GoaSkin

Wo ein Tarif gilt, kann man nur dann über ein außertarifliches Gehalt verhandeln, wenn man bereits in der höchsten Tarifgruppe ist oder bereits außertariflich verdient. Ansonsten ist Verhandlungsgegenstand immer eine tarifliche Höhergruppierung, ein vorzeitiger Aufstieg in die nächste Stufe innerhalb der Tarifgruppe oder (sofern es der Tarifvertrag zulässt) die Gewährung von zusätzlichen Zulagen. Ich würde dann aber alle Varianten mit dem Chef besprechen.

Wie bereits geschrieben wurde: ARP funktioniert nur bei Ethernet. Und ja: Das Kabelnetz ist eine riesige Broadcast-Domäne. Es kommt aber nicht in jeder Art von Broadcast-Domäne das ARP-Protokoll zum Einsatz. Je nach dem, welches Medium genutzt wird, um darüber das TCP/IP-Protokoll zu fahren, gibt es hier völlig eigene Protokolle, die regeln, welche IP-Adresse welchem Gerät zugeordnet wird. Auch in VPN-Netzen gibt es kein ARP und mit IPv6 ist das dann sowieso gestorben. In einigen Medien gibt es auch so etwas wie Hardware-Adressen überhaupt nicht, wass dann mehr oder weniger heisst, dass alles gebroadcastet wird und nur von den Geräten weiter verarbeitet, für die das Paket dann eine Relevanz hat. DOCSIS kennt MAC-Adressen, aber kein ARP.

Freie IPv4-Adressen gehen zu Neige. Über kurz oder lang werden Provider und Hosting-Anbieter den Kunden keine IPv4-Adressen mehr zu ihren Produkten anbieten können. Von den größeren Providern bieten in Deutschland die Kabelanbieter Neukunden ausschließlich IPv6 an sowie die Telekom Dualstack-Zugänge. Mein Eindruck ist aber, dass das Thema IPv6 sowohl von Privatnutzern als auch geschäftlichen Nutzern verschlafen wird. Auch wenn es noch nicht notwendig ist, im Hauruckverfahren sein Netzwerk auf IPv6 umzustellen, ist es eigentlich höchste Zeit, sich zu dem Thema Gedanken zu machen. Schließlich bringt das Protokoll nicht nur längere Adressen, sondern bringt auch technische Veränderungen, die ein entsprechendes Know-How Erfordern, wenn es um Routing und Sicherheit geht. Mein Eindruck ist aber, dass man sich überhaupt keinen Kopf darüber macht, dass es ein neues Internet Protokoll gibt. Das Thema geht zum einen Ohr rein und zum Anderen wieder raus. So tun beispielsweise Neukunden von Unity Media und Kabel Deutschland mit IPv6 gerade so, als hätten sie einen geNATteten Internet-Zugang ganz ohne eigene IP-Adresse, über den sie von außen nicht erreichbar sein können. Zu dem findet man auch Meldungen dazu, dass Firmen mit Telekom-Leitungen, die von der Telekom auf Dualstack umgestellt werden, plötzlich offen wie ein Scheunentor sind. Hintergrund: Man hat sich nie darum gekümmert, die Firewall für IPv6 zu konfigurieren, der Router Advertisement lief schon die ganze Zeit und verteilt plötzlich allen Clients globale IPv6-Adressen, über die sie von außen dann uneingeschränkt erreichbar sind. Auch der Teredo-Dienst, der in Windows vorkonfiguriert ist und in manchen Umgebungen tatsächlich funktioniert, kann sich als Hintertür entpuppen. Wie sieht das in euren Firmen aus? Macht man sich hier schon Gedanken über IPv6? Mein Eindruck ist, dass sich so gut wie niemand Gedanken darüber macht. Und wenn es irgendwann einmal unmöglich sein wird, eine IPv4-Adresse zu erhalten, wird man noch eher politische Lobby-Arbeit dazu leisten wollen, dass Andere IPv4-Adressen abgeben sollen, statt auf IPv6 umrüsten zu wollen und das damit begründen, dass eine Migration einen wirtschaftlichen Schaden in Milliardenhöhe bedeutet.

