German Unix User Group (GUUG)
Veranstaltungen | GUUG-Frühjahrsfachgespräch 2012 | Abstracts
http://www.guug.de/veranstaltungen/ffg2012/abstracts.html
2019-11-10

Abstracts

Monitoring von IPv6-Netzwerken
von Robin Schröder, Timo Altenfeld, Wilhelm Dolle und Christoph Wegener
Ausgebucht
Dienstag, 28.2.2012 10:00-18:00 und
Mittwoch, 29.2.2012 10:00-18:00

IPv4-Adressen werden immer knapper, die letzten Blöcke wurden bereits von der IANA zugeteilt. Es ist somit nur noch eine Frage der Zeit, bis die IPv4-Adressen endgültig ausgehen werden. Daher gewinnt das Thema IPv6 immer mehr an Bedeutung. Viele Institutionen wagen sich derzeit an die Einführung von IPv6, im asiatischen Raum erfreut es sich bereits größerer Verbreitung. Auch auf den Einkaufslisten vieler Firmen/Behörden etc. stehen zudem oft nur noch Produkte, die IPv6 unterstützen. Mit der Einführung von IPv6 für DSL-Anschlüsse der Deutschen Telekom kommt IPv6 nach aktuellen Planungen Anfang 2012 auch zu vielen Privatpersonen ins Haus. Daher wird es Zeit, sich mit dem Thema Monitoring auch in Bezug auf IPv6 zu beschäftigen.

Die parallele Einführung von IPv6 bedeutet in allererster Linie ein vollständig neues Protokoll im Netzwerk zu haben. Die Überwachung von IPv6-basierten Diensten ist unerlässlich, nicht zuletzt auch aus dem Grund, dass die Praxiserfahrung mit IPv6 noch bei weitem nicht so umfangreich ist, wie bei IPv4-basierten Diensten. Administratoren sollten also genau darauf achten, wie sich IPv6-basierte Dienste verhalten und was sich in ihrem IPv6-Netzwerk so tut.

IPv6 ist zudem ein Protokoll, das zum Einen viele "Altlasten" von IPv4 über Bord wirft, zum Anderen aber auch viele Neuigkeiten bringt. Somit müssen die Administratoren und Netzverantwortlichen auch beim Monitoring von IPv6-Netzen umdenken und viele Dinge anders machen, als wir es zurzeit gewohnt sind.

Im Laufe dieses Tutoriums werden wir dazu einen Überwachungsserver mit exemplarischen, IPv6-basierten Diensten aufsetzen und die entsprechende Konfiguration zeigen und diskutieren. Nach der Veranstaltung können die Teilnehmer die dabei gewonnenen Erkenntnisse dann selbständig in die Praxis umsetzen.

Die Teilnehmer sollten bereits Erfahrungen mit der Installation von Programmen unter Linux haben und Grundkenntnisse des TCP/IP-Stacks sowie IPv6 mitbringen.

Themen im Detail / Ablauf des Tutoriums:

  • Organisatorische Fragen
    • Möglichkeiten der Netzwerküberwachung
    • Warum freie und quelloffene Software?
    • Rechtliche Aspekte
  • Auffrischung der IPv6-Grundkenntnisse
    • Multicast-Adressen
    • Duplicate Address Detection
    • Stateless Auto Configuration
    • DHCPv6
  • Monitoring von IPv6-Netzwerken
    • Informationsgewinnung per SNMP
    • Qualitative Überwachung mit Munin und RRDTool
    • Verfügbarkeitsüberwachung mit Nagios/Icinga
    • Proaktive Überwachung, Auswerten von Logdateien
    • Fehlersuche mit Wireshark
  • Proaktives Sicherheits-Monitoring von IPv6-Netzwerken
    • Host- und Netzwerk-Scanning mittels Nmap
    • Schwachstellen-Scanning mittels Nessus und Open-Source-Alternativen

Die Inhalte werden im Vortragsstil vermittelt und durch zahlreiche praktische Übungen der Teilnehmer am eigenen Rechner vertieft.

Hardware-Voraussetzungen: Die Teilnehmer müssen einen Rechner mit einer aktuellen, IPv6-fähigen Linux-Distribution mitbringen -- Benutzer anderer Betriebssysteme (*BSD oder Mac OS) sollten sich vor der Veranstaltung über contact@guug.de mit den Vortragenden in Verbindung setzen.

Über die Referenten:

Timo Altenfeld, Fachinformatiker für Systemintegration, ist Systemadministrator an der Fakultät für Physik und Astronomie der Ruhr-Universität Bochum. Seit Beginn seiner Ausbildung faszinieren ihn Open-Source-Tools und Linux, die er bereits seit geraumer Zeit auch in der beruflichen Praxis zur Überwachung von Linux-, Windows- und Solaris-Systemen einsetzt. Mit dem Einsatz von Linux in diversen Umgebungen beschäftigt er sich seit dem Jahr 2003. Außerdem studiert er zur Zeit Wirtschaftsinformatik an der FOM Essen.

Wilhelm Dolle ist Partner im Bereich Advisory der KPMG. Er ist CISA, CISM, CISSP sowie lizensierter BSI-Grundschutz-/ISO 27001- sowie BS 25999 Auditor. Er ist Experte sowohl für technische als auch organisatorische Aspekte der Informationssicherheit. Dazu gehören etwa Risiko- und Sicherheitsanalysen, der Aufbau von Informationssicherheitsmanagementsystemen bis zur Zertifizierungsvorbereitung, aber auch Themen wie Penetrationstests und digitale Forensik. Zudem ist er Autor zahlreicher Artikel in Fachzeitschriften und hat Lehraufträge an verschiedenen Universitäten inne.

Robin Schröder, ebenfalls Fachinformatiker für Systemintegration, ist in der Abteilung Datennetze ("Network Operation Center") des Rechenzentrums der Ruhr-Universität Bochum tätig. Zu seinen Aufgaben zählen die Campusweite Netz-Konfiguration, die Administration von dynamischen Routingprotokollen, Troubleshooting, Monitoring sowie die Entwicklung von Software für den Eigenbedarf. Er hat in den vergangenen Jahren zahlreiche Linux-, Solaris- und Windows-Systeme administriert und den Applikationsbetrieb mit verschiedenen Open-Source-Tools überwacht. Mit Computern, Linux und Netzwerken beschäftigt er sich bereits seit 1995.

Dr. Christoph Wegener (CISA, CISM, CRISC) ist promovierter Physiker und seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit, Datenschutz und Open-Source aktiv. Er ist Autor zahlreicher Fachbeiträge, Fachlektor bzw. -gutachter, Mitglied verschiedener Programmkomitees, Mitglied des Beirats der Zeitschrift "Datenschutz und Datensicherheit" (DuD) und engagiert sich in der Ausbildung im Bereich der IT-Sicherheit. Seit Anfang 2005 ist Christoph Wegener zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) in Bochum tätig. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands. Christoph Wegener ist CISA, CISM, CRISC, Inhaber des "Certificate of Cloud Security Knowledge" (CCSK) der Cloud Security Alliance sowie von der Gesellschaft für Datenschutz und Datensicherheit (GDD) und dem TÜV Nord zertifizierter Datenschutzbeauftragter.

Plattformübergreifende Dateidienste sicher anbieten
von Daniel Kobras und Michael Weiser
Dienstag, 28.2.2012 10:00-18:00 und
Mittwoch, 29.2.2012 10:00-18:00

Das Tutorium behandelt die Implementierung sicherer Dateidienste für Unix-, Linux- und Windows-Clients. Er wendet sich an Administratoren, die in ihren Umgebungen Dateidienste über CIFS oder NFS anbieten und nun die Sicherheit dieser Services erhöhen möchten. Dazu werden folgende Szenarien betrachtet:

1. Infrastruktur Active Directory: Dieses Szenario geht aus von einer bestehenden Infrastruktur basierend auf Active Directory, in der Dateidienste über CIFS und NFSv3 angeboten werden. Das Ziel ist die Migration auf NFSv4 mit GSS als Security Flavor. Die Teilnehmer lernen hier den Aufbau eines kerberisierten NFSv4-Dienstes mit Anbindung an das Active Directory.

