You have created an image of an SD card containing a Linux operating system. Afterwards you want to access and extract files of the image, but do not have a spare physical storage available or you are working on a virtual machine.

Unfortunately, it is not an ISO image which could be mounted by Windows itself or opened with 7-Zip.

Solution

Run Win32DiskImager to create your image.

Install ImDisk. It lets you mount Linux SD card images and similar drives under Windows.

Install Ext2Fsd. With this tool, you can access EXT2, EXT3, EXT4 and VFAT partitions under Windows.

Now mount your Linux partition with Imdisk and you should be able to access the files and folders via Windows Explorer.

Was auf den ersten Blick vielleicht unsinnig erscheinen mag, lässt sich heute – in Kombination mit Bussystemen wie KNX – oft sinnvoll einsetzen.

Beispiel: Jalousien nur dann öffnen, wenn niemand mehr im Bett liegt.

Grundfunktion:

• Bett nicht belegt -> Lamellen vom Lattenrost gerade -> Taster geschlossen
• Bett belegt -> Lamellen werden gebogen -> Taster geöffnet

Verwendet wird ein gewöhnlicher Tastknopf, der z.B. auf ebay günstig erhältlich ist.

Als Halterung kann ein beliebiges Material dienen, das einigermaßen stabil ist.

Befestigung ungefähr in Lattenrostmitte.

Anschluss an einer Tasterschnittstelle des Bussystems.

For some sporadic models of Raspberry Pi there seems to be a problem with time sync. No matter which time server (local or Internet) is set in IPv4 or OE general settings, it does not synchronize the time.

Additionally, there is no way in the GUI to set time manually. The RPi would forget it anyway after its next shutdown.

Command “ntpdate” is not available via SSH.

Workaround

Connect to your Pi via SSH

Open or create file /storage/.config/autostart.sh and insert

(sleep 20 && /sbin/ntpd -p [yourTimeserver]) &

Reboot and wait some seconds – time should be correct.

Problem

WDS / PXE booting needs a unique GUID for every client workstation, e.g. if the PC has to be approved and given a name in the WDS console by the administrator.

Sometimes it may happen that not every GUID is unique. But duplicate GUIDs can lead to painful problems. E.g. if the workstation joins the domain automatically, the other machine which already exists in AD is overwritten. The result: One of both machines loses domain trust and has to be re-added to the domain.

Example with Zotac ID89, ID90, ID92 etc.: Every device seems to generate the same GUID by default. You see the GUID when you boot via PXE:

00020003-0004-0005-0006-000700080009

According to Zotac, this behavior is wanted and not a bug.

Workaround 1

1. A new, random GUID can be generated by using an AMIBIOS tool “AMI DMI Edit”.
2. Create a DOS boot stick, e.g. with Rufus.
3. Copy AMIDEDOS.exe of the AMI DMI Edit Tools Package to the stick.
4. Boot to DOS with the USB stick and run AMIDEDOS /u.
5. You should now have a freshly generated GUID.

Workaround 2

Use a registry key to tell WDS that certain GUIDs are banned. If these GUIDs appear again to WDS, it uses the MAC address as GUID.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWDSServerProvidersWDSPXE

More information here

Workaround 3

In Active Directory Users and Computers, you can modify or delete the netbootGUID attribute. You find it under [yourExistingWorkstation] -> Properties -> Attribute Editor. So if you PXE boot a new workstation, the GUID is not assumed as existing. Please note that this is not the recommended way because the problem is not really solved.

Notes

It might be useful in most cases to use both workarounds 1 and 2 to never accidentally overwrite an existing computer in your domain.

Sometimes WDS seems to block booting a PXE image after changing the GUID. Errors like this one may appear:

proxydhcp service did not reply to request on port 4011.

You can then use another LAN port (if available) or just temporarily disable the setting “administrator approval for unknown devices”.

Some sites provide Powershell scripts which can be used to delete every netbootGUID in your AD. I would not recommend this, because keeping the netbootGUID attribute of the computers can make later re-installing of Windows easier (the previous PC name is recognized automatically).

Problem

WDS / PXE booting needs a unique GUID for every client workstation, e.g. if the PC has to be approved and given a name in the WDS console by the administrator.

Sometimes it may happen that not every GUID is unique. But duplicate GUIDs can lead to painful problems. E.g. if the workstation joins the domain automatically, the other machine which already exists in AD is overwritten. The result: One of both machines loses domain trust and has to be re-added to the domain.

Example with Zotac ID89, ID90, ID92 etc.: Every device seems to generate the same GUID by default. You see the GUID when you boot via PXE:

00020003-0004-0005-0006-000700080009

According to Zotac, this behavior is wanted and not a bug.

