Schulnetzwerke werden mit wachsenden Anforderungen komplexer. Ein Schulserver, schulweites WLAN, Einsatz von Tablets und Laptops im Unterricht, eine Schulcloud, einheitliche Logins für alle Dienste – die Anforderungen an einen Netzwerkbetreuer oder Dienstleister in der Schule sind vielfältig. Wenn alles funktioniert, ist meist auch alles gut. Aber was ist, wenn der Server, die Firewall oder ein Switch ausfällt? Die Konsequenzen können sehr unterschiedlich sein. Wie schnell kann der Normalbetrieb wiederhergestellt werden? Wie wichtig ist Hochverfügbarkeit in einem Schulnetzwerk?

Hochverfügbarkeit

Laut Wikipedia definiert sich Hochverfügbarkeit folgendermaßen

Hochverfügbarkeit (englisch high availability, HA) bezeichnet die Fähigkeit eines Systems, trotz Ausfalls einer seiner Komponenten mit einer hohen Wahrscheinlichkeit (oft 99,99 % oder besser) den Betrieb zu gewährleisten.

Es geht also darum, dass ein System („das Schulnetzwerk“) einsatzfähig bleibt, auch wenn eine oder mehrere Komponenten einmal ausfallen sollten. Dabei kann es durchaus zu Unterbrechungen kommen. Je nachdem wie lang so eine Unterbrechung ist, teilt man die Hochverfügbarkeit in verschiedene Klassen ein. Ein Schulnetzwerk muss vor allem an Schultagen einsatzfähig sein (ca. 180-200 Tage pro Jahr). Auch wenn eine 99,999% Verfügbarkeit in den wenigsten Schulen absolut notwendig ist, ist der reibungslose Betrieb für den Unterrichtsalltag sehr wichtig.

Single Point of Failures

Um Hochverfügbarkeit herzustellen, müssen sogenannte „Single Point of Failures“ reduziert werden. Es handelt sich dabei um Komponenten bei deren Ausfall das ganze Schulnetzwerk still stehen würde. Was können solche „Single Point of Failures“ sein?

• Firewall → fällt sie aus, gibt es kein Zugang mehr zum Internet, je nach Konfiguration funktioniert auch das interne Netz nicht mehr
• Switche (v.a. Hauptswitch) → siehe Firewall, Komplettausfall
• Server → fällt er aus, sind viele Anwendungen nicht mehr zu erreichen, d.h. keine Anmeldung mehr im internen Logins, Webanwendungen, Schulcloud, …
• Internetanschlüsse → fällt der einzige Zugang aus, ist man offline.
• …

Kurze Geschichte am Rande:

Letzte Woche ist unsere Firewall ausgefallen (aufgrund des Atom C2000 Bugs). Das Netzwerk lag still, wir waren offline. Ein erster Versuch die Firewall zu virtualisieren scheiterte, sodass wir auf einen kleinen Minicomputer mit 2 Netzwerkkarten ausgewichen sind. Es waren ein paar zusätzliche Konfigurationen an unserem Hauptswitch nötig um alle WANs und VLANs auf zwei Netzwerkkarten aufzuteilen. Nach einigen Stunden lief das Netzwerk dann wieder (wir konnten das Backup der Konfiguration mit wenig Änderungen problemlos wiederherstellen).

Wie kann man die Ausfallsicherheit erhöhen?

Es gibt mehrere Möglichkeiten, wie man die Ausfallsicherheit erhöhen und das System „Schulnetzwerk“ besser gegen Ausfälle schützen kann. Allgemein geht es darum, dass man möglichst wenige (am besten keine) „Single Point of Failures“ hat und kritische Komponenten bei einem Ausfall fehlertolerant sind. Wie bereits oben erwähnt, hängen die Anforderungen an ein hochverfügbares Schulnetzwerk sehr von den Gegebenheiten und Wünschen des Schulträgers ab. Zum einen ist es eine Frage des Geldbeutels, zum anderen muss auch nicht jedes Netzwerk innerhalb weniger Minuten wieder verfügbar sein.

