Archive

Archive for the ‘[DE] Tech’ Category

OPNsense: Warum Open Source Firewalls wichtig sind

December 6th, 2015 No comments

In nahezu jedem Unternehmen kommt auf die ein oder andere Weise Open Source Software zum Einsatz. Vom Betriebssystem für Arbeitsplatzrechner über die Datenbanksoftware für unternehmenskritische Daten bis hin zum Webserver zur Auslieferung der Website des Unternehmens – Open Source ist scheinbar überall und leistet hervorragende Arbeit.

Bei einem Thema ist das allerdings anders: Die Firewall. Hier greifen Unternehmen offenbar ohne zu zögern zu den kommerziellen Produkten der etablierten Größen der Branche. Aber warum ist das so?

Sicherheit von Open Source

Ein wichtiger Aspekt: Sicherheit. Die Firewall eines Unternehmens ist zwar nicht der Heilige Gral, aber sie spielt eine wichtige Rolle dabei, ebendiesen gegen Angriffe zu schützen. Bedeutet die Bevorzugung kommerzieller Lösungen bei diesem wichtigen Thema also, dass Open Source Firewalls weniger Sicherheit bieten?

Die eigentliche Frage lautet: Ist Open Source Software unsicher? Und diese Frage beantworten branchenübergreifend die größten Unternehmen, indem sie sensible Daten ganz selbstverständlich mit Open Source Software verarbeiten und speichern. Das würde in diesem Umfang nicht stattfinden, wenn es erwiesen wäre, dass Unsicherheit der hohe Preis für den Einsatz dieser kostenlosen Lösungen wäre.

Der gefühlte Vorteil

Es geht also gar nicht um messbare Werte, wie die Zahl der erkannten Sicherheitslücken eines Produkts, sondern um die gefühlte Sicherheit. Und die ist bei Open Source Firewalls bisher schlecht. Wieso? Das liegt an der Omnipräsenz kommerzieller Lösungen am Markt und der Tatsache, dass kaum ein Unternehmen den Mut aufbringt, den Einsatz der Open Source Alternativen offen bekannt zu machen und zu unterstützen. Fehlendes Marketing dieser Projekte ist dabei vielleicht ein weiterer wichtiger Aspekt.

Aber wenn sie schon nicht weniger sicher sind, dann bieten sie doch zumindest einen schwächeren Schutz gegen Angriffe oder weniger ausgeklügelte Sicherheitsfunktionen, richtig? OPNsense, die Open-Source Firewall um die es in diesem Artikel hauptsächlich geht, bietet bereits IDS Funktionen und hat erst kürzlich IPS Funktionen in der Entwicklerversion freigeschaltet und im Januar 2016 werden sie in der stabilen Version verfügbar sein. Neben kaum noch beachteten Selbstverständlichkeiten wie Paketfiltern und VPN-Tunneln waren solche Funktionen bislang häufig unerreichbar für Unternehmen, denen kein großes Budget für IT-Sicherheit zur Verfügung steht.

Was Unternehmen an kommerziellen Produkten lieben

Hohe Sicherheit und alle wichtigen Funktionen bieten Open Source Firewalls bereits. Was hält Unternehmen dann noch davon ab, diese Lösungen selbst zu verwenden? Die Haftungsfrage. Also der Wunsch nach einem Verantwortlichen bei Sicherheitsfragen und -problemen. Oder eine Möglichkeit, Hilfe bei der Umsetzung komplexer Aufgaben zu erhalten. Das alles gibt es bei Open Source Lösungen nicht, richtig? Falsch. Bei zahlreichen Projekten wird die Weiterentwicklung von Unternehmen gesponsort und kostenpflichtiger Support von Partnern und Unterstützern bereitgestellt.

In diesem Fall hat es ein wenig den “Free-to-Play” Charakter, den viele von Mobile Games kennen: Es kann völlig kostenfrei genutzt werden, aber gewisse Extras kosten etwas. Diese extras sind größtenteils kommerzieller Support oder vom Projekt unterstützte Hardware. Wenn ein Unternehmen darauf angewiesen ist, kann es beides von Decisio bekommen, dem Unternehmen hinter dem OPNsense Projekt: zertifizierte Hardware und kommerziellen Support gibt es auf den entsprechenden Webseiten.

