Donnerstag, 15.02.2007 - 11:42

Wenn Technik zu klug wird

Manchmal versucht so ein Häufchen aus Silizium und Plastik klüger zu sein, als es wirklich ist. Man nehme als Zutaten für den folgenden Anfall von Intelligenz: Einen Cisco Aironet Access Point, einen Netgear Power over Ethernet Switch und einen Cisco 2924 Switch. Verbindet man den Aironet mit dem PoE-Switch (der Netgear ist "dumm", also nicht managebar, er soll lediglich Strom liefern), dann passiert, was man erwartet: Der Access Point bootet, man kann ihn konfigurieren, er stellt fest, daß genügend Strom für alle Funktionen an seinem Port zur Verfügung steht. Prima!

Irgendwann ist die Konfiguration dann komplett und bereit, in ein vorbereitetes Netzwerk eingeklinkt zu werden. Was also tut der sachkundige Admin? Er konfiguriert auf dem zentralen 2924 einen Port, die die fraglichen Netze bereitstellt und verbindet diesen mit dem Uplink-Port des Netgear. Das, was nun folgt, kommt allerdings gänzlich unerwartet: Der Access Point stellt den Betrieb seiner Funkschnittstellen unversehens ein - wegen Mangel an Strom, wie man der Consolen-Meldung entnehmen kann. Aber Mangel an Strom? Wie bitte? Der 2924 hat doch ein eigenes Netzteil, den kann man gar nicht über PoE versorgen - wieso also mangelt es dem Access Point also plötzlich an Strom?

Des Rätsels Lösung: Der Cisco Switch sendet CDP Pakete mit diversen Infos. Der Netgear als dummer Switch leitet diese Pakete einfach nur weiter. Folglich denkt der Access Point, er hinge an Port Fas 0/19 des 2924 - der laut CDP allerdings kein Power over Ethernet zur Verfügung stellt. Der AP denkt also, er hätte nun gar keinen Strom und stellt lieber schnell seine Radios aus (mit passender Log-Meldung). Auf die Idee, daß dies zu loggen ihm nur gelingen kann, solnge er denn in Wirklichkeit noch Strom bekommt, kommt der AP allerdings nicht.

Die Sache ist relativ einfach lösbar (dies wird in der Logmeldung auch vermittelt), indem dem AP mitgeteilt wird, daß er unabhängig von CDP Konfigurationen davon ausgehen möchte, daß dort ein Inline Power Injector den Strom liefert. Ich frage mich allerdings an wievielen Stellen das nicht in der Konfiguration steht, weil an dem dummen PoE Switch kein weiterer Cisco Switch hängt. Dort könnte man ja spaßeshalber mal versuchen, ob man so eine WLAN Wolke mit ein paar gezielten CDP-Falschmeldungen nicht einfach ohne jegliche sonstigen Zugriffsrechte abschalten kann...

Posted by ob | Permalink | Categories: TechTalk

Dienstag, 06.02.2007 - 12:28

Terroristen? Von mir aus! Aber wer schützt uns vor Schäuble?

Inspiriert von reichlich verstörenden Meldungen in diversen Medien und wohlwissend, daß ich nicht der Erste und hoffentlich nicht der letzte sein werde, der seinen Senf dazu gibt, ist dieses Thema allzu provokant, als daß ich es an dieser Stelle unerwähnt lassen könnte.

In Kürze: Strafverfolger haben versucht, einen Status Quo zu schaffen und sich mit kriminellen Methoden heimlich Zugang zu anderer Leute Rechner zu verschaffen. Methoden, die von Spammern, Phishern und irgendwelchen Script-Kiddies angewendet werden -und in diesem Falle mit nicht allzu geringen Strafen bedacht werden. Der Bundesgerichtshof hat nun entschiedenen (StB 18/06), daß diese Praxis mit den bestehenden Gesetzen nicht vereinbar ist.

