Grundsätzlich bin ich ein sehr misstrauischer Mensch wenn es um Cloud-Computing geht und ganz besonders wenn meine persönlichen Daten in so einer Wolke liegen sollen. Daniel Melanchthon hat mich jedoch bei ein zwei Kaltgetränken davon überzeugt, dass ich mir das ganze zumindest mal anschauen sollte.

Was ist Live Mesh

Um alle die noch nichts davon gehört haben kurz abzuholen fange ich mit einer (unvollständigen) Beschreibung des Dienstes an. Live Mesh ist ein (Beta) Cloud Service von Microsoft. Der Service soll seinen Benutzer ermöglichen Daten auf verschiedenen Geräten zu syncen. Derzeit werden Windows Mobile Geräte, Windows Desktops (+Server), und MacOS unterstützt. Zudem wird ein Online Desktop zur Verfügung gestellt auf welchen man derzeit bis zu 5 GB seiner Daten Syncen kann. Es ist außerdem möglich Ordner mit Freunden zu sharen und man kann über das Internet eine Art RDP Session auf seinen Desktop (zuhause) aufbauen.

Warum benutze ich es

Ich besitze eine ganze Reihe von Rechnen die ich in verschiedenen Situationen brauche. Nicht selten habe ich dabei das Problem, dass genau die benötigte Datei nicht oder in einer veralteten Version auf meinem gerade mitgeführten Gerät liegt. Auch das gemeinsame verwalten von Dateien mit Freunden ist für mich eine sehr nette Funktion – gerade wenn man gemeinsam an einem Projekt arbeitet.

Wie sicher ist Live Mesh

Das war für mich natürlich die erste und wichtigste Frage die es zu klären gibt. Ich habe mich daher ein wenig in die Dokumentation von Live Mesh eingelesen und war recht angetan davon. Laut Dokumentation werden alle Verbindungen beim Aufbau über eine asymmetrische Verschlüsselung (RSA Algorithmus) gesicherten um dann einen symmetrischen (128 bit AES) Schlüssel zur Datenübertragung auszutauschen. Die Kommunikation wird dabei über Port 443 abgewickelt. Die Verschlüsselung der Daten erfolgt dabei end to end. Das heißt, wenn man den Live Desktop nicht verwendet, dann werden die Daten nie unverschlüsselt auf einem Microsoft Server landen. Natürlich glaube ich einer Doku erst dann wenn ich es selber gesehen habe. Ich habe daher mal etwas an meiner Nic gehorcht…

Dabei bin ich auch gleich noch über ein anderes Feature von Live Mesh gestolpert. Sollen die Daten nämlich zwischen zwei Systemen gesynct werden, die sich erreichen können, dann wir die Übertragung P2P durchgeführt. Auch hier werden die Daten schön brav verschlüsselt. Live Mesh bzw. die Windows live Services dienen dann quasi nur als authentication broker für die beiden Systeme damit diese sich vertrauen können. Die 10 GB Testdaten auf meinen beiden Systemen haben sich somit über das 1 Gb Netz bei mir zuhause in wenigen Minuten gesynct. In diesem Fall mussten die Live Mesh Server noch nicht einmal als Relay her halten.

Entscheidet man sich dazu die Daten auch auf den Live Desktop zu syncen, so hat man aus Security Sicht ein Problem. Die Daten werden zwar weiterhin mit den o. g. Mechanismen verschlüsselt übertragen, in den Microsoft Rechenzentren liegen diese jedoch unverschlüsselt vor. Eine Möglichkeit die Daten mit einem eigenen Schlüssel zu sichern ist derzeit nicht implementiert (da das Produkt noch Beta Status hat, habe ich noch Hoffnung ). An der Stelle muss also jeder für sich entscheiden ob er bereit ist das Risiko einzugehen. Ich für meinen Teil verwende den Live Desktop nur für Daten die ich jedem der mich danach fragt auch so geben würde (z. B. Kochrezepte).

