abonneren

Draadbreuk: Beste netwerktips- en tools van januari

Op netwerkgebied komen er iedere maand handige tools bij en met de juiste tips ontdek je mogelijkheden die je eerder nog niet voor mogelijk hield. In deze maandelijkse rubriek praten we je daarover bij. Netwerkbeheerders, opgelet!

Meerdere simultane rdp-sessies met RDR Wrapper

Het kan handig zijn je eigen pc op afstand toegankelijk te maken. Windows 10 Professional en hoger heeft daarvoor de functie Extern bureaublad ingebouwd, met clients voor diverse platformen. Microsoft laat echter niet toe dat er meerdere gebruikers gelijktijdig zo’n rdp-sessie opzetten – dat wordt alleen in Windows Server-edities ondersteund. Met behulp van het opensource GitHub-project RDP Wrapper kun je die beperking omzeilen.

Je pakt het zip-bestand uit en je voert RDPWinst.exe en install.bat uit. Deze tool voert termsrv.dll diverse keren met andere parameters uit, wat simultane rdp-sessies mogelijk maakt. Het zou zelfs mogelijk zijn met deze tool rdp-sessies in Windows Home op te zetten, maar dat hebben we zelf nog niet getest. Via RDPConf.exe kun je een en ander configureren en de verbinding lokaal uittesten kan met RDPCheck.exe. Je experimenteert wel op eigen risico met de tool. Duiken er onverhoopt problemen op, bijvoorbeeld na een Windows-update, dan kun je hier terecht voor rollback-instructies.

De mogelijkheden van Pagekite

Wil je servers op je netwerk ook van buitenaf bereikbaar maken, dan moet je in de regel aan de slag met portforwarding en wellicht ook met een ddns-service. Dat kan eenvoudiger met Pagekite, een slim Python-script voor zowel macOS, Linux, BSD als Windows. Windows-gebruikers moeten Python installeren, vooralsnog werkt Pagekite niet met Python 3, je dient dus versie 2.7.x te installeren. Eerst meld je je bij de Pagekite-service aan en verzin je een naam voor je ‘kite’ (iets als <naam>.pagekite.me).

Na je bevestiging van de verificatiemail ben je klaar om het gedownloade script (pagekite.py) uit te voeren. Na het beantwoorden van enkele vraagjes en je aanmelding is je ‘kite’ gebruiksklaar. Verdere instructies vind je hier. Je gratis account is één maand geldig en je krijgt hiervoor circa 2560 MB datatransfer en vijf verbindingen. Je kunt op elk moment je abonnement verlengen en de transferquota verhogen (dat kost je minimaal 4 dollar voor 1 maand en 2 GB, tot 256 dollar voor 1 jaar en 365 GB).

Pmf-protocol

Sommige routers en draadloze toegangspunten bieden een extra beveiliging met de naam pmf aan. Dat staat voor protected management frames en zorgt voor de beveiliging van controlegegevens in een draadloze verbinding. Wanneer deze beveiliging is geactiveerd, wordt het voor hackers bijvoorbeeld lastiger om jouw wifi-clients ongemerkt te laten afmelden en ze heimelijk te laten aanmelden bij een draadloos netwerk dat door de hacker is opgezet (‘honeyspot’).

Let wel, ook je wifi-clients moeten met het pmf-protocol overweg kunnen om een draadloze verbinding op te kunnen zetten. Daarom bieden routers of toegangspunten normaliter drie opties aan: pmf-beveiliging actief, verplicht of optioneel. Je kiest dan het best voor dit laatste zodat de client zelf kan beslissen. In de praktijk kan het ook weleens problemen opleveren: het is al voorgevallen dat een client met pmf op 5 GHz zich niet langer wilde verbinden via wpa2-psk.

High Availability nas

Als je eenmaal een nas hebt, dan kun je die al snel niet meer missen. Je vertrouwt er heel wat data aan toe en zo’n apparaat biedt ook heel wat extra diensten. Maar zelfs met schijven in een raid-opstelling is er altijd een risico dat het misgaat.

