Druckverfahren

Die folgenden Druckverfahren sind im Etikettendruck gebräuchlich:

Thermodirektdruck

Beim Thermodirektdruck wird ein wärmeempfindliches Papier verwendet. Dort, wo es vom Drucker erhitzt wird, verfärbt es sich schwarz. Kassenzettel im Supermarkt werden so bedruckt.

Thermotransferdruck

Beim Thermotransferdruck läuft ein Farbband mit, von welchem die Farbe auf die Etiketten übertragen wird.

Nachteile

• Das Farbband läuft mit den Etiketten mit. Auch wenn nur wenig Inhalt gedruckt wird, wird das Farbband trotzdem verbraucht. Auf 100 m Etiketten benötigt man 100 m Farbband.

Tintenstrahldruck

Den Tintenstrahldruck kennt man aus dem Büro und von zu Hause. Im Bereich Etikettendruck ist er noch weniger bekannt, obwohl er viele Vorteile gegenüber dem Thermodruck bietet.

Vorteile

• lichtbeständiger Druck
• Spezialpapier (lösemittelfest etc.) möglich
• Farbdruck möglich, und zwar vollfarbig in Fotoqualität
• Es wird nur für die bedruckten Bereiche Tinte benötigt.

Nachteile

• Die Drucker sind grösser und teurer als Thermodrucker.

Fazit

Es lohnt sich, die verschiedenen Druckverfahren zu vergleichen, da diese sehr unterschiedliche Stärken und Schwächen haben. Für kurzlebige Quittungen wird der Thermodirektdruck nach wie vor das beste Verfahren sein. Wo langlebige Beschriftungen in guter Qualität gefragt sind, zeigt der Tintenstrahldruck seine Stärken. Besonders, wenn Farbe gefragt ist.

Ein Tintenstrahldrucker und leere Etiketten sind meist trotz höherer Anschaffungskosten des Druckers günstiger als ein Thermotransferdrucker mit vorgedruckten Etiketten (farbiges Logo). Zudem gewinnt man an Flexibilität und kann unterschiedliche Formate drucken.

Etiketten

Etiketten sind in diversen Grössen und Arten erhältlich. Von wasserlöslich über Normalpapier bis zu lösemittelfest. Wichtig ist, dass sie zum gewählten Druckverfahren passen.

Es gibt sie vorgestanzt oder als Endlospapier auf der Rolle. Letzteres hat den Vorteil, dass man bezüglich Länge frei ist. Dafür benötigt der Drucker eine Schneidvorrichtung.

Vorgestanzte Etiketten gibt es in vielen Formen. Es können auch eigene Formen auf Bestellung produziert werden. Um die Etiketten einfacher ablösen zu können, kann der Hersteller sie nach dem Stanzen entgittern. Das heisst, das Rahmenmaterial wird entfernt.

Wichtig zu beachten ist, dass normale Papieretiketten nicht deckend sind. Überklebt man damit eine Beschriftung oder ein anderes Etikett, scheint der Untergrund durch. Ist das nicht gewünscht, bestellt man opake Etiketten. Diese haben eine lichtdichte Rückseite.

Ebenfalls wichtig ist die Auswahl des Klebstoffes. Zwischen "einfach ablösbar" und "dauerhaft fest" ist ein grosser Unterschied.

Software

Moderne Etikettendrucker erscheinen im System wie normale Drucker und lassen sich somit aus allen druckfähigen Anwendungen ansteuern. Spezialfunktionen wie "Schneiden nach jeder Etikette", "Schneiden an Auftragsende" etc. werden über den Treiber gesteuert.

Man kann also in Word das Papierformat auf die Grösse der Etiketten einstellen und damit drucken. Dies empfiehlt sich jedoch nur in einfachen Fällen.

Für etwas höhere Anforderungen lohnt sich der Kauf einer Etikettendrucksoftware. Eine bekannte und gute Lösung ist beispielsweise NiceLabel.

Damit lassen sich die Etiketten nicht nur gestalten, sondern auch mit Inhalten befüllen. Häufig sind die zu druckenden Daten schon vorhanden, zum Beispiel in der Datenbank der ERP-Software.

