German Unix User Group e.V.
Postfach 25 01 23
D-44739 Bochum
kontakt@guug.de
Impressum

Abstracts

Netzwerküberwachung mit Open-Source-Tools
von Timo Altenfeld, Wilhelm Dolle, Robin Schröder und Christoph Wegener
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

Das zweitägige Tutorium "Netzwerküberwachung mit Open-Source-Tools" richtet sich an erfahrene Systemadministratoren, deren Aufgabe die Betreuung, Überwachung und Optimierung von komplexen Netzwerkumgebungen ist. Die Teilnehmer sollten bereits Erfahrungen mit der Installation von Programmen unter Linux haben und rudimentäre Grundkenntnisse des TCP/IP-Stacks mitbringen.

Im Laufe des Workshops wird der Aufbau eines Überwachungsservers auf Basis von Linux mit exemplarischen Diensten gezeigt und diskutiert werden. Dabei werden wir aber nicht nur die rein technischen Aspekte der Netzwerküberwachung beleuchten, sondern auch die Grundlagen der notwendigen organisatorischen und rechtlichen Rahmenbedingungen aufzeigen und berücksichtigen. Nach der Veranstaltung können die Teilnehmer die gewonnenen Erkenntnisse dann selbständig in die Praxis umsetzen.

Durch die wachsende Abhängigkeit unseres täglichen Lebens von einer funktionierenden IT-Landschaft und die gleichzeitig rapide zunehmende Komplexität der dazu benötigten Infrastrukturen gewinnen die Themen Netzwerkmanagement und Netzwerküberwachung immer mehr an Bedeutung. Zur Netzwerküberwachung existieren eine Reihe von komplexen und oft sehr teuren kommerziellen Werkzeugen. Dieser Workshop zeigt, wie man eine analoge Funktionalität mit spezialisierten, freien und quelloffenen Programmen erreichen kann.

Themen im Detail/Ablauf des Tutoriums:

  • Organisatorische Fragen
    • Möglichkeiten der Netzwerküberwachung
    • Business Planing / Business Continuity / TCO
    • Warum freie und quelloffene Software?
    • Bedeutung der Netzwerküberwachung beim Risikomanagement (Basel II / Sarbanes-Oxley Act (SOX))
  • Rechtliche Aspekte
  • Informationsgewinnung
    • Simple Network Management Protocol (SNMP)
  • Qualitative Überwachung
    • Multi Router Traffic Grapher (MRTG)
    • Cacti und RRDTool
  • Verfügbarkeitsüberwachung
    • Nagios
  • Proaktive Überwachung, Auswerten von Logdateien
  • Fehlersuche in Netzwerken mit Wireshark
  • Sicherheits-Monitoring
    • Host- und Netzwurk-Scanning mit nmap
    • Nessus und Open-Source-Alternativen

Die Inhalte werden im Vortragsstil vermittelt und durch praktische Übungen der Teilnehmer am eigenen Rechner vertieft.

Hardware-Voraussetzungen: Die Teilnehmer müssen einen Rechner mit einer aktuellen Linux-Distribution mitbringen -- Benutzer anderer Betriebssysteme (*BSD oder MacOS-X) sollten sich vor der Veranstaltung über contact@linux-kongress.org mit den Vortragenden in Verbindung setzen.

Über die Referenten:

Timo Altenfeld, Fachinformatiker für Systemintegration, ist Systemadministrator an der Fakultät für Physik und Astronomie der Ruhr-Universität Bochum. Seit Beginn seiner Ausbildung faszinieren ihn Open Source-Tools und Linux, die er bereits seit geraumer Zeit auch in der beruflichen Praxis zur Überwachung von Linux-, Windows- und Solaris-Systemen einsetzt. Mit dem Einsatz von Linux in diversen Umgebungen beschäftigt er sich seit dem Jahre 2003. Außerdem Studiert er zur Zeit Wirtschaftsinformatik an der FOM Essen.

Wilhelm Dolle leitet als Business Field Manager den Bereich Security Management bei der HiSolutions AG, einem Beratungshaus für Information Security und Risk Management, in Berlin. Er ist CISA, CISM, CISSP sowie lizensierter Grundschutz-/ISO 27001- und BS 25999-Auditor und hat bereits zahlreiche Erfahrungen in den Bereichen Sicherheitsmanagement, Risiko- und Sicherheitsanalysen sowie Incident Management sammeln können. Wilhelm Dolle ist Autor zahlreicher Fachartikel und hat Lehraufträge an verschiedenen Universitäten und einer Berufsakademie inne.

Robin Schröder, ebenfalls Fachinformatiker für Systemintegration, ist seit Anfang 2006 in der Abteilung "IT-Systeme, Software-Integration" der Verwaltung der Ruhr-Universität Bochum tätig. Er administriert dort zahlreiche Linux-, Solaris- und Windows-Systeme und überwacht den Applikationsbetrieb mit verschiedenen Open Source-Tools. Mit Computern, Linux und Netzwerken beschäftigt er sich bereits seit dem Jahre 1995.

Christoph Wegener, CISA, CISM und CBP, ist promovierter Physiker und seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und OpenSource unterwegs. Er ist Autor vieler Fachbeiträge, Fachgutachter für verschiedene Verlage und Mitglied in mehreren Programmkomitees. Seit Anfang 2005 ist er zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) tätig und in der Ausbildung im Bereich der IT-Sicherheit aktiv. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands.

Kerberos/LDAP
von Daniel Kobras und Mark Pröhl
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

Abstract

Das zweitägige Tutorium wendet sich an Administratoren reiner Linux-Netze oder gemischter Linux/Windows-Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Am Anfang jedes Tages gibt ein ca. zweistündigen Vortrag ein Überblick über das Thema. Den Rest des Tages setzen die Teilnehmer das vermittelte Wissen in einem virtualisierten Testnetz praktisch um.

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos-Authentisierungsdienst

Der Theorievortrag zu Beginn des ersten Tages beschäftigt sich mit den Designzielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie ihrer Umsetzung in der aktuellen Version 5 des Kerberos-Protokolls.

Grundlegender Bestandteil des Kerberos-Konzeptes ist das so genannte Single-Sign-On. Dabei gibt ein Benutzer nur einmal zu Beginn einer Sitzung sein Passwort an und kann danach ohne weitere Nachfragen alle Netzwerkdienste nutzen. Der Vortrag beschreibt, wie sich Single-Sign-On praktisch umsetzen lässt, welche Probleme dabei auftreten und wie Kerberos V5 sie löst.

Praxis: Aufbau einer Kerberos-Realm

In Zweiergruppen setzen die Teilnehmer zunächst einen eigenen MIT-Kerberos-Server auf, das so genannte Key Distribution Center (KDC). Im Anschluss binden sie mit Hilfe der Pluggable Authentication Modules (PAM) eine Linux-Workstation in die Kerberos-Realm ein. Auch die Anmeldung an einem Arbeitsplatzrechner unter Windows XP integrieren sie mit Hilfe frei verfügbarer Werkzeuge. Zum Abschluss des ersten Workshoptages kerberisieren die Teilnehmer wahlweise einen Apache-Webserver und nutzen den Dienst passwortfrei mit den Browsern Firefox/Iceweasel und Internet Explorer oder stellen Dateisysteme kerberisiert über NFSv4 im Netz zur Verfügung.

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol (LDAP)

Der zweite Tag beginnt mit einem Überblick der Entwicklungsgeschichte des Verzeichnisdienstes LDAP. Der weitere Vortrag erläutert die Verwandtschaft zwischen LDAP und X.500, leitet daraus Gemeinsamkeiten und Unterschiede ab und stellt die Stärken und Schwächen eines allgemeinen Verzeichnisses dar. Die Konzepte der Delegation und Replikation werden eingeführt und zum Abschluss Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines Verzeichnisses

Wieder unter Linux setzen die Teilnehmer mit OpenLDAP einen Verzeichnisdienst auf und üben den Umgang damit auf der Kommandozeile und mit Hilfe graphischer Werkzeuge.

Um die Verfügbarkeit des Verzeichnisses zu erhöhen, replizieren die Teilnehmer den LDAP-Server unter Verwendung des syncrepl-Verfahrens. Den Name Service Switch (NSS) der am Vortag bereits kerberisierten Linux-Workstation konfigurieren sie so, dass alle Nutzerinformationen über LDAP bezogen werden.Anschließend kerberisieren sie unter Verwendung des Simple Authentication and Security Layers (SASL) den Zugriff auf den LDAP-Dienst. So lässt sich die Vertraulichkeit und Integrität der abgefragten Daten gewährleisten.

Damit schließt sich der Bogen zum ersten Tag: Der Authentisierungsdienst Kerberos und der Verzeichnisdienst LDAP ergänzen sich zu einer sicheren und skalierbaren Infrastruktur zur einheitlichen Benutzerverwaltung in heterogenen Umgebungen.

Über die Referenten:

Mark Pröhl hat an der Universität Tübingen Physik studiert und arbeitet seit 1999 bei der science + computing ag. Als IT-Consultant beschäftigt er sich mit den Themen Kerberos, LDAP und Active Directory. In den letzten Jahren hat er unzählige Integrationsprojekte durchgeführt und die daraus gewonnene Erfahrung massgeblich in die Gestaltung des Workshops einfliessen lassen.

Daniel Kobras hat an der Universität Tübingen in den Bereichen Theoretische Astrophysik und Computational Physics hautnahe Erfahrungen als Administrator komplexer Rechnernetze gesammelt. Als freier Journalist wie auch als Entwickler für die Linux-Distribution Debian konnte er auch in seiner Freizeit den IT-Themen nicht entfliehen. Der Diplom-Physiker arbeitet seit Anfang 2007 bei der Tübinger science+computing ag und blieb dort nicht nur dem High-Performance-Computing treu, sondern beschäftigt sich darüber hinaus auch mit der Verwaltung heterogener Netze.

Aufbau eines hochverfügbaren Virtualisierungsclusters mit Xen und iSCSI-SAN
von Thomas Groß
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

1. TAG: Das Cluster aufsetzen Die Clusterstruktur: 2 iSCSI Server, 2 CLusterserver, 2 Switches. Wir setzen schrittweise ein hochverfügbares Virtualisierungscluster mit Standard Linux Werkzeugen auf: 1. Vorbereitung: - Einführung in die Technologien iSCSI, Xen, Bonding, DRBD, Heartbeat1 und LVM. 2. Cluster aufbauen - 2 Clusterserver und 2 SAN-Server mittels 2 Switches redundant anbinden (Bonding) - Xen konfigurieren - iSCSI konfigurieren - DRBD und Heartbeat1 zwischen den iSCSI-Servern konfigurieren - Ausfälle testen 3. Virtuelle Maschinen erzeugen und verwalten - LVM-basiertes Vorlagensystem für die Installation virtueller Maschinen einrichten - LVM als Container für die virtuellen Maschinen verwenden - virtuelle Maschinen aus Vorlagen erzeugen und konfigurieren - iSCSi Targets für virtuelle Maschinen erzeugen und verwenden - XEN Steuerdateien erzeugen, virtuelle Maschinen starten, stoppen, migrieren

2.TAG: Das Cluster verwalten Wir richten LAX zur Verwaltung der virtuellen Server und deren Dienste ein. Wir konfigurieren Monitoring und Alarmierung 1. Vorbereitung - Einführung in die Verwaltungssoftware LAX - Scripte und GUI zum Erzeugen, verwalten und Sichern virtueller Maschinen 2. Hochverfügbarkeit einrichten - Monitoring und Alarmierung für Maschinen und Dienste einrichten - Belegung der Clusterserver planen - virtuelle Maschinen bei Ausfall eines Clusterservers automatisch umziehen

Teilnehmer sollten Linux Admin KnowHow insbesondere auch auf der Kommandozeile mitbringen.

