Kategorie: Tutorials

Netzwerkanalyse mit Wireshark: Nützliche Filter-Befehle

Wireshark Logo

Wer den heimischen Netzwerkverkehr detailliert untersuchen möchte, kommt an Wireshark nicht vorbei. Aber auch in Unternehmen kommt Wireshark oft zum Einsatz. Das kostenlose Programm ermöglicht die Aufzeichnung und Analyse von Datenverkehr einer Netzwerk-Schnittstelle. Alternativ kann der Datenverkehr auch an einem anderen Gerät aufgezeichnet werden. Zuhause bietet sich ein Paketmitschnitt beispielsweise direkt am Router an. Bei einer FRITZ!Box kann dies über die URL http://fritz.box/support.lua erledigt werden. Die Daten können dann wiederrum mit Wireshark ausgewertet werden.

Wireshark stellt den Datenverkehr übersichtlich, in Form von einzelnen Paketen dar. Für eine detaillierte Analyse muss der Inhalt nach bestimmten Kriterien gefiltert werden. Dazu kommt der sogenannte Display-Filter zum Einsatz:

Wireshark Display Filter

Der Display-Filter ist sehr flexibel und ermöglicht ein breites Spektrum an verschiedenen Filtern. Außerdem stehen verschiedene Operatoren bereit, um einzelne Filterbedingungen miteinander zu verknüpfen. Nachfolgend eine Übersicht der wichtigsten Filtermöglichkeiten:

Nur Pakete anzeigen, die von / zu einer bestimmten MAC-Adresse empfangen / gesendet werden.

eth.addr == 00.07.0a.15.c3.fa
eth.src == 00.07.0a.15.c3.fa
eth.dst == 00.07.0a.15.c3.fa

Nur Pakete anzeigen, die von / zu einer bestimmten IP-Adresse empfangen / gesendet werden.

ip.addr == 192.168.10.55
ip.src == 192.168.10.55
ip.dst == 192.168.10.55

Alle Pakete anzeigen, in denen eine bestimmte IP nicht auftaucht.

!ip.addr == 192.168.10.55
not ip.addr == 192.168.10.55

Alle ICMP-Pakete anzeigen.

icmp

Zeigt nur verschlüsselte Verbindungen an.

ssl

Zeigt nur HTTP-Traffic an.

http

Zeigt nur SNMP-, DNS- und ICPM-Traffic an.

snmp || dns || icmp
snmp or dns or icmp

Zeigt alle Pakete an, die den TCP-Port 25 als Quelle oder Ziel haben.

tcp.port == 25

Alle Pings zu bzw. von einer bestimmten IP-Adresse anzeigen.

ip.addr == 192.168.10.55 && icmp
ip.addr == 192.168.10.55 and icmp

Zeigt nur Pakete an, die einen bestimmten Text enthalten.

tcp matches "text"
tcp contains "text"

Zeigt alle Pakete an, die doppelt übertragen wurden.

tcp.analysis.retransmission

FRITZ!Box „Service Code“ auslesen und dekodieren

FRITZ! Logo

Alle FRITZ!Boxen verfügen über einen sogenannten „Service Code“, welcher einige nützliche Informationen über den Router bereithält. Der Code kann über Telnet oder SSH mit dem Befehl „run_clock -S“ aufgerufen werden. Zusätzlich lässt er sich auch über den Browser generieren. Dazu muss lediglich die URL http://fritz.box/cgi-bin/system_status aufgerufen werden.

Meine FRITZ!Box liefert beispielsweise folgende Ausgabe:

FRITZ!Box Fon WLAN 7390B04171100012153317673474414790284060428179avm

  • FRITZ!Box Modell (Name)
  • Annex
  • Gesamtlaufzeit der Box (Stunden, Tage, Monate, Jahre)
  • Neustarts
  • Hash
  • Status
  • Firmwareversion
  • Sub-Version
  • Branding

(via)

Kategorien: Hardware Tutorials

Alle Passwörter aus der FRITZ!Box auslesen

FRITZ! Logo

Zwischenzeitlich existiert eine einfache und zuverlässige Methode, wie ihr alle Passwörter aus eurer FRITZ!Box auslesen könnt. In meinem Artikel „Passwörter aus der FRITZ!Box auslesen reloaded“ habe ich alles weitere beschrieben.

