Grundsätzlich bin ich ein sehr misstrauischer Mensch wenn es um Cloud-Computing geht und ganz besonders wenn meine persönlichen Daten in so einer Wolke liegen sollen. Daniel Melanchthon hat mich jedoch bei ein zwei Kaltgetränken davon überzeugt, dass ich mir das ganze zumindest mal anschauen sollte.

Was ist Live Mesh

Um alle die noch nichts davon gehört haben kurz abzuholen fange ich mit einer (unvollständigen) Beschreibung des Dienstes an. Live Mesh ist ein (Beta) Cloud Service von Microsoft. Der Service soll seinen Benutzer ermöglichen Daten auf verschiedenen Geräten zu syncen. Derzeit werden Windows Mobile Geräte, Windows Desktops (+Server), und MacOS unterstützt. Zudem wird ein Online Desktop zur Verfügung gestellt auf welchen man derzeit bis zu 5 GB seiner Daten Syncen kann. Es ist außerdem möglich Ordner mit Freunden zu sharen und man kann über das Internet eine Art RDP Session auf seinen Desktop (zuhause) aufbauen.

Warum benutze ich es

Ich besitze eine ganze Reihe von Rechnen die ich in verschiedenen Situationen brauche. Nicht selten habe ich dabei das Problem, dass genau die benötigte Datei nicht oder in einer veralteten Version auf meinem gerade mitgeführten Gerät liegt. Auch das gemeinsame verwalten von Dateien mit Freunden ist für mich eine sehr nette Funktion – gerade wenn man gemeinsam an einem Projekt arbeitet.

Wie sicher ist Live Mesh

Das war für mich natürlich die erste und wichtigste Frage die es zu klären gibt. Ich habe mich daher ein wenig in die Dokumentation von Live Mesh eingelesen und war recht angetan davon. Laut Dokumentation werden alle Verbindungen beim Aufbau über eine asymmetrische Verschlüsselung (RSA Algorithmus) gesicherten um dann einen symmetrischen (128 bit AES) Schlüssel zur Datenübertragung auszutauschen. Die Kommunikation wird dabei über Port 443 abgewickelt. Die Verschlüsselung der Daten erfolgt dabei end to end. Das heißt, wenn man den Live Desktop nicht verwendet, dann werden die Daten nie unverschlüsselt auf einem Microsoft Server landen. Natürlich glaube ich einer Doku erst dann wenn ich es selber gesehen habe. Ich habe daher mal etwas an meiner Nic gehorcht…

Dabei bin ich auch gleich noch über ein anderes Feature von Live Mesh gestolpert. Sollen die Daten nämlich zwischen zwei Systemen gesynct werden, die sich erreichen können, dann wir die Übertragung P2P durchgeführt. Auch hier werden die Daten schön brav verschlüsselt. Live Mesh bzw. die Windows live Services dienen dann quasi nur als authentication broker für die beiden Systeme damit diese sich vertrauen können. Die 10 GB Testdaten auf meinen beiden Systemen haben sich somit über das 1 Gb Netz bei mir zuhause in wenigen Minuten gesynct. In diesem Fall mussten die Live Mesh Server noch nicht einmal als Relay her halten.

Entscheidet man sich dazu die Daten auch auf den Live Desktop zu syncen, so hat man aus Security Sicht ein Problem. Die Daten werden zwar weiterhin mit den o. g. Mechanismen verschlüsselt übertragen, in den Microsoft Rechenzentren liegen diese jedoch unverschlüsselt vor. Eine Möglichkeit die Daten mit einem eigenen Schlüssel zu sichern ist derzeit nicht implementiert (da das Produkt noch Beta Status hat, habe ich noch Hoffnung ). An der Stelle muss also jeder für sich entscheiden ob er bereit ist das Risiko einzugehen. Ich für meinen Teil verwende den Live Desktop nur für Daten die ich jedem der mich danach fragt auch so geben würde (z. B. Kochrezepte).

Wie bekomme ich Live Mesh

Das ist absolut einfach. (Man benötigt zuerst eine LiveID, wie für fast alle Microsoft Services) Die Anmeldung erfolgt in wenigen Schritten auf www.mesh.com. Danach bekommt man folgende Seite zusehen:

Über den Button “Add Devices” kann man wie der Name schon sagt ein neues Gerät in seine Gruppe aufnehmen. Der Dialog unterhalb des Buttons bietet auch direkt das richtige Installationspaket an. Es gibt noch keinen Win7 Client, der vorgeschlagene Vista Client funktioniert bei mir allerdings ganz gut. Nach der Installation taucht der soeben installierte Rechner als Bildschirm in der Übersicht auf (drei Stück sind bei mir schon zu sehen). Ist ein Rechner grau, so ist er derzeit nicht mit der cloud verbunden.

