German Unix User Group (GUUG)
Abstracts | FFG2006 | Frühjahrsfachgespräch
http://www.guug.de/veranstaltungen/ffg2006/abstracts.html
2019-11-10

Abstracts

Netzwerküberwachung mit Open Source Tools
von Wilhelm Dolle, Thomas Fritzinger, Jens Link und Christoph Wegener
Dienstag, 21.03.2006 10:00-18:00 und
Mittwoch, 22.03.2006 10:00-18:00

Durch die wachsende Abhängigkeit unseres täglichen Lebens von einer funktionierenden IT-Landschaft und die gleichzeitig rapide zunehmende Komplexität der notwendigen Infrastrukturen, gewinnen die Themen Netzwerkmanagement und Netzwerküberwachung stetig an Bedeutung. In den letzten Jahren haben insbesondere Diskussionen über die Sicherheit und Verfügbarkeit von Netzwerken zugenommen. Zur Netzwerküberwachung existiert eine Reihe von komplexen und oft sehr teuren kommerziellen Werkzeugen. Dieser Workshop zeigt, wie man eine analoge Funktionalität mit spezialisierten, freien und quelloffenen Programmen erreichen kann.

Im Laufe des Workshops wird der Aufbau eines Linux-Überwachungsservers mit exemplarischen Diensten gezeigt und diskutiert. Auch die notwendigen rechtlichen und organisatorischen Aspekte werden aufgezeigt und berücksichtigt.

Themen im Detail:

Organisatorische Fragen: Welche Möglichkeiten der Netzwerküberwachung habe ich und was bringen sie mir konkret (Business Planing / Business Continuity / TCO)? Warum sollte ich auf freie und quelloffene Software setzen?

Rechtliche Aspekte: Welche rechtlichen Rahmenbedingungen muss ich beim Sammeln von Daten in meinem Netzwerk beachten?

Simple Network Management Protocol: SNMP ist ein wichtiger Baustein der Netzwerküberwachung. Viele Administratoren haben jedoch erfahrungsgemäß Berührungsängste mit diesem Protokoll. Diese Einführung wird Theorie und Grundlagen von SNMP - auch anhand einfacher, praktischer Beispiele - erläutern.

Qualitative Überwachung: Eine wichtige Säule der Netzwerküberwachung ist das qualitative Monitoring angebotener Dienste und Ressourcen. Dafür eignet sich hervorragend das von Tobias Oetiker entwickelte Multi Router Traffic Grapher (MRTG) und mit ihm verwandte Werkzeuge. MRTG stellt neben der aktuellen Auslastung von Netzwerkressourcen auch Tendenzen über mehrere Wochen oder Monate dar und macht es dadurch zu einem fast unverzichtbaren Werkzeug bei Investitionsplanungen. Weithin bekannt sind die Graphen des MRTG in Bezug auf Netzwerkdurchsatz. Da es auf SNMP basiert, lassen sich mit ein paar manuellen Eingriffen in die Konfiguration auch alle anderen mittels SNMP abfragbaren Werte analysieren und darstellen, wie zum Beispiel Festplatten- und CPU-Auslastung.

Verfügbarkeitsüberwachung: Im nächsten Schritt wird Nagios als freies Tool zur Überwachung der Verfügbarkeit von Netzkomponenten und Diensten vorgestellt. Eine typische Konfiguration wird erarbeitet und diskutiert. Netzwerkausfälle werden simuliert und die Benachrichtigungsmöglichkeiten aufgezeigt.

Proaktive Überwachung, Auswerten von Logdateien: Welche Möglichkeiten hat der kenntnisreiche Administrator, sein Netzwerk zu überwachen, ohne auf speziell dazu entwickelte Werkzeuge zurückzugreifen? Welche Möglichkeiten hat er, im Störungsfall schnell die Ursache einzugrenzen? Wie kann er proaktiv tätig werden?

Fehlersuche in Netzwerken mit Ethereal: Hier wird auf das Sniffen in geswitchten Netzwerken mittels des mächtigen Werkzeugs Ethereal eingegangen. Neben sinnvollen Angaben im Capture-Dialog werden die komplexen Filtermöglichkeiten von Ethereal diskutiert und in Übungen ausprobiert. Zur Vertiefung des Themas werden für die Teilnehmer verschiedene Trace-Files zur Verfügung gestellt, die sie selber analysieren können.

Sicherheits-Monitoring: Es werden die Werkzeuge nmap, Nessus und Snort als Hilfsmittel zur Durchsetzung und Einhaltung der Sicherheitsrichtlinien eines Unternehmens vorgestellt. Die Auswirkungen der kürzlich erfolgten Lizenzänderungen bei Nessus (ab Version 3 Closed Source) und Snort (neues Lizensierungsmodell der Snort-Regeln) werden ebenso wie mögliche Alternativen für diese Werkzeuge besprochen.

Die Teilnehmer müssen einen netzwerkfähigen Rechner mit einer aktuellen Linux-Distribution mitbringen. Benutzer anderer Betriebssysteme (*BSD oder MacOS) sollten sich vor der Veranstaltung mit den Vortragenden in Verbindung setzen.

Über die Referenten:

Wilhelm Dolle (http://www.dolle.net), CISA, CISSP, und vom BSI lizensierter IT-Grundschutz Auditor beschäftigt sich seit Anfang der 90er Jahre mit Netzwerken und deren Sicherheit. Seit 1999 ist er für die interActive Systems GmbH (iAS) tätig und dort in der Geschäftsleitung für den Bereich Information Technology und IT Security zuständig.

Thomas Fritzinger ist ausgebildeter Fachinformatiker für Systemintegration. Seit 2002 ist er ebenfalls für iAS tätig und leitet dort die Abteilung für Networking Development.

Jens Link ist seit Jahren als Netzwerk-/Sysadmin tätig. In dieser Zeit musste er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Christoph Wegener ist promovierter Physiker und Leiter des Bereichs Business Development bei der gits AG; außerdem ist er seit vielen Jahren freier Berater in den Bereichen Linux und IT-Sicherheit.

SELinux
von Ralf Spenneberg
Dienstag, 21.03.2006 10:00-18:00 und
Mittwoch, 22.03.2006 10:00-18:00

Linux ist nicht per se ein unsicheres Betriebssystem. Jedoch macht es die Tatsache, dass root ein allmächtiger Benutzer auf diesem System ist, die Verteidigung nicht besonders einfach. Sobald ein Angreifer über root-Privilegien verfügt, ist das System verloren. Es existieren verschiedene Ansätze, um dieses Problem zu lösen. Security Enhanced Linux ist eine der möglichen Antworten. Dieses Tutorial wird zunächst mit einer Einführung in SELinux beginnen. Anschließend wird die Installation von SELinux vorgestellt und mögliche Fallstricke aufgezeigt. Ich werde zeigen, wie man SELinux-Policies entwickelt, und dabei auf Besonderheiten und mögliche Probleme hinweisen. Im weiteren werde ich die Administration und Fehlersuche auf einem SELinux-System behandeln und mit einigen typischen Einsatzbeispielen schließen.

Über den Referenten:

Ralf Spenneberg verwendet Linux seit 1992 und arbeitete bereits 1994 als UNIX (Solaris, AIX) Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/UNIX-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux", 2004 "Intrusion Detection und Prevention mit Snort 2 und Co." und 2005 "Linux Firewalls mit Iptables".

Seit 2004 bietet er mit seiner Firma OpenSource Training Ralf Spenneberg Schulungen und Beratungen in Steinfurt an.

Kerberos/LDAP
von Mark Pröhl und Michael Weiser
Dienstag, 21.03.2006 10:00-18:00 und
Mittwoch, 22.03.2006 10:00-18:00

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos Authentisierungsdienst

Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V.

Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen.

Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.

Praxis: Aufbau einer MIT-Kerberos Realm

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC).

Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden.

Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol

Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt.

Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar.

Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP Verzeichnis-Dienstes

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP Server auf und populieren ihn mit grafischen und Kommandozeilen-Werkzeugen.

Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openssl notwenig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP Dienst kerberisiert.

Als Anwendung der aufgebauten LDAP Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung, außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.

Über die Referenten:

Mark Pröhl beendete im Januar 1999 sein Physikstudium an der Universität Tübingen mit einer Diplomarbeit am Institut für Theoretische Physik. Seine dort gesammelten Kenntnisse in der Systemadministration setzt er seit dem 1. April 1999 bei science + computing im Geschäftsbereich IT-Service Tübingen ein. Dort befasst er sich vor allem mit Betrieb und Konzeption heterogener Unix/Linux/Windows-Umgebungen und so auch intensiv mit den Infrastruktur-Komponenten Samba, LDAP und Kerberos.

Michael Weiser hat sein Studium an der Hochschule für Technik, Wirtschaft und Kultur Leipzig als Diplominformatiker (FH) abgeschlossen. Dazu gehörte auch ein integriertes Auslandsstudium am Bolton Institute in Bolton, Lancashire, UK mit dem Abschluss BA/BSc (Bachelor). Berufserfahrung sammelte er seit 1996 durch die Administration mehrerer Rechnerlaboratorien für Produktion und Ausbildung vernetzt mit Linux, SGI IRIX, Sun Solaris, Novell Netware und NeXTstep mit besonderer Ausrichtung auf Sicherheit - später durch seine Arbeit als UNIX-Systemadministrator am Bolton Institute mit Fokus auf Linux, Sun Solaris, HP-UX und Hochverfügbarkeit.

IPv6 mit Unix: Eine praktische Einführung
von Benedikt Stockebrand
Dienstag, 21.03.2006 10:00-18:00 und
Mittwoch, 22.03.2006 10:00-18:00

Ziel des Tutoriums ist es, aus Unix-Rechnern ein IPv6-Netzwerk aufzubauen, das in sich funktionsfähig ist, aber auch nahtlos in eine IPv4-Welt eingebunden werden kann.

Das nötige IPv6-Wissen, von der Terminologie über den Aufbau und die Notation von IPv6-Adressen bis zu den grundsätzlichen Unterschieden zwischen IPv4 und IPv6, eignen wir uns rund um diese Experimente an. IPv6-Vorkenntnisse sind also nicht nötig, etwas Erfahrung im Umgang mit (dem eigenen) Unix und IPv4-Netzen allerdings schon.

Wir sind darauf angewiesen, daß möglichst viele Teilnehmer einen eigenen Unix-Rechner mitbringen, auf dem die Man Pages, die gängigen Entwicklungswerkzeuge (make, cc/gcc, ld, binutils) und wenn möglich ein Packet Sniffer (tcpdump, snoop, ethereal, ...) installiert sind. Das gewählte Unix-Derivat sollte dem jeweiligen Teilnehmer einigermaßen vertraut (und IPv6-fähig) sein, andere Einschränkungen gibt es nicht. Wer das Unix in einer VMware oder ähnlichem laufen lassen will, kann das gerne tun.

Das Tutorium im Detail:

IPv6-Unterstützung im Betriebssystem: Wir richten im Betriebssystem, soweit nötig, die IPv6-Unterstützung ein und überprüfen ihre Funktionsfähigkeit.

Adresskonfiguration: Wir konfigurieren zunächst statische IPv6-Adressen. Dann richten wir Router so her, daß Hosts damit per Stateless Autoconfiguration ihre IPv6-Adressen dynamisch selbst konfigurieren können.

DNS: Wir richten DNS-Server ein, die auch über IPv6 angesprochen werden können, tragen statische Daten ein, erlauben kryptographisch abgesicherte dynamische Updates von den eingetragenen Rechnern und synchronisieren kontinuierlich die Forward und Reverse Zones miteinander.

IPv6-fähige Services: Mit SSH, NTP, Syslog, SMTP, IMAP, (x)inetd, HTTP und NFS vervollständigen wir unsere Systeme.