Wenn eine Etikette zur Beschriftung eines Artikels gedruckt werden soll, reicht die Eingabe der Artikelnummer und NiceLabel holt sich in Datenbank und Dateisystem die zugehörigen Informationen, inkl. Artikelbild. Bar- und QR-Codes können direkt erzeugt werden, zum Beispiel für einen Link auf ein Datenblatt oder einen Shop.

Für die einfachere Bedienung steht eine eingeschränkte Oberfläche zur Verfügung, in welcher nur die Daten wie Artikelnummer abgefragt und die Etiketten gedruckt werden.

Falls bei gewissen Ereignissen, wie dem Einbuchen eines Artikels ins Lager, automatisch gedruckt werden soll, lässt sich das über Auslöser wie "neuer Datensatz in Tabelle X" oder "neue Datei in Verzeichnis Y" umsetzen.

The post Alles über Etikettendruck: Druckverfahren, Medien, Software appeared first on nexcon ag.

Können es zu viele virtuelle Prozessoren sein?

Ja, leider. Auch eine vCPU, die nichts macht, benötigt Ressourcen. Die Folge einer starken Überbuchung sind Performance-Probleme. Diese äussern sich beispielsweise durch "Hänger" in Terminalsitzungen: Man tippt, aber der Text erscheint erst verzögert. Und das, obwohl weder der Task-Manager in der VM noch auf dem Host eine nennenswerte Last zeigen. Der Task-Manager lügt nicht: Die vCPU macht dann tatsächlich nichts. Sie wartet darauf, an die Reihe zu kommen, um etwas zu machen.

Es ist deshalb nicht ratsam, allzu grosszügig zu sein bei der Zuweisung von vCPUs.

Weshalb führen zu viele vCPUs zu Performance-Problemen?

Man kann sich den Scheduler des Hypervisors wie einen Kellner in einem Restaurant vorstellen. Dieses hat so viele Plätze, wie die physischen CPUs Cores haben. Der Hypervisor eines Servers mit zwei CPUs mit je 16 Cores hat also 32 Plätze zu verteilen. (Zu Hyper-Threading später mehr.)

Fordert VM A Rechenleistung an, will sie in unserem Beispiel also im Restaurant essen. Sie hat zwei vCPUs, also führt der Kellner diese an zwei Plätze. Gleichzeitig kommen noch VM B mit vier vCPUs und VM C mit acht vCPUs zum Essen. Macht total 14 Plätze. Kein Problem, so viele Cores sind vorhanden, alle können gleichzeitig essen.

Kurze Zeit später steht VM D an der Türe. Diese hat 24 vCPUs. vCPUs essen nur gemeinsam. Es müssen also gleichzeitig 24 Plätze frei sein. VM D muss also warten, bis sechs Plätze frei werden. VM A und B oder VM C müssen also gehen.

Während VM D am Essen ist, können nur VMs mit total acht vCPUs gleichzeitig bedient werden.

Dies auch, wenn auf der VM nur eine vCPU tatsächlich etwas tut!

Zusammenfassung

Eine VM bekommt immer nur dann Rechenzeit, wenn so viele Cores zur Verfügung stehen, wie sie zugewiesen hat. Jede vCPU belegt einen physischen Core, auch wenn sie gerade nichts zu tun hat.

Präzisierung

Die Aussage im letzten Abschnitt ist nicht mehr ganz korrekt. Hyper-V kann "Co-Scheduling", also den vCPUs nacheinander Rechenzeit geben. Das geht aber nur begrenzt, denn der Scheduler in den VMs verteilt die Aufgaben auf alle vCPUs, sodass doch viel gewechselt werden muss.

Fazit

Jeder Kontextwechsel benötigt Zeit. Die vCPU muss auf den Core geladen werden, bevor sie mit der Arbeit beginnen kann. Je mehr der Host "überbucht" ist, desto mehr Kontextwechsel gibt es. Ein stark überbuchtes System verliert viel Zeit mit Kontextwechseln, anstatt sie für Rechenarbeit einzusetzen.

Wie fest darf überbucht werden?