2. Open-Source-Infrastruktur mit OpenLDAP und samba: Die Ausgangslage in diesem Szenario ist eine reine Open-Source-Infrastruktur mit OpenLDAP und einer Samba-3-Domäne. Als Dateidienste existieren auch hier bereits CIFS und NFSv3. Das Ziel ist ebenfalls die Ablösung von NFSv3 durch sicheres NFSv4. Während das Active Directory aus Szenario-1 bereits eine vollständige Kerberos-Infrastruktur beinhaltet, soll diese hier mit möglichst geringem Aufwand erst noch aufgebaut werden. Dazu lernen die Teilnehmer, wie sich die Samba-Domäne mit Hilfe der Kerberos-Implementierung Heimdal ohne Migrationsaufwand zu einer Kerberos Realm erweitern lässt.

3. Neue Infrastruktur mit OpenAFS: Im dritten Szenario verzichten die Teilnehmer auf CIFS und NFS, um statt dessen eine alternative Lösung mit OpenAFS aufzubauen. Damit eröffnet sich die Möglichkeit eines einheitlichen Dateidienstes für Unix-, Linux- und Windows-Clients. Verglichen mit Szenario-1 und 2 entsteht hier ein höherer Migrationsaufwand. Die Kerberos-Infrastruktur aus Szenario-1 oder 2 lässt sich jedoch auch für OpenAFS verwenden. Die Sicherheit der einzelnen Varianten unterscheidet sich hinsichtlich der Kriterien Daten-Integrität, -Vertraulichkeit und Authentisierung. Zusammen mit den Teilnehmern werden die einzelnen Lösungen im Verlauf des Workshops darauf hin analysiert und bewertet.

Voraussetzungen: Grundlegendes Know-How in der Linux-Netzwerkadministration. Grundkenntnisse zu Kerberos, LDAP, Samba und NFS sind empfehlenswert.

Mitgebrachte Rechner sollten folgende Voraussetzungen erfüllen:

  • frisch installiertes, nicht produktiv genutztes Linux einer aktuellen Distribution, das weitreichend umkonfiguriert werden kann
  • Debian 5 empfohlen, aktuelle Ubuntu, OpenSuSE und Fedora möglich
  • abweichende Distributionen auf eigene Gefahr des Teilnehmer (gegebenenfalls Compilieren fehlender Software nötig, z.B. Heimdal KDC unter Fedora - wir unterstützen dabei)
  • Möglichkeit zum Nachinstallieren von Distributionssoftware (Installations-CDs oder Online-Repositories via Netzwerk)
  • optional ein frisch installiertes, nicht produktiv genutztes Windows XP, Vista oder 7 (Professional/Ultimate, keine Home Edition)
  • Je eins oder auch beide Systeme können virtualisiert laufen. Sie benötigen dann direkten Zugriff auf das Netzwerk (bridged mode).
  • Auf Anfrage stellen wir virtuelle Maschinen mit Debian 5 und Windows 7 Ultimate zur Verfügung. Hierfür ist ein aktueller, installierter und funktionsfähiger VMware Player, Server oder Workstation mitzubringen und der Umgang damit zu beherrschen.
Über die Referenten:

Daniel Kobras ist als Systems Engineer bei der Tübinger science+computing ag beschäftigt. Dort arbeitet er unter anderem an skalierbaren Speicherlösungen für Kunden der Automobilindustrie.

Michael Weiser begleitet seit 2004 bei der science+computing ag Projekte und Workshops zu den Themen LDAP, Kerberos und AD-Integration sowie High-Performance-Computing.

Hacking Enterprise with the Metasploit Framework
von Michael Messner
Dienstag, 28.2.2012 10:00-18:00

Der Workshop wird Pentesting und Vulnerability-Scanning bzw. deren Unterschiede darstellen. Es werden kurz die am Markt vorhandenen Pentesting Frameworks vorgestellt, um direkt im Anschluss Informationen zur Entstehung und zum Funktionsumfang von Metasploit zu zeigen. Neben dem fortschrittlichen Meterpreter Payload werden die unterschiedlichen Oberflächen und Funktionsweisen dargestellt.

Im Detail:

  • Einführung in Pentesting und Backtrack
  • Einführung in Exploiting Frameworks
  • Einführung in das Metasploit Framework
  • Anwendung des Metasploit Frameworks
    • Informationsgewinnung
    • Scanning
    • Exploiting
    • Post-Exploitation Phase
  • Automatisierung
  • Metasploit Express und Pro

Um die Funktionalität bzw. die Möglichkeiten von Metasploit etwas besser darzustellen, wird über einen Client-Side Angriff Zugriff zum internen Netzwerk erlangt. Besonderes Augenmerk wird dabei auf unterschiedliche Schutzmechanismen gelegt. Unter anderem wird dargestellt wie AV-Software umgangen werden kann, wie IDS Systeme ausgetrickst werden und wie das benötigte Loch in der Firewall gefunden wird. Zudem kommt es zur Vorstellung von Payloads die den Unternehmensproxy zum Aufbau der Verbindung nutzen.

Über diesen ersten Zugriff ist es möglich, weitere interne Systeme anzugreifen und erfolgreich zu kompromittieren. Es kommt unter anderem zu einer Eskalation der Berechtigungen von einem nicht privilegierten User zum Administrator der Windows Domäne. Es werden unterschiedliche Datenbanken angegriffen und typische Schwachstellen in Betriebssystemen sowie Software von Drittanbietern.

Zum Abschluss werden Möglichkeiten vorgestellt wie diese offensiven Sicherheitsmaßnahmen im eigenen IT-Security-Prozess integriert und umgesetzt werden können. Dabei kommt es zur Vorstellung von Metasploit Pro welches mit einer graphischen Oberfläche und umfangreichen Automatisierungsmechanismen den Administrator und Pentester bei seiner täglichen Arbeit unterstützt.

Über den Referenten:

Michael Messner ist IT Security Consultant bei der Integralis Deutschland GmbH und führt regelmäßig Sicherheitsüberprüfungen namhafter deutscher Unternehmen und Konzerne durch. Die dabei aufgedeckten Schwachstellen dienen den Unternehmen als Grundlage für die Verbesserung ihrer technischen sowie organisatorischen Sicherheit.

Er ist Mitveranstalter der IT-Security und Pentesting Veranstaltung „Backtrack day“ und hat dieses Jahr ein umfassendes Buch mit dem Titel “Metasploit: Das Handbuch zum Penetration-Testing-Framework“ herausgeben. Neben diesen Tätigkeiten ist er zudem Trainer im Metasploit-Bereich und führte das Training „Pentesting mit dem Metasploit Framework“ durch. Dabei handelt es sich um einen 5 tägigen Intensiv-Workshop mit umfangreichen Hands On Aufgaben im Labor.

Penetrationstests mit OpenVAS, Metasploit & Co.
von Ralf Spenneberg
Ausgebucht
Mittwoch, 29.2.2012 10:00-18:00

Dieser Vortrag führt in die Technik des Penetrationstests mit Nmap, OpenVAS und Metasploit ein. Die Teilnehmer können in virtuellen Umgebungen selbst die Sicherheitslücken mit OpenVAS analysieren und mit Metaploit anschließend ausnutzen.

Moderne Administratoren kämpfen an vielen Fronten. Sie sollen die Stabilität der Systeme und des Netzes gewährleisten, die Sicherheit der Applikationen und Daten garantieren und Angriffe durch Hacker von Außen und Innen abwehren.

Speziell die letzte Anforderung ist für die meisten Administratoren kaum zu gewährleisten. Ihnen fehlen die richtigen Werkzeuge, um die Sicherheit der eingesetzten Systeme und Applikationen testen zu können und die notwendige Unterstützung für die Anschaffung und Umsetzung neuer Sicherheitssysteme und -maßnahmen.

Das Metasploit Framework ist ein kompletter Baukasten, der unter einer Open-Source-Lizenz entwickelt kostengünstig dem Administrator mächtige Werkzeuge für den Penetrationstest an die Hand gibt. Leider sind die ersten Schritte ohne eine Einführung häufig schwierig.

Dieses Tutorium zeigt Ihnen den Einsatz des Metasploit Frameworks in komplexen virtuellen Netzen und demonstriert so seine Mächtigkeit. Sie werden selbst die Möglichkeit haben, verschiedene Angriffe durchzuspielen und so Opfersysteme zu kompromittieren.

Ausgestattet mit diesem Wissen können Sie, sofern autorisiert, in Ihren eigenen Netzen Penetrationstests durchführen oder auch Vorgesetzte durch die Demonstration der Sicherheitslücken sensibilisieren.

