Durch die wachsende Abhängigkeit unseres täglichen Lebens von einer funktionierenden IT-Landschaft und die gleichzeitig rapide zunehmende Komplexität der dazu benötigten Infrastrukturen gewinnen die Themen Netzwerkmanagement und Netzwerküberwachung immer mehr an Bedeutung. Zur Netzwerküberwachung existiert eine Reihe von komplexen und oft sehr teuren kommerziellen Werkzeugen. Dieser Workshop zeigt, wie man eine analoge Funktionalität mit spezialisierten, freien und quelloffenen Programmen erreichen kann.

Themen im Detail/Ablauf des Tutoriums:

• Organsisatorische Fragen
  • Möglichkeiten der Netzwerküberwachung
  • Business Planing / Business Continuity / TCO
  • Warum freie und quelloffene Software?
  • Bedeutung der Netzwerküberwachung beim Risikomanagement im Rahmen von Basel II und des Sarbanes-Oxley Acts (SOX)
• Rechtliche Aspekte
• Simple Network Management Protocol (SNMP)
• Qualitative Überwachung
  • Multi Router Traffic Grapher (MRTG)
• Verfügbarkeitsüberwachung
  • Nagios
• Proaktive Überwachung, Auswerten von Logdateien
• Fehlersuche in Netzwerken mit Wireshark
• NetFlow-Analyse mit nfdump/nfsen
• Sicherheits-Monitoring
  • nmap
  • Nessus und Open-Source-Alternativen

Die Inhalte werden im Vortragsstil vermittelt und durch praktische Übungen durch die Teilnehmer am eigenen Rechner vertieft. Ergänzend steht das Vortragsskript als Folienkopien mit der Möglichkeit für Notizen bereit.

Zielgruppe/Voraussetzungen:

Das zweitägige Tutorium richtet sich an erfahrene Systemadministratoren, deren Aufgabe die Betreuung, Überwachung und Optimierung von komplexen Netzwerkumgebungen ist. Die Teilnehmer sollten bereits Erfahrungen mit der Installation von Programmen unter Linux haben und rudimentäre Grundkenntnisse des TCP/IP-Stacks mitbringen.

Im Laufe des Workshops wird der Aufbau eines Überwachungsservers auf Basis von Linux mit exemplarischen Diensten gezeigt und diskutiert werden. Dabei werden wir nicht nur die rein technischen Aspekte der Netzwerküberwachung beleuchten, sondern auch die Grundlagen der notwendigen organisatorischen und rechtlichen Rahmenbedingungen aufzeigen und berücksichtigen. Nach der Veranstaltung können die Teilnehmer die gewonnenen Erkenntnisse dann selbständig in die Praxis umsetzen.

Die Teilnehmer müssen einen Rechner mit einer aktuellen Linux-Distribution mitbringen. Hinweis: Benutzer anderer Betriebssysteme (*BSD oder MacOS-X) sollten sich vor der Veranstaltung mit den Vortragenden in Verbindung setzen.

Wilhelm Dolle ist Senior Security Consultant bei der HiSolutions AG, einem Beratungshaus für Information Security und Risk Consulting, in Berlin und seit vielen Jahren im IT-Sicherheitsumfeld tätig. Er ist CISA, CISM, CISSP sowie vom BSI lizensierter ISO 27001 / Grundschutzauditor und hat bereits in früheren Positionen als Abteilungsleiter und Mitglied der Geschäftsleitung eines mittelständischen Unternehmens Erfahrungen in den Bereichen IT-Sicherheitsmanagement, Risiko- und Sicherheitsanalysen sowie Incident Management sammeln können. Wilhelm Dolle ist Autor zahlreicher Artikel in Fachzeitschriften und hat Lehraufträge an einer Universität und an einer Berufsakademie inne.

Thomas Fritzinger, ausgebildeter Fachinformatiker für Systemintegration, lebt und arbeitet in der Schweiz. Von 2002 bis 2007 war er in Berlin für die interActive Systems GmbH (später semginge GmbH) tätig und leitete dort die Abteilungen für Networking und System Development und war dort auch für die Ausbildung der Auszubildenden verantwortlich. In 2007 verlagerte er seinen Lebensmittelpunkt in die Schweiz, wo er zunächst ein halbes Jahr als IT-Projekt- und Entwicklungsleiter in der Energiebranche tätig war, bevor er im Januar 2008 die Leitung des IT-Teams bei der MediService AG übernahm. In seiner "Freizeit" absolviert er zurzeit ein Studium zum MBA General Management an der Donau Universität Krems, Österreich.

Jens Link ist seit fast 12 Jahren im IT-Bereich tätig. Nach einem kurzen Ausflug ins Consulting ist er im November 2007 zu seinen Wurzeln als Netzwerkadmin zurückgekehrt. Beruflich beschäftigt er sich hauptsächlich mit Cisco-Routern und -Switchen sowie Linux. Nebenbei kümmert er sich um sage@guug-Berlin einen monatlichen Stammtisch nicht nur für Admins.

Christoph Wegener, promovierter Physiker und CObIT Basic Practitioner, ist seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und Open Source / Linux aktiv. Er ist Autor zahlreicher Fachbeiträge, Fachgutachter für verschiedene Verlage und Mitglied in mehreren Programmkomitees. Seit Anfang 2005 ist er zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V. und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands.

Abstract

Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung über LDAP. Er erstreckt sich über zwei Tage, wobei jedes der Themen jeweils den Schwerpunkt eines Tages darstellt.

Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Am Anfang jedes Workshop-Tages wird in einem ca. zweistündigen Vortrag ein Überblick über das Thema gegeben, das dann den Rest des Tages von den Teilnehmern praktisch umgesetzt wird, begleitet von kurzen theoretischen Erläuterungen.

Der Workshop im Detail

1. Tag: Kerberos – ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos-Authentisierungsdienst

Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V.

Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen.

Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.

Praxis: Aufbau einer MIT-Kerberos-Realm

Unter Debian-Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos-Authentisierungsdienst auf (Key-Distribution-Center, KDC).

Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos-Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden.

Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

2. Tag: LDAP – ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol

Zunächst wird in einem Überblick über die LDAP- Entwicklungsgeschichte die Verwandtschaft zum X500-Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt.

Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar.

Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP-Verzeichnis-Dienstes

Unter Debian-Linux setzen die Teilnehmer in Zweiergruppen einen OpenLDAP-Server auf und populieren ihn mit Kommandozeilen- und grafischen Werkzeugen.

Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit OpenSSL notwenig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP-Dienst kerberisiert.

Als Anwendung der aufgebauten LDAP-Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung, außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.

Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluss BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien fuer Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und Mac OS X mit besonderer Ausrichtung auf Sicherheit. Später durch seine Arbeit als Unix- Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit. Seit Anfang 2004 arbeitet er bei der science + computing ag. Hier begleitet er Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing.

Daniel Kobras hat an der Universität Tübingen in den Bereichen Theoretische Astrophysik und Computational Physics hautnahe Erfahrungen als Administrator komplexer Rechnernetze gesammelt. Als freier Journalist wie auch als Entwickler für die Linux-Distribution Debian konnte er auch in seiner Freizeit den IT-Themen nicht entfliehen. Der Diplom-Physiker arbeitet seit Anfang 2007 bei der Tübinger science+computing ag und blieb dort nicht nur dem High-Performance-Computing treu, sondern beschäftigt sich darüber hinaus auch mit der Verwaltung heterogener Netze.

Kryptographie ist z. Zt. das einzige Mittel, um zuverlässig die Privatsphäre zu schützen oder die Integrität von Daten sicherzustellen. Kryptographische Methoden sind außerdem auch hervorragende Mittel, um Rechnersysteme vor Manipulation und Einbruch zu schützen bzw. diesen nachzuweisen. Das Tutorium gibt eine Einführung in die Grundlagen der Kryptographie sowie in tiefergehende, detailliertere Prinzipien wie Verschlüsselungsalgorithmen und Betriebsmodi. Vorgestellt werden im Einzelnen: Prüfsummen, symmetrische und asymmetrische Kryptographie, Signaturen und Vertrauensnetze. Im tiefergehenden Teil werden einzelne Algorithmen und Betriebsarten (ECB, CBC ...) vorgestellt. Es wird aber keine "Mathevorlesung" werden.

Die Einbettung von kryptographischen Verfahren wird außerdem kritisch beleuchtet und bspw. die Sicherheit von Passwörtern untersucht. In diesem Teil soll gezeigt werden, das der Einsatz von Verschlüsselungsmethoden alleine noch keinen Sicherheitsgewinn darstellt, sondern im Gesamtkontext betrachtet werden muss.

Im praktischen Teil werden kryptographische Anwendungen wie OpenSSL, OpenSSH, GnuPG, mcrypt, VPN, AIDE, Tripwire usw. vorgestellt. GnuPG wird anhand eines Mitmach-Workshops praktisch erklärt. Außerdem werden verschlüsselnde Dateisysteme im Prinzip und im Detail vorgestellt sowie ihre Schwachstellen und Probleme beleuchtet.

Das Tutorium richtet sich an Systemadministratoren und interessierte Anwender, die in die Kryptographie eingeführt werden möchten. Das Tutorium erläutert alle theoretischen Grundlagen, um bspw. GnuPG selbst einsetzen zu können. Außerdem wird der "Mythos der Kryptographie" etwas entzaubert und Fallstricke bei der Implementierung aufgezeigt, die Kryptographie soll also keinesfalls als "magischer Feenstaub" verkauft werden.

Stefan Schumacher studiert Bildungswissenschaft und Psychologie an der Uni Magdeburg und arbeitet nebenbei als selbständiger IT-Sicherheitsberater (http://www.kaishakunin.com).

Er beschäftigt sich seit 1992 mit Computern (Robotron KC85/3), seit 1994 mit PCs (486/SX25 mit MS-DOS 6.2), seit 1998 mit Unix (SuSE Linux 4.irgendwas) und seit 2001 mit NetBSD (1.5.1 auf einer DEC Alpha) im speziellen. Inzwischen benutzt er NetBSD auf PCs, HP Jornada 680, DEC Alpha und Vax, Sun SPARC und SPARC 64, Apple PowerMac, HP PA-Risc und Apollo. Als Datenbankadministrator und -Entwickler befasst er sich ausgiebig mit PostgreSQL und Perl. Beruflich betreibt er mehrere Web-, Samba- und Datenbankserver unter NetBSD.

Er ist Mitglied im Chaos Computer Club (CCC), der Deutschsprachigen Anwendervereinigung TeX (Dante e.V.) sowie in der German Unix User Group (GUUG).

Er hält regelmäßig Fachvorträge zu den Themen NetBSD, Sicherheit, Kryptographie, Hacking und Unix im allgemeinen, z.B. auf den Chemnitzer Linux-Tagen, dem LinuxTag, dem Frühjahrsfachgespräch der GUUG oder dem Chaos Communication Congress und veröffentliche Artikel in der UpTimes.