In der Praxis haben sich Werte von 4:1 bis maximal 8:1 als vernünftig herausgestellt. Wobei das natürlich stark davon abhängig ist, wie stark die VMs ausgelastet sind. Ein SQL Server, der seine Cores auslastet, sollte sich diese nicht mit anderen VMs teilen müssen. In einer Testumgebung mit wenig Betrieb kann man hingegen höhere Werte erreichen.

Was ist mit Hyper-Threading?

Schaut man im Task-Manager, verdoppelt Hyper-Threading die Anzahl Cores: ein Socket * acht Cores macht 16 logische Prozessoren.

Das ist jedoch nicht ganz korrekt. Bei Hyper-Threading bekommt jeder Core eine zweite Zuleitung. Damit können zwei Threads gleichzeitig ausgeführt werden. Es wird aber nicht gleichzeitig in beiden Threads gerechnet, sondern abwechslungsweise. Wenn Thread 1 auf Daten warten muss, kann in der Zwischenzeit Thread 2 ausgeführt werden und umgekehrt.

Um beim Essens-Vergleich zu bleiben: Man kann mit beiden Händen (Threads) das Essen greifen. Während eine Hand den Mund (Core) füllt, kann die andere Hand den nächsten Bissen aufnehmen. Man kann jedoch nur eine Portion gleichzeitig kauen. Ein Mund mit zwei Händen isst schneller als ein Mund mit einer Hand, aber nicht so schnell wie zwei Münder.

In der Praxis bringt Hyper-Threading einen Performance-Gewinn von um die 20 %. Da aktuelle Betriebssysteme und Hyper-V damit umgehen können, sollte man es aktiviert lassen. Die früher kursierende Empfehlung, es zu deaktivieren, ist überholt.

Anmerkung zu Hyper-Threading

Seit Windows Server 2019 verwendet Hyper-V den Core-Scheduler. Dieser bietet einige Vorteile gegenüber dem früheren Classic-Scheduler. Unter anderem werden aus Sicherheitsgründen pro Core nur noch vCPUs einer VM ausgeführt. Wenn man Hyper-Threading aktiviert hat und zwei VMs mit je einer vCPU laufen, werden diese nicht gleichzeitig auf dem gleichen Core ausgeführt. Die Hälfte der logischen Prozessoren liegt also brach. Dies wurde eingeführt zum Schutz vor Cache-Attacken wie Meltdown und Spectre. Quelle: https://github.com/MicrosoftDocs/windowsserverdocs/blob/main/WindowsServerDocs/virtualization/hyper-v/manage/manage-hyper-v-scheduler-types.md

Damit VMs wissen, dass die CPU Hyper-Threading aktiviert hat, sollte der Parameter "HwThreadCountPerCore" gesetzt werden. Dies geht erst ab VM-Version 9, also Windows Server 2019. VMs in älteren Versionen oder solche, auf Version 9 angehoben wurden, verwenden den Wert "1", wissen also nichts von Hyper-Threading.

Es ist empfohlen, den Wert auf "0" zu setzen. Damit wird die Einstellung des Hosts übernommen.

Die aktuelle Version sieht man im Hyper-V-Manager oder kann sie mit "Get-VM | FT Name, Version" anzeigen. Aktualisiert werden kann die Version ebenfalls im Hyper-V-Manager oder mit "Update-VMVersion".

Den Wert von "HwThreadCountPerCore" kann man mit "Get-VM | Get-VMProcessor | FT VMName,HwThreadCountPerCore" abrufen und mit "Get-VM | Set-VMProcessor -HwThreadCountPerCore 0" für alle VMs auf "0" setzen.

Quelle: https://kevinholman.com/2019/07/22/windows-server-2019-hyper-v-might-only-use-half-the-available-cpus/

NUMA

Bei Mehrprozessorsystemen ist NUMA zu beachten. Das steht für "Non-Uniform Memory Access". Diese Architektur verwenden alle modernen Rechner. Jede CPU hat ihr eigenes RAM. Zugriffe auf den Arbeitsspeicher einer anderen CPU sind möglich, aber langsamer. Für Details siehe https://de.wikipedia.org/wiki/Non-Uniform_Memory_Access.

Bezüglich Virtualisierung heisst das, dass man einer VM maximal so viele vCPUs zuweisen sollte, wie eine CPU Cores hat. (Bei Hyper-Threading zählen die logischen Prozessoren.) Hat man zwei CPUs mit je 16 Cores und eine VM mit 24 Cores, macht diese zwangsläufig Speicherzugriffe über NUMA-Grenzen hinweg und die Performance leidet. Überschreitet man das Limit nicht, ist der Scheduler von Hyper-V schlau genug, um die NUMA-Grenzen zu beachten.

Wie viele vCPUs sollen es denn sein?

Möglichst wenig, das ist nun klar. Aber so viel wie nötig, das ist auch logisch.

Zur Auffrischung: Die Anzahl vCPUs definiert, wie viele Aufgaben (Threads) gleichzeitig ausgeführt werden können. Aufgaben lassen sich nur selten parallelisieren, sodass auch ein SQL Server für eine Abfrage meist nur eine vCPU auslastet.

Wenn ein Datenbank- oder Webserver mehrere Anfragen gleichzeitig verarbeiten soll, verbessern mehr vCPUs die Leistung.

Wichtig: vCPUs sind da, um verwendet zu werden. Wenn eine virtuelle Maschine zwei vCPUs hat und diese zu 40 % auslastet, ist sie nicht schneller, wenn man ihr vier vCPUs zuweist und die Auslastung dann nur noch 20 % beträgt!

Als allgemeiner Rat gilt: Sich von unten ans Optimum herantasten. Mit wenig vCPUs anfangen. Wenn die Auslastung über 80 % liegt, Anzahl vCPUs erhöhen.

Nachfolgend einige Empfehlungen für verschiedene Einsatzzwecke:

Domänencontroller

Microsoft ist sehr konservativ und nennt eine vCPU pro 1000 gleichzeitige Benutzer. Das sind Umgebungen mit ungefähr 10000 Benutzern im Active Directory.

Ein Domänencontroller mit einer vCPU läuft gut, geht aber in die Knie, wenn man Windows Updates installiert und diese die vCPU komplett auslasten. Deswegen ist es gut, zwei vCPUs zu haben. (Es kommt aber natürlich auf die Situation an. In sehr dichten Umgebungen oder mit wenig Cores im Host fährt man allenfalls besser, wenn die DCs nur eine vCPU haben.)

Dateiserver

Die Dateidienste benötigen nur wenig Rechenleistung. Wenn man keine rechenaufwendigen Features wie Deduplizierung aktiviert hat, sollten zumindest in kleineren Umgebungen zwei vCPUs reichen.

Datenbankserver

Bei Datenbankservern ist die sinnvolle Anzahl vCPUs abhängig von der Software und den Anforderungen. Der SQL Server Express verwendet beispielsweise nur eine vCPU. Da reicht es, wenn man eine vCPU für das Betriebssystem dazugibt und zwei vCPUs verwendet.

Da wie weiter oben erwähnt die meisten Abfragen nicht parallelisierbar sind, kommt es ganz auf die Anzahl gleichzeitigen Anfragen an. Wenn länger laufende Auswertungen durchgeführt werden, sind vier vCPUs möglicherweise sinnvoll.

Terminalserver

Bei dieser Serverrolle verschätzt man sich erfahrungsgemäss am meisten. Die sinnvolle Anzahl vCPUs hängt von der Anzahl gleichzeitig auf dem Server arbeitenden Benutzer ab. Microsoft unterscheidet verschiedene Benutzertypen:

Je nach Komplexität der verwendeten Anwendungen und Websites liegen die meisten Benutzer wohl zwischen mittel und schwer. Als guten Anfangswert würde ich eine vCPU pro zwei Benutzer nehmen. Bei steigender Benutzerzahl dann eher weniger, da sich die Last besser verteilt. Ausnahmen sind Situationen, in denen sich viele Benutzer gleichzeitig anmelden.

Wie bei den anderen Szenarien gilt: Sich von unten an das Optimum herantasten.

