Im Sommer 2008 führte mich ein Auftrag für etliche Wochen nach Paris. Nachdem ich bereits in den ersten Tagen meines Aufenthaltes meinem deutschen Mobilfunkprovider Umsätze in dreistelliger Höhe für mobilen Internetzugang beschert hatte (7 Euro pro Megabyte) und die Suche nach öffentlichen WLAN (Wi-Fi) Hotspots enttäuschend verlaufen war, beschloß ich etwas gegen diese Kostenexplosion zu unternehmen. Da die internationalen Roaminggebühren im Datenverkehr nur als Wucher angesehen werden können, teile ich das erprobte Rezept gern.

Besorgen Sie sich eine Prepaid-Karte bei Orange, sie heißt dort "Mobicarte" und kostet einmalig EUR 30. Da entsprechende Fragen öfter in Diskussionsforen auftauchen, versichere ich Ihnen: Sie brauchen keinen festen Wohnsitz in Frankreich, um eine Prepaid-Karte zu erwerben. Sie identifizieren sich mit Ihrem deutschen Paß oder Personalausweis und geben für Ihren Aufenthaltsort in Frankreich Ihre Hotel- oder Büroadresse an. Die Angabe wird nach meiner Beobachtung nicht weiter überprüft.

Mit der Prepaid-Karte haben Sie Zugang zum Dienst "Internet Max", bei dem der Zugang zum Internet tatsächlich nur EUR 9 im Monat kostet. Der Dienst ist für den Internetzugang mit dem Mobiltelephon gedacht und eine Benutzung des Mobiltelephons als Modem für den PC ist in den Geschäftsbedingungen ausgeschlossen. Soweit ich das beobachten konnte, stellt der Betreiber aber nicht fest, ob der Tarif entsprechend den Bedingungen verwendet wird. Das Volumen ist im Prinzip nicht beschränkt, Orange behält sich aber vor, nach 500 MB Nutzung den Internetzugang für den laufenden Monat zu unterbinden.

Zusammen mit der Karte sollten Sie für etwa EUR 30 zusätzliches Guthaben erwerben und die Karte damit aufladen. Sie können die Karte gleich aufladen, sollten aber mit der Aktivierung des Dienstes "Internet Max" noch etwa 24 Stunden warten, da die vollständige Übermittlung Ihrer persönlichen Daten an Orange einige Zeit dauert, was aber Voraussetzung für die Aktivierung ist.

Sie können sich über http://www.orange.fr beim Portal vom Orange mit Ihrer Mobilnummer registrieren und bekommen Ihren Freischaltungscode für das Portal per SMS mitgeteilt. Über das Portal soll eigentlich auch die Aktivierung des Dienstes "Internet Max" möglich sein, was mir aber nicht gelungen ist. Stattdessen sollten Sie die Nummer 220 wählen und werden in französischer Sprache durch das Menü geführt. Wählen Sie den Menüpunkt "Multimedia" und schließlich "Internet Max". Nach der Aktivierung soll es bis zu 48 Stunden dauern, bis der Dienst verfügbar ist, es kann aber auch schon nach zwei Stunden soweit sein. Sie werden darüber nicht mit einer SMS informiert, können es aber daran erkennen, daß EUR 9 von Ihrem Guthaben abgebucht wurden. Den Stand Ihres Guthabens können Sie kostenfrei durch Wählen von #123# abfragen und tatsächlich auch im Orange-Portal erfahren.

Im Kommunikationsprofil Ihres Mobiltelephons stellen Sie für APN, Nutzernamen und Paßwort jeweils "orange" ein (ohne die Anführungszeichen).

Ich wünsche Ihnen eine gute Reise.

Schwanebeck ist nicht gerade reich an Attraktionen. Zu nennen wäre vielleicht die Mülldeponie, die einst der Stadt Berlin zu Diensten war, dank einer Entgasungsanlage als eine der modernsten überhaupt gilt und inzwischen zu unserer Freude stillgelegt ist. Die Entgasungsanlage entgast weiter, fängt sozusagen die Rülpser des Berges auf, heizt damit das nahegelegene Klinikum Buch und hält die Umgebung des Berges von üblen Gerüchen frei.

Zu nennen wäre auch das Autobahndreieck Schwanebeck, wo die Autobahn nach Stettin abzweigt. Manchmal wird es in den Nachrichten erwähnt und versorgt leider auch das nahegelegene Klinikum Buch öfter mit Kunden. (So hängt in Schwanebeck alles irgendwie miteinander zusammen.) An der Popularität der einschlägig bekannten Knotenpunkte in Nordrhein-Westfalen kann Schwanebeck sich aber nicht messen.

Eine kleine Sehenswürdigkeit hat Schwanebeck aber doch zu bieten. Unser Nachbar Dr. Alfons Weise hat in den vergangenen Jahren eine Kunstgattung entwickelt und zur Blüte gebracht, die wir Säulenpittoreske nennen möchten. Tatsächlich gab es wohl bislang kein Wort, das diese Installationen in ihrer surrealen Gewalt, die zuweilen an Magritte erinnert und besonders vor strahlend blauem Himmel höchst wirkungsvoll zur Geltung kommt, treffend beschreibt.

Spekuliert wird noch über die regelmäßig gewählte Konstruktionsform, bei der die Objekte eine meist weiße Säule krönen. Sei es aus praktischen Gründen der besseren Sichtbarkeit und des leichteren Rasenmähens, sei die Säule als konstituierendes Element und Aussageträger dieser Kunstform zu verstehen - jedenfalls erlaubt dieser Aufbau das zwanglose Arrangement der Disponate in ihrer eklektischen Vielfalt als frei assoziiertes Spannungsfeld.

Zu finden ist die Ausstellung in der Lübecker Straße in Schwanebeck-Bergwalde, Gemeinde Panketal bei Berlin.

... werden wir manchmal gefragt.

Wir hatten einmal einen kleinen Briard namens Tedesca, den wir sehr jung verloren haben. Der Domainname war dann halt da und harrte einer Bestimmung.

Vieles von dem, was wir (meine Frau und ich) tun, spiegelt sich im Internet, sei es meine berufliche Tätigkeit, sei es unsere Hundezucht, seien es andere Haupt- und Nebenbeschäftigungen. Irgendwann begannen bei uns verschiedene Dinge im Internet sich unter dem freien Namen zu sammeln, erst TEDESCA.NET, dann TEDESCA.ORG und schließlich TEDESCA.BIZ.

"Tedesca" bedeutet also nichts Bestimmtes, ist jedenfalls kein geheimnisvolles Akronym. Es ist einfach ein Name, kurz, hoffentlich einprägsam, und er wird im Deutschen nicht allzu häufig verwendet.

