IPv6-Adressen

I.) der Adressbereich

Adressbereich von IPv4: 32 Bit => 2³² Adressen (abzügl. Broadcast, Netzwerkadresse etc.), entspricht ca. 4 Milliarden Adressen

Adressbereich von IPv6: 128 Bit => 2¹²⁸ Adressen
in der Theorie: „viermal so lang wie IPv4“ => 340 mit 36 Nullen: genug, „um jedem Sandkorn der Erde mehrere IPv6-Adressen zuzweisen; jeder Quadratmeter der Erde könnte 655 Trilliarden IPv6-Adressen erhalten
in der Praxis: das Präfix bei IPv6 beträgt grundsätzlich /64, der linke Teil (das Präfix) ist der Netzanteil und nur der rechte Teil, die zweiten 64 Bits, gehören den Hosts

„IPv6-Adressen“ weiterlesen

Netzwerk-Sicherheit

I.) Physische Sicherheit
– Zugangskontrolle: unberechtigter Zugang zum Raum (Schließsysteme, biometrische Zugangskontrolle, separate Server-Räume)
– physischer Zugriff zum System: Abschließbare Serverschränke, Abschließbare Etagenverteilerschränke, Gehäuseverschluß, Kensington-Schloß
– Klima/Umwelt: Temperatur, Feuchtigkeit, Staub und Dreck (Klima-Anlage, Umgebungskontrollen, Reinigung)
– Zugriff auf Netzwerk: Netzwerkkabel schützen (keine offenen Stellen, Unterboden-Verlegung, verdeckte Schächte), Netzwerkdosen nur belegen, wenn notwendig

II.) Fehlertoleranz
=> „Zentrale Systeme im Netzwerk ausfallsicher halten“
Fehlertoleranz bedeutet, dass ein System seine Funktion aufrecht erhalten kann, auch wenn Teile davon ausfallen. Sicherstellen durch:
– Redundante Komponenten (Netzteile, Lüfter, NICs, Steuerungskomponenten, Speicher, Festplatten etc.)
– software-seitige Mechanismen (RAID, redundante Datenablage)

„Netzwerk-Sicherheit“ weiterlesen

Remote Access

Port-Forwarding

  • Port-Forwarding: Destination-NAT (Network Address Translation; ggf. mit PAT, Port Address Translation) und dem eigenen Router als Zieladresse der Kommunikation
  • typischer Einsatz, eher im Home-Office und Small-Office: externe Verbindung aus dem Internet auf einen Port des Routers, um einen internen Serverdienst anzusprechen. Vorsicht! Oft wird der interne Server in Konfigurationen als „virtueller Server“ bezeichnet
  • im Normalfall ist Port-Forwarding statisch und verweist von einer festen oder DynDNS-Adresse unter einem festgelegten Port oder einer Port-Range auf einen Port oder eine Port-Range unter einer festen internen Adresse

„Remote Access“ weiterlesen

Corona-Virus und Remote Access

Wo wäre die Gesellschaft jetzt ohne Computer und Vernetzung? Eine Pandemie wie Corona lässt sich dank der IT-Entwicklung gut überstehen. Es stellt sich nicht die Frage, wie das, was jetzt ausgegeben wird, wieder „erwirtschaftet“ und „zurück gezahlt“ werden kann. Dank uns gibt es Automaten, die dem Menschen in der großen Menge Arbeit abnehmen, dass wir nicht mehr hin müssen. Und auch der CO2-Ausstoß braucht keinen Flugverkehr: das leisten die Serverfarmen ganz alleine.

Ob die Vielzahl der treuen, deutschelnden Vasallen mit der Krise, die jetzt erst beginnt, zurecht kommt und ob wir es innerhalb einer Generation lernen, die festgefahrenen Pfade des letzten, grausigen Jahrhunderts zu verlassen und uns der Umwelt wieder etwas bewußt zu werden und anzupassen?

Oder bleibt der Fokus auch weiterhin, die Produktionszahlen spätestens im vierten Quartal nicht nur wieder hochgefahren zu haben auf den „Stand von zuvor“ sondern sogar noch planmäßig zu steigern?