Zusammenfassung

• weniger vCPUs sind besser als zu viele
• nicht mehr vCPUs zuweisen, als eine CPU Cores hat
• Konfigurationsversion der VMs prüfen und ggf. aktualisieren und HwThreadCountPerCore auf 0 setzen
• Entscheidungen aufgrund von Messungen und nicht Vermutungen treffen

The post Hyper-V: die ideale Anzahl vCPUs appeared first on nexcon ag.

Bisher habe ich dafür einen normalen USB-Stick mit Ventoy verwendet. Das ist ein Bootloader, welcher die auf dem Stick befindlichen ISO-Dateien auflistet und von ihnen starten kann. Leider ist die Signatur des Bootloaders unter anderem bei neueren HP-Geräten gesperrt, sodass man immer zuerst Secure Boot deaktivieren musste.

Dieses Problem besteht mit dem iODD Mini nicht, da er selbst ein CD-Laufwerk emuliert. Der Rechner startet dann direkt mit dem Bootloader auf dem ISO.

Installer und Tools, die als ISO bereitliegen, kann man einfach auf den iODD Mini kopieren, eines auswählen und für den nächsten Start selektieren. Will ein Installer einen bootfähigen Stick erstellen, legt man eine leere VHD an, hängt sie an und wählt sie als Ziel.

Die Möglichkeit, mehrere VHDs zu mounten, kann auch praktisch sein bei Kunden, welche nicht den gesamten Inhalt des Sticks sehen sollen. Die Daten können optional verschlüsselt werden, mit Schlüsseleingabe über die eingebaute Tastatur, ohne dass Software auf dem Rechner installiert werden muss.

Ein sehr praktisches Tool für Admins, von welchem ich erstaunt bin, dass es nicht bekannter ist.

Erhältlich ist der iODD Mini direkt über den Shop des Herstellers.

The post iODD Mini: ISOs über USB appeared first on nexcon ag.

Im Beitrag sichere Passwortverwaltung auf allen Geräten mit KeePass werden der Umgang mit KeePass und der Zugriff auf die gespeicherten Passwörter von verschiedenen Systemen aus erklärt. Hin und wieder denkt man, diese oder jene Funktion wäre praktisch. Die Chancen stehen gut, dass man sich den Wunsch mit einem der vielen Plugins erfüllen kann. Leider ist die Auswahl fast schon zu gross und man kann überfordert sein, wenn es fünf Plugins für die gleiche Funktion gibt. Deshalb hier die Plugins, welche ich regelmässig verwende und empfehlen kann.

KeeOtp2

KeeOtp2 ist ein Generator für TOTP-Token, also der zeitabhängigen Codes, welche man für Zweifaktor-Authentifizierung benötigt. Bei der Einrichtung der MFA wird einem ein QR-Code für die Initialisierung angezeigt. Diesen scannt man meist wie vom Anbieter empfohlen mit einer App wie Google Authenticator. Da der Code nur den Startwert für die zeitabhängige Passwort-Generierung hat, lässt er sich mehrfach scannen oder auch abspeichern und später verwenden. MFA ist eine gute Sache, aber wenn man davon ausgeht, dass das Smartphone mit der Authenticator-App einmal nicht verfügbar sein könnte, kann es unangenehm werden.

Mit KeeOtp2 kann man einen KeePass-Eintrag um TOTP ergänzen. Dazu scannt man den Initialisierungs-Code:

"Scan QR Code" erstellt einen Screenshot und durchsucht diesen nach QR-Codes. Wird ein Code gefunden, wird der enthaltene Initialisierungswert übernommen.

Den aktuellen Code kann man mittels Rechtsklick auf den Eintrag und "Copy OTP" in die Zwischenablage kopieren.

Ich verwende das für Accounts, die nicht extrem schützenswert sind, bei denen ich aber MFA verwenden möchte (oder vom Anbieter dazu gezwungen werde). Dank KeeOtp2 spare ich mir den Griff zum Smartphone.

KeeAgent

KeeAgent ist ein SSH-Agent für KeePass. Er stellt SSH-Keys, welche als Anhang zu einem Eintrag gespeichert sind, über eine Pageant-Emulation dem SSH-Client (zum Beispiel PuTTY) zur Verfügung. Es reicht, die KeePass-Datenbank entsperrt zu haben, um sich auf seinen Servern ohne weitere Passworteingabe anmelden zu können. Die Installation und Einrichtung ist in der Anleitung verständlich erklärt.