Über den Referenten:

Ralf Spenneberg berät und schult seit 1999 Unternehmen bei dem Einsatz von Open-Source-Software in sicherheitskritischen Umgebungen. Die Sicherheit in Computernetzwerken ist ein sich ständig bewegendes Ziel. Daher ist eine ständige Weiterentwicklung des eigenen Wissens erforderlich. Er hat in den vergangenen Jahren bereits einige Bücher geschrieben, in denen er sein neu gewonnenes Wissen weitergegeben hat. Dies wird sicherlich auch noch in Zukunft so bleiben. Auch in seinen Schulungen versucht er immer auf die aktuellen Veränderungen einzugehen und neue Themen (es sind inzwischen weit über 20 Kurse) einzubetten.

Programmieren von PC-Hardwareschnittstellen
von Jürgen Plate
Mittwoch, 29.2.2012 10:00-18:00

Das Tutorium stellt typische PC-Schnittstellen und deren Programmierung in Linux vor. Sie erfahren Wissenswertes über die Hardware der Standard-PC-Schnittstellen. Anschließend wird auf die Grundlagen der Programmierung in C und Perl eingegangen. Es sollen auch keine speziellen Schnittstellenkarten zur Sprache kommen, die man von verschiedenen Herstellern beziehen kann, sondern nur die normalen Standardschnittstellen des PC und kreative bzw. alternative Anwendungen dieser Schnittstellen:

  • die serielle Schnittstelle,
  • die parallele Schnittstelle (Druckerschnittstelle),
  • die Tastatur-Schnittstelle,
  • der Game-Port,
  • der internen Lautsprecher

Lassen Sie sich überraschen...

Folien...
Über den Referenten:

Prof. Jürgen Plate unterrichtet an der Fakultät Elektrotechnik und Informationstechnik der Hochschule München. Seine Fachgebiete umfassen neben anderem die Mikrocomputer-Technik, Rechnerperipherie, Computernetze, Internet-Technik und natürlich die Anwendung und Administration von Linux. Er ist seit der Version 0.96 begeisterter Linux-User.

Open Source und der Stress
von Johannes Loxen
Donnerstag, 1.3.2012 9:15-10:15

Open-Source verbindet man gemeinhin mit Freiwilligkeit und Zwanglosigkeit. Wenn sie aber Erfolg hat, sind die Mechanismen schnell die Gleichen wie bei "Private Source". Darüber erzählt der Vortrag am Beispiel von Samba 4 und einer 6-jährigen Entstehungszeit.

Über den Referenten:

Dr. Johannes Loxen ist geschäftsführender Gesellschafter der Göttinger SerNet GmbH, die Dienstleistungen im Bereich Informationssicherheit und Open-Source-Software weltweit anbietet. SerNet ist Marktführerin in Sachen SAMBA, der einzigen Open-Source-Alternative zu Windows-Servern von Microsoft und Anbieterin von "verinice.", dem einzigen BSI-lizenzierten IT-Grundschutz-Tool unter Open-Source-Lizenz. Nach Studium und Promotion an der Universität Göttingen gründete er die SerNet im Jahr 1997. In 2008 folgte die winwerk GmbH mit den Schwerpunkten Windows Server und MS-Exchange.

Johannes Loxen ist weiterhin Handelsrichter am Landgericht Göttingen und Mitglied des Aufsichtsrates der DENIC e.G.

Redundante Dienste - Idealfall und Notfalllösungen
von Matthias Müller
Donnerstag, 1.3.2012 10:45-11:30

In dem Vortrag soll vorgestellt werden, wie in der Praxis Redundanzanforderungen die geographische Grenzen überwinden realisiert werden können. Der Vortrag erfolgt primär aus Sicht eines Netzwerkers, der die Layer-2- und Layer-3-Anforderungen und -Risiken im Blickfeld hat, aber auch die Anforderungen auf Systemebene kennt. Vorgestellt werden Lösungen aus der Praxis, Probleme, die sich daraus ergeben und Ideen, wie bei einem Neudesign diese Anforderungen eleganter, einfacher und transparenter gelöst werden können.

Folien...
Über den Referenten:

Matthias Müller hat mit Beginn seiner Tätigkeit als HiWi an der Universität Karlsruhe 1998 sein Interesse für Netzwerke auch 'beruflich' ausüben können. Während der Zeit als HiWi wurde neben der normalen Tätigkeit in der Netzwerkabteilung besonders der Bereich WLAN-Infrastruktur und VPN-Zugang ausgebaut und verbessert. Nach Abschluss des Studiums erfolgte eine Anstellung an der Universität Karlsruhe mit dem primären Fokus zur Entwicklung einer verteilten Firewallarchitektur, die sowohl mandantenfähig als auch herstellerunabhängig ist.

2008 erfolgte der Wechsel zur 1&1 Internet AG, zuerst im Bereich Network Engineering Datacenter. Seit 2011 liegt das Hauptaufgabenfeld als Network Architekt im Bereich des Netzwerkdesigns der 1&1. Arbeitsbereich ist momentan - neben interner Projektarbeit - das Design redundanter Strukturen für Endsysteme über Rechenzentren hinweg.

Open-Source-Entwicklung im Kundenauftrag
von Vinzenz Vietzke
Donnerstag, 1.3.2012 10:45-11:30

Softwareentwicklung unter freien Lizenzen und die Offenlegung der zugehörigen Quellen werden immer beliebter.

Auch Jahrzehnte nach der ersten Veröffentlichung großer Softwareprojekte verzeichnen Open-Source-Communities stetiges Wachstum und ungebrochenes Interesse, sowohl durch Endanwender als auch durch Unternehmen. Häufig fällt hierbei jedoch der Dienstleistungsbereich unter den Tisch, also die Softwareentwicklung im Kundenauftrag.

Wie überzeuge ich meinen Auftraggeber vom Modell "Open-Source"? Wo liegen die Chancen und Vorteile für den Auftraggeber? Gibt es Gefahren oder Fallstricke?

Der Vortrag berichtet aus der Praxis eines IT-Dienstleisters und zeigt konkrete Vorgehensweisen auf, wie Open-Source-Softwareentwicklung sowohl für Kunden als auch für Dienstleister zum Erfolg wird.

Über den Referenten:

Vinzenz Vietzke ist seit 2007 aktiv an verschiedenen Open-Source-Projekten beteiligt, allen voran dem Fedora-Projekt. Er ist mit der quelloffenen Entwicklung von Software vertraut und kennt Community-Strukturen aller Art. Dieses Wissen bringt der gelernte Mediengestalter seit 2011 in der B1 Systems GmbH als Linux/Open-Source-Consultant ein und unterstützt das Marketing-Team des Unternehmens zusätzlich durch Grafik- und Designarbeiten.

Enterprise Monitoring mit Icinga
von Bernd Erk
Donnerstag, 1.3.2012 11:30-12:15

Das als Fork von Nagios entstandene Projekt Icinga hat sich in gut eineinhalb Jahren zur Enterprise-Variante der wohl verbreitetsten Open-Source-Monitoringlösung weiterentwickelt. Neben vielen Optimierungen im Bereich des Icinga-Cores der neben vereinfachter Installation auch die zusätzliche Unterstützung von Oracle und PostgreSQL beinhaltet, ist gerade im Bereich des Webinterfaces eine völlig neue Lösung entstanden. Viele Addons rund um modulare Konfiguration, Verwaltung von Rechenzentrumsinfrastrukturen und nicht zu letzt die visuelle Definition und Überwachung von Geschäftsprozessen machen Icinga zur idealen Open-Source-Monitoringlösung für große Umgebungen. Der Vortrag geht auf die Unterschiede zwischen Nagios und Icinga und die vielen Neuerungen und Module ein und zeigt die Leistungsfähigkeit in anschaulichen Praxisbeispielen.

Folien...
Über den Referenten:

Bernd Erk ist bei dem Nürnberger Open-Source- und Systems-Management-Spezialisten NETWAYS GmbH als Head of Operations tätig und verantwortet die reibungslose Abwicklung aller Kundenprojekte und Prozesse. Zuvor war er bei der Quelle Schickedanz AG & Co. als Systemspezialist tätig, wobei sein Tätigkeitsschwerpunkt auf Solaris, HP-UX, sowie Oracle-Datenbanken lag. Anschließend arbeitete Bernd knappe acht Jahre als Business Unit Manager für ise-informatik und beschäftigte sich dort hauptsächlich mit Oracle-Datenbanken und serviceorientierten Architekturen.

LibreOffice und The Document Foundation
von Florian Effenberger
Donnerstag, 1.3.2012 11:30-12:15

Am 28. September 2010 gründete ein großer Teil der damaligen OpenOffice.org-Community die Document Foundation. Unter ihrem Dach wird seitdem mit LibreOffice die freie Office-Suite entwickelt und vermarktet. In kürzester Zeit gelang es der TDF, so die Kurzform der Document Foundation, sowohl Prozesse als auch Infrastruktur und die Marke zu etablieren und neben unzähligen Ehrenamtlichen aus aller Welt auch zahlreiche bekannte Unternehmen mit ins Boot zu holen. Der Vortrag blickt zurück auf knapp anderthalb Jahre LibreOffice und wagt einen Blick in die Zukunft der TDF.

Folien...
Über den Referenten:

Florian Effenberger engagiert sich seit vielen Jahren ehrenamtlich für freie Software. Er ist Gründungsmitglied und Mitglied im Board of Directors der Document Foundation. Zuvor war er fast sieben Jahre im Projekt OpenOffice.org aktiv, zuletzt als Marketing Project Lead. Seine Arbeitsschwerpunkte liegen darüber hinaus in der Konzeption von Unternehmens- und Schulnetzwerken samt Softwareverteilungslösungen auf Basis freier Software. Zudem schreibt er regelmäßig für zahlreiche deutsch- und englischsprachige Fachpublikationen und beschäftigt sich dabei auch mit rechtlichen Fragestellungen.

System-Management-Trio - Zentrale Verwaltung mit facter, puppet und augeas
von Stefan Neufeind
Donnerstag, 1.3.2012 13:45-14:30

Für die Verwaltung von Systemen empfiehlt sich die Nutzung eines zentralisierten Managements. Selbst bei einer kleinen Anzahl von betreuten Systemen lassen sich so Fehler vermeiden, einheitliche Konfigurationen erreichen und eine Menge Arbeit sparen. In diesem Vortrag werden die Nutzung von "facter" zur Ermittlung verschiedenster System- und Konfigurationsparameter, "puppet" zur zentralisierten Konfigurationsverwaltung und "augeas" zur Auswertung und Änderung von Konfigurationsdateien erläutert.

Folien...
Über den Referenten:

Stefan Neufeind ist Geschäftsführer der SpeedPartner GmbH, einem Internet-Service-Provider für kleine/mittelständische Unternehmen. Neben der Realisierung von Web- und Portallösungen (z.B. mittels TYPO3, Magento und OpenEMM) spielt auch der Betrieb von maßgeschneiderten und lastverteilten/redundanten Hosting-Lösungen aus erster Hand eine wichtige Rolle. SpeedPartner ist direkter Registrar für verschiedene Toplevel-Domains, betreibt ein resellerfähiges Whitelabel-Domainportal und bietet auch die Erbringung von DNS-Diensten an. Langjährige Erfahrungen mit Domains und DNS-Lösungen sowie auch IPv6 und DNSSEC sind hier selbstverständlich.

Eine große Nähe zu Communities und die Mitarbeit in diesen sind für SpeedPartner selbstverständlich. So sind sie beispielsweise im TYPO3 Certification Team, im Deutschen IPv6-Rat und auch in PHP-/ISP-Kreisen stets um aktive Mitgestaltung und Erfahrungsaustausch bemüht.

Neben seiner Tätigkeit ist der Referent als Trainer, freiberuflicher Autor für Zeitschriften wie c't/iX/t3n und als Sprecher auf Konferenzen aktiv.

Hilf Dir selbst! - Erziehung zur Eigenverantwortung.
von Felix Pfefferkorn
Donnerstag, 1.3.2012 13:45-14:30

Ständige Veränderung zwingt zu permanenter Weiterbildung. In der Informatik stärker als in anderen Disziplinen, und je angewandter, desto doller. Gerade die "Praktiker" müssen sich ständig weiterbilden, um im Geschäft zu bleiben. Wohl kein erfolgreicher Informatiker kommt ohne heimische Bastelecke aus. Und wer sich nicht kümmert, der ist schon wenige Jahre nach Studien- oder Ausbildungsende auf dem Arbeitsmarkt "nicht mehr vermittelbar", auch wenn sein Arbeitgeber ihn regelmäßig auf irgendwelche Kurse und Schulungen geschickt hat.

Aber wie vermittelt man diese Fähigkeit und Bereitschaft zur eigenverantworteten Weiterbildung? Wie erhält man den kindlichen Spieltrieb, der notwendig ist, um in unserer Branche ein Leben lang Erfolg und Spaß zu haben? - Eine Frage, die sich nicht nur Ausbilder stellen sollten, sondern alle, die für Informatiker verantwortlich sind. Wichtig ist, die Informatik als kreative Disziplin ernstzunehmen. Deswegen ist es mit starren Vorgaben, etwa festen wöchentlichen Zeitbudgets für diesen Zweck nicht getan, auch wenn sie natürlich hilfreich sein können. Im Kern geht es aber eher um eine Einstellung als um eine Regelung.

Über den Referenten:

Felix Pfefferkorn ist Ausbildungsleiter der 1&1 Internet AG und war zuvor in verschiedenen Funktionen in der Systemadministration und im Personalwesen tätig.

Parallelisierte Administration mit Marionette Collective
von Andreas Schmidt
Donnerstag, 1.3.2012 14:30-15:15

Marionette Collective – oder kurz MCollective – ist ein quelloffenes und erweiterbares Server Orchestration Framework aus derselben DevOps-Schmiede, die schon mit Puppet ein beliebtes und bekanntes Werkzeug aus dem Bereich Konfigurationsmanagement entwickelt hat: Puppet Labs aus Portland, USA. MCollective ist darauf ausgelegt, spezifische Aufgaben auf einer Vielzahl Hosts in einer verteilten Umgebung auszuführen. Dahinter liegt ein effizientes System aus Ruby-basierten Agents, die über einer Messaging-Infrastruktur RPC-Dienste erbringen. Die Besonderheiten liegen in der indirekten Adressierung der Zielsysteme über Facts, der massiv parallelen Ausführung und in der Fähigkeit, verschiedene Standorte wie etwa in Cloud-Umgebungen miteinander verbinden zu können.

Durch die intelligente Verknüpfung dieser neuen Funktionen ist man mit Hilfe von MCollective in der Lage, eine Serverlandschaft unabhängig von ihrer Größe zu administrieren. Beispiele reichen von Monitoring- und Housekeeping-Jobs bis hin zum automatischen Deployment von ganzen Anwendungs-Stacks in der Cloud. Eine rollenbasierte Sicherheit mit Authentifizierung und Autorisierung macht die Nutzung von MCollective für den praktischen Einsatz sicher und auditierbar. In Verbindung mit Puppet ergibt sich eine hervorragende Werkzeugkombination zur Verwaltung von großen Serverlandschaften.

Im Sinne von Infrastructure-as-code richtet sich der Vortrag an Administratoren und Betriebsverantwortliche und zeigt Vorteile, Anwendungsgebiete und den konkreten Einsatz von MCollective anhand von Beispielen auf.

Folien...
Über den Referenten:

Andreas Schmidt ist als Berater für Cassini Consulting mit Sitz in Düsseldorf tätig. Er arbeitet seit über 15 Jahren im Bereich Anwendungsentwicklung mit Sprachen wie C++ und Java, im Umfeld der Infrastrukturentwicklung auch gerne mit Ruby. Haupteinsatzgebiet sind Architekturen im Intranet und Internet. Seit etwa vier Jahren ist er verstärkt an der Schnittstelle zwischen Entwicklung und Betrieb mit Fokus auf Deployment- und Konfigurationsmanagement tätig.

Gesunder Umgang mit Kritik - Menschen reden anders als Maschinen
von Thomas Rose
Donnerstag, 1.3.2012 14:30-15:15

Kritik zu geben ist eine Kunst, aber Kritik anzunehmen ist das tägliche Brot einer jeden Fach- und Führungskraft. Erfahren Sie, wie Sie mit Kritik am besten umgehen. Informieren Sie sich über vier entscheidende Schritte, die Ihnen dabei helfen, mit Kritik an der eigenen Person umzugehen und mit denen Sie sich möglichst früh in Ihrer Karriere auseinander setzen sollten. Auch wenn Sie im Moment der Liebling aller sind, irgendwann werden Sie sich mit Kritik an Ihrer Person auseinandersetzen müssen.

Über den Referenten:

Dr. Thomas Rose ist zertifizierter Reiss-Profile Master und spezialisiert auf die Motivationsanalyse und das Zusammenspiel in Teams von Entscheidern und konfliktträchtigen Arbeitsgruppen.

