Wissenswertes zu Opensourcesoftware und IT
Wie Heise berichtet, war angedacht im Zuge des Märzpatchday gravierende Änderungen an der Konfiguration bzgl. die Kommunikation im Active Directory vorzunehmen. Dies wurde nun aber auf „später im Jahr“ verschoben.
Folgendes gilt aber noch immer: Wer bislang noch die unverschlüsselte Kommunikation Port (Port 389) nutzt, erlebt nach dem Einspielen des jetzt verschobenen Patches ggf. eine böse Überraschung.
Ich beschäftige mich nun den zweiten Tag mit sogenannten Security-Keys. Die Grundidee ist es, den Key als zweiten Faktor beim Login auf einer Website zu verwenden.
Viele von euch kennen sicher diverse Authenticator-Apps, oder auch SMS-Codes, die man nach dem Login als zweiten Faktor bestätigen bzw. erwähnte SMS-Codes eingeben muss. Dies sollte mit den Securitykeys der Vergangenheit angehören.
Die Einrichtung selbst (auf die ich hier nicht eingehen werden) ist recht simpel. Im Falle von Yubicon kann man von einer Plug and Play Lösung sprechen. Der Stick wird angesteckt, vom System automatisch erkannt (Windows 10 – möglichst in aktuellster Version) und kann dann in Google Chrome, Firefox und Microsoft Edge verwendet werden.
Hat man mehrere Clients im Einsatz, kann die Ausrollung der Kopano-Deskapp zum Verschleiß einiger Turnschuhe führen. Ich habe deshalb in diesem Dokument (PDF) zusammengefasst, wie man die Kopano Deskapp per WSUS Server -in Kombination mit dem WSUS-Package Publisher- automatisiert ausrollen kann. Die Anleitung ist allerdings auf englisch, da ich sie auch im Kopano-Community-Forum zur Verfügung gestellt habe.
Mein ca. 7 Jahre altes Synology NAS DS213 ist mittlerweile ein wenig in die Jahre gekommen. Ich muss aber auch festhalten, dass es mit der „Syno“ überhaupt keine Probleme gegeben hat. Ich hatte sie als „Datengrab“ und „Nextcloud“ NFS-Storage (Datenverzeichnis auf der NAS) verwendet.
Ich liebäugle schon länger mit dem Upgrade meiner doch recht simplen Netzwerkinfrastruktur. 10 Gbit muss ja der Hammer sein (zumindest in meinem Kopf). Da ich immer wieder Schulungsvideos erstelle, würde mir ein schnellerer Datentransfer gerade recht kommen und ich könnte die Videos ja quasi direkt auf das NAS schreiben.
Was läge also näher, als ein 10GBit-NAS anzuschaffen, das „verhältnismäßig“ günstig ist.
Neben dem NAS befindet sich noch:
in der Verpackung.
Im Echtbetrieb kommen 2x Western Digital RED 3TB Festplatten im Raid 1 (Spiegelung) zum Einsatz. Allerdings habe ich, wie weiter unten ersichtlich, auch andere Laufwerke getestet. Alternativ zum Raid 1, könnte man auch andenken, die 2 Platten per Raid 0 einzubinden. Dies verspricht mehr Leistung (Stripeset), die doppelte Kapazität, ABER auch keine Redundanz. Ist eine Platte defekt, sind die Daten „weg“.
Anmerkung: Im Screenshot weiter unten, wird eine 1TB WDC Green installiert, dies war allerdings nur ein Test meinerseits! Der Echtbetrieb erfolgt mit den 2 x 3TB WDC RED.
Switches gibt es wie Sand am Meer… Nicht bei 10Gbit und schon gar nicht, wenn es um eine Switch geht, der lüfterlos betrieben werden kann. Einerseits bietet Netgear einen Home-Switch an (GS110MX), der 2 x 10GBit – Ports (restliche Ports 1GB) zur Verfügung stellt, andererseites hat auch Asus einen ähnlichen Switch auf Lager. Der Vorteil des ASUS-Switch (XG-U2008) liegt klar auf der Hand. Die Optik :-). In meiner Konfiguration setze ich also auf den Asus-Switch.
Anmerkung: Ich will nur meinen PC mit dem NAS über 10Gbit verbinden. Somit reichen 2 10Gbit-Ports auf jeden Fall aus!
