Posts

Server-Ausfälle durch Überwachen vorbeugen

Monitoring Ihrer Server-Funktionen

Kein Unternehmen kann sich einen Ausfall wichtiger IT-Komponenten über einen längeren Zeitraum leisten. Wir prüfen sicher und verlässlich Ihre Netzwerke, Server und deren Verbindungen. Jeder Systemausfall wird angezeigt und mit entsprechenden Informationen sofort an die zuständigen Mitarbeiter weitergeleitet. Profitieren Sie davon, dass wir die Augen für Sie offen halten. Im Rahmen unserer Monitoringpakete übernehmen wir für Sie die Überwachung Ihrer IT-Infrastruktur – systemübergreifend oder punktuell. So sparen Sie Zeit, die Sie sinnvoll in weitere Projekte investieren können. Schon mit einfachen Basispaketen, die wir nach Ihren Anforderungen und Wünschen jederzeit erweitern können, erzielen Sie beste Resultate. Sie haben Ihre Systemumgebung kostenoptimiert gesichert.

Wir werden vorausschauend aktiv und sorgen für:

· Minimierung von Ausfallzeiten der Server
· Erhaltung der Systemperformance
· Erkennen von Tendenzen in Gefahrenbereichen
· Überwachung der Datenverfügbarkeit
· Garantierte Reaktionszeiten im Störungsfall

Unsere Server Services

1. Web-Zugriff auf Service Status
2. Monatlicher detaillierter Bericht
3. Monitoring des Servers (1)  24 stunden am Tag, 7 Tage die Woche
4. Reaktionszeit bei unternehmenskritischen Problemen (2) innerhalb 24 h, 8 h oder 4 h

Unsere PC Services

1. Web-Zugriff auf Service Status
2. Monatlicher detaillierter Bericht
3. Monitoring des PC (3)
4. Reaktionszeit bei unternehmenskritischen Problemen (2)   innerhalb 24 h, 8 h oder 4 h

(1) Es werden verschiedene systemrelevante Kennzahlen überwacht, Festplattenspeicher u.a., auch Exchange Server z.B. Mail Funktion, PopCon,
VMware ESX®, Microsoft Hyper-V, Virenschutz u.a.
(2) Reaktionszeiten innerhalb von 8:00 bis 17:00 Uhr werktags, nach erfolgter Fehlermeldung durch das Monitoring System
(3) Es werden verschiedene systemrelevante Kennzahlen überwacht, Festplattenspeicher, Arbeitsspeicher, Virenschutz, Verfügbarkeit u.a.

Lesen Sie mehr auf: lachenmair.info/server

Server-Eye

ESET Gateway Security for Linux als Upstream Proxy für SQUID

Der SQUID Proxy-Server ist ein beliebtes Programm um den Internetzugang in Firmen zu kanalisieren und kontrollieren. Squid bietet die Möglichkeit Zugänge nach Benutzern einzuschränken oder Webseiten zu sperren. Jedoch fehlt dem Proxyserver die Möglichkeit den Internetverkehr auf Viren zu prüfen. Hier setze ich mit ESET Gateway Security für Linux/BSD/Solaris als Lösung an.

Proxy Chaining

Die Idee hinter dieser Lösung steckt darin für den Benutzer eine nicht sichtbare Verkettung der Dienste zu erstellen und den Internetverkehr bereits am Gateway auf Viren zu prüfen. Das Proxy Chaining mit ESET Gateway Security als Upstreamproxy ermöglich Ressourcen zu sparen da die Software auf der gleichen Maschine mit SQUID installiert wird. Als Grundlage dient ein aktuelles Debian unter XEN:


Installation Debian & Squid

Neben einer Debian-Server-Standard-Installation (fixe IP, gehärteter SSH-Zugang) wird der SQUID-Server installiert und nach eigenen Bedürfnissen angepasst.
Auf die Einzelheiten einer SQUID-Installation wird in diesem How-To nicht eingegangen.

Anmerkungen zur Installation

In diesem Beispiel ist SQUID und ESET Gateway Security auf der IP 192.168.200.10 installiert, das Netzwerk ist 192.168.200.0/24.

Installation ESET Gateway Security for Linux

Die komplette Installation von ESET Gateway Security erfolgt als root. Daher empfiehlt es sich vor der Installation per “su” zum Root des Systems zu werden. An erster Stelle wird das auf http://www.eset.com/de/download/business/detail/family/54/?installer=offline#offline,80 heruntergeladene BIN-File auf den Server kopiert.

