse verfügbar. Es ist natürlich auch möglich, das Programm selbst zu kompilieren. Wie das geht, wird nachfolgend erklärt.

ALERT! Achtung: Unter Windows ist BitchX nur mit Hilfe von Cygwin lauffähig. Mehr dazu in der BitchX-FAQ im Abschnitt "BitchX for Windows 95/98/NT/2K/ME/XP"

1. Software downloaden

Der Quellcode ist auf der BitchX-Website verfügbar.

Zum Kompilieren sind weiterhin die OpenSSL-Bibliotheken notwendig.

2. BitchX installieren

  • tar xzvf ircii-pana-1.1-final.tar.gz
  • cd BitchX
  • ALERT! Wichtig: Die Datei INSTALL für weitere Anweisungen lesen
  • Das compile - Skript sollte mit der Option --with-ssl aufgerufen werden

3. BitchX starten und Verbindung aufbauen

Nach dem Start von BitchX wird über den folgenden Befehl die Verbindung zum IRC-Server hergestellt:

/server -ssl irc.indymedia.org

* Versionen für viele weitere Betriebssysteme gibt's auf der BitchX-Website.

Windows

mIRC

Website: http://www.mirc.com/ und http://www.mirc.co.uk/

Betriebssysteme: Windows 95 und höher, Windows NT und höher

Lizenz: Shareware

TIP Tipp: mIRC ist sicherlich ein guter und ein weit verbreiteter IRC-Client. Bevor du dich entscheidest, mIRC zu benutzen, solltest du dir aber darüber im klaren sein, dass mIRC weder Freie Software noch Open Source Software (engl.) ist. Es gibt unter Windows auch Alternativen, die kostenlos und unter freieren Lizenzen verfügbar sind.

ALERT! Achtung: mIRC bietet erst seit Version 6.14 Unterstützung für SSL. In der Nachfolgeversion 6.15 wurden wichtige Bugs behoben, weshalb zumindest 6.15 eingesetzt werden sollte.

1. Software installieren

  • OpenSSL downloaden
  • mIRC downloaden
  • Beides installieren

Alternativ (seit Version 6.14)

  • mIRC downloaden und installieren
  • Die Dateien "libeay32.dll" und "ssleay32.dll" lokal suchen oder hier herrunterladen
  • beide in den mIRC-Installationsordner oder in den Windows System-Ordner kopieren

2. Verbindung zu Indymedia konfigurieren

  • mIRC starten
  • Im Startfenster auf den Button "Add" klicken, um eine Verbindung zum Indymedia-IRC-Server hinzuzufügen.
  • Folgende Textfelder ausfüllen:
    • "Description": Name der Verbindung, z.B.: Indymedia (SSL)
    • "IRC_Server": irc.indymedia.org
    • "port(s)": +6697 (das Plus ist wichtig!)
  • OK klicken

Bei einigen Versionen gibt es auch eine Option "SSL Connection", in dem Fall sollte die aktiviert werden und das '+' beim Port kann wegfallen.

3. Connecten und fertig

  • Hier muss nur noch das SSL-Zertifikat von Indymedia zugelassen werden. (dieser Schritt sollte mit dem neuen SSL-Zertifikat des irc.indymedia.org-Servers automatisch erfolgen, sollte dies nicht der Fall sein fehlt der OpenSSL-Konfiguration das Sicherheitszertifikat von http://www.cacert.org/cacert.crt)

Alternativ (seit Version 6.14)

  • "/server -me irc.indymedia.org:6697" eingeben, das -m bewirkt, dass sich ein neues Fenster öffnet das -e bewirkt, dass eine SSL-Verbindung aufgebaut wird.

ALERT! Achtung: Sollte die Verbindung nicht beim ersten Mal klappen, sucht mIRC die Liste bekannter Indymedia-Server ab, dabei wird dann kein SSL verwandt, wenn es nicht über den angegeben Port( +6697 im Servermenü) explizit angegeben ist.

TIP Info: Weitere Infos zu mIRC und und IRCS sind auf der englischen mIRC-Website verfügbar.

Mac OS

Colloquy

Website: http://colloquy.info/

Betriebssysteme: Mac OS X >=10.3

Lizenz: GNU GPL

Colloquy ist ein grafischer IRC-Client für aktuelle Mac OS X-Versionen mit Unterstützung für IRCs.

stunnel: Beliebige IRC-Programme SSL-fähig machen

Website: http://www.stunnel.org/

Betriebssysteme: GNU/Linux, xBSD, Windows, Mac OS

Lizenz: GNU GPL

Generall ist stunnel ist ein eigenständiges Programm, das eine verschlüsselte Verbindung zwischen deinem und einem anderen Computer aufbaut. Diese verschlüsselte Verbindung kann dann von anderen Programmen, die selbst nicht verschlüsseln können, verwendet werden. Mit Hilfe von stunnel kannst Du also mit jedem beliebigen IRC-Programm (IRC-Client) sicher chatten, auch wenn das Programm das eigentlich gar nicht kann (und auch ganz ohne das das Programm davon was wissen müsste).

Hier dazu ein -ähem- grafisches Beispiel:

 DEIN COMPUTER
 .------------.
 | IRC-Client |
 |     ||     |   Die Verbindung zwischen               IRC-SERVER
 |     || <------ dem IRC-Programm und stunnel       irc.indymedia.org
 |     ||     |   ist nicht verschlüsselt            .----------------.
 |     ||     |                                      |   IRC-Server   |
 |  stunnel  <========================================>   mit SSL-    |
 |            |       Die Verbindung zwischen        | Unterstützung  |
 '------------'       IRC-Programm und -Server       '----------------'
                             aber schon.

