Archiv der Kategorie: Workaround

Work around & troubleshotings

Digital Signage selber gemacht

Unter dem Begriff Digital Signage wird der Empfangsbildschirm und Begrüßungsbildschirm verstanden. An den Stellen, an denen sich Informationen tagtäglich mehrmals ändern, sind digitale Lösungen für Info- und Begrüßungsbildschirme bei Unternehmen, in der Hotel Lobby oder öffentlichen Veranstaltungen anzutreffen.

Informationsbildschirme zur Besucherbegrüßung

bieten vielseitige Möglichkeiten und vermitteln einen professionellen Eindruck. Denn gerade hier gilt: „Der erste Eindruck zählt!“ Es soll Besucher Faszinieren und dem Kunden gleich beim ersten Kontakt eine optimale Atmosphäre verschaffen.

Auf dem Markt bieten sich diverse Produkte an, als Software oder als Cloud-Lösung. Es werden zeitgesteuerte Begrüßungen, Raumbelegungen, Veranstaltungen, Mitarbeiter-Infos und Zeitpläne vom eignen Computer oder Tablet aus, auf entfernten Bildschirmen angezeigt.

In diesem Beitrag wird beschrieben, wie ein Digital Signage selber umgesetzt werden kann, als Basis dazu dient die Software FrontFace von Mirabyte, die Hardware besteht aus einem Intel NUC Barebone PC, es wird also kein Cloud Dienst in Anspruch genommen.

Warum kompliziert, wenn es auch einfach geht?

FrontFace for Public Displays kann auf jedem Windows PC (Windows 7, 8.1 oder 10) eingesetzt werden und kann beliebige Flachbildschirme, Fernseher oder Monitore ansteuern! So braucht man keine proprietäre und teure Hardware anzuschaffen. Die Einrichtung eines Servers oder Änderungen an der Firewall ist nicht erforderlich. Die Installation und Inbetriebnahme von FrontFace ist in 15 Minuten erledigt!

Der Player PC

Die Systemkomponenten des Player PC bestehen aus einem Intel NUC mit 4 GB DDR4 Memory und 120 GB M.2 SSD Speicher.




Player-PC mit Bildschirm verbinden

Die meisten Flachbild-TV und Bildschirme verwenden HDMI. In diesem Fall braucht es also ein HDMI-Kabel. Weitere Standards sind VGA, DVI, DisplayPort und Mini DisplayPort. Es gibt auch Adapter mit denen die Anschlüsse eines Kabels umgewandelt werden können (z.B. HDMI zu DisplayPort).



Für die Wandmontage eignet sich die bewegliche TV-Wandhalterung WALL 3145, diese trägt Fernseher mit einem Gewicht von bis zu 15 kg. Mit der WALL 3145 lässt sich nahezu jeder Fernseher zwischen 19″ und 40″ (48-102 cm) an der Wand montieren.

Präsentationssystem

FrontFace for Public Displays ist ein leistungsfähiges Präsentationssystem mit integriertem Content Management, welches es ermöglicht, auf einfache weise Bildschirme und Großbildschirme, zentral und zeitgesteuert mit beliebigen Informationen, Inhalten und Medien zu versorgen. Egal ob mit Bildern, Videos, Texten, PDF-Dateien, RSS (Nachrichten-Schlagzeilen), Wetterinformationen oder Webseiten im HTML-Format – mit FrontFace geht das ganz einfach! Dank der genialen Print2Screen-Funktion können Inhalte sogar aus beliebigen Anwendungen (PowerPoint, Word, Excel, etc.), die über eine Druckfunktion verfügen, in erstklassiger HD-Qualität mit nur einem Klick erstellt und eingebunden werden.

Das Software Paket besteht aus FrontFace Assistent und FrontFace Player, der Player wird auf dem Intel Barebone PC installiert, dieser über das HDMI Kabel mit dem Flachbild-TV verbunden ist. Der FrontFace Assistent kann auf beliebig vielen Computer installiert werden, wo die Präsentation zusammengestellt, und anschließend zum Player übertragen wird.