Zusammen mit Mario Heide bin ich Herausgeber des regelmäßig erscheinenden Podcasts für alternative Computersysteme (www.Pofacs.de).

In seiner Freizeit befasst er sich mit japanischen Kampfkünsten (Graduierungen im Shotokan-Karate, Jiu-Jitsu sowie Chi Ryu Aiki Jitsu) und militärischem Nahkampf, japanischer Kultur und Geschichte, allen Büchern von Stephen King, Sergei Lukianenko und Ryunosuke Akutagawa, sowie nahezu allen Formen des Heavy Metals.

OpenLDAP I: Basis

Einführung in X.500 und LDAP

• Gemeinsamkeiten
• Objektklassen
• Attribute
• Syntaxregeln

Vorstellung von OpenLDAP

• Die Herkunft und die Zielsetzung des OpenLDAP Projects
• Abhängigkeiten von zusätzlichen Bibliotheken
• OpenLDAP kompilieren

Erstellen einer Basiskonfiguration

• Elemente der slapd.conf
• Einträge manuell erstellen

Einrichten eines LDAP-Servers

• Datenbank-Definition
• Daten importieren und exportieren
• Optimierung für den Einsatz

Zugriffskontrolle

• Modell der Access Control Lists (ACL)
• Modell der Access Control Information (ACI)
• Modell der Regex-basierten Sets

SSL/TLS

• Was ist Transport Layer Security
• Zertifikate mittels OpenSSL erstellen
• Authentifizierung mittels X.509-Zertifikat

Administration mittels Konfigurations-Backend

• Erstellen des Konfigurations-Backends
• Modifizieren von Konfigurationsparametern zur Laufzeit
• Einsatzmöglichkeiten des Konfigurations-Backends

OpenLDAP II: die höheren Weihen

Partitionierung des DIT über zwei und mehr LDAP-Datenbanken

• Sinn und Möglichkeiten der Partitionierung
• "Subordinate Databases"

Synchronisierte Replikation eines und mehrerer "Consumer"

• Synchronisation zwischen Provider und Consumer
• Partielle Synchronisation
• Kaskadierende Synchronisation
• Mirrormode Hot-Standby

Einbinden einer SQL-Datenbank

• Erstellen der Einträge in MySQL
• Zusätzliche Konfiguration in slapd.conf

LDAP-Proxy mittels back-ldap und back-meta

• einfache- und mehrfache Proxyfunktionen

Die Hohe Kunst der Proxy-Camouflage

• Umschreiben des Distinguished Names und der Attribute
• Filtern von Attributen
• Attribute aus unterschiedlichen Quellen fusionieren

Compliance: mit was?

• Quellen der Compliance-Anforderungen
• Password-Policy
• Logging spezieller Ereignisse

Extended Operations und "Controls"

• Aufgaben von Controls
• Arbeiten mit Controls

Datenmanipulation durch "Overlays"

• Die Overlay-API
• Diverse Beispiele von Overlays

Die Teilnehmer müssen einen Rechner mitbringen, auf dem ein C-Compiler, C-Library und C-Header-Files, sowie Libraries und Header-Files für Cyrus-SASL, openSSL (oder GnuTLS) und BerkeleyDB (nicht db-4.3) installiert sind.

Dieter Klünter hat Betriebswirtschaft an der Uni Köln und an der London School of Economics studiert und zum Bachelor of Science(econ) graduiert. Beruflich war er als Marktforscher, speziell für die statistische Datenanalyse, tätig. Seit mehr als 10 Jahren ist er Berater für Informationstechnologie, Schwerpunkt Identity Management und Sicherheit.

Er ist Autor von Fachbeiträgen und Büchern zum Thema LDAP und Authentifizierungssystemen.

Ziel dieses Workshops wird es sein, den Teilnehmer in die Lage zu versetzen, eine Webanwendung zu penetrieren und mit den richtigen Techniken umgehen zu können. Es wird im Theorieteil erklärt, wie XSS, XSRF sowie SQL Injection funktionieren, welche Angriffsvektoren es dazu gibt und wie sie ausgenutzt werden können. Im praktischen Teil werden die erlernten Techniken an Beispiel-Webseiten und -Anwendung getestet und umgesetzt.

Die Teilnehmer müssen einen Rechner mit einem Firefox 2.0 mitbringen.

Marco Kaiser ist nun seit mehr als elf Jahren mit der Entwicklung von Webanwendungen sowie Client/Server-Architekturen vertraut. Seit der ersten Stunde setzt er PHP ein und setzt sich intensiv mit Anwendungsdesign sowie Security-spezifischen Themen auseinander. Er ist in der PHP-Usergroup Thüringen aktiv und hält auf vielen Veranstaltungen Vorträge zu PHP- und Web-Themen.

IKEv2 ist eine komplette Überarbeitung des Internet Key Exchange. Hierbei wurden die folgenden Ziele verfolgt:

• Weniger RFCs
• Standard Mobility-Unterstützung
• SCTP-Support
• Ein simpler Nachrichtenaustausch aus 4 Nachrichten
• Weniger kryptographische Algorithmen
• Reliability- und State- Verwaltung
• Widerstand gegen DoS-Angriffe

Dieses Tutorial wird die neuen Funktionen vorstellen und die Verwendung unter Linux mit strongSwan demonstrieren. Die Teilnehmer werden typische Szenarien nachbauen und testen.

Die Teilnehmer müssen, um den praktischen Teil nachzuvollziehen, einen Rechner mitbringen, der in der Lage ist, eine virtuelle VMWare-Maschine zu betreiben.

Ralf Spenneberg verwendet Linux seit 1992 und arbeitete bereits 1994 als Unix(Solaris, AIX)-Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux-/Unix-Umfeld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux", 2004 "Intrusion Detection und Prevention mit Snort 2.x & Co." und 2005 "Linux Firewalls mit iptables & Co.".

Seit 2004 bietet er mit seiner Firma OpenSource Training Ralf Spenneberg Schulungen und Beratungen in Steinfurt an.

Dieses eintägige Tutorial fasst zwei eng miteinander verwobene Themen zusammen: Open High Availability Cluster, Sun Microsystems Open Source Cluster Technologie und Flying Containers, ein Mechanismus, komplexe Anwendungsinfrastrukturen in einer virtuellen Betriebssystemumgebung, den Solaris 10-Containern, zu implementieren und mit Hilfe von Solaris-Cluster hochverfügbar zu machen.

Beide Teile des Tutorials werden durch praktische Beispiele an einem geclusterten System begleitet. Hierzu werden entweder über das Internet verfügbare Systeme oder ein lokales Cluster aus 2 oder 3 Laptops verwendet.

1. Halbtag: Open HA Cluster

• Einführung in die Sun Cluster-Architektur
• Einführung in das Open HA Cluster-Projekt
• Open HA Cluster-Agenten
• Open HA Cluster-Agenten-Projekte
• Build Demo des Agenten Source Tree
• bei Interesse: Einführung in eine Template-basierende Agentenentwicklung
• Einführung in Sun Cluster Geographic Edition
• Einführung in das Open HA Cluster Geographic Edition-Projekt
• "Build Demo" des Open HA Cluster Geographic Edition im "Source Tree"

2. Halbtag: Flying Containers

• Einführung in Flying Container
• Basis-Setup eines Containers mit Demo
• Integration einer Anwendung in einen Container mit Demo
• Hochverfügbarkeit eines Containers durch Solaris-Cluster mit Demo
• Alternative Integration einer Anwendung in einen Container mit Demo
• Disaster Recovery eines Containers mit der SC Geographic Edition mit Demo

Thorsten Früauf hat an der Universität Karlsruhe (TH) Informatik studiert und als Diplom-Informatiker abgeschlossen. Neben dem Studium war er bereits als Systemadministrator auf vielen Unix-Platformen mit Schwerpunkt SunOS/Solaris am Institut für Programmstrukturen und Datenorganisation (IPD) befasst.

Seit März 1999 ist er bei der Sun Microsystems GmbH in Stuttgart angestellt. Der Einstieg erfolgte als Berater, mit Schwerpunkt auf Enterprise-Systeme mit Enterprise-Storage und Hochverfügbarkeit. Seit November 2004 entwickelt er Standard-Cluster-Agenten für Solaris-Cluster und ist derzeit Entwickler in der Availability-Engineering-Abteilung.

Thorsten hat den Prozess, Solaris-Cluster in Open Source zu überführen, begleitet und ist Core Contributor innerhalb der HA Clusters-Community auf dem OpenSolaris-Portal.

Nebenbei hat er bei vielfältigen Open-Source-Projekten mitgewirkt und ist seit 1998 Entwickler von NetBSD, dort mit Schwerpunkt pkgsrc und Amiga.

Hartmut Streppel ist Diplom-Informatiker (Universität Bonn) und hat sich in seinem Berufsleben fast ausschließlich mit den Themen UNIX und später Hochverfügbarkeit beschäftigt. Unter anderem hat er an UNIX-Portierungsprojekten (ix/370), am Projekt "Distributed Management Environment" der OSF (Open Software Foundation) mitgewirkt; später an diversen Tru64 UNIX und TruCluster Projekten.

Seit 1999 ist er bei Sun Microsystems angestellt und dort als Solution Architect und Data Center Ambassador tätig. In der Ambassador Rolle hat er einen direkten Draht zur Sun Cluster Engineering Organisation.

In den 90er Jahren war Hartmut Mitglied im GUUG-Vorstand.

ZFS ist ein Dateisystem mit neuen Möglichkeiten. Es

• enthält Funktionen von Volume-Managern
• arbeitet auf Pools von Platten
• ist ein 128 Bit-Dateiystem
• hat eine Ende-zu-Ende Integritätsgarantie
• behebt Fehler selbsttätig
• vereinfacht die Administration

In diesem Tutorium wird ein tiefgreifender Überblick über das ZFS-Dateisystem, sein Design und seine Möglichkeiten gegeben (ca. 3 Stunden).

Danach gibt es die Möglichkeit, unter Anleitung mit ZFS zu arbeiten (1 Stunde).

Ulrich Gräf ist Senior-SE und OS-Ambassador bei Sun Microsystems Deutschland.

Nach der Ausbildung an der TH Darmstadt war Ulrich Gräf an verschiedenen Instituten der TH Darmstadt tätig. Seit 1992 ist er Mitarbeiter von Sun Microsystems. Seit 2000 ist Ulrich Gräf deutschlandweit für die Themen Solaris und Performance unterwegs.

Constantin Gonzalez arbeitet seit 1998 in der Sun Microsystems GmbH als Diplom-Informatiker und berät Kunden in systemnahen und plattformspezifischen Fragen. Als Mitglied der Technical Systems- Ambassadore konzentriert er sich auf die Adoption neuer Technologien unter Suns Kunden. Dabei betreibt er Know-How-Austausch zwischen Sun's Kunden und Sun Entwicklern, hilft bei Pilotprojekten und wirkt in technischen Workshops mit. Dabei liegen ihm Themen wie CPU und System-Technologie, OpenSolaris und seit kurzem auch das Web 2.0 besonders am Herzen.

Um Benutzer zu unterscheiden und korrekten Zugriff auf Resourcen zuzulassen, gibt es in der Windows-Welt unterschiedliche Mechanismen der Authentifizierung. Analog zur /etc/passwd und /etc/shadow kann man lokale Benutzerdatenbanken anlegen. Mit Windows-Domänen kann man die Benutzerverwaltung jedoch auch zentralisieren, analog zu einer Unix-Benutzerverwaltung im LDAP. Mit Active Directory zieht in der Windows-Welt Kerberos als Authentifizierungsmechanismus ein.

Dieses Tutorial beschreibt die verschiedenen Mechanismen im Detail, in erster Linie anhand von Wireshark-Traces. Daran wird deutlich, welche Rechner welche Verantwortung im Netz haben. Es wird dargestellt, an welcher Stelle Verschlüsselung notwendig ist, und auf welcher Basis die Schlüssel ausgetauscht werden. Insbesondere werden Domänenvertrauensstellungen mit ihren Besonderheiten vorgestellt. Ein kurzer Überblick über Kerberos zeigt die Vorteile dieses Protokolls und mögliche Problem damit.

Volker Lendecke ist Mitglied im Samba Team und Mitgründer der SerNet GmbH in Göttingen.

IT-Unternehmen, gleich ob Mega-Unternehmen, große mittelständische Unternehmen oder vom Eigentümer geführte Betriebe, sind ganz besondere und hoch komplexe soziale Systeme. Das verkaufte Produkt ist immer eine "Know-How-Dienstleistung" im Rahmen einer Produktentwicklung, eines Projektes oder einer Beratungsleistung. Das Kapital von IT-Unternehmen sind wesentlich und letztlich die Menschen, die für das Unternehmen arbeiten. Diese sind umgekehrt die wichtigsten Stakeholder ihres Unternehmens.

Diese IT-Spezialisten sind in der Regel hoch qualifizierte, intelligente, neugierige und sehr kritische Menschen, die gerade in Teams besonderen Mehrwert schaffen.

Die Unternehmen des 21. Jahrhunderts werden mehr denn je vom Begriff des "shareholder value" getrieben. Können wir vermeiden, dass Menschen als bloße "human resource" betrachtet werden und so auf das Mittel zum Zweck reduziert werden? Welche Rolle spielen die üblichen Entlohnungssysteme wie Arbeiten auf freiberuflicher oder fest angestellter Basis. Welche besondere Rolle und welche Nebenwirkungen können Zielvereinbarungen bewirken? Was für Rahmenbedingungen müssen wir schaffen, um uns individuell zu entwickeln und erfolgreich im Team zu arbeiten? Wie schaffen wir den Spagat zwischen "System" und "Individuum", zwischen unternehmerischen Zwängen und persönlicher Entfaltung?

Roland Dürre, Jahrgang 1950, ist Vorstandsvorsitzender der InterFace AG.

Er hat an TU München Mathematik mit Nebenfach Informatik studiert.

Nach einigen Jahren in der IT-Entwicklung bei Siemens, hat er 2 Jahre für SoftLab gearbeitet und dann die InterFace Connection GmbH gegründet.

1982 lernte er Unix kennen und war von der neuen Welt begeistert.

Explodierende Datenmengen erforden neue Strategien des Datenmanagements. Da sich die Anwender immer mehr auf die IT verlassen, wenn es um Datenpflege geht, und die IT getrieben durch Kostendruck diese Aufgabe übernimmt, gilt es, neue Methoden zur kontinuierlichen Datenanalyse zu finden. Die vorgestellte Werkzeugsammlung analysiert und filtert Dateisysteme auf letzte Zugriffe und Modifikationen und auf Größe von einzelnen Dateien. Anschließend werden die gewonnenen Daten graphisch über das Web zugänglich aufbereitet. Basierend auf dieser Darstellung kann man nun gezielt weitere Maßnahmen, wie archivieren oder Löschen, ergreifen. Ziel der Werkzeugentwicklung war es, mehr als 500 Dateisysteme mit mehr als 400 Millionen Dateien innerhalb weniger Stunden so ressourcenarm als möglich zu analysieren, so dass die Analyse weitestgehend während der Nacht stattfinden kann.

Vor Infineon arbeitete Friedrich Kink bei Sun Microsystems im 3rd Level Support für Enterprise-Backup-Systeme und das Betriebssystem SunOS. Seit nun mehr als acht Jahren bei Infineon, kümmerte er sich hauptsächlich um EDA-Lizenzmanagement und die dazugehörigen technischen Anforderungen. Zur Zeit beschäftigt sich Friedrich Kink mit Auslegung und Standardisierung der Compute-Farmen bei Infineon inklusive der Peripherie (z.B. Storage, Lizenzserver und andere Proxydienste).

Hans Argenton hat 1997 seine Doktorarbeit am Arbeitsbereich Datenbanken und Informationssysteme der Universität Tübingen über Retrieval und Indexierung von komplexen Strukturen abgeschlossen. Von 1998 bis 2006 arbeitete er bei Infineon Technologies im Bereich Datenmodellierung und Integration; seit 2006 ist er für die Qimonda AG als Architekt mit Fokus auf Master-Data-Systeme tätig. Neben Konzeptmodellierung und Datenintegration umfassen seine Interessen die Suche in großen Beständen komplexer Daten; die Arbeit an schneller paralleler Suche in sehr großen Filesystemen bietet dafür eine Basis mit großer praktischer Relevanz, die sehr viel Raum für interessante Fragestellungen und Methoden eröffnet.

Karsten Simon ist für die Organisation des Betriebes der Entwicklungsumgebungen von Infineon in München verantwortlich. Seit gut 20 Jahren ist er im IT-Support für HW- und SW-Entwicklung aktiv. Schwerpunkt seiner Tätigkeiten ist die Optimierung der Resourcennutzung bei immer schneller wachsenden Systemanforderungen. Darin nimmt das Datenmanagement einen breiten Raum ein.

Michael Wirth studierte von 1990 bis 1995 Elektrotechnik an der Technischen Universität Chemnitz-Zwickau Studiengang Elektrotechnik/Informationstechnik. Seine Diplomarbeit beschäftigte sich mit der "Untersuchung von Routingverfahren in ATM-Netzwerken". Bis 1997 arbeitete er als wissenschaftlicher Mitarbeiter am Fachbereich Rechnerarchitektur und Datenkommunikation an der Technischen Universität Chemnitz-Zwickau. Im April 1997 wechselte er zu Siemens Business Service in den Unix-Support für den Bereich Siemens Halbleiter nach München. Schwerpunkte seiner Tätigkeit waren File-Server, Compute-Farm, HA-Systeme, Disaster-Prevention und Disaster-Recovery. Im April 2001 trat er zur Infineon Technologies AG in den Bereich IT R&D Infrastruktur Support über. Von 2004 bis 2006 leitete er die IT-Abteilung "Network and Voice". Seit Mai 2006 ist er verantwortlich für den IT-Support der R&D Infrastruktur bei der Qimonda AG, einer Tochter der Infineon Technologies AG.

"Eigentlich würden wir ja schon gerne ausbilden, aber das ist doch total deutsch-bürokratisch, da braucht man doch 'nen Meister? Und wie ist das mit dem Jugendarbeitsschutz? Ich hab gehört, der muß dann jede Stunde zehn Minuten Pause machen?" – "Wenn wir uns alles selbst beigebracht haben, warum sollen die jungen Leute das heute hinterhergetragen bekommen? Die Guten werden's auch so schaffen." – "Was taugt denn schon so eine Ausbildung im Vergleich zu einem ordentlichen Informatikstudium? Kann der dann mehr als Bänderwechseln oder Samba-Server aufsetzen?"

In vielen kleinen und mittleren IT-Firmen ist das Thema "Ausbildung" ein weißer Fleck. Man sucht zwar oft händeringend Mitarbeiter, bildet aber selbst keine aus. Zu viele Unbekannte sind da im Spiel, zumal viele der vorhandenen Mitarbeiter selbst keine klassische Ausbildung absolviert haben und Einrichtungen wie den Kammern reserviert gegenüberstehen.

Der Vortrag soll eine Übersicht verschaffen über die wichtigsten Aspekte technischer Ausbildungsgänge, insbesondere des Fachinformatikers Fachrichtung Systemintegration (aka "Sysadmin"). Von A wie Ausbildungsberater bis W wie Wochenberichte. Es sollen auch bspw. Anhaltspunkte vermittelt werden, wieviel Arbeitszeit ein Ausbildungsbetrieb investieren muß und Anregungen gegeben werden, wie sich die Ausbildungszeit für Lehrling und Betrieb optimal nutzen lassen und wie weit man einen jungen Menschen in drei Jahren bringen kann.

Felix Pfefferkorn, Jahrgang 1971, ist Technischer Ausbildungsleiter der 1&1 Internet AG.

Nach dem Studium der Mathematik, Germanistik und Informatik an der Universität Karlsruhe (TH) arbeitete er in verschiedenen Funktionen der Systemadministration und des Personalwesens.

Ein kleiner Streifzug durch den Märchenwald der Authentifikation von A-Z: Aberglaube, Biometrie, Chipkarten, ..., Zertifikate und Zwei-Faktor-Authentisierung.

Wird das Passwort in absehbarer Zeit durch Biometrie oder Smartcards ersetzt? Oder wird es zumindest unwichtig und nur noch zum Schutz von Lappalien gebraucht?

Ist Biometrie – seit 20 Jahren immer gerade kurz vor dem Durchbruch stehend – nun endlich reif und wirklich ein Sicherheitsfortschritt? Welchen Sicherheitszugewinn bringen uns Smartcards eigentlich?

"Etwas, was man weiß, hat oder ist" – diese Klassifizierung der Authentifikationsmitteln ist Allgemeingut. Doch trägt diese Unterscheidung? Und gibt es vielleicht noch weitere sinnvolle Authentifikationsmöglichkeiten außerhalb dieser Kategorien? Was, eigentlich, sind denn wirklich die Bedrohungen gegen Authentifikation und was sind die individuelle Stärken und Schwächen der einzelnen Mechanismen, was ihre Wirksamkeit?

Fragen, die eine ausführliche und kritische Diskussion verdienen, denn: Der Märchenwald ist nicht genug! ;-)

Die Diskussion wird, auf der Grundlage konkreter Untersuchungen an sehr großen Benutzerpopulationen (jenseits Hunderttausend), einigen lieb gewonnenen Aberglauben in Frage stellen: Regeln zu Passwortlänge, Passwortkomplexität und Password-Aging, Account-Sperrung nach N Fehlversuchen, ...

Zum Abschluss wird ein Werkzeug zur effektiven Messung der Passwortqualität nach mehreren parallelen Modellen vorgestellt, und Möglichkeiten, dieses Werkzeug für interessante Policy-Ansätze zu nutzen.

Thomas Maus ist Diplom-Informatiker (Uni) und 25 Jahre IT- und IT-Security-Erfahrung. Mit 16 gewann er in einem kleinen Team in einem landesweiten Wettbewerb Computer für die Schule, an der in einem Informatik-Schulversuch dann die Schulverwaltungs-SW für Rheinland-Pfalz entwickelt wurde – womit ein anhaltendes Interesse für Fragen der Systemsicherheit, -performance und -architektur geweckt wurde. 1984 begeisterte er sich für Unix-Systeme und IP-Stacks, sowie die Idee der Freien Software.

Seit 1993 berät er in den Bereichen IT-Sicherheit, System-Performance und dem Management großer, heterogener, unternehmenskritischer Installationen.

Seine Tätigkeiten spannen einen weiten Bogen von der Planung, Inbetriebnahme und Betriebsführung großer Anwendungskomplexe, technischer Projektleitung, organisatorischem und technischem Trouble-Shooting über Sicherheitskonzepte und -analysen etwa für Handelsräume bis hin zum Training internationaler Polizeikräfte zur Cyber-Crime-Bekämpfung.

Dieser Beitrag wurde kurzfristig ins Programm aufgenommen, da Jochen Topf seinen Vortrag zum Thema Das OpenStreetMap-Projekt wegen Erkrankung absagen musste.

Benedikt Stockebrand ist Dipl.-Inform. und arbeitet freiberuflich als Berater, Trainer, Fachjournalist und -autor im Unix- und TCP/IP-Umfeld.

Seit einigen Jahren ist sein Schwerpunktthema IPv6, vor allem aus Sicht der Systemadministration und -architektur. Im Oktober 2006 ist sein Buch "IPv6 in Practice -- A Unixer's Guide to the Next Generation Internet", bei Springer, Heidelberg erschienen.

Wenn er sich nicht gerade mit IPv6 beschäftigt, tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de zu erreichen.

OpenSSL ist das umfassende und leistungsfähige Kryptographie-Werkzeug im Open-Source-Bereich. Die Dokumentation ist leider ebenfalls etwas kryptisch.

Ziel dieses Vortrags ist eine Einführung in OpenSSL am Beispiel von X.509-Zertifikaten, die auf jeder verschlüsselten Webseite eingesetzt werden.

Der Vortrag beschreibt den Aufbau eines X.509-Zertifikats und erklärt die Anwendung der Kommandozeilen-Werkzeuge von OpenSSL beim Erstellen und Verifizieren von Zertifikaten. Es wird gezeigt, wie man eine einfache CA (Certificate Authority) aufbaut und CRLs (Certificate Revocation Lists) generiert.

Praktisch alle gängigen Netzwerkdienste können Zertifikate verwenden, um die Gegenseite zu authentifizieren. Der Vortrag zeigt Anwendungsbeispiele für Zertifikate und Revocation Lists.

Der abschließende Teil des Vortrags bietet einen Einstieg in die Programmierung mit OpenSSL. Beispiele zeigen die Verwendung von Zertifikaten im Rahmen einer SSL-Verbindung und erklären die Arbeitsweise der zugrundeliegenden internen Routinen und Datenstrukturen.

Martin Kaiser arbeitet bei Panasonic Europe als Softwareentwickler im Bereich Digitales Fernsehen mit Schwerpunkt PayTV. Er hat u.a. an der Entwicklung des ersten DVD-Recorders mit digitalem Satellitenreceiver mitgewirkt. Im DVB-Projekt ist er an der Standardisierung des Common Interface Version 2 beteiligt, das die Basis für künftige PayTV-Systeme bildet.

Nach seinem Studium der Elektrotechnik an der Universität Karlsruhe war er zunächst bei einem großen Internetprovider beschäftigt, wo er für die Konzeption und Administration von IP-Netzen und Unix-Servern verantwortlich war.

Dieser Vortrag ist ein Bericht darüber, was im Bereich Samba gerade passiert. Zum Zeitpunkt der Konferenz werden wir hoffentlich Samba 3.2 freigegeben haben, das massive Änderungen erfahren hat:

• Die Lizenz wurde in GPLv3 geändert. Diese Änderung war der initiale Anlass, die Release nicht 3.0.x, sondern 3.2 zu nennen.
• Samba ist um Clusterfunktionalitäten erweitert worden. Diese Patches basieren Stand Dezember 2007 auf 3.0.25, werden aber Schritt für Schritt in die 3.2er Entwicklungsversion integriert. Die Clusterversion von Samba ist produktiv einsetzbar, der Vortrag wird den aktuellen Stand darstellen.
• Intern ist in Samba einiges an "Refactoring" passiert, insbesondere um den Speicherbedarf zu reduzieren.
• Aktuell wird im Bereich IPv6, Alternate Data Streams und Access Control Lists entwickelt. Hier wird der Vortrag den Stand zum Konferenzzeitpunkt beleuchten.

Volker Lendecke ist Mitglied im Samba-Team und Mitgründer der SerNet GmbH in Göttingen.

Die IT-Sicherheit ist in der heutigen Gesellschaft ein Faktor der über Wohl und Wehe eines Unternehmens entscheidet. Leider wird das Thema Sicherheit immer noch von einem technozentrischen Blickwinkel betrachtet. Vielerorts glauben Manager und Systemadministratoren immer noch das allein die Installation eines Programmes oder Produktes Sicherheit generiert.

Viele Sicherheitslücken oder Sicherheitsvorfälle werden jedoch direkt oder indirekt vom Benutzer oder anderen Mitarbeitern verursacht. Daher ist es notwendig, die gesamte Mitarbeiterschaft – vom Top-Manager bis zum Hausmeister – für den Bereich der IT-Sicherheit zu sensibilisieren.

Dies erfordert eine so genannte Security-Awareness-Kampagne. Ziel einer solchen Kampagne ist es, die Mitarbeiter für alle Bereiche der IT-Sicherheit zu sensibilisieren. Dazu ist es notwendig, die Mitarbeiter von der Notwendigkeit der Sicherheitsmaßnahmen zu unterrichten und zu überzeugen. Für den Benutzer stellen sich Sicherheitsmaßnahmen grundsätzlich als Störung bzw. Einschränkung dar. Oftmals umgehen die Benutzer technische Maßnahmen einfach – das berühmte Zettelchen mit dem Passwort am Monitor ist das bekannteste Beispiel.

Der Vortrag zeigt, wie eine Security-Awareness-Kampagne konzipiert werden muss um Früchte zu tragen und wie man das Problem der Computersicherheit didaktisch-pädagogisch aufbereitet. Das Thema der Computersicherheit wird hierbei nicht als technisches Problem, sondern als Problem der Organisationskultur untersucht.

Diskutiert wird unter anderem:

• Warum sind Security-Awareness-Kampagnen notwendig?
• Die Psychologie des Überzeugens: Wie überzeugt man Menschen, etwas zu tun?
• Ablauf und Organisation der Kampagne aus Marketing-Sicht.
• Neue Medien und "Blended Learning": Poster und Flugblätter sind zwar wirkungsvolle Informationsträger, aber auch die neuen Medien wie Podcasts, Videos oder webbasierter Unterricht sind in der Erwachsenenbildung sinnvoll.

Stefan Schumacher studiert Bildungswissenschaft und Psychologie an der Uni Magdeburg und arbeitet nebenbei als selbständiger IT-Sicherheitsberater (http://www.kaishakunin.com).

Er beschäftigt sich seit 1992 mit Computern (Robotron KC85/3), seit 1994 mit PCs (486/SX25 mit MS-DOS 6.2), seit 1998 mit Unix (SuSE Linux 4.irgendwas) und seit 2001 mit NetBSD (1.5.1 auf einer DEC Alpha) im speziellen. Inzwischen benutzt er NetBSD auf PCs, HP Jornada 680, DEC Alpha und Vax, Sun SPARC und SPARC 64, Apple PowerMac, HP PA-Risc und Apollo. Als Datenbankadministrator und -Entwickler befasst er sich ausgiebig mit PostgreSQL und Perl. Beruflich betreibt er mehrere Web-, Samba- und Datenbankserver unter NetBSD.

Er ist Mitglied im Chaos Computer Club (CCC), der Deutschsprachigen Anwendervereinigung TeX (Dante e.V.) sowie in der German Unix User Group (GUUG).

Er hält regelmäßig Fachvorträge zu den Themen NetBSD, Sicherheit, Kryptographie, Hacking und Unix im allgemeinen, z.B. auf den Chemnitzer Linux-Tagen, dem LinuxTag, dem Frühjahrsfachgespräch der GUUG oder dem Chaos Communication Congress und veröffentliche Artikel in der UpTimes.

Zusammen mit Mario Heide bin ich Herausgeber des regelmäßig erscheinenden Podcasts für alternative Computersysteme (www.Pofacs.de).

In seiner Freizeit befasst er sich mit japanischen Kampfkünsten (Graduierungen im Shotokan-Karate, Jiu-Jitsu sowie Chi Ryu Aiki Jitsu) und militärischem Nahkampf, japanischer Kultur und Geschichte, allen Büchern von Stephen King, Sergei Lukianenko und Ryunosuke Akutagawa, sowie nahezu allen Formen des Heavy Metals.

Fast jeder benutzt es, aber nur wenige wissen wie (dynamisches) IP-Routing funktioniert. Der Vortrag stellt die die gängigsten Routing-Protokolle vor, erklärt ihre Vor- und Nachteile und zeigt Anwendungsmöglichkeiten auf. Außerdem stellt der Vortrag Quagga, einen Routing-Daemon fuer Unix vor, welcher die meisten der vorgestellten Protokolle implementiert. Neben IPv4 behandelt der Vortrag selbstverständlich auch IPv6.

Die Inhalte im einzelnen:

• Einführung IP-Routing
• Protokolle:
  • RIP / RIPng
  • (E)IGRP
  • OSPF / OSPFv3
  • ISIS
  • BGP
• Einführung in Quagga

Jens Link ist seit fast 12 Jahren im IT-Bereich tätig. Nach einem kurzen Ausflug ins Consulting ist er im November 2007 zu seinen Wurzeln als Netzwerkadmin zurückgekehrt. Beruflich beschäftigt er sich hauptsächlich mit Cisco-Routern und -Switchen sowie Linux. Nebenbei kümmert er sich um sage@guug-Berlin einen monatlichen Stammtisch nicht nur für Unix-Admins.

Nichts ist ärgerlicher als festzustellen, dass die eigene Infrastruktur erfolgreich angegriffen und kompromittiert wurde. "Schuld" daran können die unterschiedlichsten Faktoren sein: Patches, die nicht eingespielt wurden, Zero-Day-Angriffe auf Softwareschwachstellen, die bislang nicht gemeldet sind, Accounts mit unsicheren Username/Password-Kombinationen – oder verwendete Skripte. Darunter fallen sowohl Applikationen, die im Web-Umfeld laufen müssen, als auch der provisorische Hack im Systemumfeld. Egal, was es ist, sobald es mit benutzergenerierter Eingabe zu tun bekommt, kann dies zum potentiellen Einfallstor für einen Angreifer werden, wenn man nicht wenigstens die wenigen Grundregeln der Absicherung kennt und berücksichtigt.

Der Vortrag zeigt, wie weit sich diese Regeln sprachübergreifend gleichen und wie man sie so implementieren kann, dass ein Mindestmaß an Sicherheit erreicht wird. Dabei verwandelt sich die notwendige Codeanalyse von der lästigen Pflicht zum spannenden Vergnügen. Denn ist es nicht ein gutes Gefühl zu wissen, dass auch der schnelle Hack keine zusätzlichen Komplikationen heraufbeschwört?

Selbstverständlich werden zu den sprachübergreifenden Gemeinsamkeiten auch verschiedene sprachspezifische Besonderheiten dargestellt und mit typischen Szenarien in ihrer Gefährlichkeit erläutert. Diese Basiskenntnisse helfen sowohl dem Administrator als auch dem Programmierer, sich in einer heute typischen mehrsprachigen Systemumgebung zurechtzufinden und unnötige Fehler zu vermeiden.

Neben der manuellen Analyse von Sourcecode gibt es in verschiedenen Konstellationen auch die Möglichkeit, automatische Prüfungen durchzuführen. Sie ersetzen jedoch nicht den zusätzlichen manuellen Check, da abhängig von verwendeter Sprache und aktuellem Umfeld bestimmte Fehler erst zur Laufzeit generiert werden und zu Problemen führen können. Als regelmäßig angewendetes Mittel stellen sie jedoch eine gute Basis dar, um kontinuierliche Prüfung und Qualität zu gewährleisten.

Carola Kummert verfügt als Head of Education der Dreamlab Technologies Deutschland über langjährige Erfahrungen als Trainerin für IT-Security, Programmiersprachen und Webentwicklung. Viele typische Probleme der praktischen Programmierung und entsprechende Lösungsstrategien sind ihr aus der täglichen Arbeit vertraut.

Ob BSD oder Linux, vi oder emacs, KDE oder Gnome – da gehen die Meinungen auseinander. Aber was Fauxpas im Job angeht, herrscht in Unix-Kreisen erstaunliche Einigkeit: Ein illustrer kleiner Kreis von Fehlern wird immer wieder besonders gerne begangen und manchmal regelrecht zelebriert. Welche Fettnäpfchen die beliebtesten sind und wie man sie umgehen kann, ohne vom rechten Glauben abzufallen, darum soll es in diesem Vortrag gehen.

Ein paar der beliebtesten Fehler aus dem "dirty dozen":

• Die größte Geißel der Menschheit: Perfektionismus
• Der Aberglaube, dass nur Marketing-Leute etwas verkaufen müssen
• Der Aberglaube daran, dass Objektivität wichtig ist
• Die Neigung zum Divengehabe in guten Zeiten
• Der Gedanke "Höflichkeit? Ein Schnörkel! Äußere Form? Wer braucht das?"
• Die Technik der Geek-Folklore als Abgrenzung
• Das Ritual des Rantens
• Der Trend zur Standardisierung am falschen Ort
• ... und viele weitere mehr

Martina Diel, Jahrgang 1966, ist seit 1994 in der IT-Beratung vorwiegend für Banken tätig, zunächst als Beraterin, später als Projektleiterin, Projektmanagerin und Key Account-Manager mit Verantwortung u.a. für das Recruiting zahlreicher freiberuflicher und festangestellter Mitarbeiter. Seit 2006 berät und coacht Martina Diel unter dem Label Ziele – Wege – Perspektiven Einzelpersonen rund um Bewerbung und Beruf – der Schwerpunkt liegt dabei auf Kunden aus der IT-Branche. Seit einigen Jahren ist sie mit "unixoiden" Betriebssystemen vertraut und arbeitet sehr zufrieden mit Debian. Im Frühjahr diesen Jahres erscheint im O'Reilly-Verlag ihr Buch Das IT-Karrierehandbuch – Gezielte Jobsuche, erfolgreich bewerben.

Gefahren lauern nicht nur im Internet, sondern sie dringen potenziell über verschiedene Angriffsvektoren in die IT vor. Dies ist keine Neuigkeit. Jedoch ist die Erkennung und Behandlung solcher Vorfälle für viele Unternehmen wie Systemadministratoren keine Routineangelegenheit.

Dieser Grundlagenvortrag soll besser vorbereiten helfen auf derlei Ernstfälle und dem Systemadministrator Hintergrundwissen und Werkzeuge an die Hand geben, um grobe Fehler bei der digitalen Spurensuche vermeiden zu helfen und ihn anzuleiten, wie man am Besten mit einem kompromittierten System umgeht.

Als Grundvoraussetzungen der technischen Methodik werden die juristische Implikationen erläutert und die Einbindung der ersten Maßnahmen in Firmenprozesse.

Im Einzelnen sollen folgende Punkte während des Beitrags geklärt werden:

• Digitale Beweise: wie gehe ich damit um?
• Rootkit-Techniken: Wie verwischen Eindringlinge Ihre Spuren?
• Wie erkenne und erhärte ich einen Verdacht? (Netz+Host)
• Warum ist ein Notfallkonzept für die Firma wichtig?
• Beweis-/Datensicherung: Wie und mit welchen Werkzeugen sichere ich was?

Dirk Wetters erste Kontakte mit verschiedenen Unices waren Ende der 80iger Jahre. Es folgten einige Hobbyversuche mit Minix und Linux, bevor er dann die naturwissenschaftliche Karriere 1996 gegen sein professionelles IT-Dasein tauschte, bei dem er als Angestellter in großen Rechenzentren in Hamburg und den USA Solaris- u.a. Umgebungen durch Linux-Farmen und Desktops maßgeblich ablösen half. Sicherheitsfragen der Firmen-IT lagen ebenso immer in seinem Verantwortungsbereich.

Heute ist er Senior-Berater im Bereich IT-Sicherheit (Sicherheitsanalysen und Digitale Forensik) und Open- Source-Technologien. Wenn Zeit bleibt, schreibt er Fachartikel, ein Buch ist mit auf "seinem Mist" gewachsen und er engagiert sich für die German Unix User Group und den LinuxTag.

Betrieb ist mehr als nur zu wissen, welchen Parameter in einer Konfigurationsdatei man ändern muss

Das Ziel des Vortrages soll sein, Teilnehmer die etwa in der Systemadministration tätig sind, auf die vielen Nebenkriegsschauplätze neben den reinen Administrationsthemen aufmerksam zu machen, die gerne vernachlässigt oder als "Schlipsthemen" degradiert werden.

Dazu gehören:

• Wie gehe ich mit Kunden und Kollegen um? Was kann ich tun, um persönlich und fachlich Gehör zu finden und mich weiterzuentwickeln. (Vgl. Beitrag in der UpTimes 4/2007.)
• Change Management – Warum nach der Ära des beliebten "Ich mach mal eben" die Zeit für den nächsten organisatorischen Evolutionsschritt gekommen ist und wie man sich trotz Zunahme an Bürokratie gerade bei großen Changes eine Menge Stress und Ärger vermeiden kann. Wie kann ich dem lästigen "dauernden Quereinkippen von Prio 1 Aufgaben" entgegenwirken?
• Warum ein sauber aufgesetztes Service Level Agreement mit dem Kunden mir hilft, meine Aufgaben- und Verantwortungsbereiche klar abzugrenzen und mich davor schützt, für Dinge verantwortlich gemacht zu werden, die nicht dazu gehören. Außerdem erlaubt die klare Abgrenzung mir, mich auf die für meine Verantwortlichkeiten relevanten Tätigkeiten/Ziele zu konzentrieren.
• Monitoring – "Wenn etwas nicht geht, werden sich die Benutzer schon melden." ist zwar ein pragmatischer Ansatz, hilft aber am Ende doch nicht weiter. Man will möglichst schon vor dem Kunden wissen, dass etwas nicht mehr funktioniert und drohende Katastrophen möglichst vorher abwenden können.
• Reporting – Dabei geht es zum einen um Reporting von Verfügbarkeiten ("Der Service war im Monat August zu 99.85% verfügbar"), als auch um die Aufgabe, den Kunden auf mögliche Engpässe aufmerksam zu machen. ("Platzverbrauch der Datenbank steigt seit März um monatlich 5-10%. Bei dieser Rate ist die Kapazität des Storage in drei Monaten erschöpft.") Reportings lassen sich aus Daten, die durch das Monitoring gesammelt wurden, recht einfach erstellen.

Nicole Britz, Jahrgang 1969, studierte Sozialwissenschaften, entdeckte aber schon während des Studiums ihr Faible für Unix-Betriebssysteme, primär für FreeBSD. Bereits während des Soziologie-Studiums jobbte sie als Hostmaster und Systemadministratorin. Nach dem Studium war sie zunächst einige Jahre als Systemadministratorin mit Schwerpunkt auf Webbetrieb, Usenet und E-Mail, sowie Abusemanagement tätig.

Derzeit ist sie als Consultant und Operations Manager bei der matrix technology AG in München beschäftigt, einem IT-Dienstleistungs- und Beratungshaus. Ihre Tätigkeitsschwerpunkte sind Unix/Webbetrieb, Lösungsentwicklung und Reporting.

Speichernetzwerke erfreuen sich in letzter Zeit einer immer größeren Beliebtheit, nicht zuletzt aufgrund der gesunkenen Anschaffungskosten in punkto Hardware. Viele Distributoren offerieren ihren Kunden zudem gerne Lösungen, die "man nur noch an das Netz anschließen muss" und suggerieren damit einen völlig problemfreien Betrieb. Doch wie sieht es im Punkte Datensicherheit aus?

Generell ist zwischen Network Attached Storage (NAS) und Storage Attached Networks (SAN) zu unterscheiden, was auch und gerade für den Punkt Sicherheit gilt. Der Vortrag soll am Beispiel von "Storage Attached Networks (SAN)" die wesentlichen Probleme und Lösungen (in Bezug auf die Datensicherheit) diskutieren. Ausgehend vom Grundschutzhandbuch des BSI werden dabei zunächst die verschiedenen Gefährdungen von "Block Storage Protokollen" erläutert.

Dann folgt eine Beschreibung möglicher Lösungsansätze. Themen sind hier dann unter anderem die Separation der beteiligten Netzwerke, die verschiedenen Formen des Zoning, Gefährdungen von IP-basierten Speicherprotokollen, eine Diskussion der mit RFC 3723 eingeführten Möglichkeit der Absicherung von IP-basierten Speicherprotokollen und ein Ausblick auf das kommende Fibre Channel Security Protocol 2 (FC-SP2).

Ein aktueller Praxisbericht rundet den Beitrag ab.

Wilhelm Dolle ist Senior Security Consultant bei der HiSolutions AG, einem Beratungshaus für Information Security und Risk Consulting, in Berlin und seit vielen Jahren im IT-Sicherheitsumfeld tätig. Er ist CISA, CISM, CISSP sowie vom BSI lizensierter ISO 27001 / Grundschutzauditor und hat bereits in früheren Positionen als Abteilungsleiter und Mitglied der Geschäftsleitung eines mittelständischen Unternehmens Erfahrungen in den Bereichen IT-Sicherheitsmanagement, Risiko- und Sicherheitsanalysen sowie Incident Management sammeln können. Wilhelm Dolle ist Autor zahlreicher Artikel in Fachzeitschriften und hat Lehraufträge an einer Universität und an einer Berufsakademie inne.

Christoph Wegener, promovierter Physiker und CObIT Basic Practitioner, ist seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und Open Source / Linux aktiv. Er ist Autor zahlreicher Fachbeiträge, Fachgutachter für verschiedene Verlage und Mitglied in mehreren Programmkomitees. Seit Anfang 2005 ist er zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V. und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands.

Dieser Beitrag wurde kurzfristig ins Programm aufgenommen, da Marko Jung seinen Vortrag zum Thema "Getting Things Done" – Effektives Zeitmanagement für IT-Profis wegen Erkrankung absagen musste.

Das neue Web begeistert durch soziale Netzwerke und Mitmach-Mentalität.

Fast täglich gibt es neue Dienste, Technologien und Standards, die sowohl Entwickler als auch Konsumenten beflügeln. In dieser Session schauen wir hinter die Kulissen des Web 2.0 und betrachten die Mechanismen, die es antreiben, die Technologien, die dahinter stecken und neue Trends, die uns in die Zukunft schauen lassen.

Constantin Gonzalez arbeitet seit 1998 in der Sun Microsystems GmbH als Diplom-Informatiker und berät Kunden in systemnahen und plattformspezifischen Fragen.

Als Mitglied der Technical Systems Ambassadore konzentriert er sich auf die Adoption neuer Technologien unter Suns Kunden. Dabei betreibt er Know-How-Austausch zwischen Sun's Kunden und Sun Entwicklern, hilft bei Pilotprojekten und wirkt in technischen Workshops mit. Dabei liegen ihm Themen wie CPU und System-Technologie, OpenSolaris und seit kurzem auch das Web 2.0 besonders am Herzen.

Der Vortrag zeigt vielfältige Möglichkeiten, Netze und Rechner per IPsec- oder SSL-VPN zu verbinden.

Das Setup einer vermaschte Struktur für ein Firmennetz mit mehreren Standorten im Griff zu halten, kann mit geeigneten Ideen des Admins in Form von Skripten verlässlich gelöst werden. Als wichtige Voraussetzung ist freie Software im Spiel. Aber auch kommerzielle Lösungen beim Geschäftspartner sind an den gleichen Geräten mit anzuschließen, dies funktioniert teilweise sogar besser als mit kommerziellen VPN-Devices. strongSwan als Nachfolger von FreeSwan (IPsec-Referenz auf IPv4) kann gleichzeitig mit verschiedenen Firewallreleases auch verschiedener Hersteller IPsec-Tunnel fahren, selbst wenn diese untereinander inkompatibel sind.

Kleine Filialen mit wenigen Mitarbeitern können einfach und zuverlässig auch mit üblichen DSL-Anschlüssen an kleinen, Lüfter- und Festplattenlosen Geräten mit geringer Leistungsaufnahme (ca. 10Watt) angeschlossen werden. Mit X.509-Zertifikaten wird sicher authentisiert und strongSwan kann seine Stärken ausspielen. So werden Netze verbunden und damit den Nutzern ein reibungsloses Arbeiten ermöglicht. Und wenns irgendwo mal kein PPPoE gibt, auch durch DSL-Router mit nat_traversal.

Um viele Außendienstler mit ihrem mobilen PC an ein zentrales Firmennetz anzuschließen, ist OpenVPN bestens geeignet. Skalierung und Flexibilität machen es zum beliebten Netzwerktool. Client wie Server sind einfach zu konfigurieren, IP-Adressen können fest den benutzten X.509-Zertifikaten zugeordnet werden. Damit kann (letztlich) aus dem Zertifikat über Firewalling mit IPtables/NetFilter stark eingeschränkt werden, was dem einzelnen Nutzer erlaubt ist bzw. verborgen bleibt.

Die Kombination von IPsec- und SSL-VPN im Firmenanschluß machen unabhängig von kommerzieller ClosedSource im Netzwerk und Sicherheitsbereich. Die genannte Software macht sowohl die Verschlüsselung als auch die Transportmechanismen nachvollziehbar, unbedingte Voraussetzung für glaubhafte Sicherheit.

Johannes Hubertz wurde 1954 in Köln geboren und studierte nach seinem Abitur ab 1973 etwas Elektrotechnik in Aachen. Ab 1980 arbeitete er dann bei einer großen europäischen IT-Firma, erst in der Hardware-Reparatur, ab 1984 in der Softwareentwicklung für Datenerfassungs- und übertragungsgeräte.

Mit Unix kam er dort ab 1987 in Form von Xenix in Berührung, später mit AIX, SCO-Unix und anderen Derivaten. Richtig gefallen hat ihm nur Linux, da er sich darin die Bits einzeln so genau ansehen kann, wie er gerne möchte. Ab 1996 beschäftigte er sich mit dem Internet und den dazu benötigten elektrischen Geräten. Das Betreiben von Routern, E-Mail-, DNS-, News- und Webservern, u.a. auch www.bundestag.de, war eine schöne Herausforderung und schulte in Sachen Systemverfügbarkeit und -kenntnis.

Ab dem Frühjahr 1997 war nur noch IT-Sicherheit sein Thema, zuerst war SSLeay angesagt, um eine AS400 für Außendienstler per Browser verfügbar zu machen, später kamen andere Sicherheitsthemen hinzu. IPsec und PKI wurden öfter und gerne für Kunden mit Linux implementiert.

Ab 1998 setzte er Linux bei seinem Arbeitgeber für einige sensible Dinge wie Routing, DNS und Server-Überwachung ein, dabei wurde Debian schnell der Favorit. Eine kostengünstige Firewall- und VPN-Lösung mußte 2001 entwickelt werden, zur eigenen und Kundenverwendung.

Seit August 2005 ist er nun mit seiner eigenen GmbH unterwegs, um Linux kombiniert mit Sicherheit zu verbreiten. Dienstleistungen rund ums Thema Sicherheit am Internet sind das Programm. Nicht zuletzt auch mit der Eigenentwicklung 'simple security policy editor'.

Die Menge der zu speichernden Daten wächst dramatisch. Anders als noch vor wenigen Jahren, als strukturierte Daten (z.B. ERP, CRM, SCM, RDBMS, BI, Data Warehouse...) die Masse der Daten bildeten, besteht heute der überwiegende Teil aus unstrukturierten Daten (z.B. digitale Medien, E-Mail, Instant Messaging, Office-Dokumente, CAD, WORM, Compliance...).

Data Life Cycle Management, Archivierung, Wiederfinden und Sicherung dieser Daten stellen eine große Herausforderung dar. Die Masse der unstrukturierten Daten wird in den unterschiedlichsten Dateisystemen verwaltet. Dabei stellt sich die Frage, welches dieser Dateisysteme jeweils am besten geeignet ist.

In dieser Präsentation bekommen die Zuhörer einen Überblick über unterschiedliche Dateisystem-Architekturen (z.B. lokal, verteilt, global, shared, SAN, geclustert, objektbasiert, parallel, NAS, FAN, WAFS und Namespace-Aggregation-Technologien, etc.), sowie einen Einblick in die nächste Generation von Dateisystemen.

Christian Bandulet arbeitet als "Principal Engineer" für Sun Microsystems Inc.. Er ist Mitglied des Sun Data Management Ambassador Group Boards und des Sun Global Storage Technical Field Advisory Boards.

Seit mehr als 25 Jahren arbeitet Christian Bandulet als Software- und Hardwareentwickler in Deutschland und den USA. Seine Expertise reicht von der Unix-Kernelentwicklung bis hin zum Datenbank- Engineering.

Als angesehener Experte hat er zahlreiche Workshops und Präsentationen auf internationalen Konferenzen gehalten. Er hat den Ruf, sehr komplexe Themen in einer leicht verständlichen Art darzustellen.

Christian Bandulet ist Author von Whitepapers, Blueprints, Best Practices und Artikeln über Storage-Technologien (z.B. Object Storage und Grid Storage). Der Schwerpunkt seiner Arbeit liegt im Design komplexer Storage-Lösungen und der Analyse zukünftiger Technologien im Storage-Umfeld.

IKEv2 ist ein komplette Überarbeitung des Internet Key Exchange. Hierbei wurden die folgenden Ziele verfolgt:

• Weniger RFCs
• "Standard Mobility"-Unterstützung
• SCTP-Unterstützung
• Ein simpler Nachrichtenaustausch mit 4 Nachrichten
• Weniger kryptographische Algorithmen
• Reliability- und State-Verwaltung
• Widerstand gegen DoS-Angriffe

Dieser Vortrag wird die neuen Funktionen vorstellen und die Verwendung unter Linux mit strongSwan demonstrieren.

Ralf Spenneberg verwendet Linux seit 1992 und arbeitete bereits 1994 als Unix(Solaris, AIX)-Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/Unix-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux", 2004 "Intrusion Detection und Prevention mit Snort 2.x & Co." und 2005 "Linux Firewalls mit iptables & Co.".

Seit 2004 bietet er mit seiner Firma OpenSource Training Ralf Spenneberg Schulungen und Beratungen in Steinfurt an.

Das Mooresches Gesetz, aber auch andere "Gesetze", wie das Wachstum der Netzwerkbandbreiten in 10er Potenzen, während Speichernetzwerkbandbreiten sich nur verdoppeln, aber auch die Tatsache, dass z.B. der verfügbare Plattenplatz der iPods sich rapide erhöht, führen dazu, dass neue Ideen in Rechenzentrumsarchitekturen gefordert sind. So z.B. ist die Tatsache, dass der Leistungshunger von Software nicht mit dem Leistungszuwachs der Systeme mithalten konnte, mit dafür verantwortlich, dass die durchschnittliche Auslastung von Systemen in Rechenzentren eher ab- als zunimmt.

Andererseits führen Slogans wie "Geiz ist geil" auch in der Industrie dazu, sich erneut Gedanken über weitergehende Kosteneinsparpotentiale Gedanken zu machen.

Aus diesen Tatsachen folgen Technologietrends wie Virtualisierung, aber auch die Möglichkeit, aus Standardkomponenten neue Systeme zu erzeugen.

In diesem Vortrag werfen die beiden Vortragenden Blicke auf diese Entwicklungen und Trends, und leiten Ideen ab, wie zukünftig Rechenzentren innovativ mit diesen Entwicklungen umgehen können, und dabei gleichzeitig auch noch umweltfreundlicher im Umgang mit den verfügbaren Resourcen sein können.

Beleuchtet werden hierbei Technologien wie VMware, Xen, LDoms, FC, SANs, iSCSI, VLANs.

Daraus abgeleitet werden Vorschläge für innovative neue Architekturen für Rechenzentrumsumgebungen.

Matthias Pfützner ist ein "Solution Architect" in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierung, Provisionierung und Hochverfügbarkeit. Als "Datacenter Ambassador" umspannen seine Verantwortlichkeiten Deutschland und Europa aber auch ganz Sun Microsystems.

Matthias Pfützner ist der "Lead Architect" vieler Kundenprojekte, unter anderem bei Lufthansa, T-Systems und T-Mobile.

Matthias Pfützner arbeitet seit Februar 1998 bei Sun Microsystems in verschiedenen Rollen und bei vielfältigen Kunden, wie ESOC, Deutsche Bank, Commerzbank, BASF und Daimler.

Tobias Esser ist ein "Technical Architect" in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierungstechnologien für x86- als auch SPARC-basierte Systeme.

Tobias Esser ist der Ansprechpartner für Kundenanfragen im Pre- und Post-Sales-Umfeld zu Virtualisierungstechnologien in Deutschland bei der Sun Microsystems GmbH. Er ist verantwortlich für z.B. einige sehr große VMware-Architekturen bei deutschen Kunden, wie T-Mobile, OpenText oder auch Henkel.

Tobias Esser arbeitet seit 2001 bei Sun Microsystems.

-rwxr-xr-- ist immer noch das klassische System zur Zugriffskontrolle unter Unix-Systemen. Durch die Vergabe von Rechten für Benutzer, Gruppen und andere werden Zugriffe auf Verzeichnisse und Geräte im System gestattet. Durch die fehlende Flexibilität dieses Mechanismus werden Rechte entweder sehr weitreichend vergeben oder der Administrator verhaspelt sich in ausgefeilten Kombinationen von Benutzer-, Gruppen- und Verzeichnisstrukturen, die sinnvolles Arbeiten verhindern, das System aber nicht unbedingt sicherer machen.

SELinux ist eine in den Kernel integrierte Sicherheitsarchitektur, die einen "Mandatory Access Control"-Mechanismus zur Zugriffskontrolle ermöglicht. Hier ist es nicht mehr ausreichend, dass man die klassischen Zugriffsrechte auf eine Datei hat, um diese zu verändern. SELinux weist den Objekten im System einen Kontext zu, auf den der Benutzer oder auch ein Prozess Zugriff haben muss, um dieses Objekt zu benutzen. So lässt sich beispielsweise verhindern, dass der SSH-Daemon an andere Netzwerkports als an Port 22 gebunden werden kann oder dass der HTTPD-Prozess außerhalb von definierten Verzeichnissen Dateien lesen kann.

Dieser Vortrag gibt einen kurzen Überblick über SELinux und beschäftigt sich näher mit der unter CentOS, Red Hat Enterprise Linux oder Fedora eingesetzten Targeted Policy, in der nur bestimmte Prozesse durch SELinux überwacht werden und alle anderen Prozesse in einem uneingeschränkten Kontext laufen. In diesem Kontext werden die in CentOS 5 mitgelieferten Werkzeuge erläutert, mit denen sich in das Verhalten von SELinux eingreifen lässt.

Ein kurzer Überblick über Multi-Category Security (MCS) und Multi-Level Security (MLS), die dem Administrator helfen, Schutzstufen für Dokumente nach dem Bell-La Paluda-Modell einzurichten, rundet den ersten Teil ab.

Im zweiten Teil des Vortrags wird dann anhand eines einfachen Daemons gezeigt, wie man diesen mit den Bordmitteln von CentOS 5 unter eine Policy stellt, um ihn auf bestimmte Verzeichnisse und Netzwerkports zu beschränken.

Ralph Angenendt beschäftigt sich seit 1995 mit Linux, seit 1998 in einem professionellen Umfeld. Seit 2002 arbeitet er beim Bayerischen Rundfunk in München, wo er unter anderem Cfengine als Werkzeug für das Konfigurations- und Patchmanagement eingeführt hat. Momentan hilft er bei der Implementierung des Internetauftritts für ein neues Jugendradio.

Durch die Migration der Server beim Bayerischen Rundfunk auf CentOS kam er in Kontakt mit dem CentOS-Projekt und ist seit 2006 Mitglied des CentOS-Entwickler-Teams.

In größeren SAP-Umgebungen stehen immer wieder aufwendige Projekte an. Wir werden hier einige typische Projekte betrachten und dabei Strategien erläutern und Fallstricke aufzeigen.

• SAP-Upgrades, also der Wechsel auf ein neues SAP-Release: Dabei werden in der Regel zwei verschiedene Strategien unterschieden: Einsatz von neuen Funktionalitäten, oder Übernahme der bisherigen Prozesse ohne Veränderungen. Wir werden die Vor- und Nachteile dieser Strategien erläutern und die Auswirkungen auf die Projektplanung betrachten.
• Umzüge bzw. Kopien von SAP-Systemen auf neue/stärkere Hardware: Auch hierbei gibt es mehrere Konstellationen: Umstieg auf ein anderes Betriebssystem bzw. eine andere Datenbank erfordert eine so genannte heterogene Systemkopie. In diesem Abschnitt werden wir die Unterschiede zu einer homogenen Systemkopie erklären und die Vor- und Nachteile betrachten.
• Hier werden wir auch Unterschiede zwischen unterstützten Datenbank-Systemen betrachten, da je nach Ausgangslage verschiedene zum Teil sehr hilfreiche Optionen zur Verfügung stehen (oder auch nicht – was dann sehr unangenehm sein kann).

Abschließend werden wir basierend auf den Erfahrungen "Best Practices" für den SAP-Betrieb vorstellen, die sowohl im Betrieb als auch im Rahmen von Projekten zum Teil erhebliche Erleichterungen bringen können.

Jochen Hein ist langjähriger SAP R/3-Basis-Betreuer und Berater in diesem Umfeld. Die letzten Jahre war er für einige Kunden im Outsourcing tätig, sowohl bei der Übernahme neuer Kunden als auch im weiteren Betrieb.

Neben der Beratung von Kunden und dem Betrieb von R/3-Systemen hat er Schulungen und Vorträge bei verschiedenen Kongressen gehalten.

Themen wie der auch als "Hackerparagraph" bekannte Paragraph 202c des Strafgsetzbuches (StGB), die "Online-Durchsuchung" im kommenden BKA-Gesetz, Vorratsdatenspeicherung und andere beschäftigen seit einiger Zeit auch immer mehr die Techniker der IT-Szene. Diese fragen sich (meist völlig zu Recht), wie sie denn nun auf die neuen Vorschriften zu reagieren haben. Dabei herrscht eine recht große Verunsicherung, die nicht zuletzt auch durch die Berichterstattung in den Medien mitverursacht worden ist.

Dieser Vortrag möchte nun die Diskussionen im Spannungsfeld von Recht und Technik auf eine "solide Basis" stellen, somit dazu beitragen, dass -vielleicht in der Zukunft- entsprechende Regelungen praxisnaher gestaltet sind und vor allem keine "Kurzschlusshandlungen" auf Seiten der Betroffenen vorkommen.

Anhand der oben genannten Themen -mit einem Schwerpunkt auf dem Hackerparagraphen und der Online-Durchsuchung- werden dazu die bestehenden Grundlagen und gesetzlichen Regelungen, die Auswirkungen (Beispiel: Hackerparagraph/Vorratsdatenspeicherung) und auch der aktuelle Stand der Diskussion bezüglich einer möglichen Umsetzung, sowie möglicher Schutzmaßnahmen (Beispiel: Online-Durchsuchung) näher dargestellt.

Christoph Wegener, promovierter Physiker und "CObIT Basic Practitioner", ist seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und Open Source / Linux aktiv. Er ist Autor zahlreicher Fachbeiträge, Fachgutachter für verschiedene Verlage und Mitglied in mehreren Programmkomitees. Seit Anfang 2005 ist er zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V. und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands. Im Rahmen seiner diversen Tätigkeiten war und ist er außerdem in zahlreiche Beratungen zu Themen wie "Hackerparagraph" und "Online-Durchsuchung" eingebunden.

Am Beispiel des praktischen Einsatzes im Auswärtigen Amts wird die Virtualisierungssoftware VirtualBox mit Ihren Features vorgestellt. Einerseits ist es ein hervorragendes Werkzeug, um Migrationen nach Linux zu unterstützen und dabei Altanwendungen weiter einsetzen zu können. Vorgestellt werden aber auch verschiedene Sicherheitsfunktionen wie nichtpersistente Dateisysteme und Netzwerkbeschränkungen, mit denen sich ein unsicheres Gastsystem besser kontrollieren lässt.

Torsten Werner hat an der Technischen Universität Dresden Physik studiert und ist seit dieser Zeit aktiver Debianentwickler. Danach war er mehrere Jahre als Assistent an dieser Universität mit den Aufgabenschwerpunkten Atom- und Plasmaphysik sowie Verkehrswirtschaft tätig. Seit 2004 arbeitet er in der Arbeitsgruppe IT-Strategie des Auswärtigen Amts.

"Compartmentalized Workstations" ermöglichen es, Programme auszuführen, denen der Anwender nicht unbedingt voll vertraut. Dazu werden diese Programme mit möglichst wenigen Zugriffsrechten innerhalb des Kontextes des Anwenders ausgeführt. Eine derart minimale Menge an Zugriffsrechten wird Applikationsprofil genannt.

Die Herausforderung besteht für den Anwender darin, für ein unbekanntes Programm ein Applikationsprofil anzugeben, das einerseits möglichst wenig Zugriff gewährt (Principle of least privilege) und andererseits alle Ressourcen verfügbar macht, die zur (erwünschten) Funktion des Programms benötigt werden. Dieses Applikationsprofil muss der Anwender dann in AppArmor spezifizieren. Nicht jeder möchte sich derart intensiv mit Sicherheitsfragen auseinandersetzen. Hier setzt die Idee der erklärten Sicherheitsprofile (ESPE) an. ESPE bestehen aus einem Applikationsprofil und aus einer oder mehreren Erklärungen in natürlicher Sprache. Der Anwender wählt aus den Erklärungen die aus, die seinem Erfahrungsniveau entspricht (Anwender, Programmierer, Experte) und kann sich gegebenenfalls zwischen mehreren Sicherheitsprofilen entscheiden. Die Zielgruppe von ESPE ist der anspruchsvollere Anwender, der nicht einfach einen allgemeinen Dienst zur Lieferung von Applikationsprofilen abonnieren möchte, sondern einen bewusste Wahl treffen möchte.

