logenia.net - IT Beratung Koeln Bonn

Hallo,
wer auf Konfigurationsdateien basierende DHCP Server gewohnt ist und bei einem Windows 2003 Server DHCP Dienst z.B. einfach nur die Netzmaske verändern möchte, der wird staunen: bei diesem DHCP Server ist das Eingabefeld der Netzmaske grau - die Maske für den Scope kann nicht geändert werden. Da stellt man sich doch glatt die Frage, warum man einen DHCP Server im Netz eigentlich einsetzt.

“In Netzwerken bietet DHCP den Vorteil, dass bei Topologieänderungen nicht mehr alle betroffenen Workstations von Hand umkonfiguriert werden müssen, sondern die entsprechenden Vorgaben vom Administrator nur einmal in der Konfigurationsdatei des DHCP-Servers geändert werden.” (Quelle: wikipedia)

Man kann sich allerdings mit einem kleinen Workaround hinsichtlich Export und Import des Scopes nach entsprechender Modifikation behelfen.

In der Eingabeaufforderung (cmd.exe):

1) netsh dhcp server [IP-Adresse des DHCP Servers] scope [Scope-Adresse] dump>reservierungen.txt
2) reservierungen.txt entsprechend mit einem Editor bearbeiten
3) netsh exec C:\temp\reservierungen.txt


Viele Gruesse,
Matthias

Hallo,
auf diversen VMWare ESXi Maschinen, dessen virtuelle Maschinen mit dem kostenlosen Sicherungsscript GhettoVCB gesichert werden, gibt es Probleme bei der Sicherung:

1) Das Löschen der Snapshots endet mit einem Timeout. Eine großzügigere Wahl des Timeouts (von den standardmäßigen zehn Minuten auf eine Stunde) war bisher ebenfalls keine Lösung.

2) Die Rotation der zurückgehaltenen Versionen funktioniert nur sporadisch.

Es empfiehlt sich das aktuelle GhettoVCB Script von der VMWare Homepage zu nutzen. Das Script wurde diesbezüglich in den letzten Releases verbessert (siehe auch Changelog).

Viele Grüße,
Matthias

Hallo,
gerade kleinere Unternehmen neigen zur Nutzung des hauseigenen Virenscanners von Microsoft mit dem Namen Security Essentials. Die Lizenz von Microsoft erlaubt hingegen ausschließlich die Nutzung in “kleinen Heimbüros”.

Eine Nutzung der kostenlosen Version von Security Essentials ist ab einer gewissen Anzahl von Clients sowieso nicht mehr denkbar: Die genannte Version unterstützt weder die Nutzung eines Proxys, noch das Update über einen internen Dienst, der die Patterns von Microsoft sammelt und an die Clients verteilt.

Abhilfe bzgl. dem Thema Proxy schafft jedoch ggf. die Umsetzung eines sogenannten transparenten Proxys. Bei diesem wird die Kommunikation nicht über die explizite Angabe des Proxys im Browser (oder in diesem Fall im Virenscanner) realisiert, sondern der Proxy wird über die Standardroute (sprich das Default Gateway) angesprochen. Entsprechende Anleitungen finden sich im Internet unter den Stichwörtern “SQUID” sowie “transparenter Proxy”.

Viele Grüße,
Matthias

Hallo,
bei dem Importieren von SSL Zertifikaten mittels der certmgr.msc Konsole unter Microsoft Windows Server 2003 erhält man bei dem Versuch das eingespielte SSL Zertifikat in einem entsprechenden Listener der ISA Firewall zu verwenden die folgende Fehlermeldung:

ISA Server-Zertifikat ungültig

Der Grund dafür ist, dass durch das Einfügen mittels des certmgr das Zertifikat in den Speicher des lokalen Benutzers eingefügt wird. Mittels der mmc.exe (Start -> Ausführen -> mmc.exe) kann man sich ein eigenes Snapin für den Zugriff auf die Zertifikate des lokalen Computerkontos machen. Vorausgesetzt das nun importierte Zertifikat ist wirklich gültig, klappt die Verwendung auch im ISA Listener!

Viele Grüße,
Matthias

Hallo,
am 21. April dieses Monats ist das offizielle XTM OS Firmware Update von WatchGuard in Version 11.2.3 verfügbar. Darüber hinaus wurde auch die System Management Software sowie der VPN Client geupdated. In den Releasenotes des XTM OS findet man eine Aussage bzgl. Snow Leopard Kompatibilität:

“The Mobile VPN with SSL client no longer crashes on Snow Leopard (Mac OS X 10.6.2).” (Quelle: WatchGuard XTM OS 11.2.3 Releasenotes)

Im Downloadbereich ist der VPN Client allerdings weiterhin für Mac OS X 10.5 und nicht für 10.6.X ausgewiesen.