Quellen Link: https://www.mirabyte.com

 

FortiClient SSL-VPN Failed

Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options. (-5029)

Beim FortiClient kann der aufbau einer SSL-VPN Verbindung zur FortiGate folgende Warnung ausgeben.

Symptom

Ursache

Das mittlerweile veraltete kryptografische Protokoll TLS 1.0 ist ab FortiOS 6.0 per default nicht mehr aktiviert. Es wird empfohlen mindestens TLS 1.1 (Cipher Suites) für Authentifizierung und Datenverschlüsselung  zu verwenden. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) genehmigt wurde.

Lösung

Möchte man ältere Clients weiter verwenden, die man im verlauf einer Migration über Update Rollout erst später mit TLS 1.2 oder höher einsatzbereit hat, kann auf der FortiGate das TLS 1.0 aktiviert werden.

Überprüfen der aktuellen TLS Einstellung, aus der FortiGate Console mit CLI Command:

Im CLI die Cipher Suite TLS 1.0 aktivieren.


Auch kann beim Client die TLS Version aus dem Windows Snapin (inetcpl) Internet Option angepasst werden.

+ R und der Eingabe von inetcpl.cpl

Im Fenster Eigenschaften von Internet – Erweitert, die TLS Version 1.0, 1.1 und 1.2 aktivieren.

Weitere Problemlösungen

Bei älteren Windows Versionen, oder bei Router mit PPPoE Internet Anbindung, können Fehler beim aufbau von SSL-VPN Verbindungen wie folgt behoben werden.

Es erscheint im FortiClient die Fehlermeldung:

Unable to establish the VPN connection. The VPN server may be unreachable (-5)

Dazu überprüft man die MTU grösse der Netzwerkschnittstellen, mit folgendem Befehl aus einer geöffneten Eingabeaufforderung

Die Ausgabe kann in etwa wie folgt aussehen:

Die MTU Size überprüfen und ggf. auf 1400 anpassen. In einer als Administrator geöffneten Eingabeaufforderung, mit ausführen von netsh.

Alternativ dazu Regedit aufrufen und zu folgendem Schlüssel navigieren.

unter dem entsprechenden Interface mit der passenden IP Adresse, hier {222e135b-d09c-47a3-9236-63a041a02ea6} den Schlüssel MTU mit Wert 578 Hexadecimal ändern.

Nach einem Computer neustart kann die SSL-VPN Verbindung aufgebaut werden.

Cookie-Hinweise Blockieren

Wer im Netz unterwegs ist, stößt derzeit ständig auf Cookie-Hinweise, die den Nutzer daran erinnern, dass sein Surfverhalten aufgezeichnet wird. Vor Jahren von der EU als nützliche Datenschutzinformation eingeführt, ist die jetzige Flut dieser Hinweise für viele Nutzer nur noch ein lästiges Hindernis.

Dieser Hinweis ist meiner Meinung nach relativ sinnlos, weil fast jede Website Cookies verwendet. Eine aktuelle Studie spricht etwa von 95 Prozent aller Websites, die das Surfverhalten der Nutzer mit Cookies und anderen ausgefeilten Methoden systematisch aufzeichnen.

Google löste Hinweiswelle aus

Eigentlich hat die EU bereits 2009 in der Cookie-Richtlinie festgelegt, dass eine Website das Onlineverhalten seiner Besucher nur dann speichern darf, wenn der einzelne User dem vorher zugestimmt hat. Die EU-Vorgaben wurden allerdings nie umgesetzt. Als gängige Praxis wurde bisher die Aufklärung mittels Datenschutzerklärung im Impressum als ausreichend angesehen.

Hinter der jetzigen Flut an Cookie-Hinweisen steckt ausgerechnet Google, der mit Abstand größte Datensammler im Internet. Im Herbst letzten Jahres verpflichtete Google all seine Werbepartner, die EU-Richtlinie zu befolgen und auf Cookies hinzuweisen. Das Ergebnis bekommen die Nutzer seit Monaten massenweise zu sehen.