Hier einige Ideen, wie man die Ausfallsicherheit erhöhen kann:

• qualitative Hardware → gute Hardware kostet zwar mehr, aber sie läuft oft stabiler
• Backups, Backups → Konfigurationen, Daten, Virtuelle Maschinen, Container – an Backups führt kein Weg dran vorbei (Backups unbedingt auch testen!)
• Monitoring → ein gutes Monitoring kann in manchen Fälle Fehler früh erkennen bzw. gibt einen Überblick, wo es im Netzwerk gerade Probleme gibt. So kann man schneller reagieren und ist nicht auf die Hinweise der Benutzer im Netzwerk angewiesen („Das Internet geht nicht mehr“, „Der Drucker ist kaputt“, …)
• Fehlertoleranz erhöhen → auch „Failover“ genannt, d.h. zwei Netzteile im Server, mehrere Internetanschlüsse („Multi-WAN), zwei Firewalls, RAID, zwei Server, …
• Ersatzteile vorhalten → Festplatten, Ersatzswitch, …
• UPS/USW → Hardware bei Stromschwankungen schützen und Weiterbetrieb auch bei einem Stromausfall gewährleisten (für begrenzte Zeit)
• „personelle Redundanz“ → besser zwei oder mehrere Administratoren bzw. Dienstleister (bei Abwesenheit durch Krankheit, Urlaub, …)
• vorbeugende Wartungen
• …

Fazit

Ein Schulnetzwerk ist sicher kein hochkritisches System, aber mit der fortschreitenden Digitalisierung der Schulen wird es immer wichtiger, dass die IT-Infrastruktur möglichst ohne Ausfälle erreichbar bleibt. An manchen Schulen wiegt ein Ausfall des Internets so schwer, dass kaum weiter gearbeitet werden kann (Onlinesysteme zur Verwaltung, Schulclouds, Online-Lernsysteme, Student Information Systems). Um die Ausfallsicherheit zu erhöhen, muss man nicht immer viel Geld in die Hand nehmen. Viel wichtiger ist, dass man auf einen Ausfall vorbereitet ist (v.a. bei den Single Point of Failures).

3 Kommentare

Der Beitrag Wie wichtig ist Hochverfügbarkeit in einem Schulnetzwerk? erschien zuerst auf .:zefanjas:..

Das Update auf die Version 2019.09 von friend.ca lief ohne Herausforderungen ab. Einzig eine Beschwerde bei der Ausführung der Installation via Composer über die genutzte PHP-Version auf der Shell von All-inkl.com brachte den Rollout kurz zum stocken. Das verlinken der … Weiterlesen →

Der Beitrag Update auf Frienda.ca 2019.09 erschien zuerst auf Got tty.

Ich habe diesmal einen komplett anderen Screenshot als jenen meines Desktop gewählt. Da Nextcloud 17 gerade mit lauter wundervollen Neuerungen erschienen ist, habe ich mich entschlossen einmal ein Screenshot von meiner Nextcloudinstallation zu nehmen. Ich habe mir hierzu ein Icon … Weiterlesen →

Der Beitrag Der monatliche Screenshot Oktober 2019 erschien zuerst auf Got tty.

Um YouTube konform nach DSGVO in WordPress einbetten zu können nutze ich das Plugin Lazy Load for Videos des Entwicklers Kevin Weber. Das Plugin unterstützt Videos der Plattformen YouTube, sowie Vimeo und bindet vorab nur ein Teaserbild des Videos ein. … Weiterlesen →

Der Beitrag WordPress: YouTube und DSGVO erschien zuerst auf Got tty.

Da es unter macOS Catalina keine CTRL-Taste gibt, ist es nicht möglich mit dem Feedreader TinyTinyRSS via Tastenkürzel CTRL + ↑ bzw CTRL + ↓durch die Artikel zu blättern. Um diesen Fehler zu beheben gibt es ein Plugin auf Github … Weiterlesen →

Der Beitrag TinyTinyRSS Plugin macOS CTRL to ⌘ Command erschien zuerst auf Got tty.

Leider werden die Teaserbilder in dem erweiterten Menü von Shopware falsch beschnitten dargestellt. Um dies richtig zu stellen muss die dafür zuständige CSS-Klasse erweitert werden.

Der Beitrag Shopware Setzen der richtigen Bildergröße im erweiterten Menü erschien zuerst auf Got tty.

Nach dem heutigen Kernelupdate musste ich feststellen, dass unseren Zabbixserver bei einem Reboot immer noch eine vom Maintainer falsch ausgerollte Einstellung plagt. Ein Reboot ist nicht möglich, da in der zuständigen Servicedatei für den SystemD ein TimeoutSec=infinity gesetzt ist. Erst … Weiterlesen →

Der Beitrag Zabbix Server hängt bei einem Neustart erschien zuerst auf Got tty.

Um das Autoscaling der hochgeladenen Bilder von max 2560px in Höhe bzw Breite zu unterbinden ist folgende Zeile in der functions.php nötig Wird dies nicht vorgenommen werden alle neu hochgeladenen Bilder in Ihrer maximalen Größe (…) Weiterlesen

Der Beitrag Autoscaling in WordPress 5.3 erschien zuerst auf Got tty.

