Tag Archives: netzwerk

Nameserver Probleme bei der Telekom?

Posted on by

Seit einigen Tagen musste ich feststellen, dass mein Internet-Anschluss extrem langsam reagiert. Zuerst dachte ich an ein lokales Problem mit meinem Router, DNS-Cache oder ähnlichem. Doch vermehrt habe ich diese Aussage auch von anderen bekommen. Seiten mit vielen externen Inhalten, also vielen DNS-Anfragen waren sind langsam. Gestern habe ich etwas mit Firestats gespielt und dafür eine neue Subdomain unter anb-networkz.net angelegt. Gestern hat alles sauber funktioniert und Anfragen waren einigermaßen schnell. Als ich heute Morgen  Firestats erneut aufrufen wollte, meldete mein Browser „Seite nicht gefunden“.  Daraufhin habe ich eine Konsole geöffnet und per nslookup versucht die Domain aufzulösen. Antwort des Servers „DNS request timed out“. Also nichts. Ein Webbasierendes nslookup über network-tools.com/nslook/ konnte die Domain jedoch problemlos auflösen. Also habe ich nun einige DNS-Server der Telekom direkt angesprochen, überall dasselbe Ergebnis. Entweder Timeout oder „Server failed“.

Hier einige Tests mit nslookup. Zwischen den tests lagen ca. 5 Minuten.
1. Versuch mit resolv-F (gescheitert)

> firestats.anb-networkz.net
Server: resolv-F.DTAG.DE
Address: 194.25.0.68
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an resolv-F.DTAG.DE

2. Versuch mit resolv-F (gescheitert)

> firestats.anb-networkz.net
Server: resolv-F.DTAG.DE
Address: 194.25.0.68
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an resolv-F.DTAG.DE

3. Versuch mit resolv-L (gescheitert)

> firestats.anb-networkz.net
Server: resolv-L.DTAG.DE
Address: 194.25.0.52
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an resolv-L.DTAG.DE

4. Versuch mit resolv-L (erfolgreich)

> firestats.anb-networkz.net
Server: resolv-L.DTAG.DE
Address: 194.25.0.52
Nicht autorisierte Antwort:
Name: firestats.anb-networkz.net
Address: 85.13.134.22

5. Versuch mit resolv-F (gescheitert)

> firestats.anb-networkz.net
Server: resolv-F.DTAG.DE
Address: 194.25.0.68
*** firestats.anb-networkz.net wurde von resolv-F.DTAG.DE nicht gefunden: Server
failed

6. Versuch erneut mit resolv-F (erfolgreich)

> firestats.anb-networkz.net
Server: resolv-F.DTAG.DE
Address: 194.25.0.68
Nicht autorisierte Antwort:
Name: firestats.anb-networkz.net
Address: 85.13.134.22

Wenn ein Nameserver eine Anfrage erst nach 3 Versuchen und 15 Minuten beantworten kann, liegt definitiv ein Problem vor. Bleibt abzuwarten ob wir jemals die Ursachen erfahren.

Seltsame Dinge bei google

Posted on by

Scheinbar hat google im Moment etwas Probleme mit seinen Safebrowsing Filtern. Diese sollen normalerweise den Anwender vor schädlichen Webseiten schützen. Erst dachte ich an ein Problem im Firefox, im Internet Explorer passieren aber ähnliche Dinge. Jeder Treffer einer jeden Suche meldet “Diese Website kann Ihren Computer beschädigen.” Sucht man zb. nach Heise erhält man folgende Treffer: Treffer Sobald man nun auf einen dieser Treffer klickt, erscheint diese Warnung “etwas” deutlicher. Normalerweise sollte diese Meldung nur bei infizierten Seiten erscheinen:  WARNUNG

Folge man nun dem Link zur Überprüfung des Filters oder auch “Diagnoseseite zum sicheren Durchsuchen von Google”, verabschiedet sich der Safebrowsing Dienst komplett mit einem “Internal Server Error”.Server Error

Mal sehen wann es wieder funktioniert. Aber etwas peinlich finde ich die ganze Sache schon. Gerade bei einem Giganten wie google.

Zeitsynchronisation in einer Windows Domäne

Posted on by

In Microsoft Netzwerken spielt die Zeit eine wichtige Rolle. Driften Server und Client zu stark auseinander, ist eine Anmeldung über Kerberos nicht mehr möglich und Netzwerkvorgänge dauern sehr lange oder scheitern vollständig. Normalerweise wird die Uhrzeit von dem Domänencontroller, der die Funktion des PDC-Emulators ausführt, bereitgestellt. Dazu muss dieser allerdings über eine externe Zeitquelle verfügen. Dies kann entweder ein lokal angeschlossener DCF77 Empfänger oder ein NTP-Server sein. Verfügr der Server über keine externe Zeitquelle, scheitert auch die Synchronisation mit den Clients im Netzwerk.