An diesem einfachen Cluster werden wir arbeiten: Distri: opensuse 11.1 Technologien: xen 3.3, lvm2, iscsi-target, open-iscsi, openssh, lax, drbd, KDE3/4 SAN: 2x Standard-pc: Athlon 64 X2, 2 GB, 250 GB SATA2, 2xGLan Clusterserver: 2x Standard-pc: Athlon 64 X2, 4 GB, 250 GB SATA2, 2xGLan Switch: 2x 8-port GBit Switch

Über den Referenten:

Thomas Groß ist Geschäftsführer der Firma teegee. Er hat an der TH Chemnitz Informationstechnik studiert und ist seit 1990 selbständig. Schwerpunkte seiner Arbeit sind linuxbasierte IT-Infrastruktur, System- und Netzwerkadminstration. In seiner Freizeit widmet er sich seinen 2 Kindern, Bergtouren, Laufen oder Skifahren. Bei den Offline-Medien bevorzugt er Bücher wie von J.K. Rowling, J. R. R. Tolkien oder Walter Moers.

OpenLDAP einrichten und administrieren
von Dieter Klünter und Michael Ströder
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

Aufgrund der Erfahrungen des letzten Jahres kann der Schwerpunkt des Tutoriums in Abstimmung mit den Teilnehmern variiert werden. Grundsätzlich soll aber das gesamte Programm behandelt werden.

OpenLDAP I: Basis Einführung in X.500 und LDAP

  • Gemeinsamkeiten
  • Objektklassen
  • Attribute
  • Syntaxregeln
Vorstellung von OpenLDAP
  • Die Herkunft und die Zielsetzung des OpenLDAP Projects
  • Abhängigkeiten von zusätzlichen Bibliotheken
  • OpenLDAP kompilieren
Erstellen einer Basiskonfiguration
  • Elemente der slapd.conf
  • Einträge manuell erstellen
Einrichten eines LDAP-Servers
  • Datenbank-Definition
  • Daten importieren und exportieren
  • Optimierung für den Einsatz
Zugriffskontrolle
  • Modell der Access Control Lists (ACL)
  • Modell der Access Control Information (ACI)
  • Modell der Regex-basierten Sets
SSL/TLS
  • Was ist Transport Layer Security
  • Zertifikate mittels OpenSSL erstellen
  • Authentifizierung mittels X.509-Zertifikat
Administration mittels Konfigurations-Backend
  • Erstellen des Konfigurations-Backends
  • Modifizieren von Konfigurationsparametern zur Laufzeit
  • Einsatzmöglichkeiten des Konfigurations-Backends
OpenLDAP II: die höheren Weihen Partitionierung des DIT über zwei und mehr LDAP-Datenbanken
  • Sinn und Möglichkeiten der Partitionierung
  • "Subordinate Databases"
Synchronisierte Replikation eines und mehrerer "Consumer"
  • Synchronisation zwischen Provider und Consumer
  • Partielle Synchronisation
  • Kaskadierende Synchronisation
  • Mirrormode Hot-Standby
Einbinden einer SQL-Datenbank
  • Erstellen der Einträge in MySQL
  • Zusätzliche Konfiguration in slapd.conf
LDAP-Proxy mittels back-ldap und back-meta
  • einfache- und mehrfache Proxyfunktionen
Die Hohe Kunst der Proxy-Camouflage
  • Umschreiben des Distinguished Names und der Attribute
  • Filtern von Attributen
  • Attribute aus unterschiedlichen Quellen fusionieren
Compliance: mit was?
  • Quellen der Compliance-Anforderungen
  • Password-Policy
  • Logging spezieller Ereignisse
Extended Operations und "Controls"
  • Aufgaben von Controls
  • Arbeiten mit Controls
Datenmanipulation durch "Overlays"
  • Die Overlay-API
  • Diverse Beispiele von Overlays
Über die Referenten:

Dieter Klünter studierte Betriebswirtschaft und war nach Studienabschluss viele Jahre als Marktforscher tätig. Seit 15 Jahren beschäftigt er sich als Berater mit der Informationstechnologie. Der Schwerpunkt seiner Tätigkeit liegt heute im Bereich der Directory Services und Identity Management.

Publikationen: LDAP verstehen, OpenLDAP einsetzen, dpunkt.verlag Beiträge für das Linux Magazin und die Up Times

Michael Ströder studierte Informatik und arbeitet als freiberuflicher IT-Berater im Bereich IT-Security, insbesondere PKI und LDAP-basierte Verzeichnisdienste, und ist u.a. Autor des Open-Source-Projekts web2ldap und Maintainer des Moduls python-ldap.

Linux im Netzwerk
von Johannes Hubertz, Jens Link und Thomas Martens
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

Dieses Tutorial widmet sich den etwas unbekannteren Funktionen von Linux im Netzwerk: Bridging, VLANs, Bonding, dynamisches Routing, QoS.

Ein kurzer Ausflug in die ISO/OSI-Welt macht zu Beginn die Denkstrukturen und Muster anschaulich, die zum weiteren Verständnis unerlässlich sind. Auch wenn TCP/IP anders funktioniert, ist etwas Theorie ausserhalb des Tellerrandes nützlich.

Im ersten Teil des Tutorials geht es vorrangig um Layer 2. Neben den Einsatz von Linux als Bridge z.B. zum Sniffen oder auch als Paketfilter, wird die redundante Anbindung von Servern (Bonding) besprochen. Mit VLANs und dem Einsatz von Linux als Router zwischen diesen geht es dann langsam zu Layer 3 über.

Im zweiten Teil werden dann die Grundlagen von Routing unter Linux sowie der Einsatz von Quagga für dynamische Routing-Protokolle besprochen. Schwerpunkt hierbei bilden OSPF und BGP.

Ein dritter Teil führt in die Grundlagen von Quality of Service (QoS) ein und zeigt wie man unter Linux einfache QoS-Regeln implementiert.

Neben der reinen Theorie gibt es zahlreiche Übungen, um das Gelernte zu vertiefen. In den praktischen Teilen werden dann auch zahlreiche nützliche Tools vorgestellt. Außerdem gibt es ein paar kurze Ausflüge in die Cisco-Welt, sodass Linux und Cisco direkt miteinander verglichen werden können.

Das Tutorial richtet sich an Linux-Admins mit guten Linux- und grundlegenden Netzwerkkentnissen.

Die Teilnehmer werden gebeten, Laptops (mit Linux) mitzubringen, falls vorhanden gerne mit zwei Ethernet-Netzwerkschnittstellen. Für die Festplatteninhalte kann jedoch keine Gewährleistung übernommen werden. Wenn möglich sollte auf den Rechnern VMWARE laufen um auf einer Hardware mehr als einen Router zu starten.

Über den Referenten:

Jens Link (http://www.quux.de) ist seit mehr als 12 Jahren im IT-Bereich tätig. Er ist freiberuflicher Consultant, seine Schwerpunkte liegen im Bereich von komplexen Netzwerken (Cisco), Firewalls (Linux, Cisco, Check Point) und Netzwerkmonitoring mit OpenSource-Tools.

Ab 1998 setzte Johannes Hubertz Linux bei seinem Arbeitgeber fuer einige sensible Dinge wie Routing, DNS und Server-Ueberwachung ein, dabei wurde Debian schnell der Favorit. Eine kostenguenstige Firewall-und VPN-Loesung musste 2001 entwickelt werden, zur eigenen und Kundenverwendung.

Seit August 2005 ist er nun mit seiner eigenen GmbH unterwegs, um Linux kombiniert mit Sicherheit zu verbreiten. Dienstleistungen rund ums Thema Sicherheit am Internet sind das Programm. Nicht zuletzt auch mit der Eigenentwicklung 'simple security policy editor'.

Thomas Martens ist seit 8 Jahren im IT-Bereich tätig und beschäftigt sich hauptsächlich mit dem Aufbau und der Wartung von Netzwerken und der Serveradministration.

Less known Solaris Features - Live
von Jörg Möllenkamp
Dienstag, 10.03.2009 10:00-18:00 und
Mittwoch, 11.03.2009 10:00-18:00

Im Rahmen des Tutoriums "Less known Solaris features - live" wird begleitet durch den Tutor das Wissen zur Verwendung weniger bekannter Features in Solaris erarbeitet. Das Tutorium basiert auf den im Weblog c0t0d0s0.org in loser Folge veröffentlichten Beiträgen der Reihe "Less known Solaris features" beziehungweise deren Zusammenfassung als PDF.

Themenauswahl:
Wie benutzt man IPSec unter Solaris?
Wie konfiguriert man eine synchrone Filesystem-Replikation auf ein entferntes System?
Was hat es mit RBAC auf sich?
Wie verwendet man Privileges?
Wie baut man ein SMF-Manifest?
u.v.m. (so lange die Zeit reicht)

Voraussetzungen:
1. Die Teilnehmer müssen für dieses Tutorium ein System mitbringen, auf dem bereits Virtualbox, VMware, Parallels et al. installiert ist.
2. Das System sollte über genügend Speicher verfügen, um mindestens zwei virtuelle Maschinen zu je 512 MB gleichzeitig benutzen zu können.
3. Grundlegend sollte Solaris oder Opensolaris schon mal benutzt worden sein.
4. Etwa zwei Wochen vor Beginn des Tutorials werden auf http://www.c0t0d0s0.org/pages/ffg09_guug_tutorial.html fertig installierte virtuelle Maschinen für das Tutorial bereitgestellt. Es werden zwar auch DVDs für Spontanentschlossene bereitgestellt, doch vorheriges Downloaden und Ausprobieren ist von Vorteil.

Über den Referenten:

Jörg Möllenkamp ist Senior Systems Engineer bei Sun Microsystems und beschäftigt sich mit Sun-Produkten im Allgemeinen und CMT sowie Solaris im Besonderen. Gleichzeitig führt er mit http://www.c0t0d0s0.org eines der reichweitenstärksten Weblog im deutschsprachigen Raum zum Thema Sun und Solaris, der IT und dem ganzen Rest.

ZFS in der Praxis (Root, Boot, Live Upgrade)
von Ulrich Gräf
Dienstag, 10.03.2009 10:00-18:00

ZFS ist ein Filesystem einer neuen Generation.

Die folgenden Funktionen sind erstmals in einem Filesystem integriert: - Volume Manager - RAID-Level (1, 5 und 6 genannt mirror, raidz und raidz2) - Prüfsummen auf allen Metadaten und Daten - Vereinfachte Administration - Parametrisierung durch Attribute - Vererbung von Attributen zur Vereinfachung - Volume Sharing per ISCSI - File-Sharing per NFS und CIFS

Neu ist die Möglichkeit ZFS als Root-/Boot-Filesystem zu nutzen und Live Upgrade mit ZFS einzusetzen. Damit kann ein Upgrade zur Laufzeit des Systems erfolgen ohne dass das laufende Boot-Environment gefährdet wird.

Diese Möglichkeiten werden bei Solaris und OpenSolaris im Laufe des Tutoriums praktisch erprobt.

Aktive Teilnahme am Tutorium erfordert ein OpenSolaris oder Solaris-fähiges System auf SPARC oder x86 Basis (mind. 1 GB). Alternativ kann mit einer Virtualisierungslösung (VirtualBox, VMWare, Parallels, ...) gearbeitet werden, es sollte 1 GB für die Solaris VM verfügbar sein.

Über die Referenten:

Ulrich Gräf ist OS-Ambassador bei Sun Microsystems Deutschland.

Nach der Ausbildung an der TH Darmstadt (heute TU Darmstadt) war Ulrich Gräf an verschiedenen Instituten der TH Darmstadt für Ausbildung und verschiedene Projekte tätig. Seit 1992 ist er Mitarbeiter von Sun Microsystems. Seit 2000 ist Ulrich Gräf deutschlandweit für die Themen OpenSolaris, Solaris und Performance unterwegs. Als OS Ambassador kümmert er sich um die Kommunikation zwischen den OpenSolaris und Solaris Anwendern mit dem Engineering von Sun und den OpenSolaris Communities.

Live: Suns Virtualisierungstechniken xVM Server, xVM Ops Center, xVM VirtualBox
von Tobias Esser und Matthias Pfützner
Mittwoch, 11.03.2009 09:00-13:00

In diesem etwa 4-stündigen Tutorium werden Suns Virtualisierungsprodukte xVM Server, xVM Ops Center und xVM VirtualBox zusammen mit den Teilnehmern ausprobiert, ggfls. installiert, und Tipps und Tricks vermittelt (2-3 Stunden).

Danach gibt es die Möglichkeit, unter Anleitung mit xVM Server, xVM Hypervisor und/oder xVM Ops Center zu arbeiten (1-2 Stunden).

Da das Produkt xVM Server auf der Technologie xVM hypervisor basiert, die wiederum auf dem Community-Effort der Xen Community basiert, werden hier auch Tipps und Tricks zu dieser Basistechnologie vermittelt werden.

Die Teilnehmer sollten, wenn Sie Interesse an der xVM hypervisor und/oder xVM Server Technologie haben, entweder eine vollkommen leere bootbare externe USB Festplatte mitbringen, oder schon eine aktuelle Solaris Express Community Edition auf Ihrem Laptop haben. Sinnvoll erscheint der Einsatz aber erst ab mindestens 2 GB RAM. Der Rechner muß außerdem über die Intel oder AMD Virtualisierungstechnologie verfügen, und auch in 64bit laufen können.

Zur Nutzung von xVM VirtualBox kann jeder Rechner verwendet werden, solange er schnell genug ist, und über genug RAM verfügt.

Über die Referenten:

Matthias Pfützner ist ein Solution Architect in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierung, Provisionierung und Hochverfügbarkeit. Als Principal Field Technologist und Datacenter Ambassador umspannen seine Verantwortlichkeiten Deutschland und Europa aber auch ganz Sun Microsystems.

Matthias Pfützner ist der Lead Architect vieler Kundenprojekte, unter anderem bei Lufthansa, T-Systems und T-Mobile.

Matthias Pfützner arbeitet seit Februar 1998 bei Sun Microsystems in verschiedenen Rollen und bei vielfältigsten Kunden, wie ESOC, Deutsche Bank, Commerzbank, BASF und DaimlerChrysler.

Tobias Esser ist ein Technical Architect in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierungstechnologien für x86- als auch SPARC-basierte Systeme.

Tobias Esser ist der Ansprechpartner für Kundenanfragen im Pre- und Post-Sales Umfeld zu Virtualisierungstechnologien in Deutschland bei der Sun Microsystems GmbH. Er ist verantwortlich für einige sehr große VMWare-Architekturen bei verschiedenen deutschen Kunden.

Tobias Esser arbeitet seit 2001 bei Sun Microsystems.

Sicherheit für Webapplikationen mit Modsecurity
von Ralf Spenneberg
Mittwoch, 11.03.2009 14:00-18:00

Unternehmen schützen heute ihre Systeme mit Firewalls. Lediglich die Webserver sind häufig noch aus dem Internet erreichbar. Dabei bieten die hier eingesetzten Webapplikationen häufig Zugriff auf interne Daten, die erst nach entsprechender Authentifizierung zur Verfügung gestellt werden. Angreifer suchen daher gezielt nach Sicherheitslücken in den Webapplikationen um direkt auf diese Daten und Systeme zugreifen zu können. Weitere Sicherheitslücken in den Webapplikationen erla uben einen Angriff auf ihre Kunden, die sich gerade mit Ihrem Webserver verbinden. Dies ist umso leichter, da viele Webapplikationen speziell für einen Kunden entw ickelt werden und häufig nicht gesteigerte Qualitätsprüfungen durchlaufen.

Als Administrator kann man nicht die Programmierfehler beheben aber man möchte d och die Angriffe verhindern. Dies ist mit Web-Application-Firewalls (WAF) möglic h. Modsecurity ist eine OpenSource-WAF, die mit einen sehr mächtigen Regelsatz b ereits mitbringt. Dieser muss jedoch in allen Fällen angepasst werden und häufig mit neuen Regeln erweitert werden. Dieses Tutorial zeigt die: * Installation * Konfiguration * Anpassung der Regeln * Erzeugung eigener Regeln für Modsecurity.

Über den Referenten:

Ralf Spenneberg berät mit seinem Unternehmen OpenSource Training Ralf Spenneberg seit über 10 Jahren Firmen bei der Einführung von OpenSource basierten Sicherheitslösungen. Er hat als Autor auch schon mehrere Bücher zu den Themen VPN, Firewalling, IDS und SELinux veröffentlicht.

VoIP Systeme mit dem Kamailio-SIP-Server
von Henning Westerholt
Donnerstag, 12.03.2009 11:00-11:45

Der Vortrag stellt Kamailio und das Open-Source-Projekt dahinter vor. Kamailio ist ein flexiber und leistungsfähiger SIP-Server, mit dem alle Arten von Voice over IP Infrastrukturen realisiert werden können. Er ist sowohl im DSL Router als Telefonanlage für die Wohngemeinschaft als auch von Carriern mit mehreren Millionen Kunden einsetzbar. Anhand dieser Beispiele wird ein Überblick über mögliche Einsatzszenarien gegeben.

Im Gegensatz z.B. Asterisk ist Kamailio nur in der Lage, SIP-Nachrichten zu verarbeiten, dies allerdings sehr effektiv. Der Server ist mit Hilfe seines Konfigurationsskripts und durch zahlreiche Module individuell an die verschiedensten Aufgaben anzupassen. Die Weiterleitung von Medienströmen lässt sich über Interfaces zu externen Programmen realisieren. Wichtige Bausteine eines VoIP Systems, wie Registrar, Proxy, Balancer, Location lassen sich einfach aufsetzen, es sind aber auch komplexe Applikationsserver mit vergleichsweise wenig Aufwand zu realisieren.

Der Kern von Kamailio kümmert sich um grundlegende Aufgaben wie die Initialisierung von Modulen, die Speicherverwaltung und das Parsen von Nachrichten. Komplexere Dienste, wie beispielsweise die Datenbankanbindung oder Benutzerauthentifizierung sind über Module angebunden.

Nun wird zunächst ein einfaches VoIP System mit den wichtigsten Bestandteilen vorgestellt, wie es für kleinere Benutzergruppen und geringere Anforderungen an die Verfügbarkeit gut geeignet ist. Beispielhaft werden anschließend weitere Komponenten hinzugefügt, wie ein Gateway zum Festnetz oder XMMP, oder ein Loadbalancer. Auf eine detaillierte Diskussion der Konfiguration oder Einrichtung wird verzichtet, der Fokus liegt mehr auf einer allgemeinen Darstellung der Herangehensweise bei der Implementierung von VoIP Diensten.

Nach Darstellung des Servers wird noch kurz auf das dahinter stehende Projekt eingegangen. Am Beispiel des aktuellen Release 1.5 lässt sich gut die Projektphilosophie erkennen. Die Offenheit gegenüber Beteiligungen, sowohl von unabhängigen Einzelpersonen als auch professionellen Entwicklern, und regelmäßige und häufige Releases zeichnen das Projekt aus. Abschließend steht ein kurzer Überblick über die Neuigkeiten im aktuellen Release und ein Ausblick auf interessante anstehende Entwicklungen, wie der anstehende Zusammenschluss mit dem sip-router Projekt.

Über die Referenten:

Henning Westerholt ist als Unix-Systementwickler bei der 1&1 Internet AG tätig. Zu seinen Aufgabengebieten gehört die Weiterentwicklung der internen Voice-over-IP-Infrastruktur, aber auch die Mitarbeit innerhalb des Open-Source-Projekts Kamailio, bei dem er zum Team der Kernentwickler gehört.

Als langjähriger Linux-User hat er sich in der Vergangenheit an zahlreichen Open Source Projekten wie Gentoo Linux oder KDE beteiligt. Henning Westerholt hat an der Universität Siegen Diplom Informatik mit Schwerpunkt Softwareentwicklung und digitale Kommunikationstechnik studiert. In 2008 hat er zahlreiche Vorträge zum Thema VoIP gehalten, unter anderem auf dem 24. Jahreskongress des CCCs und der VON.x, er lebt und arbeitet in Karlsruhe.

Samba status report: Version 3 und 4 vereinigt?
von Volker Lendecke
Donnerstag, 12.03.2009 11:00-11:45

Seit einigen Jahren gibt es ein Feature, das Samba fehlt: Unterstützung als Active Directory Domain Controller. Der AD Controller ist im Moment der Hauptfokus der Entwicklung von Samba 4. Vor vielen Monaten hat Andrew Bartlett mit Samba 4 eine XP-Workstation erfolgreich dazu gebracht, eine Samba4-Domäne im AD-Modus zu betreten. Um Samba 3 vollständig zu ersetzen, fehlen jedoch noch sehr viele Features. Beispielsweise bringt Samba 4 noch keinen vollständigen winbind mit, so dass es noch nicht wirklich möglich ist, eine Domäne zu betreten. Auch kann man mit Samba 4 noch nicht drucken, und haufenweise Features des Samba 3 Dateiservers fehlern auch noch.

Im Mai 2008 haben sich einige Samba-Entwickler in Göttingen getroffen, um nach einem Ausweg aus dieser Misere zu suchen. Resultat ist ein Plan, Samba 3 und Samba 4 in einer Distribution gemeinsam zu pflegen. In diesem gemeinsamen Projekt tut jede Komponente das, was sie am besten kann: Samba 4 macht den AD Controller, Samba 3 übernimmt die Aufgaben als Domänenmitglied und den Datei- und Druckserver.

Dieses gemeinsame Projekt entsteht gerade. Dieser Vortrag wird den aktuellen Status der Entwicklung darstellen. Weitere Themen sind:

Samba 3.3 beinhaltet eine Userspace Implementation von NTFS ACLs als experimentelles Feature. Dies wird reine Samba-Server von den Beschränkungen des Posix-ACL Modells befreien.

Samba 3.3 bringt eine vereinfachte idmap-Konfiguration und die neuen idmap-Module "hash" und "adex".

"net idmap vampire" ist in der Lage, die Passworthashes von Benutzern und Maschinen aus AD zu lesen.

Zwischen diesem Abstract und der Konferenz liegen ein paar Monate. Es kann also durchaus passieren, dass sich bis zum Vortrag noch weitere spannende Themen ergeben.

Über den Referenten:

Volker Lendecke ist Mitglied des Samba Teams und Mitgründer der SerNet GmbH in Göttingen

Viel, aber übersichtlich - Nagios mit check_multi
von Christoph Wegener
Donnerstag, 12.03.2009 11:45-12:30

Als Betreiber eines größeren Nagios-Systems kommt man oft in die Verlegenheit, dass sich Detailtiefe und Übersichtlichkeit der Darstellung nicht mehr vereinbaren lassen. Für Installationen, die hochverfügbare Systeme (HA-Lösungen) überwachen sollen oder in Fällen, in denen andere (inhaltliche oder technische) Abhängigkeiten der Service-Checks bestehen, erweisen sich die Bordmittel von Nagios zudem zu oft als zu unflexibel, um den Verantwortlichen nur in genau den gewünschten Fällen über ein Problem zu informieren. Hier kann dann das Plugin "check_multi" Abhilfe schaffen.