When in danger or in doubt, run in circles, scream and shout.” Herman Wouk Da sind sie nun schon wieder zur Neige gegangen. Der Adressbereich IPv4. Oder nun endgültig. Könnten wir dies jetzt sehen wie wir wollen? Für meine Seite, … Weiterlesen →

Der Beitrag Über IPv6, meine Randbemerkung erschien zuerst auf Got tty.

In der vorherhigen Anleitung habe ich gezeigt wie teamjoin.de angepasst wurde. Tutorial: Jitsi Meet Docker Instanz anpassen Tutorial: Eigene Jitsi Meet Instanz installieren (Docker / Ubuntu / Nginx) Was ist Jitsi Meet?: Videokonferenzen mit...

by adminForge.

Ein NAS zu verwenden ist in vielen Situationen sinnvoll. Wenn man beispielsweise mehrere netzwerkfähige Geräte verwendet, seien es PCs, Tablets oder Fernseher, können alle Geräte auf den gleichen Speicher zugreifen. Dort gespeicherte Dateien, beispielsweise Urlaubsfotos, können dann auf allen diesen Geräten angezeigt werden.

Meine Motivation ist allerdings vor allem der redundante Festplattenspeicher. Ich verwende ein NAS mit zwei Festplatten. Ich werde sie so konfigurieren, dass beide Festplatten sich gegenseitig spiegeln, also exakt die gleichen Daten speichern. Das nennt sich RAID 1 (Redundant Array of independent disks). Fällt eine der beiden Festplatten aus, kann sie ersetzt werden und die Daten sind noch auf der zweiten Festplatte gespeichert.

NAS kaufen vs. Raspberry Pi Eigenbau

Das aktuelle Einstiegsmodell von Synology, DS218j, genügt für mich allemal. Ich werde einen relativ geringen Traffic darauf laufen lassen und brauche dort keine übermäßige Rechenleistung (momentan habe ich keinen Bedarf an Videocodierung oder anderen aufwendigen Berechnungen). Ich kann von meinen Geräten im Heimnetzwerk darauf zugreifen und haben die besagte Ausfallsicherheit durch das RAID 1.

Andere Hersteller kommen natürlich auch in Frage. Für meine Bedürfnisse ist es schon beinahe egal, wer das NAS herstellt. Ich habe mich für den Hersteller entschieden, der in meinem Bekanntenkreis bereits verwendet wird.

Prinzipiell gibt es sogar die Möglichkeit, das NAS über ein Raspberry Pi selbst zu bauen. Das Betriebssystem OpenMediaVault kann man das sogar recht komfortabel umsetzen. Ein halbwegs neuer Raspberry Pi und externe Festplatten genügen, schon kann man die Low Budget Variante selber bauen. Die Einrichtung funktioniert anschließend über den Browser, so wie es auch in den kommerziellen Varianten der Fall ist.

Ich entschied mich für die kommerzielle Variante. Das ist – zugegeben – eher untypisch für mich und das Blog. Normalerweise bin ich eher der Bastler, der gerne solche Systeme selber baut. In diesem speziellen Fall war mir die Kaufvariante allerdings lieber.

NAS-Festplatten vs. Deskop-Festplatten

Die zweite Frage, nachdem die Entscheidung auf die Diskstation DS218j gefallen ist, lautet: welche Festplatten werde ich verwenden?Die sogenannten NAS-Festplatten sind robuster ausgestattet als die typischen Desktop-Festplatten. Die wesentlichen Unterschiede zwischen den Typen sind die folgenden:

• Drehzahl: NAS-HDD laufen langsamer als Desktop-HDD. Sie sind dadurch ruhiger, verbrauchen weniger Energie und erwärmen sich nicht so stark.
• Montagebohrungen: Nicht jede HDD hat die passenden Befestigungsmöglichkeiten für die Rahmen in einem NAS.
• Firmware: NAS-HDD können mit dem RAID-Controller über ausgefallene Sektoren kommunizieren.
• Vibrationen: NAS-HDD haben manchmal einen Virbationssensor, der bei zu starken Vibrationen im Gehäuse die HDD herunterfährt. Außerdem sind die „besseren“ NAS-HDD zusätzlich mit Vibrationsdämpfern ausgestattet.

Ich habe mal letztendlich für die NAS-Version von Western Digital entschieden (WD Red). Aus meiner Sicht sind alle HDD-Hersteller gleichbedeutend, es hätte genauso gut Seagate oder Sandisk oder etwas anderes werden können. Die NAS-Festplatten kosten nur unwesentlich mehr als die Desktop-Version.