Wie bekomme ich Live Mesh

Das ist absolut einfach. (Man benötigt zuerst eine LiveID, wie für fast alle Microsoft Services) Die Anmeldung erfolgt in wenigen Schritten auf www.mesh.com. Danach bekommt man folgende Seite zusehen:

Über den Button “Add Devices” kann man wie der Name schon sagt ein neues Gerät in seine Gruppe aufnehmen. Der Dialog unterhalb des Buttons bietet auch direkt das richtige Installationspaket an. Es gibt noch keinen Win7 Client, der vorgeschlagene Vista Client funktioniert bei mir allerdings ganz gut. Nach der Installation taucht der soeben installierte Rechner als Bildschirm in der Übersicht auf (drei Stück sind bei mir schon zu sehen). Ist ein Rechner grau, so ist er derzeit nicht mit der cloud verbunden.

Wie füge ich Ordner zu meinem Live Mesh hinzu

Auch das hinzufügen von Ordnern ist recht einfach gehalten. Nach Installation des Clients findet man im Kontextmenü des Explorers eine weitere Option:

Nach einem Klick auf “Add folder to Live Mesh” erhält man diesen Dialog:

Hier kann man den Namen des Ordners (in Live Mesh) angeben. Zudem sollte man direkt einstellen auf welche Systeme die Daten gesynct werden sollen. Dies erreicht man durch einen Klick auf “Show synchronisation options”:

Per default werden ALLE Dateien mit dem Live Desktop gesynct – will man die Daten also nicht in der Wolke haben muss man dies bei jedem neuen Ordner ändern.

Wie Teile ich Dateien mit Freunden

Live Mesh bietet auch die Möglichkeit Dateien mit Freunden zu teilen. Öffnet man einen Ordner der über Live Mesh gesynct wird so öffnet sich gleichzeit daneben eine kleine Toolbox:

Ein Klick auf das Mänchen-Symbol öffnet den gesuchten Dialog:

Man sieht auf einen Blick wer bereits auf den Ordner berechtigt ist und kann mit “Invite” weitere Personen einladen. Es ist dabei selbstverständlich möglich verschiedene Rechte zu vergeben (z. B. nur lesen).

Fazit

Ich habe die Funktionen in der kurzen Testzeit schon sehr zu schätzen gelernt. Ich werde daher damit beginnen meine “richtigen” Daten zu syncen. Wie schon erwähnt werde ich jedoch den Live Desktop erst dann nutzen wenn ich die Möglichkeit habe die Daten auf den Microsoft Servern mit einem eigenen Schlüssel zu sichern.

Links & Quellen

• Mesh Webseite
• Bunte Aufstellung der Funktionen
• Behind Live Mesh: Authorization and encryption

Nachdem ich nun eine neue Wohnung in Deutschland habe stand ich auch wieder vor dem Problem, dass ich meinen Internetzugang neu “regeln” musste (die Router in UK basieren auf Annex A und Deutschland hat Annex B). Nach ausgiebigen Produktvergleichen waren zwei SoHo Router (mit Firewall) in meiner Endauswahl. Beide Modelle hätten jeweils etwas mehr als 300 € gekostet. Leider hätte ich selbst bei den 300 € Routern noch Abstriche im Funktionsumfang hinnehmen müssen. Daher habe ich mich auf die Suche nach einer bezahlbaren Alternative gemacht – und bin fündig geworden.

Astaro Firewalls (die Software) ist für Privatanwender für bis zu 50 IP’s frei (sollte reichen). Da mir das Produkt sowieso gut gefällt (hab ich schon in meinem Testlab im Einsatz) blieb nun also nur noch das Problem der Hardware. Die Firewall soll 24 / 7 laufen und somit möglichst wenig Strom brauchen – zudem wäre es nicht schlecht, wenn das Gerät möglichst leise / unhörbar ist.

Nach ausgiebigem Preisvergleichen habe ich mir folgende Teile (bei Atelco) bestellt:

• MSI IM-945GSE (lüfterloses Mainboard mit zwei NIC’s)
• 2GB Kingston SO-Dimm PC5300/667
• Samsung HM251JI (geht auch kleiner, war aber die günstigste von Samsung – und ich mag Samsung )
• JCP Mini-ITX Gehäuse, 60W ext. PSU, schwarz

Das ganze hat zusammen 321 Euro gekostet:

Die Installation der Software war in wenigen Minuten erledigt – da mir das Webinterface schon bekannt ist, war auch die Konfiguration kurz darauf abgeschlossen (auch Astaro Anfänger sollten das in sehr kurzer Zeit hin bekommen).

Das Beste ist, die Box braucht bei mir im normalen Betrieb nicht mal 20 W – und das obwohl ich hier nun eine absolut vollwertige Firewall stehen habe, die einem alles bietet was man so brauchen kann   – hören tut man von der Box natürlich auch nichts (hat ja keine Lüfter).

P. S. (1) Ich hatte zuhause noch eine Riser Card und NIC – die steuern jetzt meine DMZ an

P. S. (2) Zur Installation der Astaro muss zwingend ein CD Laufwerk angeschlossen werden – das sollte man also noch zuhause herum liegen haben.

Hi!

nach durchsicht meiner Serverlogfiles ist mir aufgefallen, dass noch immer eine recht große Anzahl an Besuchern mit veralteten Browsern durchs Netz surfen.  Um die Benutzer dafür zu sensibilisieren habe ich daher eine kleine und mehr oder minder unauffällige Warnmeldung für Benutzer eines IE6 und älter implementiert.

Eine entsprechende Meldung kann man recht einfach auf seiner Webseite platzieren. Es ist dafür nur notwendig direkt nach dem <body> – tag folgenden Code einzufügen:

<!--[if lte IE 6]>
<div style="padding: 4px; background: red none repeat scroll 0% 0%; color: #000000; width: 100%;">
ACHTUNG! Sie benutzen einen veralteten Internetbrowser. Dies stellt ein
<a href="http://www.security-blog.eu/2009/07/09/benutzer-mit-unsicheren-browsern-warnen/">Sicherheitsrisiko</a>
für Sie dar. Bitte aktualisieren Sie Ihren Browser: <a href="http://www.mozilla.com">Firefox</a>,
<a href="http://www.microsoft.com/germany/windows/internet-explorer/default.aspx">InternetExpolorer 8</a>
</div>
<![endif]-->

Mir ist bewußt, dass ich damit nur Benutzer von alten IEs anspreche und veraltete Opera, Firefox oder gar Netscape Nutzer nicht warne – eine entsprechend Umfängliche Warnung hätte jedoch einen deutlich aufwändigeren Code zur Folge und laut meinem Logfile sind Benutzer dieser Browser fast immer up2date…

Da ich in der Warnmeldung auch auf diesen Beitrag verlinke noch ein paar erklärende Worte warum es so wichtig ist einen aktuellen Browser zu Benutzen. Aktuelle Browser  unterstützen die gängigen Webstandards um welten besser als es die alten Browser getan haben (da spricht der Webmaster in mir). Selbstverständlich haben ältere Browser auch mit Sicherheitsproblemen zu kämpfen die abhängig von der Version durch die Hersteller auch nicht mehr gefixed werden. Bei vielen alten Browsern kann man sich durch reines aufrufen einer infizierten Webseite einen Virus bzw. einen Trojaner einfangen. Dies geschieht vollständig ohne das zutun des Benutzers und kann sogar auf sonst vertauenswürdigen Seiten durch manipulation selbiger (z. B. durch Werbenetzwerke) geschehen. Die Ausrede “ich passe auf” zählt hier also absolut nicht. Ach ja, die ganzen neuen Browser können auch Tab-Browsing und jeder der das mal hatte will es nicht mehr her geben.

Sollte also jemand diesen Beitrag hier mit einem alten Browser (z. B. IE6) lesen – schnell updaten! Hat man selber nicht die Möglichkeit, was in Unternehmen üblich ist, dann bitte den Administrator darauf hinweisen und ihn bitten den Browser auf eine sichere Version zu heben.

P. S. Ja, es ist ausdrücklich erlaubt den Code von oben zu kopieren und auf der eigenen Seite einzusetzen!

Seit kurzem steht Backtrack 4 in einer Pre Final Version zur Verfügung. Anlass genug die Installation auf einem USB Stick auszutesten. Das Vorgehen hat sich dabei trotz der Änderung der Basis nicht stark geändert. Um meinen USB Stick zu erstellen habe ich ein Backtrack 4 in eine VM gebootet (bei VMWare werden die USB Sticks durchgereicht).

Vorweg: Backtrack ist kein LiveLinux für Anfänger! Die Software bietet sehr viele Möglichkeiten Systeme und Netze auf Ihre Sicherheit zu prüfen – man sollte allerdings sehr genau wissen was man tut. Ich habe daher in meinem HowTo darauf verzichtet z. B. zu erklären wie man mit vi umgeht – wer daran scheitert sollt besser die Finger von BackTrack lassen

Anzeigen der vorhandenen Datenträger im System

fdisk -l

Aufruf des Diskmanagers

fdisk /dev/sdb

Löschen der vorhandenen Partitionstabelle und erstellen einer leeren (o)

Formatieren der ersten Partition mit vfat

mkfs.vfat -F 32 -n BT4 /dev/sdb1

Formatieren der zweiten Partition mit ext3

mkfs.ext3 -L casper-rw /dev/sdb2

Erstellen des Mountpoints und mounten der ersten Partition

mkdir /mnt/sdb1

mount /dev/sdb1 /mnt/sdb1

Kopieren der BT4 Daten vom CD auf die soeben gemountete Partition

rsync -avh /media/cdrom/ /mnt/sdb1

Info: Der Slash hinter cdrom ist wichtig. Sonst erhält man eine Fehlermeldung:

rsync: symlink "/mnt/sdb1/cdrom" -> "cdrom0" failed: Operation not permitted (1)"

Installieren des Bootloaders Grub

grub-install --no-floppy --root-directory=/mnt/sdb1 /dev/sdb

Bootmenü anpassen

vi /mnt/sdb1/boot/grub/menu.list

Den default Booteintrag auf 5 ändern (zudem würde ich das splashimage raus löschen – sonst erkennt man die ausgewählten Einträge im Bootmenü nur schwer…):

Im 5. Eintrag den Rechtschreibfehler in der Überschrift fixen und vga=0×317 in der kernel Zeile hinzufügen:

Nun muß der USB Stick nur noch geunmountet werden:

umount /dev/sdb1

… und fertig.

Um ein Windows Server lokal oder von remote prüfen zu können ist es i. d. R. notwendig einige Informationen zum Betriebssystem abzufragen. Ich habe über die letzten Jahre ein paar nützliche Befehle zusammen getragen und hoffe, dass Sie noch jemandem anderen helfen:

Alle Benutzer aus einem AD Auslesen:

dsquery user -d fragmichnicht.de -uc -limit 0 -o upn > c:\users.txt

Patchlevel lokal auslesen

wmic /output:c:\0010_patchlevel.html qfe list full /format:hform

Patchlevel remote auslesen

wmic /node:127.0.0.1,127.0.0.2,127.0.0.3 /output:c:\0010_patchlevel.html qfe list full /format:hform

Prozesse lokal auslesen

wmic /output:c:\0020_process.html process list full /format:hform

Prozesse remote auslesen

wmic /node:127.0.0.1 /output:c:\0020_process.html process list full /format:hform

Autostart lokal auslesen

wmic /output:c:\0030_autostart.html startup list full /format:hform

Autostart remote auslesen

wmic /node:127.0.0.1 /output:c:\0030_autostart.html startup list full /format:hform

Hardware lokal auslesen

wmic /output:c:\0040_cpu.html cpu list full /format:hform

wmic /output:c:\0050_os.html os list full /format:hform

wmic /output:c:\0060_computersystem.html computersystem list full /format:hform

wmic /output:c:\0070_logicaldisk.html logicaldisk list full /format:hform

wmic /output:c:\0080_csproduct.html csproduct list full /format:hform

Hardware remote auslesen

wmic /node:127.0.0.1 /output:c:\0040_cpu.html cpu list full /format:hform

wmic /node:127.0.0.1 /output:c:\0050_os.html os list full /format:hform

wmic /node:127.0.0.1 /output:c:\0060_computersystem.html computersystem list full /format:hform

wmic /node:127.0.0.1 /output:c:\0070_logicaldisk.html logicaldisk list full /format:hform

wmic /node:127.0.0.1 /output:c:\0080_csproduct.html csproduct list full /format:hform

Lokale Benutzer anzeigen

net user

Loakle Gruppen anzeigen

net localgroup

Mitglieder von bestimmten Gruppen anzeigen

net localgroup administrators

Laufende Services anzeigen

net start

Netzwerkverbindungen

netstat -nao