Ich verwende WinSCP um die Datei auf den Server zu bringen:


Vor der Installation sollte

apt-get install ed libc6-i386 libssl-dev

ausgeführt und installiert werden.

Basisinstallation und Grundkonfiguration

Nachdem Kopiervorgang wird auf dem Server die BIN-Datei gestartet und ESET Gateway Security installiert:


Das Software End-User License Agreement das angezeigt wird kann “q” beendet werden.
Die Frage ob das Agreement angenommen wird mit “y” beantworten:


Nach Belieben kann die Samples Submission bejaht oder verneint werden.
Hier können verdächtige Dateien zur Analyse an ESET übertragen werden:


Als Nächstes erstelle ich einen Symlink für das Konfigurationsverzeichnis nach /etc/eset via:

ln –s /etc/opt/eset/esets /etc/eset

Im nächsten Schritt wird das Lizenzfile nach /etc/eset/license kopiert. Das Lizenzfile wird am besten mit der BIN-Datei per WinSCP hochgeladen. Im nächsten Schritt wird der ESETS Daemon neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Der Weg über den Parameter “restart” ist hier nicht ausreichend. Danach erfolgt die Grundkonfiguration von ESET Gateway Security Linux.
Zum Start des Konfigurationsprogramms

/opt/eset/esets/sbin/esets_setup

ausführen. Zur Einrichtung stellt das Install-Script ein paar Fragen an den Benutzer:


“Do you want to see commands, which will be executed during installation? (y/n, default=y)” mit “y” beantworten.
Für die geplante Konfiguration wird Punkt 1) HTTP gewählt. In diesem Schritt wird Upstream-Proxy für SQUID eingerichtet:


Mit “4” wird das Konfigurationsprogramm beendet. Die vorgeschlagene Anpassung der IP-Tables-Regeln ist in diesem
Fall nicht nötig das dies vom SQUID erledigt wird.

Um ESET Gateway Security per http konfigurieren zu können wird der Webserver in der Datei /etc/eset/esets.cfg editiert:

nano /etc/eset/esets.cfg

Im Abschnitt [wwwi] werden die Parameter angepaßt:

[wwwi]

# Settings for ESETS Web Interface configuration module
# agent_enabled = yes/no
# Enables operation of the esets_wwwi.

agent_enabled = yes

# listen_addr = “address”
# Address (IP or name) where esets_wwwi listens for HTTPS client connections.
# If set to 0.0.0.0 then esets_wwwi listens on all available network interfaces.

listen_addr = “192.168.200.10”

# listen_port = port

# TCP port where esets_wwwi listens for HTTPS client connections.
# You may have to open this port in your firewall.

listen_port = 60080

# username and password needed for accessing the interface (required)

username = “admin”

password = “passwort”

Mit den, für das System, angepassten, neuen Einstellungen wird der ESETS Dienst neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Konfiguration per Weboberfläche

Ab jetzt kann das System per Weboberfläche konfiguriert werden:


Zur Anmeldung im Konfigfile hinterlegte Anmeldedaten verwenden und am System anmelden:


 

 

Unter Configuration/Global/Update Options werden zuerst die Benutzerdaten um Updates zu laden hinterlegt:


 

Auf Spezialfunktionen wie das Anlegen eines Update-Mirrors wird in dieser Anleitung nicht eingegangen.
Mit Klick auf “Save Changes” und anschliessend auf “Apply Changes” werden die Einstellungen gespeichert.

Über Control/Update können die Einstellungen mit dem Start eines manuellen Updates geprüft werden:


Updates mit “Status 0” wurden erfolgreich heruntergeladen.

Unter Configuration/HTTP werden die Einstellungen zum Scannen des http-Verkehrs eingestellt.
Die hier gezeigten Einstellungen sind eine Empfehlung können und sollten individuell anpasst werden:


Die Optionen “Potentially unsafe apps” und “Potentially unwantet apps” sollten aktiviert sein um
den Schutz vor unsicheren Anwendungen wie Trojanern etc. zu erhöhen.

SQUID.conf

 

nano /etc/squid3/squid.conf

Dort werden folgende Einstellungen eingetragen:

acl internetzugriff src 192.168.200.0/24 #netzwerk der zugreifenden rechner
cache_peer 192.168.200.10 parent 8080 0 no-query no-delay default
cache_peer_access 192.168.200.10 allow internetzugriff

Um die Einstellungen zu aktivieren muß der SQUID-Dienst neugestartet warden:

/etc/init.d/squid3 restart

Test der Installation

Zum Testen von ESET Gateway Security lade ich auf www.eicar.com das Virustestfile:


Bei richtiger Konfiguration wird der Downloadversuch so quitiert:


Somit ist der Konfigurationsvorgang zum Prüfen des http-Verkehrs mittels Proxy-Chaining unter SQUID mit ESET Gateway Security abgeschlossen.