The post Ein NAS verwenden: Grundsatz first appeared on bejonet.

Wenn das NAS ordnungsgemäß aufgestellt, mit Festplatten oder SSD bestückt wurde, am Netzwerk hängt und mit Strom versorgt wird, kann man es einrichten.

Für Synology bedeutet das, dass man http://find.synology.com aufruft. Wie auch immer das funktioniert, aber kurz darauf befindet man sich tatsächlich auf dem NAS im Heimnetzwerk und kann es über dessen IP einrichten. Um das Betriebssystem zu installieren, folgt man ausschließlich dem Assistenten, hier gibt es nichts zu ergänzen.

RAID 0, RAID 1, RAID 5 und Synology Hybrid RAID (SHR)

In meinem DS218j befinden sich zwei NAS-Festplatten von Western Digital. Ich habe zwei 4 TB Festplatten eingebaut. Im Westentlichen habe ich damit folgende Möglichkeiten, die Festplatten zu verwenden.

RAID 0

Die Festplatten werden in Reihe geschaltet. Ihre Kapazität entspricht der Summe der Festplatten.

Achtung: Wenn eine der beiden Festplatten kaputt geht, sind diese Daten verloren. In diesem System gibt es keine Ausfallsicherheit.

RAID 1

Die Festplatten werden gespiegelt. Was auf der einen Festplatte gespeichert wird, wird auch auf die zweite gespeichert. Die Kapazität entspricht der Kapazität der kleinsten Festplatte.

Geht eine der beiden Festplatten kaputt, kann man über die zweite die Daten wiederherstellen.

Synology Hybrid Raid (SHR)

Diese Art von RAID greift den Nachteil des RAID 1 auf. Beim RAID 1 richtet sich die Gesamtkapazität nach der Kapazität der kleinsten Festplatte. Sollten größere HDD im Verbund eingebaut sein, wird deren restliche Kapazität nicht genutzt.

Das SHR nutzt bei ungleichgroßen Festplatten im Verbund die ungenutzte Kapazität und füllt sie mit weiteren Kopien auf. Die größeren Festplatten werden in weitere Volumes aufgeteilt. Dadurch soll sich eine höhere Redundanz ergeben.

Mein Fazit

Ich verwende für mein System zwei gleichgroße Festplatten. Mir ist Ausfallsicherheit wichtig, darum möchte ich nicht RAID 0 verwenden. Außerdem möchte ich mich nicht auf eine vermutlich proprietäre Redundanzlösung verlassen, sondern bei einem halbwegs offenen Konzept bleiben. Dadurch dass ich sowieso nur gleichgroße Speichermedien verwende, bleibt für mich somit RAID 1 als Sieger übrig.

The post NAS RAID 1 vs. Synology Hybrid RAID first appeared on bejonet.

Bei dem Import der von Sohpos generierten ovpn-Datei kommt es zu einem Fehler bei der Einrichtung der VPN-Verbindung unter Debian/RHEL/Fedora. Es wird in Zeile 7 die Konfiguration route remote_host 255.255.255.255 net_gateway moniert.Hier hilft es nur diese Zeile auszukommentieren. Danach ist der Import möglich.Nun sollten noch die Einstellungen der Konfiguration angepasst werden. Unter IPv4 > Routen ... Weiterlesen

Der Beitrag OpenVPN von Sophos Fehler in Zeile 7 erschien zuerst auf Got tty.

Um Docker Container zu verwalten, gibt es viele Tools, da wäre zum Beispiel Portainer oder Rancher.

Lazy Docker

Aber es gibt auch schlichte Tools wie Lazy Docker.

Das in Go geschriebene Programm läuft über die Konsole, ist interaktiv und bietet schnellen Zugriff auf die wichtigsten Docker oder Docker Compose Funktionen. Folgende Funktionen werden aktuell (Version 0.8) unterstützt.

• Zustand der Docker oder Docker Compose Umgebung abfragen
• Anzeige von Protokollen für einen Container oder Dienst
• ASCII-Grafiken der CPU- und Speichernutzung von Containern anzeigen
• Neustart, anhalten, entfernen, oder neu aufbauen von Containern oder Diensten
• Anzeigen der einzelnen Schichten eines bestimmten Images
• Aufräumen von Containern, Images oder Volumes mit prune

Lazy Docker installieren

Die Installation ist sehr einfach und kann direkt über wget oder via brew erledigt werden.

Der Einfachheit halber werde ich den ersten Weg wählen.