Die Wortmarke Tedesca^® ist beim Deutschen Patent- und Markenamt geschützt.

Es war einmal ein guter Freund, der weilte zur Zeit der Herrschaft des Kaisers Hu Jintao in China. Er war von seinen Hauptleuten wegen wichtiger Geschäfte in eine kleine Stadt in der chinesischen Provinz beordert worden. Höchstens 4 Millionen Seelen umschloß der Ort, und das Leben an den langen Winterabenden war unendlich öd und trist. Der Freund vermochte nicht in der Zunge des gemeinen Volkes zu reden, auch ging jeder des Abends seiner Wege und den Freund dürstete es nach Neuigkeiten, die seine Seele zu erquicken vermöchten. Wie froh war er, als er in seiner bescheidenen Herberge einen Internetanschluß fand! Aber groß war sein Erschrecken, als er die Neuigkeiten des Tages von CNN hören wollte und von der Wikipedia nähere Informationen über die Stadt begehrte, in der er gerade weilte. Denn Kaiser Hu hatte nicht wollen leiden, daß seine Untertanen ihre Zeit mit Tand und Glitzer vertäten anstatt die Wohlfahrt des Hofes und der kaiserlichen Manufakturen zu mehren, und seine Präfekten und Minister angewiesen, streng gegenüber jeder Anmaßung und Hoffahrt in seinem Volke zu sein. Da wurde der Freund sehr traurig und haderte mit seinem Schicksal.

Sie werden das Problem vielleicht auch aus Ihrer Firma kennen: hinter Proxy und restriktiver Firewall ist Schluß. Der im folgenden vorgestellte Weg ist oft auch in solchen Fällen gangbar, um das Firmennetz zu verlassen, aber ich will Sie nicht dazu verleiten, Ärger mit Ihrem Arbeitgeber heraufzubeschwören. Gegen den freien Zugang zu wichtigen Informationen aus einem chinesischen Hotel heraus wird aber auch Ihr Arbeitgeber nichts haben.

Im konkreten Fall ergaben Tests:
1. Grundsätzlich funktionierte der Zugriff auf HTTP- und HTTPS-Seiten außerhalb Chinas. Nur bei einigen Domains (wie z.B. wikipedia.org oder cnn.com) kamen immer leere Seiten zurück.
2. DNS lieferte auch zu den inkriminierten Domains die richtigen IP-Adressen (erste Überraschung).
3. Der Zugriff mit SSH-Protokoll (Secure Shell) auf Port 22 eines Servers außerhalb von China funktionierte ebenfalls (zweite, große Überraschung).

Übertrieben hohen Wert scheint die chinesische Führung also auch nicht darauf zu legen, Kommunikationsversuche zu unterbinden. Wer also irgendwo einen Linux-Server sein eigen nennt, ob gemietet draußen im Internet oder daheim hinter einer Firewall, ist fein raus, denn er kann sich auf seine Reise vorbereiten. Im folgenden wird die Einrichtung einer abhörsicher verschlüsselten Verbindung beschrieben, die Zugriff auf einen in Freiheit lebenden Webproxy und gegebenenfalls noch weitere Dienste und Protokolle erlaubt.

Einrichtung des Servers

Auf dem Linux-Server muß nur der Proxy Squid zusätzlich installiert werden, denn der SSH-Server gehört zum Standardumfang jeder Linux-Installation. Für den genannten Zweck muß Squid nur Verbindungsaufnahmen von localhost unterstützen, man kann den Proxy also restriktiv konfigurieren und den Zugriff auf Port 3128 (den Standardport von Squid) von außerhalb im Paketfilter (zum Beispiel iptables) unterbinden. Wer den Proxy von außen zugänglich machen will, tut gut daran, den Zugriff auf Squid mit einem Paßwort zu schützen. Das geschieht durch entsprechend gesetzte Optionen in der Konfigurationsdatei squid.conf, die in Kommentaren innerhalb der Konfigurationsdatei bereits vorgeschlagen werden. Außerdem ist eine spezielle Paßwortdatei für Squid anzulegen.

SSH wird durch Änderungen an der Datei sshd_config eingerichtet. Ich rate grundsätzlich dazu, die Option AllowUsers zu verwenden und ChallengeResponseAuthentication sowie PasswordAuthentication auszuschalten. Der Nutzer meldet sich dann nicht mit einem Paßwort an, sondern ausschließlich durch Vorweisen seines Schlüssels. Ich empfehle außerdem, die autorisierten Schlüssel der Nutzer nicht unterhalb des Heimtverzeichnisses des jeweiligen Nutzers abzulegen, sondern zentral. Dazu erstellt man ein Verzeichnis /etc/ssh/authorized_keys (Zugriffsrechte 0755) und ändert eine weitere Option in der sshd-Konfigurationsdatei: AuthorizedKeysFile /etc/ssh/authorized_keys/%u.

Wer einen Server daheim verwendet, muß den Zugriff auf Port 22 des Servers in der Firewall freischalten und sollte außerdem dafür sorgen, daß der heimatliche Internetanschluß unter einem Namen im Internet sichtbar ist. Das kann über die Nutzung eines Dynamischen DNS-Dienstes geschehen. Für die Anmeldung der IP-Adresse bei solchen Diensten nach Adreßwechsel (z.B. nach der täglichen Zwangstrennung und Wiedereinwahl) sorgt das Linux-Paket ddclient.

Wer auf seinem Linux-Server den Port 443 frei hat, weil er keine HTTPS-Seiten ausliefert, kann den SSH-Dienst auch auf Port 443 betreiben. Das hat Vorteile, falls das hier beschriebene Verfahren einmal eingesetzt wird, um durch einen widerborstigen Proxy hindurch eine Verbindung herzustellen. Port 443 (HTTPS) wird von den meisten Proxies durchverbunden, ohne daß geprüft wird, ob das Protokoll wirklich HTTPS ist, während der Ausgang durch Port 22 in fast allen Firmen-Firewalls aus gutem Grund gesperrt ist. Wenn der Server auch noch ein gut ausgebauter Internetserver mit Apache SSL ist, und der Port 443 daher nicht frei ist, kann man von seinem Provider eventuell eine zweite IP-Adresse bekommen, unter der dann auch der Port 443 verfügbar ist.

Einrichtung des Clients

Auf dem Windows-Client wird das Programmpaket PuTTY installiert. Mit puttygen erzeugt man zuerst einen Schlüssel. Der öffentliche Schlüssel wird aus dem Fenster von puttygen in die Datei /etc/ssh/authorized_keys/ichselbst (für den Nutzer mit dem Login-Namen ichselbst, Zugriffsrechte auf die Datei 0600, Eigentümer ist ichselbst) kopiert. Wenn man innerhalb der SSH-Verbindung nur bestimmte TCP-Tunnel zulassen möchte, kann man dies durch Voranstellen der permitopen-Option erreichen.