Cookie weiß was Nutzer tun

Bei jedem Websitebesuch hinterlässt der Nutzer Spuren. Diese werden von den Betreibern der Websites gespeichert und ausgewertet. Das nennt man Tracking. Dabei kommen unter anderem Cookies zum Einsatz, kleine Textdateien, welche die personenbezogenen Informationen direkt auf dem Computer des Nutzers speichern. Ursprünglich wurden die Cookies eingeführt, um sich zu merken, was der Benutzer vorher auf der Seite gemacht hat. Auch Facebook nutzt die Technik rigoros um anhand des Surfverhalten der Nutzer die passenden Produkte platzieren zu können.

Cookies zeichnen klares Bild des Nutzers

Mit Hilfe der Cookies können die Websitebetreiber genau nachvollziehen, welche Videos wann angeschaut und welche Produkte wie oft aufgerufen wurden. Aus einer Fülle von Einzeldaten zeichnen sie so eine ausführliche Datenspur, die ein klares Bild des Nutzers ergeben.

Sollte man manche Cookies also besser nicht erlauben? Das gezielte Ausschalten einzelner Cookies ist technisch möglich, aber unrealistisch für den Endnutzer. Das Blockieren aller Cookies ist hingegen technisch einfach möglich, hat aber den Nachteil, dass dann viele Funktionen von Webseiten einfach nicht mehr funktionieren. Zum Beispiel das automatische Log-in und das Hinterlegen von Produkten im Warenkorb.

Im Browser Cache gespeicherten Cookies löschen

Die im Browser Cache gespeicherten Cookies können mit Plugins wieder gelöscht werden, wie mit dem Click&Clean, dieses beim beenden des Browsers alle Cookies und bei bedarf den Verlauf und weitere Daten aus dem Cache entfernt.

Cookie-Warnungsblocker bringen Ruhe

Ein Browser Plugin mit dem bezeichnenden Namen „I don’t care about Cookies“ existiert bereits. Einmal im Browser installiert, werden die Hinweise einfach ausgeblendet. Auch Adblock und uBlock (Fanboy’s Cookiemonster List) bieten Filter gegen die massenhaften Hinweise an. Andere Filter wie zum Beispiel „Ghostery“ und „Disconnect“ zeigen an, wie viele Cookies auf welcher Website im Einsatz sind, denn bei vielen Websites weiß man nicht was alles im Hintergrund noch sonst so läuft.

uBlock Origin: Dashboard – Vorgegebene Filter

Selbst signierte Zertifikate

OpenSSL ist ein vielseitiges Kommandozeilen-Tool, das für eine Vielzahl von Kryptographischen Aufgaben im Zusammenhang mit Public Key Infrastructure (PKI) und HTTPS (HTTP über TLS) verwendet werden kann. Dieser Beitrag zeigt die Anwendung von OpenSSL für Zertifikate die für asymmetrische Verschlüsselung in Beta und Testaufgaben eingesetzt werden, die für interne oder in Entwicklungsumgebungen eingesetzt werden. Die mit kosten verbunden, CSR Certificate Signing Request Zertifikate lohnen sich für Testzwecke nicht die von einem Trusted CA Zertifikatsaussteller ausgestellt werden. Hierzu in einem Beispiel die Generierung eines privaten Schlüssels mit Zertifikat Ausstellung und dessen Signierung.

Open Secure Socket Layer protocol

Selbst signiertes Zertifikat erstellen

Bei diesem Beispiel wird ein Privater Schlüssel mit einer länge von 4096 bit generiert, dieser 10 Jahre gültig ist, es werden die X509 Distinguished Key Identifier definiert, mit der Verschlüsselung des SHA256 Algorithmus, abschliessend wird das Zertifikat selbst signiert.

Das so generierte Self-signed certificat dient zur Kryptographischen Verschlüsselung für HTTPS / TLS Server und Client, Code Signing, IP End Point Security (SSL-VPN) oder für S/MIME – E-Mail.

Das Zertifikat cert.crt wird anschliessend im Zertifikatspeicher importiert, dies zu Vertrauenswürdige Stammzertifizierungsstellen und zu den Eigenen Zertifikate.

Zertifikat-Snap-In
Abbildung: Zertifikat-Snap-In

OpenSSL – Open Secure Socket Layer protocol gehört bei den meisten Linux Distributionen zum Standard, die Windows Binaries stehen auf sourceforge zur Verfügung.

