Und wieder sind schoen viele Datensaetze gesammelt und zum Verkauf angeboten worde. Diesmal wurde ein Paket mit 21 Millionen Datensaetzen geschnuert und zum Verkauf angeboten. Bestandteil des Datensaetze waren Informationen wie Geburtsdatum, Konteninformationen und hier und da wohl auch detailiertere Angaben zur Vermoegenslage. Ich hatte in Datenverlust, mehr davon ja schon gesagt, dass ich solche Aktionen hilfreich finde. Man selbst kann sich in seinem eigenen Umfeld immer den Mund fusselig reden, wenn es um Datenschutz und den Schutz der Privatsphaere geht. Aber so eine Aktion sensibilisiert offensichtlich ungleich mehr.
Kategorie: Maschinenraum (Seite 15 von 31)
Ende Juni hatte ich ja schon geschrieben, dass mir ein Fehler bei den Firewall-Appliances von Netscreen aufgefallen war. Man kann ueber die WebGUI einen Pfad auf die Hilfedateien konfigurieren, die sonst, Standardeinstellungen, ueber die Juniper-Webseite gezogen werden. Leider wird diese Einstellunge nicht abgespeichert, bzw. geht nach einiger Zeit wieder verloren. In den Dokumentationen ist das Verhalten aber so dokumentiert, wie man sich die Funktion halt auch vorstellen wuerde. Ich habe also bei Juniper ein Case aufgemacht und man hat mir gesagt, dass sei kein Bug, wuerde in der 5er-Serie nicht behoben und koennte fuer die 6er-Serie ueber ein Feature Request „beantragt“ werden. Das wollte ich dann auch gerne machen und man hatte mir geschrieben, es werde sich jemand melden. Jetzt haben wir Ende November und es hat sich niemand gemeldet. In der Zwischenzeit wurde ich zwar gefragt, ob sich der angebotene Kontakt schon gemeldet habe, ich habe auch mehrfach nachgefragt, aber kein Kontakt. Tja, ich werde den Case jetzt mal schliessen, da ich keine Reaktion mehr erwarte. Schade eigentlich, da ich bisher mit dem Support von Juniper zufrieden war.
Beim Konfigurieren einer… ja, Firewall kann man es nicht nennen. Naja, beim Konfigurieren eines Produktes, dass den Internetverkehr reglementieren soll, folgendes gefunden.
Ich glaube, man kann es mit dem Eindeutschen auch irgendwie ueberrtreiben.
Gestern wieder so eine Szene. Ich moechte ein Verzeichnis oeffnen, in dem ich vor einigen Momenten noch eine Textdatei geoeffnet hatte. Obwohl die Datei nicht mehr im Editor geoeffnet ist, meckert Windows rum, dass die Datei noch im Zugriff sei und nicht geloescht werden kann. Da ich das Problem relativ regelmaessig habe, aber im Zweifel sogar den Rechner neu starten muss, um die Datei zu loeschen (Zugriff durch Explorer), habe ich mal das Netz bemueht. Und nach einigen Minuten habe ich Unlocker gefunden. Das Tool erlaubt es Zugriff auf Dateien zu identifizieren und zu entfernen, so dass die Datei anschliessend auch geloescht werden kann. Voll supa! Das Tool hat es auf Anhieb auf meine „Muss sofort nach einer Rechnerneuinstallation mit drauf“-Liste geschafft 🙂
Also wirklich. TrekStor kommt mir nicht mehr ins Haus! Nicht nur, dass dieser Ramsch anspruchsvoll beim Einsatz von Treibern ist. Nein, nun ist auch noch das Netzteil, oder gar die ganze Platte im Eimer. Im Grunde, wenn ich jetzt an die Daten denke, egal, da ich alles noch auf dem Server im Keller liegen habe. Aergerlich aber trotzdem, da das miese Teil mit 212 Euro, bei 400GB Kapazitaet, auch nicht eben preiswert war. Ich baue jetzt die Platte aus und werde den verbleibenden Schrott mit unserem Wagen ueberfahren.
Aktuell bereite ich ein paar kleine Netscreens vor, um als Cluster eine Location per VPN an unsere Zentrale anbinden zu koennen. Vielleicht koennte es ja fuer jemanden interessant sein zu sehen, wie das im Detail ausschaut.
Konfigurieren des ersten Clustermembers
Setzen des Hostnamens.
set hostname Erster
Die Zone „Untrust“ aus dem VR „trust-vr“ entfernen und in „untrust-vr“ bringen. Dafuer muss erst das Interface ethernet0/6 aus der Zone „Untrust“ herausgenommen werden. Das mache ich deshalb, damit ich spaeter nicht mit einer Hostroute arbeiten brauche. Die Alternative waere sonst, die Zone „Untrust“ im „trust-vr“ zu belassen und spaeter eine Hostroute (set route 192.168.50.1/32 interface ethernet0/0 gateway 192.168.100.1) auf den Tunnelendpunkt zu setzen.
unset interface eth0/0 zone
set zone Untrust vrouter untrust-vr
Die brgoup0 aufloesen, da sie nicht gebraucht wird.
unset interface bgroup0 port eth0/2
unset interface bgroup0 port eth0/3
unset interface bgroup0 port eth0/4
unset interface bgroup0 port eth0/5
unset interface bgroup0 port eth0/6
unset interface bgroup0 ip
unset interface bgroup0 zone
Das externe Interface in die Zone „Untrust“ bringen, eine IP-Adresse fuer das Interface setzen und in der vroute „untrust-vr“ eine Defaultroute setzen, die dann natuerlich auch fuer das ethernet0/0 zieht.