Check_multi ist ein frei verfügbares Plugin von Matthias Flacke, als Perl-Script realisiert und steht unter der GPL. Es bietet dem Administrator die Möglichkeit, Übersichtlichkeit mit Detailtiefe zu kombinieren, indem es mehrere Services nahezu beliebig gruppieren kann. Die Ansicht eines Service "die sich zudem verschieden konfigurieren lässt" hängt dabei unter anderem auch vom aktuellen Gesamtstatus dieses "Service" ab: Ist alles "ok", sieht man nur die Übersicht, ist etwas "nicht ok" wird der Teilbereich, in dem sich Probleme ereignet haben, aufgeklappt dargestellt. Zudem lassen sich auf sehr flexible Art und Weise die Bedingungen definieren, unter denen Nagios den Verantwortlichen bei einer HA-Lösung bzw. bei anderen Gegebenheiten, die Abhängigkeiten berücksichtigen sollen, über Fehler benachrichtigen soll.

Der Vortrag stellt nach einer *kurzen Einführung* in Nagios und die Benutzung von Plugins die Möglichkeiten von check_multi an Bespielen dar. Dabei wird sowohl auf das einfache Zusammenfassen von Service-Checks, als auch die Optionen zur Überwachung von HA-Lösungen eingegangen, zudem werden die jeweiligen Konfigurationsmöglichkeiten aufgezeigt. Zudem wird diskutiert, ob und wie check_multi auch zur Entlastung des Nagios-Host beitragen kann.

Über den Referenten:

Christoph Wegener, CISA, CISM und CBP, ist promovierter Physiker und seit 1999 mit der wecon.it-consulting freiberuflich in den Themen IT-Sicherheit und OpenSource aktiv. Er ist Autor zahlreicher Fachbeiträge, Fachgutachter für verschiedene Verlage und Mitglied in mehreren Programmkomitees. Seit Anfang 2005 ist er zudem am europäischen Kompetenzzentrum für Sicherheit in der Informationstechnik (eurobits) tätig und engagiert sich in vielfältiger Weise in der Ausbildung im Bereich der IT-Sicherheit. Darüber hinaus ist er Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und dort, sowie in der German Unix User Group (GUUG), Mitglied des Vorstands.

Parallel NFS
von Oliver Tennnert
Donnerstag, 12.03.2009 11:45-12:30

Datenintensive Applikationen für High Performance Computing müssen immer mehr Informationen in immer kürzerer Zeit bewegen. Neue Dateisysteme und Protokolle sollen den Bedarf an skalierbaren Speicherkapazitäten und -bandbreiten Rechnung tragen sowie direkten, parallelen Zugriff mehrerer Clients ermöglichen.

Dieser Vortrag soll Parallel NFS (pNFS) vostellen, eine optionale Komponente des zukünftigen NFS-Standards 4.1 und aufzeigen, inwiefern pNFS auf der einen Seite als Standard für HPC-Storage fungiert, auf der anderen Seite Herstellern eine gewisse Flexibilität lässt, die von ihnen entwickelten Lösungen in das Framework standardkonform einzubinden. Der Stand der Dinge in bezug auf aktuelle Implementierungen wird ebenfalls gezeigt.

Über den Referenten:

Dr. Oliver Tennert begann sein Berufsleben als Theoretischer Physiker an der Universität Tübingen, wo er 2000 seine Dissertation zum Thema "Vortex Condensation in Centre-Projected Lattice Yang-Mills Theories" abschloss. Danach war er mehr als 8 Jahre lang als Senior Solutions Engineer bei einem mittelständischen IT-Dienstleister tätig, wo er große Erfahrungen in den Bereichen High Performance Computing, Storage-Systeme, Security- und Virtualisierungslösungen sammeln konnte. Als zertifizierter ISMS Lead Auditor ISO 27001:2005 führte er darüberhinaus mehrere Sicherheitsaudits in größeren Berechnungsumgebungen durch. Seit Januar 2008 ist er Head of Technology bei der transtec AG in Tübingen und dort unter anderem zuständig für die Evaluation, Einführung und Entwicklung neuer Technologiekerne.

Network Core Protection: Best Practices
von Torsten Dahm
Donnerstag, 12.03.2009 14:00-14:45

Viele Firmen betreiben heutzutage große und immer komplexere Netzwerke. Diese Netze haben eine Verbindung ins Internet was es notwendig macht die eigene (Backbone-) Infrastruktur vor Gefahren aller Art zu schützen. Nicht nur die Zahl der Attacken, auch die Art und Weise der Durchführung hat sich in den letzten Jahren verändert.

Dieser Vortrag geht auf verschiedene Möglichkeiten ein wie man die eigene Infrastruktur schüzten kann ohne sich selbst zuviele Steine in den Weg zu legen und ohne den Netzwerkverkehr von Kunden, die das eigene Netz benutzen, zu stören.

Auf der Agenda stehen:

  • Schützen der eigenen Infrastruktur
  • Überblick über die Probleme die man lösen muß
  • Methoden zum Schutz der eigenen Infrastruktur

Zu jedem der angesprochenen Punkte kann (und werde ich wenn es die Zeit erlaubt) Beispiele aus der Praxis anbringen um die Notwendigkeit und den Sinn der Maßnahmen zu verdeutlichen.

Über den Referenten:

Thorsten Dahm arbeitet seit Jahren im Netzwerkbereich. In den letzten Jahren lag der Schwerpunkt auf Design & Security. Er kennt sowohl Carrier-Netze als auch große Enterprise-Netze. Die meiste Zeit seines Berufslebens war er im ISP- bzw. Internet-Umfeld tätig.

Zur Zeit arbeitet Thorsten für Google in Irland und ist dort schwerpunktmäßig für Network Security verantwortlich.

Hybride Speicherarchitekturen mit ZFS - Transparente Nutzung von SSDs
von Franz Haberhauer
Donnerstag, 12.03.2009 14:00-14:45

Seit kurzem sind Solid State Disks erhältlich, die sich von ihrer Zuverlässigkeit her für den Einsatz in Unternehmen eignen. Durch die Nutzung von SSDs in einer zusätzlicher Schicht in der Speicherhierarchie zwischen Hauptspeicher und klassischen Plattenlaufwerken lassen sich Speichersysteme bauen, die sehr performant und zugleich kostengünstig sind. Dazu ist allerdings auch eine entsprechende Unterstützung durch das Betriebssystem erforderlich. Solaris ZFS erlaubt eine transparente Nutzung von SSDs einerseits zur Beschleunigung von synchronen Schreiboperationen durch die Nutzung für den Intentlog und andererseits um Leseoperationen in Form einer schnellen zusätzlichen Cache-Ebene zu beschleunigen. Während die Kapazität konventioneller Platten in den letzten Jahren enorm anwuchs, ist die Bandbreite für Direktzugriffe (IOPS) nur unwesentlich gestiegen. SSDs sind nun in der Lage hier eine enorme Bandbreite bereitzustellen. ZFS ermöglicht hybride Speicherarchitekturen, die die Kapazität konventioneller Laufwerke mit dem Performance-Potential von SSDs kombinieren.

Im Vortrag wird zunächst die SSD-Technologie vorgestellt. Anschliessend wird auf die Nutzung in Verbindung mit ZFS eingegangen und aufgezeigt, wie mit Open Source Technologien leistungsfägige hybride Speicherarchitekturen aufgebaut werden können, die auf General Purpose Hardware das Konzept von Open Storage realisieren. Abschliessend wird der Einsatz in Anwendungsszenarien analysiert.

Über den Referenten:

Franz Haberhauer ist Cheftechnologe und Principal Engineer im Bereich Global Systems Engineering bei der Sun Microsystems GmbH. Seit über 15 Jahren unterstützt er als OS Ambassador Kunden bei der Einführung neuer Technologien in und rund um Solaris. Bevor er 1993 zu Sun Microsystems wechselte war er als Laborleiter am Institut für Parallele und Verteilte Höchstleistungsrechner der Universität Stuttgart neben den zentralen Forschungssystemen auch für den Betrieb eines Workstation- und Server-Netzes verantwortlich. 1986 hatte er sein Studium als Diplom-Informatiker abgeschlossen.

Quality of Service
von Jens Link
Donnerstag, 12.03.2009 14:45-15:30

QoS (Quality of Service) wird oft als Wundermittel verkauft. Mit der Einführung von QoS sollen plötzlich aller Netzwerkprobleme behoben sein, einige "Experten" behaupten sogar, dass wegen der erweiterten QoS-Möglichkeiten in IPv6 VoIP im Internet plötzlich wesentlich störungsfreier läuft.

Der Vortrag zeigt was QoS überhaupt ist, was es leisten kann und wie man es sinnvoll implementiert. Neben den Grundlagen wird gezeigt, wie man QoS auf Layer 2 und 3 des OSI Modells umsetzt. An einigen Beispielen wird der Einsatz von QoS im LAN und WAN vorgestellt. Als Beispielsysteme dienen Cisco IOS und Linux.

Über den Referenten:

Jens Link (http://www.quux.de) ist seit mehr als 12 Jahren im IT-Bereich tätig. Er ist freiberuflicher Consultant, seine Schwerpunkte liegen im Bereich von komplexen Netzwerken (Cisco), Firewalls (Linux, Cisco, Check Point) und Netzwerkmonitoring mit OpenSource-Tools.

Object Storage mit Policy-Unterstützung für AFS
von Felix Frank
Donnerstag, 12.03.2009 14:45-15:30

Das verteilte Filesystem AFS wird heute vor allem in der Hochenergiephysik, an vielen Universitäten und für die Langzeitarchivierung eingesetzt. Es bietet diverse Vorzüge wie Plattformunabhängigkeit, einen weltweit einheitlichen Namensraum, starke Security durch Kerberos, hohe Erweiterbarkeit und geringen Administrationsaufwand (sobald es vollständig eingerichtet ist). Dem gegenüber stehen als Nachteile gelegentliche Hotspots, keine HSM-Anbindung und fehlender Parallelzugriff zum Schreiben.

Neue Entwicklungen im OpenAFS haben nun die Nutzung von Object Storage (ähnlich wie Lustre) und auch HSM Systemen (z.B TSM-HSM) ermöglicht und damit diese Nachteile beseitigt. Die Verteilung der Daten auf den Object Storage und besondere Eigenschaften wie Spiegelung oder Striping können über Policies gesteuert werden. Die Policies werden zentral in einer Datenbank verwaltet. OpenAFS+OSD vereint damit Vorteile von AFS und Clusterfilesystemen.

Der Vortrag stellt kurz die Administrierung von AFS dar, gibt einen Überblick über Object Storage und erläutert, auf welche Weise beides verknüpft wird. Policies werden anhand von Beispielen kurz eingeführt.

Über den Referenten:

Felix Frank studiert im 9. Semester Informatik an der Technischen Universität Berlin, mit dem Studienschwerpunkt Betriebs- und Kommunikationssysteme. Parallel ist er seit Oktober 2004 am DESY (Deutsches Elektronensynchotron) am Standort Zeuthen tätig. Seine Tätigkeit im Rechenzentrum umfasste mehrere Jahre lang das Unix-System-Monitoring. Seit Ende 2007 arbeitet er sich in das OpenAFS+OSD Projekt ein und arbeitet seit Oktober an seiner Diplomarbeit, deren Thema die Entwicklung und Implementierung der Policies für OpenAFS+OSD ist.