Was den Verschlüsselungs- bzw. Spionage-Aspekt betrifft: Es ist keine Verschlüsselung ewig sicher, denn selbst wenn der Algorithmus niemals geknackt wird, gibt es immer noch die Bruteforce-Methode (alle denkbaren Schlüssel durchprobieren, bis Keiner passt). Natürlich gilt die Formel - je länger der Schlüssel, desto geringer die Erfolgsaussichten. Aber zukünftige Computer werden immer schneller sein und es somit auch immer einfacher sein, einen Schlüssel von heute "durch Probieren" herauszubekommen. Es ist nicht allzulange her, dass eine 128-Bit Verschlüsselung noch als sicher galt. Mit der heutigen Hardware ist das Knacken eines solchen Schlüssels kein großer Zeitaufwand. Darum nimmt man auch ganz andere Schlüsselgrößen. Faktisch darf man es nicht versäumen, verschlüsselte Dateien regelmäßig neu - und zwar mit zeitgemäßen Verfahren - zu verschlüsseln. Hätte man in den 1980er Jahren gedacht, dass man über die Verschlüsselungssoftware, die man damals auf dem Amiga eingesetzt hat - heute nur lacht?

Band ist eben nicht gleich Band. Seit der Erfindung des Magnetbandes gibt es Rollen und Kassetten in allen denkbaren unterschiedlichen Größen und Formaten. Manche Bandspeicherlösungen sind dabei echte Raritäten (z.B. IOMega Ditto), Andere weit verbreitet gewesen (C64 Computerkassetten, DAT-Streamer).

Es geht mir um ein Speichermedium, nicht um einen Cloud-Anbieter. Speicherplatz bei Hostern habe ich genug. Ein externer Dienstleister kann insolvent gehen und der Insolvenzanbieter beschließen, dass die Lichter ausgehen. Pech gehabt für die Kunden - zumindest dann, wenn sie da was verschlafen. Oder die Daten sind weg, weil der Zugang irgendwann nicht mehr weiter bezahlt wird oder man im Rahmen einer providerseitigen Kündigung nicht mehr auf Post reagiert. Das kann alles z.B. passieren, wenn man einmal lange im Krankenhaus ist. Mit einem robusten Speichermedium könnten sogar Erben etwas anfangen, die es in einer Krabbelkiste finden. Dass man einen Account irgendwo hat, darauf müssen sie erst einmal kommen und nachweisen, dass sie berechtigt sind.

Hallo, wenn man Daten archivieren möchte, die man eventuell erst nach 20 Jahren wieder rauskramen möchte - welches der aktuellen Speichermedien eignet sich dafür am Besten? Meines Wissens nach bekommen sämtliche optischen Speichermedien auch ohne Nutzung Alterserscheinungen - genauso ist die Wahrscheinlichkeit hoch, dass eine herkömmliche Festplatte auch ohne Nutzung viele Lesefehler zeigen wird. Sind SSDs hier zuverlässiger, sofern sie nicht im Einsatz sind? Oder muss man auf klassische Bandlösungen ausweichen?

Ein ganz normaler handelsüblicher 8Port-Switch, Preisklasse 15 Euro, ist im Einsatz. Problem bei Wake-On-LAN ist aber, dass der Empfänger das WOL-Paket nicht beantwortet. Die Netzwerkkarte mit der gegebenen MAC-Adresse nimmt einfach nur zur Kenntnis, dass sie das System hochfahren kann. Wireshark würde nur sehen, dass irgend ein Client das Paket abgesendet hat - ob damit jemand was macht oder nicht.

Hier kommen Multiboot-Systeme zum Einsatz (Windows 8.1 und Ubuntu). Allerdings wird unter Windows 8 kein Soft-Off genutzt. Die Systeme sind definitiv im Standby und machen nach jedem Einschalten die ganze Boot-Prozedur (BIOS, dann Bootloader) durch. Von daher läuft auch definitiv kein Betriebssystem im Standby und damit auch keine "Soft"-Netzwerktreiber.

Hallo, ich habe mehrere Rechner so konfiguriert, dass man sie über Wake-On-LAN einschalten kann, sodass ich bei Bedarf von unterwegs über einen RaspberryPI, der immer läuft, weitere Rechner hochfahren kann. Allerdings funktioniert das irgendwie nur manchmal, wobei der Start über das Magic Packet entweder bei allen Systemen zu gegebener Zeit funktioniert oder bei Keinem. Auch leuchten die LEDs an den Netzwerkkarten der PCs nicht immer, wenn sie im Standby sind. Nun würde mich es interessieren, ob ggf. der Switch das Problem ist oder die Rechner einfach die Netzwerkkarten deaktivieren, wenn sie zu lange im Standby sind. Probleme mit dem Switch konnte ich aber bislang nicht feststellen.