Wie ich in meinem Artikel beschrieben habe, ist AVM gerade dabei, die Sicherheit der FRITZ!Boxen zu erhöhen. Unter anderem wird die „debug.cfg“ entfernt und das kleine Tool „allcfgconv“ wurde überarbeitet. Mit „allcfgconv“ lassen sich Passwörter und Zugangsdaten aus den Konfigurationsdateien der FRITZ!Box auslesen. In der neuen Version wurde der c-Switch entfernt, wodurch die verschlüsselten Passwörter nicht mehr im Klartext ausgegeben werden können.

Für dieses Problem existiert aber ein relativ einfacher Workaround, den ich euch kurz aufzeigen möchte. Es wird lediglich ein Telnet- bzw. SSH-Zugang zur FRITZ!Box sowie eine ältere Version von „allcfgconv“ benötigt.


Achtung: Es ist möglich, dass AVM diesen Workaround mit zukünftigen Versionen ebenfalls blockieren wird.

  1. Wenn ihr Glück habt, findet ihr noch eine entsprechende Firmware-Version bei AVM: ftp://service.avm.de/Downgrade/ oder http://download.avm.de/fritz.box/. Wenn nicht müsst ihr euch die Firmware von wo anders besorgen.
  2. Anschließend muss die .image-Datei mit 7-Zip geöffnet und zum Pfad „.\var\tmp\“ navigiert werden. Dort interessiert uns die Datei „kernel.image„. Wenn das Entpacken nicht funktioniert, solltet ihr die neueste 7-Zip-Beta-Version verwenden!
  3. Die Datei wiederrum entpacken und anschließend öffnen. Im Ordner „bin“ befindet sich das von uns gesuchte Programm „allcfgconv„. Allerdings handelt es sich bei der Datei „kernel.image“ um das Speichersystems der FRITZ!Box, welches mit dem Dateisystem „squashfs“ formatiert ist. Daher ist das Entpacken nicht ganz so einfach. Weitere Infos findet ihr in diesem Foren-Thread (danke an Speedy!).
  4. Das Programm am besten auf einen USB-Stick kopieren und an die FRITZ!Box anschließen.
  5. Via Telnet oder SSH auf die FRITZ!Box verbinden.
  6. Jetzt muss die neuere Version von „allcfgconv“ mit der älteren Version „übermounted“ werden:
    mount -o bind /var/media/ftp/USB-STICK/allcfgconv /bin/allcfgconv
  7. Gewünschten Befehl aus der Liste weiter unten ausführen. Schon werden alle Passwörter wieder im Klartext angezeigt.
  8. Um die Änderung rückgängig zu machen einfach folgenden Befehl ausführen:
    umount /bin/allcfgconv

Befehle zum Passwörter auslesen

Passwort für Anmeldung am Webinterface:

allcfgconv -C ar7 -c -o - | sed -n -e '/webui/,/}/p' | sed -n -e '/username/,/password/p'

Zugangsdaten DSL:

allcfgconv -C ar7 -c -o - | sed -n -e '/targets/,/}/p' | sed -n -e '/local/,/}/p'| sed -n -e '/username/,/passwd/p'

Zugangsdaten VoIP:

allcfgconv -C voip -c -o - | sed -n -e '/ua/,/}/p' | sed -n -e '/username/,/registrar/p'

Alle Passwörter aus der „ar7.cfg“ entschlüsseln und nach „/var/tmp“ kopieren:

allcfgconv -C ar7 -c -o - > /var/tmp/ar7.tmp

FRITZ!Box über Webinterface neustarten

FRITZ! Logo

Oftmals wird eine FRITZ!Box durch Ziehen des Netzsteckers neugestartet. Allerdings lassen sich FRITZ!Boxen auch über das Webinterface neustarten. Die Option ist etwas versteckt und auf Anhieb leicht zu übersehen. Sie befindet sich unter System, Sicherung und Neustart. Bei älteren Firmware-Versionen war die Option noch unter System und dann unter dem Menüpunkt Zurücksetzen zu finden.