The post nützliche Erweiterungen für KeePass appeared first on nexcon ag.

An der Backup-Infrastruktur wurde nichts geändert, es wurde lediglich eine neue Firewall eingebaut, in diesem Fall eine Zyxel ZyWALL. Und siehe da, deren Intrusion Prevention System hatte viele „Angriffe“ erkannt:

Das sind Fehleralarme. Die Wahrscheinlichkeit für einen Fehlalarm ist nicht so klein, wenn man bedenkt, dass die Signaturen aus Performance-Gründen wohl nur so spezifisch wie nötig sind und bei einer Datensicherung mehrere Hundert Gigabytes verschlüsselte Daten übertragen werden, welche aussehen wie Zufallsdaten. Da muss früher oder später eine Signatur anschlagen. Das Problem ist denn auch schon bekannt bei Veeam: Troubleshooting Signature-Based Firewalls.

Bei den ZyWALLs gelten die IPS-Regeln standardmässig für alle Filterregeln. Man müsste also die falsch-positiven Signaturen whitelisten. Über das CLI kann konfiguriert werden, dass die IPS-Profile einzelnen Regeln zugewiesen werden können. Das geht mit folgendem Befehl:

configure terminal
secure-policy-style advance

Danach das Webinterface neu laden und die IPS-Profile den entsprechenden Regeln zuweisen. So kann die Backup-Regel vom IPS ausgeschlossen werden (was nebenbei auch die Auslastung der Firewall senkt).

The post Veeam bricht ab mit “Unstable connection: unable to transmit data” appeared first on nexcon ag.

Das Problem ist, dass in neueren Versionen die Zuordnung von SSIDs zu Netzwerken anders funktioniert als früher. In älteren Versionen war es optional, einer SSID ein Netzwerk zuzuweisen (zumindest, wenn man keine Gast-Funktionalitäten benötigt hat). Die VLAN-ID hat man direkt der SSID zugewiesen.

In aktuellen Versionen des Controllers muss man die Netzwerke definieren. Auf Ebene Netzwerk definiert man allenfalls die VLAN-ID. Der SSID muss man ein Netzwerk zuweisen.

Beim Update des Controllers wird nicht automatisch jeder SSID ein Netzwerk zugewiesen. Es erscheint auch keine Warnmeldung. Stattdessen zeigen die Access Points die SSIDs einfach nicht mehr.

Die Lösung ist naheliegend: jeder SSID ein Netzwerk zuweisen, Provisionierung abwarten, fertig.

The post Unifi: keine Netzwerke mehr sichtbar nach Update appeared first on nexcon ag.

Wie es aussieht, wurde direkt auf die Geräte zugegriffen und es wurde ein zwei Jahre alter Bug ausgenutzt, welcher Root-Zugriff ohne Authentifizierung ermöglicht. Im Forum haben einige Benutzer die Daten der gelöschten Geräte teilweise wieder herstellen können und haben darauf Spuren früherer Angriffe gefunden. Damals wurde eine ausführbare Datei heruntergeladen und ausgeführt.

Was passiert sein könnte: die Geräte waren schon länger Teil eines Botnetzes. Dann hat sich entweder der Betreiber des Netzes oder ein "Konkurrent" entschlossen, die Geräte aus dem Verkehr zu ziehen und hat innert weniger Tage einen Rücksetzbefehl abgeschickt.

So weit, so logisch. Man betreibt auch keine Geräte mit bekannten Sicherheitslücken öffentlich zugänglich im Internet. Aber viele Benutzer beteuern, weder die Cloud-Funktionalität aktiviert noch auf ihrem Router Ports auf das Gerät weitergeleitet zu haben.

Das Problem ist UPnP, genauer UPnP IGD. Das ist ein Protokoll, womit Geräte oder Anwendungen selbstständig Portweiterleitungen auf dem Router anfordern können. Wenn man ein Spiel online spielen will, läuft das einfach, man muss nicht die Ports X und Y auf dem Router weiterleiten.