Außerdem ist Thomas Rose zertifizierter Trainer für das VitalSmarts Training Crucial Conversations / "Heikle Gespräche: Worauf es ankommt wenn viel auf dem Spiel steht".

Enterprise Cloud-Lösung - OpenStack in der Praxis
von Andre Nähring
Donnerstag, 1.3.2012 15:45-16:30

Cloud Computing ist in aller Munde! Linux ist hier die dominante Plattform und mit OpenStack haben sich viele IT-Größen zusammengeschlossen, um eine offene Cloud-Lösung zu entwickeln.

In diesem Vortrag wird aus der Praxis berichtet: Warum entscheiden sich große Firmen für OpenStack, wie wird evaluiert, packetiert und getestet? Antworten auf diese und weitere spannende Fragen erhalten Sie im Vortrag OpenStack in der Praxis.

Folien...
Über den Referenten:

Andre Nähring war mehrere Jahre als Linux-Administrator beschäftigt und arbeitet nun als Linux/Open-Source-Consultant und Trainer bei der B1 Systems GmbH. Dort ist er Ansprechpartner für Themen wie z. B. Web- und Mailservern, sowie Backup.

Mit OpenStack hat Andre schon mehrere Umgebungen bei verschiedensten Kunden implementiert.

"Datei -> Seite einrichten", 50 Jahre historisch gewachsenes Unkraut in der IT
von Oliver Rath
Donnerstag, 1.3.2012 15:45-16:30

Immer wieder laufen einem "historisch gewachsene" Software, Protokolle u.ä. über den Weg, die sich z.T. bis heute gehalten haben. Warum z.B. braucht man für ftp zwei Ports? Wieso funktioniert SIP nur sauber mit STUN? Warum ist die Escape-Taste so weit weg, obwohl man sie beim vi ständig braucht?

Dieser Vortrag will auf humorvolle Weise (Fehl-)Entwicklungen und deren Hintergründe in der IT beleuchten.

Folien...
Über den Referenten:

Oliver Rath studierte Mathematik und Informatik an der TU München und tauchte 1997 mit FreeBSD in die Open-Source-Szene ein und ist seither dort geblieben. Mittlerweile verwendet er Open-Source-Tools, wo immer es möglich ist.

LinuX-Container
von Erkan Yanar
Donnerstag, 1.3.2012 16:30-17:15

LXC beschreibt die im Vanilla-Kernel integrierte Virtualisierungslösung. Bei weitem noch nicht so ausgereift wie OpenVZ und doch nicht unbrauchbar. Im Vortrag wird in diese Lösung eingeführt.

Ziel des Vortrages ist es, den Zuhörer mit LXC vertraut zu machen. Nach der Erklärung von den Möglichkeiten von cgroups wird in das Arbeiten mit LXC eingeführt. In der Abgrenzung zu OpenVZ wird der jetzige Stand von LXC verdeutlicht, so dass der Besucher am Ende des Vortrages in der Lage sein sollte abzuwägen, ob LXC schon jetzt oder in Zukunft für ihn interessant sein könnte.

Folien...
Über den Referenten:

Erkan Yanar beschäftigt sich seit Mitte der 90er mit Linux. Auch wenn sein gegenwärtiger Schwerpunkt bei MySQL liegt, ist noch viel Freude an anderen Open-Source-Projekten zu finden.

Multicast und Anycast
von Jens Link
Donnerstag, 1.3.2012 16:30-17:15

Der Vortrag beschreibt den Einsatz von Multicast und Anycast in großen Netzwerken.

Der Multicast-Teil beschreibt die gängigen Protokolle welche in IPv6- und Legacy-IPv4-Netzwerken benutzt werden können und beschreibt entsprechende Implementierungen. Der Schwerpunkt liegt bei Multicast in gerouteten Netzen, darüber hinaus wird auch auf Multicast in MPLS Netzen eingegangen.

Der Anycast Teil zeigt wie man auf Basis von Linux, Quagga und BIND DNS hoch verfügbar in großen Netzen implementiert.

Folien...
Über den Referenten:

Jens Link ist freiberuflicher Network Engineer und beschäftigt sich seit Jahren mit komplexen Netzwerken, Firewalls und Netzwerkmonitoring mit Open-Source-Tools.

Schwerpunkte seiner Tätigkeit sind Netzwerkadministration und Netzwerkplanung. Hierbei bevorzugt er Cisco, Juniper und Linux. Seine Steckenpferde sind IPv6 und Troubleshooting. Er hält außerdem Vorträge und Schulungen in diesen Bereichen.

Jens Link organisiert außerdem den Berliner sage@guug Stammtisch, ein monatliches Treffen von Administratoren.

Ressource-Management für und mit modernen Rechnerarchitekturen
von Franz Haberhauer
Donnerstag, 1.3.2012 17:15-18:00

Die Hardware heutiger Systeme ist in den letzten Jahren dramatisch leitungsfähiger geworden. Bei der Konsolidierung von Anwendungen von separaten Systemen auf weniger aber leistungsstärkere Systeme - mit oder auch ohne Nutzung von Virtualisierungstechnologien - gewinnen Mechanismen zum Ressource-Management zunehmend an Bedeutung.

Ressource-Management für CPUs hat eine lange Tradition, neue Aspekte der CPU-Architekturen und auch Virtualisierungskonzepte erfordern aber neue Ansätze. Aktuelle CPUs bestehen aus mehreren Kernen mit jeweils mehreren Hardware-Threads. Ein Betriebssystem behandelt jeden dieser Threads als (virtuelle) CPU. Dabei nutzen Threads eines Kerns gemeinsame funktionale Einheiten. Auch ist der Zugriff auf verschiedene Bereiche des Haupspeichern nicht mehr gleich schnell (NUMA). Im Vortrag werden am Beispiel von Solaris neue Ansätze wie das Konzept der Critical Threads beleuchtet, über das anwendungsspezifisch die Ressourcenverteilung in Prozessorkernen beeinflusst wird.

Mit der finalen Freigabe von Solaris 11 Ende 2011 gelangen die darin enthaltenen Mechanismen zur hardwarenahen Virtualisierung von Netzwerkschnittstellen und zum Bandbreitenmanagement zunehmend zum produktiven Einsatz. Der Vortrag stellt diese aktuellen Mechanismen vor. Auch im Bereich der Platten-I/O wächst das Interesse an der Implementierung von Storage Quality of Service etwa durch eine anwendungsabhängige Priorisierung von I/Os wie sie bei den Pillar Axiom Systemen realisiert ist.

Folien...
Über den Referenten:

Franz Haberhauer ist bei Oracle als Chief Technologist für den Geschäftsbereich Hardware tätig. Er kam über die Aquisition von Sun zu Oracle. Bei Sun unterstützte er über 17 Jahre Kunden bei der Einführung neuer Technologien in und rund um Solaris.

IPv6 paketfiltering managed by python
von Johannes Hubertz
Donnerstag, 1.3.2012 17:15-18:00

IPv6 - unendlicher Adressraum - ist genauso sicher oder unsicher wie IPv4.

Ein (fragwürdiger) Schutz durch NAT entfällt, üblich ist Ende-Ende-Kommunikation. Jeder Service eines Gerätes steht also aller Welt zur Nutzung zur Verfügung; wollen wir das wirklich? Filterung bei IPv4 ist mittlerweile alltäglich, wenn auch meist nur auf Firewalls oder Routern üblich. In der IPv6-Welt scheint eine omnipräsente Filterung wünschenswert: Jedes Endgerät sollte mit exakt konfigurierten Paket-Filtern (z.B. ip6tables, netfilter) seine Kommunikation so einschränken, dass Manager und Administratoren gut schlafen können. Der Vortrag soll Einblicke in die Konstruktion und die Nutzung der eigenentwickelten Python-Programme geben und gleichzeitig dazu anregen, mitzumachen, anzuwenden und Nutzen aus der Sache zu ziehen. Wünschenswert bleibt, Filtermethoden für alle weitverbreiteten Systeme zu haben. Hilfestellung dazu wird gesucht, da der Autor sich bisher ausschließlich mit unixoiden Systemen und deren Filtermethoden beschäftigt hat. Eine Eigenentwicklung für IPv4 unter dem Namen sspe entstand ab 2001, dies ist ein Framework für IPv4-Filter mit iptables auf Linux und bis heute an mehreren Stellen im Betrieb. Aufgrund der gesammelten Erfahrungen und der Abwesenheit von komplizierten NAT-Mechanismen war ein Neuanfang mit Python als Basis für IPv6 möglich, nicht zuletzt auch dank eines einfach nutzbaren Python-Moduls von Google. So kann nun mit simplen Definitionen und Regeln eine ganze, administrativ zusammenhängende System-Landschaft bequem und (durch SSH) sicher mit konsistenten Filterregeln geschützt werden. Die Software ist unter GPLv3 frei verfügbar.

