FFG

Mer griese aus Frankfurt! Seit Dienstag liefen an der Fachhochschule bereits die Tutorien, in denen sich die Teilnehmer gezielt in eines der folgenden Thema vertieften:

• Plattformübergreifende Dateidienste sicher anbieten: An zwei Tagen zeigten Daniel Kobras und Michael Weiser die Stellschrauben, mit denen Admins Dateidienste sicher konfigurieren können – Dauerbrenner bei jedem FFG!
• Wireshark – Anwendungsmöglicheiten und Erweiterungen mit Martin Kaiser, den wir hier im Blog schon befragt hatten.
• Alexander Koderman widmete sich verinice, Thorsten Kramm dem Monitoringtool Zabbix.
• Dirk Reuper beantwortete die Frage der Integration moderner Hardware in HA-Umgebungen.
• Beides ausgebucht: Mike Messners Metasploit-Tutorial und Tim Becker & Matthias Krauß zu  anykey0x.
• Besonderer Höhepunkt: Während des Tutorials zu OpenNMS gründete sich der OpenNMS e.V. – ein gutes Signal zur Weiterentwicklung des Open-Source-Projekts.

Im Anschluss fand gestern abend die Mitgliederversammlung der GUUG statt. Der Vorstand hatte einiges zu berichten: Mitgliederzahlen, Sponsoring, Veranstaltungen, UpTimes, Finanzen, FFG, Rückblick 2012 und Vorschau 2013 … die Einzelheiten gehen wie immer per Mail an Euch.

Außerdem gab die Wahlkommission die Ergebnisse der Vorstandswahl bekannt:

Vorsitzender bleibt Wolfgang Stief, stellvertretende Vorsitzer sind Kerstin Mende-Stief und Christoph Wegener. Kassenwart bleibt Udo Arendt, und Beisitzer bleiben Johannes Hubertz und Bernd Neubacher. Jens Link, Benedikt Stockebrand und Dirk Wetter hatten sich nicht mehr zur Wahl aufstellen lassen.

Recht kontrovers wurde die künftige Ausrichtung des Vereins diskutiert, leider aufgrund der fortgeschrittenen Zeit auch ohne Abschluss. Alle Mitglieder sind eingeladen, am Freitag nachmittag 15 Uhr bei einer kurzfristig anberaumten BoF-Session über ihre Wünsche an die GUUG zu diskutieren. Beteiligt Euch – die GUUG ist Euer Verein, den Ihr mitgestalten könnt!

Und nun noch letzte Durchsagen für heute:

• Beginn ist 9.15 Uhr mit der Begrüßung aller Teilnehmer & danach der Keynote mit Kurt Garloff
• ab ca. 8.45 Uhr könnt Ihr Euch Eure Namensschilder holen
• ein aktuelles Programm findet Ihr am Infodesk – ebenso Zugangsdaten fürs WLAN
• abends gibt es wie immer das „Gesellige Beisammensein“. Es geht los ab 19 Uhr, Ort: Restaurant Alexander Frankfurt / Friedberger Warte.

(Nicht nur) über die nächsten Tage solltet Ihr außerdem @guug verfolgen, um immer die wichtigsten News und Änderungen zu erfahren. Austausch gibt es außerdem auf der Google+-Seite.

 Text: Corina Pahrmann

Morgen beginnt mit den ersten Tutorials das Frühjahrsfachgespräch in Frankfurt. Letzter Appetithappen, bevor wir direkt vom FFG berichten: Ein Gespräch mit Michael Messner, ebenfalls schon lange im GUUG- und FFG-Umfeld bekannt und geschätzt. Er berichtet in diesem Interview über seinen Vortrag sowie das Metasploit-Tutorial, das er am Mittwoch hält.

Michael, als Freiberuflerin arbeite ich meistens im Homeoffice, aber auch sehr viel per Notebook oder iPad von unterwegs. Gelegentlich sitze ich auch direkt bei Auftraggebern und nutze deren Netzwerk. Und damit immer alles bei mir ist, liegen ToDo-Listen und Texte bei Google Drive und in der Dropbox. Bin ich der Albtraum aller IT-Sicherheitsberater?

Dieser Trend, möglichst viele Services in die „Cloud“ zu legen, bietet Dir unglaubliche Flexibilität und dadurch auch wieder Möglichkeiten, Deinen Job besser und effektiver zu erledigen. Jeder, der solche Dienste nutzt, sollte sich aber auch ein paar Gedanken zu den Daten machen, die er dort ablegt.

Niemand würde wohl seine Zugangsdaten zu seinem Bank-Account dort unverschlüsselt hinterlegen. Es ist beispielsweise wichtig, mit sensiblen Kontaktinformationen vorsichtig umzugehen und diese entweder nicht oder nur verschlüsselt und mit entsprechendem Zugriffsschutz zu hinterlegen.

Damit wird bereits eine Art Datenklassifizierung durchgeführt. Bei einer solchen Bewertung wird entschieden welches Sicherheits- bzw. Schutzniveau diese Daten umfassen müssen. Kritische Daten werden im weiteren Verlauf nur verschlüsselt mitgeführt, abgelegt und übertragen. Unternehmen führen solche Datenklassifizierungen ebenso durch, nur in erheblich größerem Umfang. Bei solchen Projekten beschäftigt man sich auch ganz schnell mit Themen wie Data Loss Prevention. Dabei soll verhindert werden, dass sensible Daten unkontrolliert vom Unternehmen abfließen können.

Kürzlich hast Du Schlagzeilen gemacht: In mehreren Blogbeiträgen hast Du Sicherheitslücken bei mehreren Router-Modellen aufgedeckt. Wie bist Du auf diese Probleme aufmerksam geworden – und wie haben die Hersteller insbesondere auf die darauf folgende Berichterstattung bei heise.de reagiert?

Eigentlich handelt es sich dabei um ein kleines Hobby von mir. Wenn ich bei mir zuhause ein neues Gerät in mein Netzwerk einbinde, führe ich meistens einen ersten kleinen Test durch und schaue, wie sich dieses Gerät im Netzwerk präsentiert und ob es kritische Schwachstellen aufweist.

Im Rahmen dieser kurzen Analysen kamen im Laufe der Zeit immer mehr gravierende Schwachstellen zum Vorschein. Einige dieser Schwachstellen eignen sich beispielsweise dazu, ohne Authentifizierung Kommandos auf Ebene des Betriebssystems des Routers auszuführen. Dabei handelt es sich um das schlimmste Szenario, was man sich ausmalen kann. Ein Angreifer kann deinen Router, der als Gateway ins Internet fungiert, erfolgreich angreifen und kontrolliert dadurch den vollständigen Datenfluss von dir ins Internet und zurück.

In meinem Vortrag werde ich ein paar Highlights der erkannten Schwachstellen vorstellen – und natürlich wird auch die Reaktion der Hersteller ein interessanter Punkt dieses Vortrages sein.

Neben Deinem Vortrag zu den „Home Network Horror Stories“ hältst Du ein bereits ausgebuchtes (!) Tutorium zu Metasploit. Was können die Teilnehmer dort lernen?

Es freut mich, dass dieses Tutorium so schnell ausgebucht war. Das Interesse der Teilnehmer zeigt, dass offensive Sicherheitsmethoden eine immer größere Akzeptanz im IT-Sicherheitsprozess genießen. Gerade das Metasploit Framework bietet umfangreiche Möglichkeiten, um potentielle Schwachstellen zu testen und dementsprechend das Gefährdungspotential für ein Unternehmen besser darzustellen.

Im Rahmen dieses Tutoriums werden wir einen Schnelleinstieg in das Framework wagen. Dabei beginnen wir mit einem kurzen Überblick zu Penetration-Testing und Metasploit und werden dann in einer Fülle von Live Demos dessen praktische Anwendung demonstrieren. Am Nachmittag werden erweiterte Angriffsszenarien betrachtet, die mit etwas kreativer Herangehensweise ganz neue Möglichkeiten des Frameworks bieten.

Wir haben auch einen ganz tollen Überraschungsgast der uns weitere spannende Anwendungsmöglichkeiten des Frameworks in Kombination mit weiteren Tools zeigt. Ich bin schon sehr gespannt …

Mike, danke für den kurzen Einblick – wir sehen uns dann ab Mittwoch in Frankfurt!

 Interview: Corina Pahrmann

Nächste Woche startet das Frühjahrsfachgespräch 2013. Wir verkürzen Euch (und uns) nun die Wartezeit und stellen einige der Referenten & Themen, die Euch in Frankfurt erwarten, im GUUG-Blog vor. Nach Erkan Yanar, Udo Seidel und Martina Diel geht es heute mit Stefan Neufeind weiter, den viele von Euch von vergangenen FFGs kennen werden. Ich habe mit ihm über seinen diesjährigen Vortrag gesprochen.

Stefan, Hochverfügbarkeit – also absolut zuverlässiges Arbeiten von Webservern besonders in Spitzenzeiten – ist ein Top-Thema auf dem FFG. Du stellst dazu in Deinem Vortrag das Caching-Tool Varnish vor. Wie arbeitet Varnish und wie bewährt es sich – Deiner Erfahrung nach – in der Praxis?

Als klassischen Proxy mit eingebauter Caching-Funktionalität werden viele sicherlich als erstes an Squid denken, welcher grundsätzlich auch als Reverse-Proxy, also vor einem Webserver betrieben werden kann. Auf Grund seiner Historie und Funktionsvielfalt hat sich in unserer Praxis jedoch gezeigt, dass ein auf diesen Einsatzzweck spezialisiertes Werkzeug klare Vorteile bringt.

Varnish ist vom Konzept her auf die Aufgaben als Proxy vor einem Webserver ausgerichtet und optimiert. Es meistert seine Aufgaben auch unter Last zuverlässig und performant. Zu den Grundfunktionen von Varnish gehören die Verwaltung von Verbindungen, speziell auch z. B. bei Verwendung von HTTP-Keepalives, das Beantworten von Anfragen aus dem Cache und bei Bedarf ein intelligentes Durchreichen von Anfragen an Backends, die eigentlichen Webserver. Die Konfiguration, z. B. welche Inhalte wie lange gecached werden dürfen oder anhand welcher Eigenschaften Anfragen gecached werden sollen, lässt sich flexibel anpassen. Beispielsweise ist es möglich nur gewünschte Headerzeilen oder Cookies durchzulassen, so dass Anfragen möglichst „ähnlich“ sind und effektiv gecached werden können. Auch können Anfragen anhand bestimmter Merkmale an spezielle Backend-Server weitergeleitet werden – etwa Anfragen für statische Inhalte an hierfür optimierte Webserver-Prozesse.

Durch den gezielten Einsatz von z. B. Varnish lassen sich eine Vielzahl von Requests bereits vor den Webservern performant beantworten. In Kundenprojekten ließen sich hier teilweise Cache-Hits von 95% und mehr realisieren. Die verbleibenden Anfragen können intelligent an die Backends weitergereicht werden. Im Ergebnis werden Anfragen wesentlich schneller beantwortet und die Backend-Server können sich auf die eigentliche Business-Logik konzentrieren.

Die Performance des Webservers steigt also – aber bekommen meine Blogleser und Website-Besucher auch immer die aktuellsten Beiträge angezeigt?

Dies lässt sich über verschiedene Wege erreichen – abhängig davon, wie viel Einfluss man auf die zu cachende Applikation hat bzw. wie stark man per Konfiguration auf deren spezifische Bedürfnisse optimieren möchte/kann.

Der einfachste, aber zugleich auch nicht allzu optimale Ansatz wäre es je nach Inhalten für bestimmte Elemente kurze Cache-Haltezeiten von beispielsweise wenigen Minuten zu definieren. Auch könnte man bei den Backend-Systemen eine Last-Modified-Abfrage auslösen und Cache-Inhalte ausliefern sofern diese noch gültig sind.

Schon eine Stufe besser wäre es, bei bestimmten Anfragen – wie etwa dem Abschicken eines Blog-Kommentars – einzelne Cache-Inhalte für ungültig zu erklären.

Sofern man Einfluss auf die Applikation hat, kann diese dem Cache sogar aktiv signalisieren, welche Inhalte des Cache aktualisiert wurden. Hier kann die Applikation zusammen mit den Inhalten auch „Tags“ ausliefern und anhand dieser dann eine ganze Reihe von Inhalten über eine einfache Abfrage aus dem Cache entfernen.

Du bist ein seit Jahren anerkannter TYPO3-Experte – ich nehme also an, Varnish harmoniert besonders mit TYPO3?

Beim Einsatz zusammen mit einem CMS-System ist es häufig gewünscht, dass durch einen Redakteur mit wenigen Mausklicks geänderte Inhalte möglichst zeitnah auf der Website erscheinen. Für TYPO3 existiert ein Modul, welches die aktive Benachrichtigung an Varnish bei geänderten Inhalten übernimmt. Dies ermöglicht die Verwendung langer Cache-Haltezeiten und die selektive Löschung bei Änderungen. Je nach verwendeten Inhalten/Modulen ist eine entsprechende Konfiguration TYPO3-seitig notwendig um ein entsprechendes Cache-Verhalten möglichst optimal auszunutzen – eine geeignete Knobelaufgabe für TYPO3-Experten 🙂

Kommen wir mal auf das FFG zu sprechen: Du hast die GUUG-Konferenz schon in den vergangenen Jahren besucht bzw. Vorträge gehalten. Was schätzt Du am FFG bzw. der GUUG?

Im Rahmen der GUUG und speziell auch des FFG kommen eine Vielzahl von Experten der unterschiedlichsten Disziplinen zusammen. Viele teilen eine Begeisterung für Details, verfügen über praktische Erfahrung auf ihrem Gebiet und haben Spaß, daran jenes Wissen weiterzugeben sowie sich mit anderen auszutauschen. Hierbei stehen auf technischer Seite oft offene und flexible Systeme im Vordergrund. Der Austausch mit Besuchern des FFG und Kollegen ist für mich wichtig, bringt neue Sichtweisen und Ideen hervor – oder man knüpft Kontakte zu verwandten Ansätzen und Projekten.

Stefan, vielen Dank für das Gespräch – wir sehen uns zu Deinem Vortrag am Freitag, d. 1. März um 16 Uhr. (Mehr Infos –>)

Interview: Corina Pahrmann