Nothing found

Blogg

Velkommen til vår Tekniske Blogg. Her vil våre dyktige teknikere skrive og synse rundt ulike tekniske løsninger og utfordringer som de brenner for. Vi håper bloggen vil være både til glede og nytte for dem som leser den. Vi ønsker at vår blogg skal bidra til interaktiv kommunikasjon, så her er det bare å kommentere tilbake! God lesing.

  • Ny funksjonalitet i Cisco ASA

    26. januar 2017 av Datametrix under temaet IT sikkerhet

    Ny funksjonalitet i Cisco ASA SW 9.7.1

    For alle som har kjøpt ASA (verdens mest solgte brannmur) vil det nå være lurt å tenke på å bytte til Firepower software (FTD). Introduksjonen av Virtual Tunnel Interface støtte i Cisco ASA SW 9.7.1 muliggjør en mer fleksibel implementering av skytjenester fra blant annet Microsoft.

    Virtual Tunnel Interface er introdusert i VPN modulen i Cisco ASA og brukes til å representere en VPN tunnel til en node. Dette muliggjør rutebasert VPN med IPsec profiler knyttet til hver ende av tunnelen. Ved hjelp av Virtual Tunnel Interface fjernes behovet for å konfigurere statisk kryptotilgangslister og knytte disse til grensesnittene.

    Med Virtual Tunnel Interface i Cisco ASA kan Microsoft Azure ExpressRoute benyttes og du kan utvide ditt lokale nettverk inn i Microsoft sine skytjenester over en dedikert privat tilkobling (IpVPN). Med ExpressRoute kan du etablere forbindelser til Microsoft cloud-tjenester, for eksempel Microsoft Azure, Office 365, og CRM Online. Tilkobling kan være en alle-til-alle (IP VPN) nettverk, en punkt-til-punkt.

    ExpressRoute tilkoblinger går ikke over offentlig Internett. Dette gjør at ExpressRoute tilkoblinger vil tilby mer pålitelighet, raskere hastigheter, lavere ventetid, og høyere sikkerhet enn typiske forbindelser over Internett.

    Mange sitter også med ASA 5500 som er end of life, disse bør byttes med firepower. Dette er klart for de som ikke kjører remote access vpn. For disse kan ASA image brukes i en periode på 5506-X (eta. mars 2017)

    Ny funksjonalitet i Cisco ASA
    Fordelene ved bruk av ExpressRoute vha Virtual Tunnel Interface i ASA:

    • Lag 3-forbindelse mellom det lokale nettverk og Microsoft-skyen
    • Global tilkobling til Microsoft-tjenester på tvers av alle regioner
    • Dynamisk ruting mellom nettverket og Microsoft
    • Redundans i alle sentrale noder for høyere pålitelighet
    • Oppetidsgaranti (SLA)
    • QoS – viktige applikasjoner får prioritet i nettet

     

    Ønsker du å ta en prat med oss om sikkerhet? Da er veien kort! Legg inn informasjon i vårt kontaktskjema og vi tar kontakt innen kort tid

    IT infrastruktur, samhandling, sikkerhet, datasenter eller skytjenester: Ta en prat

  • Tilganger på avveie

    3. januar 2017 av André Frogner under temaet IT infrastruktur

    Tilganger på avveie, tiltak mot PtH

    Ignite konferansen 2016

    Et stort fokusområde på Microsoft sin Ignite konferanse i Atlanta i september var sikring av privilegerte brukerkontoer og integriteten til disse. De siste årene har det blitt snakket mye om pass the hash, eller pass the ticket hacking teknikker for å tilegne en konto eleverte tilganger på en Windows server eller klient, enten lokalt eller via remote desktop. Endelig har Microsoft gjort en god del tiltak for å forhindre dette. Man vil ikke kunne hindre pass the hash i utgangspunktet, da PtH utnytter single sign-on funksjonaliteten i Windows.

    Microsoft sikkerhetsanbefalinger innebærer en god del tekniske anbefalinger og løsninger, men det er vel så viktig å tenke på sikkerhet i hverdagen og endre hele sin mentalitet til hvordan man jobber. Microsoft kaller dette ‘’Assume breach’’

    En god del har blitt skrevet om emnet allerede og for alle som ser dette for første gang, anbefaler jeg å se på Paula Januszkiewicz sin Cyber Academy eller delta på hennes seminarer. (Ignite, NIC, TechFuse, Hacker Fest, etc) https://cqureacademy.com/blog

    Microsoft har også en informativ side med forskjellige tiltak og beskrivelser om emnet:
    https://technet.microsoft.com/en-us/security/dn785092

    Men det er egentlig bare å sette i gang med tiltak for å minimere eller forhindre innbrudd av denne typen. Hvis du følger de 3 rundene beskrevet nedenfor, vil du ha gjennomført det som er mulig fra et teknologisk ståsted for å forhindre et PtH innbrudd (per dags dato).

    Første runde med tiltak bør se ut som dette (Tidsbruk 2-4 uker):

    Første runde innebærer å forhindre at en uønsket bruker som innehar lokale adminstrative rettigheter på en server/klient kan gi seg selv eleverte rettigheter og for flytte seg videre innover i nettverket med rettigheter som f.eks. domain admin. Dette er mulig så lenge man benytter seg av samme lokale administrator passord på flere servere eller klienter. Microsoft har utviklet er relativt enkelt og funksjonelt verktøy som heter Local Administrator Password Solution (LAPS). Dette er en software som installeres på domenekontrollere og oppretter en GPO. Tjenesten vil da være ansvarlig for å bytte det lokale administrator passordet med tilfeldig unike passord ved jevne mellomrom og lagre dette i active directory. På denne måten vil man han full kontroll over lokal administrator kontoene og ikke minst en sentral oversikt over alle passord. Det vil mulig å logge inn på servere selv om ikke serveren har kontakt med active directory.

    Ignite, Microsoft

     

    1. Separate kontoer for administrative oppgaver 

    Bruk separate kontoer for administrative oppgaver og daglig bruk. Dette vil hjelpe til med at den administrative brukerens hash blir liggende igjen på servere/klienter man ikke har kontroll på.

    2. Privileged Access Workstations (PAW), første steg: Active Directory Admins

    Opprett en dedikert workstation som benyttes av brukere med Active Directory admin rettigheter. Dette er de mest kraftfulle tilganger man kan få tildelt i et domene, og bør sikres først. Senere vil man også sikre generelle administrative kontoer. Denne workstation skal brukes som en slags jumpstation videre mot andre servere og som en admin server hvor man åpner opp ADUC, MMC, powershell osv. Man er på denne måten mere beskyttet mot fishing angrep, epost malware, keylogging osv.

    For mer informasjon om om PAW finnes her: http://aka.ms/CyberPAW

    3. Endre til unike passord for lokal administrator på servere

    Installer og konfigurer LAPS for å sentralt styre de lokale administrator passord på alle servere.

    4. Endre til unike passord for lokal administrator på alle klienter

    Det er like viktig at klienter ikke benytter samme lokale administrator passord, sannsynligheten for at en bruker med eleverte rettigheter logger på en klient en like stor.

    Når første runde er gjennomført, bør disse tiltakene gjennomføres (1-3 mnd):

    Runde to er en god del mer omfattende og vil innebære Server 2016/Windows 10 funksjonalitet. Her anbefales det å ta i bruk PAM og multi-factor. Denne fasen vil typisk gjennomføres i ett 1-3 mnd perspektiv.

    Ignite, Microsoft 1

    1. PAW for alle administratorer

    Utvid bruken av Privileged Access Workstations for alle administratorbrukere. Disse dedikerte klientene kan være utstyrt med Credential guard (Win10) og RDP Restricted admin.

    Credential guard er en funksjon i Win10/Server2016 som bruker virtualiserings basert teknikker, for å forhindre angrep mot NTLM passordet og Kerberos ticketene (KTGT). Styres via GPO, powershell eller cmd. Bruker nå en isolert LSA prosess for å lagre hashene, LSA kommuniserer den isolerte LSA prosessen via RPC. Krever et bestemt nivå av hw og sw/fw på maskinen. Mer info her

    RDP RestrictedAdmin mode er en funksjon som kom i server 2008 R2/win 7 som gjør at en brukers brukernavn/passord (hash) ikke blir liggende igjen når du logger ut av en RDP sesjon. Dette krever at du er medlem av den lokale administrator gruppen på maskinen du logger deg på. Konfigureres via en reg nøkkel og man må benytte denne cmd når man starter RDP sesjonen:
    Mstsc.exe /RestrictedAdmin Mer info her

    Men vi anbefaler ikke å enable denne featuren på Server 2012 R2 eller Win 8.1, da dette faktisk innebærer at PtH faktisk blir utnyttet med for eksempel pth-winexe og FreeRDP, mer info her

    2. Tidsbegrenset administrator rettigheter

    Dette innebærer å ta i bruk PAM (Privileges Access Manager) i MIM (Microsoft Identity Manager), eller Azure PIM (Privileged Identity Manager) for Azure AD.

    PAM er en løsning som bygger på JIT (Just In Time Administration) og JEA (Just Enough Administration). JEA er et powershell kit som gjør at en administrator kan gi brukere administrative rettigheter i en tidsbegrenset periode. Som dere skjønner vil det ikke da være mulig å stjele access fra en bruker etter at dette tidsrommet er over.

    PAM i AD DS fungerer ved at det opprettes en ekstra AD forest som benyttes som en såkalt bastion forest (samme SID i begge Forests). Eller en forest hvor de faktiske tilganger finnes og som har et trust mot den opprinnelige AD forest. Det er vanlig å benytte MIM sammen med PAM, ellers er det en lite brukervennlig og tilgjengelig løsning (Web portal vs powershell). Dette fungerer ved at brukeren får time-limited ticket-granting tickets (TGTs) som har en viss levetid.