FRITZ!Box neustarten

Dropbox-Speicherort auf Netzlaufwerk legen

Dropbox Logo

Der Dropbox-Client unter Windows erlaubt es nicht, den Dropbox-Ordner auf einem Netzlaufwerk abzulegen. Alle Versuche werden von der Software mit einer Fehlermeldung quittiert. Unter Linux und Mac existiert dieses Problem nicht.

Doch mit einem kleinen Trick lässt sich der Dropbox-Ordner auch unter Windows  auf einem Netzlaufwerk betreiben. Als Hilfsmittel wird dabei eine zweite Festplatte bzw. eine zweite Partition oder ein USB-Stick benötigt. Damit wird der Software ein Laufwerksbuchstabe vorgegaukelt, welcher später durch ein Netzlaufwerk ersetzt wird.

  1. Computerverwaltung öffnen und dann die Datenträgerverwaltung auswählen. Dort muss die zweite Festplatte bzw. Partition oder USB-Stick den Laufwerksbuchstaben des späteren Netzlaufwerks bekommen. In meinem Beispiel nutze ich den Laufwerksbuchstaben „Z:“.
  2. Dropbox ganz normal installieren und als Dropbox-Speicherort „Z:“ auswählen. Die Software erstellt den Dropbox-Ordner nun automatisch unter „Z:\Dropbox“.
  3. Dropbox schließen.
  4. Jetzt sollte der Ordner „Z:\Dropbox“ auf das Netzlaufwerk kopiert werden.
  5. Anschließend wird der erste Schritt rückgängig gemacht und das Netzlaufwerk mit demselben Buchstaben verbunden, in meinem Fall „Z:“.
  6. Dropbox wieder starten.

Windows 8 Explorer.EXE Fehler nach Boot

Explorer.exe FehlerIn meiner VM mit Windows 8.1 bekomme ich seit einigen Tagen einen nervigen Fehler, direkt nach dem Booten. Es erscheint eine Fehlermeldung mit der Bezeichnung „Explorer.EXE“ (siehe Screenshot). Eine Beschreibung oder ein Fehlercode werden nicht angezeigt.

Nach kurzer Recherche im Internet bin ich auf eine Lösung gestoßen. Anscheinend wird der Fehler durch einen fehlerhaften Wert in der Registry verursacht.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und regedit eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
  3. Dort muss zuerst der Wert „Load“ gelöscht werden. Wenn dies nicht funktioniert fehlen die entsprechenden Berechtigungen auf den Schlüssel „Windows“.

Kategorien: Tutorials Windows 8

Dropbox verschenkt mal wieder kostenlosen Speicher (1 GB)

Dropbox Logo

In der Vergangenheit gab es mehrere Aktionen, mit denen man seinen kostenlosen Dropbox-Speicher deutlich erhöhen konnte. Doch die letzte Aktion liegt schon einiger Zeit zurück, weshalb ihr euch über den aktuellen Zusatzspeicher umso mehr freuen dürft.

Aktuell gibt es 1 GByte kostenlosen Speicherplatz, welcher sehr einfach und schnell gesichert werden kann. Einzige Voraussetzung ist ein Gerät mit Android. Darauf muss die Mailbox App von Dropbox installiert und mit dem Dropbox-Konto verknüpft werden. Vor wenigen Monaten gab es dieselbe Aktion bereits für iOS-Nutzer.

Nachfolgend eine Beschreibung der genauen Vorgehensweise:

  1. Installiert die „Mailbox“ App von Dropbox. Einfach über den Direktlink oder mit Hilfe der Suchfunktion im Google Play Store.
  2. „Mailbox“ App starten.
  3. Mit dem eigenen Dropbox-Konto verknüpfen (siehe Screenshot). Die Einrichtung eines Mail-Kontos ist nicht notwendig! Wenige Sekunden später wird der kostenlose Speicher bei Dropbox um 1 GByte erhöht.
  4. Dies kann unter https://www.dropbox.com/events überprüft werden.

Zum Schluss kann die App wieder deinstalliert werden. Der gutgeschriebene Zusatzspeicher bleibt erhalten.

Mailbox App
(via)

IPv6 unter Windows systemweit deaktivieren

Microsoft Logo

IPv6 wird seit Windows Vista bzw. Windows Server 2008 unterstützt und ist auch standardmäßig aktiviert. Sofern im Netzwerk keine Notwendigkeit für IPv6 gegeben ist, kann es ohne Probleme deaktiviert werden.