In einer Domänenstruktur oder einem Forrest, beziehen die PDC-Emulatoren der einzelnen Domänen die Uhrzeit vom PDC-Emulator der ersten, übergeordneten Domäne. Normalerweise ist das die Domäne, die auch den Server der die Funktion des Domain Naming Masters enthält.

Möchte man einen DCF Empfänger verwenden, muss per regedit im Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config” der DWORD-Wert “AnnounceFlags” auf “A” gesetzt werden. Bei verwendung eines NTP-Servers, welcher natürlich auch auf einem Netzwerkfähigem DCF Empfänger oder einem Linux-Server laufen kann, muss der NTP-Server in der Registry wie folgt konfiguriert werden:

  1. Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters” Attribut “Type” auf den Wert “NTP” ändern
  2. Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config” Attribut “AnnounceFlags” auf den Wert “5″ ändern
  3. Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters” Attribut “NtpServer” auf den DNS-Namen des NTP-Servers plus 0×1 ändern. (Der Wert für den Server ptbtime1.ptb.de währe also “ptbtime1.ptb.de,0×1″
  4. Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer” Attribut “enabled” auf den Wert “1″ ändern
  5. Schlüssel “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient” Attribut “SpecialPollInterval” auf den Dezimalwert “1800″ ändern.

Diese Konfiguration sorgt dafür, das der Server den NTP-Server aktiviert, dem NTP-Client den angegebenen Zeitserver als Quelle übergibt und alle 30 Minuten mit dem externem Zeitserver Synchronisiert. Anschließend können alle weiteren Server und Clients Netzwerk die Uhrzeit von diesem PDC synchronisieren. Da wir zudem den NTP-Server auf diesem Server aktiviert haben, kann dieser als Zeitquelle für Drucker oder andere Geräte angegeben werden. Ist dies nicht erforderlich, kann Schritt 4 entfallen.

Leben 2.0 – Das Multimedia-Zuhause

Posted on by

Da in letzter Zeit immer mehr Dinge mit “2.0″ bezeichnet werden, konnte ich das natürlich nicht lassen. Gruppenzwang eben :-) . Wie schön könnte es sein? In der Wohnung summt ein kleiner Server, ausgestattet mit TV-Karten, mehreren 1.5TB Festplatten im RAID5 Verbund und flüsterleisen Lüftern. Auf dem System laufen Dienste wie PVR (Videorecorder/Streamer), Upnp Server,  Audiostreaming, Mailserver, Adressbuch und Kalender. Im Wohnzimmer steht ein kaum sichtbarer, kleiner PC und dienst als Frontend für PVR, EMail und Kontakte. Die Audioausgabe wird auf einen weiteren, noch kleineren, mit einer 5.1 Soundkarte ausgestatteten Rechner weitergeleitet. Im Schlafzimmer befindet sich ein ähnlicher PC, allerdings mit LCD Display, und arbeitet als Radiowecker. Der Stream kann wahlweise von der TV-Karte, der Musiksammlung oder einem Internet-Radiosender stammen. Das System wird zur Weckzeit per WOL geweckt und spielt die Lieblingsmusik zum aufstehen. Zeitgleich dimmt die Elektronische, Netzwerkfähige Steckdose den Deckenfluter langsam auf normale Helligkeit. Im Bad befindet sich ein TFT-Panel hinter dem Spiegel und zeigt vom Mini-PC die aktuellen Nachrichtenfeeds beim Zähneputzen. In der ganzen Wohnung zeigen mehrere WLAn Bilderrahmen die letzten Lieblingsfotos, Videos oder Webcam-Streams aus dem Internet. Die gesamte Steuerung erfolgt von einem WLAN fähigen PDA. Aber noch nicht genug. Eingehende Anrufe werden an allen Aktiven geräten signalisiert und können als Freisprech-anlage arbeiten. Die Möglichkeiten einer solchen Vernetzung sind nahezu grenzenlos.

Ich bin der Meinung, ein solches Netzwerk lässt sich heute relativ einfach umsetzen. Alles zusammen, leben 2.0. Allerdings sollte man sich für den Fall eines Stromausfalls ein paar Kerzen und ein gutes Buch, zb über Multimedianetzwerke, bereitlegen.

Wie funktioniert eigentlich IPSec?