    3. Multi-factor

    For å gjøre den tidsbegrensede tilgangen enda sikrere kan det innføres MFA. Gjennom MIM PAM og Azure AD PIM ved bruk av Azure Multi-factor authentication (MFA). Krever Premium Azure AD lisens.

    4. JEA for DC vedlikehold og drift

    Man bør ta i bruk JEA for de brukerne som skal jobbe med p vedlikeholde domenekontrollerene. På denne måten kan utvalgte brukere få tilgang til utvalgte funksjoner på DC’er uten å være administrator. Dette tilbys via powershell.

    5. Minste angreps overflate til DC

    Man bør minimere mulighetene og metodene som kan brukes for å få kontroll over AD forest og objektene. Dette er en samling av flere generelle metoder, beskrevet nærmere her

    6. Oppdage angrepet (ATA)

    Ok, hva skjer når man blir angrepet eller kompromittert? Gjennomsnittstiden før et angrep er blitt oppdaget er 243 dager! Microsoft har derfor utviklet er produkt for å avdekke abnormal oppførsel basert på hvilke enheter en bruker normal benytter for å aksessere systemene/informasjonen i selskapet. Dette produktet heter ATA (Advanced Threat Analytics) og er en on-premise plattform som samler data fra ulike systemer (SIEM, Eventlog, DNS, nettverkstrafikk) og lager en profil basert på oppførsel på brukere og andre entiteter. ATA baserer seg på machine learning.

    Løsningen består av enten ATA Gateways som videresender eventlogger og nettverkstrafikk eller gateway agenter installert på alle DC’er. Disse gatewayene forwarder informasjonen til ATA Center. Her har man konsoll for administrasjon og bruk, sette opp notifications og alerts osv. NB! Ett ATA Center per AD Forest.

    Her ser man arkitekturen på løsningen:

    Ignite, Microsoft2

     

    PtH angrep blir oppdaget:

    Ignite, Microsoft4

    Mer info her

    Hvis man er så uheldig og blir angrepet bør man ha en plan for hvordan man takler og følger opp et innbrudd.  Les denne pdf fra Microsoft som beskriver tiltak.
    http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-the-Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf

     

    Runde 3.

    Siste del av strategien er en mer proaktiv tilnærming til problemet, men den bygger på tiltakene i runde 1 og 2.

    Ignite, Microsoft 5

    1. Bruke en modell med definerte roller og delegering av rettigheter

    For å redusere sikkerhets fare, bør man gjøre et redesign av modellen for roller og delegeringer i bedriften. Denne modellen bør være i tråd med nivå modellen, dvs at man for eksempel har en cloud service administrator rolle og en tenant administrator. Denne modellen bør ivareta JIT og JEA som er beskrevet lenger opp.

    2. Alle Azure administratorer bør bruke smartcard eller Passport authentication.

    Man bør innføre sikker autentisering for alle administratorer om er hosted i Azure, og alle on-premise kontoer som har administrative rettigheter i Azure.

    3. Egen admin AD forest for administratorer

    For å sette opp den beste beskyttelsen for dine administratorer bør det vurderes å sette opp en egen admin AD forest som ikke har noen avhengigheter med produksjons AD. Men som bare benyttes til de mest kritiske systemene i ditt produksjons miljø. Microsoft har beskrevet det inngående her

    4. Kode integritet for alle DC’er (Bare for Server 2016)

    I server 2016 har man mulighet til å sette på en sperre for bare godkjente kernel drivers og bruker applikasjoner kan kjøres. Dette er en ekstra sikkerhet for å unngå at uautoriserte programvare kan kjøres på DC’ene.

    5. Shielded VM’s for virtuelle DC’s (Server 2016 Hyper-v)

    I Server 2016 Hyper-v har fått en funksjon som heter Shielded vm’s. Dette kan enables på vm’er man ønsker ekstra sikkerhet på, spesielt på ROBO sites eller på lokasjoner hvor man ikke stoler på administratoren.

    Shielded vm’s gjør at man ikke kan åpne konsollet på vm’em fra hyper-v manager eller SCVMM, det er heller ikke mulig å mounte eller åpne vhd filen til vm’en. På denne måten kan ingen mounte NTDS.dit filen og hente ut informasjon på den måten.

     

    Oppsummering

    Dette var en meget lang liste med tiltak som bør gjennomføres, men så lenge runde 1 blir gjennomført og runde 2 og 3 ligger i roadmappen vil man ha satt mange kjepper i hjulene til eventuelle hackere og inntrengere.

    Om noe skulle være uklart kan man kontakte Datametrix på support@datametrix.no.

     

    Referanser:
    https://technet.microsoft.com/windows-server-docs/security/securing-privileged-access/securing-privileged-access

     

     

     

    André Frogner André Frogner Senior konsulent Microsoft og VMware Andre har jobbet som konsulent i Microsoft/cloud/datasenter avdelingen i Datametrix siden 2009. Hans fagområder har primært vært Microsoft og VMware design, installasjon og feilretting. Men han har også meget stor kompetanse på PKI sertifikat infrastruktur, RADIUS og 802.1x løsninger. System Center Operations Manager og Forefront Identity Manager er også produkter han har god erfaring med. På fritiden sysler han men nye gadgets, kajakk paddling, innebandy og trening. Sertifiseringer Microsoft MCITP EA, VMware VCP og VCP-D, Cisco DCUCI
  • Public, private eller hybrid – hva er hva i skyen?

    7. november 2016 av Lasse Nordvik Wedø under temaet Skytjenester

    Skytjenester kommer i flere varianter; ”Private Cloud”, Public Cloud” og ”Hybrid Cloud” er tre av dem du møter oftest.
    Hva er hva, og hva er forskjellen? Og hvilken løsning passer hvilke behov?

    skytjenester - private, public eller hybrid cloud

    Private Cloud

    Her snakker vi om infrastruktur bygget utelukkende for å betjene én organisasjon. Dette er ofte infrastruktur som er kjøpt inn, plassert hos og driftet av en enkelt organisasjon, som selv disponerer alle ressursene til forskjellige tjenester og prosesser. Å bygge en slik infrastruktur kan være kostbart for mindre bedrifter, og krever mye kompetanse.

    En privat skyløsning kan også være en «Virtual Private Cloud». Dette er en skytjeneste som ikke nødvendigvis er lokalisert hos virksomheten selv, men i stedet leies inn som en ressurs fra en ekstern tjenestetilbyder. Strengt tatt er dette en «Public Cloud», men levert som en variant der tjenestetilbyderen garanterer for eksklusiv tilgang til ressursene. Den er ikke delt med andre organisasjoner, og er ikke nødvendigvis tilgjengelig over alt.

    Public Cloud

    Dersom en tjeneste er tilgjengelig over internett, blir den ofte omtalt som «Public Cloud». Denne definisjonen er ikke helt korrekt. En «Public Cloud» kan like gjerne være tilgjengelig over et lukket VPN eller en WAN-forbindelse. Bæreren er altså ikke avgjørende for om noe er «private» eller «public».

    Det som derimot er mer korrekt, er å definere en «Public Cloud» som noe virkosmheten deler med andre. Som en kunde av en «Public Cloud», eier organisasjonen ikke de fysiske ressursene som benyttes, og har ingen påvirkning på hvordan disse skal fordeles.

    Som kunde i en «Public Cloud» kan man plukke tjenester og bestille kapasitet, uten å måtte forholde seg til absolutt alle komponentene i en løsning, og hva som må til for å få det til å fungere. Dersom man for eksempel kjøper lagringskapasitet i en «Public Cloud», trenger man ikke tenke på nettverk, servere, diskplass eller brannmurer. Alt dette tar leverandøren seg av.

    Hybrid Cloud

    Som navnet antyder er dette en løsning som kombinerer egenskaper fra andre skyløsninger. En «Hybrid Cloud» er en kombinasjon av ”private” og ”public”. Dette er kanskje den mest vanlige løsningen, der en organisasjon sørger for produksjon av en del tjenester på eget utstyr, men setter ut andre tjenester fordi det lønner seg, er mer effektivt, fleksibelt eller sikkert. Noen organisasjoner ønsker for eksempel å ha eierskap til data og produksjon samtidig som de ønsker å dra nytte av fordelene en skyløsning innebærer.

    Et eksempel på en av disse fordelene, er hvor enkelt det har blitt å sette opp demo- og testplattformer i skyen. De kan tas ned like raskt som de settes opp, ofte i en selvbetjeningspanel som kunden har tilgjengelig. I tillegg belastes man bare for faktisk bruk.

    Denne måten å bygge IT-løsninger på, eliminerer alt arbeidet som tidligere var forbundet med å oppskalere datasenteret. Ingen beregninger av kapasitet som kan gå galt, ingen bestillingstid og ingen nedetid på utstyr som ikke er i bruk. Hvorvidt man ønsker å produksjonssette en tjeneste eller ikke etter testing, blir et spørsmål for seg når evalueringen er gjort.

    Som jeg har vist i dette innlegget, skyen kommer i forskjellige varianter og med forskjellige egenskaper. Å velge den ene fremfor den andre, er avhengig av behov og ønsker som varierer fra virksomhet til virksomhet.