set interface eth0/0 zone untrust
set interface eth0/0 ip 192.168.100.10/24
set vroute untrust-vr
set route 0.0.0.0/0 interface ethernet0/0 gateway 192.168.100.1
exit
Das interne Interface in die Zone „Trust“ bringen, eine IP-Adresse setzen und die Managementmoeglichkeiten setzen.
set interface eth0/1 zone Trust
set interface eth0/1 ip 192.168.200.1/24
set interface eth0/1 manage
set interface eth0/1 manage ping
Eine neue Zone „VPN“ und ein Tunnelinterface „tunnel.1“ erstellen. Dort dann eine Defaultroute setzen.
set zone name VPN
set interface „tunnel.1“ zone „VPN“
set interface tunnel.1 ip unnumbered interface ethernet0/1
set route 0.0.0.0/0 interface tunnel.1
Phase1-Konfiguration des benoetigten VPN erstellen.
set ike gateway „Zentrale-FW“ address 192.168.50.1 Main outgoing-interface „ethernet0/0“ preshare „0123456789abcdefghijklmnopqrstuvwxyz“ proposal „pre-g2-3des-sha“
Phase2-Konfiguration des benoetigten VPN erstellen.
set vpn „Zentrale“ gateway „fw4“ no-replay tunnel idletime 0 proposal „g2-esp-3des-sha“
set vpn „Zentrale“ monitor source-interface ethernet0/1 destination-ip 192.168.50.1 rekey
set vpn „Zentrale“ id 1 bind interface tunnel.1
Ein paar Policies fuer den Zugriff einrichten.
unset policy id 1
set policy from „Trust“ to „VPN“ „Any“ „Any“ „Any“ permit log
set policy id 1
set log session-init
exit
set policy from „VPN“ to „Trust“ „Any“ „Any“ „Any“ permit log
set policy id 2
set log session-init
exit
Vorbereitung fuer NSRP (Cluster).
set zone name HA
set interface ethernet0/6 zone HA
NSRP konfigurieren und aktivieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 priority 100
set nsrp interface ethernet0/6
save
Konfigurieren des zweiten Clustermembers
Setzen des Hostnamens.
set hostname Zweiter
Eine Zone „HA“ erstellen, das Interface ethernet0/6 aus der „bgroup0“ nehmen und anschliessend in die Zone „HA“ bringen.
set zone name HA
unset interface bgroup0 port eth0/6
unset interface ethernet0/6 zone
set interface ethernet0/6 zone HA
NSRP konfigurieren.
set nsrp cluster id 7
set nsrp vsd-group id 0 priority 110
set nsrp interface ethernet0/6
Zum Abschluss noch die Konfiguration vom Master holen.
exec nsrp sync global-config save
Wie so oft gibt es auch hier noch diverse Dinge die man zusaetzlich konfigurieren koennte. Das faengt beim Hinzufuegen eines neuen Users an (set admin user „$NAME“ password „$PASSWORD“ privilege „all“), geht ueber eine moegliche Authentifizierung per Key (siehe hierzu auch Login per Key an Netscreen) bis hin zur Feinkonfiguration des NSRP (set nsrp encrypt password $PASSWORD, set nsrp auth password $PASSWORD, set nsrp vsd-group id 0 monitor interface $INTERFACE).
Wenn der Tunnel nicht aufgebaut wird, hilft ein Blick ins Log (get log event). Eine Meldung wie „Rejected an IKE packet on ethernet1 from n.n.n.n:500 to n.n.n.n:500 with cookies 0123456789123456 and 0123456789123456 because there were no acceptable Phase 1 proposals.“ zeigt ja schon recht klar was geht, bzw. nicht geht 😉 Weitere beliebte Fehlerquelle ist eine falsch gesetzte oder fehlende Route (get route ip). Wenn alles nichts hilft, kann auch ein „debug flow basic“ hilfreich sein.
Hach wie supi. Ein frisch installiertes R61, dass natuerlich ohne Treiber-CD daherkam. Beim Versuch Treiber von Hand zu installieren bin ich dann auch recht zuegig auf Komponenten gestossen, die ich nicht identifizieren konnte. Also Mut zur Luecke und das von IBM angebotene Tool „ThinkVantage System Update“ gezogen, installiert und festgestellt, UEBERRASCHUNG!, dass der Dreck *nicht* laueft. Der Start von diesem Codeschrott wird mit einem „System Update could not start properly“ quittiert. Das Geraet ist frisch installiert und erfuellt alle Anforderungen. Natuerlich gibt es ausser dieser nichtssagenden Fehlermeldung keinen Hinweis was der Grund fuer das famose Scheitern ist. Sind die Leute alle zu doof zu programmieren, bzw. nicht in der Lage *aussagekraeftige* Fehlermeldungen zu generieren?! Den Muell haette jeder Affe besser hinbekommen.
Heute Abend um 21:00 auf arte: Being W
Zum Ende seiner Amtszeit lassen Karl Zaro und Michel Royer „Dabbelju“ in ihrer nicht autorisierten Biografie Bilanz ziehen. Mister President daselbst beziehungsweise ein begnadeter Imitator – kommt zu Wort und erklaert Beweggruende und Methodik seines Strebens nach der Macht.
Eben bei golem gelesen, dass Microsoft einen ersten Blick auf das neue Windows hat werfen lassen. Als Interessierter schaut man sich natuerlich auch mal die angepriesenen Screenshots an. Jetzt mal Hand hoch, wer bei dem Bild und dem Blick auf die Startleiste *nicht* gleich an ein Linux mit Gnome denkt. Naja, mir kam der Gedanke irgendwie spontan.
Nachtrag:
Wie Maxi anmerkt und ein weitere User bestaetigt, erinnert das Interface sogar eher noch an KDE als an Gnome. Tja, ich als alter fluxbox und Gnome-User… 🙂