Nano-Comp GmbH

Die Nano-Comp electronic GmbH mit Sitz in Pulheim-Dansweiler hat ihren Schwerpunkt im Betreuen von Firmen IT Infrastruktur. Wir administrieren sowohl Unix, Linux und Windows Server als auch PC Arbeitsplätze.

Zu unserem Kundenkreis gehören Dienstleistungsunternehmen, Handelsunternehmen,  Medienunternehmen, Radiosender sowie kleine und mittlere Handwerksbetriebe.

Wir beraten, planen, installieren, reparieren und kümmern uns um Ihre IT.

Wir verkaufen und betreuen Audionachrichtensysteme und Ausspielsysteme für Radiosender und Audionachrichtendienste.


 

IT Sicherungskonzept 3. Juli 2024

Konzept zur Absicherung des Firmennetzwerkes durch Aufsplittung

Ein Mitarbeiter hat nicht aufgepasst, der Router bzw. die Firewall hatte nicht das letzte Update und um die Server hat sich schon lange keiner mehr gekümmert. Das ist heute in vielen Firmen Alltag. Es läuft doch alles!

Südwestfahlen-IT, Ticketmaster, Teamviewer, DZ Bank, CDU – um nur einige zu nennen. All diese Firmen bzw. Gruppen sind in der letzten Zeit Opfer eines schweren Angriffes aus dem Internet geworden mit zum Teil erheblichen wirtschaftlichen Folgen. Täglich werden große und kleine Firmen angegriffen. Alleine auf unseren Servern vermeldet die Firewalls einige hundert Angriffe und Portscans am Tag. Die meisten sind erst einmal harmlos. Es handelt sich meist um Passworterraten. Das sind Programme, die versuchen Ihre Email und sonstige Zugangsdaten zu erraten. Darum sind einfache Passwörter sehr unsicher.

Hat es ein Hacker aber erst einmal geschafft in Ihr Netzwerk einzudringen, dann ist es meist ganz einfach weiteren Schaden im Netz zu verursachen. Und hier greift die Absicherung durch Aufsplittung des Netzwerkes. Meist versucht der Hacker im Netzwerk weitere PCs und natürlich die Server anzugreifen aber desto weniger PCs in dem Netzwerk sind, desto weniger PCs sind angreifbar. Konkret sucht der Hacker oder das entsprechende Script nach PCs innerhalb der Netzwerkmaske. Sind Server und weitere PCs in einem anderen Netz, also in der eigenen Maske nicht erreichbar, so minimiert sich das Problem.

Ein Beispiel:

Ihre Firma benutzt das Netzwerk 192.168.1.0 mit der Maske 24. Sie erreichen in diesem Netzwerk also maximal 254 Computer, die potentiell bedroht sind. Teilt man aber jetzt das Netz in 4 Teile, so ist die Erreichbarkeit anderer Computer im Netzwerk natürlich kleiner. Sagen wir, jede Etage oder jede Abteilung bekommt ein Teilnetzwerk. In diesem Beispiel haben wir drei Büroetagen und einen Serverraum.

Die PCs der ersten Etage bekommen das Netzwerk 192.168.1.0/26, die zweite Etage 192.168.1.64/26 und die dritte Etage 192.168.1.128/26. Der Serverraum bekommt das Netzwerk 192.168.1.192/26. In den meisten Firmenstrukturen müssen die Netze der Büroetagen untereinander nicht agieren aber sie müssen natürlich die Server erreichen. Da die Server auch in einem anderen Netzwerk, sind benötigt man einen Router, der alle 4 Netzwerke und das Gateway ins Internet verbindet. Hier hat man dann auch direkt eine Möglichkeit eine Firewall mit zu installieren. Die Firewall schützt nicht nur vor dem Internet sondern schützt auch die Netzwerke untereinander. Auf dieser Firewall sind nur die genötigten Ports in der entsprechende Richtung offen und der ganze übrige Traffic wird gesperrt. Somit sind zum Beispiel Angriffe auf einen Fileserver erschwert. Es ist auch fast nicht möglich einen Ransomware Angriff auf dem Server zu starten. Es könnten zwar Dateien auf dem Fileserver von einem Arbeitsplatz verschlüsselt werden aber der Server selber ist nicht korrumpiert. Man kann also einfach die Datensicherung zurück spielen.

Das Beispiel zeigt, dass man mit einfachen Mitteln einen großen Beitrag zur Netzwerksicherheit erreichen kann. Als Router / Firewall Lösung bietet sich hier OPNSense an. Wer es jedoch selber machen möchte, kann auch auf SuSELinux, mit Iptables zurückgreifen. Hier muss man jedoch immer auf die Updates achten und entsprechende Änderungen vornehmen. Von einem Windowsrechner als Router wird jedoch dringend abgeraten.


 

Der große Bruder mit 6 Lan Ports 8. Februar 2024

Ab sofort gibt es bei uns den Router auch mit 6 dedizierten Lan Ports. Der FR-006-01 hat die gleichen Daten wie der FR-004-1 nur mit 6 statt 4 Lan Ports. Er ist auch in zwei Versionen verfügbar, einmal Standard und einmal für NetCologne vorbereitet. Das Zubehör, WLAN oder G4 Modem, passt auch in den neuen Router.


