MacSupport @ redaktiv

So das Credo von Stefan Fürst – dem Macher von TimeLog 3. In der Tat bietet sein kleines Tool eine sehr gute und einfache Möglichkeit seine erbrachte Arbeitszeit sehr gut zu dokumentieren und abrechnungstechnisch aufzubereiten. Und dies mit einem sehr hohen Grad an Integration in andere Apple Anwendungen.

TimeLog 3 ist von seiner Benutzeroberfläche an iTunes angelehnt und ist damit sofort für jeden Macianer intuitiv nutzbar. Als Datenbasis greift TimeLog 3 darüberhinaus auf iCal zurück, so dass keinerlei Redundanzen (und damit Fehler) entstehen. Einzelne oder auch mehrere Kalender können so in die Abrechnung eingebunden werden. Erbrachte Leistungen werden Kunden und deren Projekten zu sortiert. Für die Kundendaten greift TimeLog dazu auf das Apple Adressbuch zurück. Leider “nur” auf Personen- und Firmenname, nicht auf die komplette Adresse, so dass nicht sofort Rechnungen erzeugt werden können. Ansonsten ist das Reporting sehr ausgefeilt und durch einfache HTML-Templates können leicht eigene Auswertungen, Rapportzettel, etc. erstellt werden.

Für $20 (umgerechnet derzeit keine 18 €) ein sehr wertvolles Hilfsmittel um seine tägliche Arbeit zu protokollieren und seinen Kunden gegenüber zu dokumentieren. Wer bisher mit anderen, vergleichbaren Programmen gearbeitet hat, kann derzeit zudem ein Crossupdate-Angebot mit 25 % Nachlass nutzen.

So das Credo von Stefan Fürst – dem Macher von TimeLog 3. In der Tat bietet sein kleines Tool eine sehr gute und einfache Möglichkeit seine erbrachte Arbeitszeit sehr gut...

Mit OS X 10.4 Tiger wurde die systemweite Suchfunktion mächtig aufgebohrt. Nach den exotischsten Kriterien lassen sich nun mehr Suchstrategien formulieren – solange die Suche auf eine lokales Platte zielt. Indiziert werden grundsätzlich nur interne und externe Medien (so lange sie nicht von der Indizierung explizit ausgeschlossen werden), nicht jedoch Volumes die von einem Fileserver per Freigabe bereitgestellt werden. Ein Manko von dem jede Arbeitsgruppe betroffen ist, die gemeinsam an Dokumenten arbeitet und das auch nicht – was man ggf. erwarten könnte – durch den OS X Server eliminiert wird.

Spotlight arbeitet allerdings nicht nur an der Oberfläche, sondern verfügt auch noch über einen Kommandozeilen Unterbau. Und genau hier im Terminal löst sich das Problem:

mdutil -i on /Volumes/Name_der_Server_Freigabe

lautet der Befehl mit dem Spotlight per Terminal angewiesen wird einen Index von dem Servervolume zu erstellen, bzw. einen vorhandenen Index zu aktualisieren. Leider ist Spotlight etwas merkbefreit und vergisst das es die Indizierung für eine Freigabe zu verwalten hat, so bald die Freigabe ausgeworfen wurde. Um nun nicht jedes mal von neuem das Terminal aufrufen zu müssen, wenn eine Freigabe wieder auf dem Schreibtisch verfügbar wird, habe ich mir ein kleines AppleScript geschaffen, das z.B. als Startobjekt taugt.

Dem AppleScript werden in den Voreinstellungen der Name des Servers, die zu aktivierenden Freigabenamen, der Benutzername und dessen Passwort eingetragen. Danach arbeitet eine Schleife alle Freigaben nacheinander ab, prüft ob sie noch nicht aktiviert sind und mountet sie so dann. Sind alle Freigaben aktiv, wird die o.g. Befehlszeile der Shell übergeben und nacheinander die Indizies für die Freigaben erstellt, bzw. erneuert. Der Befehl »mdutil« benötigt Administrator-Rechte, der eingetragene Benutzer sollte also einen entsprechenden Status haben.

Ich stelle hier kostenlos dieses AppleScript zum Donwload zur Verfügung.

Mit OS X 10.4 Tiger wurde die systemweite Suchfunktion mächtig aufgebohrt. Nach den exotischsten Kriterien lassen sich nun mehr Suchstrategien formulieren – solange die Suche auf eine lokales Platte zielt....

Die aktuellen G4 iBooks bieten mit etwas Speicherausbau genügend Rechenpower für die allermeisten Office Anwendungen. Dank 2,1 kg und 12″ sind sie auch als mobiles Büro unschlagbar, erst recht wenn man den günstigen Preis in Betracht zieht. Wer sich keinen zweiten Rechner für den stationären Einsatz leisten kann oder will wird sich am heimischen Schreibtisch allerdings schnell einen größeren Desktop wünschen

Ab Werk unterstützen die iBooks eine Auflösung von 1024 x 786 Pixel und das Spiegeln des Desktops auf einen externen VGA-Monitor. Allerdings ist diese Beschränkung nicht in der Apple Technikabteilung, sondern im Marktingressort entstanden. Technisch bieten die eingebauten Grafikchips wesentlich mehr Möglichkeiten, die jedoch – um den Mehrpreis des 12″ PowerBooks rechtfertigen zu können – künstlich beschnitten wurden.

Mit Hilfe von kleinen Zusatztools kann diese künstliche Beschränkung umgangen werden. Dazu wird in die OpenFirmware – also auf unterster Systemebene – eingegriffen. Ganz ungefährlich ist dieser Eingriff nicht – zumindest nicht bei Macs, die den erweiterten Desktop aufgrund ihrer veralteten Hardware nicht unterstützen. In der Praxis habe ich jedoch auch mehreren solcher gepatchen Systeme bisher keinerlei Nachteile erkennen können, so daß man – nochmal: richtige Hardware vorausgesetzt! – den Eingriff durchaus empfehlen kann. Auch von Garantieverlusten gegenüber Apple von denen immer wieder die Rede ist, kann ich nichts berichten. Und zu meinem Leidwesen musste ich mit einem älteren G3 iBook die Garantie bereits mehrfach in Anspruch nehmen. Der Eingriff ist allerdings reversible, so dass vorsichtige Naturen ggf. eine Deinstallation vornehmen können, bevor der Apple Techniker das Gerät in die Finger bekommen.

Bei den erwähnten Tools handelt es sich um den Screen Spanning Doctor von Klaus Rutemöller, bzw. um den iBookScreenEnhancer der Zeitschrift c’t. Beide kommen – auf unterschiedlichen Wegen – zum selben Ergebnis. Nach erfolgter Anwendung erweitert sich die Systemeinstellung Monitore um den Reiter “Anordnen” in dem die Lage der beiden Bildschirme zueinander festgelegt werden kann. Das externe Display kann durch verschieben der Menüleiste in der Miniaturansicht der Monitore zum Hauptbildschirm gemacht werden.

Im Reiter “Monitor” kann darüberhinaus eine wesentlich höhere Auflösung für den externen Monitor als 1024 x 768 eingestellt werden, was die Arbeitsfläche zusätzlich vergrößert.

Wem das immer noch nicht genug ist, sollte die aus der Linuxwelt sehr bekannten virtuellen Desktops ins Auge fassen. Der vorhandene Arbeitsbereich eines oder auch mehrere Bildschirme wird x-fach repliziert. Software gesteuert stehen einem so mehrere virtuelle Bildschirme zur Verfügung zwischen denen man per Mausklick oder Tastenkürzel wechseln kann. In der Praxis lassen sich so verschiedene Arbeitsbereiche für verschiedene Aufgaben einrichten. Ein virtueller Bildschirm für Browser und Newsticker. Einer für die klassischen Bürohelfer wie iCal, Adressbuch und Mail, einer für die Textverarbeitung, usw.

Als sehr empfehlenswertes, weil einfach zu handhabendes und stabiles Tool hat sich bei mir Codetek VirtualDesktop bewährt. Mit etlichen anderen Programmen hatte ich durchaus größere Probleme. Die Lite-Version ist im Normalfall völlig ausreichend. Abonnenten der Macworld, Mitglieder von .mac oder einer Mac-Usergroup (sind wir das nicht irgendwie alle?) haben die Mögllichkeit einen kostenlosen Freischaltcode für CodeTek VirtualDesktop Lite zu bekommen.

Die aktuellen G4 iBooks bieten mit etwas Speicherausbau genügend Rechenpower für die allermeisten Office Anwendungen. Dank 2,1 kg und 12″ sind sie auch als mobiles Büro unschlagbar, erst recht wenn...

Drahtloses Surfen erfreut sich steigender Beliebtheit. Auch ich gönne mir jeden Sommer diesen Spaß gegönnt und warte schon wieder sehnsüchtig auf die ersten Sonnenstrahlen, die es mir ermöglichen mein Büro in den Garten zu verlegen. Ein echtes Stück Lebens- und Arbeitsqualität das ich nicht mehr missen möchte. Aber deshalb muß man es ja nicht gleich jedem gönnen.

Das Plug-and-Play-Vergnügen das einem die Hersteller der diversen WLAN-Basisstationen liefern ist unter Sicherheitsaspekten als kritisch einzustufen! Das gilt nebenbei bemerkt für fast alle Hersteller solcher AccessPoints. So unterschiedlich die mitgelieferten Konfigurationstools, Firmwares etc. sein mögen, die Werkseinstellungen bezüglich der Sicherheit sind i.d.R. offen wie ein Scheunentor. Rühmliche Ausnahme scheinen die Fritz!Boxen zu sein, die dafür an anderer Stelle so ihre Tücken haben.

In dem Moment wo ein WLAN-AccessPoint eingeschaltet wird, ist er für jeden Rechner, der mit einer entsprechenden Gegenstelle ausgestattet ist, sicht- und ansprechbar. Alle dahinterliegenden Dienste sind sofort verfüg- und nutzbar, sofern diese nicht eigene Sicherheitsvorkehrungen mitbringen. Verfügbare Dienste heißt nicht automatisch (nur) Internetzugang, auch wenn dies der mit Abstand meistgebotene Dienst ist. Auch freigegebene Laufwerke von Servern oder Arbeitsplatzrechnern, Intranet-Webserver, freigegebene Drucker, FaxModems, Mailserver, etc. etc. sind dann für jeden, der über diesen Accesspoint zum eigenen Netz Zutritt erhält verfügbar. Obwohl räumlich »Von aussen« kommend ist ein solcher »Gast« netzlogisch ein interner Benutzer. Daher sind z.B. auch alle Vorkehrungen die zur Abschottung des internen Netzes gegenüber dem Internet in Form von Firewalls, Paketfiltern, Proxies etc. getroffen werden an dieser Stelle erst einmal wirkungslos.

Die Folgen der Freiheit

Wie schon gesagt stehen diverse Dienste, die für die berechtigten Nutzer eines Netzwerks gedacht sind, auch allen anderen »Besuchern« offen. Da oft auch andere Sicherheitseinstellungen, z.B. für den Zugriff auf gemeinsame Dateien lax gehandhabt werden, könnte ein unberechtigter Dritter Einblick in Dateien nehmen, diese verändern oder sogar löschen. Oder auf freigegebenen Druckern den Papier- und Tonervorrat mit reichlich Müll verbraten. Oder über ein FaxModem noch einen Kumpel anrufen und auch ihm das Netz via Modem zugänglich machen. Der häufigste Fall des Mißbrauchs wird jedoch das Surfen auf anderer Leute Kosten und in anderer Leute Verantwortung sein.

Eine mögliche Kostenfalle läßt sich am einfachsten mit einer Flatrate umgehen. Einige WLAN-Accesspoint-Betreiber machen dies sogar bewußt um im Sinne eines »OpenSource«-Gedankens anderen an ihrer schnellen Internetverbindung teilhaben zu lassen. Auch erste Geschäftsmodelle, die diesen Gedanken um eine Bezahlvariante anreichern sind in der Entstehung, wenn auch nicht immer ganz ausgegoren oder wirtschaftlich. Egal unter welchen Bedigungen ein WLAN-Accesspoint offen steht – freiwillig oder unfreiwillig, kostenlos oder gegen Obulus – zum Internetzugangsprovider für DSL, ISDN oder Analog-Verbindung tritt das interne Netz immer nur unter einer IP-Nummer auf. Und diese ist rückverfolgbar bis zum Netz des WLAN-Betreibers. Und auf den fällt die Beweislast, wer wann in Netz mit welcher internen IP denn bestimmte (illegale) Dinge getan hat. Ein schwierig zu führender Beweis, da die WLAN-Accesspoints über gar keine oder keine ausreichenden Log-Funktionen verfügen! Spätestens hier wird ersichtlich das es bestimmte Hürden braucht um seine Ressourcen nur den jenigen zu überlassen, denen man vertraut.

Fünf Sicherheitstipps für den Betrieb eines WLAN

1. WLAN abschalten
   Auch wenn das zunächst paradox klingt: wenn WLAN nicht wirklich gebraucht wird (weil man sowieso gerade neben der Ethernet-Steckdose sitzt), einfach mal den AccessPoint abschalten. Voreinstellungen sind in einem nichtflüchtigen Speicher geschützt, so das es überhaupt nichts schadet diesen Teil des Netzwerks bedarfsweise vollkommen lahm zulegen. Der sicherste Schutz überhaupt!
2. ESSID-Kennung ändern und verstecken
   Ab Werk sind WLAN-Accesspoints mit so sinnigen Namen für den ESSID (Extended Service Set Identifier) wie “default” oder dem Namen des Herstellers ausgestattet. Anhand dieser einfachen Benenung sind WLAN-Netze leicht aufzustöbern und auf Verfügbarkeit zu prüfen. Ein eigener, eindeutiger Name ist also ein erster Schritt. Durch das Verstecken dieser Kennung, können sich weiterhin nur die Rechner am WLAN anmelden, die den korrekten Namen kennen und übermitteln. Die Grenzen des ESSID-Versteckens sind allerdings auch schon ausführlich beleuchtet.
   
3. WEP/WPA-Verschlüsselung aktivieren
   Wie schon am Titel zu erahnen sind für die Verschlüsselung gleich mehrere Methoden unterwegs. Die Auswahlreihenfolge ist einfach: WPA (Wi-Fi Protected Access) geht vor WEP (Wired Equivalent Privacy). Je größer die bit-Zahl des Verschlüsselungsalgorithmus ist, desto sicherer. Hex geht vor ASCII. Ausgewählt wird letztlich das, worauf alle Rechner eines Netzes sich verstehen (kleinster gemeinsamer Nenner aus Kompatibilitätsgründen). Größter Nachteil dieser Verschlüssung – bei WPA zwar etwas besser als bei WEP – ist, das der Schlüssel statisch ist und ein ausreichend langes Belauschen der drahtlosen Übermittlung von eingebuchten Rechnern ausreicht um den Schlüssel rückrechnen zu können. Tools zum Aufspüren und Entschlüsseln von WLANs sind im Internet frei verfügbar. Entsprechend kann und sollte der Schlüssel von Zeit zu Zeit ausgetauscht werden.
   
4. Positivliste von MAC-Adressen
   Jede Netzwerkkarte – eine WLAN-Karte ist nichts anderes – ist mit einem eindeutigen Media Access Code (MAC-Adresse) versehen. Durch eine Liste von zulässigen Netzwerk(WLAN)Karten in der Konfigurationsdatei des Accesspoints wird sichergestellt, das sich nur Geräte einwählen können, deren MAC-Adresse in der Positivliste auf der Basisstation enthalten ist. Umgekehrt können auch identifizierte Angreifer in eine Negativliste aufgenommen werden. Auch für dieses Verfahren gibt es Grenzen; eine MAC-Adresse kann mit entsprechenden Tools gefälscht werden.
   
5. VPN-Verschlüsselung
   Einige neuere WLAN-Router verfügen über die Möglichkeit den WLAN-Netzverkehr in einem verschlüsselten Tunnel – einem Virtual Private Network (VPN) zu übertragen. Auch auf älteren Accesspoints ist dies machbar, sofern dahinter ein entsprechender Router/Server betrieben wird, der als VPN-Gegenstelle fungiert. Im Prinzip werden zwei Netze – eines vor (der Rechner, der sich per WLAN einwählt) und eines hinter dem WLAN-Accesspoint (das eigentliche Firmennetz) zu einem gemeinsamen Netz gekoppelt. Sofern ein solches WLAN abgehört wird, ist für einen Angreifer nur ein verschlüsselter Tunnel sichtbar. Dieser Schlüssel ist durch die gewählten Verfahren (zumeist IPSec) sehr sicher. Der eigentliche Datenverkehr läuft dann im Inneren dieses Tunnels ab und kann über weitere Mechanismen zusätzlich abgesichert werden.

Fazit

Für ein normales Maß an Sicherheit sollte eine Kombination aus den Verfahren 2), 3) und 4) verwendet werden. Damit werden einem potentiellen Angreifer gleich mehrere Hürden aufgestellt. Zunächst muß ihm die ESSID bekannt sein. Als nächstes muß er den stattfindenden Netzverkehr solange belauschen, bis der WEP/WPA-Schlüssel geknackt ist und zu guter letzt muß er dem Accesspoint eine gültige MAC-Adresse vorgaukeln. Wie schon gesagt: machbar ist das alles, wenn auch mit hohem Zeitaufwand für den Angreifer verbunden. Genau hierin liegt der Schutz: Aufwand und zu erwartender Erfolg stehen in keinem vernünftigen Maß zueinander. Wer kann und wer sich besonders gut schützen möchte, sollte eine VPN-Lösung erwägen, da sich hierbei der Zeitaufwand für einen Angreifer auf nahezu unendlich verschiebt. Die größtmögliche Sicherheit bietet ein bei Nichtbenutzung ausgeschalteter AccessPoint.

Drahtloses Surfen erfreut sich steigender Beliebtheit. Auch ich gönne mir jeden Sommer diesen Spaß gegönnt und warte schon wieder sehnsüchtig auf die ersten Sonnenstrahlen, die es mir ermöglichen mein Büro...