Leider macht man so auch Geräte aus dem Internet zugänglich, die nicht erreichbar sein sollen. Die betroffenen My-Book-Geräte haben genau das getan. Die Benutzer gingen davon aus, dass sie nur intern erreichbar sind, haben deshalb vielleicht auch keinen grossen Wert auf sichere Passwörter gelegt, vertrauliche Informationen unverschlüsselt abgespeichert etc., dabei waren die Geräte aus dem Internet zugänglich und über entsprechende Suchmaschinen auffindbar.

Deshalb sollte man die UPnP-Einstellung am Router prüfen und ggf. deaktivieren. Bei der Internet Box 3 sollte es standardmässig deaktiviert sein (bei älteren Geräten war es standardmässig aktiv). Bei der UPC Connect Box ist es standardmässig aktiv. Der Centro Business unterstützt als Business-Gerät kein UPnP.

Da die Einstellung durch Fernzugriffe / Updates wieder aktiv werden könnte, ist der Einsatz einer Firewall empfehlenswert. Auf diese hat der Internetprovider keinen Zugriff.

Setzt man ein Gerät nur lokal ein, kann man ihm eine fixe IP-Adresse geben und das Standard Gateway leer lassen. So kommt das Gerät nicht ins Internet und man kommt vom Internet garantiert nicht auf das Gerät. Leider funktionieren so aber nützliche Funktionen wie ein Firmware-Update über das Internet nicht.

The post Angriffsfläche reduzieren, UPnP deaktivieren appeared first on nexcon ag.

Der Dateitransfer mittels croc funktioniert so:
Auf dem Quellrechner startet man croc mittels "croc send $dateiname". Man bekommt ein Passwort angezeigt:

Auf dem Zielrechner startet man croc entweder per Doppelklick und gibt das Passwort ein, oder man übergibt es als Parameter "croc $passwort". Nach einer Bestätigung startet der Transfer:

Der Verkehr läuft über einen Relayserver, so dass die beteiligten Rechner hinter einer Firewall stehen können. Das Passwort setzt sich auch mehreren Worten zusammen, so dass es mehr oder weniger einfach per Telefon übermittelt werden kann. Auf Wunsch kann ein eigenes Passwort gesetzt werden. Die Daten sind bei der Übertragung verschlüsselt und werden standardmässig komprimiert.

Das Relay wird vom Entwickler betrieben. Falls gewünscht, kann es auch selbst gehostet werden.

croc kann Dateien auch von stdin lesen und nach stdout schreiben. Mittels tar kann man so ganze Verzeichnisbäume übertragen.

Fazit: Ein praktisches Tool, um mal eben einem Kollegen eine Datei zu schicken, ohne einen FTP-Server einrichten oder den Umweg über einen Cloudspeicher gehen zu müssen.

The post einfacher Dateiaustausch mit croc appeared first on nexcon ag.

Syncthing ist eine Software, die genau das bietet. Kostenlos und mit einem Augenmerk auf Datenschutz.

Konzept

Die Infrastruktur von Syncthing umfasst folgende Dienste:

• Discovery Server
• Relay Pool Server
• Relay Server

Jeder Client erzeugt beim ersten Start ein Zertifikatspaar, aus welchem eine ID generiert wird. Dies ist seine eindeutige Kennzeichnung, ähnlich der ID bei TeamViewer.

Die Clients melden sich mit ihrer ID beim Discovery Server, um sich gegenseitig zu finden. Um Daten auszutauschen, suchen sie beim Relay Pool Server einen Relay Server. Dieser ermöglicht den Datenaustausch zwischen von aussen nicht erreichbaren Clients. Erreichen sich die Clients direkt, gehen sie nicht dem Umweg über den Relay Server.

Man kann eigene Server für Discovery und Relay betreiben, wenn man keine Verbindungen zu Dritten haben möchte. Der Datenschutz ist aber auch bei Verwendung der öffentlichen Relay Server gegeben, da die Daten verschlüsselt übertragen werden.

Wenn die Clients über fixe IP-Adressen erreichbar sind, lässt sich Syncthing auch ohne Server verwenden, indem man allen Clients die Adressen ihrer Partner angibt.