 

Asterisk V20.0 an nomadischem SIP Trunk von NetCologne 4. Februar 2024

NetCologne bietet einen nomadischen SIP Trunk an. Wie der Name vermuten lässt handelt es sich um einen Anschluss, der von überall aus dem Internet zur Verfügung steht. Er funktioniert aber anders als sip.netcologne.de, welcher nur über eine physikalische NetCologne Leitung zur Verfügung steht. Die wichtigsten Unterschiede sind:
1. Er nur verschlüsselt erreichbar.
2. Die User Namen bestehen aus Landesvohrwahl und Telefonnummer (+49YYYYXXXXX) und nicht wie sonst bei NetCologne üblich aus der Telefonnummer ohne der führenden 0.
3. Der Anschluss unterscheidet nicht zwischen MSN und einem Telefonanlagenanschluss mit Durchwahlnummern. Bei sip.netcologne.de hat jede einzelne Nummer einen eigenen SIP-Account, hier gibt es nur einen Account.
4. Der NameService muss via SRV Namelookup aufgelöst werde. Da der Asterisk chan-SIP dieses nur sehr rudimentär bedient, muss man PJSIP verwenden. (pbx.sip-trunk.netcologne.de. 3600 IN NAPTR 100 0 „S“ „SIPS+D2T“ „“ _sips._tcp.pbx.sip-trunk.netcologne.de.)

Wenn man eine gewachsene Asterisk Konfiguration mit chan-SIP anpassen möchte, so ist es kein Problem. Man kann chan-SIP und PJSIP gleichzeitig verwenden. Man muss nur die Registrierungsdaten zum Trunk in sip.conf löschen und verwendet für die Registrierung pjsip.conf. Da es zur Zeit von NetCologne noch keine Dokumentation hierzu gibt, gibt es hier ein Template für pjsip.conf.

[global]
type = global
keep_alive_interval = 0 ; seconds, TCP-PSH as keep-alive mechanism

[nc_registration]
type = registration
transport = nc_transport
outbound_auth = nc_auth
client_uri = sip:+49YYYYXXXXX@pbx.sip-trunk.netcologne.de
contact_user = +49YYYYXXXXX
server_uri = sip:pbx.sip-trunk.netcologne.de
line = yes ; required for „endpoint“
expiration = 3600
endpoint = nc_endpoint

[nc_transport]
type = transport
protocol = tls
ca_list_path = /etc/ssl/certs/ ; Pfad zu ISRG_Root_X1.pem
method = tlsv1_2 ; es wird TLS Version 1.2 verwendet
cos = 3
tos = cs5
bind = 0.0.0.0

[nc_auth]
type = auth
auth_type = userpass
password = YXCVB ; (hier SIP-Passwort eintragen)
username = +49YYYYXXXXX ; (hier SIP-Username eintragen)
realm = pbx.sip-trunk.netcologne.de

[nc_endpoint]
type = endpoint
from_domain = pbx.sip-trunk.netcologne.de
from_user = +49YYYYXXXXX
context = nc ; das ist der Einspringpunkt für die extensions.conf
language = de
outbound_auth = nc_auth
media_encryption = sdes
aors = my_aor ; link required for „qualify_frequency“
cos_audio = 5
tos_audio = ef
direct_media_method=invite
dtmf_mode=rfc4733
direct_media=no
disallow=all
allow=alaw
allow=ulaw

[my_aor]
type = aor
contact = sip:+49YYYYXXXXX@pbx.sip-trunk.netcologne.de
qualify_frequency = 0 ; seconds, SIP-OPTION as keep-alive mechanism

In der extensions.conf muss der Dial Befehl angepasst werden. Dial(PJSIP/${EXTEN:1}@nc_endpoint,50,t) oder so in der Art. Mit :1 wird die führende 0 (Amtsholung) entfernt.


 

Der NANOrouter FR-004-1 auch für NetCologne 2. Februar 2023

Unser Router NANOrouter FR-004-1 gibt es auch in einer Version für NetCologne. Er berücksichtigt VLAN 10 für Internet und VLAN 20 für die Telefonie. Das VLAN 20 kann für die Telefonie in das LAN geroutet werden oder auf einem extra LAN laufen. Als Option gibt es ein G.FAST oder VDSL2 Modem. G.FAST benötigt man bei NetCologne für die Produkte NetSpeed 250, NetSpeed 500 und NetSpeed 1000. Hier bietet NetCologne zur Zeit nur die Fritzbox 7583 an, da diese als einzige Fritzbox G.FAST zur Verfügung stellt.


 

Unser erster Telefon SIP / PRI Server 21. November 2022

2005 haben wie unseren ersten SIP / PRI Telefonserver aufgebaut. Er konnte 6000 Telefonnummern verwalten. Dabei war, von heutiger Sicht aus gesehen, der Server gar nicht so leistungsstark. Die CPU hatte 900 MHz und ihr standen 512 MB RAM zur Verfügung. Die Daten wurden auf 2 Stk 80 GB Festplatten gespeichert, die als Raid1 konfiguriert waren. Als Software diente Asterisk 0.99 mit vielen eigenen Patches. 17 Jahre hat die Maschine durchgehalten! Sie würde immer noch arbeiten, wenn wir sie jetzt nicht ersetzt hätten. Das kann man wohl nachhaltige IT nennen. Der neue Server läuft mit Asterisk 20.0 und hat nur noch SIP Trunking.
SIP ist das Telefonprotokoll, welches heute am meisten Verwendung findet. (Wenn man will, ist es der Nachfolger von ISDN.)
PRI (Primary Rate Interface, im deutschen hieß es Primärmultiplexanschluss) ist ein mehr Kanal, in Europa 30 kanaliger, Telefonanschluss.


 

Unser neuer Router NANOrouter FR-004-1 11. Oktober 2022

Wir haben uns umgeschaut und mussten feststellen, dass es für kleine und mittlere Unternehmen keine vernünftigen Internet Router mehr gibt. Der Markt ist mit Fritzboxen und Telekom Digitalisierungsboxen überschwemmt. Das Problem ist, dass beide Routerfamilien für den professionellen Gebrauch völlig unbrauchbar sind. Eine Firewall, die man nicht selber einstellen kann, wird schnell zum Problemfall!
Nun, wir haben den Router nicht neu erfunden, die Firmware ist von OPNsense. Es handelt sich um eine extrem flexible und universell anpassbare Routersoftware.

  • Hauptfunktionen neben dem „Routen“:
  • flexible Firewall
  • 4 frei konfigurierbare Ethernet Ports (man kann LAN, WAN, DMZ beliebig den Ports zuordnen)
  • VPN (Ipsec, OpenVPN und Wireguard)
  • Proxy
  • Spamfilter für Emails
  • Hardware Failover
  • und vieles mehr.

Angetrieben wird der Router von einer N3700 CPU mit 4 Cores, 8 GB RAM und einem 256 GB großen SSD Speicher.
Die Beschreibung und die Dokumentation finden Sie hier.


 

Zone ru und by gesperrt! 25. Februar 2022

In Anbetracht der schlimmen Lage in der Ukraine haben wir heute damit begonnen die Zone ru (Russland) und by (Belarus) in unserem DNS und Emailsystemen zu sperren. Wir sind nur eine kleine Firma und deshalb ist unser Handeln nur von symbolischer Wirkung aber wenn alle großen Provider unserem Beispiel folgen würden und auch die entsprechenden IP Blöcke sperren würden, dann wären die Kommunikationskanäle der 2 Länder zum großen Teil von dem Rest der Welt getrennt.


 

Radio Rhein FM in Rüdesheim am Rhein 25. Mai 2021

Begrüßen dürfen wir unseren neuen Kunden Radio Rhein FM. Der Radiosender ist am 21.Mai 2021 On Air gegangen und sendet auf DAB+ (Digitalradio und Nachfolger von UKW) in der Region Rheingau und dem Mittelrheintal. Radio Rhein FM benutzt unser Audionachrichtensystem und Ausspielsystem. Wir wünschen Radio Rhein FM viel Erfolg.


 

Boxed DAB Transmission (BDT) 15. Februar 2017

Im Jahr 2016 waren wir auf der Suche nach einem kompakten DAB(+)-Sender. Erstaunt mussten wir feststellen, dass es so etwas gar nicht gibt. Also beschloss die Nano-Comp, einen eigenen DAB(+)-Multiplexer auf Basis des ODR-DabMux zu entwickeln. Mit einem italienischen Partner ist auf diese Weise eine Produktserie “Boxed DAB Transmitter” entstanden. In den Abstufungen 10Watt, 100Watt, 250Watt, 500Watt und 1kWatt können wir nun kompakte wie leistungsstarke DAB(+)-Sendeanlagen anbieten. Wir nennen unser Konzept bewusst “Boxed DAB Transmission”, da diese im Gegensatz zu Small Scale DAB wesentlich effizienter arbeiten. Wie das Projekt der TU Kaiserslautern gezeigt hat, können solche Anlagen basierend auf OpenDigitalRadio und USRP eine maximale Leistung von ungefähr 20% der Verstärkerleistung erreichen, da bei höherer Leistung keine genügende Linearität zur Verfügung steht. Bei einem 100Watt-Verstärker stehen also letztlich nur ca. 20 Watt Ausgangsleistung zur Verfügung. Unser Boxed DAB Transmission arbeitet hingegen mit adaptiver Precorrection, d.h. der Verstärker kann unter Volllast betrieben werden. Das macht die Anlage im Stromverbrauch wesentlich effizienter, was sich besonders bei größeren Anlagen bemerkbar macht: eine 1KWatt-Anlage kommt mit einer 6 dB-Antenne auf 4KW ERP Leistung. Vergleichbare Small Scale DAB(+)-Anlagen kommen mit dem gleichem Verstärker und Antenne auf gerade einmal 800 Watt ERP Leistung. Diese Kombination aus ODR und eigenentwickelter Software sowie spezialisierter Hardware macht unsere BDT-Anlagen darüber hinaus unschlagbar günstig.