Die Erinnerung an ein System der planmäßigen Steigerung, dass von unserem einstigen, einverleibten Bruderstaat und dessen riesigen, ebenso zerfallenen Väterchen auch schon auf Herz und Nieren getestet wurde, scheint ebenso wenig zu helfen wie die jedem jetzt deutlich offenbarte und durch die Pandemie noch stark zunehmende Spaltung unserer kleinen, mitteleuropäischen Gesellschaft, in der großen europäischen Gemeinschaft, die sich genauso spaltet. Alles ganz im Dienst von Umwelt und Menschlichkeit, Intelligenz und Bewußtsein: möge der Bessere gewinnen.

Remote Access ist der Zugriff auf ein System von einem entfernten Ort aus, zur Sammlung, Übergabe und Aufbereitung von Kommunikation, zur Schöpfung, Steuerung und Koordination von Prozessen.

Marionettenregierung ist so ein System.

Kant plädierte 1784 für die Selbstbestimmung und Eigenverantwortung (Mündigkeit).

Die schützende Mauer (II)

Techniken der Netzwerk-Firewalls (als Software-Feature, Standalone-Software oder Hardware-Appliance):

  • Netzwerk-Ebene (Layer 1-4): ACL, Paketfilter, Stateful Inspection
  • Applikations-Ebene (Layer 5-7): Deep Inspection, Proxy, Content-Filter, Application Layer Gateway
  • im Vergleich zu Personal-Firewalls können Netzwerk-Firewalls  die Kommunikation von oder zu bestimmten Prozessen nicht filtern; Prozesse laufen auf dem jeweiligen Endgerät!

Paketfilter-Firewalls und ACLs (Access Control Lists):

  • basieren auf der einfachsten Firewall-Technologie
  • Filterung bis Layer 4 (Transport-Layer, IP tcp und IP udp)
  • ACLs implementieren die Regeln zur Paketfilterung und werden angewiesen auf:
    – ein Interface
    – „eingehend“ (INPUT), „durchleitend“ (FORWARD) oder „ausgehend“ (OUTPUT)
    – Quell- und Zieladresse
    – Ports („indirekte Filterung“ auf die Anwendungen, Layer 5-7)
    – spezielle Kriterien (z.B. ICMP-Typ, z.B.: ECHO-REPLY, ECHO-REQUEST … oder gesetzte Flags bei TCP, z.B.: SYN, ACK, PUSH, RESET …)
  • die Policy (Grundregel) einer Firewall legt fest, wie mit einem Paket verfahren wird, auf das keine Regel zutrifft (z.B. DEFAULT DROP)
  • ACLs können daneben auch „Interesting Traffic“ ausfiltern und z.B. VPN oder NAT zuweisen. Das sind keine „Firewall-Funktionen“, sondern „Weichen“ in der Firewall (z.B. welche Pakete sollen in einen VPN-Tunnel geroutet werden oder welche Pakete geNATed werden sollen)
  • jedes Paket wird einzeln (auch Hin- und Rückweg!) auf das Regelwerk TOP-DOWN geprüft: Ausnahme-Regeln und Spezialfälle müssen deswegen über die Standard-Regeln gestellt werden (z.B. Ausnahmen für eine oder wenige IP-Adressen im Kontext der Regeln für das gesamte Subnetz)

„Die schützende Mauer (II)“ weiterlesen

Die schützende Mauer (I)

Eine Netzwerk-Firewall – egal welcher Herkunft – ist nur so gut wie der Fachmann, der davor sitzt und sie „firmenindividuell“ konfiguriert.

So eine Firewall kann je nach interner Subnetz-Bildung und eigener unternehmerischer Qualität nicht nur in der Anschaffung, sondern auch bezüglich der jährlichen Kosten ganz schön ins Geld gehen. Dennoch: ganz alleine macht weder eine kommerzielle Sophos alles richtig, noch eine Fortigate oder eine Cisco. Hersteller-gebundene Hardware-Appliances bieten dem externen Betreuer zur Konfiguration und Wartung eine öffentlich erreichbare Plattform beim Hersteller, um alle Firewalls, die bei Kunden aufgestellt wurden, zentral verwalten zu können.

