Beruflich Dokumente
Kultur Dokumente
Cloud Computing:
OpenStack & CloudStack
MFT: Sichere Alternative
zum FTP-Dateitransfer
JETZT MIT
Web Security
Server und Homepage schützen
Web Application Firewall mit Nginx
Schutz gegen SQL-Injections
Drive-by-Attacken erklärt
SSD-Benchmarks
Richtig testen und messen
mit dem TKperf-Tool
Arch Linux
Schlankes Linux
fast from Scratch
ZFS
Der große Workshop zum
Solaris-Dateisystem für FreeBSD
03
JXZb^Xjj\
;`\Nliq\ce[\jj\e#nXjdXe_\lk\`d@K$AXi^feM\e[fiCfZb$@ee\eek#
i\`Z_\e `e [Xj I\Z_\ek\Z_e`b$BXdYi`ld qliZb1 :fdglk\i jk\Zbk\e
efZ_`e[\eB`e[\ijZ_l_\e#[X[fd`e`\ik\@9DY\i\`kj[\eCfZ_bXik\e$
dXibk#[\ilej[`\/'$Q\`Z_\e$Q\`c\le[[\e8lj[ilZbJkXg\cm\iXiY\`$
kle^m\i\iYk_Xk#[\edXe[XdXcjnikc`Z_e\_d\edljjk\%NXjj`Z_
XejZ_c`\\e[ Y\` [\e DX`e]iXd\j n`\[\i_fc\e jfcck\# q\`Z_e\k\ j`Z_
[XdXcjjZ_feXY1DXe^\cjbfdgXk`Yc\i8ck\ieXk`m\enXi[\i8en\e[\i
[\i>\]Xe^\e\[\j8eY`\k\ij#nXim\i[Xddk#[\jj\eGif[lbk\qlbXl$
]\ele[jfmfij`Z_j\cY\i`dd\i__\i\N\Z_j\c_i[\eql\ii`Z_k\e%
<j]fc^k\[XjG:$Q\`kXck\i1\`e\viX[\i;\q\ekiXc`j`\ile^%Dfefgfc`jk\e
^XY\jXlZ_`e[`\j\iQ\`k#Xcc\emfiXeD`Zifjf]k#[fZ_\ekjkXe[\`e\Xlj^\gi^k\;`m\ij`kk^\iX[\`d
?Xi[nXi\j\bkfi#le[\jY`c[\k\ej`Z_Y\]i\`k\<ebcXm\e#\knXd`kFg\eJfliZ\`dI\Z_\eq\ekild%
?\lk\_Xklej[`\>\jZ_`Z_k\`dJZ_iXlY\e^Xe^[\i;`Xc\bk`bXl]\`e\__\i\<Y\e\^\]_ik#`e[\i
Q\ekiXc`j`\ile^n`\[\i^if^\jZ_i`\Y\en`i[%;\eenXj8dXqfele[>ff^c\#;ifgYfof[\i[`\K\$
c\bfdXeY`\k\e#j`e[ql\`eXe[\i`ebfdgXk`Yc\Dfefgfc`jk\e$F]]\ik\e#[`\d`k[\dj\cY\em\i^`]k\k\e
B[\icfZb\en`\[`\@9D$KXY\cc`\idXjZ_`e\]i@9D$CfZ_bXik\e%;`\>i\[\i8eY`\k\i`jk[XY\`Xcc\j
Xe[\i\Xcj\`e\>\n_i]i9\jke[`^b\`k%@d>\^\ek\`c#[\i\`e\f[\iXe[\i\_XkjZ_feb\`e\Jbilg\c
d\_i#[`\\`e\?Xe[#Xlj[\idXeYiXmXcc\jbXl]k\#d`jjcXle`^qliZbqlq`\_\e1>ff^c\jk\cckj\`e\e
I\X[\i\`e#le[n\ij`Z_d`k[\dM\ijgi\Z_\e`e[\jj\eLe`m\ijldcfZb\ec`\#[fikbee\\iXcc\j
m\ibeg]\ele[bfejfc`[`\i\e#[\ijfcca\kqkj\_\e#nf\iYc\`Yk%
<`e\?f]]ele^Yc\`YkkifkqXcc\d1;\iFg\e$JfliZ\$>\[Xeb\#\`edXc`e[\iN\ck#_XkXlZ_Y\`d:cfl[
:fdglk`e^jZ_fed\_iXcjeli[\e=l`e[\iKi%?`ek\iFg\eJkXZbm\ijXdd\ckj`Z_\`e\^cfYXc\
:fddle`kpd`k.'''D`k^c`\[\ieXlj(''Ce[\iele[/,'Fi^Xe`jXk`fe\e#Xlj^\jkXkk\kd`k('D`c$
c`fe\e;fccXi%:cfl[JkXZbY`\k\k\`e\qn\`k\Fg\e$JfliZ\$8ck\ieXk`m\#Fg\eE\YlcXjk\cck\`e\[i`kk\
]i\`\Nfcb\Y\i\`kle[<lZXcpgklj\`e\m`\ik\%I\[?Xk#[\in\ckn\`k^ik\Fg\e$JfliZ\$8eY`\k\i#
\ekn`Zb\ck\`e^Xeq\jGfik]fc`fmfe:cfl[$Cjle^\e#[`\Xl]]i\`\eJkXe[Xi[jXl]YXl\ele[j\cYjk
bfdd\iq`\cc\8e^\Yfk\`ek\^i`\i\e%Fne:cfl[bXee;ifgYfo\ij\kq\ele[jfn\`k\i%;Xj`jk[`\GXiXc$
c\cjkiX\qliJXZb^Xjj\%
ADMIN '*&)'(*
IT-Praxis & Strategie
N\Yj\im\ile[?fd\gX^\XYj`Z_\ied`k
M\ijZ_cjj\cle^le[=`i\nXccj%D\_i[Xql
`d8;D@E$JZ_n\iglebkXYJ\`k\)-
+)
J`Z_\i\9Xeb
>i\\eJHCjZ_kqk
;Xk\eYXeb\emfi
JHC$@ea\Zk`fe$8e^i`]]\e%
(' 9
iXeZ_\e$E\nj )) G
fjkqljk\cc\i
E\l\jmfe=`id\ele[Gifa\bk\e% =iGfjk]`o$8[d`e`jkiXkfi\e1JgXd[liZ_
>i\p$le[N_`k\c`jk`e^d`kGfjk^i\p
(- N
XZ__le[ Y\bdg]\e%
9\elkq\i$8ZZflekjmfeC;8Gql=i\\@G8
d`^i`\i\e%
+) J
`Z_\i\9Xeb
J\im`Z\ JHC$@ea\Zk`fejd`k>i\\eJHCn`ibjXd
* [`kfi`Xc
< YcfZb\e%
+ @e_Xck
- ?\]k$:; +/ J
Z_lkqXljijkle^
(*' @dgi\jjldle[MfijZ_Xl JZ_lkqmfi;i`m\$Yp$8e^i`]]\e%
--
Q\`kdXjZ_`e\
;XjFg\eMDJ$9\$
ki`\Yjjpjk\dXl]\`$
e\i\dlc`\ik\eM8O`ejkXcc`\i\e%
/+ 0-
Ql[\eNliq\ce >lk^\j`Z_\ik6
8lj]_ic`Z_\iNfib$ N\cZ_\8e]fi[\ile^\e
j_fgqlijZ_cXeb\e q\ekiXc`j`\ik\jGXjjnfik$
8iZ_$C`elo$;`jki`Ylk`fe% DXeX^\d\ek\i]cc\edljj%
-- Q
\`kdXjZ_`e\ /+ Q
l[\eNliq\ce 0- >
lk^\j`Z_\ik6
I\`j\`ej^fc[\e\:fdglk`e^$Q\`kXck\i1 8iZ_C`elo1@ejkXccXk`fejnfibj_fg]i 8e]fi[\ile^\eXe\`eq\ekiXc`j`\ik\j
Fg\eMDJXl][\iM8O% [`\YXccXjkjkf]]Xid\C`elo$;`jki`Ylk`fe% GXjjnfik$DXeX^\d\ek%
(') :
cfl[$HlXik\kk ((' v
e[\ile^\edX^\jZ_e\`[\ik ((. =
i\\O
:cfl[JkXZb`jkele8gXZ_\$Gifa\bk% DpJHC$JZ_\dXe[\ile^\e`dcXl]\e[\e 8ik`b\cle[Nfibj_fgjXlj[\i=i\\O%
NXjdXZ_k[`\Bfeblii\eq6 9\ki`\Y%
((/ 8
jkifefd`jZ_
('- 9
i\ejkXib6 ((+ @ dJlZ_\i Q=Jlek\i=i\\9J;Æ;Xk\ej`Z_\i_\`kXl]
Fg\eJkXZb$ =iM`d$Bee\ile[jfcZ_\#[`\\jn\i$ e\l\eN\^\e%
Nfibj_fg#K\`c+1 [\enfcc\e1JlZ_\ele[<ij\kq\e`e=`c\j%
NXj`jke\l`d
>i`qqcp$I\c\Xj\
[\j:cfl[$
:fdglk`e^$
=iXd\nfibj6
auf Seite 6
Mehr Infos
UÊÃÌ>>ÌÃ
ÊvØÀÊÀV
ÊÕÝÊÓä£Î°ä{°ä£
UÊ6iÀÃÊvØÀÊÎÓÊÕ`ÊÈ{Ê Ì
UÊÕÃvØ
ÀV
iÀÊÃÌ>>ÌÃÜÀÃ
«Ê>ÕvÊ-iÌiÊn{
NNN
N% 8 ; D @ E $ D 8>
8>8
>8Q@E%;< 8;D@E 8L J >8 9 < '
'*
' * $)' ( * ,
J < IM @ : < ?\]k$:;
?\]k$:;
Auf dem beiliegenden Datenträger finden Sie die neueste
Version der Arch-Linux-Distribution R(T, mit der Sie ein
Versi
Linux-System von Grund auf selbst installieren können.
Linu
◗ Ins
Installations-CD für Arch Linux 2013.04.01
◗ Version für 32 und 64 Bit
Ver
◗ Lin
Linux-Kernel 3.8.4
◗ Eig
Eigenes Paketmanagement-System mit Community-
Repository
Rep
Meh
Mehr Informationen zur Installation von Arch Linux sind
im A
Artikel ab Seite 84 zu finden.
Lege
Legen Sie einfach die CD in das Laufwerk ein und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt.
Lauf ■
@e]f
R(T 8iZ_c`elo1R_kkg1&&nnn%XiZ_c`elo%fi^T
?
CD KAPUTT en kostenlos eine
n Ihn
Wir schicke t:
E-Mail genüg
Ersatz-CD zu, .de
agazin
info@admin-m
0, 03 € *
PRO STUNDE
ab
VOLLE KOSTENKONTROLLE
■ NEU: Keine Einrichtungsgebühr!
■ NEU: Kein Basispreis!
HÖCHSTE FLEXIBILITÄT
■ NEU: Keine Mindestvertragslaufzeit! ■ vCore-Anzahl, Arbeits- und Festplatten-
speicher unabhängig voneinander
■ Für kurze Zeit: bis zu 30,– € buchbar – für nur 0,01 € pro Stunde
Startguthaben!* und Einheit!
■ Stundengenaue, leistungsbezogene ■ NEU: Bis zu 8 vCore und 32 GB RAM
Abrechnung!
■ Per Mausklick bis zu 99 virtuelle
■ Unlimited Traffic, ohne Drosselung. Maschinen zubuchen – ohne Migration!
■ Parallels® Plesk Panel 11 inklusive,
ohne Limitierung der Domainzahl.
AUSFALLSICHER
■ Redundante Speicher- und Recheneinheiten
VOLLER ROOT-ZUGRIFF schützen Ihren Cloud-Server automatisch
■ Komfort und Funktionsumfang eines vor Ausfällen.
Root-Servers, mit dedizierten Ressourcen.
0 26 02 / 96 91
0800 / 100 668 1und1.info
* 1&1 Cloud Server ohne monatliche Basiskosten. Performance Features für 0,01 €/Stunde und Einheit buchbar. Mindestabnahme je 1 Einheit vCore, Arbeitsspeicher, Festplattenspeicher
(=0,03 €/Stunde). Persönliche Preiskalkulation unter hosting.1und1.de/cloud-server-config. Startguthaben wird ausschließlich mit der ersten Monatsrechnung verrechnet. Preise inkl. MwSt.
CF > @ E 9Z_\i
Mfi^\c\j\e
geht auch auf die beiden Klone der Red-
Hat-Distribution, CentOS und Oracle Li-
nux, ein. Grundlage ist die aktuelle Ver-
sion 6.4, deren Neuerungen im E-Book
auch noch kurz aufgeführt sind. Auch ein
paar Hinweise dazu, wie und wo die 450
;`\j\eDfeXk`e[\iC\j\jklY\1[`\e\l\8l]cX^\\`e\j?Xe[YlZ_jqli Euro teure, praktische Prüfung abzulegen
Gfjk^i\JHC$8[d`e`jkiXk`fele[\`e<$9ffbqliGi]le^XcjI\[?Xk:\ik`$ ist, fehlen nicht.
]`\[Jpjk\d8[d`e`jkiXkfi%A\ej$:_i`jkfg_9i\e[\c#Fc`m\i=ifdd\c Im Weiteren geht das E-Book nachein-
ander die auf der Exam-Seite R_kkg1&&
nnn%i\[_Xk%Zfd&kiX`e`e^&Zflij\j&
Dank des eingeschränkten Vertrauens stallation über Konfiguration, Wartung, \o)''T aufgeführten Lernziele durch:
in den von Oracle betreuten Mitbewer- Backup, Monitoring, Rechteverwaltung, Kommandozeilen-Basics, Dateisysteme
ber MySQL hat PostgreSQL nach wie Tuning und Hochverfügbarkeit alle we- (inklusive LVM, ACLs, LUKS), User-
vor Zulauf. Dazu kommt ein recht ho- sentlichen Bereiche der Datenbankadmi- Management und Security einschließlich
hes Entwicklungstempo, dem die beiden nistration anschaulich erklärt. Damit ist SELinux. Dabei gibt es jeweils erst eine
PostgreSQL-Spezialisten Peter Eisentraut der Titel für den Einsteiger wie für den kurze Erklärung zum Thema und dann
und Bernd Helmle jetzt mit einer dritten erfahrenen DBA eine wertvolle Wissens- die entsprechenden Befehle auf der Kom-
Auflage ihres Klassikers „PostgreSQL Ad- quelle. mandozeile.
ministration“ Rechnung tragen. Grundsätzlich ist das Buch für die Prü-
Die Vorgängerauflage reichte bis zur Ver- I\[$?Xk$Q\ik`]`q`\ile^ fungsvorbereitung brauchbar, insbeson-
sion 9.0, aktuell ist 9.2.x. In den beiden dere, wenn man mit der Systemadmi-
Minor-Releases seither ist allerhand pas- Zu den beliebten LPIC-Zertifizierungen nistration von Linux-Rechnern schon
siert, was auch das Buch reflektiert. Als gibt es eine ganze Reihe von Büchern. vertraut ist. Selbst wenn man keine
große Neuerung kam mit der Version 9.1 Anders sieht es mit den Zertifizierungen Prüfung ablegen will, eignet sich das
synchrone Replikation dazu. Ebenfalls aus, die Red Hat für das eigene Enter- Buch als Nachschlagewerk, das kleine
neu sind Unlogged Tables, die sich sehr prise Linux anbietet, das in der Praxis Howto-Anleitungen der Art „Wie lege
schnell füllen lassen, allerdings bei einem von Unternehmen durchaus eine große ich LVM-Volumes an?“ enthält. Manch-
Crash verloren gehen. Außerdem wurden Rolle spielt. Die Standard-Zertifizierung mal wären dabei allerdings eine etwas
Foreign Tables ergänzt, mit deren Hilfe ist hierbei der Red Hat Certified Engineer, ausführlichere Erklärung der Konzepte
man beispielsweise externe CSV-Files der den Grad eines Red Hat Certified wünschenswert.
wie Tabellen in die Datenbank einbin- System Administrator voraussetzt. Zu Erschienen ist das Buch im Selbstverlag,
den kann. Letzterem ist jetzt ein deutschsprachiges was an manchen Stellen sichtbar wird,
Die Version 9.2 brachte dann Index- E-Book erschienen, das den Interessier- wenn etwa noch redaktionelle Kommen-
only-Scans, Replikationen mit mehreren ten auf die Prüfung vorbereiten will. tare des Autors zu finden sind oder es
Slaves (Cascading Replication), neue Das „Kompendium zur EX200-Prüfung kleine Inkonsistenzen bei Schreibweisen
Datentypen für Wertebereiche wie etwa auf Deutsch“ von Markus Frei ist bei gibt. Das ist bei einem Preis von 9,99
Zeiträume, JSON als Datentyp und eine Amazon im Kindle-Format erhältlich. Euro aber zu verschmerzen. Dafür hat
bessere Performance. Als E-Book passt es sich der Bildschirm- man dann per E-Mail direkten Kontakt
Auf die meisten dieser Neuerungen geht größe und den Schrifteinstellungen an, zum Autor, der auf Anfragen prompt re-
die Neuauflage ein, die ansonsten dem der Umfang entspricht jedoch etwa 80 agiert und eine korrigierte Version seines
bewährten Aufbau folgt und von der In- Buchseiten. E-Books zur Verfügung stellt. ■
Gfjk^i\JHC I?:J8
G\k\i<`j\ekiXlk#9\ie[?\cdc\1 DXiblj=i\`1
Gfjk^i\JHC8[d`e`jkiXk`fe I\[?Xk:\ik`]`\[Jpjk\d
*%8l]cX^\ 8[d`e`jkiXkfiI?:J8
FËI\`ccp$M\icX^)'(* B`e[c\<[`k`fe[\lkjZ_
@J9E10./$*$/-/00$*-($, 8J@E19''9FFDG+L
*0*J\`k\e2+,<lif <knX/'J\`k\e20#00<lif
Efk`q\emfe[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\
GiXbk`b\i`d;`Xcf^
;`\a_ic`Z_\Fg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\]_ik\XlZ_`e[`\j\dAX_in`\[\i8[d`ejXljXcc\iN\ckql
\`e\d`ek\i\jjXek\eMfikiX^jgif^iXddeXZ_EieY\i^%A\ej$:_i`jkfg_9i\e[\c
bieten: Der DRBD-Schöpfer Philipp Reis-
ner stellte die Neuerungen der kommen-
den Version DRBD 9.0 vor, deren we-
sentlicher Fortschritt die Erweiterung von
zwei oder drei auf bis zu 32 Knoten ist.
Das eröffnet völlig neue Use Cases, wie
beispielsweise voll redundante Speicher-
netze als Schicht unter einer Ebene mit
plattenlosen Applikationsservern.
Außerdem stellte Martin Loschwitz das
verteilte Dateisystem Ceph anschaulich
vor, während sich Dr. Udo Seidel den
Konkurrenten GlusterFS vornahm. Beide
kann man durchaus als DRBD-Alterna-
tive verstehen. Die Zukunft bleibt hier
8YY`c[le^(19c`Zb`e\`e\eKX^le^jiXldn_i\e[[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\`eEieY\i^#ql[\i also spannend.
Y\i(('8[d`ejXlj^Xeq<lifgXle[8d\i`bXXe^\i\`jknXi\e%
EXZ_[\ebc`Z_\j
„International“ ist ein beliebtes Konfe- der ein interessantes Konzept erläu-
renz-Attribut, selbst wenn es nicht immer terte, sämtliche Aufgaben des System- In gewisser Weise am entgegengesetzten
zutrifft. Die Open Source Data Center managements inklusive Konfiguration, Ende – nämlich nicht bei der Rechenzen-
Conference schmückt sich nicht damit, Deployment und Tests auf der Basis von trumspraxis, sondern beim Nachdenken
obwohl es gerade hier die Entwicklung Softwarepaketen zu erledigen. Eckdaten darüber – setzte ein weiterer, hoch inte-
reflektieren würde, denn der Anteil von für die Konfiguration können in seiner ressanter Vortrag an, gehalten vom stu-
Referenten und Besucher aus aller Welt Umgebung aus einem Namensschema für dierten Philosophen und Open-Source-
(8YY`c[le^() und damit auch die Menge Hosts abgeleitet werden und die Abhän- Verfechter Nicholas Mailer. Unter dem
englischsprachiger Vorträge nehmen ste- gigkeiten der Pakete sorgen dafür, dass Titel Deconstructing the Cloud beschäf-
tig zu. Der Veranstaltung mit ihrem über- umfangreiche Installations- und Konfigu- tigte er sich mit den Mehrdeutigkeiten
wiegend hochkarätigen Programm kam rationsketten abgearbeitet werden. wolkiger Begriffswelten, die einerseits
das auch in diesem Jahr auf jeden Fall Wer sich für Storage interessierte, dem Bequemlichkeit und Performanz ver-
zugute. hatte die OSDC ebenfalls allerhand zu sprechen, andererseits zu innovations-
hemmender Machtkonzentration führen,
8lj[\iGiXo`j Privatisierungstendenzen im Internet
verschleiern, den einzelnen Anwender
So berichtete wieder einmal Kristian einem Monopol ausliefern oder Daten-
Köhntopp aus seiner spannenden Praxis schutzprobleme heraufbeschwören. Ge-
im Rechenzentrum eines großen Hotel- rade in einer Veranstaltung, die leicht
zimmervermittlers mit über 2000 MySQL- in technischen Details ertrinken könnte,
Instanzen, für die ein Upgrade auf das war dieser Vortrag ein Highlight.
aktuelle Release 5.6 ansteht. In dieser Wie in bisher jedem Jahr war die Kon-
Größenordnung ist das natürlich nur mit ferenz vom Veranstalter, der Netways
Automatisierung zu bewältigen, und so GmbH, hervorragend organisiert, Cate-
entstanden eigens dafür modifizierte ring und Unterbringung perfekt. Man
Loadbalancer und Puppet-Skripte. kann sich nur wünschen, dass das auch
In die Kerbe Automatisierung schlugen im kommenden Jahr so gut gelingt, wenn
übrigens etliche Referenten, darunter 8YY`c[le^)1JZ_cfdfJZ_Xg`ifY\`j\`e\i die OSDC statt in Nürnberg erstmals in
etwa Schlomo Schapiro (8YY`c[le^ )), Gij\ekXk`feXl][\iFJ;:)'(*% Berlin ausgerichtet werden wird. ■
E\l\Jf]knXi\le[Gif[lbk\
9
iXeZ_\e$E\nj
E\l\8;D@E$8gg]ij`GX[ C`elo=fle[Xk`fen`ccJ;EjkXe[Xi[`j`\i\e
Ab sofort ist in Apples Store eine kostenlose App verfügbar, die Im OpenDaylight-Projekt der Linux Foundation versammeln
das ADMIN-Magazin aufs iPad bringt. Eine kostenlose Ausgabe sich zahlreiche namhafte Hard- und Softwarehersteller, um
des Hefts liegt der App bei. gemeinsam Standards für Software Defined Networking (SDN)
Das ADMIN-Magazin ist ab sofort nicht nur im digitalen Abo zu entwickeln. Als Platin- und Gold-Member haben sich bereits
verfügbar, sondern auch als App fürs iPad und iPhone. Unter führende Unternehmen wie Big Switch Networks, Brocade,
der Adresse R_kkgj1&&`kle\j%Xggc\% Cisco, Citrix, Ericsson, IBM, Juniper Networks, Microsoft, NEC,
Zfd&Xgg&`[-')'/,')-T lässt sich Red Hat und VMware bei dem Projekt registriert. Ihr gemein-
die kostenlose App aus Apples sames Ziel ist es, eine offene Plattform und darauf aufbauende
Store auf dem Gerät installie- kommerzielle Technologien und Produkte zu entwickeln, die
ren (alternativ im Store nach Software-gestützte Netze ermöglichen. Solche Netze können
„ADMIN-Magazin“ suchen). gerade bei Service-Providern und Cloud-Anbietern die Kosten
In der App lassen sich Einzel- senken und die Effizienz erhöhen, indem sie beispielsweise
hefte kaufen, aber auch kom- Änderungen oder Erweiterungen in einem virtualisierten Netz
plette Abos abschließen. Die ohne Arbeiten an der Verkabelung zulassen.
komplette ADMIN-Ausgabe Das Thema erlebt aus diesem Grund gegenwärtig einen Hype:
01/2013 „Enterprise-Linux“ Einer Prognose von GigaOM Research zufolge soll der globale
kann in der App kostenlos SDN-Markt von 320 Millionen Dollar bis zum Jahr 2018 auf 2,45
heruntergeladen werden. Der- Milliarden Dollar wachsen. Allerdings ist die Lage momentan
zeit ist die Anzeige für Tablets ;Xj8;D@E$DX^Xq`e`jkeleXlZ_Xl] noch unübersichtlich und viele Anbieter setzen auf inkompati-
optimiert, Verbesserungen für [\d`GX[m\i]^YXi%8cj<`eq\c_\]k ble Standards. Was die OpenDaylight-Initiative hier tatsächlich
Smartphones sind in Arbeit. f[\i`d8Yf% auszurichten vermag, bleibt abzuwarten.
FiXZc\C`elo-%+Yi`e^k;KiXZ\le[O=J Fg\eJkXZbÙ>i`qqcpÈm\i]]\ekc`Z_k
Die Firma Oracle hat Version 6.4 der eigenen Linux-Distribution Wie die OpenStack Foundation mitteilt, ist das neueste Open-
freigegeben. Im Wesentlichen handelt es sich dabei – wie bei Stack-Release mit dem Projektnamen „Grizzly“ verfügbar. Es
CentOS – um einen Klon von Red Hat Enterprise Linux 6.4. Zu- handelt sich um das siebte Release des Cloud-Computing-
sätzlich zum Red-Hat-Kernel bietet Oracle aber den „Unbreaka- Frameworks mit insgesamt 230 neuen Features, die unter an-
ble Enterprise Kernel Release 2“ an, einen laut Oracle besonders derem für bessere Skalierbarkeit der damit aufgebauten Clouds
zuverlässigen Linux-Kernel, der auf der Version 3.0.36 basiert. sorgen sollen. Neu ist etwa eine Abstraktion namens „Cell“, die
Neu im aktuellen Release ist außerdem der offizielle Support mehrere Knoten einer Cloud zu einer Einheit zusammenfasst,
des XFS-Dateisystems, der Kunden mit der Premium-Support- die sich somit einfacher verwalten lassen. Auch die „NoDB“-
Option zur Verfügung steht. Ebenso gibt es für registrierte Architektur, die die Verwaltung von einer zentralen Datenbank
Kunden im Unbreakable Linux Network (ULN) einen Download entkoppelt, soll zur besseren Skalierbarkeit beitragen.
des DTrace-Frameworks, das Oracle von Solaris auf Linux por- Die Netzwerkkomponente von OpenStack wurde so erweitert,
tiert hat. Damit lassen sich diverse Subsysteme in Kernel und dass sich nun eine Vielzahl von Software-Defined-Networking-
Userspace zur Laufzeit tracen, etwa zur Performance-Messung, Technologien verwenden lassen, zum Beispiel das freie Open-
ohne dass nennenswerter Overhead entsteht. vswitch, Cisco UCS/Nexus, Linux Bridge, Nicira und OpenFlow.