Download bei sourceforge

Wer mit dem OpenSSL Kommandozeilen-Tool nicht vertraut ist, kann das Tool X Zertifikat – xca verwenden, dieses in einer GUI sämtliche Optionen bietet.

X Zertifikat und Key Management ist eine Schnittstelle für die Verwaltung von asymmetrischen Schlüsseln wie RSA oder DSA. Es ist für die Erstellung und Signierung von Zertifikaten gedacht. Für die kryptographischen Operationen wird die OpenSSL-Bibliothek verwendet.

Features

  • Start own PKI and create all kinds of certificates, requests or CRLs
  • Import and export in any format like PEM, DER, PKCS#7, PKCS#12
  • Use them for your IPsec, OpenVPN, HTTPs or any other certificate based setup
  • Manage your Smart-Cards via PKCS#11 interface
  • Export certificates and requests to a OpenSSL config file
  • Create Subject- and/or Extension- templates to ease issuing similar certs
  • Convert existing certificates or requests to templates
  • Get the broad support of x509v3 extensions as flexible as OpenSSL but user friendlier
  • Adapt the Columns to have your important information at a glance

Download bei sourceforge

X-Certificate-Key-management
Abbildung: X Certificate and Key management

Bevor Schlüssel und Zertifikate generiert werden können, muss eine Datenbank mit <Ctrl+N> angelegt werden. Nach dem generieren eines Privaten Schlüssels kann ein neues Zertifikat erzeugt werden. Die Privaten Schlüssel sollten Passwort geschützt aufbewahrt werden. Wird ein Privater Schlüssel für unautorisierte verfügbar, ist das Zertifikat nicht mehr sicher und muss ersetzt werden.

Schlüssel und Zertifikat überprüfen

Privat Key Prüfen und ausgeben

Zertifikat anzeigen

Certificate Signing Request Prüfen und ausgeben

Überprüfung des Privaten Schlüssels, des CSR und des Zertifikates auf Echtheit.

Wenn die Ausgabe jedes Befehls identisch ist, ist die Wahrscheinlichkeit sehr hoch, dass das Zertifikat und der CSR mit dem private Schlüssel verwandt sind.

PuTTY neue Version

PuTTY veröffentlicht neue Version der SSH-Tools für Windows, unterstützt wird neu Elliptic Curve Crypto. Das PuTTY-Entwicklerteam um Simon Tatham hat eine neue Version des Windows-SSH-Clients veröffentlicht. Version 0.68 behebt einige Security-Probleme und soll nun versuchen die Programme zusätzlich mit Massnahmen wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu schützen. Es gibt nun eine 64-Bit-Version der PuTTY-Tools für Windows. Neu ist der Support von Elliptic-Curve-Kryptografie, wie ihn etwa auch OpenSSH bietet. Das neue Format für Private Keys unterstützt nun PuTTY ebenfalls.

Das grafische Frontend der Unix-Version von PuTTY lässt sich nun mit der GUI-Bibliothek Gtk3 übersetzen. Den Authentifizierungsagent Pageant gibt es jetzt auch für Unix.
Download PuTTY

Das Packet besteht aus folgenden Applikationen:

  • PuTTY
    Terminalemulator mit Telnet-, Rlogin- und SSH-Client und der Möglichkeit, sich mit  einer lokalen serielle Schnittstelle zu verbinden (ab Version 0.59)
  • PSCP (PuTTY Secure Copy client)
    ein SCP-Client
  • PSFTP (PuTTY Secure File Transfer (SFTP) client)
    ein SFTP-Client
  • PuTTYtel
    Terminalemulator mit Telnet- und Rlogin-Client
  • Plink (PuTTY Link)
    PuTTY als Commandline-Tool (ohne grafische Oberfläche)
  • Pageant (PuTTY authentication agent)
    ein SSH-Agent, mit dem SSH-Authentifizierungen weitergereicht werden können
  • PuTTYgen (PuTTY Key Generator)
    erstellt RSA und DSA Keys, beispielsweise für SSH
  • pterm
    ein unabhängiger Terminal-Emulator