Routing: Wir richten auf mehreren Routern statisches und dynamisches Routing ein und untersuchen dabei einige Eigenheiten von IPv6 und Unterschiede zwischen den IPv6-Implementierungen.

Dual-Stack-Konfiguration: Wir richten Rechner mit IPv4- und IPv6-Stack ein, so daß sie sowohl auf IPv4- als auch auf IPv6-Ressourcen zugreifen können.

Application Gateways: Für DNS und HTTP bauen wir Application Gateways, die zwischen beiden Welten auf Applikationsebene vermitteln.

Protocol Translation: Ähnlich wie mit einem NAT-Gateway, das IPv4-Adressen dynamisch umschreibt, bauen wir ein TRT-Gateway, das zwischen IPv6- und IPv4-Adressen konvertiert.

Neue Funktionalitäten: Nachdem im Tutorium fast ausschließlich Funktionalitäten berücksichtigt wurden, die schon IPv4 zur Verfügung stellt, gehen wir auf interessante Features ein, die IPv4 nicht oder nur eingeschränkt zu bieten hat.

Offene Probleme: Die IPv6-Spezifikationen werden noch immer weiterentwickelt, die Implementierungen hinken mehr oder weniger stark hinterher. Wir sprechen einige Bereiche an, in denen in naher Zukunft wichtige Fortschritte zu erwarten sind.

Strategie: Abschließend diskutieren wir, wie und wann der Aufbau einer IPv6-Infrastruktur strategisch sinnvoll ist.

Die Teilnehmer müssen einen IPv6-fähigen Laptop mitbringen, um sinnvoll am Tutorium teilnehmen zu können.

Über den Referenten:

Benedikt Stockebrand ist Dipl.-Inform. und freischaffender Trainer und Systemarchitekt im Unix- und TCP/IP-Umfeld.

Seit drei Jahren ist sein Schwerpunktthema IPv6, vor allem aus Sicht der Systemadministration und -architektur. Er schreibt zur Zeit ein Buch "IPv6 -- A Unixer's Guide to the Next Generation Internet", das voraussichtlich im Mai 2006 bei Springer, Heidelberg erscheinen wird.

Wenn er sich nicht gerade mit IPv6 beschäftigt, tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de/ zu erreichen.

Rapid Web Development mit Ruby on Rails
von Thomas Baustert
Dienstag, 21.03.2006 10:00-18:00

Ruby on Rails ist ein Open Source Framework für die Entwicklung von datenbankbasierten Web-Applikationen in Ruby. Rails-Anwendungen basieren auf einer sauberen MVC-Architektur und kommen im Vergleich zu anderen Web Frameworks ohne umfangreiche Konfigurationen und mit deutlich weniger Code aus. Rails zeichnet sich durch Einfachheit und Pragmatismus aus und erfreut sich seit einigen Monaten zunehmender Beliebtheit.

Das eintägige Tutorial bietet die Möglichkeit Ruby on Rails anhand von theoretischen Grundlagen, einer Live-Demo und einer Aufgabe kennen zu lernen und einen Eindruck von der effizienten Webentwicklung mit Rails zu erhalten. Grundkenntnisse in Ruby und Webentwicklung sind hilfreich aber nicht zwingend notwendig.

Inhalt:

  • Überblick und Einführung
    • Was ist Ruby on Rails?, Komponenten, Zusammenspiel
  • Live Demo
    • Active Record (OR-Mapper)
    • Action Pack (Controller, Views)
    • Testen (Unit, Functional, Fixtures)
  • Aufgabe
    • Entwicklung einer Beispielanwendung
    • Praktische Auseinandersetzung mit dem Gelernten

Teilnehmer sollten ein Laptop mit Ruby, Rails, Datenbank (z.B. MySql), Browser und Editor mitbringen. Hinweise zur Installation finden sich unter www.rubyonrails.org. Bei Bedarf gibt der Autor Hilfestellung.

Über den Referenten:

Thomas Baustert ist freiberuflicher Berater und Coach aus Hamburg. Er beschäftigt sich seit mehreren Jahren mit der Entwicklung von Softwaresystemen, unterstützt Entwickler durch Coaching und Schulungen, publiziert und hält Vorträge rund um das Thema Software-Entwicklung. Er ist Co-Autor des Buches "Rapid Web Development mit Ruby on Rails" (Hanser, 2006). Für eine Kontaktaufnahme steht er unter thomas.baustert@b-simple.de jederzeit gerne zur Verfügung.

Vergleich AFS und GFS + Konfiguration eines GFS-Clusters
von Thomas Grimme
Ausgebucht
Dienstag, 21.03.2006 10:00-18:00
Einleitung

Storage Netzwerke werden immer komplexer. Um die Speicherkapazität und Rechenleistung unabhängig voneinander und einfach erhöhen zu können und dabei ununterbrochen hochperformanten Datenzugriff im SAN zu gewährleisten, ist ein GFS-Cluster die ideale Lösung. Das gute Preis-/Leistungsverhältnis, die kurze MTTR (Mean Time to Repair), einfache Verwaltung und Skalierbarkeit und der hohe Investitionsschutz sind schlagende Argumente für diese Lösung.

Lernen Sie in diesem Workshop, AFS, GFS, deren Unterschiede und den Aufbau eines GFS-Cluster kennen. Anschließend können Sie lernen, wie ein GFS-Cluster installiert und konfiguriert wird, und sich dabei Tipps vom Experten holen. Anhand der Success Story IP-Tech zeigen wir Ihnen, wie ein GFS-Cluster erfolgreich in der Praxis eingesetzt wird. Sie erhalten ausführliches Schulungsmaterial und die Mitarbeiter von ATIX, Spezialisten für Storage-Lösungen, werden Ihnen mit Rat und Tat zur Seite stehen.

Programm

Theoretischer Teil

  • Background File-Systeme
  • Distributed File-System: AFS
  • Cluster File-System: GFS
  • Vergleich von AFS und GFS
  • Aufbau eines GFS-Clusters
  • Success Story IP-Tech: Erfolgreicher Einsatz eines GFS Storage Clusters bei dem Schweizer Full Service Provider IP-Tech AG

Praktischer Teil

  • Konfiguration eines GFS-Clusters
  • Aufsetzen des DLM Systems
  • Anlegen von Partitionen
  • Anlegen von Pools
  • Anlegen von File-Systemen
  • Mounten der File-Systeme
  • Hostabhängige Dateisystembereiche (Context Dependent Path Names / CDPN)

Kursziel

Der Kursteilnehmer wird im theoretischen Teil Kenntnisse über die File-Systeme AFS und GFS, deren Unterschiede und Wissen über den Aufbau eines GFS-Clusters erlangen. Des weiteren wird anhand der Success Story IP-Tech gezeigt, wie ein GFS-Cluster erfolgreich in der Praxis eingesetzt wird.

Im praktischen Teil können die Teilnehmer lernen, wie ein GFS-Cluster installiert und konfiguriert wird. Die Teilnehmer bekommen ausführliches Schulungsmaterial und haben am Ende des Workshops ein fundiertes Wissen über AFS, GFS und über den GFS-Cluster.

Über den Referenten:

Dipl. Ing. Thomas Merz ist einer der Geschäftsführer von ATIX und gehört zum dreiköpfigen Gründerteam der GmbH. Er kann auf 10 Jahre Erfahrung in der IT-Branche zurückblicken. Seine Tätigkeitsschwerpunkte liegen in der Entwicklung und Implementierung von Enterprise Storage-Lösungen basierend auf SAN/NAS, hochskalierbaren Infrastrukturen für Unternehmensanwendungen und Clustern, vor allem auf Linux-Basis.

Integration von Postfix und externen Programmen
von Patrick Koetter und Ralf Hildebrandt
Mittwoch, 22.03.2006 10:00-18:00

In diesem Tutorium wollen wir demonstrieren, auf welche vielfältige Weise externe Programme und Postfix miteinander gekoppelt werden können.

Dabei behandelte Themen:

  • bounce-templates: Einbindung nicht-englischer Statusmeldungen in Postfix.
  • Postfix policy-service: Einbindung eines policy-Servers in den Postfix-Zustell-Prozeß zur feingranularen Entscheidungsfindung "Soll ich die Mail annehmen oder nicht?" Hierbei werden verschiedene Implementierungen vorgestellt (postgrey und policyd) sowie das Protokoll zwischen Postfix und dem policy-Servers erläutert.
  • content-filter: Einbindung eines externen Programmes, welches die Kontrolle über die Zustellung der Email übernimmt. Dies geschieht anhand des Beispieles von amavisd-new - einem populären Programm, das die Analyse von Email auf Spam und Viren sowie Filterung und Quarantäne ermöglicht.

Je nach einzubindender Software und Methode werden wir dabei auf die speziellen Anforderungen an die externen Programme eingehen und best practices für die Konfiguration nennen.

Über die Referenten:

Patrick Koetter betreibt state of mind, eine Agentur für Unternehmenskommunikation mit Sitz in München. Er spricht regelmäßig über Postfix, Spam- und Virenschutz sowie Mailserver im Allgemeinen auf Konferenzen. Er ist aktiver Teilnehmer und Ratgeber auf mehreren Mailinglisten und führt Postfix-Schulungen durch.

Ralf Hildebrandt verwendet Linux seit 1999 und arbeitete bereits seit 1994 auf UNIX-Systemen (Solaris, HP-UX) als Systemadministrator. Seit 5 Jahren ist er im Linux/UNIX-Feld als Systemadministrator tätig. Seine Spezialthemen sind E-Mail, Proxies, Virenscan und DNS.

2005 haben beide gemeinsam "The Book of Postfix" veröffentlicht. Diesem folgten im selben Jahr die überarbeitete deutsche Fassung "Postfix - Einrichtung, Betrieb und Wartung". Im Moment arbeiten beide an einer ordentlichen Dokumentation für amavisd-new.

Solaris Datapath Workshop: NFSv4 und ZFS
von Ulrich Gräf und Detlef Drewanz
Mittwoch, 22.03.2006 10:00-18:00

Mit NFSv4 und ZFS stehen neue Möglichkeiten zur Verwaltung von Daten im Rechenzentrum zur Verfügung. Beide Technologien sind via OpenSource (CDDL) nutzbar und in Solaris/OpenSolaris implementiert. Stand heute sind von NFSv4 auch Implementierungen für andere Betriebssysteme bekannt (Windows, BSD, MacOS, Linux, ...).

NFSv4 ist eine neue Version des NFS Protokolls, die erhebliche Verbesserungen bietet. NFSv4 ist rückwärtskompatibel. Zusätzlich ist im Bereich Security die Authentisierung über den Server erzwingbar, wodurch Attacken aus dem Netzwerk erschwert werden (Brechen eines starken Codes notwendig). Der gesamte Datenverkehr ist verschlüsselbar. Die Nutzung im WAN ist nun realistisch, da NFSv4 nur noch einen TCP-Port nutzt und keinen UDP-Verkehr mehr benötigt; damit ist NFS über Firewalls einfach und sicher nutzbar. Beim Einsatz von NFSv4 im RZ bringen größere Pakete und die Nutzung von RDMA Vorteile. Die Adminstration, das Tuning und die Pflege von NFS-Servern wird durch neue Möglichkeiten der Replikation (mit Loadbalancing), Delegation und Migration vereinfacht.