Virtualisierung mit KVM
von Oliver Rath
Donnerstag, 12.03.2009 16:00-16:45

Eigentlich ist Virtualisierung ein alter Hut aus der Großrechnerwelt: Man gaukelt mit sehr leistungsfähiger Hardware mehrere nicht so leistungsfähige Rechnerumgebungen vor, die von den Benutzern parallel genutzt werden können. Durch die unerhörte Steigerung der Leistungsfähigkeit heutiger Prozessoren ist diese Technik nun auf normalen Mikroprozessoren ebenfalls zuhause. Neben dem Nachteil eines gewissen Reibungsverlustes durch die Bereitstellung der virtuellen Maschinen bieten sich etliche Vorteile, deren größter aus heutiger Sicht die Benutzung von mehreren Betriebssystemen zur gleichen Zeit auf einem Rechner darstellt, da oftmals Programme nur für ein bestimmtes Betriebssystem geschrieben wurden.

Durch die Implementierung spezieller zusätzlicher Virtualisierungshardware direkt auf dem Mikroprozessor, wie z.B. "Vanderpool" für Intel-Prozessoren, die quasi einen "Gast-Modus" für virtuelle Clients bereitstellt, war die Zeit reif für ein Stück Software, welches die Virtualisierung revolutionieren könnte: Die "Kernel Virtual Machine" oder kurz KVM.

Das Wichtigste gleich zu Anfang: Die gesamte KVM steht unter der GPL, ist also freie Software par excellence; keine Hintertür, keine Einschränkungen. Dies hat weiterhin den Vorteil, dass massiv auf bereits unter der GPL stehende Software zurückgegriffen werden konnte wie Qemu, Bochs, Openbios u.v.a.m.

Auf diese Weise konnte man mit sehr wenig eigenem Code eine Umgebung schaffen, in der das Gastsystem die üblichen Computerkomponenten vorfindet wie ein BIOS (aus dem Openbios-Projekt), zusammen mit den heute üblichen Komponenten (Qemu emuliert u.a. einige sehr verbreitete Netzwerk- und Grafikkarten), in dem es sich so wohlfühlt wie auf realer Computerhardware.

Aus den o.g. Programmen und dem Wissen um die Handhabung der Virtualisierungerweiterung Vanderpool von Intel (AMD legte später ein entsprechendes Pendant namens Pacifica nach) entwickelte die Firma Qumranet die KVM als Erweiterung des Linuxkernels, die 2006 von Linus Thorwalds in die Hauptentwicklungslinie aufgenommen wurde (man bedenke: Die Konkurrenz XEN, die bereits 2003 vorgestellt wurde, ist nach wie vor _nicht_ Bestandteil des Kernels).

Die ganze Suite, welche schon 2006 außergewöhnlich stabil lief, entwickelt sich rasant weiter, nicht zuletzt dadurch, dass im September 2008 die bekannteste Linux-Firma RedHat Qumranet für 107 Millionen Doller aufkaufte und bekanntgab, XEN in Zukunft durch KVM ersetzen zu wollen.

Die Virtualisierung ist kein Allheilmittel. Mit virteller Hardware gibt es die gleichen Probleme wie bei echter (fehlerhafte Betriebssystemtreiber, zu alt, zu neu, zu schnell, zu langsam, nicht vollständig unterstützt etc.). Deswegen wächst die Menge der virtuellen Hardware kontinuierlich, um Betriebssysteme aus unterschiedlichen Epochen zum Laufen zu bringen.

Eine besondere Herausforderung ist hierbei die 3D-Beschleunigung, die ja noch gar nicht so alt ist. Hier beginnen sich langsam Mischformen zwischen virtueller und realer Hardware herauszubilden wie z.B. das PCI-Callthrough, welches virtuelle Zugriffe einfach an die "echte" Hardware durchreicht. Auch erste Ansätze von Virtualisierungshardware für Grafikkarten wurden bereits vorgestellt.

Dieser Vortrag will umfassenden Einstieg in die Welt der KVM bieten mit vielen Beispielinstallationen verschiedenster Betriebssystemvarianten als KVM-Clients. Wo es sich jedoch anbietet (und die Zeit reicht), verweisen wir auch auf alternative Produkte (wie z.B. DosBox für MS-Dos Programme), die in diesen speziellen Fällen geeigneter erscheinen.

Über die Referenten:

Oliver Rath hat an der TU München Mathematik mit Informatik studiert und beschäftigt sich mit freier Software seit 1997, mit Virtualisierung seit 2003. Er berät mittelständische Firmen seit 2002 bei der Migration zu freier Software und schult entsprechend die Mitarbeiter.

Viel Erfahrung bei großen Migrationsprojekten konnte er bei der Stadt München sammeln, die seit 2006 auf fast ausschließlich freie Software umsteigt.

Advanced Cluster Filesystems in Action 2009
von Frank Kraemer
Donnerstag, 12.03.2009 16:00-16:45

General Parallel File System (GPFS) is IBM's parallel file system commonly used for cluster applications using Unix, Linux and Windows2003 server technology. GPFS has been available since 1998 giving it both maturity and market presence. GPFS is in wide use at High Performance Computing (HPC) customers. GPFS is also used for commercial applications such as databases (Oracle 11g & DB2) and large scale data warehouses. This lecture will examine GPFS's version 3.2 latest features, semantics, programming considerations,configuration procedures, tuning and optimization guidelines, best practices and environment for commercial use.

Über die Referenten:

Frank Kraemer is an IBM Systems Architect and Executive Consultant working for IBM Systems Group. He holds a degree in mechanical engineering and has worked for IBM since 1990. His areas of expertise are IBM and competitive UNIX Servers, IBM Server Architectures and IBM Storage Solutions with a focus on High Performance Computing, Public Sector and Telecommunication.

https://www.xing.com/profile/Frank_Kraemer5

Migration von virtuellen Maschines in gemischten Umgebungen (Intel/AMD)
von Florenz Kley
Donnerstag, 12.03.2009 16:45-17:30

Virtual Machines auf Servern mit AMD- oder Intel-CPUs sind mittlerweile ein wesentlicher Baustein der Leistungserbringung in vielen Rechenzentren.

Waren auf den Host-Servern lange Zeit fast auschschliesslich VMware-Produkte eingesetzt, trifft man heute mehr und mehr auch Host-Server mit Xen unter Linux oder Solaris. Interessant sowohl fuer VMware-Produkte als auch fuer Xen ist der Einsatz von Servern mit AMD- oder Intel-CPUs unterschiedlicher, aufeinanderfolgender Generationen, deren CPUs sich teils erheblich im Funktionsumfang unterscheiden.

Die Migration von Virtual Machines, offline oder auch im laufenden Betrieb, ist ein wichtiges Merkmal, das von Host-Software sehr unterschiedlich unterstuetzt wird.

Der Vortrag gibt einen Ueberblick ueber die verschiedenen Arten der Migration von Virtual Machines zwischen Host-Servern, und beleuchtet auch die Abhaengigkeiten, die durch die Verwendung von CPUs unterschiedlicher Generationen entstehen koennen. Von diesen Abhaengigkeiten werden Empfehlungen fuer die Konfiguration von Virtual Machines abgeleitet, die eine moeglichst groesse "Freizuegigkeit" der Virtual Machines zwischen Host-Servern ermoeglichen.

Über die Referenten:

Florenz Kley ist als Software Engineer bei AMD taetig. Er betreut in einem internationalen Team Projekte zur Performance von Standard- und kundenspezifischer Software auf AMD-Plattformen. Waehrend seiner Taetigkeit im Linuxlab der SAP lernte er freie Software als Infrastruktur im kommerziellen Umfeld schaetzen. Er ist einer der Autoren des Buches "SAP on Linux", Springer, Heidelberg 2006. (ISBN: 978-3-540-23613-9).

Virtuelle Cluster - ein Open-HA-Cluster über mehrere Solaris-Container
von Hartmut Streppel
Donnerstag, 12.03.2009 16:45-17:30

Virtualisierung ist immer noch ein heißes Thema. Nachdem dieser Begriff aber fast ausschließlich mit der Virtualisierung von Hardware und Maschinen in Verbindung gebracht wird, ist es an der Zeit, auch über andere Virtualisierungen zu reden. Dazu gehören Betriebssystem- und Service-Virtualisierung.

Solaris 10 stellt die sog. "non global zones" zur Verfügung, die heute meistens unter dem Begriff Container bekannt sind. Diese stellen eine (fast) komplette Solaris Umgebung zur Verfügung, in der ein Kunde seine eigene Anwendungsumgebung installieren und betreiben kann. Viele solcher Container können auf einer einzigen Solaris Instanz mit minimalem Overhead parallel betrieben werden. Primäre Anwendungsfälle sind die Konsolidierung von Anwendungen und der Betrieb von Anwendungen für unterschiedliche Mandanten auf einem System.

Auch in der Vergangenheit konnten mit Clustermitteln Container hochverfügbar gemacht werden. Das Neue am virtuellen Cluster - auch "zone cluster" genannt - ist, dass mehrere Container in ein vollständiges - virtuelles - Cluster integriert werden können. Damit ist es dem Anwender in einem Container möglich, sein eigenes Cluster, das jetzt aus mehreren Containern als Clusterknoten besteht, selbständig zu konfigurieren und zu verwalten.

Ein primärer Anwendungsfall ist die Integration von Oracle RAC in ein solches "zone cluster". Eine solche Konfiguration ermöglicht es nun, mehrere Oracle CRS Instanzen in mehreren virtuellen Clustern auf einer Solaris Instanz zu betreiben.

"Zone Cluster" wurden als neue Technologie mit dem Solaris Cluster Express (SCX) 9/08 Release als "a new feature called zone clusters" angekündigt.

Über den Referenten:

Hartmut Streppel ist Diplom Informatiker und arbeitet seit mehr als 25 Jahren in der IT Industrie. Bevor er 1999 zu Sun Microsystems kam, arbeitete er u.a. am "Distributed Management Environment" Projekt der Open Software Foundation mit, und später dann an der Einführung von Tru64 Unix und TruCluster bei Digital Equipment. Seit mehr als 10 Jahren beschäftigt er sich mit Themen von Hochverfügbarkeit bis hin zu Business Continuity. Bei Sun Microsystems ist der Spezialist für Sun Cluster und arbeitet dort sehr eng mit der Sun Cluster Engineering Gruppe zusammen. In den 90-er Jahren war Hartmut mehrere Jahre Mitglied im Vorstand und Pressesprecher der GUUG.

Sun: Virtualisierung und Management mit den xVM-Produkten
von Tobias Esser und Matthias Pfützner
Donnerstag, 12.03.2009 17:30-18:15

Sun hat unter dem Kürzel xVM eine Reihe von Produkten auf den Markt gebracht. Über Einige, wie z.B. xVM VirtualBox wurde schon in früheren GUUG-FFGs berichtet. Ebenso wurde auch Sun's Virtualisierungsroadmap schon dargestellt. Neu hinzugekommen sind nun xVM Server 1.0 und xVM Ops Center 2.0.

xVM Server basiert auf der xVM-Hypervisor-Technologie, die wiederum auf dem Community Effort der Xen-Community basiert. Damit ist nun auch Sun mit einem Produkt basierend auf der offenen Xen-Technologie am Markt vertreten.

Wichtig für die Auswahl oder den Einsatz dieser Virtualisierungstechnologien ist das Wissen über die Unterschiede der jeweiligen Angebote. Sun nutzt hier xVM Ops Center 2.0 als das Produkt, mit dem eine homogene Verwaltung aller Virtualisierungstechnologien erreicht werden soll.

In diesem Vortrag soll also xVM Ops Center 2.0 vorgestellt, und in Bezug zu den Virtualisierungstechnologien xVM Server, Dynamic System Domains, logical Domains, Solaris Containern/Zonen gestellt, als auch Tipps und Tricks im Zusammenhang mit der Nutzung von xVM VirtualBox vermittelt werden. Darüberhinaus sollen Tipps und Tricks für die Erstellung von Images zur Nutzung durch xVM VirtualBox und/oder xVM Server vermittelt werden.

Wichtig in diesem Zusammenhang festzuhalten bleibt, daß sowohl die xVM hypervisor Technologie als Teil von OpenSolaris als auch der xVM Server als OpenSource Produkte zur Verfügung stehen oder stehen werden.

Über die Referenten:

Matthias Pfützner ist ein Solution Architect in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierung, Provisionierung und Hochverfügbarkeit. Als Principal Field Technologist und Datacenter Ambassador umspannen seine Verantwortlichkeiten Deutschland und Europa aber auch ganz Sun Microsystems.

Matthias Pfützner ist der Lead Architect vieler Kundenprojekte, unter anderem bei Lufthansa, T-Systems und T-Mobile.

Matthias Pfützner arbeitet seit Februar 1998 bei Sun Microsystems in verschiedenen Rollen und bei vielfältigsten Kunden, wie ESOC, Deutsche Bank, Commerzbank, BASF und DaimlerChrysler.

Tobias Esser ist ein Technical Architect in der deutschen Systems Practice der Sun Microsystems GmbH. Seine Schwerpunkte liegen in der Beratung rund um Themen des Rechenzentrums, mit Schwerpunkten auf Virtualisierungstechnologien für x86- als auch SPARC-basierte Systeme.

Tobias Esser ist der Ansprechpartner für Kundenanfragen im Pre- und Post-Sales Umfeld zu Virtualisierungstechnologien in Deutschland bei der Sun Microsystems GmbH. Er ist verantwortlich für einige sehr große VMWare-Architekturen bei verschiedenen deutschen Kunden.

Tobias Esser arbeitet seit 2001 bei Sun Microsystems.

Clusterdateisysteme als Basis skalierbarer Speicherlösungen
von Daniel Kobras
Donnerstag, 12.03.2009 17:30-18:15

Zentraler Storage ist bequem: Für Anwender leicht zu erreichen und für Administratoren simpel zu kontrollieren. Jedoch wird ein zentraler Fileserver schnell zum Performance-Flaschenhals, wenn das Datenaufkommen im Netz wächst. So genannte Clusterdateisysteme erlauben es, Daten transparent über Servergrenzen hinweg zu verteilen, ohne auf die Vorteile zentraler Speicherlösungen verzichten zu müssen.

Der Vortrag vergleicht die Funktionsprinzipien neuer und etablierter Dateisysteme, beschreibt Stärken und Schwächen und stellt anhand praktischer Erfahrungswerte die Tauglichkeit für verschiedene Anwendungsszenarien gegenüber. Neben Performancewerten zählen dazu auch die implementierten Posix-Funktionen, Authentisierungsverfahren und die Möglichkeit, geclusterte NAS-Lösungen aufzubauen. Spezielles Augenmerk liegt dabei auf der Eignung der einzelnen Systeme für den Reexport über geclustertes Samba mit CTDB.

Über die Referenten:

Daniel Kobras arbeitet als Systems Engineer bei der Tübinger science+computing ag. Zu seinen Schwerpunktthemen zählen High-Performance Computing, Authentisierungssysteme und skalierbare Speicherlösungen.

DNSSEC: Technik, Politik und tägliche Arbeit
von Lutz Donnerhacke
Freitag, 13.03.2009 9:15-10:10

Der Vortrag erklärt, was es mit DNSSEC auf sich hat und warum derzeit so ein Wirbel (signing the root) um ein paar technische Belanglosigkeiten gemacht wird.

Dargelegt werden die technischen Hintergründe des aktuellen DNSSEC Standards und deren Bedeutung für eine DNS Abfrage. Verschiedende Applikationen, die DNSSEC nutzen werden vorgestellt, z.B. das zentralisierte Management von SSH Keys.

Anhand eines realen Beispiels wird der Zusammenhang zwischen den verschiedenen beteiligten Parteien demonstriert. Die politische Rolle der beteiligten Gruppen wird skizziert und die aktuelle Gemengelage im Zusammenhang mit der Signierung der Root ausgeführt.

Die Vorgehensweise für die Signierung der eigenen Zonen wird erklärt, und die Fallstricke bei der täglichen Arbeit werden besprochen. Abschließend werden die verfügbaren Implementationen kurz vorgestellt.

Über den Referenten:

Lutz Donnerhacke studierte Physik und Mathematik. Seine Interessengebiete sind die Entwicklung des Internets (Thüringen Netz e.V., Individual Network e.V.), Datenschutz und Redefreiheit (Fitug e.V., Religio), Kryptographie (OpenPGP, X.509, DNSSEC), Netzwerksicherheit, korrekte Software, und esotherische Programmiersprachen. Als einer der Gründer der IKS GmbH arbeitet er dort seit 1996.

Lutz Donnerhacke ist Cochair der ICANN AtLarge Arbeitsgruppe "DNS Security und beratendes Mitglied der "European Network and Information Securtiy Agency"

Real Life Performance-Tuning von PHP/MySQL-Webanwendungen
von Sascha Kersken
Freitag, 13.03.2009 9:15-10:00

Selbst wenn die theoretischen Grundlagen der Performance-Optimierung von PHP-Applikationen und SQL-Queries bekannt sind und eingehalten werden, stellen sich im laufenden Betrieb oft doch noch Performanceengpässe ein. Dieser Vortrag erläutert an praxisnahen Beispielen Strategien, diese Engpässe zu erkennen und Wege zu finden, sie zu umgehen. Im Einzelnen werden folgende Themen angesprochen: - Aussagekräftige PHP-Benchmarks - Welche PHP-Optimierungen schaffen wirklich Abhilfe? - SQL-EXPLAINs interpretieren - Richtiger Umgang mit der MySQL-Indizierung - Memory-Caching und andere Strategien zur Reduzierung von Datenbankabfragen

Über den Referenten:

Sascha Kersken kam 1983 zum ersten Mal mit einem Computer in Berührung und hatte später das Glück, dieses langjährige Hobby zu seinem Beruf machen zu können. Er arbeitet als PHP-Entwickler bei der papaya Software GmbH in Köln an dem gleichnamigen Open Source-CMS. Außerdem ist er Fachbuchautor, Dozent und IT-Berater mit den Schwerpunkten Unix-Serveranwendungen und Webentwicklung. Zu seinen zahlreichen Veröffentlichungen gehören das "IT-Handbuch für Fachinformatiker" und "Apache 2" (Galileo Press) sowie "Praktischer Einstieg in MySQL mit PHP" (O"Reilly Verlag); außerdem hat er eine Reihe englischsprachiger Fachbücher übersetzt bzw. mitübersetzt.

Rechtsdurchsetzung in anonymen Netzwerken - Privacy versus Enforcment
von Joachim Dorschel
Freitag, 13.03.2009 10:30-11:15

Die Frage der Rechtsdurchsetzung in anonymen Netzwerkstrukturen ist ein gesellschaftlicher und rechtlicher Dauerbrenner. Die vor einigen Jahren begonnenen Massen-Strafanzeigen gegen Filesharing-Nutzer, Aktionen der Strafverfolgungsbehörden gegen Anonymisierungsdienste und die Haftung der Betreiber anonymer Internet-Foren sind nur Aspekte einer grundsätzlichen Debatte "Rechtsdurchsetzung gegen Datenschutz".

Die zu Grunde liegenden deutschen und europäischen rechtlichen Bestimmungen sind nicht immer klar verständlich, und großteils nicht ausreichend aufeinander abgestimmt. Die Umsetzung der Richtlinie über die Vorratsdatenspeicherung und das Gesetz zur Durchsetzung der Rechte am geistigen Eigentum - einschließlich der hierzu ergangenen Urteile des Europäischen Gerichtshofes und des Bundesverfassungsgerichts - sind hierfür nur zwei Beispiele.

Der Vortrags soll einen Überblick über die bestehenden rechtlichen Möglichkeiten der Identifikation von Teilnehmern in anonymen Rechnernetzen geben. Dabei sollen vor allem auch praktische Fragen des Umgangs mit Auskunftsbegehren staatlicher Behörden und privater Rechteinhaber besprochen werden.

Im Einzelnen soll es im folgende Themen gehen:

  • Typische Konfliktfelder
  • Filesharing und Urheberrecht
  • Internet-Auktionen und Markenrecht
  • Unliebsame Äußerungen in Foren und sozialen Netzwerken
  • Strafverfolgung, typische Internet-Delikte
  • Staatlicher Auskunftsersuchen
  • Private Auskunftsersuchen
  • Rechtsgrundlagen
  • Durchsetzung
  • Speicherverbote und Speicherpflichten von Nutzerdaten
  • Vom Landgericht Darmstadt bis zur Vorratsdatenspeicherung
  • Praktischer Umgang mit Auskunftsersuchen und Abmahnungen
  • Aus Sicht des Teilnehmers
  • Aus Sicht des Anbieters.
  • Ausblick, Künftige Problemfelder
  • Anonymisierungsdienste
  • IPv6
  • Reformbemühungen des Gesetzgebers
Über den Referenten:

Joachim Dorschel ist Rechtsanwalt bei der Kanzlei Bartsch und Partner (www.bartsch-partner.de) in Karlsruhe, einer mittelständischen Rechtsanwaltskanzlei deren Tätigkeitsschwerpunkt die Beratung von Unternehmen in Fragen des Rechts der Informationstechnologie ist.

Joachim Dorschel studierte Rechtswissenschaften in Tübingen und Freiburg. Bereits während seines Studiums war er als freiberuflicher Anwendungsentwickler für ein mittelständisches Softwareunternehmen tätig. Nach Abschluss eines ersten Staatsexamens im Januar 2004 arbeitete Joachim Dorschel 2 Jahre lang als wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Handels- und Wirtschaftsrecht, Multimedia- und Telekommunikationsrecht der Universität Göttingen von Herr Prof. Dr. Gerald Spindler und als Publikationsreferent der Akademie der Wissenschaften zu Göttingen.

Sein Referendariat absolvierte Joachim Dorschel u.a bei der Kammer für Handelssachen am Landgericht Köln und in der Abteilung IP/IT einer internationalen Anwaltskanzlei in Düsseldorf.

Seit Abschluss seines zweiten Staatsexamens im Dezember 2007 ist Joachim Dorschel als Rechtsanwalt mit den Schwerpunkten Informationstechnologie, Electronic Commerce, Datenschutz und Gesellschaftsrecht tätig.

Joachim Dorschel promoviert zum Thema Auskunftsansprüche gegen Internet-Provider und veröffentlich regelmäßig Beiträge in juristischen Fachzeitschriften zu den Themenbereichen Technik und Recht.

Betriebs(system)blind III : Change Management und Kommunikation
von Nicole Britz
Freitag, 13.03.2009 10:30-11:15

In Projekten und bei Changes, bei denen mehr als eine Person beteiligt ist, stolpert man neben technischen Problemen und anderen unvorhergesehen Schwierigkeiten auch regelmäßig über kommunikative Mangelerscheinungen bei den Projektbeteiligten. Ob dies nun an ungeeigneten Prozessen und persönlichen Unverträglichkeiten liegt oder schlicht die Erforderlichkeit sozialer Interaktion mit ihren Mitmenschen (besonders, wenn es sich dabei um Nicht-Techniker handelt) der Knackpunkt ist "irgendwie" muß man hier durch. Geht es auch besser als "irgendwie"?

Der Vortrag soll u.a. einen Einstieg ins Thema Change Management liefern und dann überleiten zur Kommunikation im Projekt, die auch bei größeren Changes immer eine Rolle spielt und oftmals das Zünglein an der Waage für den Erfolg oder das Scheitern eines Changes/Projektes ist.

Change Management

  • Wozu brauche ich überhaupt Change Management?
  • Was gehört dazu, daß Changes erfolgreich sein können?
  • Change Approval (Warum Änderungen genehmigen lassen?)
  • Change Management für Einsteiger

Kommunikation

  • Kenne ich die Projektbeteiligten? Kann ich hier Typen erkennen und wie gehe ich mit ihnen um?
  • Wie schaffe ich es, daß auch unkooperative Personen doch kooperieren?
  • Wer trägt welche Verantwortung?
  • Was mache ich mit (vermeintlich) unfähigen Projektleitern?
Über den Referenten:

Nicole Britz, Jahrgang 1969, studierte Sozialwissenschaften, entdeckte aber schon während des Studiums ihr Faible für Unix-Betriebssysteme, primär für FreeBSD. Schom während des Studiums jobbte sie als Hostmaster und Systemadministratorin. Nach dem Studium war sie zunächst einige Jahre als Systemadministratorin mit Schwerpunkt auf Webbetrieb, Usenet und E-Mail, sowie Abusemanagement tätig. Derzeit ist sie als Manager Service Desk, Consultant und Operations Manager bei der matrix technology AG in München beschäftigt, einem IT-Dienstleistungs- und Beratungshaus. Ihre Tätigkeitsschwerpunkte sind Unix/Webbetrieb, Service Desk, Lösungsentwicklung und Reporting.

Psychologische Grundlagen des Social-Engineering
von Stefan Schumacher
Freitag, 13.03.2009 11:15-12:00

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier viel lieber - und vor allem effizienter - das schwächste Glied in der Sicherheitskette angegriffen: der Mensch.

Ein Angreifer verwendet verschiedene Strategien und Taktiken um aus Benutzern der Systeme Informationen herauszuholen. Mithilfe dieser Informationen kann er erfolgreiche Angriffe gegen Zielsysteme fahren.

Derartige Techniken sind äußerst erfolgreich wenn größere Organisationen wie Großunternehmen, Behörden oder Universitäten angegriffen werden sollen. Oftmals gelingt es einem Angreifer mit der Aggregation öffentlich zugänglicher Informationen und entsprechender Kaltschnäuzigkeit wichtige Informationen und Zugriff auf geschützte Systeme zu erlangen.

Der Vortrag zeigt, wie Social-Engineering funktioniert und erklärt die zugrundeliegenden Tricks und Kniffe anhand Sozialpsychologischer Studien und Experimente. Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen vorgestellt.

Der Vortrag richtet sich an Sicherheitsverantwortliche und Systemadministratoren, die verstehen wollen, wie Social-Engineering funktioniert und dieses Wissen in ihre Sicherheitsmaßnahmen integrieren wollen.

Außerdem lässt sich das Wissen um Social-Engineering auch einsetzen, um eine Sicherheitsrichtlinie in der eigenen Organisation zu mehr Beachtung seitens der Anwender zu verhelfen.

Über die Referenten:

Stefan Schumacher ist selbständiger Unternehmensberater mit Schwerpunkt auf Social Engineering, Security Awareness, Counter Intelligence und Security Management (http://www.kaishakunin.com). Er hält regelmäßig Fachvorträge und veröffentlicht Artikel zum Bereich IT-Sicherheit. Er studiert Bildungswissenschaft und Psychologie und befasst sich wissenschaftlich mit dem Themengebiet Sicherheit. Außerdem ist er NetBSD-Entwickler, Vorsitzender des NetBSD-Deutschland e.V. und Cheforganisator des Magdeburger Open-Source-Tages.

i-doit - Open-Source-CMDB
von Dennis Blümer
Freitag, 13.03.2009 11:15-12:00

Ein gutes IT Service Management ist die Grundlage für einen erfolgreichen und produktiven Betrieb von IT und somit des gesamten Unternehmens. Häufig werden für verschiedene Prozesse, wie das Asset-, Problem- oder Changemanagement unterschiedliche, voneinander unabhängige, Datenquellen genutzt. Dies führt unweigerlich zu dem Problem, dass in vielen Unternehmen kritische Informationen nicht zum gewünschten Zeitpunkt im gewünschten Kontext zur Verfügung stehen. Die Folge sind Inkonsistenzen oder Integritätsverletzungen, die den ordnungsgemäßen Ablauf von Prozessen beeinträchtigen und im schlimmsten Fall den laufenden Betrieb zum Erliegen bringen können.

Um diesem Problem entgegen zu wirken, wurde in der ITIL unter anderem das Konzept der (föderierten) CMDB ausgearbeitet. In einer CMDB sind alle Mittel und Ressourcen, die zur Leistungserbringung erforderlich sind, dokumentiert und zueinander in Beziehung gesetzt. Sie dient als zentrale Datenbasis für alle Prozesse innerhalb der IT und soll eine einheitliche Gesamtsicht auf den IT-Bestand liefern.

Eine gute CMDB muss flexibel an die Anforderungen eines Unternehmens anpassbar sein. Verschiedene Unternehmen verwalten unterschiedliche Configuration Items. Kleinere Unternehmen kommen häufig mit einer geringen Detailtiefe aus, während größere Unternehmen teilweise eine port- und kabelgenaue Abbildung ihrer Infrastruktur benötigen. Viele Implementierungen von CMDBs sind maßgefertigte Lösungen für ein bestimmtes Unternehmen.

Die Open-Source-Lösung i-doit zeichnet sich durch seine freie Konfigurierbarkeit und Flexibilität aus. Somit kann jedes Unternehmen i-doit seinen Anforderungen an eine CMDB anpassen. Über die Implementierung einer CMDB hinaus, bietet i-doit eine Reihe an Zusatzfunktionen und Modulen, die eine Prozessintegration und ein aussagekräftiges Reporting ermöglichen. Einige dieser Features umfassen beispielsweise die Versionierung von abgelegten Dateien, ein rollenbasiertes Rechtesystem, die Lizenzverwaltung oder die vielfältigen Verknüpfungsmöglichkeiten der Objekte. Vereint werden alle Komponenten in einer Client-Server-Architektur, wobei der Zugriff clientseitig über einen Webbrowser erfolgt. Diese Architektur ist modular aufgebaut, um i-doit bei Bedarf mit neuen Funktionen auszustatten. i-doit bietet darüber hinaus um seine CMDB herum Dienste an, die anderen ITSM-Funktionen einen einfachen Zugriff auf die abgebildete Infrastruktur ermöglichen.

Die Firma synetics ist seit 1996 Spezialist für adaptive Infrastrukturlösungen. i-doit entstand im Jahr 2004 aus den Anforderungen eines Kunden heraus. Es sollte die bisherige, teils unstrukturierte, Dokumentation der IT durch eine geeignete CMDB konsolidieren und vereinheitlichen. Seitdem wird i-doit als quelloffenes Projekt kontinuierlich weiterentwickelt, wobei die Aspekte der ITIL praxisorientiert berücksichtigt werden.

Der Vortrag gibt einen Überblick über die Hauptfunktionalitäten und Module von i-doit. Dabei wird vor allem auf die Aspekte der CMDB und der daran anknüpfenden Prozesse eingegangen.

Über den Referenten:

Dennis Blümer, geb. 19.11.1980, hat an der Technischen Universität Dortmund Informatik studiert und 2008 als Diplom-Informatiker abgeschlossen. Neben dem Studium war er bereits als Anwendungsentwickler in verschiedenen Bereichen tätig. Seit Mai 2008 entwickelt er bei der Firma synetics GmbH vornehmlich an i-doit und seiner Schnittstellen.

Kiosk-Modus mit SELinux
von Ralf Spenneberg
Freitag, 13.03.2009 13:30-14:15

SELinux ist fester Bestandteil der Fedora, RedHat und Debian Distributionen. Die aktuelle Policy erlaubt einfach die Konfiguration eines Kiosk-Modus. Hierbei meldet sich ein Gast ohne Kennwort an dem SELinux-fähigen System an. SEL inux überwacht, dass der Gast nur bestimmte wählbare Programme wie den Firefox v erwenden darf. Gleichzeitig wird mit Hilfe von PAM im Hintergrund eine virtuelle Umgebung aus Heimatverzeichnis und temporären Verzeichnis für den Gast in einer RAM-Disk geschaffen. Mit SELinux kann der Admin steuern, ob der Gast * nur auf lokale Webserver zugreifen darf, * auf das Internet zugreifen darf, * mit dem Firefox aus dem Internet geladene Dateien ausführen darf.

Dieser Vortrag stellt diese neuen Funktionen und die hierfür erforderlichen Type n vor und erläutert ihre Anwendung in der Praxis.

Über den Referenten:

Ralf Spenneberg berät mit seinem Unternehmen OpenSource Training Ralf Spenneberg seit über 10 Jahren Firmen bei der Einführung von OpenSource basierten Sicherheitslösungen. Er hat als Autor auch schon mehrere Bücher zu den Themen VPN, Firewalling, IDS und SELinux veröffentlicht.

Sicher Groupware mit Exchange-Alternative Zarafa
von Günther Orth
Freitag, 13.03.2009 13:30-14:15

In diesem Vortrag werden die besonderen sicherheitstechnischen Anforderungen an Groupwaresysteme im kommerziellen Einsatz definiert, Schwachstellen aufgezeigt und Lösungsmöglichkeiten mit Zarafa demonstriert.

Die Frage nach der Sicherheit fängt bei Microsoft Outlook an, da dies ein weit verbreiteter und beliebter Groupware-Client mit Email, Terminplanung und Shared Workspaces ist, der in der Vergangenheit oft Ziel von Angriffen aus dem Internet, insb. von Computerviren war. Nur mit aufwändigen Maßnahmen lassen sich Outlook-Clients und Exchange-Server vor Angriffen schützen. In diesem Vortrag wird gezeigt, wie ein Linux-basierter Server mit Zarafa einen Exchange-Server ersetzen und dadurch die IT-Sicherheit steigern kann. Weiterhin wird gezeigt, wie mobile Endgeräte (Smartphones) sicher an den Zarafa-Server angebunden werden, so dass ein performantes Arbeiten mit mobilen Endgeräten möglich ist.

Über den Referenten:

Herr Dipl.-Ing.(FH) Günther Orth arbeitet als Projektingenieur bei der Firma enbiz gmbh in Kaiserslautern. Seine Arbeits-Schwerpunkte sind Netzwerksicherheit und Projekte im Linux-Umfeld. Mehrere Vorträge im Bereich Netzwerk- und E-Mailsicherheit hat Herr Orth auf verschiedenen Veranstaltungen, z. B. MediaMit Kaiserslautern, Messen des OpenSaar e. V. und IHK Saar, gehalten.

Performance-Impact der Verschlüsselung von Anwendungskommunikationskanälen
von Thomas Maus
Freitag, 13.03.2009 14:15-15:00

Verschlüsselung sei so furchtbar performance-intensiv -- das ist ein vielgehörtes Argument gegen die durchgängige Verschlüsselung sensibler Daten tragender Anwendungskommunikationsverbindungen.

Außerdem -- welche Verschlüsselungsverfahren soll man auf welcher Ebene und in welcher Form einsetzen.

Der Vortrag präsentiert die Ergebnisse einer detaillierten Untersuchung der Absicherung von SAP-Client/Server-Verbindungen mittels einiger universeller Verfahren wie OS-natives IPsec, OpenSSH, OpenSSL, sowie proprietärer IPsec- und SNC-Implementierungen. Es wird ein Einblick in die erwogenen Realisierungsvarianten gegeben, und für die konkret getesteten Realisierungen detaillierte Performance-Parameter und ein Kapazitätsplanungsmodell vorgestellt, welches den Performance-Impact auf eine konkrete Situation an Hand von einigen Systemeckdaten und leicht gewinnbaren Mengengerüsten prognostizieren kann.

Auch wenn Performance-Fragen ein wesentlicher Aspekt waren, flossen weitere Kriterien in die Lösungsauswahl ein -- insbesondere ein interessanter Ansatz, die "Preiswertigkeit" grundsätzlich verschiedener technischer Ansatz betriebswirtschaftlich transparenter darzustellen.

Für die schlußendlich präferierte OpenSource-Lösung wird neben der Lösungsarchitektur ein Entwicklungspfad zu einer sehr umfassenden OpenSource-Sicherheitsinfrastruktur aufgezeigt, die -- nach Meinung des Autors -- es wirklich wert wäre realisiert zu werden.

Über den Referenten:

Thomas Maus ist Diplom-Informatiker (Uni) und mit mehr als einem Vierteljahrhundert IT- und IT-Security-Erfahrung. Mit 16 gewann er in einem kleinen Team in einem landesweiten Wettbewerb Computer für die Schule, an der in einem Informatik-Schulversuch dann die Schulverwaltungs-SW für Rheinland-Pfalz entwickelt wurde " womit ein anhaltendes Interesse für Fragen der Systemsicherheit, -performance und -architektur geweckt wurde. 1984 begeisterte er sich für Unix-Systeme und IP-Stacks, sowie die Idee der Freien Software.

Seit 1993 berät er in den Bereichen IT-Sicherheit, System-Performance und dem Management großer, heterogener, unternehmenskritischer Installationen.

Seine Tätigkeiten spannen einen weiten Bogen von der Planung, Inbetriebnahme und Betriebsführung großer Anwendungskomplexe, technischer Projektleitung, organisatorischem und technischem Trouble-Shooting, über Sicherheitskonzepte und -analysen etwa für Handelsräume, Penetrationstests, Incident Handling bis hin zum Training internationaler Polizeikräfte zur Cyber-Crime-Bekämpfung.

Der Weg zu OpenOffice.org - ausgetretene Pfade oder abenteuerliche Expedition?
von Lothar K. Becker
Freitag, 13.03.2009 14:15-15:00

Um es vorwegzunehmen: Es ist keins von beiden ... Jedoch gibt es inzwischen genügend Beispiele aus Wirtschaft und Verwaltung, aus denen man Best Practises ableiten kann. Dies soll Thema des Vortrags sein, von speziellen Projekterfahrungen einer Migration wie z.B. bei der LHM München hin zu allgemeinen Vorgehensweisen. Welche technischen Fragen stellen sich bei einer Migration, mit welchen Werkzeugen kann ich arbeiten, wie bereite ich mich auf eine Migration vor und was ist nach der Umstellung? Welche Rolle spielen die Dokumentenformate und was mache ich mit meinem vorhandenen Dokumentenstamm? Dieser Vortrag bietet allen professionellen Anwendern ein schrittweises Vorgehensmodell an, in der der vollständige Prozeß einer Migration abgebildet ist. Daneben werden Tipps für nicht technische Aspekte auf dem Migrationsweg angesprochen, sowie Rahmenbedingungen und "Showstopper". Auch auf Neuerungen von OOo 3.0 wird eingegangen.

Über den Referenten:

Lothar K. Becker ist Geschäftsführer und Gesellschafter der .riess applications gmbh aus Karlsbad seit 2004, Beratungs- und Entwicklungspartner für Desktop Applikationen im Open Source-Umfeld. Bevor er mit .riess seine Beratertätigkeit in der Open Source Einführung bei Unternehmen und Verwaltungen aufnahm war er verantwortlicher Leiter der Competence Center und der Sales und Marketing Abteilung eines namhaften Software und Service Dienstleisters. Nach seinem Diplom in Informatik mit Wirtschaftswissenschaften war er über 10 Jahre im Consulting und Projektmanagement tätig.

IT-Sicherheitskonzepte von der Stange
von Detlef Lannert
Freitag, 13.03.2009 15:30-16:15

Gelegentlich müssen ja in einem Rechenzentrum personenbezogene Daten verarbeitet werden -- allen (sinnvollen) Anonymisierungen zum Trotz, zumal für manche Anwendungen dies zum Lebenszweck gehört. Sowohl die Vernunft als auch die Datenschutzbeauftragten fordern, dass für die beteiligten Rechner IT-Sicherheitskonzepte erstellt werden. Aus diesen soll ablesbar sein, dass alle sinnvollen Maßnahmen getroffen wurden, um unbefugte Zugriffe auf die Daten und die berüchtigten "Datenverluste" zu vermeiden. Meist genügt es nicht, einen einzelnen Rechner zu berücksichtigen, sondern es sind typischerweise viele miteinander vernetzte Systeme für die Sicherheit einer Anwendung verantwortlich.

Der Vortrag stellt eine Vorgehensweise vor, Sicherheitskonzepte (oder ähnliche Papiere) für eine größere Anzahl von IT-Systemen zu produzieren und auch fortzuschreiben. Dazu werden die bewährten Basistechnologien eingesetzt: Datenbanken, XML, Werkzeuge zur Textauszeichnung und -formatierung; getreu dem Unix-Baukastenprinzip werden bereits verfügbare oder wenigstens allgemein verwendbare Tools benutzt. Anders als bei Programmen üblich, die eigens für einen solchen Anwendungszweck erstellt werden, können hier vielfältige Datenquellen problemlos integriert werden.

Damit die Sicherheitskonzepte wirklich ihren Zweck erfüllen, müssen die Administratoren "nur noch" für eine konsequente Umsetzung der beschriebenen Maßnahmen sorgen; das hier vorgestellte Framework kann dies leider nicht garantieren, auch wenn es einige automatisierte Überprüfungen unterstützt.

Über den Referenten:

Detlef Lannert ist Diplom-Mathematiker und wissenschaftlicher Beschäftigter beim Zentrum für Informations- und Medientechnologie der Heinrich-Heine-Universität Düsseldorf. Zu seinen Interessens- (und Aufgaben-) Schwerpunkten gehören Netzwerke und IT-Sicherheit. Nach einigen Jahren, in denen er mit Begeisterung Großrechnersysteme administriert und gehackt hat, entdeckte er 1992 den Reiz von Unix- und insbesondere Linux-Systemen, deren Möglichkeiten ihn seitdem faszinieren. Gemeinsam mit seinem Kollegen Michael Gutmann hat er das Ende 2006 erschienene Buch "Linux im Netzwerk" verfasst.

Resourcen- und Performance-Management für SAP auf Power-Systemen
von Jochen Hein
Freitag, 13.03.2009 15:30-16:15

Auf modernen Plattformen wie der IBM-Power-Serie können Resourcen, wie CPUs, Hauptspeicher und IO-Resourcen recht flexibel verwaltet werden. Unter welchen Bedingungen und für welche Resourcen ist der Einsatz der Virtualisierung für Performance-intensive Systeme wie SAP R/3 sinnvoll bzw. notwendig? Welche Strategien sollte man bei der Installation von SAP Systemen verfolgen, um für die Zukunft möglichst flexibel zu bleiben?

Der Vortrag beleuchtet die Auswirkungen der Virtualisierung auf etablierte Monitoring-Systeme (innerhalb und außerhalb SAP). Welche Möglichkeiten gibt es, die Virtualisierung sinnvoll zu überwachen und zu erkennen, dass die eingestellten Parameter nicht (mehr) sinnvoll sind? Ein Beispiel für die übersichtliche Darstellung vieler Performance-Daten wird das Monitoring-Tool Ganglia (http://ganglia.info) sein.

Der Vortrag wird von Erfahrungen innerhalb von großen SAP-Umgebungen berichten. Dabei werden sowohl technische als auch organisatorische Rahmenbedingungen und der Einsatz von kommerziellen und frei verfügbaren Monitoring-Tools beleuchten.

Über den Referenten:

Jochen Hein ist langjähriger SAP R/3-Basis-Betreuer und Berater in diesem Umfeld. Die letzten Jahre war er für verschiedene Kunden im Outsourcing tätig, sowohl bei der Übernahme neuer Kunden als auch im weiteren Betrieb.

Neben der Beratung von Kunden und dem Betrieb von R/3-Systemen hat er Schulungen und Vorträge bei verschiedenen Kongressen gehalten.

Datenschutz für Administratoren: Was darf ich rechtlich machen?
von Hanno Wagner
Freitag, 13.03.2009 16:15-17:00

Das Thema Datenschutz betrifft Mitarbeiter im Allgemeinen und die IT-Abteilung im Besonderen. Im Gegensatz zu Sachbearbeitern oder Kaufleuten kommen wir nicht nur hin und wieder mit personenbezogenen Daten in Kontakt, meistens haben wir (unbewusst oder bewusst, unabsichtlich oder absichtlich) direkten Kontakt, da wir direkt auf die Dateien zugreifen können. Welche Regeln im Umgang mit diesen Daten eingehalten werden sollten, wie man das Thema Datenschutz am besten mit den Chefs und Kollegen bespricht, soll dieser Vortrag beleuchten.

Über den Referenten:

Hanno 'Rince' Wagner, arbeitet in Stuttgart bei einem Finanzdienstleister und ist in der Firma auch als betrieblicher Datenschützer tätig. Mit dem Thema beschäftigt er sich seit Mitte der 90er Jahre und ist seitdem auch in einigen Vereinen (Fitug, CCC) aktiv.

NoMachine Customizing - der Weg zum besseren Terminalserver
von Harald Milz
Freitag, 13.03.2009 16:15-17:00

NoMachine (NX) eignet sich hervorragend für Serverbased Computing in homogenen und heterogenen Umgebungen. Der transparente Zugriff auf Applikationen oder Desktops über Netzwerkverbindungen mit hoher Latenzzeit lässt sich mit Hilfe von NX einfach erreichen. Mobile Arbeitsplätze, Heimarbeitsplätze und Filialkonzepte über WAN-Leitungen mit zentraler Datenverarbeitung lassen sich so ideal realisieren. Die zentrale und einfache Administration erleichtert dabei die Arbeit der IT.

Die Herausforderung besteht für den Administrator darin, die vorhandenen Schnittstellen so zu nutzen, dass auch Dinge funktionieren, die wesentlich über den normalen Funktionsumfang des Produkts hinausgehen, wie Smartcard-Authentifizierung, USB-Weiterleitung oder "richtiges" Load-Balancing.

Der Beitrag präsentiert an Hand realer Kundenprojekte die Möglichkeiten der Erweiterung von NoMachine NX.

Über den Referenten:

Harald Milz ist Senior Consultant und Leiter der Münchener Niederlassung bei der Millenux GmbH. In seiner Arbeit beschäftigt er sich seit 15 Jahren mit allen Themen rund um Linux und Open Source, als Fachjournalist, Systems Engineer und Consultant. NoMachine stellt aktuell einen Schwerpunkt der Arbeit dar.

Veranstaltungen
Kalender
23.November 2014
KWMoDiMiDoFrSaSo
46  10 11 12 13 14 15 16
47  17 18 19 20 21 22 23
48  24 25 26 27 28 29 30
49  1 2 3 4 5 6 7
50  8 9 10 11 12 13 14
51  15 16 17 18 19 20 21
GUUG News