GUUG e.V.
Antonienallee 1
45279 Essen
kontakt@guug.de
Impressum

Abstracts

SELinux 101
von Ralf Spenneberg
Dienstag, 22.02.2005 10:00-18:00 und
Mittwoch, 23.02.2005 10:00-18:00

Linux ist nicht per se ein unsicheres Betriebssystem. Jedoch macht es die Tatsache, dass root ein allmächtiger Benutzer auf diesem System ist, die Verteidigung nicht besonders einfach. Sobald ein Angreifer über root-Privilegien verfügt, ist das System verloren. Es existieren verschiedene Ansätze, um dieses Problem zu lösen. Security Enhanced Linux ist einer der möglichen Antworten. Dieses Tutorial wird zunächst mit einer Einführung in SELinux beginnen. Anschließend wird die Installation von SELinux vorgestellt und mögliche Fallstricke aufgezeigt. Ich werde zeigen, wie man SELinux-Policies entwickelt dabei auf die Besonderheiten und mögliche Probleme hinweisen. Im weiteren werden ich die Administration und Fehlersuche auf einem SELinux-System behandeln und mit einigen typischen Einsatzbeispielen schließen.

Über den Autor:

Der Autor verwendet Linux seit 1992 und arbeitete bereits 1994 als UNIX (Solaris, AIX) Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/UNIX-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux" und 2004 "Intrusion Detection und Prevention mit Snort 2 und Co.". Im Moment arbeitet er an einem weiteren Buch über Linux Firewalls.

Using and Customizing RT
von Linda Julien
Dienstag, 22.02.2005 10:00-18:00 und
Mittwoch, 23.02.2005 10:00-18:00

This 2 day tutorial will cover installing, configuring, and customizing Request Tracker (RT) by Best Practical Solutions. The tutorial is aimed at those who currently administer RT systems, or who are planning to do so.

This tutorial will be presented in English.

The first day will cover how to install RT and how to configure it to best suit the needs of your organization. Topics will include how best to use RT's queues and custom fields to match your organization's workflow, how to best structure user and group permissions, and how to use scrips and templates.

The second day will cover advanced customization topics, including how to change RT's user interface, and how to customize its behavior for your organization's specific needs. Topics will include CSS, overlaying HTML::Mason components, using RT's callback system, writing custom scrips and templates, and overriding and extending RT's existing classes and methods.

Installing and Using RT (Day 1)

  • What is RT?
    • an open-source ticket tracking system
    • it's free
    • easy to install, configure, and customize
    • written in perl
    • uses HTML::Mason
  • Installation
    • where to download
    • latest release vs. development branches
    • supported databases
    • testing for and installing dependencies
    • CPAN (the Comprehensive Perl Archive Network)
    • fastcgi, mod_perl, or standalone_httpd
    • configuring your web server
  • Ways to access RT
    • Web interface
    • SelfService web interface
    • mailgate
    • command line tool
  • Queues
    • how to set up queues for common workflows
    • custom fields
    • approvals
    • permissions
  • Links
    • creating relationships between tickets
    • creating links to things outside of RT
    • types of links and how to use them (dependencies, parent/child, references)
  • Users and Groups
    • creating and modifying users and groups
    • user and group custom fields
    • permissions
  • Custom fields
    • queues
    • transactions
    • users & groups
    • custom field permissions
  • Scrips and Templates
    • global vs. queue-based scrips
    • using standard conditions and actions
    • using standard templates
    • writing simple custom templates
  • Tools
    • working offline and batched changes

Customizing RT (Day 2)

  • Changing how RT looks
    • Cascading Style Sheets (CSS)
    • Callbacks
    • overriding and adding HTML::Mason components
  • Changing how RT acts
    • callbacks
    • custom Scrips and Templates
    • overriding and extending RT's methods
  • Custom Scrips and Templates
    • writing custom conditions and actions
    • overriding existing conditions and actions
    • writing custom condition/action modules
    • adding new conditions and actions to the DB (so they'll be visible in the UI)
    • writing complex templates
  • Overriding and Extending RT's methods
    • standard ways to override methods (foo_Overlay, foo_Vendor, foo_Local)
    • RT's classes and how they interrelate
    • how this relates to what's in the database
    • how to extend and change the behavior of existing classes

Über den Autor:

Linda Julien (leira@bitmistress.org) is an independent consultant from Boston, Massachusetts, USA. She has 12 years of experience in the software industry, specializing in user interface design and development, automated testing solutions, and technical training. Linda has worked as a developer on various open source projects, including RT (Request Tracker) and RTIR (RT for Incident Response) by Best Practical Solutions, and she is the author of the HTTP::Recorder perl module. She has spoken at conferences and taught RT developer training classes in the United States and Germany. Her publications include "Web Testing with HTTP::Recorder" on perl.com.

Netzwerküberwachung mit Open Source Tools
von Wilhelm Dolle,Thomas Fritzinger,Jens Link und Christoph Wegener
Dienstag, 22.02.2005 10:00-18:00 und
Mittwoch, 23.02.2005 10:00-18:00

Durch die wachsende Abhängigkeit unseres täglichen Lebens von einer funktionierenden IT-Landschaft und die gleichzeitig rapide zunehmende Komplexität der notwendigen Infrastrukturen, gewinnen die Themen Netzwerkmanagement und Netzwerküberwachung stetig an Bedeutung. In den letzten Jahren haben insbesondere Diskussionen über die Sicherheit und Verfügbarkeit von Netzwerken zugenommen. Zur Netzwerküberwachung existiert eine Reihe von komplexen und oft sehr teuren kommerziellen Werkzeugen. Dieses Tutorium zeiht nun, wie man eine analoge Funktionalität mit spezialisierten, freien und quelloffenen Programmen erreichen kann.

Im Laufe der beiden Tutoriumstage wird der Aufbau eines Linux-Überwachungsservers für ein heterogenes Beispielnetzwerk mit exemplarischen Diensten gezeigt und diskutiert werden. Auch die notwendigen rechtlichen und organisatorischen Aspekte werden aufgezeigt und berücksichtigt.

Inhalt in Stichpunkten:

1. Organisatorische Fragen

Welche Möglichkeiten der Netzwerküberwachung habe ich und was bringen sie mir konkret (Business Planing / Business Continuity / TCO)?

2. Das Beipielnetzwerk

Für das im Folgenden aufzubauende Überwachungssystem wird ein exemplarisches Beispielnetzwerk benötigt, welches hier in aller Kürze vorgestellt werden soll.

3. SNMP

Das ?Simple Network Management Protocol? (SNMP) ist ein wichtiger Baustein der Netzwerküberwachung. Viele Administratoren haben jedoch erfahrungsgemäß Berührungsängste mit diesem Protokoll. Diese Einführung wird Theorie und Grundlagen von SNMP - auch anhand einfacher, praktischer Beispiele - zeigen.

4. Verfügbarkeitsüberwachung

Es wird in einem ersten Schritt Nagios als freies Tool zur Überwachung der Verfügbarkeit von Netzkomponenten und Diensten vorgestellt. Eine typische Konfiguration wird basierend auf dem Beipielnetzwerk erstellt und diskutiert. Netzwerkausfälle werden simuliert und die Benachrichtigungsmöglichkeiten aufgezeigt.

5. Qualitative Überwachung

Eine weitere wichtige Säule der Netzwerküberwachung ist das qualitative Monitoring angebotener Dienste und Ressourcen. Dafür eignet sich hervorragend das von Tobias Oetiker entwickelte MRTG (Multi Router Traffic Grapher) und mit ihm verwandte Werkzeuge. MRTG stellt neben der aktuellen Auslastung von Netzwerkressourcen auch Tendenzen über mehrere Wochen oder Monate dar und macht es dadurch zu einem fast unverzichtbareren Werkzeug bei Investitionsplanungen. Weithin bekannt sind die Graphen des MRTG in Bezug auf Netzwerkdurchsatz. Da es auf SNMP basiert, lassen sich mit ein paar manuellen Eingriffen in die Konfiguration auch alle anderen mittels SNMP abfragbaren Werte analysieren und darstellen, wie zum Beispiel Festplatten- und CPU-Auslastung.

6. Proaktive Überwachung, Auswerten von Logdateien

Welche Möglichkeiten hat der kenntnisreiche Administrator, sein Netzwerk zu überwachen, ohne auf speziell dazu entwickelte Werkzeuge zurückzugreifen? Welche Möglichkeiten hat er, im Störungsfall schnell die Ursache einzugrenzen? Wie kann er proaktiv tätig werden?

7. Fehlersuche in Netzwerken mit Ethereal

Hier wird auf das Sniffen in geswitchten Netzwerken mittels des mächtigen Werkzeugs Ethereal eingegangen. Neben sinnvollen Angaben im Capture-Dialog werden die komplexen Filtermöglichkeiten von Ethereal diskutiert und in Übungen ausprobiert. Zur Vertiefung des Themas werden für die Teilnehmer verschiedene Trace-Files zur Verfügung gestellt, die sie selber analysieren können.

8. Sicherheits-Monitoring

Es werden die freien Werkzeuge Nessus, Snort und Arpwatch als Hilfsmittel zur Durchsetzung und Einhaltung der Sicherheitsrichtlinien eines Unternehmens vorgestellt.

Über die Autoren:

Wilhelm Dolle, CISA, CISSP, hat in Bochum studiert und anschließend vier Jahre als wissenschaftlicher Mitarbeiter an der Universität Marburg gearbeitet. Seit 1999 ist er für die interActive Systems GmbH (iAS) tätig und dort in der Geschäftsleitung für den Bereich Information Technology und IT Security zuständig.

Thomas Fritzinger ist ausgebildeter Fachinformatiker für Systemintegration. Seit 2002 ist er ebenfalls für iAS tätig und leitet dort die Abteilung für Networking Development.

Jens Link ist seit Jahren als Netzwerk-/Sysadmin tätig. In dieser Zeit musste er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Christoph Wegener ist promovierter Physiker und Leiter des Bereichs Business Development bei der gits AG; außerdem ist er seit vielen Jahren freier Berater in den Bereichen Linux und IT-Sicherheit.

Kerberos/LDAP Workshop
von Joachim Keltsch
Dienstag, 22.02.2005 10:00-18:00 und
Mittwoch, 23.02.2005 10:00-18:00

Der Workshop beschäftigt sich mit der Authentisierung über Kerberos und der Benutzerverwaltung über LDAP. Er erstreckt sich über zwei Tage, wobei jedes der Themen jeweils den Schwerpunkt eines Tages darstellt.

Zielgruppe des Workshops sind Administratoren reiner Linux Netze oder gemischter Linux/Windows Umgebungen. Vorausgesetzt werden Linux Administrationserfahrung, Netzwerkerfahrung, sowie ein Grundverständnis symmetrischer und asymmetrischer kryptographischer Verfahren.

Am Anfang jedes Workshop-Tages wird in einem ca. zweistündigen Vortrag ein Überblick über das Thema gegeben, das dann den Rest des Tages von den Teilnehmern praktisch umgesetzt wird, begleitet von kurzen theoretischen Erläuterungen.

1. Tag: Kerberos - ein kryptographischer Authentisierungsdienst

Vortrag: Der Kerberos Authentisierungsdienst

Der Vortrag beschäftigt sich mit den Design-Zielen von Kerberos, den Rahmenbedingungen, denen diese Ziele unterliegen, sowie mit der tatsächlichen Umsetzung in Kerberos V.

Zentraler Inhalt des Konzeptes hinter Kerberos ist ein Single-Sign-On. Dabei kann ein Benutzer, nachdem er sich lokal an einer Workstation mit seinem Passwort angemeldet hat, auf Netzwerk-Dienste zugreifen, ohne erneut ein Passwort angeben zu müssen.

Im Vortrag wird entwickelt, wie man dieses Ziel eines Single-Sign-On umsetzen kann, welche Probleme dabei auftreten, und wie man diese mit kryptographischen Methoden bei Kerberos V gelöst hat.

Praxis: Aufbau einer MIT-Kerberos Realm

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen Kerberos Authentisierungsdienst auf (Key-Distribution-Center, KDC).

Die Authentisierung einer Linux-Workstation wird über die PAM in die Kerberos Realm integriert, ebenso wird eine Windows-XP-Workstation eingebunden.

Zusätzlich zum integrierten Login wird am Beispiel des Web-Servers Apache eine Anwendung kerberisiert. Als Clients stehen Mozilla 1.8 und IE 6 zur Verfügung.

2. Tag: LDAP - ein hierarchischer Verzeichnisdienst

Vortrag: Lightweight Directory Access Protocol

Zunächst wird in einem Überblick über die LDAP Entwicklungsgeschichte die Verwandtschaft zum X500 Verzeichnisdienst dargestellt. Daraus werden Gemeinsamkeiten und Unterschiede zwischen LDAP und X500 entwickelt.

Darauf aufbauend werden die Stärken und Schwächen eines so allgemeinen Verzeichnisses dargestellt. Kerninhalte stellen Delegation und Replikation dar.

Zum Schluss werden Einsatzmöglichkeiten und konkrete Probleme von LDAP als Verzeichnisdienst vorgestellt.

Praxis: Aufbau eines OpenLDAP Verzeichnis-Dienstes

Unter debian Linux setzen die Teilnehmer in Zweiergruppen einen openLDAP Server auf und populieren ihn mit Kommadozeilen- und grafischen Werkzeugen.

Dann wird der Netzwerkzugriff auf den Server über TLS abgesichert, dazu ist ein kurzer Exkurs über Zertifikatmanagement mit openssl notwenig. Im Anschluss daran replizieren die Teilnehmer ihren Server zur Erhöhung der Verfügbarkeit des Verzeichnisses. Abschließend wird der Zugriff auf den LDAP Dienst kerberisiert.

Als Anwendung der aufgebauten LDAP Infrastruktur steht den Teilnehmern die Adressbuchfunktion im Mozilla zur Verfügung, außerdem kann das Benutzerverzeichnis der Linux-Workstation an LDAP angebunden werden. Damit wird der erste Tag abgerundet, da Kerberos ausschließlich ein Authentisierungsdienst ist und Benutzerdaten zwingend aus einem Verzeichnisdienst wie LDAP oder NIS+ bezogen werden müssen.

Über den Autor:

Joachim Keltsch hat an der Universität Stuttgart Physik studiert und arbeitet seit 1996 im IT-Service der science+computing AG in Tübingen. Er ist dort seitdem auf den Gebieten Konzeption und Systemmanagement großer heterogener Rechnernetze tätig.

Außerdem engagiert er sich im Bereich Trainingsentwicklung und Durchführung von IT Schulungen. In diesem Umfeld war er unter anderem 2000 für ein halbjähriges Traineeprogramm verantwortlich, das s+c zur Qualifikation neuer Mitarbeiter durchführte.

Seitdem hat sich sein Schwerpunkt zu Open-Source-Migrationsprojekten und der Beobachtung, Evaluierung und Entwicklung neuer Methoden und Konzepte im IT-Service verlagert.

Erste Erfahrungen mit Kerberos hatte er bereits 1992 bei der Systemadministration einer AFS Umgebung gesammelt, mit LDAP beschäftigt er sich seit 2 Jahren im Zusammenhang mit Samba Migrationsprojekten.

Aufbau eines Firewall-Clusters mit pf (Packetfilter von OpenBSD)
von Klaus Schmoltzi
Dienstag, 22.02.2005 10:00-18:00

Seit OpenBSD 3.0 ist pf als Paketfilter bei diesem BSD-Derivat im Einsatz. Was Anfangs aussah wie ein schnell zusammenprogrammierter Ersatz für den wegen Lizenzstreitigkeiten ausgeschiedenen ipfilter, entwickelte sich in kurzer Zeit zu einer ernsthaften Alternative für den Aufbau eines Firewall-Systems. Außer unter OpenBSD wird pf mittlerweile auch in den neuesten Veröffentlichungen von NetBSD, FreeBSD und DragonFlyBSD unterstützt.

Neben den üblichen Fähigkeiten eines Paketfilters, wie Adress Translation und Port Forwarding, verfügt pf über zahlreiche interessante Möglichkeiten, die man zum Teil nur bei sehr teuren Firewall-Systemen antrifft. Die Liste der Features umfasst Packet Normalization, bedingte Ausführung von Firewall-Regeln, Packet Queueing and Priorisierung, SYN-Proxy, Load-Balancing (nach dem round-robin Verfahren), policy-based Filtering und Authenticating Gateway über User Shell.

Darüber hinaus ist es mit Hilfe von pfsync und CARP (Common Address Redundancy Protocol) möglich, einen Firewall-Cluster (Hot-Stand-By Konfiguration) bestehend aus 2 oder mehr Knoten aufzubauen. Die Hochverfügbarkeitslösung mit Pfsync und CARP sind Bestandteil von OpenBSD seit der Version 3.5 (Mai 2004).

Das Tutorium besteht aus zwei Teilen:

Im ersten Teil wird der grundlegende Umgang mit pf vorgestellt. Hierbei wird anhand einer Firewall mit 3 Beinen (Intern, DMZ, Extern) ein Ruleset entwickelt, das einerseits den internen Usern begrenzten Zugriff auf das Internet gibt und andererseits den Zugriff auf die DMZ entsprechend einschränkt. Beim entwickelten Ruleset handelt sich um eine Standardkonfiguration, die häufig als Basis für komplexere Anforderungen dient. In diesem Teil geht es vor allem darum, die wichtigsten Bestandteile für den Aufbau eines Firewall-Systems mit pf kennen zu lernen. Dabei werden neben den Loggingmechanismen auch die Möglichkeiten zur Fehlersuche betrachtet.

Im zweiten Teil wird eine Hochverfügbarkeitslösung mit den Tools pfsync und CARP aufgebaut. Funktionsweise und Konfiguration des Common Address Redundancy Protocol und pfsync werden vorgestellt und an einem erstellten Firewall-Cluster getestet. Die Vor- und Nachteile der derzeitigen Implementierung werden erläutert.

Über den Autor:

Klaus Schmoltzi ist 38 Jahre alt. Zusammen mit Michael Buth ist er Geschäftsführer der Warp9 GmbH in Münster, die neben Schulungen im Bereich TCP/IP und IT-Sicherheit vor allem Firewall- und VPN-Lösungen plant, implementiert und wartet. Zum Einsatz kommen hierfür sowohl Systeme von Cisco und Check Point, wie auch Open Source Lösungen mit Linux und OpenBSD.

Während seiner Promotion im Bereich Theoretische Physik Anfang der 90-er Jahre hat Klaus Schmoltzi erste Erfahrungen mit UNIX/Solaris/NEXTSTEP/Linux gemacht. Danach hat er als Dozent vor allem Themen aus dem Bereich Betriebssysteme (Windows NT und Linux) und Netzwerkgrundlagen (TCP/IP) unterrichtet.

Nach der Gründung der Warp9 GmbH 1999 hat sich sein Tätigkeitsfeld immer mehr auf Planung, Aufbau und Konfiguration von Firewalls und VPNs verlagert.

Mit OpenBSD beschäftigt er sich intensiv seit der Version 2.9. Den Paketfilter pf hat er seit einigen Jahren bei Kunden im Einsatz. Als persönliches Desktop-System verwendet er seit gut 3 Jahren Mac OS X.

Neue Funktionalitäten zur Konsolidierung in Solaris 10 und Open Solaris
von Ulrich Gräf und Detlef Drewanz
Dienstag, 22.02.2005 10:00-18:00

Mit Solaris 10 bzw. Open Solaris werden neue Möglichkeiten zur Verwaltung von Systemen und Applikationen verfügbar. Diese Möglichkeiten sollen in dem Tutorium vorgestellt und vorgeführt werden. Teilnehmer mit vorinstalliertem Solaris 10 / OpenSolaris auf dem Laptop können die gezeigten Funktionalitäten direkt ausprobieren.

Zonen sind logische Unterteilungen einer Solaris Installation. Sie erlauben das Einschließen von einzelnen Applikationen oder Gruppen von Applikationen. Die Separation umfasst Filesystem, Devices, Name-Services, Netzwerk, Prozesse sowie SysV IPC (Semaphore, Shared Memory).

Die Basis-Ressourcen wie Kernel, Scheduling, Memory-Management werden gemeinsam genutzt. Daher ist der Overhead für eine Zone sehr klein. Für die Applikationen in einer Zone und vom Netzwerk erscheint eine Zone wie ein eigener Rechner.

Praxis: Konfigurieren, Installieren, Booten einer Zone

Der Resourcen-Verbrauch durch Zonen kann kontrolliert und limitiert werden. Damit wird verhindert, dass eine Zone die Applikationen von anderen stark beeinträchtigt.

Praxis: Resource Management einrichten und ausprobieren

FMA (Fault Managment Architecture) bearbeitet Ereignisse und bewertet sie. Bisher werden Fehlermeldungen nur bedingt gefiltert ausgegeben. FMA kann Fehlermeldungen in Zusammenhang bringen und die wesentliche Information herausfiltern. Bei bestimmten Mustern kann FMA Aktionen ausführen. Zum Beispiel wird ein einzelner ECC-Fehler zunächst toleriert. Tritt er jedoch häufiger in kurzer Zeit auf, dann dekonfiguriert FMA das entsprechende Bauteil.

SMF (Service Management Facility) ist die konsequente Weiterentwicklung der bisherigen Methoden zum Starten von Services: init, rc-Scripten und inetd.

Die bisherigen rc-Scripten laufen rein sequentiell ab; die Dienste werden als einzelne Prozesse betrachtet. Bei allen drei bisherigen Methoden wird durch Editieren in Dateien konfiguriert. Nur Dienste in der inittab können automatisch restartet werden. Die Abhängigkeiten werden über die Nummern der rc-Scripte konfiguriert.

Bei SMF werden Services als Objekte im Betriebssystem betrachtet, wobei SMF die zugehörigen Prozesse kennt und überwachen kann. Jeder Dienst wird in einer eigenen XML-Datei konfiguriert. Zur Konfiguration sind Tools verfügbar, so dass XML-Kenntnisse nicht notwendig sind. Zu jedem Service können Abhängigkeiten definiert werden. Mit SMF können voneinander unabhängige Dienste parallel gestartet werden. Die Boot-Zeit wird dadurch positiv beeinflusst. Für jeden Service ist ein automatischer Restart konfigurierbar. Jeder Service kann permanent oder temporär disabled und enabled werden. Die verbliebenen rc-Scripte sind weiterhin lauffähig. 3rd-party Applikationen können weiterhin über die bisherigen rc-Scripte gestartet werden.

Praxis: Enable, Disable von Services. Konfigurieren / Konvertieren eines Services.

Dtrace erlaubt ein Beobachten der Kernel-Abläufe. Bisher ermöglichen Tracing-Methoden nur das Beobachten von der Applikation aus. Mit Dtrace hat man die Sicht vom OS-Kernel.

Damit können leicht Applikationen gefunden werden, die Engpässe verursachen. Statistiken über Systemaufrufe sind einfach erzeugbar.

Praxis: Beispiele für Analysen

Privileges erlauben in Solaris 10 die Rechte auf privilegierte Systemcalls feingranular zu vergeben. Man kann Systemadministrations-Aufgaben wie mounten von Filesystemen oder Service-Administration an andere User delegieren, ohne alle Rechte preiszugeben.

Praxis: Privilegien zuteilen / Debugging

Über die Autoren:

Ulrich Gräf ist seit 12 Jahren bei Sun tätig; davon 4 Jahre im deutschen Benchmark-Zentrum von Sun und die vergangenen 4 Jahre als OS Ambassador deutschlandweit für Betriebssysteme und Performance. Davor war er Mitarbeiter bei der TH Darmstadt, FG Systemprogrammierung.