Hier trennt sich die Spreu vom Weizen. (dies soll nichts über die Hardware-Qualität der NIC aussagen – wenn, dann schon eher über das Funktionieren „out-of-the-box“). Wenn ich schon bei Asus bin und möglichst „wenig Geld“ (immer noch mehr als genug!) für neue Komponenten ausgeben will, greif ich doch gleich zur Asus XGC-100C (Aquantia AQtion AQC107-Chip).
Diese Entscheidung stellte sich im Nachhinein als falsch heraus. Weder unter Linux (in dem Fall Ubuntu 18.04) noch unter Windows 10, konnte ich die Netzwerkkarte dazu bewegen, stabil zu laufen. Jedesmal wenn man einen Datentransfer angestoßen hat (zb. einen Download) funktionierte die Verbindung für einige Sekunden und machte dann eine Schaffenspause (um die 10-15 Sekunden). Selbst nach einiger Internetrecherche und herumspielen an den Parametern kam es zu keiner Besserung. Die Karte ging schließlich retour!
Eine Intel-NIC mit 2 Netzwerkanschlüssen. Unter Ubuntu 18.04 wird sie „out-of-the-box“ unterstützt. Windows 10 kennt sie nicht, was die Installation des Drivers (von der mitgelieferten CD) notwendig macht. (Treiberupdate wärmstens empfohlen!).
1x mitgeliefertes Kabel für 10Gbit -> NAS (Cat6?)
1x CAT6 Kabel 1m (PC)
Festplatten sind eingebaut, Netzwerk ist verkabelt, NIC installiert, NAS fährt hoch…
Ich startete den Test unter Windows 10 (mit aktuellem Treiber für die Intel NIC). Als Testfile, verwende ich eine 2.2GB große ISO Datei.
PC: Single SSD (Samsung).
NAS Single 64GB SSD (Samsung).
| von | nach | Geschwindigkeit |
| PC (SSD) | NAS (single SSD) | 200MB/sec |
| NAS (single SSD) | PC (SSD) | 400 MB/sec |
PC: Single SSD (Samsung).
NAS: 2x WDC RED 3TB – Raid 0: Stripeset.
| von | nach | Geschwindigkeit |
| PC (SSD) | NAS (Raid0 WDC Red) | 300MB/sec |
| NAS ( Raid0 WDC Red ) | PC (SSD) | 150 MB/sec |
PC: Single SSD (Samsung).
NAS: 2x WDC RED 3TB – Raid 1: Mirror
| von | nach | Geschwindigkeit |
| PC (SSD) | NAS ( Raid1 WDC Red) | 120 – 140 MB/sec |
| NAS (Raid1 WDC Red) | PC (SSD) | 140 -150 MB/sec |
Wenn man gerne Spiegeleier zubereitet, dann könnte man beim Switch (der ja in schönem Aludesign daherkommt) durchaus daran denken, die Oberfläche als Herdplatte zu verwenden. Zugegeben, das ist eine etwas überzogene Andeutung, dennoch wird der Switch, da ihm ja die Lüfter fehlen, sehr warm. Fordert man die 10GBIT Schnittstellen, kann man zwar die Switchoberseite ohne Weiteres angreifen, ich denke aber, dass hier 50 Grad+? erreicht werden können. Es ist also für eine gute Belüftung zu sorgen. (nichts draufstellen, Lüftungsgitter frei halten, nicht irgendwo einbauen, wo der Switch „keine Luft“ bekommt).
Die CPU des NAS erreicht bei Last Temperaturen von 62 Grad bei automatischer Lüftersteuerung. Die Lüfter selbst drehen hierbei nie so hoch, dass sie hörbar werden würden. Regelt man die Lüfter nicht automatisch, sondern stellt sie beispielsweise auf Geschwindigkeit „Mittel“ (Stufe2), ist es vorbei mit dem ruhigen Betrieb. (Die Lüfter sind klar hörbar).
Bislang gab es keine Probleme (Instabilitäten) mit den CPU Temperaturen bei automatischer Lüftersteuerung.
Meiner Meinung nach, ist der Lüfter hinten am NAS schlecht positioniert, da er nicht 100% zentral hinter den beiden Festplatten sitzt. Die Platten werden verhältnismäßig warm. (Selbst wenn sie nicht mit Datentransfer belastet werden).
Ein Umstieg auf ein 10Gbit-Netzwerk ist entsprechend teuer. Kopiert man regelmäßig größere Datenmengen über das Netzwerk ist eine Aufrüstung ganz sicherlich sinnvoll. Im Hinterkopf behalten muss man auf jeden Fall, dass die Performance (natürlich) nicht nur vom Netzwerk selbst, sondern auch von den eingesetzten restlichen Komponenten abhängt.
Es hilft relativ wenig, wenn die gesamte Netzwerkperipherie auf 10Gbit hochgerüstet wird, man jedoch als Datenspeicher im NAS einzelne Festplatten einsetzt. Die getestete WDC-RED, bringt sowohl lesend als auch schreibend um die 150mb/sec. Ein 10Gbit Netz hat jedoch einen Durchsatz von 800MB/sec+. Die Leistung ist in dem Fall also ganz klar durch die verbauten Festplatten limitiert.
Sobald der Datenspeicher performanter wird, steigt auch der Datendurchsatz.
Die maximale Performance des 2 Bay ASUS NAS, lässt sich ausschließlich erreichen, wenn SSDs verbaut werden. Beim Einbau von Festplatten lässt sich per Raid0 mehr Leistung zu Lasten der Sicherheit (=Raid0 = keine Festplattenredundanz = eine Platte defekt = Daten weg).
Alternativ zum 4002T, könnte man auf das Asus 4004T setzen, das mit seinen 4 Bays ein Raid10 (=Raid1 + Raid0) über 4 Festplatten ermöglicht.
Liebäugelt man mit einem Einsatz als (Backup) ESXI Datastore, sollte meines Erachtens unbedingt auf eine Redundanz (Festplatten/SSDs) geachtet werden. Auch hier würde ich eher auf das 4004T setzen.
Als Tauschgerät zu meiner DS213, kommt die 4002T auf jeden Fall in Frage, da sie generell viel schneller reagiert und die CPU mehr Leistung bringt. Auch bei Datentransfers über ein 1Gbit Netzwerk, erreicht die 4002T ca. die 3-fache Geschwindigkeit. 10Gbit hätte in meiner Konfiguration aber nicht sein müssen!
Sämtliche angegebenen Daten, gelten sowohl für Linuxdistributionen als auch Windows!
Nicht erwähnt habe ich bislang ein Problem mit einem installierten Trafficmonitor (unter Windows), der die Datentransferleistung mit SSDs + HDDs um 50%+ gedrückt hat. Erst nach Deaktivierung des Trafficmonitors, wurde die volle Leistung erreicht! (Dies hat mir mindestens 5h meiner Lebenszeit gekostet! 🙂 )
Ich habe in den vergangenen Tagen den Asussupport in Deutschland angeschrieben und möchte festhalten, dass die Antwortzeiten und der Umgang mit den Anfragen als sehr positiv zu bewerten ist. Interessiert hat mich beispielsweise, ob die CPU – Temperatur des NAS mit über 60 Grad noch in Ordnung ist. (Anfrage wurde an das Hardwaredepartment weitergeleitet).
Das Problem mit den Datentransferraten, hatte ich ebenso deponiert und diverse Rückmeldungen erhalten. Allerdings habe ich die Lösung schließlich selbst gefunden / da konnte Asus nichts dafür.
Auch, wenn das Thema absolut nichts Neues mehr ist, möchte ich kurz auf die Thematik der immer wiederkehrenden Trojanerwellen zu sprechen kommen. Vielleicht hilft es ja ein wenig, die Sinne zu schärfen und einer Infektion entgegen zu wirken.
Emotet und diverse Cryptolocker sind nach wie vor sehr präsent in diversen Fachzeitschriften / im Internet und sorgen bei so manchem Administrator für Gänsehaut. Doch wie kann man sich die „boshaften Zeitgenossen“ eigentlich einfangen?
Im Falle diverser Cryptolocker (Trojaner) und auch bei Emotet, wird meistens auf das altbekannte Medium „Email“ zurückgegriffen. Die Vorgangsweise ist also im Großen und Ganzen gleich geblieben, wie in früheren Jahren. Mit einem großen Unterschied: Die „bösartigen Mails“ sind heutzutage in perfektem Deutsch formuliert und sogar auf das Ziel / die Zielgruppe zugeschnitten.
