Kürzlich durfte ich im Auftrag des IT-Administrators einen Produkttest für die UTM Gatewaylösung “Clavister SG4310″ durchführen. Der Fokus lag dabei auf VPN-Funktionalität-sodann habe ich auch ein Beispiel aus der Praxis dargestellt.
Hier könnt Ihr den Artikel runterladen:
IT-Administrator_-_Clavister-Test-SG4310.PDF (405.7 KiB, 122 hits)
Viel Spaß beim lesen!
Florian Thiessenhusen
Ist es euch auch schon passiert, dass ihr den Auftrag erhalten habt, “im gesamten Clientnetz” irgendeine Einstellung zu prüfen oder ein Software zu installieren? Also mir passiert so was schon häufig und der zeitintensivste Teil dieser Aufgaben war es meist, erstmal rauszufinden, welche Systeme in selbigen Netz überhaupt erreichbar sind. Diese Liste könnte dann im zweiten Schritt für irgendwelche Programme weiter genutzt werden.
Damit ich jedoch keine so genannten Ping-Tools von Drittanbieten installieren musste, habe ich mir vorerst ein VB-Script geschrieben, welches die vom Betriebssystem bereit gestellten Funktionen nutzt. Leider musste ich nach kurzer Zeit feststellen, dass diese Methode nicht sehr benutzerfreundlich war. Damit bin ich dann auch schon beim Thema. Im Downloadbereich könnt ihr nun ein Ping-Tool auf der Basis eines Excel-Makros finden. Dieses kann die Verfügbarkeit von Systemen wie Clients, Server, Firewalls oder Switchen prüfen. Die Prüfung erfolgt auf der Basis des Hostnamens oder der IP-Adresse.
Das Tool ist selbserklärend und kann von jedem System mit Excel ausgeführt werden.
Ping Check 1.1.xls (860.0 KiB, 179 hits)
blog – port 389: check_state_remote_1.0.xls
Sascha Giebelhausen
Kürzlich (okay, es ist mehr als ein Monat her) kam die neue Firmware-Version für das über iScsi ansteuerbare Storagesystem, Fibrecat SX80i aus dem Hause Fujitsu, raus.
Die neue Version trägt die Versionsnummer J210P22 (Auslieferungszustand der SX80i ist J210P04). Einziger Migrationspfad zur neuen Firmware ist nur von Version J210P04 unterstützt.
Es gibt keine wesentlichen Änderungen, wobei ich trotzdem empfehle es zu installieren. Soll die Stablität des Geräts entscheident erhöhen. Leider ist auch diesmal nicht das leidige Thema des langsamen Webinterface gelöst worden.
Die Releasenotes finden sich hier oder bei Fujitsu.
Florian Thiessenhusen
Mahlzeit!
Schonmal versucht, eine Liste von Computern und IP-Listen (zum Beispiel aus dem Active Directory?) zur Verwendung für Firewallregeln in die Firewall zu importieren? Im Management Tool des alten 8.x Core’s (FineTune) gab es da die wunderbare, aber umständliche und fehleranfällige Art, die Firewall im Textmode zu editieren. Erfüllte seinen Zweck, aber war nicht immer praktikabel.
Ab Version 9.00 gibt es die wunderbare neue Scripting-Schnittstelle mit der ich Befehle absetzen oder ganze Scripts ausführen kann. Wir beschäftigen uns hier mal mit folgender Anforderung:
Vorbereitungen
Wir benötigen SSH Zugriff auf die Firewall. Dies am einfachsten im Web-Interface unter “System” -> “Remote Management” eine neue Entität SSH anlegen. Nicht vergessen, das eigene Netz als berechtigt zu konfigurieren 
! Wichtiger Hinweis an dieser Stelle: Wenn es eine SAT Regel gibt, welche auf dem Anfragenden Interface (Inside) SSH (Port 22 TCP) auf einen anderen Server weiterleitet, dann wird diese Konfiguration danach nicht mehr aktiv sein, denn standardmäßig überschreibt diese “Remote Management” Konfiguration (es sei denn, man deaktiviert in den “Advanced Settings” das Häkchen bei “SSH Before Rules:”.
Los geht’s!
Als erstes brauchen wir eine Liste mit Rechnernamen und zugeordneten IP’s, die wir in Excel importieren, damit diese in zwei nebeneinander stehenden Zellen stehen (nehmen wir mal an, es ist A1 (“Computer 1″) und B1 (“192.168.14.1″). In Zelle C1 geben wir folgendes ein:
="add Address IP4Address "&A1&" "&B1
Daraus ergibt sich jetzt folgendes:
add Address IP4Address Computer1 192.168.14.1
Dieser Befehl wird solange nach unten ausgefüllt, bis eben keine Computer mehr in den Zellen links zu finden sind . In Spalte C steht nun eine lange Liste an Befehlen, die wir so in das Notepad kopieren (einfach untereinander, bestimmte Syntax oder Zeilenenden müssen nicht berücksichtigt werden). Dieses wiederrum speichern wir unter c:\temp\ mit dem Namen “import.sgs” ab.
Diese Datei wird nun auf die Clavister kopiert. Dies geschieht mit SCP. SCP ist ein Protokoll womit man über SSH Daten verschlüsselt kopieren kann. Normalerweise würde man jetzt WINSCP (eine grafische Benutzeroberfläche) nehmen, aber das geht bei der vorliegenden Firewall nicht…Gott weiß warum.
Also bedienen wir uns dem Tool PSCP, ein kommandozeilenbasiertes Tool zur Dateiübertragung. Mit folgenden Parametern gestartet, wird die Datei (nach Passwortabfrage der Firewall) hochgeladen:
pscp c:\temp\import.sgs admin@[IP der Firewall]:script/
Anmerkung: Das Script mus zwingend im Unterornder “script” der Firewall landen.
Im SSH Client Putty, mit dem wir uns zur Firewall konnektiert und authentifiziert haben, führen wir nun einfach folgenden Befehl aus:
script -execute -name=import.sgs
Das war’s schon! Nun noch schnell ein “activate” und “commit” hinterherschicken, und die Adressobjekte sind da.
Ähnlich verfahren wir auch mit den Benutzern. Wir gehen davon aus, dass eine Liste mit “Benutzername”, “Password” und “Gruppe” besteht.
Der zu generierende und auszufüllende Befehl lautet:
add User [Benutzername] Password=[Password] groups=[Group]
Jedoch gibt es eine Besonderheit. Bevor dieser Befehl ausgeführt werden kann, muss folgender Befehl ausgeführt werden (der in dem Script dann am besten ganz oben stehen sollte):
cc LocalUserDatabase [Usergroup]
Anmerkung: [Usergroup] steht für die Benutzerdatenbank, in der die Benutzer landen müssen. Das hat nichts mit der Gruppe “Group” zu tun.
Das war es schon. Einfach oder? Im übrigen kann man mit der Scripting-Schnittstelle auch automatisiert Backups von der Clavister ziehen. Wie das geht? Vielleicht schreibe ich dazu mal einen Artikel 
.
So long,
Florian Thiessenhusen
| add Address IP4Address test ip |
Wie mein Kollege Florian Thiessenhusen vor ein paar Tagen absolut treffend in seinem Blog-Beitrag geschrieben hat, gehört NTP bzw. der Zeitdienst W32Time zu den wichtigsten Komponenten innerhalb einer Active Directory Infrastruktur. Nahezu alle Technologien greifen auf eine einheitliche Zeitbasis zurück – aber nicht jeder erkennt diese enorme Wichtigkeit! Immer wieder treffen wir auf die abstrusesten Selfmade-Lösungen. Dabei stellen Infrastrukturen die gar nicht konfiguriert sind oder Infrastrukturen mit mehr als 30 als autorisierend konfigurierte Zeitserver, sicherlich die Ausnahme dar…
…Es ist ehrlich gesagt keine große Herausforderung eine funktionierende und vorallem Best-Practice-konforme NTP-Struktur aufzubauen. Es gilt jedoch einige entscheidene Faktoren zwingend zu berücksichtigen.
Bei der Migration (Ablösung durch zusätzliche Domain Controller) einer bestehenden Windows 2003 auf eine Windows Server 2008 R2 Domäne, kann es jedoch manchmal ein bisschen länger dauern bzw. um es im “Consulting-deutsch” zu sagen “Warum geht die Schei… nicht?”. Hier muss zwangsläufig der autorisierende Zeitserver der Domäne (in den meisten Fällen der PDC-Emulator) nach dem verschieben der FSMO-Roles angepasst werden. Das geht in der Regel am schnellsten mit folgendem Befehl:
w32tm /config /update /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL /reliable:YES
Pool.ntp.org ist hierbei ein Zeitserver-Pool im Internet mit vier Zeitservern und einer durchaus vernünftigen Verfügbarkeit. Mehr als ebenbürtig sind auch die Server der Physikalisch-Technische Bundesanstalt in Braunschweig (ptbtime1.ptb.de, ptbtime2.ptb.de, ptbtime3.ptb.de).
In mehr als der Hälfte alle Fälle (je nach Unternehmen: Kritische Infrastruktur?, Produktionsunternehmen? Finanz-, Geld- und Versicherungswesen?) empfiehlt es sich (siehe Bundesamt für Sicherheit in der Informationstechnologie, BSI) einen eigenen NTP-Server im lokalen Netz bereitzustellen – hier bieten sich Systeme mit DCF-77 oder GPS geradezu an.
Um nun seinen restlichen Domain Controllern den neuen autorisierenden Zeitserver bekannt zu machen, geht man am einfachsten wie folgt vor:
1. Eingabeaufforderung (ab 2008 Server als Administrator ausführen!)
2. net stop w32time (Zeitdienst beenden, ansonsten gibt es eine “access denied message”)
3. w32tm /unregister (Zeitdienst “deinstallieren”)
4. w32tm /register (Zeitdienst “installieren”)
5. net start w32time (Zeitdienst starten)
6. w32tm /resync (synchronisieren mit Zeitgeber)
In meinem Fall, mussten die Systeme nicht gebootet werden. In manchen Situationen muss jedoch zwischen Schritt drei und vier das System neugestartet werden.
Testen kann man dann seine Konfiguration mit:
w32tm /monitor
Die “RefID” sollte nun überall der autorisierende Zeitserver sein. Beim PDC-Emulator bzw. beim autorisierenden Zeitserver muss diese (RefID) wiederum der Zeitserver im Internet (bsp. pool.ntp.org) oder der Zeitserver im internen Netzwerk sein. Im Optimalfall sollte die Zeit nun bis auf die vierte oder fünfte Stelle im Millisekundenbereich synchron sein.
Thomas Gronenwald
Links:
M 4.227 Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation
Kritische IT-Infrastrukturen, BSI
Eine der wichtigsten Basisdienste in einem Netzwerk, ganz gleich wie groß oder klein, ist das NTP (Network Time Protocol). (Synchrone) Zeiten sind nicht nur wichtig, damit die gesamte Firma gleichzeitig Feierabend macht oder das Mittagsbuffet stürmt, sondern auch folgende Dinge stabil laufen:
- (Windows) Authentifizierung
- Clusterdienste (Windows wie auch OpenSource (u)Carp)
- EMail
- Billingsysteme
- Verschlüsselung/Hashes
- Replikationen
- …
So ziemlich jeder Dienst im Netzwerk benötigt eine Konstante, die in den meisten Fällen die Uhrzeit ist. Unterschiede, selbst im Millisekundenbereich, können fatale Auswirkungen haben. Zum Beispiel lief bei einem Kunden kürzlich die Interstandort Replikation zweier Windows Domänencontroller nicht mehr, weil die Uhrzeit 30 Sekunden auseinandergelaufen ist. Wie kann sowas passieren? In dem Moment, wo ein System keine zuverlässige Zeitquelle nutzt, versucht es, die Zeit selber zu “generieren”. Da dies verschiedenste Abhängigkeiten hat (Bios, Systemtaktung, Schaltzeiten, ..) können dort, teilweise enorme, Differenzen entstehen.
Um das zu vermeiden, sollte man seiner eigenen NTP Struktur immer ein wenig mehr Aufmerksamkeit widmen, als man es tut. Denn leider wird diese allzu oft unterschätzt.
Es spielt dabei keine Rolle, ob es sich dabei um ein Windows- oder Unixsystem handelt, die Grundlagen sind immer gleich.
Woher sollte man sich die Uhrzeit holen?
Wenn man nicht seine eigene Atomuhr betreiben möchte, hat man als Netzwerkbetreiber im Grunde nur drei Möglichkeiten:
“Produziert” wird die Uhrzeit jedoch hauptsächlich nur in den GPS Satelliten (für Peilung wird eine exakte Uhrzeit benötigt und da “oben” herschen optimale Vorraussetzungen (Schwerelosigkeit)) oder von der PTB (Physikalisch-Technische Bundesanstalt) (Atomuhr) welches dann via Langwellensender ausgestrahlt wird und für entsprechende Empfänger (Funkuhren oder andere DCF77-.Empfänger) immer empfangsbereit ist. Für beide Dienste gibt es für PCs/Server spezielle Erweiterungskarten die diese Zeiten empfangen können (mit anschliessbaren Antennen).
Die Angabe “Stratum”
Mit “Stratum” wird die Vererbungshistorie der zeit angegeben. Um so niedriger, um so besser. DCF77 und GPS wird als “Stratum 0″, also Quelle, bezeichnet. Ein Server, der von dort die Zeit synchronisiert, ist in einer NTP-Struktur “Stratum 1″. So geht es dann immer weiter:
In einer mittelgroßen Umgebung kann es dann bis Stratum 3/4 gehen. Das Ziel ist, den Stratum bis zum Client gering zu halten. Man geht davon aus, dass jede zusätzliche Synchronisierungstelle Zeit “kostet” (durch Laufzeiten etc.). So wird die Zeit “hinten raus” immer ungenauer (immernoch im Millisekundenbereich).
Als negatives Beispiel sei folgendes genannt:
Als Zeitquelle wird eine Internetquelle genutzt. Die Internetquelle ist im optimalen Fall “Stratum 1″, jedoch ist die nicht immer gewährleistet (die Internetquelle müsste in dem Fall einen GPS- bzw. DCF77-Empfänger angeschlossen haben.
Desweiteren baut man sich damit zu viele Abhängigkeiten auf (z. B. Firewall oder eine genaue Uhrzeit vom Zeitanbieter), was in mittleren bis großen Netzwerken nicht tolerierbar ist.
Fazit
Das Ziel sollte sein, seinen eigenen “Stratum 1″-Server aufzubauen. Es gibt wenig Abhängigkeiten und volle Kontrolle. Nachteil: DCF- bzw GPS-Hardware ist immernoch vergleichsweise teuer und für Unix-Systeme kommen nur Komponenten in Frage, die auch kompatibel sind und mit den gängigen NTP-Servern (z. B. ntpd).
Florian Thiessenhusen
Wuhu! Sollte man sich Gedanken über meinen Gesundheitszustand machen, wenn ich beim Öffnen von Releasenotes erhöhten Puls und schweißnasse Hände bekomme? Ich glaube nicht, denn auf der CeBIT sagte mir ein guter Freund (der schon “30 Jahre in der IT” ist), dass ich noch die nötige Motivation habe, um Firewall-Dokumentationen abends mit ins Bett zu nehmen…er meinte es gut. Er sprach mir aus der Seele
Zurück zum Thema: Kürzlich hat Clavister, einer der wenigen europäischen Hersteller von richtig guten (UTM-) Firewalls und VPN-Lösungen, den neuen Firewall-Core 9.15.00 veröffentlicht. Selbstverständlich habe ich diesen sofort installiert und muss sagen: Ich bin begeistert!
Folgende (wichtige) neuen Funktionen sind dazugekommen (oder endlich wieder da!):
In Finetune bzw. der 8.90.x Firmware gab es die Möglichkeit, Kommentarzeilen einzufügen. Das gab es unter 9.x bzw. unter InControl nicht mehr. Nun hat man die Möglichkeit, Objekte farblich zu gruppieren. Dies hat nur Auswirkung auf die Darstellung, nicht aber auf die Firewallkonfiguration.
Da hüllt sich Clavister in Schweigen. Wie es aussieht, gibt es nun eine Funktion, mit der eine Art Single-Sign-On realisiert worden ist. Heißt: Ein ActiveDirectory Benutzer meldet sich am System an und die Clavister kann Benutzer- und eben nicht Computergesteuert Regelsätze unterscheiden. Bisher konnte man nur auf IP- oder MAC-Ebene Zugriffe regelbasiert einschränken (oder durch eine zusätzliche aber umständliche Authentifizierungsstufe per Webinterface). Jedoch gibt es weder beim Clavistersupport noch im aktuellen Adminguide (Seite 434) hinreichende Informationen.
Info von Clavister:
You can find information about this new Authentication source on page 434 in the Adminguide. It is the new “Allow all connections” that you can now choose on authentication rules. We dont have any more info then this right now but we have requested this in next version of the manual.
Ich bleibe dran und geben Informationen wenn es Neuigkeiten gibt.
ENDLICH! Man kann einfach durch tippen von Buchstaben zutreffende Regeln hervorheben. Das “Feature” wünsche ich mir seit Jahren. Wermutstropfen: Es ist keine Volltextsuche, sondern nur basierend auf dem Anfang der Bezeichnung der Regel.
Bisher musste im Webinterface eine Regel oder ein Objekt geöffnet werden, um zu wissen, was sich dahinter verbirgt. Nunr wird es per tooltip angezeigt. Klappt jedoch nciht bei Interfaces.
Alles in allem ein gelungenes Update (übrigens: in 30 Sekunden eingespielt!) welches die neue Version von Incontrol vorraussetzt.
Download der Releasenotes:
CorePlus_Release_Notes_9_15_00
InControl_Release_Notes_1_10_01
Florian Thiessenhusen
Standardmäßig nutzt XenServer 5.5 ein “source-based ARP load balancing” (balance-slb) für die erstellten Bonds. In unserem Fall, wollen wir uns jedoch am IEEE-Standard 802.3ad / LACP (Link Aggregation Control Protocol ) orientieren.
Im generellen, bietet XenServer 5.5 folgende unterstützte Bonding-Typen an:
Um nun den gewünschten Modus zu aktivieren, muss innerhalb der /opt/xensource/libexec/interface-reconfigure der Bond-Mode in Zeile 863 angepasst werden.
Das geht schnell und einfach mit:
vi /opt/xensource/libexec/interface-reconfigure
Hinweis: Um Schnell in die richtige Zeile zu kommen einfach “863G” in VIM eingeben. Mit “i” in den Insert-Modus wechseln, Änderungen vornehmen und mit “:wq” speichern und beenden.
Um zu überprüfen ob der Bond funktioniert kann man folgenden Befehl nutzen:
cat /proc/net/bonding/bond<bondnumber>
Vorher:
Die dazu benötigte Bondnummer erhält man mit dem Befehl:
ifconfig
Es empfiehlt sich die Netzwerkkarten danach nocheinmal zu deaktivieren und wieder zu aktivieren, damit die Änderungen angenommen werden können:
/etc/init.d/networking restart
Thomas Gronenwald
Wie Ihr vielleicht wisst, gehören die Worte “Intel” und “PROSet” nicht zu den Worten, die mich ruhig schlafen lassen. Jedoch muss ich heute der Firma Intel mal zu der (aus meiner Sicht) zuverlässigsten Intel PROSet-Version ab Version 10.0 gratulieren.
Nach immerhin 18 Monaten hat es Intel nun tatsächlich geschafft, ein zuverlässiges Intel PROSet (Version 14.8.43.0) zu veröffentlichen.
Zur Historie: Vor etwa 1,5 Jahren hat Intel eine neue Version (10.0) von PROSet mit WMI-Integration veröffentlicht (damit das Teaming auch schön über den Klickibunti Windows-Gerätemanager gesteuert werden kann). Da eben diese Integration von PROSet einen Fehler im WMI verursachte, wurde im Zusammenspiel mit Viren- oder Netzwerkscannern die Netzwerkverbindungen getrennt oder die Reiter für Teaming und VLAN im Gerätemanager einfach ausgeblendet. Ergebnis: Eine nachträgliche Konfiguration des Teamings war nicht mehr möglich. Und dabei blieb es nicht: Es kam zu regelmäßigen Verbindungsabbrüchen.
Jetzt hat Intel diese Fehler mit der Intel PROSet-Version 14.8.43.0 behoben.
Ich gratuliere hiermit zur erfolgreichen Beseitigung eines Fehlers nach immerhin 1,5 Jahren.
Links:
Network Adapter Drivers for Windows XP and Windows Server 2003 [Intel]
Sascha Giebelhausen
Intel…die fünf Buchstaben des Teufels. I-N-T-E-L. Ich verzweifele seit geraumer Zeit an Deinstallationen von alten PROSet Installation. Richtig…P-R-O-S-E-T: Die sechs Buchstaben des Satans – spaß beiseite…
Bei mir stand diese Herausforderung heute (mal) wieder auf der Tagesordnung. Ich musste Intel PROSet 11.2.50.0 deinstallieren und durch die Version 14.8.43.0 ersetzen. Eine Aufgabe, wie sie einfacher nicht sein könnte (deswegen habe ich damit um 11:30 Uhr angefangen – dann bin ich pünktlich um 12 Uhr in der Kantine). Leider konnte PROSet nach der Deinstallation nicht mehr neu installiert werden. Dies galt für die neue, als auch für die alte Version. Ich erhielt immer nur den Fehler, dass für die Anwendung kein Update vorgesehen ist und diese vorher deinstalliert werden muss.
Die Lösung ist erstaunlicherweise einfach, aber fragt mich bitte nicht wie ich darauf gekommen bin (meine sich andeutende Unterzuckerung hat mein Kurzzeitgedächtnis scheinbar genullt).
Workaround:
Ich habe im übrigen noch eine viel bessere Geschichte auf Lager, welche die Kompetenz und/oder Inkompetenz der Intel-Entwickler auf das deutlichste unter Beweis stellt. Dazu morgen mehr….
Sascha Giebelhausen