Viele Grüße,
Matthias

Hallo,
der für Administratoren wichtige SSH Zugang sollte in jedem Fall entsprechend abgesichert werden. Wir empfehlen folgende Überlegungen:

(1) SSH Server auf anderen Port setzen, nicht 22
(2) Funktion “PermitRootLogin” nutzen, Login als root verbieten
(3) Funktion “AllowUsers” nutzen, nur bestimmten Usern Zugriff erlauben, denn dann müsste neben dem Passwort auch der Benutzername bekannt sein, erhöht die Passwortmöglichkeiten aus Sicht von Bruteforce Attacken enorm
(4) SSH Keys benutzen, keine Passwörter
(5) Zugriff auf bestimmte IPs beschränken im SSH Server und/oder mittels iptables
(6) DenyHosts nutzen, in Verbindung mit Punkt (5) eher etwas für Paranoide

Viele Grüße,
Matthias

Hallo,
Ende März wurde eine interessante Studie von dem Softwarehersteller Acronis in Zusammenarbeit mit dem Forschungsunternehmen Vanson Bourne veröffentlicht:

“Während ein Viertel aller befragten Firmen in Deutschland, Frankreich und England auf manuelle Backups ihrer Unternehmens-PCs und -Laptops setzen, verzichten 19 % komplett auf deren Sicherung.” (Quelle: mittelstandswiki.de)

Die Studie bestätigt unsere Erfahrungen, die wir bei Neukunden machen durften: Das Interesse an Backuplösungen entsteht meist erst nach einem kostenintensiven Ausfall. Dabei sind einfache Backuplösungen oft sehr schnell und kostengünstig implementierbar.

Viele Grüße,
Matthias

Hi,
für alle die Probleme mit der VMWare Server 2.0 Console haben:

Hi,
VMware server 2.0.2 dos not work with firefox3.6.
I had the same pb. I uninstalled firefox 3.6 and installed the 3.5.7 version. All is OK now.
OS:windows XP-SP3

Quelle: Link

Gruß,
Matthias

Hi,
wenn man Prozesse, die Ports im unteren Portbereich (0-1023) binden, unter normalen Benutzerprivilegien ausführen möchte, dann muss man dieser unter den meisten Unix bzw. Linux basierten Betriebssystemen erst explizit erlauben. Die schönsten Möglichkeiten sind u.a.:

1. IPTables Portforwarding

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080


Das Protokoll muss allerdings damit “einverstanden” sein. Der User kann den Webserver dann z.B. weiterhin unter 8080 laufen lassen.

2. authbind
Konfiguration als root-User:

# touch /etc/authbind/byport/80
# chown muster:muster /etc/authbind/byport/80
# chmod 755 /etc/authbind/byport/80


Als Benutzer dann das Socket durch authbind aufrufen lassen:


authbind nc -l -p 80 -e "/usr/bin/uptime"


oder für Prozesse, die ebenfalls Unterprozesse aufrufen:


authbind --deep nc -l -p 80 -e "/usr/bin/uptime"


Wir mussten Probleme bei einigen Java Programmen feststellen. Jenachdem wie das Socket in der Klasse implementiert wurde, umgeht die JVM den authbind-Aufruf, so dass es weiterhin zu einer Bind Exception kommt.

Weitere Informationen findet man unter debian-administration.org.

Viele Grüße
Matthias

Hallo,
es ist doch immer noch sehr verwunderlich wie schlecht eigentlich die Internetanbindungen bzw. DSL Verfügbarkeiten in unserem Gebiet in dieser Zeit noch sind.

Online-Backups sind ein aktuelles Thema. Fraglich ist wie wir, gerade in unserem regionalen Umkreis, ein solches Unterfangen realisieren sollen. Ein paar neue Powerpointpräsentationen hier und ein paar Datenbankdumps da und schon kommt eine derart große Datenmenge zusammen, dass eine Übermittlung bzw. ein Upload, selbst bei einer inkrementellen Sicherung, über die Nacht (fast) unmöglich ist. Ein Backup würde also entweder über die Nacht hinauslaufen und damit den produktiven Betrieb stören oder sogar einen vernünftigen Backupintervall überschreiten.