TIP Tipp: stunnel lässt sich nicht nur zum Sichern der IRC-Verbindung nutzen. Du kannst damit auch jedem anderen Programm, das das ursprünglich nicht konnte, SSL beibringen. Zum Beispiel könntest du damit einem Web-Broser, der kein SSL kennt (zugegeben, das gibt's heute kaum mehr), beibringen, wie er https-Seiten aufrufen muss. Das gleiche lässt sich aber auch für E-Mail, FTP, Instant-Messenging (Jabber), telnet und vieles anderes nutzen.

Fertige stunnel-Binaries verwenden

Die einfachste Methode, einem nicht SSL-fähigen IRC-Programm SSL beizubringen, ist es, fertige SSL-Binaries zu verwenden.

  • GNU/Linux: Für GNU/Linux gibt es die in der Regel in den Paket-Verzeichnissen der jeweils verwendeten Distribution.
  • Windows: Weil die stunnel-Programmierer Mitleid haben, stellen sie auf ihrer Website fertige Binaries für Windows zum Download bereit.
  • Mac OS X: Ein eifriger Mac OS X-Benutzer hatte sich und anderen vor einiger Zeit mal selbst helfen wollen und das Programm SSL Enabler programmiert, was die Verwendung von stunnel unter Mac OS X erleichtern soll. Allerdings wurde er dessen wohl schon bald müde, weil er mit der Lizenz von stunnel nicht klar kam, wie er auf seiner Website berichtet. SSL Enabler ist ein DMG Disk-Image. Um das darin enthaltene Programm zu installieren, muss erst der SSL Enabler-Ordner erst per Doppelklick entpackt werden, dann der Ordner geöffnet und das darin enthaltene Programm-Symbol in den Anwendungsordner verschoben werden.

stunnel selbst kompilieren

Die beste Methode, an eine aktuelle und auf den eigenen Computer zugeschnittene Version von stunnel zu kommen, ist es selbst zu kompilieren. Das ist allerdings immer mit einem gewissen Anfangsaufwand verbunden und oft ist es nötig oder zumindest günstig, mit den Grundlagen der Kompilierung vertraut zu sein.

stunnel lässt sich auf allen gängigen Betriebssystemen kompilieren. Als Beispiel hier eine Anleitung für die Kompilierung unter GNU/Linux.

HELP Info: x.xx steht für die Versionsnummer von stunnel.

ALERT! Achtung: Getestet wurde hier mit Version 3.22, die aktuell stabilen Versionen sind allerdings die mit 4.x.

ALERT! Achtung: Unter Mac OS X muss mindestens die Version 3.19 eingesetzt werden, ältere Versionen sind nicht kompatibel.

1. stunnel downloaden

Lad dir den aktuellen Source-Code herunter.

2. stunnel installieren

  • tar xvzf stunnel-x.xx.tar.gz
  • cd stunnel-x.xx
  • ./configure
  • make
  • su
  • make install

3. stunnel konfigurieren und ausführen

  • Bei stunnel-Versionen 3.xx:
    • stunnel -c -d localhost:6667 -r irc.indymedia.org:6697

  • Bei stunnel-Versionen 4.x oder höher:
    • Leg eine Konfigurationsdatei namens stunnel.conf an und trag darin folgendes ein:
      client=yes
      verify=0
      delay=yes

      [dnet]
      accept=6667
      connect=irc.indymedia.org:6697
      TIMEOUTclose=0
    • Anschließend als Systemadministrator einloggen ( su - ) und stunnel starten: stunnel stunnel.conf

Daraufhin wird stunnel gestartet (bei Windows erscheint ein Symbol rechts unten in Taskleiste) und es wird zB. folgendes angezeigt:

2002.06.22 20:55:44 LOG5[724:276]: stunnel 4.01 on x86-pc-mingw32-gnu WIN32 with <nop>OpenSSL 0.9.6g 9 Aug 2002
2002.06.22 20:55:44 LOG5[724:1036]: WIN32 platform: 30000 clients allowed

4. IRC-Client ausführen und mit dem Server verbinden

Jetzt startest du deinen Lieblings-IRC-Client und verbindest dich wie gewohnt mit einem Server, diesmal allerdings mit einem besonderen Server, nämlich deinem eigenen:

  • localhost:6667 ( localhost ist dein eigener Computer, 6667 ist der Standard-IRC-Port, auf dem stunnel schon auf dich wartet)

Et voilà!

Die Bildschirmausgabe von stunnel sollte nach dem Verbinden des IRC-Clients mit dem IRC-Server etwa folgendes anzeigen:

2002.06.22 21:02:04 LOG5[724:688]: 6697 connected from 127.0.0.1:1884

TIP Tipp: Wenn du unter Linux stunnel nicht jedesmal "per Hand" starten willst, kannst du im Verzeichnis rc.d eine Datei anlegen, die stunnel bei jedem Booten des Computers automatisch startet. Dazu kannst du folgende Befehle in der Konsole ausführen:

  • echo "stunnel -c -d localhost:6667 -r irc.indymedia.org:6697" > stunnel-irc.sh
  • chmod 755 stunnel-irc.sh
Topic revision: r30 - 18 Aug 2010 - 10:23:21 - McP
Sysadmin.SecureIRCde moved from Sysadmin.SecureIRCDE on 19 Jan 2005 - 13:39 by AlsteR - put it back
 
This site is powered by FoswikiCopyright &© by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback