Montag, 8. Februar 2010
Heute war ich kurz im Office. In meinem Fach lag Post von DataCore: Das neue Zertifikat nach meiner Rezertifizierung als DCIE. Lustigerweise stehen diesmal beide Produkte auf dem Schein. :) Da kann die Kollegin die Tage im Showroom das "alte" gegen das "neue" Zertifikat tauschen.
Samstag, 6. Februar 2010
Wir übernehmen für unsere Wartungskunden die tägliche Wartung von bestimmten Serversystemen innerhalb ihrer Infrastruktur. Zu diesem Zweck gibt es auch Protkolle bei uns in der Firma. Nun habe ich ein wenig mit PDF Fomularen rumgespielt, da mir das ständige Ausdrucken und Abheften auf den Keks geht. Ich mache das zwar nicht so oft, aber es nervt mich tierisch, weil es total unnötig ist, nicht zeitgemäß, kostenintensiv usw. Da ich keinen Adobe Acrobat habe, war ich auf der Suche nach einer Alternative. Da kam mir recht schnell OpenOffice in den Sinn. Kennt man ja. OOo kann das schon länger. Und siehe da - funktioniert problemlos. Einzige dumme Sache: Der Adobe Reader weigert sich ausgefüllte Protkolle zu speichern. Also entweder noch mal durch FreePDF treten oder anderen Reader nehmen. ;)
Freitag, 5. Februar 2010
Ich bin jemand der es sicher mag. Ich bin kein Sicherheitsfreak, aber ich mag es sicher. Ich mag es nicht, wenn Leute Rechner in irgendeine Dose stecken und auch noch eine IP bekommen. Daher mag ich IEEE 802.1x und Guest VLANs. Leider ist das so eine Technik, die nicht für Jedermann gedacht ist. Nicht Jedermann kommt mit 802.1x klar, und 802.1x sucht sich seine Freunde gerne selber aus. Aber wie geht man sowas an? Unterhalten wir uns erstmal über das Problem: Es gibt Netze, da kann sich jeder mit seinem Rechner ins Netz stecken und bekommt möglicherweise über den DHCP sogar eine IP-Adresse. Aber selbst wenn die Person keine IP-Adresse bekommt muss er nur einen Sniffer anwerfen und bekommt alle Broadcasts mit. Damit kann man sich auf jeden Fall einen Überblick über das Netz verschaffen. Nun muss es nicht immer ein Angreifer sein. Nehmen wir mal unsere technische Abteilung. Da gibt es ein dediziertes Netzwerk für das Deployment von Rechnern. Oder aber man muss man einen Server oder einen Rechner installieren. Dafür braucht man zwangsläufig Netzwerk. Aber ins interne Netz will man die nicht stecken. Also gibt es bei uns dafür ein eigenes Netz an der Firewall. Ein VLAN schottet den Verkehr ab, die Firewall regelt, dass die Kisten nur ins Internet kommen, und sonst nirgendwo hin. Aber man muss jedes Mal die Portzuordnung am Switch ändern, wenn man eine andere Anschlussdose braucht. Das ist doof... nicht jeder kann mit einem ProCurve CLI umgehen. Umpatchen ist verboten, das gibt nur Chaos. ;) Wie kann nun 802.1x da helfen? Mit 802.1x kann sich ein Rechner einem Switch, bzw. dem Port, gegenüber authentisieren. Er "meldet sich am Port an". Windows kann damit schon lange umgehen, auch so simple Sachen wie Printserver sollten sowas heute können. Die meisten Switches erlauben eine authentifizierung der Daten durch einen RADIUS. Der kann z.B. das Microsoft Active Directory als Quelle dafür nehmen. Vereinfacht gesagt: Mit einer erfolgreichen Anmeldung am Active Directory wird der Port freigeschaltet und man landet im internen Netz. Bleibt die Anmeldung aus oder schlägt sie fehl, landet man in einem anderen VLAN. Das kann z.B. ein Gastnetzwerk sein. Aber wie kann man sowas einfach aufsetzen. Im Prinzip braucht man dafür nur zwei Sachen.
-
Switches die 802.1x können
-
Endgeräte die 802.1x können
-
RADIUS Server (in Form des IAS bei Windows dabei)
Hier eine kleine Beispielkonfiguration für einen ProCurve:
hostname "aaa-test"
time timezone 60
time daylight-time-rule Western-Europe
sntp server 10.1.100.1
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-23
tagged 24
ip address 10.1.127.252 255.255.128.0
exit
vlan 10
name "GUEST"
tagged 24
exit
aaa authentication port-access eap-radius
aaa accounting network start-stop radius
radius-server host 10.0.0.2 key vs-nur-fuer-dienstgebrauch
aaa port-access authenticator 1-23
aaa port-access authenticator 1-23 unauth-vid 10
aaa port-access authenticator active
aaa port-access 1-23
password manager
password operator
Wer das Equipment hat, kann das ja mal ausprobieren und Rückmeldung geben. Die Config war jetzt aus dem Kopf runtergeschrieben, zumindest der Teil rund um 802.1x.
Donnerstag, 4. Februar 2010
Wer mich beruflich etwas länger kennt, der weiß wie sehr ich Juniper Firewalls liebe. Diese Liebe kommt noch aus Zeiten, wo Netscreen noch eine eigene Firma war. :) Nun habe ich mir selber bei eBay eine Juniper Netscreen 5GT geschossen. Bei knapp 80,- € kann man nicht viel falsch machen. Support etc. brauche ich nicht, ScreenOS ist aktuell, ist ja nur zum testen und spielen. :)
Donnerstag, 4. Februar 2010
Da gehen sie hin...
WP-Abrechnung 0041971025001 Verkauf ISIN US8668102036 SUN MICROS. NEW DL-,00067 Hach ja...
Donnerstag, 4. Februar 2010
Am 22. Januar hatte ich etwas zu einem Fehler bei MSA2300 G2 Systemen gepostet, auf denen das letzte Firmwarerelase installiert wurde. Am 29. Januar hat HP das dazu passende Advisory veröffentlicht. Die von mir damals gepostete Lösung ist dort auch genannt.
Mittwoch, 3. Februar 2010
Ich hätte auf Holz klopfen sollen... Warum auch immer fingen gerade BEIDE Installation an zu zicken. Beim hochfahren gab es zwar noch eine schöne Startmelodie, aber danach war Feierabend. Kein Logonscreen. Verdammt... abgesichert gestartet, Eventlog und u.a. den vmware-authd gesehen. Erinnert sich noch jemand daran? Dienst auf disabled gesetzt, Start einwandfrei. Dienst auf automatic gesetzt, Start geht in die Hose. Damals war die Lösung sich von den Protection Tools zu trennen. Das will ich aber dieses Mal nicht. Aber ich habe möglicherweise eine Lösung gefunden: Die Startart automatic (delayed) scheint es zu bringen. Na ja, mal testen. Aber wie schön das sich Bugs durch Betriebssystemgenerationen und Anwendungsgenerationen ziehen... Wobei ich den Bug eher bei den Protection Tools suchen würde...
Mittwoch, 3. Februar 2010
In meinen Augen nicht. Daher bin ich auch dafür, die in den Medien genannte "Steuersünder-CD" nicht zu kaufen. Warum?
Jemand hat sich, rechtswidrig, Zugang zu den Daten verschafft, evtl. sogar mit dem Hintergedanken sie zu verkaufen. Damit ist das schon mal eine Strafrechtlich relevante Sache. Es kann daher nicht sein, dass ein Rechtsstaat nun Daten verwendet, die aus einer rechtswidrigen Handlung hervorgegangen sind. Man kann natürlich lang und breit darüber diskutieren, immerhin soll der Staat damit knapp 100 Millionen Euro einnehmen können. Aber der Staat muss eine Gegenleistung in Form von 2,5 Millionen Euro zahlen. 2,5 Millionen Euro für geklaute Daten. Da der Staat weiß, dass die Daten geklaut wurden, ist das auch kein gutgläubiger Erwerb.
Die Lösung ist doch ganz einfach: CD nicht kaufen, sondern lieber mal am Steuersystem arbeiten. Endlich das Doppelbesteuerungsabkommen mit der Schweiz unter Dach und Fach bringen und bei Verdachtsfällen Amtshilfe bei den Schweizern anfordern. Das wäre eine saubere Sache! Zudem besteht die Gefahr von Nachahmern. Warum auch nicht? Offensichtlich ist ja der Staat bereit Geld für Informationen zu zahlen, unabhängig von der Quelle, hinter denen eine mögliche Einnahmequelle steht.
Just my 2 €-Cent...
Mittwoch, 3. Februar 2010
Mittlerweile habe ich auch mein Firmen-Notebook auf Windows 7 x64 umgestellt. Bisher keine Auffälligkeiten. HP Sales Builder, Product Bulletin und vSphere Client sind zwar noch nicht installiert, aber wie ich bereits mitbekommen habe, sollte es auch keine Probleme geben. Die neue GUI ist etwas ungewohnt, ich suche doch immer wieder irgendwelche Optionen etc. Aber das wird schon. :) Bisher rundum zufrieden, auch mit der Performance.
Montag, 1. Februar 2010
Für die 146 GB 6G SAS 10K DP und 300 GB 6G SAS 10K DP Platten gibt es ein Firmwareupdate welches einen Fehler behebt, durch den die Platten als Single-Port SAS Platten erkannt werden. Wer also Probleme mit den Platten DG0146FARVU und DG0300FARVV hat, einfach diese Firmware einspielen.
|