Als Technology Preview gibt es einige Features, die nur mit Durch die Verteilung von L3/L4-Switching und DHCP-Diensten
dem Unbreakable Kernel zur Verfügung stehen, etwa krypto- auf mehrere Knoten sollen die Netzwerkdienste zuverlässiger
grafische Signaturen für Kernel-Module, Linux-Container (LXC), funktionieren und besser skalieren. Eine API für Load-Balan-
Transcendent Memory (Tmem) und DRBD-Replikation. Andere cing-as-a-Service soll künftig weitere Verbesserungen in dieser
als Technology Preview enthaltene Features stammen wiede- Richtung erleichtern.
rum von der Red-Hat-Distribution und funktionieren nur mit Mehr als 45 Firmen, die der OpenStack Foundation angehören,
dem ausgelieferten Red-Hat-Kernel. Dies sind etwa KVM-Live- haben zum aktuellen OpenStack-Release beigetragen, darunter
Snapshots und Parallel NFS. Red Hat, Rackspace, IBM, HP, Intel, Canonical und VMware.
O\en`i[C`elo$=fle[Xk`fe$Gifa\bk
MobyDick7
Wie die Linux Foundation mitteilt, übernimmt sie künftig von VoIP made in Germany
Citrix die Entwicklung des Xen-Hypervisors als sogenanntes
Collaborative Project. Auf der Linux-Plattform gehörte Xen einst
zu den Pionieren im Bereich Virtualisierung, verlor aber im Lauf
der Jahre gegenüber der Neuentwicklung KVM an Boden. Als
Community-Projekt soll Xen nun wieder mehr Bedeutung erlan-
gen. Entsprechende Unterstützung aus der Computerindustrie
soll die Xen-Entwicklung dadurch bekommen, dass eine ganze
Reihe von Firmen als Gründungsmitglieder dem Xen-Projekt
beitreten. Das sind etwa Amazon Web Services, AMD, Bro- DEG Zentrale 2
mium, Calxeda, CA Technologies, Cisco, Citrix, Google, Intel, HomeOffice Benjamin Ritter
DEG Vertrieb 1
J\Zli`kp$I\gfikmfe@9D
Auch in diesem Jahr hat IBM wieder seinen weltweiten Das Spam-Aufkommen blieb im vergangenen Jahr überwie-
X-Force-Sicherheitsreport veröffentlicht. Den Beobachtern der gend konstant. Unter den Spam-Verbreitern führt Indien mit
IBM-Forscher zufolge führen die Liste der Bedrohungen nach 20 Prozent, gefolgt von den USA mit 8 Prozent. 2012 zählten
wie vor Angriffe auf Webapplikationen an. Darunter mit 53 die Forscher insgesamt 8 168 öffentlich bekannt gewordene
Prozent an erster Stelle Cross-Site-Skripting-Attacken, gefolgt Schwachstellen, das sind 14 Prozent mehr als 2011.
von SQL-Injections. Die meisten Angreifer benutzen dafür vor- Wenig überraschend stehen gerade Mobilgeräte stark im Fokus
gefertigte Toolkits, die in großem Umfang verfügbar sind. Der der Sicherheitsexperten. Dennoch wagt IBM die Prognose, dass
überwiegende Teil der von IBM beobachteten Angriffe richtete Mobilgeräte bis 2014 sicherer sein werden als Desktop-Compu-
sich auf Ziele in den USA (46 Prozent) gefolgt von England ter – trotz des Trends zu BYOD, dem sich die so gut wie alle der
(8 Prozent), Australien und Indien (je 3 Prozent). 2000 von IBM befragten Kunden anschließen wollen.
Q=J]iC`elo\`ejXkqY\i\`k :cfl[JkXZbn`i[8gXZ_\$Gifa\bk
Wie der Projektleiter Brian Behlendorf in seiner Ankündigung Seit Ende März ist CloudStack ein vollwertiges Apache-Projekt.
erklärt, ist ZFS für Linux mit der gerade erschienenen Version Ähnlich wie mit OpenStack lassen sich auch mit CloudStack
0.6.1 reif für den produktiven Einsatz. Neben einer Reihe von eigene Clouds als Infrastructure as a Service (IaaS) realisieren.
Bugfixes gibt es im neuen Release von ZFS-on-Linux auch einige Im praktischen Einsatz wurden mit CloudStack bereits Cloud-
neue Features, etwa die Kompatibilität zum Linux-Kernel 3.9. Installationen mit mehr als 30 000 Nodes aufgebaut. Ursprüng-
Der ZFS-Port arbeitet aber auch mit Kernels der Versionsreihe lich war CloudStack von der Firma Cloud.com programmiert
2.6 zusammen. Im Gegensatz zum ZFS auf Solaris verwendet worden, die 2011 von Citrix gekauft wurde. Im August 2011 hatte
ZFS-on-Linux bisher keine 128 Bit breiten Zeigeradressen, son- Citrix den CloudStack-Code zuerst unter der GPL-Lizenz veröf-
dern beschränkt sich auf 64 Bit. In Zukunft soll sich dies aber fentlicht und später unter der Apache-Lizenz neu lizenziert.
ändern. Chip Childers, der Vizepräsident von Apache CloudStack kom-
Aufgrund der inkompatiblen Lizenzen, unter denen der Linux- mentiert die Aufnahme des Frameworks unter die Apache-
Kernel und der ZFS-Code stehen, gilt eine Aufnahme von ZFS Top-Level-Projektes so: „Als CloudStack ein Inkubator-Projekt
in den Kernel-Quellcodebaum als unmöglich. ZFS als separates wurde, war es schon als Cloud-Management-Plattform mit aus-
Paket oder als Quellcode zu verteilen, ist dagegen ein gangbarer gereiftem Code etabliert. Seitdem hat sich unsere Arbeit darauf
Weg. Eine Zeit lang hatte die Firma KQ Infotech ebenfalls an konzentriert, eine starke Community rund um den Code zu
einem ZFS-Port auf Linux gearbeitet. Mittlerweile ist das Projekt entwickeln und die Steuerungsmechanismen zu etablieren, die
aber eingestellt und die Arbeit in ZFS-on-Linux eingeflossen. von einem Top-Level-Projekt bei Apache erwartet werden.“
<ijk\E8J$Jpjk\d\Xl]9ki]j$9Xj`j
Netgear präsentiert eine komplett neu gestaltete Produktfamilie hochwertige, größere Lüfter sorgen für einen fast lautlosen
mit den Modellen ReadyNAS 100, 300 und 500. Sie bauen auf Betrieb. Neben Gigabit-LAN verfügt jedes Modell auch über
neue Hardware und erstmals auf das zukunftsweisende Linux- einen oder mehrere eSata-Anschlüsse, zwei USB-3.0- sowie
Filesystem Btrfs. einen USB-2.0-Port. Ab der ReadyNAS-300-Serie ist zusätzlich
Die neue NAS-Serie von Netgear hat mit ReadyNAS OS 6 ein ein HDMI-Port für den direkten Anschluss an beispielsweise
völlig neues Betriebssystem erhalten. Es bietet eine neue Ober- Smart-TVs vorhanden.
fläche sowie eine Fülle an integrierten und im Genie-Marktplatz Die 300-Serie richtet sich an kleine Büros, Remote Offices
erhältlichen Applikationen. Die komplette Serie nutzt erstmals sowie virtualisierte Umgebungen mit einer Nutzerzahl von
in diesem Segment Btrfs als Filesystem und bietet als Backup- bis zu 25 Clients. Sie wird als 2-Bay-, 4-Bay- und 6-Bay-
funktion unlimitierte Snapshots, wie man sie bisher nur aus Variante bestückt und unbestückt auf den Markt kommen.
dem Enterprise-Segment kennt. In den Geräten der 300er-Serie arbeitet ein Intel Atom Dual
Die Snapshots lassen sich monats-, wochen-, tage- oder stun- Core Prozessor mit 2,1 GHz. Das größte und leistungsstärkste
denweise ausführen und sind rein inkrementell, nehmen also Modell von Netgears neuer NAS-Serie ist das ReadyNAS 516.
wesentlich weniger Platz ein als eine reine Kopie der Daten. Es wird bestückt sowie unbestückt als 6-Bay-Version auf den
Dazu rundet eine ins System integrierte, Cloud-basierte Repli- Markt kommen. Herzstück ist hierbei ein Intel i3 Dual Core
kation die Backup-Funktionalität ab. Prozessor mit 3,3 GHz und 4 GByte RAM. Die ReadyNAS 516
Hardwareseitig sind die Lösungen mit neuen, effizienten Pro- ist auf maximal 250 Anwender ausgerichtet und somit optimal
zessoren und mehr RAM als bisher ausgestattet. Ein Festplat- für kleine bis mittlere Unternehmen geeignet. Die Preise der
ten-Einbausystem ohne Schrauben erleichtert den Austausch kleinen Modelle beginnen bei 220 Euro, die größten Modelle
von 3,5-Zoll- oder auch 2,5-Zoll-SATA- oder SSD-Festplatten; sind für rund 2100 Euro zu haben.
E\l\JgXiZ$J\im\imfeFiXZc\ G:$8YjXkqj`ebkn\`k\i
Oracle hat eine neue Serie von Servern mit Sparc-CPU vorge- Der weltweite Absatz an Personalcomputern ist im ersten Quar-
stellt. Die neuen Mid-Range- und High-End-Modelle T5 und tal 2013 auf den tiefsten Wert seit Sommer 2009 gesunken. Im
M5 laufen unter Solaris und verwenden die neue Sparc-CPU ersten Quartal 2013 wurden weniger als 80 Millionen Einheiten
T5, die Oracle als den „schnellsten Mikroprozessor der Welt“ abgesetzt (79,2 Millionen), das sind 11,2 Prozent weniger als
bezeichnet, der 17 Weltrekorde halte. Das Modell Sparc T5-8 im gleichen Quartal des Vorjahres. Nach den Zahlen des Markt-
wird von Oracle als der schnellste Rechner für die hauseigene forschers Gartner resultiert die Absatzflaute besonders aus den
Datenbank und das schnellste Einzelsystem für Oracle Middle- sinkenden Verkäufen an Heimanwender. Im Sektor professio-
ware gepriesen. nell genutzter PC war dagegen sogar ein leichter Zuwachs zu
Die Geschwindigkeit des Spitzenmodell M5-32 soll die seines verzeichnen.
Vorgängers um das Zehnfache übertreffen. T5- und M5-32- In der Rangfolge der Hersteller führt HP (14,8 Prozent Marktan-
Modelle enthalten außerdem die Overhead-arme Virtualisie- teil) vor Lenovo (14,7) und Dell (11,0). Diese Zahlen enthalten
rungslösung Oracle VM Server for Sparc und ohne zusätzliche Netbooks, aber keine Tablets. Weil gerade private Anwender al-
Supportkosten das Oracle Enterprise Manager Ops Center 12c. te PCs hauptsächlich durch andere Geräte ersetzen, erlebte der
Im Einstiegsbereich komplettieren Systeme mit der Sparc-T4- US-Markt im sechsten Quartal in Folge sinkende Absatzzahlen
CPU die Modellpalette. in diesem Sektor.
Dasselbe Phänomen betrifft auch Zentraleuropa, ja selbst Ost-
europa und Afrika. Hoffnungen setzten die Hersteller auf ul-
traleichte Notebooks mit Touchscreen, die beispielsweise mit
K\Xdm`\n\i/]iC`elo]\ik`^ Windows 8 ausgestattet sind. Nach den Erkenntnissen von
Wie die Firma Teamviewer mitteilt, ist die neueste Version Gartner sind die Verbraucher aber nach wie vor nicht willens,
8.0.17147 des gleichnamigen Remote-Desktop- und Sharing- zum jetzigen Zeitpunkt mehr Geld für Touchscreen-Geräte zu
Tools für Linux verfügbar. Neu ist unter anderem die Übergabe bezahlen.
eines Remote-Desktops von einem Anwender zum anderen. So
können beispielsweise mehrere Mitarbeiter Support-Sitzungen
per Remote-Desktop voneinander übernehmen. Sitzungen las-
sen sich in Bild und Ton zur Dokumentation aufzeichnen. Die
Tonaufzeichnung funktioniert derzeit allerdings nur mit der JNeEU tzUt
Ka VM -uSfe
Windows-Version. n r
V tualisie rv
e er-
n
uunirnd rung
Neu in Teamviewer ist außerdem die Basic-Authentifizierung teTre rm
Lin uxin
s2ic he4.1 :
2.0 rn3!
für Proxies, über die die Verbindung laufen kann. Webcams
werden für einen Videochat parallel zu den Desktop-Sessions
unterstützt. Statt bisher vier verschiedener RPM-Pakete gibt Linux Schulungen 2013 – Nicht verpassen!
es jetzt nur noch eins für alle RPM-Distributionen (Red Hat, • Linux-Crashkurs für Administratoren: 13.05., 01.07., 14.10.
CentOS, Fedora, Suse). TeamViewer ist jetzt auch auf Multiarch-
• Erweiterungen programmieren für Check_MK: 03.06, 07.10.
Systemen (Debian 7, 64 Bit) lauffähig.
• Fortgeschrittenes Monitoring mit Nagios und Check_MK: 10.06., 09.09.
info@mathias-kettner.de
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' (* (*
www.mathias-kettner.de
dedizierter
1Gbit/s
Port
CF > @ E 8[d`e$Jkfip
NXZ__le[
migriert?
■ Welche Clients sollen auf das neue
Identity-Management-System zugrei-
fen?
Für die Migration der Benutzer und Grup-
;`\Ldjk\ccle^\`e\iq\ekiXc\e9\elkq\i$8lk_\ek`]`q`\ile^mfe\`e\d pen stellt FreeIPA ein eigenes Kommando
zur Verfügung:
i\`e\eC;8G$J\im\iXl][`\@[\ek`kp$DXeX^Xd\ek$Cjle^=i\\@G8`jk\`e$
]XZ_\i#XcjjfdXeZ_\i8[d`e[\ebk%9\XZ_k\kdXe\`e`^\n\e`^\Glebk\# ipa migrate-ds ldap://ldap.tuxgeek.de:389
Simple Bind statt. Hierbei wandert das die Authentifizierung direkt über einen tuxgeek.de:389
Passwort des Benutzers im Klartext zum Kerberos-Server durchzuführen und den Wer einzelne Benutzer oder Gruppen
LDAP-Server, der dann den Benutzer LDAP-Server lediglich für die Account- ausschließen möchte, kann dies auch
mit dem übermittelten Passwort zu au- Informationen des Benutzers abzufragen. auf Basis der Benutzer- und Gruppenna-
thentifizieren versucht. Klappt dies, so Allerdings ist auch ein solches Setup men tun. Hierfür existieren die Optionen
ist der Benutzer auf dem Client-System recht komplex und unhandlich; jeder, »--exclude-users« und »--exclude-groups«.
angemeldet, ansonsten gibt es eine Feh- der bereits einmal die Schmerzen beim Eine weitere interessante Option lautet
lermeldung. Eine sichere Konfiguration Einsatz der Kerberos-Client-Tools gespürt »--user-ignore-objectclass« beziehungs-
erfordert also in jedem Fall auch eine hat, weiß, wovon ich rede. weise »--user-ignore-attribute«, womit
Übertragung des Benutzerpasswortes Das bereits in der Admin-Story 03/2012 einzelne Attribute respektive Objektklas-
über einen gesicherten Kommunikati- R(T erwähnte Open-Source-Projekt Free- sen von der Migration ausgeschlossen
werden. Dies ist besonders dann sinnvoll, thentifizierung Kerberos verwendet. Cache enthält dabei nicht nur Benutzer-,
wenn diese Informationen auf dem Free- Diese schlägt natürlich fehl, da das sondern auch Sudo- und Automounter-
IPA-System nicht mehr benötigt werden. migrierte Benutzerkonto zu diesem Informationen.
Für Gruppen existieren entsprechende Zeitpunkt noch über keinen Kerberos- Mit Hilfe des SSSD ist es ebenfalls mög-
Parameter. Eine Übersicht der Optionen Hash verfügt. Der SSSD-Client führt lich, Host-based-Access-Control-Regeln
liefert »ipa help migrate-ds«. dann selbstständig eine LDAP-Simple- und andere sicherheitsrelevante Einstel-
Als etwas komplexer stellt sich die Migra- Bind-Anmeldung am FreeIPA-System lungen auf einem Client umzusetzen.
tion der Benutzerpasswörter auf das Free- mit dem vom Benutzer zuvor einge- Dazu zählt beispielsweise die Auswer-
IPA-System dar. Auf dem LDAP-Server gebenen Passwort durch. Dies erfolgt tung von SELinux-User-Mappings oder
existieren diese üblicherweise als Hash über einen sicheren TLS-Kanal. Die SSH-Host- und User-Keys. Der Client
im »userPassword«-Attribut, manchmal Konfiguration hierfür erfolgt bei der stellt hierfür im Frontend eine PAM-
liegen die Passwörter auch im Klartext- Konfiguration des SSSD-Clients. Das Schnittstelle (»pam_sss«) und eine NSS-
format vor. FreeIPA verwendet jedoch FreeIPA-System fängt das übermittelte Schnittstelle (»nss_sss«) zur Verfügung
Kerberos zur Authentifizierung der Be- Passwort ab, stellt fest, dass der Be- (siehe 8YY`c[le^(). Im Backend kann er
nutzer. Um einen korrespondierenden nutzer zwar über ein Kerberos-Princi- mit unterschiedlichen Providern kommu-
Kerberos-Hash zu den migrierten Benut- pal, nicht jedoch über einen Kerberos- nizieren, in diesem Fall mit dem FreeIPA-
zerkonten zu erzeugen, gibt es wieder Passwort-Hash verfügt, und erzeugt System. Die Konfiguration des Clients
mehrere Möglichkeiten: diesen. Die Verbindung wird getrennt erfolgt mit »ipa-client-install«.
■ Die Benutzer werden gezwungen, ihre und SSSD führt selbstständig und für Sollen auch ältere Linux-Systeme, für
Passwörter nach der Migration zu än- den Benutzer komplett transparent die der SSSD nicht verfügbar ist, oder
dern. Hierbei wird dann auf Basis des eine Kerberos-basierte Anmeldung andere Unix-Maschinen an das Identity-
geänderten Passwortes ein passender durch (8YY`c[le^(). Management-System angeschlossen
Kerberos-Hash angelegt. Die zuletzt aufgeführte Variante ist die werden, besteht die Möglichkeit, die An-
■ Die Benutzer werden aufgefordert, eleganteste Lösung für die Migration der bindung über die reguläre LDAP- und
eine Migrationswebseite auf dem Free- Benutzerpasswörter auf das Identity-Ma- Kerberos-Schnittstelle zu realisieren. Da-
IPA-System aufzurufen und dort ihr nagement-System. Einzige Voraussetzung bei kommen die klassischen PAM- und
Passwort einzugeben. Im Anschluss dafür ist, dass auf dem Client-System der NSS-Bibliotheken »pam_krb5« und »nss_
wird hieraus dann ebenfalls ein Kerbe- System Security Services Daemon (SSSD) ldap« ins Spiel. In diesem Fall stehen
ros-Hash generiert und im Directory- zum Einsatz kommt. die erweiterten Features des SSSD, wie
Server gespeichert. das Caching der Account-Informationen,
■ Clients, auf denen der System Security :c`\ek$Jf]knXi\ nicht zur Verfügung.
Services Daemon (SSSD) als Client- Ich hoffe, der Artikel hat gezeigt, dass die
Komponente läuft, können auf den Der SSSD R(T stellt die bevorzugte Migration von einer rein LDAP-basierten
FreeIPA-Migrationmodus zurückgrei- Möglichkeit dar, Linux-Systeme an das Benutzer-Authentifizierung hin zu einem
fen, um einen Passwort-Hash für ihren Identity-Management-System anzubin- modernen und leicht zu verwaltenden
Kerberos-Principal zu erzeugen. Der den. Dies gilt nicht nur wegen der sehr Identity-Management-System kein He-
Migrationmode ist auf dem FreeIPA- einfachen Migration der Passwörter. Der xenwerk ist. Wer nähere Information zu
Server wie folgt aktivierbar: SSSD bietet daneben eine Vielzahl von dem besprochenen System sucht, der fin-
Vorteilen. So hält er beispielseise die vom det diese unter R(T. (ofr) ■
ipa config-mod --enable-migration=TRUE
FreeIPA-System erhaltenen Informationen
Auf dem Client-System meldet sich in einem lokalen Cache vor. Eine Anmel-
der Benutzer dann regulär über das dung am System ist damit also auch dann @e]fj
FreeIPA-System an, das für die Au- möglich, wenn der Client offline ist. Der R(T K_fijk\eJZ_\i]#;\iJpjk\dJ\Zli`kp
J\im`Z\j;X\dfe#8;D@E'*&)'()#R_kkg1&&
G8DVJJJ nnn%X[d`e$dX^Xq`e%[\&;
Xj$?\]k&)'()&'*&
EJJVJJJ
KCJ$BXeXc ;\i$Jpjk\d$J\Zli`kp$J\im`Z\j$;X\dfeT
@G8$9XZb\e[
d`kC;8Gle[
R)T =i\\@G81R_kkg1&&nnn%]i\\`gX%fi^&gX^\&
B\iY\ifj DX`eVGX^\T
8en\e[le^il]k JJJ;$:c`\ek
G8DVJJJle[ d`k@G8$9XZb\e[
EJJVJJJXl] `gXd`^iXk\$[j ;\i8lkfi
K_fijk\eJZ_\i]XiY\`k\kXcjGi`eZ`gXc:fejlckXek
]i I\[ ?Xk% <i `jk f]k Xcj
C\^XZp
C;8G$J\im\i MfikiX^\e[\i Xl] Bfe]\i\e$
q\e Xeqlki\]]\e% N\ee `_d
e\Y\e[\i8iY\`kle[=Xd`c`\
8YY`c[le^(1<`e\8en\e[le^m\in\e[\kqli8lk_\ek`]`q`\ile^[\eJJJ;#[\id`k[\e9XZb\e[jY\i\`e\ efZ_Q\`kYc\`Yk#e`ddk\iXe
j`Z_\i\M\iY`e[le^bfddle`q`\ik% DXiXk_fecl]\ek\`c%
J`Z_\i\<$DX`cjd`k@Z\nXigDX`cj\im\i('
nizieren. Das heißt, Anwender müssen
<`jq\`k
sich generell nicht umstellen und können
weiterhin mit Outlook und ihrem aktuel-
len Smartphone arbeiten. Auch andere
Clients lassen sich problemlos anbinden.
Dazu unterstützt Icewarp Mailserver eine
Vielzahl an Protokollen und Diensten.
N\iD`Zifjf]k$J\im\i\`ej\kqk#m\in\e[\k]i<$DX`cd\`jk\ej<oZ_Xe^\%
;fZ_[Xjdljje`Z_kj\`e#[\ee\j^`YkXlZ_8ck\ieXk`m\en`\[\e@Z\$ 8Zk`m\;`i\Zkfipf[\iC;8G
nXig$DX`cj\im\i%K_fdXjAffj
Die Benutzerdaten verwaltet der Icewarp-
Der Icewarp-Server R(T des gleichnami- lassen sich alle bekannten E-Mail-Clients Server in Active Directory, er unterstützt
gen Unternehmens bietet neben einer anbinden. Die E-Mail-Dienste lassen sich aber auch OpenLDAP. Generell erfolgt die
E-Mail-Funktion auch Instant-Messaging, auch mit TLS und SSL verschlüsseln. Verwaltung der Benutzer in Icewarp, der
Groupware-Funktionen, VoIP-Server so- Der Server legt ein Archiv für ein- und Server kann Daten aber aus dem Active
wie eine Webschnittstelle für Adminis- ausgehende E-Mails an, auf das Anwen- Directory einlesen, wenn der Administra-
tratoren und Anwender. Ebenfalls an der selbst zugreifen dürfen. Der Server tor Benutzer anlegt. Flexibler ist hierbei
Bord ist ein Spam- und Virenschutz. An schützt natürlich archivierte E-Mails vor Icewarp, aber einfacher ist die Verwal-
die Anwendung lassen sich Outlook so- unbeabsichtigter Löschung. Die Konfigu- tung mit Exchange: Dort haben Adminis-
wie verschiedene Smartphone-Systeme ration erfolgt in der Verwaltungsoberflä- tratoren nur eine Oberfläche zur Verwal-
anbinden. Der Hersteller wirbt mit über che (8YY`c[le^(), der Zugriff durch die tung der Benutzer und E-Mail-Postfächer,
50 000 installierten Servern, die mehr Clients. Icewarp Mailserver kann auch sowie als einzigen Verzeichnisdienst
als 50 Millionen Anwender mit E-Mail intelligenter mit E-Mail-Anhängen umge- das Active Directory. Benutzerkonten
versorgen. Der Server bietet die meisten hen als viele andere E-Mail-Systeme. aus dem Active Directory sind auf dem
Funktionen, die auch Exchange-Server Mailserver sofort verfügbar und können
kennen. So steht der Icewarp Mailserver 8kkXZ_d\ekjcfbXc E-Mails senden und empfangen sowie am
in direkter Konkurrenz zu Exchange oder
^\jg\`Z_\ik Instant Messaging teilnehmen.
Lotus Notes. Wie Exchange beherrscht Icewarp auch
Icewarp Server ist modular aufgebaut. Verschicken Anwender intern eine E-Mail die Verwendung von Regeln. Diese lassen
Administratoren können einzelne Funk- mit einem Anhang, speichert der Server sich serverseitig festlegen und auch an
tionen getrennt aktivieren und konfigu- die Datei lokal und versendet nur einen Benutzer, E-Mail-Domänen oder ganze
rieren, und auch das Lizenzmodell ist Link. Das heißt, wenn Anwender eine Gruppen binden. Natürlich können
modular. Unternehmen können also nicht E-Mail an mehrere Anwender versenden, Anwender auch selbst Regeln für ihre
benötigte Funktionen ausklammern und ist nur eine Kopie der entsprechenden Da- E-Mails anlegen. Administratoren kön-
Lizenzgebühren sparen. tei notwendig. Ein Zugriff auf die Dateien nen Benutzerregeln überprüfen und bei
Der Icewarp Mailserver bietet vor allem ist auch über Netzwerkfreigaben oder Bedarf auch deaktivieren. Auch Richt-
die Unterstützung für SMTP und POP/ per FTP möglich. Mit dieser Methode linien lassen sich hinterlegen, die al-
IMAP. Das heißt, der Server kann über sparen Unternehmen Speicherplatz, vor lerdings nicht so umfangreich sind wie
herkömmliche Wege E-Mails versenden allem bei vielen und großen Dateianhän- die Activesync- oder Geräterichtlinien
und bereitstellen. Mit diesen Protokollen gen. Bei Exchange zum Beispiel liegt die in Exchange (8YY`c[le^ )). Es lassen
8YY`c[le^)1@Z\nXiglek\ijkkqkXlZ_I`Z_kc`e`\e#_ec`Z_n`\<oZ_Xe^\#XY\i
e`Z_kjfld]Xe^i\`Z_%
8YY`c[le^(1;\i@Z\nXig$J\im\icjjkj`Z_XlZ_Y\i\`e\N\YjZ_e`kkjk\cc\
m\inXck\e%
sich zum Beispiel keine so umfassenden lokal installierte Clients oder die Web- Eine weitere Funktion des Icewarp Mail-
Einstellungen vornehmen und Hardware schnittstelle verwenden. Den Chat-Ver- Servers ist die Anbindung an SMS. An-
oder Funktionen auf Smartphones sper- lauf speichert der Server, sodass dieser wender können über ihren E-Mail-Client
ren. Allerdings können Administratoren auf allen Clients verfügbar ist. Der IM- auf SMS von Mobiltelefonen antworten
vorgeben, wie sicher die Kennwörter der Server kann auch auf andere Systeme und diese über diesen Weg auch emp-
Anwender sein sollen. Auch die erwei- im Internet zugreifen. Hier unterstützt fangen. Um diese Funktion zu nutzen,
terte Konfiguration für das Versenden Icewarp zum Beispiel ICQ, Google Talk, müssen Unternehmen zusätzlich noch
von E-Mails oder das Relaying sind in Yahoo oder den Facebook-Chat. Welche ein GSM-Modem einsetzen.
Exchange umfangreicher und vor allem Netzwerke sich anbinden lassen, können VoIP-Anrufe können Anwender auch pro-
stabiler. Administratoren in der Verwaltung des blemlos in der Webschnittstelle tätigen.
Da Icewarp viele Funktionen und Stan- Servers festlegen. Die IM-Funktion baut Dazu nutzt der Client Java. Das heißt,
dards unterstützt, sind auch viele Sys- auf XMPP (Jabber) auf. Unternehmen, Anwender müssen Java auf dem Client
temdienste im Einsatz, die sich getrennt die Exchange statt Icewarp verwenden, installiert haben und eine Kommunika-
überwachen und auch deaktivieren las- brauchen im Gegensatz dazu zusätzlich tion mit dem Server erlauben. Für Voice
sen. Die Anzeige erfolgt in der Verwal- den Lync-Server. over IP lassen sich auch kostenlose SIP-
tungskonsole oder der Webschnittstelle.
Administratoren können einzelne Dienste
deaktivieren, Einstellungen ändern und
auch die Protokollierung anpassen. Auf
diesem Weg lässt sich auch die Sicher-
heit erhöhen, indem man nicht genutzte
Systemdienste deaktiviert. Im Test blieb
bei regem Betrieb gelegentlich der SMTP-
Dienst hängen und funktionierte erst
nach einem Neustart wieder. Manche Ad-
ministratoren starten deshalb den Dienst
in regelmäßigen Abständen neu.
@ejkXekD\jjX^`e^#JDJle[
Mf@G
Über die Mail-Funktionen hinaus bietet
Icewarp auch Instant Messaging und
Voice over IP (VoIP). Für die Chat-Funk-
tion können die Anwender entweder 8YY`c[le^*1@Z\nXig\icXlYk[`\M\inXckle^[\iJpjk\d[`\ejk\`e[\iBfejfc\%
JgXd$le[M`i\ejZ_lkq
Zum Lieferumfang des Icewarp-Servers
gehört auch ein Antispam-Modul, sowie
ein Virenschutz auf Basis von Kaspersky.
Zwar bietet auch Exchange einen inte-
grierten Spamschutz, dieser findet in
8YY`c[le^,1;\i@Z\nXig$J\im\iY`\k\k\`e\\`^\e\N\YjZ_e`kkjk\cc\#_ec`Z_n`\FlkcffbN\Y8gg% Unternehmen aber wenig Anklang und
E-Mail-Server aus dem Inter- den Zugriff auf E-Mails und Co. Auch
net häufig vergeblich versu- die zahlreichen Protokolle und Funk-
chen, eine Verbindung aufzu- tionen sowie der modulare Aufbau sind
bauen. Das Gleiche gilt für Be- nützlich. Der integrierte IM-Server sowie
nutzeranfragen. Icewarp kann die weiteren Funktionen wie Spam- und
dann die IP-Adressen solcher Virenschutz sind teilweise besser als in
mutmaßlichen Angreifer sper- Exchange, aber nicht kostenlos zu haben.
ren. Die Einstellungen dazu Für eine Migration liefert Icewarp eigene
sind bereits gesetzt, aber Ad- Tools mit.
ministratoren können jeder- Für kleinere Umgebungen ist der Server
zeit Anpassungen vornehmen. durchaus eine Alternative. Im Enterprise-
Nach der Einrichtung ist der Umfeld kann die Anbindung von Zusatz-
Schutz noch nicht aktiviert. tools an Outlook oder die Verwendung
Das heißt, Administratoren mehrerer Server etwas Probleme berei-
müssen zunächst Hand anle- ten, zum Beispiel wenn der SMTP-Dienst
8YY`c[le^-1@Z\nXig$J\im\iY`\k\k\`e\eM`i\ejZ_lkqmfe gen, um den Server optimal überlastet ist. Wegen der vergleichsweise
BXjg\ijbpXe% zu schützen. geringen Verbreitung ist Hilfe bei Pro-
blemen im Internet nur schwer zu finden
ist selten alleine im Einsatz. Im Gegen- @Z\nXigk\jk\ele[bXl]\e und Administratoren sind bei Problemen
satz zu Exchange ist bei Icewarp auch auf den Support angewiesen. Wenn die-
ein Virenschutz auf Basis der Kaspersky- Der Hersteller bietet auf Anfrage Test- ser erst nach 48 Stunden reagiert, besteht
Engine dabei (8YY`c[le^ -). Microsoft versionen und -Installationen an. Wer die Gefahr, dass Anwender zwei Tage
bietet erst mit Exchange Server 2013 ei- keinen kompletten Server installieren nicht mit dem Mail-System arbeiten kön-
nen integrierten Virenschutz an. will, kann Icewarp auch in der Cloud nen. Das heißt, vor dem Einsatz sollten
Allerdings ist der Virenschutz nicht kos- testen. Beim gehosteten Modell müssen Unternehmen zunächst genau testen und
tenlos, sondern muss lizenziert werden. sich Administratoren nicht um den Server nur genau die Funktionen nutzen, die
Unternehmen, die bereits eigene Antivi- kümmern, können aber über die Web- auch notwendig sind.
ren-Gateways einsetzen, können so zum schnittstelle den Server verwalten. Der In jedem Fall ist es eine Überlegung wert,
Beispiel den Server kaufen, aber auf den Preis des Icewarp-Servers liegt beim Ein- bei der Anschaffung eines neuen E-Mail-
Virenschutz verzichten. So kostet zum satz von 100 Benutzern mit aktiviertem Servers den Icewarp Mailserver in die Al-
Beispiel eine Lizenz für 100 Benutzer Viren- und Spamschutz bei etwa 3000 ternativen mit einzubeziehen. Allerdings
ohne Virenschutz etwa 2400 Euro, mit Euro. Unternehmen, die nur 15 Benut- ist es aus Sicht des Autors kaum emp-
Spam- und Virenschutz aber 3100 Euro. zer anbinden und auf den integrierten fehlenswert, eine bestehende Exchange-
Die Verwaltung dieser Funktionen erfolgt Spam- und Virenschutz verzichten, müs- oder Lotus-Infrastruktur zu migrieren,
direkt in der Verwaltungskonsole, es sind sen etwa 500 Euro ausgeben. wenn die Umgebung funktioniert. Einige
keine eigenen Werkzeuge notwendig. Unternehmen, die sich für die Cloud- Unternehmen nutzen Icewarp Mailserver
Das Antispam-Modul arbeitet mit ver- Variante entscheiden, müssen bei der Li- nicht als Haupt-E-Mail-Server, sondern
schiedenen Technologien, zum Beispiel zenzierung von 100 Anwendern mit Kos- als Gateway zwischen Exchange und
der Open-Source-Software Spamassassin. ten von insgesamt 400 Euro pro Monat dem Internet. So profitieren sie von den
Klassifiziert der Server eine E-Mail als rechnen. Der Support bietet eine garan- Sicherheitsfunktionen und nutzen weiter-
Spam, legt er sie in den Spam-Ordner des tierte Reaktionszeit von 48 Stunden. Auf hin ihr bestehendes E-Mail-System. (ofr)
Benutzerpostfachs ab. Dieses ist über alle Wunsch lassen sich gegen Aufpreis auch ■
Clients zugreifbar. Seine Definitionsda- schnellere Reaktionszeiten vereinbaren.
teien aktualisiert der Server automatisch Der Hersteller stellt auch ein eigenes Fo-
im Hintergrund. rum zur Verfügung. Wer Informationen @e]fj
Integriert ist auch eine Intrusion-Pre- zum Icewarp-Server sucht, wird im Inter- R(T @Z\nXig1
vention-Lösung. Sie erkennt, wenn net aber nicht allzu oft fündig. R_kkg1&&nnn%`Z\nXig%ZfdT
R)T 9i`X1
=Xq`k R_kkg1&&nnn%Zflek\igXk_%Zfd&Yi`X%_kdcT
8YY`c[le^.1
@Z\nXig$J\im\i Der Icewarp Mailserver ist auf jeden Fall ;\i8lkfi
Y`\k\k\`e\e ein ernst zu nehmender Konkurrent für K_fdXjAffj`jk]i\`Y\il]c`Z_\i@K$:fejlckXekle[
`ek\^i`\ik\e Exchange und andere E-Mail-Systeme. j\`kY\i)'AX_i\e`e[\i@Kkk`^%E\Y\ej\`e\e
JgXdjZ_lkq# Was gefällt, ist die Datenspeicherung in Gifa\bk\e jZ_i\`Yk \i giXo`jeX_\ =XZ_YZ_\i
[\i[\dJZ_lkq echte Datenbank-Server, der platzspa- le[ =XZ_Xik`b\c ile[ ld N`e[fnj le[ Xe[\i\
mfe<oZ_Xe^\ rende Umgang mit Dateianhängen und D`Zifjf]k$K_\d\e% Fec`e\ ki`]]k dXe `_e lek\i
Y\ic\^\e`jk% die Unterstützung gängiger Formate für R_kkg1&&k_fdXjaffj%jgXZ\j%c`m\%ZfdT%
JgXd[liZ_>i\p$le[N_`k\c`jk`e^d`kGfjk^i\pY\bdg]\e
Spammer fluten Mailserver in jeder Die angesprochene Wunderwaffe ist das Bcl^\NX_c
Sekunde mit Unmengen unerwünschter Greylisting. Aber wie funktioniert es? Der
Post. Ham, der erwünschte Anteil, macht empfangende SMTP-Server beantwortet Es gibt eine ganze Reihe von Greylisting-
dagegen nach konservativen Schätzun- einfach alle Mails von erstmals auftau- Implementierungen und normalerweise
gen nur noch fünf bis zehn Prozent des chenden Absendern mit einem temporä- sind sie einfach anzuwenden. Jon Atkins
Mailaufkommens im Internet aus. Für die ren SMTP-Fehlercode. Die Fehlermeldung stellt zum Beispiel eine clevere Qmail-
Spammer rechnet sich ihr Geschäft, das könnte so etwas bedeuten wie: „Tut mit Version bereit R(T. Dieser Beitrag konzent-
sie noch immer mit den Empfängern ma- wirklich leid, aber im Moment ist kein riert sich aber auf Postgrey R)T, dass sich
chen, die auf Links in den Mails klicken Plattenplatz mehr frei, versuche es doch nahtlos in Ubuntus Default-Mailserver
und damit gefälschte Arzneimittel und ein bisschen später noch einmal.“ Oder: Postfix integriert und voll kompatibel mit
Ähnliches kaufen. „Ich habe gerade ein internes Konfigurati- Debian ist.
onsproblem und kann die E-Mail deshalb Wie funktioniert es im Einzelnen? So-
J`cm\i9lcc\k nicht sofort zustellen. Versuch es doch in bald ein entfernter Delivery Agent eine
einem Augenblick wieder.“ neue Verbindung zum Mailserver auf-
Wenn man sich schon jahrelang mit dem Beim Greylisting geht man nun davon baut, schlägt die Greylisting-Software
Problem beschäftigt hat, ist es womöglich aus, dass es Spammer darauf anlegen, so in einer Datenbank (das kann auch ein
schwer zu glauben, aber man kann sofort viele E-Mails wie möglich so schnell wie Verzeichnis mit Symlinks sein) nach, ob
95 Prozent allen Spams loswerden (8Y$ möglich zu versenden. Meistens benut- und wann sich dieser Agent schon einmal
Y`c[le^(). Die Aussage stößt oft auf Un- zen sie kompromittierte Mailserver, deren mit dem Mailserver verbunden hat. Au-
glauben. Doch der Autor dieses Beitrags Sicherheitslücken schon bald geschlossen ßerdem überprüft sie, ob der Admin diese
geht noch weiter: Mit einer Wunderwaffe werden könnten. Außerdem könnte die Adresse oder die zugehörige Domain in
und einer Handvoll zusätzlicher Zeilen in benutzte IP-Adresse auf einer Sperrliste einer Whitelist führt.
der Mailserver-Konfiguration lässt sich landen. Deshalb sind Spammer gezwun- Bestand in letzter Zeit keine Verbindung
der Anteil auf 97 oder mehr steigern. gen, so viele Mails in so kurzer Zeit wie zu dem fraglichen Agent, landet dessen
IP-Adresse zusammen mit einem Zeit- anzuhängen (C`jk`e^(). Die Settings kön- Das zweite File, das häufiger gebraucht
stempel in der Datenbank. Erfolgt kein nen sich natürlich etwas unterscheiden, wird, ist »/etc/postgrey/whitelist_cli-
zweiter Verbindungsversuch in einem wichtig ist die letzte Zeile. Sie besagt, ents«. Es regelt das Whitelisting für alle
bestimmten Intervall (zum Beispiel fünf dass Postfix mit einer Software, die auf eingehenden Mails. Man kann damit in-
Minuten), gilt der Absender als Spammer Port 60 000 hört, eine Überprüfung star- dividuelle Adressen und Domains oder
und wird ausgesperrt. Die Idee dabei ist: ten soll, bevor es die SMTP-Transaktion IP-Adressen oder durch reguläre Aus-
Legitime Mailversender kommen wieder, abschließt. Die Portnummer ist im Be- drücke beschriebene Sender filtern. Man
anders als Spammer, die verzweifelt ver- darfsfall änderbar, aber weil es sich um kann damit sogar Präfixe von Absender-
suchen, riesige Mengen Mail um jeden »localhost« handelt, muss man auf keine adressen auf die Whitelist setzen wie
Preis abzusetzen. Firewall Rücksicht nehmen. »chrisbinnie@« – wenn der Absender
KXY\cc\( zeigt QMails Retry-Time-Inter- Danach wird Postfix neu gestartet. In mehrere Mail-Adressen mit demselben
valle in Bezug auf einen seriösen Ab- diesem Fall wäre auch ein einfacher Re- Präfix, aber unterschiedlichen Domain-
sender. Man sieht, dass es wichtig ist, in load genug, aber der Restart stellt sicher, Endungen hat. Das File könnte im Ergeb-
Abhängigkeit vom benutzten Mailserver das Postfix seine gesamte »main.cf« neu nis so aussehen:
die Zeitintervalle anzupassen, in denen einliest.
Domain names:
ein erneuter Verbindungsversuch erwar- debian.org
# /etc/init.d/postfix restart
tet wird. Sonst könnten sich lange Warte- gmail,org
zeiten bei der Zustellung ergeben. Postgrey kann nun während des E-Mail- Regular Expressions 5
am Ende ein Kommando an die Liste sollen wie »postermaster« oder »abuse«. --greylist-text"
C`jk`e^(1@ek\^iXk`femfeGfjk^i\p`eGfjk]`o
01 smtpd_recipient_restrictions =
02 reject_non_fqdn_sender,
03 reject_non_fqdn_recipient,
04 reject_rbl_client bl.spamcop.net,
05 reject_rbl_client dnsbl.sorbs.net,
06 check_policy_service inet:127.0.0.1:60000
8YY`c[le^(1Jfj`ebk[XjJgXdXl]bfdd\e#eXZ_[\d>i\pc`jk`e^Xbk`m`\iknli[\%
KXY\cc\(1HDX`c;\c`m\ipI\kip<m\ekj
<`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ
m\ijlZ_ m\ijlZ_ m\ijlZ_
( ' '$''1''1'' (* ,.-'' '$(-1''1'' ), )*'+'' )$(-1''1''
) +'' '$''1'-1+' (+ -.-'' '$(/1+-1+' )- ),'''' )$)(1)-1+'
* (-'' '$''1)-1+' (, ./+'' '$)(1+-1+' ). ).'+'' *$'*1'-1+'
+ *-'' '$'(1''1'' (- 0'''' ($'(1''1'' )/ )0(-'' *$'01''1''
)0 *(*-'' *$(,1'-1+'
, -+'' '$'(1+-1+' (. (')+'' ($'+1)-1+'
*' **-+'' *$)(1)-1+'
- ('''' '$')1+-1+' (/ ((,-'' ($'/1'-1+'
*( *-'''' +$'+1''1''
. (++'' '$'+1''1'' (0 ()0-'' ($()1''1''
*) */++'' +$('1+-1+'
/ (0-'' '$',1)-1+' )' (+++'' ($(-1'-1+' ** +'0-'' +$(.1+-1+'
0 ),-'' '$'.1'-1+' )( (-'''' ($)'1)-1+' *+ +*,-'' ,$'(1''1''
(' *)+'' '$'01''1'' )) (.-+'' )$'(1''1'' *, +-)+'' ,$'/1)-1+'
(( +'''' '$((1'-1+' )* (0*-'' )$',1+-1+' *- +0'''' ,$(-1'-1+'
() +/+'' '$(*1)-1+' )+ )((-'' )$('1+-1+' *. ,(/+'' -$''1''1''
stellt unter anderem den benutzten Port Ein letzter Parameter, den man einstellen funktionieren in den meisten Fällen zu-
ein. Bei dem darauffolgenden Parameter sollte, ist: verlässig und in Echtzeit. Die beiden »re-
sollte man einige Einstellungen auspro- ject_rbl_client«-Einträge in der »main.cf«
POSTGREY_TEXT="Sorry, your mail server 5
bieren, um passende Werte zu finden. has been greylistetd for five 5
von Postfix erlauben es, im SMTP-Dialog
Der Delay-Schwellwert bezeichnet die minutes. Please come back later." die danach angegebenen Server in Echt-
Zeit, die ein wiederkehrender Mailserver zeit abzufragen.
verstreichen lassen muss, um sich erneut Das ist die Message, die dem entfernten
verbinden zu dürfen. In diesem Fall wird Delivery Agent übermittelt wird, wäh- D\_i?Xd#n\e`^\iJgXd
jeder entfernte Delivery Agent, der sich rend die Annahme der Mail verzögert
vor Ablauf von 199 Sekunden erneut zu wird. Nachdem die Konfiguration ange- Mit den in diesem Beitrag vorgestellten
konnektieren versucht, angewiesen, es passt ist, muss der Daemon neu gestartet Mitteln sollte sich das Spamaufkommen
später wieder zu versuchen. Wenn er werden, damit die Änderungen wirksam auf jeden Fall deutlich reduzieren las-
es in der Vergangenheit bereits zu oft werden. sen. E-Mail ist immer noch ein wichtiges
versucht hat, wird er ganz ausgesperrt. Kommunikationsmittel und es ist eine
# /etc/init.d/postgrey restart
Der Default sind fünf Minuten, aber man große Erleichterung, es ohne Einschrän-
kann die Wartezeit für Ersteinlieferer pro- Um zu überprüfen, ob Postgrey läuft, kungen benutzen zu können. Der attrak-
blemlos auf 199 Sekunden kürzen. kann man »lsof« verwenden, das anzeigt, tivste Aspekt des Greylistings ist dabei
Der Eintrag »--auto-whitelist-clients« ist ob jemand an Port 60 000 lauscht (C`$ jedoch seine zu vernachlässigende False-
etwas komplizierter, man kann ihn aber jk`e^)). Bei Bedarf installiert man »lsof« Positive-Rate.
auch gänzlich weglassen. Wird er wirk- mit »apt-get install lsof«. Das wars. Zeigt Hin und wieder mag sich ein Mailserver,
sam, landet ein entfernter Agent, der »lsof« einen Eintrag für den TCP-Port der abgewiesen und gebeten wird, es
eine Reihe von Mails erfolgreich einge- 60 000, ist alles in Ordnung. später wieder zu versuchen, für ein paar
liefert hat, nach einer bestimmten War- Stunden statt Minuten zurückziehen.
tezeit automatisch auf einer Whitelist. I9Cj Aber davon abgesehen, ist Greylisting
Das kann ungünstigenfalls den gesamten ein zuverlässiges und ressourcenscho-
Spamschutz untergraben; man muss den Wenn man den Anteil geblockten Spams nendes Verfahren, Spam einzudämmen.