Die Schlußfolgerung, die Herr Schäuble daraus zieht ist nun nicht etwa, daß man sich an Gesetze halten müsse, sondern daß man gesetze dahingehend ändern müsse, daß diese Maßnahmen forthin legal seien. Mit der Intelligenz eines vierjährigen Kindes, das die Regeln eines Spiels ändert, wenn es sich davon einen Vorteil verspricht, soll nun (und man muß leider sagen: mal wieder) an Gesetzen herumgedoktert werden, die die Freiheit der Bürger schützen sollten. gesetze, die entstanden sind unter dem Eindruck dessen, was ein totalitärer Staat anzurichten vermag. Eigentlich müßten wir in Deutschland um den Schaden einer allgegenwärtigen Überwachung und Bespitzelung zu verstehen ja nicht einmal die mir sonst lästigen Nazi-Vergleiche ziehen. Es reicht, wenn wir nichteinmal 20 Jahre in die Vergangenheit blicken und uns zu Gemüte führen, was ein sich verselbständigender staatlicher Überwachungsapparat bedeutet.

Begleitet wurde die gräßliche Arie des Herrn Schäuble von einem Chor zutiefst widerwärtiger Rhetorik, die versucht Schreckensszenarien zu malen - ohne indes irgendeine faktische Grundlage vorzuweisen. Die Universität des Terrors sei das Internet, man verlange Behinderungen durch das Datenschutzrecht zu beseitigen hieß es von Seiten des Bundes Deutscher Kriminalbeamter bzw. der Gewerkschaft der Polizei.

Ich fühle mich von meinem Staat, der mich ganz offensichtlich als Feind betrachtet, wesentlich mehr bedroht als von ein paar bärtigen Fanatikern. Wer schützt mich vor den Spinnern in unserer Regierung? Das Parteiensystem unter Lobbyisten-Kontrolle hat als demokratisches Instrument schon lange versagt, diese große Koalition jedoch gibt den schwachen Resten der Rechtsstaatlichkeit offensichtlich den Todesstoß.

Das Handeln der für die "innere Sicherheit" zuständigen Personen entscheidet sich in seinen Strukturen kaum von dem religiöser Fanatiker. Die einen interpretieren den Koran (oder die Bibel - diese fanatiker will ich keinesfalls außer Acht lassen!) in einer Weise, daß ihnen eine moralische Begründung zur Verfügung steht, tausende zu unterdrücken und gegebenenfalls ihre Ansichten mit Gewalt durchzusetzen, die anderen interpretieren, verbiegen und gestalten unsere Gesetze in einer Weise, die ihnen das gleiche ermöglicht. Machterhaltung auf Kosten anderer ist das dahinterstehende Prinzip. Vom Idealbild einer Dmeokratie mit einem Staat, der den Bürgern dient ist das eine soweit entfernt wie das andere.




Aber dieses Blog wäre nicht das Blog eines Sysadmins, wenn es nicht auch die technische Seite beleuchten würde. Oh, wie ich mich freue, wenn eine Szene technsich versierter Menschen den Bundestrojaner in seine Einzelteile zerlegt. Ich werde mit allen mir zur Verfügung stehenden Mitteln - und im Kampf gegen Spam und Viren hat sich da einiges angesammelt - weiterhin versuchen, die Ausbreitung von Schadsoftware zu verhindern. Und um nicht anderes handelt es sich. Virenscanner und Blacklists für einkommende E-Mails, Heuristiken und Firewalls um die Spyware-Verbindungen zu verhindern, die letztlich die Informationen nach außen leiten - all das gibt es und all das wird jetzt noch viel attraktiver.

Das Mißbrauchspotential einer solchen Software ist immens - noch sehr viel größer als bei all den anderen politischen Entscheidungen, die die Sicherheit des Internet nachhaltig gefährden. Ich wünsche mir Schadensersatzklagen, die das Budget der ermittelnden Abteilungen sprengen - und ich wünsche mir, daß diese nicht aus Steuermitteln sondern von den politisch verantwortlichen persönlich bezahlt werden. Und sollte mir so ein Bundestrojaner jemals in die Finger fallen werde ich nicht zögern, ihn freundlich an eine große Menge von Mailboxen diverser Politiker und Polizeidiensstellen zu verschicken - das wird ein Spaß!

Posted by ob | Permalink | Categories: Leid