Mit ZFS bietet Sun ein Filesystem einer neuen Generation an. Die traditionelle Trennung von Volume Manager und Filesystem wird hier durchbrochen, um zusammen mit Checksums in jedem Block eine erhöhte Datenverfügbarkeit zu gewährleisten. Dies ist umso wichtiger, weil mit dem Anwachsen der Plattengrößen und Sinken der Preise die Daten mehr und mehr nur auf (anderen) Platten gesichert werden. Daten werden damit plötzlich gegenüber punktuellen Fehlern empfindlich. Gleichzeitig erhält das Filesystem wieder die Möglichkeit I/O optimal auf die Platten zu verteilen. Die Administration wird durch Nutzen eines "pooled storage" Konzeptes erheblich vereinfacht und schneller (zeitsparend). ZFS enthält weiterhin ein Transaktionskonzept ähnlich wie in Datenbanken, wodurch das Filesystem immer konsistent bleibt. Weiterhin nutzt ZFS intern 128-Bit Pointer (zukunftssicher), bietet erweiterte Attribute (extended attributes), Windows-Attribute und Plugin-Möglichkeiten (Kompression wird mitgeliefert).

In diesem Tutorium wollen wir die Datapath Technologien vorstellen (vormittag) und danach damit experimentieren (nachmittag).

Explizit sind Teilnehmer mit Laptops erwünscht, die am Experimentieren teilnehmen möchten:

  • Für NFSv4 und ZFS sollte ein
    • OpenSolaris ab Build 27a
    • oder ein Solaris Express ab Build 12/2005
    installiert sein.
  • Alternativ kann ein anderes NFSv4 unterstützendes OS installiert sein.

Über die Referenten:

Ulrich Gräf ist seit 13 Jahren bei Sun tätig; davon 4 Jahre im deutschen Benchmark-Zentrum von Sun und die vergangenen 5 Jahre als OS Ambassador deutschlandweit für Betriebssysteme und Performance. Davor war er Mitarbeiter der TH Darmstadt, Institut für Theoretische Informatik, FG Systemprogrammierung.

Detlef Drewanz ist seit 7 Jahren bei Sun tätig. Seit 2 Jahren ist er als OS Ambassador deutschlandweit für Betriebsysteme und Solaris x86 zuständig. Davor war er Mitarbeiter an der Uni Rostock, FB Informatik und bei Hitachi.

Drucken in Netzwerken mit CUPS, Foomatic und Samba
von Till Kamppeter
Mittwoch, 22.03.2006 10:00-18:00

Drucken ist oft ein besonderer Problemfall in Netzwerkumgebungen. Häufig hat man einen wahren Dschungel vor sich: Verschiedene Druckersprachen und -protokolle, diverse Netzwerkprotokolle, Koexistenz zentraler Druckserver und Peer-to-Peer-Drucken, oft nicht ohne Konflikte. Den Administratoren geht viel Zeit beim Lösen von Druckproblemen der Benutzer verloren, und die verursachten Gesamtkosten sind oft unbekannt.

Es besteht eine Tendenz, Druckserver (und auch andere Server) auf Linux umzustellen, selbst wenn auf den Clients noch hauptsächlich Microsoft-Betriebssysteme zum Einsatz kommen. Die Server basieren dann in der Regel auf dem CUPS-Drucksystem, welches eng mit Samba zusammenarbeitet und damit auch Windows-basierte Clients erreicht.

CUPS bietet einige Features, die es bei anderen Drucksystemen nicht gibt. Insbesondere enthält es netwerktransparente PostScript-RIP-Funktionalität auf Software-Basis. Damit können von den Clients alle Drucker als PostScript-Drucker betrachtet werden (auch einfache Nicht-PostScript-Tintendrucker). Basierend auf dem IETF-Standard für das Drucken in Netzwerken, IPP (Internet Printing Protocol), ist CUPS dazu entwickelt worden, LPD zu ersetzen.

CUPS erlaubt Zugriff auf die volle Funktionalität der Drucker (Auflösung, doppelseitig drucken, heften, falten, ...) von allen Client-Rechnern und zwar durch Verwendung und Erweiterung des Quasi-Standards der PPD-Dateien (PostScript Printer Description).

Es wird inzwischen als Standarddrucksystem von allen gängigen Linux-Distributionen und von Mac OS X verwendet. Es kann auch leicht in kommerziellen Unix-Systemen verwendet werden, und Client-Software für Windows ist in Entwicklung.

CUPS-Clients profitieren vom automatischen Setup. Sie finden im Netzwerk verfügbare Drucker automatisch und dadurch ist keinerlei Eingriff durch Benutzer oder Administrator erforderlich, wenn auf Servern etwas geändert wird, wie etwa Hinzufügen oder Entfernen von Druckern. Windows-Clients machen von der automatischen Treiberinstallation via "Point and Print" von Samba Gebrauch.

Dieses Tutorial soll zeigen, wie Druckserver mit CUPS, Foomatic und Samba aufgesetzt werden:

  • Wie die Druck-Infrastruktur mit CUPS auf dem Linux-Server eingerichtet wird
  • Host-basiertes PostScript für Nicht-PostScript-Drucker: GhostScript und Foomatic
  • Welchen Drucker kaufen? Tinte? Laser? Welche Marken und Modelle funktionieren am besten?
  • Wie Samba konfiguriert wird, so dass es die CUPS-Drucker für Windows-Rechner verfügbar macht, insbesondere mit "Point and Print" und dem CUPS-Server als PostScript-RIP.
  • Erstellen von eigenen CUPS-Filtern für neue Dateiformate oder Wasserzeichen, etc.
  • Sicherheit auf dem CUPS-Server: Zugriff für bestimmte Clients, Authentifizierung.
  • Hochverfügbarkeit durch redundante CUPS-Server und Drucker.
  • Ausblick: Was ist neu bei CUPS 1.2?

Und all das wird nicht nur einfach vorgetragen, sondern von vielen Live-Demonstrationen begleitet.

Über den Referenten:

Till Kamppeter war während seiner Doktorarbeit in Theoretischer Physik in Bayreuth als Systemadministrator für Unix und Linux tätig. Dadurch ist er zur freien Software gekommen. Nach diversen Beiträgen zu X-CD-Roast kam XPP als sein erstes eigenes Projekt. XPP hat ihn dann im August 2000 zu Mandrakesoft (heute Mandriva) in Paris geführt. Dort ist er für Drucken und Digital Imaging in Mandriva Linux zuständig.

Er leitet das linuxprinting.org-Projekt mit der Drucker-Kompatibilitätsdatenbank und der Foomatic-Software. Er hat das System deutlich verbessert, und zur Zeit ist es der Standard zur Druckertreiberintegration in allen wichtigen Linux-Distributionen. Er ist auch in der OpenPrinting-Arbeitsgruppe von freestandards.org tätig. Er tritt regelmäßig auf Veranstaltungen mit Vorträgen, Tutorials und Ständen zum Thema Drucken und Digitale Fotografie mit freier Software auf und hat auch viele Artikel zum Thema geschrieben. Zur Zeit ist er zusammen mit dem OSDL mit der Organisation des Printing Summits 2006 im April beschäftigt.

Verrückte Anti-Spam-Ideen und warum sie nicht funktionieren
von Jochen Topf
Donnerstag, 23.03.2006 9:30-10:15

Das Spam-Problem wächst uns über den Kopf. Und wenn die Standardlösungen nicht mehr auszureichen scheinen, dann müssen eben Voodoo und Wunderdoktoren ran. In ihrer Verzweiflung kommen manchen Leuten die merkwürdigsten Ideen, wie man dem Spam zu Leibe rücken kann. Es gibt viele Ideen, die auf den ersten Blick durchaus sinnvoll erscheinen, aber nach einer genaueren Betrachtung doch eher kontraproduktiv sind. In diesem Vortrag will ich näher auf verschiedene solcher Massnahmen eingehen und auch erklären, warum sie nicht funktionieren können.

Über den Referenten:

Jochen Topf (Jahrgang 1970) arbeitet seit 1995 als selbständiger Berater, Entwickler und Systemadministrator in der Internetwirtschaft. Schwerpunkt seiner Arbeit waren von Anfang E-Mail-Systeme. So hat er entscheidend an der Entwicklung des ersten großen E-Mail-Systems für die damals im Aufbau befindlichen Internetaktivitäten von T-Online mitgewirkt und dann das E-Mail-System für Schlund+Partner/1&1 entworfen und aufgebaut. Jochen Topf ist Co-Autor der im Mai 2005 erschienenen Studie "Antispam-Strategien" des Bundeamtes für Sicherheit in der Informationstechnik (BSI).

Open Source-basierte Virtualisierung mit XEN
von Kai Dupke
Donnerstag, 23.03.2006 10:15-11:00

Serverkonsolidierung und -virtualisierung sind aktuelle Schlagworte in den Rechenzentren. Beide Verfahren sollen sowohl die Prozesse optimieren, als auch durch eine bessere Systemauslastung Kosten senken. Neben den an sich bereits etablierten Closed-Source-Systemen wie Microsoft VirtualServer oder VMware ESX-Server ist mit XEN ein Open Source-basiertes System beim Kampf um die Gunst der Anwender in den Ring gestiegen. XEN ermöglicht die Virtualiserung und Konsolidierung von Linux-und BSD-Systemen. Durch die GPL-Lizenz erreicht XEN ein unschlagbares Preis-Leistungs-Verhältnis. Der Referent gibt einen Überblick über die Hintergründe der Virtualisierung und Konsolidierung und stellt das Konzept und die Möglichkeiten von XEN vor.

Über den Referenten:

Kai Dupke ist seit Anfang 2000 bei der probusiness AG, Hannover, für den Geschäftsbereich Linux zuständig. Seit dem Geschäftjahr 2005 leitet er den Bereich Open Source Business, einen Zusammenschluss der vorher eigenständigen Bereiche Linux und Open Source Entwicklung. Als Projektberater unterstützt er über die Kernbereiche Linux und Open Source hinaus Kunden in den Bereichen Konsolidierung, Virtualisierung sowie Hochverfügbarkeitsszenarien. Vor seiner Tätigkeit bei der probusiness AG hat er als freier Systemberater kaufmännische Komplettlösungen in Industrie und Handel implementiert und betreut. Kai Dupke beschäftigt sich seit 1992 mit Linux, er hat in den Bereichen ISDN und Portierung auf die Alpha-Plattform mitgewirkt. Er ist Inhaber einer RHCE- sowie LPI-Zertifizierung und hat in den letzten Jahren vielfältige Veröffentlichungen und Vorträge in den Bereichen Linux, Open Source und Virtualisierung gemacht.

AppArmor als Sicherheitslösung
von Ralf Spenneberg
Donnerstag, 23.03.2006 10:15-11:00

Immunix hat AppArmor als LSM-basierende Sicherheitslösung für Linux entwickelt und kommerziell vermarktet. Nach dem Kauf durch Novell wurde diese Lösung von Novell zunächst für die Suse-Linux-Enterprise-Server-Produktlinie verwendet. Seit einigen Tagen ist diese Lösung nun Open-Source und kann von jedem Anwender eingesetzt werden. Im Gegensatz zu SELinux versucht AppArmor nicht einen ganzheitlichen Ansatz, sondern schützt das System nur vor dem Missverhalten einzelner Anwendungen. Dadurch ist AppArmor aber auch einfacher zu implementieren und zu warten.

Über den Referenten:

Ralf Spenneberg verwendet Linux seit 1992 und arbeitete bereits 1994 als UNIX (Solaris, AIX) Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/UNIX-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux", 2004 "Intrusion Detection und Prevention mit Snort 2 und Co." und 2005 "Linux Firewalls mit Iptables".

Seit 2004 bietet er mit seiner Firma OpenSource Training Ralf Spenneberg Schulungen und Beratungen in Steinfurt an.

ZFS - Ein Filesystem einer neuen Generation
von Ulrich Gräf
Donnerstag, 23.03.2006 11:30-12:15

ZFS ist ein neues OpenSource-Filesystem, das in OpenSolaris seit November 2005 (ab Build 27a) zugänglich ist.

ZFS ist ein 128 Bit Filesystem. Damit ist das Filesystem zukunftssicher (64 Bit Filesysteme werden bei Fortsetzen der derzeitigen Entwicklung ca 2015 überlaufen).

ZFS bietet "pooled storage". Das ist nicht weniger als die Integration des Volume Managers ins Filesystem. Dies erleichtert die Administration und verbessert die Ausnutzung, da Fragmentierung vermieden wird. Die Administration wird gegenüber einem Konzept mit Volume-Manager mit Filessystem vereinfacht; alle Kommandos laufen ohne Wartezeit, und Platz ist online modifizierbar.

ZFS implementiert ein Transaktionskonzept auf Basis von Copy-On-Write, womit ein fsck entfällt, da das Filesystem zu jedem Zeitpunkt konsistent bleibt. Hiermit wird auch möglich, die Metadaten wie die Nutzdaten abzulegen.

Mit dem Transaktionskonzept werden weiterhin unlimitert viele Snapshots (festgefrorener Zustand, read/only) implementiert. Aus einem Snapshot kann man eine/mehrere neue Variante(n) des Filesystems erzeugen, deren Inhalt sich anders entwickelt (Clone, read/write). Snapshot und Clone kommen ohne Kopien von Daten aus, gemeinsame Dateien belegen nur einmal Speicherplatz.

ZFS schützt alle Daten und Metadaten mit langen Prüfsummen. Zusammen mit dem "pooled storage"-Konzept ist erstmals die automatische Reparatur von Fehlern möglich, da bisherige Volume Manager keinen Zugriff auf den Spiegel erlauben.

In früheren Filesystemen sind einige Parameter vorhanden, die nur zum Zeitpunkt des Erzeugens des Filesystems setzbar sind. Mit ZFS sind alle Einstellungen Attribute des Filesystems und online einstellbar.

Die Attribute von Dateien werden ergänzt durch extended attributes (xattr wie bei UFS; beliebig viele benamte Attribute beliebiger Größe) und Windows Attribute. Dadurch werden Fileservices für die MacOS und Windows vereinfacht (Attributemulaton nicht mehr notwendig).

Kommandos zum Sichern und Restaurieren eines ZFS Filesystems sowie zum Überwachen von IO und Fehlern komplettieren den Befehlsumfang.

Über den Referenten:

Ulrich Gräf ist seit 13 Jahren bei Sun tätig; davon 4 Jahre im deutschen Benchmark-Zentrum von Sun und die vergangenen 5 Jahre als OS Ambassador deutschlandweit für Betriebssysteme und Performance. Davor war er Mitarbeiter der TH Darmstadt, Institut für Theoretische Informatik, FG Systemprogrammierung.

PyFWBuilder - Firewallinfrastruktur zentralisieren
von Heiko Wundram
Donnerstag, 23.03.2006 11:30-12:15

Im Rahmen der Firewall-Administration innerhalb eines Netzes gibt es gerade im kleineren Bereich wie zum Beispiel in Studierendennetzen unterschiedliche Ansätze, um diese effektiv zu verwalten. Hierbei tun sich einige Open-Source-Lösungen wie zum Beispiel fwbuilder oder bastille hevor, die versprechen, für einen Firewall-Host die Erstellung von Regeln einfach bzw. übersichtlich zu machen. Man hat eine Konfigurationsdatei zu editieren, die z.B. durch eine Art Compiler in Regeln umgesetzt wird, welche dann auf einem einzelnen Host eingespielt werden.

Ein großes Problem dieser Tools ist jedoch die Unkenntnis über die vorhandene Netzwerktopologie, die es zum Beispiel nötig machen kann, mehrere Firewall-Hosts zu durchqueren, damit ein Host mit der Außenwelt oder die Außenwelt mit ihm reden kann. Der Benutzer muß dann die Kommunikationswege in allen zwischengeschalteten Hosts explizit freischalten, ohne dass die Tools dieses für ihn automatisieren würden.

PyFWBuilder probiert in diese Lücke als Open-Source-Projekt einzudringen, indem es neben den Firewall-Regeln für einen einzelnen Host einen Überblick über die Netz-Topologie hat (welcher entweder per SNMP gewonnen oder per Hand eingegeben werden kann), so dass mittels eines Graph-basierten Algorithmus Regeln für einen Host nicht nur auf diesem zur Verwendung kommen, sondern auch auf den Firewalls des Netzes eingesetzt werden.

Der Algorithmus ist eine Art Least-Cost-Pfad-Suche mit Constraints, der die bekannten Informationen über das Netz ausnutzt, um einen Paketpfad für eine bestimmte Regel zu erzeugen. Dieser Paketpfad wird dann mittels der angegeben Firewall-Regeln für den Start-/Ziel-host freigeschaltet durch ein austauschbares Compiler-Backend.

Momentan kann PyFWBuilder nur iptables-basierte Firewalls erzeugen für angegebene Hosts, es sollte jedoch mittels der internen Abstraktion kein Problem sein, dieses auch auf andere Systeme zu erweitern, da der Hauptteil des Scripts eine Zwischendarstellung erzeugt, welche dann durch einen Compiler in das eigentliche Shell-Skript umgesetzt wird. Interessant wäre es auch, ein graphisches Frontend zur Administration zu schreiben, welches den Graphen direkt editierbar anzeigt, dies ist momentan angedacht.

Abschließend bleibt vielleicht noch zur Infrastruktur zu sagen, dass PyFWBuilder ein in Python geschriebenes Script ist, welches von der Internet-AG der Medizinischen Hochschule Hannover betreut wird. Momentan ist es noch nicht in einer öffentlichen Version verfügbar, wird aber bereits aktiv eingesetzt, und wird nach Rücksprache mit dem Hochschul-Rechenzentrum, das das Programm auch einsetzt, von den Autoren innerhalb der nächsten zwei Wochen freigegeben werden. Es wird unter einer BSD-Lizenz entwickelt.

Über den Referenten:

Heiko Wundram, 23, ist seit 2004 Student der Humanmedizin an der Medizinischen Hochschule Hannover.

Er hat von 2001 bis 2004 Informatik an der Universität des Saarlandes, in Saarbrücken studiert und möchte eine Bachelorarbeit in Informatik an der Universität Hannover beginnen, wenn dies von der Medizinischen Hochschule erlaubt wird.

Nebenbei ist er aktiv in der Python- und Gentoo-Gemeinde und Betreuer des Studierendennetzes der Medizinischen Hochschule Hannover.

Aktuelle Entwicklungstrends bei Postfix, Antispam-Maßnahmen durch policy-Delegation
von Ralf Hildebrandt und Patrick Koetter
Donnerstag, 23.03.2006 12:15-13:00

Postfix hat mittlerweile sendmail an Codegröße übertroffen -- und die Entwicklung geht noch immer weiter. In welche Richtung geht die Entwicklung, welche neuen Features werden noch hinzugefügt?

Bereiche:

  • Alternative Authenfizierungsmechanismen (nie wieder cyrus-SASL)
  • Verfeinerung des TLS-Supports (alter Patch war unvollständig)
  • Verallgemeinerungen von LTMP/SMTP-Clients
  • RFC zu Code Ratio

Antispam-Maßnahmen durch policy-Delegation: Postfix kann in aktuellen Versionen Policy-Entscheidungen an externe Programme delegieren, welche anhand zahlreicher Kriterien über die Annahme und das Abweisen von Mail entscheiden können. Hier werden die Grundlagen sowie einige Implementationen beleuchtet.

Über die Referenten:

Ralf Hildebrandt verwendet Linux seit 1999 und arbeitet bereits seit 1994 auf UNIX-Systemen (Solaris, HP-UX) als Systemadministrator. Seit 5 Jahren ist er im Linux/UNIX-Feld als Systemadministrator tätig. Seine Spezialthemen sind E-Mail, Proxies, Virenscan und DNS.

Patrick Koetter betreibt state of mind, eine Agentur für Unternehmenskommunikation mit Sitz in München. Er spricht regelmäßig über Postfix, Spam- und Virenschutz sowie Mailserver im Allgemeinen auf Konferenzen. Er ist aktiver Teilnehmer und Ratgeber auf mehreren Mailinglisten und führt Postfix-Schulungen durch.

2005 haben beide gemeinsam "The Book of Postfix" veröffentlicht. Diesem folgten im selben Jahr die überarbeitete deutsche Fassung "Postfix - Einrichtung, Betrieb und Wartung". Im Moment arbeiten beide an einer ordentlichen Dokumentation für amavisd-new.

sspe: simple security policy editor
von Johannes Hubertz
Donnerstag, 23.03.2006 12:15-13:00

Die unter GPL lizensierte Software ist eine zentrale Administrationsplatform zur Steuerung beliebig vieler Linux-Firewalls mit genau einem Regelsatz. In der Folge entsteht über alle Geräte eine konsistente Filterung ohne Kompromisse. Die Einfachheit der Regeln eine Abstraktionsstufe oberhalb von iptables macht Firewalling verständlich und einfach genug, um Spaß an der Sache zu entwickeln. Die Generierung von FreeSwan-Konfigs macht die IPSec-Standortvernetzung mit minimalem Aufwand beherrschbar und nutzbar, die IP-Filterung hält ungebetene Gäste draußen.

CIDR-Definitionen von Hosts und Netzen werden in Regeln benutzt, um per Script unter Berücksichtigung der jeweiligen Routingtabellen und Interfaces iptables-Kommandos zu erzeugen. Diese werden mit ssh zum Ziel kopiert und dort ausgeführt, konfigurierbare zeitliche Abhängigkeiten unter den Zielmaschinen erlauben unterbrechungsfreies Arbeiten der Nutzer trotz Erneuerung der IP-Filter. Der Administrator editiert nur einfache ASCII-Dateien, bequem und schnell zugleich. Eine 'vollständige', jeweils aktuelle Dokumentation der vorhandenen Geräte, Definitionen und Filterregeln in Verbindung mit einmal editierten Texten und Graphiken wird mittels LaTeX als PDF und damit sauber druckbar ausgegeben.

SSPE wurde im Frühjahr 2002 begonnen und stellt eine stabile und dank Linux trotzdem flexible Lösung für komplexe Firmen-Netzwerke dar, die aufgrund des freien und kostenlosen Charakters auch auf beliebig vielen internen Servern und Routern die einzelnen Abschnitte gegeneinander schützen kann. Die Vernetzung mehrerer Standorte ist dank automatischer Generierung der FreeSwan-Konfigurationen für die Standort-Gateways unproblematisch und schnell an neue Bedürfnisse anpassbar. Die Software hat in den letzten Jahren an vielen Stellen ihre Brauchbarkeit sowohl in technischer wie auch wirtschaftlicher Hinsicht bewiesen. Bei einem IT-Outsourcer entstanden, ist sie genau auf dessen Belange zugeschnitten, um schnell an neue Kunden und deren Netze angepasst zu werden. So kann, wenn erwünscht, mit einer Installation auch für mehrere Kunden Sicherheits-Dienstleistung effektiv erbracht werden.

Hochverfügbare VPNs, Außendienstler und andere Besonderheiten sind mit der 'Skript'-Programmierung einfach und schnell anpassbar. Mit symbolischen Links auf Dateiebene entsteht genau die Flexiblität für den Administrator, die kommerzielle Lösungen vermissen lassen. In Verbindung mit einer in OpenSSL realisierten PKI lassen sich zertifikatsbasierte Authentisierungen am IPSec-Gateway nutzen, um per L2TP interne Adressen dem im Internet agierenden Mitarbeiter zuzuweisen und so die IP-Filter auch für ihn wirksam zu gestalten, ohne 'any'-regeln zu benutzen. Für mehrere, an einem Ort arbeitende Mitarbeiter wurde ein Aussendienstgateway entwickelt, welches dank Prototypenbau innerhalb von 20 Minuten einsatzbereit ist, um einen Standort am ADSL-Anschluss zu realisieren.

Das Projekt sucht auch weiterhin Interessierte, die durch eigene Programmierung die Funktionalität erweitern wollen. So bietet sich beispielsweise an, die Filtererzeugung auf verwandte Unices auszudehnen, BSD oder auch Solaris sind ebenfalls weit verbreitet und verfügen über ähnliche IP-Filter-Mechanismen.

Über den Referenten:

Johannes Hubertz wurde 1954 in Köln geboren und studierte nach seinem Abitur ab 1973 etwas Elektrotechnik in Aachen. Ab 1980 arbeitete er bei Bull, einer europäischen IT-Firma, erst in der Hardware-Reparatur, dann ab 1984 in der Softwareentwicklung für Datenerfassungs- und -übertragungsgeräte.

Mit Unix kam er erst 1987 in Form von Xenix in Berührung, später mit AIX, SCO-Unix und anderen Derivaten. Richtig gefallen hat ihm nur Linux, da er sich da die Bits einzeln so genau ansehen kann, wie er gerne möchte. Ab 1996 beschäftigte er sich mit dem Internet und den dazu benötigten elektrischen Geräten. Das Betreiben von Routern, Email-, DNS-, News- und Webservern, u.a. auch www.bundestag.de, war eine schöne Herausforderung und schulte in Sachen Verfügbarkeit und Systemkenntnis.

Ab dem Frühjahr 1997 war nur noch IT-Sicherheit sein Thema, zuerst war ssleay angesagt, um eine AS400 für Aussendienstler per Browser verfügbar zu machen, später kamen andere Sicherheitsthemen hinzu. IPSec und PKI wurden oft und gerne für Kunden implementiert.

Ab 1998 setzte er Linux bei seinem Arbeitgeber für einige sicherheitskritische Anwendungen wie Routing, DNS und Server-Überwachung ein, dabei wurde Debian schnell der Favorit. Dies blieb auch beim neuen Arbeitgeber Steria so, für den eine kostengünstige Firewall- und VPN-Lösung zur Verwendung im eigenen Haus und beim Kunden entwickelt werden musste. Seit August 2005 betreibt er diese Lösungen mit seiner hubertz-it-consulting GmbH weiter.

Samba 3.0 and beyond
von Volker Lendecke
Donnerstag, 23.03.2006 14:30-15:15

Wie bereits in vielen Vorträgen und Artikeln beschrieben wurde, ist das Samba-Projekt momentan in 2 Teilprojekte aufgeteilt. Samba 3 ist der Code, den das Samba Team als stabil publiziert. Samba 4 ist ein Forschungsprojekt, das in der Zukunft Samba 3 ablösen soll und einen vollen Active Directory Domain Controller beinhalten wird.

Der aktuelle Vortrag wird eine Übersicht über den Stand von Samba 3 und Samba 4 beinhalten.

In den letzten Monaten hat die Entwicklung von Samba 3 wieder deutlich an Fahrt aufgenommen. Die Zahl der grundlegenden Änderungen, die im Moment auf Integration warten, wird länger und länger. Gerade in den letzten Wochen sind einige neue Features in Samba 3 aufgenommen worden, die riskanter sind als reine Bugfixes. Daher haben wir uns entschlossen, doch eine Version Samba 3.2 herauszubringen.

Ein Auszug aus den Features in Samba 3, die teilweise bereits integriert sind:

  • Remote Performance Monitor: Samba 3.0.21 enthält einen Dämon, mit dem auf dem Samba-Server Performancedaten gesammelt werden können. Diese können mit dem Werkzeug perfmon.exe von Windows aus ausgelesen werden. Durch die Windows-Kompatibilität öffnet sich ein Samba-Server einer neuen Klasse von Management-Tools.
  • Remote Service Management: Windows kann Remote Dienste starten und stoppen. Samba 3.0.21 kann über dieses Interface Unix-Dämonen steuern.
  • Gleiches gilt für den syslogd: Ein Export über die entsprechende Windows-Schnittstelle ist möglich.
  • Winbind bekommt einen Offline-Modus für Linux Workstations: Ein Benutzer, der sich im Firmennetz an seiner Workstation angemeldet hat, möchte seinen Laptop normal auch zuhause benutzen. Ohne dass die Windows-Domäne verfügbar ist, wird winbind in der Lage sein, den Benutzer mit gecachten Credentials zu authentifizieren.
  • Winbind wird in der Lage sein, anstelle des Users dafür zu sorgen, dass Renewable Kerberos Tickets automatisch erneuert werden. Optional wird winbind das tun, was Windows-Workstations ebenfalls tun: Abgelaufene Tickets werden anhand des gecachten Passworts erneuert.
  • Das Mapping zwischen Unix-IDs und Windows-SIDs ist komplett umgeschrieben worden. Dies ist notwendig, um viele Probleme mit lokalen, verschachtelten Gruppen zu lösen.
  • "Normale" Benutzer werden in der Lage sein, Freigaben von ihrer Workstation zu machen, ohne dass sie root-Rechte benötigen.

Der Vortrag wird ebenfalls einen aktuellen Stand von Samba 4 beinhalten. Da Samba 4 deutlich mehr im Fluss ist, kann man nicht wirklich sagen, was ich im Detail erzählen werde. Ziel der Samba4-Entwickler ist es, bis Ende Januar eine Technology Preview freizugeben. Wenn das klappt, wird es eine Demonstration des AD-Domänencontrollers geben.

Über den Referenten:

Volker Lendecke ist seit langem Mitglied des Samba-Core-Teams und Mitbegründer der SerNet Service Network GmbH in Göttingen. Dort ist er zuständig für Beratung und Schulung sowie für die Entwicklung von Samba und anderen Open Source Produkten.

Security Audits mit BOSS
von Lukas Grunwald
Donnerstag, 23.03.2006 14:30-15:15

Es wird gezeigt, wie mit Hilfe von BOSS, einem freien Software-Paket, ein Rechnernetz und u.A. ein UNIX-Server auf Sicherheitsschwachstellen geprüft werden kann.

Dabei wird auf die Arbeitsorganisation des methodischen und strukturierten Audits von Servern eingegangen.

Besonders wird auf den Konflikt zwischen der Technologie und Administration sowie die Meta-Ebenen Revision, IT-Management und den daraus resultierenden Spannungen zwischen Wunsch und Wirklichkeit eingegangen.

Dabei wird Wert gelegt auf die Interpretation, das Vorgehen bei einem Audit und dessen Auswertung. Es wird außerdem exemplarisch vorgestellt, wie man mit den BSI-Tools BOSS und SLAD eine permanente, automatisierte Security-Überwachung aufbauen kann.

Über den Referenten:

Lukas Grunwald ist CTO und IT-Security Senior Consultant der 1988 gegründeten DN-Systems Enterprise Internet Solution GmbH, Hildesheim.

Lukas Grunwald übernahm die Geschäftsleitung des auf IT-Sicherheitsprodukte und -dienstleistungen spezialisierten, global agierenden Beratungsunternehmens im Jahr 2001. DN-Systems gilt als bedeutender Spezialist in IT-Sicherheitsbereichen wie tiefgehenden forensischen Analysen von IT-Vorfällen oder RFID-Sicherheit. IT-Forensik ist die organisierte Sicherung von Beweisen und Unternehmenswerten nach einem Angriff. Neben zahlreichen Security-Audits leitete er forensische Analysen für große deutsche Unternehmen. Zudem führte er verschiedene Labor- und Penetrations-Tests im Auftrag von Herstellern von Sicherheitslösungen in den Bereichen Content Security, Firewall, Security-Administration, Gateway-Protection und Mail-Gateways durch.

Bereits seit 15 Jahren ist Lukas Grunwald im IT-Bereich tätig, unter anderem gründete er die TNX-Total Network GmbH. Er hält regelmäßig Vorträge zu Linux- und Sicherheits-Themen. Außerdem verfasste er zahlreiche Artikel - unter anderem für das "iX-Magazin für professionelle Informationstechnik" des Heise Verlags - und Whitepapers zur IT-Sicherheit.

Samba als Active/Active-HA Dienst mit Shared Storage
von Thomas Grimme
Donnerstag, 23.03.2006 15:15-16:00

Samba ist schon lange als verlässlicher File-Server in Windows Domains im Einsatz. Aber auch Samba, Linux selbst und die benutzte Hardware sind nicht vor Fehlern sicher. Um einen hochverfügbaren Dienst zur Verfügung stellen zu können, kann Samba mittels Active/Active Cluster-Konfiguration auf einem Shared Storage File-System Ausfälle leichter abfangen und einzelne Shares je nach Zugriffs-Belastung im laufenden Betrieb auf einen anderen Server verlagern. Dies geschieht, ohne die grundlegende File-Systemstruktur und das Hardware-Layout verändern zu müssen.

Über den Referenten:

Dipl. Ing. Thomas Merz ist einer der Geschäftsführer von ATIX und gehört zum dreiköpfigen Gründerteam der GmbH. Er kann auf 10 Jahre Erfahrung in der IT-Branche zurückblicken. Seine Tätigkeitsschwerpunkte liegen in der Entwicklung und Implementierung von Enterprise Storage-Lösungen basierend auf SAN/NAS, hochskalierbaren Infrastrukturen für Unternehmensanwendungen und Clustern, vor allem auf Linux-Basis.

Neue Trends im Webhacking
von Christopher Kunz
Donnerstag, 23.03.2006 15:15-16:00

Das Jahr 2005 war ein Jahr voller neuer Entwicklungen für PHP aber auch für die Securityszene. Neben altbekannten Lücken wie Cross-Site-Scripting und SQL-Injection sind weniger verbreitete Probleme wie XSRF, HTTP Response Splitting und Session-Fixation aufgetaucht. Zuvor noch als sicher geltende Applikationen weisen völlig neue Lücken auf, die teilweise beängstigend leicht ausgenutzt werden können. Die Autoren zeigen auf, wie diese neuen Angriffstechniken funktionieren und wie man sich und seine Webapplikation davor schützen kann. Die Angriffe werden anhand von einfach zu verstehenden Praxisbeispielen erläutert und Lösungen aus der Praxis aufgezeigt.

Über den Referenten:

Christopher Kunz ist Mitinhaber der Filoo GmbH, die Hosting, Housing und PHP-Consulting anbietet. Er ist Mitglied im Hardened-PHP Project und kümmert sich dort hauptsächlich um Dokumentation, Kommunikation und Advisories. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent auf mehreren PHP-Konferenzen zu sehen. Christopher Kunz ist einer der Autoren des Buches "PHP-Sicherheit", erschienen im dpunkt Verlag. Er lebt in Hannover und studiert an der dortigen Universität Informatik.

Eine Einführung in die Konzepte von VoIP mit Asterisk als Beispiel
von Michael Schwab
Donnerstag, 23.03.2006 16:30-17:15

Dieser Vortrag bietet eine allgemeine Einführung in VoIP. Enthalten sind im Wesentlichen die Themen, die auch in meinem Artikel in der Uptimes Dezember 2005 behandelt werden, allerdings mit dem Schwerpunkt auf den Konzepten hinter VoIP. Im Einzelnen werden die grundlegenden Aspekte von VoIP wie z.B. SIP, IAX, ENUM, Sinn und Zweck verschiedener Codecs, Angebote verschiedener VoIP Provider wie Sipgate - 1und1 - QSC - fwdout.net, Sicherheit, Verfügbare Endgeräte, Trafficshaping, Erfahrungen im Betrieb behandelt. Im zweiten, wesentlich kürzer gehaltenen Teil, wird ein Überblick über die Funktionen und Installation von Asterisk gegeben. Dem Vortragsteilnehmer soll ein Überblick über den derzeitigen Stand von VoIP gegeben werden, damit er beurteilen kann, ob der Einsatz von VoIP für ihn sinnvoll ist.