Wenigstens in Siegburg geht der Glasfaserausbau voran. Am Bahnhof sieht man schon fleißige Techniker.

Viele Grüße
Matthias

Hi,
der WatchGuard SSL Client ist in der neuen Version 11.1 veröffentlicht worden:

The Windows SSL VPN client has been updated to support Window7 and Windows 64-bit operating systems. [39841]

(Quelle: Releasenotes)

Wir werden berichten. Für Mac OS X ist ein Client für das OS X 10.5 rausgekommen, WatchGuard hängt also leider immer noch ein wenig hinterher.

Viele Grüße,
Matthias

Hallo,
eine gute Checkliste für die Umsetzung eines sicheren WLANs findet man unter dem folgenden Link.

So genannte “Guest WLANs” für die Gäste bzw. Kunden, welche den Zugriff auf die internen Ressourcen verbieten, sind gut. Besser ist aber immer noch GAR KEIN WLAN!

Grüße,
Matthias

Hi,
in den VMWare Foren diskutieren die User über die Verwendung von USB Hardware in VMWare Hostmaschinen.

Virtualisierung ist immer noch ein aktuelles Thema. Leider bleibt bei zahlreichen branchenspezifischen Softwareherstellern immer noch die Lizensierung über die lästigen USB-Dongles. Also wünscht man sich das Durchschleifen von USB Devices.

In den VMWare Foren gibt es immer noch keine eindeutigen Aussagen darüber, ob es jetzt wirklich funktioniert oder nicht. Wir haben es an einem Dell R710 Server getestet:

- USB Host Controller für Passthrough aktiviert (unter den Einstellungen des VMWare Hosts im VSphere Client)
- USB Controller innerhalb der VM Einstellungen DEAKTIVIERT
- Einzelne benötigte USB Host Controller direkt der VM zugewiesen (ebenfalls unter den VM Einstellungen)

-> Es funktioniert! Die USB Hardware wird in der VM erkannt und sogar die Lizensierung funktioniert.

Ein “kleines” ABER bleibt: Durch das Durchschleifen von Hardware wird die Snapshot-Funktion deaktiviert. Daher haben wir von dieser Vorgehensweise auch komplett losgelassen.

Alternative: USB over Ethernet. Nach einigen Tests mussten wir ebenfalls feststellen, dass es ohne Probleme funktioniert (also auch auf Ebene des License Dongles). Grundsätzlich raten wir also: Immer versuchen die benötigten Komponenten “aus der VM rauszubekommen” - egal welche Hardware (seien es ISDN Karten, Fernsehkarten, etc.).

Gruß,
Matthias

Hi,
wenn man eine Regel im Rulename mittels dem WSM Client von WatchGuard über 27 Zeichen zuordnet, dann verhält sich die Firewall unmittelbar nach Schreiben der Konfiguration sehr merkwürdig. Sie “vergisst” bestimmte Regeln und DROPT somit zahlreiche Pakete. Die Firmware ist die aktuelle XTM 11.0.2.

Nach einem Reboot der Firebox startet diese nicht mehr. Es ist ein kompletter Reset erforderlich. Grundsätzlich kann man darüber diskutieren, ob es sinnvoll ist eine Regel mit über 27 Zeichen zu benennen. Jedoch ist der Knackpunkt meiner Meinung nach, dass ein solch hartes Phänomen auftritt, welches nicht ganz so einfach zu reproduzieren ist, insbesondere wenn man die Konfiguration nicht selbst vorgenommen hat.

Eine Abfrage im Client (if rulename > 27 chars) und eine entsprechende Warnung würde ALLEN Beteiligten das Leben einfacher machen (sowohl den Usern, den Administratoren und auch dem WatchGuard Support). Gleiches Thema bei den VPN Passwörtern (siehe älterer Eintrag bei uns im Blog sowie Blog von Herrn Bernd Och). Warum gibt es dort ebenfalls keine Abfrage im Client?

Das genannte Problem bzgl. der Regelnamen wurde vom WatchGuard Support bestätigt.

Gruß,
Matthias

Hi,
der WatchGuard SSL Client läuft übrigens unter Snow Leopard 64 Bit ebenso wenig wie der SSL Client unter Vista 64 Bit.

Abhilfe schafft, wie bereits erwähnt, unter Vista ein OpenVPN Client (z.B. OpenVPN GUI) und unter Snow Leopard die Software Tunnelblick. Siehe auch unsere anderen Blogeinträge.

Gruß
Matthias