Parameter also mit Bedacht verwenden. von 95 noch auf 98 Prozent erhöhen will, Wer es einmal eingesetzt hat, der kann
Die Art des Spam und auch der Anteil empfiehlt sich ein Blick auf die Real- sich schon nach kurzer Zeit nicht mehr
interner Mails entscheiden darüber, ob Time Blackhole Lists (RBLs) in Postfix. vorstellen, wie er ohne es auskommen
man diesen Parameter einsetzen kann RBLs sind von Dritten gepflegte Listen, konnte. (jcb) ■
oder besser nicht. die Einzelpersonen oder Unternehmen
der Allgemeinheit zur Verfügung stellen,
C`jk`e^)1C`jkFg\e=`c\j und die Absender unerwünschter Mail @e]fj
01 # lsof -i :60000 enthalten. Der Mailserver konsultiert R(T HDX`c>i\pc`jk`e^1R_kkg1&&nnn%afeXkb`ej%
02 #
diese Listen am Beginn seines Dialogs, Zfd&gX^\&jf]knXi\&^i\pc`jkT
03 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE
um die Last niedrig zu halten, und kappt R)T Gfjk^i\p1R_kkg1&&gfjk^i\`%jZ_n\`b\ik%Z_T
NAME
die Verbindung, wenn er anhand der R*T Gfjk]`o1R_kkg1&&nnn%gfjk]`o%fi^T
04 postgrey 1081 postgrey 5u IPv4 4663 0t0 TCP
Liste feststellt, dass die Gegenseite als R+THDX`cI\kipJZ_\[lc\1R_kkg1&&nnn%
Riley:60000 (LISTEN)
Spamversender gemeldet wurde. RBLs c`]\n`k_hdX`c%fi^&cnh%_kdcT
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung
vorbehalten. Unsere Versandkosten richten sich nach Gewicht und Versandart - mehr unter: www.thomas-krenn.com/versandkosten.Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung
N < 9 $J <: L I @ K P 8gXZ_\$JJC
D`cfj
_BfaX
JJC$M\iY`e[le^\elek\i8gXZ_\)\`ei`Z_k\e
[`e
fm`Z_#(
J`Z_\i
)*I=
j\im`\ik
LdcXl\ie[\e;Xk\e[`\Y\e^\_i`^[\eKX^qlm\id`\j\e#
Y\ek`^\e8gXZ_\$8[d`e`jkiXkfi\ec\[`^c`Z_[i\`qljkqc`Z_\
;`i\bk`m\ele[\`e\?Xe[mfccBfddXe[fq\`c\eY\]\_c\%;Xj
i\`Z_kY\i\`kjXlj#ld[`\Bfddle`bXk`fed`k[\e9ifnj\ie
g\iJJCqlm\ijZ_cjj\ce%K`dJZ_idXee
Noch immer wandern täglich erschre- OpenSSL-Paket zurück R*T. Die darin Apache-Binärpakets finden es im »bin«-
ckend viele sensible Daten im Klartext enthaltenen Bibliotheken implementie- Verzeichnis ihrer Apache-Installation.
durch das Internet. Fängt ein Angreifer ren das SSL-Protokoll und führen somit Zertifikate basieren auf asymmetrischen
etwa die Anmeldeinformationen für ein die eigentliche Verschlüsselung durch. Kryptografieverfahren (Public Key Krypto-
Blog ab, kann er nicht nur den entspre- OpenSSL liegt den meisten Linux-Distri- grafie), bei dem jede Partei zwei Schlüs-
chenden Benutzer ausspionieren, son- butionen von Haus aus bei. Windows- sel besitzt. Um ein Zertifikat zu erstel-
dern auch in das Blog und somit oft in Nutzer sollten direkt zum Apache-Binär- len, muss man zunächst für den Server
den Webserver einbrechen. Als Admi- paket mit integriertem OpenSSL greifen. einen sogenannten privaten Schlüssel
nistrator sollte man daher tunlichst alle Die entsprechende Datei trägt die Be- generieren:
sensiblen Bereiche einer Website absi- zeichnung »-openssl« und findet sich auf
openssl genrsa -aes256 -out 5
chern. Das Mittel der Wahl heißt dabei der Download-Seite der Apache Foun- privaterschluessel.pem 2048
Transport Layer Security, kurz TLS. Mit dation R+T unter »Other files« im Ver-
diesem Verfahren errichten Browser und zeichnis »binaries« und dann »win32«. In Der Schlüssel ist in diesem Fall 2048 Bit
Webserver selbstständig eine verschlüs- CentOS 6.4 ist das Modul »mod_ssl« kein lang. Zur Sicherheit chiffriert ihn der
selte Verbindung, über die sie dann ihre Bestandteil des Apache2-Pakets, man Befehl noch mit dem AES256-Verfahren,
Kommunikation abwickeln. Die Vorgän- muss es daher explizit über das Paket weshalb man sich eine Passphrase (also
gerversionen von TLS waren unter dem »mod_ssl« nachladen. ein längeres Passwort) ausdenken und
Namen Secure Sockets Layer, kurz SSL, eingeben muss. Mit dem privaten Schlüs-
bekannt, weshalb man noch heute häufig >\j`Z_kjbfekifcc\ sel in der Hand und der Passphrase im
allgemein von SSL-Verbindungen spricht. Kopf lässt sich anschließend ein Zertifikat
Wie der Aufbau einer solchen verschlüs- Damit der Browser erfährt, mit wem erzeugen:
selten Verbindung abläuft, verrät der BX$ er eine verschlüsselte Verbindung ein-
openssl req -new -x509 -days 365 -key 5
jk\eÙ8Y_ij`Z_\iÈ. geht, schickt der Webserver ihm ein privaterschluessel.pem -out zertifikat.pem
Im Apache-Webserver kümmert sich das Zertifikat. Ein solches erstellen Admi-
Modul »mod_ssl« um die Verschlüsselung nistratoren schnell mit dem Komman- Unter Windows muss man dabei expli-
per SSL und TLS. Es liegt seit Version 2 dozeilenprogramm »openssl« aus dem zit auf die OpenSSL-Konfigurationsdatei
dem Webserver bei und greift auf das OpenSSL-Paket. Windows-Nutzer des verweisen:
8Y_ij`Z_\i
KCJY\q`\_le^jn\`j\JJCj`e[bipgkf^iX]`jZ_\ kkjgi]le^% <`e jfcZ_\j 8c^fi`k_d\e$>\jgXee
E\kqn\ibgifkfbfcc\ ^\eXl ^\efdd\e jf^Xi ?KKG ?KKG Y\q\`Z_e\kdXeXcj:`g_\iJl`k\%
JXddcle^\e Xlj d\_i\i\e Gifkfbfcc\e % ;`\ @ej\`e\i8eknfikJ\im\i$?\ccf k\`ck[\iJ\im\i
JJC&KCJ JJC&KCJ
mfe \`e\d 9ifnj\i ^\c`\]\ik\e ;Xk\e m\i$ [\d:c`\ekd`k#]in\cZ_\8c^fi`k_d\e\ij`Z_
jZ_cjj\ckKCJle[jZ_`Zbkj`\[Xeem`XK:Gqld K:G K:G \ekjZ_`\[\e_Xkle[c\^k^c\`Z_efZ_\`eQ\ik`]`$
N\Yj\im\ij`\_\8YY`c[le^) %JJCbXeejfd`k bXk`dO%,'0$=fidXkY\`R)T%N`\Y\`\`e\i8lj$
@G @G
e`Z_keli?KKG$M\ib\_i#jfe[\iegi`eq`g`\ccXlZ_ n\`jbfekifcc\bXee[\i:c`\ek[Xd`k]\jkjk\cc\e#
[`\ ;Xk\e mfe Xe[\i\e 8en\e[le^jgifkfbfc$ <k_\ie\k <k_\ie\k fY[\iN\Yj\im\ikXkjZ_c`Z_[\ia\e`^\`jk#d`k
c\e n`\ \knX =KG Z_`]]i`\i\e% E\Y\e [\i M\i$ [\d\ibfddle`q`\i\edZ_k\%
jZ_cjj\cle^ mfe ;Xk\e \id^c`Z_k KCJ XlZ_ 8YY`c[le^)1JJCY`c[\k\`^\ekc`Z_\`e\\`^\e\ 8YjZ_c`\\e[ _Xe[\ce :c`\ek le[ J\im\i \`e\e
8lk_\ek`]`q`\ile^ le[ @ek\^i`kkjbfekifcc\% <`e Qn`jZ_\ejZ_`Z_k`dGifkfbfccjkXg\c#`e[\iGiXo`j ^\d\`ejXd\eJ`kqle^jjZ_cjj\cXlj%D`k[`\j\d
9ifnj\i bXee jfd`k j`Z_\i j\`e# [Xjj \i Y\i q_ckdXe\ja\[fZ_`e[\iI\^\cqliKiXejgfik$ jf^\eXeek\e J\jj`fe B\p m\ijZ_cjj\ce Y\`[\
\`e\ JJC$M\iY`e[le^ d`k [\d i`Z_k`^\e J\im\i Y\q`\_le^jn\`j\K:G$JZ_`Z_k% GXik\`\e[Xee`_i\n\`k\i\Bfddle`bXk`fe%;\i
jgi`Z_k# [`\ m\ijZ_`Zbk\e @e]fidXk`fe\e e`\$ J\jj`feB\p^`ckXljjZ_c`\c`Z_]i[`\Xbkl\cc\
dXe[ d`kc\j\e bXee le[ [`\j\ ;Xk\e lem\i$ D`k[\dGi]`o¾_kkgj1&&½`e[\iLICq\`^k[\i J`kqle^# nXj \`e BXg\ie [liZ_ 8e^i\`]\i \i$
e[\ik Y\`d >\^\eY\i Xebfdd\e% ;`\ [XY\` 9\elkq\i\`e\j9ifnj\ijXe#[Xjj\i\`e\m\i$ jZ_n\i\ejfcc%
a\n\`cj qld <`ejXkq bfdd\e[\e 8c^fi`k_d\e jZ_cjj\ck\M\iY`e[le^elkq\edZ_k\%;\eele ;`\\ijk\M\ij`fe[\jJ\Zli\JfZb\kjCXp\i^\_k
[i]\e [`\ Y\`[\e GXik\`\e `e >i\eq\e j\cYjk ]fc^\e[\e8l]YXl\`e\iJJC$M\iY`e[le^Y\q\`Z_$ Yi`^\ej Xl] [`\ =`idX E\kjZXg\ qliZb# [`\
n_c\e% ;`\ M\ijZ_cjj\cle^ [\i ;Xk\e Y\i$ e\k dXe Xcj JJC$?Xe[j_Xb\% ;XY\` jZ_`Zbk [\i (00,[XjM\i]X_i\e\ijkdXcj`e`_i\d9ifnj\i
e`ddk`ea\[\d=Xcc\`ejpdd\ki`jZ_\jM\i]X_$ :c`\ekqleZ_jk\`e\8e]iX^\Xe[\eJ\im\i[Xj EXm`^Xkfi \`ej\kqk\% EXZ_ [\i [i`kk\e M\ij`fe
i\e#Y\`[\d\`e^\d\`ejXd\iJZ_cjj\cjfnf_c jf^\eXeek\:c`\ek$?\ccf %;`\j\8e]iX^\\ek_ck Y\ieX_d [`\ @ek\ie\k <e^`e\\i`e^ KXjb =fiZ\
qldM\i$XcjXlZ_<ekjZ_cjj\ce[`\ek%;\e^\$ lek\i Xe[\i\d [`\ ^\nejZ_k\ JJC$M\ij`fe @<K= [`\N\`k\i\ekn`Zbcle^%J`\\i_fY[XjM\i$
_\`d\e 8ljkXljZ_ [`\j\j JZ_cjj\cj jk\cck \`e jfn`\ [`\ Y\mfiql^k\e 8c^fi`k_d\e ]i [\e ]X_i\eql\`e\dJkXe[Xi[le[kXl]k\\j[XY\`
JZ_cjj\cXljkXljZ_m\i]X_i\e j`Z_\i n`\ \knX JZ_cjj\cXljkXljZ_# [`\ \`^\ekc`Z_\ M\ijZ_cj$ XlZ_ ^c\`Z_ efZ_ `e KiXejgfik CXp\i J\Zli`kp
;`]]`\$?\ccdXeR(T % j\cle^# [`\ 8lk_\ek`]`q`\ile^ le[ [`\ @ek\^i`$ KCJ ld%
openssl req -new -key privaterschluessel.5 gurationsdateien irgendwo die folgende Anfragen via HTTPS trudeln normaler-
pem -out anfrage.csr Zeile auftaucht: weise an Port 443 ein. Damit Apache dort
lauscht, muss man seine Konfiguration
LoadModule ssl_module modules/mod_ssl.so
Die Anfrage in der Datei »anfrage.csr« um folgenden Abschnitt ergänzen:
muss man dann der Certificate Authority Meist findet man sie in der zentralen
<IfModule mod_ssl.c>
übermitteln. In einem Unternehmens- »httpd.conf«, CentOS lagert die Zeile in Listen 443
netzwerk könnte man alternativ die ei- die Datei »/etc/httpd/conf.d/ssl.conf« </IfModule>
genen Zertifikate vorab in die Browser aus. Wer die Standardkonfigurationsda-
aufnehmen oder gar eine eigene Certifi- teien verwendet, muss vor der oben ge- In welche Konfigurationsdatei dieser Ab-
cation Authority betreiben R-T. nannten Zeile lediglich das Hash-Zeichen schnitt gehört, hängt von der Apache-
In jedem Fall sollte jetzt eine Datei mit entfernen. Alternativ bieten einige Linux- Installation ab. Unter Debian-basierten
dem Zertifikat und eine mit dem priva- Distributionen, darunter Debian, Ubuntu Systemen steckt er bereits in der Datei
ten Schlüssel vorliegen. Das Duo sam- und Open Suse, das Skript »a2enmod« an, »/etc/apache2/ports.conf«, unter Open
melt man am besten in einem eigenen das dynamisch ladbare Apache-Module Suse 12.3 hingegen in der Datei »/etc/
Unterverzeichnis bei den übrigen Kon- aktiviert. Der Benutzer Root aktiviert da- apache2/listen.conf« und bei CentOS in
figurationsdateien. Letztgenannte liegen mit »mod_ssl« via: »/etc/httpd/conf.d/ssl.conf«. Gegebe-
auf Linux-Systemen meist unter »/etc/ nenfalls muss man alle vorangestellten
a2enmod ssl
apache2« oder »/etc/httpd«, unter Win- Hash-Zeichen »#« entfernen und so den
dows normalerweise im Ordner »conf« Unter Open Suse ist zusätzlich noch Abschnitt auskommentieren. Wer die
des Apache-Verzeichnisses. Dort erstellt der Befehl »a2enflag SSL« notwendig. Standardkonfigurationsdatei verwendet,
man dann ein Unterverzeichnis »ssl« Sofern das Skript »a2enmod« vorhan- wie sie etwa auch dem Windows-Binär-
und kopiert das Zertifikat nebst privatem den ist, sollte man es möglichst auch paket von Apache beiliegt, muss in der
Schlüssel hinein: nutzen. Die Distributionen setzen dann »httpd.conf« lediglich in der Zeile
meist mehrere, teilweise sogar automati-
mkdir -p /etc/apache2/ssl #Include conf/extra/httpd-ssl.conf
cp *.pem /etc/apache2/ssl
siert erzeugte Konfigurationsdateien ein.
Debian etwa schaltet einzelne Module das Hash-Zeichen entfernen. Damit liest
Im Normalfall erfordern diese Befehle über symbolische Links ein und aus. Apache die Datei »httpd-ssl.conf« im Un-
Root-Rechte.
KXY\cc\(1D^c`Z_\8c^fi`k_d\e]i¾JJC:`g_\iJl`k\½
9Xlk\`c Biq\c 9\[\lkle^
8c^fi`k_d\e]i[\eJZ_cjj\cXljkXljZ_
Um die verschlüsselten SSL-Verbindun- bIJ8 IJ8
gen kümmert sich das Apache-Modul b;?i ;`]]`\$?\ccdXed`kIJ8$JZ_cjj\c
»mod_ssl«. Unter vielen, aber leider nicht b;?[ ;`]]`\$?\ccdXed`k;J8$JZ_cjj\c
allen Linux-Distributionen ist es von b<;? <g_\d\iXc$;`]]`\$?\ccdXek\dgfii\iJZ_cjj\cf_e\Q\ik`]`bXk
Haus aus aktiviert. Der Apache-Server bJIG JZ_cjj\cXljkXljZ_g\iJ\Zli\I\dfk\GXjjnfi[JIG
lädt »mod_ssl«, wenn in seinen Konfi- 8lk_\ek`]`q`\ile^jXc^fi`k_d\e
XELCC B\`e\8lk_\ek`]`q`\ile^
C`jk`e^(1M`ikl\cc\i?fjkd`kKCJ
XIJ8 IJ8
01 <VirtualHost *:443>
X;JJ ;JJ
02 ServerName login.example.com
03 DocumentRoot "/var/www"
X;? ;`]]`\$?\ccdXe
04 M\ijZ_cjj\cle^jXc^fi`k_dlj
05 SSLEngine on \ELCC B\`e\M\ijZ_cjj\cle^
06 SSLCertificateFile /etc/apache2/ssl/zertifikat. ELCC N`\\ELCC
pem 8<J 8<J
07 SSLCertificateKeyFile /etc/apache2/ssl/ ;<J ;<J
privaterschluessel.pem
*;<J Ki`gc\$;<J
08
I:+ I:+
09 <Directory "/var/www">
I:) I:)
10 Options Indexes FollowSymLinks
11 </Directory>
@;<8 @;<8
12 8c^fi`k_d\eqli@ek\^i`kkjgi]le^D8:$;`^\jk$8c^fi`k_dlj
13 CustomLog /var/log/apache2/ssl_request_log ssl_ D;, D;,
combined J?8( J?8(
14 ErrorLog /var/log/apache2/ssl_error_log J?8 N`\J?8(
15 TransferLog /var/log/apache2/ssl_access_log
J?8),- J?8),-
16 </VirtualHost>
J?8*/+ J?8*/+
KXY\cc\)18c`Xj$EXd\e]i¾JJC:`g_\iJl`k\½
GXjjg_iXj\qldJkXik
Biq\c 9\[\lkle^ Abschließend muss man Apache einmal
JJCm* 8cc\mfeJJC*%'lek\ijkkqk\8c^fi`k_d\e neu starten, unter Debian etwa mit »/etc/
KCJm( 8cc\mfeKCJ(%'lek\ijkkqk\8c^fi`k_d\e init.d/apache2 restart«. Apache fordert
<OG 8cc\\ogfik]_`^\e8c^fi`k_d\e dabei die Passphrase für den privaten
<OGFIK+' <ogfik]_`^\8c^fi`k_d\ed`k+'9`k Schlüssel ein. Verhindern kann man das
<OGFIK,- <ogfik]_`^\8c^fi`k_d\ed`k,-9`k
CFN JZ_nXZ_\#XY\ie`Z_k\ogfik]_`^\8c^fi`k_d\eJ`e^c\$;<J
J\im\iEXd\@[\ek`]`ZXk`fe
D<;@LD 8cc\8c^fi`k_d\ed`k()/9`k ;X[\i;fdX`eeXd\]\jk\i9\jkXe[k\`c[\jQ\i$
?@>? 8cc\8c^fi`k_d\e#[`\Ki`gc\$;<Jelkq\e k`]`bXkj`jk#bXeedXe\`^\ekc`Z_gif@G$8[i\jj\
`dd\ieli\`eQ\ik`]`bXkelkq\e%D`kXe[\i\e
IJ8 8cc\8c^fi`k_d\e#[`\\`e\eIJ8$JZ_cjj\cXljkXljZ_m\in\e[\e
Nfik\edjjk\dXea\[\iJlY$ ;fdX`e\`e\
;? 8cc\8c^fi`k_d\e#[`\\`e\e;`]]`\$?\ccdXe$JZ_cjj\cXljkXljZ_m\in\e[\e
\`^\e\@G$8[i\jj\jg\e[`\i\e%8Y_`c]\jZ_X]]k
<;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_cjj\cXljkXljZ_d`k<g_\d\iXc$;`]]`\$ \`eM\i]X_i\eeXd\ejJ\im\iEXd\@e[`ZXk`fe#
?\ccdXem\in\e[\e
bliqJE@%;XY\`j\e[\k[\i9ifnj\iefZ_mfi
<:;? JZ_cjj\cXljkXljZ_d`kk\cj<cc`gk`Z:lim\;`]]`\$?\ccdXe [\d9\^`ee[\i\`^\ekc`Z_\eM\ijZ_cjj\cle^
8;? 8cc\8c^fi`k_d\e#[`\\`e\e8efepdflj$;`]]`\$?\ccdXe$JZ_cjj\cXljkXljZ_ Y\`d :c`\ek$?\ccf# j`\_\ BXjk\e Ù8Y_ij`$
m\in\e[\e Z_\iÈ [`\LIC#Xl][`\\iql^i\`]\edZ_k\%
8<:;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_cjj\cXljkXljZ_d`k<cc`gk`Z:lim\;`]]`\$ 8cc\ Xbkl\cc\e ^if\e 9ifnj\i lek\ijkkq\e
?\ccdXem\in\e[\e JE@#8gXZ_\b\eek[XjM\i]X_i\ej\`k[\iM\i$
JIG 8cc\8c^fi`k_d\e#[`\\`e\eJZ_cjj\cXljkXljZ_d`kJ\Zli\I\dfk\GXjj$ j`fe)%)%()ÆmfiXlj^\j\kqk\jbfddkFg\eJJC
nfi[JIG m\in\e[\e
XYM\ij`fe'%0%/`qld<`ejXkq%Ki`]]k[XjXl][`\
;JJ 8cc\8c^fi`k_d\e#[`\\`e\;JJ$8lk_\ek`]`q`\ile^m\in\e[\e \`^\e\ 8gXZ_\$@ejkXccXk`fe ql# bXee dXe `e
<:;J8 8cc\8c^fi`k_d\e#[`\\`e\<:;J8$8lk_\ek`]`q`\ile^m\in\e[\e a\[\d¾3M`iklXc?fjk5½$:fekX`e\i\`e\`^\e\j
XELCC 8cc\8c^fi`k_d\e#[`\b\`e\8lk_\ek`]`q`\ile^m\in\e[\e Q\ik`]`bXkXe^\Y\e%
nur, indem man die Verschlüsselung Integritätsprüfung. Ein Beispiel für eine einen Algorithmus explizit an die ent-
wieder entfernt. Damit ist der private solche Auswahl wäre: sprechende Position der Liste setzen und
Schlüssel aber ungeschützt, was wiede- so die Reihenfolge beeinflussen. Im obi-
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:5
rum ein Sicherheitsrisiko darstellt. Kom- +MEDIUM:+LOW:+SSLv2:+EXP
gen Beispiel würde der Webserver etwa
men mehrere per SSL gesicherte virtuelle die Algorithmen aus der »HIGH«-Gruppe
Hosts zum Einsatz, versucht Apache die Diese Liste sieht auf den ersten Blick denen der »MEDIUM«-Gruppe bevorzu-
eingetippte Passphrase auch auf alle üb- ziemlich wüst aus, erklärt sich aber gen. Abschließend kann man auch noch
rigen privaten Schlüssel anzuwenden. Im schnell: Jeder Algorithmus erhält ein mehrere vorgegebene Cipher-Suiten aus-
Idealfall muss man so nur einmal eine Kürzel, »RC4« steht beispielsweise für wählen, indem man zwischen den Kür-
Passphrase eintippen. den RC4-Algorithmus. Alle weiteren Kür- zeln ein »+« einfügt. Im obigen Beispiel
Sobald der User jetzt die verschlüsselte zel stellt KXY\cc\( vor. Damit man sich wären mit »RC4+RSA« alle Cipher-Suiten
Seite ansteuert – in den bisherigen Bei- nicht die Finger wund tippt, gibt es net- möglich, die »RC4« und »RSA« enthalten.
spielen »https://login.example.com« terweise noch Abkürzungen beziehungs- Das Beispiel ist übrigens gleichzeitig der
– warnt der Browser bei einem selbst weise Alias-Namen. So steht »SSLv2« für Standardwert unter Apache 2.2. Apache
erstellten Zertifikat vor mangelnder Si- alle vom SSL-2-Standard unterstützten 2.4 übernimmt hingegen die Standardein-
cherheit (8YY`c[le^*). Hier bleibt dem Algorithmen, »ALL« für alle möglichen. stellungen von OpenSSL.
Anwender nur, das Zertifikat per Hand Die übrigen Abkürzungen listet KXY\cc\ Welche Algorithmenkombinationen mit
als vertrauenswürdig einzustufen. An- ) auf. »Exportfähig« bezieht sich dabei einer Einstellung möglich sind, verrät der
schließend läuft die Kommunikation ver- auf die Ausfuhrbeschränkungen der USA, Befehl »openssl ciphers -v«. Ihm hängt
schlüsselt ab. nach denen besonders starke Verschlüs- man einfach den zu untersuchenden
selungsverfahren nicht exportiert werden Bandwurm an:
HlXc[\iNX_c dürfen. »EXP« enthält somit nur Verfah-
openssl ciphers -v 'ALL:!ADH:RC4+RSA:5
ren mit geringer Schlüssellänge. +HIGH:+MEDIUM:+LOW:+SSLv2:+EXP'
Neben den drei SSL-Direktiven aus C`$ Schließlich darf man bestimmte Algorith-
jk`e^ ( kennt Apache noch ein paar men noch bevorzugen oder ausschlie- Das Ergebnis ist eine Tabelle wie die aus
weitere. Besonders interessant ist »SSL- ßen. Das zeigen die Sonderzeichen »+«, 8YY`c[le^ ,. Die erste Spalte listet die
CipherSuite«. Sie gibt an, welche Ver- »-« und »!« an, die den Kürzeln voran- Namen der Cipher-Suiten auf, die zweite
schlüsselungsalgorithmen der Webserver gestellt werden. »!« verbietet einen Al- nennt den SSL-Standard. Es folgen in
für den SSL-Handshake akzeptiert. Der gorithmus, »!ADH« schließt im obigen den weiteren Spalten die Algorithmen
Direktive folgt dabei eine durch Doppel- Beispiel folglich alle Algorithmen aus, für den Schlüsselaustausch, die Authen-
punkte getrennte Liste mit den möglichen die Anonymous Diffie-Hellmann verwen- tifizierung, die Verschlüsselung und die
Algorithmen. Angeben muss man dabei den. Das Minuszeichen »-« entfernt eben- Integritätsprüfung.
jeweils mindestens einen Algorithmus falls einen Algorithmus, der sich aber Die großen Browser bevorzugen norma-
für den Schlüsselaustausch, die Authen- später in der Kette wieder hinzufügen lerweise sichere Algorithmen, derzeit vor
tifizierung, die Verschlüsselung und die lässt. Mit dem Pluszeichen kann man allem AES, die jedoch mehr Rechenzeit
kosten. Administratoren, die stattdessen
auf schnellere, einfachere Verfahren set-
zen, leben gefährlich: So geriet zuletzt
RC4 in die Schlagzeilen. Mehr zu Pro-
blemen mit TLS verrät ein Artikel in der
Security-Rubrik dieses Hefts.
Man sollte daher nicht mit einer eigenen
»SSLCipherSuite«-Regel die vom Client
vorgeschlagenen, sicheren Verfahren
überstimmen. Beschleunigen kann man
die Codierung, indem man OpenSSL eine
eventuell vorhandene Kryptohardware
nutzen lässt. Das setzt allerdings voraus,
dass OpenSSL mit »Engine«-Unterstüt-
zung übersetzt wurde. Ab OpenSSL 0.9.7
ist dies standardmäßig der Fall. Welche
Hardwarebeschleuniger dann zur Verfü-
gung stehen, verrät:
openssl engine
=Xq`k
ter die Direktive »SSLCryptoDevice«, wie
etwa: Hat man erst einmal ein Zertifikat er-
zeugt, ist die Einrichtung von »mod_ssl«
SSLCryptoDevice rsax
schnell erledigt. SSL beziehungsweise IPTAM® PBX VoiP Telefon-
Zusätzlich lässt sich auch ein Cache für TLS verschlüsseln allerdings nur den
anlage mit bester ISDN-Integration
Session-Daten einrichten: Datenverkehr und bieten daher nur ei-
nen Sichtschutz für potenzielle Mitleser.