Im Beitrag präsentieren wir eine allgemeine Architektur für ESPE basierend auf digitalen Unterschriften und kryptographischen Hashfunktionen. Wir gehen auf die Problematik ein, die drei Komponenten Programm, Applikationsprofil und Erklärung sicher zu verteilen. Dabei müssen diese Komponenten nicht notwendigerweise aus derselben Quelle bezogen werden.

Wir stellen eine prototypische Implementierung von ESPE auf AppArmor vor. Eine ESPE wird in einer XML-Sprache spezifiziert und die kryptographischen Operationen werden gemäß des digitalen Signaturen für XML durchgeführt. Ferner wird die Problematik der Versionierung und der Koordination der Programmautoren, Applikationsprofilautoren und Erklärungsautoren behandelt. Schließlich diskutieren wir die Problematik der Installation des Programms und des AppArmor-Applikationsprofils. Der ESPE-Prototyp beinhaltet eine graphische Benutzeroberfläche zur Verwaltung der Applikationsprofile. In der Zukunft planen wir, ESPE um parametrierbare Sicherheitsprofile zu erweitern.

Peter Trommler ist Professor für Theoretische Informatik an der Georg-Simon-Ohm-Hochschule Nürnberg. In seinen Forschungsarbeiten beschäftigt er sich mit Informationssicherheit und insbesondere Modellen für den Zugriffsschutz. Der Schwerpunkt seiner Arbeiten liegt auf anwendungsspezifischer Zugriffskontrolle und deren Konfiguration.

Michael Meinelt arbeitet bei der Winter AG in Unterschleißeim.

Ganeti ist eine bei Google entwickelte Clustermanagement-Software zur Verwaltung virtualisierter Server. Basierend auf Xen und weiteren Open-Source-Komponenten bietet Ganeti eine vereinfachte Verwaltung virtueller Server mit Hochverfügbarkeit durch Redundanz. Dabei deckt Ganeti alle notwendigen Funktionen ab, um virtuelle Server mit nur wenigen Kommandos zu verwalten, darunter:

• Installation
• Start/Stop
• Failover
• Information und Diagnose
• Endgültige Abschaltung

Durch den Einsatz von drbd (Distributed Replicated Block Device) zur Replikation virtueller Blockgeräte entfällt die Notwendigkeit spezieller Hardware, und es kann Redundanz und Hochverfügbarkeit mit Standard-PC-Hardware erzielt werden.

Der Vortrag gibt einen Einblick in die Funktionsweise und die Einsatzmöglichkeiten von Ganeti verbunden mit einem Ausblick auf die Zukunft des Projektes.

Alexander Schreiber arbeitete nach dem Abschluß als Diplom-Informatiker u.a. als Unix-Admin für HA-Systeme beim Landeskriminalamt Thüringen sowie als Systemingenieur für Linux-Systeme und Monitoring bei Media-Saturn.

Derzeit ist er als Systemadministrator bei Google Schweiz in Zürich tätig, wo er interne System von Google betreut sowie am Ganeti-Projekt mitentwickelt.

Der Vortrag stellt eine Infrastruktur vor, die auf den Firewall- und Routingfähigkeiten des Linux-Betriebssystems basiert und einerseits dazu dient, ein umfangreiches Netzwerk vor dem bösen Internet zu schützen, andererseits aber auch eine große Zahl interner Subnetze sicher voneinander zu trennen, damit eingeschleppte Schadsoftware und interne Bösewichte entdeckt und ihre Erfolge begrenzt werden.

Im Mittelpunkt dieser Infrastruktur stehen zwei Firewall-Rechner, die durch eine Heartbeat-Kopplung für die nötige Redundanz sorgen und durch eine große Zahl virtueller LANs (nach IEEE 802.1q) mit den internen Subnetzen verbunden sind. Für jedes wird ein eigener Satz von Firewall-Regeln separat verwaltet, die (unterbrechungsfrei) ausgetauscht werden können. Damit lassen sich die Standardanforderungen, aber auch ausgefallene Wünsche der Nutzer realisieren – soweit sie sich denn mit der allgemeinen Policy vertragen und keine inakzeptablen Löcher in die Firewall reißen.

Natürlich bringt diese Lösung wieder mal eine neue Oberfläche für die bekannten, sehr mächtigen, aber in komplexen Szenarien nicht mehr rein manuell zu administrierenden IPtables-Kommandos mit sich. Der Vortrag soll zeigen, dass eine datenbankgestützte Verwaltung der Informationen über das Netz sowie eine einfach anzuwendende (und lesbare) Makrosprache eine umfangreiche Netzkonfiguration beschreibbar und wartbar machen, sodass auch der chronisch gestresste Administrator den Bedürfnissen seiner chronisch ungeduldigen Kundschaft gerecht werden kann.

Der Vortrag geht auch auf die Betriebserfahrungen ein, die in einem Universitätsnetz mit einer solchen Konfiguration gemacht wurden, und stellt diese aus Sicht des Administrators vor. Die Anwendersicht bleibt freilich wieder einmal außen vor ...

Detlef Lannert ist Diplom-Mathematiker und wissenschaftlicher Beschäftigter beim Zentrum für Informations- und Medientechnologie der Heinrich-Heine-Universität Düsseldorf. Zu seinen Interessens- (und Aufgaben-) Schwerpunkten gehören Netzwerke und IT-Sicherheit.

Nach einigen Jahren, in denen er mit Begeisterung Großrechnersysteme administriert und gehackt hat, entdeckte er 1992 den Reiz von Unix- und insbesondere Linux-Systemen, deren Möglichkeiten ihn seitdem faszinieren. Gemeinsam mit seinem Kollegen Michael Gutmann hat er das Ende 2006 erschienene Buch "Linux im Netzwerk" verfasst.

Solaris und OpenSolaris bieten verschiedene Möglichkeiten zur Virtualisierung. Im Bereich der OS-Virtualisierung stehen die Solaris- Container (Zonen- und Ressourcen-Management) und als besondere Ausprägung von Zonen die Branded Zones (BrandZ) zur Verfügung. Während Solaris-Container eine Ablaufumgebung für Solaris-Anwendungen bereitstellen, stellen Branded Zones nicht native Ablaufumgebungen bereit. So stellt der "lx"-Brand eine Linux-Zone auf Solaris x86 und der "Solaris 8 Migration Assistant" eine Solaris 8- Zone auf Solaris SPARC bereit.

Im Bereich der Hardwarevirtualisierung stehen auf der SPARC- CMT-Architektur die Logical Domains (LDom) zur Verfügung. Zusammen mit der OpenSolaris- und der XEN-Community wird zur Zeit die xVM-Technologie in OpenSolaris integriert.

Dieser Vortrag gibt einen Überblick zu den unterschiedlichen Virtualisierungstechnologien in Solaris und erläutert Neuerungen in der Funktionalität und der Handhabung.

Detlef Drewanz, Jahrgang 1964, studierte Informatik in Dresden und Rostock und beendete 1988 sein Studium als "Diplomingenieur für Informationsverarbeitung". Danach arbeitete er bis 1997 als Mitarbeiter am Fachbereich Informatik der Universität Rostock. Nach seiner Tätigkeit als Postsales Engineer bei Hitachi Internetworking, wechselte er 1998 zur Sun Microsystem GmbH nach Berlin als Systems Engineer. Detlef Drewanz beschäftigt sich vorrangig mit Technologien, den Einsatzmöglichkeiten und der Adoption von Solaris 10.

"Hack von Monster.com weitet sich aus", "Einzelhändler GAP verliert Daten von 800.000 Bewerbern", "Computerpanne legt Produktion bei Schering lahm". Häufig führt erst ein Schadensfall dazu, dass das Thema Informationssicherheit zur Chefsache ernannt wird. Die Suche nach der Schadensursache bringt dann ans Licht, dass an einzelne Aspekte zwar gedacht wurde – Firewall, Virenschutz, Backup – andere aber vollständig vergessen wurden. Beschäftigt man sich dann mit der Vielzahl an nötigen Maßnahmen, wird schnell deutlich dass Effizienz und Wirtschaftlichkeit die größte Herausforderung an ein funktionierendes Informations-Sicherheitsmanagement sind.

Mit Verinice ist jetzt ein kostenfreies und offenes Werkzeug verfügbar, dass es sich zum Ziel gesetzt hat, den Sicherheitsbeauftragten bei dieser Aufgabe zu unterstützen. Ermöglicht wird dies durch das BSI, das erstmalig der Verwendung der Grundschutzkataloge in einem Open-Source-Werkzeug zugestimmt hat. In Zukunft sollen noch weitere Standards eingebunden werden, bereits jetzt ist es z.B. möglich, zusätzlich zum IT-Grundschutz die datenschutzrechtlichen Anforderungen nach §9 BDSG zu dokumentieren.

Basierend auf Eclipse RCP, unterstützt Verinice die Plattformen Linux, Mac OS X, Solaris und Windows. Vorgestellt wird der derzeitige Entwicklungsstatus und die weiteren Ziele des Projekts, sowie der praktische Nutzen für IT-Sicherheitsbeauftragte in Unternehmen und Behörden.

Alexander Koderman, geb. 1977. Dipl.-Inform. (FH), zertifizierter LPI Level 2, RHCE, NCLP, IBM CSE DB2, CISA, BSI lizenzierter ISO 27001- Auditor nach IT-Grundschutz, Senior Consultant im Bereich IT-Sicherheit für SerNet GmbH in Berlin.

Horizontal skalierendes File-I/O wird gegenwärtig immer deutlicher eine Schlüsseltechnologie, um die theoretische Rechenleistung immer größerer Computecluster tatsächlich zu nutzen. Der Vortrag vergleicht eine Reihe von Technologien und Produkten, die verteiltes und paralleles IO realisieren, darunter insbesondere Lustre, GPFS und Shared-QFS, sowie pNFS, und stellt die damit gemachten Erfahrungen in einer Reihe von aktuellen Installationen dar.

Roland Rambau ist langjähriges GUUG-Mitglied und hat auch hauptberuflich stets Unix propagiert, zuerst für PCS, dann Parsytec und seit nun vielen Jahren für Sun Microsystems, wo er heute das Thema HPC in Deutschland vertritt. Dort befasst er sich als "Principal Engineer" und "Technical Systems Ambassador" inbesondere mit der Integration und Anwendung von intern entwickelten Technologien wie ZFS und auch durch Akquisition erworbenen wie QFS und Lustre.