Wert von Open Source Firewalls – OPNsense

Worin liegt also der Wert von Open Source Firewalls? Ist es die Kostenersparnis? Wahrscheinlich nicht. Ein Teil der Kosten, die dadurch eingespart werden, muss voraussichtlich in die Wartung und Pflege investiert werden.

Der eigentliche Wert steckt bereits im Begriff “Open Source”: Größtmögliche Offenheit. Alle Fehler und Schwächen liegen offen – und werden so zu einer Stärke des Projekts. Denn dadurch kann jeder etwas zur Verbesserung beitragen. Ein Unternehmen könnte gezielt zur Behebung eines Fehlers oder zur Integration eines neuen Features beitragen. Dabei ist nicht ausschließlich Geld und Personal gefragt, sondern auch die Erstellung qualifizierter Fehlerberichte und Feature-Wünsche beschleunigt diesen Prozess. In kommerziellen Produkten haben nur die größten Kunden die Möglichkeit einer solchen Einflussnahme, bei Open Source ist das grundlegend anders.

Noch einmal zum Begriff “Open Source”. Das bedeutet in erster Linie: offener Quellcode. Aber eigentlich sollte es noch viel mehr bedeutet: Offene Kommunikation, aktive Einbeziehung der Nutzer, keine Angst vor Forks und vor allem: keinen relevanten Quellcode verstecken oder den Zugang dazu erschweren. Deshalb ist OPNsense so empfehlenswert, wenn es um Open Source Firewalls geht, denn diese Punkte sind fester Bestandteil der Philosophie des Projekts. Kein Wunder, denn man ist sich seiner eigenen Geschichte vollständig bewusst: M0n0wall => pfSense => OPNsense. Noch dazu baut das Projekt bewusst Unterschiede zur stabilen Version von FreeBSD ab, wodurch viele Ressourcen für die Wartung eingespart werden und in die Weiterentwicklung fließen können.

Dazu gesellen sich die gewohnten Errungenschaften heutiger Open-Source Projekte:

Fazit

Open Source Lösungen sind ständigem Wandel unterworfen: Projekte sterben, Forks tauchen auf, Software wird neugeschrieben. Aber auch kommerzielle Produkte zwingen die Nutzer oft zum Produktwechsel oder zu einem ungewünschten Upgrade. Fortlaufende Veränderung lässt sich also nicht vermeiden. Und das ist auch gut so, sonst würden wir wohl kaum Verbesserungen und nie irgendwelche Innovationen erleben.

Der Einsatz von Open Source Firewalls ist für Unternehmen kein Risiko, sondern eine große Chance, die akzeptierten Grenzen kommerzieller Produkte endlich zu durchbrechen.

Toner-Reset bei Brother Druckern

January 7th, 2014 No comments

Auch in Druckern von Brother gibt es einen Seitenzähler, der den Tonerverbrauch anhand der gedruckten Seiten schätzt. Das ist natürlich nicht besonders genau und der Zähler meldet meist zu früh einen leeren Toner. In er Realität sind die Toner dann natürlich noch nicht vollständig leer. Drucken kann man trotzdem nicht mehr, denn das verhindert eine Sperre in der Firmware des Druckers.

Der Zählerstand des Toners kann jedoch zurückgesetzt und die Sperre damit überbrückt werden. Bevor diese Schritte durchgeführt werden können, müssen alle ausstehenden Druckaufträge abgebrochen werden (sowohl am Drucker selbst als auch am Rechner).

Den Seitenzähler zurücksetzen:

  1. die Toner-Blende öffnen (als würde man den Toner tauschen wollen)
  2. die Buttons “Secure” und “Cancel” am Gerät gleichzeitig drücken
  3. am Display des Druckers erscheint ein Farbmenü
  4. die Farbe es betroffenen Toners auswählen und “OK” drücken
  5. die Option für den Reset des Zählerstands auswählen und bestätigen
  6. die Toner-Blende wieder schließen
  7. der Drucker führt einen Selbsttest durch und meldet einen vollen Toner
  8. ggf. den Drucker neustarten, um eine erneute Tonerprüfung zu veranlassen

Getestet wurde dieses Verfahren mit einem Brother 4150, aber es funktioniert auch mit zahlreichen anderen Modellen von Brother. Viele Drucker anderer Hersteller verfügen über eine ähnliche Funktion.

Categories: [DE] Tech Tags: , , , ,

Colocation Angebote: Low-Power für Low-Budget

August 29th, 2013 No comments

Die Qual der Wahl?

Die Auswahl an Colocation Angeboten in Deutschland ist ziemlich groß. Aber wenn es darum geht, dass eine Privatperson relativ kostengünstig einen Server irgendwo unterstellen will, schrumpft die Anzahl der infrage kommenden Anbieter sehr schnell. Am Ende meiner eigenen Recherche blieb nur noch eine handvoll Anbieter übrig. Vielleicht ist diese Liste auch für andere nützlich.

Wo der Schuh drückt

Schwierig wird die Auswahl des richtigen Anbieters vor allem deshalb, weil es in diesem Preissegment kein optimales Angebot gibt. Es müssen immer gewisse Kompromisse eingegangen werden. Für mich spielten folgende Überlegungen eine wichtige Rolle:

  • 19″-Bauweise ist vergleichsweise teuer; bei nur 1 HE Stellplatz ist die Erweiterbarkeit sehr eingeschränkt
  • Tower-Gehäuse dürfen zum Teil nur sehr klein sein; dadurch Einschränkungen bei der Erweiterbarkeit
  • hoher Stromverbrauch ist ein K.O.-Kriterium im Low-Budget Bereich; Strom-Upgrades sind teuer
  • Standort des Rechenzentrums: Wie schnell kann ich auf einen Ausfall reagieren?
  • Zugang zum eigenen Server: Was passiert bei einem Defekt? Was kostet Remote-Support?

Anbieter im Vergleich

Von mir kann kein Anbieter uneingeschränkt empfohlen werden. Das liegt nicht daran, dass das Angebot schlecht wäre, sondern dass die Anforderungen bei jedem privaten Projekt etwas unterschiedlich sein werden. In der Übersicht habe ich deshalb lediglich die Punkte farblich hervorgehoben, die auffallend positiv oder im Anbietervergleich eher negativ waren.

  United Colo GmbH Contabo GmbH Hetzner Online AG LimTec GmbH
Produkt NGZ Colocation Colocation 1HE Colocation 1HE Colocation Entry
Standort Coburg München Nürnberg Unterschleißheim
Bauweise Tower oder 19″ Tower oder 19″ 19″ Tower oder 19″
Stellplatz 2 HE oder 42Hx20Bx50T 1 HE oder 41Hx19Bx45T 1 HE 1 HE oder Miditower
 Upgrade: +1 HE (5,- €) +1 HE (29,99)
(inkl. 100 W)
+1 HE (5,95 €) +1 HE (10,- €)
Strom 125 W 100 W 50 W 120 W
 Upgrade: 325 W (40,- €) +100 W (29,99 €) +100 W (35,70 €) +180 W (15,- €)
Anbindung 100 Mbit/s 100 Mbit/s 100 Mbit/s 100 Mbit/s
Traffic Flat Flat 10 TB 60 GB
 Upgrade:  –
+1 TB (1,99 €) +60 GB (20,- €)
IPs /29 (5 nutzbar) 1 1 1
 Upgrade: /28 (13 nutzbar) (4,95 €) +1 IP (2,- €) /29 (6 nutzbar) (8,- €) +1 IP (2,- €)
Support 8-22 Uhr, Telefon/E-Mail 7×24, Telefon/E-Mail 5×8, E-Mail 5×8, Telefon/E-Mail
Reboot Webinterface Webinterface über Support über Support
Rescue via PXE via PXE via PXE nein
KVM-over-IP Setup 99,- €
0,00 € mntl.
Setup 0,00 €
29,99 € mntl.
Setup 149,-
19,- € mntl.
auf Anfrage
Vor-Ort-Zugang auf Anfrage kostenpflichtig nein auf Anfrage
Laufzeit 1 Monat 12 Monate 1 Monat 1 Monat
Preis 39,- € 39,98 € 39,- € 39,- €
Setupgebühr 19,- € 39,98 € 59,- € 49,- €