Posted on by

IPSec Logo

Viele reden über IPSec ohne genau zu Wissen wie es eigentlich funktioniert. Im Grunde genommen ist es eine symetrische Verschlüsselung, die asymetrische Schlüssel zum austausch des eigentlichen, symetrischen Schlüssels für die Daten verwendet. Dieser Austauschvorgang wird IKE genannt und arbeitet mit dem ISAKMP Protokoll. Anschließend wird mit diesem Schlüssel die eigentliche Datenverschlüsselung oder Signierung durchgeführt. Das ganze funktioniert so:

  • Einmalige Ausstellung eines Zertifikates durch die PKI
  1. Erstellen eines geheimen Schlüssels in einer sicheren Umgebung. Bei einer sauber implementierten PKI sollte der geheime Schlüssen den Speicher des Gerätes, auf dem er erstellt wurde, nie verlassen. Beispiele hierfür sind zb. eine SmartCard oder ein TPM.
  2. Anschließend wird aus dem geheimen Schlüssel ein öffentlicher Schlüssel errechnet. Aus diesem kann der geheime Schlüssel nicht mehr zurückgerechnet werden (Stand der Technik 2008, Schlüssellänge mind. 2048Bit)
  3. Damit dem Inhaber des geheimen Schlüssels vertraut werden kann, wird der öffentliche Schlüssel zusammen mit Daten zum Inhaber an eine Zertifizierungsstelle gesendet. Diese signiert den Schlüssel mit ihrem geheimen Schlüssel. Eine Prüfung der Signatur ist mit dem öffentlichen Schlüssel der Zertifizierungsstelle jederzeit möglich. Dieser ist übrigens im CA-Zertifikat enthalten.
  4. Ein von der CA signierter Schlüssel wird meistens in Form eines Zertifikats ausgestellt und an den Antragsteller zurückgesandt. Dieser verfügt nun über seinen privaten Schlüssen und eine Signatur (Zertifikat), die bestätigt das die person die ist, für die sie sich ausgibt.
  • Der eigentliche Schlüsseltausch (Verbindungsinitialisierung)
  1. Während des Schlüsseltausches verschlüsselt der Client alle Informationen mit dem öffentlichen Schlüssel des IPSec-Servers. Zusätzlich Authentifiziert er sich mit seinem öffentlichem Schlüssel und signiert die Daten mit seinem privatem Schlüssel. Da den privaten Schlüssel nur der Antragsteller des Zertifikates besitzt, ist die Idendität somit bestätigt.
  2. Der IPSec-Server entschlüsselt die Daten mit seinem privatem Schlüssel. Zusätzlich prüft er bei der CA, ob das Zertifikat, mit welchem die Daten signiert wurden, gültig ist. Dies geschiet durch abfrage der Zertifikatssperrliste. Ist die Signatur der CA gültig und das Zertifikat weder abgelaufen noch gesperrt, ist der Client erfolgreich authentifiziert.
  3. Über diese initiale Verbindung generieren beide Partnr bestimmte zufallszahlen und errechnen nach einem bestimmtem Schema einen gemeinsamen Schlüssel (SA). Für dieses Verfahren wird meistens nach dem Diffie-Hellman (DH) prinzip durchgeführt. Zusätzlich einigen sich beide Partner, welcher Algorithmus und welche Prüfsummenmethode (MD5, SHA1), für die Datenpakete der eigentlichen Übertragung verwendet werden sollen.
  • IPSec Modus Authentication Header Modus (AH)

In diesem Modus werden die Datenpakete nur signiert und nicht verschlüsselt. Dies schützt die Daten gegen veränderung während der Übertragung oder Relay Angriffe (Sniffen und erneutes Aussenden der Pakete). Zur Signierung wird der vorher ausgehandelte Schlüssel der private Schlüssel des Clients direkt verwendet. Die so signierten Daten werden über das IP-Prokokoll Nummer 51 versendet.

  • IPSec Encapsulating Security Payload Modus (ESP)

In desem Modus werden die Daten verschlüsselt. Dazu gibt es 2 Verfahren:

  1. Im Tunnel-Modus werden die Daten inklusive IP-Header verschlüsselt und mit einem neuem IP-Header versehen. Dieser Modus eignet sich für Site-to-Site (Verbindung zweier Standorte) Verbindungen.
  2. Im Transport-Modus werden die Daten des verwendeten Transportprotolls (TCP, UDP) verschlüsselt.

Die eigentliche Verschlüsselung erfolgt mit dem vorher über IKE ausgehandeltem Privatem Schlüssel und Protokoll. Die daten werden bei ESP über das IP-Protokoll nummer 50 übertragen.

Ich hoffe mit diesem Beitrag IPSec einfach erklärt zu haben. Auf tiefere Details, wie die verschiedenen Authentifizierungsmethoden, DH-Gruppen oder Algorithmen werde ich hier nicht eingehen. Fragen, Anregungen und Kritik bin ich jederzeit offen. Dafür gibt es ja die Komentarfunktion :-) .

Weitere Informationen:

http://www.google.de/search?q=ipsec+funktionsweise

http://de.wikipedia.org/wiki/IPsec