    Les mer her om hvilke skytjenester Datametrix kan tilby

    Lasse Nordvik Wedø Lasse Nordvik Wedø Chief Architect, BusinessCloud MS Solutions Lasse har jobbet I Datametrix siden 2007 og er fagleder for Microsoft Unified Communication. Han har jobbet som konsulent, rådgiver og kursholder (MCT) innen Microsoft sine server produkter, samt Exchange og Lync. På fritiden er han heltidspappa, glad i mat, foto og musikk. Han bruker mye av tiden bak skjermen på fritiden også, for å få med seg oppdateringer han ikke rekker på dagtid. I tillegg til å være bidragsyter på denne loggen, er han å hyppig å finne på Twitter (@lawedo) eller med private blogg innlegg om teknologien han jobber med til daglig. Sertifiseringer MCT-Alumni, Skype for business MVP 2015
  • Programmering for nettverksteknikere

    18. mars 2016 av Anders Låstad under temaet IT infrastruktur

    De siste årene har det skjedd en rivende utvikling på programvare siden i nettverksverden. Openflow, CiscoOnePK, Cisco ACI og VMware NSX er noen eksempler på nye API som kan benyttes for å utøve kontroll over nettverket. Dette har potensialet til å endre måten vi jobber på som nettverksteknikere.Programmering har alltid vært en egenskap som har vært nyttig, trolig blir det i framtiden en mye større del av hverdagen. Cisco IOS har i lengre tid støttet Tcl skript direkte på ruteren/switchen og Cisco Nexus har støtte for Python.

    For de som ikke har fått prøvd seg på programmering eller skripting enda, er det kanskje på tide å gi det en sjanse.

    Hvilket språk skal man lære?

    Dette er egentlig ikke så viktig, mange av konseptene er ofte de samme uavhengig av språk, så man tilegner seg generell forståelse for programmeringsprinsipper og kontroll strukturer.
    Har man en kollega eller venn man kan støtte seg på, kan det være en god idé å velge språket de kan. Ellers er Python en god kandidat da det er relativt enkelt, kraftig, godt dokumentert og er støttet blant annet i CiscoOnePK.

    Hvor skal man begynne?
    Begynn i det små.
    Lag enkle verktøy, automatiser enkle rutine oppgaver.
    Hva med ett skript som automatisk lagrer konfigurasjonen fra Cisco enheten til TFTP server basert på SNMP?
    Når dette fungerer kan man enkelt integrere det med syslog serveren som automatisk kjører skriptet når den får melding om konfigurasjonsendring på enheten.

    Ganske enkelt, men veldig nyttig.
    Små enkle steg mot en bedre hverdag er bedre enn ett gigantisk hopp man aldri når.

    «Stjel» mye og ofte!

     Ett godt prinsipp som vi alle burde følge.
    Vi når alle høyere om vi kan stå på skuldrene til de som har gått foran oss. Trolig har noen allerede gjort deler av det vi prøver å løse, kanskje har de også gjort det på en smartere måte en hva en selv kunne kommet på.
    Det har selvsagt en verdi å lage ting selv fra ett læringsperspektiv, men ikke føl at du trenger å lage alt selv. Forstå hva du trenger og støtt deg på andres bidrag, dette gjør deg selv mer effektiv. På sikt kan du selv også bidra til fellesskapet.

    Eksempel

     Jeg var ute hos en kunde som hadde behov for å få registrert switcher og rutere i DNS. Selvsagt kunne vi lagt inn enhetene manuelt, men hva når det skjer en endring i nettverket? Da må man manuelt oppdatere DNS, ikke den mest spennende oppgaven. Erfaringsmessig er også slike «kjedelige» manuelle rutineoppgaver ofte plaget med feil registreringer.

    Løsningen ble å lage ett skript i PowerShell. (Powershell fordi det var tilgjengelig i server miljøet til kunden).
    Jeg har ingen tidligere efaring med powershell, og følte derfor at det kunne bli ett godt eksempel som introduksjon til skripting.

    Bevæpnet kun med generell skript forståelse og det (nærmest allmektige) Internett søket, satte jeg i gang.

    Powershell har støtte for kommentarer over flere linjer, disse kommentarene omkranses av <# og #>
    Det er en god ide å legge med en kort beskrivelse av hva koden gjør og eventuelt hvem som har skrevet den.nettverk tekniker script1

    I første del av skriptet har jeg lagt inn noen brukerdefinerte variabler, slik at man relativt enkelt kan endre DNS server navn.
    Hvilken bruker som skal logge inn med Telnet og tilhørende passord.
    Passordet er her sikret med «over skulderen sikkert» passord.
    Det betyr at passordet er «skjult» på en slik måte at man aktivt må gå inn for å hente passordet.
    Slike skript som dette bør uansett sikres mot tilgang fra uatuorisert personell.
    Switch subnet og routersubnet er nettverk med fastsatt lengde (/24 bit) i dette skriptet, dette kan enkelt endres ved behov, men passet hos den gitte oppdragsgiver.

    Nettverk tekniker script2

    Funksjonen under er «stjålet» fra det store Internet, riktignok med tillatelse fra Martin Pugh.
    Jeg har valgt å legge inn en liten beskrivelse i funksjonen med referanse til originalforfatter. Dette blir å regne som normal høflighet.

    Nettverk programmering script3

    Den lille kodebiten under her tar det «skjulte» passordet og dekoder det slik at vi kan benytte det i Telnet funksjonen. $password blir nå klartekst passordet til Telnet brukeren.

    Nettverk programmering script4

    Vi pinger noder i nettverkene som skal scannes. Dette er mye raskere en å gjøre telnet til alle tenkelige adresser i disse nettene. Vi forsøker kun Telnet dersom noden svarer på ping.
    Vi gjør klar en «range» med adresser fra 1-254
    I foreach løkken under «hopper» vi fra switchsubnet til routesubnet for hver adresse vi prøver. På den måten pinger vi alle addressene i begge nettverkene.
    En del ganger rekker ikke noden å svare på første ping, pga ARP oppslag, vi sender derfor 1 ping ekstra dersom noen ikke svarer på første.

    Nettverk programmering script5

    Når vi så har laget en liste over noder som svarer på ping, er vi klar til å kjøre telnet mot dem. Her går vi i foreach løkken igjennom alle adressene og kjører Get-Telnet funksjonen mot dem.
    Vi sender noen kommandoer for å hente ut interface og IP addresser. Select-string tar «output» fra funksjonen og kjører gjennom ett filter. Her er vi kun ute etter linjer som har relevante interfacenavn eller nodenavnet i seg.

    Nettverk programmering script6Etter at informasjonen er hentet ut og filtrert, trenger vi å hente ut de ulike feltene slik at vi kan lage DNS oppslag på dem.
    Her går løkken igjennom hver linje i «output» og leter etter gitte tekst strenger og henter ut feltene med navn, interface nummer og IP addresse. Søkestrengene som benyttes her er såkalte regulære uttrykk.
    Til sist bytter vi ut / i interface nummer med -, da / ikke er gyldig i DNS navn.

    Nettverk programmering script7

    Reversoppslag i DNS skrives baklengs, altså en IP addresse 10.1.2.3 blir i revers DNS til 3.2.1.10.in-addr.arp
    Vi må derfor gjøre om rekkefølgen på IP addressen
    Nettverk programmering script8

    Når reversoppslaget så er klart gjør vi en sjekk om det allerede finnes i DNS. Dette gjør vi ved hjelp av DNS «commandlets» som er ferdige «kommandosett» som er laget for oss.

    Nettverk programmering script9Dersom DNS objektet ikke finnes fra før oppretter vi det

    Nettverk programmering script10

    Dersom DNS objektet finnes fra før, må vi sjekke om det er korrekt eller refererer til ett gammelt navn

    Nettverk programmering script12

    Når det er gjennomført for alle interface er vi ferdig. Normal høflighet tilsier at vi nå gir beskjed at vi er ferdig

    Nettverk programmering script13

    Hele skriptet ligger tilgjengelig for nedlasting, for dem som måtte være interessert. Regulære uttrykk er en måte å skildre ett søk på, hvor man bare har kjennskap til deler av søkestrengen, eller strukturen på det man leter etter.
    Regulære uttrykk kan være veldig enkle men også veldig kompliserte og det kan ta noe tid før man blir fortrolig med dem. Eksemplene i dette skriptet er nokså enkle.Men jeg tar meg ikke tid til å forklare dem her, dersom det er ønsker om det kan det i framtiden dukke opp en egen post om regulære uttrykk.
    Ett godt sted å starte for å lære litt om regulære uttrykk er her: http://regexone.com/

    Dette skriptet ble til på en del timer med prøv og feil metoden, samt god støtte i online dokumentasjon. Jeg håper at dette har gjort deg nysgjerrig på scripting og kanskje også fjernet noe av redselen for det ukjente.
    Skript trenger ikke være store, vanskelig og kompliserte. Kan jeg lære meg powershell godt nok til dette på under en dag, så kan saktens du også lære deg skripting. Det fine er når man først har lært seg ett skriptspråk, blir det mye lettere å lære flere. Get-Telnet powershell funksjonen brukt her med tillatelse fra Martin Pugh.

    Original script fra Martin Pugh: https://community.spiceworks.com/scripts/show/1887-get-telnet-telnet-to-a-device-and-issue-commands

    cisco2dns.ps1 :
    
    
    <#
    .SYNOPSIS
        Simple script to find routers/switches through ping sweep and connect to them using Telnet, issue commands and
        using the output to create revers pointer records for DNS
        Some userchangeable variables are placed at the top for ease of management.
    .Author
        Anders Låstad
    #>
    
    
    #Userchangeable variables
    
    
    $dnsServer = "ad-dns-server.company.local"
    $dnsSuffix = "net.comapny.local."
    $username = 'script-ad-user'
    $epassword = '66 70 83 90 55 20 13 81 84 99 50 109'
    
    
    $switchSubnet = "192.0.2"
    $routerSubnet = "198.51.100"
    
    
    
    
    
    
    #Rest of script
    
    
    Function Get-Telnet
    <#
        Author:            Martin Pugh
        Twitter:           @thesurlyadm1n
        Spiceworks:        Martin9700
        Blog:              www.thesurlyadmin.com
        Modified:          Anders Låstad
    #>
    
    
    {   Param (
            [Parameter(ValueFromPipeline=$true)]
            [String[]]$Commands = @("username","password","term len 0","sh ip int brie"),
            [string]$RemoteHost = "HostnameOrIPAddress",
            [string]$Port = "23",
            [int]$WaitTime = 1000
        )
        #Attach to the remote device, setup streaming requirements
        $Socket = New-Object System.Net.Sockets.TcpClient($RemoteHost, $Port)
        If ($Socket)
        {   $Stream = $Socket.GetStream()
            $Writer = New-Object System.IO.StreamWriter($Stream)
            $Buffer = New-Object System.Byte[] 1024
            $Encoding = New-Object System.Text.AsciiEncoding
    
    
            #Now start issuing the commands
            ForEach ($Command in $Commands)
            {   $Writer.WriteLine($Command)
                $Writer.Flush()
                Start-Sleep -Milliseconds $WaitTime
            }
            #All commands issued, but since the last command is usually going to be
            #the longest let's wait a little longer for it to finish
            Start-Sleep -Milliseconds ($WaitTime * 4)
            $Result = ""
            #Save all the results
            While($Stream.DataAvailable)
            {   $Read = $Stream.Read($Buffer, 0, 1024)
                $Result += ($Encoding.GetString($Buffer, 0, $Read))
            }
        }
        Else
        {   $Result = "Unable to connect to host: $($RemoteHost):$Port"
        }
        ($Result -split '[\r\n]') |? {$_}
    }
    
    
    
    
    
    
    $password = ''
    $epassword.Trim().Split(" ") | Foreach { $password = $password + [CHAR][BYTE](($_)-1) }
    
    
    $scanNet = ($switchSubnet,$routerSubnet)
    
    
    $remoteHosts = @()
    #Do a pingscan to find switches and routers
    $target = 1
    $min = 1
    $max = 254
    $target = $min
    
    
    $ping = new-object system.net.networkinformation.ping
    Write-Host "---------Starting Discovery Process---------" -foregroundcolor red
    while ($target -le $max)
    {
    
    
       if ($target -eq [int](($max - $min) * 0.1)) { Write-Host "10% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.2)) { Write-Host "20% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.3)) { Write-Host "30% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.4)) { Write-Host "40% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.5)) { Write-Host "50% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.6)) { Write-Host "60% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.7)) { Write-Host "70% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.8)) { Write-Host "80% Complete" -foregroundcolor red }
       elseif ($target -eq [int](($max - $min) * 0.9)) { Write-Host "90% Complete" -foregroundcolor red }
    
    
       foreach ($net in $scanNet)
       {
          $pingreturn = $ping.send("$($net).$($target)", "100")
          if ($pingreturn.status -ne "success")
          {
             $pingreturn = $ping.send("$($net).$($target)", "200")
          }
          if ($pingreturn.status -eq "success")
          {
             Write-Host "Discovered Host: $($net).$($target)"
             $remoteHosts += "$($net).$($target)"
          }
       }
       $target++
    }
    Write-Host "---------Finished Discovery Process---------" -foregroundcolor red
    Write-Host "Found $($remoteHosts.Count) devices to connect to" -foregroundcolor red
    
    
    #Loop through the hosts to collect interfaces and addresses
    [int]$collectCount = 0
    Write-Host "---------Starting Interface collection---------" -foregroundcolor red
    foreach ($remoteHost in $remoteHosts)
    {
    
    
       $collectCount += 1
       if ($collectCount -eq [int](($remoteHosts.Count) * 0.1)) { Write-Host "10% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.2)) { Write-Host "20% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.3)) { Write-Host "30% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.4)) { Write-Host "40% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.5)) { Write-Host "50% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.6)) { Write-Host "60% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.7)) { Write-Host "70% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.8)) { Write-Host "80% Complete" -foregroundcolor red }
       elseif ($collectCount -eq [int](($remoteHosts.Count) * 0.9)) { Write-Host "90% Complete" -foregroundcolor red }
    
    
    
    
       #Reset hostname before each run
       $hostname = $null
    
    
       $output = Get-Telnet `
                    -RemoteHost $remoteHost `
                    -Commands `
                        $username, `
                        $password, `
                        "term len 0", `
                        "show start | inc ^hostname", `
                        "sh ip int brie | exc down|unass" `
                    | Select-String "^(Fast|Giga|Loop|Vlan).*\s+\d+\.\d+\.\d+\.\d+\s+|^hostname "
    
    
       #Loop through each output line for data
       ForEach ($line in $output)
       {
          #Get hostname
          if ($line -match "^hostname (\S+)")
          {
             $hostname = $matches[1]
             continue
          }
          Elseif ($line -match "^Giga\D+(\d+\S+)\s+(\S+)")
          {
             $intType = "gi"
             $intId = $matches[1]
             $ip = $matches[2]
          }
          Elseif ($line -match "^Fast\D+(\d+\S+)\s+(\S+)")
          {
             $intType = "fa"
             $intId = $matches[1]
             $ip = $matches[2]
          }
          Elseif ($line -match "^Loop\D+(\d+)\s+(\S+)")
          {
             $intType = "lo"
             $intId = $matches[1]
             $ip = $matches[2]
          }
          Elseif ($line -match "^Vlan\D*(\d+)\s+(\S+)")
          {
             $intType = "vl"
             $intId = $matches[1]
             $ip = $matches[2]
          }
          Else
          {
             continue
          }
          $intId = $intId.replace('/','-') #Replace / with - as these are not allowed in DNS names
    
    
          #Split ip address and reverse order
          $ipOctets = $ip.split('.')
          [array]::Reverse($ipOctets)
          $ipName = $ipOctets[0]
          $ipZone = $ipOctets[-3..-1] -Join "."
    
    
          $newObj = $oldObj = Get-DnsServerResourceRecord `
                                -ComputerName $dnsServer `
                                -Node $ipName `
                                -ZoneName "$($ipZone).in-addr.arpa" `
                                -RRType "Ptr" `
                                -ErrorAction SilentlyContinue
          if ($oldObj -eq $null)
          {
            Write-Host "New DNS object created for $($ip) - $($hostname)_$($intType)$($intId)"
            Add-DnsServerResourceRecordPtr `
                -ComputerName $dnsServer `
                -Name $ipName `
                -ZoneName "$($ipZone).in-addr.arpa" `
                -AllowUpdateAny `
                -TimeToLive 01:00:00 `
                -AgeRecord `
                -PtrDomainName "$($hostname)_$($intType)$($intId).$($dnsSuffix)"
          }
          else
          {
            if ($newObj.RecordData.PtrDomainName -ne "$($hostname)_$($intType)$($intId).$($dnsSuffix)")
            {
                Write-Host "Updated DNS object for $($ip) - $($hostname)_$($intType)$($intId)"
                $newObj.RecordData.PtrDomainName = "$($hostname)_$($intType)$($intId).$($dnsSuffix)"
                set-DnsServerResourceRecord `
                    -NewInputObject $NewObj `
                    -OldInputObject $OldObj `
                    -ZoneName "$($ipZone).in-addr.arpa" `
                    -PassThru
            }
            else
            {
                Write-Host "DNS record already up to date: $($ip)"
            }
          }
       }
    }
    Write-Host "---------Finished---------" -foregroundcolor red
    
    
    
    pencode.ps1 (genererer «over skulderen sikkert» passord)
    $strEncoded = ""
    $strToEncode = "passordetsomskalkodes"
    $strToEncode.ToCharArray() | Foreach { $strEncoded = $strEncoded + ([BYTE][CHAR]($_)+1)  + " " }
    Write-Host $strEncoded

     

     

     

     

     

     

     

    Anders Låstad Anders Låstad Senior konsulent/Arkitekt Anders har jobbet med routing og switching siden 1999. Fokusområdene har vært service providere og større bedrifter med MPLS og QoS behov. Har laget en del enkle verktøy til å bistå nettverksteknikere i sitt daglige arbeid. Er opptatt av automasjon og få løftet nettverksfaget ut av "mørkealderen", med manuell konfigurasjon. De senere år har han jobbet aktivt med IPv6 og holder sammen med gode kolleger i Datametrix Norges eneste IPv6 forum sertifiserte kurs.
  • Tellerskrittenes død? Lenge leve samhandlingen

    19. februar 2016 av Lasse Nordvik Wedø under temaet Samhandling

    Skype-for-business, IT-som en tjeneste

    Samhandlingsmarkedet er i stor endring. Skype for business er et av produktene som står som pådriver for denne utviklingen. Både på hva den kan levere, hvordan den leveres og til hvilken pris. Her er «noen» av mine tanker på området.

    Endringen er i gang

    Det har lenge pågått en revolusjon i måten bedrifter produserer sine tjenester internt og eksternt, og ordet skytjeneste er for lengst blitt et stuerent begrep.  Det som mange tidligere så på som en trussel både mot egne arbeidsoppgaver og mot bedriftens sikkerhetsbehov, blir i dag sett på som kjærkommen avlasting, effektivisering og mulighet for åpenhet mot et større kundemarked. Det er riktignok ikke slik at alle sikkerhetsbekymringene (med rette?) er fjernet, men om man gjør veloverveide valg og vurderinger, er det mange funksjoner bedriftene kan sette ut og bruke interne ressurser på mer effektive måter enn tidligere.

    Mange spådde i denne sammenheng at blant andre Microsofts og Amazons servertjenester ville drepe nesten all lokal IT virksomhet. Men om man observerer litt rundt seg, så ser man at markedet ikke har forsvunnet. Det har bare endret seg. Bedriftene trenger ikke lenger kjernekompetanse på hardware og oppsett av maskiner, det ordner seg selv i skyen. Nå kan det brukes interne ressurser på å fokusere på strategiene, applikasjonene, tjenestene og prosessene som er med på å understøtte bedriftenes kjernevirksomhet. Bedriftene trenger fortsatt hjelp og rådgiving, behovet har bare beveget seg lenger opp i lagene, og gjerne på tvers av fagfelt.