SSLSessionCache dbm:/tmp/cachedatei
Folglich reicht es nicht aus, nur einfach
In diesem Fall würde Apache die DBM- das SSL-Modul zu aktivieren. Die Web- Kinderleichte Administration
Datei »/tmp/cachedatei« verwenden. Anwendung muss zusätzlich die emp- ■ per CD auf einem Server
fangenen Daten vertraulich behandeln Ihrer Wahl
Ni]\cjg`\c und beispielsweise verschlüsselt in einer
■ oder als Fertiggerät
Datenbank ablegen. TLS ist somit nur
Die von TLS verwendeten Algorithmen ein kleiner Baustein in einer kompletten (Appliance)
greifen auf einen Zufallsgenerator zu- Sicherheitsstrategie. (ofr) ■ ■ Vorbildliche Dokumentation:
rück. Standardmäßig bildet »mod_ssl« www.iptam.com/wiki/
die Zufallszahl aus der aktuellen Uhr-
zeit, der Prozess-ID und einem zufällig @e]fj
gewählten, ein KByte großen Stück des R(T N`b`g\[`X$<`ekiX^qld;`]]`\$?\ccdXe$
Ausgereifte Funktionalität
internen Scoreboard-Speichers. Letztge- 8c^fi`k_dlj1 ■ Bequeme Bedienung
nannten nutzt Apache bei der Interpro- R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&;`]]`\$?\ccdX über Web-Oberfläche
zesskommunikation. Das Ergebnis ist je- e$JZ_c:*9:jj\cXljkXljZ_T
■ Einspielen von Patches,
doch keine echte Zufallszahl. Aus diesem R)T N `b`g\[`X$<`ekiX^qldO%,'0$JkXe[Xi[1
Lizenzerweiterung, ISDN-
Grund lässt sich mit »SSLRandomSeed« R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&O,'0T
eine andere Quelle auswählen und so R*T F g\eJJC1R_kkg1&&nnn%fg\ejjc%fi^T
Konfiguration mit 3 Klicks
die Sicherheit erhöhen. Im einfachsten R+T8gXZ_\;fnecfX[1R_kkg1&&_kkg[%XgXZ_\% ■ Und natürlich alle gängigen
Fall kann man die Zufallswerte aus einer fi^&[fnecfX[%Z^`T Funktionen: Voicemail, Instant
Datei holen, unter Linux etwa »/dev/ R,T M\i`j`^e1R_kkg1&&nnn%m\i`j`^e%[\T Messaging Server, Fax-Server,
random«: R-T D \c[\jk\cc\ÆQ\ik`]`bXk\d`kFg\e:8 Konferenzräume, Warteschlangen,
SSLRandomSeed connect file:/dev/random
m\inXck\e#8;D@E'(&)'('1R_kkg1&&nnn% Sprachmenüs, Klingelgruppen,
X[d`e$dX^Xq`e%[\&;Xj$?\]k&)'('&'(& Durchsagefunktion, Konfiguration
»connect« zeigt hierbei an, dass Apache Q\ik`]`bXk\$d`k$Fg\e$:8$m\inXck\e& der Telefone über die Anlage ....
die Zufallszahl beim Aufbau einer Verbin-
dung abruft. Bei der Alternative »startup«
wäre dies nur beim Start des Webservers
R.T ;
)/cXe^lX^\)0&^\i$;<T
fbld\ekXk`femfeDf[$JJC]i8gXZ_\
)%)1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%)&
selber
der Fall. »SSLRandomSeed« muss zudem
im globalen Server-Kontext stehen (also
df[&df[Vjjc%_kdcT
R/T;fbld\ekXk`femfeDf[$JJC]i8gXZ_\
testen!
außerhalb des »<VirtualServer>«-Con- )%+1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%+&
tainers). Neben einer Datei als Quelle df[&df[Vjjc%_kdcT Die IPTAM PBX 5
kann man auch ein Programm die Daten kostenlos
anliefern lassen. Dieses muss die Zufalls- ;\i8lkfi downloaden:
werte auf die Standardausgabe schrei- K`d JZ_idXee `jk j\cYjkjke[`^\i ;`gcfd$ www.iptam.com
ben: @e]fidXk`b\ile[[\iq\`k_XlgkjZ_c`Z_Xcj]i\`\i Demosystem
8lkfi lek\in\^j% Ql j\`e\e 9Z_\ie ^\j\cc\e online testen:
en:
SSLRandomSeed startup exec:/bin/meinprg
j`Z_qX_ci\`Z_\8ik`b\c#[`\`eQ\`kjZ_i`]k\ele[ www.iptam.com/demo
Auf Unix-Systemen kann man schließlich Xl] @ek\ie\kj\`k\e `e d\_i\i\e Ce[\ie m\i]$
noch die Daten aus einem Netzwerkso- ]\ekc`Z_knli[\e%
9iXe[jZ_lkq
tenbanken und Caches wie Redis oder
Memcache anbinden und um Lua-Sup-
port erweitern. Downloads der stabilen
und Entwicklerversionen finden sich auf
Re^`eo%fi^T; aktuell sind 1.2.8 (stable)
|Y\i[`\C\`jkle^\e[\jE^`eo$N\Yj\im\ijnli[\jZ_fem`\c^\i\[\k% und 1.3.16 (development).
Die Dokumentation im Wiki R-T ist um-
N\e`^\iY\bXeekj`e[j\`e\=_`^b\`k\eY\`dCfX[YXcXeZ`e^#Xcj[peX$ fassend, alle Optionen des Cores und
d`jZ_\i:XZ_\le[XcjN\Y8ggc`ZXk`fe=`i\nXcc%DXibljDXeqb\ vieler Drittmodule sind dort inklusive
Beispielkonfigurationen, Best-Practice-
Größere Webapplikationen bestehen Frontend erfüllen kann: Loadbalancing Guides und Howtos zu finden. Die Mai-
meistens aus mehreren Komponenten, und Hot Standby für Application Server, lingliste steht Neueinsteigern und Hard-
zum Beispiel Frontend, Application Ser- Reverse Proxy, Static Server, Web/Proxy core-Anwendern gleichermaßen mit Hilfe
ver und Daten-Backends. Dabei über- Cache, SSL Offload und SNI, Header Clea- zur Selbsthilfe zur Verfügung. Selbst Igor
nehmen Frontends einen Großteil der nup, Web Application Firewall. Nginx ist Sysoev, der Hauptentwickler von Nginx,
Verarbeitung von Anfragen und können vor jeder Application-Server-Infrastruktur antwortet hier ab und zu auf technisch
mit richtigem Setup und Tuning dafür einsetzbar, die via HTTP(S) angespro- anspruchsvolle Fragen.
sorgen, dass die Zugriffszeiten verkürzt, chen wird, bestehende Setups lassen sich
die dahinterliegenden Application Server einfach erweitern (8YY`c[le^)). CfX[YXcXeZ`e^
entlastet und vor unberechtigten Zugrif-
fen geschützt werden. E\ld`kJG;P Loadbalancer sorgen für die Verteilung
Nginx hat sich in kurzer Zeit einen festen von Anfragen auf dahinterliegende Server
Stammplatz in diesem Ensemble erar- Neben dem Neueinlesen der Konfigura- oder Dienste. Nginx bringt dazu mehrere
beitet und kann als Reverse Proxy, Sta- tion via »HUP«-Signal kann man auch das Module mit, die die Last nach verschie-
tic Server und Loadbalancer auftreten. Nginx-Binary im laufenden Betrieb ohne denen Kriterien verteilen. Die Loadba-
Die freie Software überzeugt dabei mit Verbindungsabbrüche austauschen R)T. lancer-Funktionen aus dem Upstream-
Performance, Stabilität und geringen An- Das neue SPDY-Protokoll ist in Nginx ab Modul lassen sich gut an die eigenen
forderungen an Ressourcen. Ungefähr 30 Version 1.3.15 implementiert und wird Gegebenheiten anpassen. So können die
Prozent der Top-10 000-Webseiten profi- wahrscheinlich in die stabile Version 1.4 Anzahl der Fehlversuche und die Time-
tieren schon davon R(T (8YY`c[le^(). integriert werden, die im Mai zu erwarten outs für jeden Server im Loadbalancer-
Die folgende Liste gibt einen kleinen Ein- ist. Für ältere Versionen des 1.3-Zweigs Verbund einzeln eingestellt werden. Auch
blick in die Funktionen, die Nginx als gibt es einen Patch R*T. eine Gewichtung der einzelnen Server ist
8YY`c[le^(1M\iYi\`kle^mfeE^`eo`d=\YilXi)'(*% 8YY`c[le^)19\`jg`\c$J\klgd`kE^`eoXcj=ifek\e[%
möglich. Im Fehlerfall lassen sich ein- sich in Nginx mit einem externen Modul erreichen. Der Single Point of Failure
zelne Server aus dem Verbund als inak- realisieren R.T; die oben erwähnten Kon- bleibt beim Loadbalancer, solange dieser
tiv (down) kennzeichnen. Fehlerseiten figurationsoptionen können weiterhin nicht ausfallsicher gemacht wird.
können abgefangen und umgeleitet wer- genutzt werden. Der Administrator kann Ein Standard-Anwendungsfall für ein
den. Auch eine Konfiguration von Hot- die Gewichtung der einzelnen Server mit Frontend ist die Reverse-Proxy-Funktiona-
Standby-Servern, die aktiv werden, wenn dem »weight«-Parameter anpassen und so lität, also das Weiterleiten vom Frontend
andere Server ausfallen, ist möglich. C`$ zum Beispiel Servern mit besserer Perfor- an dahinterliegende Backend-Systeme.
jk`e^( zeigt ein Beispiel für eine solche mance mehr Anfragen zuweisen. Dieser Das Proxy-Modul umfasst insgesamt
Konfiguration. Parameter darf zusätzlich zu allen oben mehr als 40 Konfigurationsoptionen, die
erwähnten Optionen benutzt werden. unter R/T zu finden sind. Webserver-
CXjkm\ik\`cle^ Standards wie Rewrite-Regeln oder Htac-
?fkJkXe[Yp cess beherrscht Nginx natürlich auch.
Die Lastverteilung des Loadbalancers Wegen seiner guten Performance wird
kann nach Round Robin, Least Connec- Neben der Lastverteilung lassen sich mit Nginx häufig auch als Static Server einge-
tion oder IP Hash erfolgen. Sticky Sessi- Nginx auch Hot-Standby-Szenarien auf- setzt, der öffentlich zugängliche, statische
ons, die eine Sitzung eines Anwenders bauen. Dabei läuft eine Fallback-Instanz Ressourcen wie CSS, Javascript, Bilder,
immer auf den gleichen Knoten umleiten, mit gleicher Codebasis parallel mit, die Downloads oder Filme bereitstellt und
sind dabei möglich. Beim Round-Robin- beim Ausfall eines Hauptservers sofort die Application Server damit entlastet.
Verfahren wird die Last fortlaufend und einspringt. Durch dieses Setup lassen Je nach Einsatzgebiet gibt es dazu viel-
abwechselnd auf die dahinterliegenden sich Updates für Webanwendungen ohne fältige Tuning-Optionen, die das Auslie-
Server verteilt. Bei der Least-Connection- Downtime einspielen und insgesamt eine fern statischer Inhalte optimieren. Neben
Methode leitet Nginx die Anfragen an höhere Verfügbarkeit für kleine Systeme OS-/Dateisystem-Optionen wie Sendfile
den Server mit den wenigsten aktiven
Verbindungen weiter. Lastverteilung nach C`jk`e^(1CfX[YXcXeZ\i$Bfe]`^liXk`fe
dem IP-Hash-Verfahren ist nur in einigen 01 upstream backend { 13
02 server backend1.example.com weight=5; 14 server {
Fällen sinnvoll und sollte bei öffentlich
03 server backend2.example.com max_fails=5 15 ...
erreichbaren Diensten nicht angewandt
fail_timeout=10s; 16 proxy_intercept_errors on;
werden.
04 server backend3.example.com; 17 ...
Session-Stickyness ist meist dort gefor- 05 server backend4.example.com down; 18 location / {
dert, wo interaktive Webapplikationen 06 server backend5.example.com backup; 19 ...
und Loadbalancing zusammenkommen. 07 } 20 error_page 502 @fallback;
Hierbei wird User X, der sich auf Server Y 08 21 proxy_next_upstream http_500 http_502
eingeloggt hat, vom Loadbalancer immer 09 upstream fallback { http_503 http_504 timeout error invalid_header;
können auch Expires-Zeiten global oder 1 GByte mit einer Verfallszeit von fünf austreiben, sich unbedingt mit Version
dateibasiert gesetzt und der ausgehende Minuten komplett in den RAM-Speicher und womöglich geladenen Modulen zu
Traffic komprimiert werden. Für Nginx gelegt. melden.
gibt es zwei Module, die den Einsatz als Durch diese Maßnahme werden 99 Pro-
Streaming-Server für Videos (mp4/m4v/ zent der Anfragen direkt aus dem Cache EXoj`
m4a/flv) ermöglichen, auch das schnelle beantwortet, während das dahinter lie-
Vorspulen (Seek) ist dabei möglich. gende Webserver-Konstrukt aus Apache, Seit 2011 gibt es das Naxsi-Modul R('T,
PHP und MySQL bei einer Load von 0,01 das Nginx zu einer Web Application
:XZ_`e^ ausruhen konnte. Performance-Tests auf Firewall (WAF) macht. Das Projekt be-
dem Cache ergaben 100 000 Requests/ findet sich noch in der Entwicklung, wird
Ein weiteres Schmankerl von Nginx ist Sekunde bei 1000 parallelen Requests, aber bereits produktiv eingesetzt und bie-
die Möglichkeit, Antworten der Backends ohne dass sich die Grundlast des Ser- tet jetzt schon vielversprechende Funk-
in einem Cache zwischenzuspeichern vers nennenswert verändert hätte. Damit tionen, um Webserver vor Skriptkiddies,
und bei der nächsten Anfrage diese Res- kann selbst ein kleiner Denial-of-Service- Scannern und sonstigen automatisierten
source aus dem Cache auszuliefern. Der Angriff schon Mal unbemerkt ins Leere Tools, die rund um die Uhr auf der Suche
Cache kann auf URL-Parametern beru- laufen. nach dankbaren Opfern sind, zu schüt-
hen, die auf Wunsch die Query-Parame- zen. Mit Nginx als Grundlage lässt sich
ter einschließen. Somit lassen sich auch >\q`\ck\I\`e`^le^ Naxsi als hochperformante Standalone-
dynamische Abfragen der Art »/index. WAF betreiben. Für Debian steht Nginx
do?arg1=hello&arg2=world« zwischen- Eine weitere Funktion, die sich mit dem inklusive Naxsi in den Backports als In-
speichern. Den Cache kann man sehr gut Zusatzmodul Cache Purge R0T realisieren stallationspaket bereit, doch auch das
dazu verwenden, stärker frequentierte lässt, ist die Möglichkeit, den gesamten Selbstkompilieren auf dem Nginx-Weg
Portale oder Content-Management-Sys- Cache oder nur Teile davon zu leeren. ist problemlos.
teme zu beschleunigen. Wenn die Inhalte Damit kann man App-seitig den Caching- Naxsi bringt ein eigenes Core Ruleset mit
sich nicht im Sekundentakt ändern, führt Server steuern und bei Änderungen die und ist mit anwenderspezifischen Regel-
der Cache in Peak-Zeiten zu einer spür- Cache-Inhalte mit dem nächsten Request sätzen erweiterbar. Die Konfiguration fin-
baren Entlastung der dahinterliegenden neu aufbauen lassen. So lassen sich ideal det innerhalb des Nginx-Kontexts statt.
Server. APIs cachen, deren Antworten durch Durch Scores für einzelne Regeln und an-
Der Autor hat Nginx zur Optimierung GET-Parameter beeinflusst und nicht passbare Grenzwerte für Block-Aktionen
des Hauptportals eines großen deutschen ständig neu generiert werden müssen. lässt sich die WAF an unterschiedliche
Vergnügungsparks eingesetzt, das wäh- C`jk`e^) zeigt ein Beispiel einer Proxy- Umgebungen und Webapplikationen an-
rend der Saison im Schnitt pro Tag 30 000 Konfiguration. passen.
Anwender besuchen. In Peak-Zeiten ru- Nginx bietet natürlich auch SSL-Ver- Naxsi kann verschiedene Werte wie
fen die Website aber einige Stunden lang schlüsselung und kann via SNI (Server URLs, Request-Parameter, Cookies, Hea-
mehrere tausend Besucher je Minute auf Name Indication) mit mehreren Zerti- der oder den POST-Body einzeln oder in
und treiben den Server dadurch regelmä- fikaten pro Server umgehen. Weiterhin Kombination überprüfen und lässt sich
ßig an die Grenze der Leistungsfähigkeit. lassen sich HTTP-Header manipulieren auf Location-Ebene in der Nginx-Konfi-
Nginx wurde als Caching-Server vorge- oder unterdrücken und damit zu rede- guration an- oder abschalten. Die auto-
schaltet und der Cache mit insgesamt freudigen Application-Servern die Unsitte matische Whitelist-Erstellung hilft dabei,
die Firewall vor beliebigen Applikationen
C`jk`e^)1Gifop$:XZ_\$Bfe]`^liXk`fe einzusetzen und dabei False-Positives zu
01 server { 15 proxy_ignore_headers Set-Cookie; 100 Prozent auszuschließen. Weitere
02 16 proxy_ignore_headers Cache-Control;
Tools wie NX-Utils und Doxi erleichtern
03 proxy_cache_path /srv/cache/nginx levels=1:2 17
Administration, Reporterstellung und
keys_zone=cache:50m inactive=10m max_size=500m; 18 }
Ruleset-Updates.
04 19
05 20 location /nocache/ {
06 location / { 21 EO$Lk`cj
07 proxy_pass http://backend; 22 proxy_cache off;
08 proxy_cache cache; 23 Naxsi ist als Modul in Nginx implemen-
09 proxy_cache_key cache$request_ 24 } tiert und als solches auch standalone ar-
uri$is_args$args; 25 beitsfähig, bringt aber die NX-Utils mit,
10 26 location ~ /purge(/.*) { die für die Whitelist-Generierung und
11 proxy_cache_valid 200 302 60m; 27 allow 127.0.0.1; Reports sehr sinnvoll sind. Zum einen
12 proxy_cache_valid 404 1m; 28 deny all;
gibt es den Intercept-Modus, der es Naxsi
13 proxy_cache_use_stale error timeout 29 proxy_cache_purge cache cache$1$is_
erlaubt, die von der WAF geblockten Re-
invalid_header updating; args$args;
quests für spätere Reports und Whitelists
14 30 }
in einer Datenbank zu speichern, und den
@?I<MFIK<@C<
• -8lj^XY\e`dAX_i=i\`?Xlj
• `ebclj`m\-8;D@E$Jg\Z`Xcj
lek\iXe[\i\dql@Gm-le[JJ;
XcjG;=$;fnecfX[`dN\ikmfe
Y\i*,<lif
J@:?<IEJ@<J@:?@?I
>I8K@JDLCK@KFFC
A\kqkXYfee`\i\e1
nnn%X[d`e$dX^Xq`e%[\&XYf
Gi`ekXYf+0#0'<lif#[`^`kXc\j8Yfeli++#0'<lif
K\c\]fe'.(*(&).'.).+=Xo'.(*(&).'../-'(<$DX`c1XYf7X[d`e$dX^Xq`e%[\
E^`eole[EXoj` N < 9 $J <: L I @ K P
C`jk`e^*1EXoj`$I\^\ce
I\^\ce 01 MainRule "str:/manager/html/upload" "msg:DN SCAN Tomcat" "mz:URL" "s:$UWA:8" id:42000217 ;
Die Naxsi-Regeln sind einfach im Auf- 02 MainRule "rx:type( *)=( *)[\"|']symbol[\"|']" "msg:DN APP_SERVER Possible RAILS - Exploit using
type=symbol" "mz:BODY" "s:$ATTACK:8" id:42000233 ;
bau, flexibel im Handling und um eini-
03 MainRule "str:basic ywrtaw46ywrtaw4=" "msg:APP_SERVER Tomcat admin-admin credentials" "mz:$URL/
ges einfacher strukturiert als etwa die
manager|$HEADERS_VAR:Authorization" "s:$ATTACK:8" id:42000216 ;
Apache-Mod-Security- oder Snort-Rules.
04 MainRule "str:http://" "msg:http:// scheme" "mz:ARGS|BODY|$HEADERS_VAR:Cookie" "s:$RFI:8" id:1100;
Die Regeln bestehen aus einem Designa- 05 MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;
tor, einem Suchpattern (»str« oder »rx«),
erkannt und geblockt R((T. Das Core Rule- Whitelist-Regeln sind ähnlich wie die De- Rules R()T für Naxsi entwickelt, die den
set, bestehend aus circa 50 Regeln, sollte tection-Regeln aufgebaut. Der Designator Ansatz verfolgen, bekannte Angriffe zu
immer geladen werden, auch wenn aus »BasicRule« ist vorgeschrieben, danach blocken. Die Doxi-Regeln erkennen eine
diesem Bereich die meisten False Positi- folgt die Rule-ID, für die die Ausnahme Vielzahl an Scans nach aktuellen oder
ves zu erwarten sind. gelten soll, gefolgt von der Match Zone: älteren Lücken wie der Wordpress-Tim-
Bei Webseiten mit hohem Interaktionspo- Thump-RFI R(*T und bieten einen guten
BasicRule wl:1000 "mz:$URL:/dontpanic/index.5
tenzial wird Naxsi anfänglich jede Menge php|$ARGS_VAR:topic";
Schutz gegen Skriptkiddies und automa-
False Positives erzeugen. Für diesen Fall BasicRule wl:1005 "mz:$URL:/lib/exe/fetch.php5 tisierte Angriffstools.
gibt es die Möglichkeit des Whitelistings. |$ARGS_VAR:media"; Dazu wurden 200 Webserver-spezifische
Die Whitelists gelten jeweils Location- Regeln aus den Emerging-Threats-Rule-
basiert, das heißt, man kann für unter- Naxsi lässt sich auf Location-Level jeweils sets in das Naxsi-Format konvertiert, die
schiedliche Bereiche oder Webapps auf zu- oder abschalten, selbst der Parallelbe- via Sourcecode Repository frei verfügbar
einem Server jeweils eigene Konfigu- trieb von Lernmodus und Livemodus für sind. Angelehnt an Emerging Threats gibt
rationen pflegen. Die Whitelists lassen verschiedene Locations ist möglich. Die es folgende Regelsätze: »web_server.ru-
sich einfach in einer Datei speichern und Konfiguration von Naxsi geschieht in drei les«, »scanner.rules«, »app_server.rules«,
dann via Include laden. Schritten: Zuerst definiert der Adminis- »web_apps.rules« und »malware.rules«.
trator auf HTML-/Server-Level die zu la- Ähnlich wie bei Emerging Threats wer-
C`jk`e^+1¾c\Xie`e^$df[\%ilc\j½ denden Regelsätze. Im Location-Kontext den Signaturen eingepflegt, wenn neue
01 #LearningMode; #Enables learning mode wird die Firewall dann ein- und ausge- Sicherheitslücken in populären Apps
02 SecRulesEnabled;
schaltet oder in den Lernmodus versetzt. oder Servern auftreten, und dann über
03 #SecRulesDisabled;
Schließlich geben die Check Rules an, ab Naxsi-Mailingliste und das Doxi-Blog be-
04 DeniedUrl "/RequestDenied";
welchem aufsummierten Score-Wert die kannt gegeben.
Firewall den Request blocken soll. Die
C`jk`e^,1:_\ZbIlc\j
01 CheckRule "$SQL >= 8" BLOCK;
einzelnen Konfigurationsanweisungen ;fo`Kffcj
lassen sich in Dateien auslagern, sodass
02 CheckRule "$RFI >= 8" BLOCK;
man am Ende zu einer modularen Konfi- Um Naxsi-Installation auf dem neuesten
03 CheckRule "$TRAVERSAL >= 4" BLOCK;
guration gelangt (C`jk`e^+Y`j-). Stand halten zu können, sind die Doxi
04 CheckRule "$EVADE >= 4" BLOCK;
05 CheckRule "$XSS >= 8" BLOCK;
Tools R(+T entstanden. Damit lassen sich
06 ;fo`Ilc\j Rulesets automatisiert von einem Admin-
07 # UnWantedAccess -> see app-server.rules Rechner aus aktualisieren. Mit einem ein-
08 CheckRule "$UWA >= 8" BLOCK; Man muss nicht tatenlos zusehen, wenn fachen, fünfzeiligen Fabric-Rezept kann
09 die eigene Server-Infrastruktur Tag und der Administrator so mehrere WAFs si-
10 # Identified Attacks
Nacht durch Bots nach Lücken abgesucht multan mit neuen Regelsätzen versehen.
11 CheckRule "$ATTACK >= 8" BLOCK;
wird. Aus diesem Grund wurden die Doxi Die Doxi Tools sind produktiv nutzbar
und sollen in späteren Versionen ähnliche
C`jk`e^-1EXoj`$Bfe]`^liXk`fem`X@eZcl[\j Funktionen bereitstellen wie Oinkmaster
01 server { 10 zum Update von Snort-Sensoren.
02 ... 11 location /live/ { Da Naxsi die erkannten Events ins Nginx-
03 include /etc/nginx/doxi-rules/rules. 12 ... Errorlog schreibt, ist es mit einem kleinen
conf;
13 include /etc/nginx/doxi-rules/
04 ...
Filter möglich, die Application Firewall
active-mode.rules
05 location /dev/ { mit Fail2Ban zu verbinden und Mehr-
14 include /etc/nginx/doxi-rules/
06 ... fachversuche mit einem Ban auf IP-Ebene
local_whitelist.rules
07 include /etc/nginx/doxi-rules/ zu honorieren (C`jk`e^.).
learning-mode.rules 15 ...