Wie füge ich Ordner zu meinem Live Mesh hinzu

Auch das hinzufügen von Ordnern ist recht einfach gehalten. Nach Installation des Clients findet man im Kontextmenü des Explorers eine weitere Option:

Nach einem Klick auf “Add folder to Live Mesh” erhält man diesen Dialog:

Hier kann man den Namen des Ordners (in Live Mesh) angeben. Zudem sollte man direkt einstellen auf welche Systeme die Daten gesynct werden sollen. Dies erreicht man durch einen Klick auf “Show synchronisation options”:

Per default werden ALLE Dateien mit dem Live Desktop gesynct – will man die Daten also nicht in der Wolke haben muss man dies bei jedem neuen Ordner ändern.

Wie Teile ich Dateien mit Freunden

Live Mesh bietet auch die Möglichkeit Dateien mit Freunden zu teilen. Öffnet man einen Ordner der über Live Mesh gesynct wird so öffnet sich gleichzeit daneben eine kleine Toolbox:

Ein Klick auf das Mänchen-Symbol öffnet den gesuchten Dialog:

Man sieht auf einen Blick wer bereits auf den Ordner berechtigt ist und kann mit “Invite” weitere Personen einladen. Es ist dabei selbstverständlich möglich verschiedene Rechte zu vergeben (z. B. nur lesen).

Fazit

Ich habe die Funktionen in der kurzen Testzeit schon sehr zu schätzen gelernt. Ich werde daher damit beginnen meine “richtigen” Daten zu syncen. Wie schon erwähnt werde ich jedoch den Live Desktop erst dann nutzen wenn ich die Möglichkeit habe die Daten auf den Microsoft Servern mit einem eigenen Schlüssel zu sichern.

Links & Quellen

• Mesh Webseite
• Bunte Aufstellung der Funktionen
• Behind Live Mesh: Authorization and encryption

In diesem Artikel beschreibe ich die folgenden drei Aktionen:

1. Modifizieren des IIS damit dieser das Self Service Portal als einzige Seite bereit stellt
2. Aktivieren des SSL gesicherten Zugang zum Portal
3. Aktivieren der Windowsintegrierten Authentifizierung

IIS modifizieren

Bei der Installation des Self Service Portals für den SCVMM erhält man auf einem System welches Bereits einen vorinstallierten IIS am laufen hat die Fehlermeldung “Web site Default Web Site has the same address binding as the specified port. (ID: 337)…)

Die Lösung des Problems ist recht einfach. Man startet dazu den Internet Information Service (IIS) Manager (Start und dann den Namen in die Suchbox eintragen). In dem sich öffnenden Fenster erweitert man den Baum auf der linken Seite und entfernt einfach die Default Site.

SSL Zugang aktivieren

In der Standardkonfiguration liefert der IIS / das SCVMM Self Service Portal die Zugangsseite nur in klartext aus (http). Um die Datenübertragung zu verschlüsseln sind nur einige wenige Schritte notwendig. Sie brauchen dafür wieder den IIS Manager.

Klicken Sie im linken Baum auf den Namen Ihres Webservers und wählen Sie dann auf der rechten Seite “Server Certificates” aus.

Auf der folgenden Seite haben Sie nun die Möglichkeit festzulegen was für ein Zertifikat Sie für die SSL Übertragung beantragen wollen. Gibt es in Ihrer Infrastruktur bereits eine Unternehmnes-CA oder beziehen Sie Ihre Zertifikate von einer externen CA so können Sie ganz einfach einen Certificate Request (CR) erstellen und dort einreichen. Besitzen Sie noch keine CA so können sie ein selbst signiertes Zertifikat erstellen (die ersten beiden Varianten sind aber zu bevorzugen).

Ich erstelle hier mal ein selbst signiertes Zertifikat (geht am schnellsten )

Nachdem das Zertifikat erfolgreich ausgestellt wurde kann man es für die “Site” aktivieren. Dazu klickt man im Baum auf der linken Siete mit der rechten Maustaste auf die Site “Microsoft System Center Virtual Machine Manager…” und wählt dort “Edit Binding”.

In dem sich öffnenden Fenster sieht man, dass derzeit nur eine Bindung zu http besteht. Wir wählen also “Add”.

Im letzen Schritt wählen wir als Type “https” und unter “SSL certificate” das soeben ausgestellte Zertifikat.

Nachdem alle Fenster mit OK bestätigt wurden sollten das SCVMM – Self Service Portal auch SSL verschlüssel geöffnet werden können. Will man sicher gehen, dass die Benutzer die Seite nur via https ansurfen (ist zu empfehlen), so öffnet man wieder die Bindingeigenschaften der Site und entfernt “http”.

Windowsintegrierte Authentifizierung

Leider läßt auch der Standard für die Authentifizierung bei den meisten IIS Installation ein paar Wünsche offen (man muß sich jedes mal mit Benutzername und Passwort anmelden). Um das zu ändern ist es notwendig die IIS Funktion (Role Service) “Windows Authentication” zu installieren. Ist dies noch nicht der Fall öffnet man einfach den Server Manager und wählt die Funktion durch einen Klick auf “Add Role Service” hinzu (an der Stelle müssen Sie ggf. den IIS neu starten).

Klicken Sie nun in der Baumstruktur auf der rechten Seite wieder auf die Portal Site und wählen Sie “Authentication”.

In der sich öffnenden Übersicht sollen Sie alle Authentifizierungsmöglichkeiten mit Ausnahme von “Windows Authentification” deaktivieren.

Ich installiere gerade mein Heimnetzwerk und war deshalb auf der Suche nach der besten Steckdose für meinen Powerline Adapter (die Dose direkt am Fernseher war leider nicht gut genug um Filme zu streamen). Um die Messung vornehmen zu können war ich also auf der Suche nach einem Tool um den Netzwerkdurchsatz zu messen ohne dabei durch Festplatten etc. behindert zu werden. Zwei Tools haben es dabei auf meine Liste geschaft:

IPERF: Empfehlung von heise – leider gibts das Tool nur als source pakage. Es ’soll’ zwar unter Windows möglich sein das ganze zu kompilieren leider kann ich das bis jetzt nicht bestätigen.

NETIO: Dieses Tool kommt schon kompiliert für Windows und Linux – der Einsatz ist sehr einfach und das tool liefert genau was ich brauche.

Zuerst braucht man einen “Server” also einen bliebigen PC auf einer Seite der Teststellung. Auf diesem startet man N’ETION mit folgendem Befehl:

win32-i386.exe -s -t

Auf der Client Seite startet man den Test mit:

win32-i386.exe -t <SERVER-IP>

Das Ergebnis sieht dann so aus:

Hi,

ich bin seit Tagen auf der Suche nach einer weiteren USV um meinen etwas erweiterten Gerätepark vollständig puffern zu können. Da ich im Fall eines Stromausfalles gerne mehrere angeschlossene Syteme gleichzeitig ausschalten lassen würde, sollte die USV irgendwie übers Netzwerk mit meinen Servern sprechen können. Leider wird es genau an dem Punkt echt schwer (oder ich bin zu blöd die Webseiten der ganzen großen Hersteller zu bediehnen…). Es werden zwar auf fast allen Seiten Bedarfsrechner etc. angeboten, jedoch bietet keiner die Möglichkeit Netzwerkfähigkeit als Kriterium auszuwählen. Auf der einzigen Seite auf der ich etwas in die Richtung finden konnte (zumindest laut dem Link) scheint es die Seite nicht mehr zu geben

Kann mir jemand vielleicht ein gutes und bezahlbares Produkt empfehlen welches zum einen netzwerkfähig ist und zum anderen zwischen 1000 und 1500 VA Ausgangsleistung bietet?

Nachdem ich nun eine neue Wohnung in Deutschland habe stand ich auch wieder vor dem Problem, dass ich meinen Internetzugang neu “regeln” musste (die Router in UK basieren auf Annex A und Deutschland hat Annex B). Nach ausgiebigen Produktvergleichen waren zwei SoHo Router (mit Firewall) in meiner Endauswahl. Beide Modelle hätten jeweils etwas mehr als 300 € gekostet. Leider hätte ich selbst bei den 300 € Routern noch Abstriche im Funktionsumfang hinnehmen müssen. Daher habe ich mich auf die Suche nach einer bezahlbaren Alternative gemacht – und bin fündig geworden.

Astaro Firewalls (die Software) ist für Privatanwender für bis zu 50 IP’s frei (sollte reichen). Da mir das Produkt sowieso gut gefällt (hab ich schon in meinem Testlab im Einsatz) blieb nun also nur noch das Problem der Hardware. Die Firewall soll 24 / 7 laufen und somit möglichst wenig Strom brauchen – zudem wäre es nicht schlecht, wenn das Gerät möglichst leise / unhörbar ist.

Nach ausgiebigem Preisvergleichen habe ich mir folgende Teile (bei Atelco) bestellt:

• MSI IM-945GSE (lüfterloses Mainboard mit zwei NIC’s)
• 2GB Kingston SO-Dimm PC5300/667
• Samsung HM251JI (geht auch kleiner, war aber die günstigste von Samsung – und ich mag Samsung )
• JCP Mini-ITX Gehäuse, 60W ext. PSU, schwarz

Das ganze hat zusammen 321 Euro gekostet:

Die Installation der Software war in wenigen Minuten erledigt – da mir das Webinterface schon bekannt ist, war auch die Konfiguration kurz darauf abgeschlossen (auch Astaro Anfänger sollten das in sehr kurzer Zeit hin bekommen).

Das Beste ist, die Box braucht bei mir im normalen Betrieb nicht mal 20 W – und das obwohl ich hier nun eine absolut vollwertige Firewall stehen habe, die einem alles bietet was man so brauchen kann   – hören tut man von der Box natürlich auch nichts (hat ja keine Lüfter).

P. S. (1) Ich hatte zuhause noch eine Riser Card und NIC – die steuern jetzt meine DMZ an

P. S. (2) Zur Installation der Astaro muss zwingend ein CD Laufwerk angeschlossen werden – das sollte man also noch zuhause herum liegen haben.