Clients

Clients sind für verschiedene Betriebssysteme verfügbar. Die Konfiguration erfolgt über ein Webinterface. Für Windows ist SyncTraizor erhältlich, ein Client mit eingebauter GUI.

Syncthing hat im Test hervorragend funktioniert. Zu beachten ist, dass es für interaktive Sitzungen gedacht ist, also um im Hintergrund in einer angemeldeten Benutzersitzung zu laufen. Es gibt zwar Wege, es als Dienst zu betreiben, aber die sind nicht sehr komfortabel.

The post geräteübergreifende Synchronisation mit Syncthing appeared first on nexcon ag.

Als Basis verwende ich KeePass. Das ist eine kostenlose Software (Open Source), welche Passwörter in einer verschlüsselten Datenbank speichert. Für den Zugriff auf die Passwörter öffnet man die Datenbank mit einem Masterpasswort.

KeePass ist sehr vielseitig und kann neben Passwörtern auch andere Informationen und sogar Dateien speichern, so dass es sich in kleinen Umgebungen auch zur Systemdokumentation eignet. Hier geht es aber um den Einsatz zur Passwortverwaltung auf verschiedenen Geräten.

Wichtig: KeePass gibt es in zwei Versionen, welche untereinander nicht kompatibel sind. Wenn man neu beginnt, sollte man die aktuelle Version 2 verwenden.

Die Einträge können in Ordnern abgelegt werden. Ein Doppelklick auf ein Passwort kopiert dieses für einige Sekunden in die Zwischenablage, von wo aus es in die Anwendung kopiert werden kann.

Ein grosser Vorteil von KeePass ist, dass es ein offenes Format verwendet. So kann die Datenbank von vielen Anwendungen auf diversen Plattformen geöffnet werden und man ist nicht an KeePass auf Windows gebunden.

Datenhaltung / Synchronisierung

Bei mir liegt die Datenbank lokal und wird mit meiner Nextcloud-Instanz synchronisiert. Die Synchronisation kann über den Nextcloud-Client erfolgen, KeePass bietet aber auch die Möglichkeit zum direkten Öffnen von Dateien über WebDAV. So habe ich die Datenbank auf allen Plattformen zur Verfügung. Vorsicht ist bei gleichzeitigen Änderungen geboten: wird die Datenbank an zwei Orten gleichzeitig geändert, müssen die Änderungen manuell zusammengeführt werden. Ich trage neue Passwörter jedoch nur auf dem PC nach.

Verwendung auf verschiedenen Plattformen

Windows

Auf Windows arbeite ich ganz normal mit der KeePass-Anwendung. Wem die etwas altbackene Oberfläche nicht gefällt, kann KeePassXC oder AuthPass ausprobieren.

Browser (Firefox)

Passwörter über die Zwischenablage in den Browser zu übertragen ist mühsam. Besser ist eine Lösung, die Felder automatisch ausfüllt, so wie der Passwortmanager des Browsers. Eine solche Lösung gibt es für KeePass, sie nennt sich "Kee" und besteht aus zwei Komponenten: dem Plugin "KeePassRPC" sowie der Browser-Erweiterung "Kee", Installation siehe Anleitung.

Ist eine Datenbank geöffnet, können durch Klick auf den roten Schlüssel die passenden Einträge ausgewählt werden. Ein Klick auf einen Eintrag füllt die Felder für Benutzername und Passwort aus.

Smartphone

Für den Zugriff von unterwegs verwende ich AuthPass. Dieses kann Datenbanken über WebDAV öffnen. Auf Wunsch kann das Passwort im gesicherten Gerätespeicher abgelegt und die Datenbank über biometrische Authentifizierung geöffnet werden. Unter Android stehen die Passwörter auch anderen Apps wie dem Browser zur Verfügung.

Browser

Um von Rechnern ohne KeePass auf die Passwörter zuzugreifen, verwende ich KeeWeb. Dieses ist für Nextcloud als App verfügbar. Es ist eine JavaScript-Anwendung, die Entschlüsselung der Datenbank findet also im Browser statt. Somit muss dem Serverbetreiber nicht vertraut werden.

The post sichere Passwortverwaltung auf allen Geräten mit KeePass appeared first on nexcon ag.