Folien...
Über den Referenten:

Johannes Hubertz, Jahrgang 1954, Kölner, ist seit der Kindheit zuerst an Strom, später am Datenstrom interessiert. Ab 1973 studierte er Elektrotechnik in Aachen, ab 1980 versuchte er es mit redlicher Arbeit, zuerst Hardwarereparaturen, ab 1984 Software-Entwicklung mit ASM-80/PLM-80 auf Intel 8085. Dann kamen die PCs. 1986 war sein Erstkontakt mit Unix und C, zuerst auf Xenix, dann SPIX, BOS, AIX, und endlich dann auch mal mit Quelltexten Linux. Seit 1997 ist das zumeist Debian, fast ausschließlich für Sicherheitsaufgaben wie Reverse-SSL-Proxies, X.509, Firewalling. IPsec-VPNs sind für ihn seit 2001 interessant, erst mit FreeSwan, heute meist mit StrongSwan. Für Roadwarrior auch mal mit OpenVPN, oft auf Hardware mit schwarzen Frontblenden und 3-Buchstaben-Logos. Er entwickelte ein IPv4-Paketfilter-Framework, dies ist seit 2003 als sspe bei sourceforge.net unter GPL verfügbar und bei Kunden im Einsatz. Seit Mitte 2005 ist er GUUG-Mitglied und mit der eigenen GmbH selbständig unterwegs als Dienstleister für Datenschutz und Informationssicherheit.

RobinHood - große Dateisysteme effizient verwalten
von Daniel Kobras
Freitag, 2.3.2012 9:15-10:00

Große Dateisysteme machen es den Administratoren zunehmend schwerer, Auslastungs- und Nutzerprofile im Blick zu behalten. Wenn Standardbefehle wie "find" oder "du" Stunden oder gar Tage benötigen, um den kompletten Datenbestand eines Fileservers zu durchlaufen, sind sie für den alltäglichen Gebrauch mehr Hemmschuh denn sinnvolles Werkzeug. Eine Alternative bietet das Software-Paket RobinHood, das häufig benötigte Informationen ohne nennenswerte Wartezeit zur Verfügung stellt und gleichzeitig hilft, das Dateisystem selbst zu entlasten. Der Vortrag beschreibt das Funktionsprinzip von RobinHood, zeigt praktische Anwendungsbeispiele auf beliebigen Posix-Dateisystemen und stellt RobinHood-Erweiterungen speziell für das verteilte Dateisystem Lustre vor.

Folien...
Über den Referenten:

Daniel Kobras ist als Senior Systems Engineer bei der Tübinger science+computing ag beschäftigt. Dort arbeitet er unter anderem an Speicherlösungen für Kunden der Automobilindustrie.

OpenDNSSEC
von Matthijs Mekking
Freitag, 2.3.2012 9:15-10:00

Many Internet protocols hinge on DNS, but the data in DNS caches has become so vulnerable to attacks that it cannot be relied upon anymore. The added authenticity in DNSSEC makes sure that such attacks have no effect.

However, DNS is complicated, and so is digital signing; their combination in DNSSEC is of course complex as well. The idea of OpenDNSSEC is to handle such difficulties, to relieve the administrator of them after a one-time effort for setting it up.

This talk explains the architecture of OpenDNSSEC and how you can set it up in your own environment.

Der Vortrag ist in englischer Sprache.

Folien...
Über den Referenten:

Matthijs Mekking is a software developer at NLnet Labs, a foundation that focuses on providing open source software and open source standards that can enhance the open, secure, and innovative nature of the Internet for all.

He is actively involved in the developments of several DNS projects, such as NSD and OpenDNSSEC. Because of that, Mekking got involved in the DNS community and became an active participant within the IETF.

Matthijs Mekking was born in the eighties and lives in Nijmegen, where he studied Computer Science. He graduated in 2007 by researching Shim6, an IPv6 host-based multi-homing protocol.

Final Editor Battlemania: Ultimate Emacs vs. Invincible Vi
von Nils Magnus
Freitag, 2.3.2012 10:00-10:45

1976 brachte Bill Joy eine erste Version des Vi heraus, im gleichen Jahr veröffentlichte Richard M. Stallmann seinen frühen Emacs. Über 35 Jahre später tobt immer noch ein bisweilen verbissen geführter Kampf über die Vorherrschaft beim Ändern von Dateien.

Diese Auseinandersetzung findet auf dem Frühjahresfachgespräch ein Ende.

Weil beide Lager ihre Argumente ("Eingabestrommodifizierer", "Eight Megabytes Allocated, Constantly Swapping") hinlänglich vorgebracht haben, ist es nun an der Zeit für den finalen Showdown. In einem Praxis-Wettstreit erhalten Anhänger der beiden Editoren die Gelegenheit, durch das Lösen von typischen Editoraufgaben zu zeigen, welches Werkzeug sich besser im Admin-Alltag eignet. Dem Gewinner winken eine Trophäe, Ehre und immerwährender Ruhm in der Ahnenhalle der Tastaturbenutzer.

Über den Referenten:

Nils Magnus ist System-Engineer bei dem Systemhaus inovex, Mitbegründer des LinuxTag und bekennender gebürtiger Hannoveraner. Zur Schulzeit durchstöberte der heute 41-Jährige Kaufhäuser nach VC20-Rechnern und anderen Ursuppen-Zutaten. Das Informatik-Studium in Kaiserslautern brachte ihn mit Unix in Kontakt, wo aus den Reihen der von ihm mitgegründeten Unix-AG im Jahr 1995 der LinuxTag entstand. Etliche Jahre als Berater des IT-Security-Unternehmens secunet in Hamburg brachten ihm anschließend Wissen, aber nicht Weisheit, weswegen er sich ab 2007 beim Linux-Magazin als Redakteur verdingte. So kam er nach München - eine Stadt, die ihn wegen des unsäglichen Dialekts all der bayerischen Zuagrasten vor große Herausforderungen stellt. Seit 2011 übt sich der passionierte Skifahrer, seit 2005 in der GUUG, als Mitarbeiter der Operations-Abteilung nach der Scrum-Methode in klassischem Systemplanungs- und Netzwerkhandwerk.

Single Sign On mit Shibboleth
von Sebastian Hetze
Freitag, 2.3.2012 10:00-10:45

In heterogenen Netzwerkumgebungen wächst die Bedeutung browserbasierter Anwendungen. Die Authentifizierung und Autorisierung der Benutzer in einem Geflecht unternehmenskritischer Webapplikationen verlangt den Einsatz von Single-Sign-On-Systemen.

Shibboleth ist eine im akademischen Bereich seit Jahren etablierte Open-Source-Lösung zum Aufbau einer SSO-Infrastruktur. Es verwendet die als OASIS-Standard definierte Security Assertion Markup Language (SAML) zur Kommunikation zwischen Identitäts-Providern (IdP) und Service-Providern (SP). Die Anwender können mit einer einzigen Anmeldung auf beliebig viele Dienste zuzugreifen. Über die Authentifizierung hinaus erlaubt SAML die Übermittlung beliebiger Attribute vom IdP zum SP. Auf diese Weise können die Rollen/Zugriffsrechte zum Beispiel über LDAP gemeinsam mit der Identität verwaltet werden. Die Autorisierung der eigenen Mitarbeiter für den Zugriff auf einen (möglicherweise externen) Dienst erfolgt über die SAML-Attribute direkt in der zentralen Benutzerverwaltung. Mit SAML/Shibboleth kann das Identitätsmanagement über die Grenze der eigenen Firma/Organisation hinaus in ein Netz kooperierender Föderationen ausgeweitet werden.

In dem Vortrag wird die Technologie von Shibboleth mit beispielhaften Anwendungen vorgestellt. Außerdem wird Shibboleth in das Umfeld anderer SSO-Technologien wie Open-ID und Kerberos oder M$ Passport eingeordnet.

Folien...
Über den Referenten:

Sebastian Hetze ist Linux-Pionier seit 1992 (LunetIX, Linux Anwenderhandbuch, Linux-Kongress) und arbeitet seit 2011 wieder als Consultant für Open-Source-Infrastrukturen.