Workaround 1

1. A new, random GUID can be generated by using an AMIBIOS tool “AMI DMI Edit”.
2. Create a DOS boot stick, e.g. with Rufus.
3. Copy AMIDEDOS.exe of the AMI DMI Edit Tools Package to the stick.
4. Boot to DOS with the USB stick and run AMIDEDOS /u.
5. You should now have a freshly generated GUID.

Workaround 2

Use a registry key to tell WDS that certain GUIDs are banned. If these GUIDs appear again to WDS, it uses the MAC address as GUID.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWDSServerProvidersWDSPXE

More information here

Workaround 3

In Active Directory Users and Computers, you can modify or delete the netbootGUID attribute. You find it under [yourExistingWorkstation] -> Properties -> Attribute Editor. So if you PXE boot a new workstation, the GUID is not assumed as existing. Please note that this is not the recommended way because the problem is not really solved.

Notes

It might be useful in most cases to use both workarounds 1 and 2 to never accidentally overwrite an existing computer in your domain.

Sometimes WDS seems to block booting a PXE image after changing the GUID. Errors like this one may appear:

proxydhcp service did not reply to request on port 4011.

You can then use another LAN port (if available) or just temporarily disable the setting “administrator approval for unknown devices”.

Some sites provide Powershell scripts which can be used to delete every netbootGUID in your AD. I would not recommend this, because keeping the netbootGUID attribute of the computers can make later re-installing of Windows easier (the previous PC name is recognized automatically).

Scenario

You want to configure a VPN connection to your firewall. It does not work on Android 4.0.4, but the same settings work in 4.1.x and above.

Used in this example: VPN method L2TP IPsec PSK, Samsung GT-P7501, Dell Sonicwall tz 210

Problem

According to some googlecode threads, this is a bug which has not been solved for years.

http://code.google.com/p/android/issues/detail?id=23124

Solution

If possible, upgrade to a higher Android version the official way.

Unfortunately, there seems to be no solution which works without rooting the device, because for devices like the Samsung Galaxy Tab 10.1 the latest official Android version is 4.0.4.

So another way would be changing the OS to Cyanogenmod 10.2 or similar, but it is a matter of opinion to use it because it is not supported officially. CM11 also seems not to be supported on this device.

The most effective way for me finally was to root the tablet and change the “racoon” file.

Steps

Root the device. KingoApp which runs under Windows is very comfortable for doing this.

Look at the google code thread -> #203. Download the modified racoon file.

Establish an ADB connection to your Android device. If you do not want to install the full Android SDK, there are portable packages available (google “adb tools” etc.).

Open cmd, go to your ADB folder, note the location of your racoon file and execute:

1. adb shell
2. su
3. mount -o rw,remount /system
4. chmod 777 /system/bin/racoon
5. exit
6. adb push racoon /system/bin/
7. adb shell
8. su chmod 777 /system/bin/racoon
9. reboot

Then retry your VPN connection.

Scenario

You want to configure a VPN connection to your firewall. It does not work on Android 4.0.4, but the same settings work in 4.1.x and above.

Used in this example: VPN method L2TP IPsec PSK, Samsung GT-P7501, Dell Sonicwall tz 210

Problem

According to some googlecode threads, this is a bug which has not been solved for years.

http://code.google.com/p/android/issues/detail?id=23124

Solution

If possible, upgrade to a higher Android version the official way.

Unfortunately, there seems to be no solution which works without rooting the device, because for devices like the Samsung Galaxy Tab 10.1 the latest official Android version is 4.0.4.

So another way would be changing the OS to Cyanogenmod 10.2 or similar, but it is a matter of opinion to use it because it is not supported officially. CM11 also seems not to be supported on this device.

The most effective way for me finally was to root the tablet and change the “racoon” file.

Steps

Root the device. KingoApp which runs under Windows is very comfortable for doing this.

Look at the google code thread -> #203. Download the modified racoon file.

Establish an ADB connection to your Android device. If you do not want to install the full Android SDK, there are portable packages available (google “adb tools” etc.).

Open cmd, go to your ADB folder, note the location of your racoon file and execute:

adb shell

su

mount -o rw,remount /system

chmod 777 /system/bin/racoon

exit

adb push racoon /system/bin/

adb shell

su chmod 777 /system/bin/racoon

reboot

Then retry your VPN connection.

You have to move a MySQL database table to another database, but you have many other tables, functions, routines, events etc. which access it. Before moving it, it is not enough to find only the tables containing foreign keys, but also find functions etc. which use it.