So kann es gut sein, dass man ein Mail im Posteingang vorfindet, dessen Inhalt (ggf. der Anhang) einem gerade aktuellen Tätigkeitsfeld, einem laufenden Projekt, einer Stellenausschreibung etc. entspricht.
Der Empfänger soll sich sicher fühlen. Ganz nach dem Schema: Den Absender kenne ich, der Kontext ist bekannt, da kann nichts passieren. Das Mail / den Anhang kann ich ohne Bedenken öffnen!
Ein Makro, ist in Officedokumente eingebetteter Code, der im Hintergrund diverse Anweisungen ausführt. Eine normale Word- oder Exceldatei, die nur Text und Grafiken enthält, wird den Anwender NIE auffordern, die Makros zu aktivieren!
Man erhält ein Mail mit einem Officedokument, welches nach dem Öffnen darum ersucht, die Makros zu aktivieren. Die Aufforderung zum Öffnen kann z.B. so aussehen
Das Ganze geht auch noch etwas aufgehübscht:
Sofern keine Makros in MS Office verwendet werden, können die Makros auch komplett deaktiviert werden = Alle Makros ohne Benachrichtigung deaktivieren.
Die Makrosicherheitseinstellungen sind im Sicherheitscenter von Word/Excel/Powerpoint zu finden und müssen separat für jede einzelne Anwendung (Word, Excel…) konfiguriert werden!
Datei -> Optionen -> Sicherheitscenter (Trust Center) -> Einstellungen für das Sicherheitscenter -> Makroeinstellungen
Die Makrosicherheit von Office sollte zumindest so konfiguriert werden, dass vor dem Ausführen von Makros nachgefragt wird (=Standardeinstellung). Der genaue Wortlaut dieser Einstellungen lautet: Alle Makros mit Benachrichtigung deaktivieren.
Abgesehen von oben erwähnten Officedokumenten, kann es natürlich auch vorkommen, dass man Dateien im ZIP Format erhält, die -in entpackter Form- ein Officedokument beinhalten. Auch PDF-Dateien, die wiederum einen Link enthalten sind möglich
Nicht immer ist ein Anhang der Wegbereiter einer Infektion!
Ab und zu werden auch Links in Emails eingebettet, die dann wiederum auf Seiten führen, die Dateien mit Schadcode enthalten können. Diese Mails sind mittlerweile in perfektem Deutsch formuliert und kommen von vermeintlich bekannten Absendern (in untenstehendem Fall, kam die Mail -auf den ersten Blick- von einem bekannten österreichischen Energielieferanten):
Auch wenn vielen bekannt sein dürfte, dass es in letzter Zeit mit Microsoft so einige Updateprobleme gab, sollte man unbedingt sämtliche vorhandenen Sicherheitsaktualisierungen einspielen, sobald diese veröffentlicht worden sind.
Ich spreche hier nicht nur von MS-eigenen Aktualisierungen, sondern auch von diversen Updates für z.B. Java, Flash, PDF-Viewer etc.
Für Windowsnutzer heißt das vor allem: Den Windowsupdatedienst NICHT deaktivieren! Im Firmenumfeld einen WSUS-Server einsetzen!
Vielleicht denkt sich jetzt ein Leser/ eine Leserin: Was hilft mir ein Sicherheitsupdate, wenn ich mir den Schadcode per Email auf den Rechner hole?
Nun, im Hinblick auf „die Aktivierung des Trojaners“ im Netzwerk / auf dem PC, hilft das Einspielen von Sicherheitsupdates meist nicht. Aktiviert wird das Schadprogramm so gut wie immer durch den User. ABER: Sofern es dem Trojaner gelingt, Schadcode nachzuladen, versucht dieser dann bekannte Sicherheitslücken innerhalb von Programmen – vor allem innerhalb eines Netzwerkes – auszunutzen.
Beispiel: https://de.wikipedia.org/wiki/EternalBlue
Bei Vorhandensein eines gepatchten Systems, gelingt dies oft nicht.
Unter Windows sollte unbedingt ein Virenschutz eingesetzt werden, der laufend aktualisiert wird. Auch wenn die Hersteller von Schutzsoftware meistens einen Schritt „hinten nach“ sind, gehört dies zum Grundschutz einer Windowsinstallation.
Ein Teil dieses Tipps, ist eher im Firmenumfeld umsetzbar, da hier meistens Firewallappliances eingesetzt werden, um dein eingehenden / ausgehenden Datenstrom auf Schadcode zu untersuchen. Im privaten Umfeld, wird man sich vermutlich keine hochpreisige Appliance leisten wollen.
Kontrolle des ausgehenden Datenstroms: Wenn man sich vor Augen hält, dass in vielen Fällen Schadcode aus dem Internet nachgeladen wird, wird klar, dass der ausgehende Datenstrom gescannt werden muss. In Kombination mit dem Scannen auf Schadsoftware, sollten – wenn möglich – auch DNS-Blacklists, bekannte Botnet-Adressräume abgefragt und blockiert werden.
Damit einhergehend, sind ausgehend nur die unbedingt notwendigen Ports zu öffnen. (z.B. nur 80 = HTTP, 443 = HTTPS, 53 = DNS).
SSL Inspection: Sofern vorhanden, sollte unbedingt die SSL Inspection (scannen von verschlüsselten Verbindungen) aktiviert werden. (Damit verschlüsselte Verbindungen im Browser weiterhin funktionieren, muss das von der Appliance verwendete SSL-Zertifikat in den Browser / in den Windowszertifikatsstore importiert werden).
Warum SSL-Inspection? Der Grund hierfür ist, dass der Schadcode ggf. ja auch über eine HTTPS – Verbindung nachgeladen werden könnte. Wird SSL nicht gescannt, wird der Schadcode nicht erkannt.
Viele der „bösen“ Mails, werden über bekannte Spamquellen versendet. Durch den Einsatz von Spamfiltern und der Abfrage von Spamlisten, kann die Flut der eingehenden Spammails eingedämmt wreden. Optimalerweise gelangen so gut wie keine Spammails mehr in das Postfach.
Sofern man beispielsweise postfix als Mailserver einsetzt, reicht ein zusätzlicher Eintrag beim Parameter smtpd_recipient_restrictions um Spamlisten abzufragen. Abgesehen davon, kann auch noch auf Greylisting, Spamassassin etc. zurückgegriffen werden.
Die beste Spammail, ist die Mail, die nicht ins Postfach gelangt! (Etwas optimistisch formuliert: Keine Spammail, Kein Schadcode!)
Es sollte laufend bzw. zumindest in regelmäßigen Abständen auf die Bedrohungslage hingewiesen werden. Man sollte aber darauf achten, dass man nicht zu oft informiert, um gewisse „Ermüdungserscheinungen“ zu verhindern. (Schon wieder ein Infomail über Trojaner, kenn ich schon…).
Normalerweise hätte dieser Punkt bereits ganz am Anfang erwähnt werden müssen. Ohne regelmäßiges Backup, ist man im Falle einer Infektion verloren!
Das Backup MUSS unbedingt offline vorliegen. Es hilft nichts, täglich ein Backup der Arbeitsdaten auf ein NAS zu machen, welches permanent im Netzwerk ist. Die Gefahr, dass auch die Daten am NAS kompomittiert werden könnten ist einfach zu hoch. Neben der „online“ Sicherung, muss regelmäßig auch eine Sicherung auf ein Offline-Medium durchgeführt weden. Als Offline-Medium kommt z.B. eine externe USB Platte in Frage. Auch Bandlaufwerke sind wieder auf der Tagesordnung. Verhältnismäßig günstig, bei hoher Datendichte. Ein Bandlaufwerk kostet allerdings „einiges“.
Der Administrator(account) ist nur für Installationsarbeiten heranzuziehen. Für das tägliche Arbeiten, sollte ein Standardbenutzer mit eingeschränkten Rechten verwendet werden.
Dies gilt vor allem im Firmenumfeld, sollte aber auch @home jedenfalls in Betracht gezogen werden.
Man kann einige Schritte setzen, um einer Infektion und einem Datenverlust entgegenzuwirken. Im Worst-Case kommt es auf ein gutes Backup- / Restorekonzept an. Bei all den Möglichkeiten, sich „einzuigeln“ ist eines immer gewiss: 100%ige Sicherheit gibt es nicht. 😉
Wünsche, Anregungen, Ergänzungen und auch konstruktive Kritik per Kommentar gerne gelesen!