Mit dem Programm putty wird eine neue Sitzung eingerichtet. Wir gehen im Beispiel davon aus, daß wir uns entschieden haben, für SSH den Port 443 zu mißbrauchen. Als Nutzername für die Anmeldung wird der Login-Name auf dem Linux-Server eingetragen.

Der Ablagepfad des zuvor generierten Schlüssels wird eingetragen und die Endpunkte des Tunnels festgelegt. Im Beispiel sieht man, daß der lokale Port 3128 (L3128) mit dem Port 3128 auf dem Linux-Server (127.0.0.1:3128) verknüpft ist. Die lokale IP-Adresse 127.0.0.1 bezieht sich dabei auf das jenseitige Ende des Tunnels.

Wer mit dem beschriebenen Verfahren noch einen Firmen-Proxy zu durchqueren hat, muß diesen unter dem Punkt "Proxy" auch noch eintragen. Bitte nicht verwirren lassen durch so viele Proxies und nicht vergessen, diese PuTTY-Einstellungen zu speichern!

Bevor wir zu den Einstellungen im Browser kommen, zeigen wir noch, wie man PuTTY so konfiguriert, daß es als SOCKS 5-Server fungiert. Wozu das gut ist, wird auch gleich erklärt. Vorerst belassen wir es aber noch bei den bisherigen Einstellungen (L3128 127.0.0.1:3128).

Zuerst wird die SSH-Verbindung aufgebaut. Der Browser (auf Reisen hoffentlich Firefox) wird auf den lokalen Proxy 127.0.0.1:3128 konfiguriert (linkes Bild). Damit sollte die Verbindung durch die Große Chinesische Mauer also funktionieren. Den Test sollte man aber schon einmal zuhause durchführen.

Wer Schwierigkeiten mit der Namensauflösung hat (z.B. weil die chinesische Führung beschließt, in dieser Hinsicht die Zügel etwas straffer anzuziehen), kann PuTTY auch als SOCKS-Server verwenden. Firefox hat den Vorteil, die DNS-Namensauflösung auch über den SOCKS-Server vornehmen zu können. Die dafür erforderlichen Einstellungen im Browser sind in den Bildern gezeigt.

Wir hoffen, daß Ihnen diese Hinweise auf Ihren Reisen in merkwürdige Länder etwas helfen. Wir freuen uns natürlich über Ihre Anmerkungen und Hinweise. Wenn Sie Fälle kennen, wo eine Verbindungsaufnahme mit dem SSH-Protokoll unterbunden wurde und wo stattdessen httptunnel oder stunnel funktionierte (bzw. SSH getunnelt durch einen httptunnel, der Phantasie sind ja keine Grenzen gesetzt), dann würden wir gern auch Ihre Konfigurationsanleitung veröffentlichen.

Anfang Oktober mußte ich meinen Internetserver nach einem Totalzusammenbruch aufgrund eines Hardwarefehlers neu aufsetzen. Der Server war dadurch 18 Stunden außer Betrieb, die Daten konnten aber alle aus der Sicherung wieder hergestellt werden. Bei der Neuinstallation habe ich auch das Email-System modernisiert, insbesondere

• komplett auf virtuelle Mailboxen umgestellt
• Amavis mit ClamAV und Spamassassin als Filtermaschine eingesetzt
• Postfix-GLD als Greylister verwendet
• auf eigene Scripts völlig verzichtet

Da jetzt nochmals eine Änderung am Mailsystem erfolgt, nämlich die Einführung von policyd-weight vor Postfix-GLD, folgt hier nochmals eine Statistik über 12 Wochen.

Statistik

Die erstaunlichste Veränderung gegenüber der letzten Statistik ist die Zahl der eingegangenen Emails. Während ich vermutet hatte, daß in 2008 die Zahl der eingehenden Emails die Marke von 1 Million überschreiten würde, mußte ich jetzt feststellen, daß allein in den vergangenen 12 Wochen 630.000 Emails eingingen; das sind 320 pro Stunde, alle 11 Sekunden eine. Damit vervierfacht sich das Spam-Volumen derzeit jährlich mindestens.

Durch die veränderte Filterkette ergibt sich eine völlig neue Verteilung der Ausschlußgründe gegenüber der letzten Analyse, aber der Effekt ist der gleiche:

• 1,3% Helo command rejected: Invalid name (501 5.5.2)
• 25,0% Helo command rejected: need fully-qualified hostname (504 5.5.2)
• 0,5% Helo command rejected: Don't use my own IP address (550 5.7.1)
• 4,0% Helo command rejected: Host not found (450 4.7.1)
• 2,2% Sender address rejected: Domain not found (450 4.1.8)
• 63,2% Recipient address rejected: You have been greylisted, please try later (451 4.7.1) - not retried
• 2,1% Recipient address rejected: User unknown in virtual mailbox table (550 5.1.1)
• 0,1% Amavis/ClamAV Virustest
• 0,4% Amavis/Spamassassin Spamtest

Insgesamt 1,2% der Nachrichten haben alle Tests erfolgreich durchlaufen.

Schlußfolgerungen

Etwa ein Viertel der Nachrichten wurde schon nach der ersten Kontaktaufnahme mit dem HELO-Kommando abgewiesen. Dabei ist die Prozentzahl für "Host not found" (Fehlercode 450) deshalb so niedrig, weil ich diesen Test nach wenigen Wochen wieder deaktiviert habe. Es gibt zu viele "gute" Mailserver, die unter einem Namen senden, der nicht ordentlich im DNS registriert ist.

Zwei Drittel der Nachrichten werden durch das Greylisting abgehalten. Die hier gezeigte Zahl ist schon abzüglich der erneuten Sendeversuche, die das Greylisting dann erfolgreich passiert haben. Hier setzen Optimierungsmöglichkeiten an:
1. Das Greylisting erfolgt, bevor überhaupt geprüft wurde, ob die Zieladresse existiert. Das ist bei einem Postfix-Server mit virtuellen Mailboxen systembedingt und läßt sich vermutlich nicht ändern.
2. Es werden unnötig viele Emails auf die Greylist gesetzt, die bei genauerer Analyse der HELO- und MAIL FROM-Zeilen ausgeschlossen werden könnten. Dafür erprobe ich jetzt policyd-weight.