Soll IPv6 systemweit abgeschaltet werden, muss dies über die Registry erfolgen. Der zunächst offensichtliche Weg über die Eigenschaften der Netzwerkverbindung ist nicht zielführend. Bei dieser Methode wird IPv6 nur für das jeweilige Interface deaktiviert. Das Loopback- und die Tunnel-Interface verwenden weiterhin IPv6.

Eine bessere Variante ist über die Registry verfügbar, wobei aber auch hier IPv6 für das Loopback-Interface aktiviert bleibt. Das dürfte aber nicht weiter schlimm sein, da diese Methode gleichzeitig auch dafür sorgt, dass IPv4 bevorzugt behandelt wird.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6\Parameters
  3. Hier muss ein neuer “DWORD-Wert (32-Bit)” mit dem Namen “DisabledComponents” erstellt werden.
  4. Anschließend den Wert auf “ff” Hexadezimal setzen.
  5. Nach einem Neustart ist IPv6 komplett deaktiviert.

Zur leichteren Anwendung biete ich euch eine Registry-Datei zum Download an, die alle notwendigen Schritte automatisch erledigt. Detailliertere Informationen gibts direkt bei Microsoft.

Download Registrydatei zum Deaktivieren von IPv6 systemweit

Windows 8.1 – Explorer an Taskleiste anheften und in bestimmtem Ordner starten

Heftet man unter Windows 8.1 den Explorer an die Taskleiste, lässt sich nicht mehr bestimmen, in welchem Ordner der Explorer startet. Das Feld „Ziel“ ist ab Windows 8.1 ausgegraut und lässt sich nicht mehr anpassen. Unter Windows 7 und Windows 8 ist das Ändern des Startordners noch deutlich einfacher.

Beim Anklicken des Icons in der Taskleiste startet der Explorer standardmäßig immer mit „Dieser PC“. Sofern die Bibliotheken aktiviert sind (Ordneroptionen, Navigationsbereich, Bibliotheken anzeigen), startet der Explorer automatisch in den Bibliotheken. Andere Möglichkeiten gibt es nicht mehr.

Lösung

Glücklicherweise existiert ein kleiner Workaround. Einfach die nachfolgenden Schritte ausführen und schon startet der Explorer beispielsweise im Ordner „E:\Downloads“.

  • Neue Verknüpfung auf dem Desktop anlegen (Rechtsklick auf dem Desktop und dann „Neu“ und „Verknüpfung“ auswählen).
  • Auf „Durchsuchen…“ klicken und den gewünschten Ordner auswählen.
  • Jetzt nicht auf „Weiter“ klicken, sondern vor dem Pfad „Explorer “ einfügen. Bitte das Leerzeichen nach „Explorer“ nicht vergessen.

  • Nun auf „Weiter“ klicken, der Verknüpfung einen Namen geben und auf „Fertig stellen“ klicken.
  • Zum Schluss muss die neu erstellte Verknüpfung noch an die Taskleiste geheftet werden. Entweder über das Kontextmenü oder einfach per Drag & Drop.

Die Verknüpfung auf dem Desktop wird nicht mehr benötigt und kann ggf. gelöscht werden.

Leider bleibt bei dieser Lösung jedoch ein unschöner Nebeneffekt. Klickt man auf das Icon in der Taskleiste, wird daneben nochmals ein zweiter Explorer in der Taskleiste angezeigt.

Systempartition unter Windows Server 2003 vergrößern

Ab Windows Server 2008 lassen sich Systempartitionen problemlos mit Bordmitteln vergrößern. Dies kann wahlweise mit dem Kommandozeilenprogramm „diskpart“ oder der Datenträgerverwaltung erfolgen. Unter Windows Server 2003 bzw. 2003 R2 ist das allerdings noch nicht möglich. Hier muss auf Drittanbieter-Tools zurückgegriffen werden. Ein großer Nachteil dabei ist, dass Partitionen nicht online vergrößert werden können und daher ein Neustart notwendig ist.

Abhilfe schafft das kleine Tool „ExtPart“ von Dell. Damit ist es möglich, eine NTFS-Systempartition im laufenden Betrieb zu vergrößern. Damit das Tool ohne Fehler funktioniert, muss der freie Speicherplatz direkt hinter der Systempartition verfügbar sein.