Voraussetzung ist eine bestehende und laufende Docker Installation (ansonsten wäre die Nutzung des Programms wenig sinnvoll).

wget https://github.com/jesseduffield/lazydocker/releases/download/v0.18.1/lazydocker_0.18.1_Linux_x86_64.tar.gz
tar xvzf lazydocker*.tar.gz

sudo install lazydocker /usr/local/bin/
sudo systemctl status docker
sudo lazydocker

Die Steuerung erfolgt über die Pfeiltasten, das Menü lässt sich über x aufrufen und das Tool via Esc beenden.

Eine komplette Liste der Shortcuts findet ihr hier. Im Prinzip selbsterklärend.

Wer sich nicht selbst reinfinden möchte, der kann auch auf das Videotutorial zurückgreifen.

Fazit

Praktisches Tool, welches ohne Webserver oder dergleichen auskommt und etwas mehr Überblick bietet, als die üblichen Konsolenbefehle.

Unter dem Namen IT Landscape for sysadmins ist eine kleine aber feine Übersicht diverser Open-Source Projekte zu finden.

Unterteilt in Kategorien wie Protokolle, Cloud & Virtualisierung, Storage, Monitoring, Support Systeme, Messaging, Automation oder Essentials finden sich viele bekannte FOSS (Free and Open-Source-Software) Tools.

Solche Landschaftsgrafiken sind ja vom Marketing, Social Media oder IT-Dienstleistern durchaus bekannt, bisher ist mir aber keine Übersicht für Open-Source-Software untergekommen.
Umso besser, dass Alen Krmelj Mitte 2015 das Projekt Sysadmin Open Source Landscape ins Leben gerufen hat.

Die Sammlung kann sich jetzt schon sehen lassen und darf dank ihrer offenen Architektur von allen erweitert werden. Dazu genügt ein Klick auf das Plus-Symbol in der jeweiligen Kategorie.

Wer sich die IT-Landschaft ausdrucken möchte, der kann dank der verschiedenen Ansichten (oben rechts) eine einfache Liste abspeichern. 

Fazit

Die Seite ist leider nicht mehr online

 

Parrot 5.0

Nach über einem Jahr wurde Parrot 5.0 als LTS Version veröffentlicht.

Die bekannten Editionen wurden weitgehend (bis auf die MATE Arbeitsumgebung) beibehalten. Es gibt weiterhin eine Home Edition und eine Security Edition.

Mit Parrot Architekt wurde die ARM Edition wiederbelebt, dabei handelt es sich um eine minimale Variante, die nicht viel mehr als einen Installer mitbringt. Sie eignet sich nach Angaben der Entwickler für WSL Portierungen oder Server Varianten.

Hack the Box

Vor einiger Zeit hatte Parrot die Zusammenarbeit mit Hack The Box bekannt gegeben. Daraus ist PwnBox entstanden, welches via Hack The Box direkt im Browser verwendet werden kann. Details zur Verwendung finden sich hier.

Die PwnBox erinnert an die virtuellen Browsersysteme von Try Hack Me, wobei THM ein etwas anderes Modell verfolgt.

Mit Release 5.0 kann diese PwnBox Edition ebenfalls heruntergeladen werden.

Technische Neuerungen

Anders als frühere Versionen basiert Parrot nun auf Debian 11 Stable. Zusätzlich wurde ein Rolling Release Modell für Security Updates eingeführt.

Der neue Kernel basiert auf Version 5.6

Tools

Wie bei jedem Update wurde auch das Toolset erweitert.

• Das Pocsuite3 Security Framework des Knownsrc 404 Teams wurde aufgenommen. Bei Pocsuite handelt es sich um ein freies Tool zum Aufspüren von Sicherheitslücken

• Mit findmyhash 2.0 wurde die neueste Version des Hash Crackers integriert

• Das neue Tool Dirsearch ist ein klassischer Path Scanner

• Python3-pcodedmp ist neu dabei, ein VBA P-Code disassembler

• Mimipenguin erlaubt das dumpen von Login Daten des aktuellen Linux Nutzer

• MS Office Freunde erhalten mit den oletools das richtige Werkzeug, um Dokumente zu untersuchen.

• Windows Nutzer können mit Pyinstxtractor den Inhalt von PyInstaller exe Dateien extrahieren.

• Für die Fuzzer wurde Ffuf aufgenommen

• Ivy ist ein Payload Creation Tool für VBA

• Jwtxploiter testet JSON Web Tokes gegen die CVE Datenbank

---

Kali Linux 2022.1

Auch der Branchenprimus liefert regelmäßig aktualisierte Distribution aus. Das aktuelle Jahresrelease 2022.1 von Mitte Februar wurde optisch aufgepeppt und bringt frische Hintergrundbilder und ein neues Grub Theme mit. Die Browser Startseite und das Shell Prompt (aus dem Totenkopf ist ein K geworden) wurden überarbeitet.