Nach einem Tag Testlauf mit policyd-weight zeichnet sich folgende Verteilung (vor Übergabe an Amavis) ab:

• 1,5% Helo command rejected: Invalid name (501 5.5.2)
• 24,3% Helo command rejected: need fully-qualified hostname (504 5.5.2)
• 1,1% Helo command rejected: Don't use my own IP address (550 5.7.1)
• 0,1% Sender address rejected: need fully-qualified address (504 5.5.2)
• 0,3% Sender address rejected: Domain not found (450 4.1.8)
• 0,9% Relay access denied (554 5.7.1)
• 28,6% Recipient address rejected: Mail appeared to be SPAM or forged (550 5.7.1)
• 34,7% Recipient address rejected: Your MTA is listed in too many DNSBLs (550 5.7.1)
• 3,0% Recipient address rejected: temporarily blocked because of previous errors (550 5.7.1)
• 5,3% Recipient address rejected: You have been greylisted, please try later (451 4.7.1)
• 0,4% Recipient address rejected: User unknown in virtual mailbox table (550 5.1.1)

Masse statt Innovation

Ich lese oft, daß die Spamversender, die nach meinen Erfahrungen für mehr als 90% des Volumens Bot-Netze verwenden, ihre Techniken immer weiter ausfeilen, um alle möglichen Filtermechanismen zu umgehen. Viel Kreativität kann ich aber nicht erkennen. Solange Greylisting so wirkungsvoll ist, hat die Gemeinde der Spamversender ihre Möglichkeiten noch lange nicht ausgeschöpft. Außer einem kürzlich beschriebenen Weg, Google Mail zu verwenden, ist mir in den vergangenen Monaten kein Aufblitzen von Innovationsfreude aufgefallen. Es ist wie oft in der Netz- und sonstigen Wirtschaft: Es wird versucht, Mangel an Innovation durch Steigerung des Volumens auszugleichen.

Auch die verwendeten Adreßlisten und Wörterbücher ändern sich kaum noch. Innerhalb einer durchschnittlichen Woche mit 55.000 eingehenden Emails wurden 2200 verschiedene Phantasieadressen verwendet. Die Top 25 sind alte Bekannte: simonwilkinson@barnim.net orsi_vale@barnim.net sdougal@barnim.net rajagopalan_v@barnim.net oerbeck@barnim.net raines@barnim.net popeyes@barnim.net smmaclean@barnim.net ntziorkas@barnim.net rrood@barnim.net nw-b5request@barnim.net lcmaynard@barnim.net prettyboy3@barnim.net rainbowkevin@barnim.net outslay@barnim.net labore@barnim.net sbraggj@barnim.net mkrofchi@barnim.net sueavonnn@barnim.net ordersusa@barnim.net ollieweb@barnim.net sports4life8@barnim.net richard.bomber.lancaster@barnim.net richard.akre@barnim.net lkmejias@barnim.net

Erstaunlich dabei ist, daß die seit 2004 aktive Domain tedesca.net noch immer keine Rolle spielt. Ausnahmen sind

• richard.bomber.lancaster@tedesca.net auf Platz 85
• 46dca57e.3010608@tedesca.net weit abgeschlagen
• hard.bomber.lancaster@tedesca.net - sic!

Wir führen hier noch eine neue Adresse ein und sind gespannt, wie oft wir sie in einem Jahr wiederfinden werden: new_december07@tedesca.net

Schon seit Jahren betreibe ich einen Mailserver für meine Domänen tedesca.net und barnim.net. Die Domäne barnim.net ist seit zehn Jahren am Netz und damit in allen dankbaren Adreßlisten von Bot-Netzen zu finden. Für das Jahr 2008 rechne ich mit einem Ansteigen des eingehenden Email-Verkehrs auf 1 Million, womit der Anteil "guter" Emails weit unter 1% sinken wird. All dieser Spam ist aber eigentlich kein Problem, an anderer Stelle habe ich beschrieben, mit welchen Mitteln man der Flut Herr werden kann.

Aber nun gibt es mit Google Mail einen neuen Stern am Spamhimmel. Betreffzeilen wie "Brenda shows off her huge schlong in dvdqaulity Re: stevenspoint" kamen mir schon lange nicht mehr unter die Augen. (Und überhaupt: Was ist nun wieder ein "Schlong"?) Seit einigen Wochen also erhalte ich solche Emails, die für Spamfilter ziemlich harmlos aussehen. Der Schmutz wird sogar noch veredelt durch eine Domainkey-Signatur, für die sich Google nicht zu schade ist.

Ich habe die Probe aufs Exempel gemacht und mich bei Google Mail unter dem Namen "Dummer Spammer" registriert. Ganz einfach, kann jede Maschine. Offenbar gibt es schon 29 andere dumme Spammer, denn Google hat mir "spammer30" als Nutzernamen vorgeschlagen. Damit könnte ich auch als wirklicher Spammer leben. Aber Google ist sich seiner Verantwortung nicht nur beim Zuordnen des Nutzernamens bewußt. Das Paßwort "spammer30" war nicht sicher genug, ich mußte ein längeres wählen. Das kann aber auch jede Maschine.

Und dann noch die "Word Verification", in meinem Falle war "glisi" einzugeben. Sicher ist auch die "glisi"-Graphik auf dem Bildschirm für die Maschine nicht schwer zu erkennen, vielleicht sitzen aber auch irgendwo 300 chinesische Bauern 14 Stunden am Tag vor kleinen Bildschirmen und erzeugen fleißig Spam-Accounts - kostet ja fast nichts.

Was lernen wir aus der Geschichte?

1. Google gehörte irgendwann in grauer Internet-Vergangenheit mal zu den Guten, den Robin Hoods des Internet. (Das meinten zumindest viele.) Dann hatte Google phantastische Ideen und vor allem die Kraft, sie umzusetzen. Google Maps ist so gut, daß ich sogar für den Dienst bezahlen würde, wenn es ihn nicht umsonst gäbe. Aber nun fängt Google leider an verrückt zu werden, sie machen irgendwelche Freemailer nach,

• haben aber entweder keinen Schimmer, warum sie das tun,
• oder haben es nur auf die Adreßbücher aus "Yahoo, Outlook, Hotmail und anderen" abgesehen.

2. Die schönsten Sicherungsmaßnahmen am Back-end nützen nichts, wenn am Front-end etwas faul ist. Schlimmer noch: Der Domainkey könnte einem Spamfilter Seriosität vorgaukeln und auch noch mit einem positiven Score belegt werden. Und außerdem gerät der neue Mechanismus gleich wieder in Verruf und erfreut sich bald vielleicht ähnlicher Nichtbeachtung wie SPF.

3. Zwar kann man in der Willkommensnachricht lesen, daß Google Mail "great spam-fighting tools" hat, aber damit wird der Dienst womöglich nicht einmal das Problem lösen, das er selbst geschaffen hat. Und wer etwas auf sich hält, sollte vielleicht schon gerade deshalb von der Verwendung von Google Mail absehen. Wer eine providerunabhängige Mailadresse will, hat auch bessere Dienste zur Auswahl.