    Nå er tiden kommet til å gjøre mye av det samme med «telefonitjenestene». Og jeg setter bevisst «telefoni» i hermetegn her, fordi tellerskrittdelen av en total samhandlingsplattform utgjør mindre og mindre. Dette er noe de store teleoperatørene kommer til å merke fremover, og om de ikke tilpasser seg vil det bli tøft om kun få år. Nå tror ikke jeg at telefoni i seg selv kommer til å dø ut eller forsvinne, for det er ikke organisasjonene eller kundene klare for. Men betydningen av telefon i seg selv og måten vi forholder oss til den kommer til å endre seg raskt i tiden fremover.

    Telefoni som en tjeneste

    De store leverandørene av samhandling kjemper nå en kamp på et par interessante områder. Det mest merkbare for oss som selskap er tilbudet om telefoni i skyen. Telefoni er i ferd med å bli en «brød og smør» tjeneste som ikke trenger nevneverdig kompetanse eller ferdigheter for å skaffe/levere. Det blir et valg i en portal sammen med de andre tjenestene man har fra samme leverandør. Dette blir en spennende utfordring for vår tradisjonelle måte å tenke på telefoni.

    Samtidig åpnes grensesnittene på forskjellige flater slik at man skal bli mindre avhengig av selve telefonien som bærer. Vi kan se for oss at om kun kort tid vil mye (om ikke all) tale/video gå over et datanett og ikke lenger benytte seg av det tradisjonelle pstn.

    Flere og flere leverandører begynner å levere maskiner og enheter med innebygget trådløse tjenester og/eller 4g tjenester med faste rater til fast pris, slik at forbrukeren fritt kan bevege seg i store geografiske områder uten å tenke på tilkoblingen sin, og fritt kan bruke den klienten eller nettleseren han eller hun selv foretrekker for å kommunisere med omverdenen. Datatrafikk er og blir veldig viktig, samtidig som den tradisjonelle tilkobling med tellerskritt er på vikende front. Hvorfor i alle dager skal man betale tellerskritt eller oppkoblingsavgift for å snakke med fjerne og nære forretningskontakter eller familiemedlemmer, nå det finnes applikasjoner eller tjenester der akkurat den delen er gratis (og vel så god, om ikke bedre) som gjør jobben? Mange av oss gjør allerede dette i private settinger med all verdens forskjellige applikasjoner som finnes på markedet. Er det så unaturlig å tro at ikke bedriftene vil benyttes seg av de samme teknologiene, gjerne med litt mer kontroll på hva som faktisk brukes?

    Kompetansepartner

    Hva er så Datametrix sin plass opp i dette? Vi ser at vi, som alle andre, må omstille oss til den nye hverdagen, og tenke kreativt sammen med våre kunder og partnere. Vi skal med vår kompetanse, hjelpe kundene i å ta det som er de riktige valgene for akkurat dem. Både når det gjelder valg av primære samhandlingskanaler (herunder telefoni), og når det kommer til det totale bildet med tilstøtende tjenester og funksjoner. Personlig tror jeg ingen som bare skal selge en telefoni tjeneste som for eksempel Skype for business kommer til å overleve i markedet veldig lenge. Det kommer til å handle om hvilke andre tjenester og muligheter man legger til rette for gjennom partnere og egenproduserte tilleggstjenester.

    Skype for business

    Skype for business har fått et godt fotfeste innen det norske markedet, og er for mange nesten synonymt med samhandling. Den sidestillingen er kanskje ikke helt rettferdig og ikke den fulle sannheten, men de andre aktørene har ikke klart å etablere like tydelige alternativer og her tenker jeg ikke bare på tekniske muligheter, men sammenligner også pris og tilgjengelighet.

    skype-for-business

    Det finnes et stort marked som etterspør Skype for business, og Datametrix skal kunne hjelpe kundene med å velge rett versjon av denne tjenesten, samt sørge for at akkurat deres implementering blir tilpasset den enkelte kundes eget miljø ved bruk av vår og våre partneres produktspekter og kompetanse på helheten. Vi skal synliggjøre at det er forskjell på de enkelte tjenestene, og ikke minst tydeliggjøre vår kompetanse rundt helheten av samhandling og dens funksjonalitet. Der telefoni nå er blitt «brød og smør» er det fortsatt store behov for å implementere det på en god og sikker måte.

    Datametrix kommer med en ny tjenesteplattform basert på Skype for business, der vi vil kunne levere flere tjenester som mobilstatus, sentralbord og kontaktsenter, som vi selv produserer.

    Lasse Nordvik Wedø Lasse Nordvik Wedø Chief Architect, BusinessCloud MS Solutions Lasse har jobbet I Datametrix siden 2007 og er fagleder for Microsoft Unified Communication. Han har jobbet som konsulent, rådgiver og kursholder (MCT) innen Microsoft sine server produkter, samt Exchange og Lync. På fritiden er han heltidspappa, glad i mat, foto og musikk. Han bruker mye av tiden bak skjermen på fritiden også, for å få med seg oppdateringer han ikke rekker på dagtid. I tillegg til å være bidragsyter på denne loggen, er han å hyppig å finne på Twitter (@lawedo) eller med private blogg innlegg om teknologien han jobber med til daglig. Sertifiseringer MCT-Alumni, Skype for business MVP 2015
  • Network Packet Brokers

    20. januar 2016 av Eirik Seim

    Som Jan Petter Torgersrud skrev i et blogginnlegg kan ting gå galt når man gjør seg veldig avhengig av SPAN-porter i nettet sitt, enten det er til en IDS, en Performance Monitor, en fast installert nettverksanalysator, eller andre ting fantasien min ikke dekker over her og nå.

    Kjører du en tradisjonell SPAN-port får du trafikk fra begge retninger ut på én port, og kan dermed fort overstige kapasiteten linken støtter slik at pakker droppes før de når utstyret som skal prøve å gjøre seg opp en mening om sikkerhet, ytelse, eller annet i nettet. La oss kalle dette utstyret, hva det nå er for «verktøyet».

    Rundt 2012 introduserte Gartner begrepet «Network Packet Broker», eller NPB. Dette er maskinvare som bidrar til økt synlighet inn i trafikk som speiles ut eller tappes fra nettverket. En NPB kan ta trafikken fra en SPAN-port eller et TAP-kit og;

    • Filtrere innkommende trafikk
    • Aggregere innkommende trafikk fra flere kilder til en eller flere ut-porter
    • Filtrere utgående trafikk
    • «Slice» pakker, dvs fjerne hele eller deler av innholdet i pakkene mens informasjon som adresser, portnummer og størrelse beholdes intakt – Gjør det enklere og mindre båndbreddekrevende for analyseverktøy som ikke bryr seg om data-innholdet.
    • Deduplisere pakker som fanges opp f.eks. både til og fra en brannmur
    • Legge inn timestamps på innkommende trafikk slik at overvåkingsverktøy kan rapportere reell tid fra linjen pakkene kommer fra, og ikke bli forvirret av den ekstra tiden det kan ta trafikken å komme helt inn i analyseverktøyene.

    Et typisk scenario er ved oppgradering av sentrale linjer i nettet fra 1 Gigabit til 10 Gigabit, eller kanskje 10 Gigabit til 100 Gigabit for enkelte av oss. Det er investert store penger i verktøy for å overvåke trafikken på den gamle linje-hastigheten. Overvåking av den nye linjen ble glemt i prosessen med å planlegge oppgradering av linjen, eller rett og slett forkastet fordi kostnaden ved å kjøpe helt nye verktøy ble for høy.

    En NPB kan hjelpe her ved at vi sender trafikken til den, og lar den kjøre det videre til verktøyet. Om nødvendig kan trafikken slices og filtreres slik at et høyere trafikkvolum likevel lar verktøyet gjøre jobben sin.

    Ixias Anue NTO, eller «Network Tool Optimizer», er et eksempel på en NPB.

    Den har porter inn, hvor det kan settes filtre på all trafikk som fanges opp, kanskje hele protokoller skal ignoreres, eller innholdet i enkelte protokoller av personvernhensyn skal droppes.

    Så har den naturligvis porter ut, hvor det også kan settes filtre om man ønsker.

    Sist men ikke minst har den et trivelig management-grensesnitt, hvor du veldig visuelt klikker og drar fra en inn-port til en eller flere ut-porter.

    Nok salgspitch, slik kan det se ut:

    Anuenettool1

    Jeg kobler port PA01 til et tap-kit på innsiden av brannmuren, og ønsker å sende en kopi av

    • all trafikk til en IDS
    • all webtrafikk til/fra 192.0.2.42 til en Performance Monitor
    • all voice-trafikk til et «Voice recorder» system

    Jeg dobbeltklikker på portene jeg ønsker å konfigurere, både inngående og utgående, og gir dem et forståelig navn:
    Anuenetttool2

     

    Høyreklikker midt på hovedskjermbildet og legger til et dynamisk filter:

    Anuenettool3

     

    Legger inn filter som fanger opp all trafikk til/fra 192.0.2.42 og til/fra port 80 (www)

    Anuenettool4

    Voice går i VLAN 333, så det legger jeg inn i et nytt filter:

    Anuenettool5

     

    Så trekker jeg opp linjer mellom boksene for å begynne å sende trafikk:

    anuenettool6

    Trafikken til IDS ble ikke trukket gjennom et filter, men for å ikke overbelaste noen verktøyporter blir det automatisk laget et dynamisk «Deny all» filter. Dette endrer jeg til et «Pass all», og trafikken begynner å flyte.

    Så dukker det opp en situasjon, noen bryter seg inn i Exchange-serveren vår og er i ferd med å stjele konfidensiell informasjon. Vi har allerede noe data i IDS, men vi ønsker å samle bevis.