Ein einheitliches Austauschformat zum Parametrisieren verschiedener IDS
von Björn-C. Bösch
Freitag, 2.3.2012 11:15-12:00

Intrusion Detection Systeme (IDS) werden zu Schutz von IT-Systemen mit sensiblen Informationen oder Funktionen eingesetzt. Hierbei werden herstellerspezifische Administrationsschnittstellen zum Parametrisieren der Systeme verwendet. Beim Einsatz unterschiedlicher Systeme sind diese auf wenige IDS-Hersteller zu beschränken (Administrator-Spezialisierung), oder eine Vielzahl unterschiedlicher applikationsspezifischer IDS einzusetzen (IDS-Spezialisierung). Im Rahmen einer Integration wurde untersucht, ob der IDS-Manager vom IDS-Analyser unabhängig ist und wie ein offenes Format zum Austausch von Konfigurationsparametern zu strukturieren ist.

In einem Proof-of-Concept wurde eine allgemeine Administrationsoberfläche entwickelt, und in das Netzwerk-IDS snort sowie in ein Host-IDS integriert. Über ein einheitliches Parameter- und Übertragungsformat werden diese konfiguriert. Die Integration von weiteren Open-Source-IDS wird angestrebt, um die allgemeine Anwendbarkeit darzustellen.

Nach einer kurzen Einführung in die Struktur von IDS und dem Abgrenzen von Erkennungsreferenz und integrationsspezifischen Parametern werden die Anforderungen an das entwickelte Format und dessen grundsätzliche Struktur dargestellt. Leistungsumfang und Grenzen des offenen Formates werden aufgezeigt.

Das Zusammenwirken mit bereits existierenden Austauschformaten wie dem Intrusion Detection Message Exchange Format (IDMEF) zu einer geschlossenen herstellerunabhängigen Lösung zur Administration und Überwachung von IDS wird skizziert.

Folien...
Über den Referenten:

Björn-C. Bösch war nach seinem Abschluss als Dipl.-Ing. (FH) in unterschiedlichen Positionen bei einem großen deutschen Systemhaus/Provider tätig. Die Aufgaben reich(t)en vom Entwickeln kundenindividueller IP-Netze und Netzwerk-Sicherheitslösungen bis zum Beraten von multinationalen Großkunden in technischen, organisatorischen und strategischen Sicherheitsfragen.

An der Carl-von-Ossietzky-Universität in Oldenburg beschäftigt sich Björn-C. Bösch als externer Mitarbeiter nebenberuflich mit Intrusion-Detection Systemen, besonders mit deren Architektur, Austauschformaten und Verwaltungsoberflächen.

Clickjacking und UI-Redressing
von Marcus Niemietz
Freitag, 2.3.2012 11:15-12:00

UI-Redressing ist eine Technik, welche die Veränderung des Verhaltens sowie optional auch des Aussehens einer Webseite beschreibt. Ein im Jahr 2008 eingeführter und sich in der Menge von UI-Redressing befindlicher Angriff wird Clickjacking genannt. Mit der Hilfe des klassischen Clickjacking war es möglich, die Kamera sowie das Mikrofon eines Opfers innerhalb des Adobe Flash Player automatisch für einen Angreifer freizuschalten.

Der Vortrag umfasst die zu der Thematik UI-Redressing gehörenden Angriffe, Gegenmaßnahmen und Statistiken. Dabei werden insbesondere neue und bisher unbekannte UI-Redressing- respektive Clickjacking-Techniken in einer Live-Demonstration vorgestellt. Schlussendlich wird diskutiert welchen Einfluss die Thematik auf die Zukunft haben kann.

Folien...
Über den Referenten:

Marcus Niemietz studiert in den Master-Studiengängen der Ruhr-Universität Bochum "IT-Sicherheit/Informationstechnik" sowie an FernUniversität in Hagen "Computer Science". Außerhalb der akademischen Laufbahn führt er sowohl Schulungen als auch Penetrationstests im Bereich der Sicherheit von Webanwendungen durch. Weiterhin hat er auf internationalen Konferenzen wie der CONFidence, 0sec sowie unter anderem VoteID vorgetragen.

Extremes Wolken-Dateisystem?!
von Udo Seidel
Freitag, 2.3.2012 12:00-12:45

Sogenannte Shared File Systems gibt es schon lange im Unix/Linux-Umfeld. Die netzbasierten und auch die Cluster-Dateisysteme sind dabei schon fast ein alter Hut. Seit einiger Zeit machen sogenannte verteilte Dateisysteme von sich reden. Das Projekt XtreemFS - ein Teil des Grid-Betriebssystems XtreemOS - ist ein recht junger aber ambitionierter Vertreter in diesem Feld. Die aktuelle Version hat endlich einige wichtige Funktionen implementiert und verdient nun einen genaueren Blick.

Der Vortrag gibt Einblick in die Ansätze des Dateisystems, erläutert die Architektur und beschreibt erste Schritte im Aufbau eines XtreemFS-Clusters.

Folien...
Über den Referenten:

Dr. Udo Seidel ist eigentlich Mathe-Physik-Lehrer und seit 1996 Linux-Fan. Nach seiner Promotion hat er als Linux/Unix-Trainer, Systemadministrator und Senior Solution Engineer gearbeitet. Heute ist er Leiter eines Linux/Unix-Teams bei der Amadeus Data Processing GmbH in Erding.

Hacking Endpoint Security
von Ralf Spenneberg
Freitag, 2.3.2012 12:00-12:45

Eine wesentliche Sicherheitslücke in modernen Netzen stellen immer noch Innentäter dar. Auch die (unwissentliche) Unterstützung eines Außentäters durch eigene Mitarbeiter ist problematisch. Um Angriffe auf diesem Wege zu erschweren, deaktivieren viele Unternehmen die Unterstützung für externe Massenspeicher. CD- und Diskettenlaufwerke werden häufig aus den Systemen entfernt. Für den Schutz vor USB-Massenspeichern werden häufig komplexe End-Point-Security Softwarelösungen eingesetzt, die nur autorisierte USB-Geräte unterstützen.

Mit speziellen USB-Sticks können nun auch diese Systeme umgangen werden. Diese USB-Sticks stellen sich dem System gegenüber als Maus oder Tastatur dar. Anschließend fangen sie an den Mauszeiger zu bewegen oder scheinbar einzelne Tasten zu tippen. Hierüber können sie, wenn ein Benutzer an dem System angemeldet ist, beliebige Programme starten, Daten aus dem Internet laden und Trojaner starten.

Dieser Vortrag zeigt, wie die Sticks funktionieren, wo diese Sticks für 12,00 EUR/Stück erworben werden können und wie die Sticks programmiert werden.

Folien...
Über den Referenten:

Ralf Spenneberg berät und schult seit 1999 Unternehmen bei dem Einsatz von Open-Source-Software in sicherheitskritischen Umgebungen. Die Sicherheit in Computernetzwerken ist ein sich ständig bewegendes Ziel. Daher ist eine ständige Weiterentwicklung des eigenen Wissens erforderlich. Er hat in den vergangenen Jahren bereits einige Bücher geschrieben, in denen er sein neu gewonnenes Wissen weitergegeben hat. Dies wird sicherlich auch noch in Zukunft so bleiben. Auch in seinen Schulungen versucht er immer auf die aktuellen Veränderungen einzugehen und neue Themen (es sind inzwischen weit über 20 Kurse) einzubetten.

strace für Linux-Versteher
von Harald König
Freitag, 2.3.2012 14:00-14:45

strace ist ein wahres Wundertool in Linux, man muss es nur einsetzen -- und kann damit sehr viel über die Abläufe und Internas von Linux lernen:

Mit strace können einzelne oder mehrere Prozesse zur Laufzeit auf system-call-Ebene "beobachtet" werden. Damit lassen sich bei vielen Problemen sehr einfach wertvolle Informationen zum Debuggen gewinnnen (welche Config-Dateien wurden wirklich gelesen, welches war die letzte Datei/shared-lib vor dem Crash usw).

Auch bei Performanceproblemen kann man mit strace interessante Infos gewinnen: wie oft wird ein syscall ausgeführt, wie lange dauern diese, wie lange "rechnet" das Programm selbst zwischen den Kernel-Calls...

Auch der komplette I/O eines Programm (disk oder net) lässt sich mit strace recht elegant mitprotokollieren und später offline analysieren (oder auch mal "replay"en, bei Bedarf sogar in "Echtzeit" dank präziser Timestamps).

Der Vortrag soll anregen, viele rätselhafe UNIX-Effekte, -Probleme, Programm-Crashes mal neu mit strace zu betrachten und damit hoffentlich (schneller) zu Lösungen und neuen Erkenntnissen zu gelangen...

Über den Referenten:

Harald König hat Physik in Tübingen studiert, und arbeitet seit 1985/96 mit VMS und TeX, seit ~1987 mit UN*X und mit Linux seit Ende 1992 (kernel 0.98.4). Er hat den Support für XFree86 S3-Treiber von 1993 bis 2001 geleistet.

Seit 2001 arbeitet er bei science + computing ag in Tübingen in der Software-Entwicklung und -Consulting im Linux-Umfeld von technisch-wissenschaftlichen Umfeld von Embedded-Portierungen, technischen Problemen und X11/Kernel-Debugging und -Anpassungen.

99 Backdoors on my Unix Host
von Andreas Bunten
Freitag, 2.3.2012 14:00-14:45

Hatten Angreifer bei einem Sicherheitsvorfall Zugriff auf ein System, so gibt es einiges zu tun. Alle gängigen Anleitungen empfehlen eine Neuinstallation bevor man schließlich das System wieder mit dem Netzwerk verbindet. In der Praxis führen Anforderungen des Managements und Termindruck oft dazu, dass das System lediglich mehr oder minder gut bereinigt anstatt neu installiert wird, bevor es wieder online gehen darf.

Angreifer hinterlassen oft Hintertüren im System - sogenannte Backdoors. Diese können aus neu installierten Diensten bestehen, aus einer Manipulation bestehender Dienste oder manchmal auch nur aus einer kleinen Konfigurationsänderung. Gemein ist diesen Hintertüren, dass die Angreifer ohne erneute Ausnutzung von Schwachstellen wieder Zugriff auf das System erhalten. Belässt man es bei der Bereinigung eines kompromittierten Systems, riskiert man daher, nicht alle Hinterlassenschaften der Angreifer zu finden. Die Backdoors zu finden ist besonders schwierig, wenn das System längere Zeit verwundbar war und verschiedene Angreifer Zugriff erlangt haben.

Im Vortrag werden eine Reihe verschiedene Hintertüren vorgestellt und es wird erklärt wie man diese finden kann. Es wird diskutiert, wie ein gangbarer Kompromiss gefunden werden kann um einerseits den Betrieb schnell wieder aufnehmen zu können und andererseits den Angreifern eine Rückkehr nicht zu leicht zu machen. Schließlich werden konkrete Tipps für die Bereinigung gegeben und gezeigt, welche Fallstricke selbst bei einer Neuinstallation noch auftreten können.

Folien...
Über den Referenten:

Andreas Bunten ist seit 1996 im Bereich Unix-Administration und Security tätig. Er war 8 Jahre Mitglied des Emergency Response Teams des Deutschen Forschungsnetzes im DFN-CERT und hat dabei eine Vielzahl kompromittierter Systemen untersucht. Seit 3 Jahren berät er für die Controlware GmbH im Bereich IT-Sicherheit.

Aufsetzen und Auswerten von Kernel Crashdumps
von Stefan Seyfried
Freitag, 2.3.2012 14:45-15:30

Wollten Sie schon einmal den Kernelcrash auf ihrem Server untersuchen, mussten aber schnell durchstarten, um das System wieder online zu bringen? Ist Ihnen jemals eine Kernelpanic passiert, die unaufgeklärt blieb, weil sie keine Spuren im Syslog hinterliess? Ein Crashdump hätte ihnen wahrscheinlich weiterhelfen können.

Dieser Vortrag zeigt die Grundlagen wie ein Linuxsystem für das Erfassen von Crashdumps konfiguriert wird. Selbst wenn Sie kein Kernelhacker sind, könnte die letzte "dmesg"-Ausgabe des Systems helfen, den Fehler zu lokalisieren oder gar von jemand anders gefixt zu bekommen.

Folien...
Über den Referenten:

Stefan Seyfried beschäftigt sich seit 10 Jahren hauptberuflich mit Linux in allen Varianten. Zunächst war er als Systemadministrator bei der SUSE Linux GmbH in Nürnberg tätig. 2004 wurde er Entwickler für mobile Endgeräte, Hardware Enablement und Systemintegration. Dabei lernte er Probleme in allen Bereichen- vom Bootloader bis zum Desktop- zu analysieren und zu beseitigen. 2009 war er für die Sphairon Access Systems als Entwickler für Wireless Technologies tätig und unterstützt seit 2010 die B1 Systems GmbH als Consultant und Entwickler. Wenn er keine Server virtualisiert oder andere kniffligen Probleme löst, kümmert er sich in seiner Freizeit um Embedded Linux Systeme aller Art.

STEED - Der Weg zur einfachen Verschlüsselung
von Werner Koch
Freitag, 2.3.2012 14:45-15:30

Obgleich es heute üblich ist, Mails auf den Servern der Providern im Klartext dauerhaft zu speichern, wird Ende-zu-Ende-Verschlüsselung fast vollständig ignoriert. Angriffe auf Mail-Accounts sind allerdings inzwischen gang und gäbe. Die so gesammelten vertraulichen Daten dienen den Angreifern als Hebel, schwerwiegendere Angriffe durchzuführen. Der Vortrag gibt einen Überblick über eine neue und vereinfachte Infrastruktur zum Schutz von E-Mail. Diese basiert auf den etablierten Standards OpenPGP und S/MIME und zeichnet sich durch ein einfach zu nutzendes dezentralisiertes Vertrauensmodell aus.

Das Ziel des STEED-Projekts ist es, Verschlüsselung zur Selbstverständlichkeit zu machen und den Nutzer von komplizierten, und für den Laien unverständlichen Konfigurationsschritten zu befreien. Mailverschlüsselung soll so einfach werden wie die verschlüsselte Verbindung zum IMAP-Server. Das Projekt wurde im Herbst 2011 gestartet; neben Grundlagen wird auch über aktuelle Fortschritte berichtet und die organisatorischen Probleme beleuchtet.

Folien...
Über den Referenten:

Werner Koch ist Geschäftsführer der g10 Code GmbH in Düsseldorf, die sich mit Beratung, Entwicklung und Wartung von Anwendungen im Bereich der IT Sicherheit beschäftigt. Er ist seit den 70er Jahren an der Entwicklung von Software interessiert; über die Jahre schrieb er Gerätetreiber, Finanzierungssoftware und kryptographische Anwendungen für CP/M, Mainframes und Unix. Er ist Gründungsmitglied der FSF Europe sowie Hauptautor des GNU Privacy Guard (GnuPG), einer Freien Software zur E-Mail Verschlüsselung nach den OpenPGP und S/MIME Standards.

Über den Tellerrand blicken - Physical Computing für alle
von Jürgen Plate
Freitag, 2.3.2012 16:00-16:45

Physical Computing bedeutet, interaktive, physische Systeme unter Verwendung von Hard- und Software zu erstellen. Diese Systeme reagieren auf die reale, analoge Welt oder wirken auf sie ein. Der Begriff wird meistens für Projekte mit einem künstlerischen Hintergrund oder für Hobbyprojekte verwendet, ist aber genauso auf technische Bereiche anwendbar oder für das Basteln von Gadgets und Gimmicks.

Der Schlussvortrag demonstriert, wie nahezu jeder die Grenzen seines Desktop-PCs sprengen und mit Open Source Hard- und Software für einige Euros Dinge erledigen kann, zu denen der PC nicht in der Lage ist. Ein Mikrocontroller macht über Sensoren digitale und analoge Eingaben verfügbar und steuert elektromechanische Geräte wie Motoren, Servos, Leuchtdioden oder andere Hardware. Dies können eigenständige Projekte sein, bei denen der PC nur als Entwicklungsplattform dient, aber auch die Symbiose von PC und Mikrocontroller.

Man muss kein Elektronikfreak sein, um dem Vortrag zu folgen. Wenn Sie wissen, was eine Batterie ist oder eine Leuchtdiode, reicht das vollkommen. Lassen Sie sich überraschen.

Folien...
Über den Referenten:

Prof. Jürgen Plate unterrichtet an der Fakultät Elektrotechnik und Informationstechnik der Hochschule München. Seine Fachgebiete umfassen neben anderem die Mikrocomputer-Technik, Rechnerperipherie, Computernetze, Internet-Technik und natürlich die Anwendung und Administration von Linux. Er ist seit der Version 0.96 begeisterter Linux-User.