4. Nachrichten von Google Mail werde ich künftig lieber gleich bei Eingang im Mailserver mit einem hohen Straf-Score belegen. Einige wenige Bekannte werde ich umstimmen müssen oder auf die Weiße Liste setzen.

Im Jahre 1990 habe ich bei Siemens angeheuert, in einem Bereich, der einen deutschen Umlaut in seinem Namen führte. Ich war zuerst länger bei der Siemens AG, dann erhöhte sich die Frequenz: STS, wieder Siemens AG, schließlich Nokia-Siemens. Ich habe in zehn verschiedenen Aufgaben erst in Berlin gearbeitet, dann in München, dann wieder in Berlin, dann in Leipzig, dann wieder in München. War von den 17 Jahren nicht viele in Berlin, habe mein Basislager dort aber nie aufgegeben.

Mein nächster Neuanfang soll weder in Nokia Siemens Networks noch in Siemens stattfinden. Der Moment ist günstig und ich habe mich entschlossen, im Rahmen der allgemeinen Restrukturierung von NSN ein lukratives Abfindungsangebot anzunehmen und als freier Berater für Informationstechnologie, Telekommunikation und Unternehmensorganisation von gesammelter Erfahrung zu profitieren. Ich freue mich sehr auf die zweite Hälfte meiner beruflichen Laufbahn. Auch möchte ich künftig gemeinsam mit meiner Frau etwas mehr Zeit für die Zucht dieser wunderbaren Hunderasse finden - dem Briard.

Ich habe in der Firma Siemens Menschen getroffen, deren Kompetenz, deren Mut und deren Energie mich beeindruckt haben und es sind einige darunter, vor denen ich größte Hochachtung empfinde. Eine meiner persönlichen Theorien besagt, daß man in einem bewegten Berufsleben im Schnitt zwei neue Bekanntschaften täglich schließt. Ich habe das nie exakt nachgerechnet, diese Zahl ist also ein "gefühlter Bekanntenkreis". Wenn ich unterstelle, daß meine Theorie stimmt, habe ich in dieser Zeit also etwa 5000 Siemensianer getroffen.

Nur von wenigen dieser 5000 konnte ich mich schließlich persönlich oder mit einer Email verabschieden. Mit nahezu allen habe ich aber gern zusammengearbeitet und hoffe, unsere Wege werden sich wieder einmal kreuzen. Vielleicht werde ich den einen oder anderen einmal in einem gemeinsamen Projekt wiedertreffen. Die Welt ist klein und als Freelancer ist man bekanntlich prinzipiell käuflich. Ich werde "lebenslänglich" hier im Internet zu finden sein. Allen Kollegen und Freunden wünsche ich gutes Gelingen, ob bei Siemens, Nokia-Siemens oder anderswo.

Ich pendle regelmäßig zwischen Berlin und München. Vor zehn Jahren habe ich diese Strecke mit dem Auto bewältigt. Mittlerweile sind mir zweimal 600 km pro Woche selbst fahren zu viel. Vor allem sind das unproduktive fünf Stunden. Und Autofahren macht auch keine Freude mehr. Die erste Spur der Autobahn gehört allein dem Lastverkehr, die zweite Spur wird in wenigen Jahren auch fest in der Hand des Transportgewerbes sein. Bald kommt der 25 Meter lange Lastzug, die Lastwagen werden weiterhin europaweit mit der "elektronischen Deichsel" virtuell aneinandergekoppelt sein und kilometerlange Lastzüge bilden. Auf der dritten Spur kämpft ein kleiner Nissan kilometerweit mit 146 km/h gegen einen Mazda auf der zweiten Spur mit 143 km/h. Die Autobahn ist ein Alptraum.

Wenn der Güterverkehr also offensichtlich auf die Straße gehört, muß der Individualverkehr notgedrungen auf die Schiene ausweichen. Bahnfahren ist in den letzten Jahren deutlich bequemer geworden, auch wenn es noch einiges auszusetzen gibt an dem Unternehmen und seinem Ersten Vorsitzenden. Der ICE ist die beste mir bekannte Art, Entfernungen über 100 km zu überwinden. Und man muß nicht vorher planen, sondern steigt einfach in den Zug und fährt los. Wer kann schon genau sagen, wann er abends aus dem Büro kommt. Man steigt mitten in der Stadt ein und aus, nicht irgendwo 20 Kilometer außerhalb. Fliegen ist also keine Alternative.

Ich zahle im Jahr knapp 6000 Euro für eine Netzkarte, die mir ermöglicht, im ganzen Land mit beinahe jedem öffentlichen Verkehrsmittel ohne weitere Kosten zu fahren - eine Verkehrs-Flatrate sozusagen. Vor wenigen Jahren waren es noch 5000 Euro, die Preise steigen deutlich schneller als die Inflationsrate, aber die Bahn muß schließlich Gewinn erwirtschaften, das unterstützen wir doch gern. Wenn die Privatisierung in der von der Regierung angestrebten Form kommt, wären wir durchaus in der Lage, noch mehr zur Erfüllung der Gewinnerwartungen beizutragen.

Dafür bekommen wir mehr Zeit zum Arbeiten oder Nichtarbeiten, mehr Gelassenheit und die Möglichkeit für das eine oder andere interessante Gespräch. Erster Klasse zu fahren ist unbedingt zu empfehlen, wenn man viel unterwegs ist.

Die Vorgängerversion dieses Artikels stammt aus dem Jahr 2003. Einige Leser kritisierten, daß das doch alles nicht mehr aktuell sei. Inzwischen haben sich auch unsere Prioritäten etwas geändert, und die mit dem Budget des Soho-Nutzers erreichbaren Ergebnisse sind wesentlich attraktiver als vor 4 Jahren. Daher ist diese Beschreibung (mit Stand 2007) entstanden.

Small Office - Home Office

"Soho" ist unser ganz privates Vergnügungsviertel im DSL-versorgten Berliner Umland. Meine Frau hat ihr Büro in einem Nebengebäude eingerichtet und ich selbst arbeite ebenfalls oft daheim.

Über VPN-Verbindungen (Virtuelle Private Netze) sind wir jeweils an unsere Firmennetze angeschlossen. Auch privat, zum Beispiel in unserer Hundezucht, ist das Internet ein unverzichtbares Kommunikationsmittel geworden. Neben der Abwicklung von viel Emailaustausch pflegen wir einen umfangreichen Internetauftritt.

Unser Wirkungsbereich erstreckt sich nicht nur über drei Ebenen im Haus und ein Nebengebäude, sondern umfaßt auch den gesamten Garten mit einer Längsausdehnung von 100 Metern. Dieser ganze Bereich ist mit Wireless LAN in mindestens "guter" Funkqualität abgedeckt. Nachbarn stellen wir unser Funknetz als Internetzugang zur Verfügung, so weit dieses halt reicht. Dabei legen wir Wert darauf, daß unser privates Netz von dem "halböffentlichen" sicherheitstechnisch getrennt ist.

Datenarchive werden heutzutage vor allem durch Musik und Digitalphotos belastet. Jede vollphotographierte Speicherkarte aus der Kamera trägt neue 2 Gigabyte bei, wenn man nicht diszipliniert und rigoros löscht. Da wir nicht dauernd mit USB-Festplatten hantieren wollen und Daten zur Dauerablage auch nichts auf einem Arbeitsplatz-PC zu suchen haben, ist fest installierter Datenspeicher in der Größenordnung von 500 Gigabyte bis 1 Terabyte erforderlich.

Zukünftige Erweiterungen werden zu gegebener Zeit WLAN-Telephone und Überwachungskameras sein. Die WLAN-Telephone werden die DECT-Telephone ablösen, sobald die Technik dafür reif genug ist. Und seit auch in unserer Gegend gelegentlich eine Hauswand besprüht wird, verdichten sich wieder die Pläne, eine Videoüberwachung einzurichten.

Aussagen über die in diesem Artikel erwähnten Produkte beruhen auf eigenen Erfahrungen. Ansonsten stehe ich mit den Herstellern in keinerlei Beziehung.

Verkabelung und WLAN

Das Haus ist schon seit Bau mit Cat 5-Kabel ausgestattet. Daß man darauf achten sollte, daß dies vorgesehen ist, braucht heutzutage nicht mehr erwähnt zu werden. Die Kabel laufen sternförmig in einem Anschlußraum zusammen, wo der LAN-Verteiler und der Server stehen.

Die meisten der LAN-Anschlußdosen im Haus sind mittlerweile unbenutzt, an den strategisch günstig gelegenen befinden sich die WLAN-Accesspoints. Um nicht überall noch ein häßliches Steckdosennetzteil neben dem Accesspoint zu plazieren, werden die Accesspoints über den LAN-Verteiler mit Strom versorgt (Power over Ethernet, PoE, nach IEEE 802.3af).

Insgesamt sind fünf Accesspoints Netgear WG102 im Einsatz: einer pro Gebäudeebene, einer für das Nebengebäude, einer für den Garten. Umfangreiche Experimente mit der richtigen Positionierung nur weniger Accesspoints anzustellen lohnt sich nach meiner Erfahrung nicht, denn es sind dann doch immer etliche Ecken schlecht ausgeleuchtet. Die Accesspoints sind nur auf das G-Funknetz (IEEE 802.11g, 54 Mbps) eingestellt, nicht auf den älteren Standard mit 11 Mbps, da das nur die Bandbreite verschlechtern würde.

Wo im Gebäude eine bessere als die Standardantenne erforderlich ist, setzte ich die omnidirektionale Netgear ANT24O9 mit 9 dBi ein. Der Garten wird mit einer Sektorantenne Netgear ANT24D18 (die alte Bauform mit 18 dBi und Abstrahlwinkel horizontal 60°/vertikal 30°) versorgt. Dabei ist zu beachten, daß man die Leistung des Accesppoints herunterregeln muß, wenn man im Rahmen der gesetzlichen Abstrahlungsbeschränkungen bleiben will.

Jeder Accesspoint arbeitet parallel in zwei unterschiedlichen Funknetzen (d.h. verschiedenen SSID), die unterschiedlich verschlüsselt werden: das private Netz mit WPA, das halböffentliche mit WEP. Der Accesspoint ordnet diesen Funknetzen unterschiedliche VLAN-Identifikationen zu und sorgt so dafür, daß der Verkehr zwischen diesen beiden Netzen streng getrennt bleibt. Der genannte Accesspoint unterstützt "virtuelle AP" bereits seit Anfang 2006 zu einem Preis im Consumer-Segment; der Hersteller bewirbt das nicht offensiv.

WPA ist unbedingt zu empfehlen. Es gibt mittlerweile Algorithmen, die unter ungünstigen Umständen in ein WEP-Netz innerhalb von Minuten einbrechen können. WPA ist momentan noch ausreichend sicher. Leider verstehen ältere Geräte nur WEP, und auch von den neuen Geräten bzw. ihren WLAM-Chipsätzen beherrschen einige nicht das effizientere WPA mit AES-Verschlüsselung (WPA2 genannt), sondern nur das klassische WPA.

Wer hingegen ein offenes Funknetz betreibt, erlegt seinen Nutzern auf, für ihre Sicherheit selbst zu sorgen: mit ihren eigenen Firewalls, Nutzung von HTTPS, wo dies möglich ist, oder VPN in Firmennetze. Nach aktueller Rechtsprechung haftet man als Dienstebetreiber mit, wenn der Dienst mißbraucht wird, zum Beispiel für Urheberrechtsverletzungen. Man sollte also den Kreis derer einschränken, denen man den Dienst zur Verfügung stellt. Seinen Sorgfaltspflichten hat man bereits durch den Einsatz des unsicheren WEP Genüge getan. Es empfiehlt sich aber außerdem, den gängigen Webverkehr (HTTP, FTP) nur über einen Proxy zu erlauben, der die angesteuerten Internetadressen (URL) protokolliert. Dadurch kann man gegebenenfalls nachweisen, daß nicht man selbst einen Rechtsverstoß begangen hat, zu dem die eigene IP-Adresse ermittelt wurde.

Der Netgear WG102 hat noch eine andere sehr nützliche Eigenschaft: Er unterstützt ein Leistungsmerkmal "AutoCell". Damit sucht sich der Accesspoint automatisch einen geeigneten Kanal, auf dem gerade möglichst wenig Interferenzen vorliegen, und paßt auch seine Sendeleistung dem aktuellen Bedarf an. Damit wird auch eine etwas größere Funknetzkonfiguration nachbarfreundlich, ohne daß man über die Frequenzen mit den anderen Anwohnern der Straße in Verhandlung treten muß.

Das Nebengebäude ist mit einer Powerline-Brücke (Linksys PLK200) an das Hausnetz angeschlossen. Es lohnt sich dabei, jeweils eine Steckdose eigens für den Powerline-Adapter unmittelbar im Schaltschrank oder Anschlußkasten des Gebäudes zu installieren und außerdem alle drei Phasen durchzuprobieren, wo sich der beste Datendurchsatz einstellt. Jede weitere Entfernung der Steckdose kann den Datendurchsatz erheblich reduzieren. Wo eine Installation des Powerline-Adapters direkt im Schaltschrank und damit auch eine freie Wahl der Phase nicht möglich ist, können ggf. auch Phasenkoppler eingesetzt werden.

(Ich empfehle unbedingt das Linksys-Produkt in dieser Konfiguration. Devolo dLAN Highspeed, das vom Datendurchsatz durchaus ausgereicht hätte, arbeitet in einer Konfiguration mit VLAN nicht zufriedenstellend und war eine Fehlinvestition. Die Ursache sind offenbar MTU-Probleme. VLAN vergrößern den Ethernet-Frame um einige Bytes, die dann zu überlangen Datenpaketen auf der Powerline-Brücke führen. Den Intranet-Server und alle Clients in den betroffenen Segmenten auf eine niedrigere MTU einzustellen, kann eine Lösung sein, wenn es sich bei den Clients um PC handelt. Wenn der Client aber eine Wireless Webcam oder ein LAN-Printserver ist, läßt sich dort in aller Regel keine niedrigere als die Standard-MTU von 1500 Byte einstellen. Solches sind halt die Kriterien, in denen sich ein Consumer-Produkt von einem in diesem Fall sogar preisgleichen brauchbaren Produkt unterscheidet.)

Virtuelle LAN

Um den Verkehr in den verschiedenen LAN-Segmenten zu separieren und trotzdem über eine einfache Kabelinfrastruktur zu führen, werden die Segmente unterschiedlichen Virtuellen LAN (VLAN, nach IEEE 802.1q) zugeordnet. Ein zentraler VLAN-Switch im Anschlußraum vermittelt diesen Verkehr und übergibt ihn über eine Gigabit-Ethernet-Schnittstelle an den Intranet-Server, der zwischen den verschiedenen Segmenten und dem Internet routet. Als VLAN-Switches kommen Linksys SRW224P als zentraler Verteiler sowie Linksys SRW208 im Nebengebäude zum Einsatz.

Das virtuelle LAN, in dem das halböffentliche Funknetz läuft, genießt nur geringeren Schutz durch die Firewall. Es fungiert auch gleichzeitig als demilitarisierte Zone (DMZ), aus der Dienste in das Internet exportiert werden. Dazu gehört zum Beispiel eine Kamera, mit der wir zeitweise Videos von unseren Briardwürfen ins Internet übertragen, die "Welpenkamera".

Arbeitsstationen

Die Zeit der selbstgebauten und mit viel Mühe auf leise getrimmten PC-Türme ist vorbei. Bis auf wenige Ausnahmen kommen fast nur noch Notebooks zum Einsatz. Beim Kauf sollte man darauf achten, welcher WLAN-Chipsatz in welcher Version verbaut wurde. Der allerneuesten Version mangelt es in der Regel an Unterstützung durch Linux oder an Treiberunterstützung für WPA-2 oder gar WPA überhaupt.

Von Windows Vista kann ich nur dringend abraten, wie grundsätzlich von jeder neuen Microsoft-Version. Ich bin den Microsoft-Produkten immer mit gehörigem zeitlichen Versatz gefolgt, habe Windows NT verwendet, als Windows 2000 aufkam, bin mit aufkommendem Windows XP zu Windows 2000 gewechselt und habe mich jetzt gerade erst mit Windows XP angefreundet. Wer sich ein Notebook mit Windows Vista kauft, sollte besser für EUR 100 oder weniger ein Windows XP Professional im Internet dazu erwerben und Windows Vista komplett löschen.

Während ich auf Servern nur Linux einsetze, ist dies auf Arbeitsstationen bisher immer noch ein zu kantiges Betriebssystem. Im jährlichen Rhythmus erprobe ich aktuelle Linux-Distributionen auf Verwendbarkeit als Arbeitsplatzsystem. Ubuntu Linux mit der neuesten Version ist wirklich schon ganz dicht dran. Es war diesmal fast nur noch die WLAN-Unterstützung, die nicht zumindest ausreichend gut funktionierte. In etwa einem Jahr dürfte Linux für diejenigen, die nicht gerade Spiele spielen wollen, wirklich verwendbar sein.

Jede Windows-Arbeitsstation verfügt (trotz Internet-Firewall auf dem Server) über eine sogenannte Personal Firewall. Diese dient in erster Linie der Aufdeckung unerlaubter ausgehender Verbindungen. Immer mehr Anwendungen überraschen durch Geschwätzigkeit, sie wollen ohne dringende Notwendigkeit mit einem Server im Internet sprechen. Darunter kann durchaus auch einmal ein Trojanisches Pferd sein, das mehr nach außen meldet als uns lieb sein kann. Wirklicher Schutz kann aber nur durch geeignetes Zusammenwirken zwischen Personal Firewall und Internet-Firewall entstehen. Als Personal Firewall setze ich seit Jahren die Kerio Personal Firewall 2.1.4 ein. Diese funktioniert auch noch unter Windows XP und nur diese erlaubt genügend feingranulare Steuerung des Verkehrs auf Protokoll-, Port- und Applikationsebene. Neuere Personal Firewalls, insbesondere diejenigen, die zu den gängigen Antivirus-Suiten gehören, sind in ihrem Wirken zu intransparent bzw. erlauben nicht die volle Unterscheidung nach Protokollen, Ports und Applikationen.

Internetzugang

Der Internetzugang erfolgt über ein kombiniertes Modem-Router-Paketfilter-Gerät. Ich verwende Netgear DG834B. Der Paketfilter wird vom Hersteller "Firewall mit Stateful Packet Inspection (SPI) und Intrusion Detection (IDS)" genannt, für einen einfachen Paketfilter mit Network Address Translation (NAT) ist das sehr hochtrabend ausgedrückt. Dennoch ist solch ein Paketfilter-Router sinnvoll, um viele eingehende Angriffe zu filtern. Dem Intranet-Server stellt der Router eine fixe private IP-Adresse (10.x.x.x) für das Internet zur Verfügung.

Server

Zwei Server kommen im Netz zum Einsatz: Ein Intranet-Server zuhause und ein Internet-Server bei einem der einschlägigen Anbieter. Beide Server laufen unter Debian Linux 4.0 (Etch) als Basissystem ohne graphische Oberfläche.

Internet-Server

Der Internet-Server fungiert als Web-, Email- und Proxyserver. Der Webserver umfaßt Apache 2, PHP 5 und MySQL 5. Der Emailserver besteht aus Postfix und Courier IMAP. Dazu kommen umfangreiche Maßnahmen zum Herausfiltern von Spam. Eine Übersicht über diese Maßnahmen und ihre Wirksamkeit findet sich in einem anderen Artikel. Als Proxyserver kommt Squid zum Einsatz.

Zur Administration und Synchronisierung ist der Internet-Server über Secure Shell (SSH) erreichbar, wobei nur ein Zugang mit Public-Key-Authentifizierung möglich ist.

Der Server ist ein dedizierter Server (Rootserver) von Strato. Ein virtueller Server (vServer) ist nicht zu empfehlen, wenn man viele Internetzugriffe hat und auf vorhersagbares Antwortzeitverhalten Wert legt. Strato weist gute Verbindungsgeschwindigkeit und Zuverlässigkeit des Netzzugangs auf. Hauptvorteil von Strato-Rootservern ist, daß im Grundpreis ein Konsolenzugang enthalten ist. Bei Fehlkonfigurationen im SSH oder in der Firewall oder bei anderen Netzproblemen ist dieser erforderlich; auch eine Neuinstallation des Betriebssystems (Upgrade) ist damit möglich.

Intranet-Server

Der Intranet-Server fungiert im wesentlichen als Router und Firewall zwischen den verschiedenen Segmenten des Heimnetzes und dem Internet sowie als Datenspeicher für die Windows-Arbeitsstationen. Den ständig laufenden Server als Speicherort der Dateien hätte ich längst gern abgeschafft. Eine VPN-fähige Firewall ließe sich auch mit einem spezialisierten kleinen Gerät (einer sogenannten Appliance) aufbauen. Noch gibt es aber keine bezahlbaren Dienste, mit denen man 500 Gigabyte Daten zugangsgesichert und vor Verlust halbwegs geschützt im Internet speichern kann.

Als Router und Firewall vermittelt der Intranet-Server zwischen den verschiedenen VLAN-Segmenten im Haus, dem Internet und der Modem-Einwahlverbindung. Die Modemeinwahl ist für Fälle vorgesehen, in denen der DSL-Internetzugang nicht funktioniert. Die Firewall besteht aus einem umfangreichen Iptables-Regelsatz, insgesamt etwa 150 Einzelregeln. Dazu gehört die Filterung des Verkehrs zwischen den VLAN-Segmenten, insbesondere natürlich der fast vollständige Ausschluß von Verkehr aus dem halböffentlichen WLAN in Richtung Intranet. Dazu gehört weiterhin die Filterung des eingehenden Verkehrs, den der Modem-Gateway-Router hindurchläßt.

Fast ebenso wichtig ist heutzutage aber die Filterung des ausgehenden Verkehrs. Im Zusammenspiel mit den Personal Firewalls auf den einzelnen Arbeitsstationen sollte die Firewall (neben anderen Maßnahmen) HTTP- und HTTPS-Verkehr grundsätzlich blockieren, sofern dieser nicht über einen bestimmten Proxy geleitet wird, welcher sich natürlich auf dem Internet-Server befindet.

Vom Internet her ist das Intranet nur über Secure Shell (SSH) erreichbar. Wenn man die Möglichkeiten von SSH richtig ausschöpft, lassen sich auch Windows-Laufwerke über das Internet verschlüsselt verbinden. Auch die Modemeinwahl führt erst einmal in eine Sackgasse, die erst nach SSH-Anmeldung Zugriff auf den Intranet-Server erlaubt. Nach einigen Versuchen, Linux und Windows mit IPsec zu verbinden, habe ich entnervt aufgegeben. Sicherlich kann es funktionieren, und die Versuche liegen auch schon einige Jahre zurück. Da SSH aber alles leistet, was wir benötigen, habe ich das Thema nie wieder aufgegriffen.

Der Datenspeicher besteht aus vier Festplatten je 250 GB, die zu einem RAID-5 Array zusammengeschaltet sind. Die erreichte Gesamtkapazität ist damit etwa 740 GB. Ein RAID-Fileserver ist mit einem Pentium 3 mit 500 MHz, Festplatten mit 7200 rpm und UDMA/100 IDE-Controllern ausreichend ausgestattet. (Die Prozessorleistung ist für den Betrieb von Router und Firewall ebenfalls ausreichend.) Linux bringt im Kernel die Unterstützung für RAID mit. Details zur Einrichtung kann man einem leicht veralteten Artikel entnehmen.

Mit RAID-5 opfert man die Kapazität einer Festplatte und ist gegen Ausfälle einzelner Platten gefeit. Man sollte natürlich alle paar Wochen einmal nachsehen, ob noch alle Platten am Leben sind. Das Sichern der Daten sollte man sich trotz RAID keinesfalls sparen. Für Sicherungen kommen bei hohen Datenvolumina eigentlich nur noch USB-Festplatten infrage.

Die Absicherung des Servers über eine unterbrechungsfreie Stromversorgung (USV) hat sich nicht bewährt. Alles Wichtige, nämlich Internetauftritt und Email, liegen ohnehin auf dem Internet-Server, der ja in guten Händen sein sollte. Wenn man nicht viel Geld für ein USV-Gerät hoher Kapazität ausgeben will, sondern sich mit bezahlbaren 1 bis 2 kW zufriedengeben will, kann man im Falle des Stromausfalls nicht mehr tun, als den Server sofort geordnet herunterzufahren. Auf das geordnete Herunterfahren kann man aber auch verzichten. Wenn alle Dateisysteme mit einem sogenannten "journaling Filesystem" formatiert sind, Ext3 ist dafür heute Standard, verträgt Linux ein unfreundliches Ausschalten sehr gut. Mit steigender Blitzschlagsintensität in Europa lohnt es sich aber, die gesamte Technik gegen Spannungsspitzen aus dem Netz zu schützen. Das muß allerdings auch den Zugang aus dem LAN umfassen.

Auf die Daten wird durch die Arbeitsstationen über Samba zugegriffen. In diesem Datenbereich ist auch der komplette statische Internetauftritt gespiegelt, der über den Internet-Server schließlich ins Netz gelangt. Alle Änderungen erfolgen zuerst im Intranet und werden nach Fertigstellung über eine SSH-Verbindung (unter Verwendung von "rsync") auf den Internet-Server kopiert. Der dynamische Teil des Internetauftritts, also alle Seiten, die mithilfe von PHP aus der MySQL-Datenbank generiert werden, wird dadurch gesichert, daß jede Nacht auf dem Internet-Server ein Shellscript (neben anderen Sicherungsaktionen) die Datenbankinhalte in eine Archivdatei schreibt, die sich der Intranet-Server mit "rsync" automatisch abholt. Zusätzlich werden bei diesem Schritt auch alle Daten auf den Intranet-Server kopiert, die durch Nutzer auf den Internet-Server hochgeladen wurden.

Vielen Dank für Ihr Interesse

Vielleicht können Sie mit einigen Anregungen etwas anfangen. Weitere Informationen finden Sie gelegentlich in unserem Wiki. Wenn Sie Fragen oder Hinweise haben, schreiben Sie bitte an bez@tedesca.net oder benutzen Sie das Nachrichtenformular.