Voodoo:

Mit einem transparent konfiguriertem Squid kann der Internetverkehr aller Clients ohne die Aktivierung des Proxys in den Browsereinstellungen geprüft werden.

In dem hier aufgezeigten Bespiel verwenden wir einen Squid-Server samt ESET Gateway Security als transparenten Proxy auf einem Rechner mit nur 1er Netzwerkkarte.
Im ersten Schritt werden die Iptables mit diesem Script hierfür anpasst:

#!/bin/sh

# Squid server IP

SQUID_SERVER=”192.168.200.10″

# Interface connected to Internet

INTERNET=”eth0″

# Address connected to LAN

LOCAL=”192.168.200.0/22″

# Squid port

SQUID_PORT=”3128″

# Clean old firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

# Enable Forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# Setting default filter policy

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# Unlimited access to loop back

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

# Allow UDP, DNS and Passive FTP

iptables -A INPUT -i $INTERNET -m state –state ESTABLISHED,RELATED -j ACCEPT

# set this system as a router for Rest of LAN iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE iptables -A FORWARD -s $LOCAL -j ACCEPT

# unlimited access to LAN

iptables -A INPUT -s $LOCAL -j ACCEPT

iptables -A OUTPUT -s $LOCAL -j ACCEPT

# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy iptables -t nat -A PREROUTING -s $LOCAL -p tcp –dport 80 -j DNAT –to $SQUID_SERVER:$SQUID_PORT

# if it is same system

iptables -t nat -A PREROUTING -i $INTERNET -p tcp –dport 80 -j REDIRECT –to-port $SQUID_PORT

# DROP everything and Log it

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP

 

Nach Anpassung und Test im System dieses Script beim Start automatisch aktivieren. In der Squid.Conf ist auch eine weitere Anpassung nötig:

#transparentproxy

http_port 192.168.200.10:3128 transparent
http_port 80 vhost

Auch hier gilt:

    /etc/init.d/squid3 restart

 

Abschließend sind noch die Routingeinträge an diesem Rechner anzupassen und am DHCP-Server das Gateway für die Clients auf den Squid-Server umstellen.
Die hier beschriebene Lösung stellt einen Lösungsvorschlag dar und kann auf individuelle Bedürfnisse angepasst werden.

Viel Freude mit ESET Gateway Security und SQUID

 

 

 


Tipps und Tricks bei der Installation von ESET Remote Administrator

ESET Remote Administrator ist ein Tool welches es im Firmennetzwerk ermöglicht
alle verbundenen Clients zentral zu administrieren. Hier finden Sie einige Tipps
für die Installation und die Verwendung von ESET Remote Administrator.

Installation des Servers

 Anlegen eines Benutzers

Ich verwende zur Installation des Services einen Benutzer, der lokaler Administrator
ist. Dazu wird ein Benutzer aus dem Active Directory verwendet. Dieser sollte im AD
nur Benutzer sein. Dieser Benutzer wird der lokalen Gruppe “Administratoren” hinzugefügt.

Vorbereitungen DNS

Im täglichen Einsatz hat sich bewährt, einen eigenen DNS-Eintrag für den
ESET Remote Administrator Server zu definieren. So müssen im Falle eines Serverumzugs
keine Änderungen an Clients vorgenommen werden. Hierfür lege ich einen A-Eintrag
im lokalen DNS-Server an:


Dieser Name wird bei der Installation für den Server verwendet.

Vorbereitungen Firewall

Für den Clientzugriff muss die Firewall am RA-Server angepasst werden:


 

ESET verwendet folgende Ports:

Name Port Protokoll Funktion
ESET_RA_Inbound_HTTP-Mirror

2221

TCP

stellt ESET-Updates für verbundene
Clients per HTTP zur Verfügung
ESET_RA_Inbound_Client

2222

TCP

Ermöglicht Clients Verbindung mit dem
RA-Server aufzunehmen
ESET_RA_Inbound_Console

2223

TCP

Ermöglicht den Zugriff für die Administrations-Konsole
ESET_RA_Inbound_Remoteinstaller

2224

TCP

Port der bei Remoteinstallationen verwendet wird
ESET_RA_Inbound_Webserver

2225

TCP

Ermöglicht Zugriff auf die ERA Webconsole
ESET_RA_Inbound_Replication

2846

TCP

Ermöglicht die Replikation zwischen mehreren ERA-Servern

 

Mit Blick auf Sicherheitsaspekte sollten nur benötigte Ports freigeschalten werden. Wird zum
Beispiel Replikation nicht verwendet, erübrigt sich die Freigabe des Ports 2846. Es ist auch zu
beachten dass die Ports für den RA-Server auch frei definiert werden können. In diesem Szenario
sind die Ports in der Firewall anzupassen.

Installation des ESET Remote Administrator Servers

Nach dem Start der Installationsdatei benutzerdefinierte Installation wählen:


Durch Klick auf Weiter zur Auswahl des Lizenzschlüssels:


Mit Klick auf Weiter zur Auswahl des Programmpfades:


Diesen mit Weiter bestätigen.


Wird ein Domainbenutzer verwendet den Namen der Active Directory Domain voranstellen:

 DOMAINNAME\Benutzername

Mit Klick auf Überprüfen die Berechtigung überprüfen:


Klicken Sie auf “Okay” und “Weiter”

Im nächsten Fenster kann die Datenbank für den ESET Remote Administrator Server
ausgewählt werden. In Szenarien unter 100 Clients kann auf die Accessdatenbank
zurückgegriffen werden:


Durch einen Klick auf Weiter wird die Auswahl bestätigt.


Die Pfade der Datenordner können bei behalten werden. In diesen Verzeichnissen
werden die Datenbank, Policies und Installerpakete für die Remoteinstallation abgelegt.
Der Standardpfad ist: “C:\ProgramData\ESET\ESET Remote Administrator”

Mit Klick auf Weiter kommen Sie weiter.

Im nächsten Fenster wird der Servername auf den zuvor festgelegten Servernamen
geändert:


Des Weiteren können die Firewallports für den Zugriff auf den Server verändert werden.
Jede Änderung muß an der Firewall nachgepflegt werden. Mit Klick auf Weiter erscheint
das Fenster zur Vergabe der Passwörter.


Vergeben Sie auf jeden Fall ein Passwort für den Zugriff auf die Konsole. Mit Passwort
für Clients sichern Sie die Kommunikation der Clients mit dem ERA-Server. Mit Klick auf
Weiter geht es zum nächsten Fenster.


In diesem Fenster lasse ich die Standartwerte stehen. Diese können später in der
Remote Console angepasst werden. Hierfür muss das Häkchen für die
“Update-Einstellungen später einrichten” gesetzt werden. Mit Klick auf Weiter
geht es zu den SMTP-Einstellungen:


Klick auf Weiter


Hier werden die Einstellungen für den ESET Remote Administrator Webserver festgelegt.
Bei einem bereits installierten Webserver müssen die Ports entsprechend angepasst
werden. Klick auf “Serverports testen”:


Klick auf Weiter um zu den nächsten Optionen zu gelangen.


Diese Einstellungen nur im Falle einer Fehlersuche verändern.

Mit Klick auf Weiter wird die Konfiguration der Optionen abgeschlossen:


Mit Klick auf Installieren wird ESET Remote Administrator Server installiert.


Mit Klick auf Fertigstellen schließen Sie die Installation der Serverkomponente ab

 Installation der ESET Remote Administrator Console

Start der era_console-EXE


Mit Klick auf Weiter und den Lizenzvereinbarungen zustimmen:


Nach einem Klick auf Weiter im nächsten Fenster die Benutzerdefinierte Installation auswählen.


Den Standardpfad im nächsten Fenster beibehalten


und mit Klick auf Weiter zum nächsten Fenster gelangen.

In diesem Fenster wird der Servername aus der Installation des Servers verwendet:


Mit einem Klick auf Weiter öffnet sich ein Fenster mit dem die Installation gestartet werden kann.


Durch Klick auf Fertigstellen gelangen Sie zur Remote Administrator Console.

Szenarien mit mehreren ERA-Servern

In vielen Szenarien gibt es Geräte die sich nur über das Internet mit Ihrem Unternehmen
verbinden. Meist wird dies mit VPN-Szenarien gelöst. Bei Smartphones, die auch über den
Remote Administrator gemanagt werden können, ist dies meist nicht der Fall. Durch das
Feature der Replikation können Sie einen weiteren Server in Ihrer DMZ in Betrieb nehmen
und somit auch Geräte außerhalb des Firmennetzwerkes administrieren.