This PHP script does that for you: mysql_table_references

Usage

Edit the script to enter your DB server login data, then run it in your browser and enter the table name which you want to find references for.

Script code

<!DOCTYPE html>
<html>
<head>
 <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.2.0/css/bootstrap.min.css">

</head>
<body>
<?php
    $searchtable = @$_GET['searchtable'];
?>

<h1>References, Views and Routines regarding Table</h1>

<form action="<?=$_SERVER['PHP_SELF']?>" method="get">
Table name: <input type="text" name="searchtable" value="<?=@$searchtable?>">
<input type="submit" value="Search">
</form>

<?php
    if (!$searchtable)
        exit;

?>

<?php

$dbhost = 'localhost';
$dbname = 'yourdb';
$dbuser = 'root';
$dbpw = 'yourpw';

try
{
    $db = new PDO("mysql:host=$dbhost;", $dbuser, $dbpw);
}
catch(PDOException $ex)
{
    echo "<b>Could not connect to server! Please make sure you have set the correct config values in this file.</b>";
    echo "<br>Details:<br>".$ex->getMessage();
    exit;
}

//Foreign Keys:
$result = $db->query("select
  TABLE_NAME,COLUMN_NAME,CONSTRAINT_NAME, TABLE_SCHEMA, REFERENCED_TABLE_NAME,REFERENCED_COLUMN_NAME
from INFORMATION_SCHEMA.KEY_COLUMN_USAGE
where
  REFERENCED_TABLE_NAME = '$searchtable' or TABLE_NAME = '$searchtable'
  order by TABLE_NAME, REFERENCED_TABLE_NAME;");
//Alternative?
//  show create table $searchtable;
?>

<div>Note: Results may contain unrelated entries if the table name is not unique, e.g. if it is also used in column names etc.</div>

<hr>
<h2>Results for <b><?=$searchtable?></b></h2>

<h3>Foreign Keys</h3>
<table border="1">
<tr>
    <th>DB</th>
    <th>Table</th>
    <th>Column</th>
    <th>Referenced Table</th>
    <th>Referenced Column</th>
</tr>

<?php
while($row = $result->fetch())
{
     ?>
     <tr>
        <td><?=$row['TABLE_SCHEMA']?></td>
        <td><?=$row['TABLE_NAME']?></td>
        <td><?=$row['COLUMN_NAME']?></td>
        <td><?=$row['REFERENCED_TABLE_NAME']?></td>
        <td><?=$row['REFERENCED_COLUMN_NAME']?></td>
     </tr>
     <?php
}
?>
</table>
<?php

//Usage in Views:
$result = $db -> query("select
    TABLE_SCHEMA, TABLE_NAME, VIEW_DEFINITION
    from INFORMATION_SCHEMA.views
    where view_definition like '%from%$searchtable%'
");

?>
<h3>Views</h3>
<table border="1">
<tr>
    <th>DB</th>
    <th>Table</th>
    <th>View Definition</th>
</tr>

<?php

while($row = $result->fetch())
{
     ?>
     <tr>
        <td><?=$row['TABLE_SCHEMA']?></td>
        <td><b><?=$row['TABLE_NAME']?></b></td>
        <td><small><?=nl2br(str_ireplace($searchtable, "<b>$searchtable</b>", $row['VIEW_DEFINITION']))?></small></td>
     </tr>
     <?php
}

?>
</table>
<?php

//Usage in Routines:
$result = $db -> query("select
    ROUTINE_SCHEMA, ROUTINE_NAME, ROUTINE_DEFINITION
    from INFORMATION_SCHEMA.ROUTINES
    where routine_definition like '%from%$searchtable%'
");
?>
<h3>Routines</h3>
<table border="1">
<tr>
    <th>DB</th>
    <th>Table</th>
    <th>Routine Definition</th>
</tr>

<?php

while($row = $result->fetch())
{
     ?>
     <tr>
        <td><?=$row['ROUTINE_SCHEMA']?></td>
        <td><b><?=$row['ROUTINE_NAME']?></b></td>
        <td><small><?=nl2br(str_ireplace($searchtable, "<b>$searchtable</b>", $row['ROUTINE_DEFINITION']))?></small></td>

     </tr>
     <?php
}

?>
</table>
<?php

//Usage in Events:
$result = $db -> query("select
    EVENT_SCHEMA, EVENT_NAME, EVENT_DEFINITION
    from INFORMATION_SCHEMA.events
    where event_definition like '%from%$searchtable%'
");

?>
<h3>Events</h3>
<table border="1">
<tr>
    <th>DB</th>
    <th>Table</th>
    <th>Event Definition</th>
</tr>

<?php

while($row = $result->fetch())
{
     ?>
     <tr>
        <td><?=$row['EVENT_SCHEMA']?></td>
        <td><b><?=$row['EVENT_NAME']?></b></td>
        <td><small><?=nl2br(str_ireplace($searchtable, "<b>$searchtable</b>", $row['EVENT_DEFINITION']))?></small></td>

     </tr>
     <?php
}

?>
</table>

<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.2.0/js/bootstrap.min.js"></script>
</body>
</html>

It might also be useful to get all DB users which have access to the table(s). Use phpMyAdmin for this (Activate table, then click “Permissions”).

Moving tables to another database might have effect to a lot of software accessing the data, and it could take a long time to get the code updated. During this process, use a workaround like table views. You can reference the new table with the view, so it is accessible via both databases. Using MySQL, you can e.g. use “update” or “insert” commands directly on the view in many cases, e.g. if there is exactly 1 table in the view query.

Example: create view address as select * from newdb.address

Für die meisten Fälle gibt es vernünftige Gegenmaßnahmen, allerdings sollte der Bedienungskomfort nicht allzu sehr darunter leiden. Dazu hier einige Tipps.

Zugriff über das Internet

Diese Zugriffsvariante beinhaltet das mit Abstand größte Gefahrenpotenzial und sollte daher gut durchdacht sein.

Im Normalfall befindet sich im selben Netzwerk, in dem sich der KNX-IP-Gateway und somit auch der Bus befindet, ein Internetrouter. Über Port-Forwardings lässt sich dieser so konfigurieren, dass z.B. interne Webserver oder eine Bus-Visualisierung von außen erreichbar sind.

Auch wenn die Visualisierung selbst Zugangsdaten anfordert, ist dies extrem unsicher. Außerdem kommt es vor, dass solche Software Sicherheitslücken aufweist, die möglicherweise noch nicht behoben sind.

Für solche Dinge daher unbedingt ein VPN verwenden! Im einfachsten Fall lässt sich dieses auf dem Internetrouter oder auf einem internen Windows-/Linux-Betriebssystem einrichten. Der Bedienungskomfort bleibt hier nicht unbedingt auf der Strecke, da so gut wie alle gängigen Smartphones und PC-Betriebssysteme in irgend einer Form VPN-kompatibel sind und es sich bei Bedarf relativ schnell aktivieren lässt.

Diese “2-stufige” Sicherheit ist um ein Vielfaches schwieriger zu umgehen, als wenn der Angreifer bloß Passwörter bei der Visualisierung probieren muss.

Im lokalen Netzwerk: LAN-Ports und WLAN absichern

Ein Angriff ist zwar, verglichen mit der ersten Variante, vor allem in Privathäusern relativ unwahrscheinlich, aber trotzdem nicht unmöglich.

Für den Fall, dass sich verbundene LAN-Ports außerhalb der Gebäudes befinden oder es vorkommen kann, dass Mitbewohner oder Mitarbeiter dubiose Hardware ins Netzwerk bringen, sollten diese besonders geschützt werden.

Möglichkeiten:

• Über den internen (managed) Switch die bestimmten Ports so konfigurieren, dass sie nur einzelne MAC-Adressen zulassen, und zwar die der vertrauenswürdigen Geräte. MAC-Adressen können jedoch bei vielen Endgeräten selbst vergeben bzw. überschrieben werden. Trotzdem macht diese Variante den Zugriff für Angreifer um einiges schwieriger.
• Tagged VLANs konfigurieren. Damit lässt sich genauer bestimmen, welches Gerät im Netzwerk auf welche Ziele zugreifen darf. Die Einrichtung ist jedoch relativ aufwändig und für den Privathaushalt eher vernachlässigbar.

Für das WLAN empfiehlt es sich, möglichst sichere Passwörter zu vergeben, und zwar pro Benutzer – je nach Möglichkeit im Idealfall kombiniert mit WPA2-Enterprise und einem Radius-Server. Gästezugriff grundsätzlich vermeiden oder einen eigenen Gast-Zugang, ev. mit VLAN, einrichten.

KNX-Leitungen im Außenbereich

Soweit möglich, ist für den Außenbereich eine eigene Bus-Linie sinnvoll, d.h. mit eigener Spannungsversorgung und vom internen Busnetz getrennt durch einen Linienkoppler. Falls nun jemand die Leitung von außen kurzschließen sollte (warum auch immer – bringt niemandem etwas), laufen die Geräte auf den anderen Linien weiter. Ein Kurzschluss auf dem Bus zerstört übrigens keine Geräte, sondern bewirkt im Prinzip “nur” einen Reset.