Detlef Drewanz ist seit 6 Jahren bei Sun tätig. Seit 2 Jahren ist er als OS Ambassador deutschlandweit für Betriebsysteme und Solaris x86 zuständig. Davor war er Mitarbeiter an der Uni Rostock, FB Informatik und bei Hitachi.

Einführung in die IPv6-Programmierung
von Benedikt Stockebrand
Mittwoch, 23.02.2005 10:00-18:00

Die Entwicklung von IPv6-tauglichen Programmen stellt Entwickler vor mehrere Probleme: Zunächst müssen sie sich in IPv6 einarbeiten, soweit es sie als Programmierer betrifft. Dann müssen sie eine simple Entwicklungsumgebung aufbauen, in der sie ihre Programme testen können. Schließlich müssen sie sich in die nötigen API-Erweiterungen einarbeiten, um IPv6 zu benutzen.

Entsprechend ist das Tutorium aufgebaut: Zunächst besprechen wir die Aspekte von IPv6, die für Programmierer wichtig sind: Die Darstellung von IPv6-Adressen Stateless Autoconfiguration und ihre Auswirkungen auf die Programmierung, DNS-Anfragen, Dual-Stack-Konfigurationen und die Auswirkungen neuer Features wie Mobile IPv6 auf die Programmierung.

Im nächsten Schritt binden wir die Rechner der Teilnehmer in eine (vorbereitete) Entwicklungsumgebung ein.

Anschließend experimentieren wir mit den Erweiterungen der Socket-API. Dabei "portieren" wir existierende Programme, so daß sie auch IPv6 unterstützen und entwickeln "neue" Programme so, daß sie unabhängig von der benutzten IP-Version funktionieren. Neben der Portierung von TCP-Programmen, die vergleichsweise einfach ist, untersuchen wir auch die Probleme, die bei der Kombination von UDP und IPv6 auftreten, und wie man mit ihnen umgeht.

Weil die IPv6-Unterstützung bei vielen Unix-Derivaten noch recht neu ist und die Standards teilweise nur eingeschränkt implementiert sind, untersuchen wir explizit die Eigenheiten der einzelnen Implementierungen mit dem Ziel, unsere Programme möglichst portabel zu gestalten und nur bedingt verfügbare Standards möglichst zu vermeiden.

Die Teilnehmer sollten einen eigenen Rechner mit ihrem bevorzugten Unix und ihrer bevorzugten Entwicklungsumgebung mitbringen. Grundlegende Kenntnisse der Netzprogrammierung mit der Socket API werden vorausgesetzt, IPv6-Kenntnisse aber nicht.

Das Tutorium ist aufgrund seines experimentellen Charakters auf zwölf Teilnehmer beschränkt.

Über den Autor:

Benedikt Stockebrand ist Diplom-Informatiker, freischaffender Trainer und Systemarchitekt im Unix- und TCP/IP-Umfeld.

Mit Schulungen vermittelt er herstellerunabhängig Kenntnisse zu Unix, TCP/IP, zum Design von sicheren, zuverlässigen, effizienten und skalierbaren Systemen und vor allem zu seinem liebsten Thema, IPv6.

Im Projektgeschäft unterstützt er IT-Projekte dabei, Software auf real existierender Hardware in real existierenden Rechenzentren in einen effizienten und zuverlässigen Betrieb zu nehmen, bringt die Infrastruktur von Rechenzentren auf den Stand der Technik und führt vor allem die IT-Bausünden der New Economy in die betriebwirtschaftliche Realität.

Wenn er nicht gerade tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de/ zu erreichen.

Pluggable Authentication Modules
von Florian Brand
Mittwoch, 23.02.2005 10:00-18:00

Pluggable Authentication Modules (PAM) bilden seit vielen Jahren das Grundgerüst der Userauthentifizierung fast aller Unixsysteme. Trotz ihrer Bedeutung als eine der wichtigsten Sicherheitskomponenten, sind sie doch ein oft unbeachtetes System.

Dieser Workshop soll nun etwas Licht in das unbekannte Wesen PAM bringen. Der Workshop ist in Teile untergliedert. Einführung, Passwörter und Zugriffskontrolle, in denen der Teilnehmer schrittweise die Möglichkeiten von PAM erarbeitet. Ein Workshop lebt natürlich von der praktischen Anwendung. Deshalb wird jeder Abschnitt von einem Lab begleitet, welches die vorgestellten Konzepte praxisnah umsetzt.

Einführung:

Den ersten Teil bildet die Einfuehrung in die Grundlagen von PAM. Nach einem kurzen Abriss zur Entstehung erhalten die Teilnehmer anhand einer beispielshaften Anmeldung einen ersten Eindruck von PAM.

Besprochene PAM Module:

  • pam_securetty Einschraenkung von root auf sichere Terminals
  • pam_unix Standard Authentifizierung nach Unixart
  • pam_krb5 Kerberos Authentifizierung
  • pam_session Sonderrechte fuer normale User
  • pam_stack Verschachtelung von PAM Aufrufen

Passwörter:

Wie kompliziert muss ein Passwort sein, damit es der Security Policy genügt? Wie häufig muss es gewechselt werden? Was passiert, wenn ein User sein Passwort zu häufig falsch eingibt? Diese Themen bilden den Fokus des zweiten Abschnitts.

Besprochene PAM Module:

  • pam_cracklib: Modul zur Kontrolle der Passwortqualität
  • pam_unix: Allgemeines Authentifizierungsmodul, Speziell: Passworthistorie, Passwort-Aging
  • pam_tally Automatische Sperre von Benutzerkonten bei häufiger Passwortfehleingabe

Zugriffkontrolle:

Welcher User darf wann und von welchem Ort aus zugreifen? Das ist die Frage um die es im dritten Teil und letzten Teils dieses Workshop geht.

Besprochene PAM Module:

  • pam_listfile: Einfache Zugangskontrolllisten
  • pam_localuser: Freigabe lokaler User
  • pam_time: Zeitbasierte Zugangskontrolle
  • pam_access: Zugangskontrolle auf Basis von Terminals oder IP Addressen von denen ein User zugreifen darf.
  • pam_limits: Einschränkung von Systemresourcen

Über den Autor:

Florian Brand ist seit 1999 bei Red Hat in Stuttgart als Trainer angestellt. Er gib dort international Schulungen des Red Hat Certified Engineer(RHCE) und Red Hat Certified Architect (RHCA) Curriculums. Seine Themen-Schwerpunkte sind Red Hat Network, HA Clustering, Webserver und Security. Ausserhalb des Schulungsraums betreut Florian Brand den Webserverkurs (RH320) und Trainer in Europa, Mittlerem Osten und Afrika.

Vor seiner Zeit bei Red Hat studierte er Physik an der Universität Würzburg und wurde dort mit dem "Unixvirus" infiziert. Seit dem trat er bereits durch einige Vorträge in Erscheinung. Unter Anderen: "Pam für Nichtschwimmer (LinuxTag 2002)" und "12 Fragen zum Thema Updates (LinuxTag 2004)"

IT-Sicherheit im Nebel
von Jochen Kaiser
Donnerstag, 24.02.2005 10:15-11:00

Institutionen mit großen Netzwerken sehen sich zunehmend mit einem Kollaps Ihrer IT-Sicherheit konfrontiert. Die Ursache hierfür kann an einem mittlerweile überholten dezentralen Betreuungskonzept liegen. Oft wird jedoch nicht über das organisatorische und technische Fachwissen verfügt, um die gestellte Aufgabe - den Schutz der Systeme - zu erfüllen. Werden nun diese Strukturen zudem mit den modernen Attacken durch automatische maligne Programme (Viren, Würmer, Trojaner) konfrontiert, wird oft ein Teil des Netzes mit ihnen auf lange Zeit infiziert. In einem solchen Netzwerk fokussiert sich die Aufmerksamkeit der Teilnehmer und Netzwerkadministratoren auf diese automatischen „Störenfriede“. Somit rücken qualifizierte Attacken aus dem Blickfeld. Diese müssen aber als solche identifiziert werden. Deswegen ist es unerlässlich, die Säuberung der infizierten Systeme schnell und effizient abzuwickeln. Dazu muss das IT-Sicherheitsmanagement sich gezielt auf diesen Fall vorbereiten und Methoden und Werkzeuge implementieren. Die richtige Vorgehensweise soll in dieser Abhandlung diskutiert werden.

Über den Autor:

Jochen Kaiser studierte Informatik an der Universität Erlangen-Nürnberg. Seit 2001 arbeitet er im Regionalen Rechenzentrum der Universität mit den Schwerpunkten Netzwerk und Netzwerkdienste. Schon zu Beginn seines Studiums zeigte er ein reges Interesse an allen Gebieten der Computer Sicherheit. Durch seine tiefe Integration in die betrieblichen Aspekte, weiss er Sicherheit und Betrieb bestens zu verknüpfen. In diesem Zusammenhang entsteht zur Zeit unter seiner konzeptionellen Leitung ein Sicherheitskonzept samt Werkzeuge, welches zugeschnitten auf offene, dezentral administrierte Netzwerke ist und versucht auf gegenwärtigen und kommenden Sicherheitsprobleme flexibel einzugehen. Ein weiterer Schwerpunkt von Herrn Kaiser ist die Entwicklung und Einführung des neuen Internet Protokolls IPv6. Nach anfänglicher technischer Euphorie verfolgt er mittlerweile die Entwicklung aus betriebskritischer Distanz.

Betriebssysteme: Konzepte, Gemeinsamkeiten und Unterschiede
von Jürgen Quade
Donnerstag, 24.02.2005 10:15-11:00

Der Beitrag gibt einen Überblick über den prinzipiellen Aufbau der Standard-Desktop und -Server Betriebssysteme. Auf Kernelebene werden dabei Windows, Linux und Unix in Punkto Prozessmanagement, Speicherverwaltung und IO-Management miteinander verglichen.

Das Prozessmanagement, im wesentlichen durch seinen Scheduler gekennzeichnet, entscheidet beispielsweise darüber, wieviele Rechenprozesse zu einem Zeitpunkt aktiv sein können und ob ein Video- oder Audiostream "ruckelfrei" (also in Echtzeit) verarbeitet werden kann.

Das Memory-Management limitiert den Adressraum, der einem Programm zur Verfügung steht. Dies ist bei den meisten 32bit-Systemen nicht - wie man zunächst annehmen könnte - 4 Gigabyte, sondern abhängig vom eingesetzten System weniger. Für "Cutting-Edge" Applikationen (Datenbanken) ist das durchaus zu wenig, insbesondere wenn man berücksichtigt, dass das Memory-Management auf einem 32bit-Prozessor bis zu 64 GByte physikalischen Speicher unterstützt.

Das Ein-/Ausgabesystem des Kernels wiederum ist nicht nur für die Performance des Systems mitentscheidend, sondern auch für die Größe der Filesysteme und der Dateien innerhalb der Filesysteme. Bei modernen Dateisystemen werden hier zwischenzeitlich Größen im Peta- und im Exa-Bereich erreicht. Solaris bietet mit seinem 128 Bit Zeta-Filesystem (ZFS) gar Raum für kaum noch vorstellbare Datenmengen.

Neben diesen drei wichtigsten Kernel-Subsystemen werden noch Mechanismen bezüglich Rechnersicherheit (Zugriffsschutz für Filesystemobjekte und für Systemcalls) behandelt.

Aus dem Vergleich zwischen dem Windows NT Kernel und dem Linux-Kernel, möglicherweise auch unter Berüksichtigung von beispielsweise BSD und Solaris, lassen sich interessante Entwicklungstendenzen im Bereich der Kernelentwicklung ableiten.

Über den Autor:

Nach seinem Studium der Elektro- und Informationstechnik und anschließender Promotion an der TU-München arbeitete Jürgen Quade mehrere Jahre in der Industrie im Umfeld der System- und der systemnahen Software. Seit 1999 ist er Professor an der Hochschule Niederrhein, wo er unter anderem für die Fächer Echtzeitsysteme, Treiberentwicklung und Netzwerksicherheit zuständig ist.