Aus eigener Erfahrung habe ich gelernt, dass auf die Firewalls in der Ferne jedoch nur dann ein Auge geworfen wird, wenn der Kunde sich dazu meldet, Wartungsvertrag hin oder her. Zentralisierte Wolken sind immer ein lohnendes Angriffsziel, wie auch die mittlerweile auf Internet-Plattformen veröffentlichten Zutrittskontrollen für Fenster, Türen und Toren zu Firmengebäuden. Und beim Angreifer reden wir nicht vom pickeligen, antisozialen Bleichgesicht im Hinterzimmer sowohl seiner Eltern als auch ihrer Vorstellung – wir reden von Staaten, die hochqualifiziertes Fachpersonal zahlen, um anderen die Suppe zu versalzen: dagegen gibt es kein „Atom-Abkommen“, keine Weltpolizei und keine Großmacht. Wer weiß also, wer Ihren Netzwerk-Verkehr jetzt schon mitliest, anstelle des Betreuers und wer nächtlich in Ihrer Firma ein und aus geht, neben den Mitarbeitern mit RFID-Chip am Schlüsselbund?

Ebenso aus eigener, langjähriger Erfahrung weiß ich, dass Gespräche mit den an jeder Ecke im Dutzend lauernden Verkäufern sehr lange und sehr häufig stattfinden und immer eine bunte Welt voller Möglichkeiten hinterlassen. Gespräche mit den immer rarer werdenden, kompetenten und engagierten Technikern werden im Vergleich dazu ebenso kurz gehalten wie deren Zeitspanne zur individuellen Implementation und sinnvollen Konfiguration auch des teuersten Equipments. Psychologen erklären das mit einem Schichten-Modell: man versteht sich einfach besser unter seinesgleichen, ob das nun gemeinsamer, guturaler Gesang oder das Gespräch mit dem steten Anklang lauer Lüftchen wedelnder Geldscheine ist. Beste Zeiten für Hacker und andere Fachleute, schlechte Voraussetzungen für Bahnhöfe und Flugplätze, außerdem eine einschneidendere Zäsur als der nächste Corona-Virus in der Entwicklung der Menscheit.

Die freien Firewall-Lösungen stehen den Lösungen des „IT-Channels“ in den vielzähligen Schutzfunktionen sowohl auf dem Netzwerk- als auch auf dem Appliance-Level in nichts nach, im Gegenteil. Eine Klickibunti-Administrierbarkeit wurde dabei in den vergangenen zwei Jahrzehnten parallel zu jener in den mehrere tausend Euro pro Jahr teuren Lösungen ebenso ausgebaut wie eine modulare Erweiterbarkeit. Aus ihrer Natur heraus legen OpenSource-Lösungen ihren Fokus nicht darauf, den Benutzer möglichst in ein proprietäres Korsett zu schnüren: den Kampf mit abgelaufenen Lizenzen oder inkompatiblen VPN-Verbindungen überlassen sie den kommerziellen Lösungen. Frei denkende Programmierer konzentrieren sich auf „KI“, wo sie vom Benutzer gebraucht wird. Wieso „KI“ gerade bei uns in Deutschland gerne mit „Kommerziellem Interesse“ falsch interpretiert wird, muss an unserer Historie liegen.

Quellen u.a.:

Netzwerk-Troubleshooting

mit Methodik (nicht kreuz & quer, sondern mit Plan) und Intuition:

  • Divide and Conquer
    – Prinzip des optimalen Zahlenratens: in der Mitte anfangen, nach oben oder nach unten korrigieren („agile Wegfindung“); ausgehend von der Mitte entscheidet man, ob es sich um ein Netzwerk- oder Anwendungsproblem handelt
    – beginnend in der Mitte des OSI-Modells, Test der Netzwerkebene (Layer 3), z.B. mit Ping
    – dann je nach Ergebnis schichtweise nach unten (Data Link Layer, Physical Layer) oder nach oben (Transport Layer, Application Layer) vorarbeiten
  • Follow the Path
    – dem Weg der Kommunikation von Quelle zum Ziel folgen
    – wird eingesetzt, wenn ausgeschlossen werden kann, dass der Fehler auf den Kommunikations-Endpunkten (Server, Client) liegt
  • Spot the differences
    – Vergleich SOLL-IST-Zustand
    – Vergleich mit verschiedenen, alternierenden Konfigurationen
  • Top-Down
    vom OSI-Modell ausgehend wird versucht, zunächst ein Problem in der Anwendungsschicht (Application Layer 5 bis 7) auszuschließen und sich weiter von oben nach unten zu arbeiten
  • Bottom-Up
    wie Top-Down, nur vom Physical Layer 1 hochwärts

„Netzwerk-Troubleshooting“ weiterlesen

Stahl ist nicht gleich Stahl

Im Hochofen wird flüssiges Roheisen hergestellt. Dieses wurde damals, in der anfänglich schlechten Qualität in Hochöfen als „pig iron“ bezeichnet, durch Optimierung des Hochofenprozesses hat sich der Begriff „hot metal“ für Roheisen durchgesetzt.

Dabei wird dem Roheisen mit Kohlenstoff der Sauerstoff entzogen. Als Nebenprodukt entsteht Schlacke, die abgetrennt werden muss. Das flüssige Roheisen ist ein Vorprodukt der Rohstahlerzeugung, das einen Kohlenstoffgehalt von 4,7 % hat. Roheisen ist deswegen brüchig und nicht verformbar. Stahl ist im Gegensatz dazu umformbar. Diese Eigenschaft entsteht durch „Frischen“, das Aufblasen von Sauerstoff auf das flüssige Roheisen. Dadurch wird der Kohlenstoff verbrannt, es entsteht flüssiger Stahl. Beim Stahl ist der im Roheisen enthaltene Kohlenstoff je nach Stahlsorte auf Werte von unter 2 % heraus gefrischt worden.

Rohstahl:
Rohstahl ist das behandelte und legierte Stahlerzeugnis. Es besitzt die für die Weiterverarbeitung erforderlichen Stahleigenschaften. Für weitere Produktionsprozesse in der Umformtechnik wird der Stahl im Strang-oder Blockguss vergossen und verfestigt.

Walzstahl:
Walzstahl ist ein Fertigerzeugnis der Stahlindustrie, das durch Umformen (Walzen) und Temperaturbehandlung auf die vom Verwender gewünschten Eigenschaften gebracht wird. Walzstahl ist das Rohmaterial für die Stahl verarbeitende Industrie.

Qualitätsstahl:
Unlegierte Qualitätsstähle sind Stahlsorten, für die in den meisten Fällen bestimmte Anforderungen gelten (wie Zähigkeit, Korngröße oder Umformbarkeit), die aber nicht den Merkmalen unlegierter Edelstähle entsprechen. Der Kohlenstoffgehalt beträgt 0,2 bis 0,65 %.

Blankstahl:
Blankstahl zeichnet sich dadurch aus, dass er durch Entzunderung und spanlose Kaltumformung oder durch spanabhebende Bearbeitung eine ebene, glatte Oberfläche und eine bessere Bearbeitungsfähigkeit bietet.

Automatenstahl:
Automatenstahl ist ein Stahl, der für die spanenden Fertigungsverfahren Drehen und Bohren (ununterbrochener Schnitt) auf automatisierten Werkzeugmaschinen optimiert ist. Durch Legieren mit Phosphor oder Schwefel bilden sich spröde Einschlüsse, an denen die Späne brechen können.

Merkblatt zum Stahl FAQ (Quelle: Stahl-Zentrum, Düsseldorf)

 

Gewohnheitstierliebe

Der Mensch gewöhnt sich an allem, auch am Dativ.

Und an schlechte IT. Ebenso auch daran, seine Daten in fremde Hände zu geben.

Für die ITler ist mit Corona endgültig die goldene Zeit angebrochen: 1st-Level-Support 160,- Euro netto die Stunde. Zwei davon werden gebraucht zur Installation eines Acrobat Reader DC auf gerade mal acht Client-Systemen in einem remote Citrix-framework.

Wir hatten mal eine lokale Windows-Domäne bis 2014. Beim Rollout solcher Software-Pakete im schlecht abgekupferten Linux-Stil per Gruppenrichtlinie, inklusive Download des *.msi-Paketes hat mich die Richtlinien-Erweiterung oder -Korrektur bestimmt auch mal eine gemütliche halbe Stunde gekostet.

Dennoch kenne ich die Problematik: der Kampf mit Windmühlen und ständig den Berg wieder zurück rollenden Steinen kostet viel porfessionelle psychische Betreuung.