Dieser eintägige Kurs behandelt die Grundlagen der Implementierung eines virtuellen privaten Netzwerkes (VPN) mit Linux und FreeS/wan. Des weiteren wird die Anbindung heterogener Clients am Beispiel von Microsoft Windows 2000 erläutert und demonstriert.

Das Internet ist aus dem modernen Geschäftsalltag nicht mehr wegzudenken. Immer mehr Kommunikation erfolgt über das Internet. Hierbei spielt die Sicherheit der übertragenen Informationen immer mehr eine Rolle. Der Bedarf für virtuelle private Netzwerke steigt. Viele kommerzielle Softwarehersteller haben diesen Bedarf erkannt und bewerben und bedienen den Markt entsprechend. Alternative Open Source Lösungen sind meist unbekannt.

Zur Einführung in das Thema werden kurz das IPsec Protokoll und die Implementierungen verschiedener Hersteller vorgestellt. Hierbei werden die Gemeinsamkeiten und Unterschiede insbesondere in der Authentifizierung und der Schlüsselverwaltung zu Linux und FreeS/wan erwähnt.

Anschließend werden die Schritte besprochen, die erforderlich sind um einen funktionstüchtigen Linux Kernel mit aktuellem FreeS/wan zu erhalten. In vielen Fällen liefert zwar bereits die Distribution einen passenden Kernel mit, jedoch weisen diese oft nicht alle aktuellen Eigenschaften auf.

Im weiteren wird die Implementierung verschiedener VPN Tunnel erläutert und demonstriert.

Zu Beginn wird ein verschlüsselter IPsec Tunnel zwischen zwei Linux FreeS/wan Rechnern aufgebaut, die Konfiguration erklärt und getestet. Die Vorgehensweise beim Troubleshooting wird besprochen.

Das bedeutendste Problem bei dem Aufbau einer VPN Infrastruktur ist die Verteilung und Verwaltung der Informationen die zur Authentifizierung verwendet werden. Die Authentifizierung erfolgt geeigneter weise mit public keys. Zwei verschiedene Systeme eignen sich als zentrale Repositorien (zur Verwaltung und Verteilung) für diese Schlüssel: DNS-Server wie bind9 und Zertifikatsautoritäten (CA). Beide Systeme können zum Aufbau einer Public Key Infrastructure (PKI) verwendet werden. Im weiteren wird der Einsatz beider Systeme gezeigt und durchgeführt.

Der Einsatz einer CA und X509 Zertifikaten erlaubt häufig auch den einfachen Aufbau von heterogenen VPN Lösungen. Die meisten kommerziellen Hersteller setzen in ihren Produkten ebenfalls X509 Zertifikate zur Authentifizierung ein.

So wird an dem Beispiel von Windows 2000 gezeigt, wie relativ einfach ein heterogenes VPN bei Authentifizierung mit zuvor unter Linux generierten X509 Zertifikaten möglich ist. Dies erlaubt auch den Einsatz von Windows 2000 als Betriebssystem für Road Warrior. Hierbei handelt es sich um Rechner, welche für die Verbindung eine dynamische IP Adresse verwenden. Dies ist zum Beispiel der Fall, wenn Handelsreisende sich von unterwegs oder Teleworker von Zuhause über das Internet in ein Unternehmensnetzwerk einwählen. Abschließend wird die Platzierung eines VPN Gateways in einer vorhandenen Firewallstruktur besprochen. Dieser Platzierung ist hohe Aufmerksamkeit zu widmen, um die Firewall nicht zu schwächen und einen reibungslosen Betrieb des VPNs zu ermöglichen.

Dieser Kurs richtet sich an fortgeschrittene Linux/UNIX Administratoren, die eine stabile preiswerte Open Source VPN Lösung implementieren möchten. Erfahrung bei der Einrichtung anderen VPN Software (wie PPTP) sind hilfreich aber nicht erforderlich. Kenntnis des Linux/UNIX Betriebssystems und des TCP/IP Protokolls sind erforderlich.

Das Material weist einen mittleren Schwierigkeitsgrad auf.

This tutorial presents an overview of generic firewall theory and techniques, as well as an overview of the available implementations of these concepts for the freely available Linux operating system.