Über den Referenten:

Michael Schwab ist mit seinem Unternehmen www.de-solution.de im Bereich "Internetbasierte Kommunikationslösungen und Datenbanksysteme" tätig. Er beschäftigt sich seit 1998 umfassend mit VoIP und seit Anfang 2004 speziell mit Asterisk. Durch seine Erfahrungen bei Schulungen und Auftragsinstallationen im VoIP Bereich kann er einen praxisorientierten Überblick über den derzeitigen Stand von Asterisk und VoIP im allgemeinen geben.

Proaktive Infrastrukturüberwachung auf Basis von Open Source Technologien
von Thomas Grimme
Donnerstag, 23.03.2006 16:30-17:15

Dieser Vortrag beschäftigt sich damit, komplexe Rechenzentrumsinfrastrukturen zu analysieren und deren Betrieb durch die kurz- und langfristige Überwachung zu vereinfachen. Mit Hilfe von bestehenden Open Source Software-Komponenten und der Anpassung dieser an den richtigen Stellen, soll dargestellt werden, wie dadurch eine Appliance für Überwachungsaufgaben geschaffen werden kann. Zusätzlich wird das Zusammenspiel dieser Technologien und der zugehörigen Protokolle und Schnittstellen dargestellt. Auch auf die Definition von Überwachungssensoren verschiedener Art und die übersichtliche Organisation wird eingegangen.

Über den Referenten:

Dipl. Ing. Thomas Merz ist einer der Geschäftsführer von ATIX und gehört zum dreiköpfigen Gründerteam der GmbH. Er kann auf 10 Jahre Erfahrung in der IT-Branche zurückblicken. Seine Tätigkeitsschwerpunkte liegen in der Entwicklung und Implementierung von Enterprise Storage-Lösungen basierend auf SAN/NAS, hochskalierbaren Infrastrukturen für Unternehmensanwendungen und Clustern, vor allem auf Linux-Basis.

Einführung in Content Management mit Typo3
von Marko Jung
Donnerstag, 23.03.2006 17:15-18:00

Ziel dieses Vortrags ist es, dem Hörer einen groben Überblick über die Möglichkeiten und die Komplexität von Typo3 zu bieten. Dabei wird die administrative Komponente nicht außer acht gelassen.

Zur Einführung werden die grundlegenden Konzepte von Typo3 und eine Abgrenzung zu kommerziellen Systemen und den bekanntesten Open Source CMS dargestellt. Dabei wird auch auf die Systemvoraussetzungen und Anforderungen bei verschiedenen Site-Grössen eingegangen sowie die Installation umrissen.

Danach werden die wichtigsten Bedienparadigmen und Module, sowie Standarderweiterungen (News, Gallery, Extended Search, MetaTags Extended, etc.) eingeführt und mit den meist genutzten Features demonstriert. Hierbei wird auch auf Mehrsprachigkeit und noch vorhandene Probleme in den Bereichen Versionierung und Workflows eingegangen.

Bevor das Templating anhand der neuen Technologie TemplateVoila live demonstriert wird, gehe ich noch kurz auf die Möglichkeiten der Benutzerverwaltung ein.

Über den Referenten:

Marko Jung beschäftigt sich bereits seit mehr als 10 Jahren mit Freier Software. Als freiberuflicher IT-Berater unterstützt er kleine und mittelständige Unternehmen bei Migrationen und dem Einsatz von freier Software.

Zusätzlich zu den Kernthemen Storage und Backup mit Freier Software hat er sich in den letzten Jahren viel mit dem Bereich Webpublishing beschäftigt und Kompetenz insbesondere mit dem Content Management Sytem Typo3 aufgebaut. Er betreut neben vielen kommerziellen Internetpräsenzen auch die Website des LinuxTag.

Methoden zur Datensicherung -- Strategien und Techniken für NetBSD
von Stefan Schumacher
Donnerstag, 23.03.2006 17:15-18:00

Der Vortrag stellt Strategien und Konzepte zur Datensicherung von einzelnen Rechnern und Netzwerken vor. Programme im NetBSD-Basissystem und Lösungen von Drittanbietern (Amanda, Bacula) werden mit Anwendungsbeispielen vorgestellt. Zusätzlich werden Sicherungsmethoden für PostgreSQL erläutert. Der Vortrag bezieht sich auf NetBSD, lässt sich aber mit kleinen Änderungen auf jedes andere Unix übertragen. Einige Clients für MS-Windows werden ebenfalls vorgestellt.

Über den Referenten:

Stefan Schumacher ist Student und nebenbei Systemadministrator und Datenbankentwickler/-administrator (PostgreSQL), arbeitet im NetBSD-Projekt mit und interessiert sich insbesondere für Computersicherheit (Kryptographie, IDS, Honeypots) und Datenbanken.

Risiken + Nebenwirkungen der Gesundheitstelematik
von Thomas Maus
Freitag, 24.03.2006 9:30-10:15

Wenige Tage noch, dann bricht die schöne, neue Welt der elektronischen Gesundheitskarte an. Alles wird besser -- bloß für wen? Damit will sich dieser Vortrag befassen, und insbesondere mit den Konsequenzen für diejenigen, für die es nicht besser wird.

Die Schöne, Neue Welt -- was alles kommen soll

  • Versprechen -- was erzählt uns das Akzeptanz-Marketing
  • Versprecher -- und was ist fachlich kaum haltbar
  • medizinisch
  • wirtschaftlich
  • technisch

Die Dunkle Seite -- Risiken und Nebenwirkungen

  • die Konsequenzen von Datenschutzpannen
  • die medizinischen Risiken
  • die Kosten für uns alle

Dunkle Wasser und Sumpfmonster

  • Warum man nicht kritisieren darf, aber sehr wohl loben ...
  • Warum es keine (Berichterstattung über ;-) Alternativen gibt

Vivisektion eines Gespensts

  • Ein vergnüglicher Blick in die Rahmenarchitektur
  • Sicherheitsanforderungen (ROTFL!)
  • Sicherheitsarchitektur
  • Wirtschaftlichkeit
  • Ein Blick nach Österreich

(alles gewürzt mit pikanten Zitaten wichtiger Leute ...)

Und nun, was tun?

  • Vorschläge, um nicht in den Sümpfen der Traurigkeit zu versinken

Über den Referenten:

Thomas Maus ist Diplom-Informatiker und seit über 10 Jahren selbstständiger IT-Sicherheitsberater.

Fern und doch so nah
von Dirk Wetter
Freitag, 24.03.2006 10:15-11:00

Der Vortrag gibt einen Überblick über das selbst in manchen Rechenzentren stiefmütterlich behandelte Thema Remote-Management, vulgo Out-of-Band-Management.

Unter Out-of-Band-Geräten versteht man alle aus der "Ferne" zu bedienende Komponenten, die am anderen Ende nicht das In-Band-Ethernet benutzen, um einen Zugriff auf lebenswichtige Bestandteile seiner IT-Infrastruktur zu gewährleisten. Dazu gehören nicht nur Server, PCs, Netzwerk- und Storagekomponenten, sondern beispielsweise Telefon- und Klimaanlagen, USVs wie vieles mehr. Prinzipiell lässt sich alles, was einen seriellen oder auch einen herkömmlichen Tastatur/Video/Maus-(KVM-)Anschluss hat, heutzutage bequem vom Adminsessel im Büro oder vom trauten Heim aus beliebig hoch- beziehungsweise herunterfahren, gegebenenfalls sogar ein- und ausschalten.

Damit trägt der Konsolen-Anschluss aus der Ferne entscheidend zur Erhöhung der Verfügbarkeit bei, da er einen 7x24h-Anschluss auf die Konsole der für die IT-Infrastruktur lebenswichtigen Komponenten auch bei Nicht-Verfügbarkeit des einzelnen Netzwerkanschlusses gewährleistet.

Der Vortrag bringt etwas Licht ins Dunkel der OOB-Administration. Nach einem einführenden Überblick über die Säulentechnologien KVM-over-IP, Serial-over-IP (Konsolenserver) und Remote-Power-Management zeigt er, was für kleinere Lösungen existieren und was mit einfachen Soft- und Hardware-Mitteln machbar ist. Darüber hinaus vermittelt er, welche kommerziellen und freie Lösungen bei großen Datacentern im Einsatz sind, die diese drei Technologien vereinen.

"Embedded Linux" ist aufgrund der einfachen Entwicklungsprozesse heutzutage die wichtigste Technologie bei OOB-Komponenten. Streifzüge in die interessante Welt der eingebetteten Linux-Systeme inklusive der verwendeten Technologien werden unternommen. Leider gilt hier wie im Home-Bereich, dass Hersteller Probleme mit der GPL haben, leider fehlt auch manchen die nötige Erfahrung beim Design ihrer Systeme. Letzteres ist besonders beim Punkt Sicherheit auffällig. Dies wird anhand von Beispielen demonstriert. Dabei ist gerade die Sicherheit eines Systems, das einen Management-Zugriff auf wichtige Systeme im Rechenzentrum erlaubt, ein entscheidender Punkt. Am Ende des Vortrags werden auch unter diesem Gesichtspunkt Guidelines zum sicheren Betrieb von OOB-Komponenten gegeben.

Über den Referenten:

Dirk Wetter ist Chemiker und hat auf dem auf dem Gebiet der Festkörperphysik promoviert. Er berät selbständig seit 2003 mit dem Schwerpunkt Enterprise-Linux, zudem ist er auf Security-Audits spezialisiert, und seit kurzem ist Out-Of-Band-Management zu seinem beruflichen Steckenpferd geworden.

Er beschäftigt sich seit 1993 mit Linux unter verschiedenen Architekturen, etwas länger mit unterschiedlichen Unices, vornehmlich Solaris, und schreibt seit 1995 Artikel für den Heise-Verlag.

Wichtige Stationen seiner Karriere: Am DESY Hamburg hatte er in der zentralen IT Linux-Migrationen (Autoinstallationen von Desktops und Farmen) auf dem Gewissen. Dann zog es ihn an die Ostküste der USA, wo er neben vielen interessanten Tätigkeiten statistischen Simulationen zur Kursprognose von Börsenpapieren auf automatisch installierten HPC-Linux-Farmen ein neues und gutes Zuhause gab. Wieder zurück in heimischen Gefilden half er bei NEC HPCE am Deutschen Klimarechenzentrum in Hamburg beim Aufbau eines Supercomputerrechenzentrums.

Public Key Association
von Werner Koch
Freitag, 24.03.2006 10:15-11:00

Public Key Association (PKA) ist a ein vereinfachtes Vertrauensmodell für OpenPGP und selbstsignierte X.509 Zertifikate.

Für viele Anwendungen sind die üblichen Vertrauensmodelle (Web-of-Trust, direct-list, X.509) nicht oder nur schlecht anwendbar. Insbesondere stellt sich bei der Anwendung von OpenPGP die Frage, wie man sinnvoll ein Web-of-Trust aufbauen kann, und ob es überhaupt die notwendige Zuverlassigkeit bieten kann. Der Aufbau einer eigenen CA ist zwar firmenintern möglich, bedeutet aber immer noch einen hohen organisatorischen Aufwand und hilft nicht bei der Kommunikation mit externen Benutzern.

Oft stellt sich ein Kryptogateway als einzige effiziente Lösung dar, da es eine transparente Migration hin zu verschlüsselter Kommunikation ermöglicht. Selbstverständlich sollte das Key-Enrollment so einfach wie möglich geschehen - möglichst ohne jeden manuellen Eingriff.

Das hier vorgeschlagene - und in GnuPG 1.4.3 bereits implementierte - PKA-Verfahren delegiert die Entscheidung, ob einem Schlüssel vertraut werden, kann an das DNS. Standard DNS ist selbst zwar nicht sicher; es kann aber erwartet werden, daß DNSSEC sich in den nächsten Jahren mehr und mehr etabliert und so nach und nach eine sichere Infrastrutur zur Namensauflösung aufgebaut wird. PKA partizipiert daran.

Desweiteren kann PKA benutzt werden, um opportunistische Verschlüsselung, also ohne explizites Wissen um die Verschlüsselung, auf dem Desktop zu erreichen. Dies wird erreicht durch die Anbindung von Schlüsseln an Email-Adressen.

Konzeptionell basiert PKA auf 2 Teilen: Einer in jeder signierten Mail mitgesendeten Information, von welcher Mail-Adresse (From: Header) die jeweilige Nachricht stammt, sowie besonderen DNS-Records, die eine Verbindung zwischen Mail-Adresse und Schlüssel sowie zum Fingerprint des Schlüssels schaffen.

Über den Referenten:

Werner Koch, geboren 1961, verheiratet, lebt in Düsseldorf.

Nach Schule, Zivildienst und einer Lehre als Elektriker, arbeitete er als Softwareenwickler bei der AFS Düsseldorf; nebenbei studierte er Informatik an der FH Dortmund. Er war danach einige Jahre der Chefentwickler der PC Softwarestruktur bei ABIT Software und arbeitete von 1991 bis 2001 als freiberuflicher Berater und Entwickler. 2001 gründete er die Firma g10 Code zur kommerziellen Weiterentwicklung der Freien Software GnuPG.

Seit den späten 70er Jahren ist Koch Funkamateur und an Softwareentwicklung interessiert. Über die Jahre arbeitete er sowohl mit kleinen CP/M Systemen als auch mit Mainframes, Sprachen von Assembler bis Smalltalk und Anwendung von Treibern bis zu Finanzierungssoftware. Er benutzt GNU/Linux als Entwicklungsplattform seit 1993, ist der Hauptautor des GNU Privacy Guards und sitzt im Vorstand der FSF Europe.

Zentrale Darstellung dezentral gelagerter Informationen (Metadirectory)
von Dieter Klünter
Freitag, 24.03.2006 11:30-12:15

Vielen wird dieses Bild bekannt sein: Personendaten werden in einer Personalverwaltungssoftware vorgehalten, Email-Adressen dieser Personen werden durch einen LDAP-Server bereitgestellt, Mailrouting wird über Tabellen ermöglicht, zusätzliche Informationen werden durch ein RDBM verwaltet. Diese Strukturen sind über Jahre entstanden und gewachsen, eine vereinheitlichte Sicht auf diese Daten ist nicht möglich, aber häufig wünschenswert. Vor diesem Hintergrund soll dann auch noch eine Public Key Infrastructure bereitgestellt werden, die Single Sign-On sowie rollenbasierte Zugriffsrechte ermöglicht.

Dies ist der Augenblick, in dem über ein Metadirectory nachgedacht werden muss. Die Aufgabe eines Metadirectories ist es, Daten aus unterschiedlichen Quellen zusammenzuführen und an einer zentralen Stelle vereinheitlicht darzustellen.

Arbeitsroutinen lesen Daten der diversen Quellen, transponieren diese Daten in ein einheitliches Datenformat, fügen sie zusammen und stellen sie in einem zentralen Directory bereit.

Zur Darstellung der Daten wird üblicherweise LDAP eingesetzt, dies gewährleistet ein einheitliches Protokoll auch bei unterschiedlichen Software-Produkten.

Im Rahmen des Vortrages werden die erforderlichen Prozeduren anhand von Beispielen beschrieben, die Sicherheitsaspekte werden berücksichtigt und die Möglichkeiten und Grenzen eines solchen Directory-Designs vorgestellt.

Über den Referenten:

Dieter Klünter studierte Betriebswirtschaft. Als Marktforscher beschäftigte er sich lange Jahre mit der Entwicklung neuer Produkte, wobei die statistische Datenanalyse das bevorzugte Werkzeug war.

Seit mehr als zehn Jahren berät er nun Unternehmen und Behörden in Fragen der Netzwerksicherheit und der Anwenderverwaltung. Directory Design und Implementierung sind heute die Kernkompetenzen.

Sichere Zeitdienste mit ntpd und PKI
von Ralf Spenneberg
Freitag, 24.03.2006 11:30-12:15

Mit DNS und DHCP ist der NTP-Dienst sicherlich einer der wichtigsten Dienste im Netzwerk. Der NTP-Dienst ist häufig auch sicherheitskritisch, da bei einer falschen lokalen Zeit Denial-of-Service Angriffe möglich sind oder die Protokolle nicht mehr ausgewertet werden können. Dieser Vortrag stellt die Möglichkeit einer authentifizierten Zeitverteilung mit dem ntpd und öffentlichen Schlüsseln vor.

Über den Referenten:

Ralf Spenneberg verwendet Linux seit 1992 und arbeitete bereits 1994 als UNIX (Solaris, AIX) Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/UNIX-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux", 2004 "Intrusion Detection und Prevention mit Snort 2 und Co." und 2005 "Linux Firewalls mit Iptables".

Seit 2004 bietet er mit seiner Firma OpenSource Training Ralf Spenneberg Schulungen und Beratungen in Steinfurt an.

Fedora-Directory-Server / Ein neuer Stern am LDAP-Himmel
von Jens Kühnel
Freitag, 24.03.2006 12:15-13:00

Der Fedora-Directory-Server (FDS) ist der erste OpenSource-LDAP-Server, der alle wichtigen Funktionen mitliefert die für einen Einsatz in unternehmenskritischen Bereichen benötigt werden.

Der Fedora-Directory-Server wird auch kommerziell mit Support von RedHat vertrieben (RedHat-Directory-Server). Er basiert auf dem Netscape-Directory-Server, den RedHat 2004 gekauft hat und nun als OpenSource freigegeben hat. Historisch bedingt ist er dem Sun-LDAP-Server sehr änlich.

Ich möchte in diesem Vortrag die wichtigsten Funktionen nicht nur theoretisch vorstellen, sondern auch sofort praktisch vorführen. Dies beginnt bei der grafischen Administrations-Oberfläche, die es Administratoren ohne LDAP-Kenntnisse ermöglicht, Änderungen sehr einfach vorzunehmen. Mit Hilfe der Multi-Master-Replication können bis zu vier Server gleichzeitig Änderungen an der LDAP-Datenbank vornehmen, um ein Maximum an Ausfallsicherheit zu gewährleisten. Weitere Themen sind die Rechte/Zugriffskontrolle, Resourcen Limitierung, Virtuelle Ansichten (Views) und die Verwendung von Rollen.

Abgerundet wird das ganze mit einer kurzen Gegenüberstellung des Fedora-Directory-Server, OpenLDAP, Microsofts Active Directory (ADS) und Novell Directory (NDS).

Der Vortrag richtet sich an alle Administratoren, die entweder schon einen LDAP-Server im Einsatz haben, oder in Zukunft einen LDAP-Server aufbauen wollen oder müssen. Vor allem Benutzer, die OpenLDAP produktiv einsetzten, sollten sich über die Möglichkeiten des Fedora-Directory-Servers informieren.

Über den Referenten:

Jens Kühnel ist freier Linux-Trainer, Consultant und Buchautor und spezialisiert auf Samba und LDAP. Er ist RHCA Nummer 8 und damit als zweiter in Europa für den RedHat-Directory-Server zertifiziert. Er arbeitet seit der Freigabe mit dem Fedora-Directory-Server und hat diesen seit mehreren Monaten im Einsatz. Er ist zertifizierter Trainer für RedHat, SuSE (Novell) und Microsoft.

Als Vortragender ist er auf verschiedenen Konferenzen (LinuxTag, Chemnitzer Linuxtage, Linuxdan Ljubljana Slovenien, ...) aufgetreten. Sein jüngstes Buch "Samba 3 - Wanderer zwischen den Welten" (ISBN 3-8266-0985-9) ist beim MITP-Verlag erschienen.

CAcert.org - kostenlose Zertifikate
von Philipp Gühring
Freitag, 24.03.2006 12:15-13:00

Der Vortrag stellt CAcert und das dahinter stehende Konzept des kostenlosen Ausstellens digitaler Zertifikate nach Identitätsüberprüfung durch ein Vertrauensnetzwerk vor.

CAcert.org ist eine Community-orientierte Certificate Authority (CA), die für jedermann kostenlose Zertifikate ausstellt. Das Ziel von CAcert ist das Bewusstsein und das Wissen um Computersicherheit durch die Verwendung von Verschlüsselung, speziell duch die Verwendung der X.509-Standard-Familie, zu fördern. Es ist wirklich einfach, Zertifikate zu erhalten, um sie in einem E-Mail-Programm zu verwenden. Damit kann man nicht nur E-Mails verschlüsseln, sondern auch seinen Freunden und Verwandten beweisen, dass die Email wirklich von einem selbst stammt.

Für Administratoren, die ihre Angebote schützen wollen, bieten wir Host- und Wildcard-Zertifikate an, die sie quasi sofort nutzen können. Sie können nicht nur Zertifikate nutzen um Webseiten zu schützen, sondern auch Verbindungen über POP3, SMTP und IMAP, um nur einige zu erwähnen. Im Gegensatz zu anderen Authorities limitieren wir nicht die Schlüsselstärke des Zertifikates oder verweigern die Ausstellung von Wildcard-Zertifikaten. Jeder Mensch sollte das Recht auf Sicherheit und Schutz der Privatsphäre haben, und nicht nur diejenigen, die ECommerce-Seiten betreiben.

Im Anschluss an den Vortrag kann man seine Identität kontrollieren lassen (nicht vergessen: Ausweise mitnehmen!), um dann auch in den Genuß der Zertifikate zu kommen.

Über den Referenten:

Philipp Gühring, derzeit Senior Developer bei Interbiometrics in Österreich, beschäftigt sich seit 10 Jahren mit Kryptologie und Security.

LAN-Switching
von Jens Link
Freitag, 24.03.2006 14:00-14:45

Geswitchtes Ethernet ist seit langer Zeit Standard in lokalen Netzwerken.

Dieser Vortrag zeigt, wie moderne, managebare Switche funktionieren und welche Funktionen sie neben dem reinen Verteilen von Ethernet-Frames noch bieten.

Die folgenden Punkte werden, möglichst herstellerneutral, detailliert behandelt:

Multilayer "Switching"

Oder die Frage, ob ein moderner Switch jetzt ein Switch oder doch eher ein Router ist?

Spanning-Tree

Oder "Warum wird der Switchport erst aktiv, wenn der Rechner schon lange gestartet ist?"

VLANs und Trunking

Verschiedene virtuelle Netze auf einem Gerät. Wie funktioniert das, und ist das auch sicher?

Etherchannel

Bandbreite ist durch nichts zu ersetzen, außer durch noch mehr Bandbreite. Dieser Teil zeigt, dass man nicht gleich neue Switche kaufen oder die Verkabelung ändern muss, wenn die vorhandene Bandbreite nicht mehr aussreichend ist.

Verfügbarkeit und Loadbalancing

Sicherheit von Switchen

Neben einigen Worten zur richtigen Konfiguration werden hier auch die Funktionen wie Port-Security, Portbased-Authentification (802.1x) erklärt.

Troubleshooting

Wie kann ein Switch einem bei der Fehlersuche behilflich sein und warum sollten Netzwerker und Serveradmins miteinander reden?

Über den Referenten:

Jens Link ist seit 10 Jahren als Netzwerk-/Sysadmin tätig. Seitdem muss er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Sein Aufgabenschwerpunkt liegt zur Zeit im Bereich Netzwerkadministration (Überwiegend Cisco) und Netzwerküberwachung.

Im Verlauf der letzten Jahre hat er mehrere Linux- und Netzwerklehrgänge durchgeführt.

Projekte und RZ-Betrieb im "Global Sourcing"
von Jochen Hein
Freitag, 24.03.2006 14:00-14:45

Der Vortrag wird von Erfahrungen berichten, die wir im vergangenen Jahr gesammelt haben. Das Umfeld besteht aus einem internationalen Outsourcing-Kunden, der von verschiedenen Gruppen in verschiedenen Standorten betreut wird.

Diese Situation wird in Zukunft vermutlich für viele Administratoren ähnlich aussehen. Der Vortrag wird einige der folgenden Aspekte beleuchten:

  • Welche Spannungsfelder existieren?
    • Kunde/Outsourcer
    • Systembetrieb/Projekte
    • Kundenzufriedenheit/Ressourcen
    • ...
  • Rahmenbedingungen:
    • Reduktion der Mitarbeiter
    • Verlagerung der Tätigkeiten ins Ausland
    • Kundenanforderungen
    • SLAs?
    • Historie?
  • Strategien:
    • Befriedigen der dringendsten Anforderungen
    • Teaming
    • Stabilisierung
    • Dokumentation
    • Aufgabenverteilung und -tracking
    • Priorisierung
  • Hürden:
    • neu auftauchende Probleme/dringende Anforderungen
    • Spannungsfelder diversester Art
    • Pläne zu definieren und dann auch einzuhalten

Über den Referenten:

Jochen Hein ist langjähriger SAP R/3 Basis-Betreuer und Berater in diesem Umfeld. Die letzten Jahre war er für verschiedene Kunden im Outsourcing tätig, sowohl bei der Übernahme neuer Kunden als auch im weiteren Betrieb.

Praxisbericht: Strukturierung eines Hochschulnetzwerkes mit VLANs
von Klaus Schmoltzi
Freitag, 24.03.2006 14:45-15:30

Der Vortrag beschreibt die Erfahrungen bei der Umstellung eines kompletten Netzwerkes einer Fachhochschule mit Hilfe von VLANs. Die neu erstellten VLANs wurden auf den jeweiligen Switchen (hier: Cisco Catalyst) und zwei Linux-Routern (Aktiv und Standby) eingerichtet.

Die neue Struktur ermöglicht es den Studenten zu einen, sich mit ihren Notebooks in jedem Unterrichtsraum anzuschließen und nach der Zuweisung einer geeigneten IP-Konfiguration sowohl Dienste aus dem Intranet wie auch dem Internet zu nutzen. Zum anderen gestattet es den Netzwerkadministratoren, nicht nur einen Überblick über ein Netzwerk mit mehreren hundert Notebooks zu behalten, sondern auch über Firewall-Regeln die Zugriffe zu reglementieren.

Alle Netzwerkanschlüsse eines Lehrsaal gehören nach der Umstellung zu einem eigenen VLAN. Für die durch die VLANs definierten Lehrsäle werden mit Hilfe eines auf dem Linux-Router installierten DHCP-Servers IP-Adressen zugewiesen. Die Adressvergabe wird so gewählt, dass anhand des dritten Blocks der IP-Adresse das jeweilige VLAN eindeutig identifiziert wird. Somit kann alleine durch die IP-Adresse eine direkte räumliche Zuordnung des Endgerätes zu einem Lehrsaal gemacht werden. Durch den Einsatz von Firewall-Regeln bestimmt der Administrator zentral am Linux-Router, auf welche Server-Dienste aus den einzelnen Lehrsälen bzw. VLANs zugegriffen werden darf. Darüber hinaus kann der Dozent einer Lehrveranstaltung per Web-Interface den Zugang zum Internet für seine Studenten freigeben bzw. sperren. Hiermit ist es dem Dozenten selbst überlassen, zu entscheiden, wann der Einsatz des Internets für seinen Unterricht sinnvoll ist.

Mit Hilfe der VLANs werden für die Server, die Verwaltung und für das Netzwerk der Administratoren eigene Bereiche gebildet, die wiederum mit Firewall-Regeln abgesichert werden.

Insgesamt erwies sich der Aufbau einer VLAN-Struktur als kostengünstige Alternative, da zum Routing zwischen allen Netzen nur zwei Linux-Router (Aktiv und Standby) benötigt werden. Zudem können zentrale Dienste über diese Router in das Netzwerk eingebracht werden.

Über den Referenten:

Klaus Schmoltzi ist als Geschäftsführer der Warp9 GmbH in Münster tätig, die neben Schulungen im Bereich TCP/IP und IT-Sicherheit vor allem Netzwerk-, Firewall- und VPN-Lösungen plant, implementiert und wartet. Zum Einsatz kommen hierfür sowohl Systeme von Cisco und Check Point, wie auch Open Source Lösungen mit Linux und OpenBSD.

Während seiner Promotion im Bereich Theoretische Physik Anfang der 90er Jahre hat Klaus Schmoltzi erste Erfahrungen mit UNIX, Solaris, NEXTSTEP und Linux gemacht. Danach hat er als Dozent vor allem Themen aus dem Bereich Betriebssysteme (Windows und Linux) und Netzwerkgrundlagen (TCP/IP) unterrichtet.

Nach der Gründung der Warp9 GmbH 1999 hat sich sein Tätigkeitsfeld immer mehr auf Planung, Aufbau und Konfiguration von Sicherheitsstrukturen (vor allem Firewalls und VPNs) verlagert.

Neben der Analyse und anschließenden Strukturierung von großen Netzwerken ist er weiterhin als Trainer und Dozent tätig.

Baselining und die Beziehungen der IT-Abteilung zu Entscheidungsträgern und Benutzern
von Erik Keller
Freitag, 24.03.2006 14:45-15:30

Wie können Systemadministratoren mit Hilfe von "Baselines" die Beziehungen zu den Usern und den Entscheidungsträgern/Vorgesetzten verbessern?

Begriffserklärung Baselines:

"Baselining" bedeutet Vitaldaten der Systeme konsistent zu erfassen und auszuwerten. Beispiel: die Auslastung der CPU(s), den Füllgrad der Festplatten, und die Anzahl der aktiven Netzwerkverbindungen eines Systems erfassen und diese mittels "gnuplot" oder einer anderen geeigneten Software als Grafik zu erstellen. Die Erfassung der Daten kann entweder mit "Bordmitteln" oder mit dedizierter Software erfolgen. Die Erfassung der Daten sollte vor dem produktiven Einsatz des Systems beginnen und über die gesamte Lebensdauer durchgeführt werden.

Die vorhandenen Baselines erlauben es festzustellen, ob Beschwerden von Benutzern einen realen Hintergrund, oder eher stressbedingte Gründe haben.

Ein verbreitetes Problem von IT-Abteilungen ist die Tatsache, dass diese meist "unsichtbar" sind, bzw. nur im Falle von IT-Problemen in den Fokus der Benutzer/Entscheidungsträger rücken. Diese "Unsichtbarkeit" erklärt sich in den meisten Fällen dadurch, dass viele Fragestellungen, die die IT-Abteilung, bewegen, als zu "technisch" für den Rest der Firma erachtet werden.

Die aus den Baselines erstellten Grafiken erlauben eine Art von Reporting, welche geeignet ist, auch technisch weniger versierten Benutzern und Entscheidungsträgern bestimmte Zusammenhänge näherzubringen und ihnen das Gefühl zu nehmen, nicht wirklich zu wissen, was in der IT-Abteilung eigentlich vor sich geht. Eine (erwünschte) "Nebenwirkung" der periodischen Reports und Meetings mit den Benutzern und Entscheidungsträgern ist die Tatsache, dass diese die Vorgänge in der IT-Abteilung als transparenter empfinden.

Zusätzlich zu diesen Zusammenkünften sollten die Systemadministratoren einmal wöchentlich Zeiten einplanen, in denen Benutzer zu ihren Problemen mit den Systemen befragt werden oder sie einfach für generelle "Frage-/Vorschlagsrunden" zur Verfügung stehen. Die Erfahrungen oder Wünsche der Benutzer bergen ein - in vielen Fällen ungenutztes - Potential, Probleme der administrierten Systeme frühzeitig zu erkennen und entsprechende Maßnahmen vorzubereiten.

Das bisher Beschriebene sollte nicht einfach als Binsenweisheit abgetan werden, da in vielen Fällen die Gespräche mit Benutzern/Entscheidungsträgern aus Zeitgründen immer wieder hinausgeschoben werden und letztendlich so gut wie nie stattfinden. Ziel dieses Vortrags ist es, die Möglichkeiten und Chancen dieser Vorgehensweise wieder in Erinnerung zu rufen und die Systemadministratoren dazu zu motivieren, sich die Zeit dafür zu nehmen.

Über den Referenten:

Erik Keller ist freier Berater im *NIX/Linux Umfeld. Er ist seit ca. 19 Jahren im EDV-Umfeld tätig, wechselweise als Administrator, Programmierer und/oder Berater. Bisher verwendete Systeme: Solaris, HP-UX, AIX, IRIX, OSF/1, Linux, OS X. Der Vortrag basiert auf Erfahrungen, die er als "Senior Unix Administrator Europe" einer amerikanischen Firma sammeln konnte. Er war in dieser Position für alle, in ganz Europa verteilten, *NIX -basierten Server der Firma verantwortlich.

Er ist der Autor der "Unix/Linux Survival Guide" (deutsch bei Addison- Wesley/englisch bei Charles River Media) und der Übersetzer des "Linux Kernel Handbuch" (Addison-Wesley).

Webfilterung mit freier Software
von Dirk Dithardt
Freitag, 24.03.2006 15:45-16:30

Einführung

Grundprinzipien der Webfilterung: Was ist Webfilterung? Was für Filterarten gibt es? Wo macht Webfilterung Sinn? Wofür sind Webfilter nicht geeignet?

Exemplarische Einsatzszenarien

Webfilter als Werbeblocker, Ausfiltern unerwünschter Werbeeinblendungen und PopUps.

Kinder- und Jugendschutz

Webfilter zum Schutz von Kindern im Internet. Mögliche Umsetzung mit freier Software, kurze Übersicht vorhandener Projekte und Produkte.

Private Internetnutzung am Arbeitsplatz

Sinn und Unsinn der Webfilterung am Arbeitsplatz. Kosten versus Einsparpotentiale. (Un-)Möglichkeiten statistischer Auswertung privater Nutzung.

Vorstellung gängiger freier Produkte

Es werden die aktuellen Projekte freier Webfilter und Filterlisten sowie deren Schwerpunkte vorgestellt.

Kurzvorstellung kommerzieller Produkte

Kleiner Überblick über kommerzielle Webfilter-Produkte.

Vergleich freie vs. kommerzielle Produkte

Über den Referenten:

Dirk Dithardt verfügt über mehr als zehn Jahre Berufserfahrung in der Systemadministration und ist heute bei der Niedersächsischen Landesverwaltung beschäftigt.

Schwerpunkte seiner Arbeit sind Intranet- und Internetdienste wie DNS, Web und Proxies. Im Besonderen beschäftigt er sich mit dem zentralen Proxyserver/Webfilter für die rund 2.000 Dienststellen der Landesverwaltung und ihre 40.000 Nutzer.