Alle Artikel über "KMU"

Swisscom Smart Business Connect mit TAPI nutzen

- - Allgemein, IT, Tutorials

Eine Smart Business Connect Lösung inklusive virtueller Telefonanlage von Swisscom via TAPI nutzen? Unmöglich? Nicht ganz. Mit Fingerspitzengefühl, Brecheisen und genug Geduld bringt man es zum laufen.

Das Problem

Die Swisscom liefert die Geräte bei einer virtuellen Telefonanlage im „branded“ – Zustand aus. Das heisst: Die originale Firmware der Geräte wurde verändert (ähnliches passiert auch mit bei Swisscom gekauften Mobiltelefonen). Neben dem Vorladen der Konfiguration (eine gute Sache) hat die Swisscom dabei aber auch den Administrativen Benutzer des Geräts gesperrt – was entsprechend nur eine eingeschränkte Konfiguration ermöglicht.

Bei Yealink Phones ist es konkret die „Action – URL“ die so nicht bearbeitet werden kann – und damit auch kein TAPI ermöglicht.

TAPI wird aber von vielen Fremdprogrammen eingesetzt um das Telefon mit z.B. einem ERP oder CRM zu verknüpfen (Auslöser für diesen Fall war die PROFFIX Telefonintegration).

Wer nun denkt, man bekomme diese Zugangsdaten per Swisscom – Support  / Partner liegt falsch. „Das ist nicht möglich“, „Diese Daten hat nur der Hersteller“, „Die gibt es nicht“  u.ä. sind nur einige der zwar kreativen aber leider falschen Antworten die man erhält.

In Wahrheit möchten Sie diese Daten wohl einfach nicht herausgeben.

Die Lösung

Die Lösung ist mehrstufig und etwas komplexer. Im Groben sind es aber zwei Schritte:

  • Swisscom Branded Firmware entfernen, Original Firmware von Yealink aufsetzen
  • Korrekte SIP – Credentials besorgen

Sollte bereits ein debranded / unbranded Gerät vorhanden sein, kann direkt zum Schritt Korrekte SIP – Credentials besorgen gesprungen werden.

Swisscom HD Phone Yealink debranden

TFTP – Server vorbereiten

Idealerweise installiert man sich den TFTP – Server tftpd64 – hier gibts die portable Version (empfohlen)

Diesen entpackt / installiert man und führt ihn aus. Anschliessend erstellt man einen Ordner (z.B. Firmware) und verweist unter Current Directory  tftpd64 auf diesen Ordner (hier kommt später die Firmware hinein).

Unter Server Interfaces wählt man das korrekte Netzwerkinterface aus (das mit einer IP…)

„Current Directory“ auf Firmware-Ordner verweisen, Korrektes Netzwerk Interface auswählen

 

Original Firmware Yealink besorgen

Der nächste Stolperstein; Yealink stellt nur einen Teil der benötigten Firmware online zur Verfügung, welche für das Debranding nicht ausreichen.

Zum Glück findet man die passenden Files nach einigem Googlen:  Hier gibts die Yealink Recovery Firmware als Mirror

Je nach Modell (Yealink T46, T41, T42 oder T48) entpackt man das entsprechende Verzeichnis nun und kopiert den Inhalt in den im vorherigen Schritt erstellten Ordner Firmware.

 

Original Firmware flashen

Aufgrund fehlender Berechtigungen funktioniert das Flashen der Firmware nicht über den Webclient. Entsprechend muss das Yealink in den Recovery Mode versetzt werden. Das erreicht man wie folgt:

Für die gesamte SIP-Serie:

  1. Yealink vom Strom trennen (Ausstecken!)
  2. Lautsprechersymbol lange drücken und halten
  3. Wieder mit Strom verbinden

Auf dem Yealink muss anschliessend die IP – Adresse des TFTP – Servers angegeben werden. Diese entspricht in der Regel dem Server Interface aus dem ersten Schritt („TFTP – Server vorbereiten“). Anschliessend bestätigen – ist alles in Ordnung sieht das wie folgt aus:

Yealink Firmware Debranding

 

Nach erfolgtem Update empfiehlt sich das Yealink erneut mit der aktuellsten Firmware zu flashen (für T46 z.B. hier erhältlich):

yealink web upgrade

Auf dem Yealink selbst sieht das Ergebnis dann wie folgt aus:

Yealink Firmware Update

Sobald das abgeschlossen ist hat man ein aktuelles, unbranded Yealink mit sämtlichen Berechtigungen (Standarduser / Passwort: admin / admin)

Korrekte SIP – Credentials besorgen

Bei den Angeboten Business Telefonie kann man die SIP – Credentials direkt im Swisscom Kundencenter anfordern. Bei Smart Business Connect mit virtueller Telefonanlage (bzw. wie die Lösungen sonst noch heissen) klappt das nicht so einfach.

Die Lösungsidee dafür ist, dass egal wie viele Softclients, Apps etc. die Swisscom noch „vor die Lösung“ schaltet – schlussendlich doch immer eine gewöhnliche SIP – Verbindung dahinter steht.

Swisscom Client besorgen

Grundsätzlich sollte die Lösung mit jedem Client möglich sein – der Einfachheit halber verwenden wir aber den Windows Client alias Business Communication App.

Sobald dieser installiert ist besorgt man sich die Zugangsdaten aus dem Swisscom Kundencenter (Format: ***@***.join.swisscom.ch, Passwort scheint meist 8-stellig zu sein).

Business Communication App

Hier unbedingt ausprobieren, ob der Login funktioniert. Falls nicht, dafür sorgen, dass er funktioniert. Das ist die Grundvoraussetzung für die nächsten Schritte.

Anschliessend in der Business Communication App unter Einstellungen –> Erweitert den Haken setzen bei System-Proxy verwenden. Dann die Software schliessen (wichtig!).

Einfach einmal zuhören…

Der letzte Schritt ist das Sniffen des Netzwerktraffics – oder auf deutsch; Einfach einmal zuhören, was denn die Business Communication App so zu sagen hat…

Da die Verbindung über SSL läuft funktioniert das mit Standardtools wie Wireshark etc. nicht auf Anhieb. Einfacher gehts mit Charles Proxy.

  1. Charles Proxy hier herunterladen und installieren (30-Tage Demo reicht)
  2. Charles öffnen

Nun muss das Root – Zertifikat von Charles installiert werden (Wichtig: Unter Vertrauenswürdige Stammzeritfizierungsstellen installieren, sonst klappts nicht) :

Charles Proxy SSL Cert

Charles Proxy Root Certificate installieren. Wichtig: Unter Vertrauenswürdige Stammzertifizierungsstellen installieren

 

Nun muss das System noch so konfiguriert werden, dass sämtlicher Traffic über Charles Proxy läuft. Dazu Internetoptionen öffnen und folgende Einstellungen vornehmen:

System Proxy einstellen

Nun ist alles bereit um „zuzuhören“. Die Business Communication App sowie Charles können nun beide wieder geöffnet werden. Bei Charles startet man die Aufzeichnung des Traffics über den Record – Button in der linken oberen Ecke.

Listen Charles

 

Anschliessend kann man sich an der Business Communication App anmelden – in Charles sollten zeitgleich einige Anfragen auftauchen. Konkret interessiert uns dabei das config.xml unter folgendem Endpunkt:

Swisscom Business Creds

Nach etwas Suchen im entsprechenden XML findet man das gewünschte SIP-Passwort als Klartext (über Wireshare würde man hier nichts sehen, da SSL).

Dieses Passwort in Kombination mit dem Benutzernamen (der übrigens auch im config.xml steht) ermöglicht nun alle möglichen Geräte an die virtuelle Telefonanlage von Swisscom anzuschliessen – unabhängig von „Branded Devices“, irgendwelchen Softclients und ähnlichem.

Put it all together

Wir haben nun ein Gerät mit Originalfirmware und vollen administrativen Befugnissen sowie funktionierende SIP – Credentials. Zeit alles zusammenzuführen:

Yealink Final Config

Mit der Endziffer „-01“ des Benutzernamen kann etwas gespielt werden. Wenn’s nicht funktioniert einfach 00 oder 02 daraus machen…

Anschliessend alles testen – wenn sowohl ankommende als auch abgehende Anrufe funktionieren und auch evtl. Drittgeräte noch funktionieren ist alles in Ordnung.

Damit TAPI auch tatsächlich funktioniert und man Smart Business Connect auch mit Fremdlösungen wie z.B. der PROFFIX Telefonintegration einsetzen kann braucht es nun eigentlich nur noch die Software Phonesuite welche mit dem Yealink verknüpft wird.

Die Einrichtung derselben ist aber dank der vollen Administrativen Berechtigungen nun kein Problem mehr.

 

G Suite Massenabwesenheitsmeldung setzten

- - IT, Snippets

Welcher Administrator kennt das Problem nicht – bei Feiertagen oder Ferien sollen für alle Mitarbeiter passende Abwesenheitsmeldungen erstellt werden.

Mit einem Exchange Server funktioniert das mehr oder weniger; Was aber wenn der Kunde oder das Unternehmen G Suite (vormals Google Apps for Work…) einsetzt?

Für einzelne Accounts kann diese Abwesenheitsnotiz zwar manuell gesetzt werden – sobald es aber mehr als 5 sind wird es mühsam.

Die Lösung für das Problem – der Google Apps Manager (kurz GAM).

Damit erhält der Administrator praktisch vollen Zugriff auf sämtliche administrativen Tätigkeiten von G Suite – zusammengefasst in einer handlichen Konsole.

Google Apps Manager / GAM installieren

Zuerst einmal muss die aktuellste Version von GAM heruntergeladen werden:

Download GAM: https://github.com/jay0lee/GAM/releases

Die Installation anschliessend braucht etwas Zeit, da diverse Zugriffsberechtigungen gesetzt und aktualisiert werden müssen. Sämtliche nötigen Schritte sind aber sehr detailliert im Installationsprozess erklärt.

Abwesenheitsnotiz für Alle oder einzelne Benutzer setzen

Eine Übersicht über die verschiedenen Befehle von GAM findet man auch hier.

Für eine Abwesenheitsmeldung für sämtliche Benutzer kann man folgenden Befehl nutzen:

gam all users vacation on subject "Abwesenheit"  message "Wir sind vom xxx bis xxx abwesend. In Notfällen erreichen Sie uns unter xxx"

Für einen einzelnen Benutzer kann die Abwesenheitsmeldung wie folgt gesetzt werden:

gam user [email protected] vacation on subject "Abwesenheit"  message "Wir sind vom xxx bis xxx abwesend. In Notfällen erreichen Sie uns unter xxx"

Mit folgendem Befehl kann anschliessend überprüft werden, ob ein die Abwesenheitsmeldung für einen bestimmten Benutzer aktiv ist:

gam user [email protected] show vacation

 

Abwesenheitsnotiz für Alle oder einzelne Benutzer deaktivieren

Möchte man die Abwesenheitsnotiz anschliessend wieder deaktivieren, kann dies mit folgendem Befehl erreicht werden:

gam all users vacation off

Oder nur für einen bestimmten Benutzer:

gam user [email protected] vacation off

 

Kein Excel – kein Problem

- - IT

Excel  ist ein fantastisches Tool, hat aber auch fantastisch viele Schwächen. Viele davon resultieren nicht etwas aus Excel selbst, sondern schlichtweg aus der falschen Anwendung bzw. dem „Missbrauch“ von Excel. Dieser Artikel befasst sich mit Anwendungen, wann Excel nicht verwendet werden sollte und mit möglichen Alternativen.

Generation Excel

Excel war über Jahre hinweg das Tool für Zahlen und Tabellen. Die relativ einfache Bedienung, die Möglichkeit Dokumente schnell und unkompliziert weiterzugeben sowie die hohe Verbreitung machten es zum ultimativen Tool für zahlenaffine Benutzer.

Insbesondere die einfache Handhabung und der leicht verständliche Formelsyntax (=SUMME(…)) machten Excel auch unter Anwendern sehr beliebt.

Excel hat auch heute noch seine Daseinsberechtigung – nur nicht für alles.

Excels Schwächen

Für folgende Anwendungszwecke sollte man die Finger von Excel lassen:

Um Daten zu transportieren

„Ich liefere Ihnen die Daten in Excel, in Ordnung?“ – ein Satz der vielen Administratoren Albträume beschert, denn Excel war niemals dafür gedacht „Daten zu transportieren“. Die einfache Bedienung von Excel ermöglicht nämlich gleichzeitig auch eine Reihe von Fehlern:

  • Formatierungen im Spalten
  • Leerschläge
  • Falsche Zahlen (z.B. Punkt anstelle von Komma)
  • Falsche Datenformate (Excel stellt z.B. 0005 auf einmal als 5 dar…)
  • Unterschiedlich breite / hohe Spalten
  • Versteckte Zellen / Formatierungen

Anders ausgedrückt; Excel hat – als reines Transportmittel viel zu viele Möglichkeiten. Weit bessere Optionen dazu sind etwa reine Textformate wie CSV, XML oder JSON.

Um Daten aufzubewahren

Ein gespeichertes Excel ist relativ sicher – bis zu dem Zeitpunkt an dem sich ein Nutzer entschliesst es zu öffnen. Wie leicht verschieben sich dabei Zeilen oder Spalten – und ganz neue Berechnungen entstehen „ganz plötzlich“?  Oder was, wenn eine Exceldatei einen Bezug zu einer anderen Exceldatei enthält? Eine Umbenennung, ein Verschieben – und nichts geht mehr!

Gerade in Hinblick auf Big Data ist Excel schlichtweg ungeeignet um Daten zu lagern; zu sperrig, zu fehleranfällig und zu wenig kongruent – und bei Beschädigungen auch immer nur sehr schwer wieder zu reparieren.

Um Daten auszuwerten

Excel erfordert in der Regel keine konsistente Dateneingabe, d.h. jeder Benutzer kann sich nach Herzenslust austoben; der eine benennt eine Spalte vielleicht als Jahresübersicht, dem anderen ist Jahresüberblick viel genehmer. Nach was sucht man nun?

Oder was passiert, wenn anstelle eines Excelblattes auf einmal 20 vorhanden sind? Oder 50? Oder 200? Wie durchsucht man so viele so unterschiedlich strukturierte Daten schnell und erfolgreich?

Mit Excel eine Herkulesaufgabe – die oftmals damit endet, dass man die Exceldateien in andere Formate oder Datenbanken migrieren muss.

Um Daten anzupassen

Es kann immer einmal vorkommen, dass man alte Daten anpassen muss. Vielleicht hat sich eine Kostenstelle geändert, vielleicht muss ein Name oder eine Adresse ergänzt werden. Wie erledigt man das mit Excel?

Suchen und ersetzen ist eine Möglichkeit – die aber meistens eher schadet als dass Sie nützt. Und gerade wenn viele (10+) Dateien angepasst werden müssen bleibt einem nur wenig Spielraum für eine schnelle Lösung.

Um Daten gemeinsam zu erfassen

Excel ist kein Teamplayer. Zwar können einzelne Exceldateien für andere Nutzer freigegeben werden – die praktische Nutzung ist aber alles andere als ideal. Zu leicht entstehen Duplikate, ungewollte Änderungen und falsche Berechnungen.

Auch das „Zusammenführen“ von unterschiedlich bearbeiteten Exceldateien ist selten erfolgreich.

Um Daten weiterzuverwenden

Wenn man Daten sammelt, wird man Sie irgendwann auch verwenden wollen. Daten in Excel kann man nur mit Excel weiterverwenden – sonst nicht.

Lagert man Daten aber zentral in einer Datenbank, können Sie mit anderen Daten kombiniert, summiert, gruppiert oder vereint werden.

Ein Abrufen ist mit so ziemlich allem möglich – mit einer App, einer Webseite oder Webservice, einer Software – und natürlich auch wieder mit Excel (als reines Datenbetrachtungstool).

Alternativen

Glücklicherweise hat sich seit den Anfangszeiten von Excel einiges getan. Es gibt genügend Alternativen um obige Fälle effizienter und langfristig besser zu lösen. Oftmals lohnt sich bei genauerem Hinsehen der Einsatz einer Datenbank – doch was bedeutet das eigentlich?

Datenbanken?

Viele Gleiche oder ähnlich aufgebaute Daten gehören in eine Datenbank – und nicht in eine Exceldatei.

Das Problem dabei; Man braucht zu Beginn einen Plan bzw. ein Schema wie diese Daten aufgebaut sind. „Frischfröhliches“ Eingeben von Daten und Erweitern der Datenbank wenn nötig (also Excel-Verhalten) führt meistens zum Chaos.

Excel vs. SQL vs. NoSQL

Wenn man von einer Datenbank spricht, meint man meistens eine SQL – Datenbank. Diese ist durchaus vergleichbar mit einer Exceltabelle – allerdings mit einigen Unterschieden.

Excel

Nehmen wir folgendes Beispiel einer Exceldatei:

Beispiel Excel

Beispiel Preisliste Excel

Wie man sieht, hat sich der Ersteller der Exceldatei grafisch bereits selbstverwirklicht – und auch einige Kommentare zur Handhabung hinzugefügt.

Hübsch aber weder kongruent noch konsistent – solches Verhalten führt langfristig zum (un)kontrollierten Chaos.

SQL-Datenbank

In einer SQL-Datenbank haben wir im Gegensatz dazu nur „reine Informationen“ – ohne Zusatzinfos.

Beispiel SQL

Beispiel Preisliste SQL

Ein weiterer Unterschied zu Excel der auffällt ist die Spalte ID. Diese ist in diesem Fall automatisch, fortlaufend und einzigartig. Wenn man also von der ID 5 spricht, ist sofort klar was gemeint ist.

Zudem enhält die Spalte Stückpreis nur Zahlen – die Anmerkung „Individuell“ aus Excel ist in diesem Fall nicht zulässig, denn dann wären die Daten nicht mehr kongruent (wie soll individuell mit 67 verglichen werden ?)

Dass der Preis für die Hose individuell festgelegt wird, zeigt der Wert 1 (bedeutet in diesem Fall „Ja“) in der Spalte Individuell.

Auch die Spalte Total aus Excel wird nicht benötigt, denn diese Information kann aus Anzahl * Stückpreis live berechnet werden.

NoSQL-Datenbank

Ähnlich aber nicht gleich verhält sich das Beispiel in einer NoSQL – Datenbank:

Beispiel NoSQL

Beispiel Preisliste NoSQL

Auch hier wird ein Index bzw. eine Spalte _id benötigt. Diese ist einzigartig und ermöglicht die exakte Bestimmung einer Zeile.

Im Gegensatz zu SQL müssen hier aber nicht alle Zeilen gleich aufgebaut sein („individuell“ für Hose fehlt).

Welchen Datenbanktyp?

Was beide Datenbankvarianten verbindet ist die Datenverifikation. Ein Nutzer kann so etwa keinen Text in der Spalte Stückpreis oder Anzahl eingeben – in Excel ist das möglich.

Der Hauptunterschied zwischen NoSQL und SQL -Datenbanken ist die Struktur der gelagerten Daten selbst; Hat man viele, gleich aufgebaute Daten dürfte eine SQL-Datenbank besser passen. Sind die Daten immer etwas unterschiedlich, eignet sich eine NoSQL – Datenbank wahrscheinlich besser.

Ganz wichtig – Datenbanken sind wesentlich effizienter in der Lagerung und dem Abruf von Daten. Informationen die man mit Excel in Stunden oder Tagen zusammentragen muss, kann man aus sauber aufgebauten Datenbanken innerhalb von Sekunden extrahieren.

Praxis

Selbstverständlich ist es nicht realistisch für „alles“ eine Datenbank zu verwenden und Excel komplett zu ignorieren.

Sobald man aber mehr als eine handvoll gleich oder ähnlich aufgebaute Exceldateien erstellt und diese vielleicht auch einmal weiterverwenden möchte, lohnt sich die Überlegung Datenbank immer!

Im Gegensatz zu Excel ist man mit einer Datenbank nämlich „gezwungen“ Daten strukturiert und einheitlich abzulegen. Wie ein roter Faden zieht sich diese Struktur quer durch die unterschiedlichsten Datensätze – egal ob Kosten, Adressen oder Texte.

