Programm GUUG-Herbstfachgespräch 2022

Kommentar verfassen / Allgemein, FFG, GUUG, Konferenzen / 16. Dezember 2022

Das Programm für das GUUG-Herbstfachgespräch 2022 steht – am Donnerstag, 24.11., gibt es ein (anmelde- und kostenpflichtiges) Tutorium, am Freitag, 25.11., stehen (bisher) 5 Vorträge im Programm, die allen Interessierten kostenfrei offen stehen:

Donnerstag, 24.11., 09:00-17:00 Uhr:

Freitag, 25.11.

Als Konferenzsystem verwenden wir BigBlueButton.

Tutorium „bash-Programmierung – Tipps & Tricks“

Zeit: Donnerstag, 24.11., 09:00-17:00 mit Mittagspause von 12:30-13:30 Uhr

Unweigerlich kommt man als Administrator von Unix-Systemen mit Shell-Scripten in Berührung. Mit Windschatten von Linux dürfte sich die bash zur inzwischen weit verbreitesten Shell entwickelt haben, im Bezug auf die Programmiermöglichkeiten gilt sie bei vielen auch als die beste Shell. Deshalb wird sie explizit im Titel genannt, viele Themen sind aber auch auf andere POSIX-Shells übertragbar.

Der Trainer hat folgende Themenvorschläge, ist aber auch für Anregungen aus dem Teilnehmerkreis offen:

  • Aufbau eines Scripts (#!, Parsen der Optionen, Checken der Argumente)
  • Aufspüren von Fehlern vor und während der Ausführung
  • Ein Blick auf viele – alte und neue – Sonderzeichen in verschiedensten Kontexten
    • Quotes – Single- und Double-Quotes kennt man ja, aber was schreibt man modernerweise statt Back-Quotes? Und wie geht ANSI-C-Quoting?
    • Geschweifte Klammern – Brace-Expansion, Grouping, …
    • $-Zeichen – damit kann man längst nicht mehr nur noch den Wert aus einer Variablen holen, sondern diesen auch String-Manipulationen unterziehen, die auch noch UTF-8-kompatibel sind. Und (assoziative) Arrays kann die bash inzwischen auch!
  • Beliebte Fallen und ihre Umgehungsmöglichkeiten

Martin Schulte ist seit Uni-Zeiten ein begeisterter Unix-Nutzer. Viele Jahre hat er sich, unter anderem als Vorsitzender und Organisator des Linux-Kongresses, des FFGs und weiterer Veranstaltungen, in der GUUG engagiert. Daneben hat er sich hauptsächlich als externer Entwickler betätigt. Er ist seit 5 Jahren Trainer für „Linux Grundlagen“ und „Shell Programmierung“ beim Essener Linuxhotel und Autor des Buches „bash – Einstieg in die Shell-Programmierung“. Die Teilnehmer erhalten ein Exemplar dieses Buches.

Teilnahmegebühren: 160 € regulär/100 € für GUUG-Mitglieder/60 € für Studenten o.ä.

Zur Anmeldung bitte dieses Formular ausfüllen und an hfg2022@guug.de schicken.

MARS Geo-Redundanz

Zeit: Freitag, 25.11., 10:00 Uhr

Bei einer Geo-Katastrophe sind meine Daten weg – wie schütze ich mich gegen geschäftskritische Datenverluste, wenn tägliche Backups nicht reichen, oder sehr hohe Verfügbarkeit gefordert ist?

Thomas Schöbel-Theuer arbeitet bei der 1&1 Ionos in Karlsruhe beim Shared Hosting Linux an einem speziellen Linux-Kernel, um die Georedundanz von Millionen von Webseiten durch OpenSource zu unterstützen.

Projekt mit ausführlicher Doku bei GitHub

Aufzeichnung bei PeerTube und YouTube

GitOps geht auch ohne Kubernetes

Zeit: Freitag, 25.11., 11:00 Uhr

Fast jeder kennt das Problem, dass die Konfiguration eines Systems oft (weit) vom gewünschten Zustand (desired state) abweicht. Kann man den Desired State deklarativ beschreiben, z.B. als Kubernetes Manifest oder Terraform-Konfiguration, lässt sie sich in Git ablegen und jede Zustandsänderung (Deployment) kulminiert in einem commit. GitOps realisiert Continuous Delivery durch einen (Work-) Flow der Zustandsänderungen (commits), auf dedizierten Branches mit Hilfe von Pull-Requests. Ursprünglich wurde GitOps auf Kubernetes mit Hilfe sogenannter Operatoren realisiert, das Konzept lässt sich aber auf andere Systeme übertragen. Der Workflow kann auch durch eine Standard Pipeline Engine realisiert werden. Entwickler verwenden ihr Standard-Versionierungstool für das Deployment, der Betrieb kann Changes flexibel steuern, nachvollziehen und ggf. sogar zurückrollen – die berühmte Mauer zwischen Dev und Ops wird wieder etwas niedriger.