Intrusion detection system based on process behavior rating
von Tomas Pluskal
Donnerstag, 24.02.2005 11:30-12:15

This talk will introduce a thesis project. The goal of the project is to implement a kernel module for the FreeBSD operating system, performing a defined set of tests on every running process in the OS and rating results of these tests according to whether they correspond to a common benign process or to a process performing a dangerous or suspicious activity. An occurence of a process with a score exceeding a predefined threshold will be reported as a potential intrusion. Part of the work is to prepare a basic set of tests analyzing instantaneous properties of a process as well as its behaviour and unexpected changes in this behaviour in particular, and to determine suitable parameters used to rate results of these tests.

Über den Autor:

Education: graduated in computer science at Faculty of Mathematics and Physics, Charles University.

Professional experience: teaching computer science at Ohradni high school, Prague, and Institute of Finance and Administration, Prague.

Interests: computer security, unix kernel design, distributed systems

Solaris 10
von Daniel Jäsche
Donnerstag, 24.02.2005 11:30-12:15

Der Vortag geht im Wesentlichen auf die Neuerungen in Solaris 10 ein.

Es wird ein kurzer Überblick auf Resource Management gegeben, welches bereits in Solaris 9 enthalten ist. Als Weiterentwicklung des Resource Managements sind die N1 Grid Container (Zones) zu sehen, die sicherlich zu den bedeutenden Neuerungen von Solaris 10 zählen. Die N1 Grid Container erlauben es, mehrere virtuelle Instanzen von Solaris innerhalb eines Rechners zu betreiben. Da auch bei mehreren hundert Instanzen nur ein Kernel geladen wird, ist dies eine ideale Möglichkeit, optimale Resourcen-Auslastung zu realisieren. Es wird aufgezeigt, wie in der Praxis N1 Grid Container erstellt und gebootet werden.

Ein tieferer Einblick wird auf das Werkzeug Dynamic Tracing gegeben. Mit diesem lassen sich Performance-Probleme aus Sicht des Kernels analysieren. Somit bietet Solaris 10 eine optimale Umgebung, unerklärliches Systemverhalten zu verstehen, ohne das System dadurch maßgeblich zu beeinflussen. Auch hierzu werden einige Praxis-Beispiele erläutert.

Weiterhin wird SMF (Service Management Facility) beschrieben. Mit der Einführung von SMF wird der Bootprozeß von Solaris deutlich verbessert. Die Architektur und die Vorteile dieser Änderungen werden aufgezeigt. Innerhalb des Vortrages werden neue Kommandos vorgestellt und erläutert.

Solaris 10 wird in Zukunft über ein neues 128-bit Dateisystem verfügen. Das ZFS (Zettabyte-File-System) ist ein komplett neues Dateisystem, welches ohne I-Nodes auskommt. Es hat nahezu keine Beschränkungen was die Größe des Dateisystem, Größe der Dateien, Anzahl der Dateien und Anzahl der Directory-Einträge betrifft. Das ZFS erlaubt es, daß File-Sytem automatisiert zu vergrößern und zu verkleinern. Die Architektur ermöglicht es, komplett auf zeitintensive File-Sytems-Checks zu verzichten.

Als Abschluß wird ein Ausblick über die zukünftigen Neuerungen im Solaris gegeben.

Über den Autor:

Daniel Jäsche hat an der FH Aachen Elektrotechnik mit dem Schwerpunkt Ingenieurinformatik studiert. Er arbeitet seit Anfang 2001 bei Sun Microsystems in München. Zu seinen Aufgaben gehört die umfassende Beratung in den Bereichen Betriebsysteme (Solaris/Linux), Server und Storage. Weiterhin ist er Ansprechpartner in dem Bereich Security. Darüberhinaus ist Daniel Jäsche als Projektleiter verantwortlich für die Durchführung einzelner Projekte von der Presales-Phase bis hin zur Abnahme beim Kunden.

In seiner Freizeit beschäftigt er sich intensiv mit debian-Linux. Daniel Jäsche ist verheiratet und Vater von drei Kindern. Wenn es die Zeit zuläßt, ist ist er begeisterter Motorradfahrer (NTV650, 106.000km), ein großer Freund des Heißluftballonsports und spielt gerne Badminton und Billard.

Vergabe von Root-Rechten für Unix-Benutzer besser verwalten.
von Arturo Lopez
Donnerstag, 24.02.2005 12:15-13:00

Traditionell werden auf UNIX-Systeme die Root-Rechte an Unix-Benutzer durch die Bekanntgabe des Root-Passworts vergeben. Diese Methode ist sehr unsicher, denn mit dem Root-Passwort erhält der Benutzer die Root-Identität und somit sämtliche Root-Rechte auf dem System. Eine nachträgliche Kontrolle über die Aktionen des Benutzers auf dem System ist nicht möglich, denn alle Aktionen werden dem Root-User zugeordnet.

SuperUser Do (sudo) ist eine FreeSoftware Lösung, welche die Durchführung von einzelnen Befehlen mit Superuser-Privilegien ermöglicht. PowerBroker ist eine kommerzielle Lösung von Symark, welche die granulare Vergabe von Superuser-Privilegien erlaubt. Die Privilegienvergabe kann durch eine LDAP-Anbindung an einer zentralen Stelle für das ganze Unternehmen gesteuert werden. Die LDAP-Anbindung ist die Grundlage für die Integration von Powerbroker in ein Identity Management System.

In diesem Vortrag werden wir die Risiken und Nachteile der traditionellen Vergabe von Superuserprivilegien durch die Bekanntgabe des Root-Passworts erläutern. Wir werden die Lösungen sudo (FreeSoftware) und PowerBroker (die kommerzielle Lösung von Symark) vorstellen und an einem Life System die Funktionalität von PowerBroker vorführen. Ferner werden wir Ansätze zur Integration von PowerBroker in das Identity Management System von HP vorstellen.

Über den Autor:

Arturo Lopez ist Senior Consultant bei der Hewlett Packard GmbH mit dem Schwerpunkt Sicherheit in der Informationstechnik.

Linux Performancetuning mit dem Kernel 2.6
von Wilhelm Dolle
Donnerstag, 24.02.2005 12:15-13:00

Mit dem Kernel 2.6 empfiehlt sich Linux seit einiger Zeit nachdrücklich auch als Plattform für geschäftskritische Anwendungen, die eine sehr hohe Auslastung der vorhandenen Hardwareressourcen erzeugen. Das Open Source Betriebssystem dringt damit immer weiter in einen Bereich vor, der typischerweise von klassischen Unix-Systemen wie AIX, HP-UX und Solaris besetzt ist, aber auch der Endanwender an einem Linux-Desktop profitiert von den Verbesserungen im neuen Kernel. Die Leistungsfähigkeit und Strategie des Schedulers, der die laufenden Prozesse verwaltet und CPU-Zeit zuteilt, ist dabei maßgeblich an der verbesserten Performance des Betriebssystems beteiligt. Neben diesem CPU-Scheduling gibt es innerhalb eines Betriebssystems auch einen verbesserten I/O-Scheduler, der sich um die effiziente Verwaltung von Ein- und Ausgabegeräten wie beispielsweise Festplatten kümmert. CPU- und I/O-Scheduler sollten dabei eine möglichst optimale Ausnutzung der vorhandenen Hardware-Ressourcen durch das Betriebssystem sicherstellen. Der Vortrag wird sich damit beschäftigen wie man durch geeignete Wahl der Konfigurationsparameter den Linux-Kernel 2.6 für die unterschiedlichsten Anwendungsbereiche optimieren kann. Dabei wird die Eignung von Linux neben Server- und Desktopsystemen auch für den Embedded-Bereich betrachtet werden.

Über den Autor:

Wilhelm Dolle, CISA, CISSP, hat in Bochum studiert und anschliessend vier Jahre als wissenschaftlicher Mitarbeiter an der Universität Marburg gearbeitet. Seit 1999 ist er für die Firma interActive Systems GmbH tätig und dort in der Geschäftsleitung für den Bereich Information Technology / IT Security zuständig. Schwerpunkte seines Interesses liegen dabei auf vernetzten IT-Systemen und deren Sicherheit. Wilhelm Dolle hält regelmäßig Vorträge über IT-Themen, hat einige Publikationen in diesem Gebiet veröffentlicht, arbeitet als Gutachter bei verschiedenen Verlagen und unterrichtet an einer Berufsakademie das Fach Netzwerksicherheit.

Mailserver zu 99% spamfrei? Strategien, Methoden, Wirksamkeit & Rechtsprobleme
von Peer Heinlein
Donnerstag, 24.02.2005 14:30-15:15

Alle stöhnen, alle leiden. Alle? Wirklich alle? Manche Provider nennen Ihre Schutzmaßnahmen schon "SPAM-Schutz", wenn sie nur 30% der unerwünschten Mails herausfiltern, andere Provider filtern gleich dutzendweise normale legale Mails in die Spamverdachtsordner. Dabei ist es eigentlich recht einfach. SPAM-freie Postfächer sind keine Utopie, sondern bei guten Providern selbstverständlicher Standard. Wir zeigen am Beispiel des Providers "JPBerlin.de", wie man mit einer geschickten Kombination von Überprüfungen, Filtersystemen und einem bißchen "künstlicher Intelligenz" mittels Postfix, amavisd-new und anderer Ansatzmöglichkeiten einen sicheren Mailserver konzipiert, der zu >99% SPAM-frei ist, kaum fehlerhaft filtert und nebenbei so virensicher ist, wie nur möglich. Zum Nachbau empfohlen. Der Vortrag wird von Peer Heinlein gehalten, der mit mit dem Buch "Das Postfix-Buch" (früher SuSE Press, jetzt 2. Auflage Open Source Press) als erster und bislang einziger ein umfassendes Buch zum Thema "Sichere Mailserver mit Linux" geschrieben hat.

Über den Autor:

Peer Heinlein betreibt seit 1992 den Berliner Internet-Provider JPBerlin und hat damit seit über 12 Jahren tägliche Erfahrung in TCP/IP-Netzwerken, die schon vor langer Zeit ausschließlich auf Linux umgestellt wurden. Ebenfalls seit 1992 bildet er bundesweit Netzwerkadministratoren in den Bereichen Linux, Netzwerk und Security aus und führte bis heute zahlreiche Firmenschulungen oder Ausbildungsprüfungen durch. 2002 veröffentlichte der frühere Journalist bei SuSE Press "Das Postfix-Buch" und damit das erste deutsche Buch über den Betrieb sicherer e-Mail-Server. Im März 2004 erschien die 2. Auflage des Buches bei Open Source Press, im April folgte mit seinem Werk "LPIC-1" das erste deutsche Buch zur gezielten Vorbereitung auf die Prüfungen des Linux Professional Institute (LPI). Ein Buch über Snort-Einbruchserkennung erscheint auf dem LinuxTag. Mit seiner Firma "Heinlein & Partner" berät sein Team und er bundesweit, gibt Wissen weiter, konzeptioniert neue Lösungen oder hilft bei akuten Notfällen bei der Administration anderer Linux-Server.

FreeBSD Filesystem Snapshots in der Praxis
von Dirk Meyer
Donnerstag, 24.02.2005 14:30-15:15

Das Backup und Restore von lebenden Datenbeständen wird immer Zeitaufwendiger, deshalb sind Backups auf Festplatten sind oft eine Lösung.

Unter FreeBSD gibt es seit der RELEASE 5.0 die Filesystem Snapshots. Die Anwender können bereits Daten verändern, während das Backup trotzdem einen in sich konsistenten Zustand sichert. Es wird gezigt wie man mit sehr geringem Aufwand, eine Archiv-Laufwerk anlegen kann, in dem die Anwender selbst auf die letzen Backups zugreifen können.