    Vi har en PC tilgjengelig med Wireshark og 1 gig Ethernet, kan det hjelpe oss? Klart det kan! Så lenge vi kan lage et filter som ikke slipper igjennom mer trafikk enn Wireshark-PCen kan håndtere.

    Anuenettool7

    Trekker opp  linjene, og får automatisk generert et filter som redigeres til å fange opp all trafikk til/fra Exchange:

    Anuenettool8

    Da ser det slik ut:

    Anuenettool9

    Merk at porten til Wireshark PCen viser et lite varselsymbol for å fortelle om den mister pakker.

    Statistikken viser at vi fanger opp trafikk til/fra Exchange-serveren:

    Anuenettool10

    Når støvet har lagt seg og status gjøres opp i ettertid finner vi ut at vi kanskje må ha inn en bedre IDS. Takket være NTO er det enkelt å sette den opp for tuning mens den gamle fremdeles er i drift:

    Anuenettool11

    Avslutningsvis må jeg også ta med at Ixia har integrert sin ATI-teknologi (link til: http://www.ixiacom.com/products/application-and-threat-intelligence) i form av en egen prosessormodul «ATIP» til 7300 og 6212-modellene av NTO som analyserer trafikken og lar deg lage mer avanserte filtre som dette:

    Anuenettool12

    Her ligger det en applikasjonsforståelse som fanger opp trafikk fra flere kilder og sender f.eks. IMAP og SMTP til DLP («Data Loss Prevention»), Facebook-trafikk til Inspection og LinkedIn-trafikk til Troubleshooting.

    Eirik Seim Eirik Seim Seniorkonsulent Eirik kom inn i Datametrix i mai 2014 gjennom oppkjøpet av Nettfokus, og har jobbet med feilsøking, nettverksanalyse og testing av kvalitet og ytelse i nettverk i 7 år. Han er WPCNX-sertifisert av Wildpackets. Eirik bor i et 100 år gammelt hus sammen med samboer og to små gutter. Han har en fascinasjon for bratte fjell og gamle Volvoer.
  • Brannmurtesting med BreakingPoint

    26. oktober 2015 av Eirik Seim under temaet IT sikkerhet

    Hva gjør BreakingPoint?

    En brannmurtest med BreakingPoint er ikke en penetrasjonstest, det er viktig å understreke med en gang. BreakingPoint tester ytelsen, funksjonen og stabiliteten til brannmurer og brannmurtjenester som f.eks. IPS. Den sender store, realistiske trafikkmengder, gjerne kombinert med uønsket/ondsinnet trafikk, og ser hvor mye som slipper igjennom.
    Ixia / breaking Point bilde

    Bilde fra http://www.ixiacom.com/sites/default/files/resources/datasheet/breakingpoint-app-sec-testing-platform.pdf

     

    Noen viktige spørsmål som BreakingPoint kan hjelpe med å svare på er blant annet:

    • Hvor nært er jeg kapasitetsgrensen min i dag?
    • Hvilket av disse tre produktene er det korrekte valget for min bedrift?
    • Hvor mye beskyttelse gir IPS-løsningen min? Og under tung belastning?
    • Og kan jeg besvare disse spørsmålene på en god måte hvis sjefen min spør?

    Uansett hvilken brannmur du har eller vurderer å kjøpe vil du helt sikkert bli presentert for en tabell over hvordan ytelsen er. En tabell med felter som «Gbit/s», «Gbit/s med IPS», «Connections per second» og lignende. Det som ofte underkommuniseres er at hvert av disse ytelsestallene er målt separat i en dedikert og optimalisert test. Datametrix og våre leverandører er dessverre ikke noe unntak, fordi det er ganske umulig å sette sammen en virkelig meningsfyllt tabell over ytelsen når variablene (trafikken) er så forskjellig.

    Trafikkprofilering

    Så det viktigste er å ha kontroll på i denne sammenheng er hvilken trafikkprofil du har over brannmuren din i dag. Eller et realistisk bilde av hvordan du forventer at det skal være i fremtiden når den nye brannmurløsningen skal være på plass, og kanskje bedriften planlegger vekst eller å ta i bruk tjenester som på annet vis endrer behovene.

    Ingen virksomheter er helt identiske, og det samme kan vi si om trafikkprofilene deres. Noen mindre lignende virksomheter kan ha lignende profiler, og forskjellige nettleverandører av en viss størrelse vil ha lignende profiler siden de aggregerer trafikken fra mengder av den samme typen brukere, men generelt sett er alle forskjellige.

    En trafikkprofil kan visualiseres f.eks. som dette:
    Trafikk profil bilde

    Siden pakker i varierende grad fylles opp med data kan det være betydelige forskjeller på volum (bytes) og antall pakker, og begge deler er viktig å fange opp. I mitt konstruerte eksempel her skiller http og Citrix seg ut ved å ha mange små pakker, mens «Andre» og Mail har færre og større pakker.

    Statistikk som dette kan ganske sikkert produseres med utstyr som står og gjør brannmurjobben i dag, og hvis ikke kan vi i Datametrix ganske sikkert assistere med å tallfeste dette på en eller annen måte.

    Bygge trafikkprofiler med BreakingPoint

    I BreakingPoint bygger vi trafikkscenarier som simuleres med ekte protokoller der «alt» kan tunes (om du ønsker), og vekter de slik at det tilsvarer trafikkprofilen du trenger for å kunne si noe om hvilken av brannmurene du vurderer å kjøpe som er best for nettopp deg og din virksomhets behov.

    Vi kan definere opp tusenvis av IP-adresser internt som kommuniserer med en type trafikkmiks ut mot Internett, og en annen type trafikkmiks inn mot interne tjenester fordelt over hundrevis av IP-adresser i en annen sikkerhetssone. Flere «Innsider og utsider» kan kombineres etter ønske.

    Her er en av de ferdige malene man kan bruke som utgangspunkt, denne er basert på undersøkelser Sandvine (link: http://www.sandvine.com/) gjorde for nettleverandører i Europa i 2014:
    Sandvine oversikt fra 2014
    Herfra kan jeg gå inn i detalj på en linje og se på eller endre hva f.eks. «BreakingPoint Youtube Bandwidth» gjør både i forhold til de to TCP-sesjonene som utgjør den («Flows»), og handlingene («Actions»), som skjer på tvers av Flows – se Flow-kolonnen under Actions:

    Flows actions bilde

    Finne «BreakingPoint»

    Trafikkprofilen som lages kan kjøres mellom to eller flere porter, og volumet kan skrus opp og opp til brannmuren knekker. Og det gjør den garantert. BreakingPoint bruker spesialisert maskinvare som har kun en oppgave her i livet, og det er å tyne nettverksutstyr så mye som mulig.

    Her har jeg laget en test som prøver å dytte 10 Gigabit/s igjennom en brannmur. Mens testen kjører kan vi følge med på en del statistikk og tall løpende, f.eks. frame-rate:
    Frame rate bilde

    Og ytelsen i de enkelte protokollene som er definert i trafikkmiksen:

    Trafikkmiks bilde

    Men den virkelige verdien er best visualisert når testen er ferdig og vi åpner rapporten. Her ser vi at hva vi prøver å sende (Tx) etter hvert avviker fra det vi mottar på den andre siden (Rx):
    brannmur7

    75 sekunder inn i testen når vi en topp på 5,9 Gigabit/s, og etter knappe 10 sekunder på den belastningen ser vi at Tx og Rx begynner å gli fra hverandre, altså at brannmuren sannsynligvis har nådd en eller annen terskel for hva den klarer å videresende av trafikk.

    Ser vi på tidsforsinkelsen over brannmuren er det enda tydeligere at noe begynte å skje rundt 90 sekunder inn i testen. Her er tallene for DNS som for «Min Bedrift AS» er en viktig protokoll:
    Millisekunder bilde

    At forsinkelsen her skyter nesten rett opp mot slutten skyldes at testen er i ferd med å avsluttes, og virtuelle noder tas ned før all trafikken har kommet frem. Det er en naturlig konsekvens av at brannmuren introduserer såpass høy forsinkelse, og måten vi tester på, så de høye tallene til slutt må man ikke legge for mye vekt på.

    I tillegg til dette er høy TCP Connection Rate noe som typisk kan knekke brannmurer tidlig, særlig når det kombineres med annen trafikk. Under ser vi at ca 90 sekunder inn i testen begynner det å sendes RST-pakker (rådata viser opp til ca 800 RST pr sekund). Dette er noe brannmuren gjør i et forsøk på å holde hodet over vannet; prøve å holde antall nye forbindelser per sekund lavt, og betjene de forbindelsene den allerede har etablert:
    TCP connection rate

     

    Hva så?

    Hvis jeg trekker en trendlinje gjennom båndbreddegrafen på det nivået brannmuren klarte å levere igjennom, ser jeg hvor mye som går igjennom med denne typen belastning:
    Megabits

    Da kan jeg justere ned belastningen til å peake på dette nivået istedenfor 5,9 Gigabit/s og se om denne brannmuren da klarer å holde det trafikkvolumet uten forhøyet forsinkelse over tid.

    Så skrur jeg båndbredde og antall forbindelser ned til 40% for å treffe 4 Gigabit/s, og det ser i utgangspunktet mye bedre ut.

    Når jeg kun justerer volumet og ikke samtidig lar testen bygge opp trafikken mer aggressivt tar det nødvendigvis lengre tid før jeg når toppen, men linjen på topp er jevn og stabil:
    brannmur11

    Ser vi nå på tidsforsinkelsen for DNS er det kun denne avsluttende toppen som gjør noe ut av seg, og den er som nevnt ikke noe å legge vekt på:
    brannmur12

    Og på TCP Connection Rate ser vi at den samtidig klarer å svelge unna nesten 9500 nye forbindelser per sekund med denne trafikken, uten noen RST-pakker:
    brannmur13

    Oppsummering

    Responstid for DNS var noe av det viktigste for «Min Bedrift AS», og jeg har nå god dokumentasjon på at denne brannmuren gjør en god jobb med inntil 4 Gigabit/s av min realistiske trafikk.

    Så kan jeg gi meg der hvis 4 Gigabit/s er ok for meg, eller jeg kan prøve å øke dette ved å gjenta samme test med f.eks. 45% eller 50% belastning, for å se om jeg kan få et noe høyere volum igjennom uten at det går på bekostning av responstiden på DNS, eller andre måltall som er viktige for meg.

    Det jeg liker med denne metodikken er at den lar kunder ta et velbegrunnet valg basert på ytelse, funksjon og stabilitet i forhold til hva fremtiden vil bringe av utfordringer, enten det er nye tjenester, nye brannmurer, eller andre endringer.

    Datametrix disponerer i skrivende stund en BreakingPoint med 8x 10GigE grensesnitt, og vi ønsker å vise flest mulig hva den kan gjøre. Enten du er en av våre ansatte som hittil ikke har fått sett den i aksjon, en kunde, eller til og med en konkurrent hører vi gjerne fra deg hvis du synes noe av dette virket interessant.

     

    Eirik Seim Eirik Seim Seniorkonsulent Eirik kom inn i Datametrix i mai 2014 gjennom oppkjøpet av Nettfokus, og har jobbet med feilsøking, nettverksanalyse og testing av kvalitet og ytelse i nettverk i 7 år. Han er WPCNX-sertifisert av Wildpackets. Eirik bor i et 100 år gammelt hus sammen med samboer og to små gutter. Han har en fascinasjon for bratte fjell og gamle Volvoer.
  • IPv6 adresser avmystifisert

    5. oktober 2015 av Herman Hermansen under temaet IT infrastruktur

    Ipv6
    De siste årene har IPv6 blitt aktualisert fordi den gamle IP protokollen IPv4, er i ferd med å gå tom for adresser. 24. september 2015 annonserte for eksempel ARIN at de hadde delt ut siste adresseblokk fra sin pool av ubrukte IPv4 adresser.

    I vår region gikk RIPE tom i 2012 og de gikk da over til en mer restriktiv tildelingspolicy. I praksis må man i dag på bruktmarkedet og betale $8-10 per adresse om man skal utvide IPv4 adresseområdet sitt. Tilgjengeligheten på bruktmarkedet vil raskt skrumpe inn og prisene øke.

    IPv6 er eneste langsiktige løsning på dette problemet. De største operatørene, inkludert de norske, har bygget ut IPv6 i flere år og kommet langt. Nå begynner norske bedrifter og offentlige virksomheter å planlegge implementering. Jeg og mine kolleger merker dette godt på interessen for konsulentbistand og IPv6 kurset vårt som vi har videreutviklet kontinuerlig gjennom 5 år.

    Ipv6 - prepare yourself

     

     

    I alle år, siden IPv6 kom i 1996, har den umiddelbare reaksjonen på disse nye adressene vært forskrekkelse over at de ser ut til å være så mye vanskeligere å huske i forhold til IPv4 adresser. IPv6 er 128 bit, hexadesimal og presenteres ofte slik for å skape mest mulig redsel:

    2a0f:781:4001:102:fd23:5316:eb86:dcc4

    Når jeg jobber med IPv6 opplever jeg ikke dette som noe problem. Det gjelder å forstå hva man har foran seg.

    Adressen består som i IPv4 av en nettverksdel og en host ID del. Hvert hex tall mellom kolon tegnene kalles for en «quad» som er en samling av 4 hexadesimale tall «nibbles» 0-F

    Som bedriftskunde tildeles du for eksempel et 48 bits nettverk fra din ISP:

    2a0f:781:4001::/48

    I IPv6 teminologi kalles det for et prefix men kall det gjerne subnett eller rute som du er vant med fra IPv4. Dette er det du må huske. Jeg husker mitt private og etter noen minutter sitter også prefixet som jeg jobber med hos kunder.

    Alle LAN subnett har /64 bits nettverkslengde. Så du kan dele adressen over i tre deler:

    2a0f:781:4001:102:fd23:5316:eb86:dcc4

    2a0f:781: 4001: er prefixet du fikk fra ISPen, :102: er subnettet du selv har tildelt det aktuelle LAN segmentet og resten er host ID.

    Subnett delen her er 16 bits, 4 quads. I sin enkleste form har man plass til å kode inn VLAN IDen her. Det husker de fleste. Her kan man også benytte «colouring», dvs tildele betydning som formål, avdeling, etasje etc i de 4 nibblene. Uansett er det en betydning i disse 16 bits som man har bestemt selv og dermed kan lage et opplegg så man klarer å huske det. Normalt blir dette mer logisk enn med IPv4 der det er begrenset med plass til å kode inn betydning.

    Det verste gjenstår, den 64 bits host IDen :fd23:5316:eb86:dcc4. Kanskje ikke så lett å huske men dette eksempelet er en maskin tildelt adresse basert på random eller MAC adresse. Men det er jo adressene på routere og servere man har behov for å huske og disse tildeler man som regel statisk eller med faste DHCP reservasjoner. Man kan derfor gjøre det enkelt å huske:

    2a0f:781:4001:102::1

    Eller med DHCP ved å lage et scope som kun tildeler dynamiske adresser i siste quad

    2a0f:781:4001:102::1102

    Begynner å bli forholdvis greit å lese og huske ? Altså, i eksempelet over: VLAN ID 102 og host ID 1102, resten er fast

    Et siste tips er alltid å sette en fast link local adresse på alle LAN gatewayer, for eksempel:

    fe80::1

    Da har man alltid en fast adresse å pinge for å sjekke om man når default gateway, uansett hvilket LAN segment man er tilkoblet.

    Jeg håper denne bloggen var litt avmystifiserende. Dette og mange andre tips får du om du går på vårt IPv6 kurs. Dag 1 egner seg for alle, dag 2 og 3 er mer teknisk fokus og inneholder alt du trenger for å komme i gang med Cisco nettverk, Microsoft og Linux DHCP og DNS. Vi er dedikerte instruktører som lever og ånder for IPv6 som fagområde. Kurset vårt har gullsertifisering fra IPv6 Forum.

    Ipv6 = nat buypass

    Herman Hermansen Herman Hermansen Senior advisor/architect CCIE#10869 Herman har jobbet med routing og switching området siden 1999 og er nå rådgivende arkitekt. Hans spesialområder er service provider teknologier som MPLS og DWDM, både som rådgiver, konsulent og kursinstruktør. Interesseområder er alt som har med teknologi, verktøy og tekniske løsninger å gjøre. På fritiden liker han best å være på ferieøya si på Vestlandet og drive med fiske og fjellturer. Han har kone og to barn og bor i Nittedal. Kan følges på Twitter under @h_hermansen
  • Wi-Fi har aldri vært enklere, men samtidig så komplisert

    17. juni 2015 av Erik Midthun under temaet IT infrastruktur

    Wi-Fi hjemme er blitt en selvfølge, tilgang til Wi-Fi på jobben det samme, og alt flere aktører innenfor servicenæringen ser både nytten og viktigheten av å kunne tilby tilgang til trådløst Internett til sine kunder. Vi ser at tilgang til trådløst Internett også begynner å bli tilgjengelig på andre offentlige steder, f.eks på norske fotballarenaer, musikkfestivaler, kjøpesenter, ja til og med norske byer har begynt å tilby offentlige Wi-Fi soner. Wi-Fi er med andre ord blitt en naturlig og svært viktig del av vår hverdag, både privat og på jobb. Og vi forventer ikke bare tilgang til Wi-Fi, men vi stiller også høyere og høyere krav til kvalitet av Wi-Fi tjenesten vi benytter.

    div gadget

    Så hva mener jeg egentlig med at Wi-Fi har aldri vært enklere, men samtidig så komplisert? For å svare på det spørsmålet er det viktig å være klar over en trend i markedet som har gjort seg bemerket den siste tiden, skybaserte tjenester. Nye produsenter av Wi-Fi løsninger er kommet på markedet, og felles for mange av disse er at de tilbyr Wi-Fi i form av en skybasert tjeneste. Formålet med denne type løsninger er å gjøre ting på en smartere og mer effektiv måte, eller for å benytte et godt kjent uttrykk; «do more with less». Disse endringene i markedet er noe også Datametrix har tatt inn over seg og vi kan i dag tilby et utall av tjenester via vår egen sky, inkludert blant annet Wi-Fi tjenester. Skybaserte Wi-Fi leverandører har lagt mye fokus og utviklingsarbeid på at verktøy som benyttes til administrasjon skal være enkelt å benytte via et intuitivt grafisk brukergrensesnitt. Dette bidrar følgelig til at administrasjon av Wi-Fi løsninger blir mer håndterlig, selv for de med virksomheter med begrensede IT-ressurser. Dette har bidratt til å gjøre Wi-Fi enklere, og denne type løsninger har definitivt sin plass i markedet. Så hvorfor hevder jeg at Wi-Fi samtidig har blitt mer komplisert? Det korte svaret er at Wi-Fi er blitt viktigere for oss som brukere. Men hvorfor er viktigere ensbetydende med at ting er blitt mer komplisert? Jeg skal gjøre et helhjertet forsøk på og både forklare og forhåpentligvis overbevise dere om at jeg kanskje er inne på noe.

    Da Wi-Fi var i sin spede barndom var det viktigste at Wi-Fi var tilgjengelig i spesifikke områder, typisk møterom. Deretter var det ønskelig å utvide den trådløse dekningen til hele bygget eller lokalet, men desto færre aksesspunkter man benyttet desto bedre. Wi-Fi ble betraktet som «nice to have», dvs. fungerte det så var det bra, fungerte det ikke så var det også helt OK. I dag er realiteten en helt annen. For det første så har våre krav til mobilitet endret seg drastisk, vi skal ha mulighet til å være tilkoblet når som helst, hvor som helst og med hvilken som helst enhet. For det andre så løper vi brukere rundt med flere enheter som vi veldig gjerne vil ha på nett, uansett hvor vi beveger oss. Vi benytter flere viktige og driftskritiske applikasjoner, som eksempelvis Cisco Jabber og Microsoft Lync, over Wi-Fi, samt vi ser at en stadig økende bruk av mer båndbreddekrevende tjenester, som eksempelvis video. Det er også en klar trend mot at flere og flere virksomheter definerer Wi-Fi som sin primære kommunikasjonsmetode, så kravene til Wi-Fi har for lengst endret seg fra noe som var» nice-to-have» til noe som ikke kan karakteriseres som noe annet enn «must-have. Man kan man jo bare tenke seg hvilke konsekvenser det har for virksomheter dersom de har en Wi-Fi løsning som fungerer dårlig.

    frustrert

    La oss se på et eksempel hvor en familie på to voksne og to barn har booket seg inn på et hotell i en uke. Det er dessverre dårlig vær så det blir mer tid inne på hotellrommet enn planlagt. Ungene er utålmodige og begynner å kjede seg, men har heldigvis tatt med seg sine nettbrett, og både store og små priser seg lykkelig over at de dermed kan slå i hjel litt tid med nett-TV. Resten av scenarioet kan man jo bare tenke seg til? Wi-Fi på hoteller kan de fleste relatere til, og jeg regner med at det er flere enn meg som benytter tilgang til et godt fungerende Wi-Fi nettverk som et av mine viktigste kriterier ved booking av hotell? For å sitere Petter Stordalen; «Gratis trådløst nettverk av god kvalitet, er ved siden av vann i springen og en seng å sove i, det aller viktigste for våre gjester».

    Saken er at jo mere vi benytter Wi-Fi, jo mer kritisk blir det at Wi-Fi faktisk fungerer, og at det fungerer godt. Det holder ikke med Wi-Fi dekning i hele lokalet dersom kvaliteten ikke er tilfredsstillende. Poenget er at med større utbredelse, flere Wi-Fi enheter, flere og mer avanserte tjenester, og jo mer driftskritisk Wi-Fi er, desto viktigere er det med Wi-Fi kompetanse

    Hos Datametrix deler vi gjerne inn en Wi-Fi løsnings livssyklus i minimum fem faser

    1. Planleggingsfasen

    Her innhentes så mye informasjon som mulig rundt kundens krav og forventninger, samt bruksområde, type enheter i bruk etc. Denne informasjonen tas så med videre til neste fasen

    2. Designfasen

    I designfasen benytter vi informasjon innhentet i planleggingsfasen og tilstreber å designe en Wi-Fi løsning som skal imøtekomme de krav og forventninger som stilles til løsningen. Et eksempel på aktivitet i denne fasen er RF design (radioplanlegging). Denne saken er like viktig uavhengig av hvorvidt det skal implementeres en skybasert løsning eller en tradisjonell «on-premise» løsning

    3. Implementeringsfasen

    I denne fasen implementeres løsningen i henhold til det som er blitt utarbeidet i designfasen.

    4. Driftsfasen

    Etter at løsningen er implementert er man over i driftsfasen. Det vil si benytte tilgjengelige verktøy for å vedlikeholde, drifte og administrere løsningen som blitt implementert.

    5. Optimaliseringsfasen

    Etter at løsningen er blitt implementert og satt i drift, kommer en fase som veldig mange overser og glemmer. Optimaliseringsfasen er viktig for å kunne opprettholde kvaliteten på Wi-Fi løsningen over tid.

    Tidligere holdt det ofte bare å fokusere på implementeringsfasen, få opp aksesspunktene, sjekk at det er Wi-Fi dekning og så var det bare å tute og kjøre. Leverandører av Wi-Fi løsninger har gjort en god jobb med å gjøre de verktøy man benytter i forbindelse med driftsfasen enklere og mer intuitive, og dette gjelder kanskje spesielt de produsenter som har utviklet sin løsning basert på at disse verktøyene skal være skybasert. Men for å gjøre disse grensesnittene nettopp enklere og mer intuitive, så må man samtidig eliminere den litt mer avanserte funksjonaliteten som krever Wi-Fi kompetanse for å kunne sette opp på en korrekt måte. Enkelhet og kompleksitet er ofte totale motsetninger, så enkelhet går ofte på bekostning av noe. Men enkelheten i de nevnte verktøyene bidrar definitivt til å gjøre driftsfasen enklere.

    Men kompleksiteten jeg sikter til er egentlig mer knyttet til de andre fasene som jeg har listet opp over, nemlig planleggingsfasen, designfasen og optimaliseringsfasen. Planleggingsfasen handler om å forstå kundens behov og få en innsikt i hva kunden ønsker å oppnå, og ut i fra dette etablere en felles forståelse for krav og forventninger knyttet til dette. Denne fasen er ikke nødvendigvis knyttet til kun etablering av nye løsninger, men vel så mye knyttet til å etablere nye tjenester over en eksisterende infrastruktur, som eksempelvis tale- og videotjenester. Designfasen handler om å ta informasjon innhentet i planleggingsfasen og designe en løsning som leverer det kunden ønsker å oppnå. Dette er veldig viktige faser, men dessverre aktiviteter som ofte blir nedprioritert. Enten på grunn av manglende kompetanse eller liten forståelse og vilje til å legge ressurser i disse fasene. Dette er krevende faser da de forutsetter både forretningsforståelse (forstå kundens behov) og teknisk kompetanse (designe løsning som dekker kundens behov). En annen fase som ofte blir oversett er optimaliseringsfasen, som er aktiviteter som kommer etter at løsningen er implementert og satt i drift. Denne fasen handler om å sørge for at løsningen fortsetter og dekke kundens nåværende behov, samt samtidig forberede løsningen for fremtidens behov. En velfungerende løsning har behov for kontinuerlig service og forbedring. Akkurat på samme måte som du har service på bilen, så krever også din IT-infrastruktur oppmerksomhet og pleie for å kunne levere optimalt.

    Datametrix er genuint opptatt av våre kunder og setter stor ære i å levere løsninger og tjenester som bidrar til at de kan fokusere på sin kjernevirksomhet. Min bestemte oppfatning er at kompetanse er viktigere enn noensinne for å kunne oppfylle nettopp dette. Vi er stolte av vårt fokus på kompetanse og av våre svært kompetente medarbeidere, og vi står alltid parat til å bistå våre kunder med deres utfordringer.

    summer-vacation-free-wifi-760

     

     

     

     

     

    Erik Midthun Erik Midthun Produktsjef mobilitet Erik har jobbet i Datametrix siden 2007 og sitter i dag som produktsjef innenfor mobilitetsløsninger
  • Microsoft Ignite, et kort reisebrev fra Chicago

    13. mai 2015 av Lasse Nordvik Wedø under temaet Samhandling

    MS_chicago

    Det er torsdags morgen, og det er den nest siste dagen av Microsoft Ignite 2015. Konferansen varer hele uken, og har mer enn 23000 registrerte deltagere, foredragsholdere og utstillere. Kanskje det er litt unødvendig å si, men for en nordmann på tur kan det hele virke litt uvirkelig stort. Samlet i et konferanse senter er det like mange mennesker som det er innbyggere i et sted som Larvik ( Wikipedia ).

    Det må være litt av et arbeid som ligger bak et slikt arrangement, både i forkant, under og etterpå. Men bra gjennomført er det. Ingen får gå sultne eller tørste her, med mindre enn de selv vil. Og om beina blir trøtte (har selv tråkket over 70 000 på skritt telleren) så er det alltid et sted å sette seg ned for å hvile eller kanskje slå av en prat med andre deltagere. Bra dekning og hastighet på det trådløse er det også. Jeg tror ikke jeg vil vite hvor mye jobb det ligger bak radioplanleggingen 🙂

    MS_ignite

    For meg så virker det som om konferansen rent teknisk er farget av Microsoft sin visjon om en fremtid i skyen. Det er masse spennende rundt Office produktene, Windows Azure og de nye klient og server versjonene. Mange av sesjonene har fokus på hvordan bedrifter kan dra nytte av å plassere tjenester i skyen. Gjerne ikke alt, men de deler av tjenestene som gir mening å sette ut. Dette for å spare ressurser fra å håndtere dagligdagse driftsoppgaver, og heller benytte disse ressursene til å forbedre prosesser og brukeropplevelser.

    Som foredragsholder er det veldig forfriskende inspirerende å få kunne delta på slike store konferanser, der man kan få høre andres erfaringer, fange opp noen lure knep, eller kanskje også få lov til å dele sine erfaringer med andre. Og jeg er sikker på andre deltagere opplever det samme. Jeg kan virkelig  anbefale andre å delta på neste års konferanse, som er ventet annonsert om kun kort tid.

    MS_chicago1

    Lasse Nordvik Wedø Lasse Nordvik Wedø Chief Architect, BusinessCloud MS Solutions Lasse har jobbet I Datametrix siden 2007 og er fagleder for Microsoft Unified Communication. Han har jobbet som konsulent, rådgiver og kursholder (MCT) innen Microsoft sine server produkter, samt Exchange og Lync. På fritiden er han heltidspappa, glad i mat, foto og musikk. Han bruker mye av tiden bak skjermen på fritiden også, for å få med seg oppdateringer han ikke rekker på dagtid. I tillegg til å være bidragsyter på denne loggen, er han å hyppig å finne på Twitter (@lawedo) eller med private blogg innlegg om teknologien han jobber med til daglig. Sertifiseringer MCT-Alumni, Skype for business MVP 2015