Beoog je maximale betrouwbaarheid, dan kun je ‘high availability’ overwegen. Dit komt erop neer dat je de nas zelf in een soort raid-opstelling met een tweede nas plaatst. We nemen Synology als voorbeeld. Eerst de eisen: je hebt er twee dezelfde nas’en voor nodig, minimaal DS718+ (met ruimte voor twee schijven), je moet dezelfde versie van DSM en het HA-package geïnstalleerd hebben en beide moeten over hetzelfde aantal schijven en schijfcapaciteit beschikken. Verder dien je beide apparaten te verbinden met twee netwerkconnecties: een voor de data-clusterverbinding en een voor de controle- en synchronisatiefunctie (heartbeat).

De ene nas fungeert als actieve server, de rol van de andere is passief. Deze laatste komt dan automatisch in actie zodra de andere er de brui aan geeft (automatische failover). De configuratie is eenvoudig: je downloadt de app High Availability Manager uit het Synology Package Center en je volgt de verdere instructies van de wizard.

Dns-over-https in Firefox

Dns (domain name system) zorgt ervoor dat url’s in openbare ip-adressen worden omgezet. Standaard zijn dns-requests echter in plain text af te lezen, wat inhoudt dat de exploitanten van je dns-servers zich in principe als een man-in-the-middle kunnen opstellen en die informatie zelfs aan advertentiebureaus en aanverwanten kunnen doorverkopen.

Daarom worden er allerlei protocollen ontwikkeld om dns-verzoeken te versleutelen. De bekendste zijn DoT (dns-over-tls) en DoH (dns-over-https). Deze laatste functie zit al enige tijd in Mozilla Firefox: ga naar Opties / Algemeen, klik onderaan, bij Netwerkinstellingen, op Instellingen en plaats een vinkje bij DNS over HTTPS inschakelen. Standaard wordt hierbij de dns-server van CloudFlare ingezet. De vraag blijft echter of CloudFlare alle dns-geschiedenis binnen de 24 uur zal (blijven) wissen, zoals het belooft te doen. Je kunt hier echter wel een alternatieve server instellen: kies Aangepast en vul de gewenste url in, zoals https://dns.google.com/experimental.

Om het uit te testen, kun je tijdens het surfen een snifsessie met Wireshark openhouden. Bij Apply a display filter kun je dan gemakshalve dns invullen. Je zult merken: er komen nauwelijks nog dns-requests voorbij, tenzij je naar een niet-bestaand domein tracht te surfen. In dit geval neemt je reguliere dns-server het namelijk weer van Firefox over. Wil je dat voorkomen tik dan about:config in Firefox in, zoek naar trr en wijzig de waarde network.trr.mode van standaard 2 in 3.

Simple DNSCrypt

De DoH-functie in Firefox die we al even bespraken, zorgt er alleen voor dat de dns-verzoeken van de browser worden versleuteld. De overige internet-communicatie blijft buiten dus schot. Er zijn echter verschillende DoT- en DoH-clients beschikbaar die zich als een soort dns-proxy kunnen opstellen. Die kan dan álle dns-verzoeken opvangen en versleutelen. Bijkomend voordeel is dat deze dns-verzoeken niet langer over udp lopen, maar over het meer robuuste – want met ingebouwde correctiemogelijkheden – tcp.

Een van deze clients is het gratis Simple DNSCrypt, dat je zowel over het eigen DNSCrypt-protocol als het DoH-protocol kunt laten lopen. Je configureert de tool makkelijk via een gui-interface. In principe volstaat het de tool op te starten, het gewenste procotol te selecteren (DNSCrypt en/of DoH), de netwerkinterface te kiezen en op Instellingen toepassen te klikken. Die stelt daarop de Voorkeurs-DNS-server in op de lokale proxy (127.0.0.1). Dat kun je zelf nagaan in het eigenschappenvenster van TCP/IPv4 van de betreffende netwerkinterface.

Op het tabblad Vertalers vind je de beschikbare dns-resolvers terug, waarbij in principe geldt: hoe meer, hoe beter, aangezien dat het risico op profilering door zo’n resolver verkleint. Op het tabblad Logboek worden, indien je de logfunctie activeert, al je dns-requests opgesomd.

Geschreven door: Toon van Daele op

Category: Nieuws, Netwerk

Tags:

Laatste Vacatures

Uitgelicht: Technisch Applicatiebeheerder - CGI