Über den Autor:

Dirk Meyer, Diplom Informatiker, Internet Service Provider seit 1992, Schwerpunk Netzwerktechnik und Sicherheit, Experte für Linux und FreeBSD, FreeBSD ports committer seit 2001, IT-Verantwortlicher bei PMA Prozess- und Maschinen-Automation GmbH.

Aktuelle Entwicklungen im Anti-Spam-Bereich
von Jochen Topf
Donnerstag, 24.02.2005 15:15-16:00

Dieser Vortrag versucht einen Überblick über Anti-Spam-Maßnahmen zu geben, mit einem Schwerpunkt auf den aktuellen Entwicklungen. Dazu werden wir uns anschauen, welche Methoden die Spammer im Moment anwenden und welche neuen Entwicklungen dagegen in Stellung gebracht werden. Am Schluß werden wir einen Ausblick auf die Zukunft versuchen.

Der Vortrag richtet sich an ein technisch orientiertes Publikum. Es werden keine tieferen Kenntnisse von Mailsystemen vorausgesetzt.

Über den Autor:

Jochen Topf (Jahrgang 1970) arbeitet seit 1995 als selbständiger Berater, Entwickler und Systemadministrator in der Internetwirtschaft. Ein Schwerpunkt seiner Arbeit sind große E-Mail-Systeme. So hat er entscheidend an der Entwicklung des ersten großen E-Mail-Systems für die damals im Aufbau befindlichen Internetaktivitäten von T-Online mitgewirkt und dann das E-Mail-System für Schlund+Partner/1&1 entworfen und aufgebaut. Jochen Topf ist Autor einer hochskalierbaren POP-Server-Software und schreibt gelegentlich für Fachzeitschriften. Nebenher bastelt er am E-Mail Informationsportal AllThingsEmail.org.

Eine maschinenunabhängige Portierung des SR-Laufzeitsystems auf NetBSD
von Ignatios Souvatzis
Donnerstag, 24.02.2005 15:15-16:00

SR (synchronizing resources) ist eine Pascal-artige Sprache, die Konstrukte für paralleles Programmieren enthält. Sie wurde in den späten 1980er Jahren an der University of Arizona entwickelt. MPD stellt die gleichen Sprachfähigkeiten mit einer Syntax zur Verfügung, die der in Gregory Andrews Buch über "Foundations of Multithreaded, Parallel and Distributed Programming) nahe kommt. Das Laufzeitsystem (im Prinzip zwischen SR und MPD identisch) simuliert eine Multiprozessor-Maschine durch Abbildung auf kernelunterstützte oder interne Threads eines Unix- Einprozessorsystems, durch Abbildung auf Threads eines echten Multiprozessorsystems oder auf ein (lokales) Netzwerk von Unix-ähnlichen Maschinen. Der Lehrstuhl V des Instituts für Informatik der Universität Bonn betreibt ein Parallelrechner-Labor für die Lehre, bestehend aus Rechnerknoten unter NetBSD/ARM32, und darauf aufbauend PVM, MPI u.ä.

Es wird erwogen, SR und MPD dafür zur Verfügung zu stellen. Da die ursprüngliche SR-Distribution nur einige kommerzielle Unices unterstützt, muss (besonders das Laufzeitsystem) noch portiert werden.

Die POSIX-Threads-Umgebung von NetBSD-2.0 erlaubt es uns, Bibliotheksprimitive des Betriebssystems zu benutzen, um die Primitive des SR-Laufzeitsystems zu implementieren. Auf diese Weise lassen sich die 13 momentanen Prozessorarchitekturen sowie die zukünftigen unterstützen, ohne selbst (maschinenabhängigen) Assemblercode schreiben zu müssen, und prinzipiell auch symmetrische Multiprozessormachinen (auf VAX, Alpha, PowerPC, Sparc, 32-bit Intel und 64-bit AMD CPUs) unterstützen.

Der Vortrag erläutert einige Schwierigkeiten, die überwunden werden mussten. Der Stand der Portierung wird demonstriert, und die Leistungsvergleiche der Implementierung mit herkömmlichen Implementierungen werden vorgestellt.

Über den Autor:

Ignatios Souvatzis ist "Systemprogrammierer" (in Wirklichkeit eine Kombination eines Systemadministrators, eines Bandoperators, eines Kernelhackers und eines Benutzerberaters) in der Abteilung V des Instituts für Informatik der Universität Bonn. Er glaubt, den ersten WWW- Server an seiner Universität - jedenfalls aber in der Informatik - eingerichtet zu haben und weiß rückblickend nicht, ob er es nicht bedauern sollte.

Er ist außerdem ein NetBSD-Entwickler und war dort hauptsächlich für einige Gerätetreiber, das neue ARP-Subsystem und den Amiga-Port verantwortlich.

Er schrieb Beiträge über Unix-Anwendungen und -Administration für verschiedene Zeitschriften und ist Co-Autor je eines Buches über FreeBSD- und NetBSD- Systemadministration.

Unix lernte er in seinem zweiten Studienjahr in einer kleinen Softwarefirma auf einem Z8000- System kennen. Später kamen - neben diversen Nicht-Unizes - Ultrix auf DECstation 2100 bis 5000/260, ConvexOS auf Convex C1, AIX 2.2.1 (IBM RT), SunOS 4 und SunOS 5.x (Sparc) dazu.

fwtest -- Ein Firewall-Testwerkzeug
von Sebastian Koch
Donnerstag, 24.02.2005 16:30-17:15

Dieser Vortrag stellt das Testwerkzeug fwtest vor, das im Rahmen eines Projekts am Lehrstuhl von Prof. Dr. Heiß an der TU-Berlin entstanden ist. Es dient primär dem funktionalen Test des Paketfilters in aktuellen Firewalls.

Mittelfristiges Ziel ist es, mit Hilfe von fwtest eine Regressions-Testsuite zu entwickeln, mit der sichergestellt werden soll, dass bei variierenden Firewall-Implementierungen und -Konfigurationen keine bekannten Schwachstellen (erneut) auftreten. Zu diesem Zweck ist fwtest als Spracherweiterung von Python implementiert und kann dadurch frei programmiert und erweitert werden.

Durch fwtest wird die Mächtigkeit, beliebige Paketdatenstrukturen zu erzeugen, aus der Kernel- auf die User-Prozessebene gebracht. Auf dieser Ebene lassen sich mit Werkzeugen (wie z.B. python, make, svn), die nicht in den Betriebssystemkern gehören, die Tests flexibel erstellen und verwalten.

Zielgruppen für diese Testumgebung sind sowohl die Entwickler als auch die Anwender von Firewall-Software, die sich einen regelmäßigen Überblick über die korrekte Funktion der Paketfilter verschaffen wollen.

Der Vortrag wird verschiedene Test-Architekturen vorstellen und anhand eines Beispiels die Erstellung von Testskripten beschreiben.

Über den Autor:

Dipl.-Inform. Sebastian Koch ist seit 1985 freiberuflicher Software-Entwickler im Unix-Umfeld und seit 1992 im Sicherheitsbereich tätig. In diesem Zusammenhang wirkte er maßgeblich an Projekten mit, in denen chipkartenbasierte VPN-Gateways für paket- als auch für leitungsorientierte Einsatzgebiete entwickelt wurden. Seit 2003 reaktivierte er seine Beziehung zur TU-Berlin, um Projekte zu verwirklichen, die in einem kommerziellen Umfeld schwer oder gar nicht realisierbar sind.

WLAN-Unterstützung in OpenBSD - "Because it has to be free"
von Reyk Flöter
Donnerstag, 24.02.2005 16:30-17:15

OpenBSD ist ein freies UNIX-ähnliches Betriebssystem auf der Basis von 4.4BSD. Die Entwicklung von OpenBSD richtet sich vor allem auf proaktive Sicherheit, integrierte Kryptographie, korrekte Entwicklung und multi-Plattform Portabilität.

In der Entwicklung von OpenBSD werden Lizenzen und der konsequente Einsatz von freier Software sehr ernst genommen. In letzter Zeit hat sich dies vor allem darin ausgewirkt, dass die Unterstützung vieler Wireless LAN Chipsätze ausgelassen wurde. Dies lag in erster Linie an der fehlenden Offenheit der Hersteller - entweder erfordern sie die Verwendung von Firmware unter sehr restriktiven Lizenzen oder von vorkompilierten binary-only Objekten, die als HAL Modul den Hardwarezugriff auf die Chipsätze regeln.

Der Vortrag zeigt diese Probleme auf und wie durch viel Überzeugungsarbeit und Aktionismus verschiedene Hersteller zur Freigabe ihrer Firmware überzeugt werden konnten, ein Open Source Ersatz für das HAL Modul des ath(4) Treibers entwickelt wurde und wie eine erweiterte WLAN-Unterstützung mit neuen Treibern und Eigenschaften in das kommende Release OpenBSD 3.7 Einzug halten wird. Die Open Source Community hat Unterstützung für nahezu alle Ethernet Chipsätze, SCSI Chipsätze, RAID Chipsätze und warum sollte sie nicht alle Wireless LAN Chipsätze unterstützen oder "is wireless 802.11 networking a Microsoft-only technology"?

Über den Autor:

Reyk Flöter ist geschäftsführender Gesellschafter des IT-Security-Unternehmens .vantronix | secure systems GmbH und Verantwortlicher für den Bereich Research & Development. Neben seiner beruflichen Tätigkeit engagiert er sich in fachbezogenen Projekten. Er ist unter anderem Vorsitzender des Chaos Computer Club Erfrakreises Hannover, trägt in vielen Projekten aktiv zur Open Source Community bei und ist Mitbegründer des WaveHAN-Projekts zum Aufbau eines Bürgernetzes auf Basis von Wireless LAN. Derzeit engagiert er sich als Entwickler im OpenBSD Projekt, ist Maintainer des WLSec Projekts und Chairman der EICAR Task Force on Wireless LAN Security.

Hochverfügbare Firewalls mit Linux
von Ralf Spenneberg
Donnerstag, 24.02.2005 17:15-18:00

Das ct_sync-System für den Linux-Kernel 2.4 und 2.6 erlaubt den Aufbau hochverfügbarer zustandsorientierter Firewalls. Diese experimentell Erweiterung des Linux-Kernels übernimmt die Synchronisation der Zustandstabellen in einem Failover-Firewall-Cluster. Trotz seines experimentellen Status setze ich diese Funktion bereits seit einigen Monaten ein. Der Vortrag beschreibt den Aufbau und den Einsatz und schildert die Erfahrungen erster Testeinsätze.

Über den Autor:

Der Autor verwendet Linux seit 1992 und arbeitete bereits 1994 als UNIX (Solaris, AIX) Systemadministrator. Seit etwa 6 Jahren ist er freiberuflich im Linux/UNIX-Feld als Trainer, Berater und Autor tätig. Seine Spezialität ist die Netzwerkadministration und -sicherheit (Firewalling, VPNs, Intrusion Detection).

Er hat zahlreiche Schulungen u.a. für Red Hat entwickelt. Er glaubt an den Know-How-Transfer und ist gerngesehener Dozent auf verschiedensten Konferenzen (SANS, FFG, Linux-Kongress, LinuxTag, iX-Konferenz, etc.).

2002 hat er sein erstes Buch "Intrusion Detection für Linux Server" veröffentlicht. Diesem folgten 2003 "VPN mit Linux" und 2004 "Intrusion Detection und Prevention mit Snort 2 und Co.". Im Moment arbeitet er an einem weiteren Buch über Linux Firewalls.

Das Gentoo Portage System
von Oliver Rath
Donnerstag, 24.02.2005 17:15-18:00

Ein essentieller Bestandteil einer Linux-Distribution ist ihr Paketsystem, mit dessen Hilfe Programmpakete installiert und verwaltet werden können. Als Vertreter seien hier rpm (SuSE, Redhad), apt (Debian) und das Ports-System (BSD) genannt.

Mit Gentoo Linux ist Portage hinzugekommen, welches aufgrund seines klaren, objektorientierten Ansatzes auch schon auf BSD- und Mac-OS Platformen portiert wurde, was im Bereich Paketverwaltung einmalig ist.

Es werden die bis dato unerreichte Individualisierbarkeit und Anpassbarkeit an die Bedürfnisse des Anwenders beleuchtet.

Über den Autor:

Oliver Rath (Jahrgang 1968) hat Mathematik und Informatik an der FAU Erlangen und der TU München studiert und ist seit 2004 freiberuflicher IT-Consultant mit den Schwerpunkten (Teil-)Migration bestehender Installationen im Mittelstand auf Freie Software sowie embedded Linux und VoIP.

Linux und BSD faszinieren ihn seit 1997.

Er hat im August 2003 die Münchener Gentoo Linux User Group gegründet und schreibt seit Oktober 2004 die Deutschsprachige Gentoo Linux Referenz für Open Souce Press, die voraussichtlich im September 2005 erscheint.

Application Security mit Apache Reverse Proxy und mod_security
von Daniel Ettle
Freitag, 25.02.2005 9:30-10:15

Application Security mithilfe von OpenSource Produkten. Beispiel Apache ReverseProxy mit mod_security schuetzt HTTP(S) Applikationen unbekannter Art (MS IIS, Netscape Webserver, Apache, ...) einfach und ohne hohen Administrationsaufwand gegen SQL-Injection, Prameter Tampering, ... Grundsaetzliche Erklaerung des Funktionsweise eine Reverse Proxys, Beispiel configs und Integrationsmoeglichkeiten in vorhandene Strukturen.

Über den Autor:

Beschäftigt und arbeitet seit über 10 Jahren mit und unter UNIX. Hat ein abgeschlossenes Informatik Studium an der FH Regensburg absolviert. Arbeitet seither in einer grossen Behoerde im Administrationsumfeld und betreut eine vielzahl unterschiedlicher Server.

Serverkonsolidierung und -virtualisierung von IA32-basierten Systemen
von Kai Dupke
Freitag, 25.02.2005 9:30-10:15

Intel-basierte Systeme sind häufig als Satelliten-Systeme oder Basis für Hilfsdienste im Einsatz, die die zur Verfügung stehenden Systeme nicht auslasten können. Mittlerweile gibt es eine Reihe von Möglichkeiten zur Virtualisierung solcher Systeme. Hierbei geht das Angebot von proprietären Systemen, wie VirtualPC von Microsoft und ESX-Server von VMware, bis zu OpenSource basierten Systemen wie Userland Linux oder Boch x86.

Der Referent gibt einen Überblick über die Voraussetzungen zur Virtualisierung. Darüber hinaus stellt er einige der derzeit erhältlichen Lösungen vor. Am Beispiel des VirtualCenters und ESX-Servers der Firma VMware zeigt er mögliche Lösungen in der Praxis auf.

Über den Autor:

Kai Dupke ist seit Anfang 2000 bei der probusiness AG, Hannover, für den Geschäftsbereich Linux zuständig. Als Projektberater unterstützt er darüber hinaus Kunden bei der Erstellung von Backupkonzepten, Hochverfügbarkeitslösungen und Konsolidierungskonzepten. Zuvor hat er als freier Systemberater kaufmännische Komplettlösungen in Industrie und Handel implementiert und betreut.

Er beschäftigt sich seit 1992 mit Linux, hat in den Bereichen ISDN und Portierung auf die Alpha-Plattform mitgewirkt. Er ist Inhaber einer RHCE-Zertifizierung und schreibt seit 1996 Artikel in diesem Bereich für die Zeitschrift iX und das Linux-Magazin.

Kai Dupke ist auf der CeBIT, dem LinuxTag sowie der LinuxWorld-Expo zu den Themen Verfügbarkeit, Virtualisierung, HA-Lösungen und Linux als Referent in Erscheinung getreten.

Kai Dupke ist 37 Jahre alt, wurde in Wuppertal geboren und wohnt derzeit im Süden von Hannover.

Webapplication Hacking mit PHP und Möglichkeiten der Abwehr.
von Peter Prochaska und Christopher Kunz
Freitag, 25.02.2005 10:15-11:00

"Hacker" und "Scriptkiddies" nehmen in letzter Zeit immer mehr zu. Verunstalten von Webseiten und Angriffe auf die Server selber werden immer häufiger. Viele dieser Angriffer erfolgen nicht mehr auf "traditionellem" Wege, sonder immer häufiger über eine Webapplication. Stichwort: SQL Injection, Parameter Manipulation. Hier soll anhand der Programmiersprache PHP erklärt werden, wo die Schwachstellen liegen können. Außerdem werden Lösungsmöglichkeiten für bestimmte Angriffsszenarien gegeben. Hardened-php und safe_mode werden ausführlich erklärt.

Über die Autoren:

Peter Prochaska ist seit 13 Jahren bei der DATEV in Nürnberg angestellt. Seit 3 Jahren ist er dort als IT Security Experte für Webanwendungen tätig. Regelmäßig hält er Vorträge und Schulungen in Firmen und auf Konferenzen (z.B. PHP Konferenz in Frankfurt). Nebenberuflich ist er Geschäftsführer einer IT-Sicherheitsfirma, die sich auf Webapplication Audits spezialisiert hat.

Christopher Kunz ist neben seinem Studium der angewandten Informatik, PHP Entwickler und Mitinhaber der Filoo GmbH. Seine Spezialgebiete sind: PHP in Multiuser-Umgebungen, Hostingplattformen, Serversicherheit.

Samba in großen Umgebungen
von Volker Lendecke
Freitag, 25.02.2005 10:15-11:00

In den letzten Monaten ist Samba in deutlich größeren Umgebungen eingesetzt worden, als dies bisher der Fall gewesen ist. Wie in jedem Projekt sind auch bei Samba Skalierungsprobleme erst aufgefallen, als Samba tatsächlich in grossen Umgebungen eingesetzt wurde.

Samba als Mitgliedsserver mit winbind arbeitet hervorragend, solange die Domäne, in der sich der Server befindet, nicht zu gross wird und nicht zu vielen anderen Domänen vertraut. Für den Einsatz in einer Umgebung mit etwa 10.000 Usern, den entsprechenden Gruppen und etwa 100 vertrauten Domänen war der winbind nicht wirklich gemacht. Beispielsweise hat der winbind beim Start zunächst versucht, für alle vertrauten Domänen mindestens einen Domänencontroller zu kontaktieren. Bei 100 Domänen konnte es schon einmal eine halbe Stunde dauern, bis der winbind in der Lage war, Anfragen entgegenzunehmen.

Samba als Domänencontroller mit OpenLDAP im Backend stellt andere Herausforderungen. Bei wirklich vielen Gruppen und Benutzern ist es einfach nicht mehr schlau, für einfache Anfragen alle Gruppen aufzulisten. Dies hat Samba bis zur 3.0.8 oft getan. Bei kleinen Domänen mag dies tragbar sein, wenn aber im Directory 5000 Gruppen und mehr vorliegen, ist dieses Verhalten nicht mehr tragbar.

Dieser Vortrag wird die Skalierungsprobleme von Samba genauer beleuchten, wie sie diagnostiziert wurden und wie letztendlich Lösungen aussehen beziehungsweise aussehen werden. Die beschriebenen Probleme sind letztlich häufig und in vielen Anwendungen zu finden. Als Quintessenz lässt sich sagen, das man NIE NIE NIE für eine Liste von Objekten darauf aufbauen sollte, alle diese Objekte aufzulisten. Es könnten *wirklich* viele Objekte vorhanden sein.

Über den Autor:

... ;-)

Eine neue Generation von Angriffen gegen SSL/TLS-geschützte Web-Anwendungen
von Sebastian Gajek
Freitag, 25.02.2005 11:30-12:15

SSL/TLS ist heute der de-facto- Standard für sicherheitskritische Transaktionen im WWW. Das Protokoll ermöglicht die Absicherung der Kommunikationsverbindung zwischen Client/Server und wird von Service-Providern als Maßstab für sichere Web-Applikationen bezeichnet. Eine SSL/TLS geschützte Verbindung allein ist aber nicht ausreichend, um von einer in der Praxis vollständigen Sicherheit für Web-Anwendungen sprechen zu können. Neben einer gesicherten Client/Server-Kommunikation ist auch die Mensch-Maschine-Verbindung zu betrachten, welche durch das User Interface (Web Browser) visualisiert und instrumentiert wird. Ist diese Kommunikation kompromittierbar, dann verfügt der Benutzer über keine Maßnahmen, die Eigenschaften der Verbindung zu verifizieren. Um von einer hinreichenden Sicherheit sprechen zu können, muss neben einer gesicherten Client/Server-Kommunikation auch die Mensch-Maschine-Verbindung authentisch und integer sein.

Angriffe, die Schwachstellen in der Mensch-Maschine-Kommunikation ausnutzen, heißen Phishing-Angriffe. Diese bestehen in der Regel aus zwei Phasen. In der ersten Phase wird der Benutzer auf den Web-Server des Angreifers geleitet. Hierfür werden unterschiedliche Trägerangriffe angewendet wie z.B. gefälschte Emails, Man-In-The-Middle oder Cross-Site-Scripting. In der zweiten Phase wird der Benutzer zur Eingabe von persönlichen Daten aufgefordert. Die zweite Phase ist der eigentliche Angriff. Dieser besteht aus der Nachbildung der Web-Seite und vor allem der Benutzeroberfläche (Visual Spoofing) mit allen Sicherheitsidentifikatoren (z.B. Schlosssymbol. Zertifikat oder URL), die dem Benutzer suggeriert, er nutze den „echten“ Web-Dienst. Er wird über Authentizität und Integrität der Web-Seite getäuscht und forciert damit eine ungewollte Preisgabe von persönlichen Daten (z.B. Benutzername, Passwort, PIN, TAN) oder geheime Dokumente (z.B. Upload eines Attachments) an den Angreifer.

In dem Beitrag wird demonstriert, in wie fern diese Generation von Angriffen in heutigen Web-Browsern realisierbar ist, welche Angriffspunkte ausgenutzt werden und welcher Schaden dadurch entstehen kann. Um diese Angriffe zu unterbinden, reichen gängige Sicherheitsmechanismen, wie zum Beispiel Firewall-Systeme oder Anti-Viren-Programme, nicht aus. Ausgehend von diesen Angriffen werden vorhandene kommerzielle und forschungsrelevante Gegenmaßnahmen vorgestellt. Obwohl die Brisanz der Angriffe seit längerem existiert, so fehlen nach wie vor effiziente und praktikable Gegenmaßnahmen.

Das Ziel des Beitrages ist die Präsentation von Gegenmaßnahmen, die diese Generation der Angriffe vollständig unterbinden und von jeder Benutzergruppe anwendbar sind. Zwei Lösungen werden in diesem Zusammenhang skizziert und anschließend nach ihren Vor- und Nachteilen diskutiert. Während die erste Lösung direkt das lokale User Interface adressiert, operiert die zweite Lösung an zentralen Internetgateways und kann vorhandene ITS-Systeme wie Firmenfirewall oder Intrusion-Detection-Systeme adaptiert werden.

Der Beitrag soll demonstrieren, dass durch vergleichsweise einfache Maßnahmen weitere Gefahren durch Phishing abgewendet werden können.

Über den Autor:

Dipl.-Ing. Sebastian Gajek. ist wissenschaftlicher Mitarbeiter des Lehrstuhls für Netz- und Datensicherheit am Bochumer Horst Görtz Institut für IT-Sicherheit, wo er Lehre und Forschung im Bereich der IT-Sicherheit begleitet. Während des Studiums sammelte er erste Dozentenerfahrungen als Tutor der Fakultät für Elektro- und Informationstechnik der Ruhr-Universität Bochum und Industrieerfahrungen bei der Firma NOKIA Mobile GmbH im Bereich Design Validation/IOP. Die Forschungsinteressen von Sebastian Gajek liegen im Bereich XML, Web-Service-Security und Internetsicherheit.

Diskless Shared-Root Cluster
von Mark Hlawatschek
Freitag, 25.02.2005 11:30-12:15

Moderne IT-Dienste müssen aus Kosten- und Effizienzgründen optimal an die geforderte Leistung angepasst und somit einfach skalierbar und verwaltbar sein. Ebenso unerlässlich ist heutzutage die Zuverlässigkeit dieser Systeme, da immer mehr Geschäftsprozesse auf IT-Diensten basieren, die im Zeichen der Globalisierung rund um die Uhr (24x7) erreichbar sein müssen. Die resultierenden Gesamtkosten stellen dazu ein entscheidendes Wettbewerbsmerkmal dar.

Was die Welt des High Performance Cluster Computings sehr erfolgreich vorgemacht hat, nämlich viele kleine und günstige Server zu einer Hochleistungsrecheneinheit zusammenzuschließen, kann auch in einer hochskalierbaren Enterprise Systemplattform angewendet werden.

Ein Linux Cluster File-System stellt das Herzstück der Lösung dar. Es verbindet Linux Server und ein angebundenes Speichernetzwerk zu einem Dateisystem basierten Single System Image (SSI). Der Aufbau eines diskless Clusters trennt die Server von einem zentralen Storage-System. Da die Server keine "eigenen" Daten mehr besitzen, sind sie leicht austauschbar. Durch die Trennung von Speicher- und Serverschicht entsteht eine granulare Skalierbarkeit der gesamten IT-Infrastruktur. Durch das unabhängige Hinzufügen von Storage-Kapazität bzw. CPU/Netzwerkleistung in der Storage oder Serverschicht wird das System erweitert (2d Skalierbarkeit).

Die Storage Cluster Infrastruktur wird derzeit in verschiedensten Bereichen produktiv eingesetzt. IP-tech (schweizer ISP) vertraut seine Webserver, Mailserver und mySQL Datenbanken dieser Lösung an. Ein Bereich in der T-Systems hat seine Entwicklungsumgebung auf einen GFS Cluster aufgesetzt.

Über den Autor:

Dipl.-Ing. Mark Hlawatschek ist einer der Geschäftsführer von ATIX und gehört zum dreiköpfigen Gründerteam der GmbH.

Er kann auf 10 Jahre Erfahrung in der IT-Branche zurückblicken und seine Tätigkeitsschwerpunkte liegen in der Entwicklung und Implementierung von Enterprise Storage-Lösungen basierend auf SAN/NAS, hochskalierbaren Infrastrukturen für Unternehmensanwendungen und Clustern vor allem auf Linux-Basis.

Bluetooth Security Revealed
von Marcel Holtmann
Freitag, 25.02.2005 12:15-13:00

Begriffe wie BlueBugging, BlueSnarfing und BlueJacking sind durch die Medien publiziert worden. Alle drei haben etwas mit den Sicherheitslücken in Mobiltelefonen mit Bluetooth Unterstützung zu tun. Doch niemand weiß so genau, was sich wirklich dahinter verbirgt und wie die Angriffe funktionieren. Diese Vortrag soll Licht ins Dunkel bringen und zeigen wie einfach es ist, z.B. ein fremdes Telefonbuch im vorbeigehen auszulesen.

Es werden die Mechanismen der Bluetooth-Sicherheit mit Hilfe von frei verfügbaren Tools und dem offiziellen Linux Bluetooth Stack BlueZ (www.bluez.org) vorgestellt. Dabei geht es aber nicht um wilde Crypto-Algorithmen, sondern um die Funktionsweise des Pairings und das Aktivieren von verschlüsselten Verbindungen. Bluetooth abstrahiert alle komplexen Vorgänge hinter dem Host Controller Interface (HCI) und somit auch die Authentifizierung und Verschlüsselung. Dieser Abstraktion sind natürlich Grenzen auferlegt, die im Laufe der Vortrags erläutert werden. Durch fehlerhafte Umsetzung oder mangelndem Verständnis entstehen dann die aufgeführten Sicherheitslücken.

Die meisten Präsentationen über Bluetooth-Sicherheit beschäftigen sich mit den theoretischen Grundlagen der Authentifizierung und Verschlüsselung, wie z.B. dem eingesetzten Safer+ Algorithmus. Diese Vortrag wählt genau den entgegengesetzten Weg und betrachtet alles aus der Sicht des Protokoll Stacks und dessen Anwendungen.

Über den Autor:

Marcel Holtmann ist der Maintainer und der Core Entwickler des offiziellen Linux Bluetooth Stacks BlueZ. Neben der Weiterentwicklung von BlueZ beschäftigt er sich auch aktiv mit den Problemen und Fragen der Bluetooth-Sicherheit. Zusammen mit Adam Laurie und Martin Herfurt hat er den Security-Table beim Bluetooth UnPlugFest geleitet.

Skalierbarkeit/Hochverfügbarkeit: Oracle Real Application Cluster und Data Guard
von Andrea Held
Freitag, 25.02.2005 12:15-13:00

Die Auswahl und Implementierung einer geeigneten Verfügbarkeitsstrategie ist eine schwierige Aufgabe. Sie erfordert einen guten Überblick über mögliche Architekturen sowie ein fundiertes Hintergrundwissen. Je nach Anforderung der Anwendung kann ein gänzlich anderer Weg sinnvoll, angemessen und preiswerter sein. Dieser Vortrag zeigt die Möglichkeiten, aber auch Grenzen in der Umsetzung von Hochverfügbarkeit und Skalierbarkeit mit Oracle-Datenbanken. Er bietet Hilfestellung zur Anforderungsanalyse, Auswahl und Umsetzung verschiedener Technologien, die in Oracle 10g erhöhte Systemverfügbarkeit unterstützen. Nach einer einleitenden theoretischen Einführung in das Thema werden Oracle Technologien, deren Architekturen und Implementation sowie eventuelle Hürden behandelt.

Themen sind insbesondere

  • Hochverfügbarkeit: Begriffsbestimmung, Metriken, Vorgehensweise bei Planung und Umsetzung
  • Oracle Technologien: Flashback, Standby-Datenbanken und Data Guard, Oracle Real Application Cluster, Automatic Storage Management, das Oracle Cluster File System, Verwendung von Raw Devices als Basis einer Cluster Datenbank, Parallelisierung und Skalierung im Cluster sowie Wartungsarbeiten im laufenden Betrieb
  • Umsetzung der einzelnen Oracle Technologien: Checklisten, Best Practices, Literaturangaben, ein Glossar mit allen Fachbegriffen sowie eine umfassende Befehlreferenz rund um das Thema Hochverfügbarkeit mit allen wichtigen Befehlen.

Der Fokus liegt auf jenen Technologien, die Oracle von Haus aus bietet. Technologien wie Datenbankspiegel und Hardware-Replikation, die ausschließlich durch Dritthersteller unterstützt werden, werden nur angerissen, jedoch nicht genauer beleuchtet.

Über den Autor:

Andrea Held ist als Chief Specialist des Bereichs "Business Information Management Systeme" der Deutsche Post IT-Solutions beschäftigt. Sie ist Autorin zahlreicher Artikel in Fachzeitschriften wie "IX" (Heise-Verlag), "Der Entwickler" und "Linux Enterprise Magazin" (beide S&S-Verlag). Im Oktober 2004 erschien ihr Buch "Oracle 10g Hochverfügbarkeit bei Addison-Wesley. Derzeit leitet sie eines Forschungs- und Entwicklungsprojekt zu Grid Computing und Blade Clustern im Oracle-Umfeld. Genauere Informationen finden Sie unter www.held-informatik.de.

Automatische DNS-Updates---nicht nur für IPv6
von Benedikt Stockebrand
Freitag, 25.02.2005 14:00-14:45

Eine der interessanten Neuerungen von IPv6 gegenüber IPv4 ist die Einführung der Stateless Autoconfiguration, die automatisch die Adressen von Rechnern konfigurieren und auch im laufenden Betrieb unterbrechungsfrei ändern kann.

Aber wie kommen die aktuellen Adressen ins DNS? Erste Überlegungen der IETF, mit der die Pflege von Name Servern vereinfacht werden sollte, erwiesen sich als problematisch und auch unzureichend, so daß sie wieder zurückgezogen wurden. Eine manuelle Pflege wird spätestens dann aussichtslos, wenn sich Rechner oft von einem Netz zum anderen bewegen. (Die Microsoft-"Lösung", DNS-Updates ohne Authentisierung zu akzeptieren, verbietet sich in einer Umgebungen, in denen Wert auf "Sicherheit" gelegt wird.)

Dabei bringen aktuelle Name Server alles mit, was zur sicheren dynamischen Pflege von DNS-Einträgen nötig ist: Kryptographisch abgesicherte Updates, mit denen jeder Client, der im Besitz eines passenden "Zertifikats" ist, seinen eigenen, und nur seinen eigenen, DNS-Eintrag aktualisieren kann.

Damit ist es möglich, serverseitig die DNS-Administration auf die Installation eines oder mehrerer DNS-Server, der leeren Zones und das einmalige Ausstellen eines "Zertifikats" für jeden Client zu beschränken. Auf jedem Client muß neben dem "Zertifikat" nur ein Daemon installiert werden, der den DNS-Eintrag regelmäßig überprüft und wenn nötig aktualisiert.

Die vorgestellte Implementierung unterstützt das Erstellen und serverseitige Konfigurieren von "Zertifikaten", das clientseitige Überwachen und Aktualisieren der eigenen DNS-Einträge in den Forward Zones sowohl für IPv4 als auch für IPv6 und schließlich die Synchronisation von Forward und Reverse Zones.

Auch wenn die Frage berechtigt ist, ob das DNS-Protokoll in seiner heutigen Form für dynamische DNS-Updates überhaupt noch wirklich geeignet ist, hilft dieser Ansatz mit den vorgestellten Programmen, das "Problem DNS" deutlich zu entschärfen, indem es die Administration wesentlich vereinfacht.

Über den Autor:

Benedikt Stockebrand ist Diplom-Informatiker, freischaffender Trainer und Systemarchitekt im Unix- und TCP/IP-Umfeld.

Mit Schulungen vermittelt er herstellerunabhängig Kenntnisse zu Unix, TCP/IP, zum Design von sicheren, zuverlässigen, effizienten und skalierbaren Systemen und vor allem zu seinem liebsten Thema, IPv6.

Im Projektgeschäft unterstützt er IT-Projekte dabei, Software auf real existierender Hardware in real existierenden Rechenzentren in einen effizienten und zuverlässigen Betrieb zu nehmen, bringt die Infrastruktur von Rechenzentren auf den Stand der Technik und führt vor allem die IT-Bausünden der New Economy in die betriebwirtschaftliche Realität.

Wenn er nicht gerade tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de/ zu erreichen.

Konfigurationsmanagement mit cfengine
von Ralph Angenendt
Freitag, 25.02.2005 14:00-14:45

Part I - Die Theorie:

  • Ziel Vortrag
    • Vorstellung des Tools cfengine (Herkunft/Verwendung)
    • Vorstellung einer möglichen Umsetzung am Beispiel BR (Projekt)
    • Distributionswechsel mit zeitgleicher Migration des Konfigurationswerkzeugs
    • Entscheidungshilfen zur Verwendung und Implementierung
  • Architektur und Aufbau cfengine
    • gestartet als Forschungsprojekt 1993 in Norwegen
    • Zielsetzung: Administration eines Netzwerkes der Universität Oslo
    • Autor: Mark Burgess (http://www.iu.hio.no/~mark/)
    • cfengine ist eine Hochsprache zur Konfiguration von beliebig großen Rechnernetzen.
    • Einzelne, durchzuführende Schritte werden in ActionSequences bearbeitet (Kopieren von Dateien, Synchronisieren von Verzeichnisbäumen, Editieren von Dateien auf dem Zielserver, etc.)
    • Verteilte Architekturen durch Client-Server System umgesetzt (push Verfahren durch Server, pull Verfahren durch Client)
    • keine zentralisierte Architektur nötig, es kann mit mehreren Konfigurationsservern gearbeitet werden.
  • Standortbestimmung Bayerischer Rundfunk
    • ca. 70 Server IBM xSeries mit Betriebssystem SuSE 7.3 (unterschiedliche Hardware)
    • Installation der Server mittels Alice
    • Konfigurationsverwaltung durch Alice ist nur en bloque möglich
    • Konfigurationsmanagement durch Einbindung von Alice in eigene Ausspielskripte
    • Gewährleistung des schnellen Austauschs von defekten Rechnern
    • Migration in 2004:
      • Migration auf CentOS 3
      • Ablösung der Installation via Alice durch Kickstart
      • Ablösung des Konfigurationsmanagement Alice durch Migration auf cfengine Version 2
    • Weitere Schritte
      • Etablierung eines zentralen Patchmanagements via cfengine und OS-Bordmitteln.