Auf den ersten Blick erscheinen die Angebote sehr ähnlich, besonders wenn es um den monatlichen Grundpreis geht. Bei genauerer Betrachtung fällt jedoch auf: Die wirklichen Low-Budget Anbieter sind eigentlich nur United Colo und Contabo. Bei Hetzner wird es schnell deutlich teurer, weil zu wenig Strom enthalten ist. Und bei LimTec wird der hohe Preis für Traffic schnell zu einem Problem. Trotzdem bieten auch diese Anbieter Vorteile, die bei bestimmten Projekten entscheidend sein können.

Details klären

Wenn ein spezielles Feature fehlt oder die Informationen auf der Website des Anbieters nicht alle Fragen hinreichend beantworten, dann lohnt es sich, mit dem Anbieter Kontakt aufzunehmen. Die Antworten des Supports waren bei allen Anfragen vorbildlich und zum Teil erstaunlich positiv.

Problem mit 3ware 9650SE und UEFI BIOS

August 19th, 2013 2 comments

Der etwas betagte 3ware 9650SE-4LPML RAID-Controller wurde auch nach der Übernahme durch LSI weiter gut gepflegt. Die letzte Firmware wurde im Dezember 2012 veröffentlicht. Also bin ich davon ausgegangen, dass der Controller trotz seines Alters noch ganz gut in moderner Hardware funktioniert.

Ich habe versucht, den Controller in einem Asrock H77 PRO4-M Mainboard auf Basis des Intel H77 Chipsatzes und mit einem UEFI BIOS in Betrieb zu nehmen. Erstes Ergebnis: Der Controller wird weder als Boot-Device erkannt noch ist das Controller-BIOS zugänglich. Nicht gut.

Die Hoffnung, diese Kombination noch in einen lauffähigen Zustand zu bringen, war äußerst gering. Trotzdem habe ich das BIOS des Mainboards von Version 1.4 auf 2.0 aktualisiert (was sowieso auf der Liste stand). Und schon beim ersten Boot war das Controller-BIOS zu sehen. Dann noch der Blick in die BIOS-Einstellungen: Auch als Boot-Device kann der 3ware-Controller ausgewählt werden. Schnell ein Betriebssystem installiert und ein paar weitere Tests gemacht: Alles funktioniert! Glück gehabt!

CIFS Share beim Systemstart mounten

July 30th, 2013 No comments

Unter Linux können CIFS Shares beim Systemstart automatisch gemountet werden. Hierzu wird unter Debian/Ubuntu zunächst folgendes Softwarepaket benötigt:

sudo apt-get install cifs-utils

Daraufhin kann das gewünschte CIFS Share in /etc/fstab eingetragen werden:

//192.168.123.1/cifs_share  /mnt/cifs_share  cifs    uid=local_user,gid=local_group,iocharset=utf8,credentials=/etc/cifs.passwd       0 0

Dieses Beispiel geht davon aus, dass für das Mounten des CIFS Share Zugangsdaten benötigt werden (also kein anonymer Zugriff stattfindet). Diese könnten natürlich direkt in die /etc/fstab geschrieben werden. Aber aus Sicherheitsgründen ist es empfehlenswert, die Zugangsdaten in eine separate Datei auszulagern. In diesem Beispiel ist das die Datei /etc/cifs.passwd:

username=MyUser
password=seCreT

Diese Datei sollte natürlich mittels chmod/chown entsprechend abgesichert werden. Durch Eingabe von mount -a können wir gleich testen, ob das CIFS Share gemountet werden kann.

Categories: [DE] Tech Tags: , , , ,

Swap Datei erstellen

July 30th, 2013 No comments

Der Einsatz einer Swap Partition ist unflexibel. Das zeigt sich besonders dann, wenn im laufenden Betrieb der Swap Speicher erweitert werden soll. Abhilfe schafft hier eine Swap Datei, die unter Linux wie folgt erstellt wird:

dd if=/dev/zero of=/swapfile bs=1024 count=4194304
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile

Damit wird eine 4 GB große Swap Datei erstellt und mit swapon auch gleich aktiviert. Damit die neue Swap Datei beim nächsten Neustart automatisch aktiviert wird, ist folgender Eintrag in /etc/fstab notwendig:

/swapfile swap swap defaults 0 0

Unter FreeBSD ist der Einsatz von Swap Dateien ebenfalls möglich. Dies wird ausgezeichnet im FreeBSD Handbuch beschrieben.

Categories: [DE] Tech Tags: , , , ,

LSI 9211-4i Firmware Update

May 25th, 2013 No comments

Die Produktpflege von LSI ist beim 9211-4i RAID-Controller überraschend gut. Es lohnt sich also, von Zeit zu Zeit die Firmware zu aktualisieren. Das ist nicht schwer:

1. Das Firmware Update bei LSI herunterladen. In dem ZIP-Archiv befinden sich zwei Editionen der Controller Firmware: IR und IT. Mit der Edition “IR” (Intergrated RAID) trifft man hier die richtige Wahl.

2. Die Firmware des Controllers updaten:

sas2flash.exe -f 2114ir.bin

3. Das BIOS des Controllers updaten:

sas2flash.exe -b mptsas2.rom

Das Flash-Tool überprüft vor der Installation die Kompatibilität mit dem vorhandenen Controller, also ist das Risiko relativ gering, hier etwas falsch zu machen.

Categories: [DE] Tech Tags: , , , , ,

oVirt: VM bootet nicht von ISO Image

May 15th, 2013 No comments

Auf einem oVirt 3.2.1 Setup hatte ich ein seltsames Problem: Es konnte keine VM mehr von CD-ROM (ISO Image) booten. Im oVirt Admin Portal wurde nur eine nichtssagende Fehlermeldung angezeigt. Also habe ich auf dem oVirt Engine Server einen Blick in das engine.log geworfen und bekam eine bessere Meldung zu sehen:

2013-04-29 16:38:33,744 INFO  [org.ovirt.engine.core.vdsbroker.VdsUpdateRunTimeInfo] (DefaultQuartzScheduler_Worker-9) Received a cdrom Device without an address when processing VM 658ca53d-12cf-4b03-973d-a0d2cdf5315f devices, skipping device: […]

OK, also irgendetwas gefällt oVirt scheinbar an der CD-ROM Konfiguration nicht. Im Admin Portal ist nichts Auffälliges zu finden… Also auf dem oVirt Node Server mit virsh -r (Kommandos list + dumpxml) noch einen Blick in die VM Konfiguration werfen:

    <disk type=’file’ device=’cdrom’>
<driver name=’qemu’ type=’raw’/>
<source startupPolicy=’optional’/>
<target dev=’hdc’ bus=’ide’/>
<readonly/>
<serial></serial>
<boot order=’1’/>
<alias name=’ide0-1-0’/>
<address type=’drive’ controller=’0′ bus=’1′ target=’0′ unit=’0’/>
</disk>

Und tatsächlich: oVirt hat definitiv kein ISO Image eingebunden. Also kein Wunder, dass die VM nicht von CD-ROM booten kann. Auf der oVirt Mailingliste wusste leider auch niemand Rat. Also habe ich die betroffene oVirt Node kurzerhand in den Maintenance Mode gesetzt und – einige Minuten später – wieder aktiviert. Und siehe da: Plötzlich kann wieder problemlos jedes ISO Image eingebunden und davon gebootet werden. Die Ursache für diesen Fehler ist zwar weiterhin unklar, aber immerhin ist die Funktionalität vorerst wiederhergestellt.

Categories: [DE] Tech Tags: , , , ,

oVirt: VM startet nicht

May 3rd, 2013 No comments

Unter oVirt kann es vorkommen, dass eine VM nicht eingeschaltet werden kann. Im oVirt Frontend erscheint dann folgende Meldung:

Cannot run VM. Host swap percentage is above the defined threshold. – Check your configuration parameters for Host Swap Percentage.