08 ... 16 }
09 } 17 }
C`d`kjle[8ljYc`Zb
Naxsi befindet sich noch in der Entwick-
C`jk`e^.1=X`c)YXe$Bfe]`^liXk`fe lung, ist aber schon stabil genug für den
01 # jail.conf 11 Produktiveinsatz. Momentan wird Naxsi
02 [naxsi] 12 # filter.d/naxsi.conf um Plugin-APIs erweitert, die die Mög-
03 13 lichkeit bieten sollen, individuelle De-
04 enabled = true
14 [INCLUDES]
05 port = http,https
tektoren und Module anzuflanschen, so
15 before = common.conf
06 filter = naxsi zum Beispiel CSRF-Schutz (Cross Site Re-
16
07 logpath = /var/log/nginx/error.log quest Forgery), ladbare Black-/Whitelists
17 [Definition]
08 maxretry = 6 oder DDoS-Protection à la Roboo. Einige
09 banaction = iptables-multiport-log 18 failregex = NAXSI_FMT: ip=Host
Features fehlen bisher, etwa das Filtern
10 action = %(action_mwl)s 19 ignoreregex = learning=1
ausgehender Antworten, zeitbasierte
8YY`c[le^,18l]jZ_cjj\cle^[\i8e^i`]]\eXZ_8ik\e%
E^`eoGcX`emjE^`eo"EXoj` R('TEXoj`1R_kkg1&&Zf[\%^ff^c\%Zfd&g&eXoj`&T
*'''' R((T <i^\Ye`jj\[\iDf[$J\Zli`kpJHC@ea\Z$
k`fe:_Xcc\e^\1R_kkgj1&&Zf[\%^ff^c\%Zfd&
),'''
g&eXoj`&n`b`&EXoj`VMjVFY]ljZXk\[8kkXZb$
GXkk\iejT
)''''
R()T;fo`Ilc\j1R_kkgj1&&Y`kYlZb\k%fi^&
cXqpV[f^kfne&[fo`$ilc\j&jiZ&T
IGJ
(,'''
igj
R(*TNfi[Gi\jjK`dK_ldYI=@Mlce\iXY`c`kp
igj
lj\[Xj9fke\kI\Zil`kd\ekM\Zkfi1
(''''
R_kkg1&&\ifdXe^%qXkXq%Zfd&)'((&'0&)'&n
,'''
fi[gi\jj$k`dk_ldY$i]`$mlce\iXY`c`kp$lj\[$
Xj$Yfke\k$i\Zil`kd\ek$m\Zkfi&T
'
R(+T;fo`Kffcj1R_kkgj1&&Y`kYlZb\k%fi^&cXqpV
('' )'' *'' +'' ,'' -'' .'' /'' 0'' (''' [f^kfne&[fo`T
GXiXcc\c\Ql^i`]]\
R(,TE^`eomj%:_\ifb\\mj%8gXZ_\mj%C`^_k$
8YY`c[le^-1;\i<`ejXkq[\iN\Y8ggc`ZXk`fe=`i\nXccEXoj`Yi\djk[\eN\Yj\im\ild\knX*'Gifq\ek% kg[1R_kkg1&&nnn%n_`jg\i[Xc\%e\k&(($e^`eo
$mj$Z_\ifb\\$mj$XgXZ_\$mj$c`^_kkg[%_kdcT
beschleunigen. Dabei gilt: Je mehr Besu- R)T :fekifcc`e^E^`eo1 R(-T8gXZ_\#E^`eo#MXie`j_Xe[>$N8E1
cher eine Webseite hat, desto eher lohnt R_kkg1&&e^`eo%fi^&\e&[fZj&Zfekifc%_kdcT R_kkg1&&eYfem`e%nfi[gi\jj%Zfd&)'((&'*&
sich der Einsatz. Zusätzlich stattet Naxsi R*T J G;P]iE^`eo1R_kkg1&&e^`eo%fi^& (+&XgXZ_\$mj$e^`eo$mj$mXie`j_$mj$^nXe&T
den Webserver mit Funktionen einer Web gXkZ_\j&jg[p&I<8;D<%kokT R(.T D8I<$jpjk\d$Gij\ekXk`fe\ele[$Mfi$
Application Firewall aus, ohne zuviel R+T Fg\eI\jkp1 ki^\1
Performance einzubüßen. Mit Whitelists R_kkg1&&fg\ei\jkp%fi^&T R_kkgj1&&Y`kYlZb\k%fi^&dXi\jpjk\d&
und einer Lernfunktion der Firewall sind R,T K`dJZ_idXee#Dfkfikle`e^#;\iN\Yj\i$ mfiki$^\$gi$j\ekXk`fe\e&jiZ&T
damit alle Voraussetzungen erfüllt, den m\iK\e^`e\#8;D@E')&)'(*
Server im Internet gegen automatisierte R-T E^`eo$N`b`1R_kkg1&&n`b`%e^`eo%fi^&DX`eT ;\i8lkfi
Exploitversuche zu schützen. (ofr) ■ R.T E^`eo$Jk`Zbp$Df[lc1R_kkg1&&Zf[\%^ff^c\% DXibljDXeqb\XiY\`k\kXcjJpjk\dXiZ_`k\bkle[
Zfd&g&e^`eo$jk`Zbp$df[lc\&T Jpjk\d\e^`e\\iY\`D8I<jpjk\d`eB`\c#\`e\d
R/T ?KKG$Gifop$Df[lc1R_kkg1&&n`b`%e^`eo%fi^& Xl]<$:fdd\iZ\le[D`kk\cjkXe[Xlj^\i`Z_k\k\e
@e]fj ?kkgGifopDf[lc\T ?fjk`e^$Lek\ie\_d\e% @e j\`e\i =i\`q\`k \ekn`$
R(T N\Yj\im\i$JkXk`jk`b\e1 R0T :XZ_\Gli^\1 Zb\ck \i N8=&@;J$J`^eXkli\e ]i Fg\e$JfliZ\$
R_kkg1&&n*k\Z_j%Zfd&k\Z_efcf^`\j&Zifjj& R_kkgj1&&^`k_lY%Zfd&=I`:BC<&e^oVZX$ Gifa\bk\ f[\i elkqk [Xj KX^\jc`Z_k ]i NXjj\i$
n\YVj\im\i&iXeb`e^T Z_\Vgli^\&T jgfikXl][\iFjkj\\%
C`jk`e^/1;fo`I\jlckmfej\Z_jN8=j]i*'KX^\
01 ID | Count 23 42000169 | 86 | DN SCAN Scanner Nmap
02 ------------------------------------ 24 42000243 | 80 | DN SCAN PHPMyAdmin - Scanner
03 42000122 | 2506 | DN SCAN WP Timthumb - Access
25 1006 | 75 | mysql keyword (&&)
04 42000004 | 1209 | DN APP_SERVER CGI_file access
26 1302 | 72 | html open tag
05 42000089 | 1202 | DN WEB_APPS XMLRPC - Access detected (misc
27 42000216 | 74 | DN APP_SERVER Tomcat admin-admin login
Wordpress/Magento-Vulns)
credentials
06 42000002 | 1182 | DN APP_SERVER PHP-file-access
07 42000227 | 977 | DN SCAN Scanner ZmEu exploit scanner 28 1102 | 68 | ftp:// scheme
08 42000059 | 740 | DN WEB_APPS Possible unwanted Upload / Access To 29 42000073 | 63 | DN SCAN Python-urllib UA, possible Scanner
mm-forms-community upload dir 30 1205 | 55 | backslash
09 42000003 | 337 | DN APP_SERVER ASP_file access
31 1312 | 52 | ~ character
10 1007 | 296 | mysql comment (--)
32 42000065 | 50 | DN WEB_APPS Magento XMLRPC-Exploit Attempt
11 42000082 | 292 | DN WEB_SERVER Tomcat - Manager - Access
33 42000222 | 47 | DN SCAN Open-Proxy ScannerBot (webcollage-UA)
12 42000077 | 242 | DN WEB_SERVER LIBWWW_perl-UA detected
34 42000031 | 20 | DN SCAN Muieblackcat scanner
13 42000071 | 187 | DN WEB_APPS PHPMYADMIN setup.php - Access
14 1011 | 152 | parenthesis, probable sql/xss 35 42000043 | 8 | DN SCAN WhatWeb Web Application Fingerprint
15 42000210 | 127 | DN APP_SERVER Tomcat Auth Brute Force attempt Scanner Default User-Agent Detected
(admin) 36 42000126 | 8 | DN WEB_APPS WordPress Uploadify-Access
16 42000020 | 121 | DN APP_SERVER ASPX_file access
37 42000151 | 8 | DN SCAN Scanner whatweb
17 42000145 | 113 | DN SCAN Scanner morfeus
38 42000229 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
18 42000181 | 112 | DN SCAN Scanner webster pro
administrator
19 42000244 | 112 | DN SCAN PHPMyAdmin - Scanner (2)
39 42000230 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
20 42000253 | 110 | DN WEB_SERVER possible INC - File - Access
21 1003 | 99 | mysql comment (/*) adminapi
VLANs möglich
Monatsgrundgebühr 149,99 €
Anbindung Neu! 1 GBit Full Flatrate
Jetzt informieren & bestellen Tel.: 0211 / 545 957 - 330 www.webtropia.com
JHC@ea\Zk`fejd`k>i\\eJHCn`ibjXdYcfZb\e @eY\ki`\YeX_d\
DXbjpdP\d\cpXefm#()*I=
Port als die Datenbank lauschen. Sind be- ger, sich einen Überblick zu verschaffen. mit der zu schützenden Anwendung ar-
reits viele Webanwendungen installiert, Eine Suche nach Schlüsselwörtern wäre beiten, füllt sich die zur Policy gehörige
wenn Sie GreenSQL in Betrieb nehmen, zwar möglich, aber in der Praxis verteilen Query Group mit einem Grundstock er-
bietet es sich an, den Port der Datenbank sich Queries oftmals über viele Dateien, laubter oder verbotener Anfragen, der
für den Proxy zu übernehmen und statt- werden dynamisch zusammengesetzt sich später noch anpassen lässt (8YY`c$
dessen dem DBMS einen anderen Port oder die Entwickler greifen auf Techno- [le^)).
zuzuweisen. logien wie Active Record oder PHP Data
Die Datenbank, in der später die zu den Objects zurück. ?k\i[\i;Xk\eYXeb
Firewall-Regeln gehörigen Queries und
andere Daten abgelegt werden, müssen JZ_lcYXeb[iZb\e Um GreenSQL scharf zu schalten, sind
Sie normalerweise nicht von Hand anle- Policies der Typen »Database Firewall«
gen, da GreenSQL sie auch automatisch Um schnell an eine möglichst umfassende oder »Risk Based IDS/IPS« nötig. Die Po-
erstellt. Wer von Anfang an lieber ei- Liste erlaubter oder unerlaubter Queries licies werden wie in anderen Firewall-
gene Namen vergeben möchte, darf das zu kommen, lässt sich GreenSQL in einer Systemen von oben abgearbeitet. Sobald
natürlich tun. abgesicherten Umgebung im Lernmodus eine Vorgabe greift, wird sie akzeptiert
Sind die Datenbank verbunden und der betreiben. Unter »Database Security | Po- und der Vergleichsprozess abgebrochen.
Proxy erstellt, erfordern vielleicht noch licy« legen Sie eine neue Policy vom Typ Das bedeutet, wer nur einige Anfragen
die Datenbankanwendungen kleine An- »Learning Mode« an und verknüpfen sie verbieten aber ansonsten alles erlauben
passungen, etwa, wenn der Proxy einen auf Wunsch gleich mit einer Datenbank. möchte, sollte die Verbotsregel an den
anderen Port als ehemals die Datenbank Die erlernten DB-Anfragen werden wäh- Anfang setzen. Wer dagegen lieber alles
verwendet. Hier reicht es aus, in den rend des Lernprozesses in einer Query- verbietet und nur wenig erlaubt, verfährt
Konfigurationsdateien der einzelnen An- Group gespeichert, die Sie gleich aus dem genau andersherum.
wendungen Port und Server des DBMS Formular heraus erstellen können. Eine Die Firewall gestattet oder sperrt den
zu ändern. Query-Group darf Queries aller Proxies Zugriff auf die Datenbank anhand von
Vorsicht ist mit dem beliebten Localhost und Datenbanken enthalten oder sich auf Query- oder Table-basierenden Regeln.
auf Linux-Systemen geboten, wenn Proxy ausgewählte Instanzen beschränken. Sie Die Queries wurden beispielsweise zu-
und Anwendung parallel auf einem Ser- kann jederzeit geändert werden. sammengetragen, während GreenSQL im
ver laufen. Hier werden oftmals Unix- »Source IP«, »Database User« und »Ap- Lernmodus lief, aber sie können auch
Sockets eingesetzt, die GreenSQL nicht plication« helfen, die Flut der Anfragen manuell eingegeben oder aus dem Log
berücksichtigt. Dann fliegen die Queries einzudämmen. Mit dem Punkt »Sche- übernommen werden.
unter dem GreenSQL-Radar und wer- dule« schränken Admins die Zeit ein, in Auch Firewall- und IDS-/IPS-Policies
den nicht geprüft. Ersetzt man »local- der eine Regel gültig ist. Denkbar wäre lassen sich durch zusätzliche Einschrän-
host« durch 127.0.0.1, sollte alles wie beispielsweise, dass nur während der Ge- kungen verfeinern. Bedient ein Server
gewünscht funktionieren. schäftszeiten überhaupt der Datenbank- mehrere Rechner, können IPs oder ganze
Während die erlaubten Queries bei selbst zugriff erlaubt ist. IP-Bereiche ausgeschlossen werden. Das
entwickelten Datenbankanwendungen Nun geben Sie noch einen Zeitraum an, Gleiche gilt für Nutzer, Anwendungen
prinzipiell bekannt sind, ist es bei erwor- innerhalb dessen GreenSQL die erlaubten und Zeiten, in denen eine Regel gelten
benen Anwendungen deutlich schwieri- Queries lernen soll. Wenn Nutzer jetzt soll. Entsprechende Einträge werden un-
8YY`c[le^)1@e\`e\i`e`k`Xc\eC\ieg_Xj\n`i[>i\\eJHCd`kle \icXlYk\e
8YY`c[le^(1;Xj;Xj_YfXi[mfe>i\\eJHCY`\k\k\`e\eld]Xjj\e[\e|Y\iYc`Zb% Hl\i`\jY\bXeek^\dXZ_k%
8YY`c[le^+1@dI`j`bfgif]`c[i]\e8[d`ej]\`eXY^\jkl]k]\jkc\^\e#n\cZ_\;9$
Fg\iXk`fe\e\icXlYkj`e[le[n\cZ_\e`Z_k%
8YY`c[le^*19\`le\icXlYk\8e]iX^\ec`\]\ik>i\\eJHC\`e\c\\i\<i^\Ye`jd\e^\#
bXggk[`\M\iY`e[le^qli;Xk\eYXebf[\igij\ek`\ik\`e\=\_c\id\c[le^% Datenbankoperati- Dank umfangreicher Logging-Funktionen
onen, die Server, können Sie bei Problemen schnell fest-
ter »Database Security | Objects« vorge- Sicherheit oder Datenbanken betreffen. stellen, wo der Schuh drückt. Im Falle des
nommen. Dazu zählen unter anderem, aktive Pro- Bibliothekssystems Koha hatte GreenSQL
Während es bei erlaubten Queries nicht zesse oder Logs abzufragen, Passwörter mit der Anweisung »set autocommit=1«
viel zu beachten gibt, darf der Adminis- und Privilegien zu ändern, Datenbanken Schwierigkeiten, die dazu führten, dass
trator bei zu sperrenden Anfragen selbst und Tabellen auszugeben oder Informa- Koha den Dienst mit einer Fehlermeldung
entscheiden, wie GreenSQL sich verhal- tionen zu Datenbankschemata abzurufen quittierte. Die Lösung bestand darin, das
ten soll. Wahlweise wird eine leere Ergeb- (8YY`c[le^+). Log auszuwerten und GreenSQL die ent-
nismenge zurückgeliefert, die Verbindung sprechende Query beizubringen. Für das
zur Datenbank geschlossen oder ein SQL- Cf^^`e^le[9\i`Z_k\ manuelle Lernen gibt es zwei Wege. Ent-
Fehler ausgegeben. Eine leere Ergebnis- weder Sie fügen die Query unter »Data-
menge dürfte den gemeinen Nutzer am GreenSQL ist in der Lage, den Adminis- base Sequrity | Query Groups | Learned
wenigsten verwirren (8YY`c[le^*). trator bei verschiedenen Ereignissen zu Patterns« über den Punkt »Create New«
benachrichtigen. Dazu zählen beispiels- hinzu oder klicken auf den betreffenden
>i\\eJHCXcj@;J weise Änderungen an den Systemeinstel- Eintrag im Log und ordnen das Pattern
lungen, Einbruchsversuche oder Verstöße einer Query Group zu.
Als IDS oder IPS wird GreenSQL zusam- gegen Firewall-Regeln. Um die Funk- GreenSQL loggt nicht nur Traffic und Ein-
men mit einem Risiko-Profil betrieben. tionalität zu aktivieren, sind unter dem bruchsversuche. Die Software gibt auch
Hier entscheiden nicht die Queries da- Punkt Alerts Kontaktlisten und SMTP- Informationen zu Effizienzstatistiken,
rüber, ob eine Anfrage erlaubt ist, son- Server einzurichten. Die Benachrichti- Systemereignissen oder den populärs-
dern die ausgeführte Aktion. Je nach gung selbst ist ebenso leicht konfigurier- ten Queries aus. Neben eigenen Logfiles
Konfiguration blockiert das IDS die Da- bar wie der Rest der Firewall-Lösung. sendet es auf Wunsch auch ausgewählte
tenbankverbindung und informiert einen Neben einem aussagekräftigen Namen Meldungen an den Syslog-Daemon, um
Administrator über den mutmaßlichen sind der Typ des Alarms und ein Inter- sie zum Beispiel mit einem Monitoring-
Einbruchsversuch. vall anzugeben. »System« informiert bei- System auszuwerten.
IDS und IPS haben gemeinsam, dass sie spielsweise über neu hinzugekommene Eine ausgefeilte Berichtsfunktion er-
SQL Injections erkennen können. Dazu oder geänderte Policies, »Traffic« über möglicht es, Informationen aus den
greifen sie auf eine von GreenSQL zu- geblockte Queries und »Intrusion« über Logs komfortabel aufzubereiten. Reports
sammengetragene Datenbank bekannter alle Queries, die einen Einbruchsversuch können beispielsweise dazu dienen, Ent-
Angriffsmuster zurück. Ferner gelten alle vermuten lassen. wicklungen zu dokumentieren oder Ent-
suspekten Anfragen als SQL Injection. Da hier schnell sehr viele Mails zusam- scheidungen zu unterstützen. GreenSQL
Sollte eine Anfrage fälschlich erkannt menkommen können, erlaubt GreenSQL hat bereits viele Berichtsarten eingebaut,
werden, kann der Administrator sie der den Versand gesammelter Meldungen. sodass Admins sofort ausgeben kön-
Query-Gruppe Injections Patterns oder Hier kommt das Intervall ins Spiel: Statt nen, welche Queries lange verarbeitet,
einer anderen Gruppe zuordnen, die mehrerer kurz aufeinanderfolgender am häufigsten angefragt oder geblockt
GreenSQL als erlaubte Anfragen akzep- Mails werden mit dieser Einstellung nur wurden und von welchen IP-Adressen
tiert. eine alle paar Minuten, Stunden oder ein- die meisten Einbruchsversuche erfolgten.
Die fein abgestuften Risiko-Profile legen mal pro Tag versandt. Wer ein Häkchen Die Berichte lassen sich als PDF oder im
Sie ebenfalls unter »Database Security« bei »Verbose« setzt, erhält von GreenSQL Excel-Format exportieren.
an. Sie sind nicht auf einzelne Queries neben der Alarmmeldung auch den SQL- Ist GreenSQL einmal eingerichtet, sollten
beschränkt, sondern beziehen sich auf Query, der sie veranlasste. Sie die Konfiguration sichern. Ein Backup
ist mit den entsprechenden Punkten un- anwendungen und führen die Liste der ben von vornherein dafür gesorgt, dass
ter »System | Backup & Restore« schnell OWASP Top Ten 2013 an R*T. sich nur Nutzer aus dem zugehörigen
erstellt. Das Backup-Passwort wird nur GreenSQL liegt in verschiedenen Vari- Netzwerk (Netmask 255.255.0.0) mit
einmal abgefragt. Hier ist es sinnvoll, anten vor. Bereits die Express-Variante dem GreenSQL-Server verbinden dürfen.
sofort nach dem Backup ein Restore bietet einen guten Basisschutz und dürfte Es ist möglich, GreenSQL ohne weitere
durchzuführen. So prüfen Sie, ob sich ausreichen, um ein Firmenblog oder mä- Firewall-Regeln nur auf einer IP-Adresse
kein Tippfehler eingeschlichen hat. Im ßig frequentierten Webshop zu schützen. anzusiedeln oder auf Localhost zu be-
Ernstfall bleiben Ihnen so böse Überra- Die kostenpflichtigen Varianten bieten schränken. Zertifikate helfen die Echtheit
schungen erspart. zusätzliche Funktionen wie Alarmierun- des Servers zu überprüfen.
gen und Berichte, behalten im Blick wer GreenSQL schützt zwar nicht vor allen
=Xq`k sich mit einer Datenbank verbindet und Unwägbarkeiten des World Wide Web,
verschleiern bestimmte Informationen. aber Angriffen auf Datenbankebene kann
Mit GreenSQL erhalten Administratoren Die Sicherheitslösung ist leicht zu in- die Sicherheitslösung einen Riegel vor-
ein Werkzeug, das vor allem bei unter- stallieren und innerhalb kurzer Zeit in schieben und so andere Sicherheitsvor-
nehmenskritischen Webanwendungen Betrieb zu nehmen. Eine umfangreiche kehrungen sinnvoll ergänzen. (ofr) ■
sinnvoll ist, die (noch) nicht intensiv auf Dokumentation hilft, wenn ein Punkt
Schwachstellen abgeklopft wurden. Dazu nicht klar ersichtlich ist.
gehören neben frei im Web erhältlichen Die Möglichkeit, Queries automatisch @e]fj
Anwendungen auch Eigenentwicklun- zu lernen, erspart Administratoren viel R(T >i\\eJHC1R_kkg1&&nnn%^i\\ejhc%ZfdT
gen, die zunächst nur als Prototypen in Arbeit und schützt davor, wichtige An- R)T Fg\eJfliZ\>i\\eJHC1R_kkg1&&nnn%
Betrieb genommen und dann doch pro- fragen zu vergessen und später hinzu- ^i\\ejhc%e\k&[fnecfX[$[fk$e\kT
duktiv weiterbetrieben wurden. SQL- und zufügen. Dadurch werden Ärger und R*T FN8JGKfgK\e)'(*1
Code-Injektionen zählen zu den höchst Gequengel seitens der Nutzer schon R_kkgj1&&nnn%fnXjg%fi^&`e[\o%g_g&
kritischen Sicherheitslücken bei Web- frühzeitig minimiert. Die Entwickler ha- KfgV('V)'(*$KXYc\Vf]V:fek\ekjT
8eq\`^\
Die heute führenden Spezialisten stammen oft aus der "Freie Software-Szene" und schulen seit
Jahren im Linuxhotel. Das erklärt die Breite und Qualität unseres Schulungsangebotes:
AJAX * Amavis * Android * Angriffstechniken * Apache * Asterisk * BaseX * BayesianAnalysis * Bind * C/C++ * Cassandra *
CiviCRM * Cloud * Cluster * ClusterFS * CouchDB * CSS3 * CUPS * Debian * DHCP * DNS * DNSSEC * Echtzeit Linux *
Embedded Linux * eXist-db * Faces * FAI * Firewall * Forensik * FreeBSD * FreeRADIUS * GeoExt * Git * Grails * GRASS *
Groovy * hadoop * Hochverfügbarkeit * HTML5 * Hudson * iSCSI * IPv6 * ITSM * Java * JavaScript * Jenkins * Kernel * KVM
* LDAP * LibreOffice * Linux * LPI * m23 * MacOSX * MapFish * Mapserver * Maven * Mikrocontroller * MVS/380 * MySQL *
Nagios * Node.js * OpenBSD * OpenLayers * OpenOffice * openQRM * OpenVPN * OPSI * OSGi * OTRS * Perl * PHP *
Postfix * PostgreSQL * Puppet * Python * QuantumGIS * R * Rails * RedHat * Routing * Request-Tracker RT * Ruby * Samba
* SAN * Scala * Scribus * Shell * Sicherheit * SNMP * Spacewalk * Spamfilter * SQL * Struts * Subversion * SuSE * TCP/IP *
Tomcat * Treiber * TYPO3 * Ubuntu * UML * Unix * Univention * Virenfilter * Virtualisierung * VoIP * WebGIS * Webservices *
Windows Autoinstall * Windowsintegration * x2go * xen * XML * Xpath * Xquery * z/OS * Zabbix * Zend
Ja, wir geben es zu und haben überhaupt kein schlechtes Gewissen dabei: Unsere Schulungen machen auch Spaß ;-)
d
=%Zf
)*I
`e#(
Z_b
Xif
\pA
\i^
J
JZ_lkqmfi;i`m\$Yp$8e^i`]]\e
JZ_lkqXljijkle^
BcXjj`jZ_\JZ_lkqd\Z_Xe`jd\en`\=`i\nXccjle[M`i\ejZXee\ijg`\c\eXlZ_`eQlble]k\`e\n`Z_k`^\Ifcc\#j`\
Y`\k\eXY\ib\`e\eJZ_lkqmfi;i`m\$Yp$;fnecfX[j%;fZ_[`\j\g\i]`[\K\Z_e`bnZ_jka_ic`Z_`d[i\`jk\cc`^\e
Gifq\ekY\i\`Z_%K_fdXjQ\cc\i
Wie einfach ist die Welt für Angreifer dar, bestehend aus Webbrowser und Bedrohung im Internet überhaupt aus.
doch heute: Wo früher mühsam Firewalls zahlreichen Plugins wie beispielsweise Ausführliche Details dazu finden sich im
und andere Schutzeinrichtungen über- dem Flashplayer, Java und Adobe Rea- Report „ENISA Threat Landscape“, er-
wunden werden mussten, genügt es der. Browser oder Plugins enthalten hältlich unter R*T.
heute, die Benutzer hinter der Firewall praktisch immer Sicherheitslücken, die
auf einen mit Malware präparierten mit speziellen auf dem Webserver in- ?\`ccfjlej`Z_\i
Webserver zu locken. Das gelingt ganz stallierten Angriffstools dann ausnutzbar
leicht, indem man entsprechende Links sind. Ziel ist es, den Client mit Malware Geradezu legendär sind inzwischen die
per E-Mail, SMS oder Instant Messenger zu infizieren, um ihn als Brückenkopf Sicherheitslücken in der Java-Laufzeitum-
verschickt. Die Kontaktdaten der poten- für den Zugang zu anderen Ressourcen gebung und damit auch im Java-Plugin
ziellen Opfer lassen sich meist problem- im Netzwerk zu missbrauchen oder um für den Webbrowser: Seit fast einem Jahr
los über soziale Netzwerke, etwa Xing, ihn einem Bot-Netz hinzuzufügen. Die kommt Java praktisch nicht mehr aus den
ausfindig machen. Und auch QR-Codes Ausnutzung der Sicherheitslücke erfolgt Schlagzeilen. Kaum liefert der Hersteller
eignen sich bestens zum Verteilen von dabei in der Regel völlig transparent und Oracle ein Sicherheitsupdate für Java,
Malware-Links, schließlich sieht der Be- vom Benutzer unbemerkt – sozusagen wird auch schon die nächste Sicherheits-
nutzer dem Code nicht an, wohin dieser im Vorbeigehen. Daher auch der Name: lücke bekannt – und sofort ausgenutzt.
sein Smartphone führt. Drive-by-Download. Nach Einschätzung Das bestätigt auch eine Studie von Web-
Die größte Schwachstelle – gleich nach der ENISA (European Network and In- sense aus dem März 2013. Sie kommt zu
dem Benutzer – stellt heute aber das auf formation Security Agency) und des IT- dem Ergebnis, dass rund 94 Prozent aller
jedem Arbeitsplatz und mobilen Gerät Branchenverbandes BITKOM, geht von installierten Java-Plugins nicht auf dem
installierte Web-2.0-Instrumentarium Drive-by-Downloads derzeit die größte neuesten Stand sind R(T. Das Bundesamt
für Sicherheit in der Informationstechnik Als Ausgangsbasis benötigt der Angreifer auf einer seriösen Website Schadcode
(BSI) empfiehlt daher schon länger, Java zunächst einen Webserver. Diesen mietet einzufangen, ist also sehr hoch. Darü-
im Browser zu deaktivieren oder besser er entweder selbst bei einem der zahlrei- ber hinaus sind Webapplikationen, die
gleich vollständig zu deinstallieren R)T. chen Hosting-Anbieter oder in der Cloud Sicherheitslücken enthalten, auch bes-
an oder er schleust seinen Code über tens dokumentiert. Daher lassen sich ver-
;i`m\$Yp$JgXd gehackte FTP-Zugangsdaten oder über wundbare Webserver auch leicht aufspü-
Sicherheitslücken in einer Webapplika- ren. Bevorzugte Angriffsziele sind dabei
Analog zum Drive-by-Download kursiert tion eines bestehenden und möglichst immer wieder veraltete PHP-Versionen
zwischenzeitlich auch Drive-by-Spam, attraktiven Webangebots ein. Letzte- oder Content-Management-Systeme wie
der den Computer auch ohne Umweg res erfordert auf Seiten des Angreifers Wordpress, Typo3 und Joomla. Sehr in-
über den Webbrowser mit Schadcode zwar einen höheren Skill-Level, denn tensiv mit der Sicherheit von Webappli-
infizieren kann. Drive-by-Spam-E-Mails zunächst müssen die Schwachstellen in kationen beschäftigt sich das Open Web
kommen in der Regel im HTML-Format der Webapplikation ja identifiziert und Application Security Project OWASP
daher, der Schadcode wird dann mit Hilfe ausgenutzt werden. Aber der Aufwand R-T, das alljährlich eine Top-10-Liste mit
von Javascript bereits während der Vor- lohnt sich, denn je nach Attraktivitiät den häufigsten Sicherheitslücken und
schauanzeige im E-Mail-Programm auf und Bekanntheitsgrad des Webangebots, Schwachstellen in Webapplikationen
dem Client nachgeladen. lassen sich auf diese Weise natürlich we- veröffentlicht.
Anders als bei klassischer E-Mail-Mal- sentlich schneller viele Opfer finden – zu-
ware und Phishing-E-Mails, muss der mal infizierte Websites zwischenzeitlich B\`eDXe^\cXeKffcj
Benutzer hier also weder ein Attachment auch durch SEO-Poisoning (Suchmaschi-
öffnen oder ausführen. Er muss auch nenoptimierung für die optimale Plat- An frei verfügbaren Tools zur Vorberei-
nicht aktiv auf einen Link klicken. Statt- zierung von Malware-Sites) schnell weit tung eines Webserver-Angriffs herrscht
dessen wird die Malware schon durch oben in den Suchergebnissen von Google wahrlich kein Mangel. So offerieren Ha-
bloßes Öffnen der Nachricht im E-Mail- & Co auftauchen. cking-Werkzeugkästen wie zum Beispiel
Programm aktiviert. die Live-CDs Backtrack oder Kali-Linux
Wo immer möglich sollte daher die Vor- CZb\e`eN\YXggc`bXk`fe\e R.T, R/T in der Sektion Webapplikationen
schauanzeige von HTML-Nachrichten im zahlreiche Programme, die in der Lage
E-Mail-Client deaktivert werden. Dass Die wenigsten Benutzer befürchten, sich sind, Typ und Schwachstellen verschie-
diese Angriffsmethode derzeit sehr po- auf einer bekannten Website mit Schad- dener Content-Management-Systeme zu
pulär ist, belegt nicht zuletzt eine Sta- code zu infizieren. Dabei sieht die Re- erkennen. Mit Tools wie dem dort eben-
tistik des Managed-E-Mail-Security-An- alität ganz anders aus: So berichtet der falls verfügbaren »sqlninja« wird dann
bieters Eleven vom Oktober 2012. Nach Websense Threat Report 2012 R,T bei- der eigentliche Angriff auf das CMS oder
Erkenntnissen von Eleven verlinkt heute spielsweise, dass 82 Prozent der bösarti- dessen Datenbank ausgeführt.
bereits jede zehnte Spam-E-Mail auf gen Webseiten inzwischen auf kompro- Seit vielen Jahren sind auf diversen Unter-
Malware R+T. mittierten Hosts laufen – das Risiko, sich grundmärkten im Internet außerdem auch
kommerzielle Exploit-Kits erhältlich. Sie
:fdglk\i[\jFg]\ij _kkg1&&nnn%j\i`f\j\$n\Yj`k\%[\ werden per Software-Maintenance stets
auf dem aktuellen Stand gehalten und ga-
8YcXl]\`e\j;i`m\$Yp$;fnecfX[j
3_kdc5
¿% =i [`\ MfiY\i\`kle^ \`e\j ;i`m\$Yp$;fne$
3`]iXd\jiZ\m`c$j\im\i%Zfd&b`cc$d\%g_g5
3&Yf[p5 cfX[$8e^i`]]j n`i[ qleZ_jk \`e N\Yj\im\i
bfdgifd`kk`\ik le[ [\i JkXikj\`k\ `e \`e\d
`=iXd\qljkqc`Z_\i:f[\Æd\`jk`eAXmXjZi`gk
Æ lek\i^\jZ_fY\e% ;\i :f[\ `d `=iXd\ m\i$
_kkg1&&nnn%\m`c$j\im\i%Zfd n\`jkXl]\`e\eXe[\i\eN\Yj\im\i#[\ilek\i
[\i Bfekifcc\ [\j 8e^i\`]\ij jk\_k% 8l] [`\$
t
:c`\ek$JZXe j\d Y\]`e[\k j`Z_ [`\ 8e^i`]]jjf]knXi\# [`\
<ogcf`k [`\M\ij`fe[\jN\YYifnj\ijle[[`\mfi_Xe$
N\Y$J\im\i [\e\eGcl^`ej[\iN\Yj\`k\eY\jlZ_\i\id`k$
[\j8e^i\`]\ij k\ck le[ `_e\e [\e gXjj\e[\e <ogcf`k$:f[\
lek\ijZ_`\Yk% JfYXc[ [\i <ogcf`k \i]fc^i\`Z_
Xlj^\]_iknli[\#n`i[[\i\`^\ekc`Z_\JZ_X[$
Zf[\#qld9\`jg`\c\`eKifaXe\i#eXZ_^\cX[\e
le[leY\d\ibkmfd9\elkq\iXl][\dJpjk\d
Xlj^\]_ikÆjZ_fe`jk\jgXjj`\ik%
DXcnXi\ ;`\8YY`c[le^(\iclk\ik[\ekpg`jZ_\e8YcXl]
8YY`c[le^(1Jfm\icl]k\`e;i`m\$Yp$8e^i`]]%
\`e\i;i`m\$Yp$@e]\bk`fe%
8YY`c[le^)19\`jg`\c_X]k\8lj^XY\[\jJX]\$9ifnj`e^$;`\ejk\j%;`\j\J\`k\n`i[XcjDXcnXi\$JZ_c\l[\i^\i^k%
rantieren teilweise sogar die permanente kung allerdings erst in Kombination aller satz von URL-Filtern und Virenscannern
Verfügbarkeit sogenannter Zero-Day-Ex- Maßnahmen erzielen: auf dem Internet-Gateway. In Umgebun-
ploits, also Sicherheitslücken, für die der Idealerweise beginnt die Absicherung gen, in denen nach dem Bundesdaten-
jeweilige Softwarehersteller aktuell noch gegen Exploit-Kits und Drive-by-Down- schutzgesetz „besondere Arten personen-
keinen Patch bereitstellt. Dabei wurden loads schon bei den eigenen Webservern. bezogener Daten“ verarbeitet werden,
die vor Jahren noch dominanten Kits Denn sind diese erst einmal als Malware- ist auch eine besondere Sorgfalt bei der
MPACK. Neosploit, Zeus und Eleonore Schleuder aufgefallen, ist es zum einen Bereitstellung von Internet-Zugängen
zwischenzeitlich von Exploit-Kits der schwer, das verlorengegangene Vertrauen erforderlich. Zu den besonders schutz-
zweiten Generation abgelöst. Bekannte wiederzugewinnen. Zum anderen stellt würdigen personenbezogenen Daten
Vertreter sind das Phoenix-Exploit-Kit sich in einem solchen Fall natürlich zählen unter anderem Gesundheitsdaten,
und vor allem das Black-Hole-Exploit-Kit auch die Frage nach der Haftung des Informationen über die rassische oder
(BHEK2). Interessenten können Instan- Betreibers. Denn im Schadensfall muss ethnische Herkunft, politische, religiöse,
zen dieser Angriffstools in den einschlä- der Betreiber nachweisen, dass er beim gewerkschaftliche und sexuelle Orien-
gigen Untergrund-Foren auf täglicher Betrieb des Webservers die „verkehrsüb- tierung. In diesen Umgebungen können
Basis (50 US Dollar pro Tag inklusive liche Sorgfaltspflicht“ beachtet hat (§ 280 grafische Firewalls gute Dienste leisten.
50 000 Hits), per Monat (500 US Dollar BGB, Schadensersatz wegen Pflichtverlet- Sie entkoppeln den Browser vollständig
mit 70 000 Hits) oder pro Jahr (1500 US zung), die er in der Regel an seinen Ad- vom Arbeitsplatz und werden daher auch
Dollar mit unlimitierter Anzahl Domains) ministrator delegiert. Erste Admin-Pflicht ReCoBs-Systeme (Remote Controlled
mieten. Einen guten Überblick über den muss also die regelmäßige Überprüfung Browser Systems) genannt. Auch andere
Stand der Entwicklung bei Exploit-Kits der eigenen Webservices auf Exploit-Kits sicherheitskritische Umgebungen, wie sie
liefert das Poster Common-Exploit-Kits und Malware-Befall sein. bei der Verarbeitung von Gesundheits-
2012 unter R0T und vor allem die Exploit Doch natürlich müssen auch die eigenen daten, Verschlusssachen (VS-NfD) oder
Table 2013 des Bloggers Mila, erhältlich Client-Systeme vor Drive-by-Downloads NATO-Restricted-Daten gegeben sind,
als Google-Apps-Tabelle unter R('T. Diese geschützt werden, indem die eingesetz- profitieren von einer solchen Lösung.
listet die Funktionalitäten der verschie- ten Browser und Plugins immer auf dem Doch dazu später mehr.
denen Malware-Kits unter Bezugnahme neuesten Stand gehalten werden. Das
auf die entsprechende CVE-ID auf. CVE wird umso schwieriger, wenn sich jeder M\iYi\`kle^jn\^\]i
steht für Common Vulnerabilities and Ex- Benutzer seine individuellen Browser,
DXcnXi\\`ejZ_ieb\e
posures und bezeichnet einen Industrie- Plugins und Zusatzsoftware zusammen-
standard zur eindeutigen Benennung von stellen darf. Es ist daher hilfreich, auch Da Sicherheit bekanntlich am Anfang
Sicherheitslücken in Computersystemen die Benutzer im Rahmen einer Aware- eines jeden Prozesses stehen sollte, ist
und -software, die in Listenform von der ness-Kampagne über die Gefahren aus die wichtigste Maßnahme, bereits bei
MITRE Corporation R((T gepflegt wird. dem Web zu informieren und von der der Entwicklung von Webapplikationen
Notwendigkeit der Einhaltung von Unter- entsprechende Sorgfalt walten zu lassen.
Le[nXj_`c]k6 nehmens-Policies zu überzeugen. Denn Das Bundesamt für Sicherheit in der In-
die beste Sicherheitstechnik nützt nichts, formationstechnik (BSI) hat zu diesem
Nachdem bis hierher ausführlich die wenn sie von den Benutzern nur als Be- Thema in Zusammenarbeit mit dem Si-
von Exploit-Kits ausgehenden Gefahren hinderung wahrgenommen wird und sie cherheitsdienstleister Securenet bereits
zur Sprache kamen, ist es nun an der dann aktiv versuchen, Sicherheitsmaß- im Jahr 2006 einen Maßnahmenkatalog
Zeit, über geeignete Gegenmaßnahmen nahmen zu umgehen. und Best Practices für die Sicherheit
zum Schutz vor Drive-by-Downloads zu Einen dritten Ansatzpunkt schließlich von Webanwendungen erstellt R()T, der
sprechen. Grundsätzlich kommen drei bieten Sicherheitsmaßnahmen am Über- entsprechende Hinweise für Entwickler
Ansätze in Betracht, die ihre volle Wir- gang zum Internet, etwa durch den Ein- liefert. Für bereits verfügbare Webappli-
kationen bietet der Markt entsprechende Dabei ersetzt man mysite.com einfach lässt sich bei den meisten Distributionen
Tools zur automatischen Sourcecode- durch den eigenen Domainnamen oder einfach über die Paketverwaltung ein-
Analyse auf Sicherheitslücken, exem- verwendet zum Testen eine bekannte spielen. So genügt zur Installation unter
plarisch seien hier Fortify R(*T und IBMs Malware-Domain, etwa von der Malware- Debian/Ubuntu beispielsweise ein
Rational AppScan R(+T genannt. Domain-Liste R(.T.
sudo apt-get install 5
Mit der Initiative S hat auch der Bran- libapache2-modsecurity modsecurity-crs
8YY`c[le^,1Gi`eq`g\`e\i^iX]`jZ_\e=`i\nXcc1;\i9ifnj\icl]kXl]\`e\dK\id`eXcj\im\i`e[\i;DQ% ®
NETWAYS
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( * ,*
N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e
;Xk\ed`k=KG$8ck\ieXk`m\D=Kj`Z_\im\ij\e[\e
Lci`Z_Dl\cc\i#()*I=
KiXejgfik^\j`Z_\ik
=KG#[Xj=`c\KiXej]\iGifkfZfc#]\`\ik`e[\iXbkl\ccm\in\e[\k\eM\ij`fe[`\j\jAX_ij\`e\e)/%>\YlikjkX^2[`\
Mfi^e^\i$M\ij`fejkXddk\^XiXlj[\dAX_i(0.(%Kifkqj\`e\j8ck\ijc\`jk\k=KG`dd\iefZ_ki\l\;`\ejk\#
[fZ_]i[`\|Y\ikiX^le^j\ej`Yc\i;Xk\e^`Yk\jce^jkY\jj\i\8ck\ieXk`m\e%IfY\ikBfi_\ii
Nicht zuletzt die Sicherheitsbedenken Non-Disclosure-Agreements (NDA) und aber eigentlich sichere Services und Tech-
mit Blick auf FTP brachten inzwischen Regularien wie PCI oder ISO. Last, but nologien bevorzugen.
eine Reihe von Weiterentwicklungen her- not least nötigen auch interne und ex-
vor, die in den Protokollen Secure FTP, terne Compliance-Vorgaben wie der Sar- NXjDXeX^\[=`c\KiXej]\i
Secure Copy Protocol (SCP), FTP over banes Oxley Act (SOX), PCI-DSS, ISO
`jkle[bXee
SSL (FTPS) und SSH File Transport Pro- 27001 und Basel II zu technischen und
tocol (SFTP) mündeten. Neu hinzuge- organisatorischen Maßnahmen. Letztlich Die Kernfunktionalitäten von MFT umfas-
kommen ist das 2008 fertiggestellte Ver- müssen alle Unternehmen gewährleisten, sen die sichere Übertragung und Speiche-
fahren Managed File Transfer (MFT). Das dass sie ihre Daten in motion (beim Da- rung von Daten, gekoppelt mit Reporting
Besondere an ihm ist die Verschlüsselung teitransfer) verschlüsselt übertragen und und Audit der Datenaktivitäten. Darüber
aller zu übertragenen Dateien nicht nur at rest (bei der (Zwischen-)Speicherung) hinaus unterscheidet sich MFT von allen
während des Versands, sondern auch bei sicher ablegen. anderen Arten von Infrastrukturen da-
der Speicherung auf dem Server oder auf Auch das Bundesamt für Sicherheit in durch, dass es auch die Übertragung von
bereitgestellten Sharepoints. der Informationstechnik (BSI) empfiehlt sehr großen Dateien ermöglicht. Mit MFT
Der folgende Beitrag diskutiert die An- in seinem Übersichtspapier Online- tauschen Unternehmen große Datenmen-
forderungen an einen sicheren Datenver- Speicher vom November 2012: „Werden gen mit Geschäftspartnern über verschie-
sand und stellt die Technik hinter MFT schützenswerte Daten über ungeschützte dene Standorte, Regionen und Zeitzonen
vor. Netze übertragen, muss über den Einsatz hinweg sicher, nachweisbar und schnell
zuverlässiger Verschlüsselungsverfahren über öffentliche Netze aus.
;`\8e]fi[\ile^\e intensiv nachgedacht werden.“ Das BSI Dabei sind alle MFT-Lösungen ähnlich
erwähnt in dem Papier explizit auch eine aufgebaut: Sie bestehen aus einem Ser-
Der Schutz von sicherheitsrelevanten bestimmte Funktion, die häufig in Zu- ver, auf dem Dateien beliebiger Größe
Daten sollte für jeden Anwender hohe sammenhang mit MFT-Systemen angebo- bereitgestellt werden und einem System,
Priorität haben, nicht zuletzt fordert das ten wird: Cloud-Speicher, die Anwender das Zugriffs- und Nutzungsrechte verwal-
auch das Bundesdatenschutzgesetz in zum File Sharing oder zur Kollaboration tet. Der wesentliche Unterschied zu un-
§ 9 (Technische und organisatorische nutzen. Privat verwendet man dafür sicheren Technologien ist, dass Dateien
Maßnahmen) und § 42a (Informations- zumeist Google Tools oder kostenlose auf dem Server verschlüsselt gespeichert
pflicht bei unrechtmäßiger Kenntniser- Cloud Services wie Dropbox, Duplicati werden und so für Unberechtigte nicht
langung von Daten). Dazu kommen zu- und andere. Auch Unternehmen greifen zugänglich sind. Bei MFT können nur
sätzliche Bestimmungen wie sogenannte auf diese Möglichkeiten zurück, sollten die zugriffsberechtigten Empfänger die
verschlüsselt bereitgestellten Dateien werden kann. Diese Funktion dient bei Größenbeschränkungen. Das funktioniert
herunterladen und entschlüsseln. Die vielen Lösungen als Nachweis über die folgendermaßen: Werden große oder sen-
Daten werden bereits beim Versender erfolgreiche Zustellung von Daten an den sible Informationen in Form von Anhän-
verschlüsselt und erst beim Empfänger Empfänger. Eine Protokollierung sorgt gen durch den Anwender versandt, dann
wieder entschlüsselt. Dadurch sind Daten für zusätzliche Sicherheit, da durch eine wird der Text der E-Mail und das Attache-
nicht nur auf dem Transportweg, sondern Logfile-Analyse eine fehlerhafte Übertra- ment voneinander entkoppelt. Auf das
etwa auch in einem Zwischenspeicher gung oder ein nicht abgeholter Download Attachement verweist dann nur ein Link
sicher. erkannt und der Versender entsprechend in der E-Mail, physikalisch bleibt es meist
Als Verschlüsselungsstärke des MFT- informiert werden kann. lokal auf einem MFT-Laufwerk oder Ser-
Systems sollte man den sicheren 256-Bit- Häufig lässt sich auch noch die Gültigkeit ver verschlüsselt gespeichert. Der Emp-
AES-Standard wählen. Einige Lösungen von Dateien beschränken. Dann ist eine fänger, der die E-Mail erhält, kann durch
bieten als zusätzliche Sicherheitsoption Datei nur bis zu einem gewissen Datum Anklicken des Links die verschlüsselte
eine Datensegmentierung an, was bedeu- herunterladbar oder es ist nur eine ge- Datei vom MFT-Server des Versenders
tet, dass die Dateien vor dem Versand in wisse Anzahl von Downloads möglich. herunterladen. Es ist auch möglich für
kleine Segmente aufgeteilt, in zufälliger Solche Management-Funktionen stellen Dateien, die einer hohen Schutzklasse
Reihenfolge versandt und erst beim Emp- im Vergleich zu FTP & Co. einen Mehr- unterliegen, noch eine Authentifizie-
fänger wieder richtig zusammengesetzt wert dar und erlauben einen belastbaren rung vorzuschalten. Der Empfänger
werden. Zustellungsnachweis. meldet sich dann an einem MFT-Portal
Managed heißt der File Transfer unter mit seinen Login-Daten an und kann die
anderem deshalb, weil der Download <$DX`c$@ek\^iXk`fe Datei erst nach der Verifizierung seiner
von Dateien dem Versender meist ent- Zugriffsberechtigung herunterladen. Im
weder proaktiv über Benachrichtigungen Bei MFT-Lösungen, die auf E-Mail ba- Normalfall bekommt der Versender eine
per E-Mail mitgeteilt wird oder passiv in sieren, unterliegen die zu versendenden Nachricht über den erfolgreichen Down-
einer persönlichen Übersicht überprüft Dokumente nicht den meist eingestellten load des Anhangs.
"
" !"
$!#! #!
Festnetz ab 1,0 Ct
brutto pro Min.*
Die Anbindung für Ihre Telefon - Systeme Ohne Fixkosten – Keine Vertragslaufzeit
Nutzen Sie den SIP - Trunk connectBasic zur An- connectBasic hat keine Setup - Kosten, Grundge-
bindung Ihrer SIP - fähigen Telefonanlage oder bühren oder Mindestumsätze.
Ihrer eigenen Telefonieserver, wie z.B. Asterisk.
100 Minuten Gratis - Test
Als Ergänzung oder Komplettlösung
* Stand 16.04.2013
connectBasic ist die ideale Möglichkeit, Ihre Lei- Überzeugen Sie sich von unserer Sprachqualität
tungen für ausgehende Gespräche zu erweitern und sichern Sie sich 100 Freiminuten ins deut-
oder bestehende, teure Leitungen zu ersetzen. sche Festnetz: www.outbox.de
I\[?Xkj:cfl[$le[M`iklXc`j`\ile^jgfik]fc`f`e[\i|Y\ij`Z_k
Nfcb\eble[\
9i`Xe>l\jk#()*I=%Zfd
8YY`c[le^(1I\[?Xkj:cfl[$8iZ_`k\bklij`\_kmfi#d`k?`c]\mfeI\[?Xkj;\ckXZcfl[$8G@e\Y\e[\e\`^\e\e 8YY`c[le^)1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$
:cfl[$K\Z_efcf^`\eI?<M$Dle[Fg\eJkXZbXlZ_[`\a\e`^\eXe[\i\i?\ijk\cc\iXeqlY`e[\e% X$J\im`Z\jZ_c`\kXlZ_[Xj<`eY`e[\emfe:cfl[$
I\jjfliZ\e\`e\jI\[?Xk:\ik`]`\[GlYc`Z:cfl[
sind, allen voran die Cloud-Management- soll, die dem Aufbau hybrider Cloud- Gifm`[\ijeXZ_9\[Xi]d`k\`e%
Suite CloudForms und Red Hat Enterprise Umgebungen eigentlich innewohnende
Virtualization sowie IaaS-Ressourcen und Komplexität zu reduzieren. Die Lösung nommen hat. Bereits im Mai desselben
Dienstleistungen. packt die dazu fundamentalen Kompo- Jahres kündigte Red Hat an, OpenShift
Ein erster Blick gilt dem Programmgerüst, nenten RHEV, das CloudForms-Famework unter einer Open-Source-Lizenz (Apache-
bevor Funktionen und Prozeduren mit zu- und RHEL als Gastbetriebssystem in ein Lizenz) zu stellen. Sämtliche OpenShift-
nehmender Komplexität sichtbar werden. Paket, welches außerdem die Möglich- Komponenten rund um die Origin Server
Red Hat Cloud mit Virtualization Bundle keit einschließt, on-demand zusätzliche getaufte Community-Version sind seit
ist ein Paket aus RHEV-Version 3.1 und Cloud-Ressourcen von einem Red Hat Mai 2012 unter Github R0T verfügbar.
CloudForms 1.1, das Unternehmen den Certified Public Cloud Provider R.T ein- Laut Red Hat soll OpenShift den Markt
Einstieg ins Cloud Computing dadurch zubinden. für Platform-as-a-Service (PaaS) völlig
erleichtern soll, dass es die Virtualisie- umkrempeln. OpenShift stellt Software-
rungsstrategie gleich mit konsolidiert. Fg\eJ_`]kFi`^`e& Entwicklern zahlreiche Sprachen, Frame-
Unternehmen, die den Schritt zur Virtu-
<ek\igi`j\ works und SQL- sowie NoSQL-Daten-
alisierung ihrer Serverlandschaft bisher banken zur Verfügung und ermöglicht es
noch nicht vollzogen haben, können die- OpenShift R/T ist Red Hats seit Mai 2012 ihnen sogar, den Red Hat Certified Cloud
sen nach Red Hats Vorstellungen durch unter einer Community-Lizenz verfüg- Provider, bei dem ihre Anwendungen an-
den Einsatz des Virtualization Bundle bare Cloud-Anwendungsplattform. Der schließend laufen sollen, frei wählen zu
mit dem Aufbau einer Unternehmens- Platform-as-a-Service-Dienst (PaaS) stellt können (8YY`c[le^)).
Cloud kombinieren und durch das Zu- Entwicklern Deve-
sammenfassen zweier Projekte in einem lopement-Tools in
Zyklus die TCO senken – so die Idee. der Cloud zur Ver-
Das Produkt-Bundle enthält sämtliche fügung, sodass sie
Komponenten, die zum Aufbau und für keine eigenen Um-
das Orchestrieren von Cloud- und Vir- gebungen für ihre
tualisierungsplattformen notwendig sind Software-Projekte
und umfasst das Management virtueller aufzusetzen müs-
Maschinen, das Systemmanagement und sen.
das Application Lifecycle Management. Die eigentliche
OpenShift-Platt-
?pYi`[@e]iXjkilZkli\$Xj$X$ form basiert auf
J\im`Z\@XXJ Technologien der
Firma Makara, ei-
Red Hat Hybrid Infrastructure-as-a-Ser- nem Anbieter von
vice (8YY`c[le^ *) ist, wie der Name Cloud-Services, 8YY`c[le^*1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$X$J\im`Z\Y\[`\ekj`Z_
unschwer erkennen lässt, ein klassisches den Red Hat im m\ijZ_`\[\e\e@e]iXjkilbklibfdgfe\ek\e#K\Z_efcf^`\ele[Gif[lbk\eXlj[\d
IaaS-Produkt, das Unternehmen helfen Jahr 2011 über- I\[$?Xk$9XlbXjk\e%
=Xq`k
Red Hats Unternehmensphilosophie,
selbst entwickelte oder durch strategische
Übernahmen erworbene Technologien
nach Abschluss der Testphase oder dem
Beseitigen von proprietären Bestandteilen
in Open-Source-Projekte zu überführen,
ist durchgängig zu beobachten und hat
8YY`c[le^,1D`k:cfl[=fidj^\c`e^k[\i8l]YXlle[[XjM\inXck\e_pYi`[\i:cfl[$D`o\jXlj@e]iXjkilbkli$ Methode. Mit KVM, JBoss, Ovirt, Delta-
9Xljk\`e\e%Be]k`^jfcc:cfl[=fidjXlZ_I?E\ij\kq\ele[q\ekiXc\M\inXckle^jXl]^XY\emfdJf]knXi\$ cloud, OpenShift seien nur einige popu-
DXeX^\d\ekY\i[XjJpjk\d$DXeX^\d\ekY`jqldI\gfik`e^nX_ie\_d\e% läre Beispiele genannt. Viele der Techno-
logien sind aus strategischen Übernah-
falls seit Dezember 2012 in einer aktu- Hosts (RHEV-H) und dem Management- men hervorgegangen, was zeigt, dass Red
alisierten Version 3.1 verfügbare Virtu- System (RHEV-M), das nun endlich eine Hat tief im Open-Source-Gedankengut
alisierungsplattform Red Hat Enterprise reine Java-Anwendung ist. Eine un- verwurzelt ist und die Idee von Open
Virtualization (RHEV) R)*T für Server schöne Folge des Deals aus 2008 bestand Source mit den Anforderungen eines
R)+T und Desktops R),T. Dieser Beitrag nämlich bis RHEV 3.0 darin, dass das wirtschaftlich agierenden Unternehmens
beschränkt sich auf die Neuerungen, die Management-System (Administrations- verbindet. Red Hat ist schließlich auch
RHEV 3.1 auf einen Level mit den Enter- konsole) zum Verwalten der Wirtssys- wirtschaftlich der bedeutendste Open-
prise-Virtualisierern von VMware, Citrix teme nur auf Windows-Hosts lief, weil Source-Hersteller und einer der wenigen,
und Microsoft heben, denen RHEV 3.1 es zwingend IE7, Dot-Net und ein Active die stetig Gewinne erwirtschaften.
technologisch mit der Unterstützung von Directory voraussetzte. Wie die Adminis- Das Übergeben von durch Red Hat wei-
bis zu 160 CPUs in virtuellen Maschinen trationskonsole aussieht, lässt sich auch terentwickelten Technologien an Open-
und bis zu 2 TByte Speicher sogar über- ohne RHEV-Subscription einigermaßen Source-Stiftungen zahlt sich für das
legen ist. nachvollziehen, indem man einfach Unternehmen mehrfach aus. Zum einen
Red Hats Enterprise Virtualization war das Ovirt-Framework unter Fedora in ermöglichen Community-Entwickler ei-
bekanntlich zu großen Teilen im Jahr stalliert. nen stetigen Know-How-Transfer, der
2008 aus der Akquisition des israelischen RHEV 3.1 bringt weitere Verbesserungen letztendlich allen zugute kommt und die
Software-Herstellers Qumranet hervorge- mit, etwa bei den unterstützten Speicher- Produkte besser und bekannter macht.
gangen, ebenso wie der seit Linux 2.6.20 technologien, der Benutzerverwaltung, Ferner ermöglichen Community-Projekte
offiziell im Kernel verankerte KVM-Hy- der Skalierbarkeit und bei der Funk- einen herstellerübergreifenden Austausch
pervisor sowie große Teile der in RHEV tionalität virtueller Desktops. Der KVM- über Protokolle und Schnittstellen, was
verbauten Komponenten, inklusive der Hypervisor unterstützt in RHEV neueste Red-Hat-Produkte oft schneller in die
auf dem Ovirt-Framework und dem x86-Prozessoren.
Spice-Protokoll basierenden Desktop-Vir- Ferner supportet
tualisierung. Mit dem mittlerweile in ein RHEV 3.1 als Tech-
Community-Projekt überführten Ovirt- nologie-Preview
Framework (8YY`c[le^-) lässt sich ein die Live-Migration
leistungsfähiges Datacenter-Management von Speicher. So
aus Linux-Hosts unter RHEL oder Fedora lassen sich virtu-
aufbauen. Die konzeptionelle Vergleich- elle Festplatten
barkeit mit VMware & Co gelingt Red der VMs zwischen
Hat aber erst mit RHEV 3.1, weil die Red- verschiedenen
Hat-Entwickler über die Jahre proprietäre Speichersystemen
Code-Bestandteile (C#) erst durch Open- (SAN, iSCSI, NFS)
Source-Code ersetzen mussten. migrieren, ohne
Eine typische RHEV-Umgebung besteht die Maschine an-
aus einem (oder mehreren) Hypervisor- zuhalten. 8YY`c[le^-1;XjFm`ik$=iXd\nfibXcjDXeX^\d\ek$N\ibq\l^%
R.T I \[?Xk:\ik`]`\[:cfl[Gifm`[\i1
R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej&
Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
]`e[$glYc`Z$Zcfl[%_kdcT
R/T Fg\eJ_`]k$GcXkk]fid1R_kkgj1&&fg\ej_`]k%
i\[_Xk%Zfd&Zfddle`kp&fg\e$jfliZ\T
R0T Fg\eJ_`]kXl]>`k_lY1
R_kkgj1&&^`k_lY%Zfd&fg\ej_`]kT
R('TFg\eJ_`]k<ek\igi`j\1R_kkg1&&nnn%i\[_Xk%
Zfd&XYflk&e\nj&gi\jj$XiZ_`m\&)'()&((&i\
[$_Xk$[\c`m\ij$`e[ljkipj$]`ijk$Zfdgi\_\ej
`m\$fg\e$fe$gi\d`j\$gcXk]fid$Xj$X$j\im`Z
\$f]]\i`e^$]fi$\ek\igi`j\jT
R((T A9fjj<ek\igi`j\D`[[c\nXi\1
R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
aYfjj\ek\igi`j\d`[[c\nXi\&
Xggc`ZXk`fe$gcXk]fid&T
8YY`c[le^.1I\[?XkjJkfiX^\J\im\ic`\^kjfnf_c]i[\eMfi$Fik$<`ejXkqXcjXlZ_]i[`\M\in\e[le^d`k R()TFg\eJ_`]kN\YZfejfc\1R_kkgj1&&fg\ej_`]k%
gi`mXk\ele[_pYi`[\e:cfl[jmfiÆ_`\iXcjjbXc`\iYXi\jE8J]i8dXqfeN\YJ\im`Z\j% i\[_Xk%ZfdT
R(*T:cfl[=fidj1R_kkg1&&nnn%i\[_Xk%Zfd&
Lage versetzt, sich als herstellerunab- laubt. Übrigens nennt Red Hat – obwohl jfclk`fej&Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
hängige Standards im Markt erfolgreich alle im Beitrag vorgestellten Produkte seit gi`mXk\$Zcfl[j$Zcfl[]fidj%_kdcT
zu etablieren. Ende letzten Jahres offiziell verfügbar R(+TI\[?XkE\knfibJXkk\c`k\1
Dieses Ziel verfolgen die Amerikaner sind – mit Ausnahme von RHEL und R_kkg1&&nnn%i\[_Xk%Zfd&gif[lZkj&
auch mit ihrer Cloud-Strategie hin zu ei- RHEV – keine Preise und verweist auf das \ek\igi`j\$c`elo&i_e$jXk\cc`k\&T
ner offenen, hybriden und herstellerunab- Kontaktformular zur Sales-Abteilung. Der R(,T:cfl[=fidj(%'1R_kkg1&&[\%i\[_Xk%
hängigen Cloud. Red Hats Cloud-Stratgie Grund dürfte darin liegen, dass Cloud- Zfd&i_\Zd&i\jk$i_\Zd&aZi&
hält somit, insbesondere im Zusammen- Computing im Einzelfall immer noch ein i\gfj`kfip&ZfccXYfiXk`fe&aZi1jpjk\d&
hang mit vorkonfektionierten Lösungen hochgradig individuelles und projekt- aZi1m\ij`feJkfiX^\&XX'X]+X-'X',)-'
wie Red Hat Hybrid Infrastructure-as-a- orientiertes Thema ist. Nichtsdestotrotz ((+]]X\'Z]Y)*Y\YZ&0&aZi1]ifq\eEf[\&
Service und Cloud with Virtualization versucht Red Hat, Produkt, Projektunter- i_1i\jfliZ\=`c\T
Bundle, Vergleiche mit kommerziellen stützung, Beratung und Cloud-Ressour- R(-TI\[?XkJkfiX^\J\im\i1
Lösungen wie etwa Microsoft System cen in Form des Open-IaaS-Architecture- R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
Center oder VMware vCloud Suite durch- Service zu bündeln und das Vorgehen jkfiX^\$j\im\i&T
aus stand. so auch konzeptionell zu standardisieren R(.T I\[?Xk<ek\igi`j\C`elo1
Die neuen Produktkreationen enthalten und damit für den Anwender kalkulierba- R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
sämtliche Komponenten zum Aufbauen rer zu machen. (jcb) ■ \ek\igi`j\$c`elo&T
und Verwalten von Clouds, von den ele- R(/TI\[?XkM`iklXc`qXk`fe1R_kkg1&&[\%i\[_Xk%
mentaren Virtualisierungstechnologien Zfd&gif[lZkj&m`iklXc`qXk`fe&T
bis zu CloudForms, das nicht nur dem @e]fj R(0T<lZXcpgklj`e=\[fiX(/1
Orchestrieren von Clouds dient, sondern R(T I\[?Xk:cfl[Gfik]fc`f1R_kkgj1&&[\% R_kkgj1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
sich künftig zu einem zentralen System- i\[_Xk%Zfd&gif[lZkj&Zcfl[$Zfdglk`e^& <lZXcpgkljT
Management-Werkzeug entwickeln und gfik]fc`f&T R)'TFg\eJkXZb`e=\[fiX(/1
RHN Sattelite ablösen soll. R)T ;`\I\[?Xk:cfl[1R_kkg1&&[\%i\[_Xk% R_kkg1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
Zfd&jfclk`fej&Zcfl[$Zfdglk`e^& Fg\eJkXZbV=fcjfdT
?\ijk\cc\iY\i^i\`]\e[\ i\[$_Xk$Zcfl[&T R)(TM`[\fFg\eJkXZb$JkiXk\^`\1R_kkg1&&nnn%
R*T I\[?XkJldd`k)'()1R_kkg1&&nnn% fg\ejkXZb%fi^&jldd`k&jXe$[`\^f$)'()&
JkXe[Xi[j
i\[_Xk%Zfd&jldd`k&)'()&^Xcc\ip&T fg\ejkXZb$jldd`k$j\jj`fej&gi\j\ekXk`fe&
Bereits jetzt ist CloudForms die einzige R+T I\[?Xk@XXJ1R_kkg1&&[\%i\[_Xk%Zfd& i\[$_Xk$j$Zcfl[$jkiXk\^pT
Management-Plattform für offene, hyb- jfclk`fej&Zcfl[$Zfdglk`e^&`XXj&T R))T;\ckXZcfl[1R_kkg1&&[\ckXZcfl[%XgXZ_\%fi^T
ride Clouds und hat dank Integration von R,T I\[?Xk:cfl[M`iklXc`qXk`fe9le[c\1 R)*TI\[?Xk<ek\igi`j\M`iklXc`qXk`fe1R_kkg1&&
Deltacloud die besten Chancen, Red Hats R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej& [\%i\[_Xk%Zfd&gif[lZkj&m`iklXc`qXk`fe&T
Open-Source-Cloud-Stack als Hersteller- Zcfl[$Zfdglk`e^&Zcfl[$m`iklXc`qXk`feT R)+TI?<MJ\im\i1R_kkg1&&[\%i\[_Xk%Zfd&
übergreifenden Standard zu etablieren, R-T I\[?XkFg\e@XXJ8iZ_`k\Zli\J\im`Z\1 gif[lZkj&m`iklXc`qXk`fe&j\im\i&T
der auch das Verwalten der Cloud-Lösun- R_kkg1&&[\%i\[_Xk%Zfd&i\jfliZ\c`YiXip& R),TI?<M;\jbkfgj1R_kkg1&&[\%i\[_Xk%Zfd&
gen von Amazon, Microsoft und VMware [ XkXj_\\kj&i_$fg\e$`XXj$XiZ_`k\Zkli\$j\i gif[lZkj&m`iklXc`qXk`fe&[\jbkfg&T
unter einer einheitlichen Oberfläche er- m`Z\T R)-T>cljk\i=J1R_kkg1&&nnn%^cljk\i%fi^&T
M8O$<dlcXk`fed`kFg\eMDJ
Q\`kdXjZ_`e\
<dlcXkfi\ekiXejgfik`\i\em\i^Xe^\e\:fdglk\iq\`k\e`e[`\>\^\enXik% der darauf hinwies, dass die Computer-
geschichte zur Auslöschung verdammt
;Xjj[Xje`Z_kelid`k[\d:-+le[8kXi`]lebk`fe`\ik#q\`^k[`\Jf]knXi\ sei, wenn nicht jemand etwas dagegen
J@D?#[`\[XjFg\eMDJ$Jpjk\dXl]\`e\d\dlc`\ik\eM8O$:fdglk\in`\$ unternähme. Das war dann Supnik, der
[\iqldC\Y\e\in\Zbk%Fc`m\i=ifdd\c die Anregung zum Anlass nahm, von
Assembler auf die Programmiersprache C
Die Computer von gestern üben auf viele Passend zum neuen Computer veröffent- umzusteigen und damit das SIMH-Projekt
Leute von heute einen großen Reiz aus. lichte DEC ein neues Betriebssystem na- zu beginnen.
Und das nicht nur bei der Emulation von mens VMS, das neben dem Support für SIMH ist in den Paket-Repositories ei-
Home-Computern und Spielekonsolen, Benutzerterminals auch so fortschrittli- niger Linux-Distributionen vorhanden,
sondern insbesondere, wenn Rechner che Features wie Clustering implemen- allerdings fehlen dabei manche Dateien.
wieder zum Leben erweckt werden, die tierte. VMS war auch für sein ausgefeiltes Die Installation aus dem Quellcode ist
damals selbst für kleine Firmen uner- Sicherheitskonzept bekannt, das etwa Ac- dagegen unproblematisch. Haben Sie das
schwinglich waren. Betrachtet man sich cess Control Lists (ACLs) und Auditing- etwa drei MByte große Zip-File herun-
ihre Leistungsdaten näher, reibt man sich Funktionen einschloss. Noch heute läuft tergeladen, sollten Sie sich mit dem Ent-
die Augen, denn selbst mancher Taschen- VMS als Betriebssystem auf manchem packen noch kurz zurückhalten und ein
rechner hat heute mehr zu bieten, von Bank-Computer. Verzeichnis dafür anlegen. Ein solches
Smartphones ganz zu schweigen. fehlt nämlich in dem Archiv. Wenn man
Viele dieser Dinosaurier waren Meilen- N`\[\iXl]\ijk\_le^ es einfach entpackt, sind alle enthaltenen
steine in der Entwicklung der Informa- Dateien und Verzeichnisse schön im ak-
tionstechnologie und haben den Aufstieg Neu erleben lässt sich all dies mit Hilfe tuellen Verzeichnis verteilt.
ganzer Firmen geprägt. Ein Beispiel da- des Emulators SIMH, der nicht nur einen
für sind die VAX-Maschinen der Digital VAX-Rechner nachbildet, sondern eine J\cYjkY\ij\kqk
Equipment Corporation (DEC), die schon ganze Reihe anderer Antiquitäten, darun-
mit der PDP-Reihe Computergeschichte ter die PDP-Reihe, den MITS Altair und Liegen die Dateien dann zum Beispiel
geschrieben hat. Bahnbrechend war aber Rechner von Hewlett Packard oder Ho- im Verzeichnis »simh«, genügt es, in
die VAX, die eine 32-Bit-Architektur mit neywell. Geschrieben hat das Programm dieses zu wechseln und »make« einzu-
virtuellem Speicher einführte, die schon der DEC-Veteran Bob Supnik, der heute geben. Wer nur den VAX-Emulator ha-
bald zum Marktführer im Segment der bei Unisys arbeitet. Die Anregung dazu ben möchte, kann sich mit »make vax«
Business-Computer wurde. kam von seinem Kollegen Larry Stewart, bescheiden. Das Ergebnis ist dann im
Linux verwenden. Wie die erste VAX 11/ OpenVMS-Installation besteht darin, ein 11 attach rq1 d1.dsk 22 set cpu idle
12 attach rq2 d2.dsk 23 boot cpu
780 heißt auch das Betriebssystem zu sogenanntes Save Set des Betriebssys-
Rechner, als »SCSSYSTEMID« geben Sie Sie frei. Wenn Sie die Eingaben bestätigt sprechende Bit in dem Register, das dafür
einfach 1025 ein. haben, prüft das System, ob sie korrekt sorgt, dass der Rechner automatisch vom
sind und bietet an, die Lizenz zu laden. eingestellten Boot-Device startet. Wenn
C`q\eq`\ile^ Ansonsten dürfen Sie die Eingaben korri- Sie nun wieder »vax« starten, sollte das
gieren. Am Ende sollten Sie die folgende installierte OpenVMS automatisch hoch-
Anschließend erwartet der Installer die Meldung zu sehen bekommen: fahren (8YY`c[le^)).
Lizenzschlüssel, die Sie mit der Regis-
%LICENSE-I-LOADED, DEC VAX-VMS was 5
trierung für das OpenVMS-Hobbyist- successfully loaded with 0 units <ijk\jCf^`e
Programm als E-Mail zugesandt bekom-
men haben. Wählen Sie als Erstes den Wenn Sie das Lizenzierungs-Tool verlas- Jetzt können Sie sich zum ersten Mal
Menüpunkt 1 und antworten dann auf sen, fordert der Installer Sie auf, die Zeit- mit dem Account »system« und dem vor-
die Frage »Do you have your Product zone inklusive optionaler Sommerzeit zu her vergebenen Passwort anmelden. Auf
Authorization Key?« mit »YES«. Nun konfigurieren. Abschließend erzeugt er der Systemkonsole ist der Login-Prompt
kopieren Sie der Reihe nach die Daten ein neues System-Image und fährt VMS nicht automatisch zu sehen. Sie müssen
aus der E-Mail in die Eingabemaske. Das herunter. Am Ende landen Sie wieder vorher die Eingabetaste drücken, damit
Betriebssystemprodukt ist in der Lizenz- auf der Firmware-Ebene und können ent- er sichtbar wird. Nun initialisieren und
datei als »VAX-VMS« aufgeführt. In dem weder neu booten oder mit [Strg]+[e] mounten Sie die beiden anderen konfi-
Abschnitt finden Sie die Authorization in den Emulator wechseln und ihn mit gurierten Fesplatten:
Number, die etwa so aussieht: »HOBBY- »exit« beenden.
$ initialize dua1: DATA1
IST-VA-KEY11234-123456«. Der Product $ initialize dua2: DATA2
Name ist »VAX-VMS«, die Number of 8lkfdXk`jZ_Yffk\e $ mount/system dua1 data1
Units ist 0. Kopieren Sie genauso das Ter- %MOUNT-I-MOUNTED, DATA1 mounted on _5
mination Date (»TERMINATION_DATE«), Um nicht bei jedem Booten neu das Boot- ADVAX$DUA1:
$ mount/system dua2 data2
den Activity Table Code (»ACTIVITY«) Device angeben zu müssen, konfigurieren
%MOUNT-I-MOUNTED, DATA2 mounted on _5
und die Checksumme (»CHECKSUM«). Sie es in der Firmware beziehungsweise ADVAX$DUA2:
Die Felder Version, Product Release Date, dem NVRAM entsprechend um. Dazu
Availability Table Code, Key Options, geben dort »set boot dua0« ein. Wenn Damit die Platten auch bei jedem Booten
Product Token und Hardware-ID lassen Sie nun den Emulator beenden, wieder gemountet werden, muss man sie in die
neu starten und Startup-Datei »sys$manager:systartup_
»show boot« ein- vms.com« eintragen, die OpenVMS bei
geben, sollten Sie jedem Neustart ausführt. Setzen Sie die
das Boot-Device Terminaleinstellungen mit »set term/
»DUA0« sehen. Al- vt100« und öffnen Sie dann mit »edit
lerdings bootet die sys$manager:systartup_vms.com« die
VAX beim Starten Datei im Editor. Mit den Maustasten und
nun noch immer sogar den Bildschirmscrolltasten können
nicht automatisch. Sie sich durch die Datei bewegen. Gehen
Dazu fehlt noch Sie ganz ans Ende und fügen Sie vor der
der Befehl »dep Zeile »$ EXIT« zwei neue Zeilen ein:
bdr 0«, den Sie in
$ mount/system dua1 data1
der Datei vax.ini $ mount/system dua2 data2
über die Zeile »set
cpu idle« stellen. Die Dollarzeichen gehören dazu. Kom-
Er setzt das ent- mentarzeilen werden dagegen mit »$!«
8YY`c[le^)1EXZ_[\i@ejkXccXk`fed\c[\kj`Z_Fg\eMDJle[nXik\kXl]\ijk\ 8YY`c[le^*1Fg\eMDJY\_\iijZ_kXlZ_K:G&@G#[XjXcj\`^\e\jGif[lbk
Cf^`ej%8l][\iJpjk\dbfejfc\^`Yk[XjJpjk\d[`\8l[`k$D\c[le^\eXlj% Xlj^\c`\]\ikn`i[%
eingeleitet, wie Sie in den darüber- Wenn Sie nun neu booten, können Sie Nach dem Shutdown landen Sie wieder
liegenden Zeilen sehen können. Mit sich mit dem neuen Benutzer-Account im Emulator-Prompt, wo Sie die Ma-
[Strg]+[z] speichern Sie die Datei und einloggen und damit arbeiten. schine mit »boot cpu« neu booten. Log-
beenden den Editor. Alternativ gelangen gen Sie sich wieder als Benutzer »system«
Sie mit [F4] in seinen Befehlsmodus. Dort E\kqn\ib ein und starten Sie das System Genera-
geben Sie »write« zum Speichern und tion Utility, um einen weiteren Parameter
»exit« zum Beenden ein. Mit dem Befehl Damit die VAX keine Insel bleibt, soll sie zu ändern:
»@sys$system:shutdown« fahren Sie das endlich auch Anschluss ans Netzwerk
r sys$system:sysgen
System herunter, nachdem Sie ein paar finden. Mit dem beim Kompilieren ein- SYSGEN> SET INTSTKPAGES 20
Fragen beantwortet haben. gebauten Libpcap-Code kann der SIMH- SYSGEN> WRITE CURRENT
Generell ist das Dateisystemkonzept von Emulator die im Rechner eingebaute SYSGEN> EXIT
VMS-Befehle abkürzen lassen, solange »Eth: opened eth0« sehen. Damit hat die Do you want to continue? [YES]
sie eindeutig sind, werden diese meist VAX nun eine Netzwerkkarte. Ist die Installation abgeschlossen, li-
zu »set def« und »sh def« verkürzt. Eine Lange Zeit war für Digital Equipment zenzieren Sie das Produkt. Das kön-
Übersicht ist in KXY\cc\( auf der nächsten dafür das hauseigene DECnet das Mittel nen Sie wieder – wie oben beschrie-
Seite zu finden. der Wahl, aber irgendwann beugte man ben – interaktiv machen oder direkt in
sich schließlich doch den Fakten und bot einem Aufruf, den Sie aus der E-Mail
9\elkq\idXeX^\d\ek den Kunden optional einen TCP/IP-Stack des Hobbyist-Programms kopieren – das
an (heute sogar mit IPv6). Der setzt aber ganze Attachment ist eine einzige Batch-
Ähnlich wie bei Linux wird der System- etwas mehr Ressourcen voraus als der Datei, die Sie komplett ausführen könn-
benutzer nur für administrative Aufga- DECnet-Stack, weshalb Sie vor der In- ten, wenn Sie es nur schaffen würden,
ben verwendet. Um einen neuen Account betriebnahme erst noch ein neues Sys- sie in die VMS-Emulation zu kopieren.
anzulegen, wechseln Sie erst mit »set tem-Image mit mehr virtuellem Speicher
def sys$system« ins Systemverzeichnis. anlegen müssen. Dazu verwenden Sie
8eq\`^\
Mit »r authorize« gelangen Sie in das entweder den System-Account oder ver-
Interface zum Editieren des User Autho- schaffen sich mit »set proc/priv=all« die
rization File (UAF). Dort geben Sie den nötigen Privilegien. Wechseln Sie mit »set
folgenden Befehl ein: def sys$system« ins Systemverzeichnis
und editieren Sie mit »edit modparams.
UAF> add Login/password=temp/owner="Vorname5
Nachname"/dev=dua1/dir=[Homedir]/uic=[200,5
dat« (denken Sie im Fall von Bildschirm-