Part II - Die Praxis:

  • Durchführung der Migration
    • Überblick über das etablierte Klassenmodell in Alice
      • Hardwareklassen
      • Hostklassen
      • Diensteklassen
    • Harte Nachbildung des Klassenmodells auf cfengine
    • Aufzeigen der Probleme dieser Methode
  • Beispiele für den Einsatz von cfengine
    • Format der Konfigurationsdateien
    • Klassenmodell von cfengine
      • feste Klassen
      • selbstdefinierte Klassen
      • arbeiten mit Klassen
    • Szenarien
      • Ausspielen von Software (Installation von Paketen, Updates von Paketen bei Versionsänderungen)
      • Überwachung von Diensten (Neustarts von nicht mehr laufenden Prozessen, Stoppen von Prozessen)
      • Ausspielung von Konfigurationsdateien (automatisches Einlesen der neuen Konfiguration)
  • Visionen
    • Vollständige Einbindung der Solaris-Rechner in cfengine
    • Changemanagement für Linux und Solaris
      • keine automatisierten Updates via cronjobs
      • Entscheidung über Updatezeitpunkt/-umfang durch Administratoren
      • Webbasiertes Administrationsinterface um Einzelupdates durchzuführen
  • Review
    • Gibt es generelle Probleme mit cfengine?
    • Auf welche Probleme sind wir bei der Implementierung gestoßen?
    • Ab wann ist eine automatisierte Erstellung von Konfigurationsdateien notwendig?
    • Ist die erste Planung erfolgreich gewesen?
    • Ist eine komplette Umstellung der Konfiguration im laufenden Betrieb möglich?

Über den Autor:

Ralph Angenendt: Geboren 1969, beschäftigt sich seit 1995 mit Linux und anderen Unixderivaten. Arbeitet seit 2002 als Systemadministrator für den Bayerischen Rundfunk in München. Momentaner Arbeitsschwerpunkt ist die Migration der Infrastruktur von SuSE auf CentOS und der Einführung von cfengine als Werkzeug für das Konfigurations- und Patchmanagement.

Aufbau einer zentralen LOG-Infrastruktur auf Basis von syslog-ng
von Jens Link
Freitag, 25.02.2005 14:45-15:30

Logfiles sind ein wertvolles Hilfsmittel für Administratoren, sie bieten oft die einzige Möglichkeit die Ursache eines Fehlers zu erkennen. Auch viele Netzwerkkomponenten, wie z.B. Switche, Router oder Printserver bieten die Möglichkeit Log-Informationen auf einen Syslog-Server zu schreiben. Es erscheint also sinnvoll eine zentralen Server zu installieren, auf dem die Log-Informationen aller Server und Netzwerkkomponmenten gesammelt werden.

Bei der Fülle an Informationen muss man außerdem eine (halb)automatische Auswertung dieser Daten durchführen und möchte ggf. die Daten von zwei verschiedenen Quellen miteinander verknüpfen, um so überhaupt erst eine sinnvolle Auswertung zu erhalten.

Der Vortrag zeigt, wie man einen zentralen Syslog-Server (unter Linux) auf Basis von syslog-ng einrichtet und wie man seine Netzwerkkomponenten, Server und Applikationen (an den einigen Beispielen: Cisco IOS, Linux und. Windows, iptables, ...) entsprechend konfiguriert.

Darüber hinaus werden kurz einige Tools vorgestellt, die, mehr oder weniger automatisch, die anfallenden Daten auswerten, daraus Reports generieren, die dann von den entsprechenden Admins weiterverarbeitet werden können. Neben der reinen Benachrichtigung kann man sich aber auch andere Aktionen vorstellen,wie z.B. das automatischen auslesen (und ggf. die Speicherung in einem Versionskontrollsystem) einer Switch-Konfiguration, nachdem der Switch eine Konfiguratiosänderung protokolliert hat.

Natürlich wird auch darauf eingegangen, wie man die alten und nicht mehr benötigten Log-Informationen nach einer gewissen Zeit automatisch beseitigt.

Über den Autor:

Jens Link ist seit Jahren als Netzwerk-/Sysadmin tätig. In dieser Zeit mußte er sich immer wieder mit den verschiedensten Netzwerkproblemen (auf allen zehn Ebenen des OSI-Modells) auseinandersetzen.

Sein Aufgabenschwerpunkt liegt zur Zeit in der Planung und Durchführung der Migration mehrere kleiner und mittlerer Netzwerke (teilweise noch TokenRing) zu einem Netzwerk, sowie der Administration der Linux basierenden Dienste und Netzwerkkomponenten (überwiegend Cisco Router und Switche) in diesem Netz.

Im Verlauf der letzten Jahre hat er mehrere Linux- und Netzwerklehrgänge durchgeführt.

Im Verlauf der letzten Jahre hat er mehrere Linux- und Netzwerklehrgänge durchgeführt.

ITSM im OpenSource-Umfeld
von Joachim Winkler
Freitag, 25.02.2005 14:45-15:30

Der Vortrag enthält zunächst eine thematische Einführung. Neben einer kurzen Darstellung von ITSM in seinen aktuellen Ausprägungen (ITIL, BS15000) wird hier auch ein Überblick zur allgemeinen Situation und Entwicklung von OpenSource gegeben.

Den Schwerpunkt bildet aber dann ein Marktüberblick zu relevanten ITSM-Tools aus dem OSS-Umfeld. Eine kurze Funktionsbeschreibung und Einordnung in die gängigen Prozessmodelle vervollständigen diese Übersicht.

In einem weiteren Schritt wird dann das i-doit Projekt vorgestellt. Eine OpenSource-Lösung, die an den Best Practices von ITIL ausgerichtet ist und in ihrer Basis-Version eine umfassende dokumentierende Verknüpfung von IT-Elementen ermöglicht. Die modulare und offene Struktur erlaubt die Einbindung bestehender oder neuer Lösungen für die Funktionserweiterung im Sinne der ITIL-Prozesse.

Über den Autor:

Joachim Winkler ist Teilhaber und Prokurist der synetics GmbH aus Düsseldorf. Seit gut 15 Jahren beschäftigt er sich mit IT- und Netzwerkinfrastrukturen in großen und mittleren Unternehmen.

Neben Planung und Betrieb sind auch Beratung und Konzeption seine wesentlichen Aufgabenfelder. Seit Anfang 2004 widmet er einen großen Teil seiner Zeit der Entwicklung und Förderung von i-doit, einer OpenSource-Lösung für IT Service Management.

Die Nadel im Heuhaufen - Logfileanalyse und -verarbeitung
von Martin Pfeilsticker
Freitag, 25.02.2005 15:45-16:30

Beim Betrieb von Computersysteme entsteht eine Unmenge an Informationen, meistens in der Form von Logfiles.

Der Vortrag zeigt anhand von Mail/Webserver, IDS und Firewall logs wie man die Informationen sichtbar macht (visualisiert), statistisch verarbeitet (aggregiert) und miteinander verknuepft (korreliert).

Ziel ist es, eine zentrale logging Infrastruktur fuer eine heterogene Umgebung zu entwerfen und die Probleme aufzeigen, die dabei entstehen koennen.

Vorgestellt werden verschiedene OpenSource and kommerzielle tools zur Verarbeitung und Auswertung:

  • Webalizer
  • WebTrends
  • fwanalog und analog
  • logsurfer und logsentry
  • SEC - simple event correlator
  • ArcSight

Über den Autor:

Martin Pfeilsticker arbeitet als Incident Responder fuer den Cable and Wireless UK Managed Security Service und ist verantwortlich fuer den IDS Betrieb und das Computer-Forensik Labor.

Nach dem Studium der Informatik sammelte Martin zuerst Erfahrung in der Systemverwaltung, bevor er sich ganz dem Thema Sicherheit widmete, davon die letzen 4 Jahre im Bereich Incident Response und Computer Forensik.

Das Kassandra-Syndrom oder: "Von der Macht des Wunsches und der Ohnmacht des Wissens"
von Thomas Maus
Freitag, 25.02.2005 15:45-16:30

Jeder, der sich lange genug mit Computern beschäftigt, hat es erlebt:

Da werden Projekte angegangen oder Entscheidungen getroffen, bei denen Erfahrung und Sachverstand klar die kommende Katastrophe herauf ziehen sehen. Technisch wäre es gar nicht so schwierig und auch gar nicht so aufwändig die Katastrophe von vorne herein zu vermeiden -- doch es scheint unmöglich Gehör zu finden ...

Natürlich trifft die Katastrophe dann ein und natürlich sind die Techniker schuld und natürlich kann der ursprüngliche Lösungsvorschlag nicht verwendet werden, weil ...

Wer glaubt mit diesem harten Schicksal allein zu sein, der sei getröstet: Es geht vielen so und auch in anderen Bereichen von Technik und Wissenschaft, ja sogar außerhalb. Hier scheint also ein Prinzip zu herrschen.

Vor dem Hintergrund eines Vierteljahrhunderts IT-Erfahrung und zahlreicher gemeinsam und einsam durchlittener IT-Katastrophen erlaubt sich der Autor einige Gedanken zu diesem Prinzip: philosophische, soziologische, analytische und sogar lösungsorientierte ;-)

Sogar seine (mal mehr, mal weniger) erfolgreichen Gegenstrategien ist er bereit zu teilen ...

PS: Natürlich ist dieser Beitrag eine Verneigung vor Joseph Weizenbaum und seinem Buch "Die Macht der Computer und die Ohnmacht der Vernunft", doch liegt er thematisch anders.

Über den Autor:

Thomas Maus ist Diplom-Informatiker und seit über 10 Jahren selbstständiger IT-Sicherheitsberater.

Über die Erhaltung historischer Software
von John G. Zabolitzky
Freitag, 25.02.2005 16:30-17:15

Die IT-Industrie ist der weltweit bedeutendste Industriezweig. Dies gründet sich auf mehrere Jahrzehnte aufeinander aufbauender Entwicklungen in Hardware und Software. Dennoch ist die Dokumentation dieser Entwicklung sehr beschränkt. Insbesondere ist es schwer bis unmöglich die Entwicklungen im Software-Bereich anhand von Original-Artefakten nachzuverfolgen. Man ist auf Berichte, Meinungsäusserungen usw. angewiesen, d.h. auf die Qualität von Zeugenaussagen bis Hörensagen, es liegen nur wenige Originale vor. Der Vortrag befasst sich mit den Gründen sowie möglichen Abhilfen hierfür.

Über den Autor:

Dr. John G. Zabolitzky ist Vorsitzender der Gesellschaft für historische Rechenanlagen e. V. (GFHR) und Initiator der Mainframe-Sammlung von Cray-Cyber.org in München.

Veranstaltungen
FFG2019
Frühjahrsfachgespräch 2019
9.-12. April 2019 am KIT in Karlsruhe
Kalender
10.November 2019
KWMoDiMiDoFrSaSo
44  28 29 30 31 1 2 3
45  4 5 6 7 8 9 10
46  11 12 13 14 15 16 17
47  18 19 20 21 22 23 24
48  25 26 27 28 29 30 1
49  2 3 4 5 6 7 8
GUUG News