Offensichtlich benutzt unsere oVirt Node, auf der die VM gestartet werden soll, bereits zu viel Swap. Mit top sieht man dann wahrscheinlich, dass nur wenig Swap verwendet wird und die RAM-Auslastung gar nicht so hoch ist. Also warum dann diese Meldung? Wir schauen uns auf dem oVirt Engine Server einmal die Einstellung für dieses Limit an:

# engine-config -g BlockMigrationOnSwapUsagePercentage
BlockMigrationOnSwapUsagePercentage: 0 version: general

In der Standardeinstellung darf bei oVirt gar kein Swap in Benutzung sein, damit das Starten einer VM möglich ist. Also kein Wunder, dass früher oder später wohl jeder diese Meldung erhält, denn auch auf großzügig dimensionierten Systemen wird irgendwann mal ein wenig Swap verwendet. Diese Einstellung ist geradezu extrem konservativ – und für meinen Geschmack um Größenordnungen zu niedrig eingestellt. Deshalb ändern wir sie auch gleich:Watch Full Movie Online Streaming Online and Download

# engine-config -s BlockMigrationOnSwapUsagePercentage=90 –cver=general
# service ovirt-engine restart

Wichtig: Nach dem ändern der Einstellung muss der oVirt Engine Dienst neugestartet werden (wie im obigen Beispiel). Ab sofort wird erst bei 90% belegtem Swap-Speicher der Start weiterer VMs verhindert. Eine Übersicht der Konfigurationsoptionen findet sich übrigens in der offiziellen Dokumentation zu RHEV 3.1.

Categories: [DE] Tech Tags: , , , , ,

Linux LVM2 Volume vergrößern

March 19th, 2013 No comments

Mit folgenden Schritten kann ein LVM2 Volume online vergrößert werden. Wobei “online” hier etwas irreführend sein könnte, denn in den meisten Fällen muss der zusätzliche Speicherplatz zuvor in Form einer weiteren Partition hinzugefügt werden – und das erfordert voraussichtlich einen Reboot. Das Dateisystem selbst wird dann im Betrieb – also “online” – vergrößert.

Diese Anleitung wurde unter CentOS 6 erstellt, sollte jedoch auf den meisten Linux-Distributionen nahezu identisch durchführbar sein.

Warnung: Bei derartigen Vorgängen besteht die Gefahr eines Datenverlusts! Sie sollten vorher unbedingt eine Datensicherung durchführen!

Hinweis: Einige Werte sind farblich gekennzeichnet und müssen den aktuellen Gegebenheiten angepasst werden.

  • neue Partition anlegen
    • fdisk /dev/sda
    • mit fdisk eine neue primäre Partition im freien Speicherplatz anlegen (und den Namen merken, z.B. sda3)
    • den Partitionstyp auf “Linux LVM” ändern
    • wahrscheinlich ist danach ein Reboot des Servers nötig
  • LVM Physical Volume hinzufügen
    • pvcreate /dev/sda3
    • mit pvcreate die neue Partition als Physical Volume zu LVM hinzufügen
    • danach mit pvdisplay überprüfen
  • LVM Volume Group vergrößern
    • mit vgdisplay die aktuelle Volume Group anzeigen (und den Namen merken, z.B. VolGroup)
    • vgextend VolGroup /dev/sda3
    • die Volume Group mit vgextend vergrößern
    • mit vgdisplay überprüfen, ob die korrekte Größe angezeigt wird
  • LVM Logical Volume vergrößern
    • mit lvdisplay die Logical Volumes anzeigen (und den Namen merken, z.B. lv_home)
    • lvresize -L +60G /dev/VolGroup/lv_home
    • mit lvresize das Logical Volume auf die gewünschte Größe erweitern
    • mit lvdisplay überprüfen, ob beim Logical Volume die korrekte Größe angezeigt wird
  • Dateisystem vergrößern
    • mit df -h die aktuelle Dateisystembelegung anzeigen lassen
    • resize2fs /dev/mapper/VolGrouplv_home
    • mit resize2fs das EXT4 Dateisystem online vergrößern (es wird automatisch auf die maximale Größe erweitert)
    • mit df -h überprüfen, ob das Dateisystem die korrekte Größe anzeigt

Natürlich gibt es auch an anderen Stellen im Netz gute Anleitungen zu diesem Thema.

Categories: [DE] Tech Tags: , , , ,
css.php