Der anfänglich etwas höhere Initialaufwand lohnt sich spätestens dann, wenn die Daten produktiv ausgewertet oder genutzt werden sollen – garantiert!

 

Hacking Switzerland: Dataleaks

- - Allgemein, IT
  1. Hacking Switzerland: Dataleaks
  2. Alles über Schweizer Passwörter
  3. Die Schweiz in der Anti Public Combo List
  4. Leaking Switzerland – 8 Millionen sind erst der Anfang

Die Schweizer nutzen gerne und oft Webservices wie Dropbox, Linkedin, Badoo, Facebook und ähnliches. Gerade in dieser Hinsicht werden aber immer mehr und immer grössere Leaks bekannt – d.h. das Abgreifen von sensiblen Benutzerdaten im grossen Stil. Doch wie stark sind Schweizer Behörden,Spitäler, Schulen und Unternehmen von diesen Leaks betroffen?

Um was geht es?

Im November 2016 berichteten diverse Schweizer Medien darüber, dass die Dropbox-Accounts von Schweizer Politikern gehackt wurden (z.B. Tagesanzeiger, Blick).

Die Reaktionen darauf waren (politisch) selbstverständlich; Dementieren, Entschärfen, Vergessen…

In Bezug auf die Schweiz interessieren aber die Politiker nicht einmal besonders; Viel interessanter ist der mittlerweile „recht umfangreiche“ Staatsapparat mit all seinen Behörden, Kommissionen und Delegationen aber auch bundesnahe Unternehmen, Spitäler und Kliniken oder Bildungseinrichtungen.

Und genau das ist die Grundidee von SwissLeak.ch.

SwissLeak

SwissLeak listet Behörden, Schulen, Kliniken und bundesnahe Unternehmen der Schweiz, deren Benutzer von einem Datenleak betroffen sind.

Was wäre, wenn man die grösseren Leaks der letzten Zeit gezielt nach Mitglieder von Schweizer Behörden, Schulen,Kliniken und Unternehmen absucht? Sie geografisch darstellt? Ihre Passwörter – wo möglich – entschlüsselt?

Intro zu Datenleaks

Damit man das volle Ausmass der Daten in den richtigen Zusammenhang stellt, braucht es ein kurzes Intro zu den bereits erwähnten Leaks. Wenn Sie bereits wissen um was es geht – hier gehts direkt zu SwissLeak im Detail

Irrtum 1: Datenleaks enthalten Passwörter im Klartext

Oftmals wird irrtümlich angenommen, dass ein Datenbank-Leak bedeutet, dass sämtliche Passwörter der Benutzer bekannt sind. Das ist nicht korrekt.

Passwörter werden in Datenbanken in der Regel nicht als Klartext sondern als sogenannte Hashes gespeichert (anstelle von „MeinPasswort“ also z.B. „1de0d5e5c412890d4071af8ecd8c8ad7“). In den meisten Fällen wird dieser Hash zusätzlich mit einem Salt versehen, sodass es sehr schwierig ist, das Passwort aus dem Hash zu entschlüsseln.

Bei einigen der grössten Leaks der letzten Zeit wurde aber genau das nicht gemacht, d.h. die Passwörter können mit relativ wenig Aufwand als Klartext aus dem Hash berechnet werden.

Gehashtes Passwort aus dem Dropbox-Leak

Gehashtes Passwort eines Mitarbeiters des Bundesamtes für Gesundheit aus dem Dropbox-Leak

Irrtum 2: Datenleaks enthalten nur Passwörter und Emails

Wird ein Onlineservice gehackt, denkt man in erster Linie nur an die Passwörter. Oftmals vergessen werden dabei, dass auch andere sensible Angaben in diesen Leaks enthalten sind. Beliebte Angaben sind:

  • Passworthinweise
  • Geburtsdatum
  • Gewicht
  • Alter
  • „Vorlieben“

Bei speziellen Leaks (z.B. „Partnerbörsen“) kann auch bereits nur das Vorhandensein des entsprechenden Benutzers kompromittierend wirken.

Berndeutscher Passworthinweis aus Leak

Der Berndeutsche Passworthinweis spricht Bände…

Irrtum 3: Benutzer verwenden immer andere Passwörter

Das Verhalten der gehackten Onlineservices ist immer ähnlich; Der Benutzer wird relativ unauffällig zum Ändern seines Passwortes aufgefordert. In den wenigsten Fällen wird erwähnt, wieso das notwenig ist (kein Service gibt gerne zu, dass Benutzerdaten abhanden gekommen sind…).

Dementsprechend wird das Passwort durch den Benutzer oftmals nur angeglichen (z.B. aus Passwort1234 wird Passwort12345).

Gleichzeitig verwenden praktisch alle Benutzer dasselbe Passwort bei den unterschiedlichsten Services – das Motto „Seen one, seen ‚em all“ bekommt hier eine neue Bedeutung.

Irrtum 4: Benutzer ändern nach Bekanntwerden eines Leaks sämtliche Passwörter

Auch wenn Medien und IT-Verantwortliche nach Bekanntwerden eines Leaks darauf hinweisen, dass sämtliche (gleichen) Passwörter geändert werden sollten, wird das nur in den wenigsten Fällen auch wirklich gemacht. In der Datenbank von SwissLeak.ch gibt es genügend Beispiele von Benutzern, die von mehreren Leaks betroffen sind, aber immer wieder dasselbe Passwort verwenden.

Wenn wir ehrlich sind, ist es für uns mittlerweile auch fast nicht mehr möglich,  uns an alle Services zu erinnern wo wir diese Passwörter verwendet haben – geschweige denn, sämtliche Passwörter in annehmbarer Zeit zu ändern…

Irrtum 5: Passworthinweise sind sicher

Passworthinweise werden grundsätzlich nicht verschlüsselt gespeichert. Je nach Service können Sie bei einem fehlgeschlagenen Anmeldeversuch auch ganz einfach angezeigt werden.

Wer nun also sein Passwort als Passworthinweis nutzt (!!) muss damit rechnen, dass sich früher oder später jemand einloggt, der nicht dazu berechtigt ist. Etwa 5 – 15 % begehen diesen Fehler…

Selbstverständlich sollte der Hinweis in einem Passworthinweis auch immer nur subjektiv betrachtet ein Hinweis sein.  Einige Beispiel von für schlechte Passworthinweise („Echte Daten“):

  • OS aus dem Jahr 2000
  • Min name in Bärndütsch
  • Postleitzahl Wabern

Irrtum 6: Je länger das Passwort, umso sicherer

Die Passwortlänge spielt nur bei der Entschlüsselung mittels Brute-Force eine Rolle. Da aber praktisch kein einziger Benutzer ein zufällig generiertes Passwort aus Ziffern, Buchstaben und Sonderzeichen (z.B: d73C#H*0+) verwendet, sondern immer ein Wort als Grundlage nutzt (z.B. punkt1982),  sind Wörtebuch-Attacken wesentlich effizienter.

Verwendet ein Benutzer als Passwort also etwa „gartenlaube2016“ in der festen Überzeugung, damit ein sicheres Passwort (15 Stellen…) gewählt zu haben, liegt er leider falsch.

Die Passwortlänge spielt in solchen Fällen nur eine nebensächliche Rolle. Am sichersten ist also nicht ein möglichst langes, sondern ein möglichst einzigartiges Passwort zu nutzen (die „Einzigartigkeit“ steigt mit der Länge des Passwortes).

SwissLeak im Detail

Klarstellung

Zuerst noch einmal zur Klarstellung; SwissLeak listet keine „gehackten Organisationen“ sondern Organisationen, deren Benutzer von Datenleaks betroffen sind.

Beispiel:

  1. Max Müller, Mitarbeiter des BAKOM, hat sich mit seiner Emailadresse [email protected] bei einem Onlineservice angemeldet.
  2. Dieser Onlineservice wird gehackt bzw. ein Leak dieses Onlineservices wird publik.
  3. SwissLeak besorgt sich das Rohmaterial, analysiert dieses und entschlüsselt vorhandene Passwörter.
  4. Max Müller wird anonymisiert unter der Organisation BAKOM auf SwissLeak aufgeführt.

Bezug zur Organisation

Die gelistete Organisation hat also theoretisch kein direktes Datenleck. Praktisch stellen sich aber einige Fragen.

  • Wieso nutzen so viele Mitarbeiter Ihre „geschäftliche Emailadresse“ für Onlineservices?
  • Wieso wird die „geschäftliche Emailadresse“ für Services genutzt, deren Bezug ganz klar nichts mit dem geschäftlichen Tätigkeitsfeld zu tun haben?
  • Wenn schon dieselbe Emailadresse wie „geschäftlich“ verwendet wird; Wird auch dasselbe Passwort genutzt?
  • Wenn Geschäftliches und Privates bereits so vermischt wird – was findet sich in den „Privaten Bereichen“ ?
  • Wozu passen die Passwörter noch?

Da gerade Staatsangestellte Ihre Stelle verhältnismässig selten wechseln oder aber nur „in eine andere Organisationseinheit wechseln“ stellt sich folgende, zusätzliche Frage:

  • Wieviele Mitarbeiter nehmen Ihre Passwörter beim Wechsel in eine „andere Organisationseinheit“ mit?

Entschlüsselte Passwörter

Sämtliche auf SwissLeak.ch aufgeführten Datensätze werden – wo möglich – entschlüsselt. Das hat mehrere Gründe:

Bei Leaks wird generell nur von „entschlüsselbaren Hashes“ oder „unsicherer Verschlüsselung“ gesprochen – ein Entschlüsseln scheint also nur theoretisch möglich.

Diese theoretische Wahrscheinlichkeit führt aber zu einem komplett falschen Bild und ermöglicht die üblichen Ausreden:

  • Mein Passwort interessiert sowieso keinen…
  • Wer macht sich denn die Mühe, mein Passwort zu entschlüsseln…
  • Ich habe ein sicheres Passwort…(vgl. Irrtum 6)

Um diese Ausreden gleich von Beginn zu verhindern, sind sämtliche Passwörter, die auf SwissLeak.ch als entschlüsselt markiert sind effektiv entschlüsselte Passwörter.

Das Entschlüsseln bringt aber noch weitere „Vorteile“:

  • Generierung einer spezifischen Passwortliste für die Schweiz
  • Querverbindungen nutzen, um komplexe Verschlüsselungen effizienter zu entschlüsseln

Fehlende Hashes

Teilweise kann es vorkommen, dass ein Benutzer zwar in einem Leak enthalten ist, beispielsweise aber der Hashwert fehlt. Das kann folgende Gründe haben:

  • Technischer Fehler: der Hash ging während dem „Dump“ bzw. beim Import in SwissLeak verloren
  • Manuelles Entfernen: der Hash wurde manuell von jemandem entfernt („Eigenbedarf“…)

Die Möglichkeit, dass der Hashwert durch den betroffenen Onlineservice selbst entfernt wurde ist sehr gering, da kein Hash auch kein Passwort bedeutet – und damit grundsätzlich kein Grund für das weitere Aufbewahren des Accounts besteht.

Auch das „Anmelden“ aber nicht bestätigen eines Onlineaccounts ist kein logischer Grund für einen leeren Hashwert; den entweder hat der Benutzer das Passwort bereits bei der Registrierung angeben oder aber das Passwort wird automatisch generiert; In beiden Fällen wäre ein Hash vorhanden.

Präzision und Plausabilität

Gerade weil sich SwissLeak nur mit „Swiss Data“ beschäftigt, ist die Präzision im Gegensatz zu anderen Services höher. Es kann also durchaus vorkommen, dass SwissLeak mehr betroffene Accounts als andere Services anzeigen. Die Hauptgründe dafür:

  • „Alte Domains“ werden soweit möglich berücksichtigt (d.h. wenn die Organisation sich etwa umbenannt hat / neue Domain)
  • Evtl. Schreibfehler werden korrigiert (z.B. [email protected]c)
  • Bei inkonsistenten Quellen / Leaks werden die Daten rekonstruiert
  • Betroffene Benutzer werden nur auf die Schweiz eingeschränkt (Beispiel: Credit Suisse Schweiz enthält nur Schweizer Benutzer)
  • Als „Spassbenutzer“ erkenntliche Accounts werden gelöscht (z.B. [email protected])

Da SwissLeak nicht nur die Emailadressen sondern auch die Hashwerte, Passwörter und wo möglich persönlichen Details abgleicht, kann es selbstverständlich auch zu Duplikaten führen; diese werden aber wo immer möglich verhindert.

„Falsche Leaks“

Teilweise werden Leaks veröffentlicht, die gar keine sind. Oder anders ausgedrückt; jemand „bastelt“ sich aus vorhandenen oder erfundenen Datensätzen einen gefälschten Leak um Publicity zu bekommen. Für die entsprechenden Benutzer bzw. Organisation besteht aus diesem Leak also eigentlich gar keine Bedrohung.

Auch hier kann es in Einzelfällen vorkommen, dass „Falsche Leaks“ für SwissLeak verwendet werden. Wiederum kommt in diesem Fall aber die verhältnismässig kleine Datenmenge von SwissLeak der Präzision zugute, denn:

  • Die Chancen, dass für erfundene Leaks .ch – Adressen bzw.  Schweizer Organisationen genutzt werden sind sehr gering
  • Das Format (z.B. [email protected]) muss stimmen, ansonsten fällt das beim Upload auf
  • Falls die Emailadresse in einem erfundenen Leak tatsächlich existiert, ist die Chance hoch, dass der entsprechende Benutzer trotzdem betroffen ist (kopieren ist einfacher als erfinden…)

Insofern ist Aussagekraft von SwissLeak durch „falsche Leaks“ nicht beeinträchtigt.