Was bräuchtest du für einen akademischen Grad, um in der Firma weiterzukommen? Wenn man halbwegs intelligent ist und auf Basis seiner Berufserfahrung viel Know-How gesammelt hat, dann ist der Bachelor fast nur noch eine Formsache. D.h. man kann ein Fernstudium in Erwägung ziehen, muss aber nur einen Teil der Studieninhalte wirklich neu lernen. Betrachte das als Zukunftsmusik für später. Aber du kannst mit deinem Chef trotzdem mal besprechen, ob die Firma grundsätzlich Möglichkeiten für ein berufsbegleitendes Studium anbietet und dazu mit einer Hochschule kooperiert. Viele Unternehmen schicken Personal an eine Fern-FH zur Weiterbildung und übernehmen sogar die Gebühren, die an die Hochschule fällig sind.

Das deutet aber darauf hin, dass Windows nicht optimal konfiguriert ist. Die Portierung eines Spiels, das ursprünglich für Windows entwickelt wurde, ist für Linux und Mac OS X keine Neuentwicklung. Die Portierfirma entwickeln in der Regel nur eine Middleware, damit die genutzten Windows-Funktionen als Middleware verfügbar sind, um ihre Parameter in geeigneter Weise aufbereitet an die nativen Funktionen weitergereicht werden. Wenn man es so möchte, unterscheidet sich eine Portierung von einer Ausführung über WINE nur dadurch, dass ähnliche Funktionen direkt in das Programm reingelinkt sind. Die Instruktionen, die ein Funktionsaufruf so mit sich bringt, sind bei einer Portierung aber immer zumindest geringfügig mehr und nicht weniger.

Das wird öfters unschön erklärt. Zunächst ist jede IP-Adresse verfolgbar bis hin zum Provider, der sie dir zuweist. Mittels einer WHOIS-Abfrage auf die Absender-IP erfährt der abfragende den ISP, dem sie gehört. Das ist bei IPv4 genauso wie bei IPv6. Ein ISP hat in der Regel je nach Größe einen /32 oder /48-Präfix, von dem er einen kleineren Präfix (i.d.R. /57) weiter delegiert. Der Router beim Kunden stellt seinen Subnetzen wiederum i.d.R. einen /64-Präfix daraus zur Verfügung. Eine WHOIS-Abfrage zu Allem, was dem ISP gehört, ergibt aber dasselbe. Von daher: Kein Hinweis auf den Endkunden anhand der IP-Adresse, es sei denn, es handelt sich um einen Großkonzern, der seine eigenen IP-Adressen direkt bei der RIPE beantragt. Nun gut. In der IP-Adresse, die letztendlich dem Endgerät zugewiesen wird, verbirgt sich der vom Provider und dem Router zugewiesene Präfix und die MAC-Adresse der Netzwerkkarte. Aber für jemandem aus dem Internet sind diese Informationen völlig nutzlos. Davon kann er sich überhaupt nichts kaufen, deine MAC-Adresse zu kennen. Die erwähnten Privacy-Extensions haben einen anderen Sinn: Die Computer haben neben ihrer "normalen" IPv6-Adresse noch weitere Adressen, die nur für begrenzte Zeit gültig sind und für Client-Verbindungen als Absender genutzt werden. Der Sinn dahinter ist, dass der Betreiber eines Servers, der durch einen Zugriff deine IP-Adresse kennt, keinen Erfolg dabei hat, wenn er ausprobiert, welche Ports bei dir so offen sind. Serverdienste auf deinem Rechner sollten auf diesen temporären Adressen normalerweise garnicht lauschen und selbst wenn (z.B. weil schlecht programmiert), dann hat dein Rechner die IP-Adresse, die das andere Ende kennt, eh schon bald wieder verworfen. Im großen und Ganzen ist es großer Quark, wenn die Leute herum fluchen, dass der Internet-Nutzer durch IPv6 gläserner geworden ist. Faktisch hat man sehr viele IP-Adressen statt nur Einer, aber genau wie bei IPv4 auch verwendet man immer Absender-IPs, bei denen eine WHOIS-Abfrage nur auf den Provider hinweist, dieser im Falle von illegalen Sachen aber der Polizei und Staatsanwälten deine Identität preisgeben muss. Die MAC-Adresse als Teil einer IPv6-Adresse ist weder einmalig auf der Welt, noch existieren Verzeichnisse dazu, welche Person eine Netzwerkkarte mit gegebener MAC-Adresse besitzt.

Firmenlaptop, Firmenhandy und Gleitzeit sind keine Bestandteile der Vergütung, sondern Arbeitsmittel und Regelungen. Selbst wenn man das Firmenhandy auch privat nutzen darf - so etwas macht heutzutage niemand mehr. Ein eigenes Handy kostet schließlich auch nicht die Welt. Man sollte Wert darauf legen, Privat- und Firmenanrufe auch hardware-mäßig zu trennen und das Firmenhandy auch einmal zu Hause liegen lassen können, wenn gerade nicht unbedingt erwartet wird, dass man Anrufe entgegen nimmt. Das mit dem Essen hört sich seltsam an, aber gut. Ansonsten muss es natürlich nicht so sein, dass es bei 3.900 Euro irgendwann aufhört. Du hast die Möglichkeit, in eine höher dotierte Stelle befördert zu werden oder dich intern auf eine solche Stelle zu bewerben. Und falls du überzeugend bist und das Nötige dafür leistest, hast du auch Pluspunkte gegenüber externen Bewerbern. Von alleine geht das natürlich nicht. Aber wenn sich da einmal etwas auftut - viele Arbeitgeber sind froh, wenn sie aus der eigenen Belegschaft für höhere Positionen geeignete Leute haben und es sich sparen können, die Stelle auszuschreiben, Bewerbungen zu lesen und viele Vorstellungsgespräche zu führen.

Wenn die Grafikkarte einen NVIDIA- oder AMD-Chipsatz nutzt, sollte das kein Problem mit Linux sein. Diese beiden Hersteller liefern eigene Treiber. Ansonsten ist jegliche Standard-Hardware unter Linux auch kein großes Thema mehr. Du kannst also nutzen, was dir gefällt, solltest aber vermeiden, integrierte INTEL-Grafik zu nutzen. Einfache Grafikkarten kosten auch nicht die Welt. Aber so 50 Euro solltest du einplanen. Du solltest dir überlegen, dir einen PC auch aus Komponenten selbst zusammenzustellen. Das kommt am Ende billiger. Manche Hardware-Händler bieten einen Zusammenbau auch als Service gegen Aufpreis an, was aber am Ende meist immernoch billiger kommt. Auch wenn du nur geringe Systemanforderungen siehst - überlege dir, wie lange du den PC nutzen willst. Einen guten Core i7 mit passendem Motherboard kauft man nicht nur, weil man aktuell eine hohe Leistung benötigt, sondern auch um einige Jahre Ruhe zu haben, bis man das nächste mal aufrüstet.

Die Netzgröße mit 2^64 Adressen kommt zur Anwendung, weil dein Router Autoconf nutzt, was auch eine allgemeine Empfehlung beim Betrieb mit IPv6 ist. Im Unterschied zu IPv4 werden bei IPv6 normalerweise nicht mehr IP-Adressen per DHCP vergeben, sondern der Router informiert per Broadcast alle Systeme im Netzwerksegment darüber, welchen Präfix (i.e.S. das /64-Segment) er routen kann. Die Clients vergeben sich daraufhin ihre IPv6-Adressen selbst, die auf dem Präfix und der Mac-Adresse basieren. 64 Bit deshalb, um kompatibel mit längeren MAC-Adressen zu sein, die es irgendwann zukünftig einmal geben soll. Die Kabelanbieter gestatten den Privatkunden in der Regel /57-Präfixe, was es prinzipiell ermöglicht, mehrere Subnets mit jeweils einem /64-Präfix zu betreiben. Häufig hat das aber durch die Zwangsrouter bedingt keinerlei Nutzen. Je nach genutzter Hardware kann man sich ganze /64-Präfixe zum weiter routen per DHCPv6 abrufen oder den Router so konfigurieren, dass die einzelnen LAN-Ports am Router und die WLAN-Funktion jeweils unterschiedliche Segmente darstellen.

Da ist es sowieso empfehlenswert, das Paket fail2ban zu installieren, was schon recht brauchbar vorkonfiguriert ist. Das Programm wertet Logfiles nach Verbindungsversuchen aus, die auf einen Mißbrauch hindeuten und legt darauf hin eine temporär gültige Firewall-Regel für die Absender IP-Adresse an.

Ich bin FaSi, erstelle aber individuelle Systemlösungen, wozu auch viel Programmierung gehört. Mit der IT eines Großunternehmens habe ich nichts zu tun. Wenn ich mir aber Leute anschaue, die im Unternehmen Support machen, sich um Rechner-Rollout etc. kümmern und schlichtweg dafür sorgen sollen, dass Mitarbeiter ein System zur Verfügung haben, mit dem sie arbeiten sollen - dann denke ich mir, dass ein Informatiker hier schlichtweg die falsche Ausbildung hat. Sie machen meiner Meinung nach den Job eines Psychologen und hätten mehr davon gehabt, mit einem abgeschlossenem Psychologie-Studium in den Job zu gehen und sich die nötige Computer-Erfahrung im Job anzueignen. Da geht es meiner Meinung nach vor allem darum, sich "sehr speziell" gegenüber den Mitarbeitern zu verhalten, deren Probleme auch non-verbal und auf einer unsachlichen Ebene geäußert interpretieren und einschätzen zu können, welche Einstellung und Erwartung sie gegenüber einem System haben.