Ob jemand von außen den Bus tatsächlich so manipulieren kann, um z.B. ein Öffnen einer Tür etc. zu bewirken, kommt natürlich darauf an, wie genau dieser über den gesamten Aufbau Bescheid weiß. Ohne jegliche Informationen dauert es wohl in Summe (zu) lange, um eine entsprechende GA zu finden, falls überhaupt vorhanden. Generell fehlen leider sinnvolle / einfache Möglichkeiten, um hier mehr Sicherheit schaffen zu können.

Um unerlaubte Programmierungen zu verhindern, empfiehlt sich das Modul KNXGuard. Möglicherweise wäre etwas Ähnliches auch über den eibd-Server möglich, dazu habe ich aber (noch) keine Informationen.

Im lokalen Netzwerk: Visualisierung, EIB-Server absichern

Sollte es der Angreifer bis ins LAN schaffen, sind jedenfalls sichere Passwörter für die einzelnen Geräte mit IP-basiertem Zugang hilfreich.

Bei Visualisierungen wie openHAB oder Systemen, die solche anbieten (Gira Homeserver), ist das Einrichten einer Authentifizierung normalerweise kein Problem.

Auch beim eibd, der unter Linux läuft, lässt sich auf dem System eine Firewall einrichten – unter Ubuntu z.B. die ufw. Sie ist relativ einfach zu handhaben und man schränkt damit den Zugriff der Geräte, denen der Zugriff auf eibd erlaubt ist, ein wie gewünscht.

Ein großes Sicherheitsproblem stellt jedoch der KNX-IP-Gateway dar. Diese Geräte besitzen meist absolut keine sicherheitstechnischen Funktionen, um den Zugriff einzuschränken. Folgendes ist daher empfehlenswert:

• VLAN, wie oben beschrieben, in dem sich nur vertrauenswürdige Geräte befinden, oder
• Router mit Firewall-Funktion zwischen Gateway und Switch (gibt es relativ günstig). Dabei sollte vor allem der UDP-Port 3671 genau behandelt werden. Oder
• Verwendung der DMZ-Funktion des Routers, falls vorhanden, oder
• Ist ein Hostserver für virtuelle Maschinen vorhanden (z.B. MS Hyper-V), kann eine separate VM mit eigenem virtuellen Switch als Firewall zwischen LAN und KNX-Gateway dienen. Dabei wäre allerdings eine separate Netzwerkkarte pro Gateway notwendig.

Module wie das eibmarkt KNX IP Gateway haben hier noch den kleinen Sicherheits-“Vorteil”, dass zu einem Zeitpunkt nur 1 Verbindung möglich ist. Ist z.B. ein eibd mit dem Gateway verbunden, ist es quasi für weitere Verbindungen gesperrt.

Alle Angaben ohne Gewähr!

Anyway, in this tutorial you will see how to allow exactly one Ethernet device for one port. This makes sense e.g. if you have LAN ports outside your house (PoE doorbell etc.), or for companies to only allow certain devices to be connected.

Note: MAC addresses can always be modified, so this is not 100% secure, but better than nothing as at least it takes more time for the invader to find the correct MAC.

1. Log into the web interface of your Zyxel GS1900 switch.
2. Configuration -> MAC Table: Add an entry for your static MAC address you want to allow, and enter the correct port number.
3. Security -> Port Security -> Global: Enable, Apply
4. Security -> Port Security -> Port: Edit your port number. For Max Entry MAC Number, enter value 0 (not 1!).
5. Test connectivity with a ping. For further testing, you can connect another hardware to the switch port, or enter a wrong static MAC in the table – ping should not work in these cases.

According to check_maskversion.pl, I modified the script a bit to be able to get KNX GA values: check_knx_groupaddress.pl. You can e.g. use it for checking GAs periodically for errors, e.g. some KNX devices offer GAs like “device failure”, “no signal” etc. It basically does the following:

• It runs the groupreadresponse command of the bcusdk package, which is also needed for the other KNX plugins.
• If the GA returns 0/false, the plugin returns OK -> no error. Otherwise you receive an alarm in Nagios.

You can download the Perl plugin here: check_knx_groupaddress

Habe in meinem Dev-Blog ein weiteres Modul als Ergänzung zur Verfügung gestellt, um auch Gruppenadressen abfragen zu können. Dies kann z.B. für GAs sinnvoll sein, die Störungen beinhalten, wie “Heizspannung ausgefallen”, “Drahtbruch” etc.

Funktion:

• Kommt von der GA 0 / false zurück, gibt das Plugin “OK” an Nagios zurück.
• Andernfalls wird CRITICAL zurückgegeben.

Download und weitere Infos hier.