Zweifaktor Authentifizierung

Die Zweifaktor Authentifizierung ist grundsätzlich eine gute Sache; durch die Identifikation mit etwas das man besitzt (z.B. Smartphone, Smartcard…) und etwas das man weiss (Passwort), scheint man relativ gut geschützt.

Anders sieht die Sache aus, wenn man zwar noch etwas besitzt, das Wissen aber mittlerweile auch anderen bekannt ist. Aus einer Zweifaktor Authentifizierung wird eine Einfaktor Authentifizierung.

Dazu kommen folgen Punkte:

  • Der zweite Faktor wird zu einem Grossteil über das Medium SMS abgewickelt. Dieses gilt seit einiger Zeit als unsicher.
  • Eine Rücksetzung des zweiten Faktors über persönliche Details (z.B. Geburtsdatum, Mail an Private Email…) ist oftmals möglich.

Vor allem in Bezug auf die Masse der geleakten Accounts ist eine Zweifaktor Authentifzierung damit allenfalls eine Hürde – ganz sicher aber keine Unüberwindbare.

Noch mehr Daten?

Die Schweiz verfügt über ein Milizsystem – das heisst öffentliche Aufgaben werden von Privatpersonen nebenberuflich ausgeübt. Dazu zählen etwa Mitgliedschaften in Geschäftsprüfungs-, Sicherheits- und Beratungskommissionen, Verbänden oder diversen Räten.

SwissLeak listet aber „nur“ die Betroffene, die Ihre „geschäftliche Emailadresse“ für Onlineservices verwenden.

Oder anders ausgedrückt; das Milizsystem wird bei SwissLeak vernachlässigt.

Nun ist es aber relativ einfach, interessante Personen und Ihre privaten Emailadressen auf den Webseiten der Organisationen zu finden und deren Daten dann mit den Leaks abzugleichen. Das dies auch praktisch funktioniert, zeigt die Kategorie Politik auf SwissLeak.ch…

Gerade im privaten Bereich werden diese Leaks häufiger auftreten und die Sicherheit (z.B. keine Zweifaktor Authentifizierung) wird wesentlich tiefer ausfallen.

Datenschutz

Dass geleakte Accounts vom Datenschutz her problematisch sind, versteht sich von selbst. Insbesondere die Frage nach dem Besitzer bzw. Inhaber eines Accounts scheint problematisch.

Erstellt beispielsweise der Mitarbeiter Max Müller einen Dropbox – Account mit seiner Firmen Emailadresse, stellt sich sofort die Frage wer denn nun der Besitzer dieses Dropbox – Accounts ist; Max Müller oder die Firma?

Was bei einem Dropbox – Account vielleicht noch unproblematisch scheint (da relativ unverfänglich), wir wesentlich anspruchsvoller, wenn sich Max Müller z.B. bei Ashley Madison oder einem ähnlichen Netzwerk angemeldet hat. Darf der Arbeitgeber (=Firma) in diesem Fall die entsprechende Quelle erfahren? Oder greift hier Art. 9b des Schweizer Datenschutzgesetzes (Einschränkung Auskunftspflicht aufgrund Interessen Dritter) ?

Um diese Diskussion gar nicht erst aufkommen zu lassen und weil in der Vergangenheit gewisse Schlaumeier das Gefühl hatten, gemäss EDÖB ein „kostenloses Auskunftsbegehren“ zu stellen , wird sie bei SwissLeak  von Beginn weg technisch verunmöglicht. SwissLeak speichert sowohl Email und entschlüsseltes Passwort nicht im Klartext sondern nur als sogenannte Fingerprints mit den jeweiligen Metainformationen.

Die „Rohdaten“ bleiben aber selbstverständlich erhalten und könnten auch erneut durchsucht werden…

Tendenz

Datenleaks werden in Zukunft vermehrt auftreten, gleichzeitig wird bei sämtlichen Organisationen eine Generation nachrücken, die mit der Nutzung von Onlineservices aufgewachsen ist.

Die Technik entwickelt sich weiter; Leistungsfähigere Geräte werden es ermöglichen, längere und komplexere Passwörter zu entschlüsseln.

Für den Administrator einer Organisation bieten sich nur relativ wenige Möglichkeiten, die Gefahr von Datenleaks zu vermindern; denn Benutzer die sich mit Organisationsadressen an externen, leakgefährdeten Onlineservices anmelden entziehen sich praktisch vollständig seiner Kontrolle.

Ohne ein (erzwungenes) Umstellen des Benutzerverhalten und innovative, technische Authentifizierungsmechanismen, die vielleicht sogar ohne Passwort auskommen, wird sich die Problematik also mittelfristig verschärfen.

Zukunft?

SwissLeak ist weder perfekt noch vollständig; Es zeigt aber den Trend der „Big Data Leaks“ und inwiefern die Schweiz davon betroffen ist zumindest im Ansatz auf.

Auch wenn einige in diesem Zusammenhang sicherlich gerne von „Einzelfällen“ sprechen würden – es geht nicht nur um einzelne Benutzer oder Accounts, sondern um die kreative Interpretation des „Grossen Ganzen“.

Was passiert etwa, wenn geleakte Daten mit bereits heute gängigen „Möglichkeiten“ kombiniert werden (E-Whoring, Ransomware, Phishing…)? Wenn Benutzer gezwungen werden, anstelle von Geld, Daten einer bestimmten Organisation zu liefern? Oder ganz einfach als „Köder“ für andere Ziele genutzt werden?

Organisationen, die mit sensiblen Informationen arbeiten und deren Benutzer in Leaks gefunden wurden, gibt es in der Schweiz zu Genüge.

Leider ist es aber utopisch, zu glauben, das „Darauf hinweisen“ oder „Bekannt machen“ von Leaks würde irgendetwas am Benutzerverhalten ändern.

Gerade in der Schweiz haben wir in diesen Belangen gerne einmal eine „lange Leitung“ und glauben, dass wir (schon) nicht davon betroffen sind.

Ob das historisch bedingt ist oder aufgrund unserer geografischen Lage; Fest steht, dass uns weder die Neutralität noch die Alpen vor Datenleaks und anderen digitalen Gefahren schützen…

Also – wie sicher ist die Schweiz?

Mobiles Internet und Fernzugriff

- - IT, Tutorials

Das mobile Internet hat auch den Fernzugriff verändert. Wo früher noch ein erheblicher Aufwand für eine Verkabelung betrieben werden musste, reicht heute ein simples LTE-Modem. Wirklich?

Den einfachsten Fall erleben wir selbst tagtäglich. Surfen wir etwa mit dem Mobiltelefon im Netz per 3G / 4G oder LTE so sind wir nicht „direkt im Netz“ sondern erreichen dieses via das Interne Netzwerk des Providers, der zu diesem Zweck auch eine eigene Firewall bereitstellt.

Der normale Benutzer bemerkt davon aber nichts – es funktioniert ja alles.

LTE Modem Internetzugriff

Zugriff vom LTE-Modem ins Web; Alles funktioniert.

Kehrt man das Ganze aber um und möchte das Mobiltelefon bzw. das LTE-Modem von extern erreichen (z.B. für Fernsteuerung von Geräten, Fritz Smart Home) wird das in den wenigsten Fällen auf Anhieb funktionieren. Der Grund dafür; die unterschiedlichen Netzwerke („Internet“ vs. „Internes Netzwerk d. Providers“) die durch die Providerfirewall getrennt sind.

LTE Modem Fernzugriff

Zugriff vom Web aufs LTE-Modem ins Web; Firewall des Providers blockiert.

Gründe?

Die Gründe, wieso nicht jedes Mobiltelefon mit einer öffentlich ansprechbaren IP-Adresse unterwegs ist sind vor allem bei den Kosten und der Sicherheit zu suchen.

Zum einen braucht der Provider wesentlich weniger öffentliche IP-Adressen (Sind nicht gratis…) was im Zuge der heutigen Mobilisierung oftmals auch gar nicht mehr möglich wäre (d.h.; zu wenige IP-Adressen).

Zum anderen ist es auch eine Sicherheitsfrage. Wenn jedes Mobiltelefon mit einer öffentlichen IP-Adresse direkt ansprechbar wäre, gäbe es über kurz oder lang ein Chaos apokalyptischen Ausmasses. Jedes verpasste Update auf dem Smartphone würde eine potenzielle Sicherheitslücke darstellen, die per Web direkt angesprochen und ausgenutzt werden könnte.

 

Lösung

Nun gibt es aber Fälle, wo das LTE-Modem (z.B. eine Fritzbox) über eine öffentliche IP-Adresse verfügen muss. Denn selbst Dienste wie dyndns.org, noip.com oder myfritz.net benötigen zur korrekten Weiterleitung eine solche Adresse.

In der Schweiz bekommt man Sie für die entsprechenden Geräte jeweils nur auf Anfrage beim Provider:

  • Sunrise; kurze Anfrage bei der Support-Hotline
  • Swisscom; spezieller Zugang (Corporate Application Access) nötig

Office 2016 Bilder in Signatur mitsenden

- - IT, Snippets

Wer in seinen Outlooksignaturen ein Logo oder Bild mitsendet und auf Outlook 2016 upgradet wird feststellen, dass dasselbige in der Signatur nicht mitgesendet wird. Dieses Verhalten kann aber korrigiert werden.

Die Ursache für das in den meisten Fällen ungewünschte Verhalten ist ein Registrierungseintrag der – man glaubt es kaum „Send Pictures With Document“ heisst.

Man findet in bei Office 2016 unter:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Options\Mail]

Bei Office 2013 entsprechend unter:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\Options\Mail]

Für diejenigen die das Problem gerne schnell und einfach beheben möchte, habe ich hier einen fertigen Registrierungsfix erstellt (sowohl für Office 2013 wie auch für Office 2016):

Bilder_mitsenden_Office

Sicheres Gästenetzwerk mit DD-WRT

- - IT, Tutorials

Es gibt viele Gründe ein Gäste-WLAN einzurichten. Im einfachsten Fall möchte man tatsächlich Gästen oder Besuchern eine Internetverbindung zur Verfügung stellen. Vielleicht möchte man aber auch einfach ein getrenntes WLAN-Netz um z.B. Haustechnik oder Solaranlagen anzuschliessen. Wie man das Ganze so einrichtet, dass Besucher nicht plötzlich im internen Netz landen – in diesem Artikel.

Gästenetzwerk vs. Sicheres Gästenetzwerk

Ein unsicheres Gästenetzwerk aufzubauen ist einfach – viele WLAN-Router haben diese Funktion heute bereits eingebaut.
Der Haken daran: Es ist nicht sicher und ermöglicht „Gästen“ praktisch auf das gesamte interne Netzwerk zuzugreifen. Die Ursache liegt aber weniger an der Software sondern vielmehr  an der „Standardverkabelung“.

Die Problematik; Hersteller vs. Provider

Aktuelle WLAN-Router haben meist auch einen WAN – Anschluss, d.h. sie sind darauf ausgelegt direkt ans „Internet“ angeschlossen zu werden. Vom Provider erhält man heute zu 99,9 % aber ebenfalls einen Router (eine Modem / Router Kombination…)

Man hat damit also folgende zwei Anschlussmöglichkeiten:

Variante 1: Der Router des Providers (z.B. von Swisscom) wird komplett aus der Installation entfernt und durch den WLAN-Router ersetzt. Der WLAN-Router stellt sowohl das Interne WLAN wie auch das Gästenetzwerk.

WAN / WLAN Direkt

Abb. 1: Vom Hersteller vorgesehene Konfiguration („Theorie“…)

Variante 2: Ein zusätzlicher WLAN-Router wird an das bestehend bleibende Modem/Router des Providers angeschlossen. Der WLAN-Router stellt ebenfalls sowohl Internes WLAN wie auch das Gästenetzwerk.

WAN / WLAN Indirekt

Abb. 2: Häufiger anzutreffende Konfiguration („Praxis“…)

Bei beiden Varianten wird „der Internetzugang“ funktionieren – denn der/die Router machen was sie sollen und vermitteln „jeden mit jedem“. Dementsprechend hat aber bspw. auch ein Gast vollständigen Zugriff auf sämtliche Komponenten des Netzwerks. Das ist nicht im Sinne des Erfinders, oder?

Eine saubere Lösung mit DD-WRT

Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, als standardmässig vorgegeben. Gerade für kleinere Netzwerke empfiehlt sich deswegen die alternative Routerfirmware DD-WRT.

DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier)

Das endgültige Ergebnis sieht dann in etwa so aus:

Sicheres Gästenetzwerk mit DD-WRT

Abb.3: Sicheres Gästenetzwerk mit DD-WRT

Anders als bei den vorhergehenden Beispielen (Abb. 1 und 2) erfolgt hier eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt.

Schritt 1: Virtuelles Gästenetz erstellen

Virtuelles Interface erstellen

Virtuelles Interface erstellen (in DD-WRT)

Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast).

Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken


Schritt 2: WLAN verschlüsseln / mit Passwort schützen

WLAN absichern

WLAN Intern/Gästenetz absichern

Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht.

Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren.


Schritt 3: Bridge erstellen

Neue Bridge erstellen

Neue Bridge br1 für das virtuelle Interface erstellen

Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben!

Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen.


Schritt 4: Neue DHCP Instanz erstellen

Neue DHCP Instanz erstellen

Der Bridge br1 eine neue DHCP Instanz zuweisen

Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden.

Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen.


Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren

Zusätzliche DNSMasq Optionen

Zusätzliche DNSMasq Optionen setzen

Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden.

# Aktiviert DHCP auf br1
interface=br1
# Setzt das Standard Gateway für Clients von br1
dhcp-option=br1,3,192.168.5.1
# Setzt den DHCP Bereich und Default Lease Time für br1
dhcp-range=br1,192.168.5.100,192.168.5.150,255.255.255.0,24h

Schritt 6:  IPTables konfigurieren

IPTables Konfiguration DD-WRT

IPTables Konfiguration einfügen und „Save Firewall“ klicken

Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…)

Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands.  Dort sollen folgende Konfigurationseinstellungen eingefügt und mittels „Save Firewall“ gespeichert werden:

#br1 (Gaestewlan) Internetzugriff erlauben
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Zugriff zwischen Intern und Gaeste blockieren
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT erlaubt Internetverbindung
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
#Torrent und P2P Netzwerke blockieren
iptables -I FORWARD -p tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p ! tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 25 -j DROP
#Direktzugriff auf Router aus Gaestenetzwerk verweigern
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Schritt 7: DD-WRT in Netzwerk einbinden

DD-WRT einbinden

DD-WRT ins bestehende Netzwerk einbinden

Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), sowie die Subnetmask und den DNS-Server ergänzen.

Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert.

Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken.

Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten.

KMU und „Wake on LAN“

- - IT, Tutorials

Gerade bei KMU’s ist es häufig so, dass die Arbeitsplätze häufig stark ausgelastet sind. Die Mitarbeiter kommen am morgen, lassen den Computer den ganzen Tag an und fahren in am Abend wieder herunter. Updates und Wartungsarbeiten während der Arbeitszeit automatisch durchzuführen ist zwar möglich aber meist ungeeignet. Die optimale Lösung? Wake on LAN!

Wake on LAN?

Selten wurde ein IT-Begriff so treffend gewählt wie Wake on LAN, auf deutsch „Wecken per Lokalem Netzwerk“. Genau das passiert nämlich: Ein ausgeschalteter Computer startet aufgrund eines Signals der Netzwerkkarte. Voraussetzung dafür ist aber:

  • Kompatible Netzwerkkarte (APM/ACPI Support)
  • Sauber strukturiertes LAN
  • Software (z.B. WOL2) oder entsprechender Router (z.B. DD-WRT)

Vereinfacht sollte eigentlich jeder Computer ab ca. 2008 über eine entsprechende Netzwerkkarte verfügen. Falls nicht bekannt, einfach kurz im BIOS überprüfen bzw. aktivieren.

Anwendungsbeispiele

Mögliche Anwendungen gibt es unzählige. Hier einige (sinnvolle) Beispiele:

  • Arbeitsstationen „präventiv“ hochfahren, d.h. falls Arbeitsbeginn um 7.30 Uhr um 7.20 sämtliche Stationen hochfahren
  • Updates über Nacht einspielen
  • Schadcodescan über Nacht
  • Als Ergänzung zur Fernwartung
  • Energiemanagement (v.a. im Zusammenhang mit Virtualisierung). Server nur bei „Bedarf“ aktivieren.

Eine „elegante“ WOL Lösung mit Kaspersky

Kaspersky bietet mit dem Administrationsclient bzw. dem Security Center eine eingebaute „Wake on LAN“ – Lösung. Damit können für einzelne Gruppen oder Arbeitsstationen wiederkehrende Aufgaben erstellt werden die dann vollkommen automatisch ausgeführt werden. Diese Lösung ist „elegant“ weil keinerlei Zusatzsoftware benötigt wird sondern vorhandene Ressourcen (besser) genutzt  werden.

Ziel der Übung

Die Arbeitsstationen sollen um 1 Uhr nachts automatisch gestartet werden, ein Schadcodescan durchgeführt und sämtliche Updates eingespielt werden. Danach sollen die Computer wieder heruntergefahren werden.

Aufgabe in Kaspersky Security Center erstellen

Wake-on-LAN Aufgabe erstellenZu Beginn erstellt man eine neue Aufgabe im Kaspersky Security Center. Was genau diese Aufgabe dann erledigen soll, kann im Verlauf des Assistenten angeben werden (Update, Virusscan, Rollback…). Idealerweise wählt man etwas, das auch durchgeführt werden soll – in diesem Beispiel ein einfacher Virusscan.

 

Wake on LAN im Kaspersky Security Center aktivieren

Wake-On-LAN KasperskySobald die Aufgabe erstellt ist, müssen die Feineinstellungen vorgenommen werden. Zu diesen gelangt man durch Rechtsklick auf die entsprechende Aufgabe und auswählen der Option „Eigenschaften„.  Unter dem Menüpunkt „Zeitplan“ befindet sich der gut versteckte Punkt „Erweitert„.

 

 

Wake-On-LAN Kaspersky aktivierenHier das Häkchen bei „Computer vor dem Aufgabenstart per Wake on LAN aktivieren“ setzten. Je nach System sollte die Verzögerung angepasst werden. 5 Minuten sollten aber in den meisten Fällen ausreichen.

 

Der grösste Teil der Konfiguration ist damit bereits erledigt. Das Security Center sendet um 00.00 Uhr ein WOL – Signal an die betreffenden Computer, wartet 5 Minuten bis diese hochgefahren sind und beginnt dann mit dem Virusscan.

Weitere Aufgaben anfügen

Nun können weitere Aufgaben hinzugefügt werden – das Vorgehen bleibt dabei  immer gleich. Um also z.B. aktuelle Updates zu installieren einfach eine Aufgabe „Windows-Updates installieren“ erstellen. Idealerweise wählt man parallel dazu den Windows eigenen Updatezeitpunkt ebenfalls im gleichen Zeitrahmen (in diesem Fall 00.00 Uhr). Doppelt hält besser 😉

Security Center Aufgabe anhaengenJede nachfolgende Aufgabe sollte Bezug auf die vorhergehende nehmen – daher beim Zeitplan immer „Nach Beenden einer anderen Aufgabe“ die vorhergehende Aufgabe angeben. Bei der letzten Aufgabe kann dann unter „Erweitert“ das Häkchen „Computer nach Beendigung der Aufgabe herunterfahren“ gesetzt werden.

 

 

Ergänzende Überlegungen

Das System funktioniert sehr gut im Zusammenhang mit WSUS. Interessant ist aber auch die Aufgabe „Programm starten“ des Security Centers. Dadurch können Updates von Drittanbietern, Skripts oder Batchfiles zeitgesteuert per WOL ausgeführt werden.

Ein kritischer Faktor ist hingegen die Zeit; Scans und Updates dauern nicht immer gleich lange und sollten deshalb grosszügig kalkuliert werden.

Schlussendlich verfügt man mit dem Kaspersky Security Center aber über eine ressourcenschonende und stark individualisierbaren Lösung – perfekt für KMU’s.