Vielen Dank. Honeypot werde ich mal testen. Zum Thema SSH-Port umlegen: Man kann auch den String frei festlegen, der nach dem Aufbau einer Verbindung ausgegeben wird (z.B. SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2 standardmäßig bei OpenSSH/Ubuntu 14.04). Falls die Software-Konfig dafür keine Option bietet; dann eben neu compilieren. Man könnte jetzt z.B. den SSH-Server auf Port 25 legen und als Serverstring '220 mail.dummy.de ESMTP Postfix (Debian/GNU)' nennen. Dann kommen nämlich auch Portscanner, die das Echo auf eine TCP-Verbindung auswerten nicht mehr darauf, dass es sich um einen SSH-Server handelt.

In meinen Server-Logs sehe ich, wie von diversen IP-Adressen versucht wird, ein Lexikon und ein ganzes Telefonbuch an Passwörtern auszuprobieren. Zu gerne würde mich interessieren, was diese Bots machen würden, wenn sie Erfolg haben und in dafür einen Spielplatz-Server auf einer virtuellen Maschine bereit stellen. Doch was kann ich tun, damit sie bei einem Login-Versuch definitiv erfolgreich sind?

Auch wenn in der Probezeit im Prinzip ohne nähere Angaben von Gründen beiderseits gekündigt werden kann, gibt es dennoch ein paar Regeln, die eingehalten werden müssen. So einfach ist das nicht, mit einer Gegenkündigung auf eine Kündigung zu reagieren. Und du solltest es vermeiden, im letzten Moment die Kündigung einzureichen. Für die Frist zählt nicht das Datum auf dem Papier oder ggf. ein Poststempel, sondern der Zeitpunkt der Inkenntnissetzung. Du musst also wirklich sicher stellen, dass sie dein Chef noch fristgerecht gelesen hat. Ich würde mir wenig Gedanken darüber machen, dass das Klima in den letzten Tagen vergiftet sein könnte. Schließlich kannst du im Zweifel krank machen und das weiss dein Chef auch. Das sollte er nicht provozieren wollen.

Es ist vollkommen richtig, dass man hier Masquerading einrichten muss. Der eigentliche Server versieht die Antwort-Pakete schließlich mit seiner eigenen Absender-IP und die Firewall muss Diese durch ihre Eigene dann ersetzen, da der Client ja eigentlich die IP der Firewall adressiert. Man kann aber die POSTROUTING-Regel anhand von Kriterien so erweitern, dass das Masquerading nur bei diesen Verbindungen Anwendung findet - d.h. die Regel nach Bedarf nach IP, Port und Interface anhand von weiteren Kriterien einschränken.

Eventuell kann man hier statt einer IPTables-Umleitung einfach den Stone-Proxy einsetzen (ein kleiner Open Source Proxy-Server, der auf einem TCP-Port lauscht, um sich bei einer eingehenden Verbindung mit einem anderen Server zu verbinden und die Ein- und Ausgabe durchschleift). Ansonsten leitet man per DNAT-Anweisung zwar Pakete an ein anderes Ziel um, die Absender-Adresse bleibt aber erhalten und der Ziel-Server addressiert seine Pakete prinzipiell auch an Diese. D.h. die Quell-IP muss für den Ziel-Server trotz Umleitung prinzipiell irgendwie erreichbar sein. Das regelt deine zweite iptables-Zeile so nicht. Aber es ist auch eine knifflige Sache. Mit 'stone' geht es einfacher. Willst du IPtables nutzen, musst du als Kriterium nehmen: Verkehr kommt von der Server-IP und vom Quellport 80. Wenn dies der Fall ist, muss die Quell-IP durch die Firewall-IP ersetzt werden. Oder du richtest ein generelles NAT für den vom Server ausgehenden Datenverkehr ein. Ist aber knifflig. Stone nutzen ist einfacher. Ubuntu Manpage: stone - a simple TCP/IP packet repeater

Kannst du vielleicht mal mit normalen Sätzen erklären, was du eigentlich willst oder muss man Autist sein, um dich zu verstehen? erster Begriff -> zweiter Begriff -> Dritter Begriff ergibt keinen Sinn, auch wenn alles englische Wörter sind.

Ich vermute, dass die .ko-Datei nicht im selben Verzeichnis liegt, sondern in einem Unterverzeichnis. gib mal 'ls -alFR' ein und schau, ob die .ko-Datei vielleicht in irgend einem Unterverzeichnis liegt!