The first part covers firewalls in general. It provides necessary background information, explains the most commonly used firewall terminology, and it describes most of the currently known firewall concepts. Furthermore, the various firewall techniques that are available (like packet filtering and proxy servers operating on different levels) are explained and their pro's and con's will be discussed. Some important aspects for designing firewalls are explained using some example firewall architectures.

The second part covers the firewall software available for the Linux operating system. A large number of different software packages for packet filtering and proxy services will be described, as well as auxiliary techniques and software, like network address translation, masquerading, virtual private networks, and various additional tools that can improve the host and network security using Linux systems. This part includes an extensive introduction to netfilter/iptables, the Linux 2.4 packet filtering and address translation software, but it also talks about less well-known software packages, that are often not standard available in most Linux distributions. The tutorial will emphasize on the techniques and tools available in Linux 2.4, but it also addresses migration from Linux 2.2, as well as future directions.

This tutorial is aimed at system and network administrators, and other people involved with the design and implementation of network security policies. Although Linux (and, more generic, UNIX software) is used in the case study, the theory can also be used to build, understand, and maintain firewalls and security policies in general.

About the speaker: Jos Vos is CEO and co-founder of X/OS Experts in Open Systems BV. He has an experience of more than 15 years in the area of research, development, and consulting related to UNIX systems software, Internet, and security. He is the author of ipfwadm and part of the firewall code in the Linux 2.0 kernel. His company X/OS provides a number of firewall and VPN solutions, ranging from small embedded systems to high-availability server products.

Planung, Installation und Betrieb von Linux-Servern v.a. als File- und Print-Server (auch mit Windows-Clients; lpd/lprng, NFS, Samba, Backups im Netz), dazu Netzdienste wie DHCP, DNS und ggf. NIS.

Über den Referenten: Ulrich Weis ist pädagogischer Mitarbeiter an der Volkshochschule Stadtverband Saarbrücken. Als solcher unterrichtet er vor allem im Bereich Betriebsysteme und Netzwerke (auch angehende SysAdmin) und administriert die fünf eigenen EDV-Räume.

Ruby, eine elegante Skriptsprache aus Japan.

Ruby ist eine neue und rein objektorientierte Skript-Sprache, die immer mehr Anhänger gewinnt. Sie zeichnet sich aus durch eine eine eingängige, gut lesbare Syntax, viele eleganten Programmier-Konstrukte sowie mächtige Funktionen zur Stringverarbeitung. Mit Ruby kann man effizient Skripte entwickeln, aber auch größere Programme schreiben, ohne dass die Übersichtlichkeit leidet.

Wir wollen in dem Workshop versuchen, ein "rundes" Bild von Ruby zu vermitteln: Dem Einstieg mit einfachen Skripten und kleineren OO-Progrämmchen folgt ein Ausblick in die Anwendung von verschiedenen Ruby-Bibliotheken zum Arbeiten mit Threads, CGIs und Webapplikationen, XML, Unit-Testing, ...

Wir werden versuchen, im Workshop auf Wünsche der Teilnehmer einzugehen, soweit dies möglich ist.

Über den Referenten: Armin Roehrl leitet mit Stefan Schmiedl die Softwareschmiede Approximity (www.approximity.com). An der Uni hat er vor allem Functional Programming Sprachen wie Haskell benutzt und dann anschließend im wahren Leben Java und Objective-C. Programmierzeit ist kostbarer als Rechenzeit.

Approximity setzt Ruby in den verschiedensten Projekten ein: Von Software für die Boerse, B2B, bis zur Analyse von Terabytes von Log-Files.

Über den Referenten: Stefan Schmiedl ist der Mensch der kryptische Programmiersprachen wie Metafont, PlainTeX, Forth, Dylan, Lisp, Postscript (zur Entspannung wird mit vi in Postscript gezeichnet.), ... mag. Stefan, ebenfalls aus dem Smalltalklager ist der Meinung dass alle Betriebssysteme versuchen wie Unix, und alle Programmiersprachen wie Lisp :-) zu werden.

Stefan Schmiedl und Armin Roehrl haben mit Clemens Wyss zusammen ein Rubybuch geschrieben (dpunkt-Verlag).