Link Aggregation einrichten

Link Aggregation ist eine Technik, bei der Mehrere Interfaces zu einem Zusammengefasst werden.
Sie wird eingesetzt um den Datentransfer zwischen zwei Geräten zu erhöhen und für Redundanz zu sorgen.

!ACHTUNG, Terminologie-Fu! 
Hersteller von Netzwerkhardware nutzen nicht immer die Selbe Terminologie!
Zum Beispiel nennt HP das zusammenfassen von interfaces "Trunking" und zusammengefasste Interfaces einen "Trunk".
"Trunking" ist ein Begriff der von Cisco und Juniper im V-Lan (802.1q) Kontext genutzt wird um Interfaces zu beschreiben, über welche V-Lan Tagged Traffic ausgetauscht wird.
Ein solches Interface wird als "Trunk Port" bezeichnet, bei HP nennt es sich "Tagged Interface".
Wenn Ihr Netzwerkhardware mehrerer Hersteller in eurem Netzwerk habt und V-Lan tagged traffic über aggregated interfaces schickt müsst ihr auf eure Sprache achten!
(Vor allem, wenn mehrere Parteien involviert sind!)

Das geläufige Protokoll für diese Technik ist das Link aggregation control protocoll (LACP).

Einrichtung

In diesem Beispiel werde ich die Interfaces 13, 14 und 15 an einem Meraki MS225 - 24 Port Switch zu einem AE (Aggregated Interface) zusammenfassen und die V-Lan Config des AE anpassen.

Um die AE zu konfigurieren, wählt Switch > Monitor > Switch ports aus.

Hier wählt Ihr dann die Ports aus, die Ihr zu einer Portgruppe zusammenfassen wollt und klickt in der Kopfzeile auf Aggregate.

Diese AE wird in der Switchports Übersicht jetzt auch als ein Interface gelistet und kann wie eines konfiguriert werden.
Beispielsweise als Access Port für ein bestimmtes V-Lan.

 

Cheers,
Ori


AppxPackages... Danke Microsoft!

Ich bin immer wieder erstaunt wie nett Microsoft doch ist.
Ich habe grade aus Umzugsgründen nur ein bedinktes Datenvolumen auf einem Sufstick und dachte oh wunder, wo kommt all der Traffic her. Ich warf also einen Blick in den Reiter App-Verlauf des Task-Manages und siehe da, es tauchen Anwendungen auf, die ich nicht installiert habe.

Aha, interessant.
Schauen wir doch mal in den Appwizzard.
(Windows + R --> appwiz.cpl)

Hier taucht z.b. XING nicht auf...
Also kurz Google angeworfen und herausgefunden, dass es sich

  • um vorinstallierte Apps handelt
  • mit dem neuen creators Update so dinge wie Bubble Witch Saga installiert wurden...

Danke Microsoft, wär doch nicht nötig gewesen.
Diese vorinstallierten Anwendungen nennen sich AppxPackage.

Mit folgendem Befehl bekommen wir erstmal eine Übersicht darüber, was sich auf dem System so alles Tümmelt.
Get-AppxPackage | findstr ^Name

Mit einem Pipe nach Findstr können wir nach Paketen suchen, die wir entfernen wollen.

Dann könnt ihr das nach Remove-AppxPackage pipen und schon wird die Software deinstalliert.

So könnt ihr auch über eine Gruppenrichtlinie in der Domäne wieder aufräumen, nachdem die Creators Updates randaliert haben.

Cheers,
Ori


Mailweiterleitungen einrichten

Um Mailweiterleitungen in der G Suite einzurichten, meldet euch zunächst auf admin.google.com an.
Dort geht Ihr dann auf Apps > G Suite.

Dort klickt Ihr dann unter Status der Apps in allen Organisationseinheiten auf Gmail.

Scrollt dort ganz nach unten und geht auf Erweiterte Einstellungen.

Scrollt dann in dem Reiter Allgemeine Einstellungen nach unten, bis zu Adressenzuordnung für Empfänger.
Ein Mouseover macht den Konfigurieren Knopf sichtbar.

Hier wird jetzt definiert zunächst definiert, ob die Weiterleitung nur externe Mails oder alle gelten soll.
Anschließend hat man die Möglichkeit die Weiterleitung so einzurichten, dass auch der Ursprüngliche Empfänger die Mail noch erhält.
Und zuletzt trägt man kommasepariert ein, von welchen Empfänger auf welchen neuen Empfänger die Mails weitergeleitet werden sollen.
Mann kann auch direkt mehrere Weiterleitungen einrichten, eine pro Zeile.
So können direkt exportierte CSVs benutzt werden.

Cheers,
Ori


Mapping users to devices using SMB sessions

If you cannot find out what user is working on a specific device using PSexec or PSloggedon, this trickt might help.

Go to the fileserver, start an administrative powershell and run get-smbsession.
This will list all currently open smb sessions.
This way you can map user accounts to IP addresses.

To filter for the IP address you are looking for you can pipe to findstr.
If I am looking for an IP that has 130 in the fourth octett like 10.20.30.130 it would look like this.

get-smbsession | findstr .130.

Cheers,
Ori


Usern mittels SMB Sessions Geräten zuordnen

Wenn ihr nicht mit PSexec oder PSloggedon herausfinden könnt, welche user auf einem bestimmten Gerät arbeiten, kann dieser Trick helfen.

Geht auf den Fileserver und gebt in einer administrativen Powershell get-smbsession ein.
Dies listet, welche user aktuell auf Freigaben zugreifen.
So könnt ihr direkt einen User einer IP zuordnen.

Um direkt nach einer IP zu filtern, die Ihr sucht, könnt ihr den command nach findstr pipen.
Wenn ich nach einer IP suche die im letzten Oktett 130, also z.b. 10.20.30.130 hat sieht das so aus.

get-smbsession | findstr .130.

Cheers,
Ori


Identifying Interfaces by flashing thier led's

You can use the ethtool to identify a network interface.
ethtool -p <interface>

You can see the result at the yellow blinking LED below.

Unfortunately not every network interface supports this feature.

Cheers,
Ori


Interfaces blinken lassen per ethtool

Um eine Netzwerkkarte zu identifizieren, kann man das ethtool benutzen.
ethtool -p <interface>

Zu sehen an der gelben LED neben dem Interface.

Leider unterstützt nicht jede Netzwerkkarte dieses feature.

Cheers,
Ori


00_Git

Git is a open source distributed version control system.
What does that mean?

The job of a Version Control System is to save files, provide access to them and document changes made to those files. Documented changes are what has been changed when by whom. Normally these systems get used to manage source code, however other types of data can get versionized in that manner as well. Often systems like this get referred to as a CVS rather then a VCS. It means the same.

In case it gets necessary to rollback to a version prioror to a specific change using Git or another VCS it is not a hard task. In software development companys there usually is a server that is running a VCS and the employees are connecting to that resource to apply changes to the code.

One problem with this is that this resource is only available inside the company network. If you are not in, have no VPN to the company network or the internet on one of the branches fails, you cannot commit changes to the code.

Before diving into the most common git terms and the concepts underneath them lets take a look at the distrubuted I mentioned in the beginning. In a classic VCS there is a centralized server that keeps track of code changes.

Distributed in this case means that EVERY user has a local copy of ALL changes. The advantage of this is that most of gits functions can be used without connecting to any server.

You are probably already realizing that versioning has a lingo in itself.
Earlier I was speaking of applying changes to code then I used the term committig changes.

Let me show you the most frequent terms you will face and what they mean.

Git Lingo
Pull - to download or refresh files that have been downloaded in the past and the related change history for those files

Commit - uploading or applying changes to files

Yes GIT does run on windows and it has a GUI.
No I will not get into that.

Now that this is out of the way, let us begin.
If git is already installed on your system you can find out by typing git --version

(To get git integrated into the shell, like in the screenshot above, take a look at my OhMyZsh Post 1 and Post 2.)

If git is not installed in your distro, you can install it using apt, yum, rpm etc.

apt install git

Cheers,
Ori


Setting up a SNAT

A SNAT or source NAT lets you redirect packets that are beeing sent to a specific IP and Port.

Lets say wo want to have a server in your internal network that you want to be able to ssh into using your Public IP on port 2022.

In the Policy Manager go to Edit > Add Policy...

There go to Manage Custom... > New... > Add... > Server Port: 2022

This way you define a template for a firewall rule that is looking at traffic inbound on port 2022.

Select this new template and select Add Policy...
Here you choose Any-External in the From field and at the to field click on Add... > Add SNAT... > Add... > Add... >

At IP Address or Interface you define the external IP that you want to connect to. At host the IP in your local network.

Now check the box that says set internal port to a different port to redirect traffic incomming on port 2022 to port 22.

Cheers,
Ori


Monitoring RegKeys

In this article I want to show you how you can use the Process Monitor from the Sysinternals of Microsoft to monitor the changes made to Registry Keys.

Also I use the Process Explorer, wich is a more powerfull Taskmanager ist. However the Taskmanager will do as well.

When you start the Process Monitor (procmon.exe) you will be presented with a filter pop-up.
Thank you, very intrusive of you.

Here you can filter what sort of activity you want to monitor.
Lets take a look of the installation process of WinRAR.

Start the installation and check for the PID (Process ID).

Select in the head of the

Wählt dann in der Kopfzeile des Filterdialoges PID is <PID> then include aus.

As in this filter options you also define what sort of events you do NOT want to see we will have to disable the filter for RegKeys.

Double negative and stuff.

After about 30 Seconds of software installation later procmon has filtered 2.5 million events and is displaying about 2600 that might be interresting to us.

Good but not good enaugh.
At this point I save (Strg + S) the results to a CSV file.

Then I open them in Excel to have a closer look at them.
Then I import the same data from the CSV again. Because.

Just leave all values on default, meaning that Excel expects values seperated by a comma from a CSV (Comma Seperated Value) file.

Now I can filter for single Registry Events.

Lets take a look at the most interresting Events.
RegCreateKey
RegSetInfoKey

That narrows it down to four.

Start the Windows Run dialog using Windows + R and enter RegEdit.

This way you can edit the Windows Registry.

If you want to learn more about the Windows Registry check out this techconsumerguide article on the subject.

Internet Explorer\BrowserEmulation does not sound that interresting.

Lets look at Software\WinRAR SFX an.
This RegKey holds the path to the WinRAR.exe.

Lets look at SyncRootManager.

Not all that impressive but I think you get the point.

Cheers,
Ori