Download ExtPart

Kategorien: Tutorials Windows

Alle User einer Gruppe / OU mit PowerShell auslesen

In großen Active Directory Umgebungen kann sehr leicht der Überblick verloren gehen. Beispielsweise hört sich die Aufgabe, alle Benutzer innerhalb einer bestimmten AD-Gruppe aufzulisten, sehr einfach an. Enthält diese Gruppe aber viele weitere verschachtelte Gruppen, ist das Ganze nicht mehr so trivial. Mit Hilfe der PowerShell ist jedoch eine einfache und komfortable Lösung möglich.

Ausgangspunkt ist das Cmdlet „Get-ADGroupMember„. Folgender Befehl identifiziert alle Benutzer einer bestimmten Gruppe, die anschließend nach Namen sortiert aufgelistet werden:

Get-ADGroupMember -Identity GRUPPENNAME -recursive | sort -property name | ft name

Der nachfolgende Befehl listet alle Benutzer auf, die sich innerhalb einer angegebenen OU befinden. Der Befehl muss vor dem Einsatz noch an die eigenen Gegebenheiten angepasst werden.

Get-ADUser -Filter { Name -Like "*" -and Enabled -eq $true } -Searchbase "OU=accounts,OU=usa,DC=test,DC=com" | Where-Object {($_.name -notlike "test*") -and ($_.name -notlike "*_c1")} | sort name | ft name

Kategorien: Tutorials Windows

Exchange 2010 – Liste aller Mailboxen mit ActiveSync-Geräten erstellen

Vor einigen Monaten habe ich bereits einen Artikel mit PowerShell Befehlen für Exchange 2010 veröffentlicht. Unter anderem habe ich zwei nützliche Cmdlets vorgestellt, die alle ActiveSync Geräte für ein bestimmtes Postfach bzw. alle Geräte, die jemals mit dem Exchange-Server verbunden waren, auflisten.

Ein Leser hat mich per Mail gefragt, ob es eine Möglichkeit gibt, alle Postfächer mit ActiveSync-Geräten aufzulisten und das Ergebnis in eine CSV-Datei zu exportieren. Da mit PowerShell so gut wie alles möglich ist, ist auch diese Anforderung kein Problem. Wie immer führen verschiedene Wege zum Ziel.

Zuerst eine schnelle Lösung, die alle verfügbaren Daten ausgibt, dadurch aber auch sehr unübersichtlich ist:

$output = "C:\Temp\output.csv"
$devices = @()
$mailboxes = Get-CASMailbox -ResultSize:Unlimited | Where-Object {$_.HasActiveSyncDevicePartnership -eq $true}
foreach ($data in $mailboxes) {
	$devices += Get-ActiveSyncDeviceStatistics -Mailbox $data.Samaccountname
}
$devices | Where-Object {$_} | Export-Csv $output

Das zweite Skript kann den eigenen Bedürfnissen angepasst werden und liefert eine deutlich übersichtlichere Liste.

$output = "C:\Temp\output.csv"

new-item $output -type file -force -value "User;DeviceType;DeviceModel;DeviceID;DeviceOS;DeviceUserAgent;FirstSyncTime;LastSyncTime`r`n"

$devices = Get-ActiveSyncDevice | Get-ActiveSyncDeviceStatistics

ForEach($device in $devices) {
	$Model = $device.DeviceModel
	$Type = $device.DeviceType
	$ID = $device.DeviceID
	$OS = $device.DeviceOS
	$FirstSyncTime = Get-Date $device.FirstSyncTime -Format 'dd.MM.yyyy HH:mm'
	$LastSyncTime = Get-Date $device.LastSuccessSync -Format 'dd.MM.yyyy HH:mm'
	$UserAgent = $device.DeviceUserAgent

	$User = $device.identity|out-string
	$User = $user.split("/")[-2]

	Add-Content -Path $output "$User;$Type;$Model;$OS;$ID;$UserAgent;$FirstSyncTime;$LastSyncTime"
}

Beide Skripte haben eine relativ lange Laufzeit, die natürlich von der verwendeten Exchange-Umgebung abhängig ist. Als ungefähre Richtzeit kann man eine Minute für 100 Postfächer rechnen.

Kategorien: Tutorials Windows