Weitere Szenarien der Replikation sind die Verwaltung mehrere Standorte mit eigenständigen
ERA-Servern. Hier können hierarchische Strukturen aufgebaut werden und zentral administriert
werden. Bei Fragen zu ESET Remote Administrator und die Implementation stehen wir Ihnen jederzeit
gerne mit Rat und Tat zur Verfügung.

 

hp ist Hardwarepartner von lachenmair.info

Unser neuer Hardwarepartner hp produziert Drucker für jeden Bedarf, ob privat, für mittelständige oder für große Unternehmen. Wir beraten Sie, welches Produkt für Sie ideal ist, ob für den Fotodruck, Briefverkehr, das Drucken größerer Dokumente oder zum Kopieren.

Von hp beziehen wir nicht nur aus ihrem vielfältigen Angebot aus Druckern, sie liefern auch Server hoher Qualität. hp bietet Lösungen für spezielle Anforderungen an, damit Ihre Infrastruktur effizienter funktioniert. Ihr Unternehmen erhält dadurch die nötige Flexibilität, um Herausforderungen im Zusammenhang mit großen Datenmengen, Virtualisierung und anderen Anforderungen an die IT-Infrastruktur zu bewältigen.

Als registrierter hp-Partner beraten wir Sie gerne und finden zusammen mit Ihnen die richtigen Produkte für Ihre Bedürfnisse, egal ob es sich um einen Drucker für die private oder geschäftliche Nutzung handelt oder einen Server für ihr internes Netzwerk. Hier sind wir gerne Ihr Ansprechpartner für IT-Lösungen und Computer. lachenmair.info – IT-Lösungen aus der Region!

aktuelle Infos aus der Schmiede der lachenmair.info

In grossen Schritten schreitet das Jahr 2013 voran. Das erste Quartal neigt sich dem Ende zu,
höchste Zeit ein Update zu neuen Projekten zu geben:

losstech:
Als Vorbereitung für die Cebit halfen wir der losstech beim Aufbau des Blogs.
Wir konzipieren und betreuen das Blog und unterstützen beim Aufbau des Facebookauftritts.
Als dritte Aufgabe haben wir ein Auge auf den Firmentwitter-Account @losstech_gmbh.
In Form von Blogeinträgen und Workshops coachen wir das Team zur Übernahme des
Social Media Kanals des Unternehmens.

Komplettbetreuung eines Unternehmens:
Zusammen mit unserem Partner greinerteam betreuen wir in Zukunft einen Kunden in
Penzberg in allen EDV-Fragen. Wir betreuen folgende Bereiche:

  • Netzwerk und Server
  • Telefonie via Voice over IP mit Hosted PBX
  • Warenwirtschaftssystem SAGE GS Auftrag
  • Arbeitsplätze
  • Internetanbindung

Ein erstes Projekt konnte bereits erfolgreich umgesetzt werden. Die Kernkomponenten
des Netzwerks wurden erneuert und gegen HP-Hardware für zukünftige Aufgaben
getauscht. Das nächste Projekt ist die Inbetriebnahme eines neuen Servers und die
Migration des bestehenden Small Business Servers auf die neueste Version. Hier kommen
Produkte von HP, APC und VMWare zum Einsatz. Als Virenscanner wird ESET verwendet.
Neben dieses ersten Projekten sind bereits weitere Schritte geplant, unter anderem wird
der Internetanschluß an allen Standorten auf M-net umgestellt.

Gründungsberatung:
Im Bereich der Beratung konnten wir einen neuen Kunden gewinnen. Hier werden wir als
Berater bei der Unternehmensgründung und beim Aufbau des Unternehmens helfen.
Sobald hier mehr kommuniziert werden darf, folgen Informationen.

Neben diesen Projekten konnten wir schon einige kleinere Projekte bei Kunden in
den letzten Monaten abwickeln und abschliessen. Angefangen vom Verkauf
von Internetanbindungen mit M-net über Verkauf von Hardware bis hin zur
Umsetzung von Projekten im Voice over IP-Umfeld. Eines dieser Projekte war
die Einführung von QoS (Quality of Service) in mehreren Niederlassungen. Hier
war die Anforderung die Übertragung von Telefongesprächen und Faxen innerhalb
des Firmen-VPNs zur Telefonanlage in der Zentrale sicherzustellen.

Alles in Allem ein spannender Start ins Jahr 2013. Haben Sie Fragen zu unserem
Portfolio, zu unseren Produkten oder wünschen einen Informationstermin?
Nutzen Sie unser Kontaktformular!