Mit dem „Kali Linux Everything“ Image kann jetzt eine ISO mit allen Tools heruntergeladen werden. Aufgrund der Größe (bis zu 9.5 GB) ist dieses allerdings nur via Torrent verfügbar.

Nutzer einer Gast-VM mit i3 Umgebung kommen nun in den Genuss von copy/paste und drag&drop. Dieses Feature wird inzwischen automatisch aktiviert.

Tools

Neue Werkzeuge dürfen auch beim Kali Release nie fehlen:

• dnsx - Schnelles und vielseitiges DNS-Toolkit

• email2phonenumber - Ein OSINT-Tool, um die Telefonnummer einer Zielperson via E-Mail-Adresse zu ermitteln

• naabu – Nein, nicht der Naturschutzbund, sondern ein schneller Port-Scanner

• nuclei - Gezieltes Scannen mithilfe von Vorlagen

• PoshC2 - Ein proxyfähiges C2-Framework mit Post-Exploitation

• proxify - Schweizer Taschenmesser Proxy-Tool für die Erfassung und Manipulation HTTP/HTTPS-Traffic

 

ARM Tools

Auch auf der ARM Architektur wurden neue Tools integriert. So wurde mit Ghidra das bekannte SRE Framwork aufgenommen und mit Feroxbuster ein in Rust geschriebenes Force Browsing Tool, welches mithilfe von Wortlisten gut dafür geeignet ist, versteckte Verzeichnisse und Dateien zu finden

---

---

Übersicht 03/2022

 

Name	Version	Tools	Basis	GUI
Autopsy	4.18	???	Windows
BackBox	7.0	100+	Ubuntu	Xfce
BlackArch	2021.09	1750+	ArchLinux	Multi
CAINE	11	100+	Ubuntu	Mate
DracOS	3.0		LFS	DWM
DEFT Zero	2018.2		Lubuntu	Lxde
Kali Linux	2022.1	600+	Debian 11	Multi
Kali AppStore		40+	Android
LionSec	5.0		Ubuntu
Matriux	v3 RC1		Debian	Gnome
NST	34	???	Fedora
NetSecL OS	6.0		OpenSuse	Lxde
Paladin	7.0		Ubuntu
Parrot OS	5	700+	Debian 11	Mate
Pentoo	2018.0 RC7.1		Gentoo	Xfce
Ronin			Lubuntu	Lxde
Sans SIFT	3.0		Ubuntu

NordVPN bietet eine Funktion an, die sich Meshnet nennt. Diese Funktion ist ziemlich cool. Du kannst damit ein virtuelles privates LAN erstellen und sicher auf andere Geräte im gleichen Meshnet zugreifen. Dabei darfst Du nicht nur zehn eigene Geräte in diesem virtuellen Netzwerk verbinden, sondern auch bis zu 50 Fremdgeräte. NordVPN* macht es damit super einfach, ein virtuelles privates LAN oder vLAN zu erstellen und das mit allen Geräten, für die es einen Client gibt. Teste es einfach selbst, weil […]

Der Beitrag NordVPN Meshnet – was ist es und wie funktioniert das Mesh? ist von bitblokes.de.

Für mich ist die Erreichbarkeit von Webseiten der von mir betreuten Webseiten und Dienste sehr wichtig. Hierfür nutze ich nicht nur Icinga2 in Verbindung mit Grafana, sondern auch ein ziemlich simples, aber auch mächtiges Werkzeug. Uptime-Kuma eine Opensource on premise Monitoringsoftware.

Der Beitrag Uptime Kuma, mein Monitoring Werkzeug erschien zuerst auf Got tty.

Um Cipher Suites auf Windows Servern zur verwalten, muss in die Registry (HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL) eingegriffen werden. Nartac Software möchte diesen Eingriff am offenen Herzen vereinfachen und bietet seit Jahren das Tool IIS Crypto an.

IIS Crypto 3.3

IIS Crypto ermöglicht die einfache Verwaltung von Server-Protokollen, Chipers, Hashes und Schlüsselaustauschalgorithmen unter einer Oberfläche.

Ich habe dieses Tool früher oft verwendet, um Windows Server zu härten. Es werden die Versionen 2008, 2012, 2016, 2019 und 2022 unterstützt. Am besten hat mir die Möglichkeit gefallen, Cipher Suites neu anzuordnen.

Neben Windows Server 2022 wurde in der aktuellen Version die Unterstützung für TLS 1.3 implementiert.

Vorhandene Vorlagen wurden angepasst. So werden im Strict Template nun CBC Ciphers Suites unter Windows 2016 und höher entfernt.

Fazit

Wenn man bedenkt, wie lange TLS 1.3 bereits im Einsatz ist, haben sich die Entwickler hinter IIS Crypto sehr (sehr) viel Zeit gelassen.

Unabhängig davon bietet das Tool mit seinen Best Practices (siehe Screenshot) unerfahrenen Nutzern eine einfache Möglichkeit, Windows Server zu härten und besser abzusichern.

Das Tool Portmaster ist eine Endbenutzerfirewall, welche dem Anwender die volle Kontrolle über aus und eingehende Internetverbindungen zurückgibt. Im Oktober wurde Version 1.x der Firewall Portmaster veröffentlicht.

Für Windows Nutzer dürfte dieses Tool Gold wert sein, denn freie Tools mit guter Usability wie Portmaster sind im Microsoft Universum rar gesät. Linux Nutzer kommen ebenfalls nicht zu kurz, denn die Firewall kann auch von Debian/Ubuntu oder Fedora Anwendern installiert werden. Selbst für mobile Geräte stehen APKs bereit.

Blocklisten und Secure DNS

Neben den üblichen Firewallfunktionen mit detaillierter Traffic Darstellung und Auflistung einzelner Verbindungen beherrscht das Tool Blocklisten. Diese können über die Einstellungen in der Funktionsleiste angepasst werden. Beim ersten Start werden diese mit der Ersteinrichtung automatisch aktiviert.

Die Tracker Blocklisten sorgen für die Verbindungsunterdrückung zu Werbe-Netzwerken oder anderen Inhalten. Portmaster ersetzt somit quasi Tools wie Pi-Hole oder diverse Browser-Add-ons. Die genannten Filtereinstellungen sind unter Global Settings/Privacy Filter zu finden.

Portmaster verwendet zur DNS Auflösung DNS-over-TLS, dies geschieht in den Standardeinstellungen über Cloudflare, kann aber auf Quad9 oder AdGuard umgestellt werden. Die DNS-Server werden via URL-Scheme konfiguriert und bieten daher auch die Möglichkeit Community Settings zu hinterlegen

Unter Global Settings/Secure DNS können diese DNS-Server jederzeit angepasst, beziehungsweise entfernt werden. Ist nichts hinterlegt, werden die DNS-Server des Systems verwendet.

Features

Nachdem die Firewall das erste Mal in Betrieb genommen wurde, sollte der Einfachheit halber auf „Allow All und Prompt“ gestellt werden, sonst kann es durchaus zu viel Klickarbeit kommen, gerade unter Windows Systemen. Abseits davon bietet Portmaster alles, was sicherheitsbewusste Anwender mögen.

• Kontrolle über das Verhalten der installierten Programme

• Fliegender Wechsel zwischen den Standard-Netzwerkaktionen: Zulassen, Sperren, Nachfragen

• Statistiken über alle Verbindungen

• Adblocker und Trackerblocking

• Auflistung der geblockten Anfragen

• DNS-over-TLS

• P2P Verbindungen blockieren

• Quellcodekontrolle via github

Fazit

Als Application Firewall ist Portmaster auf jeden Fall eine Installation wert, alleine schon wegen der Vielzahl an Einstellungsmöglichkeiten und der Vielfalt des Monitorings.

Features wie SPN (Secure Private Network) lassen sich die Entwickler zwar bezahlen, allerdings sollte nicht jeder Nutzer verschiedene Länder IPS zu einzelnen Programmen zuweisen wollen, daher ist dieses nicht vorhandene Feature verkraftbar.

Portmaster hat auf meinem Windows System Windows Firewall Control inzwischen abgelöst.

Der Begriff OSINT (Open Source Intelligence) ist nicht erst seit 2022 ein allgemein bekannter Begriff, hat allerdings durch den Krieg in der Ukraine, Krisen und dem Durst nach Informationsgewinnung, viel Aufschwung erfahren. Das erste Mal wurde die Öffentlichkeit durch Bellingcat im Jahr 2012 darauf aufmerksam.

Der Begriff steht für die Informationsgewinnung aus öffentlichen Daten. Dabei helfen Tools, diese Daten zu analysieren, zu interpretieren und zu sortieren. Gerade im Netzwerkbereich finden sich hier spannende Programme.

Ich selbst nutze für persönliche Zwecke diverse öffentliche bzw. freie Tools, sei es zur Netzwerkanalyse, für verdächtige E-Mailheader oder zum DNS Check. Möglichkeiten gibt es sehr viele.

Dabei ist eine kleine Liste zusammen gekommen, welche ich euch gerne zur Verfügung stellen möchte.

Eine dauerhaft aktualisierte Liste findet ihr in Zukunft unter osint.itrig.de.

• https://whatmyuseragent.com
• https://robotsdb.de/robots-verzeichnis
• https://www.cimtools.net/en/extra/bots_list.php

• https://github.com/drwetter/testssl.sh

• https://ciphersuite.info
• https://crt.sh
• https://www.ssllabs.com/ssltest
• https://observatory.mozilla.org
• https://ciphersuite.info

• https://github.com/darkoperator/dnsrecon

• https://dnsdumpster.com
• https://www.whatsmydns.net
• https://toolbox.googleapps.com/apps/dig
• https://viewdns.info

• https://osint.sh
• https://urlscan.io
• https://www.brightcloud.com/tools/url-ip-lookup.php
• https://unshorten.me
• https://securitytrails.com
• https://www.maxmind.com/en/locate-my-ip-address

• https://www.bundesanzeiger.de
• https://www.insolvenzbekanntmachungen.de
• https://www.northdata.de

• https://grep.app

• https://github.com/robertdavidgraham/masscan

• https://www.shodan.io/explore
• https://search.censys.io
• https://fullhunt.io

Mail Analyse Tools (lokal)

• https://github.com/ninoseki/eml_analyzer
• https://github.com/cyberdefenders/email-header-analyzer
• https://thatsthem.com/reverse-email-lookup

• https://hunter.io
• https://emailrep.io
• https://eml-analyzer.herokuapp.com
• https://www.spf-record.de
• https://toolbox.googleapps.com/apps/messageheader

• https://github.com/mandiant/capa
• https://github.com/horsicq/Detect-It-Easy

• https://labs.inquest.net
• https://www.virustotal.com/gui/home/search
• https://www.filescan.io/scan

• https://telemetr.io (telegram)

• https://github.com/pyhackertarget/hackertarget
• https://github.com/laramies/theHarvester

• https://github.com/ninoseki/mitaka
• https://addons.mozilla.org/de/firefox/addon/hacktools

• https://bgp.he.net
• https://www.peeringdb.com
• https://bgp.tools
• https://bgpstream.crosswork.cisco.com

• https://github.com/jivoi/awesome-osint
• https://github.com/cipher387/osint_stuff_tool_collection
• https://osintframework.com

Schwachstellen - CVE (online)

• https://www.cvedetails.com
• https://www.cve.org
• https://www.opencve.io

• https://iknowwhereyourcatlives.com (Katzen)
• https://intelx.io (Darkweb)
• https://github.com/secdev/scapy (Traffic Tests)
• https://locust.io (Traffic Tests)

Website Traffic

• https://www.similarweb.com/de

• https://www.wappalyzer.com
• https://osint.sh/stack
• https://website.informer.com
• https://builtwith.com
• https://www.whatruns.com

Diesen Blogpost hatte ich Anfang des Jahres verfasst und irgendwie nicht veröffentlicht. Friendi.ca ist eine Software, welche ich wirklich jahrelange genossen habe.Meine Instanz war über 8 Jahre alt und ich hatte dort alle Daten von meinem Account bei Google+ einsammeln lassen und konserviert. Ein Backup wirklich guter Gespräche. Eine gute Software. Anpassbar und mit Verbindungsmöglichkeiten ... Weiterlesen

Der Beitrag Ein kleiner Umzug erschien zuerst auf Got tty.

Ich bin nun nach einigen Dekaden von TinyTinyRSS komplett zu FreshRSS umgezogen. Der zwei Hinderungsgründe des verspäteten waren das Theme und die Tastenkürzel. Bei TinyTinyRSS war mir das Theme Feedly-Theme doch sehr an das Herz gewachsen und eine Alternative ist leider unter FreshRSS nicht zu finden. Auch empfand ich die Tastenkürzel unter TinyTinyRSS doch ein ... Weiterlesen

Der Beitrag Umzug zu von TinyTinyRSS zu FreshRSS erschien zuerst auf Got tty.

Die VZ Netzwerke ziehen mal wieder nach und bieten den VZ Plauderkasten jetzt auch zur Messengerintegration an.

Das ganze steckt wohl noch etwas in den Kinderschuhen, denn unter Pidgin lässt sich ein Account ohne Probleme einrichten, nur sieht man leider noch keine Kontakte.

Wer es dennoch wagen möchte, der findet bei Thomas Maetz oder stadt-bremerhaven eine Anleitung.