Gerd AschemannDer Vortrag erläutert das Konzept von GitOps am Deployment einer einfachen Anwendung und der dazugehörigen Infrastructure as Code mit Terraform. Dabei werden die typischen Abläufe von Deployments als Workflow auf einem Git-Repository über eine Pipeline realisiert, angelehnt an das bekannte two-phase-commit Pattern aus verteilten Transaktionen:

  • Vorbereitung des Deployments (prepare)
  • (Optionale) Qualitätssicherung des Deployments (review, test)
  • Durchführung des Deployments (perform/commit)
  • Zur Qualitätssicherung kann explizit ein personalisiertes Review (4-Augen-Prinzip) gehören.
  • Darauf aufbauend lässt sich auch ein Rollback auf einen früheren Zustand durchführen (reverse commit).

Gerd Aschemann arbeitet kontinuierlich daran, die Grenze zwischen Dev und Ops aufzuheben. Als freiberuflicher Software-Architekt aktualisiert und erweitert er permanent die agile Kultur und den Technologie-Stack seiner Kunden durch zeitgemäße Methoden und Komponenten. In den letzten Jahren hat er in mehreren Cloud-Nativen Software-Projekten die Transition zu Continuous Delivery vorangetrieben.

Folien

Aufzeichnung bei PeerTube und YouTube

Dynamic Credentials

Zeit: Freitag, 25.11., 12:00 Uhr

Innerhalb jeder Applikation, sei es Monolith oder Microservice, werden Authentifizierungen benötigt, zum Beispiel für Datenbanken.
Diese Authentifizierungen liegen meist als Paar von Nutzername und Passwort vor.
Wie steht es aber mit der Sicherheit dieser Daten?
Gibt es einen Prozess, der die Authentifizierungsresourcen tauscht? Wie viele Personen sind daran beteiligt…

In verteilten Applikationen gibt es neben den „klassischen“ Passworten natürlich auch noch weitere geheime Informationen.
Wie zum Beispiel die Schlüssel für die TLS Verschlüsselung des Datenverkehrs.

Im Rahmen dieses Talks wird am Beispiel einer verteilten Spring-Boot Applikation gezeigt, wie ein Umgang mit Authentifizierungsquellen vollautomatisiert werden kann.
Damit können diese Informationen kurzlebiger werden und damit die Sicherheit des Systems gesteigert werden.

Nils Bokermann ist als freiberuflicher IT-Consultant und Softwareentwickler unterwegs und berät seine Kunden in Architektur- und Methodik-Fragen. Er stellt gerne Hype-getriebene Entscheidungen infrage und ist daher als Advocatus Diaboli bekannt.

Infos zum Vortrag

Aufzeichnung bei PeerTube und YouTube

HTTP all the things – Steine auf dem Weg aus dem Keller in die Cloud

Zeit: Freitag, 25.11., 14:00 Uhr

Das Enterprise sieht sich auf seinem Weg der Digital Transformation im Cloud-native Ecosystem angekommen – ganz klar, denn wo so viel Zeit für Buzzword-Bingo ist, wurden offenbar alle Probleme gelöst!

Doch wie sieht es wirklich in einem (mittelständischen) Unternehmen aus? Im Wesentlichen finden sich hier zwei Extreme – der lokale
Windows- oder Samba-Server im Keller oder eine reine Web-Lösung, eingekauft von einem der großen Cloud-Anbieter. In der Realität
funktioniert beides nur begrenzt, denn der Server im Keller wirft bei echtem dezentralem Arbeiten Probleme auf, und die fremdbestimmte Web-Lösung ist oft umständlich und unflexibel.

Nimmt man sich ein vollständig dezentralisiertes Unternehmen, in dem alle Mitarbeiter*innen Ort und Zeit ihrer Arbeit frei wählen, dann liegen auch technologisch einige Steine im Weg, nämlich die „felsenfesten“ Technologien, die Unternehmensnetze zusammenhalten, wie LDAP und Kerberos – stabile, altgediente Standards, die Sicherheit und Zuverlässigkeit bietne, aber grundsätzlich von einer stabilen, langlebigen Netzwerkverbindung ausgehen.

Wollen wir unsere Mitarbeitenden am Karibikstrand (oder während einer Radtour dort hin) arbeiten lassen, oder der Einfachheit halber in einem durchschnittlichen Hotel an der Ostsee, dann kommen schnell halbgare, umständliche VPN-Lösungen und der Endgegner mobile
Internet-Infrastruktur ins Spiel. Wie wäre es also, wenn wir uns ein technologisches Idealbild vorstellen, das zum dezentralen Firmen-Idealbild passt?

Dieses Gedankenspiel, sowie erste Ideen, Ansätze und Proofs of Concept, möchte ich unter dem Motto „HTTP all the things“
vorstellen. Das Ziel ist ein vollständiges, unternehmenstaugliches Benutzer- und Geräte-Management, das für seine Konnektivität nichts weiter benötigt als kurzlebige, leicht zu cachende, idempotente HTTP-Requests. Wir wollen zusammen diskutieren, welche technischen, ökonomischen und sogar ökologischen Vorteile ein solcher Ansatz birgt, welche offenen Ecken und Kanten es gibt und welche Lösungen schon existieren, die zu diesem Gedankenspiel passen.

Dominik George, kurz Nik, ist ein Freie-Software-Kontributor aus dem Rheinland mit Wurzeln im Bildungsumfeld. Durch seine Beteiligung an Open-Source-Projekten in Schule und Bildung seit über 15 Jahren und seine hauptberufliche Tätigkeit als Open-Source-IT-Consultant kombiniert er umfangreiche Erfahrungen aus sehr diversen Einsatzbereichen mit einer starken überzeugung von Software-freiheit.

Nik ist Gründer und Vorsitzender der FOSS-Jugendorganisation Teckids e.V., Debian Developer und mit seiner Firma velocitux selbstständig als IT-Berater, Entwickler und Trainer (im Linuxhotel) tätig.

Aufzeichnung bei PeerTube und YouTube

Einführung SIEM

Zeit: Freitag, 25.11., 15:00 Uhr

Wie sieht das Risikomanagement in Unternehmen heute aus? Nun den Umsatz und die Gewinnerwartung hat wohl jeder im Blick. Wenn es aber darum geht mit BI entsprechende aussagekräftige Kennzahlen zu ermitteln wird es schon schnell sehr komplex. Im IT-Bereich ist es ganz ähnlich. Wenn irgendeine für den Business Prozess wichtige Kernanwendung nicht läuft beginnt schnell das Fingerpointing. Die Problemlösung aber dauert!

Gleichzeitig werden genau diese Prozesse immer wichtiger für den Erfolg des Unternehmens. Einen Cyberangriff gilt es also ebenso zu verhindern wie einen Ausfall der Business Anwendung. Vor allem aber ist der Ausgangszustand schnellstmöglich wieder her zu stellen. Daher müssen wir hier proaktiv handeln und können nicht darauf warten dass jemand im Service Desk anruft und sagt: mein Bildschirm ist schwarz! Mein Internet geht nicht! Die Verantwortung für den Funktionieren dieser Prozesse ist Unternehmensaufgabe!
Die Anforderungen an SIEM sind vielfältig. Am stärksten aber wiegt bei den großen Unternehmen das Thema gesetzliche Anforderungen neudeutsch Compliance. Wenn wir das im Detail anschauen, dann sind wir mit einer Vielzahl von Gesetzeswerken konfrontiert. Das IT-Sicherheitsgesetz wurde gerade in der Version 2.0 überarbeitet. Die Anzahl kritischer Infrastrukturen wurde erhöht ebenso wie die Strafandrohung. Das führt teilweise zu hektischen Aktivitäten bei den Firmen, ohne dass dabei dass Sicherheitsniveau steigt! BAIT das sind z.B. die Richtlinien der Bafin, also der Bankenaufsicht. Diese hat sich mit den GENO Banken auf die Anwendung des MITRE@ttack Framework geeignet und 99 Uses Cases dafür festgelegt. Für diese müssen sie als Anwender das permanente Security Monitoring Ihrer IT Infrastruktur nachweisen. Dazu kommen wir noch.

Werfen wir einen Blick in die weltweite Schadenstatisik. Darüber lesen sie täglich in den Medien. Das Interessante daran sind die verschieden farbig gezeichneten Ursachen. Dabei zeigt die Größe der Blasen die Auswirkung der einzelnen Schadensfälle an. Blau für Malware und hellgrün für Phishing ist glaube ich jedem von Ihnen klar. Was hier aber besonders auffällt sind zwei andere Bereiche. Nämlich grau für “undisclosed“ und lila für Fehlkonfigurationen. Das bedeutet in der Praxis, das über 20% der Sicherheitsvorfälle tatsächlich durch eigenes oder IT-Fremdpersonal verursacht wurden. Die Dunkelziffer durch die hohe Zahl von nicht veröffentlichten Vorfällen (undisclosed) ist riesig. Diese Fehler wiegen aber genauso schwer wie von außen initiierte Angriffe. Anders ausgedrückt: sie können beides bei der Sicherheitsüberwachung nicht wirklich trennen. Lassen Sie sich also nicht glauben machen, dass Ihr Security Anbieter alle! Sicherheitsprobleme kennt. Das tut er nicht, denn er kann garnicht wissen welche Fehler ihr Administrator macht. Genau diese aber gilt es zu korrigieren. Dazu benötigen Sie angepasste Policies, die wir Use Cases nennen.
Schauen wir uns an wie ein Angreifer arbeitet, wird deutlich warum wir ein zentrales SIEM benötigen. In der Darstellung sehen wir die 5 Phasen eines Angriffs, auch Cyber Kill Chain genannt. Um sich den Zugang in Phase 1 zu verschaffen, laufen im Vorfeld zum Teil bis zu einem Jahr Social Engineering Maßnahmen.

  1. Dann kommt eine inzwischen sehr gut gemachte E-Mail
  2. Dadurch wird die Schadsoftware und Hintertüren installiert
  3. Das System kann dann in Ruhe gesichtet und ausgespäht werden
  4. Wertvolle Daten werden gesammelt
  5. und final zu einem passenden Zeitpunkt nach extern übertragen

Daher gilt es die „Hürden“ bei jeder einzelnen Phase höher zu legen, um den Angriff zu erschweren, oder einzudämmen! Wenn es zu einem Sicherheitsvorfall kommt, sind die Ursachen vielfältig. Phishing, Ransomware, Datenklau. Das ist heute Unternehmensalltag, wie wir wissen. Es geht uns darum das Risiko beherrschbar zu machen, nicht es aus zuschließen. Wir bräuchten ja auch keine Feuerwehr wenn es nie brennt. Wenn es aber brennt muß Sie schnell alarmiert werden. Daran mangelt es oft in der Unternehmens IT.
Diese Grafik zeigt die Cyber Kill Chain aus dem MITRE Att@ck Framework. Für die Forensik sehr nützliches, um zu verstehen was passiert ist und mit hilfreichen Erläuterungen welche Techniken und Taktiken zum Einsatz kamen. Unser Problem ist, das der Angreifer nur genau einen Weg braucht um in Ihr System zu gelangen, nämlich den schwächsten. Sie aber müssen alle Zugänge absichern sonst nimmt er einfach den nächsten. Auf dem Bild kann man gut erkennen, was wir unter Taxonomie verstehen. Oben sehen sie die MITRE Att@ck Kategorien und Unterkategorien der CBC. Darunter sehen Sie die Kategorien und Unterkategorien im SIEM. Diese Informationen reichen wir direkt an das Service Management weiter, um dem Bearbeiter bereits eine fallspezifische Voranalyse zu geben. Dazu setzen wir eigene Programmbausteine ein.

Was Sie hier sehen ist ein typisches Datacenter. All diese Systeme müssen sie in ihre in Ihre SIEM Lösung einbeziehen. Suchen Sie sich also eine Lösung mit der das funktioniert. In einem durchschnittlichen RZ, also ein Unternehmen mit wenigen Hundert bis 1000 MA produzieren sie täglich 100 Mio Logrecords. Zur Auswertung nutzen wir u.A. KI-Technologien. Um diese System herum gruppieren sich die unterschiedlichen Protaganisten. Jeder hat hier eine andere Betrachtungsweise und Anforderungen an die Aufbereitung der Millionenfachen Daten. Sie benötigen daher eine Plattform die eine agile Datenaufbereitung mit modernen Betriebsmitteln wie zb AQL für die Datenanreicherung ermöglicht.

Wenn wir es etwas strukturierter darstellen sieht die SIEM Blaupause so aus. Die wesentliche Herausforderung dabei ist aus den 100 Mio Logdaten die relevanten IOC zu destillieren. Dazu benutzen wir verschiedene Techniken wie vordefinierte Use Policies, automatisierte Gewichtung, Korrelation und Machine Learning Verfahren. Die so ermittelten SIs integrieren mit Hilfe unserer Programm Bibliothek in die betrieblichen Abläufe. Das ist der untere Teil der Grafik. Hier nutzen wir das REST API um Tickets automatisch zu öffnen, zu verfolgen und wieder zu schliessen.

Bisher haben Sie nur Theorie gehört, aber noch nicht gesehen wie wir das bei Kunden umsetzen. Deshalb hier ein winziger Ausschnitt aus der SIEM Plattform. Ein solches Dashboard sehen sie bei fast jedem Hersteller. Das ist Branchenstandard. Wir machen aber BIG Data Analysis. Es kommt also darauf an wo diese Zahlen herkommen und wie sie ermittelt werden. Nun dazu benutzen wir unser Regelwerk. In der App sehen sie die Zuordnung zu den MITRE Att@ck Kategorien. Eines der Probleme ist das alle Security Hersteller Ihre ganz eigene Taxonomie verwenden und zum anderen es nicht ermöglichen hier entsprechende offene Standards einzusetzen. Als Beispiel habe ich eine aktuelle Policy zur Ransomware Analyse heraus gegriffen. Die Regel ist im Klartext verfasst und im Gegensatz zu anderen Security Systemen nicht abhängig von Hashwerten, Fingerprints oder Ähnlichem, sondern sie sucht nach relevanten Ereignissen in der Datenbank wie sie typisch sind für Ransomware.

Karl JaegerKarl Jaeger ist seit 1995 in verschiedenen führenden IT-Security Unternehmen tätig und blickt auf fast 40 Jahre Berufserfahrung in den Bereichen Programmierung, Projektmanagement und Systemdesign zurück.

Nach mehrjähriger Forschungstätigkeit auf dem Gebiet relationaler Datenbanksysteme war er bei namhaften Hard- und Softwareherstellern zuständig für die Entwicklung von verteilten Transaktionssystemen für Industrie, Banken, Handel und Versicherungen.

Bei pro4bizz ist er verantwortlich für das Lösungs- und Beratungsangebot im Bereich IT-Security mit den Schwerpunkten Security Incident and Event Management (SIEM), Intrusion Prevention, Vulnerability Management und Schulungen. Dazu gehören SIEM Design, Konzeption, Durchführung von PoCs und Schulungen, sowie die laufende Betreuung im Projekt.

Aufzeichnung bei PeerTube und YouTube

Meine Suppe ess ich nicht – IPv6-Faktencheck

Zeit: Freitag, 25.11., 16:00 Uhr

Jens LinkIPv6 ist die neueste Version des Internet-Protokolls, das Geräte über das Internet identifiziert, damit diese lokalisiert werden können. Das Protokoll ist seit 1998 in Arbeit, um neue Kapazitäten für die immer knapper werdenden IPv4-Adressen zu schaffen. Trotz seiner Effizienz- und Sicherheitsvorteile setzt sich IPv6 jedoch nur langsam durch. Seine persönlichen Erfahrungen, was die möglichen Gründe, Fake News und Ausreden bei der Umsetzung von IPv6 betrifft, teilt uns der Vortragende in einem Faktencheck mit.

Jens Link befasst sich seit 2007 mit IPv6, er hat in dieser Zeit zahlreiche Vorträge und Schulungen zu dem Thema gehalten und an etlichen IPv6-Projekten mitgearbeitet.

Noch länger organisiert er den Berliner Admin-Stammtisch, über den er im nächsten Vortrag noch kurz berichtet.

Aufzeichnung bei PeerTube und YouTube

Organisation eines lokalen Admin-Stammtischs

Zeit: Freitag, 25.11., 16:30 Uhr

Den Berliner Adminstammtisch gibt es – anfangs unter anderem Namen, aber quasi ununterbrochen – seit Januar 2006. Am Anfang nur als Treffen in einer Kneipe, später dann mit regelmäßigen Vorträgen.

Der Vortrag gibt Tipps was man bei der Orga einen lokalen Stammtisches beachten sollte und erklärt, was alles nicht geklappt hat.

Jens Link ist nicht nur im IPv6-Umfeld aktiv, sondern auch Organisator des Berliner Adminstammtischs.

Aufzeichnung bei PeerTube und YouTube

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert