ADMIN Magazin Privatsphäre schützen (Vorschau)

Jetzt 

mit 

Boto steuert 

Amazon Cloud 

Browser-Sessions 

rekonstruiert 

ADMIN 

IT-Praxis & Strategie 

UFW: Firewall 

unkompliziert 

Tails 

Privatsphäre für jeden, 

überall 

The Amnesic Incognito Live System 

11/2013 November 

Privatsphäre 

schützen 

Vor Trackern verstecken 

E-Mails verschlüsseln 

Anonym surfen 

Sicherheit 

von ATA- 

Platten 

Cloud-Firewall 

Firewall bei Amazon 

Novell Filr 

Leicht bedienbarer 

Dateiserver 

Logstash 

Log-Management modern 

HA für MS SQL 

Die Microsoft-Datenbank 

hochverfügbar machen 

www.admin-magazin.de 

Android-Security 

Lücken in der SSL- 

Verschlüsselung 

D EUR 9,80 

A EUR 10,80 - BeNeLux EUR 11,25 

CH sfr 19,60 - E / I EUR 12,75 

4 196360 509805 11

Service 

Editorial 

3 

Ein neues Internet 

Liebe Leserinnen und Leser, 

die anfängliche Aufregung über die Überwachung durch PRISM hat sich – 

sofern vorhanden – schnell gelegt. Einige standhafte Kolumnisten lassen es 

sich aber nicht nehmen, darüber nachzudenken, wie es künftig weitergehen 

soll. Einer von ihnen ist der Krypto-Experte Bruce Schneier, der von vielen 

Medien zu einer Stellungnahme aufgefordert wurde und entsprechend oft in 

Artikeln seine Meinung vertreten hat. 

Im englischen Guardian forderte Schneier Anfang September einen kompletten 

Neuanfang: Man müsse die Herrschaft über das Internet zurückgewinnen. Mit „man“ ist dabei 

die Gemeinschaft von Technikern gemeint, die die technischen Grundlagen für die Internet-Technologie 

legen. Sie ruft Schneier auf, in Zukunft mehr Widerstand zu leisten [1]. 

Zum ersten sollen sie an die Öffentlichkeit gehen, wenn sie von der NSA und anderen zur Kooperation 

aufgefordert werden, um Backdoors in Router oder Cloud-Systeme einzubauen. Fünf neue Whistleblower 

konnte Schneier bisher gewinnen, er will es auf mindestens fünfzig bringen. 

Zweitens soll das Internet technisch so umstrukturiert werden, dass die Überwachung im bisherigen Stil 

schwieriger wird. Mehr offene Standards sollen dabei dafür sorgen, dass die NSA es künftig schwerer hat, 

im Geheimen zu operieren und etwa Backdoors in proprietäre Systeme einzuschleusen. 

Schließlich muss nach Schneiers Ansicht Druck auf die (US-)Regierung ausgeübt werden, die sich als 

schlechter Hüter des Internet erwiesen habe. Eine Neustrukturierung betrifft auch die Leitungsgremien 

des Internet selbst. Die ITU etwa habe sich in der Vergangenheit dafür als ungeeignet erwiesen und sich 

nur zum Handlanger totalitärer Staaten gemacht. 

Wie dies, vor allem der zweite und der dritte Punkt, realisiert werden soll, bleibt eine offene Frage. Der 

Historiker Andrew Russell hat sogar eine Erwiderung auf Schneiers Forderung verfasst, in der er alle 

Vorstellungen des Internet als freien oder demokratischen Raum als reine Utopien entlarvt [2]. In Wirklichkeit 

habe das Internet – das schließlich von Anfang an ein Produkt des US-amerikanischen Verteidigungsministeriums 

war – nie die Wunschvorstellungen der „kalifornischen Ideologie“ erfüllen können. 

PRISM habe letztlich nur eine Seifenblase zum Platzen gebracht. 

n Info 

Weiterführende Links und 

Informationen zu diesem 

Artikel finden Sie unter: 

www.admin-magazin.de/qr/30189 

@ leserbriefe@admin-magazin.de www.facebook.com/adminmagazin www.twitter.com/admagz 


Admin 

Ausgabe 11-2013


IT-Praxis & Strategie 

Privatsphäre 

schützenab Seite 20 

n Login 

8 Vorgelesen 

Bücher zu Wireshark und 

Geek-Fitness. 

10 Branchen-News 

Neues von Firmen und Projekten. 

16 Admin-Story 

Netzwerke angreifen, um sie 

abzusichern. 

18 Interview 

Mit 12 GBit/s erreicht SAS die 

zukunftsträchtige dritte Ausbaustufe. 

Fragen an die Firma LSI. 

n Netzwerk 

20 Tkined 

Netzwerkmanagement mit Tkined. 

24 UFW-Firewall 

Firewall-Management, ganz 

unkompliziert. 

n Schwerpunkt 

28 Festplattensicherheit 

ATA-Security-Features moderner 

Platten und SSDs nutzen. 

32 Webtracker ausschalten 

Browser-Plugins zum Schutz der 

Privatsphäre. 

36 Anonym surfen 

Tor, Squid und Privoxy helfen, die 

eigene Identität zu verschleiern. 

40 PGP 

Dokumente und Mails mit PGP- 

Verschlüsselung schützen. 

32 

Browser-Security 

Browser-Erweiterungen 

verhindern Spionage. 

Service 

3 Editorial 

4 Inhalt 

6 Heft-DVD 

114 Impressum und Vorschau 

Ausgabe 11-2013 

Admin 

www.admin-magazin.de

Service 

Inhalt 

5 

90 

SQL Server 

Ausfallsicherer Betrieb von 

44MS 

Microsofts Datenbank. 

HA für REST-Services 

REST-basierte Webdienste 

ohne Downtime. 

Tails 

Seite 6 

Privatsphäre für jeden, 

überall 

The Amnesic Incognito Live System 

n Know-how 

44 MS SQL Server hochverfügbar 

High Availability für Microsoft SQL 

Server 2012 und 2014. 

48 Logstash 

Fortschrittliches Log-Management. 

n Test 

54 Small Business Server 

Linux-basierte Small Business 

Server mit deutschen Wurzeln. 

62 Novell Filr 

Webbasierter Datei-Server. 

69 Suse Linux Enterprise 11 SP3 

Das neueste Update für die Enterprise-Distribution 

von Suse. 

74 Windows 8.1 

Neues im Window-Update. 

n Security 

78 Forensik-Tools im Vergleich 

Toolkits zur Rekonstruktion von 

Browser-Sessions. 

86 Citrix Netscaler 

Mehr Sicherheit für Windows. 

n Virtualisierung 

90 REST-Services hochverfügbar 

Hochverfügbarkeit für RESTful- 

Dienste am Beispiel von Open- 

Stack. 

96 Cloud-Firewall 

Firewall in der Amazon Cloud. 

n FreeX 

106 Boto und AWS 

Python-Fernsteuerung für die 

Amazon Cloud. 

110 SSL-Lücken in Android 

Ergebnisse eines Android-Sicherheitschecks 

erschrecken. 

106 

Boto 

Ein Python-Modul steuert 

die Amazon Cloud. 

69 

Suse Linux Enterprise 11 SP3 

Das neueste Update der Suse- 

Enterprise-Distribution im Test. 


Admin 

Ausgabe 11-2013

6 

Service 

Heft-DVD 

DVD kaputt? 

Wir schicken Ihnen kostenlos eine Ersatz-DVD 

zu, E-Mail genügt: info@admin-magazin.de 

Tails 0.20 

Heft-DVD 

coliap, 123RF 

Auf dem beiliegenden Datenträger finden Sie die neueste Version 

der Tails-Live-DVD. 

n Info 





n Spezielle Linux-Distribution, die 

als Live-DVD anonyme Internet- 

Nutzung ermöglicht. 

n Basierend auf Debian 6.0.7 

n Anonymisierender Tor-Zugang im 

Browser integriert 

n Installations-Programm für USB- 

Live-Sticks 

n Verschlüsselung für Instant Messaging, 

Dateien und Verzeichnisse 

Legen Sie einfach die DVD in das Laufwerk 

ein und starten Sie den Rechner. 

Möglicherweise müssen Sie noch im 

BIOS die richtige Boot-Reihenfolge 

einstellen. Danach können Sie die 

Software entweder von der DVD 

booten oder auf dem Rechner als Betriebssystem 

installieren. n 

Ausgabe 11-2013 Admin www.admin-magazin.de

8 

Login 

Bücher 

Galina Peshkova, 123RF 

IT-Ratgeber im Redaktions-Check 

Vorgelesen 

Die Tage werden kürzer und man hat wieder Zeit zum Lesen. In diesem 

Monat auf dem Kaminsims: eine Kurzeinführung in Wireshark 

und ein Fitnessratgeber für Geeks. Jens-Christoph Brendel, Oliver Frommel 

Die Buchverlage kämpfen ums Überleben 

und probieren deshalb immer 

wieder Neues aus. Der englische Verlag 

Packt Publishing versucht 

es mit einer Buchreihe 

unter dem Titel »Instant«. 

Durch die Kürze des Materials 

soll sich der Leser 

möglichst schnell das Wesentliche 

einer Software 

oder einer Technologie aneignen. 

Einer der Instant- 

Bände beschäftigt sich mit 

dem Paket-Sniffer Wireshark, den es 

für Unix-Systeme und Windows gibt. 

Sein Anwendungsfeld sind die Fehlersuche 

im Netz, Forensik und Security- 

Anwendungen. Das Instant-Buch gibt 

auf 68 Seiten einen Crashkurs in die 

Einführung des Tools, wobei hier schon 

gute 15 Seiten für Vorgeplänkel und 

Abspann abzuziehen sind. Noch einmal 

sechs Seiten sind der Installation gewidmet, 

die immerhin Windows, Linux 

und die Übersetzung aus dem Quellcode 

abdeckt. Viel Platz bleibt nun 

nicht mehr, um die wichtigsten Bedienelemente 

und Features von Wireshark 

zu beschreiben: Mitschneiden von Paketen, 

die GUI, Captures speichern und 

verarbeiten. Die »Top-5-Features«, die 

am Ende durchexerziert werden, wirken 

etwas willkürlich ausgewählt, besprechen 

aber immerhin noch das nützliche 

Streams-Feature des Programms. 

Das Instant-Buch zu Wireshark hinterlässt 

einen zwiespältigen Eindruck. 

Einerseits ist die Idee zu begrüßen, in 

einem knappen Format die wichtigsten 

Features eines Programms vorzustellen. 

Andererseits ist der Inhalt für die 

knapp 70 Seiten des Buchs recht dünn. 

Für zehn Euro kann man sich 

das E-Book vielleicht mal 

ansehen, 24 Euro für die Taschenbuchausgabe 

sind dagegen 

indiskutabel. 

Abspecken 

Man sollte die Sprache mögen, 

die sich mit manchmal etwas 

aufgesetzter Lockerheit dem 

angesprochenen Geek zu nähern versucht. 

Man muss den missionarischen 

Eifer mögen, mit dem der 

Autor seine Gesundheitsbotschaft 

an den Mann 

zu bringen versucht. Und 

man muss tolerieren, 

dass er sich etlichen 

Themen recht kritiklos 

nähert. So liebäugelt er 

mit einer einigermaßen 

obskuren Ernährungsphilosophie, 

derzufolge der Mensch nur an die Nahrungsmittel 

genetisch angepasst sei, 

die ihm bereits während der Steinzeit 

zur Verfügung standen. Allerdings ist 

diese Steinzeiternährung (Paleo-Diät) 

n Wireshark Starter 

Abhinav Singh 

Instant Wireshark Starter 

Packt Publishing 2013 

68 Seiten, 

10 Euro (Kindle), 24 Euro (Paperback) 

ISBN-13: 978-1849695640 

alles andere als unumstritten und eine 

gesundheitsfördernde Wirkung ist nicht 

belegt. Diesen Umstand verschweigt 

das Buch geflissentlich. An anderer 

Stelle zieht es eine Parallele zwischen 

Muskeltraining und dem sogenannten 

Gehirnjogging, die nach Meinung von 

Neurologen blanker Unsinn ist. 

Wer dennoch weiterliest, dem werden 

als nächstes einige Gadgets und Webseiten 

vorgestellt, die es erlauben, verschiedene 

körperliche Aktivitäten (teils 

auch andere Biodaten) im Alltag aufzuzeichnen. 

Das erlaubt eine Trainingskontrolle, 

motiviert zu Extra-Anstrengungen 

und erlaubt den Wettbewerb in 

einer entsprechenden Community. 

Es folgt ein ausführliches Kapitel zu 

Ernährungsfragen. Dort mangelt es 

nicht an Verweisen auf viele Webseiten 

mit Nährstofftabellen und 

Kalorienzähler-Apps. Allerdings 

haben sie für Nicht-Amerikaner 

den Nachteil englischer Lebensmittelbezeichnungen 

und Mengenangaben. 

Kurz: Wem es Spaß macht, sein 

Leben aus der Perspektive eines 

Gesundheitsbuchhalters zu 

verfolgen, der findet hier überreichlich 

Material. Er wird unterhalten und zumindest 

über die Trends informiert, die 

vor kurzem in den USA »in« waren. Alle 

anderen sehen in dem Buch vielleicht 

eher eine Fibel für Hypochonder. n 

n Geek-Fitness 

Bruce W. Perry 

Fitness für Geeks 

O’Reilly Verlag, 2012 

338 Seiten, 

25 Euro 

ISBN: 978-3-86899-404-9 


10 

Login 

News 

Neue Software und Produkte 

Branchen-News 

Kernel-Report: Mehr Mobilentwickler 

Wie jedes Jahr hat die Linux Foundation auf der Linuxcon-Konferenz ihren Kernel-Report 

veröffentlicht, der verrät, wer in welchem Umfang zum Linux-Kernel 

beiträgt. Angeführt wird die Liste – hinter dem ersten Platz, der die „unbekannten“ 

Quellen vereint – weiterhin von Red Hat. Dahinter haben sich aber einige 

Firmen auf die Plätze geschoben, die dort bisher nicht vertreten waren, etwa 

Google und Samsung. Neuerdings sind dort auch Texas Instruments, Linaro und 

Qualcomm zu finden, die sich in erster Linie mit Mobilgeräten beziehungsweise 

der ARM-Architektur beschäftigen. 

Von Google stammen allerdings nicht nur die Kernel-Beiträge aus dem Android- 

Projekt, die nur einen kleinen Teil der Beiträge ausmachen, sondern auch aus 

der Entwicklung von Chrome OS und dem Serverbetrieb mit Linux, aus dem etwa 

Verbesserungen im Netzwerk-Code, dem Scheduler und Cgroups hervorgegangen 

sind. Generell stammen nun mehr als 80 Prozent der neuen Beiträge zu Linux 

von hauptberuflichen Kernel-Entwicklern. Weniger als 14 Prozent der Beiträge 

zum Kernel sind keiner Firma zuzuordnen. 

Juniper gibt OpenContrail frei 

Die Firma Juniper hat ihren SDN-Controller Contrail als Open-Source-Variante 

unter dem Namen OpenContrail veröffentlicht. Er ermöglicht es, per Software Defined 

Networking (SDN) auf physischen Netzwerken virtuelle Netzwerke zu definieren 

und die Datenströme zu steuern. (Open)Contrail verfolgt dabei einen eigenen 

Ansatz und orientiert sich insbesondere nicht an der Architektur des OpenDaylight-Projekts, 

dem Juniper aber als Platin-Mitglied angehört. 

(Open)Contrail setzt ein Netzwerk voraus, das BGP/MPLS-L3VPN implementiert. 

Über eine REST-Webservice-Schnittstelle lässt sich der Controller steuern. Das 

kommerzielle Contrail unterscheidet sich von der freien Variante durch den Support, 

den Juniper leistet. Contrail ist für 1700 US-Dollar pro x86-Socket dauerhaft 

und ab 1000 US-Dollar im Jahr als Abonnement zu haben. OpenContrail steht 

unter der Apache-Lizenz 2.0 und hat sein Zuhause unter der Adresse [http:// 

opencontrail. org]. 

Schnellstes Tape Drive von Oracle 

Mit dem StorageTek T10 000D Tape Drive präsentiert Oracle das nach eigener Aussage schnellste und leistungsstärkste Bandlaufwerk 

auf dem Markt. Das neue Laufwerk speichert unkomprimiert bis zu 8,5 TByte – und das in Rekordgeschwindigkeit: 

Bis zu 252 MByte/s sind nativ möglich. Die erzielbaren Datenraten sind 57 Prozent schneller als mit LTO-6. Das Bandlaufwerk 

unterstützt als einziges auf dem Markt sowohl 16-GBit-Fibre-Channel als auch 10-GBit-Fibre-Channel über Ethernet (FCoE). 

Die neuen Möglichkeiten machen Tape Storage besonders attraktiv für Märkte mit großen Datenbeständen, wie Medien & 

entertainment, Öl & Gas, medizinische Bildgebungsverfahren sowie Cloud Services. Mit dem Linear Tape File System (LTFS) 

von Oracle können verschiedene LTO-LTFS-aktive Bänder per Drag & Drop auf eine einzige StorageTek-T10 000D-Kassette gezogen 

werden. Das System eignet sich somit für große Datenkonsolidierungsprojekte. Über die Preise macht Oracle bisher 

keine Angaben. 


Login 

News 

11 

Seagate feiert millionste SMR-Platte 

Seagate, einer der weltweit führenden 

Festplattenhersteller, hat mit der Auslieferung 

von einer Million Festplatten 

mit der Shingled Magnetic Recording- 

Technik (SMR-Technik) einen neuen 

Rekord aufgestellt. 

SMR ist die nächste Generation der 

Speichertechnologie und führt zu 

kontinuierlichen Verbesserungen der 

Flächendichte (Menge geschriebener 

Daten auf der Plattenoberfläche in Bit/ 

Zoll). Mit der SMR-Technologie verbessert 

der Hersteller die Flächendichte 

um bis zu 25 Prozent oder 1,25 TByte 

pro Scheibe und kann so Festplatten 

mit Kapazitäten von 5 TByte und mehr 

anbieten. Bis zum Jahr 2020 soll es laut 

Seagate erste Platten mit einer Kapazität 

von 20 TByte geben. 

Bereits die Einführung des Perpendicular 

Recording hatte die Flächendichte 

durch senkrechte Anordnung der Bits 

vergrößert, wodurch schmalere Datenspuren 

und kleinere Schreib-Lese- 

Köpfe verwendet werden konnten. Aufgrund 

physikalischer Beschränkungen 

können die Schreib-Lese-Köpfe jedoch 

nicht noch kleiner produziert werden. 

Der beste Weg, um die Flächendichte zu 

verbessern, ist folglich die Anpassung 

der Art und Weise, wie Daten auf die 

Festplatte geschrieben werden. 

Genau hier setzt SMR an. Die Technologie 

verändert die Architektur des 

Mediums grundlegend und ordnet die 

gespeicherten Daten auf einer Festplatte 

neu an. Dies geschieht durch 

überlappende Spuren – ähnlich wie 

Schindeln auf einem Dach – wodurch 

die Spurdichte steigt und die Flächendichte 

verbessert wird. 

Als Folge der erhöhten Spurdichte 

steigt die Menge der Daten auf einer 

einzelnen Platte ebenso wie die 

gesamte Speicherkapazität eines 

einzelnen Laufwerks. SMR verbessert 

außerdem nach Meinung von Seagate 

die Zuverlässigkeit, da man damit weniger 

Schreib-Lese-Köpfe sowie Platten 

verwenden muss, um neue Kapazitäten 

zu erreichen. 

OS v : neues Betriebssystem für die Cloud 

Unter dem Namen OSV wurde ein neues 

Betriebssystem veröffentlicht, das für 

Cloud-Installationen maßgeschneidert 

ist. Hinter dem Projekt stecken maßgebliche 

Köpfe der Linux-Welt, etwa der 

KVM-Erfinder Avi Kivity, der KVM-Projektmanager 

Dor Laor sowie die Kernel- 

Programmierer Glauber Costa, Nadav 

Har’El und Pekka Enberg. Zusammen 

haben sie die Firma Cloudius gegründet, 

die OSV als freie Software unter 

[https:// github. com/ cloudius‐systems/ 

osv/] veröffentlicht hat. 

Dass OSV unter einer BSD-Lizenz steht 

und nicht, wie etwa der Linux-Kernel, 

unter der GPL, weist schon darauf hin, 

dass das neue Betriebssystem von 

FreeBSD abgeleitet ist. Allerdings haben 

die Entwickler auch große Teile des 

neuen Kernels selbst geschrieben. 

OSV ist für den Betrieb auf Hypervisor- 

Systemen, insbesondere KVM, optimiert 

und verzichtet deshalb auf viele 

Funktionen moderner Betriebssysteme, 

etwa die Aufteilung des Speichers 

in Kernel- und Userspace. Der damit 

erzielte Wegfall von Kontextwechseln 

soll zu höherer Performance führen. 

Anwendungen wie die Java Virtual 

Machine haben die Entwickler aus dem 

gleichen Grund direkt in das Betriebssystem 

integriert. 

In C geschriebene Anwendungen sollen 

im Normalfall unverändert auf OSV 

funktionieren. Allerdings lassen sie sich 

noch weiter optimieren, wenn sie direkt 

auf die Kernel-API zugreifen, die OSV 

bietet. 

Als Dateisystem setzt OSV das leistungsfähige 

ZFS ein, das von Solaris stammt. 

Das minimalistische OS soll jeweils 

nur eine Anwendung hosten, verzichtet 

dazu weitgehend auf die von Unix 

bekannten Security-Features und überlässt 

sie dem Hypervisor. Auch die von 

Linux und Unix bekannte Konfiguration 

des Betriebssystem fällt mit dem neuen 

Konzept weg. 

Bisher läuft OSV direkt auf KVM, Xen 

und Amazon EC2. VMware-Support soll 

bis Ende des Jahres folgen.

12 

Login 

News 

Neue Intel-CPUs 

Intel hat auf dem Intel Developer 

Forum in San Francisco jetzt seine 

neuen Xeon-E5-2600-v2-Prozessoren 

vorgestellt, die im Vergleich mit den 

Vorgängern bis zu 45 Prozent höhere 

Energieeffizienz und bis zu 50 Prozent 

mehr Leistung bieten. 

Mit den Intel-Xeon-E5-2600-v2-Prozessoren 

(Codename »Ivy Bridge-EP«) stellt 

das Unternehmen extrem vielseitige 

Prozessoren vor, die für Server-, Storage- 

und Netzwerk-Infrastrukturen in 

Rechenzentren gedacht sind. Sie basieren 

auf Intels führendem 22-nm-Fertigungsprozess. 

Dadurch verbessert sich 

die Energieeffizienz im Vergleich zum 

Vorgänger um bis zu 45 Prozent. Ausgestattet 

mit bis zu 12 Kernen bieten die 

neuen Chips zudem bei einer Vielzahl 

von rechenintensiven 

Workloads 

Leistungssteigerungen 

von bis zu 

50 Prozent. 

Intels Xeon-E5- 

2600-v2-Prozessoren 

sind Intels 

vielseitigste Prozessor-Technologie. 

Sie kommen bereits in mehreren Systemen 

zum Einsatz: So zum Beispiel 

im neuen IBM NeXtScale System, einer 

flexiblen Plattform mit hoher Rack- 

Dichte für rechenintensive Workloads 

wie Analytik, Technical Computing und 

Cloud-Betrieb, sowie im x3650-M4-HD- 

Storage-Server von IBM, der sich ideal 

für die Verwaltung großer Datenmengen 

und geschäftskritischen Workloads 

eignet. Auch alle Zwei-Sockel-Systeme 

von IBM werden mit den neuen CPUs 

bestückt, darunter die Produktreihen 

System x Racks und Tower, Flex System, 

iDataPlex und BladeCenter. Die 

Produktfamilie der Xeon-E5-2600-v2- 

Prozessoren ermöglicht auch kosteneffiziente 

Lösungen für Scale Out und 

Software Defined Storage. Dell setzt die 

neuen Prozessoren in seiner kommenden 

Storage-Lösung ein. 

oVirt 3.3 unterstützt OpenStack 

Das aktuelle Release des KVM-Managers oVirt bringt Anwendern wieder eine ganze 

Reihe von Neuerungen. Insbesondere arbeitet es nun mit dem Cloud-Management-Framework 

OpenStack zusammen. Dabei kann oVirt die virtuellen Netze einer 

OpenStack-Installation nutzen und von dessen Image-Management Gebrauch 

machen. 

Auch das verteilte Dateisystem GlusterFS kann oVirt nun verwenden. Der Support 

beschränkt sich derzeit allerdings auf Fedora 19. An einer Unterstützung in Red Hat 

Enterprise Linux arbeiten die Entwickler noch. RAM-Snapshots ermöglichen es, 

den aktuellen Zustand des Hauptspeichers einer virtuellen Maschine einzufrieren 

und ihn nach der Live-Migration einer VM wiederherzustellen. Außerdem können 

Administratoren nun über die VNC-Implementation noVNC im Browser auf den 

Desktop der VMs zugreifen. 

oVirt ist freie Software, wird maßgeblich von Red Hat entwickelt und stellt die 

Basis für dessen kommerziellen Virtualization Manager dar. Laut Eigenwerbung ist 

oVirt eine Open-Source-Alternative zu VMware vSphere. 

Amazon bietet Redis-Cache 

Ab sofort bietet Amazon für den 

Caching-Dienst Elasticache seines 

Cloud-Angebots EC2 die NoSQL- 

Datenbank Redis an. Ähnlich wie das 

bisher in Elasticache verwendete Memcache 

ist Redis eine im Hauptspeicher 

arbeitende Datenbank, bietet aber 

gegenüber Memcache mehr Datentypen. 

Mit Elasticache lassen sich nun 

einfach Redis-Dienste installieren und 

verwalten. Darüber hinaus bietet Amazon 

die Möglichkeit, die Redis-Speicher 

über Datacenter hinweg zu replizieren. 

Bestehende Redis-EC2-Installationen 

lassen sich in Elasticache überführen. 

Spekulation über Hardware-Trojaner 

Forscher der University of Massachusetts, 

der TU Delft und der Ruhr- 

Universität Bochum beschreiben jetzt 

in einem Papier die theoretische Möglichkeit, 

bereits bei der Chipherstellung 

Hintertüren in CPUs einzubauen, die 

so gut wie nicht zu entdecken wären 

und jede Verschlüsselung untergraben 

könnten. 

Die von den Kryptografie-Experten 

veröffentlichte Studie ([http:// people. 

umass. edu/ gbecker/ BeckerChes13. 

pdf]) geht davon aus, dass es möglich 

sei, durch minimale Änderung der 

Dotierung des Halbleitermaterials den 

Zufallsgenerator des Prozessors derart 

zu schwächen, dass darauf aufbauende 

Verschlüsselung um ein Vielfaches 

leichter zu brechen wäre. 

Eine solche Manipulation wäre so gut 

wie nicht erkennbar: Die Komponenten 

auf dem Chip blieben die gleichen und 

bei einer Funktionsprüfung würden 

korrekte Zufallszahlen produziert – nur 

wären sie eben nicht so unvorhersehbar 

wie versprochen. Mindestens im 

zivilen Bereich sind keine Prüfverfahren 

bekannt, die eine solche Hintertür aufdecken 

könnten. 

Auf Befragen gibt Intel zu Protokoll: 

„Intel nimmt nicht an Regierungsaktivitäten 

teil, die die Sicherheit von 

Technologie verringern würden. Außerdem 

bauen wir keine Backdoors für 

den unautorisierten Zugang in unsere 

Produkte ein.“ 


Login 

News 

13 

Red Hat Storage 2.1 verbessert Windows- und Cloud-Integration 

Die Firma Red Hat hat die neueste Version 

2.1 ihres kommerziellen Storage- 

Server-Produkts veröffentlicht. Auf der 

Basis des frei verfügbaren GlusterFS 

lässt sich damit über mehrere Rechner 

verteilter Storage realisieren. Neu ist im 

aktuellen Release der Support für das 

Cloud-Computing-Framework Open- 

Stack. Über die Swift-API von Open- 

Stack „Grizzly“ lässt sich der verteilte 

Speicher in eigenen Clouds verwenden. 

Erstmals implementiert Red Hat Storage 

Server das Windows-Dateiserverprotokoll 

SMB 2.0, was zu besserer 

Performance führen soll, wenn ein 

Windows-Netzwerkdateisystem auf 

dem GlusterFS betrieben wird. Zur 

Benutzerverwaltung unterstützt Red 

Hat Storage auch Active Directory. 

Einfacheres Management des Storage- 

Servers soll durch eine Verbesserung 

der Management-Konsole sowie die 

Integration in Red Hat 

Satellite gewährleistet 

sein. 

Um potenziellen Kunden 

einen Eindruck des 

Produkts zu geben, bietet Red Hat 

künftig auch Instanzen des Storage Servers 

in der Amazon Cloud an. Unter der 

Adresse [https:// testdrive. redhat. com/ 

TestDrive] können sich Interessierte 

dafür registrieren. 

Zentyal 3.2 verbessert Samba-Support 

Die spanische Firma Zentyal hat Version 

3.2 ihres gleichnamigen Server-Produkts 

veröffentlicht. Verbessert wurde 

die Samba-Integration, sodass sich 

Windows-Umgebungen laut Zentyal 

nun noch einfacher migrieren lassen. 

Dazu setzt Zentyal auf Samba 4.1, das 

einen Active-Directory-Server ersetzen 

kann. Die Samba-, Proxy-, Mail- und 

Zarafa-Module unterstützen nun auch 

Group Policy Objects (GPOs) und Organizational 

Units (OUs). 

Die technische Basis für Zentyal ist 

jetzt die Ubuntu-Distribution 12.04.03 

LTS mit einem Linux Kernel 3.8. Zur 

Erhöhung der Sicherheit bringt Zentyal 

nun ein Intrusion Protection System 

mit; das IPSec-Modul beherrscht nun 

auch L2TP (Layer 2 Tunneling Protocol). 

Zentyal gibt es als kostenlose Community-Version 

unter der GPL-Lizenz sowie 

in zwei Ausführungen als kostenpflichtiges 

Subskriptionsprodukt, für das der 

Hersteller Support leistet. Die Small 

Business Edition ist auf 25 Benutzer 

begrenzt, die Enterprise Edition funktioniert 

unbeschränkt. 

Python setzt Qualitätsmaßstäbe für Open Source 

Laut einer Studie der Firma Coverity setzt das Python-Projekt in der Open-Source- 

Welt neue Maßstäbe bei der Code-Qualität. Die von Coverity ermittelte Fehlerrate 

liegt demnach bei 0,005: also 0,005 Fehlern pro 1000 Code-Zeilen. Der Durchschnitt 

bei Open-Source-Software wurde von Coverity im Jahr 2012 mit 0,69 ermittelt. 

Der Linux-Kernel wies dabei mit einer Rate von 0,5 durchschnittlich etwas 

weniger Fehler auf. Laut Coverity wurden in dem Python-Test fast 400 000 Zeilen 

Python-Code analysiert und dabei 996 Fehler gefunden, von denen 860 durch die 

Python-Entwickler behoben wurden. 

Hintergrund zur Spähaffäre 

Die Gesellschaft für Informatik hat einen umfangreichen Fragen- und Antwortkatalog 

zu den Hintergründen der NSA-Spähaffäre erarbeitet. Die Faktensammlung 

wendet sich in vier Themenkomplexen im Detail rund 40 politischen, technischen 

und juristischen Fragen sowie der möglichen Abwehr von Schnüffelattacken zu. 

Beantwortet werden Fragen wie: Wer überwacht wie und in welchem Maße unsere 

Kommunikation? Wer dringt wie und in welchem Maße in unsere Computer 

ein? Auf welcher rechtlichen Grundlage geschieht dies? Wie können wir uns davor 

schützen? 

Die politische Bedeutung des Themas erschwere eine sachliche Diskussion, so das 

Redaktionsteam, berühre sie doch die Grundlagen unseres Lebens im digitalen 

Zeitalter. Daher sehen sich Mitglieder der Gesellschaft für Informatik veranlasst, 

dem interessierten Bürger und verantwortungsbewussten Informatiker Hintergrundinformationen 

zum Kontext der IT-gestützten Ausspähung bereitzustellen. 

Das PDF kann unter [http:// www. gi. de/ fileadmin/ redaktion/ Download/ 

GI‐FAQ‐Ausspaehung2013‐V1. 0. pdf] heruntergeladen werden. 

n Info 

Neueste nachrichten 

immer auf 







Admin 

Ausgabe 11-2013

Netzwerke angreifen, um sie zu sichern 

Ohne 

Gnade 

Jesse-lee Lang, 123RF 

Statt sein Netzwerk durch Aktenstudium sicherer zu 

machen, sollte man es einfach mit allem angreifen, 

was man hat. Nmap ist das Tool der Wahl, um die 

eigenen Server unter gnadenlosen Beschuss 

zu nehmen. Und das ist gar nicht so schwierig. 

Thorsten Scherf 

Beim Durchstöbern eines Konferenz- 

Archivs fiel mir ein altes Video von Fyodor, 

dem Hauptentwickler des Nmap- 

Scanners, ins Auge. Da ich damals 

selbst im Publikum gesessen habe, 

wollte ich eigentlich nur meine Erinnerungen 

auffrischen, als ich mir das Video 

dann noch einmal ansah [1]. Dabei 

fiel mir dann allerdings auf, wie rasant 

sich das Tool in den letzten Jahren entwickelt 

hat. Nicht nur die Performance, 

mit der Nmap mittlerweile Tausende 

von Hosts in kurzer Zeit scannen kann, 

hat sich im Vergleich zu den ersten 

Versionen extrem verbessert, auch die 

Scripting Engine NSE kann sich nun 

wirklich sehen lassen. Standen vor 

Abbildung 1: Die Hilfe zeigt, welche Nmap-Module es für den http-Daemon gibt. 

einigen Jahren nur wenige Skripte zur 

Verfügung, enthält die aktuelle Version 

von Nmap weit über 400. 

Auch die Datenbank mit den Fingerprints, 

die zum Ermitteln der Services 

und des eingesetzten Betriebssystems 

zum Einsatz kommen, umfasst mittlerweile 

mehrere Tausend Einträge. Die 

Version 6.40 von Nmap steht seit Mitte 

August zum Download [2] zur Verfügung 

und sollte in dieser Version über 

die Software-Repositories der meisten 

Linux-Distributionen zu haben sein. 

Mit der Nmap Scripting Engine (NSE) 

stellt das Scanning-Tool eine elegante 

Methode zur Verfügung, mit denen 

Anwender beliebige Security-Tests ausführen 

können. Die Tests helfen dabei, 

aktive Netwerkdienste zu ermitteln, 

Schwachstellen der eingesetzten Software 

und eventuell vorhandene Backdoors 

zu identifizieren. Es gibt sogar die 

Möglichkeit, Exploit-Code auf gefundene 

Schwachstellen anzuwenden. 

Universell per Skript 

erweiterbar 

Die Scripting Engine besteht aus zwei 

Teilen. Das Herzstück ist der integrierte 

Lua-Interpreter. Die Scriptsprache Lua 

[5] ist primär dafür gedacht, die Funktionalität 

von bestehenden Programmen 

zu erweitern. Aus diesem Grunde 

ist der Interpreter auch extrem klein, 

sodass er sich prima in bestehende 

Tools integrieren lässt. Neben Nmap 

greifen bereits viele andere Tools auf 

Lua zurück, beispielsweise auch das 

bekannte Intrusion Detection System 

»Snort« und der Packet-Analyzer »Wireshark«. 

Neben dem Interpreter stellt 

die NSE-Bibliothek die zweite Komponente 

der Scripting Engine dar. Diese 

ist dafür verantwortlich, Nmap und Lua 

miteinander zu verbinden. Neben den 

Lua-Standardfunktionen stellt diese 

Bibliothek sehr mächtige Nmap-spezifische 

Methoden zur Verfügung. Diese 

lassen sich in NSE-Skripten mit einer 

»require«-Anweisung einbinden. 


Netzwerk 

Netzwerk-Scanner Nmap 

17 

Skript-Kategorien 

Die NSE-Skripte selbst gliedern sich 

in unterschiedliche Kategorien. So 

befinden sich beispielsweise Skripte 

zum Identifizieren von Schwachstellen 

in der Kategorie »vuln«, während die 

Skripte der Kategorie »exploit« versuchen, 

die identifizierten Schwachstellen 

auszunutzen. Ruft man Nmap mit 

aktivierter Scripting Engine auf, ohne 

jedoch ein spezielles Skript oder eine 

Kategorie anzugeben, so kommen die 

Default-Skripte zum Einsatz. Neben den 

bereits erwähnten existieren noch die 

Kategorien auth, broadcast, brute, discovery, 

dos, external, fuzzer, intrusive, 

malware, safe und version. Die Scripting 

Engine erwartet die Skripte im Verzeichnis 

»/usr/share/nmap/scripts/«. 

Nmap selbst nimmt diese dann über 

die Option »‐‐script« entgegen. Mittels 

»‐‐script‐args« erhalten die Skripte die 

passenden Argumente. Dies ist etwa 

bei den Brute-Force-Skripten nötig. 

Während der Entwicklung von neuen 

NSE-Skripten kann man Nmap auch 

einfach mittels »‐‐datadir« den genauen 

Dateisystempfad angeben, um 

das Skript von einer beliebigen Stelle 

aus auszuführen. Ist die Entwicklung 

abgeschlossen, sollte die Datei schließlich 

in das Default-Skriptverzeichnis kopiert 

werden. Neben den eigentlichen 

Lua-Skripten liegt dort auch eine Datei 

»script.db«. Diese kennt alle vorhandenen 

Skripte und die dazugehörigen 

Kategorien. Mittels der Nmap-Option 

»‐‐script‐updatedb« wird diese auf den 

aktuellen Stand gebracht. Die Option 

»‐‐script‐help« macht genau das, was 

der Name vermuten lässt, wobei auch 

Wildcards möglich sind. Eine Hilfe zu 

allen NSE-Skripten, die den Service 

»httpd« betreffen (Abbildung 1), liefert: 

# nmap ‐‐script‐help "http‐*" 

Das zweite Beispiel (Abbildung 2) führt 

einen Scan auf dem lokalen Port 21 

durch. Ist dieser offen, kommen die 

Skripte »ftp‐anon« und »ftp‐brute« 

zum Einsatz. ftp-anon prüft, ob ein anonymer 

Login auf dem Server möglich 

ist und listet im Erfolgsfall das Root- 

Verzeichnis des Servers auf. Das zweite 

Skript führt einen Brute-Force-Angriff 

Abbildung 2: So sieht ein Brute-Force-Angriff auf den FTP-Port 21 aus. Der Aufruf dazu ist ein simpler 

Einzeiler, der Effekt ein brutaler Passwort-Angriff. 

aus. Dabei greift Nmap auf die Bibliothek 

»unpwdb.lua« aus dem Verzeichnis 

»nselib« zurück. Diese wiederum 

bedient sich der beiden Dateien »usernames.lst« 

und »passwords.lst« für den 

Brute-Force-Angriff. Beide Dateien sind 

Teil der regulären Nmap-Installation, 

sodass die Brute-Force-Skripte direkt 

einsatzbereit sind, ohne erst ein Wörterbuch 

mit Benutzernamen und Passwörtern 

herunterladen zu müssen. 

Nmap kommt in der aktuellen Version 

6.40 mit weiteren 400 fertigen NSE- 

Skripten daher. Sollte trotzdem nicht 

das passende dabei sein, so ist es recht 

leicht, eigene Skripte in Lua zu schreiben 

oder die bestehenden Skripte 

abzuändern. NSE-Skripte sind immer 

so aufgebaut, dass diese einen Header, 

eine Port-Regel und eine Action enthalten. 

Das Beispiel (Listing 1) zeigt, wie 

sich SSH-Server identifizieren lassen, 

die auf einem nicht Default-Port lauschen, 

also beispielsweise auf Port 443. 

Dies könnte ein Indiz dafür sein, dass 

bestehende Compliance-Regeln bei der 

Konfiguration des Server nicht eingehalten 

wurden. Solche Server werden 

gerne dazu genutzt, um einfache Paketfilter 

zu umgehen, die SSH blockieren 

sollen. Port 443 ist der Standard-Port 

für gesicherte http-Verbindungen 

(»https«) und daher fast immer offen. 

Ein Paketfilter, der lediglich bis OSI- 

Level 4 arbeitet, würde hier nicht 

feststellen können, dass über den Port 

443 kein Web-Traffic, sondern eine SSH- 

Verbindung läuft. 

Fazit 

Der kleine Ausflug in die Welt des 

Nmap-Scriptings zeigt, was mit der 

Kombination aus Nmap und der Skriptsprache 

Lua alles möglich ist. Das 

abgedruckte Beispiel ist dafür nur als 

Einstieg gedacht. Wer sich näher mit 

NSE auseinander setzen möchte, findet 

unter [3] ein hilfreiches Tutorial, das 

einen tiefen Einblick in die Scripting Engine 

vermittelt. Natürlich hilft auch die 

offizielle Dokumentation von Fyodor 

und seinem Team weiter [4]. (ofr) n 

n Info 





n Listing 1: »ssh‐strangeport.nse« 

01 description = [[ 

02 Checks if SSH is running on a non‐standard port. 

03 Possible compliance violation. 

04 ]] 

05 

06 ‐‐‐ 

07 ‐‐ @output 

08 ‐‐ 443/tcp open ssh 

09 ‐‐ |_ ssh‐strangeport: SSH server on unusual 

port: possible compliance violation 

10 

11 author = "Thorsten Scherf" 

12 license = "Same as Nmap‐‐See http://nmap.org/ 

book/man‐legal.html" 

13 categories = {"discovery", "safe"} 

14 

15 portrule = function(host, port) 

16 return port.service == "ssh" and 

17 port.number ~= 22 and port. 

number 

18 and port.protocol == "tcp" 

19 and port.state == "open" 

20 end 

21 

22 action = function() 

23 return "SSH server on unusual port: 

possible compliance violation" 

24 end 


Admin 

Ausgabe 11-2013

18 

Login 

LSI-Interview 

Mit 12 GBit/s erreicht SAS die zukunftsträchtige dritte Ausbaustufe 

Fibre Channel 

ausgestochen 

Erst kürzlich machte das Serial-Attached-SCSI-Interface (SAS) damit 

Schlagzeilen, dass es seine dritte Ausbaustufe erreichte: 12 GBit/s. 

Der erste Hersteller mit passenden Controllern war LSI. Dort erkundigte 

sich das ADMIN-Magazin bei Thomas Pavel, Sales Director Storage 

EMEA, nach Perspektiven und Konsequenzen. Jens-Christoph Brendel 

Thomas Pavel, Sales Director Storage EMEA bei LSI 

ADMIN-Magazin: SAS ist vor Jahren 

angetreten, als Ultra SCSI 320 

an seine physikalischen Grenzen stieß. 

Nun erleben wir mit 12-GBit-SAS bereits 

die dritte SAS-Generation. Wie 

lange wird es dauern, bis wir auch hier 

eine Grenze erreicht haben? 

Thomas Pavel: Ultra 320 basierte auf 

paralleler Technologie mit ungünstigen 

Phänomenen wie Crosstalk oder 

Data Skew, die weniger zuverlässig für 

Datentransfers mit hoher Geschwindigkeit 

war. SAS im Gegensatz dazu ist seriell 

und leidet nicht an diesen Einschränkungen. 

SAS sollte somit lange leben. 

Bereits 2010 wurde der 16-GBit- 

Fibre-Channel-Standard ratifiziert 

und inzwischen gibt es auch erste Diskarrays 

mit dieser Geschwindigkeit. 

Hinkt 12-GBit-SAS da hinterher? 

SAS hat Fibre Channel – was Performance 

angeht – schon immer ausgestochen, 

da SAS-Verbindungen vier Lanes 

pro Port nutzen um damit eine kumulierte 

Bandbreite von 24 GBit/s für 

6-GBit-SAS und 48 GBit/s für 12-GBit-SAS 

bieten. In den meisten Umgebungen 

werden HBAs oder RAID-Controller mit 2 

Ports, also 8 Lanes, eingesetzt – sie sind 

Fibre Channel somit weit voraus. 

Ein anderer möglicher Konkurrent 

sind Storage-Protokolle auf Ethernet-Basis 

wie iSCSI oder ATA over Ethernet. 

Mit Ethernet können schon heute 

Geschwindigkeiten von 40 oder 100 

GBit/s und mehr erreicht werden. Kann 

SAS diesen Wettlauf gewinnen? 

Sicherlich, immerhin ist SAS speziell 

für Speichersysteme und Speicheranbindungen 

entwickelt worden und sehr 

effizient. Außerdem müsste das Ethernet-Protokoll 

noch in SAS oder SATA umgewandelt 

werden. 

Braucht man für 12-GBit-SAS neue 

Kabel und Konnektoren? 

12-GBit-SAS nutzt Mini-SAS-HD-Kabel. 

Damit können Controller mit 12-GBit- 

SAS nahtlos mit früheren Generationen 

von SAS-Disks kommunizieren. Auch 

SATA-Platten werden unterstützt. 

Ist 12-GBit-SAS eine Technologie 

rein für den Enterprise-Sektor? 

Sicher werden auch manche Endkunden 

an einer höheren Geschwindigkeit 

interessiert sein. Videoverarbeitung 

ist ein Beispiel, auch profitiert das Gaming 

von dieser Technologie. Für den 

Enterprise-Sektor wird 12-GBit-SAS die 

bevorzugte Technologie werden. 

MIT SAS lassen sich ja mittels sogenannter 

Expander viele Laufwerke 

zu Verbünden (Storage-Domänen) verbinden. 

Gibt es auch die verschiedenen 

Expander bereits in 12-GBit-Ausführung? 

Wir sind dabei, auch mit 12-GBit-Expandern 

in Produktion zu gehen. 

Diese Expander werden die DataBolt- 

Funktion beinhalten, die es Geräten mit 

Infrastruktur für 6 GBit/s erlauben wird, 

die gleiche Geschwindigkeit wie 12 

GBit/s zu nutzen. Damit wird der Übergang 

zu 12 GBit/s beschleunigt und Investitionen 

in alte Drives sind sicher. 

Ist Dual Porting auch mit 12-GBit- 

SAS möglich? 

Ja, die neue Generation von 12-GBit- 

SAS unterstützt jetzt ebenfalls Dual 

Porting. 


Noam Armonn, 123RF 

Tkined neu aufleben lassen 

Bergungsfahrt 

Die meisten Monitoring-Tools arbeiten heute webbasiert. Eine Alternative dazu ist das in Tcl/Tk geschriebene 

Tkined, das allerdings erst wieder aus den Untiefen des Internet gehoben werden muss. Oliver Frommel 

Es ist schon eine komische Sache mit 

diesen Open-Source-Projekten. Manche 

werden über Nacht erfolgreich, während 

andere ein Schattendasein fristen 

und dann in der Versenkung verschwinden. 

Und sage keiner, dass sich dabei 

immer Qualität durchsetzt … 

In den neunziger Jahren war einmal 

eine Anwendung namens Tkined (Tcl/ 

tK based Interactive Network EDitor) 

recht populär. Damals machte sich 

Linux gerade zu seinem Siegeszug in 

der Unix-Welt auf, aber die Firmenwelt 

war noch von kommerziellen Unix- 

Systemen dominiert. Auf ihnen setzten 

viele Administratoren das mehrere 

Tausend Dollar schwere HP Openview 

zur Verwaltung ihrer Netzwerke ein. 

1993 stellte der Programmautor Jürgen 

Schönwälder erstmals auf der US- 

amerikanischen LISA-Konferenz seine 

Schöpfung vor: ein in Tcl geschriebenes 

Modul zum Netzwerkmanagement, 

das er mit einer Shell und einem grafischen 

Frontend bündelte. Es waren die 

Zeiten, in denen Linux-Anwender ihre 

grafische X11-Oberfläche noch manuell 

mit dem Befehl »startx« starteten, 

wenn sie es überhaupt schafften, die 

Modelines für ihren Monitor richtig zu 

konfigurieren. 

Modesache 

Heute ist Jürgen Schönwälder Professor 

an der Jacobs-Universität Bremen 

und Tkined eine der vielen Projektleichen 

im Internet. Dabei gibt es nicht 

einmal einen legitimen Nachfolger für 

das Projekt. Wie es scheint, ist Netzwerkmanagement 

einfach aus der 

Mode gekommen und von Monitoring- 

Systemen wie Nagios verdrängt worden, 

die heute den Ton angeben. Mit 

ein wenig Mühe lässt sich Tkined aber 

reanimieren und noch einmal ein Blick 

auf ein im Grunde vielversprechendes 

Open-Source-Projekt werfen. 

Die Tcl-TNM-Extension beherrscht eine 

ganze Reihe von Protokollen, die das 

Erforschen und Überwachen eines 

Netzwerks vereinfachen sollen, etwa 

ICMP, UDP, DNS, HTTP, RPC, NTP sowie 

SNMP 1 und 2. Über die Netzwerkprotokolle 

hat die Tcl-TNM-Extension auch 

Zugriff auf das Syslog des Rechners, 

auf dem das Paket installiert ist. Zu 

der gewünschten Implementierung 

von SNMP 3 ist es nicht mehr gekommen; 

auch IPv6 ist ein Eintrag auf der 

Feature-Wunschliste geblieben. 


Netzwerk 

Tkined 

21 

in« zu fixen, wie es sich eigentlich gehört, 

habe ich mir fürs Erste gespart. 

Beim Starten von »tkined« tritt unter 

Umständen noch eine Fehlermeldung 

auf, weil die shared Library »tkined.so« 

nicht gefunden wird. Das lässt sich beheben, 

indem man die Umgebungsvariable 

»TCLLIBPATH« passend setzt: 

export TCLLIBPATH=/usr/local/lib/ 

Abbildung 1: Tkined zeigt die gefundenen Netzwerke an. 

Ein kleines Problem bei der Installation 

besteht schon einmal darin, den möglichst 

aktuellen Quellcode von Tkined/ 

Scotty zu lokalisieren. Es kursieren eine 

Reihe von Hinweisen, die wiederum 

tote Links enthalten oder auf Versionen 

verweisen, die uralte Tcl-Versionen voraussetzen. 

Um es kurz zu machen: Am 

meisten Erfolg verspricht die Version, 

die in Schönwälders Subversion-Repository 

zu finden ist [1]. Es funktioniert 

mit der Tcl/Tk-Version, die zumindest 

auf aktuellen Debian-Systemen noch 

in den Paketquellen enthalten ist. Die 

Pakete lassen sich bei Bedarf so installieren: 

apt‐get install tk8.4 tk8.4‐dev tcl8.4 U 

tcl8.4‐dev 

Eine Alternative, die Kompatibilität 

mit Tcl/Tk 8.5 verspricht, ist in einem 

Github-Repository [2] zu finden. Sie 

ließ sich letztlich zwar kompilieren und 

starten, stürzte aber beim Laden der 

Module ab. Also zurück zum Subversion-Repository. 

Nach dem Auschecken 

per »svn co« muss man laut Readme- 

Datei in das »unix«-Verzeichnis wechseln 

und nach »configure« ein paar 

Make-Befehle eingeben: 

Leider funktionierte nach dem Übersetzen 

schon die Installation mit »make 

install« nicht und brach mit einem lapidaren 

»initialization failed« ab. Wie sich 

herausstellte, war das der Make-Schritt 

»tnm‐install‐mibs«, der die MIB-Dateien 

auf die Festplatte schreibt und sie dann 

zum Parsen an den Scotty-Interpreter 

übergibt, von dem die wenig aussagekräftige 

Fehlermeldung stammt. 

Zwei Stunden später – als Redakteur 

hat man schließlich ja auch sonst 

nichts zu tun – war der Fehler schon 

gefunden: Beim Laden des TNM-Moduls 

konnte der dynamische Linker das 

Symbol »__dn_expand« nicht auflösen, 

das zur DNS-Resolver-Bibliothek gehört. 

Editiert man das Makefile, findet 

man an den entsprechenden Stellen 

sogar die Link-Anweisungen »‐lresolv«, 

aber sie sind auskommentiert. Entfernt 

man die Kommentarzeichen und übersetzt 

das Tkined-Paket mit »make« neu, 

funktioniert alles wie gewünscht. Den 

Fehler in der Autoconf-Datei »configure. 

Schon startet Tkined und man bekommt 

die GUI in Abbildung 1 zu sehen. 

Unter »Tools | IP‐Discover« ist das 

Modul für die Discovery von Netzwerkgeräten 

zu finden. Wählt man es aus, 

erscheint rechts vom Tools-Menü ein 

neues Menü mit dem Namen »IP‐Discover«. 

Nach der Auswahl von »Discover 

IP Network« erscheint ein Dialog, der 

zur Eingabe des Netzes auffordert, 

zum Beispiel eines Class-C-Netz wie 

192.168.1.0. 

Routen-Suche 

Analog funktioniert »Discover Route«: 

Einfach ein Ziel eingeben und wenige 

Sekunden später zeigt Tkined die 

gefundene Route an. Besonders übersichtlich 

ist das Ergebnis erst einmal 

nicht. Allerdings bringt Tkined auch ein 

Modul fürs automatische Layout von 

Netzwerkdiagrammen mit, das ebenfalls 

unter »Tools« zu finden ist. Ist das 

Menü aktiviert, genügt es mit [a] (oder 

über das Menü »Select | Select All«) alle 

Knoten zu markieren und dann unter 

»IP Layout« den Punkt »Layout Network« 

auszuwählen. 

Das ist noch nicht perfekt, aber durch 

etwas manuelle Nacharbeit leicht zu 

korrigieren. Zum Verschieben von grafischen 

Elementen hat Tkined die mittlere 

Maustaste vorgesehen. Die Funk- 

cd unix 

./configure 

make 

make install 

make sinstall 

Abbildung 2: Per Default prüft Tkined die 

Erreichbarkeit eines Knotens im Abstand 

von 60 Sekunden. 

Abbildung 3: Tkined zeigt die Anzahl der 

gleichzeitigen SSH-Logins auf einem Server 

grafisch an. 


Admin 

Ausgabe 11-2013

22 

Netzwerk 

Tkined 

Für Interface Utilization und Storage 

Utilization gibt es eigene Menüpunkte. 

Selbst die Überwachung der Anzahl von 

SSH-Sessions ist möglich (Abbildung 3). 

»Tools | SNMP Tree« stellt den MIB-Baum 

grafisch dar. 

Wer einen Blick in die Tkined- und 

Scotty-Verzeichnisse wirft, lernt, wie 

man das Tcl-TNM-Modul verwendet, 

sei es um das Tkined zu erweitern oder 

eigene Skripte zu schreiben. Typischerweise 

sieht das etwa so aus: 

tclsh 

% package require Tnm 3.0 

3.0.0 

% namespace import Tnm::* 

% mib 

Abbildung 4: Beispiel eines etwas komplexeren Netzwerks, das mit Tkined überwacht wird. 

n Info 

tion »Group Network« verhilft hier noch 

zu etwas mehr Übersicht, weil sie die 

traversierten Subnetze in Icons verwandelt. 

Das Ergebnis ist in Abbildung 1 zu 

sehen. Wer weiß, was sich im eigenen 

Netz hinter jeder Adresse verbirgt, kann 

in Tkined ein passendes Icon auswählen 

und so für mehr Übersicht sorgen. 

Monitoring 

Statt automatisch ein Netz zu durchsuchen, 

kann der Anwender ein Diagramm 

auch von Grund auf selbst erstellen. 

Dann wird aus Tkined eine Art 

Visio für Arme, aber das selbst gezeichnete 

Diagramm erwacht dann zum 

Leben, wenn man die Objekte mit den 

echten IP-Adressen ausstattet. Dann 

lassen sich zum Beispiel die Erreichbarkeit 

eines Knotens (Abbildung 2), 

der Durchsatz von Netzwerk-Interfaces, 

der Festplattenplatz und vieles mehr 

überwachen. 





Den größten Nutzen lässt sich aus Tkined 

ziehen, wenn man SNMP verwendet, 

das Simple Network Monitoring 

Protocol, das gar nicht so simpel ist, 

wie es der Name verspricht. Ist ein 

Netzwerkgerät passend konfiguriert, 

kann Tkined beliebige Daten überwachen 

und visualisieren, die in dessen 

Management Information Base (MIB) 

festgelegt sind. Einen Überblick über 

die implementierten Variablen bekommt 

man mit »Tools | SNMP‐Browser« 

und »Walk MIB Tree«. Auf einem 

Linux-System, das nach der Installation 

des »snmpd« seine Daten über SNMP 

bereitstellt, ist das Ergebnis des Treewalk 

eine Datei von knapp 2500 Zeilen! 

Über das Menü »SNMP-Trouble« lassen 

sich einzelne Variablengruppen, etwa 

Interface, IP, ICMP und so weiter abfragen 

und so die damit verwandten MIB- 

Variablen in Erfahrung bringen. 

Überwachen lässt sich per SNMP so 

ziemlich alles, was man sich vorstellen 

kann: Auslastung von Arbeitsspeicher 

und Swapspace, Plattenplatz, CPU- 

Load, Netzwerkdurchsatz, Routing- 

Tabelle und vieles mehr. Der Eintrag 

»Monitor Variable« im Menü »SNMP Monitor« 

startet die Überwachung einer 

Variablen, die der Anwender eingibt. 

Zuerst wird hier die Tcl-Shell gestartet, 

dann das Modul »Tnm« importiert und 

anschließend entweder die benötigten 

oder alle Module daraus geladen. Eine 

ganze Reihe von Beispielen, die sich 

auch als Shellskripte verwenden lassen, 

finden sich im Verzeichnis »tnm/ 

examples«. 

Hilfe! 

Hat man Tkined/Scotty erst einmal 

zum Laufen gebracht, erhält man ein 

brauchbares Netzwerk-Monitoring- 

Tool, das sich für Visualisierung, Discovery 

und Überwachung eignet. Die 

Zeit ist freilich nicht spurlos an ihm 

vorbeigegangen und leider kümmert 

sich heute niemand mehr um das Projekt. 

Standalone-Programme im Stil 

von Tkined werden inzwischen meist 

durch Webanwendungen abgelöst. Den 

Komfort, den Tkined bei der grafischen 

Darstellung von Netzwerken in Abbildung 

4 demonstriert, bieten aber nur 

wenige. Auch für die SNMP-Fähigkeiten 

des Tools gibt es nur wenig gleichwertigen 

Ersatz. 

Vielleicht findet sich irgendwann jemand 

mit genügend Interesse und 

Tcl-Kenntnissen, der das Tkined-Erbe in 

die Zukunft trägt. Mehr, allerdings auch 

teilweise recht konfuse Informationen 

sind im Tcl-Wiki [3] zu finden. Eine Kopie 

der alten Tkined-Website, die auch 

die Datei »Getting started with Tkined« 

führt, hat die GWDG auf ihren Servern 

gespeichert [4]. n 


Tomasz Wyszolmirski, 123RF 

UFW-Firewall 

Geradlinig 

Die Firewall-Konfiguration unter Linux ist nicht ganz trivial. Etwas einfacher macht die Bedienung auf der 

Kommandozeile die Uncomplicated Firewall UFW. Oliver Frommel 

Seit Menschengedenken bildet das 

Netfilter-Modul die Grundlage für die 

Firewall-Funktionalität unter Linux. 

Nun, das stimmt nicht ganz. Aber kann 

sich wirklich noch jemand an IPChains 

erinnern? Das war noch im Kernel 

2.2 und seit Linux 2.4 regiert wirklich 

Netfilter die Firewall-Welt des Torvaldsschen 

Mikrokosmos. Verwaltet wird die 

Netfilter-Firewall mit den bekannten 

IPTables-Befehlen, über die sich das 

Verhalten der Firewall im Detail steuern 

lässt [2]. 

Eigentlich hätten irgendwann die NFTables 

die komplizierten IPTables ablösen 

sollen [3], aber dazu ist es nie gekommen 

und das Projekt wurde eingestellt. 

Mittlerweile gibt es den Versuch, einen 

Kompatibilitäts-Layer zwischen IPTables 

und NFTables zu schaffen, aber bis 

auf Weiteres bleibt IPTables das Maß 

der Dinge: 

iptables ‐A INPUT ‐p tcp ‐‐dport 22 ‐jU 

ACCEPT 

Was das alles bedeutet, kann man lernen, 

und Tutorials zu IPTables gibt es 

im Netz genügend. Einen anderen Weg 

hat allerdings die Ubuntu-Distribution 

mit Version 8.04 eingeschlagen und das 

Paket UFW (Uncomplicated Firewall) 

mitgebracht, das die Verwaltung der 

eingebauten Netfilter-Firewall drastisch 

vereinfacht. 

UFW zu Hilfe 

Installieren lässt sich UFW recht einfach, 

denn es ist in den Paketquellen 

enthalten – jedenfalls, wenn man eine 

Ubuntu- oder Debian-Distribution 

verwendet. Andere, wie Fedora-User, 

laden sich von [4] das Quellcode-Paket 

herunter, entpacken es und geben 

»python setup.py config« ein. Der folgene 

Befehl »python setup.py install« 

erfordert Root-Rechte. Danach sollte 

UFW funktionieren, auch wenn es 

eventuell noch überflüssige Gruppenschreibrechte 

moniert. Dieses Problem 

lässt sich gegebenenfalls so beheben: 

chmod g‐w /usr/sbin/ufw /etc/default/ufwU 

/lib/ufw/ufw‐init /etc/ufw/ufw.conf U 

/etc/ufw/applications.d/ 

Wir gehen im Folgenden davon aus, 

dass es keine IPTables-Konfiguration 

gibt. Red-Hat- und Fedora-Anwender 

sollten daher erst den IPTables-Dienst 

mit »service iptables stop« stoppen. 

Dauerhaft schalten sie ihn mit »chkconfig 

iptables off« ab. 

Damit kann nun die Konfiguration 

der Firewall per UFW starten. Um zu 

verhindern, dass man sich nicht mehr 

übers Netz einloggen kann, sollte man 


Netzwerk 

UFW-Firewall 

25 

sicherheitshalber als Erstes eine Regel 

anlegen, die das Login per SSH erlaubt: 

ufw allow ssh/tcp 

Wie man sieht, versteht UFW die Namen 

der Dienste, die es aus der Datei 

»/etc/services« bezieht. Alternativ 

funktioniert das auch mit den Portnummern, 

also »ufw allow 22/tcp«. 

Das »tcp« hinter dem Schrägstrich beschränkt 

die Regel auf TCP, die Angabe 

von »udp« steht für UDP. Ohne weitere 

Angaben bezieht sich die Regel auf 

beide Protokolltypen. Der Befehl »ufw 

enable« startet schließlich die Firewall- 

Funktion. Ein Aufruf von »ufw status« 

verschafft einen Überblick über die 

Funktion (siehe Listing 1). 

Wie das Listing zeigt, blockiert UFW per 

Default alle eingehenden (»deny (incoming)«) 

und erlaubt alle ausgehenden 

Verbindungen (»allow (outgoing)«). Die 

Firewall ist aktiv und das Logging erzeugt 

nur wenige Daten. Apropos Logging: 

Bei den Debian- und Ubuntu-Installationen 

ist eine Konfigurationsdatei 

für den Rsyslog-Daemon enthalten. 

Gegebenenfalls müssen Debian-Anwender 

nur noch den normalen Syslog- 

Daemon durch Rsyslog austauschen, 

damit alles wie gewünscht funktioniert. 

Die Logging-Datei ist dann »/var/log/ 

ufw.log«. Wer UFW aus dem Quellcode 

installiert, findet eine passende Konfi- 

guration in »doc/rsyslog.example«. Das 

gleiche gilt für die Komplettierung der 

Befehle in der Bash: Bei Ubuntu/Debian 

ist sie schon dabei, die anderen finden 

die Datei im Quellcode-Archiv. 

Was man dem Listing 1 auch noch entnehmen 

kann, ist die Tatsache, dass 

es je eine Regel für IPv4 und IPv6 gibt. 

Dies war bei der Installation auf einem 

Fedora-System aus dem Quellcode der 

Fall. Bei Debian ist per Default IPv6 deaktiviert. 

Die dazu gehörige Einstellung 

findet sich in »/etc/default/ufw« mit 

»IPV6=yes« respektive »no«. 

Prinzipiell kann UFW natürlich die 

Firewall auch feiner regulieren, statt 

einen Dienst nur pauschal freizuschalten. 

So erlaubt der folgende Befehl 

die SSH-Verbindungen nur vom Host 

192.168.1.136: 

ufw allow from 192.168.1.136 port 22 

UFW unterstützt nicht nur blindwütiges 

Blockieren von Verbindungen, sondern 

auch eine sensible Begrenzung 

von Verbindungsversuchen, etwa um 

Brute-Force-Angriffe auf SSH-Logins zu 

verhindern. Dies lässt sich mit 

ufw limit ssh/tcp 

bewerkstelligen. UFW blockiert per 

Default eine IP-Adresse, wenn sie innerhalb 

30 Sekunden sechsmal oder mehr 

Abbildung 1: Schwer zu glauben: Auf virtualisiertem 

Linux im Container funktioniert UFW nicht, denn es 

will Kernel-Module laden, die es nicht gibt. 

n Listing 1: UFW-Status 

01 # ufw status verbose 

02 Status: active 

03 Logging: on (low) 

04 Default: deny (incoming), allow (outgoing) 

05 New profiles: skip 

06 

07 To Action From 

08 ‐‐ ‐‐‐‐‐‐ ‐‐‐‐ 

09 22/tcp ALLOW IN Anywhere 

10 22/tcp ALLOW IN Anywhere 

(v6)

26 

Netzwerk 

UFW-Firewall 

Abbildung 2: Grafisches Frontend, aber letztlich 

keine wesentliche Erleichterung gegenüber der 

Commandline-Version von UFW. 

n Info 

eine Verbindung aufzubauen versucht. 

Einen unbelehrbaren Bot-Host sperrt 

der folgende Befehl dauerhaft aus: 

ufw deny from 10.0.10.10 

Auf einfache Weise lassen sich Regeln 

wieder löschen, wenn man sie sich mit 

»ufw status numbered« durchnummeriert 

anzeigen lässt. »ufw delete Nummer« 

löscht die Regel, fragt aber vorher 

noch einmal nach. 

Alles auf Anfang 

Um alle Regeln zu löschen und UFW 

wieder auf den Ausgangszustand zurückzusetzen, 

bietet das Programm die 

Option »reset«. Der Aufruf von »/lib/ 

ufw/ufw‐init flush‐all« löscht auch alle 

IPTables-Chains aus dem System. 

Um die Anwendung noch weiter zu vereinfachen, 

unterstützt UFW sogenannte 

Anwendungsprofile. Dabei sind für 

typische Anwendungen die entsprechenden 

Ports in Konfigurationsdateien 

zusammengefasst, etwa für einen 

Printserver der Cups-Port 631 und der 

LPD-Port 515. Die installierten Anwendungsprofile 

listet »ufw apps list« auf, 





»ufw app info Anwendung« verrät mehr 

Details dazu. Wie bei den Diensten 

erlaubt »ufw allow Anwendung« die 

entsprechende Anwendung, respektive 

die darin enthaltenen Ports. Das ist ein 

bisschen verwirrend, denn oft heißt 

die Anwendung wie der entsprechende 

Dienst, aber in Großbuchstaben geschrieben 

(»ssh« und »SSH«, »pop3« 

und »POP3« und so weiter). In anderen 

Fällen unterscheiden sich Dienst und 

App aber wieder (etwa »http« und 

»WWW«, »https« und »Web Secure«). 

Die Regeln speichert UFW ab und lädt 

sie beim nächsten Neustart wieder. Dafür 

trägt das Start-Skript Sorge, das bei 

Ubuntu automatisch installiert ist. Eine 

Beispieldatei, die im Test ohne weitere 

Änderungen funktionierte, findet sich 

für Upstart und das klassische Init- 

System im »doc«-Verzeichnis. 

n Tabelle 1: Dateien 

Datei 

/usr/sbin/ufw 

/etc/init/ufw.conf 

/etc/default/ufw 

/etc/ufw/ufw.conf 

/etc/ufw/before.rules 

/etc/ufw/before6.rules 

/etc/ufw/after.rules 

/etc/ufw/after6.rules 

/etc/ufw/sysctl.conf 

/etc/ufw/applications.d 

Nicht im Container 

Beim Test auf einem virtuellen Linux- 

Server bei einem Internet-Provider 

spuckte UFW den wenig aussagekräftigen 

Fehler »problem running ufw‐init« 

aus und die Firewall funktionierte nicht 

richtig, blockierte beispielsweise DNS- 

Anfragen und ICMP-Pakete. Bei näherer 

Untersuchung stellte sich heraus, dass 

beim Ablauf von »ufw‐init« tatsächlich 

ein Fehler auftrat, der dazu führte, dass 

UFW zwar den ersten Teil der Konfiguration 

abarbeitete, den zweiten aber 

nicht. Das ist ziemlich unglücklich, hier 

sollten die Programmierer besser im 

Fehlerfall zum Ausgangszustand zurückkehren. 

Die Ursache war letztlich ein fehlgeschlagender 

Aufruf von »modprobe«, 

der die in »/etc/default/ufw« festgelegten 

»IPT_MODULES« laden wollte (Abbildung 

1). Nur gibt es auf einer Linux- 

Installation im virtuellen Container, 

etwa in OpenVZ, gar kein Kernel-Image 

und keine Kernel-Module. Mit ein paar 

Änderungen in »before.rules«, »after. 

rules« und den Konfigurationsdateien 

lässt sich UFW auch auf einem solchen 

Server zum Laufen bringen, aber es ist 

keine wirklich elegante Lösung. 

Wem die Verwendung von UFW noch 

zu kompliziert ist, dem kann geholfen 

werden: Mit GUFW [5] gibt es noch ein 

grafisches Frontend zu UFW, das die 

Benutzung der Kommandozeile komplett 

vermeidet (Abbildung 2). Wem 

andererseits die UFW zu wenig herausfordernd 

erscheint, sollte einen Blick 

in die Manpage beziehungsweise in die 

Manpage zu »ufw‐framework« werfen. 

Dort ist dokumentiert, wie man UFW 

für Spezialanwendungen erweitern 

kann, etwa um Port-Forwarding oder 

Masquerading einzurichten. Limitiert 

ist man hierbei nur durch die zugrunde 

liegenden Netfilter-Funktionen. 

Es hilft 

Das UFW-Paket vereinfacht die Verwaltung 

der Firewall-Konfiguration unter 

Linux erheblich. Für kompliziertere Eingriffe 

in die Firewall-Mechanik kann der 

Administrator dennoch selbst per IPTables 

seine UFW-Installation erweitern 

und an seine Bedürfnisse anpassen. 

Die gute Manpage und die Readme- 

Datei gibt erschöpfend Auskunft für alle 

Fragen rund um UFW. Wer allerdings 

seine Linux-Firewall in einem virtuellen 

Container installiert hat, muss aufpassen: 

UFW funktioniert dann nicht oder 

fehlerhaft. n 

Funktion 

UFW-Befehl 

Upstart-Datei für UFW-Service (Ubuntu) 

Haupteinstellungen für UFW (IPv6 usw.) 

Einstellungen (aktiviert, Loglevel) 

Regeln vor den benutzerdefinierten Regeln 

dito, IPv6 

Regeln nach den benutzerdefinierten Regeln 

dito, IPv6 

Kernel-Parameter 

Anwendungsprofile 


28 

Privacy 

ATA-Security 

braverabbit, 123RF 

ATA-Security-Features moderner Platten und SSDs nutzen 

Daten im Tresor 

Moderne ATA-Festplatten und SSDs bieten Sicherheitsoptionen, mit deren Hilfe man den Zugriff auf die 

Daten regeln und sie auch sicher vernichten kann. Oliver Tennert . 

Das Konzept der ATA-Security-Features 

ist wohldurchdacht, allerdings bringt 

kaum ein Betriebssystem eine eng integrierte 

Toolchain mit, um dieses Konzept 

konsistent auszunutzen. Mit dem 

Linux-Tool »hdparm«, das bei nahezu 

allen Distributionen zum Standard- 

Installationsumfang gehört, lassen sich 

die ATA-Security-Features aber zumindest 

manuell beziehungsweise skriptbasiert 

steuern. Auf vielen Laptops 

können die Features darüber hinaus 

zum Teil auch über das BIOS genutzt 

werden – denn der Ursprungsgedanke 

der ATA-Security-Features ging in der 

Tat von mobilen Geräten aus. Wer die 

Features nutzen will, sollte sich zuvor 

jedoch besser erst ein Verständnis des 

zugrundeliegenden Sicherheitskonzepts 

erarbeiten. 

Ein wenig Theorie 

Kauft man sich heutzutage eine HDD 

oder SSD, so sind alle Sicherheitsfeatures 

zunächst einmal deaktiviert. Eine 

Abfrage mit »hdparm« als User »root« 

liefert Informationen über eine herkömmliche 

2.5-Zoll-Notebook-SSD wie 

in Listing 1 (die relevanten Zeilen sind 

fett markiert). 

Hier ist ersichtlich, dass die SSD das 

ATA-Security-Command-Set unterstützt, 

alle Sicherheitsfeatures allerdings 

inaktiv sind (»not enabled«) und 

die SSD Änderungen am Sicherheitszustand 

zulässt (»not frozen«). Im ATA- 

Jargon wird dieser Zustand SEC1 genannt, 

das ist der Auslieferungszustand 

(der ausgeschaltete Zustand hieße 

SEC0). Um nun zu verhindern, dass 

entweder aus Versehen oder durch 

Malware mit Root-Rechten sicherheitsrelevante 

Manipulationen an der SSD 

durchgeführt werden, beispielsweise 

Passwörter gesetzt werden oder das 

n Listing 1: hdparm-Infos 

01 root # hdparm ‐I /dev/sdb 

02 /dev/sda: 

03 

04 ATA device, with non‐removable media 

05 Model Number: INTEL SSDSC2CW240A3 

06 Serial Number: XXXXXXXXXXXXXXXXXX 

07 Firmware Revision: 400i 

08 Transport: Serial, ATA8‐AST, SATA 1.0a, SATA II 

09 [...] 

10 Commands/features: 

11 Enabled Supported: 

12 * SMART feature set 

13 Security Mode feature set 

14 * Power Management feature set 

15 * Write cache 

16 Look‐ahead 

17 * Host Protected Area feature set 

18 [...] 

19 

20 Security: 

21 Master password revision code = 65534 

22 supported 

23 not enabled 

24 not locked 

25 not frozen 

26 not expired: security count 

27 supported: enhanced erase 

28 4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY 

ERASE UNIT. 

29 

30 [...] 


Privacy 

ATA-Security 

29 

Device für sämtlichen I/O gesperrt wird, 

lässt sich das Device einfrieren: 

root # hdparm ‐‐security‐freeze /dev/sdb 

Das Device ist nun im Zustand SEC2. 

Den zugehörigen »hdparm ‐I«-Output 

zeigt Listing 2. 

Das Gegenstück zum Einfrieren, gewissermaßen 

ein Auftauen, gibt es nicht. 

Erst nach einem neuerlichen Hardware- 

Reset oder Power Cycle ist der Zustand 

wieder SEC1 (Abbildung 1). 

Hier ist aber gleich ein Hinweis auf 

eine mögliche Falle nötig: die BIOSse 

vieler Notebooks setzen zum Schutz 

vor Manipulationen beim Booten das 

ATA-Kommando »SECURITY_FREEZE_ 

LOCK« ab. In diesem Falle ist es dann 

im laufenden System gar nicht möglich, 

irgendwelche weitere Änderungen am 

Sicherheitszustand durchzuführen. In 

der Tat hat der Autor bereits an dieser 

Stelle schon etwas mogeln müssen: 

Sein Laptop friert nämlich auch beim 

Booten per BIOS die eingebaute SSD 

ein. In diesem Falle hilft nur der Einbau 

der Platte in einen PC, dessen BIOS 

die Platte oder SSD nicht automatisch 

einfriert, sonst ist das Tutorial an dieser 

Stelle schon zu Ende. 

Daten einsperren 

Deshalb gehen wir einmal davon aus, 

dass die Platte nicht eingefroren ist. 

Zum weiteren Verständnis ist wichtig: 

das ATA-Sicherheitskonzept kennt 

zwei unterschiedliche Passwörter: das 

User- und das Master-Passwort, jeweils 

32 Byte lang. Per Factory-Default ist 

das User-Passwort NULL (also 32 Null- 

Bytes) und das Master-Passwort herstellerspezifisch 

und undokumentiert, 

n Listing 2: Im Zustand SEC2 


02 /dev/sda: 

03 [...] 

04 Security: 

05 Master password revision code = 

65534 

06 supported 

07 not enabled 

08 not locked 

09 frozen 

10 [...] 

SEC0 

Powered off, 

security disabled 

SEC3 

Powered off, 

security enabled 

Power on 

Security Set Pasword 

(with user password) 

Power on 

SEC1 

Security disabled, 

not frozen 

SEC5 

Security enabled, 

unlocked, not frozen 

Security Unlock 

SEC4 


locked, not frozen 

obwohl im Web allerlei Informationen 

über Factory Presets existieren. Mehr zu 

Funktion und Verwendung des Master- 

Passworts weiter unten. 

Die ganze Parade beginnt nun mit dem 

Setzen des User-Passworts: 

root # hdparm ‐‐user‐master u U 

‐‐security‐set‐passwd "Geheim" /dev/sdb 

security_password="Geheim" 

/dev/sdb: 

Issuing SECURITY_SET_PASS command, 

password="Geheim", user=user, mode=high 

Die Option »‐‐user‐master u« legt fest, 

dass im folgenden das User-Passwort 

referenziert wird. Da dies der Default 

ist, kann sie an dieser Stelle auch weggelassen 

werden. Danach sieht man 

Ausgaben wie in Listing 3. 

Die Platte oder SSD befindet sich nun 

im Sicherheitszustand SEC5 (wäre sie 

nun ausgeschaltet: SEC3). In diesem 

Zustand kann man mit diesem Device 

nun zwei Dinge tun: man kann sie für 

jeglichen I/O sperren oder vollständig 

löschen. Das Sperren erfolgt nach einem 

Reboot automatisch. Die SSD lässt 

so lange keinen Daten-I/O zu (Zustand: 

SEC4), bis ein »SECURITY_UNLOCK«- 

Kommando unter Angabe des Passworts 

abgesetzt wurde (das Absetzen 

von ATA-Steuerungskommandos und 

damit auch beispielsweise S.M.A.R.T.- 

Security 

Freeze 

Lock 

Hardware 

Reset 

Security Disable Password 

SEC2 

Security disabled, 

frozen 

Security Freeze Lock 

SEC6 


unlocked, frozen 

Hardware 

Reset 

Handoff 

to OS 

Hardware States BIOS States Operating System 

Abbildung 1: Die möglichen Übergänge zwischen den Sicherheitszuständen des ATA 

Security-Konzepts. 

Kommandos funktioniert weiterhin), 

entweder wieder direkt beim BIOS- 

Prompt (wenn die Platte zum Booten 

notwendig ist) oder mit »hdparm«, 

wozu natürlich erst einmal ein Betriebssystem 

geladen sein muss, was 

also nur für zusätzliche Datenplatten 

geeignet ist: 

root # hdparm ‐‐user‐master uU 

‐‐security‐unlock "Geheim" /dev/sdb 

Auch hier die Anmerkung: da in diesem 

Zustand (jetzt wieder SEC5) durch Malware 

mit Root-Rechten Passwörter wieder 

geändert werden könnten, bietet 

sich ein sofortiges Einfrieren der HDD/ 

SSD an, wie das eben die meisten Note- 

n Listing 3: Mit User-Passwort 


02 /dev/sdb: 

03 [...] 

04 Security: 


06 supported 

07 enabled 

08 not locked 

09 not frozen 



12 Security level high 

13 4min for SECURITY ERASE UNIT. 2min for 

ENHANCED SECURITY ERASE UNIT. 

14 [...] 


Admin 

Ausgabe 11-2013

30 

Privacy 

ATA-Security 

book-BIOSse auch tun. Danach ist die 

SSD gegen weitere sicherheitsrelevante 

Manipulationen gesichert (Zustand: 

SEC6). Nebenbei: ein Counter in der 

Festplatten-Elektronik lässt nur fünf 

Eingabeversuche für das User-Passwort 

zu. Sonst bleibt das Device im Zustand 

SEC4 gesperrt. Jeder weitere Versuch 

des Entsperrens ist erst nach erfolgtem 

Power Cycle oder Hardware-Reset wieder 

möglich. »hdparm« liefert dann den 

Output aus Listing 4. 

n Listing 4: Platte gesperrt 


02 /dev/sdb: 

03 [...] 

04 Security: 


06 supported 

07 enabled 

08 locked 

09 not frozen 

10 expired: security count 


12 Security level high 



14 [...] 

Sicheres Löschen 

Hartnäckig hält sich immer noch der 

Mythos, dass ein sogenanntes sicheres 

Überschreiben von Festplattensektoren 

nur durch mindestens 137-maliges 

Überschreiben mit Zufalls-Bytes möglich 

sei. Das war aber einmal – dieser 

Ansatz ist angesichts der hohen 

Schreibdichte moderner Platten nicht 

mehr zeitgemäß. Darüber hinaus ist 

bei SSDs das mehrfache Überschreiben 

aller Zellen nicht nur sinnlos, sondern 

verkürzt auch massiv die Lebensdauer. 

Bei halbwegs modernen Platten sowie 

SSDs reicht ein einfaches Überschreiben 

mit Null-Bytes vollkommen aus. 

Aus diesem Grund kennt der ATA-Standard 

das diesbezügliche Kommando 

»SECURITY_ERASE_UNIT«. Dieses Kommando 

führt dazu, dass der Festplattencontroller 

unwiederbringlich sämtliche 

Daten auf dem Device löscht. Der 

Befehl kennt einen normalen Modus 

und einen Enhanced Mode. Der normale 

Modus macht das Gleiche, was ein 

»dd« seitens des Betriebssystems erreichen 

würde, entlastet aber wenigstens 

CPU und PCIe-Bus: das Überschreiben 

sämtlicher LBA-adressierbarer Sektoren, 

meist mit Null-Bytes. Wenn das 

sogenannte DCO (Device Configuration 

Overlay) aktiv ist, die Platte also 

beispielsweise weniger Sektoren und 

damit eine geringere Kapazität anzeigt 

als maximal möglich wäre und wenn 

sie dem Betriebssystem wie dem BIOS 

eine andere Geometrie vorgaukelt (ein 

Relikt aus der Festplatten- und BIOS- 

Steinzeit), dann wird auch nur dieser 

kleinere Bereich gelöscht, denn nur 

dieser ist LBA-adressierbar. 

Der Enhanced Mode ignoriert DCO 

(setzt dieses aber nicht zurück), überschreibt 

mit herstellerspezifischen 

Daten sämtliche Sektoren inklusive 

aller deallokierten Bereiche aus der 

sogenannten G-Liste: Der Liste aller in 

der Vergangenheit als defekt markierten 

und deallokierten Sektoren, deren 

LBA-Adressen mit Hilfe von Reservebereichen 

reallokiert wurden. Auf diese 

Bereiche kann das Betriebssystem 

ohnehin nicht direkt zugreifen. Nur der 

Festplattencontroller selbst hat Zugriff 

auf sie, gibt deren Inhalte nicht preis, 

löscht sie aber zuverlässig. 

Damit das »SECURITY_ERASE_UNIT«- 

Kommando erfolgreich abgesetzt 

werden kann, muss das Device im Status 

SEC5 sein, die »security«-Zeile im 

hdparm-Output muss also »enabled« 

lauten und das Device muss »not frozen« 

sein. Wie den obigen Ausgabemeldungen 

zu entnehmen ist, gibt es zwei 

Angaben zur Löschdauer dieser exemplarisch 

betrachteten SSD: ein vollständiger 

Löschdurchlauf im Normalmodus 

dauert bei diesem Device vier Minuten, 

im Enhanced Mode zwei Minuten – bei 

drehenden Platten und vor allem bei 

weitaus größeren Kapazitäten sind hier 

natürlich deutlich größere Zeitangaben 

im Stundenbereich zu finden. 

Mit hdparm löst man das Löschen so 

aus: 


‐‐security‐erase "Geheim" /dev/sdb 


/dev/sdd: 

Issuing SECURITY_ERASE command, U 

password="Geheim", user=user 

0.000u 0.000s 0:39.71 0.0% U 

0+0k 0+0io 0pf+0w 

beziehungsweise 


‐‐security ‐erase‐enhanced "Geheim" U 

/dev/sdb 

In beiden Fällen wird nicht nur der 

oben beschriebene Löschvorgang 

durchgeführt; vielmehr wird darüber 

hinaus das User-Passwort gelöscht 

(sprich auf NULL zurückgesetzt) und 

der Security Mode deaktiviert. Das 

Device befindet sich danach im ungeschützten 

Zustand SEC1. Das ATA- 

Kommando »SECURITY_ERASE_UNIT« 

ist also dazu da, eine Festplatte in 

einen jungfräulichen Zustand zurückzuversetzen. 

Das Master-Passwort: 

Vorsicht! 

Bisher wurde noch gar nicht erklärt, 

was es mit dem Master-Passwort auf 

sich hat. Im bislang beschriebenen 

Szenario kann das Master-Passwort 

einfach als Fallback dienen, wenn das 

User-Passwort nicht mehr bekannt 

ist. Der Sinn dahinter ergibt sich wiederum 

aus dem Kontext von Firmen- 

Notebooks: Die firmeneigene IT soll 

jederzeit Zugriff auf die Daten haben, 

auch wenn der User, sprich der (Ex-)Angestellte, 

nicht mehr an Bord ist. 

Jede Festplatte ist initial mit einem 

undokumentierten Master-Passwort 

versehen. Im »hdparm«-Output ist dies 

zu erkennen durch die Angabe des 

Master-Passwort-Revision-Codes, der 

als Identifier auf das aktuell gültige 

Master-Passwort verweist. Der Default- 

Wert 65534 (Hex $FFFE) referenziert per 

definitionem das Hersteller-Passwort. 

Von Anfang an hat hiermit also der 

Festplatten- oder SSD-Hersteller eine 

Möglichkeit, die Sicherheitseinstellungen 

rückgängig zu machen. Das initiale 

Master-Passwort ist dem Anwender 

zwar unbekannt, kann aber überschrieben 

werden durch den erstmaligen Aufruf 

des »SECURITY_SET_PASSWORD«- 

Kommandos, diesmal mit dem 

»‐-user‐master m«-Switch: 


Privacy 

ATA-Security 

31 

root # hdparm ‐‐user‐master m ‐‐secuU 

rity‐set‐pass "Ultrageheim" /dev/sdb 

security_password="Ultrageheim" 

/dev/sdb: 

Issuing SECURITY_SET_PASS command,U 

password="Ultrageheim", user=master,U 

mode=high 

Der Master-Passwort-Revision-Code 

ist danach auf 1 gesetzt. Wichtig zu 

verstehen: Wenn nur ein Master-, aber 

kein User-Passwort gesetzt ist, sind 

keine Sicherheitsfeatures aktiv. Das 

Master-Passwort spielt seine Rolle 

erst aus, wenn diese bereits aktiviert 

sind. Dann können sämtliche Sicherheitseinstellungen 

entweder mit dem 

User- oder dem Master-Passwort über 

das ATA-Kommando »SECURITY_DISA- 

BLE_PASSWORD« deaktiviert werden: 

root # hdparm ‐‐user‐master [m|u] U 

‐‐security‐disable "Ultrageheim" U 

/dev/sdb 

In ATA-Zuständen gesprochen: es findet 

wie nach einem »SECURITY_ERASE_ 

UNIT« ein Übergang von SEC5 nach 

SEC1 statt. Nun lässt sich auch ein 

neues User-Passwort vergeben. 

Was bisher verschwiegen wurde: der 

ATA-Standard legt zwei verschiedene 

Sicherheitsniveaus fest, die beim 

Setzen des User-Passworts bereits 

definiert werden und den Umfang der 

Fähigkeiten des Master-Passworts festlegen: 

»HIGH« und »MAXIMUM«. »HIGH« 

ist der Default (»LOW« wäre: gar keine 

aktivierten Security Features). Sämtliche 

Erklärungen bislang haben sich 

auf genau dieses Niveau bezogen. In 

diesem Sicherheitsniveau (ATA-Jargon: 

Master Password Capability) sind 

User- und Master-Passwort wie oben 

beschrieben bei aktivierter Security 

austauschbar anzuwenden. 

Das Sicherheitsniveau MAXIMUM hingegen 

schränkt diese Fähigkeit ein. 

Erreicht wird es durch den Aufruf: 

root # hdparm ‐‐user‐master u -‐securiU 

ty‐mode m ‐‐security‐set‐passwd "Geheim"U 

/dev/sdb 


/dev/sdb: 

Issuing SECURITY_SET_PASS command, passU 

word="Geheim", user=user, mode=maximum 

Der »hdparm«-Output spiegelt den Zustand 

wider (Listing 5). 

In diesem Zustand kann man mit dem 

Master-Passwort das Device nicht mehr 

entsperren und erst recht keine direkte 

Deaktivierung der Sicherheitsfeatures 

auslösen. Kennt man das User-Passwort 

nicht, ist ein Übergang von SEC5 

nach SEC1 nur noch über ein SECU- 

RITY_ERASE_UNIT möglich. 

Der Gedanke dahinter ist, dass in diesem 

Fall auch die Admins keinen Zugriff 

auf Benutzerdaten bekommen sollen. 

Das Device soll sich andererseits aber 

wenigstens wieder in einen benutzbaren, 

jungfräulichen Zustand zurückversetzen 

lassen. Das muss bedacht 

werden, sollte der Sicherheitslevel auf 

MAXIMUM eingestellt sein! Bei Verlust 

des User-Passworts sind im Ernstfall 

sämtliche Daten unwiederbringlich 

verloren. 

Zusammenfassung 

Die Sicherheitsfunktionen moderner 

ATA-Drives bieten einen guten Schutz 

gegen unbefugten Datenzugriff, sofern 

sie korrekt angewendet werden. Dabei 

ist es hilfreich, den Gedankengang 

und die Logik hinter dem Konzept zu 

verstehen, das aus der Welt der Firmen- 

Notebooks stammt, aber prinzipiell 

auch für Desktop-Systeme anwendbar 

ist – auch wenn man da unter Umständen 

Schritte mit Skripts automatisieren 

muss, die das Notebook-BIOS automatisch 

absolviert. 

Wichtig ist vor allem im privaten oder 

einfachen Unternehmensumfeld zu 

bedenken, dass die Sicherheitsstufe 

HIGH meist ausreicht, aber unbedingt 

ein Einfrieren des Devices durchgeführt 

werden sollte, um Malware keine Möglichkeiten 

zu geben, Sicherheitseinstellungen 

zu ändern – egal ob Sicherheit 

aktiv ist oder nicht. 

Beim Sicherheitsniveau MAXIMUM bedeutet 

der Verlust des User-Passwort 

zwingend Datenverlust, es sei denn, 

man ist bereit, Datenrettungsspezialisten 

viel Geld zu zahlen, die unter Reinraumbedingungen 

das Gehäuse öffnen 

und die Daten direkt von den Platten 

abgreifen oder die Speicherzellen der 

SSD unter Umgehung des Controllers 

direkt einlesen können. 

Inwiefern Festplatten- beziehungsweise 

SSD-Hersteller oder Data- 

Recovery-Spezialisten wie die Firmen 

OnTrack und Convar über undokumentierte 

Möglichkeiten verfügen, mit 

denen sie trotz aller Security Features 

dennoch einfachen Zugriff auf die Daten 

bekommen, und zwar ohne das Gehäuse 

zu öffnen, ist nicht öffentlich bekannt. 

Das könnte beispielsweise über 

das Aktivieren eines Maintenance Mode 

oder das ebenfalls denkbare undokumentierte 

Umreferenzieren des Master 

Password Identifiers möglich sein. Der 

Autor dieses Beitrags geht aber davon 

aus, dass es solche Möglichkeiten geben 

dürfte. 

Zu guter Letzt sollte noch erwähnt 

werden, dass bei USB-Festplatten 

oder ‐SSDs das sichere Löschen mit 

»hdparm« in vielen Fällen zu Fehlermeldungen 

führen kann. Es scheint 

nämlich so zu sein, dass viele SATA- 

USB-Adapter die Verwendung der ATA- 

Security-Commands zum Teil blockieren 

oder zumindest aber nicht sauber 

umsetzen. (jcb) n 

n Listing 5: Level MAXIMUM 


02 /dev/sdb: 

03 [...] 

04 Security: 


06 supported 

07 enabled 

08 not locked 

09 not frozen 



12 Security level maximum 



14 [...] 

n Info 






Admin 

Ausgabe 11-2013

32 

Privacy 

Browser-Plugins 

bowie15, 123RF 

Browser-Plugins zum Schutz der Privatsphäre 

Inkognito 

Wer mit dem Webbrowser im Internet unterwegs ist, wird von Anzeigennetzwerken und sozialen Netzwerken 

verfolgt. Einige Browser-Plugins helfen dabei, sich den Überwachern zu entziehen. Oliver Frommel 

Wenn staatliche Stellen wie die NSA 

den Traffic direkt am Backbone-Router 

abgreifen, kann man als Endanwender 

wenig dagegen machen. Allerdings sind 

Geheimdienste nicht die einzigen, die 

versuchen, User auszuspähen. Besonders 

fleißig sind Marketing-Agenturen 

und Anzeigennetzwerke, die aus den 

gesammelten Daten bares Geld machen 

wollen. Auch Facebook, Google 

und Twitter mischen hier kräftig mit, 

denn auch ihr Kapital sind Benutzerdaten 

– soviele wie möglich. So sorgt 

etwa schon das Einbinden eines Like- 

Buttons in eine Webseite dafür, dass 

Tracking-Daten an Facebook übermittelt 

werden – ein Klick durch den Benutzer 

ist dafür gar nicht nötig. 

Abhilfe schaffen hier einige Browser- 

Plugins, die es heute meist für Firefox, 

Safari, Google Chrome und Internet 

Explorer gibt. Der erste Kandidat ist die 

Ghostery-Extension [1], deren Hersteller 

Evidon ironischerweise selbst im 

Anzeigenumfeld Geld 

verdient [2]. Allerdings 

besteht das Geschäftsmodell 

unter 

anderem darin, den 

Kunden Know-how 

zu verkaufen, um Anzeigen 

in einer Weise 

an den potenziellen 

Kunden zu bringen, 

die ihn nicht vergrault 

– etwa indem 

sie die Regeln des 

US-amerikanischen 

AdChoices-Programms 

respektiert. 

Ghostery (Abbildung 

1) jedenfalls verfügt 

Abbildung 1: Ghostery verfügt 

über eine große Datenbank an 

Trackern, die es auf Wunsch 

blockiert. 

über eine der umfangreichsten Datenbanken 

an Trackern, die Evidon auf 

einer eigenen Site als Periodensystem 

präsentiert [3] (Abbildung 

2). Installiert ist 

Ghostery schnell: Bei 

den gängigen Browsern 

(Firefox, Internet 

Explorer, Chrome, Safari 

und Opera) genügt 

ein Klick auf den Button 

auf der Homepage 

und schon kann es 

losgehen. Für Apple- 

Mobilgeräte gibt es 

eine Version im App- 

Store. Per Default blockiert 

Ghostery keinen 

Tracker, sondern zeigt 

die gefundenen in einem 

Popup an. Mit ei- 


Privacy 


33 

nem Klick auf das Ghostery-Icon öffnet 

sich ein Fenster, in dem der Anwender 

jeden Tracker einzeln blockieren kann. 

Wer will, kann sich das auch sparen 

und gleich in den Ghostery-Optionen 

einschalten, dass es sämtliche Tracker 

blockieren soll. Dort findet sich auch 

der Menüpunkt »GhostRank«, der regelt, 

ob Ghostery die gefundenen Daten 

an Evidon übermitteln darf. Das macht 

die Extension laut Evidon anonymisiert 

und trägt zu den Daten bei, mit denen 

Evidon sein Geld verdient. Per Default 

ist GhostRank aber abgeschaltet. 

Auch hinter dem Ghostery-Konkurrenten 

»DoNotTrackMe« [4] steht eine 

Firma, die ihr Geld aber von vornherein 

mit Produkten rund um den Schutz 

der Privatsphäre verdient. Neben dem 

kostenlosen DoNotTrackMe bietet der 

Hersteller Abine auch noch »DeleteMe« 

an, das als kostenpflichtiger Dienst die 

eigenen Spuren aus dem Internet tilgen 

soll. DoNotTrackMe (Abbildung 3) lässt 

Abbildung 2: Der Ghostery-Hersteller Evidon betreibt eine Webseite, die die bekannten Tracker als 

Periodensystem zeigt.

34 

Privacy 


Abbildung 3: Die DoNotTrackMe- 

Extension stellt eine Statistik 

über die erkannten Tracker grafisch 

dar. 

n Info 

sich ebenfalls über einen Button-Klick 

in Firefox, Internet Explorer, Chrome 

und Safari installieren. Firefox muss 

allerdings erst neu gestartet werden, 

damit die Extension funktioniert. Laut 

Herstellerangabe blockiert DoNot- 

TrackMe mehr als 600 Tracker, die man 

über die Optionen einzeln ein- und ausschalten 

kann, wenn man die Einstellungen 

öffnet. Darüber hinaus bietet 

das Plugin keine Einstellmöglichkeiten. 

WLAN-Schutz 

Auch »Disconnect« [5] schreibt sich 

den Schutz der Privatsphäre auf die 

Fahnen und realisiert dies mit einer Extension 

für Chrome, Firefox, Safari und 

Opera. Nach der Installation blockiert 

Disconnect ohne weitere Konfiguration 

die ihm bekannten Tracker und Anzeigennetzwerke, 

die es in grün anzeigt. 

Erlauben kann der Anwender sie durch 

einen Klick, der die erlaubten Elemente 

dann grau einfärbt. Zusätzlich bietet 

Disconnect noch einen Schutz namens 

»Secure Wi-Fi«, der für Websites, die 





Abbildung 4: Disconnect bringt 

zusätzlich eine Funktion mit, um 

die Sicherheit in offenen WLANs 

zu verbessern. 

dies unterstützen, 

das Protokoll auf verschlüsseltes 

HTTPS 

umschaltet (Abbildung 

4). So soll verhindert 

werden, dass die 

privaten Daten von 

Anwendern in öffentlichen, 

unverschlüsselten 

WLANs abgehört 

und gegebenenfalls 

missbraucht werden. 

Secure Wi-Fi funktioniert 

ähnlich wie das 

bekannte »HTTPS 

Everywhere«, soll aber 

laut Entwickler weniger 

Probleme verursachen, 

da es nicht stur 

auf HTTPS besteht, 

wenn eine Website 

damit Schwierigkeiten 

macht. Außerdem bietet Disconnect 

bunte Balkengrafiken und eine Visualisierung 

der Tracking-Netze, die aber 

eher wenig sinnvoll erscheinen. Der 

Quellcode von Disconnect ist bei Github 

zu finden [6]. 

Im Vergleich 

In einem kurzen Test auf einer großen 

deutschen Nachrichtenwebseite 

schnitten die Plugins in etwa gleich 

ab. Disconnect blockierte pro Seite 

elf Requests, wobei etwa Facebook, 

Google und Twitter je zweimal vertreten 

waren. DoNotTrackMe zählt demgegenüber 

nur die Tracker und kommt 

im Ergebnis auf fünf Stück. Darunter 

befindet sich übrigens auch in beiden 

Fällen die VG Wort, die ein Zählpixel in 

Online-Artikel einbaut, um sie am Ende 

des Jahres den Autoren bei der jährlichen 

Ausschüttung zu vergüten. Wer 

Autoren also generell wohlgesonnen 

ist, sollte das Tracking der VG Wort erlauben. 

Ghostery fand auf der Testseite 

acht Tracker und hat im Wesentlichen 

dieselben Datenspäher gefunden wie 

Disconnect. DoNotTrackMe erkannte 

mindestens einen Tracker nicht. Im 

Prinzip spricht auch nichts dagegen, 

die Tracker gemeinsam einzusetzen 

oder auch mit Adblock Plus zu kombinieren, 

das Anzeigen aus einer Website 

herausfiltert. 

Fingerabdruck 

Wogegen die hier vorgestellten Extensions 

nicht helfen, ist das sogenannte 

»Browser Fingerprinting«, von dem, soweit 

bekannt, bislang keine Anzeigenund 

sonstigen Netzwerke Gebrauch 

machen. Die Idee dabei ist, dass sich 

über Javascript bestimmte Eigenschaften 

eines Browser auslesen lassen, die 

zusammen so einzigartig sind, dass 

sich über sie ein Benutzer identifizieren 

lässt. Das sind beispielsweise die installierten 

Schriften, Plugins, der User- 

Agent-String sowie eine ganze Reihe 

von Betriebssystemdetails, die der 

Browser dummerweise preisgibt. 

Die Electronic Frontier Foundation betreibt 

die Website »Panopticlick« [7], 

die testet, wie leicht sich ein Browser 

in einer Menge von anderen Browsern 

identifizieren lässt. Dazu setzt sie die 

Tests von Browserspy ein, der über die 

vielen Merkmale für das Fingerprinting 

noch einmal im Detail Auskunft gibt. 

Beim Test ergab sich in meinem Fall das 

beunruhigende Ergebnis, dass dank einer 

Vielzahl von Merkmalen mein Browser 

in den bislang getesteten mehr als 

3,4 Millionen Fällen einzigartig ist. Das 

heißt, würde ein Website-Betreiber die 

im Test verwendeten Techniken einsetzen, 

könnte er mich beziehungsweise 

meinen Browser mit einer relativ hohen 

Wahrscheinlichkeit bei einem neuen 

Besuch wiedererkennen. 

Dagegen machen kann man nicht viel. 

Das beste Gegenmittel ist, Javascript 

einfach abzuschalten, sei es im Browser 

oder mittels des NoScript-Plugins, das 

es nur für Firefox gibt. Das Panopticlick- 

Ergebnis relativiert sich dann etwas 

und besagt, dass immerhin noch ein 

anderer in 15 000 Browsern den gleichen 

Fingerabdruck besitzen. Anders 

ausgedruckt: In den oben gezählten 

3,4 Millionen Fällen gibt es noch 226 

andere mit dem gleichen Muster. Das 

ergibt sich allein aus dem User-Agent- 

String und den HTTP-Accept-Headern. 

Auf der anderen Seite ist vermutlich 

schon das Abschalten von Javascript 

ein Merkmal, das einen Anwender signifikant 

aus der Masse heraushebt. Abgesehen 

davon, dass damit ein Großteil 

der gegenwärtigen Websites einfach 

nicht mehr funktioniert. n 


36 

Privacy 

Anonym mit Tor 

katalinks, 123RF 

Anonymisierter Internetzugang für ein ganzes Netz mit Tor 

Tarnkappe 

Tor hat sich als Lösung zum anonymen Surfen etabliert. In der Kombination mit Squid und Privoxy kann 

es seine Stärken noch besser ausspielen. Daniel van Soest 

Abbildung 1: Das Onion-Routing im Tor-Netzwerk 

verschleiert die Identität der Endgeräte. 

In Zeiten, in denen Anonymität so selten 

ist wie ein richtig gesetzter Genitiv 

im Ruhrpott, ist der Bedarf nach einer 

Lösung groß. Tor ist solch eine und bietet 

ein Stück weit das, was längst verloren 

geglaubt war: Anonymes Surfen 

im Internet. Vereinfacht ausgedrückt 

funktioniert es so: Man nehme viele 

Teilnehmer, ein vermaschtes Netzwerk, 

schüttle alles kräftig durch und schon 

hat man einen anonymisierten Zugang 

ins Netz. 

Basierend auf der Idee des Onion-Routing, 

sprich dem Routen von Anfragen 

über ständig wechselnde Router in 

einem verteilten Netz, werden Anfragen 

in einem vermaschten Netz über stetig 

wechselnde Knoten geschickt (siehe 

Abbildung 1). Weder der Einstiegspunkt 

weiß, wo er herauskommt, noch der 

Ausstiegspunkt weiß, von wem die Anfrage 

gestellt wurde. 

Sie benutzen bereits Tor? Sie haben auf 

Ihrem PC, Mac oder Endgerät XY den 

Tor-Client installiert? Sehr gut, aber 

was ist mit ihren übrigen Endgeräten? 

Was ist mit Ihrem Smartphone, Ihrem 

Fernseher oder Ihrem Toaster? Dieser 

Artikel zeigt, wie Sie einen eigenen 

Proxy-Server mit Tor-Anbindung aufsetzen, 

damit all Ihren Endgeräten der 

gleiche Schutz zuteil wird. 

Die Basis hierfür bietet der gut geschüttelte 

Software-Cocktail von Tor, dem 

eigentlichen Anonymisierungsdienst, 

zusammengemischt mit Squid, dem 

De-facto-Standard für Proxy-Server, 

und Privoxy als Filter, um keine Browser-Informationen 

preiszugeben. Der 

Aufbau des fertigen Konstrukts ist in 

Abbildung 2 dargestellt. 

Wie dort zu sehen ist, starten jeweils 

fünf Tor- und Privoxy-Instanzen, die von 

einem Squid-Proxy genutzt werden. 

Dies ist deshalb notwendig, da ansonsten 

die Clients nur der Reihe nach und 

nicht parallel arbeiten können. Passen 

Sie daher die Anzahl der Instanzen Ihrer 


Privacy 


37 

Umgebung an. Es gilt: Mehr Clients = 

mehr Instanzen. 

Installation 

Installieren Sie zunächst über die Paketverwaltung 

Ihrer Wahl die Pakete 

»squid«, »privoxy« und »tor« (unter Debian 

und Ubuntu sind diese bereits in 

den Standard-Repositories verfügbar). 

Beenden Sie anschließend die automatisch 

gestarteten Dienste, zum Beispiel 

unter Ubuntu mit: 

service squid3 stop 

service privoxy stop 

service tor stop 

Über den Tor-Daemon kann Ihr System 

Anfragen in das Tor-Netzwerk schicken. 

Zunächst müssen Sie Tor so konfigurieren, 

dass fünf Instanzen gleichzeitig 

starten, und je eine eigene Konfigurationsdatei 

anlegen. Speichern Sie dafür 

die Einstellungen aus Listing 1 in die 

Datei »/etc/tor/template.torrc« und 

führen Sie anschließend das nachstehende 

kleine Bash-Konstrukt aus: 

cd /etc/tor ; for i in 1 2 3 4 5 ; do U 

sed "s/TEMP/${i}/g" template.torrc >> / U 

etc/tor/torrc‐${i} ; done 

Diese For-Schleife erzeugt fünf Konfigurationsdateien 

und ändert sowohl die 

»SocketPorts« und »ControlPorts« als 

auch »PID« aus der Template-Datei. Sie 

finden nun unter »/etc/tor« die Dateien 

»torrc‐1« bis »torrc‐5«. Nun müssen Sie 

noch die Verzeichnisse für die Daten 

(»DataDirectory«) anlegen, damit die 

Prozesse auch hineinschreiben können. 

Dafür kommen erneut die Fähigkeiten 

der Bash zum Einsatz: 

install ‐o debian‐tor ‐g debian‐tor ‐m U 

700 ‐d /var/lib/tor{1..5} 

Dem Befehl »install« werden der Benutzer, 

die Gruppe und die Rechte 

n Listing 1: »template.torrc« 

01 SocksPort 9%VAR%50 

02 ControlPort 9%VAR%51 

03 DataDirectory /var/lib/tor%VAR% 

04 PidFile /var/run/tor/tor‐%VAR%. 

übergeben, nach dem Parameter »‐d« 

folgt das Verzeichnis und durch die 

Bash-Auflistung »{1..5}« wird der Befehl 

fünfmal ausgeführt. 

Abschließend müssen Sie noch das 

»init.d«-Skript anpassen, damit der 

Dienst auch fünfmal mit den korrekten 

Verzeichnissen und PIDs gestartet oder 

beendet wird. Falls Ihnen die Anpassungen 

zu umfangreich sind, haben wir 

eine Variante für Debian und Ubuntu 

vorbereitet, die es auf dem ADMIN- 

Server zum Download gibt [1]. Beachten 

Sie aber, dass dieses Skript nur für 

fünf Instanzen ausgelegt ist. Wenn Sie 

mehr (oder weniger) einsetzen wollen, 

müssen Sie das Skript entsprechend 

anpassen (Variable »INSTANCE«). 

Privoxy 

Privoxy ist ein Filter-Proxy, der dabei 

hilft, beim Websurfen seine Privatsphäre 

zu wahren. Wie schon bei Tor 

müssen Sie auch hier zunächst fünf 

Konfigurationsdateien anlegen. Speichern 

Sie daher die Datei aus Listing 2 

unter »/etc/privoxy/template.config« 

und führen Sie nachstehende Kommandozeile 

aus: 

for i in 1 2 3 4 5 ; do sed "s/%VAR%/U 

${i}/g" template.config >> /etc/privoxy/U 

config‐${i} ; done 

Das Kommando legt die fünf Konfigurationsdateien 

»config-1« bis »config-5« 

an und stellt gleichzeitig das Verzeichnis 

für Log-Dateien (»logdir«), den 

Privoxy-Port (»listen‐address«) und den 

Proxy-Server ein, von dem Privoxy die 

Daten beziehen soll (»forward‐socks5«). 

n Listing 2: »template.config« 

01 confdir /etc/privoxy 

02 actionsfile match‐all.action 

03 actionsfile default.action 

04 actionsfile user.action 

05 filterfile default.filter 

06 toggle 1 

07 enable‐remote‐toggle 0 

08 enable‐remote‐http‐toggle 0 

09 enable‐edit‐actions 0 

10 enforce‐blocks 0 

11 buffer‐limit 4096 

12 forwarded‐connect‐retries 0 

Abbildung 2: Die Kombination von Tor, Squid und 

Privoxy sorgt für lückenlose Anonymisierung. 

Zu guter Letzt muss auch das Init.d- 

Skript von Privoxy angepasst werden, 

damit auch dieser Dienst fünfmal mit 

den richtigen Verzeichnissen und PIDs 

gestartet oder beendet wird. Auch dieses 

Skript ist unter [1] zu finden. Es ist 

nur für fünf Instanzen ausgelegt. Wenn 

Sie mehr (oder weniger) einsetzen wollen, 

müssen Sie das Skript anpassen. 

Squid 

Um nun alle gestarteten Instanzen 

von Privoxy und Tor auch verwenden 

zu können, soll der Squid-Proxy zum 

Einsatz kommen. Zunächst befreit der 

folgende Aufruf die Squid-Konfigurationsdatei 

von den unnötigen Kommentaren: 

13 accept‐intercepted‐requests 0 

14 allow‐cgi‐request‐crunching 0 

15 split‐large‐forms 0 

16 keep‐alive‐timeout 5 

17 socket‐timeout 300 

18 handle‐as‐empty‐doc‐returns‐ok 1 

19 

20 logdir /var/log/privoxy 

21 logfile logfile‐%VAR%.log 

22 listen‐address localhost:81%VAR%8 

23 forward‐socks5 / 127.0.0.1:9%VAR%50 . 


Admin 

Ausgabe 11-2013

38 

Privacy 


n Listing 3: Squid-Konfiguration 

01 cache_peer localhost parent 8118 0 round‐robin 

no‐query 

02 cache_peer localhost2 parent 8128 0 round‐robin 

no‐query 


no‐query 


no‐query 

n Listing 4: No place like localhost 

01 127.0.0.1 localhost 

02 127.0.0.1 localhost2 

03 127.0.0.1 localhost3 

04 127.0.0.1 localhost4 

n Listing 5: Squid-Ergänzungen 

01 cache_access_log none 

02 forwarded_for off 

03 cache deny all 

n Autor 

cd /etc/squid3 ; cp squid.conf squid.conf.U 

BAK ; sed '/^$/d;/^#/d' ‐i squid.conf 

Der Aufruf legt ein Backup der gut dokumentierten 

Konfigurationsdatei an, 

falls Sie die Funktion des ein oder anderen 

Parameters nochmal nachlesen 

wollen. 

Damit die Clients in Ihrem Netz den 

Squid-Proxy nutzen dürfen, müssen Sie 

dies erlauben. Fügen Sie dazu eine ACL 

am Anfang der »squid.conf« hinzu: 

acl myNetwork src 192.168.0.0/24 

Daniel van Soest ist System- und Netzwerkadministrator 

im kommunalen Rechenzentrum Niederrhein. 

Er administriert die zentrale Internet-Infrastruktur, 

primär die Sicherheitskomponenten. Daniel verbringt 

seine Freizeit mit einer Stromgitarre in der 

Alternativ-/Punkrock-Band »4dirty5«. 

n Info 





Hiermit wird das Objekt »myNetwork« 

mit dem Class-C-Netz 192.168.0.0 angelegt. 

Passen Sie das Netz entsprechend 

Ihrer Umgebung an. Das war aber nur 

die halbe Miete. Die entscheidende Zugriffsregel 

(»http_access«) fehlt noch. 

Fügen Sie dafür vor der Zeile »http_access 

deny all« die nachstehende Zeile 

ein: 

http_access allow myNetwork 

Last but not least müssen Sie Squid 

auch mitteilen, dass er die Internetinhalte 

über Privoxy abrufen soll. Fügen 

Sie dafür die Zeilen aus Listing 3 am 

Ende der »squid.conf« hinzu. 

Bevor Sie Squid nun starten, müssen 

Sie noch die Datei »/etc/hosts« anpassen. 

Da Squid seine Cache-Parents, 

also übergeordnete Caches, von denen 

er Inhalte abruft, nur über den Namen 

identifiziert und ein Name nur einmal 

vorkommen darf, wurde localhost im 

Beispiel durchnummeriert (»cache_ 

peer« in Listing 3). Fügen Sie also der 

Datei »/etc/hosts« die Zuordnungen aus 

Listing 4 hinzu. Starten Sie nun alle 

Dienste über die Init.d-Skripte – verwenden 

Sie nicht den »service«-Befehl 

aus dem Upstart-Paket, da dieser die 

veränderten Init.d-Skripte ignoriert. 

Nun müssen Sie Ihren Clients noch beibringen, 

dass sie den soeben eingerichteten 

anonymisierenden Proxy-Server 

verwenden. Unter Firefox öffnen Sie 

die Einstellungen (»Bearbeiten | Einstellungen«), 

wählen das Menü »Erweitert« 

und dort den Reiter »Netzwerk« 

aus. Dort angelangt können Sie über 

»Einstellungen ...« den Proxy-Server 

angeben. Verwenden Sie die IP-Adresse 

Ihres Proxies und als Port den Squid- 

Standard 3128. 

Zunächst sollten Sie sicherstellen, dass 

Ihr Proxy-Server die Internetzugriffe 

nicht protokolliert. Was nützt die ganze 

Anonymisierung, wenn Ihr eigenes System 

trotzdem wieder alles aufzeichnet? 

Darüber hinaus sollten Sie sicherstellen, 

dass der Squid-Proxy Ihre interne 

IP-Adresse nicht nach außen versendet; 

darüber könnten Sie (mit ein paar Kniffen) 

dann doch wieder erkannt werden. 

Fügen Sie daher die Zeilen aus Listing 

5 der Datei »/etc/squid3/squid.conf« 

hinzu. Per Default sollte der Squid zwar 

keinen X-Forwarded-For-Header erzeugen 

und auch kein »access.log« schreiben, 

aber sicher ist sicher. 

Debugging 

Da alle Logs deaktiviert sind, kann das 

Finden eines Fehlers zur Qual werden. 

Um Ihre Umgebung zu kontrollieren 

und auftretende Fehler aufzuspüren, 

müssen Sie das Logging aktivieren. 

Mittels »squid3 ‐k parse« prüft Squid 

die Konfiguration. Werden hier keine 

Fehler angezeigt, können Sie zur weiteren 

Fehlersuche das Logging aktivieren. 

Ändern Sie hierfür die Zeile »cache_access_log 

none« auf »cache_access_log 

/var/log/squid3/access.log«. Nach 

einem Neustart schreibt Squid alle Zugriffe 

in die angegebene Datei. 

Um das Logging von Privoxy zu aktivieren, 

müssen Sie in allen Konfigurationsdateien 

den Parameter »debug« mit einem 

Wert größer als 1 setzen. Bei dem 

Wert 1 werden alle Zugriffe in der entsprechenden 

Datei protokolliert (zum 

Beispiel bei »config‐1 /var/log/privoxy/ 

logfile‐1.log«). Vergessen Sie nicht, das 

Logging nach der Fehlersuche wieder 

zu deaktivieren, da Ihre Anonymisierung 

sonst bereits bei Ihrem eigenen 

System aufhört. 

Nachteile und Risiken 

Durch den Einsatz von Tor und dessen 

vermaschten Netzes werden die 

Antwortzeiten um einiges länger. Eine 

zu geringe Anzahl von Instanzen kann 

ebenfalls bremsen. Darüber hinaus 

müssen Sie auch noch Ihre Browser- 

Plugins im Auge behalten. Zum Beispiel 

lässt sich trotz korrekter Konfiguration 

über das Shockwave-Flash-Plugin Ihre 

echte Adresse herausfinden. Testen Sie 

also am besten, was Ihr Browser an Informationen 

preisgibt. Gut eignet sich 

dafür etwa die Cloakfish-Website [2]. 

Auch wenn Sie mit Tor Ihre Vorliebe 

für die Königspudelzucht verschleiern 

können, bietet es trotzdem keine hunderprozentige 

Anonymisierung. Ihr 

Browser-Cache, der Cache des Squid- 

Proxy und vor allem Cookies können all 

die gewonnenen Maßnahmen wieder 

zunichte machen. Die Arbeit hört also 

nicht beim Proxy-Server auf. (ofr) n 


40 

Privacy 

GPG 

Dokumente und Mails mit PGP schützen 

Privates schützen 

Jevgeni Trombovetski, 123RF 

Viele haben PGP/GPG schon einmal ausprobiert. Nicht so bekannt ist aber, was sich unter der Haube verbirgt 

und welches Sicherheitslevel sich mit welcher Option tatsächlich ergibt. Dieser Artikel gibt einen 

tieferen Einblick. Juliet Kemp 

Pretty Good Privacy (PGP) erlaubt das 

kryptografische Unterschreiben und 

das Ver- und Entschlüsseln von Dokumenten. 

Ersteres dient der Sicherung 

der Identität, letzteres der Sicherung 

der Vertraulichkeit. Dabei wird der 

OpenPGP-Standard benutzt, der eine 

Kombination aus herkömmlichen und 

Public-Key-Verfahren einsetzt. PGP 

selbst – als Produkt der PGP Corporation 

– ist keine GPL-Software. Der 

OpenPGP-Standard ist dagegen nicht 

proprietär. Die wichtigste Open-Source- 

Implementierung von OpenPGP ist 

GnuPG (GPG) [1]. 

Warum Public-Key- 

Kryptografie? 

Die Grundidee der Public-Key-Kryptografie 

ist, dass zuerst ein Verschlüsselungsprozess 

den lesbaren Text chiffriert 

und anschließend ein Entschlüsselungsprozess 

das Ganze wieder in eine 

lesbare Form zurückverwandelt. Zum 

Verschlüsseln wird ein Algorithmus und 

ein Schlüssel gebraucht. 

Ein ganz einfaches Beispiel für einen 

Verschlüsselungs-Algorithmus ist der 

sogenannte Cäsar-Code, bei dem jeder 

Buchstabe um eine feste Distanz 

verschoben wird: Aus »A« wir »D« aus 

»B« wird »E« und so weiter. Den Algo- 

rithmus könnte man so beschreiben: 

»Verschiebe jeden Buchstaben X um 

den Schlüsselwert 3«. 

Dieses Verfahren ist natürlich sehr 

leicht zu brechen und als ernsthaftes 

Verschlüsselungsverfahren nicht zu 

gebrauchen, doch es verdeutlicht das 

Grundprinzip: Der Empfänger braucht 

wieder den zuvor benutzten Schlüssel 

und den Algorithmus. Und hier stößt 

n RSA und die Berechenbarkeit 

RSA ist einer der am meisten benutzten 

Kryptografie-Algorithmen, der 1977 von 

Rivest, Shamir und Adlerman entwickelt 

wurde (tatsächlich entstand bereits 1973 

eine Version im Gouvernment Communications 

Headquarter, die jedoch bis 1997 

geheim gehalten wurde). 

RSA ist im Detail mathematisch recht 

komplex, aber die Grundidee ist die folgende: 

Man wähle zwei sehr große Primzahlen 

p und q (mindestens 100 Stellen). 

Dann multipliziere man p mit q, was eine 

weitere, sehr große Zahl N ergibt. N wird 

nun als Public-Key benutzt. Die Sicherheit 

beruht darauf, dass die Faktorisierung 

von N in q und p extrem aufwendig ist 

und es keinen bekannten Algorithmus 

gibt, der den Weg verkürzen würde. Ein 

Brute-Force-Angriff, der alle möglichen 

man auf ein Problem: Wie soll man den 

Empfänger mit diesen Daten versorgen? 

Man kann sie nicht verschlüsseln, 

denn er hätte nichts in der Hand, womit 

er sie entschlüsseln könnte. Sendet 

man sie aber unverschlüsselt, könnten 

sie von Unbefugten abgefangen werden. 

Die Lösung für dieses Problem ist die 

Public-Key-Kryptografie. Sie verwen- 

Faktoren einfach ausprobieren könnte, 

würde zu lange dauern. 

Die größte Zahl, die nach der Brute-Force- 

Methode je faktorisiert wurde, war 768 

Bit lang – man brauchte dafür vier Jahre. 

Auch 1024 Bit mögen in naher Zukunft 

angreifbar sein, aber im Moment muss 

ein solcher Schlüssel als unberechenbar 

gelten. Für längere Schlüssel gilt das erst 

recht. 

In der Theorie bleiben derzeit zwei Fragen 

offen: Ob es überhaupt eine bessere 

Methode für die Faktorisierung großer 

Zahlen gibt – bisher wurde lediglich keine 

gefunden. Und ob die Schwierigkeiten 

bei der Faktorisierung großer Zahlen dieselben 

sind wie beim Brechen des RSA- 

Codes. Dieses sogenannte RSA-Problem 

ist weiter Gegenstand der Forschung. 


Privacy 

GPG 

41 

det einen öffentlichen Schlüssel zum 

Verschlüsseln der Nachricht und einen 

anderen, privaten Schlüssel für das 

Entschlüsseln. Dabei ist es unmöglich 

den privaten Schlüssel aus dem öffentlichen 

abzuleiten. Deshalb kann man 

den öffentlichen Schlüssel unbesorgt 

überall verteilen. Der private Schlüssel 

wird dagegen niemals und mit niemandem 

geteilt. 

So funktioniert GPG 

Wenn man eine Nachricht mit GPG verschlüsselt, 

passiert das Folgende: 

n Der Text wird komprimiert, denn 

das reduziert die Muster, die man 

im Klartext finden könnte, und erschwert 

so Angriffe. 

n Es wird ein zufälliger Session-Key 

erzeugt. 

n Mit diesem Session-Key wird die 

Nachricht verschlüsselt. 

n Danach wird wiederum der Session- 

Key mit dem öffentlichen Schlüssel 

des Empfängers verschlüsselt (nicht 

die Nachricht selbst). 

Nachricht und Session Key gelangen 

verschlüsselt gemeinsam zum Empfänger. 

Bei ihm passiert das Folgende: 

n Er entschlüsselt mit seinem geheimen, 

privaten Schlüssel den 

Session-Key. 

n Danach entschlüsselt er mit dem 

Session-Key die Nachricht. 

n Schließlich wird die Nachricht wieder 

dekomprimiert. 

Nun liegt die Nachricht wieder in lesbarer 

Form vor. Die zugrunde liegende 

Mathematik ist nicht Gegenstand dieses 

Artikels. Wer deren Details studieren 

möchte, findet ein nachvollziehbares 

Beispiel unter [2]. 

Public-Key-Algorithmen 

GPG unterstützt eine Vielzahl verschiedener 

Algorithmen. Welche genau, 

zeigt der Schalter »‐‐version« des Kommandos 

»gpg« an. Eine beispielhafte 

Ausgabe zeigt Listing 1. 

Die Algorithmen für den öffentlichen 

Schlüssel generieren das Public-/ 

Private-Schlüsselpaar. Die Verschlüsselungs-Algorithmen 

sind zuständig für 

das symmetrische Einmal-Passwort, 

mit dem die Nachricht verschlüsselt 

wird. Die Hash-Algorithmen überprüfen 

die Authentizität der Nachricht und 

die Unifikationsverfahren verpacken 

den Text. Dem Schlüssel ist es egal, 

mit welchem Verfahren die Nachricht 

verschlüsselt wird. Tatsächlich ist eine 

Liste der unterstützten Algorithmen 

Teil des öffentlichen Schlüssels. Wenn 

man mit ihm eine Nachricht verschlüsselt, 

sucht sich GPG das am meisten 

präferierte Verfahren heraus. Will man 

wissen, welches das ist, gibt man 

gpg ‐‐edit key user‐id 

ein und danach hinter dem Prompt 

»Command« das Kommando 

»showpref«. 

Kompressions- und Hash- 

Verfahren 

Die Kompression wird sowohl eingesetzt, 

um das File zu verkleinern, als 

auch um Muster im Text zu verdecken. 

Verfügbar sind die Standardverfahren 

»zlib«, »bzip2« und »zip«. Die Unterschiede 

sind nicht groß von Bedeutung: 

Zlib ist vielleicht etwas kompatibler, 

Bzip2 ist speicherintensiver, erreicht 

dafür etwas höhere Kompressionsraten. 

Kryptografische Hash-Algorithmen sichern 

die Authentizität eines Files. Der 

Hash erzeugt eine Art Fingerabdruck 

des Files. Der ist zwar eindeutig, doch 

lässt sich der Dateiinhalt nicht aus dem 

Fingerabdruck zurückgewinnen. Ein 

gängiges Hash-Verfahren ist SHA1 (trotz 

bekannter theoretischer Verwundbarkeiten) 

oder die sichere Alternative 

SHA2. 

Betrachtet man die Sicherheit der Algorithmen, 

muss man zwei Werte auseinanderhalten: 

die Key-Länge in Bits 

und die kryptographische Sicherheit 

n Listing 1: Unterstützte Algorithmen 

als Wert für den kürzesten bekannten 

Angriff auf das Verfahren, angegeben 

ebenfalls in Bit. Die kryptografische 

Sicherheit kann nicht größer sein als 

die Key-Länge (denn durch Ausprobieren 

jedes möglichen Schlüssels 

der gegebenen Länge würde man den 

zutreffenden finden). Bei symmetrischen 

Verschlüsselungsverfahren ist 

die kryptografische Sicherheit meistens 

etwas kleiner als die Key-Länge, bei 

asymmetrischen Verfahren ungefähr 

genauso groß. 

Verschlüsselungsverfahren 

Als Public-Key-Algorithmen werden 

zumeist RSA, RSA-E, RSA-S, ELG-E und 

DSA angeboten. Am häufigsten wird 

RSA verwendet. Sein Hauptvorteil ist, 

dass es Key-Längen bis 4096 Bits gestattet. 

RSA-768 ist bereits 2010 ausgelaufen, 

aber schon seit 2007 empfiehlt 

das amerikanische National Institute 

of Standards and Technology (NIST) 

auch 1024 Bit lange Keys zu meiden. 

Heute sind 2048 Bit der Standard in 

GPG. RSA-S dient nur zum Unterzeichnen 

und RSA-E nur zum Verschlüsseln. 

ELG-E basiert auf dem Diffie-Hellmann- 

Verfahren für den Schlüsselaustausch 

aus dem Jahr 1976. Es ist ein Vorläufer 

von DSA. Verschiedene Key-Längen 

sind möglich, aber 2048 Bit sind auch 

hier der Standard. Vor RSA waren DSA 

(nur zum Unterschreiben) und ELG-E 

(nur zum Verschlüsseln) die Standardverfahren. 

Cipher-Algorithmus 

Unter Cipher wird der symmetrische 

Key verstanden, mit dem die eigentliche 

Nachricht verschlüsselt wird. Zur 

Auswahl stehen Triple-DES, CAST5, 

Blowfish/Twofish und AES-Varianten. 

01 jcb@hercules:~$ gpg ‐‐version 

02 gpg (GnuPG) 1.4.11 

03 ... 

04 

05 Unterstützte Verfahren: 

06 Öffentliche. Schlüssel: RSA, RSA‐E, RSA‐S, ELG‐E, DSA 

07 Verschlü.: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, 

08 CAMELLIA192, CAMELLIA256 

09 Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224 

10 Komprimierung: nicht komprimiert, ZIP, ZLIB, BZIP2 


Admin 

Ausgabe 11-2013

42 

Privacy 

GPG 

Abbildung 1: Die Präferenzen der Autorin. 

Abbildung 2: Das Generieren eines Encryption-Sub-Keys. 

DES ist seit vielen Jahren der Standard, 

unterstützt allerdings nur 56 Bit, sodass 

es nicht mehr als vollkommen sicher 

gelten kann. Triple-DES vergrößert den 

Key durch dreimaliges Anwenden von 

DES auf 3 x 56 = 168 Bit. Wegen einer 

bekannten Verwundbarkeit beträgt die 

kryptografische Sicherheit aber nur 

112 Bit. 

CAST5 ist ein symmetrisches Verfahren 

mit Schlüsseln von 40 oder 128 Bits. In 

den meisten Linux-Distributionen ist 

dieses Verfahren heute der Standard. 

Weil es keine bekannten Angriffe (außer 

Brute Force) gibt, beträgt seine kryptografische 

Sicherheit auch 128 Bit. 

Blowfisch kennt Keylängen zwischen 

32 und 448 Bits. Die 32 Bits sind sicher 

nutzlos, aber darüber hinaus lässt 

sich eine brauchbare Schlüssellänge 

wählen. Allerdings braucht Blowfish 

viel Speicher. Twofish ist ein ähnlicher 

n Listing 2: Exportieren der Sub-Keys 

01 $ gpg ‐‐list‐secret‐keys 

02 /home/me/.gnupg/secring.gpg 

03 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ 

04 sec 1024D/01234567 2000‐01‐01 

05 uid My Name 

06 ssb 1024g/11223344 2011‐01‐01 

07 ssb 2048R/98989898 2012‐01‐01 

08 

09 $ gpg ‐‐export‐secret‐subkey 11223344 > subkey1 

10 $ gpg ‐‐export‐secret‐subkey 98989898 > subkey2 

Algorithmus mit Schlüsseln von bis zu 

256 Bits, den der Security-Spezialist 

Bruce Schneier anstelle von Blowfisch 

empfiehlt. 

AES steht für Advanced Encryption 

Standard und ist heute die NIST-Technologie 

der Wahl, die DES ersetzen soll. 

AES benutzt 128, 192 oder 256 Bit lange 

Schlüssel. Welchen man benutzen soll, 

darüber herrscht unter Kryptografen 

keine Einigkeit. Es gibt Angriffe gegen 

AES-256 und AES-192, die bei AES-128 

nicht benutzbar sind. Trotzdem gelten 

alle diese Verfahren noch als sicher, 

weil die Angriffe mit sehr hohen Rechenkosten 

verbunden und damit praktisch 

nicht anwendbar sind. 

AES-128 ist etwas schneller als AES- 

256, aber praktisch nicht weniger 

sicher. AES-128-Schlüssel gelten für die 

nächsten 10 bis 50 Jahre (je nachdem, 

wen man fragt) als sicher. AES ist heute 

der offizielle Standard der US-Regierung 

(AES-128 für die Klassifikation 

SECRET, AES‐192 oder AES-256 für TOP 

SECRET). 

Fügt man nun die Public-Key- und 

Cipher-Algorithmen zusammen, dann 

sollte man für höchste Sicherheitsansprüche 

auf der Public-Key-Seite 

nicht weniger als 2048 und auf der 

Cipher-Seite nicht weniger als 128 Bit 

lange Schlüssel verwenden (Abbildung 

1). Eine gute Wahl wäre dann AES (128 

oder 256) zusammen mit RSA 2048. Ein 

noch längerer RSA-Key würde zusätzliche 

Sicherheit bringen, aber Performance 

kosten. 

Master- und Sub-Keys 

An dieser Stelle soll nicht der bekannte 

Prozess der GPG-Schlüsselgenerierung 

beschrieben werden. Entsprechendes 

kann man an vielen Stellen nachlesen. 

Stattdessen soll hier diskutiert werden, 

wie man Master-Keys mit Sub-Keys verwenden 

kann, um die Sicherheit noch 

zu erhöhen. 

Im ersten Szenario verwendet man 

einen Master-Key zum Unterschreiben 

und einen Sub-Key für die Verschlüsselung. 

Der sogenannte Signing-Key 

bestätigt die Identität und baut ein Vertrauensnetzwerk 

auf (durch Sammeln 

von Unterschriften von Personen, die 

die eigene Identität bestätigen). Mit 

dem zweiten Schlüssel (Encryption- 

Key) werden Dokumente entschlüsselt, 

die an einen selber gerichtet sind. 

Beide Schlüssel können unabhängig 

voneinander verwaltet werden. So 

kann man einen Signing-Key haben, 

der nie ausläuft, wogegen der Encryption-Key 

nur bis zu einem bestimmten 

Zeitpunkt gültig ist. 

Um den Encryption-Key zu ändern, 

fügt man einfach einen neuen Sub-Key 

hinzu. Das geht mit 


Privacy 

GPG 

43 

PGP edit‐key myid 

und dem Befehl »addkey«, der nach 

dem Prompt einzugeben ist. Dabei 

kann man den bevorzugten Algorithmus 

und die Schlüsselänge wählen. 

Danach gibt man »save« ein, um den 

Schlüssel zu sichern. Um einen Key 

auslaufen zu lassen, tippt man »key 

n« wobei n der Index des Keys in der 

Liste ist und anschließend»expire«, um 

damit das Ablaufdatum einzustellen 

(Abbildung 2). 

Um den neuen Key anstelle des alten zu 

verwenden, muss der neue Public-Key 

veröffentlicht werden. Das ist für Leute, 

die mit einem korrespondieren wollen, 

etwas unbequem, denn sie müssen den 

bei sich gespeicherten Schlüssel austauschen. 

Das Ganze funktioniert aber 

recht geradlinig: Weil der neue Sub-Key 

mit dem existierenden Master-Key signiert 

ist, braucht es keine zusätzlichen 

Signaturen. Die Beteiligten vertrauen 

ja bereits dem Master-Key. Den abgelaufenen 

Key sollte man übrigens nicht 

entsorgen, man braucht ihn immer 

noch, um damit ältere Dokumente zu 

entschlüsseln. 

Will man die Sicherheit noch weiter 

steigern, kann man auch einen Sub-Key 

für das Unterschreiben anlegen (wie für 

das Verschlüsseln). Der Hauptvorteil 

dabei ist, dass man nun diese beiden 

Sub-Keys auf dem hauptsächlichen 

Computer für die tägliche Arbeit 

speichern kann, während man den 

Master-Key getrennt davon an einem sicheren 

Ort aufbewahrt. Davon sollte es 

auch ein Backup geben und auch das 

Backup muss sicher verwahrt werden. 

Der Master-Key wird dann gelegentlich 

noch gebraucht, um andere Schlüssel 

zu signieren, um neue Sub-Keys zu 

kreieren und alte zurückzurufen. Wenn 

nun der Rechner gestohlen oder gehackt 

wird, ist der Master-Key weiter 

sicher. Ja, selbst wenn der Master-Key 

gestohlen würde, bräuchte man immer 

noch das dazugehörige Passwort, um 

ihn benutzen zu können. Aber das ist 

sicher leichter zu knacken als die Verschlüsselungsverfahren. 

Sind die neuen Keys erzeugt, kopiert 

man das Verzeichnis »~/.gnupg« an 

einen sicheren Ort. Nun muss von dem 

täglich genutzten 

Rechner der Master- 

Key entfernt werden, 

was ein klein wenig 

schwieriger ist. Zu 

Anfang exportiert man 

(wie in Listing 2 zu 

sehen) jeden Sub-Key 

unter Angabe seiner ID 

in ein separates File. 

Dann exportiert man 

den Master-Key mit 

gpg ‐‐export 01234567 > 

pubkeys 

wobei 01234567 die ID 

des Master-Keys ist. 

Nun entfernt man den 

Master-Key (nicht ohne 

sich zu überzeugen, dass ein Backup 

existiert) und importiert die anderen 

Keys wieder, wie es Listing 3 zu sehen 

ist. 

Tippt man jetzt »gpg ‐K«, zeigt die Sec- 

Zeile »sec#«, was bedeutet, dass der 

Master-Key hier nicht mehr installiert 

ist. Wollte man den Master-Key hier 

wieder verwenden, geht das mit 

gpg ‐‐home=Speicherort d. Master Keys U 

‐K 

Um die Public-Keys auf einen öffentlichen 

Key-Server zu laden, verwendet 

man 

gpg ‐‐sendkey ‐‐keyserver U 

my.preferred.keyserver MASTERKEY_ID 

Schließlich kann ein Tipp beim Verwenden 

der Sub-Keys noch nützlich sein. 

Der oben beschriebene Prozess erzeugt 

einen Sub-Key und unterschreibt ihn 

mit dem Master-Key, um so kenntlich 

zu machen, dass er zum Master-Key 

gehört. Aber der Sub-Key unterschreibt 

nicht den Master-Key, um zu verdeutlichen, 

dass er vom öffentlichen 

Schlüssel besessen wird. In der Theorie 

könnte ein Angreifer einen Signature- 

Sub-Key auf seinen eigenen Schlüssel 

Abbildung 3: Erweiterte Einstellungen für Enigmail unter Thunderbird. 

anwenden, was bedeuten würde, dass 

er sowohl vom eigenen Master-Key wie 

auch vom Master-Key des Angreifers 

verifiziert werden könnte. Der Angreifer 

könnte allerdings mit einem solchen 

Key nicht unterschreiben und dieser 

Umstand würde den Betrug auch aufdecken. 

Damit es allerdings gar nicht erst 

soweit kommen kann, gibt man am 

besten nach »gpg ‐‐edit‐key« ein: 

»cross‐verify«. Dazu muss man Zugriff 

auf den Master-Key haben. Der Schlüssel 

und alle später erzeugten Sub-Keys 

sind nun cross-zertifiziert. 

Um Mails und Dokumente sicher zu 

verschlüsseln, ist GPG ganz bestimmt 

keine schlechte Wahl. Am nützlich sten 

ist die Software aber in der Zusammenarbeit 

mit anderen Applikationen. Am 

häufigsten werden das Mail-Clients 

sein, doch es gibt auch GPG-Plugins für 

Browser oder auch für Jabber-Clients 

und -Server. (jcb) n 

n Info 

n Listing 3: Entfernen und Re-Importieren des Master-Keys 





01 $ gpg ‐‐delete‐secret‐key 01234567 02 $ gpg ‐‐import pubkeys subkey1 subkey2 


Admin 

Ausgabe 11-2013

44 

Know-how 

Microsoft SQL Server 

alexwhite, 123RF 

Hochverfügbarkeit mit SQL Server 2012 und 2014 

Immer bereit 

Einerseits wachsen die Anforderungen an die Verfügbarkeit – andererseits beabsichtigt Microsoft gerade, 

bei seinem SQL Server die Datenbankspiegelung abzuschaffen. Damit stecken viele Anwender, die bisher 

diese Option nutzten, in der Klemme. Das ADMIN-Magazin hat untersucht, welche Alternativen Ihnen SQL 

Server 2012 und 2014 zur Verfügung stellen. Filipe Pereira Martins und Anna Kobylinska 

Der Bedarf an Hochverfügbarkeitsfeatures 

für Microsofts SQL Server 

schnellt gerade im Zeitalter der Cloud 

in die Höhe. Doch anstatt die dringend 

benötigten Hochverfügbarkeitsfeatures 

einer breiten Anwenderschar zur 

Verfügung zu stellen, hat Microsoft die 

Datenbankspiegelung zum alten Eisen 

gelegt und ihren Nachfolger, die mit 

SQL Server 2012 vorgestellten und mit 

SQL Server 2014 ausgebauten Always- 

On-Hochverfügbarkeitsgruppen, auf 

die Edition Enterprise beschränkt. 

Lieber Vorsicht als Nachsicht 

Hochverfügbarkeit (High Availability, 

HA) maximiert die Erreichbarkeit von 

Datenbankservern, indem sie die Auswirkungen 

eines Hardwareschadens 

mildert, das Versagen virtualisierter 

IaaS-Dienste kompensiert und die 

Ausfälle der Netzinfrastruktur auffängt. 

Dank Hochverfügbarkeitsfeatures 

lassen sich nicht nur die Ausfallzeiten 

minimieren, man kann auch den Ver- 

lust von Transaktionsdaten weitgehend 

ausschließen. 

Die Hochverfügbarkeit einer Datenbank 

ist auch deswegen schwierig zu gewährleisten, 

weil es immer auch darum 

geht, die Integrität transaktionaler 

Daten zu sichern. Microsofts SQL Server 

begegnete diesen Anforderungen in der 

Version 2012 je nach Ausbaustufe mit 

bis zu drei Hochverfügbarkeitsfeatures : 

n der Datenbankspiegelung, 

n den AlwaysOn-Failover-Cluster- 

Instanzen und 

n den AlwaysOn-Verfügbarkeitsgruppen 

(letztere sind nur in der Edition 

Enterprise zu haben). 

Darüber hinaus lässt sich auch mit 

Features wie der Datenbankreplikation 

und dem Log-Versand die Datensicherung 

im Notfall gewährleisten. 

Spiegelung vor dem Aus 

Die synchrone Datenbankspiegelung 

im SQL Server ist eine Hochverfügbarkeitslösung, 

bei asynchroner Datenbankspiegelung 

(nur in der Enterprise- 

Edition verfügbar) handelt es sich 

dagegen um eine Lösung zur Datenwiederherstellung 

im Notfall. 

In jedem Fall besteht die Umgebung 

bei der Datenbankspiegelung aus 

zwei Instanzen mit lokalem Speicher, 

einem Prinzipalserver mit der Prinzipaldatenbank 

und einem Spiegelserver 

mit der Spiegeldatenbank. Der 

Hochsicherheitsmodus beherrscht ein 

automatisches Failover. Diese Konfiguration 

erfordert einen dritten Server, 

den sogenannten Zeugen. Der Zeuge 

kümmert sich darum, dass beim Ausfall 

des Prinzipalservers der Spiegelserver 

dessen Aufgaben nahtlos übernehmen 

kann. Bei der synchronen Datenbankspiegelung 

übergibt der Prinzipalserver 

den Commit einer jeden Transaktion 

unmittelbar an den Spiegelserver und 

erst nach Erhalt einer Bestätigung meldet 

er den Vorgang als abgeschlossen. 

Der Sekundärserver kann die Aufgaben 

des Primärservers jederzeit überneh- 


Know-how 


45 

AlwaysOn Failover Cluster 

AlwaysOn-Failover-Cluster-Instanzen 

bieten ein Failover von einem momentan 

nicht mehr verfügbaren Knoten 

auf einen anderen Knoten unter Verwendung 

von Windows Server Failover 

Clustering (WSFC). Lokale Hochverfügbarkeit 

kommt in diesem Fall durch 

redundante Server-Instanzen zustande, 

die sogenannten FCIs (Failover-Cluster- 

Instanzen), die SAN-Speicher gemeinsam 

nutzen. 

Bei einer FCI handelt es sich um eine 

einzelne Instanz von SQL Server, die 

über mehrere WSFC-Knoten (möglicherweise 

auch über mehrere Subnetze) 

verteilt installiert ist. Im Netz 

erscheint eine solche Installation wie 

ein einzelner Computer. Microsofts SQL 

Server Management Studio verbindet 

sich mit dem Cluster wie mit einem gewöhnlichen 

Host. 

Die Editionen Standard und BI von SQL 

Server 2012 und 2014 unterstützen 

jeweils genau zwei Knoten. Die Entermen. 

Informationen außerhalb der 

betreffenden Datenbank, wie Jobs, 

Joints und Transaktionen über mehrere 

Datenbanken hinweg, gehen entweder 

verloren oder lassen sich nicht fehlerfrei 

übernehmen. Zudem ist diese 

Lösung langsam. 

Im Unterschied dazu erfolgt die asynchrone 

Datenbankspiegelung mit 

einer erheblichen Zeitverzögerung und 

eignet sich daher zwar nicht für ein 

automatisches Failover, ist aber eine 

Option für die Datensicherung und die 

Notfallwiederherstellung. 

Microsoft hat die Datenbankspiegelung 

inzwischen zum alten Eisen erklärt. 

Anwender von SQL Server sind gut 

beraten, dieses Feature bereits heute 

nicht mehr zu verwenden und keine 

neuen Anwendungen dafür zu entwickeln. 

Als Ersatz empfiehlt Microsoft die 

AlwaysOn-Hochverfügbarkeitsgruppen. 

Der einzige Schönheitsfehler: Jede 

Serverinstanz in einer Hochverfügbarkeitsgruppe 

benötigt die Enterprise- 

Edition des SQL Server. Alleine die 

Lizenz gebühren für die minimale 

Ausstattung der kleinsten Ausbaustufe 

einer Hochverfügbarkeitsgruppe kommen 

bei einer Laufzeit von drei Jahren 

schon auf den stolzen Betrag von über 

100 000 Euro. 

Datenbankreplikation 

Die Datenbankreplikation kann die Verfügbarkeit 

der betreffenden Datenbank 

ebenfalls verbessern und die Notfallwiederherstellung 

(Disaster Recovery) 

der Daten ermöglichen. Die Replikation 

im SQL Server basiert auf dem Veröffentlichen-Abonnieren-Modell. 

In diesem 

Modell kann ein primärer Server, 

der Verleger, seine Daten oder eine Untermenge 

der Daten an mindestens einen 

sekundären Server, den Abonnenten, 

weitergeben. In SQL Server 2012 

kann die Veröffentlichungsdatenbank 

einer AlwaysOn-Verfügbarkeitsgruppe 

angehören. 

Der größte Vorteil der Datenbankreplikation 

ist ihre Flexibilität. Der SQL 

Server kann bei Bedarf auch eine Untermenge 

einer Datenbank veröffentlichen. 

Zudem lassen sich verschiedene 

Serverinstanzen mit separaten Indizes 

versehen. Dadurch kann man die 

Replika etwa mit der Erstellung detaillierter 

Berichte beauftragen und gleichzeitig 

den Produktionsserver entlasten. 

Der größte Nachteil der Datenbankreplikation 

besteht in der beachtlichen 

Komplexität, die ein großes Potenzial 

für Fehler enthält. 

Log-Versand 

Beim Log-Versand schreibt der primäre 

Datenbankserver eine Sicherheitskopie 

seiner Transaktions-Logs auf ein gemeinsam 

genutztes Volume. Auf dieses 

Volume können dann andere Datenbankserver 

an einem entfernten Standort 

zugreifen, um die Logs abzuholen 

und daraus die betreffende Datenbank 

lokal wiederherzustellen. Benutzer 

können an diese wiederhergestellten 

Datenbanken Abfragen senden. Die 

Wiederherstellung und die Abfragen 

dürfen allerdings nicht gleichzeitig erfolgen; 

vor der Wiederherstellung müssen 

alle laufenden Abfragen zwangsbeendet 

werden. Der Log-Versand bietet 

eine robuste Methode der Datenbankwiederherstellung 

im Notfall. 

Den Log-Versand unterstützen die Editionen 

Enterprise, BI, Standard und Web 

von SQL Server. 

prise-Version geht diesbezüglich bis 

an die Grenzen des Betriebssystems. 

Fällt der aktive Knoten aus, erfolgt ein 

vollautomatisches Failover: Der zweite 

Knoten übernimmt die Aufgaben des 

ersten Knotens. Für die Endanwender 

hat sich nichts geändert, sie können 

ihre Arbeit ungestört fortsetzen. Lediglich 

nicht abgeschlossene Transaktionen 

gehen dabei zwangsweise 

verloren. Bereits abgeschlossene Transaktionen 

bleiben erhalten. 


schützen die Umgebung vor dem Ausfall 

eines Servers in dem Cluster, nicht 

jedoch vor dem Ausfall des SAN-Speichers. 

Die Daten sind damit nämlich 

nicht automatisch ebenfalls redundant 

gesichert, im Gegenteil: Alle Knoten 

greifen einfach auf denselben gemeinsam 

genutzten SAN-Speicher zu. Ein 

n Standard und Enterprise 

In der Version 2014 erhält SQL Server leistungsstarke 

neue Funktionen, darunter: 

n In-Memory-OLTP (Codename Hakaton) für deutliche 

Performance-Verbesserungen bei häufigen 

Zugriffen auf eine Tabelle; 

n Verbesserungen in der Handhabung von Big Data 

mithilfe des »Resource Governors«. 

Zahlreiche relevante Funktionen von SQL Server 

2014 kommen leider nur Benutzern der Enterprise- 

Edition zu Gute. Dazu zählen: 

n Datenbanksnapshots, 

n Online-Re-Indizierung und parallele Indizierungsvorgänge, 

n Datenbankverschlüsselung (z.B. für E-Commerce), 

n Auditing, 

n Regelkonformität (der Deutsche Corporate Governance 

Kodex, DCGK, spricht hierbei Neudeutsch 

von »Compliance«), 

n die überwiegende Mehrheit der Business-Intelligence-Funktionen, 

n Unterstützung für AlwaysOn-Hochverfügbarkeitsgruppen 

mit nun bis zu acht (statt vier) lesbaren 

Sekundärservern. 

Die Standard-Edition von SQL Server 2014 bietet 

somit gar keine nicht veraltete Hochverfügbarkeitsfunktionen 

(stattdessen gibt es die eher nutzlose, 

weil veraltete Datenbankspiegelung). Noch bedauerlicher 

ist die Tatsache, dass die Standard-Edition von 

SQL Server 2014 bei gerade einmal 64 GByte Arbeitsspeicher 

das Ende der Fahnenstange erreicht, was 

die praktische Nutzbarkeit von nativem In-Memory- 

OLTP in dieser Edition des Servers in Frage stellt. 


Admin 

Ausgabe 11-2013

46 

Know-how 


Defekt dieser Hardware kann daher 

leicht zum Verlust aller Daten führen. 

Um das Risiko von Datenverlusten zu 

minimieren, lässt sich SAN-Replikation 

einsetzen. Beim Ausfall des primären 

SAN-Speichers besteht in diesem Fall 

die Möglichkeit, die SAN-Replika dem 

Cluster manuell zur Verfügung zu stellen. 

Leider ist diese Lösung mit erheblichen 

Zusatzkosten verbunden und 

erfordert die Beteiligung eines SAN- 

Administrators. 

AlwaysOn-HA in SQL Server 

AlwaysOn-Hochverfügbarkeitsgruppen 

ersetzen die Funktionalität der Datenbankspiegelung 

und des Log-Versands 

durch Verbesserungen wie die Log-Synchronisierung. 


setzen auf WSFC auf, 

gewährleisten Redundanz auf Datenbankebene 

und erlauben die Nutzung 

der Sekundärserver für Lesezugriffe. 

Anders als im Falle der Datenbankreplikation 

müssen Indizes und Schemata 

auf allen Instanzen identisch sein. 

Bei einer Verfügbarkeitsgruppe handelt 

es sich um eine Failover-Umgebung für 

Benutzerdatenbanken (die sogenannten 

Verfügbarkeitsdatenbanken). Das 

Failover zwischen synchronen Replika 

in einer AlwaysOn-Hochverfügbarkeitsgruppe 

erfolgt vollautomatisch. 

Asynchrone Replika eignen sich nur für 

manuelles Failover. Dafür können sie 

sich in verschiedenen Datencentern 

befinden und auf völlig verschiedener 

Hardware laufen. 

Microsoft führte die AlwaysOn-Hochverfügbarkeitsgruppen 

in SQL Server 

2012 ein und hat diese Technologie 

in der Version 2014 ausgebaut. SQL 

Server 2014 bietet nun Unterstützung 

für insgesamt acht statt der zuvor unterstützten 

vier Sekundärreplikas. In 

Multi-Site-Umgebungen bleiben diese 

erstmals auch dann lesbar, wenn sich 

die Verbindung zum primären Server 

nicht herstellen lässt. Den größten 

Nutzen ziehen daraus diejenigen Unternehmen, 

die ihre Hochverfügbarkeitsgruppen 

in verschiedenen geografisch 

verteilten Datencentern aufstellen. 

Asynchrone Replika können die primären 

Instanzen entlasten, indem sie einen 

Teil der Lesezugriffe übernehmen. 

Erstmals in SQL Server 2014 besteht 

die Möglichkeit, die Belastung der 

Hochverfügbarkeitsgruppe mit einem 

Lastverteiler zu verwalten. 

SQL Server 2014 integriert sich nahtlos 

mit Windows Azure. Benutzer von SQL 

Server in der Microsoft-Wolke können 

SQL Server 2014 als eine synchrone sekundäre 

Replika für die Azure-Dienste 

nutzen. Auch das umgekehrte Szenario 

ist vorgesehen: Wer SQL Server im Haus 

einsetzt, kann seine Datenbanken auf 

Windows Azure asynchron replizieren, 

um im Notfall ein manuelles Failover zu 

veranlassen. 


erfordern leider die Edition Enterprise 

sowohl in SQL Server 2012 als auch in 

2014. Die Datenbankspiegelung, die 

voraussichtlich in der nächsten Version 

nach SQL Server 2014 entfällt, war auch 

in der Edition Standard verfügbar. Es ist 

daher bedauerlich, dass Microsoft der 

Standard-Edition von SQL Server 2012 

und 2014 nicht einmal die geringste 

Ausbaustufe von AlwaysOn-Hochverfügbarkeitsgruppen 

spendiert hat. Der 

Wegfall von Hochverfügbarkeitstechnologien 

in der Edition Standard bedeutet 

also praktisch eine schleichende 

Preiserhöhung. Daher sehen sich viele 

Anwender von SQL Server gezwungen, 

alternative Lösungen in Betracht zu 

ziehen. 

Hybride Einsatzszenarien 

Die Migration „in die Wolke“ schien eine 

Zeit lang ein eindeutiger Trend. Seit Industriespionage 

und der NSA-Skandal 

in die Schlagzeilen gerieten, hat die 

Datensicherheit verstärkt an Relevanz 

gewonnen. On-Premises-Hosting und 

Co-Location in einem Datencenter blei- 

n Hochverfügbarkeit als ein Service 

AWS-Anwendern mit Bedarf an Hochverfügbarkeit des SQL Servers, die 

auf ihr Budget achten müssen, steht noch eine andere Lösung zur Verfügung: 

Amazons RDS-Dienste für SQL Server. 

Die astronomischen Kosten der Hochverfügbarkeit und horizontaler 

Skalierbarkeit von SQL Server haben einige Anbieter dazu veranlasst, 

ihre eigenen Cloud-Dienste mit diesen Fähigkeiten bereitzustellen. Zu 

den Pionieren zählt Amazon mit RDS. 

Bei RDS übernimmt Amazon die Verantwortung für die Datenintegrität 

mit automatischen Backups der gesamten RDS-Instanz (täglich) und automatischen 

Sicherheitskopien der Transaktions-Logs (alle 5 Minuten). 

Beim Ausfall der Instanz aufgrund eines Hardwarefehlers erfolgt ein automatisches 

Failover. Der Benutzer kann außerdem nach Bedarf eigene 

Snapshots der Datenbank anlegen und diese manuell restaurieren. 

Allerdings gestattet Amazon Nutzern in RDS weder einen Zugriff auf das 

Dateisystem ihrer RDS-Instanzen noch den Zugang über eine Remote- 

Desktop-Verbindung noch den Einsatz von Tools eines Drittanbieters – 

alles gute Gründe, warum erfahrene SQL-Server-Administratoren Amazons 

RDS aus dem Weg gehen. Funktionen wie der Log-Versand oder Windows-Authentifizierung 

mit Active Directory sind ebenfalls vom Tisch. Dafür 

darf sich der Benutzer der intuitiven Skalierbarkeit von RDS erfreuen. 

VMware versucht, mit dem vFabric Data Director [3] die Unzulänglichkeiten 

von RDS auszugleichen, indem der Benutzer seine Windows- 

Instanz in Eigenregie einrichtet. Auch Microsoft bietet einen eigenen 

Dienst: Windows Azure SQL Database (WASD)[6]. Der Dienst bietet 

leider nicht den vollständigen Funktionsumfang von SQL Server und hat 

unter anderem die Datenbankpartitionierung, den Resource Governor, 

den Service Broker, CLR und viele andere Features weggelassen. Nicht 

allen Anwendern ist mit einem derart beschnittenen Funktionsumfang 

wirklich gedient. 

Tipp: Wer mit SQL Server 2014 auf die Probefahrt gehen möchte, 

kann die Tryout-Version [1] in AWS auf einer ganz gewöhnlichen EC2- 

Instanz von Windows Server installieren. Sie können hierzu sogar eine 

Spot-Instanz starten, denn das senkt die Kosten gegenüber einer On- 

Demand-Instanz oft um den Faktor zehn. Bestehende Nutzer von SQL 

Server können beim Wechsel in die Wolke ihre existierenden Lizenzen in 

der Regel mitnehmen und weiter verwenden, sofern sie über ein aktives 

Abonnement von Software Assurance verfügen (siehe [2]). Den SQL 

Server 2014 können Sie außerdem auch direkt auf Azure ausprobieren. 

Hierzu wählen Sie beim Zugriff auf die Tryout-Version [1] die Option 

»Preview SQL Server 2014 CTP1 on Azure«. 


Know-how 


47 

ben für viele Unternehmen immer noch 

der bevorzugte Weg. 

Der On-Premises-Einsatz ist genau das 

Gegenteil einer Public Cloud: Er bietet 

die ultimative Kontrolle über die Datensicherheit 

und verursacht dafür höhere 

Kosten: Hard- und Software, Personalkosten, 

die Internetanbindung und so 

weiter. Gilt es, die verfügbare Leistung 

heraufzuskalieren, stehen dem betroffenen 

Unternehmen Neuanschaffungen 

ins Haus. Es gibt auch keine praktikable 

Möglichkeit, überschüssige Kapazitäten 

anderen zugänglich zu machen, damit 

sich die Investition schneller zurückzahlt. 

In einem On-Premises-Szenario sind 


in der Edition Standard von SQL Server 

mit SAN-Speicher eine gangbare Option. 

In der Wolke sieht es anders aus. 

Hochverfügbarkeit in der 

Wolke 

Beim Einsatz von SQL Server in einer 

virtualisierten Umgebung einer Cloud 

lassen sich Kostensenkungen gegenüber 

dem On-Premises-Einsatz in Höhe 

von bis zu 80% erzielen. Virtualisierung 

bringt jedoch zusätzliche Ausfallrisiken 

der Infrastruktur mit sich. Umso größer 

ist der Bedarf nach Hochverfügbarkeitslösungen 

in der Wolke. Leider sind 

diese gerade bei SQL Server nicht so 

leicht zu implementieren. 

Ein gutes Beispiel ist AWS (Amazon Web 

Services, der führende IaaS-Dienstleister). 

AWS bietet zwei Lösungen für 

SQL Server: EC2/VPC (Elastic Compute 

Cloud/Virtual Private Cloud) und einen 

schlüsselfertigen Dienst namens RDS 

(Relational Database Service). Beide 

Dienste unterstützen auch andere 

Datenbanken, darunter MySQL und 

Oracle. 

Unternehmen, die nun ihre MS-SQL- 

Server-Umgebung mit Failover-Cluster- 

Instanzen in die AWS-Wolke migrieren 

und in EC2/VPC implementieren möchten, 

erwartet leider eine böse Überraschung: 

Der Einsatz von AlwaysOn- 

Failover-Cluster-Instanzen erfordert 

nämlich die Konfiguration von zwei 

EC2-Instanzen in demselben Subnetz 

oder die Verwendung gemeinsam genutzten 

SAN-Speichers. Keines dieser 

beiden Szenarien lässt sich derzeit auf 

AWS umsetzen. Der in EC2/VPC einzige 

unterstützte Weg zur Hochverfügbarkeit 

mit SQL-Servern besteht im Einsatz 

von AlwaysOn-Hochverfügbarkeitsgruppen 

in der Ausbaustufe Edition 

Enterprise. 

SQL Server in EC2/VPC 

Amazons Infrastruktur ist in jeder 

Region in Verfügbarkeitszonen (Availability 

Zones oder kurz AZ) unterteilt. 

Der Ausfall einer Zone beeinflusst nicht 

die Verfügbarkeit der Infrastruktur 

einer anderen Zone. Die Latenzzeiten 

zwischen den verschiedenen Zonen innerhalb 

einer Region sind sehr gering. 

Daher eignet sich diese Architektur zum 

Aufbau einer AlwaysOn-Verfügbarkeitsgruppe 

mit SQL Server Enterprise. 

Eine erfolgreiche Installation von SQL 

Server mit AlwaysOn-Hochverfügbarkeitsgruppen 

erfordert typischerweise 

die folgenden Komponenten (hier am 

Beispiel von Amazons AWS in einem 

VPC mit Subnetzen in zwei unterschiedlichen 

Verfügbarkeitszonen): 

n mindestens zwei SQL-Server-Instanzen, 

also 4 x 2 Lizenzen von SQL Server 

Enterprise (SQL Server-Lizenzen 

gibt es für je 2 virtuelle Cores; die 

kleinste unterstützte Instanz benötigt 

also für ihre vier Cores zwei SQL- 

Server-Lizenzpakete), 

n ein Windows Server Failover Cluster 

(WSFC) mit zwei WSFC-Nodes (je ein 

Node pro Verfügbarkeitszone), die 

jeweils eine der beiden Installationen 

von SQL Server hosten, 

n zwei Windows-Server-Instanzen mit 

Active Directory (je eine pro Verfügbarkeitszone), 

n zwei Instanzen als Zwischenstelle für 

administrativen Zugang mittels Remote 

Desktop Gateway (je eine pro 

Verfügbarkeitszone), 

n zwei NAT-Instanzen mit Linux für 

administrativen Zugang zur Infrastruktur 

des VPC in der jeweiligen 

Verfügbarkeitszone. 

Diese Konfiguration unterstützt automatisches 

Failover zwischen zwei 

WSFC-Nodes in zwei unterschiedlichen 

Verfügbarkeitszonen einer Region. 

Microsoft bietet übrigens eine eigene 

Alternative zu Amazon EC2: Windows 

Azure Virtual Machines. Genauso wie 

im Falle von Amazon kann der Benutzer 

auch hier seine eigenen Lizenzen 

von SQL Server auf einer Instanz von 

Windows Server einrichten oder eine 

der vorinstallierten Instanzen samt der 

mitgelieferten Lizenzen pro Stunde 

mieten. 

Fazit 

In SQL Server 2014 sind alle modernen 

Hochverfügbarkeitsfeatures – also 

solche, für die Microsoft eine Zukunft 

vorsieht – den Anwendern der Edition 

Enterprise vorbehalten. Es scheint, als 

ob Microsoft mit jeder neuen Edition 

den Funktionsumfang von SQL Server 

Standard weiter limitiert. Anwender 

der Standard-Edition bekommen immer 

weniger CPU-Leistung und immer 

weniger Arbeitsspeicher vergönnt; auf 

dringend benötigte Features wie etwa 

einen Nachfolger der Datenbankspiegelung 

brauchen sie gar nicht erst zu 

hoffen. 

Anwender der Standard-Edition stecken 

somit in einer Klemme, denn die 

Lizenzkosten der Enterprise-Edition 

sind für kleinere Unternehmen kaum zu 

rechtfertigen. Drittanbieter wie Amazon 

mit RDS und VMware mit vFabric Data 

Director versuchen, diese Lücke zu 

schließen, doch ihre Lösungen lassen 

bis jetzt noch eine Menge zu wünschen 

übrig. 

Inzwischen scheint sich Microsoft zu 

bemühen, Benutzer der Enterprise-Edition 

mit neuen Features zu verwöhnen. 

Die robuste AlwaysOn-Hochverfügbarkeit 

unter Verwendung von bis zu acht 

lesbarer Sekundärreplikas für einen 

hybriden Produktionseinsatz zwischen 

On-Premises-Umgebungen und der 

Wolke zählt klar zu den momentan 

begehrtesten Features von SQL Server 

2014 und bietet den Anwendern der 

Enterprise-Version einen klaren Wettbewerbsvorteil. 

(jcb) n 

n Info 






Admin 

Ausgabe 11-2013

48 

Know-how 

Logstash 

Log-Management mit Logstash 

Die Nadel im Heu 

Logs können sich als Retter erweisen oder als nutzloser Datenmüll. Alles hängt davon ab, ob man die richtigen 

Hinweise finden und vielleicht sogar systemübergreifende Zusammenhänge erkennen kann. Ein 

nützlicher Helfer beim Management der Logs ist das Tool Logstash. Bernd Erk 

Schon auf einem kleinen LAMP-Server 

steht man einer Vielzahl an Logfiles 

gegenüber, die bei Problemen durchsucht 

werden müssen. Neben den 

vielen Standard-Logs des Systems wie 

»syslog« oder »mail.log« schreiben 

Dienste wie Apache und MySQL noch 

zusätzlich fleissig weitere Einträge in 

ihre Logs. Kann man das betroffene 

Subsystem bei Problemen bereits 

isolieren, ist schon ein großer Schritt 

getan. Ein MySQL-Fehler lässt sich dann 

bereits sicher finden, wenn man weiß, 

wann er ungefähr aufgetreten ist. Wird 

die eigene Web-Applikation allerdings 

auf der Basis eines Tomcat im Multi- 

Node-Cluster ausgeliefert, ist es schon 

deutlich schwieriger, die richtige Stelle 

im Log zu finden. 

Richtig kompliziert wird es dann, wenn 

ein Fehler seine Spuren in den Logs 

über mehrere Komponenten und Systeme 

hinweg hinterlässt, aber genaue 

Informationen über Zeit und Fehlerquelle 

fehlen. Spätestens dann geht 

dem Admin mit normalen Bordmitteln 

schnell die Luft aus und der Suchaufwand 

steigt exponentiell an. Die diversen 

Log-Informationen von verschie- 

denen Systemen zeitlich und inhaltlich 

richtig auszuwerten, setzt dann voraus, 

dass man sich im Vorfeld bereits mit 

den verschiedenen Quellen, Formaten 

und Inhalten auseinandergesetzt hat. 

Wer dabei im Vorhinein Zeit in ein Tool 

wie Logstash investiert hat, wird jetzt 

schnell mit einer erstklassigen Analyse 

und einem schnellen Zugriff auf aktuelle 

und historische Daten belohnt. 

Ordnung ist das halbe Leben 

Auf seine Grundfunktion reduziert ist 

Logstash [1] eine netzwerkfähige Pipe 

mit verschiedenen Filtermöglichkeiten. 

Seine Aufgabe besteht darin, Meldungen 

aus verschiedenen Inputs zu empfangen, 

zu filtern und dann an einen 

oder mehrere Outputs weiterzuleiten. 

Logstash kümmert sich bewusst nur 

um die Steuerung und Filterung der 

verschiedenen Kanäle, aber nicht um 

deren Speicherung. Für das kurzfristige 

Caching von Events, die Indizierung 

und Langzeitspeicherung von Log- 

Informationen setzt Logstash auf zwei 

weitere Open-Source-Komponenten. 

Für die kurzzeitige Speicherung und 

Vermittlung von Events verbindet sich 

Logstash als Ein- und Ausgabekanal mit 

Redis [2]. Redis hat in einer der letzten 

Versionen RabbitMQ abgelöst, das 

früher diese Funktion übernahm, und 

dient als speicherbasierter Key-Value- 

Store. Redis selbst hat keine externen 

Abhängigkeiten und dient im Zusammenspiel 

mit Logstash als Broker für 

die verschiedenen Eingangskanäle. 

Diese Entkopplung des Datenflusses ist 

aus zwei Gesichtspunkten von großer 

Bedeutung. Zum einen stellt es die 

schnelle Annahme der verschiedenen 

Log-Shipper sicher und verhindert so 

einen möglichen Engpass bei der Zulieferung 

von Log-Informationen. Zum 

anderen speichert es bei Ausfall oder 

Überlastung der weiterverarbeitenden 

Logstash-Instanz(en) alle Daten so 

lange, bis die Instanzen ordnungsgemäß 

weiterarbeiten können. Stoppt 

die Redis-Instanz oder startet sie neu, 

lassen sich die Daten im Filesystem 

zwischenspeichern, damit die Log- 

Informationen lückenlos bleiben. 

Um Log-Daten zu indizieren oder 

langfristig zu archivieren, bedient sich 

Logstash der Dienste von ElasticSearch. 

ElasticSearch [3] ist ein Open-Source- 


Know-how 

Logstash 

49 

Abbildung 1: Logstash in der Architektur-Übersicht. 

Suchserver auf Basis von Apache Lucene 

[4], der die Log-Informationen 

speichert, indiziert und eine schnelle 

Suche via REST-Interface ermöglicht. 

ElasticSearch bringt alles mit, was 

zur Skalierung und Verteilung der 

Daten notwendig ist, ist performant 

und leicht bedienbar. Bei der ersten 

Speicherung von Log-Informationen 

kümmert sich ElasticSearch automatisch 

um die Erzeugung des benötigten 

Daten-Schemas. 

ElasticSearch erlaubt die Administration 

und Konfiguration nahezu 

aller relevanten Parameter ebenfalls 

via REST-Interface. Wer eine visuelle 

Konfiguration vorzieht, kann zu freien 

Alternativen wie ElasticHQ [5] greifen. 

Die Verwendung von Logstash setzt 

grundsätzlich kein tieferes Know-how 

im Umgang mit ElasticSearch voraus. 

Wer bereits zu Beginn mit größeren 

Datenmengen konfrontiert ist und die 

Hochverfügbarkeit der Log-Informationen 

gewährleisten muss, dem sei eine 

Einarbeitung in die verschiedenen Begrifflichkeiten 

wie Nodes, Shards und 

Replicas dringend empfohlen. 

Die offizielle Installationsdokumentation 

[6] von ElasticSearch ist für kleine 

Umgebungen absolut ausreichend und 

simpel, jedoch in Bezug auf die angesprochenen 

verteilten Umgebungen 

etwas dünn. Leider gibt auch die verfügbare 

Fachliteratur an dieser Stelle 

nicht viel her und so bleibt einem bei 

Bedarf externe Unterstützung oder die 

Recherche im Web [7]. 

Zusammen ergeben diese verschiedenen 

Komponenten eine skalierbare, flexible 

und verlässliche Gesamtarchitektur 

(Abbildung 1), die vielen kommerziellen 

Alternativen wie beispielsweise 

Splunk ebenbürtig, wenn nicht sogar 

überlegen ist. 

Log-Verarbeitung 

Die Inbetriebnahme ist absolut problemlos. 

Mit Ausnahme von Redis können 

alle Komponenten sofort nach dem 

Download entpackt und gestartet werden. 

Bei ElasicSearch ist hier lediglich 

der Aufruf von »bin/elasticsearch« notwendig 

und der Suchserver ist wenige 

Sekunden später verfügbar. Logstash 

selbst wird ebenfalls als auf JRuby basierende 

Java-Applikation ausgeliefert 

und ist nach Aufruf von 

java ‐jar Logstash‐x.x.x‐flatjar.jar U 

agent ‐f logstash‐config.conf 

bereit. Wer kein passendes Paket für 

Redis findet, muss nach Ausführung 

von »make« und »make install« ebenfalls 

nur das Binary »redis‐server« starten 

und fertig. Für den etwas eleganteren 

Betrieb mittels Service-Skript stehen 

bei allen Projekten entsprechende 

Wrapper-Skripte zur Verfügung. 

Die Anlieferung, das sogenannte Log- 

Shipping, kann mit Logstash selbst, 

Lumberjack oder einem Standardmechanismus 

wie etwa Syslog erfolgen. 

Listing 1 liest ein Apache-Access-Log 

aus der beschriebenen Input-Source 

und leitet dieses an eine lokale Redis- 

Instanz weiter. Ebenfalls zu erkennen 

ist, dass die Daten zusätzlich als Debug-Messages 

ausgegeben werden. 

Nach dem Start von Logstash werden 

alle Informationen des Apache-Access- 

Files an Redis übertragen und bis zur 

Weiterverarbeitung zwischengespeichert. 

Logstash kümmert sich selbstständig 

um die richtige Fileposition und 

Log-Rotation und wartet am Ende auf 

die Aktualisierung der Datenquelle. 

Mit einer zweiten Logstash-Konfiguration 

(Listing 2) werden die Daten aus 

dem Redis-Server gelesen und direkt in 

ElasticSearch geschrieben. Wichtig ist 

an dieser Stelle der entsprechende key 

(»logstash.apache«), der den expliziten 

Zugriff auf die in der vorherigen Instanz 

erstellten Informationen ermöglicht. 

Dieses einfache Beispiel ist selbstverständlich 

auch in einer Konfiguration 

kombinierbar und ermöglicht die direkte 

Übertragung der Apache-Logs zu 

ElasticSearch. Da Redis für eine Vielzahl 

an Log-Lieferanten als Eingangskanal 

dienen kann und wie bereits oben 

erwähnt eine entkoppelte Zwischenspeicherung 

möglich macht, ist dessen 

Verwendung jedoch zu favorisieren. 

Für die Verarbeitung diverser Datenquellen 

unterstützt Logstash nahezu 

alle gängigen Formate [9]. Besonders 

elegant und einfach ist der integrierte 

Grok-Filter [10], der ein breites Set an 

Basis-Patterns für die Filterung von 

n Listing 1: Beispiel Access-Log 

01 input { 

02 file { 

03 path => "/root/medialinx/demodata/access. 

log.1 

04 type => "apache‐access" 

05 } 

06 } 

07 output { 

08 stdout { 

09 debug => true 

10 } 

11 redis { 

12 host => "127.0.0.1" 

13 data_type => "list" 

14 key => logstash.apache" 

15 } 

16 } 

n Listing 2: Daten in ElasticSearch 

01 input { 

02 redis { 

03 host => "127.0.0.1" 

04 type => "redis‐input" 

05 data_type => "list" 

06 key => logstash.apache 

07 format => "json_event" 

08 } 

09 } 

10 output { 

11 elasticsearch { 

12 host => "127.0.0.1" 

13 } 

14 } 


Admin 

Ausgabe 11-2013

50 

Know-how 

Logstash 

Abbildung 2: Das neue ansehnliche Web-Interface Kibana 3 von Logstash. 

Logs und deren Inhalten zur Verfügung 

stellt. So können unstrukturierte Log- 

Informationen in Form gebracht und 

harmonisiert werden, um die spätere 

Weiterverarbeitung zu erleichtern. 

Andere Filter erlauben auch Veränderungen 

oder Ergänzungen. Der GeoIP- 

Filter fügt beispielsweise auf Grundlage 

von IP-Adressen die jeweiligen Geo- 

Informationen hinzu. Diese werden 

ebenfalls gespeichert und erlauben am 

Beispiel eines Apache-Logs eine regionale 

Auswertung von Seiten-Zugriffen. 

Besondere Erwähnung verdient an 

dieser Stelle auch noch der Multline- 

Filter, der aufbauend auf Patterns eine 

zeilenübergreifende Strukturierung von 

Log-Informationen ermöglicht. So können 

etwa alle Zeilen des Stack Traces 

zu einem Event zusammengefasst werden, 

was sowohl die spätere Analyse 

als auch die Anwendung zusätzlicher 

Filter vereinfacht. 

Visualisierung 

Bis zur Version 1.2 verfügte Logstash 

über ein durchaus gruseliges Web- 

Interface, das zwar die rudimentäre 

Suche in ElasticSearch ermöglichte, 

jedoch keine Speicherung spezifischer 

Sichten und Filter erlaubte. Bereits seit 

einiger Zeit wurde in der Community 

ein alternatives Interface mit dem 

Namen Kibana 3 entwickelt, was nun 

endlich als fester Teil von Logstash ausgeliefert 

wird (Abbildung 2). 

Kibana 3 ist eine auf Javascript basierende 

Weboberfläche, welche direkt 

mit dem REST-Interface von Elastic- 

Search kommuniziert. Das Interface 

lässt sich mit 

java ‐jar Logstash‐1.2.x‐flatjar.jar web 

starten und ist per Default unter dem 

Port 9292 erreichbar. Die einzelnen 

Elemente des Dashboards lassen sich 

frei konfigurieren. Anschließend stehen 

die eigenen Filter und Dashboards allen 

anderen Anwendern dieser Instanz zur 

Verfügung. Die entsprechenden Datentypen 

werden in Kibana automatisiert 

gruppiert und lassen sich mithilfe des 

Interfaces schnell filtern (Abbildung 

3) und analysieren. Die Vielzahl von 

Panel-Types mit Diagrammen, Listen 

und Charts macht den Einstieg in das 

Customizing anfangs etwas schwierig, 

ist aber in sich konsistent. Nach einiger 

Zeit lassen sich neue Dashboards in wenigen 

Minuten zusammenstellen. Durch 

den direkten Zugriff auf ElasticSearch 

ist die Oberfläche auch in Umgebungen 

mit Logfiles im Terabyte-Bereich rasend 

schnell und macht einfach Spass. 

Eine weitere Möglichkeit der Visualisierung 

ist die Weitergabe von Informationen 

an Graphite. Nachdem man 

manuell Files erzeugt hat, kann man 

mithilfe der Ausgaben von »statsd« 

[11] mit Graphite Verbindung aufnehmen. 

Statsd ist ein Node.js-basierter 

Aggregationsserver, der verschiedene 

Events verarbeitet und anschließend 

an Graphite weitergeben kann. Listing 

3 macht es etwas klarer: Hier werden 

Response-Codes mit Werten für Increment 

und Count an Statsd übergeben. 

In der Folge legt Graphite für alle 

übertragenen Namespaces Counter 

an (Abbildung 4), die dann in Graphen 

eingebunden und visualisiert werden 

können. In Reihe geschaltet ergibt sich 

daraus ein Echtzeit-Monitoring auf alle 

aktuellen Response-Codes der zuliefernden 

Webserver. Ein solches Adhoc- 

Reporting der Log-Daten ermöglicht 

nicht nur eine schnelle Identifikation 

von Engpässen, sondern reichert auch 

klassische Performance-Daten aus dem 

Monitoring mit zusätzlicher Qualität 

an. Übrigens gibt es auch einen Nagios- 

Output für die Weiterleitung von Events 

an Nagios und Icinga. 

Analyse ohne Grenzen 

Durch die lose Kopplung der einzelnen 

Komponenten lassen die sich über 

Abbildung 3: Filtern von Daten in Kibana 3. 


Know-how 

Logstash 

51 

verschiedene Infrastrukturbereiche hinweg 

verbinden. Die in Version 1.2 hinzugekommene 

konditionelle Verarbeitung 

erlaubt nun auch die regelbasierte 

Weiterleitung von Log-Informationen 

an verschiedene Outputs. Somit können 

mittels Filtern und Patterns Nachrichten 

auf Applikationsebene herausgesucht 

und weiterverarbeitet werden. 

Seine volle Stärke spielt Logstash 

zusammen mit Tools wie Graphite, 

Statsd, ElasticSearch und natürlich 

auch Nagios und Icinga aus. Für alle 

Abbildung 4: Graphite bietet eine weitere 

Möglichkeit der Visualisierung. 

diese Komponenten gibt es stabile 

Module, genauso wie für die Integration 

mit Chef oder Puppet, die den Rollout 

von Logshippern und Agents erleichtern. 

Auch die Konfiguration des Syslog-Inputs 

ist einfach und erlaubt die 

Zusammenführung der notwendigen 

Log-Informationen ohne zusätzliche 

Komponenten. 

Da der Logstash-Entwickler Jordan 

Sissel vor einigen Tagen von der Firma 

ElasticSearch angeheuert wurde, ist 

auch in Richtung Suchserver-Integration 

in der nächsten Zeit noch einiges 

zu erwarten. 

Durch viele vorhandene Konfigurationsbeispiele 

und eine lückenlose 

Dokumentation ist der Einstieg in 

Logstash in kurzer Zeit möglich. Schnell 

fragt man sich, wie man bisher ohne 

Logstash leben konnte. Die erste Projektgrundsatz 

von Logstash beschreibt 

das treffend: „If a newbie has a bad 

time, it’s a bug“. (jcb) 

n 

n Listing 3: »statsd« 

01 statsd { 

02 type => "apache‐access" 

03 host => "localhost" 

04 port => 8125 

05 namespace => "logstash" 

06 debug => false 

07 increment => "apache.%{sitename}. 

response.%{response} 

08 count => ["apache.%{sitename}.bytes", 

"%{bytes}"] 

09 } 

n Info 




www.admin-magazin.de/qr/30622

54 

Test 

Small Business Server 

Linux-Small-Business-Server mit deutschen Wurzeln 

Stets zu Diensten 

Seit Microsoft seinen Small Business Server 2011 eingestampft hat, versuchen Anbieter solcher Server, die auf 

Linux basieren, aus diesem Umstand Kapital zu schlagen und argumentieren vor allem mit niedrigen Kosten. Der 

NSA-Skandal fügt dem Thema nun noch eine Facette hinzu. Dieser Beitrag rückt mit dem Univention Corporate 

Server 3.1-1 und dem Intranator Business Server 6.0.3 zwei deutsche Anbieter ins Rampenlicht. Thomas Drilling 

alexmit, 123RF 

Von den rund zwei Millionen in 

Deutschland registrierten Unternehmen 

gehören rund 1,5 Millionen der 

Betriebsgröße SMB (Small Business) 

mit einem bis zehn Mitarbeitern an: ein 

riesiger Markt für Softwarehersteller 

und IT-Dienstleister. Bis 2011 war diese 

Gruppe fest in der Hand von Microsoft. 

Die Firma bot mit ihrem Small Business 

Server ein auf die Bedürfnisse kleiner 

Unternehmen abgestimmtes Bundle 

aus Windows Server und MS Exchange. 

Wechselzwang 

Inzwischen dürfte sich herumgesprochen 

haben, dass die Redmonder mit 

Einführung ihres als Cloud-Betriebssystem 

angepriesenen Windows Server 

2012 den bei kleinen Unternehmen 

beliebten Small Business Server (SBS) 

eingestellt haben. Dieser Zielgruppe 

soll stattdessen die abgespeckte Version 

Server 2012 Essentials schmackhaft 

gemacht werden. Deren Funktionsumfang 

ist in etwa mit dem inzwischen 

ebenfalls eingestellten SBS Essentials 

vergleichbar. 

Die Strategie hinter dieser 

Produktpolitik ist klar: Das 

Fehlen von Exchange oder 

Sharepoint in Server 2012 

Essentials soll Kunden 

animieren, Zusammenarbeitsfunktionen 

über 

die Cloud, konkret Office 

365, nachzurüsten. Das 

zwänge zum Erwerb zusätzlicher 

Exchange- und 

Sharepoint-Lizenzen. Da 

die Grenze bereits enthaltener 

»Client Access 

Licenses« (CALs) beim 

Essentials-Server lediglich 

bei 25 Benutzern 

liegt – im Vergleich zu 75 

enthaltenen im alten SBS 

– kann Microsoft weitere 

Mehreinnahmen einkalkulieren. 

Wer Groupware 

und E-Mail-Services weiterhin 

auf eigener Hardware 

betreiben will, muss 

wohl oder übel einen zusätzlichen 

MS-Exchange- 

Server kaufen. 

Small Business und IT 

Hersteller von Linux-basierenden SBS- 

Alternativen greifen in der Regel nicht 

zu unrecht das Kostenargument auf. 

Renommierte Marktforschungsinstitute 

und Analysten wie McKinsey&Company 

oder das auf den SMB-Markt spezialisierte 

US-amerikanische Beratungsunternehmen 

AMI-Partners [1], das für 

Microsoft weltweit Marktanalysen im 

KMU-Segment erstellt, bestätigen den 

hohen Stellenwert der Kosten, unmittelbar 

hinter dem wichtigsten Faktor 

»Reduzierung der Komplexität«. 

Schnürt man beispielsweise das 

Bundle SBS 2011 auf, ergibt sich eine 

Kostenexplosion um mindestens den 

Faktor vier – rechnet man Lizenzen für 

Exchange und Sharepoint ein. Nicht 

weniger wichtig ist bei kleinen Unternehmen 

die Reduzierung der Komplexität. 

Das allein spricht für den Einsatz 

eines Small Business Servers, weil der 

eine ganze Reihe von Einzelfunktionen 

in einem Produkt vereint. 

Aus Sicht kleiner Unternehmen ist 

die webbasierte Administrierbarkeit 

eines Linux-Servers unabdingbar. AMI- 

Partners klassifiziert etwa 80 Prozent 

aller kleinen Unternehmen hinsichtlich 

des Anwendertypus als »hilfsbedürftig« 

oder bestenfalls noch »nutzungsorientiert«, 

die Denkweise als »unstrukturiert« 

und das Kaufverhalten als »reaktiv«, 

bestenfalls als »adaptiv«. Gekauft 

wird, wenn etwas kaputt geht oder – im 

Fall von Software – die Lizenz ausläuft. 

Einfachheit 

Die von den Herstellern Linux-basierter 

SBS-Alternativen gern herausgestellte 

einfache Installation wird überbe- 


Test 


55 

Abbildung 1: Der UCS bringt eine große 

Auswahl vordefinierter Gruppen mit, die 

das Delegieren administrativer Aufgaben 

ermöglichen. 

wertet, weil die Installation häufig 

ein externer Berater vornimmt. Bleibt 

als wichtiges Eingrenzungsmerkmal 

neben geringeren Kosten die webbasierte 

Administrierbarkeit. Sollen 

interne Mitarbeiter für administrative 

Funktionen eingespannt werden, ist 

die webbasierte Administration essenziell. 

Günstig ist in einem solchen Fall, 

wenn das Produkt hierzu differenzierte 

Systemrollen und/oder entsprechende 

Gruppen vorsieht, wie in der Abbildung 

1 für den Univention Corporate Server 

zu sehen. 

Beschränkt man sich angesichts der 

Abhöraffäre auf Hersteller, die ihre 

Produkte ausschließlich aus Open- 

Source-Komponenten zusammenschrauben 

und zudem ihren Firmensitz 

in Deutschland haben, bieten sich 

insbesondere im Hinblick auf die Zielgruppe 

SMB der Univention Corporate 

Server [2] der Bremer Univention 

GmbH und der Intranator Business 

Server [3] der Tübinger Intra2Net AG 

als einfach installierbare Appliances 

an. Der UCS ist ausschließlich als Soft- 

Appliance erhältlich ist, während es 

den Intranator Business Server auch in 

drei verschiedenen Hardware-Varianten 

gibt. 

Bei beiden Herstellern schließen die 

jeweiligen Subskriptionen deutschsprachigen 

Support ein, den die Hersteller 

auch selbst leisten. Intra2net und Univention 

bringen ihre Produkte zudem 

(fast) ausschließlich über Partner an 

den Mann, wobei die Preisliste [4] 

der Tübinger inklusive der Hardware- 

Appliances um einiges übersichtlicher 

ist als die von Univention [5], obwohl 

Univention im Prinzip nur ein einziges 

Produkt anbietet. 

Fairerweise muss man allerdings anführen, 

dass Univentions Corporate 

Server als universelle Server-Plattform 

wesentlich mehr Funktionen bietet und 

allein aufgrund der unterstützten Virtualisierung 

ein sperrigeres Lizenzmodell 

benötigt. Zudem bietet Univention weit 

differenziertere Support-Level. Zu beachten 

ist weiter, dass bei Intra2net zu 

den Preisen für die Hardware-Appliances 

stets die der Software zu addieren 

sind (Intra2net bietet neben dem Intranator 

Business Server noch die beiden 

Produkte Intranator Security Gateway 

und Intranator Network Security an). 

Beide Distributionen versprechen eine 

einfache und benutzerfreundliche Installation, 

was sich im Hinblick auf die 

Zielgruppe nur zum Teil bestätigt, denn 

beide Setup-Assistenten verwenden 

einen antik anmutenden Ncurses-Installer. 

Der gibt sich zwar sowohl beim 

UCS als auch beim IBS mit relativ wenigen 

Fragen zufrieden, dürfte Laien aber 

trotzdem überfordern. 

Intranator unter der Haube 

Intra2net stellt eine 30-Tage-Testversion 

seines Intranator Business Server 

in der zum Testzeitpunkt aktuellen Version 

6.0.3 zum Herunterladen [6] zur 

Verfügung. Allerdings sollte mit Erscheinen 

dieses Heftes bereits die Version 

6.1 verfügbar sein. Der IBS-Installer 

nimmt dem Nutzer als echte Appliance 

zwar das Partitionieren ab, bietet dafür 

aber nicht die vom UCS-Installer 

gewohnte Flexibilität beim manuellen 

Aufteilen der Festplatte. Vielmehr greift 

sich IBS stets die komplette Festplatte 

und vernichtet etwaige vorhandene 

Daten. Der IBS-Installer basiert sichtbar 

auf Red Hats Anaconda in der Ncurses- 

Version 12.46. 

Der IBS basiert im Kern auf einer nicht 

näher bezeichneten 32-Bit-RPM-Distribution 

mit PAE-Kernel (aktuell 3.4.5). 

Intra2net baut jedoch sämtliche Pakete 

selbst, pflegt eigenständige Repositories 

und kümmert sich auch selbst 

und zeitnah um die Patch-Versorgung. 

Die aktuelle Paketliste [7] steht öffentlich 

zur Verfügung. Das Paketformat 

ist RPM. Der Kernel ist ebenfalls ein 

Selbstbau. 

Updates erscheinen ungefähr alle 6 Wochen, 

wobei im Laufe eines Zyklus bei 

einzelnen Pakete bekannt werdende 

Sicherheitslücken, sofern sie nur intern 

ausnutzbar sind, in das jeweils nächste 

Update einfließen. Bei schwerwiegenden, 

extern ausnutzbaren Lücken gibt 

Intra2net auch ein außerordentliches 

Update heraus. Beim Patchen von 

Sicherheitslücken ist Intra2net nach 

eigener Aussage zuweilen schneller als 

Red Hat. Um das Einspielen von Updates 

kümmern sich ausschließlich die 

betreuenden Vertriebspartner. 

IBS installieren 

Der Installer kommt ohne viel Umschweife 

zur Sache, partitioniert nach 

Abnicken der Willkommensseite automatisch 

die Festplatte und spielt das 

Basissystem ein. Das Ganze dauert 

kaum fünf Minuten. Nach dem Reboot 

muss sich der Admin mit Tab- und 

Cursor-Taste durch eine Reihe von 


Admin 

Ausgabe 11-2013

56 

Test 


Abbildung 2: Das optisch ansprechende Web-Interface erschlägt 

sämtliche Konfigurationsaspekte des Intranator Business Server. 

Abbildung 3: Univention bringt eine reichhaltige, in Gruppen organisierte 

Software-Auswahl mit. 

Curses-Dialogen hangeln, die sich der 

Hardware-Erkennung, dem Netzwerkkarten-Setup, 

dem Netzwerk-Setup und 

dem Root-Account widmen. 

Eine Zurück-Funktion gibt es nicht, was 

besondere Sorgfalt erfordert. Bei der 

Konfiguration der Netzwerkkarte ist der 

Typ »Intranet (LAN mit NAT)« voreingestellt, 

was für die meisten SMB-Setups 

passen sollte. Die IP-Adresse ist per 

Default mit 192.168.1.254 vorbelegt; die 

Netzwerkmaske auf Class-C. 

Die Adresse des Routers ermittelt das 

System selbst, wenn die IP-Adresse 

zum eigenen Netzwerk passend geändert 

wurde. Selbstverständlich lassen 

sich an dieser Stelle bei Bedarf mehrere 

Netzwerkkarten einrichten. Das Netzwerk-Setup 

widmet sich den Punkten 

DNS und DHCP-Pool. Letzteres kann 

man auch deaktivieren. 

Abschließend ist nur noch die Adresse 

eines externen DNS-Servers oder 

die des eigenen Routers anzugeben, 

sofern der das Weiterleiten von DNS- 

Anfragen übernimmt. Im letzten Punkt 

legt der Admin ein Root-Passwort fest 

und startet das System dann noch einmal 

neu. 

An der Konsole kann man sich aus 

Sicherheitsgründen nur mit einem 

Administrator-Account anmelden, was 

aber bis auf Weiteres nicht notwendig 

ist. Tut man es dennoch, zeigt der IBS 

keinen grafischen Desktop, sondern 

das IBS-Hauptmenü, in dem man bei 

Bedarf durch Abarbeiten der Punkte 

1 bis 9 die Konfigurationsoptionen 

korrigieren kann, die schon der Setup- 

Assistent abfragte. 

Die weitere Konfiguration findet am 

Web-Interface statt, das ab jetzt via 

SSL unter der angegebenen IP-Adesse 

erreichbar sein sollte. Anmelden kann 

man sich hier nur mit dem Admin- 

Account, dessen Passwort per Default 

»admin« lautet und daher unmittelbar 

im Menü »Benutzermanager | Benutzer« 

geändert werden sollte (Abbildung 

2). Bei der Gelegenheit lässt sich auch 

gleich ein erster Benutzer anlegen und 

im Menü »Informationen | Lizenz« ein 

gegebenenfalls vorhandenes Lizenz- 

File einspielen. 

UCS-Setup 

Univention bietet ebenfalls Test-Versionen 

seines Corporate Servers wahlweise 

als ISO-Image zur Installation 

oder als vorkonfiguriertes VM-Image 

zum Herunterladen [8] an. Die zugehörige 

Test-Lizenz [9] erhält der Tester 

nach kostenloser Registrierung. Ferner 

gibt es wie beim IBS [10] eine Online- 

Demo [11]. 

Im Gegensatz zum IBS lässt sich Univentions 

Corporate Server im privaten 

Einsatz für maximal 5 Nutzer ohne Einschränkungen 

auch kostenlos nutzen. 

Verzichten muss man dann nur auf 

Support von Univention. Den gibt es 

aber im gut besuchten Forum. Löblich: 

die Free-for-Personal-Use-Version [12] 

lässt sich nach dem Bestätigen der 

Lizenzbedingungen auch ohne die vorgeschlagene 

kostenlose Registrierung 

direkt [13] herunterladen. 

Der Univention Corporate Server basiert 

in der aktuellen Version 3.1-1 auf 

Debian Wheezy, was dem ebenfalls 

Ncurses-basierten Installer aber nicht 

anzusehen ist. Bei dem hangelt sich 

der Admin ganz klassisch per »Weiter«- 

Schaltfläche rechts unten durch die 

einzelnen Dialog-Seiten. 

Mehrere Reboots wie beim IBS sind 

nicht notwendig. Die Dramaturgie ist 

logischer als beim IBS, der zuerst Software 

einspielt und sich erst danach der 

Konfiguration widmet. Kann der Admin 

in den ersten Schritten bei Sprache, 

Zeitzone und Tastaturlayout noch die 

Voreinstellungen übernehmen, ist 

in den Folgeschritten Eigeninitiative 

gefragt, etwa bei der »Systemrolle«, 

wobei die Voreinstellung »Domain Controller 

Master« beim ersten zu installierenden 

UCS erste Wahl ist. 

Die Systemrollen beziehen sich auf 

das durchdachte, Verzeichnisdienstbasierte 

Identify-Infrastruktur-Management 

des UCS: eine herausragende und 

wesentliche Eigenschaft der Lösung 

von Univention. Auch im Folgeschritt 

»Optionen« ist die Initiative eines 

Experten gefragt, denn mit den einzutragenden 

Werten für Rechnername, 

LDAP-Basis oder dem Namen für die 


Test 


57 

Abbildung 4: Die Univention Management Console. 

Abbildung 5: Das App-Center des Univention-Business-Servers. 

Windows-Domäne (bezieht sich auf das 

Domänen-Konzept von Windows-NT – 

ein UCS kann dank Samba 3.x nämlich 

auch Domain Controller in einer klassischen 

NT-Domäne sein) dürften Laien 

überfordert sein. 

Nach dem Festlegen eines Root-Passwortes 

widmet sich der Installer dem 

Partitionieren und unterbreitet bei einer 

leeren oder zur Löschung vorgesehenen 

Festplatte einen LVM-basierten 

Vorschlag zum automatischen Aufteilen. 

Im Gegensatz zum IBS kann der 

Admin hier aber manuell eingreifen. 

Auch bei der folgenden IP-Konfiguration 

ist Fachwissen gefragt; immerhin 

ist die Default-Einstellung »manuelle 

IP-Konfiguration« und nicht DHCP, was 

für einen Server Sinn macht. Optional 

kann der Admin hier auch einen externen 

DNS oder HTTP-Proxy eintragen. 

Nach dem Konfigurieren des Boot-Loaders 

widmet sich der UCS-Installer der 

Software-Auswahl und bietet Software- 

Komponenten in Form von Paketgruppen 

an (Abbildung 3). 

Ist das erledigt, kann sich der Admin 

mit dem im Verlauf der Installation 

festgelegten Administrator-Konto via 

HTTPS am Web-Portal des UCS anmelden, 

das seinerseits mit dem Account 

»Administrator« Zugriff auf die Univention 

Management Console (UMC) (Abbildung 

4) bietet und auf die virtuellen 

Apache-Hosts etwaiger unter UCS installierter 

Zusatzprodukte verweist, wie 

etwa Zarafa. 

Das Anlegen eines ersten Benutzers 

erfolgt analog zum IBS im Modul Benutzer. 

Ein Lizenz-Key lässt sich mit 

einem Klick auf das Zahnradsymbol in 

der Kopfzeile des Web-Interfaces rechts 

neben dem Benutzernamen einspielen. 

Klickt man hier auf den Eintrag »Lizenz« 

zeigt der Dialog »UCS‐Lizenz« eine 

etwaige, bereits vorhandene Lizenz an 

und bietet eine Funktion zum Lizenz- 

Import. 

Wer Apps aus dem App-Center (Abbildung 

5) installieren möchte (beispielsweise 

OwnCloud oder Zarafa), braucht 

auch bei der kostenlosen UCS-Version 

trotzdem einen Lizenz-Key für den UCS, 

weil es sich hier um Drittanbieterprodukte 

handelt. Deren Installation setzt 

einen registrierten UCS voraus, weil 

Univention dann den jeweiligen Hersteller 

mithilfe der Registrierungsdaten 

über die Installation und Deinstallation 

des Produktes informieren kann. 

Dass der Installationsdialog im App- 

Center direkt das Herunterladen und 

Installieren eines freien UCS-Key anbietet, 

ist löblich, funktionierte im Test 

aber nicht auf Anhieb. Abhilfe brachte 

nach kurzer Recherche im Univention- 

Forum die Installation der Demo-App. 

Wahlweise kann man sich auch vorab 

einen kostenlosen Key von Univention 

besorgen und über den gezeigten 

Lizenz-Dialog einspielen. Möchte man 

etwa Zarafa oder OwnCloud über die 

mit den im App-Center (Abbildung 6) 

verfügbaren Community-Versionen 

einhergehenden Limitierungen, etwa 

hinsichtlich der Benutzerzahl, hinaus 

einsetzen, besorgt man sich die entsprechende 

Lizenzen direkt von Own- 

Cloud oder Zarafa. 

Intranator Business Server 

einsetzen 

Funktional ist der Intranator Business 

Server ein Small Business Server im 

klassischen Sinne der Definition, orientiert 

sich also im Wesentlichen an den 

Funktionen von Microsoft Exchange 

[14] und bietet daher ausschließlich 

Groupware-Funktionen sowie mithilfe 

von Zusatzprodukten erweiterte 

Funktionen für Netzwerk-, Web- und E- 

Mail-Sicherheit; auf Wunsch sogar eine 

mehrstufige Firewall. 

Im Grunde findet sich im Produktbaukasten 

von Intra2net alles, was kleine 

Unternehmen im Zusammenhang mit 

Internet, Intranet und Kollaboration benötigen. 

Einen Fileserver gibt es nicht, 

weil Intra2net auf dem Standpunkt 


Admin 

Ausgabe 11-2013

58 

Test 


Abbildung 6: Der Web-Client des IBS basiert auf dem Horde-Framework. 

steht, dass gerade in kleinen Unternehmen 

durchgängig NAS-Geräte Verwendung 

finden und in puncto Fileservices 

die Herausforderung ohnehin eher 

in einer tragfähigen Backup-Lösung 

liegt, als im Bereitstellen von Samba- 

Freigaben. 

Der IBS enthält dafür eine komplett 

selbstentwickelte Groupware-Lösung 

auf Basis des Horde-Frameworks 

(Horde, Turba, Nag, Mnemo und Kronolith 

mit Speicher-Backend für das Kolab-XML-Format). 

Als optionales Zusatz- 

Produkt ist passend zur Groupware ein 

ebenfalls ohne Hilfe von VipCom oder 

anderen OpenMAPI-Spezialisten entwickelter 

Intranator-Groupware-Client 

für Outlook, aktuell in der Version 2.1.2 

verfügbar, der sich im Test als sehr 

stabil erwiesen hat und sich funktional 

nicht hinter Outlook/Exchange verstecken 

muss. Einschränkungen gegenüber 

einem echten Gespann Exchange/ 

Outlook gibt es nur wenige [15], wie 

etwa die fehlende Journal-Funktion 

oder das nicht mögliche Einbinden von 

Fotos in Kontakten. 

Admins müssen allerdings berücksichtigen, 

dass beim Anlegen eines 

neuen Outlook-Profils im Gegensatz 

zu Zarafa oder Exchange nicht der 

Verbindungstyp »MS Exchange« oder 

»Zusätzliche Servertypen« zum Einsatz 

kommt, sondern schlicht »IMAP«, 

wobei der Intranator Business Server 

als IMAP-Server eingetragen wird. Das 

liegt daran, dass beim verwendeten 

Horde-Framework der IMAP-Server als 

Speicher-Backend für sämtliche Groupware-Daten 

fungiert, während MAPI- 

Lösungen wie Zarafa und Exchange ein 

Datenbank-basiertes Backend bevorzugen. 

Der Horde-Client hinkt aktuellen 

HTML5-Web-Clients von Zarafa oder 

OX ist in Sachen Optik und Usability 

sichtbar hinterher, 

ist aber immer noch 

einer der funktionsreichsten 

Web- 

Clients (Abbildung 

6). Intra2net unterstützt 

übrigens das 

Horde-Entwicklerteam 

personell und 

finanziell. 

Abbildung 7: Konfiguration von 

ActiveSync unter Android. 

Intranator 

Groupware- 

Client 

Der Komfortgewinn 

beim Verwenden 

des Outlook-Clients 

gegenüber dem 

Web-Client ist 

dennoch immens, 

sofern Anwender 

Outlook an einem Windows- 

Arbeitsplatz nutzen, was bei KMUs 

der Normalfall sein sollte. So können 

Mitarbeiter beispielsweise individuelle 

Ordnerstrukturen, wie etwa ihre lokale 

Ordnerstruktur aus beliebigen Server- 

Ordnern zusammenstellen. Das funktioniert 

sowohl mit eigenen Ordnern als 

auch mit Freigaben. Ferner unterstützt 

der Groupware-Client alle relevanten 

Outlook-Versionen von 2003 bis 2013. 

Groupware-Daten lassen sich sogar im 

Mischbetrieb mit unterschiedlichen 

Versionen problemlos lesen und schreiben. 

Außerdem lassen sich Ordner gezielt 

nur lokal speichern. Die Synchronisation 

ist dann optional. 

Die Daten-Synchronisation via Outlook- 

Client ist zudem robuster, weil die Daten 

nicht erst per POP3 geholt, sondern 

direkt per IMAP ohne eine Queue synchronisiert 

werden. Eine Synchronisation 

aus dem Outlook-Client lässt sich 

jederzeit unterbrechen und wird automatisch 

an der richtigen Stelle fortgesetzt, 

was für die Erstanbindung von 

externen Standorten und Mitarbeitern 

interessant ist. Dabei synchronisiert die 

Lösung die jeweils neuesten Objekte 

stets zuerst. So kann der Nutzer bereits 

mit den aktuellen Daten arbeiten, während 

ältere Daten noch im Hintergrund 

synchronisiert werden. Eine Übersicht 

sämtlicher vom Groupware-Client unterstützter 

MAPI-Funktionen findet sich 

auf der Webseite [16] 

von Intra2net. 

Intranator 

Business Server 

ActiveSync 

Intra2net plant noch 

im Oktober als dritten 

Baustein seines 

Groupware-Stacks eine 

ActiveSync-Lösung 

für das Anbinden von 

Smartphones und 

Mobilgeräten auf den 

Markt zu bringen, die 

mit Erscheinen dieses 

Heftes wahrscheinlich 

verfügbar ist. Wir hatten 

die Möglichkeit, 

am nicht öffentlichen 

Beta-Test teilzuneh- 


Test 


59 

men – mit höchst zufriedenstellenden 

Ergebnissen für ein Samsung Galaxy 

S4 und ein Samsung Galaxy S3 Mini. 

Außerdem funktioniert ActiveSync 

mit iOS und Windows Phone sehr zuverlässig. 

Die positiven Tests mit dem 

iPhone konnten wir mit einem iPhone 

4 selbst verifizieren. Die Aussagen zum 

Windows Phone ergab eine Nachfrage 

beim Hersteller. Bei Android missfällt 

allenfalls, dass die Konfiguration der 

ActiveSync-Unterstützung je nach Gerät, 

Modell und Hersteller unterschiedlich 

ist (Abbildung 7). 

Es hat sich aber als nützlich erwiesen, 

für Android die Push-Funktion zu deaktivieren 

und das Sync-Intervall auf 

15 Minuten zu stellen, denn im Push- 

Modus ist permanent eine Funkverbindung 

aktiv, sodass das Gerät kaum 

noch seine Energiesparmodi nutzen 

kann, was die Akkulaufzeit signifikant 

reduziert. Ferner kam es im Push-Modus 

unter Android bei einigen Geräten 

zu Übertragungsfehlern, was etwa zu 

einer Verdoppelung von E-Mails und 

Terminen führte. Weitere Informationen 

zum Thema ActiveSync lassen sich 

dem bereits fertigen ActiveSync-Handbuch 

[17] entnehmen. 

UCS als Small-Business- 

Server 

Univentions Corporate Server lässt sich 

ebenfalls durchaus als SBS-Alternative 

nutzen. Im Gegensatz zu Intra2Net, dessen 

Kundenquerschnitt auf Nachfrage 

auch zu 94 Prozent ins SBS-Segment 

passt, sieht Univention das Einsatzgebiet 

seiner Plattformlösung anderswo 

und empfiehlt den UCS auch nicht 

unbedingt als SBS-Ersatz. Dass UCS bei 

jeder einzelnen Funktion des IBS auf 

Anwendungsebene im Zweifel mühelos 

mithalten kann, liegt größtenteils an 

Drittanbieter-Produkten wie Zarafa, OX 

App Suite und Kolab, die sich allesamt 

komfortabel über das App-Center installieren 

lassen . 

Ein Vergleich mit der Groupware- 

Funktion im IBS entfällt, weil die nicht 

von Univention bereitgestellt wird. 

Außerdem haben wir sowohl dem 

Univention Corporate Server, speziell 

dessen Samba-4-Unterstützung und 

auch Zarafa und Open-Xchange bereits 

Abbildung 8: Zarafa-Nutzer lassen sich im Univention-Benutzer-Dialog anlegen. 

zahlreiche Artikel im Heft gewidmet 

[18]. Bemerkenswert ist aber, dass 

Univention beim Installieren von Zarafa 

via App-Center (gilt auch für OX) ein 

LDAP-Schema mitliefert, das es im Gegensatz 

zur sonst nur via CLI möglichen 

Zarafa-Administration erlaubt, elementare 

Funktionen wie das Anlegen 

eines Zarafa-Nutzers in der grafischen 

»Univention Management Console« zu 

erledigen (Abbildung 8). 

Der UCS passt hinsichtlich der nicht 

ganz trivialen Installation, die mit 

dem großen Basisfunktionsumfang im 

Zusammenhang steht, nicht wirklich 

zur KMU-Zielgruppe, weshalb ein UCS 

immer von einem erfahrenen Consultant 

oder Admin betreut werden sollte. 

Univentions Corporate Server versteht 

sich von jeher als Plattform- und Infrastruktur-Lösung 

und weniger als Applikation, 

wie es der IBS tut. Im Zentrum 

der Produkt-Philosophie steht das auf 

einem Verzeichnisdienst (OpenLDAP) 

basierende Identify- und Infrastruktur- 

Management samt Single-Sign-On, 

das nicht nur ein zentrales Verwalten 

sämtlicher Nutzer in einer UCS- oder 

NT-Domäne beziehungsweise einem 

Active-Directory auf dem UCS-Domain- 

Controller-Master erlaubt, sondern 

auch die zugehörigen Rechner- und 

Benutzerprofile verwaltet. 

Ein UCS Domaincontroller wird dabei 

zur alles verwaltenden Instanz in einer 

UCS-Domäne oder übernimmt selbst 

die Rolle eines Windows-Domänen- 

Controllers. 

Teil des Plattformkonzeptes war von 

jeher auch eine eigene Desktop-Distribution 

(UCD), die Univention aber 

im Laufe der Jahre in Anerkennung 

der Realitäten fallen ließ. Stattdessen 

stellt die Firma den neuen Univention 

Corporate Client in das Zentrum seiner 

Server-Based-Computing-Strategie. 

Die Bemühungen, Linux auch auf dem 

Desktop etablieren zu wollen, sind 

löblich. Nach außen stellen die Bremer 

aber seit einiger Zeit verstärkt den auf 

Samba 4 basierenden Active-Directory- 

Support in den Mittelpunkt ihres 

Produkt-Marketings und betonen damit, 

dass sich UCS wahlweise perfekt in 

bestehende Windows-Infrastrukturen 

integriert oder selbst die tragende Rolle 

in einer Windows-Domäne übernehmen 

kann, was dann den Windows Server 

obsolet macht. 

UCS administrieren 

Teil des Verzeichnisdienst-basierten 

Konzepts ist auch, dass UCS sämtliche 

Konfigurationsdaten im LDAP 

speichert. Erfahrene Administratoren, 

die UCS an der Konsole oder via SSH 


Admin 

Ausgabe 11-2013

60 

Test 


Abbildung 9: Das direkte Bearbeiten des LDAP-Verzeichnisses – hier auf Container-Ebene. 

gezielt an ihre Bedürfnisse anpassen 

wollen, tun gut daran, die Finger von 

den klassischen Linux-Konfigurationsdateien 

zu lassen, weil UCS diese 

dynamisch aus Templates generiert. 

Univention hat mit Univention Corporate 

Registry (UCR) sogar eine Art API. 

Mit deren Hilfe interagieren erfahrene 

Administratoren mit der im LDAP gespeicherten 

Konfiguration. Anderseits 

greifen aber auch die grafischen Konfigurations-Module 

im Web-Interface auf 

Konfigurationsdaten zu. Der Konfigurationsbaum 

im LDAP lässt sich sogar 

direkt über das grafische Werkzeug 

»LDAP-Verzeichnis« bearbeiten, was 

selbstverständlich administrative 

Kenntnisse erfordert, im Zweifel aber 

einige UCR-Konfigurationsvariablen 

mehr erschließt, als die entsprechenden 

Module der Web-Oberfläche (Abbildung 

9). 

Aber selbst die zeigen den betroffenen 

LDAP-Container gleich mit an. Dass 

UCS darüber hinaus bereits in der 

Basis-Ausstattung Funktionen für Server- 

und Desktop-Virtualisierung, Systemüberwachung, 

Netzwerk-Backup 

(Bacula) und Fileservices mitbringt, 

relativiert die Aussagen zur Eignung als 

SBS-Ersatz ebenfalls, wenn man sich 

das Argument »Reduzierung der Komplexität« 

in Erinnerung ruft. 

Neues bei UCS 

Wir haben übrigens im Test die seit 

wenigen Tagen aktualisierte Version 

3.1-1 des Univention Corporate Servers 

in der Free-For-Personal-Use-Version 

installiert. Das ISO-Image der Installations-DVD 

lässt sich von Univentions 

Download-Seite herunterladen [19]. 

Das Image kumuliert sämtliche im 

Laufe des Jahres ausgelieferten Errata- 

Updates (170 an der Zahl) zu UCS. Die 

neue Version enthält auch ein Kernel- 

Update auf die Version »3.2.0-ucs31- 

amd64« des UCS-Kernels, der vor allem 

für Unterstützung aktueller Hardware 

sorgt. 

Kurz vor Redaktionsschluss erreichte 

uns die Meldung, dass ab sofort der 

erste Meilenstein der für November 

geplanten neuen Hauptversion 3.2 

zum Testen [20] zur Verfügung steht. 

Die ist allerdings vorrangig für Partner 

gedacht, die sich einen Eindruck von 

der neuen Version verschaffen möchten. 

Highlights von UCS 3.2 sind die 

weltweit erste Integration des zweiten 

Release-Candidate von Samba 4.1 und 

eine neue Übersichtsseite der Univention 

Management Console mit Filterfunktionen, 

die eine schnelle Übersicht 

der zur Verfügung stehenden Module 

ermöglicht. Ferner wird UCS 3.1 mit 

einem aktualisierten Kernel 3.10 ausgeliefert 

werden. 

Übrigens steht UCS seit Mitte August 

auch als Zielplattform im Opensuse 

Build Service zur Verfügung, womit die 

Anzahl der vom Build-Service unterstützt 

Betriebssysteme inklusive Univention 

Corporate Server auf 22 steigt. 

Der Opensuse Build Service [21] ist 

die öffentlich und online zugängliche 

Instanz der seit 2011 von Suse unter 

neuem Domain-Namen betriebenen 

verteilten Build-Plattform »Open Build 

Service« (OBS) [22], mit deren Hilfe 

Entwickler sehr komfortabel Pakete 

ihrer Apps und Anwendungen für gleich 

mehrere Zielplattformen bauen können, 

ohne eine eigene Build-Umgebung 

etwa für UCS vorhalten zu müssen (Abbildung 

10), was auch die Bedeutung 

von UCS als Enterprise-Distribution 

unterstreicht. 

Fazit 

Intranator Business Server 6.0.3 und 

Univention Corporate Server 3.1-1 

eignen sich rein funktional beide als 

kostengünstiges Replacement für Microsofts 

Small Business Server. Beim 

IBS passt auch die Produkt-Philosophie 

mit der Beschränkung auf Exchange- 

Funktionalität exakt zur anvisierten 

Zielgruppe. Die Lösung von Intra2net 

wird auch den geforderten Aspekten 

Kostenreduzierung und Vereinfachung 

der Komplexität gerecht. Funktional 

wünschen sich kleine Unternehmen 

an erster Stelle die Möglichkeit, gemeinsame 

Kalender nutzen zu können, 

wobei zu beobachten ist, dass 

Unternehmen mit weniger als sieben 

Mitarbeitern in der Regel einen einzigen 

gemeinsamen Kalender nutzen und auf 

eine granulare Berechtigungssteuerung 

verzichten. Erst bei Unternehmen mit 

zehn Benutzern setzt sich die Arbeitsweise 

mit individuellen Kalendern 

durch, die dann gezielt für kollaboratives 

Arbeiten freigegeben werden. 

Verfügbarkeit und Ausfallsicherheit 

spielt bei kleinen Unternehmen nur 

eine untergeordnete Rolle. Der IBS trifft 


Test 


61 

damit in seiner Eigenschaft als Groupware-Server 

den Nerv der meisten 

SMBs perfekt. Beim IBS stimmt auch 

das Kosten-Argument. Eine Kosten-Betrachtung 

ist zwar nicht Anliegen dieses 

Beitrages, beide Produkte unterbieten 

aber die Kosten für MS Server 2012 + 

MS Exchange und/oder Sharepoint, 

auch wenn der Preisvorteil beim IBS 

deutlicher ausfällt, weil die Groupware 

als Eigenentwicklung integrative Komponente 

des Gesamtkunstwerks ist. 

Beim UCS kommen gegebenenfalls 

auch Lizenzkosten für Drittanbieter- 

Produkte wie Zarafa hinzu. Der Forderung 

nach einer Verminderung der 

Komplexität von IT wird der UCS nur 

bedingt gerecht. Während sich Intra- 

2net gezielt an Unternehmen richtet, 

die in der IT im Allgemeinen ein notwendiges 

Übel sehen und einer durchdachten, 

strukturierten und zukunftssicheren 

IT-Strategie unter Einbeziehung 

offener Standards und Schnittstellen 

wenig Verständnis entgegenbringen, 

spricht Univention eher Unternehmen 

an, die mit Planung, Betrieb und Pflege 

ihrer IT eigene Ideen und Visionen 

verbinden. Auf Deutsch gesagt: ein Univention 

Corporate Server ist als Small 

Business Server deutlich unterfordert 

und kann schon mit seinem Funktionsumfang 

das Vereinfachungskriterium 

trotz Weboberfläche eigentlich nicht 

erfüllen. 

Zwar bieten beide Produkte eine durchgängig 

webbasierte Administration, 

aber lediglich beim IBS gibt es nirgends 

einen Usability-Bruch, wenn man 

vom Horde-Web-Interface absieht. Da 

sich der UCS vorrangig als Plattform 

versteht, kann auch ein zweifelsohne 

nützliches App-Center nicht darüber 

hinwegtäuschen, dass ein Zarafa oder 

Open-Xchange auf Kommando-Ebene 

oder zumindest mit eigenen Werkzeugen 

administriert werden möchten. 

Univention weist zwar beim Installieren 

von Third-Party-Apps via App-Center 

darauf hin, dass das App-Center nicht 

als Verkaufsplattform konzipiert ist, 

sondern lediglich das Installieren von 

Partnerprodukten erleichtern soll, damit 

erfüllt es aber nicht die Funktion 

eines Google-, Apple- oder Mozilla-App- 

Stores. Deren App-Konzepte greifen 

Abbildung 10: UCS als Zielplattform im Opensuse-Build-Service. 

bekanntlich tiefer und schließen auch 

die für ein einheitliches Look&Feel der 

für die jeweilige Plattform entwickelten 

Apps benötigten Programmierschnittstellen 

ein. 

Was die Forderung nach einer einfachen 

Installation und Konfiguration angeht, 

tun sich beide Produkte schwer, 

was in der Natur der Sache liegt. IT 

kann man nun mal nicht sich selbst 

überlassen. Daher sollten beide Produkte 

nur von einem erfahrenen Vertriebspartner 

oder externen Betreuer in 

Betrieb genommen und administriert 

werden. Als Fazit für den UCS kann 

man in Bezug auf das Small Business 

Segment konstatieren, dass er es kann, 

wenn das gewollt ist, sich aber mit 

seinem weitreichenden Infrastruktur- 

Funktionen bis in die Bereiche Client- 

Management, Virtualisierung, VDI und 

Netzwerküberwachung eher für mittelständische 

und große Unternehmen 

eignet, was auch die Referenzkundenliste 

unter Beweis stellt. 

Als Gemeinsamkeit ist noch die komplett 

in Deutschland beheimatete 

Entwicklung zu nennen, wobei es 

selbstverständlich naiv ist, von einer 

in Deutschland entwickelten Lösung 

einen Vorteil in Bezug auf die Überwachungsproblematik 

zu erwarten, zumal 

es den UCS von Univention inzwischen 

auch in einer via AWS gehosteten Version 

gibt. 

Hilfreich ist schon eher die Verwendung 

von Open-Source-Komponenten 

und die bei beiden Lösungen durchgängige 

Verwendung von Zertifikaten 

beziehungsweise SSL. Halten wir fest: 

Der Intranator Business Server ist der 

perfekte, kostengünstige und sichere 

Exchange-Ersatz auf Linux-Basis. 

Univention Corporate Server ist die 

umfassende Open-Source-Plattform für 

Unternehmen, die eine grundsätzliche 

Migration ihrer gesamten Infrastruktur 

auf Open-Source anstreben und nach 

einer Lösung suchen, die mit den eigenen 

Anforderungen wächst und sich 

später einmal sogar im Cluster betreiben 

lässt. (jcb) n 

n Info 






Admin 

Ausgabe 11-2013

62 

Test 

Novell Filr 

Novell Filr 1.0 im Test 

Datei-Server, leicht bewölkt 

Externe Mitarbeiter, Heimarbeitsplätze, private Smartphones in der Firma und Cloud-Dienste wie Dropbox: All das 

kann einen IT-Admin, der auf Sicherheit bedacht sein muss, leicht in den Wahnsinn treiben. Mit Filr hat Novell ein 

Dateiablage-System entwickelt, das die meisten Probleme lösen soll. Thomas Drilling 

Nach den Vorstellungen der Marketing- 

Strategen sollten Kollaborationsplattformen 

wie Sharepoint, OX-App-Suite, 

Kolab und Zarafa alles können: Sie 

sollen mit ihrem integrierten Dokumenten-Management 

Dreh- und Angelpunkt 

jeglicher Unternehmenskommunikation 

sein und selbstverständlich Ausgangspunkt 

für die Dateiablage. Heutzutage 

müssen Mitarbeiter viele Dokumente 

organisieren und verarbeiten. 

Da ist es eine gute Idee, Dokumente mit 

Bezug zu einem Referenz-Kontakt, ‐Ereignis 

oder ‐Projekt in so einem System 

abzulegen. 

Im Vorteil ist, wer jetzt schon zentrale 

Dateiablagen einsetzt. Ideal ist es 

daher, wenn Unternehmen ihren Mitarbeitern 

vorschreiben, existierende Dokumenten-Management-Lösungen 

zu 

verwenden. Deren Hersteller widmen 

Abbildung 1: Die Wahl des Storage Backends in der Suse-Virtual- 

Appliance-Konfiguration. 

sich der gleichen Problematik aus einem 

anderen Blickwinkel: Für sie geht 

es darum, Teamarbeit zu koordinieren 

und Dokumente effizient abzulegen. 

Von gestern: File-Server 

Eine zusätzliche Dimension erhält die 

Thematik durch das Einbinden von externen 

Mitarbeitern. Ein sicherer Zugriff 

via VPN auf die firmeneigenen Datei- 

Server ist zwar prinzipiell möglich, auf 

mobilen Geräten aber wenig praktikabel. 

Die gängigen Protokolle und Netzwerk-Dateisysteme 

sind nicht für die 

Mobilfunknutzung konzipiert. Und was 

tut ein externer Mitarbeiter, wenn der 

Admin den Zugriff auf Netzlaufwerke 

eingeschränkt hat oder das Netzwerk 

nicht funktioniert, wie es soll? Er lädt 

im schlimmsten Fall – ohne Wissen 

des Admins – Firmen-Dokumente zur 

Dropbox hoch und 

synchronisiert sie auf 

andere Endgeräte und 

ins Home Office. 

Auch wenn klassische 

File-Server derzeit 

noch Standard in 

vielen Firmen sind, 

braucht es doch eine 

Lösung, die jedem 

Mitarbeiter – ob intern 

oder extern – eine 

konsolidierte Sicht 

auf die Daten erlaubt, 

unabhängig davon, 

wo diese tatsächlich 

gespeichert sind. 

Der Nutzer muss sich 

dann nicht mit Server- 

Namen, langen URLs, Laufwerksnamen, 

Pfaden oder ähnlichen Dingen 

herumschlagen. Außerdem müssen 

Nutzer mobiler Geräte auf ihre Dokumente 

auch offline zugreifen können. 

Ein Web-Interface sollte dafür sorgen, 

dass der Zugriff auf eigene Daten auch 

mit Clients möglich ist, auf denen keine 

Software installiert werden darf. Zudem 

sollte eine Lösung dafür sorgen, 

dass sämtliche Daten nur verschlüsselt 

zu den Endgeräten gelangen und nicht 

in eine Public Cloud wandern. Die 

Integration mit einem existenten Verzeichnisdienst 

sollte eine separate Benutzerverwaltung 

obsolet machen und 

die Rechte für das File-Sharing zentral 

verwalten können. Mit Novells neuem 

Dienst »Filr« steht eine solche Lösung 

zur Verfügung. 

Was ist Filr? 

Novell Filr [1] ist eine neue, als 

File-Sharing-Plattform konzipierte 

Cloud-Lösung. Konzeptionell ist 

Filr mit einer selbst-gehosteten 

OwnCloud-Installation vergleichbar, 

konzentriert sich aber ausschließlich 

aufs File-Sharing und auf Funktionen 

zur Zusammenarbeit. Filr macht 

Datei-Server (Netzwerklaufwerke) 

und Storage-Ressourcen über eine 

logische Abstraktionsebene verfügbar. 

So können interne und externe Nutzer 

über organisatorische Grenzen hinweg 

komfortabel auf ihre Daten zugreifen 

und für andere Benutzer freigeben. Der 

Zugriff auf Filr ist wahlweise über das 

moderne Web-Interface, eine mobile 

App für iOS und Android sowie mithilfe 


Test 

Novell Filr 

63 

Anthony McAulay, 123RF 

einer nativen Anwendung für Windows 

und Mac OS möglich. Ferner verfügt Filr 

über eine leistungsstarke, auf »Lucene« 

basierende Volltextsuche. 

Verbindungen zu Filr sind durchgängig 

per SSL verschlüsselt. Sämtliche Dateien 

bleiben auf den Servern des Unternehmens 

hinter der firmeninternen 

Firewall. Das gewährleistet ein hohes 

Maß an Sicherheit, weil die Zugriffskontrollen 

auf das Dateisystem greifen. 

Ferner können Filr-Admins Quotas auf 

Benutzer-, Gruppen- und Standortebene 

verwalten. Eine Lizenz von Filr 

kostet inklusive einem Jahr Standard- 

Support 104 Euro; 50 Lizenzen mit 

einem Jahr Support schlagen mit 5200 

Euro zu Buche. 

Filr unter die Haube geschaut 

Ein Filr-Setup besteht normalerweise 

aus drei virtuellen VMware-Maschinen, 

auf denen Suse Linux Enterprise Server 

läuft. Die Maschinen stellen die 

Filr-Software, die auf Lucene basierende 

Volltext-Suchmaschine und eine 

MySQL-Datenbank zur Verfügung. Die 

Datenbank dient nicht etwa zur Aufnahme 

der von Filr verwalteten Dateien 

und Verzeichnisse – Filr dupliziert keine 

Daten, sondern lässt sie dort, wo sie 

sind – sie verbindet vielmehr die Dateisystem-Ressourcen 

mit den Filr-Benutzern, 

speichert deren Freigaberechte 

und die Accounts externer Nutzer sowie 

die Verbindungsinformationen des 

Proxy-Users. 

Filr unterstützt neben lokalen Festplatten 

auch NFS, Network Attached 

Storage (NAS) per NetApp und Storage 

Area Networks (SAN). Ferner kann Filr 

vorhandene Datenquellen integrieren, 

die via SMB/CIFS oder NCP (Novell Core 

Protocol) erreichbar sind, etwa auf 

Windows-2003-/2008- beziehungsweise 

auf Novell-Open-Enterprise-11- oder 

NetWare-6.5.8-Servern mit mindestens 

einem NSS-Volume. An Dateisystemen 

unterstützt Filr NTFS, Ext3, Btrfs und 

XFS. 

Wer über Filr lediglich Benutzerverzeichnisse 

(»Meine Dateien«) und keine 

Netzwerkordner zur Verfügung stellen 

will, kann das System auch ohne Datei- 

Server betreiben. Novell nennt als Mindestvoraussetzung 

für das Host-System 

12 GByte RAM und 100 GByte Festplattenplatz 

für eine sogenannte kleine 

Installation: Dabei laufen Filr, MySQL- 

Datenbank und die Lucene-Engine auf 

einer einzigen virtuellen Maschine. 

Filr ausprobieren 

Alternativ dazu gibt 

es das Large-Setup 

mit drei separaten 

Virtual Appliances für 

die Filr-Software, die 

Datenbank und die 

Lucene-Engine. Eine 

Evaluierungsversion 

von Filr 1.0 kann jeder 

registrierte Nutzer 

[2] in Form der Virtual 

Appliance »Filr. 

x86_64‐0.0.459.ovf. 

zip« im Open Virtualization 

Format von der 

Novell-Downloadseite 

[3] herunterladen. Die 

lässt sich für einen schnellen Test zwar 

unter VMware Player oder VirtualBox 

ausführen, für den Produktiveinsatz 

ist aber mindestens ein Host mit ESXi 

4.1.x, ESXi 5.0 oder ESXi 5.1 mit allen 

aktuellen Updates erforderlich. 

Für ein Large-Setup lädt man zusätzlich 

die beiden virtuellen Anwendungen 

»Filrsearch.x86_64‐0.0.296.ovf.zip« 

(Lucene) und »MySQL.x86_64‐0.0.188. 

ovf.zip« herunter. Ferner stehen im 

Download-Bereich die Desktop-Clients 

für Windows [4] und Mac OS [5] zur 

Verfügung. Die Mobil-Clients sind im 

jeweiligen App-Store von iOS und Android 

(Google Play) zu finden. Alternativ 

ist es auch möglich, sich direkt auf 

der Filr-Download-Seite [6] für die Filr- 

Evaluierung zu registrieren. Ausführliche 

Dokumentation für Admins und 

Nutzer, Installationsanleitungen und 

Abbildung 2: Filr lässt sich mit drei komfortablen Web-Interfaces 

administrieren. 


Admin 

Ausgabe 11-2013

64 

Test 

Novell Filr 

Abbildung 3: Auch das Starten und Stoppen von Filr erfolgt in der 

»Appliance System Configuration«. 

Quickstart-Guides in zahlreichen Sprachen 

hält Novell auf der gut bestückten 

Dokumentationsseite [7] bereit. 

Test-Setup aufsetzen 

Das Konfigurieren und Starten der Filr- 

Appliance ist dank YaST mit wenigen 

Handgriffen erledigt. Nach Festlegen 

der elementaren Netzwerkparameter 

muss sich der Admin für ein Storage 

Backend zwischen »Harddisk« und »Remote 

NFS« entscheiden (Abbildung 1). 

Die Harddisk-Variante erfordert das 

vorherige Anlegen entsprechender 

virtueller Devices; ebenso muss ein entsprechendes 

NFS-Target vorher existieren. 

Der Filr-Administrator kann auch 

zwei NFS-Mountpoints angeben. Filr 

verwendet dann »/vastorage« als zentralen 

Datenspeicher für die Appliance 

und »/vashared« für Sharing und Clustering. 

Wer ein geclustertes Filr-Setup 

plant, wählt die Option »Remote NFS«. 

Im nächsten Schritt lassen sich – sofern 

gewünscht – Netzwerkordner unter 

die Verwaltung von Filr stellen und im 

Web-Interface verfügbar machen. Das 

ist etwas anderes, als die eben konfigurierte 

NFS-Freigabe eines externen Servers 

als Storage-Backend einzubinden. 

Einzelheiten dazu finden sich im Novell 

Filr 1.0 Web Application User Guide [8]. 

Mit »Do not configure shares storage« 

stellt Filr Nutzern im Web-Interface 

dagegen ausschließlich Arbeitsverzeichnisse 

unter »Meine Dateien« zur 

Verfügung. 

Nachdem die Suse- 

Konfiguration abgeschlossen 

ist, kann 

sich der Admin unter 

der Adresse »https:// 

Filr‐Maschine:9443« 

mit dem Account »vaadmin« 

und dem im 

Setup gewählten Passwort 

am Web-Interface 

anmelden. Das steuert 

den Zugriff auf die drei 

Management-Tools 

»Appliance System 

Configuration«, »Novell 

Filr Appliance Configuration« 

und »Gangila« 


Ganglia ist ein quelloffenes, 

skalierbares Distributed-Monitoring-Werkzeug. 

Appliance System Configuration 

dient dazu, die beim Setup 

von Suse Linux Enterprise getätigten 

Einstellungen nachträglich anzupassen, 

digitale Zertifikate zu verwalten 

und die Firewall sowie aktiv laufende 

Dienste zu kontrollieren. Das Tool kann 

aber auch dazu dienen, Filr komplett 

neu zu starten und herunterzufahren 


»Novell Filr Appliance Configuration« – 

zu erreichen unter »https://Filr‐Maschine:9443/filrconfig« 

– kümmert sich 

um die initiale Filr-Konfiguration. Ein 

Assistent hilft beim Konfigurieren eines 

Small- oder Large-Setups, fragt das 

Datenbank-Kennwort ab und startet 

anschließend den Filr-Service. Wer 

sich für ein Large-Setup entscheidet, 

muss dann die erwähnten zusätzlichen 

virtuellen Appliances »Filrsearch. 

x86_64‐0.0.296.ovf.zip« (Lucene) und 

»MySQL.x86_64‐0.0.188.ovf.zip« bereithalten. 

Ein Admin kann mithilfe des Tools auch 

einen geclusterten Betrieb, den Web- 

DAV-Authentifikationsmodus und einen 

Reverse-Proxy-Betrieb einrichten. Auch 

die Portnummern 9443 für die Appliance-Konfiguraton 

und 8443 für das 

Web-Interface lassen sich einstellen. 

Anschließend kann sich der Admin mit 

dem Default-Account »admin« und 

dem Passwort »admin« unter »https:// 

Filr‐Maschine:8443« am Filr-Web-Interface 

anmelden. 

Filr aus Nutzer-Sicht 

Das Filr-Web-Interface hat Novell mit 

Javascript und HTML5 realisiert. Das 

funktionale Gegenstück, den Applikationsserver, 

treibt die performante Jetty- 

Servlet-Engine an. Die Bedienung ist 

eingängig und erschließt sich schnell 

mit der übersichtlichen Gliederung in 

»Meine Dateien«, »Für mich freigeben«, 

»Von mir freigegeben« und »Netzwerkordner«. 

Ganz links gibt es Schaltflächen 

für »Neuigkeiten« und »Personen 

anzeigen«, welche die Funktionen zur 

Zusammenarbeit beinhalten. Nach 

dem Erst-Setup kann sich zunächst nur 

der Benutzer »admin« mit dem Passwort 

»admin« (nicht zu verwechseln 

mit »vaadmin« zur Filr-VA-Konfiguration) 

anmelden. Er ist in Bezug auf Filr 

ein Benutzer wie jeder andere, der Filr 

als Filesharing-Plattform nutzen kann. 

Im Unterschied zu gewöhnlichen Nutzern 

steht beim Anklicken der Filr-ID 

»admin« oben rechts im Kontextmenü 

der Eintrag »Verwaltungskonsole« zur 

Verfügung. In der kann der »admin« 

weitere Nutzer anlegen, deren Rechte 

einstellen und globale Einstellungen 

(wie Spracheinstellungen) vorgeben. 

Benutzer und Konten 

Filr kennt interne und externe Benutzer 

sowie Gäste. Interne Nutzer sind solche, 

die der Administrator mit einem 

eigenen Konto anlegt und mit den 

gewünschten Rechten versieht. Filr ist 

aber auch in der Lage, Benutzerkonten 

aus einem Active Directory oder NovelleDirectory-Verzeichnis 

zu importieren. 

Außerdem kann der Filr-Admin externen 

Mitarbeitern Zugriff auf Ordner und 

Dateien in Filr und die Berechtigung 

zur Zusammenarbeit einräumen. Dazu 

können bestehende Nutzer Externe 

per E-Mail einladen. Externe können 

sich, sofern sie bereits eine Googleoder 

Yahoo-E-Mail-Adresse besitzen, 

via OpenID anmelden oder dem Link 

in der Einladungsmail zur Registrierungsseite 

folgen. Als Filr-ID ist dann 

die E-Mail-Adresse zu verwenden. Filr 

legt automatisch ein Filr-Konto mit 

einer E-Mail-Adresse an, sobald ein Filr- 

Nutzer ein Objekt für einen externen 

Nutzer freigibt. Allerdings muss der 

Filr-Admin in der Verwaltungskonsole 


Test 

Novell Filr 

65 

Abbildung 4: Nur wenn es der Filr-Admin erlaubt, dürfen Gäste oder 

externe Nutzer via OpenID auf Filr zugreifen – unabhängig davon, welche 

objektbezogenen Zugriffsrechte sie nachher erhalten. 

Abbildung 5: Filr zeigt bei zahlreichen Dateitypen eine Vorschau im 

Browser. 

unter »System | Benutzerzugriff« zuvor 

festlegen, dass externe Benutzer oder 

Gäste überhaupt auf Objekte zugreifen 

dürfen (Abbildung 4). 

Dateien hochladen 

Filr-Nutzer können Dateien gemäß ihrer 

Zugriffsrechte entweder in den Bereich 

»Meine Dateien«, in einen freigegebenen 

Ordner eines anderen Nutzers oder 

in einen Netzwerkordner hochladen. 

Mit Ordnern oder umfangreichen Ordnerstrukturen 

funktioniert das im Web- 

Client leider nicht. Das geht nur, wenn 

man die nativen Clients für Windows 

oder Mac verwendet. 

Netzwerkordner sind freigegebene Verzeichnisse 

im Dateisystem der File-Server 

des Unternehmens, die der Admin 

während des Filr-Setups einbindet und 

damit unter die Kontrolle von Filr stellt. 

Dateien lassen sich hochladen, indem 

man sie in den Drag-and-Drop-Bereich 

des Web-Clients wirft; wahlweise funktioniert 

das auch via Datei-Selektor. 

Neue Ordner lassen sich mit der gleichnamigen 

Schaltfläche anlegen. 

Dateien online bearbeiten 

Interne oder externe Filr-Nutzer können 

Dateien entweder direkt im Web-Interface 

oder nach dem Herunterladen bearbeiten. 

Der Mobil-Client unterstützt 

ausschließlich die Offline-Methode, 

erfordert also stets das Herunterladen. 

Wer die Datei via WebDAV direkt in Filr 

bearbeiten möchte, braucht die nötigen 

Rechte und eine zum Dateityp passende 

Anwendung auf seinem Rechner 

– etwa MS Office oder LibreOffice für 

».doc«-Dateien. Zum Bearbeiten wählt 

der Nutzer aus dem Auswahlmenü 

rechts neben der Datei den Eintrag 

»Details anzeigen«. Filr zeigt dann bei 

allen unterstützten Dateiformaten eine 

Vorschau der Datei im Browser (Abbildung 

5). 

In dieser Ansicht lässt sich die Datei 

mit der gleichnamigen Schaltfläche 

auch für andere Benutzer freigeben. 

Hinter »Weitere« verbergen sich Aktionen 

zum Kopieren, Löschen und 

Abonnieren. Hat der Nutzer eine Datei 

oder einen Ordner abonniert, hält ihn 

Filr via E-Mail über Änderungen auf 

dem Laufenden. Eine Untermenge der 

mit »Weitere« verfügbaren Funktionen 

findet sich auch im oben erwähnten 

Objektmenü rechts neben der jeweiligen 

Datei. 

Klickt der Nutzer in der Browser-Preview 

auf die Schaltfläche »Diese Datei 

bearbeiten«, öffnet Filr die Datei im 

eingetragenen Standard-Editor, etwa 

Microsoft Word für ».doc«-Dateien. Die 

Schaltfläche ist nur verfügbar, wenn 

der Dateityp lokal unterstützt wird 

und einer Anwendung zugeordnet ist. 

Daher klappt zum Beispiel das direkte 

Bearbeiten einer ».docx«-Datei an einem 

Linux-Rechner nicht auf Anhieb, 

wohl aber das einer ».doc«-Datei. Jeder 

Nutzer kann jedoch in seinen »persönlichen 

Einstellungen« sogenannte »Editor‐Overrides 

definieren«, mit denen 

sich die jeweilige Standard-Anwendung 

für den angegebenen Dateityp ersetzen 

lässt. Die »persönlichen Einstellungen« 

erreicht der Nutzer mit einem Klick auf 

die Filr-ID oben rechts (Abbildung 6). 

Dateien offline bearbeiten 

Klickt der Nutzer stattdessen direkt 

auf den Link des Dateinamens, lädt 

Filr die Datei herunter und zeigt den 

»Speichern‐unter«-Dialog des Browsers 

an. Hat der Nutzer seine Änderungen 

offline vorgenommen, bietet Filr beim 

Wiederhochladen im Dialog »Dateikonflikte« 

das Überschreiben an. 

Zugriffsrechte und Freigaben 

Filr-Nutzer können Dateien und Ordner 

für andere Filr-Benutzer freigeben, 

sofern die Option vom Administrator 

aktiviert ist. Sonst steht die Schaltfläche 

»Freigeben« nicht zur Verfügung. 

Der Filr-Admin erteilt Freigaberechte 

für einzelne Benutzer oder Gruppen in 

der Verwaltungskonsole unter »System 

| Freigabe«. Filr unterscheidet die 

Freigabeziele »interne Benutzer«, »alle 

internen Benutzer«, »externe Benutzer« 

und »Öffentlichkeit«. Ferner kennt Filr 

das Recht »erneut freigeben«, mit dem 

ein Nutzer ein für ihn freigegebenes 

Element, dessen Eigentümer er aber 

nicht ist, weiter freigeben kann. Zum 


Admin 

Ausgabe 11-2013

66 

Test 

Novell Filr 

Abbildung 6: Die »Editor‐Overrides« definieren die für den Dateityp 

zuständige lokale Anwendung. Die »persönlichen Einstellungen« erreicht 

man mit einem Klick auf die Filr-ID. 

Abbildung 7: Filr differenziert bei den Freigaberechten sowohl in der 

Art des Rechtes (Lesen, Schreiben, Mitwirken), als auch in der »Zielgruppe« 

(interne sowie externe Benutzer und Gäste). 

Freigeben einer Datei oder eines Ordners 

markiert man das Objekt, klickt 

auf »Freigeben« und setzt im Freigeben- 

Dialog bei »Freigeben für« einen Such- 

Filter, um den gewünschten Partner zu 

finden. 

Danach kann man im Unterdialog 

»Freigaberechte erteilen« zwischen 

»Betrachter« und »Bearbeiter« wählen. 

Ein Bearbeiter kann einerseits Dateien 

bearbeiten, die für ihn freigegeben 

sind, und andererseits alle Dateien 

eines für ihn freigegebenen Ordners. 

Bei freizugebenden Ordnern gibt es darüber 

hinaus das Recht »Mitwirkender«. 

Mitwirkende dürfen im betreffenden 

Verzeichnis auch Ordner erstellen und 

vorhandene Dateien umbenennen, 

bearbeiten, verschieben und löschen. 

Alternativ steht die Schaltfläche »Veröffentlichen« 

zur Verfügung, mit der sich 

ein Element für die Gruppe »Öffentlich« 

mit dem Recht »Betrachter« freigeben 

lässt (Abbildung 7). 

Arbeiten mit Dateien 

Filr zeigt die vom Benutzer selbst freigegebenen 

Dateien im Web-Interface 

unter »Von mir freigeben an« an. Für 

ihn freigegebene Dateien und Ordner 

finden sich unter »Für mich freigegeben«. 

Mit der »Filterliste« oben rechts 

lassen sich die angezeigten Elemente 

filtern. Das Konfigurationssymbol daneben 

erlaubt es, Anzahl, Reihenfolge 

und Breite der angezeigten Spalten 

zu verändern. Neben dem Bearbeiten, 

Weiterfreigeben und Löschen lassen 

sich Dateien auch kommentieren. 

Im Kontextmenü rechts neben dem Dateinamen 

stehen außerdem die Funktionen 

»Freigeben« (beziehungsweise 

»Weiter‐Freigeben«) sowie »Details 

anzeigen«, »HTML anzeigen«, »Umbenennen«, 

»Zugriffsrechte anzeigen« und 

»Abonnieren« zur Verfügung. Ferner 

lassen sich Freigaben mit einem Ablaufdatum 

versehen. Hinter »Weitere« 

verbirgt sich ein Kontextmenü mit den 

Funktionen »Kopieren«, »Verschieben«, 

»Löschen«, »Als gelesen/ungelesen 

markieren« und noch einmal »Abonnieren«. 

Beim Kopieren lässt sich mit 

dem Dateimanager-Symbol ein Ziel 

auswählen, etwa ein Filr-Ordner oder 

eine Freigabe. 

Nutzerverwaltung 

Einen internen Filr-Nutzer legt der 

Filr-Admin in der Verwaltungskonsole 

unter »Verwaltung | Benutzerkonten« 

an. Beim Anlegen eines neuen Nutzers 

öffnet Filr ein neues Browser-Fenster, in 

dem der Admin Vorname, Nachname, 

Passwort und persönliche Informationen 

hinterlegen kann. Diese Informationen 

kann der Nutzer auch selbst 

anpassen und eingeben. Wer will, kann 

die Daten mit einem Bild des Nutzers 

komplettieren. 

Zurück in der User-Liste öffnet ein Klick 

auf den kleinen Pfeil neben dem jeweiligen 

Benutzernamen ein spezielles 

Menü: Darüber lässt sich der persönliche 

Speicher für diese Nutzer vollständig 

aktivieren sowie deaktivieren und 

der Dialog »Benutzereigenschaften« 

öffnen, um das Profil zu verändern. 

Außerdem kann der Filr-Admin mit 

den jeweiligen Schaltflächen einen 

Netzwerkordner zuordnen und mit 

»Wird freigegeben« die grundsätzlichen 

Freigaberechte für den internen Nutzer 

einrichten (Abbildung 8). 

Kommunikation und 

Kollaboration 

Die Novell-Entwickler haben zudem 

eine ganze Reihe von Zusammenarbeitsfunktionen 

implementiert. 

So kann etwa der Eigentümer eines 

Ordners grundsätzlich festlegen, dass 

andere Benutzer, die Zugriffsrechte auf 

Dateien dieses Ordner haben (Mitwirkende), 

eine E-Mail-Benachrichtigung 

erhalten, sobald es eine Aktivität in 

diesem Ordner gibt. Filr erstellt dann 

im Nachrichten-Bereich der E-Mail automatisch 

eine Verknüpfung zu diesem 

Ordner und fügt alle Benutzer, die Dateien 

im betreffenden Ordner besitzen, 

automatisch zur Empfängerliste hinzu. 

Nutzer können auch selbst Dateien 

oder Ordner abonnieren. Sie benachrichtigt 

Filr bei Änderungen an einem 


Test 

Novell Filr 

67 

Abbildung 8: Neben konkreten, Objekt-bezogenen Freigaberechten 

kann der Admin auch für jeden Nutzer einstellen, welche Art Freigaberechte 

dieser in seinem Arbeitsbereich nutzen kann. 

Abbildung 9: Das Abonnieren hält den Nutzer via E-Mail über Veränderungen 

auf dem Laufenden. Die Neuigkeitenliste im Browser aktualisiert 

Filr alle 60 Sekunden. 

Ordner dann per E-Mail. Der Nutzer 

muss dazu »Abonnieren« auswählen 

und im Kontextmenü rechts neben dem 

Ordner/der Datei den Nachrichtentyp 

wählen. Zur Wahl stehen »Digest«, »Nur 

Nachricht«, »Nachricht mit Anhang« 

und »Textnachricht«, wobei »Digest« 

nur beim Abonnieren von Ordnern 

verfügbar ist. Filr sendet bei Digest eine 

Nachricht mit einer Zusammenfassung 

sämtlicher Aktivitäten im Ordner und 

der Unterordner. Der einfachste Weg, 

sich über Änderungen im Datenbestand 

von Filr auf dem Laufenden zu halten, 

ist ein Blick auf die Seite »Neuigkeiten« 

links oben. Die Seite lässt sich 

mithilfe der Menüstruktur links gezielt 

filtern, zum Beispiel nach Dateien, die 

speziell für den betreffenden Nutzer 

freigegeben sind. Filr aktualisiert die 

Neuigkeitenliste alle 60 Sekunden. Das 

Abonnieren neuer Dateien klappt auch 

über das Menü »Aktionen« rechts von 

der jeweiligen Datei (Abbildung 9). 

Windows-Client 

Der Zugriff auf die von Filr verwalteten 

Daten ist nicht nur über das Web-Interface, 

sondern auch über native Clients 

für Android, iOS und Windows möglich. 

Beim Setup des Windows-Clients gibt 

der Admin den zu überwachenden Filr- 

Ordner an: In der Voreinstellung ist das 

»C:\Users\Benutzer\Filr«. Der Filr-Client 

nistet sich unter Windows als Systray- 

Applet mit einem Symbol rechts unten 

in der Taskbar ein. Nach dem Login am 

Windows-Rechner startet der Filr-Client 

automatisch, signalisiert etwaige Änderungen 

und startet danach die Synchronisation 


Der Filr-Nutzer kann das Synchronisieren 

jederzeit auch selbst über das 

Kontextmenü des Applets mit »Jetzt 

synchronisieren« anstoßen. Ebenfalls 

im Kontext-Menü kann er nach Bestätigen 

des entsprechenden Sicherheitszertifikats 

die Client-Oberfläche öffnen 

und zum Beispiel auf die Bereiche 

»Neuigkeiten« oder »Von mir freigegeben« 

zugreifen. 

Außerdem ist es von hier aus möglich, 

die Filr-Konsole zu öffnen, die Zugriff 

auf Kontoinformationen, synchronisierte 

Ordner und die Liste »Kürzlich 

erfolgte Aktivitäten« gewährt (Abbildung 

11). 

Android-Client 

Die Filr-Android-App erhält der Benutzer 

im Play Store von Google. Der Filr- 

Admin muss allerdings den mobilen 

Zugriff für den betreffenden Benutzer 

explizit erlauben. Die zugehörigen 

Einstellungen befinden sich in der 

Verwaltungskonsole unter »System | 

Mobile Anwendungen«. Hier kann er 

explizit regeln, ob ein Zugriff der App 

auf Filr erlaubt ist, ob aus der App ein 

Datei-Download möglich ist und ob 

die App mit anderen Anwendungen 

interagieren darf. Das ist essenziell, um 

Dateien offline bearbeiten zu können. 

Außerdem kann der Admin das Synchronisationsintervall 

einstellen. 

Selbstverständlich verschlüsselt die 

mobile Filr-App – wie auch die Web- 

Applikation – jegliche Kommunikation 

via SSL. Erlaubt der Filr-Admin das 

Herunterladen von Dateien, sollte der 

Nutzer auf dem Mobilgerät unbedingt 

auch die Dateiverschlüsselung konfigurieren, 

um dem Verlust sensibler Daten 

zum Beispiel bei einem Diebstahl des 

Smartphones vorzubeugen. Das Vorgehen 

hängt vom jeweiligen Smartphone 

ab; Ausgangspunkt ist aber in der Regel 

das Menü »Einstellungen | Systemsicherheit«. 

Allerdings muss der Nutzer 

darauf achten, die Datenverschlüsselung 

sowohl für den internen Speicher 

des Smartphones als auch für die SD- 

Karte einzurichten, denn die Filr-App 

speichert heruntergeladene Dateien 

stets auf der SD-Karte. 

Die Mobile-App bietet nur eine Untermenge 

der Funktionen des Web- 

Interfaces. So gibt es derzeit leider 

Abbildung 10: Das Applet des Windows-Clients synchronisiert 

automatisch den Filr-Ordner. 


Admin 

Ausgabe 11-2013

68 

Test 

Novell Filr 

Abbildung 11: Die Filr-Konsole informiert über sämtliche aktuellen 

Aktivitäten. 

n Info 

keine Funktionen zum Löschen und 

Freigeben von Dateien. Das Bearbeiten 

von Dateien ist nur offline nach dem 

Herunterladen mit einer passenden 

Anwendung möglich. Der Download ist 

auch zum Betrachten und Lesen einer 

Datei erforderlich, wenn der integrierte 

Viewer den Dateityp nicht kennt. Der 

unterstützt allerdings eine große Anzahl 

von Dateitypen. Bei ».doc«-Dateien 

unter Android kommen dazu Quick Office, 

Softmaker Office 2012 oder Think 

Free Office Mobile in Frage. Immerhin 

sind die Kommentare zur heruntergeladenen 

Datei in der mobilen App verfügbar. 

Nach dem Bearbeiten muss der 

Nutzer sie wieder hochladen. 

Synchronisation inklusive 

Darüber hinaus unterstützt Filr das 

Synchronisieren heruntergeladener Dateien. 

Das System unterscheidet dabei 

zwischen der Synchronisation mit dem 

Filr-Server nach einem festgelegten 

Zeitplan und die sogenannte Just-In- 

Time-Synchronisierung. Die zugehörige 

Option findet sich zum Beispiel bei 

Android in den Einstellungen der App 





im Abschnitt »Downloads 

synchronisieren«. 

Mit der Option 

»Nur WLAN« erfolgt 

ein Synchronisieren 

nur bei einer aktiven 

WLAN-Verbindung. Ist 

die Option deaktiviert, 

synchronisiert die App, 

sobald eine WLAN- 

Verbindung oder eine 

direkte Verbindung 

über den Netzbetreiber 

zur Verfügung steht. 

Mit der Einstellungen 

»Jetzt synchronisieren« 

werden Dateien 

unabhängig von der 

Option »Nur WLAN« sofort 

synchronisiert. 

Die Filr-App fragt zudem beim Schließen 

der Anwendung, ob die Änderungen 

direkt hochgeladen werden sollen, 

wozu der Anwender auf »Heraufladen« 

tippt. Zum Hochladen einer neuen 

Datei muss der Nutzer auf »Freigeben« 

tippen und anschließend auf das Filr- 

Symbol. Die Filr-App startet dann automatisch 

und zeigt das Dialogfeld »Datei 

heraufladen« an. 

Fazit 

Filr erledigt aus Nutzersicht, was man 

von dem Dienst erwartet. Die Bedienung 

erschließt sich weitgehend intuitiv. 

Dabei erweist sich Filr 1.0 bereits 

als sehr stabil und etwa im Vergleich 

zu Dropbox erstaunlich performant. 

Dazu muss der Admin aber die Mindest- 

Hardware-Anforderungen beachten, 

denn Lucene, Datenbank und Filr- 

Engine fordern ihren Tribut. Unter 12 

GByte Arbeitsspeicher braucht man 

auch in einem Single-Setup gar nicht 

erst anzufangen. 

Die Mobile-App lässt leider noch einige 

Funktionen vermissen, ebenso wie innovative 

Ideen oder einen Wow-Effekt 

in puncto Offline-Fähigkeiten. Der 

Workaround »Herunterladen‐Bearbeiten‐Hochladen« 

funktioniert zwar 

tadellos (sofern auf dem Smartphone 

eine passende Anwendung existiert), 

andere Hersteller machen sich in diesem 

Punkt aber mehr Gedanken. Letztlich 

ist das auch eine Folge der Filr- 

Philosophie der zentralen Datenablage. 

Da die Filr-Entwickler danach streben, 

die Datenhoheit zu behalten, soll das 

direkte Bearbeiten nur lokal am Mobile- 

Client möglich sein. Ein Online-Bearbeiten, 

etwa in einer gehosteten Office- 

Lösung, würde ja das Weiterleiten an 

einen Cloud-Speicherdienst bedingen, 

selbst wenn es sich nur um einen »Edit 

Cache« handelte. 

Auf Server-Seite überzeugt Filr mit 

einer durchdachten und auf Skalierbarkeit 

ausgelegten Enterprise-Architektur 

auf Basis von Suse Linux Enterprise. 

Das zeigt, wen Novell als Zielgruppe im 

Visier hat. Das gilt auch für die Möglichkeit, 

Web-Client und Mobile-App mit einem 

eigenen Unternehmens-Branding 

versehen zu können. 

Hauptkonkurrent OwnCloud [9] ist 

dagegen mit seinem Plugin-Interface 

durch externe Apps erweiterbar. So 

lassen sich mit der jüngst erschienenen 

Version 5 externe Speicher wie 

Dropbox, Swift, Google Docs, Amazon 

S3 oder WebDAV mit internen oder 

externen OwnCloud-Servern zu einer 

hybriden Cloud zusammenfassen. 

OwnCloud existiert sowohl in einer 

Community- als auch Enterprise- 

Version sowie in diversen gehosteten 

Varianten. Dank des inzwischen recht 

großen Partner-Netzwerks gibt es sogar 

eine fertig benutzbare App für Univentions 

Corporate Server [10]. Mit dem 

mittlerweile riesigen Funktionsumfang 

verliert die Software im Gegensatz zu 

Filr aber an Kontur. 

Novell konzentriert sich mit der Philosophie 

von Filr ganz auf die Private 

Cloud beziehungsweise ausschließlich 

aufs Filesharing, denn die Kern-Philosophie 

besteht darin, einen oder mehrere 

Datei-Server in Unternehmen für 

heterogene und mobile Clients zugänglich 

zu machen. Darüber hinaus ist die 

Konsolidierung und Synchronisation 

von Dateien die Basis von Zusammenarbeitsfunktionen. 

Eine Versionierung 

wie bei einem Content Management 

System gibt es nicht, weil Filr keine 

Daten in eine Datenbank dupliziert, 

sondern auf Storage-Seite auf Dateisystemebene 

arbeitet und Dateisysteme 

normalerweise keine Versionsinformationen 

unterstützen. (ofr) n 


Test 

Suse Enterprise Linux 

69 

maria gritsai, 123RFa 

Test Suse Enterprise Linux 11 SP3 

Des Chamäleons 

neue Kleider 

Suse hat das dritte Update seiner Unternehmens-Distribution veröffentlicht. Neben aktualisierter Software 

und Fehlerkorrekturen hat Novell der aktuellen Version neue Treiber, Verbesserungen im Bereich der 

Storage- und Netzwerkfunktionen sowie Support für UEFI-Secure-Boot verpasst. Thomas Drilling 

Unternehmen benötigen für ihre eingesetzte 

Software vor allem Stabilität 

über viele Jahre hinweg. Mit dem 

Erwerb eines Abonnements für eine 

Enterprise-Distribution erkaufen sich 

Firmen das Versprechen, dass der 

Anbieter die Distribution möglichst 

lange bereitstellt, pflegt und behutsam 

weiterentwickelt. Das erspart dem 

gestressten Admin unangenehme Unwägbarkeiten 

wie den Austausch eines 

Kernels oder anderer, wesentlicher Systembestandteile. 

Eine Enterprise-Distribution beinhaltet, 

dass große Umbauten so selten wie 

möglich notwendig sind, ohne aber 

der Distribution essenzielle neue Technologien 

vorzuenthalten. Diese finden 

in der Regel über Patches und Kernel- 

Backports ihren Weg in die Distribution. 

Suse und Red Hat bieten ihren Kunden 

einen sieben- sowie optional zehnjährigen 

Produktlebenszyklus an. Während 

dieser Zeit halten beide Unternehmen 

essenzielle Systembestandteile wie 

Kernel, glibc, wichtige Systembibliotheken 

und Entwicklungswerkzeuge 

so konstant wie möglich. Dennoch 

versorgen sie Kunden regelmäßig mit 

aktuellen Security-Patches. Das erklärt 

bei Suse auch die Bezeichnung »Service 

Pack« oder »Service Patch« im Produktnamen. 

Suse Manager 

Unternehmen, die eine große Anzahl 

von Enterprise-Distributionen einsetzen, 

müssen diese auf eine Vielzahl von 

Servern verteilen und pflegen. Dazu ist 

ein leistungsfähiges Verwaltungswerkzeug 

notwendig. Im Gegensatz zum 

Konkurrenten Red Hat mit seinem »Red 

Hat Customer Portal« (RHCP) erfolgt 

ein standortübergreifendes Management 

der Systeme bei Suse nicht über 

einen gehosteten Dienst, sondern in 

Form einer lokal aufzusetzenden Virtual 

Appliance, dem »Suse Manager« 

[1]. Er leistet in puncto Management 

im Vergleich zum Red-Hat-Werkzeug 

ähnliches, kostet aber extra. Meldet 

man ein lizenziertes SLE-System beim 

Suse Manager an, stehen umfangreiche 

Management-Funktionen inklusive 

Monitoring und ein Scheduler für das 

Einplanen automatischer Updates zur 

Verfügung. 


Admin 

Ausgabe 11-2013

70 

Test 


Abbildung 1: Ohne Registrierung beim Novell Customer Center gibt es keine Aktualisierungen. 

Online-Aktualisierungen 

Auch ohne Suse Manager ist es beim 

Installieren von Suse Enterprise Linux 

(SLE) erforderlich, sich beim Novell 

Customer Center anzumelden. Darüber 

können Kunden Produktaktualisierungen 

anfordern, ihre Abonnements 

verwalten und Support in Anspruch 

nehmen (Abbildung 1). 

Zur Konfiguration des Customer Centers 

sind die Registrierungsdaten erforderlich. 

Die Registrierung lässt sich 

Abbildung 2: Eine Enterprise-Distribution wie SLE stellt Security-Patches so zeitnah wie möglich 

zur Verfügung. 

zwar während der Installation überspringen, 

allerdings stehen dann keine 

Online-Aktualisierungen zur Verfügung. 

Nutzer der Trial-Version können neben 

einer gültigen E-Mail-Adresse statt eines 

Aktivierungscodes den Rechnernamen 

oder eine beliebige Beschreibung 

beim Registrieren eingeben. Ein erstes 

Online-Update lässt sich direkt aus der 

Installation anstoßen. 

Bei der Aktualisierung sollte der Admin 

bei »Patch‐Kategorie« sämtliche Patches 

der Kategorie »benötigte Patches« 

einspielen. Das schließt etwa auch ein 

Kernel-Update auf die Version 3.0.82 

des Suse-Linux-Enterprise-Kernels 

ein. Auch ein Patch für die Firefox-ESR- 

Version mit Long-Term-Support von 

Version 17.04 auf 17.07 findet sich an 

dieser Stelle. Der Patch repariert zwar 

nicht die während der Entstehung 

dieses Beitrages bekanntgewordene 

Schwachstelle in Firefox ESR 17.06, 

da sie offenbar nur in der Windows- 

Version auftritt, demonstriert aber das 

zeitnahe Reagieren der SLE-Maintainer 


Da Suse Patches beim SLE in der Regel 

in Form von Delta-RPMs anbietet, geht 

ein Online-Update recht zügig und im 

Idealfall ohne Reboot über die Bühne – 

es sei denn, der Kernel wurde aktualisiert 


Kernig 

Ein Hauptunterschied der gängigen 

Enterprise-Distribution zwischen Suse 

und Red Hat besteht in der Strategie 

der Kernel-Pflege. Aus Sicht des Kunden 

ist es wünschenswert, so selten 

wie möglich die Haupt-Kernel-Version 

wechseln zu müssen. Red Hat pflegt 

dazu in der 6er-Inkarnation von RHEL 

einen gehärteten Kernel 2.6.32, den 

das Unternehmen via Backports mit 

notwendigen aktuellen Entwicklungen 

versorgt. Eine ähnliche Strategie verfolgte 

auch Suse bis einschließlich der 

Version SP1 mit dem damaligen Kernel 

2.6.32. Mit dem SP2 wechselte Suse zu 

einem 3.0er-SLE-Kernel und handelte 

sich damit einige Probleme ein. So 

funktionierten einige der für SP1 übersetzten 

Treiber mit SP2 nicht mehr, was 

Suse erst nach entsprechenden Anpassungen 

korrigieren konnte. 


Test 


71 

Mit dem SP3 kehrt Suse zu seiner konservativen 

Kernel-Strategie zurück. Die 

Distribution behält den 3er-Kernel in 

Version 3.0.76 und integriert erforderliche 

Aktualisierungen etwa im Bereich 

der Virtualisierungsfunktionen oder 

aktuelle Hardwaretreiber wieder über 

Backports. Die bescheren SLE SP3 zum 

Beispiel eine Reihe von Verbesserungen 

bei der Speicherverwaltung und einen 

erhöhten I/O-Durchsatz bei CPU-lastigen 

Aufgaben. Mit Update des Kernel- 

Codes für KVM und Xen beeinflusst der 

aktuelle SLE-Kernel 3.0.82 auch die unterstützten 

Virtualisierungsfähigkeiten 

von SLE 11 SP3. 

Virtualisierung 

Das SP3 unterstützt bei der Virtualisierung 

mit KVM bis zu 2 TByte RAM und 

160 CPU-Kerne je Gast und schließt 

damit zu RHEL 6.4 auf. Außerdem kann 

es bei aktuellen Intel-Prozessoren die 

»Nested Paging« genannte Funktion 

einsetzen, um eine VM aus einer VM 

zu starten. Die Funktion hat allerdings 

noch den Status »Technologie- 

Preview« und wird von Suse offiziell 

nicht supportet. Der Kernel-Code von 

Xen wurde übrigens auf die Version 4.2 

aktualisiert. Im Rahmen der sonstigen 

Aktualisierungen legt Suse außerdem 

den »virt‐manager« in Version 0.9.4 und 

die »virt‐utils« in Version 1.2.1 bei. 

Red Hats virt-manager lässt ich bei 

SLE direkt als YaST-Modul starten (Abbildung 

4). Der SLE-Installer fragt bei 

»Server‐Basisszenario«, ob der Admin 

SLE als Virtualisierungshost (Hypervisor) 

für Xen oder KVM nutzen, ein 

gewöhnliches System auf physischer 

Hardware oder ein Xen-/KVM-Gastsystem 

auf paravirtualisierter Hardware 

aufsetzen möchte. Vollvirtualisierung 

ohne paravirtualisierte oder virtio- 

Treiber (KVM) ist dagegen identisch zur 

Installation auf physischer Hardware. 

Die erste Option »Vollvirtualisierung« 

steht nicht zur Verfügung, wenn der 

Admin das Setup bereits auf einem 

virtuellen Computer ausführt oder 

wenn der Installer keine Virtualisierungsfunktionen 

der CPU gefunden hat 


Übrigens liefert Suse den Xen-Hypervisor 

in der 32-Bit-SLE-Variante seit 

Abbildung 3: Bei einem Kernel-Update ist ein Neustart normalerweise unvermeidlich. 

dem SP2 nicht mehr mit, sodass sich 

SLE in der 32-Bit-Verison nur noch als 

Xen-Gastsystem nutzen lässt. Paravirtualisierte 

Xen-Treiber stehen durch Installieren 

der Pakete »xen‐kmp‐default« 

oder »xen‐kmp‐pae« zur Verfügung. 

Die Suse-Entwickler haben im Zuge 

der Veröffentlichung von SLE SP3 

aber auch ihr separat downloadbares 

Treiber-Pack für SLE-Gastsysteme [2] 

auf die Version 2.1 aktualisiert. Das 

beinhaltet die virtio-Treiber (Disk, 

Abbildung 4: Der von Red Hat entwickelte »virt-manager« ist auch bei SLE an Bord und sogar aus 

dem Suse-Tool YaST aufrufbar. 


Admin 

Ausgabe 11-2013

72 

Test 


Abbildung 5: SLE kann als Hypervisor, als gewöhnlicher Host auf physischer Hardware und als 

Gastsystem auf paravirtualisierter Hardware zum Einsatz kommen. 

Network und Memory/Ballooning) für 

alle Microsoft-Betriebssysteme ab XP 

– für den Fall, dass eines der Microsoft- 

Betriebssysteme als Gastsystem unter 

einem KVM-betriebenen SLE-11-Hypervisor 

zum Einsatz kommt. 

Neu ist die Unterstützung für Windows 

Server 2012 und Windows 8 [3]. Erweiterten 

Hyper-V-Support für das Installieren 

von SLE als Gast unter Microsofts 

n SLE SP3 ausprobieren 

Wie bei Suse üblich ist das SP3 [10] 

eine vollständige Distribution. Zwei 

DVD-ISOs bringen Neukunden so auf 

den aktuellen Stand [11] – inklusive 

aller Patches und Aktualisierungen, die 

Suse seit Start von SLE 11 im Jahr 2009 

veröffentlicht hat. Interessierte Admins 

können eine 60 Tage gültige Testversion 

[12] nach Registrierung auch ohne 

gültigen Support-Vertrag kostenlos herunterladen. 

Bestandskunden nehmen 

dagegen ein reguläres Upgrade auf SP3 

via Zypper [13] vor. Der Support für SLE 

11 SP2 endet im Januar 2014 – außer 

für Kunden mit Long Term Service Pack 

Support (LTSS). 

Hypervisor gibt es durch Installieren 

des Paketes »hyper‐v« in der Version 

5.0.7. Mithilfe eines Ballooning-Treibers 

passt Windows die dem SLE-Gast zur 

Verfügung stehende Speichergröße automatisch 

an. Darüber hinaus erlaubt 

ein Framebuffer-Grafiktreiber beim 

Betrieb unter Windows Server 2012/ 

Hyper-V Auflösungen bis zu 1920x1080 

Punkte. Außerdem handeln Windows- 

Host und SLE-Gast das für einen 

möglichst effizienten Betrieb beste 

Kommunikationsprotokoll automatisch 

aus. Die KVM-Unterstützung in der SLE- 

Version für IBMs »System z (s390x)« und 

der Desktop-Variante SLED ist noch als 

»Technical Preview« eingestuft. 

Neue Treiber 

SLE SP3 unterstützt etliche neue 

Hardwarekomponenten, darunter 

Xeon-Prozessoren der E5-Familie, Intels 

Core-CPUs der vierten Generation und 

AMD-Opteron-Prozessoren der Serien 

4000 und 6000. Das gilt ebenso für 

Intels zweite Generation des Atom- 

Microservers und zahlreiche neuere 

Netzwerkkarten. Ebenfalls neu ist 

die Unterstützung des »Transparent- 

Inter‐Process-Communication«-Protokolls 

(TIPC) sowie der Micron-P320- 

PCIe-SSDs. Außerdem hat Suse den 

Kernel-Code zum Aufsetzen eines via 

iSCSI oder FCoE adressierbaren iSCSI- 

Targets auf den Stand von [linux‐iscsi. 

org] im Linux-Kernel 3.4 gebracht. 

SLE enthält traditionell grafische 

Werkzeuge zur Konfiguration des 

Client-Zugriffs auf ein iSCSI-Gerät 

beziehungsweise einen iSCSI-Server. 

Die Tools heißen »iSCSI Initiator« und 

»iSCSI Ziel«. Der Initiator dient zum 

Setzen der »Initiator IQN« in der lokalen 

Konfigurationsdatei »/etc/iscsi/ 

initiatorname.icsi« des gleichnamigen 

Systemdienstes; »iSCSI Ziel« initialisiert 

die Target-Konfiguration (Abbildung 6). 

Ferner hat Suse seinen SLE-Kernel für 

die Verwendbarkeit von Intels Fernwartungstechnik 

AMT [4] (Active Management 

Technology) vorbereitet. Wer AMT 

nutzen möchte, muss allerdings auch 

die zugehörigen Intel-Werkzeuge [5] 

installieren. 

Dateisysteme 

Suse Enterprise Linux nutzt weiterhin 

Ext3 als Standard-Dateisystem. 

Der Suse-Support umfasst aber auch 

den Einsatz von Reiserfs 3.6, XFS und 

Btrfs, nicht aber Ext4. SLE 11 kann 

Ext4-Dateisysteme standardmäßig nur 

lesen. Etwaige Schreibunterstützung 

muss der Admin manuell nachrüsten 

und aktivieren [6]. Bei der Btrfs-Unterstützung 

haben die Suse-Entwickler 

den Dateisystem-Code angepasst, sodass 

Btrfs unter SLE 11 auch Quotas für 

Subvolumes unterstützt. Mit der High 

Availability Extension unterstützt SP3 

außerdem OCFS2. Das erstmals mit 

dem SP2 eingeführte Snapshot-Tool 

»Snapper« arbeitet jetzt schneller. Es 

funktioniert nun auch mit der Thin- 

Provisioning-Funktion von LVM. Offiziell 

unterstützt der »Device‐Mapper« das 

Thin Provisioing erst seit der Kernel- 

Version 3.2. Er steht inzwischen einer 

Reihe von Funktionen zur Verfügung, 

die in früheren Kernel-Versionen integraler 

Bestandteil von LVM waren. 

Dazu gehören das Erzeugen und Verwalten 

der Block-orientierten Geräte, 

Snapshots sowie verschiedene RAID- 

Funktionen, die auch von anderen 

Block-orientierten Geräten (wie Fest- 


Test 


73 

platten) verwendet werden können. 

Unter Thin Provisioning versteht man 

allgemein ein Verfahren zum Bereitstellen 

von Speicherkapazität in virtualisierten 

Speicherumgebungen (Storage- 

Virtualisierung). Das Gegenstück heißt 

Hard Provisioning, bei dem der Admin 

das Partitionieren und Formatieren 

von Datenträgern manuell und unveränderbar 

vornimmt. Neu in SLE 11 SP3 

ist zudem, dass auch Anwender ohne 

Root-Privilegien Snapshots verwalten 

können. Das ist mit dem Installieren 

des Pakets »yast2‐snapper« sogar über 

ein YaST-Modul möglich. 

Software-Updates 

Selbstverständlich bringt SLE 11 SP3 

auch eine große Anzahl von Software- 

Aktualisierungen mit. Erwähnenswert 

ist zum Beispiel MySQL 5.5, dessen 

Datenbankformat jedoch inkompatibel 

zu dem von MySQL 5.0 ist. Suse 

stellt allerdings unter [7] eine Reihe 

von Skripten zur Verfügung, mit denen 

Admins MySQL-5.0-Datenbanken konvertieren 

können. Einen recht großen 

Versionssprung gab es auch bei Postfix 

von Version 2.5.13 auf die 2.9.4. Die 

neue Version verhält sich an der einen 

oder anderen Stelle etwas anders [8]. 

Als Alternative zum Standard-Compiler 

gcc bringt das SP3 außerdem gcc 4.7.2 

mit. Diese Version bietet umfangreiche 

Unterstützung der Standards ISO C 11 

und ISO C++ 11. Ferner liegt dem Service 

Pack auch die Version OpenJDK 7 

[9] der Java-Laufzeitumgebung und 

des Developement-Kits bei, weil Open- 

JDK 6 von seinen Entwicklern aufgegeben 

wurde. 

UEFI-Secure-Boot 

Zu den weiteren Neuerungen gehört 

auch die Unterstützung für UEFI-Secure-Boot 

auf dem Level der aktuellen 

Opensuse-Version. Damit startet SLE 

11 SP3 jetzt auch auf Windows-8- 

Systemen mit aktiviertem Secure Boot. 

Die UEFI-Firmware klassifiziert die SLE- 

SP3-Installationsmedien für x86-64- 

Systeme als vertrauenswürdig, weil sie 

von Suse mit einer Microsoft-signierten 

Version des Bootloaders Shim versehen 

sind. Die Secure-Boot-Implementation 

von SLE hat (wie andere auch) jedoch 

Abbildung 6: Suse Linux Enterprise enthält grafische YaST-Module zur Konfiguration des SLE-Hosts 

und der iSCSI-Clients. 

eine Reihe von Einschränkungen zur 

Folge: So funktioniert das Software- 

Suspend- und ‐Hibernation mit aktivem 

Secure Boot nicht mehr. Außerdem 

können Anwender bei aktiviertem Secure 

Boot ausschließlich einen Grafiktreiber 

mit Unterstützung für KMS (Kernel 

based Mode Setting) einsetzen. 

Die Secure-Boot-Implementation bei 

Ubuntu und Ubuntu Server bringt 

bekanntlich keine solchen Einschränkungen 

mit. Sie verfügt aber nicht 

über eine sichere Boot-Kette aus Boot- 

Loader, Kernel und Kernel-Modulen, 

sondern dient einzig der Installierbarkeit 

auf Windows-8-Systemen. Suse hat 

dagegen ein eigenes MOK-Verfahren 

entwickelt, dass es dem Nutzer erlaubt, 

die im Auslieferungszustand 

verwendete Suse-Signatur durch eigene 

Schlüssel zu ersetzen. So kann ein 

Admin bei aktivem Secure Boot selbstkompilierte 

und signierte Kernel laden. 

Fazit 

Suse Linux Enterprise 11 SP3 ist ein 

wichtiges Update, obwohl es gemäß 

der Produkt-Philosophie nur moderate 

Anpassungen vornimmt. Vor allem die 

neuen Kernel-Backports sorgen für 

bessere Hardware-Unterstützung und 

mehr Funktionen bei der Virtualisierung. 

Wer Suse Linux Enterprise erstmalig 

einsetzt, braucht das SP3 schon 

wegen der UEFI-Unterstützung. 

Wer allerdings mit aktuellen Distributionen 

zu tun hat, auf den wirken 

manche Details befremdlich: Etwa die 

fehlende Ext4-Untersützung, die Favorisierung 

von App Armor statt SELinux 

als Mandatory-Access-Control-Technologie 

und Upstart als Init-System (statt 

des aktuell üblichen »systemd«). Auch 

der Gnome-2-Default-Desktop ist nicht 

gerade frisch. Das ist wohl der Preis für 

eine maximal zehnjährige Unterstützung. 

(ofr) n 

n Autor 

Thomas Drilling ist seit mehr als zehn Jahren hauptberuflich 

als freier Journalist und Redakteur für Wissenschafts- 

und IT-Magazine tätig. Er selbst und das 

Team seines Redaktionsbüros verfassen regelmässig 

Beiträge zu den Themen Open Source, Linux, Server, 

IT-Administration und Mac OS X. Außerdem arbeitet 

Thomas Drilling als Buchautor und Verleger, berät 

als IT-Consultant Unternehmen und hält Vorträge zu 

Linux, Open Source und IT-Sicherheit. 

n Info 






Admin 

Ausgabe 11-2013

74 

Test 

Microsoft Windows 8.1 Preview 

Neues in Windows 8.1 

Retten, 

was zu 

retten ist 

Mit Windows 8.1 will Microsoft vor allem die Patzer in 

Windows 8 korrigieren, die Anwender und Unternehmen 

vom Einsatz des neuen Betriebssystems abhalten. 

Neben dem halbherzig wiederbelebten Startknopf 

und der Möglichkeit, direkt in den Desktop zu starten, 

gibt es weitere interessante Neuerungen. Thomas Joos 

Sergey Nivens, 123RF 

Windows 8.1 wird kostenlos als Update 

zur Verfügung gestellt. Das Betriebssystem 

lässt sich über bestehende 

Windows-8-Systeme installieren. Ein 

Erwerb der Vollversion ist nicht notwendig. 

Die Aktualisierung soll über 

den Windows Store oder mit einem 

Installationsdatenträger erfolgen. Die 

Windows-Update-Funktion von Windows 

8 kommt dabei nicht zum Einsatz. 

Wer mag, kann selbstverständlich auch 

ein neues System direkt mit Windows 

8.1 aufzusetzen. 

Eine der wichtigsten Neuerungen 

ist der wiederbelebte Startknopf. Er 

hat lediglich die gleiche Funktion 

wie die Windows-Taste in Windows 8 

oder das Aktivieren der linken oberen 

Bildschirm ecke via Maus oder Finger. 

Ein Menü wie bei Windows 7 erscheint 

nach dem Tippen oder Klicken mit der 

linken Maustaste nicht. 

Allerdings kann man jetzt über das 

Kontextmenü des Startknopfes den 

Rechner wesentlich einfacher herunterfahren 

und neu starten. Außerdem 

stehen per rechter Maustaste die 

wichtig sten Verwaltungswerkzeuge zur 

Verfügung. Diese lassen sich in Windows 

8 auch mit der Tastenkombination 

[Windows]+[X] aufrufen. Wer dem 

neuen Startknopf eine Chance gibt, 

merkt schnell, dass dieser auf Desktop- 

PCs das Arbeiten deutlich erleichtert 


Startbildschirm und bessere 

Kacheloberfläche 

Neben dem Startknopf bietet auch die 

Startseite einige interessante Neuerungen. 

Zunächst gibt es eine weitere 

Größe von Kacheln. Anwender können 

selbst die Größe der Kacheln und Gruppen 

auswählen. Dazu muss einfach mit 

der rechten Maustaste auf die entsprechende 

Kachel geklickt werden. Der 

Vorteil größerer Kacheln ist die größere 

Menge an Informationen, die Windows 

in Echtzeit anzeigen kann. Die Wetter- 

App präsentiert zum Beispiel Temperaturen 

mehrerer Städte auf einen Blick, 

was vor allem mobile Anwender interessieren 

dürfte. 

Befindet sich der Rechner im gesperrten 

Zustand, können Anwender dennoch 

auf Funktionen wie die Kamera 

zugreifen. Auch das Annehmen von 

Skype-Anrufen ist während des gesperrten 

Zustands generell möglich. Für 

Tablets ist auch interessant, dass sich 

die verschiedenen Apps besser miteinander 

arrangieren lassen. Bereits bei 

einer Auflösung von 1024x768 Punkten 

(bisher 1366x768) können zwei Apps 

gleichzeitig nebeneinander laufen. Bei 

entsprechend hoher Auflösung lassen 

sich bis zu vier Apps nebeneinander anzeigen. 

So arbeitet etwa das integrierte 

E-Mail-Programm mit dem Internet 

Explorer zusammen. Tippen Anwender 

einen Link in einer E-Mail an, teilt sich 

der Bildschirm und zeigt rechts den Internet 

Explorer mit der geöffneten Seite 

an. Der Internet Explorer hat zwar die 

Version 11 erreicht, bringt aber wenig 

interessante Neuerungen mit. 

Die Bildschirmtastatur hat Microsoft 

ebenfalls verbessert: Umlaute lassen 

sich wie bei Smartphones durch langes 

Gedrückthalten einer Taste auswählen. 

Anwender von Tablets profitieren davon, 

dass sie Wortvorschläge übernehmen 

können, ohne die Finger von der 

virtuellen Tastatur nehmen zu müssen. 


Test 


75 

Das Hintergrundbild der Startseite 

lässt sich mit dem Hintergrundbild des 

Desktops synchronisieren. Das führt zu 

dem Effekt, dass die Startseite transparent 

wirkt, wenn sie erscheint, und die 

Arbeit wesentlich flüssiger vonstatten 

geht. Wer möchte, kann direkt in den 

vertrauten Windows-Desktop starten, 

ohne dass vorher die Kachel-Startseite 

erscheint. 

Ebenfalls neu sind Einstellungsmöglichkeiten 

für die Startseite, um 

Programme besser zu sortieren. Auf 

Wunsch zeigt das Betriebssystem auf 

der Startseite zuerst die Desktop- 

Anwendungen und dann die Windows- 

8-Apps an. So können Anwender ein 

Startmenü bauen, das eher dem täglichen 

Bedarf entspricht. Dazu lässt sich 

die »Alle‐Apps«-Ansicht jetzt sortieren 

und kategorisieren. 

Installieren Sie neue Anwendungen in 

Windows 8.1, werden diese nicht direkt 

auf der Startseite eingebaut, sondern 

zunächst nur in der Alle-Apps-Ansicht. 

Das erhöht deutlich die Übersicht. In 

Windows 8.1 finden Sie auf der linken 

unteren Seite einen Pfeil nach unten: 

Über diesen schalten Sie zwischen der 

Startseite mit den wichtigsten Apps auf 

die »Alle-Apps«-Ansicht um. Klicken Sie 

mit der rechten Maustaste auf die Startseite, 

können Sie über »Anpassen« das 

Aussehen der Startseite verändern. Sie 

können Gruppen erstellen und diese 

umbenennen. Das geht zwar auch in 

Windows 8 schon, aber nicht so bequem 


Diese und andere Einstellungen nehmen 

Sie auf der neuen Registerkarte 

»Navigation« in den Eigenschaften der 

Taskleiste vor. Ebenfalls möglich ist die 

Vorgabe der Einstellungen für Startseite 

und Co über Gruppenrichtlinien 

und zentrale XML-Dateien, die Administratoren 

im Netzwerk verteilen können. 

Doch dazu gleich mehr. 

Neu in Windows 8.1 ist, dass Sie in der 

Alle-Apps-Ansicht, die Sie über das 

Kontextmenü der Startseite starten, 

die Anzeige der Apps kategorisieren 

können. Sie können die Startseite auch 

direkt mit der Alle-Apps-Ansicht starten 

lassen und die Option aktivieren, dass 

Desktop-Anwendungen zuerst erscheinen 

(Abbildung 3). Diese Einstellung 

entspricht in etwa einem Windows-7- 

Startmenü, wenn auch nicht vom Aussehen 

her. 

Verbesserte Charms-Leiste 

Die Einstellungen, die sich über die 

neue Oberfläche vornehmen lassen, 

hat Microsoft komplett überarbeitet. 

Sie lassen sich über die Charms- 

Leiste (Abbildung 4) erreichen, die 

Windows nach Wischen mit der Maus 

oder dem Finger in die rechte obere 

Ecke sowie nach Drücken der Tasten 

[Windows]+[C] einblendet. Danach klicken 

Sie auf »Einstellungen | PC Einstellungen 

ändern«. 

Ein Zugriff auf die alte Systemsteuerung 

ist mit den neuen Möglichkeiten 

fast nicht mehr notwendig, aber 

weiterhin möglich. Sie können auch 

Bereiche wie die Auflösung über 

»PC&Geräte | Anzeige« anpassen. In der 

Charms-Leiste lassen sich auch weitere 

Personalisierungen für den Rechner 

vornehmen: zum Beispiel eine Diashow 

für den Sperrbildschirm. Das ist nicht 

nur für Anwender interessant, sondern 

auch für Kiosk- und Vorführrechner 

in Unternehmen. Generell lassen sich 

mehr Funktionen in den Sperrbildschirm 

integrieren. 

Neue Explorer-Ansichten 

In Windows 8.1 gibt es die Ansicht 

»Computer« nicht mehr, sie heißt jetzt 

»Dieser PC«. Im Explorer finden Sie unter 

dieser Ansicht die Ordner der Benutzer. 

Es gibt für die Bibliotheken keinen 

eigenen Menüpunkt mehr. 

Klicken Sie mit der rechten Maustaste 

in den Navigationsbereich des Explorers, 

blendet er die Bibliotheken ein. 

Das funktioniert auch mit den anderen 

Bereichen wie den Explorer-Favoriten. 

Über das Kontextmenü der Ordner in 

den Bibliotheken können Sie diese einzeln 

aus dem Navigationsbereich ausblenden. 

Beim Starten des Explorers 

fällt auf, dass im Navigationsbereich 

links die Bibliotheken standardmäßig 

ausgeblendet sind (Abbildung 5). Dafür 

sind die Benutzerordner auf der rechten 

Seite ganz oben angeordnet. Hierbei 

handelt es sich aber nicht um die 

Bibliotheken aus Windows 7, sondern 

nur um den entsprechenden Ordner im 

Abbildung 1: Über den Startknopf in Windows 8.1 

sind Verwaltungswerkzeuge und die Startseite 

schneller erreichbar. 

Profil des angemeldeten Anwenders. 

Sie können zwar über den Pfeil im 

Bereich Ordner die Benutzerordner 

ausblenden, allerdings sind diese dann 

immer noch vorhanden. Klicken Sie mit 

der rechten Maustaste in das Fenster, 

können Sie auch »Gruppieren nach | 

Absteigend« auswählen. Dann zeigt der 

Explorer die Ordner ganz unten an. Mit 

verschiedenen Registry-Tricks lässt sich 

die Ansicht im Explorer weiter anpassen. 

Im Internet finden Sie dazu zahlreiche 

Anleitungen. 

Abbildung 3: In den Navigationseinstellungen kann 

man festlegen, dass nach dem Anmelden gleich der 

Windows-Desktop erscheint. 


Admin 

Ausgabe 11-2013

76 

Test 


Abbildung 2: Die Alle-Apps-Ansicht in Windows 8.1 zeigt sich bei der 

Darstellung deutlich flexibler als der Vorgänger. 

In Windows 8.1 können Sie das Aussehen 

und die Konfiguration der Startseite 

in eine Datei exportieren. Dazu 

dient das Commandlet »export‐startlayout« 

in der PowerShell. Das Gegenstück 

»import‐startlayout« importiert 

die Einstellungen wieder. Die Verteilung 

ist auch über Gruppenrichtlinien mit 

Windows Server 2012 R2 möglich. Mit 

dem Befehl »get‐help Commandlet« 

erhalten Sie eine Hilfe zum neuen Commandlet. 

Administratoren in Unternehmensnetzwerken 

können Veränderungen 

an der Startseite untersagen. Dazu 

gibt es in den Richtlinien von Windows 

8.1 die Option »Start Screen Layout«. 

Diese finden Sie über »gpedit.msc« 

im Bereich »Benutzerkonfiguration | 

Administrative Vorlagen | Startmenü 

und Taskleiste«. Dort können Sie die 

Layout-Datei hinterlegen, die Sie 

vorher mit dem neuen Commandlet 

»export‐startlayout« exportiert haben. 

Synchronisieren Anwender mehrere 

Windows-8.1-PCs und ‐Tablets miteinander, 

kann das neue Betriebssystem 

auch die Ansicht und Anordnung der 

Apps mitsynchronisieren und berücksichtigen. 

Verbesserte Suche und 

Workplace Join 

Geben Sie in Windows 8.1 einen Begriff 

in der Startseite ein, unterscheidet die 

Suche nicht mehr zwischen Dateien, 

Apps und Einstellungen, sondern zeigt 

die Ergebnisse sofort an. Das gilt auch 

für die Internetsuche 

mit Bing und Dateien 

aus SkyDrive-Ordnern. 

Die Suche wird dadurch 

einfacher, weil 

Sie nicht mehr zwischen 

den verschiedenen 

Ergebnissen 

navigieren müssen. 

Wollen Sie die Suche 

aber auf einen bestimmten 

Bereich einschränken, 

können Sie 

dazu einfach unter der 

Überschrift »Suchen« 

nach bestimmten Kategorien 

filtern lassen. 

Detaillierte Einstellungen 

der Suche nehmen Sie in der 

Charms-Leiste vor, indem Sie zu »Einstellungen 

| PC‐Einstellungen ändern | 

Suche&Apps« wechseln. 

In Windows 8.1 können Sie nach der 

Eingabe von Arbeitsplatz auf der Startseite 

über Ihre E-Mail-Adresse einen 

Zugriff auf Unternehmensressourcen 

anfordern. Dazu müssen die Server 

entsprechend konfiguriert sein. So 

können Anwender mit ihren PCs auf 

Unternehmensressourcen zugreifen, 

auch wenn sie nicht Mitglied der zugehörigen 

Domäne sind. Sie finden 

diese Einstellungen auch, wenn Sie in 

der Charms-Leiste zu »Einstellungen | 

PC‐Einstellungen ändern | Netzwerk | 

Arbeitsplatz« wechseln. Der PC ist nach 

Gewährung des Zugriffs nicht Mitglied 

einer Domäne. Administratoren können 

aber verschiedene Einstellungen vorgeben 

und Richtlinien erzwingen, damit 

der PC Zugriff auf die Daten im Unternehmen 

hat. Daten, die über diesen 

Weg auf den PCs gespeichert werden, 

lassen sich remote löschen. 

Neuer Windows Store und 

SkyDrive 

Mit Windows 8.1 verbessert Microsoft 

auch die Oberfläche des »Windows 

Store«. Die Navigation ist einfacher und 

die Auswahl verschiedener Kategorien 

besser. Wischen Sie im Windows Store 

von oben nach unten und zurück oder 

klicken im Store auf die rechte Maustaste, 

zeigt Windows 8.1 Optionen zum 

Store und dem eigenen Konto an. Die 

Oberfläche hat Microsoft für Windows 

8.1 überarbeitet. Sie können sich alle 

Ihre heruntergeladenen Apps anzeigen 

lassen und die angezeigten Apps 

Abbildung 4: Microsoft hat die Charms-Leiste in Windows 8.1 deutlich aufgewertet. 


Test 


77 

besser sortieren. Über das Menü ist ein 

schneller Wechsel zwischen den Kategorien 

möglich. Darüber hinaus fällt 

auf, dass Microsoft seinen Cloud-Dienst 

»SkyDrive« wesentlich enger mit dem 

Betriebssystem verbunden hat. In der 

SkyDrive-App von Windows 8.1 können 

Anwender nicht nur Online-Daten nutzen, 

sondern auch Offline-Dateien auf 

dem lokalen Rechner. Liegen Updates 

für Apps vor, lassen sich diese in Windows 

8.1 automatisch aktualisieren 

und nicht nur anzeigen. 

Fazit 

Mit Windows 8.1 will Microsoft vor allem 

Patzer aus Windows 8 ausbessern 

und den Anwendern bei der Bedienung 

der Oberfläche entgegenkommen. Leider 

fehlt immer noch das beliebte Windows-7-Startmenü; 

Microsoft zwingt 

den Nutzer immer noch zur neuen 

Kacheloberfläche. Das ist vor allem für 

Unternehmensrechner problematisch, 

da Anwender hier oft erst neu geschult 

werden müssen. Anwender, die nach 

der Anmeldung nicht auf der Kacheloberfläche 

landen wollen, haben allerdings 

die Möglichkeit, den normalen 

Desktop anzeigen zu lassen. 

Ob Windows 8.1 der große Wurf ist, 

darüber lässt sich streiten. Allerdings 

integriert Microsoft interessante Neuerungen 

und rundet das Betriebssystem 

deutlich besser ab. Die Arbeit mit Windows 

8.1 ist wesentlich flüssiger als mit 

Windows 8 – obwohl auch Windows 

8 schon schnell und stabil läuft. Die 

Kacheloberfläche lässt sich glücklicherweise 

umgehen und die neuen Funktionen 

für mobile Anwender, wie zum 

Beispiel besseres »Direct Access« oder 

»Workplace Join«, stellen einen echten 

Mehrwert dar. (ofr) n 

n Autor 

Thomas Joos ist freiberuflicher IT-Consultant und 

seit über 20 Jahren in der IT tätig. Neben seinen Projekten 

schreibt er praxisnahe Fachbücher und Fachartikel 

rund um Windows und andere Microsoft-Themen. 

Online trifft man ihn unter [http://thomasjoos. 

spaces.live.com]. 

n Info 




Abbildung 5: Die Ansicht des Explorers hat Microsoft in Windows 8.1 überarbeitet. 

www.admin-magazin.de/qr/30272

stockbksts, 123RF 

Forensische Toolkits zur Rekonstruktion von Browser-Sessions 

Daten- 

Archäologie 

Browser rücken zunehmend in den Fokus von Kriminellen. Als universelle Schnittstelle sind sie ein lohnendes, 

attraktives und oft auch leicht verwundbares Angriffsziel. Aber auch die Gegenseite rüstet auf: 

Mit Forensik-Tools, die Browser-Sessions rekonstruieren können. Sandy-Dorothea Hein, Frank Tietze, Mario Golling 

n IT-Forensik 

Die schnellen Innovationszyklen 

machen es praktisch unmöglich, ein 

System gegen alle Schwachstellen abzusichern. 

Hatte ein Angriff Erfolg, ist 

es aber umso wichtiger, zumindest das 

Vorgehen der Kriminellen aufzuklären, 

um Beweise zu sichern oder um sich 

gegen eine Wiederholung zu wappnen. 

Um zu untersuchen, was eine Postmortem-Analyse 

(Kasten »IT-Forensik«) 

nach einem Angriff auf den 

Browser zu leisten vermag, gehen wir 

von folgender Beispielsituation aus: 

Ein Angestellter benutzt in der Mittagspause 

ohne Einwilligung den Rechner 

am benachbarten Arbeitsplatz seines 

Kollegen, um unter dessen Namen und 

auf dessen Kosten bei Amazon diverse 

Bücher zu bestellen. Um seine Tat zu 

verschleiern, fährt er den Rechner 

anschließend herunter. Was ließe sich 

dann noch nachweisen? 

Der Leitfaden »IT-Forensik« des Bundesamts für Sicherheit in der Informationstechnik (BSI) [1] definiert 

IT-Forensik als »die streng methodisch vorgenommene Datenanalyse auf Datenträgern und 

in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen 

Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.« 

Bei der IT-Forensik wird bezüglich des Zeitpunktes der Untersuchung zwischen der Live-Forensik 

und der Post-mortem-Analyse unterschieden: 

Die Live-Forensik findet vor dem erstmaligen Herunterfahren des betroffenen Systems nach Eintritt 

des Vorfalls statt. Dabei liegt der Fokus auf der Sicherung und Analyse flüchtiger Daten, wie dem 

Arbeitsspeicher, gestartete Prozesse und bestehende Netzverbindungen. Da es im Zuge der Datensicherung 

zu einer Veränderung dieser Daten kommt, sind jedoch die Analyseergebnisse anfechtbar. 

Die Post-mortem-Analyse wiederum findet nach dem erstmaligen Herunterfahren des Systems statt. 

Dadurch gehen die flüchtigen Daten verloren, weswegen bei der Untersuchung des Datenträgers 

nicht-flüchtige Daten (umbenannte, gelöschte, versteckte oder verschlüsselte Dateien) im Vordergrund 

stehen. 

Auf diesem Szenario aufbauend definieren 

Forscher allgemeine und 

Szenario-spezifische Anforderungen an 

forensische Toolsammlungen, anhand 

derer sie später einschlägige Toolkits 

vergleichen. 

Zu den allgemeinen Anforderungen an 

die Toolsammlungen zählt etwa eine 

Such- und Filterfunktion zur Eingrenzung 

der relevanten Daten. Zudem sollen 

die Forensik-Tools eine Möglichkeit 

zur Kombination von Daten bieten, wodurch 

sich Abläufe reproduzieren und 

Zusammenhänge zwischen verschiedenen 

Datenquellen erkennen lassen. 

Weitere Anforderungen betreffen die 

Protokollierung der Ein- und Ausgaben 

und die Möglichkeit, verschiedene 

Image-Dateitypen einzubinden. 

Zu den Szenario-spezifischen Anforderungen 

gehört die Unterstützung beim 

Auffinden und Verarbeiten der Browser- 

Artefakte oder auch von ungewollten 

Änderungen an Diensten oder deren 

Konfiguration. Der Browser oder seine 

externen Komponenten könnten beispielsweise 

von Malware infiziert sein, 

der Angreifer könnte die Netzwerk- 


Security 

Forensik-Tools 

79 

Konfiguration so geändert haben, dass 

der Benutzer ungewollt mit einem 

schädlichen Nameserver arbeitet, und 

so weiter. 

Forensische Untersuchung 

Bei der professionellen forensischen 

Untersuchung orientiert sich der Ermittler 

bei seinem Vorgehen an Modellen. 

Der vorliegende Artikel benutzt das 

Secure-Analyse-Present-Modell (siehe 

Kasten »SAP-Modell«). 

Mit den zum Vergleich anstehenden 

forensischen Toolsammlungen untersuchten 

die Autoren das Opfersystem, 

um die Browser-Sitzung zu rekonstruieren. 

In der Secure-Phase sicherten sie 

dabei zunächst die Festplatte mithilfe 

des Tools »dcfldd«, einer um forensische 

Features erweiterten Version des 

GNU-Tools »dd«. Die Integrität gewährleistete 

eine mit »md5deep« erzeugte 

Hashfunktion (die Integritätssicherung 

stand allerdings nicht im Mittelpunkt 

der Untersuchung. In der Praxis sollte 

man SHA den Vorzug geben). 

Die Analyse erfolgte auf einer forensischen 

Workstation in einer virtuellen 

Umgebung (VMware vSphere ESXi). 

Verglichen wurden nur aktive Open- 

Source-Projekte, die zur Post-mortem- 

Analyse eines Windows-7-Systems 

geeignet sind. Ferner erfolgte die 

Auswahl anhand der Popularität der 

Toolsammlungen (siehe Tabelle 1). Die 

Untersucher achteten auch darauf, 

inwiefern die Standardinstallationen 

der Toolsammlungen für das gegebene 

Szenario geeignet waren. Der besseren 

Vergleichbarkeit wegen wurden keine 

zusätzlichen Pakete nachinstalliert. 

Stellvertretend für alle Tools aus Tabelle 

1 sollen hier OSForensics, Autopsy 

n Tabelle 1: Popularität der Tools 

Abbildung 1: Ergebnis der Suche nach der Opfer-E-Mail-Adresse (OSForensics). 

und CAINE betrachtet werden, die positiv 

hervorstachen. 

OSForensics 

OSForensics [3] ist ein Windows-Tool 

von PassMark Software zur Live-Forensik 

und Post-mortem-Analyse. Für 

diesen Vergleich wurde die Version 1.2 

(Build 1003) untersucht. Mittlerweile 

ist die Version 2.0 erschienen. Die forensische 

Duplikation der originalen 

Festplatte wurde als zusätzliche virtuelle 

Festplatte im Read-Only-Modus 

eingebunden. 

Daten können mittels Stichwortsuche, 

Sortierung nach Zeitstempel, Anzeige 

der letzten Aktivitäten, der Registry- 

Keys und der im Browser gespeicherten 

Zugangsdaten gefiltert werden. 

Dabei gibt es intern eine Datei-, Hex-, 

String- und Textansicht. Dateien lassen 

sich jedoch auch mit Hilfe externer 

Programme betrachten und können 

verlinkt werden. 

Nach Abschluss der Untersuchung kann 

der Ermittler einen Fallbericht mit Fall-/ 

Ermittlername, exportierten Dateien, 

Anhängen, Notizen, E-Mails und Verlinkungen 

mit oder ohne Javascript als 

HTML-Datei generieren. Zusätzlich ist 

eine Vorlage für das Protokollieren der 

forensischen Beweiskette vorhanden. 

OSForensics lieferte verschiedene 

Szenario-spezifische Ergebnisse: 

Eine Stichwortsuche nach der E-Mail- 

Adresse des Opfers führte wie Abbildung 

1 zeigt zu »F:\Users\Sandy\ 

Platz Name URL Aufrufe 

1 OSForensics http://osforensics.com 8417 

2 DFF http://www.digital-forensic.org 524 

3 Autopsy http://www.sleuthkit.org/autopsy 373 

4 SIFT https://computer-forensics2.sans.org/community/ 328 

siftkit/#overview 

5 Backtrack http://www.backtrack-linux.org 298 

6 CAINE http://www.caine-live.net 277 

7 Paladin http://www.sumuri.com/ 261 

8 The SleuthKit http://www.sleuthkit.org/sleuthkit 195 

AppData\Local\Microsoft\Windows\ 

TemporaryInternetFiles\Low\Content. 

IE5\BYO5TPM7\display[1].html«. Öffnet 

man das File in einem Browser, 

erscheint die Kaufbestätigung von 

Amazon. Die Stichwortsuche nach 

dem Titel des gekauften Buches führte 

zum File »Opfersystem:\Users\Sandy\ 



IE5\S6OU8I07\view‐upsell[1].html«, das 

den Amazon-Einkaufswagen darstellt. 

Die Kategorie Bilder lieferte die in Abbildung 

2 erkennbaren Treffer aus den 

Temporary Internet Files, die mit dem 

gekauften Artikel übereinstimmen. 

Der Registry-Eintrag unter dem Key 

»Software\Microsoft\InternetExplorer\ 

TypedURLs« zeigt die letzten URL- 

Eingaben in die Adresszeile des IEs 

(Abbildung 3). Vollzogene Anmeldevorgänge 

konnten mithilfe des Website- 

Passwords-Moduls ohne Zugangsdaten 

eingesehen werden, da der Nutzer 

diese nicht im Browser gespeichert hat. 

Dass man Registry-Dateien automatisch 

erkennen kann, ist eine Bereicherung 

für die forensische Untersuchung. 

Trotzdem ist Fachwissen nötig und eine 

n SAP-Modell 

Das Secure-Analyse-Present-Modell (SAP) ist ein 

simples Modell, das beschreibt, wie bei einer forensischen 

Untersuchung vorzugehen ist. Es richtet sich 

auf die Verfolgung von Straftaten aus. Die Secure- 

Phase dient der Identifizierung potenzieller Datenquellen, 

die anschließend korrekt und nach dem 

Vier-Augen-Prinzip gesichert werden. Dabei entseht 

eine forensische Duplikation. 

Die Analyse-Phase besteht aus der Vorbereitung, 

Durchführung und Interpretation. Vorbereitend wird 

eine Kopie der Master-Kopie erstellt. Im Zuge der 

Durchführung wird nach relevanten Daten gesucht, 

die auf Zusammenhänge hin untersucht werden. 

Abschließend interpretiert man die Daten, indem 

man ihre Bedeutung für die Untersuchung kritisch 

bewertet. In der Present-Phase legt der Untersucher 

eine verständliche und vollständige Dokumentation 

an und präsentiert die Resultate zielgruppengerecht. 


Admin 

Ausgabe 11-2013

80 

Security 


Abbildung 5: Registry-Einträge (FRED). 

Abbildung 2: Bilder des gekauften Artikels im Cache (OSForensics). 

manuelle Suche nach Daten durch den 

forensischen Ermittler unabdingbar. 

Abbildung 3: Registry-Einträge (OSForensics). 

Autopsy 

Autopsy [4] ist eine grafische Erweiterung 

von The Sleuth Kit (TSK), die von 

Brian Carrier für Windows- und Linux- 

Systeme entwickelt wird. Untersucht 

wurde die Windows-Version 3.0.3, 

wobei mittlerweile die Version 3.0.6 

verfügbar ist. 

Die forensischen Duplikation wird wieder 

im Read-Only-Modus als zusätzliche 

(virtuelle) Festplatte eingebunden. 

Für die Verwaltung der Fälle kann man 

Name, Speicherverzeichnis, Fallnummer 

und Ermittlername angeben. Für 

das Datenmanagement stehen Stichwortsuche, 

Abgleich mit Hash-Datenbanken, 

Anzeigen von Dateileichen und 

nicht zugeordneten Dateien, ein automatisches 

Filtern unter anderem nach 

Dateitypen (Bilder, Video, Audio, Dokumente) 

und Kategorien (Lesezeichen, 

Cookies, Browser-Verlauf, Downloads) 

zur Verfügung. Dateien lassen sich in 

externen Programmen öffnen oder in 

Abbildung 4: Ausschnitt der Auswertung des Verlaufs (Autopsy). 

einer Hex-, String-, Ergebnis-, Text- und 

Medienansicht betrachten. Nützlich ist 

auch das Verlinken relevanter Dateien, 

denen man einen Kommentar mitgeben 

kann. 

Es lässt sich ein Abschlussbericht als 

HTML-Datei, Excel-Tabelle oder Body 

File mit Zusammenfassung der Fallund 

Image-Informationen und Verlinkungen 

inklusive Dateinamen, Dateipfaden 

und Kommentaren erstellen. 

Autopsy lieferte folgende Szenariospezifische 

Ergebnisse: Die Verlaufsdaten 

der Session wurden aus »F:\Users\ 

Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\ 

Low\ 

Content.IE5\index.dat« gelesen (siehe 

Abbildung 4). Zudem fanden sich drei 

Cookies mit der Domain von Amazon, 

deren Inhalt die Untersucher in Textform 

betrachten konnten. Die Keyword- 

Suche nach der E-Mail-Adresse des 

Opfers führte nach manueller Durchsicht 

einer Wiederherstellungsdatei zu 

eingegebenen Zugangsdaten einer fehlgeschlagenen 

Anmeldung im Klartext. 

Das Öffnen der Verlaufsdatei »F:\Users\ 

Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Low\ 

Content.IE5\BYO5TPM7\display[1]. 

html« mit dem IE zeigte einen Ausschnitt 

aus dem Amazon-Einkaufswagen. 

Die Datei »F:\Users\Sandy\ 



IE5\BYO5TPM7\continue.html« beinhaltete 

die Lieferadresse und die letzten 

zwei Stellen der Kontonummer des 

Opfers – ließ sich jedoch nicht mit dem 

IE öffnen. 

Auch bei Autopsy ist es notwendig, 

dass der forensische Ermittler weiß, wo 

sich die Speicherorte der Datenquellen 

befinden. Zudem ist auch eine manuelle 

Durchsicht potenziell relevanter 

Dateien nötig. 

Computer Aided Investigative 

Environment (CAINE) 

Die Linux-Distribution Computer Aided 

Investigative Environment (CAINE) [5] 

von Nanni Bassetti stellt eine Sammlung 

von Softwaretools zur Post-mortem-Analyse 

und Live-Forensik bereit. 

Ein Großteil der Tools hat eine grafische 

Oberfläche. Die untersuchte Version 

3.0 wird durch die mittlerweile aktuelle 

Version 4.0 abgelöst. Die Einbindung 

der forensischen Duplikation erfolgte 

als virtuelle Read-Only-Festplatte. Im 

vorliegenden Fall benutzten die Untersucher 

die CAINE-Werkzeuge Forensic 

Registry Editor (FRED), Galleta, Pasco, 

NBTempo, Autopsy Forensic Browser 

und TSK. 

FRED dient dem Öffnen und anschließenden 

Durchsuchen einer Registry. 

Beim Öffnen der Registry-Datei »NTU- 

SER.DAT« zeigte FRED in dem Key 

»Software\Microsoft\Internet_Explorer\ 

TypedURLs« die letzten drei ins Adressfeld 

des IEs eingegebenen URLs an, die 

– wie Abbildung 5 zeigt – zu eBay und 

Amazon führten. 

Das Konsolen-Tool Galleta [7] der 

Firma McAfee dient der Verarbeitung 

von Cookies des IEs. Ordnet der forensische 

Ermittler Galleta eine Cookie- 

Datei zu, erstellt es ein Spreadsheet, 

wie es exemplarisch in Abbildung 6 zu 

sehen ist. Die Daten werden dabei in 

eine Tabelle überführt, was die Übersichtlichkeit 

verbessert und sie für den 


Security 


81 

Abbildung 6: Galleta erzeugt eine übersichtliche Tabelle aus Cookie-Inhalten. 

Ermittler leichter verwertbar macht. 

Jedoch müssen ihm die relevanten 

Cookies bekannt sein. Sie lassen sich 

häufig anhand des Dateinamens erkennen, 

der den Domainnamen der 

besuchten Webseite enthält. 

Ebenfalls von McAfee ist das Tool Pasco 

[8], das sich auf die Internet-Aktivität 

des Browsers anhand des Files »index. 

dat« konzentriert. Dazu erzeugt Pasco 

ein Spreadsheet mit dem Inhalt der Datei. 

Die Abbildung 7 zeigt das Spreadsheet 

des URL-Verlaufs aus dem Szenario. 

In der Type-Spalte wird zwischen 

URLs und Weiterleitungen unterschieden, 

die mit »REDR« gekennzeichnet 

sind. Pasco erleichtert dem Ermittler 

die Rekonstruktion des Browser- oder 

Cookie-Verlaufs. Weiterhin ermöglicht 

es ihm, die Inhalte nach Belieben zu 

sortieren und zu filtern oder anderweitig 

weiterzuverarbeiten. 

NBTempo ist ein Bash-Skript mit GUI 

von Nanni Bassetti, das Zeitstrahlen 

generiert. Zunächst wählt der Ermittler 

ein forensisches Duplikat als 

Image-Datei oder ein Laufwerk aus. 

Nach Angabe des Zielverzeichnisses, 

der Zeitzone, der Zeitverzögerung der 

Daten auf dem Opfersystem und der zu 

untersuchenden Zeitspanne liefert es 

zügig Ergebnisse. 

Dabei werden drei Dateien erstellt: Die 

Datei »data.txt« enthält eine Übersicht 

über das Image-Verzeichnis, die ausgewählte 

Zeitspanne, ‐zone und ‐verzögerung. 

In »times.txt« werden die Ergebnisse 

im Rohformat für viele weiterverarbeitende 

Tools lesbar gesichert, 

während das Spreadsheet »report.csv« 

den Zeitstrahl tabellarisch darstellt, 

wobei der Ermittler die Spalten nach 

eigenen Bedürfnissen benennen kann 

(Abbildung 8). Der Zeitstrahl kann 

anschließend vom Ermittler sortiert, 

gefiltert und weiterverarbeitet werden. 

NBTempo unterstützt den forensischen 

Ermittler bei der Rekonstruktion des 

Sessionverlaufs. So kann festgestellt 

werden, welche Dateien parallel zur 

Browser-Sitzung angelegt oder ausge- 

Abbildung 7: Pasco erzeugt Tabellen aus dem Inhalt der »index.dat«.

82 

Security 


führt wurden, was Hinweise auf weitere 

Datenquellen liefern kann. 

Der Autopsy Forensic Browser ist eine 

grafische Erweiterung zu TSK, wie auch 

sein bereits vorgestellter Nachfolger 

Autopsy – hat jedoch eine abweichende 

grafische Oberfläche. Die Analyse erfolgt 

in einem Browser, wobei Ermittler 

die forensischen Duplikationen auf 

einem Server speichern können. Dadurch 

kann die Analyse durch mehrere 

Ermittler an getrennten Computern 

erfolgen. Beim Anlegen des Falls wird 

neben den Angaben zu Fallname, 

Name des zu untersuchenden Systems, 

Zeitzone und Zeitabweichung auch ein 

Host bestimmt. 

Die zu untersuchende Duplikation 

wurde als Partition und mit einer MD5- 

Hashwertberechnung eingebunden. 

Der Autopsy Forensic Browser arbeitet 

vor allem mit Dateisystemstrukturen. 

Somit lassen sich beispielsweise bei 

NTFS Details über die Master File Table 

(MFT) inklusive ihrer Cluster aufrufen. 

Die Datenträgeranalyse erfolgt in fünf 

aufeinanderfolgenden Schritten: 

n Über File Analyse lässt sich die Ordnerstruktur 

aufrufen und es kann 

nach Dateinamen und gelöschten 

Dateien gesucht werden. Die Inhalte 

der Suchtreffer lassen sich in einer 

ASCII-, Hex- und ASCII-String-Ansicht 

betrachten. Zudem ist eine Exportier- 

und Notizfunktion für Dateien 

vorhanden. Wird eine Notiz hinzugefügt, 

erstellt der Autopsy Forensic 

Browser einen Bericht mit allgemeinen 

Informationen (Dateiname, 

Hashwerte, Zeitstempel der Generierung, 

Ermittler), mit Metadaten 

(Position in der MFT, Attribute) und 

mit dem entsprechenden Inhalt. 

n Darauf folgt die Keyword Search. In 

diesem Schritt kann nach einzelnen 

und zusammengesetzten Suchbegriffen 

und regulären Ausdrücken 

auf Basis der Grep-Funktion gesucht 

werden. Grep hat allerdings Einschränkungen 

und ist laut Brian Carriers 

»Grep Search Limitations« [6] 

dadurch nicht zuverlässig. Die Suche 

ist wegen des nicht indizierten Images 

besonders zeitaufwendig. Treffer 

werden nach Clustern mit einem 

Verweis zum Quellverzeichnis aufgelistet. 

Ein Cluster kann ebenso wie 

eine Datei exportiert und mit einer 

Notiz versehen werden. 

n Nach diesem Schritt gelangt der 

Ermittler zu File Type Sortings. 

Hier werden die Dateien nach den 

Kategorien Archiv, Audio, Komprimierung, 

Krypto, Daten, Disk, Dokumente, 

ausführbare Dateien, Bilder, 

System, Text, Unbekannt, Video 

und Extension Mismatches sortiert 

ausgegeben. Das Ergebnis lässt sich 

als HTML-Datei ohne Verlinkungen 

speichern. 

n Im anschließenden Meta Data Mode 

kann nach einem konkreten MFT- 

Eintrag gesucht oder die Allocation- 

Liste angezeigt werden. Jeder MFT- 

Eintrag gibt an, welche Datei ihm 

n Tabelle 2: Bewertungen 

Anforderungen/Toolkit OSForensics DFF Autopsy SIFT Backtrack CAINE Paladin TSK 

Allgemeine Anforderungen 

Image-Einbindung + + + o o o – + 

Such-/Filterfunktion + o + + + + k.A. + 

Kombination verschiedener – – – – – – k.A. – 

Datenquellen 

Protokollierung o – o o o o k.A. – 

Szenario-spezifische Anforderungen 

Browser-Artefakte 

Darstellung – – – – – – k.A. – 

Verlauf – – + + + + k.A. + 

Cache o – o o o o k.A. – 

HTTPS/SSL – – – – – – k.A. – 

Passwörter o – – – – – k.A. – 

Cookies – – + + + + k.A. – 

Favoriten o – + o o o k.A. o 

Formulardaten – – – – – – k.A. – 

Downloads – – + – – – k.A. – 

Information/Veränderungen zugrundeliegender Dienste 

DNS/Namensauflösung o – o o o o k.A. – 

TCP/IP Protocol Stack – – – – – – k.A. – 

Veränderung der Konfiguration 

Browser – – – – – – k.A. – 

Komponenten – – – – – – k.A. – 

Veränderter Programmablauf 

Browser – – – – – – k.A. – 

Komponenten – – – – – – k.A. – 


Security 


83 

zugeordnet ist. Hierbei lassen sich 

auch die Inhalte anzeigen, die Datei 

als Cluster exportieren und Notizen 

mit Berichten hinzufügen. 

n Zuletzt kann eine Suche nach Clustern 

unter dem Data Unit Mode 

erfolgen. Dabei stehen wie im Schritt 

zuvor die gleichen Informationen 

und Funktionen zur Verfügung. Nach 

der Analyse kann zur Aufbereitung 

eine »File Activity Timeline« erstellt 

werden. Dazu wird nach der Auswahl 

eines Zeitfensters ein in Monate gegliederter 

Zeitstrahl erstellt. Zuvor 

eingegebene Notizen lassen sich 

hier betrachten. Zudem wird dieser 

Zeitstrahl in Tabellenform auf der 

Workstation hinterlegt. 

Der »Event Sequencer« listet alle Events 

mit zugehörigen Notizen auf. Ein Event 

kann mit einem individuellen Zeitstempel 

versehen und mit einer Quellenangabe 

hinzugefügt werden. 

Der Autopsy Forensic Browser dient in 

erster Linie der Datenbetrachtung. Der 

Großteil der gegebenen Informationen 

liegt nur in reiner Textform ohne jegliche 

Verlinkung oder Bewertung vor. Daher 

bietet er in diesem Szenario keine 

ausreichende Unterstützung für die 

forensische Untersuchung. Lediglich 

die Verifizierung durch Hashwerte, das 

Fallmanagement und die Kategoriezuweisung 

der Dateitypen stellen für den 

Ermittler eine Bereicherung dar. 

Abbildung 8: Ausschnitt aus der Report-Tabelle (NBTempo). 

TSK [9] als CAINE-Werkzeug beschränkt 

sich auf Kommandozeilen- 

Tools zur Analyse von Dateisystemen, 

Partitionen, Images und Disks. Die 

Partition-Tools unterstützen nicht die 

Analyse von Windows-Systemen. Daher 

wurden nur Dateisystem- und Image- 

Tools betrachtet. 

Mithilfe der Tools »tsk_gettimes« und 

»fls ‐m« ließ sich ein Zeitstrahl der 

Dateien im Rohformat als Body File 

generieren, der dem File »times.txt« 

von NBTempo entsprach. Das konnte 

mit dem »mactime«-Tool in eine übersichtliche 

Tabelle mit Spaltenbezeichnungen 

übertragen werden, welche 

wiederum mit der Datei »report.csv« 

von NBTempo übereinstimmte. 

Das Modul »fsstat« gab Informationen 

über das Layout, die Größen und Labels 

des Dateisystems aus. Auffällig, 

dass das Windows-7-Opfersystem als 

Windows XP erkannt wurde. Details 

über die Dateiendung und die Größe 

eines Images ließen sich mit dem Tool 

»imgstat« ausgeben. Je nach Image 

liefert es noch weitere Angaben. Das 

Tool »sorter« wies Dateien den Typ- 

Kategorien entsprechend des FileType 

Sortings des Autopsy Forensic Browsers 

zu. Die Standardinstallation von TSK 

unterstützt nur geringfügig die Analyse 

einer Browser-Sitzung. Funktionen wie 

Berichterstellung, Keyword-Suche und 

Registry-Analyse benötigen eine Nachinstallation 

des TSK-Frameworks. 

Jahres-DVD 2012 

InklusIve: 

Der komplette 

Jahrgang 2012! 

■ Artikel zu Storage, Backup, Security, Monitoring, 

Virtualisierung u.v.m. 

■ Zum Lesen am Bildschirm oder Ausdrucken: 

PDF und HTML-Format 

■ Search Engine für Artikel-Volltext-Suche 

Jetzt gleich bestellen! 

www.admin-magazin.de/DVD2012 oder 089 - 99 34 11 - 00 


Netzwerk & Security

84 

Security 


n Info 





Während bei CAINE kein zentrales Fallmanagement 

vorhanden ist und der 

Ermittler bei jedem Neustart den Fallund 

Ermittlernamen erneut eingeben 

muss, kann er jedoch über das Interface 

manuell einen Abschlussbericht 

als RTF- oder HTML-Datei sowie als 

persönlichen Bericht erstellen. CAINE 

hebt sich insofern von den anderen 

umfangreichen Toolsammlungen SIFT 

und Backtrack ab, da die Aufteilung 

der einzelnen Tools innerhalb des 

Interfaces sich von der Struktur her 

an forensischen Vorgehensmodellen 

orientiert und es daher vergleichsweise 

geringer Einarbeitungszeit bedarf. 

Weitere Toolkits 

Neben OSForensics, Autopsy und CAINE 

wurden in unserem Test noch folgende 

Toolsammlungen analysiert: 

Digital Forensics Framework (DFF) 

der Firma ArxSys bietet eine Windowsund 

Linux-Distribution zur Analyse von 

Laufwerken, Dateisystemen, Benutzer- 

und Anwendungsdaten. Zudem stellt 

es eine Suchfunktion nach Metadaten 

sowie gelöschten und versteckten Daten 

bereit. Die untersuchte Version war 

»Windows Release with dependencies 

1.2.0«. Die aktuelle Version trägt die 

Versionsnummer 1.3.0. 

TSK: Diese Kommandozeilen-Toolsammlung 

wird von Brian Carrier 

sowohl für Windows als auch für Linux 

entwickelt. Untersucht wurde die Windows 

Version 4.0.1., die durch die aktuelle 

Version 4.1.0 abgelöst wird. 

Paladin, die Linux-Toolsammlung 

der Firma Sumuri, dient primär der 

Image-Erzeugung. Bei der untersuchten 

Version 3.0 ließ sich das Image nicht 

erfolgreich einbinden. Die aktuelle 

Version ist Version 4.0. SANS Investigate 

Forensics Toolkit (SIFT) in der 

aktuellen Version 2.14 und Backtrack 

in der aktuellen Version 5.0 R3 wurden 

zusätzlich untersucht. Backtrack wird 

mittlerweile durch Kali Linux abgelöst 

und dient primär der Überprüfung der 

Gesamtsicherheit eines Netzes. 

Fazit 

Autopsy ist in der Gesamtbewertung 

das beste Tool zur Rekonstruktion 

Browser-basierter Tatbestände. Viele 

Tools der untersuchten Toolsammlungen 

bauen auf TSK auf und erweitern 

es durch eine grafische Oberfläche. 

Bewertet man die Toolsammlungen 

danach, wie sie die Anforderungen 

erfüllen (Tabelle 2), kann man für 

komplett erfüllte Anforderungen ein 

„+“, für teilweise erfüllte ein „o“ und 

für nicht erfüllte Anforderungen ein „–“ 

vergeben. Hier wird ersichtlich, dass 

die Überprüfung von Konfigurationen, 

Programmabläufe und die Bereiche 

HTTPS/SSL und DNS noch Defizite 

aufweisen. Keine der Toolsammlungen 

lieferte hier verwertbare Ergebnisse. 

Die Toolsammlungen boten primär 

Funktionen zur Datenbetrachtung, 

Hash-Verifizierung einzelner Datenquellen, 

Suche und zum Filtern. In Zukunft 

ist eine Weiterentwicklung hin zur 

Kombination von Daten verschiedener 

Quellen nötig. Im Idealfall sollte eine 

gesamte Browser-Sitzung schrittweise 

nachvollziehbar sein. Zudem müssen 

für eine umfangreiche Analyse zusätzliche 

Datenquellen, wie beteiligte Netzkomponenten 

und Server mit Monitoring-Tools 

hinzugezogen werden. 

Auch die zusätzliche Durchführung 

einer Live-Forensik zur Untersuchung 

flüchtiger Daten wäre gewinnbringend. 

Für einen detaillierteren Einblick ist 

die diesem Beitrag zugrunde liegende 

wissenschaftliche Arbeit unter [10] einsehbar. 

(jcb) n 

n Browser-spezifische Datenquellen: 

1. Browser-Artefakte 

n Zeitbehaftete Daten: Diese ändern sich von Sitzung zu Sitzung. Wiederherstellungsdaten 

sind geöffnete Fester mit ihrer Position, Tabs 

mit der jeweiligen Scroll-Position und Popups. Der Cache beinhaltet 

die URLs besuchter Webseiten und die mit ihnen verbundenen Elemente 

(zum Beispiel Bilder und Texte). Der Verlauf speichert alle besuchten 

Webseiten mit Zeitstempel. Logdateien protokollieren alle 

Ereignisse unter Angabe von Datum, Uhrzeit und Ereignisquelle. Der 

Sitzungsschlüssel einer HTTPS-SSL-Verbindung mit einer Webseite 

wird nach der Überprüfung des Zertifikats der Seite auf Echtheit auf 

dem Nutzersystem hinterlegt und dient der symmetrischen Datenverschlüsselung. 

n Gering zeitbehaftete Daten: Cookies werden im Browser zur Identifizierung 

von Interessen und Besuchen von Webseiten hinterlegt, 

um etwa gezielt Werbung zu platzieren. Lesezeichen sind favorisierte 

URLs, die vom Nutzer im Browser gespeichert sind. Login-Daten sind 

Nutzername-Passwort-Kombinationen zur Anmeldung bei Benutzerkonten. 

Auto-Vervollständigungsdaten sind Formulardaten (z.B. 

Name, Adresse, Kennwörter), die nach einer ersten Eingabe automatisch 

gespeichert und jederzeit wieder abgerufen werden können. 

n Downloads: Der gespeicherte Download-Verlauf beinhaltet Informationen 

darüber, welche Dateien wann erfolgreich heruntergeladen 

wurden beziehungsweise wann das Herunterladen abgebrochen 

wurde. 

n Konfigurationen: Browser-Einstellungen lassen sich so ändern, dass 

Schwachstellen entstehen (indem sich zum Beispiel das Speicherverhalten 

ändert). 

2. Browser-spezifische Dienste 

Das Domain Name System (DNS) dient der Zuordnung von IP-Adressen 

zu Domainnamen und bietet dem Angreifer die Möglichkeit, das Opfer 

automatisch zu einer falschen Webseite weiterzuleiten. Die IP-Adresse 

kann außerdem – sofern sie nicht verschleiert ist – den Nutzer-Standort 

offenbaren. 

3. Externe Browser-Komponenten 

Ein Plugin ist ein Zusatzprogramm, das über eine vordefinierte Schnittstelle 

in ein Basisprogramm eingebunden wird und dessen Funktionsumfang 

erweitert. Es kann der Verarbeitung von Daten auf Webseiten 

(zum Beispiel PDF, Flash) dienen. Erweiterungen, auch Addons genannt, 

erweitern die Funktion bestehender Hard- oder Software (zum Beispiel 

der Symbolleiste).. 


86 

Security 

Citrix NetScaler 

Citrix NetScaler als Ersatz für Microsoft TMG/ISA 

Wachablösung 

Seit Microsoft das Threat Management Gateway (TMG), den Nachfolger 

des Internetsecurity and Acceleration Servers (ISA) abgekündigt 

hat, sind Unternehmen auf der Suche nach einem adäquaten Ersatz. 

In diese Bresche springt Citrix mit seinen verschiedenen NetScaler- 

Produkten. Thomas Joos 

NetScaler ist ein Netzwerkprodukt. Es 

funktioniert als Anwendungsbeschleuniger 

und Firewall. Die Integration des 

Produktes übernimmt in Unternehmen 

also am besten die Netzwerkabteilung, 

da der Netzwerkverkehr direkt beeinflusst 

und gesteuert wird. Die Komplexität 

von NetScaler übersteigt bei 

weitem die Verwaltung von Citrix-Produkten 

wie XenDesktop oder XenApp. 

Das heißt, Sie sollten das Produkt bei 

aller Einfachheit nicht unterschätzen. 

NetScaler ist außerdem auch noch der 

Nachfolger des Access Gateways, also 

des Produkts, mit dem Sie XenDesktop 

und XenApp im Internet bereitstellen. 

Doch dazu später mehr. 

Citrix selbst deklariert seine NetScaler- 

Produkte als optimalen Ersatz für 

Microsofts TMG. Ein entsprechendes 

Whitepaper stellt der Hersteller als 

PDF-Dokument zur Verfügung [1]. Der 

Hauptvorteil von TMG waren die integrierten 

Assistenten, mit denen sich Exchange-Dienste, 

Lync und SharePoint 

effizient im Internet anbieten ließen. 

In diese Lücke springt Citrix mit seinen 

NetScaler-Produkten, die alle Funktionen 

von TMG beherrschen sollen. 

NetScaler hat ebenfalls Assistenten und 

Vorlagen integriert, um die Konfiguration 

möglichst einfach zu halten. Doch 

das ist noch nicht alles. 

Was kann NetScaler? 

Citrix NetScaler kann Nutzern des 

öffentlichen Internets webbasierte 

Dienste wie Exchange, Lync und Share- 

Point sicher aus dem internen Netzwerk 

zur Verfügung stellen. Man könnte 

auch sagen, dass NetScaler diese 

Dienste ins Internet veröffentlicht. 

Zusätzlich beherrscht NetScaler auch 

Loadbalancing sowie die Layer-4-Verbindungsverwaltung, 

das Filtern von 

Inhalten, URL-Filterung und ‐Rewriting. 

Auch Netzwerkzugriffsschutz, VPN und 

mehr lassen sich mit NetScaler verwenden. 

Darüber hinaus kann der Admin 

auch noch Programme wie einen Virenscanner 

integrieren und einrichten. 

Es gibt verschiedene Editionen und 

Versionen, die unterschiedliche Netzwerkbandbreiten 

unterstützen. 

NetScaler ist auch der Nachfolger des 

Citrix Access Gateways; es heißt Citrix 

NetScaler Access Gateway. Es ermöglicht 

die sichere Veröffentlichung von 

XenDesktop und XenApps im Internet 

und unsicheren Netzwerken. Die Verwaltung 

dieser Veröffentlichungen 

findet in der gleichen Weboberfläche 

statt, die auch die Firewall-Funktionen 

steuert. 

NetScaler-Produkte im 

Vergleich 

NetScaler steht in verschiedenen Versionen 

und Editionen zur Verfügung. 

Zum einen bietet Citrix die Lösung als 

Hardware-Appliance an, zum anderen 

als virtuelle Software für VMware, Xen- 

Server und Hyper-V. Die Hardware-basierten 

Appliances tragen die Bezeichnung 

NetScaler MPX und bieten einen 

Admin

Security 


87 

Durchsatz von 500 MBit/s bis 120 GBit/s 

(laut Hersteller). Es gibt verschiedene 

Geräte mit unterschiedlichen Ausrichtungen 

und Leistungsstufen [2]. 

Die Software-basierten Appliances 

schaffen laut Citrix Datenmengen von 

10 MBit/s bis 3 GBit/s und tragen die 

Bezeichnung NetScaler VPX. Diese lassen 

sich mit VMware, Hyper-V und Xen- 

Server virtualisieren. Citrix stellt dazu 

Testversionen auf Basis von virtuellen 

Servern für den Download bereit. Offiziell 

unterstützt NetScaler XenServer ab 

5.6, VMware ESX(i) ab Version 3.5 und 

Windows Server 2008 R2. In unseren 

Tests konnten wir NetScaler VPX auch 

auf Servern mit Windows Server 2012 

und Hyper-V importieren. Die Leistung 

der VPX-Versionen hängt selbstverständlich 

stark vom zugrunde liegenden 

physikalischen Server ab. 

Weitere Editionen sind SDX und AWS. 

NetScaler SDX ist für sehr große Netzwerke 

entwickelt worden und besteht 

ebenfalls aus einer Hardware-basierten 

Appliance, bietet aber Virtualisierung 

und bis zu 40 parallele NetScaler-Instanzen 

mit einem Durchsatz bis zu 50 

GBit/s. SDX ist daher vor allem für Internetprovider 

und Cloud-Dienstleister 

gedacht. AWS baut auf die Amazon 

Web Services auf und ist ein komplett 

webbasierter Dienst. 

Viele Unternehmen setzen auf die günstige, 

virtuelle Umgebung VPX. Sie hat 

den gleichen Funktionsumfang wie die 

MPX-Modelle, kann große Datenmengen 

aber nicht so schnell verarbeiten. 

Der größte Vorteil der VPX-Version ist 

die schnelle Bereitstellung über virtuelle 

Maschinen. MPX-Modelle haben dagegen 

Vorteile bei der Datenverschlüsselung, 

etwa im Bereich SSL-Offloading. 

Dazu verfügen die Hardware-Modelle 

über spezielle Verschlüsselungskarten. 

Bei VPX-Modellen übernehmen die virtuellen 

Server die Verschlüsselung, was 

deutlich langsamer ist. 

Die Verwaltung der Editionen ist weitgehend 

identisch. Admins können die 

webbasierte, grafische Oberfläche 

verwenden oder per SSH Befehle auf 

Kommandozeilenebene absetzen. 

Die Versionen MPX, VPX, SDX und AWS 

bietet der Hersteller in den Ausbaustufen 

Standard, Platin und Enterprise 

Abbildung 1: Citrix NetScaler kann über Assistenten auch Exchange, SharePoint und Lync im Internet 

zur Verfügung stellen. 

an. Citrix stellt die Unterschiede der 

verschiedenen Editionen übersichtlich 

in einem Datenblatt dar [3]. 

Für NetScaler VPX gibt es noch mehr 

Varianten [4], die sich vor allem in der 

Geschwindigkeit unterscheiden. Unternehmen 

können dabei problemlos von 

kleineren VPX-Modellen auf größere 

Modelle wechseln. Das zusätzliche 

Lizenzieren von weiteren Funktionen 

können Sie in der Weboberfläche oder 

per SSH vornehmen. Die Einstellungen 

dazu sind in der Weboberfläche im Bereich 

»System | Licenses« zu finden. 

NetScaler VPX testen 

Für einen Test kann man Installations- 

Images inklusive Server auf Basis von 

Hyper-V, VMware oder auch XenServer 

bei Citrix herunterladen [5]. Auch die 

Abbildung 2: Die Verwaltungsoberfläche von NetScaler ist webbasiert. Mit ihr lassen sich alle Einstellungen 

vornehmen. 


Admin 

Ausgabe 11-2013

88 

Security 


Abbildung 3: Citrix NetScaler können Sie auch mit Hyper-V testen und virtualisieren. 

kostenlosen Versionen der Virtualisierer 

werden unterstützt. Nach Entpacken 

des Archivs müssen Sie das Image 

nur noch in die virtuelle Umgebung 

importieren. Wie Sie beim Einsatz von 

Hyper-V vorgehen sollten, ist im Video 

[6] zu sehen. Die kostenlose Express 

Edition von NetScaler, mit der Bezeichnung 

»NetScaler VPX Express«, gibt es 

unter [7]. 

Während der Installation von NetScaler, 

also nachdem Sie die virtuellen Server 

importiert haben, können Sie sich am 

Web-Interface mit »http://IP‐Adresse 

des virtuellen Servers« anmelden. Der 

Login lautet »nsroot«, das Kennwort 

auch. Danach steht die Weboberfläche 

von Citrix NetScaler bereit. 

Wenn der Server im Netzwerk noch 

nicht sichtbar ist, müssen Sie in den 

Einstellungen des virtuellen Servers zunächst 

eine virtuelle Netzwerkkarte integrieren. 

Melden Sie sich dazu per SSH 

in der virtuellen Maschine ebenfalls mit 

Abbildung 4: Citrix NetScaler kann Vorlagen recht einfach in die Firewall importieren. 

»nsroot« an. Mit »ping« testen Sie, ob 

der virtuelle Server eine Verbindung 

zum Netzwerk hat. Danach können 

Sie dann auch mit der Weboberfläche 

arbeiten. 

Anleitungen, wie Sie NetScaler einrichten, 

finden Sie auf [8]. Zur Einrichtung 

des Servers verfügt NetScaler auch 

über einen Assistenten. Diesen starten 

Sie über »System« und dann der Auswahl 

von »Setup Wizard« im unteren 

Bereich des mittleren Fensters. Haben 

Sie das System eingerichtet, können 

Sie Einstellungen zu den IP-Adressen 

auch jederzeit im Bereich »Network« 

anpassen. Benutzername und Kennwort 

zum Anmelden an der Weboberfläche 

finden Sie über »System | Users«. 

Im unteren Bereich lassen sich weitere 

Benutzer mit unterschiedlichen Rollen 

anlegen und Kennwörter bereits angelegter 

Benutzerkonten ändern. 

Citrix NetScaler kann aber nicht nur lokale 

Benutzer und Administratoren anbinden, 

sondern auch Benutzerkonten 

aus einem Active Directory. Die Anbindung 

nehmen Sie über virtuelle Server 

in VPX vor. Diese steuern Sie im Bereich 

»System | Authentication | LDAP | Server«. 

Sie benötigen zur Anbindung ans 

Active Directory einen Namen für den 

virtuellen Server, die IP-Adresse eines 

Domänen-Controllers, eine »OU« sowie 

den Benutzernamen eines Administrators 

in der Domäne. Richtlinien für die 

Authentifizierung über Active Directory 

legen Sie über »System | Authentication 

| LDAP | Policies« an. Die genauen Anleitungen 

finden Sie in der PDF-Datei 

in [9]. 

NetScaler produktiv nutzen 

Um NetScaler optimal zu nutzen, 

sollte das Gerät über mindestens zwei 

Netzwerkschnittstellen verfügen. Eine 

Schnittstelle ist mit dem internen 

Netzwerk, die andere mit dem externen 

Netzwerk verbunden. Wie bei 

Microsofts TMG gibt es aber auch bei 

Net Scaler die Möglichkeit, auf eine einzelne 

Netzwerkkarte zu setzen. 

Achten Sie beim produktiven Einsatz 

von NetScaler darauf, dass Sie eine Lizenzdatei 

einspielen müssen. Diese finden 

Sie im Bereich »System | Licenses« 

der Weboberfläche. Häufig brauchen 


Security 


89 

Sie zur Lizenzierung auf der Citrix-Webseite 

die Host-ID des NetScaler-Servers. 

Dabei handelt es sich um die MAC- 

Adresse. Setzen Sie eine VPX-Version 

ein, erfahren Sie die MAC-Adresse direkt 

im Hypervisor. 

Auch mit der Testversion und der 

kostenlosen Edition »NetScaler VPX 

Express Edition« können Sie Netzwerke 

umfassend sichern und Anwendungen 

veröffentlichen. Dazu müssen Sie 

sogenannte AppExpert-Templates herunterladen 

und installieren [10]. Diese 

unterstützen Sie bei der Einrichtung 

ähnlich wie die Einrichtungsassistenten 

zur Veröffentlichung von Exchange und 

SharePoint. Bei den Vorlagen handelt 

es um einfache XML-Dateien. 

In der Weboberfläche finden Sie die 

AppExpert-Vorlagen von NetScaler im 

Bereich »AppExpert«. In der Mitte des 

Fensters können Sie die Download- 

Seite der AppExpert-Vorlagen öffnen 

und mit »Import AppExpert Template« 

in die virtuelle Appliance importieren. 

Sind die Vorlagen erst integriert, können 

Administratoren interne Lösungen 

wie Exchange anbinden – wenn auch 

nicht so bequem wie mit TMG. So müssen 

Sie vor dem produktiven Einsatz 

des NetScalers einiges an Netzwerkwissen 

zusammentragen und etliche Einstellungen 

vornehmen. So schnell das 

Produkt installiert ist, so lange dauert 

eine Veröffentlichung der verschiedenen 

Dienste. 

NetScaler managen 

Neben den bereits genannten Funktionen 

können Sie NetScaler als Access 

Gateway an XenDesktop oder XenApps 

anbinden. Dazu steht in der Weboberfläche 

der Bereich »Access Gateway« 

zur Verfügung. Über diesen können 

Sie zentral auch diese Bereiche zur 

Veröffentlichung im Internet steuern. 

Verschiedene Unterbereiche und Assistenten 

helfen bei der Einrichtung. 

Interne Anwendungen und die Arbeit 

der Datenbank lassen sich mit der 

Weboberfläche auch überwachen. 

Dazu steht das »Dashboard« zur Verfügung. 

Dieses starten Sie in der Weboberfläche 

im oberen Bereich. Über 

den Link »Reporting« erstellt NetScaler 

ausführliche Berichte. 

Abbildung 5: NetScaler lässt sich mithilfe der Weboberfläche auch überwachen. 

Im Bereich »Configuration« passen Sie 

NetScaler an, starten die verschiedenen 

Assistenten und importieren die 

verschiedenen AppExpert-Vorlagen. 

Wählen Sie links den Bereich, in dem 

Sie Veränderungen vornehmen möchten, 

und rechts davon dann die passenden 

Einstellungen. 

Besser auf Desktops und 

Apps zugreifen 

Mit der neuen Version 10.1 von Net- 

Scaler lassen sich veröffentlichte Desktops 

und Apps noch besser absichern, 

schneller veröffentlichen und auch 

von Smartphones und Tablets aus besser 

nutzen. Dazu nutzt NetScaler das 

Citrix-Protokoll HDX. 

Außerdem hat Citrix einen Exchange- 

ActiveSync-Proxy in NetScaler integriert. 

Damit können Anwender mobil 

über NetScaler auf Exchange-Postfächer 

sicher zugreifen. Unternehmen, 

die auf NetScaler SDX setzen, können 

für Exchange ActiveSync auf dieser 

Basis auch eine eigene Instanz erstellen 

und betreiben. Auch wenn die 

angebundenen Smartphones ständig 

die Leitungsgeschwindigkeit wechseln, 

zum Beispiel von 3G zu LTE oder WLAN, 

bleiben Verbindungen bestehen. Dazu 

nutzt NetScaler »TCP Multipath«. Auch 

neue Protokolle wie Googles SPDY- 

Erweiterungsprotokoll kennt NetScaler 

in der Version 10.1. Mit SPDY lassen 

sich HTTP-Verbindungen deutlich beschleunigen. 

Fazit 

Sicherlich ist Citrix NetScaler ein 

hervorragendes Produkt, um TMG-Installationen 

abzulösen. Es ist nicht 

nur für große Unternehmen, sondern 

durchaus auch für kleine Unternehmen 

und Niederlassungen geeignet. Da die 

Lösung teilweise auch kostenlos zur 

Verfügung steht und sich umfassend 

testen lässt, sollten Administratoren 

einen Blick auf das Produkt werfen, 

insbesondere wenn Sie einen Ersatz für 

TMG suchen. In einer virtuellen Testumgebung 

ist Citrix NetScaler schnell 

einsatzbereit und lässt sich in bestehende 

Netzwerke flott integrieren. 

Unternehmen, die ohnehin schon auf 

Citrix-Produkte setzen, können von der 

Interaktion mit NetScaler profitieren. 

(ofr) n 

n Info 






Admin 

Ausgabe 11-2013

90 


RESTful-HA 

Hochverfügbarkeit für RESTful-Dienste am Beispiel von OpenStack 

Weichensteller 

RESTful-Dienste erfreuen sich derzeit großer Beliebtheit, gerade im Zusammenhang mit Clouds. Um 

HTTP-basierte Services hochverfügbar zu machen, bietet sich dem Admin ein Füllhorn an Möglichkeiten. 

Auf die Kombination kommt es an! Martin Loschwitz 

Hochverfügbarkeit ist mittlerweile ein 

elementarer Bestandteil jedes neuen 

Setups, das IT-Architekten aus der 

Taufe heben. Denn die Summen, die 

sich wegen entgangener Geschäfte und 

Strafzahlungen nach Ausfällen ergeben, 

sind oft derart hoch, dass bereits ein 

einziger Vorfall teurer kommt als ein 

von Anfang an ordentlich implementiertes 

High-Availability-Setup. 

Auf Linux-Systemen steht dem Admin 

in Form des Linux-HA-Stacks mit 

Corosync und dem Cluster-Manager 

Pacemaker [1] dabei ein umfassender 

Werkzeugkoffer zur Verfügung, mit dem 

sich zuverlässig Hochverfügbarkeit 

realisieren lässt. Doch es muss nicht 

immer Pacemaker sein – es gibt auch 

andere Möglichkeiten, die durchaus 

im praktischen Einsatz sind. Geht es 

beispielsweise darum, die ständige 

Verfügbarkeit für HTTP-basierte Dienste 

zu gewährleisten, dann bieten sich 

Loadbalancer an. Gerade für die im 

Augenblick sehr beliebten Dienste auf 

Grundlage des REST-Prinzips existiert 

damit eine echte Alternative zu den 

klassischen Failover-Setups, wie sie mit 

Cluster-Managern machbar sind. 

HA-Hintergründe 

Die gängige Lehre beschreibt Hochverfügbarkeit 

grundsätzlich als den 

Zustand eines Systems, bei dem eine 

elementare Komponente ausfallen 

kann, ohne dass es zu einer längeren 

Downtime kommt. Ein klassischer 

Ansatz zur Lösung dieses Problems besteht 

in sogenannten Failover-Clustern 

nach dem Active-Passive-Prinzip. Dabei 

existieren mehrere Server, idealerweise 

mit identischer Hardware, derselben 

Software und auch der gleichen Konfiguration. 

Ein Rechner ist jeweils aktiv, 

ein zweiter Rechner steht parat und 

übernimmt bei Bedarf den Betrieb der 

Applikation, die zuvor auf dem ausgefallenen 

ersten System lief. Eine elementare 

Komponente in einem Setup 

dieser Art ist stets ein Cluster-Manager 

wie Pacemaker, der sich um die Überwachung 

der Server kümmert und bei 

Bedarf den Neustart des Services auf 

dem überlebenden System einleitet. 

Damit ein Failover funktionieren kann, 

müssen ein paar Komponenten des 

Systems Hand in Hand zusammenarbeiten. 

Zwingend ist – wie zuvor 

beschrieben – eine auf beiden Servern 

installierte Anwendung mit identischer 

Konfiguration. Ein zweites wichtiges 

Thema sind die Daten, die die Anwendung 

braucht: Falls es sich zum Beispiel 



RESTful-HA 

91 

Ying Feng Johansson, 123RF 

Abbildung 1: Mittels eines Loadbalancers und Pacemaker lässt sich auch der Proxy-Server 

des Swift-Speichers hochverfügbar machen und ordentlich in die Breite skalieren. 

Pacemaker übernimmt dabei vor allem Überwachungsaufgaben. 

Gute Verbindungen 

Ein weiteres Thema ist die Verbindung 

der Clients zum hochverfügbaren 

Dienst: Eine echte HA-Lösung sollte es 

dem Clients keinesfalls vorschreiben, 

nach dem Failover die eigene Konfiguration 

zu verändern, um eine Verbindung 

zum neuen Server aufbauen zu 

können. Stattdessen arbeiten Admins 

hier meist mit sogenannten Virtual-IPs 

oder Service-IPs: Eine IP-Adresse ist 

dann fest an einen Dienst gebunden 

und stets auf dem Host zu finden, auf 

dem dieser Dienst zu dieser Zeit tatsächlich 

läuft. Wann immer ein Client 

eine Verbindung zu dieser Adresse aufum 

eine Datenbank handelt, sollte sie 

die gleichen Daten auf beiden Rechnern 

zur Verfügung haben. Das wird 

beispielsweise durch Shared Storage 

möglich, der in Form von Cluster- 

Filesystemen wie GlusterFS oder Ceph 

oder Netzwerk-Filesystemen wie NFS 

oder Replikationslösungen wie DRBD 

daherkommen kann (DRDB kommt in 

Frage, wenn es sich tatsächlich um einen 

Zwei-Knoten-Cluster handelt). 

baut, wird er also dort auch den erwarteten 

Dienst finden. 

Handelt es sich um eine Software, die 

Verbindungen im Stateful-Zustand 

nutzt, bei der also eine Client-Server- 

Verbindung permanent existiert, so 

sollte der Client über ein Feature verfügen, 

das einen automatischen Reconnect 

bewerkstelligt. Die Clients für die 

gängigen Datenbanken, also MySQL 

oder PostgreSQL, sind hierfür Beispiele. 

Deutlich einfacher im Umgang sind 

Stateless-Protokolle wie HTTP: Hier 

öffnet der Client für jede Server-Anfrage 

eine eigene Verbindung. Ob er beim 

ersten Request mit Knoten A oder Kno- 

n SSL im Handumdrehen 

Die im Artikel beschriebene Vorgehensweise ermöglicht es Admins, 

RESTful-Komponenten über Loadbalancing hochverfügbar zu machen. 

Wer obendrein SSL für seine Dienste anbieten möchte, bekommt das 

Feature in Loadbalancer-Setups quasi als Nebeneffekt hinzu, denn 

praktisch jeder Loadbalancer bietet auch die Möglichkeit einer SSL- 

Verschlüsselung. Der im Artikel vorgestellte HAProxy [3] kann das ausdrücklich 

seit Version 1.5. Die Idee ist im Grunde simpel: Die Verbindung 

zwischen Client und Loadbalancer ist verschlüsselt, die Verbindung 

zwischen Balancer und dem eigentlichen Zielhost aber nicht. Das ist 

insofern zu verschmerzen, als dass die Daten auch beim SSL-gestützten 

Loadbalancing ja zumindest die Zielplattform erreicht haben. Wäre 

diese kompromittiert, so würde sich das in der Regel sowohl auf den 

Webserver wie auch auf die Balancer erstrecken, und irgendeine Form 

von Verschlüsselung wäre so oder so im Verdacht, bereits aufgebrochen 

zu sein. De facto macht es also keinen Unterschied, wo die SSL-Verbindung 

terminiert, solange sie das erst im Wirkungsbereich der Zielplattform 

tut und nicht außerhalb. 

Einige Anwendungen bauen übrigens fest darauf, dass sie sich um SSL 

selbst gar nicht zu kümmern brauchen – OpenStack Swift ist ein gutes 

Beispiel: Der Dienst hat zwar die Möglichkeit, über die RESTful-Komponente 

»swift‐proxy« SSL-Zertifikate auszuliefern, doch ist dieses Feature 

in der Dokumentation nur zu Testzwecken freigegeben. Wer Swift 

produktiv mit SSL einsetzen möchte, soll das über eine Loadbalancer- 

Lösung (Abbildung 4) erledigen. 


Admin 

Ausgabe 11-2013

92 


RESTful-HA 

Abbildung 2: HAProxy ist eine Applikation, die ausschließlich im Userspace werkelt. Sie bietet eine übersichtliche Statistikseite, über 

die sich auch Backends aktivieren und deaktivieren lassen. 

ten B redet, ist also völlig egal. Findet in 

der Zwischenzeit ein Failover statt, so 

merkt der Client davon nichts. 

Failover-Nachteile 

Das beschriebene Failover-Modell 

kommt mit ein paar unangenehmen 

Nachteilen daher, die dem Image solcher 

Installationen schaden. Einerseits 

stehen sie im Verdacht, ökologisch 

problematisch zu sein, weil einer 

der Knoten immer läuft, Energie verbraucht 

und Wärme produziert, ohne 

etwas Sinnvolles zu tun. Andererseits 

genießt die Usability der vielen Cluster- 

Manager, allen voran Pacemaker, 

keinen guten Ruf, obwohl sich das in 

der Vergangenheit oft genug als altes 

Vorurteil gegenüber Heartbeat 2 erwiesen 

hat, dem direkten Vorgänger von 

Pacemaker. Bleibt das Argument, dass 

Failover-Setups für manche Dienstarten 

nicht die beste Möglichkeit darstellen, 

um Hochverfügbarkeit zu erreichen. 

RESTful-Dienste, die auf HTTP oder 

HTTPS basieren, sind ein klassiches 

Beispiel. 

n Loadbalancing per DNS? 

Grundsätzlich existieren mehrere Möglichkeiten, um Loadbalancing zu 

realisieren. Eine besteht in der Lösung, die dieser Artikel vorstellt: 

Dabei kommt eine Loadbalancing-Software zum Einsatz, die eingehende 

Verbindungen entgegennimmt, danach auf die Backend-Server 

im Hintergrund verteilt und nebenbei noch SSL quasi als ein Neben- 

Feature mitbringt. 

Wer ohne Loadbalancer-Software auskommen möchte, kann alternativ 

auf DNS-basiertes Round-Robin-Balancing setzen, sollte sich aber der 

Nachteile bewusst sein, die eine solche Lösung mit sich bringt. Da wäre 

zunächst die Tatsache, dass sich DNS-Einträge nicht von jetzt auf gleich 

ändern lassen. Ein DNS-Eintrag, der fünf A-Records hat, wird im Falle 

des Ausfalls einer der Zielserver dazu führen, das 20 von 100 Clients 

eine Fehlermeldung erhalten. Vermeiden ließe sich das Problem nur 

dadurch, dass die Ziel-IPs selbst wiederum in einem Pacemaker-Cluster 

verwaltet werden, so dass zu keinem Zeitpunkt eine IP-Adresse fehlt. 

Ein solches Szenario bietet außerdem keine Möglichkeit, über den 

Loadbalancer selbst die Webserver im Hintergrund zu prüfen. Es ist ja 

durchaus denkbar, dass ein »httpd« nicht funktioniert, obwohl er unter 

seiner üblichen IP-Adresse erreichbar ist – zum Beispiel, weil lokal auf 

dem Zielserver selbst ein Problem existiert. Loadbalancer-Programme 

bieten häufig Monitoring-Funktionen an, die sogar soweit gehen, dass 

sie sich per HTTP mit dem Backend-Server verbinden und prüfen, ob die 

als Antwort auf ihren Request ausgelieferte Seite den Inhalt hat, den sie 

haben soll. Der Admin würde in solchen Fällen typischerweise eine eigene 

Monitoring-Seite bauen, die im Hintergrund verschiedene Checks 

durchführt und am Ende schließlich „Everything works“ ausgibt – erhält 

der Balancer diesen Text ausgeliefert, betrachtet er das Backend als in 

Ordnung; andernfalls wirft er es automatisch aus der Konfiguration und 

leitet neue Verbindungen dorthin erst wieder weiter, wenn das Backend 

erneut den Dienst aufgenommen hat. 

Im Austausch für die genannten Nachteile bietet DNS-Loadbalancing 

die Option, eine zu wartende Software-Komponente weniger im Setup 

zu haben. Insbesondere für einfache, kleine Dienste bietet sich das 

Balancing per DNS insofern an. Und wer ganz große Setups baut, kann 

die beiden Methoden auch gewinnbringend miteinander kombinieren: 

Denkbar wäre zum Beispiel, mehrere aktive Loadbalancer zu betreiben, 

die Clients über DNS-LB erreichen. Die Balancer selbst bilden dann wieder 

einen HA-Cluster mit Pacemaker, der sich um die Hochverfügbarkeit 

der IP-Adressen kümmert. So wäre bereits die Last, die auf den Loadbalancern 

liegt, auf mehrere Systeme verteilbar. 



RESTful-HA 

93 

Abbildung 3: Jeder Dienst in OpenStack kommt mit einer API daher. Im Beispiel zu sehen sind die RESTful-APIs von Nova, Cinder, Glance und 

Quantum sowie Keystone, das selbst ausschließlich eine RESTful-API ist. 

REST 

REST-basierte Dienste waren im Admin- 

Magazin in letzter Zeit einige Male 

Gegenstand der Betrachtung. Im Kontext 

von Cloud-Computing-Lösungen 

erleben sie einen wahren Aufschwung. 

Denn immer mehr Hersteller von 

Anwendungen gehen dazu über, für 

die Kommunikation zwischen ihren 

Diensten und den Clients nicht ein eigenes 

On-Wire-Protokoll zu entwerfen, 

sondern stattdessen lieber das seit 

gefühlter Ewigkeit vorhandene HTTP- 

Protokoll zu nutzen. Dann braucht es 

„nur“ noch eine definierte API, damit 

ein Client standardisiert auf einem Server 

URLs aufrufen kann, gegebenenfalls 

spezifische Header mitschickt und der 

Server weiß, was er tun soll – fertig ist 

das RESTful-Interface. 

Gerade weil HTTP eines der erprobtesten 

Protokolle des Internets ist, haben 

sich über die Frage der Hochverfügbarkeit 

bereits vor längerer Zeit clevere 

Entwickler Gedanken gemacht. Die 

gängige Lösung, um Hochverfügbarkeit 

und zugleich auch Scale-Out bei HTTP- 

Diensten in den Griff zu kriegen, sind 

Loadbalancer. 

Loadbalancer-Lösungen 

Die Grundidee eines solchen Web- 

Loadbalancers ist simpel: Eine Software 

lauscht auf einem System auf 

der Adresse und auf dem Port, der 

eigentlich zur Anwendung gehört. Das 

ist der Loadbalancer. Im Hintergrund 

existieren die sogenannten Backend- 

Server, also die eigentlichen Webserver. 

Der Loadbalancer nimmt eingehende 

Verbindungen an und verteilt sie nach 

einem festen Modus auf die Backend- 

Server. So ist für eine gleichmäßige 

Auslastung gesorgt, und obendrein gibt 

es kein System, das nichts tut. 

Neben den Software-basierten Loadbalancern, 

mit denen sich dieser Artikel 

maßgeblich beschäftigt, sind die Loadbalancer-Appliances 

mittlerweile sehr 

beliebt, weil sie fix und fertig vom Hersteller 

kommen und nur noch ein Mindestmaß 

an Konfiguration benötigen. 

Spannender ist allerdings ein Überblick 

über die Software-Implementationen, 

die für Linux zur Verfügung stehen. 

Mit Loadbalancern ist es so ein bisschen 

wie mit Identd-Daemons oder 

IRC-Servern: Für praktisch jeden 

Geschmack ist etwas dabei. Wer aus 

der Netzwerk-Ecke kommt, wird an 

»ldirectord« [2] Gefallen finden, denn 

es handelt sich nicht nur um einen der 

erprobtesten Loadbalancer für Linux, 

sondern außerdem um eine der wenigen 

Implementierungen, die auf IPVS 

aufbaut und direkt im Kernel ansetzt. 

Als Alternative gelten solche Loadbalancer, 

die komplett im Userspace 

beheimatet sind; der prominenteste 

n Listing 1: »haproxy.cfg« 

01 global 

02 log 127.0.0.1 local0 

03 maxconn 4000 

04 daemon 

05 uid 99 

06 gid 99 

07 

08 defaults 

09 log global 

10 mode http 

11 option httplog 

12 option dontlognull 

13 timeout server 5s 

14 timeout connect 5s 

15 timeout client 5s 

16 stats enable 

17 stats refresh 10s 

18 stats uri /stats 

19 

Vertreter dieser Art ist zweifelsohne 

HAProxy (Abbildung 3), mit dem sich in 

kürzester Zeit ebenfalls Loadbalancer- 

Setups aus der Taufe heben lassen. Das 

Listing 1 zeigt eine beispielhafte Konfiguration 

für HAProxy (/etc/haproxy/ 

haproxy.cfg), die bereits SSL unterstützt 

und eingehende Requests auf Port 80 

auf drei verschiedene Backend-Server 

weiterleitet. 

Sind die Backend-Server so konfiguriert, 

dass auf jedem der Computer 

ein Webserver oder ein RESTful-Dienst 

lauscht, bildet das Gespann aus HA- 

Proxy und jenen Backend-Servern 

bereits ein komplettes Setup. Es 

hängt insofern nicht davon ab, ob der 

RESTful-Dienst selbst einen Webserver 

als externen Dienst braucht, wie es beispielsweise 

beim Rados-Gateway der 

Fall ist, das zu Ceph gehört, oder ob der 

Dienst selbst auf einem Port lauscht, 

wie im OpenStack-Beispiel, bei dem 

sämtliche API-Dienste die Kontrolle 

20 frontend https_frontend 

21 bind www.example.com:443 ssl crt / 

etc/haproxy/www.example.com.pem 

22 mode http 

23 option httpclose 

24 option forwardfor 

25 reqadd X‐Forwarded‐Proto:\ https 

26 default_backend web_server 

27 

28 backend web_server 

29 mode http 

30 balance roundrobin 

31 cookie SERVERID insert indirect 

nocache 

32 server s1 10.42.0.1:443 check 

cookie s1 

33 server s2 10.42.0.1:443 check 

cookie s2 


Admin 

Ausgabe 11-2013

94 


RESTful-HA 

Abbildung 4: Keystone ist das Telefonbuch der OpenStack-Cloud. Wenn auf »alice.local« jeweils ein Loadbalancer am betreffenden Port läuft, 

funktioniert das Setup wie gewünscht. 

über den HTTP- oder HTTPS-Port selbst 

übernehmen (Abbildung 2). 

n Listing 2: Pacemaker mit DNS-RR-HAProxy 

01 primitive p_ip_lb1 oct:heartbeat:IPaddr2 \ 

02 params ip="208.77.188.166" cidr_netmask=24 iflabel="lb1" \ 

03 op monitor interval="20s" timeout="10s" 

04 primitive p_ip_lb2 oct:heartbeat:IPaddr2 \ 

05 params ip="208.77.188.167" cidr_netmask=24 iflabel="lb2" \ 


07 primitive p_haproxy ocf:heartbeat:haproxy \ 

08 params conffile="/etc/haproxy/haproxy.cfg" \ 


10 clone cl_haproxy p_haproxy 

11 location p_ip_lb1_on_alice p_ip_lb1 \ 

12 rule $id="p_ip_lb1_prefer_on_alice" inf: #uname eq alice 

13 location p_ip_lb2_on_bob p_ip_lb2 \ 

14 rule $id="p_ip_lb2_prefer_on_bob" inf: #uname eq bob 

Hochverfügbarkeit für den 

Loadbalancer 

Das vorgestellte HAProxy-Setup kommt 

mit einem kleinen Pferdefuß daher, 

um den sich der Admin noch zu kümmern 

hat: Zwar wäre der Zugriff auf 

die Webserver problemlos möglich, 

solange auch nur ein einziger Backend- 

Server im Rennen ist. Kritisch würde es 

allerdings, wenn der Rechner ausfällt, 

auf dem der Loadbalancer läuft: Dann 

würden Kunden, die sich mit der IP 

des Loadbalancers verbinden wollen, 

nämlich plötzlich im Regen stehen und 

merken, dass die gesamte Plattform 

nicht funktioniert. Es gilt insofern zu 

verhindern, dass der Loadbalancer 

zum hässlichen Single Point of Failure 

(SPOF) in der Installation wird. An dieser 

Stelle kommt wieder Pacemaker 

ins Spiel, der sich für diese Aufgabe 

ganz hervorragend eignet. Wer also ein 

Loadbalancer-Setup plant, der sollte 

sich mit Pacemaker zumindest grundlegend 

anfreunden – es sei denn, es 

käme eine kommerzielle Balancer-Lösung 

zum Einsatz, die sich des Themas 

HA automatisch annimmt. 

Konkret bieten sich dem Admin zwei 

Möglichkeiten, das Problem in den Griff 

zu bekommen. Variante 1 sieht vor, 

die Loadbalancer-Software auf einen 

eigenen Failover-Cluster zu legen und 

Pacemaker die Aufgabe zu übertragen, 

stets für die HAProxy-Funktionalität zu 

sorgen. Mittels einer »clone«-Direktive 

wäre es sogar möglich, HAProxy-Instanzen 

auf beiden Servern laufen zu lassen 

und die Installation mit DNS-Round- 

Robin-Balancing zu kombinieren, so 

dass es nicht permanent einen funktionslosen 

Knoten in der Installation 

gibt. Listing 2 enthält die beispielhafte 

Pacemaker-Konfiguration für eine solche 

Lösung mit dezidiertem Loadbalancer-Cluster. 

Der Vorteil: Die Last, die die 

Balancer selbst hervorrufen, bleibt separiert 

und beeinflusst nicht die Server, 

auf denen die Applikation läuft. 

Genau das wäre in Variante 2 der Fall: 

Hier ist die Annahme, dass einer der 

ohnehin vorhandenen Backend-Server 

einfach noch den Loadbalancer mit auf 

seine Kappe nimmt. Wiederum kombiniert 

mit Pacemaker wäre so sichergestellt, 

dass auf einem der Knoten stets 

ein Loadbalancer läuft, die Plattform 

also für eingehende Requests zur Verfügung 

steht. Falls die durch den Balancer 

verursachte Last vernachlässigbar 

klein ist, bietet sich eine solche Lösung 

insbesondere dann an, wenn insgesamt 

nur wenig Hardware verfügbar ist. 

Technisch sauber ist allerdings die Variante 

mit eigenem Balancer-Cluster. 

Pacemaker als Apache- 

Wachhund 

Übrigens: Ganz gleich für welches der 

beiden Designs sich ein Admin auch 

entscheidet: Pacemaker besitzt eine 

überaus nützliche Funktion, was die 

Webserver-Prozesse auf den Backend- 

Hosts angeht. Denn Pacemaker kann 

ganz automatisch in regelmäßigen 

Abständen überprüfen, ob diese noch 

laufen. Mittels einer »clone«-Direktive 

kann das für alle Backend-Server auf 

einmal geschehen. In Abhängigkeit von 

der Größe des Setups bietet Pacemaker 

so einen echten Mehrwert. Aber Vorsicht: 

Mehr als 30 Knoten funktionieren 

in einem Pacemaker-Cluster mehr 

schlecht als recht, sodass 30 Knoten für 

einen Verbund von Backend-Servern 

die Maximalgröße darstellt, falls Pacemaker 

zum Einsatz kommen soll. Ein 

2er-Set aus Apache-Ressource und 

clone-Direktive kann zum Beispiel so 

aussehen: 

primitive p_apache ocf:lsb:apache2 U 

op monitor interval="30s" 

timeout="20s" 

clone cl_apache p_apache 

Am Beispiel von OpenStack 

Bis dato beschäftigt sich dieser Artikel 

maßgeblich mit der Frage, wie sich 

für RESTful-basierte APIs mittels eines 



RESTful-HA 

95 

Abbildung 5: Was chaotisch aussieht, ist in Wirklichkeit der Traffic, der zwischen dem Keystone- 

Client und dem Server passiert – im Bild zu sehen ist die Übermittlung eines SSL-signierten 

Authentifizierungstokens. Gut zu erkennen: HTTPS ist das Mittel der Wahl. 

Loadbalancers Hochverfügbarkeit erreichen 

lässt. Der oben beschriebene 

Weg führt zu einer Installation aus mehreren 

Servern mit einem kompletten 

Loadbalancer-Setup inklusive Backend- 

Hosts. Dabei lässt die Beschreibung bis 

dato allerdings Spezifika hinsichtlich 

einzelner RESTful-Lösungen aus. Besonders 

im Cloud-Kontext, in dem 

REST-Interfaces gerade eine echte Blütezeit 

erleben, ist die Verwendung der 

Schnittstellen aber sehr oft hochgradig 

spezifisch. OpenStack ist ein gutes 

Beispiel dafür: Jeder der OpenStack- 

Dienste hat mindestens eine API oder 

ist selber eines. Was gemeinhin als 

OpenStack-Cloud beschrieben wird, ist 

in Wirklichkeit eine Ansammlung von 

diversen Komponenten, die zusammenspielen. 

Nun ist es bekanntlich bei OpenStack 

so, dass ein Hauptaugenmerk beim Design 

der Umgebung auf Skalierbarkeit 

in der Breite liegt. Nutzer kommunizieren 

ständig mit den einzelnen Komponenten 

und auch die Dienste selbst 

reden ausgiebig miteinander. 

Damit sie das tun können, müssen sie 

aber wissen, unter welcher Adresse ein 

Dienst wie Glance oder Nova gerade 

zu erreichen ist. OpenStack verwendet 

für diese Aufgabe die Komponente 

Keystone (Abbildung 1), die in ihrer 

Datenbank die Liste der Endpoints 

pflegt. Als Endpoint bezeichnen die 

OpenStack-Entwickler dabei die URL 

einer RESTful-API, über die sie Befehle 

von außen entgegennimmt. Der Clou: 

Die Endpoint-Datenbank ist dadurch 

nicht statisch. Um also zum Beispiel die 

Adresse zu ändern, unter der Nova von 

allen anderen erreicht werden kann, 

genügt es, einfach den Endpunkt in 

Keystone umzuleiten. 

Das sorgt für wesentlich mehr Flexibilität, 

als es hartkodierte Werte in 

Konfigurationsdateien tun würden, 

denn qua Design fragt jeder Client in 

OpenStack die Endpunkt-Adresse eines 

Dienstes neu ab, bevor er sich mit 

ihm verbindet. 

Wenn in einem solchen Setup Hochverfügbarkeit 

für RESTful-Dienste mittels 

eines Loadbalancer-Setups erwünscht 

ist, dann umfassen die nötigen Schritte 

also mehr als die Installation von zusätzlichen 

RESTful-Diensten und HA- 

Proxy. Das ist ohnehin kein besonderes 

Problem, weil in OpenStack beliebig 

viele Instanzen der API-Dienste gleichzeitig 

vorhanden sein dürfen, solange 

diese im Hintergrund auf die gleiche 

Datenbank zugreifen. Wichtig ist aber, 

dass sich die Endpoint-Konfiguration 

in Keystone dem HA-Umstand anpasst. 

Ganz konkret bedeutet das, dass dort, 

wo vorher in der Endpoint-Datenbank 

die IPs der APIs selbst eingetragen 

waren, nun Verweise auf die Loadbalancer 

einzutragen sind. Keystone 

leitet die Benutzer bei Anfragen also 

an die Loadbalancer weiter, die im Hintergrund 

dann die Verbindung zu den 

Backend-Servern herstellen – wo die eigentlichen 

OpenStack-APIs laufen. Das 

Schema lässt sich sowohl für interne 

wie auch für externe Verbindungen realisieren 


Fazit 

Dass Cloud-Computing-Lösungen wie 

OpenStack, Eucalyptus und CloudStack 

auf RESTful-Schnittstellen setzen, 

erleichtert im Hinblick auf Hochverfügbarkeit 

so einiges. Schließlich ist für 

das zugrunde liegende HTTP-Protokoll 

nunmehr eine Lösung für jedes Problem 

zu haben, weil irgendwer in den 

20 Jahren, die HTTP auf dem Buckel 

hat, das Problem bereits gelöst hat. 

Wenn es um alleinstehende APIs geht, 

genügen mehrere Webserver und ein 

Balancer, um Scale-Out und HA zu 

erreichen. Wer HA auf Loadbalancer- 

Ebene will, erreicht mit Pacemaker sein 

Ziel, ohne eine komplexe Cluster-Konfiguration 

auf sich zu laden. Wer bereits 

eine Cloud-Umgebung betreibt, kann 

über den beschriebenen Weg Hochverfügbarkeit 

sogar sehr leicht nachrüsten 

und seine Installationen so gegen Ausfälle 

absichern. (jcb) n 

n Info 

n Autor 





Martin Gerhard Loschwitz arbeitet als Principal 

Consultant bei hastexo. Er beschäftigt sich dort 

intensiv mit Hochverfügbarkeitslösungen und pflegt 

in seiner Freizeit den Linux-Cluster-Stack für Debian 

GNU/Linux. 


Admin 

Ausgabe 11-2013

96 

Security 


bowie15, 123RF 

Firewall in der Amazon Cloud 

Aus dem Hut gezaubert 

Die Cloud ist nicht nur für Server praktisch: Auch virtuelle Netzwerkgeräte lassen sich dort bequem konfigurieren. 

Am Beispiel einer Sophos-Firewall beschreibt dieser Artikel die Vorteile und führt die Inbetriebnahme eines Firewall-Systems 

in der Amazon Cloud vor. Thomas Zeller 

Die Elastic Compute Cloud EC2 von 

Amazon bietet in erster Linie die Möglichkeit, 

virtuelle Server zu konfigurieren 

und in der Cloud zu betreiben [1]. 

Ein solcher »Server« kann natürlich 

auch eine Firewall sein. Prinzipiell 

kommen hier alle Systeme in Frage, 

die als Software auf einer virtuellen 

Plattform betrieben werden können. 

Noch einfacher ist es natürlich, wenn – 

wie im Falle der Sophos-UTM-Firewall 

(früher Astaro Security Gateway) – der 

Hersteller bereits ein vorkonfektioniertes 

Amazon Machine Image (AMI) über 

den AWS-Marketplace zur Verfügung 

stellt. Doch welche Vorteile bietet nun 

der Betrieb einer Firewall in der Cloud 

beziehungsweise die Cloud-Anbindung 

über die Firewall? Nachfolgend stellen 

wir die beiden wichtigsten Use-Cases 

kurz vor. 

Ein typisches Anwendungsszenario für 

die Nutzung von AWS-Diensten ist der 

Betrieb eines oder mehrerer Server, 

zum Beispiel Webserver oder Terminalserver 

in der Amazon Cloud, die 

mit einer eigenen Firewall geschützt 

werden sollen. In diesem Fall werden 

die Server im privaten Teil einer Virtual 

Privte Cloud (VPC) betrieben. Die 

Firewall-Instanz wird dann mit je einer 

Schnittstelle mit dem privaten Teil der 

VPC und mit dem öffentlichen Teil der 

Abbildung 1: Mit der Virtual Private Cloud stellt Amazon ein isoliertes Netzwerk zur 

Verfügung. Hier kann man Server betreiben, die sich sogar mit einer eigenen Firewall 

schützen lassen. 




97 

VPC verbunden. Der öffentliche Teil der 

VPC bekommt eine offizielle IP-Adresse, 

sodass die Firewall und damit auch die 

dahinter stehenden Server aus dem Internet 

erreichbar sind (Abbildung 1). 

Cloud-Erweiterung fürs 

lokale Netz 

Noch spannender wird es, wenn Serversysteme 

aus dem LAN in der Amazon 

Cloud betrieben oder ausgelagert 

werden sollen. Denn auf diese Weise 

lässt sich eine lokal installierte Client- 

Server-Infrastruktur leicht mit zusätzlichen 

Ressourcen aus dem virtuellen 

Amazon-Rechenzentrum erweitern. Als 

Bindeglied fungiert in diesem Fall wiederum 

eine Sophos-UTM-Firewall, die 

diesmal allerdings auf der lokalen Seite 

und nicht in der Cloud installiert wird. 

Dank des integrierten VPC-Connectors 

kann eine als lokales Internet-Gateway 

eingesetzte Sophos-UTM-Firewall eine 

IPsec-VPN-Verbindung zur Amazon 

Cloud herstellen und auf diese Weise 

das lokale Rechenzentrum mit dem 

virtuellen Rechenzentrum bei Amazon 

verbinden (Abbildung 2). 

Der gesamte Vorgang ist für die Benutzer 

transparent. Dienste der bei 

Amazon laufenden Server lassen sich 

also vom LAN aus direkt ansprechen, 

eventuell erwünschte Beschränkungen 

für lokale Netze oder Benutzer kann der 

Administrator natürlich auf der Firewall 

einstellen. Der Sophos-UTM-VPC-Connector 

unterstützt das Border Gateway 

Protocol (BGP). So kann ein redundan- 

Abbildung 2: Per Hardware-VPN lassen sich Ressourcen in der Amazon Cloud so nutzen, 

als befänden sie sich im eigenen Netzwerk. Die Verbindung wird in unserem Fall über 

den VPC-Connector einer Sophos-UTM-Firewall hergestellt. 

ter IPsec-Tunnel zwischen Firewall und 

VPC betrieben werden. Zu beachten 

ist in diesem Szenario allerdings, dass 

Amazon für jede angefangene VPN-Verbindungsstunde 

0,05 US-Dollar extra 

berechnet; hinzu kommt noch der obligatorische 

AWS-Datentransfer. Diese 

Konstellation bietet Administratoren 

eine enorme Flexibilität, denn Serveroder 

Speichersysteme von praktisch 

beliebiger Größenordnung können 

über den VPC-Connector »on the fly« 

bereitgestellt werden. 

Start mit Amazon Web 

Services 

Um mit der Amazon Cloud arbeiten zu 

können, müssen Sie zunächst unter 

[https:// aws. amazon. com] einen AWS- 

Account einrichten. Für diesen wird 

zwingend eine Kreditkarte benötigt – 

ein Account für den Amazon Online 

Shop reicht also nicht aus. Nachdem 

Ihr Account eingerichtet wurde, sollten 

Sie das Konto im nächsten Schritt 

gleich absichern. Denn wird das Konto 

von Unbefugten verwendet, entsteht 

n Cloud-Firewall für zentralisierten Internet-Zugang 

Auch die komplette Verlagerung der Firewall vom lokalen Serverraum 

in die Cloud kann besonders für Unternehmen mit vielen Standorten 

interessant sein. Denn im Sinne einer zentralen Internet Usage Policy 

sollte die Internet-Kommunikation für alle Standorte immer über einen 

zentralen Internet-Breakout erfolgen. Die Vernetzung der Standorte erfolgt 

dabei über ein sternförmiges VPN, dessen Zentrum die Firewall in 

der Cloud bildet. Die Vorteile einer solchen Lösung liegen auf der Hand: 

Es existiert nur ein einheitliches Regelwerk für die Benutzer an allen 

Standorten und es muss auch nur ein System (statt eines je Standort) 

administriert werden. Besonders deutlich werden die Vorteile, wenn 

am Standort der Unternehmenszentrale nur wenig Internet-Bandbreite 

zur Verfügung steht. Denn in diesem Falle würde die Internet-Leitung 

am Hauptstandort nicht nur mit dem VPN-Traffic, sondern zusätzlich ja 

auch mit dem Internet-Traffic der Standorte belastet. 

Wird als zentrale Firewall in der Cloud ein Sophos-UTM-System betrieben, 

ist die VPN-Vernetzung mehrerer Standorte durch den Einsatz der 

Sophos-UTM-RED-Technologie besonders einfach. RED ist das Kürzel 

für »Remote Ethernet Device«. Dabei handelt es sich um kleine, wartungsfreie 

VPN-Boxen, die beispielsweise per Post in die Außenstellen 

geliefert und dank eines Provisioning Service über das zentrale Firewall- 

System in Betrieb genommen werden können. Dazu muss der Admin 

lediglich einen Namen sowie die eindeutige Gerätekennung in die 

Sophos-UTM eingeben, um eine Konfigurationsdatei für das jeweilige 

Gerät zu erstellen. Das unkonfigurierte RED-Device wird dann am jeweiligen 

Standort einfach ans Internet und an Strom angeschlossen und als 

Default-Gateway eingesetzt. 

Seine Konfiguration bezieht das Gerät automatisch vom Einrichtungsservice. 

Anschließend verbindet das Gerät den Standort über einen 

sicheren Ethernet-Tunnel mit der Firewall. Der Administrator kann hier 

Regeln für die Inter-Netz-Kommunikation konfigurieren, um beispielsweise 

bestimmte Services nur bestimmten Benutzern zur Verfügung zu 

stellen. Abbildung 3 veranschaulicht dieses Szenario. 


Admin 

Ausgabe 11-2013

98 



aus dem Service-Menü und legen dort 

eine neue Gruppe an (zum Beispiel 

»Admin«), der Sie dann entweder das 

Policy Template »Administrator Access« 

oder eben individuell eingeschränkte 

Zugriffsberechtigungen zuordnen. 

Legen Sie dann einen persönlichen Benutzer 

für sich selbst an und ordnen Sie 

diesen Account der Gruppe Admin zu. 

Abbildung 3: Interessanter Use-Case: Eine zentrale Firewall in der Amazon Cloud sorgt 

hier in Kombination mit kleinen Hardware-VPN-Boxen für einen zentralen Internet- 

Breakout an allen Standorten mit einheitlicher Internet-Use-Policy. 

schnell großer Schaden. AWS bietet mit 

dem Dienst IAM (Identity and Access 

Management) dafür ein ausgefeiltes 

Framework, mit dem Benutzer und 

Gruppen definiert werden können, denen 

Sie Passwort-Policies und Berechtigungen 

zuordnen können. 

Google Authenticator 

Zusätzlich unterstützt AWS auch die 

Authentifizierung über sogenannte 

Multifaktor Devices (MFA) mit Einmalpasswörtern. 

Im einfachsten (und 

kostenlosen) Fall ist das der Google 

Authenticator, den es praktisch für alle 

Smartphone-Plattformen gibt. Wer es 

noch sicherer mag, kann aber auch zu 

einem dedizierten Hardware-Device 

(Ezio Time Token) von Gemalto greifen, 

das für 12,99 US-Dollar unter [3] erhältlich 

ist. 

Im ersten Schritt sollten Sie einen 

weiteren Benutzer anlegen, damit 

Sie nicht mit dem Root-Account Ihres 

AWS-Kontos arbeiten müssen. Dazu aktivieren 

und starten Sie den IAM-Dienst 

Zwei-Faktor-Authentifizierung 

aktivieren 

Um für Ihren persönlichen Benutzer 

nun den Google Authenticator zu aktivieren, 

installieren Sie ihn zunächst 

auf dem Smartphone. Klicken Sie dann 

im »Users«-Menü den Benutzer mit der 

rechten Maustaste an und wählen Sie 

»Manage MFA Device | A virtual MFA 

Device«. Im Google Authenticator fügen 

Sie über das Pluszeichen jetzt einen 

neuen Account hinzu, wählen »Barcode 

scannen« und scannen den auf 

dem Bildschirm angezeigten QR-Code. 

Auf dem Smartphone wird dann der 

Account mit einem aktuellen Token angezeigt. 

Zur Aktivierung des MFA müssen 

Sie nun noch zwei Token-Codes 

eingeben. Für den AWS-Root-Account 

funktioniert das im Prinzip genauso, 

der Root-Benutzer wird allerdings nicht 

im »Users«-Menü, sondern nur im IAM- 

Dashboard angezeigt. Anschließend 

sollten Sie im Dashboard gleich noch 

einen Account-Alias einrichten. Unter 

der URL in der Notation »https://IhrIn- 

n Von Risiken und Nebenwirkungen: Prism, Tempora & Co 

Spätestens seit Edward Snowdens Enthüllungen um die Machenschaften 

der amerikanischen und britischen Geheimdienste dürfte sich 

überall herumgesprochen haben, dass die Cloud nicht unbedingt der sicherste 

Ort für (unverschlüsselte) Daten ist. Zumal Amazon als amerikanisches 

Unternehmen auch schon vor dem Bekanntwerden von Prism 

& Co aufgrund des Patriot Acts zur Herausgabe von Daten gezwungen 

werden konnte. 

Problematisch bei der Zusammenarbeit mit amerikanischen (oder besser: 

nichteuropäischen) Cloud-Anbietern sind vor allem zwei Aspekte: 

1. Datenschutz (Personenbezogene Daten) 

Werden personenbezogene Daten, zum Beispiel von Mitarbeitern, 

Kunden oder Lieferanten in der Cloud verarbeitet, dürfen diese den 

europäischen Wirtschaftsraum nicht verlassen. Denn für diese Daten 

gilt gemäß der europäischen Datenschutzrichtlinie der Grundsatz, dass 

personenbezogene Daten nur in Staaten übermittelt werden dürfen, die 

„ein angemessenes Datenschutzniveau“ besitzen – die USA gehören de 

facto nicht zu diesen Staaten. 

Eine Ausnahme gilt allerdings für US-Unternehmen, die der Kontrolle 

des Handelsministeriums unterliegen und die bei der Zertifizierung für 

das sogenannte »Safe-Harbor-Abkommen« die Zusammenarbeit mit 

den europäischen Datenschutzaufsichtsbehörden nicht ausgeschlossen 

haben. Unter [2] stellt das US-Handelsministerium eine Liste der für 

das Safe-Harbor-Abkommen zertifizierten Unternehmen bereit. 

2. Wirtschaftsspionage 

Mit dem Bekanntwerden des (bisher bekannten) Ausmaßes der Abhöraktion 

im Rahmen von Prism und Tempora liegt die Vermutung nahe, 

dass die von unseren befreundeten Staaten gewonnenen Daten nicht 

ausschließlich zur Terrorabwehr genutzt werden. Denn schließlich ist 

im britischen »Intelligence Services Act 1994« als Zielsetzung für die 

Geheimdienste unter anderem auch »die Wahrung des wirtschaftlichen 

Wohlergehens des Vereinigten Königreichs« fest verankert. 

Amazon liefert in seinen FAQs dazu folgenden Hinweis [4]: »Bei Wahl 

der Amazon S3-Region EU (Irland) können Kunden sämtliche Daten in 

der EU speichern. Dennoch liegt es in Ihrer Verantwortung sicherzustellen, 

dass Sie die Datenschutzbestimmungen der EU einhalten.« 

Es ist also unverzichtbar, die eigenen Daten vor der Verlagerung in die 

Cloud zumindest auf die beiden oben genannten Aspekte hin zu untersuchen. 




99 

Abbildung 4: Amazons AWS bietet zahlreiche Dienste an. Glücklicherweise lassen sich die am häufigsten benötigten Services fest in der Toolbar 

verankern. 

dividuellerName.signin.aws.amazon. 

com/console« können Sie sich dann mit 

den im IAM eingerichteten Benutzern 

anmelden. 

Szenario 1: Firewall im AWS 

Das folgende Szenario beschreibt, wie 

Sie eine Virtual Private Cloud aufsetzen, 

eine Sophos-UTM-Firewall sowie einen 

Windows-Server in der Amazon Cloud 

installieren und die Regeln einrichten, 

damit diese Systeme miteinander und 

auch mit dem Internet kommunizieren 

können (siehe Abbildung 1). 

Dreh- und Angelpunkt für alle Amazon 

Web Services ist die AWS-Management- 

Console (Abbildung 4). Die für unser 

Vorhaben benötigten Dienste VPC und 

EC2 finden sich in der Gruppe »Compute 

& Networking«. Im ersten Schritt 

soll eine Virtual Private Cloud entstehen, 

in der ein Windows-Server läuft. 

Die Virtual Private Cloud ist prinzipiell 

durch die Amazon-NAT-Firewall vom 

Internet abgeschirmt. Stattdessen soll 

dort aber eine eigene Firewall laufen. 

Sie soll mit einem Netzwerk-Interface 

mit der VPC und dem dortigen Windows-Server 

verbunden werden. Das 

zweite Interface dient zur Anbindung 

an das Internet. 

Tipp: Häufig benötigte Services wie 

EC2 und VPC können Sie sich über den 

»Edit«-Button in der Service-Leiste per 

Drag-and-Drop direkt in die Toolbar ziehen. 

Sie müssen dann nicht jedesmal 

den Umweg über das Menü nehmen, 

um die Konfigurationsoberfläche des 

jeweiligen Service aufzurufen. 

Bring your own Network – 

VPC-Design 

Im ersten Schritt muss man sich ein 

paar Gedanken über das Design der 

Virtual Private Cloud machen. Für das 

Testszenario soll diese Konfiguration 

gelten: 

Network = 192.168.100.0 / 22 

Das entspricht einer Host Range 

von 1022 Hosts (192.168.100.1 bis 

192.168.103.254). Innerhalb dieser VPC 

bildet man nun zwei Subnetze, nämlich 

192.168.100.0/24 und 192.168.101.0/ 

24. Die Firewall erhält für ihr externes 

Interface dann eine Adresse aus dem 

100er-Netz; die Netzwerkkarte, die mit 

dem privaten Teil der VPC verbunden 

wird, hingegen eine aus dem 101er- 

Netz. So mancher Admin stellt sich 

wohl nun die Frage, wie das private 

»externe« Netz mit dem Internet kommunizieren 

soll. Dafür stellt AWS einen 

Mechanismus namens Elastic-IP bereit. 

Doch der Reihe nach. 

Rufen Sie aus dem Services Menü 

»VPC« auf und starten Sie den »VPC 

Wizard«. Wählen Sie dort »VPC with Public 

and Private Subnets« und klicken 

Sie auf »Continue«. Im nächsten Dialog 

editieren Sie die einzelnen Bereiche 

entsprechend des Netzwerk-Designs 

von oben: 

IP CIDR block: 192.168.100.0/22 

DNS Hostnames: Enabled 

Unter »Two Subnets« tragen Sie jetzt 

noch die beiden folgenden Subnetze 

ein: 

Public Subnet: 192.168.100.0/24 (251 U 

available IPs) Availability Zone: us-U 

west-2a 

Private Subnet: 192.168.101.0/24 (251 U 

available IPs) Availability Zone: us-U 

west-2a 

Achten Sie unbedingt darauf, für beide 

Subnetze die gleiche »Availability 

Zone« auszuwählen. Die Default-Einstellung 

»No Preference« genügt nicht! 

Die restlichen Einstellungen können 

Sie dagegen bedenkenlos übernehmen 

und die VPC mit einem Klick auf 

»Create VPC« erzeugen. Für den Betrieb 

einer Virtual Private Cloud fallen übrigens 

keine zusätzlichen Kosten an. 

Schaufensterbummel 

Im nächsten Schritt installieren wir nun 

die Firewall. Dazu wechseln Sie über 

das Servicemenü in das EC2-Dashboard 

und klicken dort auf »Launch Instance«. 

Im Quick Launch Wizard wählen Sie 

dann »AWS Marketplace« und geben 

in das Suchfeld »Sophos« ein. Im Marketplace 

werden aktuell zwei Versionen 

der Sophos-Firewall angeboten: 

Sophos UTM 9 BYOL und Sophos UTM 

9. »BYOL« steht für „Bring your own license“ 

und ist kostenfrei, da die Lizenz 

für die Firewall nicht enthalten ist. Das 

Lizenzmodell von Sophos ist Abonnement-basiert. 

Die einzelnen Features 

wie Network Security, Mail Security, 

Web Security, Webserver Security und 


Admin 

Ausgabe 11-2013

100 



externen Zugriff nur dann nötig, wenn 

Sie sich später auch per SSH auf der 

Kommandozeile einloggen wollen. Der 

Zugriff auf das Sophos-UTM-Web-Interface 

erfolgt über Benutzernamen und 

Passwort, das nach der Installation initial 

gesetzt wird. Aus Sicherheitsgründen 

sollten Sie aber auf jeden Fall ein 

Schlüsselpaar generieren lassen und 

auf Ihren Rechner herunterladen. 

Abbildung 5: Das Netz im Netz: Mit der Virtual Private Cloud lassen sich private Netze 

und Subnetze innerhalb der Amazon Cloud abbilden. Die IP-Netze sind dabei frei wählbar. 

Wireless Security können also modular 

erworben werden. Das BYOL-AMI läuft 

aber nach der Installation auch 30 Tage 

ohne Lizenz-Key – für erste Tests ist das 

mehr als genug. 

Lizenz inklusive 

Alternativ können Sie sich auch für das 

zweite AMI entscheiden. Dieses enthält 

bereits eine Lizenz, in der alle Features 

aktiviert sind. Die Lizenzgebühren werden 

hier (wie bei den Amazon-Diensten) 

nur für die tatsächlich in Anspruch 

genommene Laufzeit in Rechnung gestellt 

– der Lizenzkauf entfällt hier also 

komplett. Der Preis dieser Mietlizenz 

richtet sich nach der Größe des verwendeten 

EC2-Instance-Type. So kostet 

eine Instanz »m1.small« mit 1,7 GByte 

RAM, einer Virtual Core CPU und 160 

GByte EBS-Storage in der 64-Bit-Version 

beispielsweise rund 216 US-Dollar im 

Monat. Hinzu kommen noch die Kosten 

für die EC2-Instanz in Höhe von 43,20 

pro Monat – insgesamt also 259,20 

US-Dollar im Monat. Der Vorteil dieses 

Modells ist, dass Sie den Instance-Type 

immer dynamisch Ihrem Bedarf anpassen 

können – bezahlt wird immer nur 

das, was Sie gerade nutzen. 

Wählen Sie zum Test das BYOL-AMI aus, 

klicken Sie auf »Continue« und entscheiden 

Sie sich unter »EC2 Instance 

Type« für eine virtuelle Hardware- 

Plattform. Ein gutes Verhältnis zwischen 

Preis und Performance bietet 

die Instanz »m1.medium«. Nachdem 

Sie sie ausgewählt haben, klicken Sie 

auf »Launch with EC2 Console« und 

wählen dort die Region. Bitte beachten 

Sie, dass Ihre neue EC2-Instanz und die 

VPC in der gleichen AWS-Region laufen 

müssen. 

Der Wizard möchte im zweiten Schritt 

nun wissen, wo die Instanz gestartet 

werden soll. Hier wählen Sie »EC2‐VPC« 

aus und stellen unter Subnet jenes Netz 

ein, das Sie bei der Erstellung der VPC 

als Public-Subnet angelegt haben. Im 

Beispiel ist dies 192.168.100.0/24. Nach 

einem Klick auf »Continue« beginnen 

Sie mit der Netzwerkkonfiguration. 

Da die Firewall zwei Netzwerkkarten 

benötigt, stellen Sie hier »2« ein. Der 

externen Schnittstelle (eth0) geben 

Sie jetzt eine IP-Adresse aus dem 

Public-Netz vor: 192.168.100.5. Genauso 

verfahren Sie mit der internen 

Schnittstelle (eth1): Wählen Sie aus der 

Liste der Subnetze 192.168.101.0/24 

und vergeben Sie analog die IP-Adresse 

192.168.101.5. Wie viele Netzwerkschnittstellen 

Sie hier auswählen können, 

hängt übrigens nur vom gewählten 

Instanz-Typ ab. Im vorletzten Dialog 

des Wizards können Sie noch mehrere 

eigene »Tags« definieren. Mit ihnen fällt 

die Orientierung in der AWS-Konsole 

später leichter, wenn dort mehrere Maschinen 

laufen. Sinnvolle Tags sind zum 

Beispiel ein aussagekräftiger Name für 

die Instanz und die beiden IP-Adressen 

für das interne und externe Interface. 

Login-Schlüssel 

Im letzten Dialog steht jetzt noch die 

Erstellung eines Schlüsselpaares an. 

Prinzipiell ist ein Schlüsselpaar für den 

Firewall ausschalten 

Vor dem ersten Start der neuen Instanz 

in der Cloud bleibt nun noch ein 

wichtiger Schritt: Die Amazon Virtual 

Private Cloud wird durch einen netzseitigen 

NAT-Router/Paketfilter geschützt. 

Da Sie selbst eine Firewall betreiben, 

müssen Sie diese Firewall-Funktion 

also vollständig deaktivieren. Dafür definieren 

Sie eine eigene Security-Group, 

in der Sie sämtlichen Datenverkehr 

zulassen: 

Create a new rule: All Traffic 

Source: 0.0.0.0/0 

Abschließend zeigt der Wizard alle 

Daten nochmal im Überblick an. Passt 

alles, starten Sie mit einem Klick auf 

»Launch« die Installation. Im EC2- 

Dashboard taucht die neue virtuelle 

Maschine dann kurze Zeit später mit 

dem Status »running« auf. 

Elastische IP 

Damit die Firewall übers Internet 

erreichbar ist, müssen Sie ihr jetzt 

noch eine offizielle IP-Adresse – im 

Amazon-Speak »Elastic-IP« – zuordnen. 

AWS reserviert automatisch eine 

öffentliche IP-Adresse für jede VPC, 

die Sie anlegen. Zu finden sind diese 

dann im EC2-Dashboard unter dem 

Menüpunkt »Elastic-IPs«. Per Default 

wird die Elastic-IP für jede VPC dem 

Amazon-NAT-Router zugewiesen, denn 

Amazon geht ja davon aus, dass Sie 

die VPC über deren Firewall erreichbar 

machen möchten. Um die Elastic IP 

jetzt dem externen Interface unserer 

Firewall zuzuweisen, müssen Sie die 

Bindung an das Amazon-NAT-Gateway 

also erst einmal lösen. Dazu wählen Sie 

»Disassociate Address« und bestätigen 

die nachfolgende Sicherheitsfrage. 




101 

Anschließend klicken Sie auf »Associate 

Address« und wählen unter »Instance« 

im folgenden Dialog die soeben installierte 

Sophos-UTM-Instanz sowie unser 

VPC-Public-Netz (192.168.100.0) aus, 

damit die offizielle IP-Adresse auf das 

externe Interface gebunden wird. 

Firewall konfigurieren 

Jetzt ist der große Augenblick gekommen 

und Sie können das erste Mal über 

die offizielle IP-Adresse auf die webbasierte 

Administrationsoberfläche Ihrer 

neuen Firewall zugreifen. Dazu rufen 

Sie in einem neuen Browserfenster die 

folgende URL auf: »https://IhreElasticIP:4444«. 

Die Eingabe der Portnummer 

4444 für den Zugriff auf das Admin-Interface 

ist erforderlich, da Sophos-UTM 

auf Port 443 das User-Portal betreibt. 

Da auf der Firewall kein offzielles SSL- 

Zertifikat installiert ist, bestätigen Sie 

die Warnmeldung des Browsers und 

fügen eine Ausnahmeregel für die Site 

hinzu. Anschließend haben Sie Zugriff 

auf die Sophos-UTM-Instanz in der 

Cloud, die Sie nun noch konfigurieren 

werden. Füllen Sie die Felder im folgenden 

Dialog aus. Hier vergeben Sie zum 

Beispiel den Hostnamen und definieren 

das Admin-Passwort. Akzeptieren Sie 

die Lizenzbedingungen und klicken Sie 

auf »Perform basic system setup«. Je 

nach gewähltem Instanz-Typ dauert 

es nun bis zu zwei Minuten, bis die Einrichtung 

vollständig abgeschlossen ist. 

Tipp: Wenn Sie für den Zugriff auf Ihre 

Domain einen eigenen Domain-Name- 

Service betreiben, legen Sie für die 

Elastic-IP dort einfach einen A-Record, 

zum Beispiel »awsutm.domain.de« an. 

So können Sie das Admin-Interface der 

Cloud-Firewall unter einem leicht zu 

merkenden Namen ansprechen. 

Netzwerkschnittstellen 

konfigurieren 

Da der Administrator normalerweise 

über das LAN-Interface auf die Konfigurationsoberfläche 

der Firewall zugreift, 

lautet die Bezeichnung der Netzwerkkarte 

unter »Interfaces & Routing | 

Interfaces« auch »Internal«. Ändern 

Sie diese Bezeichnung auf »External«, 

indem Sie die Interface-Einstellungen 

editieren. Den Schnittstellentyp belassen 

Sie dabei auf »Ethernet DHCP«. 

Da es noch weitere Server in der VPC 

geben soll, benötigen Sie noch ein 

Netzwerk-Interface in dieses Netz. Legen 

Sie ein neues Netzwerk-Interface 

an und benennen Sie die Schnittstelle 

»Internal«. Als Schnittstellentyp wählen 

Sie »Ethernet Static«, als IP-Adresse 

verwenden Sie eine aus dem privaten 

Subnetz unserer VPC, zum Beispiel 

192.168.101.5. Bitte beachten Sie, dass 

das Interface nach dem Anlegen noch 

aktiviert werden muss. Dies geschieht 

über den kleinen Schalter neben dem 

»Edit«-Button. Nach einem Refresh der 

Browser-Sitzung sollten nun beide Interfaces 

als »Up« dargestellt werden. 

DNS, Firewall & NAT 

Nun müssen Sie noch dafür sorgen, 

dass die Systeme in der VPC über unsere 

Firewall auch mit dem Internet 

kommunizieren können. Dafür tragen 

Sie unter »Network Services | DNS« 

unter »Allowed Networks« das interne 

VPC-Subnetz ein: »Internal (Network)« 

192.168.100.0/24. Unter »Forwarders« 

deaktivieren Sie die Option »Use forwarders 

assigned by ISP« und tragen 

stattdessen einen oder mehrere freie 

DNS-Server, zum Beispiel Googles 

Abbildung 6: Dank des integrierten HTML5-Portals der Sophos-UTM-Firewall lässt sich ein Windows-Terminalserver in der Cloud auch direkt im 

Browser ansprechen. 


Admin 

Ausgabe 11-2013

102 



Windows-Server aufsetzen 

Für den Test soll ein virtueller Windows-Server 

im privaten Teil der VPC 

betrieben werden und per RDP dann 

über die Firewall aus dem Internet erreichbar 

sein. Die Vorgehensweise ist 

dabei identisch mit der beim Anlegen 

der Sophos-UTM-Instanz: Im EC2-Dashboard 

den Classic-Wizard für eine neue 

Instanz verwenden und als AMI eines 

der bereitgestellten Windows-Images 

auswählen. Die Instanz wird dann 

wieder in der VPC gestartet und erhält 

wiederum eine IP-Adresse aus dem privaten 

Subnetz (192.168.101.0/24). Als 

»Security‐Group« verwenden Sie wie 

bei der Firewall wieder die zuvor selbst 

definierte Gruppe »All Traffic«. 

Abbildung 7: Per Hardware-VPN lassen sich Ressourcen in der Amazon Cloud so nutzen, 

als befänden sie sich im eigenen Netzwerk. Die Verbindung wird in diesem Fall über den 

VPC-Connector einer Sophos-UTM-Firewall hergestellt. 

8.8.8.8 und 8.8.4.4, als Forwarder ein. 

Im Bereich »Network Protection | 

Firewall« legen Sie dann eine Regel an, 

die zunächst allen ausgehenden Traffic 

vom privaten Subnetz ins Internet 

erlaubt: 

Sources: Internal (Network) 

Services: Any 

Destinations: Any 

Natürlich würde man die Server aus 

der VPC in einer Produktivumgebung 

nicht ungefiltert in Richtung Internet 

kommunizieren lassen. Für Webzugriffe 

empfiehlt es sich, den Web-Proxy mit 

Virenscanner zu aktivieren. Werden 

weitere ausgehende Services benötigt, 

sollten diese explizit als Firewall-Regel 

angelegt werden. 

Um die Windows-Maschine später 

vollständig einzurichten, benötigen Sie 

Zugriff per RDP auf das System. Fürs 

Erste richten Sie als Krücke eine DNAT- 

Regel (»Network Protection | NAT | New 

NAT Rule«) ein, mit der Sie den RDP- 

Dienst über die offizielle IP-Adresse der 

Firewall ansprechen können: 

For traffic from: Any 

Using Service: Microsoft Remote Desktop U 

3389/TCP 

Going to: External (Address) 

Change the destination to: IP Adresse 

des Windows Servers in der VPC 

Für den Produktivbetrieb ist der Zugriff 

per RDP (Abbildung 6) über das 

Internet natürlich nicht geeignet. Die 

NAT-Regel sollten Sie daher nach der 

Einrichtung des Servers wieder deaktivieren 

oder gleich ganz löschen. Stattdessen 

verwenden Sie besser einen 

VPN-Tunnel. Sophos-UTM hält dafür 

mehrere Alternativen bereit, von Open- 

VPN über IPsec bis zu L2TP. Alternativ 

bietet Sophos-UTM aber auch die Möglichkeit, 

den Windows-Server (und andere 

Dienste) mit Hilfe des integrierten 

HTML5-Portals verfügbar zu machen. 

Der Zugriff auf den Windows-Server 

erfolgt dann einfach über den Browser 

und das User-Portal der Firewall. Wie 

das genau funktioniert, wurde bereits 

in Ausgabe 6/2012 des ADMIN-Magazins 

beschrieben [5]. 

Schlüssel abholen 

Da Windows kein Default-Passwort für 

Administratoren kennt, sollten Sie für 

Windows-Systeme in der AWS immer 

ein neues Schlüsselpaar anfordern. 

Nachdem die Windows-Instanz erzeugt 

wurde und im Dashboard erscheint, 

fordern Sie das Windows-Admin- 

Passwort an. Dazu klicken Sie im EC2- 

Dashboard mit der rechten Maustaste 

auf die Server-Instanz und wählen den 

Befehl »Get Windows Password«. Das 

Passwort wird zunächst nur verschlüsselt 

angezeigt. Um das Windows-Passwort 

im Klartext darzustellen, laden Sie 

den Private Key Ihres Schlüsselpaares 

hoch oder fügen ihn per Copy-and- 

Paste in das zugehörige Feld ein. 

Tipp: Beachten Sie, dass die Erzeugung 

des Windows-Passworts mindestens 

15 Minuten in Anspruch nimmt. Wenn 

Sie den Server gerade erst aufgesetzt 

haben, müssen Sie sich also noch ein 

wenig gedulden, bis das Passwort angefordert 

werden kann. 

Routing anpassen 

Bevor Sie nun per RDP über das Internet 

auf den Windows-Server zugreifen 

können, ist allerdings noch ein 

wichtiger Arbeitsschritt zu erledigen. 

Denn die Default-Route des privaten 

Subnetzes der VPC zeigt derzeit noch 

auf das Amazon-NAT-Gateway. Dieses 

müssen Sie jetzt durch die Schnittstelle 

der Firewall ins private Subnetz 

(192.168.101.5) ersetzen. Finden Sie 

dazu im EC2-Menü unter »Network Interfaces« 

die Interface-ID der Netzwerkkarte 

mit der IP-Adresse 192.168.101.5 

und notieren Sie sich deren Namen, 

zum Beispiel »eni‐bb898fd3«. Rufen Sie 




103 

im VPC-Menü »Route Tables« auf und 

wählen Sie dort die Route-Table-ID aus, 

bei der in der Main-Spalte »Yes« steht 

(Default-Route). Entfernen Sie die Default-Route 

mit dem »Remove«-Button. 

Legen Sie die Default-Route neu an: 

Destination 0.0.0.0/0. Unter »Target« 

klicken Sie auf »Enter Network InterfaceID« 

und wählen die Interface-ID aus 

der Liste aus, die Sie sich notiert haben. 

RDP funktioniert 

Dank des korrigierten Routings und der 

zuvor auf der Firewall eingerichteten 

NAT-Regel können Sie jetzt mit einem 

RDP-Client auf den Windows-Server 

zugreifen. Dazu geben Sie einfach Ihre 

Elastic-IP oder den in Ihrem DNS-Server 

vergebenen Hostnamen in den RDP- 

Client ein und melden sich als Administrator 

mit dem zugehörigen Passwort 

an. Zur abschließenden Einrichtung 

der Windows-Instanz tragen Sie in 

den Netzwerk-Einstellungen noch die 

IP-Adresse (192.168.101.10) sowie das 

Default-Gateway und den DNS-Server 

(192.168.101.5) ein. 

Szenario 2: VPC-Connector 

Dieses Szenario geht davon aus, dass 

die Amazon Cloud als Erweiterung 

eines lokalen LANs beziehungsweise 

Rechenzentrums verwendet werden 

soll. Amazon stellt für diesen Zweck 

netzseitig VPN-Gateways bereit, die mit 

verschiedenen Hardware-VPN-Routern 

und Firewalls – darunter die Sophos- 

UTM-Firewall – kompatibel sind. Die 

VPN-Anbindung kann dabei entweder 

über statisches oder dynamisches Routing 

erfolgen. 

Das dynamische Routing von IPsec- 

VPN-Tunneln setzt die Unterstützung 

des Border Gateway Protocols (BGP) 

voraus. Unter [6] stellt Amazon eine 

Liste der kompatiblen VPN-Hardware- 

Devices bereit, die auch Auskunft zur 

BGP-Unterstützung gibt. Für kompatible 

Geräte lassen sich im VPC-Wizard 

Konfigurationsdateien erstellen, die 

dann einfach in das lokale VPN-Gerät 

eingelesen werden. 

Um den VPC-Connector mit einer lokal 

installierten Sophos-UTM-Firewall zu 

nutzen, muss sie mit einer festen IP-Adresse 

ans Internet angebunden und mit 

der Software-Version 9 bestückt sein. 

Die Verwendung von Hostnamen statt 

fester IP-Adressen für die IPsec-Verbindung 

wird leider nicht unterstützt. 

Netzwerke, die über eine dynamische 

IP-Adresse ans Internet angebunden 

sind, bleiben daher außen vor und 

können den VPC-Connector nicht verwenden. 

Sind diese Voraussetzungen 

gegeben, ist die Einrichtung der VPN- 

Verbindung kinderleicht (Abbildung 7). 

VPC anlegen 

Um das lokale Netzwerk mit den Ressourcen 

im virtuellen Rechenzentrum 

bei Amazon zu verbinden, benötigen

104 



Abbildung 8: Der VPC-Wizard ist bei der Auswahl des passenden Szenarios behilflich. So lassen sich 

schnell Ressourcen in der Amazon Cloud im lokalen Netzwerk nutzen. 

über den Dialog unter »Site‐to‐Site 

VPN | Amazon VPC« auf dem Tab »Setup« 

unter »Import via Amazon VPC 

configuration«. Nach dem Upload der 

Konfiguration aktivieren Sie sie über 

den Button »Apply«. Anschließend 

wird die VPN-Verbindung ins virtuelle 

Rechenzentrum sofort hergestellt. 

Wechseln Sie auf den Status-Reiter in 

der VPN-Konfiguration, um die Details 

der beiden per BGP dynamisch gerouteten 

IPsec-Tunnel einzusehen. Server- 

Instanzen in der EC2, die Sie über diese 

Verbindung an das lokale Netzwerk 

anbinden möchten, müssen natürlich 

wieder in der entsprechenden VPC gestartet 

werden. 

Da die Firewall das Routing über den 

VPN-Tunnel übernimmt, können Sie die 

Serverdienste in der Cloud dann über 

deren private IP-Adresse vom LAN aus 

ansprechen. 

n Autor 

n Info 

Sie zunächst eine weitere Virtual 

Private Cloud, diesmal aber mit VPN- 

Zugriff. Starten Sie den Wizard über das 

VPC-Dashboard und wählen Sie »VPC 

with a Private Subnet Only and Hardware 

VPN Access« (Abbildung 8). Der 

Wizard fragt zunächst die öffentliche 

IP-Adresse des lokal installierten VPN- 

Gateways ab. Im Falle eines Sophos- 

Thomas Zeller ist IT-Consultant 

und beschäftigt sich seit über 

15 Jahren mit IT-Sicherheit 

und Open Source. Er ist Autor/ 

Co-Autor der Bücher »OpenVPN 

kompakt« und »Mindmapping mit 

Freemind«. Im richtigen Leben ist 

er IT-Unternehmer und Geschäftsführer 

eines mittelständischen IT- 

Systemhauses und verantwortet 

dort auch den Geschäftsbereich 

IT-Sicherheit. 





UTM-Systems ist dies die offizielle 

IP-Adresse der externen Netzwerkkarte 

der Firewall. Bei den Routing-Optionen 

können Sie zwischen statischem und 

dynamischen Routing wählen. 

Da Sophos-UTM das Border Gateway 

Protocol (BGP) unterstützt, soll dynamisches 

Routing zum Einsatz kommen. 

Wie in Szenario 1 steht im nächsten 

Schritt nun wieder die Definition des 

VPC-Netzes an. In diesem erzeugen Sie 

wieder ein Subnetz, in dem später die 

Server laufen, die über die VPN-Verbindung 

mit dem lokalen Netz gekoppelt 

werden sollen: 

VPC: 192.168.12.0/22 

Private Subnet: 192.168.15.0/24 

Nach einigen Minuten hat Amazon die 

VPC erzeugt und bietet den Download 

einer Konfigurationsdatei für den VPN- 

Zugriff an. Damit die Konfigurationsdatei 

eingelesen werden kann, müssen 

Sie hier das korrekte Format wählen. In 

diesem Fall ist das »Sophos UTM V9«. 

Laden Sie die Datei herunter und speichern 

Sie sie auf Ihrem Rechner. 

Verbindung aufnehmen 

Im nächsten Schritt lesen Sie die Konfiguration 

in die lokal installierte Sophos-UTM-Firewall 

ein. Dies geschieht 

Fazit 

Der Einsatz von Cloud-Infrastrukturen 

wie den Amazon Web Services eröffnet 

Unternehmen und Privatleuten Zugang 

zu praktisch unendlichen Computing- 

und Storage-Ressourcen. Egal ob 

nur ein Webserver benötigt wird oder 

gleich ganze Teile aus dem eigenen 

Rechenzentrum in die Cloud wandern 

sollen – praktisch für jede Anforderung 

steht dort ein geeigneter Service zur 

Verfügung. Die geltenden Datenschutzbestimmungen 

und das Risiko der 

Ausspähung unternehmenskritischer 

Informationen sollte man dabei natürlich 

stets im Blick behalten. 

Wer bereits eine Sophos-UTM-Firewall 

zum Schutz des eigenen Unternehmensnetzwerks 

einsetzt, kann sein 

LAN mit dem ab Version 9 verfügbaren 

VPC-Connector leicht an das virtuelle 

Amazon-Rechenzentrum andocken. 

Ressourcen dort lassen sich dann mit 

einer redundanten VPN-Verbindung 

so einfach verwenden, als befänden 

sie sich im eigenen Netzwerk. Umgekehrt 

lässt sich aber auch einfach 

eine Sophos-UTM-Firewall in der AWS 

einrichten, um dort gehostete Services 

zu schützen oder eine zentrale Firewall 

für verteilte Standorte bereitzustellen. 

VPN-Tunnel sorgen dann für Sicherheit 

und richtiges Routing. (ofr) n 


freeX 

Einführung 

105 

Sonderteil 

Auf der folgenden Seite startet der regelmäßige 

FreeX-Sonderteil des ADMIN-Magazins. Hier finden 

Sie Know-how-Artikel und Workshops von erfahrenen 

Autoren aus der langen Tradition der FreeX. 

Boto.............................................106 

Fernsteuerung der Amazon Cloud mit eigenen 

Python-Skripten. 

Android-Security.............................. 110 

Eine Studie zeigt: Mit der Sicherheit von Android- 

Anwendungen steht es nicht zum Besten, wenn 

es um SSL-Verschlüsselung geht. 

ika747, 123RF 

www.admin-magazin.de Admin Ausgabe 11-2013

106 

freeX 

Boto 

Marcin Balcerzak, 123RF 

Apache Cloud mit Boto fernsteuern 

Freischwimmer 

Das Boto-Modul hilft dabei, Ressourcen in der Amazon Cloud zu managen. Dieser Artikel gibt eine Einführung 

in die Programmierung mit der Python-Bibliothek. Oliver Frommel 

Die Amazon Cloud bietet eine ganze 

Reihe von Diensten, um eigene Serverdienste 

dynamisch zu skalieren, 

angefangen bei der Elastic Compute 

Cloud (EC2), dem Basisdienst, über 

diverse Storage-Angebote (S3, Elastic 

Block Store) bis hin zu Loadbalancern 

und DNS. Sie über das Web-Frontend 

zu steuern, ist nur dann sinnvoll, wenn 

man wenige Dienste verwaltet und sich 

die Konfiguration nur selten ändert. 

Bei komplexeren Setups eignen sich 

dafür besser die Command Line Tools, 

die Amazon kostenlos zur Verfügung 

stellt [1]. Wer selbst Skripte schreiben 

möchte, die die eigene Cloud-Infrastruktur 

steuern, findet eine Alternative 

dazu in »Boto«, einem umfangreichen 

Python-Modul, das die Amazon-API 

weitgehend abdeckt. 

Python-Modul 

Geschrieben wurde Boto von Mitchell 

„Mitch“ Garnett, der in seinem Blog 

[2] eine ganze Reihe von Anwendungsbeispielen 

gibt. Boto steht unter einer 

nicht näher bezeichneten freien Lizenz 

und ist auf Github [3] zu finden. Installieren 

lässt sich die Software mit dem 

Python-Paketmanager »Pip« durch 

»pip install boto«. Um die Bibliothek 

zu verwenden, ist es als Erstes nötig, 

ein Connection-Objekt zu erzeugen, 

das die Verbindung zum jeweiligen 

Amazon-Dienst repräsentiert: 

from boto.ec2 import EC2Connection 

conn = EC2Connection(access_key, secretU 

_key) 

Wie man sieht, erwartet die Funktion 

»EC2Connection« zwei Schlüssel, die 

sich über das »Amazon Identity and 

Access Management« (IAM) verwalten 

lassen. In der IAM-Console findet sich 

unter »Users« und »User Actions« der 

Eintrag »Manage Access Keys«, mit 

dem sich einer neuer Zugangsschlüssel 

erzeugen lässt (Abbildung 1). Direkt 

danach steht er auch zum Download 

bereit, später aus Sicherheitsgründen 

nicht mehr. Man sollte sich also die 

CSV-Datei herunterladen und an einem 

sicheren Ort verwahren, wo man sie 

auch noch ein halbes Jahr später wiederfindet. 

Mit dem obigen Aufruf wird eine Verbindung 

zu der Default-Region des Amazon 

Web Service hergestellt, die sich in 

den USA befindet. Um stattdessen eine 

andere Region auszuwählen, bietet 

Boto den Aufruf »connect_to_region()« 

an. Die folgende Zeile baut eine Verbindung 

zum Amazon-Datencenter in 

Irland auf: 

conn = boto.ec2.connect_to_regionU 

("eu‐west‐1") 

Über das Connection-Objekt kann der 

Anwender typischerweise alle Funktionen 

nutzen, die ein Dienst bietet. Im 

Fall des EC2 kann er also etwa eine Instanz 

starten, was in etwa einer virtuellen 

Maschine entspricht. Dazu braucht 

er ein sogenanntes Image (AMI), das die 

Daten für das Betriebssystem enthält. 

Eine Reihe von Images bietet Amazon 

selbst an, darunter nicht nur kostenlose, 

sondern auch kommerzielle Systeme 

wie Windows Server oder Red Hat 

Enterprise Linux. Je nach Lizenz wird 

die Nutzung über einen entsprechend 

höheren Stundensatz abgegolten. Viele 

Images, die zum Beispiel für Webserver-Dienste 

und alle denkbaren Anwendungen 

vorkonfiguriert sind, wurden 

von anderen AWS-Nutzern erstellt. Fürs 

Erste lässt sich der Identifier, den man 

für das Starten einer Image-Instanz 

braucht, über die Webkonsole herausfinden, 

die auch eine Suchfunktion 

enthält. 


freeX 

Boto 

107 

Die folgende Funktion startet dann die 

kleinste von Amazon angebotene Instanz 

mit dem Image »ami‐df9b8bab«: 

conn.run_instances('ami‐df9b8bab', U 

instance_type='m1.small') 

Wer jetzt einen Blick in das EC2-Web- 

Frontend wirft, kann sehen, dass die Instanz 

startet (Abbildung 2). Im Prinzip 

war es das schon, und der neu erzeugte 

virtuelle Server lässt sich nutzen. 

Amazon weist darauf hin, dass der Anwender 

selbst dafür verantwortlich ist, 

dass der ausgewählte Instanz-Typ und 

das AMI zusammenpassen. Der Cloud- 

Anbieter überprüft das nicht. 

Reservierung 

Um eine gestartete Instanz auch wieder 

beenden zu können, wäre es praktisch, 

in Boto direkten Zugriff darauf zu haben. 

Dies lässt sich dadurch erreichen, 

dass man den Rückgabewert des 

obigen Aufrufs in einer Variablen speichert: 

»run_instances()« gibt eine sogenannte 

Reservation zurück. Sie enthält 

ein Array namens »instances«, in dem 

alle gleichzeitig gestarteten Instanzen 

gespeichert sind. Listing 1 zeigt das 

vollständige Skript zum Starten und 

Stoppen einer Instanz. 

Um sich bei einer Vielzahl von Instanzen 

besser zu orientieren, bietet die 

Amazon Cloud die Möglichkeit, sogenannte 

Tags zu vergeben. Damit kann 

man zum Beispiel ein Name-Tag einführen, 

das man beim Erzeugen sinnvoll 

vergibt: 

instance.add_tag("Name", "Mailserver") 

Im Attribut »tags« des Instanz-Objekts 

sind die Tags dann als Dictionary gespeichert. 

Um mehrere Instanzen zu beenden, 

enthält das EC2-Modul die Methode 

»terminate_instances()«, die als Parameter 

eine Liste von Instanzen-IDs 

erwartet. Wer sich die »Reservations« 

nicht beim Start speichert, kann sie 

mit dem etwas irreführend benannten 

»get_all_instances()« abrufen. Wiederum 

enthält jede Reservation eine Liste 

mit Instanzen – auch denen, die schon 

wieder beendet wurden: 

Abbildung 1: Mit dem Amazon Identity and Access Management (IAM) lassen sich die 

Zugangsdaten erzeugen, die man braucht, um den Webservice zu nutzen. 

>>> reservations = conn.get_all_U 

instances() 

>>> reservations[0].instances[0].id 

u'i‐1df79851' 

>>> reservations[0].instances[0].state 

u'terminated' 

Schreibt man ein paar solcher Zeilen 

wie in Listing 2 in ein Skript, kann man 

es mit »python ‐i« aufrufen und landet 

danach in einer interaktiven Python- 

Sitzung, in der man die EC2-Funktionen 

weiter erforschen kann, etwa mit Hilfe 

des Befehls »dir(Objekt)«: 

$ python ‐i interact.py 

r‐72ffb53e i‐1df79851 terminated 

r‐9b6b61d4 i‐3021247f terminated 

>>> 

Um sich das wiederholte Eintippen der 

Region und der Authentifizierungsinformationen 

zu sparen, bietet Boto 

die Möglichkeit, solche Variablen in 

einer Konfigurationsdatei zu speichern, 

entweder per User als »~/.boto« oder 

systemweit als »/etc/boto.cfg«. 

Die Konfigurationsdatei ist in Abschnitte 

aufgeteilt, die meistens einem 

bestimmten Amazon-Dienst entsprechen. 

Die Zugangsdaten haben ihren 

Ort im Abschnitt »Credentials«. Übermäßig 

komfortabel ist das erst einmal 

nicht, denn neben der Region muss der 

Anwender auch den entsprechenden 

Endpoint eingeben. 

Wenigstens fällt diese Arbeit nur beim 

ersten Mal an. Herausfinden lassen sich 

die erforderlichen Daten zum Beispiel 

wie in Listing 3. Eine vollständige Konfigurationsdatei 

mit Region, Endpoint 

und den Zugangsdaten ist in Listing 4 

zu sehen. 

n Listing 1: »launch.py« 

01 import boto.ec2 

02 

03 conn = boto.ec2.connect_to_region("eu‐west‐1") 

04 reservation = conn.run_instances('ami‐df9b8bab', 

instance_type='m1.small') 

05 instance = reservation.instances[0] 

06 

07 raw_input("Press ENTER to stop instance") 

08 

09 instance.terminate() 

n Listing 2: »interact.py« 

01 # mit python ‐i aufrufen 

02 import boto.ec2 

03 

04 conn = boto.ec2.connect_to_region("eu‐west‐1") 

05 reservations = conn.get_all_instances() 

06 

07 for r in reservations: 

08 for i in r.instances: 

09 print r.id, i.id, i.state 


Admin 

Ausgabe 11-2013

108 

freeX 

Boto 

n Info 

Abbildung 2: Die Webkonsole zeigt: Das Boto-Skript startet neue Instanzen eines Image. 

Die Regions-Daten sind – wie erwähnt – 

dienstspezifisch, weil man unter Umständen 

die Dienste ja in unterschiedlichen 

Regionen laufen lassen will. 

Die Region für den Compute-Dienst 

EC2 heißt also wie im obigen Beispiel 

»ec2_region_name«, für den Speicherdienst 

S3 »s3_region_name«, für den 

n Listing 3: Regions 

01 >>> import boto.ec2 

02 >>> regions = boto.ec2.regions() 

03 >>> regions 

04 [RegionInfo:ap‐southeast‐1, 

RegionInfo:ap‐southeast‐2, RegionInfo:us‐west‐2, 

RegionInfo:us‐east‐1, RegionInfo:us‐gov‐west‐1, 

RegionInfo:us‐west‐1, RegionInfo:sa‐east‐1, 

RegionInfo:ap‐northeast‐1, RegionInfo:eu‐west‐1] 

05 >>> regions[‐1].name 

06 'eu‐west‐1' 

07 >>> regions[‐1].endpoint 

08 'ec2.eu‐west‐1.amazonaws.com' 

n Listing 4: »~/.boto« 





01 [Boto] 

02 ec2_region_name = eu‐west‐1 

03 ec2_region_endpoint = ec2.eu‐west‐1.amazonaws. 

com 

04 

05 [Credentials] 

06 aws_access_key_id=AKIABCDEDFGEHIJ 

07 aws_secret_access_key=ZSDSLKJSDSDLSKDJTAJEm+7fjU 

23223131VDXCXC+ 

Loadbalancer »elb_region_name« und 

so weiter. 

Etwas verwirrend ist die API, da einige 

Funktionen den einzelnen Diensten zugeordnet 

sind und in den entsprechenden 

Python-Modulen zu finden sind, 

während andere mit teilweise gleichen 

Aufgaben als statische Funktionen im 

»boto«-Modul angesiedelt sind. So gibt 

es zum Aufbau einer Verbindung die 

schon erwähnten »boto.ec2.connect_ 

to_region()« und »boto.connect_ec2()«. 

Analog ist es mit »boto.connect_s3«, 

während der entsprechende Aufruf im 

S3-Modul aber »S3Connection« heißt. 

Die API-Dokumentation unter [4] gibt 

Auskunft über alle Details. 

Loadbalancer 

Um zum Beispiel mit Boto einen Loadbalancer 

in der Amazon Cloud aufzusetzen, 

bedarf es zunächst wieder eines 

Connection-Objekts, das die Aufrufe 

»boto.ec2.elb.connect_to_region()« 

oder »boto.connect_elb()« liefern. Eine 

weitere Funktion erzeugt einen Loadbalancer, 

dem sich anschließend einzelne 

Knoten zuweisen lassen: 

lb = conn.create_load_balancer('lb', U 

zones, ports) 

lb.register_instances(['i‐4f8cf126']) 

Alternativ bedient man sich des 

Autoscaling-Moduls, das abhängig von 

der Last selbstständig Knoten dem 

Loadbalancer hinzufügt oder sie wieder 

entfernt. 

So viele Dienste Amazon selbst bietet, 

so viele Module enthält auch die 

Boto-Bibliothek. So gibt es an Basisdiensten 

neben EC auch das Virtual 

Secure Network (siehe den Artikel zur 

Firewall-Installation in der Amazon- 

Cloud in diesem Heft), Autoscaling, 

DNS und Loadbalancing. Für einfache 

Webanwendungen mit größeren Anforderungen 

an Skalierbarkeit und Verfügbarkeit 

kommt man damit schon sehr 

weit. Um Daten zu speichern, bietet 

Amazon schon eine ganze Palette an 

Möglichkeiten: die verteilte Datenbank 

Dynamo, den Elastic Block Store, eine 

relationale Datenbank und ein großes 

System für ein »Data Warehouse«. 

Darüber hinaus kann man natürlich 

immer selbst in einer Reihe von Linux- 

Instanzen beispielsweise MySQL, PostgreSQL 

oder eine NoSQL-Datenbank 

installieren und sie über die Rechner 

hinweg replizieren. Zur Lastverteilung 

verwendet man dann den »Load Balancing 

Service«, gegebenenfalls in Zusammenarbeit 

mit dem Amazon Content 

Delivery Network »Cloudfront«. Auch 

zum Management der eigenen Cloud- 

Installation gibt es eher zu viel als zu 

wenig Auswahl. Neben dem Autoscaling 

gibt es dafür auch noch Elastic 

Beanstalk, Opsworks und Cloud Formation, 

die ähnliche Funktionen bieten. 

Die Aufzählung der Dienste ist damit 

noch nicht abgeschlossen, eine Übersicht 

enthält das PDF unter [5]. 

Fazit 

Mit Boto lassen sich Skripte schreiben, 

die auch komplexere Setups in der 

Amazon Cloud verwalten. Auch wer 

noch kein Python-Experte ist, sollte 

wenig Schwierigkeiten haben, sich die 

nötigen Kenntnisse anzueignen. Die 

Dokumentation des Python-Moduls ist 

brauchbar, wenngleich viele Methoden 

der API mit ihrer Vielzahl an Parametern 

ziemlich komplex sind. 

Schließlich sollte man auch daran 

denken, dass Cloud Computing Frameworks 

teilweise schon die Funktionalität 

bieten, die man mit Boto selbst 

programmiert, und aufpassen, das Rad 

nicht neu zu erfinden. Mehr Informationen 

zu Boto sind in der Dokumentation 

zu finden. In gedruckter Form gibt es 

das »Python and AWS Cookbook«, das 

beim O’Reilly-Verlag erschienen ist und 

vom Boto-Autor stammt. n 


fixer00, 123RF 

Ergebnisse eines Android-Sicherheitschecks erschrecken 

Ziemlich löchrig 

Mittlerweile existieren mehr als 900 000 Apps für Smartphones, die unter Android laufen. Viele tauschen 

auch sensible Informationen über das Internet aus. Welche Sicherheit bieten sie dabei? Die Leibniz Universität 

Hannover und die Philipps-Universität Marburg haben gemeinsam mehr als 13 500 beliebte und 

kostenlose Android-Apps von Googles PlayStore analysiert. Sascha Fahl 

Das Secure-Socket-Layer-Protokoll 

(SSL) wird oft benutzt, um die Übertragung 

von Informationen zwischen 

Android-Apps und Servern im Internet 

zu sichern. SSL identifiziert dabei zum 

einen den Kommunikationspartner 

und verschlüsselt zum anderen die 

übertragenen Informationen, um sie 

vor dem Abhören und Manipulation zu 

schützen. Dabei beruht die Sicherheit 

mobiler Apps ganz wesentlich auf der 

eindeutigen Identifizierung des Zielservers 

im Internet, mit dem die App kommuniziert. 

Dafür überträgt der Server 

beim Verbindungsaufbau ein SSL-Zertifikat, 

das die Android-App validiert. Die 

Validierung beinhaltet folgende Fragen: 

n Wurde das Server-Zertifikat von einer 

vertrauenwürdigen »Certificate 

Authority« (CA) unterzeichnet? 

n Wurde das Server-Zertifikat für den 

Internet-Host ausgestellt, mit dem 

gerade kommuniziert wird? 

n Ist das betreffende Zertifikat bereits 

abgelaufen? 

Zusätzlich sollte geprüft werden, ob 

das Zertifikat und seine dazugehörige 

Zertifikatskette widerrufen wurde. Widerrufenen 

Zertifikaten darf nicht mehr 

vertraut werden. 

Die Standardimplementierung der 

Zertifikatsvalidierung in Android-Apps 

führt diese Schritte korrekt aus. Apps 

können jedoch auch eigene Strategien 

zur Zertifikatsvalidierung implementieren 

und die könnten dann durchaus 

für sogenannte Man-In-The-Middle- 

Angriffe (MITMA) anfällig sein. 

Bei einem MITMA ist der Angreifer in 

der Lage, Nachrichten zwischen den 

Kommunikationspartnern abzufangen, 

indem er sein eigenes SSL-Zertifikat in 

den Verbindungsaufbau einschleust 

und dadurch ausgetauschte Informationen 

entschlüsselt und verändert. 

MITMA stellen für Smartphones und Tablet-PCs 

eine größere Gefahr dar als für 

traditionelle Desktop-Computer, weil 

die Mobilgeräte häufiger in unbekannten 

und weniger vertrauenswürdigen 

Umgebungen genutzt werden. Speziell 

die Nutzung offener WLAN-Netze machen 

MITMA gegen mobile Geräte zu 

einer ernsthaften Bedrohung. 

Eine weitere Gefahr geht vom sogenannten 

SSL-Stripping aus, mit dem 

sich ein MITM-Angriff gegen eigentlich 

geschützte SSL-Verbindungen durchführen 

lässt. Der Angriff beruht darauf, 

dass viele SSL-Verbindungen erst 

durch den Klick auf einen Link eingeleitet 

oder über eine nicht durch SSL 

geschützte Seite umgeleitet werden. 

Während des SSL-Strippings ersetzt der 

Angreifer HTTPS-Links auf geschützte 

Seiten durch unsichere HTTP-Links. Der 

Angreifer kann im Anschluss – solange 

der Benutzer nicht merkt, dass die 

Links geändert wurden – sämtlichen 

SSL-Schutz umgehen. Dieser Angriff ist 

besonders bei einem Erstkontakt zu 

einem Server relevant. 

Die Ergebnisse der hier diskutierten 

Studie machen deutlich, dass viele 

Millionen Nutzer von Android-Apps gefährdet 

sind, weil sie sensible Informationen 

über unzureichend geschützte 

Kommunikationskanäle im Internet 

austauschen. 

Netzwerkkommunikation in 

Android-Apps 

Das Android-SDK bietet komfortable 

Möglichkeiten für den Netzwerkzugriff. 

Die »java.net«-, »android.net«- und 

»org.apache.http«-Pakete sind verwendbar, 

um direkte Netzwerksockets 

oder HTTP(S)-Verbindungen aufzubauen. 

Das »org.webkit«-Paket bietet 

zudem Zugriff auf Webbrowserfunkti-

freeX 

Android Security 

111 

onen. Alle diese Möglichkeiten für den 

Netzwerkzugriff erlauben es, die SSL- 

Zertifikatsvalidierung den Bedürfnissen 

der App-Entwickler anzupassen. In diesem 

Fall müssen Entwickler aber selbst 

sicherstellen, dass SSL-Zertifikate ausreichend 

sicher überprüft werden. 

Zertifikate« genannt). Die Angriffe 

auf einige große Certificate Authorities 

(CAs) im Jahr 2011 und die 

aktuelle Entwicklung im Hinblick auf 

Spionageprogramme der NSA machen 

ein solches Standardverhalten 

besonders problematisch. 

n Mixed Mode/Kein SSL: App-Entwickler 

können sichere und unsichere 

Verbindungen in einer App 

mischen oder SSL gar nicht verwenden. 

Dies ist kein direktes Problem 

von SSL, aber dennoch relevant, da 

der Endanwender nicht feststellen 

kann, ob eine sichere Verbindung 

genutzt wird oder nicht. Dieses 

Verhalten macht es dem oben beschriebenen 

SSL-Stripping-Angriff 

besonders einfach. 

Die Flexibilität, die Android seinen Entwicklern 

bietet, führt allerdings nicht 

zwingend zum häufigen Missbrauch 

der SSL-Zertifikatsvalidierung, den die 

Forscher aufdeckten. Sie eröffnet auch 

die Möglichkeit, die Sicherheit von SSL 

im Vergleich zum Standardverhalten 

zu erhöhen. Eine zentrale Strategie ist 

SSL-Pinning. Dabei können sowohl eine 

kleinere Liste von vertrauenswürdigen 

CAs, eine benutzerdefinierte Liste von 

speziellen CAs oder sogar selbst signierte 

Zertifikate auf sichere Art und 

Weise verwendet werden. 

Obwohl durch die Benutzung von SSL 

viele Sicherheitslücken entstehen 

Kontrollen laufen ins Leere 

Die Analyse-Ergebnisse haben gezeigt, 

dass dies häufig nicht der Fall ist. Es 

fanden sich folgende gefährliche Validierungsstrategien 

für SSL-Zertifikate 

in Apps: 

n Vertraue allen Zertifikaten: Zertifikatsvalidierung 

kann mithilfe des 

TrustManager-Interface derart implementiert 

werden, dass allen Zertifikaten, 

ungeachtet ihrer Signatur, 

vertraut wird. 

n Erlaube alle Hostnamen: Wurde die 

Signatur geprüft, so kann dennoch 

die Hostname-Verifikation fehlerhaft 

sein. Es wird dann zum Beispiel 

ein für »some‐other‐domain.com« 

vergebenes Zertifikat akzeptiert, obwohl 

auf den Server »example.com« 

zugegriffen wird und es für diesen 

Server nicht gültig ist. 

n Vertraue vielen Wurzelzertifikaten: 

Obwohl dies nicht notwendigerweise 

ein Sicherheitsproblem 

darstellt, vertrauen aktuelle Android 

Apps standardmäßig mehr als 130 

Wurzelzertifikaten (oft auch »Rootkönnen, 

soll an dieser Stelle betont 

werden: Die Benutzung eines durch SSL 

gesicherten Kanals, auch mit den zuvor 

beschriebenen Schwachstellen, ist 

gegen einen passiven Angreifer immer 

noch sicherer, als komplett auf kryptographische 

Techniken zu verzichten. 

Sicherheitsanalyse von 

Android-Apps 

Im Rahmen einer Sicherheitsanalyse 

wurden 13 500 beliebte und kostenlose 

Apps aus Googles PlayStore untersucht. 

Zur Analyse entwickelten die 

Untersucher basierend auf dem Androguard 

Reverse Engineering Framework 

[1] das Tool MalloDroid, das automatisch 

eine statische Code-Analyse 

von Android-Apps durchführt und 

fehlerhafte Implementierungen der 

SSL-Zertifikatsvalidierung identifiziert. 

MalloDroid ist unter [2] frei verfügbar 

und kann als Werkzeug im Rahmen der 

Sicherheitsanalyse von Android-Apps 

verwendet werden. 

Die Untersuchungen kamen zu folgenden 

Ergebnissen: Mehr als 88 Prozent 

der getesteten Apps greifen auf das 

Internet zu. Mehr als die Hälfte (51 

Prozent) der untersuchten Apps greifen 

auf das Internet zu und fordern weitere 

Privatsphäre-relevante Rechte an, wie 

Kalender, Kontakte, Browser-Verlauf, 

Profilinformationen, soziale Streams, 

Kurznachrichten oder exakte geogra-

112 

freeX 


Abbildung 1: Diese Implementierung akzeptiert sämtliche Zertifikate für eine SSL-Verbindung und 

schützt damit nicht vor Man-In-The-Middle-Angriffen. 

fische Position des Benutzers. Diese 

Apps können potenziell sensible Informationen 

über das Internet übertragen. 

Weitere Apps, die die Privatsphäre 

betreffende Informationen verarbeiten, 

sind solche für Banking, E-Mail, soziale 

Netzwerke und Instant Messaging. 

Zu wenige nutzen HTTPS 

Mehr als 90 Prozent aller Aufrufe der 

Netzwerk-API nutzen HTTP- oder 

HTTPS-Verbindungen. MalloDroid extrahierte 

mehr als 200 000 Web-URLs, 

darunter aber nur knapp 30 000 HTTPS- 

URLs, der Rest verwendete HTTP. Eine 

weitere Analyse ergab, dass 76 000 

URLs, die HTTP benutzten, auch über 

das verschlüsselte HTTPS-Protokoll 

erreichbar gewesen wären. Das heißt, 

dass 73 Prozent der getesteten Apps 

durch das einfache Einfügen eines einzigen 

Buchstabens, eine sichere Verbindung 

hätten nutzen können. 

Insgesamt 46 Prozent der Apps griffen 

sowohl auf HTTP- als auch HTTPS-URLs 

zurück, während 43 Prozent nur HTTP- 

URLs verwendet haben. Lediglich 0,8 

Prozent der Apps setzten ausschließlich 

HTTPS ein und verschlüsselten ihre 

Kommunikation komplett. 

Um die Gültigkeit der verwendeten 

SSL-Zertifikate zu überprüfen, luden die 

Forscher die Zertifikate aller aus den 

Apps extrahierten HTTPS-Hosts herunter. 

Das waren insgesamt 1900 unterschiedliche 

SSL-Zertifikate, von denen 

8 Prozent die Standardvalidierung von 

Android für Zertifikate nicht bestanden 

haben. Diese wurden in insgesamt 668 

Apps verwendet. 

Mit Hilfe von MalloDroid konnten in 

allen untersuchten Apps mehr als 3400 

App-spezifische SSL-Implementierungen 

gefunden werden. Diese erstreckten 

sich über 1074 Apps, die Code 

enthielten, der die SSL-Verifikation 

vollständig durch das Akzeptieren aller 

Zertifikate (790 Apps) oder das Akzeptieren 

aller Hostnames (284 Apps) 

aushebelte. 

Sicherheit ausgehebelt 

Während ein App-Entwickler, der alle 

SSL-Zertifikate akzeptieren möchte, 

das TrustManager-Interface implementieren 

muss, ist für das Erlauben aller 

Hostnames für eine SSL-Verbindung, 

lediglich die Benutzung des »Allow- 

AllHostnameVerifier« nötig. Die Implementierung 

einer eigenen Hostname- 

Verifier-Klasse ist allerdings auch 

möglich. 

Um nachzuvollziehen, wie Entwickler 

benutzerdefinierte SSL-Implementierungen 

einsetzen, wurden Apps analysiert, 

die spezielle TrustManager- und 

HostnameVerifier-Implementierungen 

beinhalteten. Die Forscher fanden 86 

unterschiedliche benutzerdefinierte 

TrustManager-Implementierungen 

in 878 Apps. In über 90 Prozent der 

Fälle, in denen eine App-spezifische 

SSL-Zertifikatsvalidierung implementiert 

wurde, war das Resultat, dass die 

Zertifikatsvalidierung komplett ausgeschaltet 

wurde, so dass alle betroffenen 

Apps für die eben beschriebenen 

Man-In-The-Middle-Angriffe anfällig 

waren. Abbildung 1 zeigt eine typische 

Implementierung, die den Hostname 

eines Zertifikats nicht validiert. 

Verräterische Namen 

Passenderweise fanden sich für die 

meisten fehlerhaften Implementierungen 

entsprechende Klassennamen: 

»FakeHostnameVerifier«, »NaiveHostnameVerifier« 

und der »AcceptAll- 

HostnameVerifier« akzeptieren beispielsweise 

alle Hostnames, während 

TrustManager-Implementierungen wie 

»AcceptAllTrustManager«, »Dummy- 

TrustManager«, »EasyX509TrustManager« 

oder »PermissiveX509TrustManager« 

die Zertifikatsvalidierung gleich 

ganz ausschalten. 

Diese kleine Anzahl von kritischen Klassen 

betrifft eine große Anzahl von Apps. 

Viele der obigen Klassen gehören zu 

häufig verwendeten Bibliotheken und 

Frameworks. Ganze 313 Apps verwenden 

die »NaiveTrustManager«-Klasse, 

die von einer »Crash Reporting Library« 

angeboten wird. In 90 Apps wurde die 

»NonValidatingTrustManager«-Klasse 

verwendet – angeboten von einem 

SDK zur Entwicklung mobiler Apps 

für verschiedene Plattformen. Der 

»Permissive X509TrustManager« wurde 

in einer Bibliothek zum Versenden 

verschiedener Arten von Push-Benachrichtigungen 

an Android-Geräte, 

eingebunden in 76 Apps, gefunden. 

Der »EasyX509TrustManager« ist Teil 

einer Bibliothek, die einfache und zuverlässige 

Netzwerkverbindungen für 

Android-Apps verspricht und in einem 

Großteil der missbräuchlichen Implementierungen 

gefunden wurde. Die bisherigen 

Ergebnisse wurden mit Mitteln 

der statischen Code-Analyse erzielt und 

zeigen nur das Potenzial für Sicherheitsprobleme 

durch nicht korrekt validierte 

SSL-Zertifikate auf. Die Tatsache, 

dass unsicherer SSL-Code in einer App 

enthalten ist, bedeutet allerdings nicht 

zwangsweise, dass darüber auch sensitive 

Informationen übertragen werden. 

Welche Informationen sind 

wirklich gefährdet? 

Aus diesem Grund wurde eine zweite, 

detailliertere Analyse angeschlossen, 

um festzustellen, welche Benutzerinformationen 

tatsächlich gefährdet 

sind. Zu diesem Zweck in stallierten die 

Untersucher Apps auf einem Android- 

Smartphone und führten Man-In-The- 

Middle-Angriffe gegen diese Apps 

durch. Sie konzentrierten sich dabei 

auf Apps aus den Kategorien Finanzen, 

Geschäftliches, Kommunikation, Soziale 

Netzwerke und Werkzeuge, da sie 

hier besonders kritische Informationen 

vermuteten. Aus den 260 Apps, die im 

ersten Schritt der Untersuchung in die- 


freeX 


113 

sen Kategorien als mögliche Ziele identifiziert 

wurden, wählten die Forscher 

die 100 populärsten Apps für einen 

manuellen Angriff aus. 

Für die Durchführung des Angriffes 

wurde ein Samsung Galaxy Nexus mit 

installiertem Android 4.0 Ice Cream 

Sandwich verwendet. Die potenziell 

fehlerhaften Apps wurden installiert 

und die SSL-Verbindung über einen 

speziellen WLAN-Accesspoint via 

MITMA angegriffen. Abhängig von der 

untersuchten Schwachstelle wurde der 

dabei verwendete Proxy entweder mit 

einem selbstsignierten Zertifikat oder 

mit einem Zertifikat einer CA ausgestattet, 

das jedoch für einen anderen 

Hostnamen ausgestellt war. 

Von den 100 angegriffenen Apps, 

enthielten 41 ausnutzbare Schwachstellen. 

Die Tester konnten erfolgreich 

Bankdaten, Zugangsdaten zu Geldtransferdiensten 

wie PayPal, American 

Express, Zugangsdaten zu Facebook, 

Email und Cloud-Speicherdiensten 

sowie Instant-Messaging-Anbietern abfangen 

und mitlesen. Schwachstellen 

wurden meist in Drittanbieter-Apps 

gefunden. Aber auch die Apps einiger 

namhafter Hersteller waren betroffen. 

Anmerkung: Alle betroffenen Hersteller 

wurden informiert und haben in der 

Zwischenzeit alle gefundenen Sicherheitslücken 

geschlossen. 

Selbstzerstörer 

Eine Antiviren-App, die Virensignaturen 

über eine fehlerhafte SSL-Verbindung 

herunterlädt, ist ein besonders prägnantes 

Beispiel. Weil sie annahm, dass 

es sich durch SSL um eine sichere 

Verbindung handelt, validierte die App 

die Virensignaturen nicht zusätzlich. 

So kann ein Angreifer selbsterstellte Virensignaturen 

einschleusen und damit 

den Virenschutz durch ein leeres Update 

komplett ausschalten. Abbildung 

2 zeigt, dass sich die App nach einem 

entsprechendem Signatur-Update 

selbst als Virus erkennt und vorschlägt, 

sich zu löschen. 

Millionen betroffen 

Basierend auf Installationszahlen aus 

Googles PlayStore betreffen diese Sicherheitslücken 

zwischen 40 und 185 

Millionen Installationen weltweit. Alle 

betroffenen App-Hersteller wurden von 

den Untersuchern kontaktiert und über 

die gefundenen Sicherheitsprobleme 

informiert. Sie boten allen Herstellern 

Hilfe bei der Behebung der Schwachstellen 

an und baten sie, an einem Interview 

teilzunehmen. 

Diese Interviews zielten besonders 

darauf ab, welche Gründe die App-Entwickler 

bewogen, vom Standardverhalten 

bei der SSL-Zertifikatsvalidierung 

abzuweichen und warum sie in mehr 

als 90 Prozent dieser Fälle die Zertifikatsvalidierung 

einfach ausschalteten. 

Der häufigste Grund für das Umgehen 

der Zertifikatsvalidierung war, dass es 

mit den verwendeten SSL-Zertifikaten 

zu Fehlermeldungen kam. Diese Fehlermeldungen 

wurden in vielen Fällen 

ausgelöst, weil Apps nicht vertrauenswürdige 

SSL-Zertifikate verwendeten. 

Ein zweites, häufiges Problem war, dass 

in der Entwicklungsphase mit Testservern 

gearbeitet wurde, die selbstsignierte 

Zertifikate verwendeten. Die 

Zertifikatsvalidierung wurde aus diesem 

Grund umgangen. Das ist zu Testzwecken 

üblich und nachvollziehbar. 

Häufig vergaß man dann allerdings, die 

Umgehung vor der Freigabe der fertigen 

App wieder zu entfernen. 

Ein drittes, weit verbreitetes Problem 

bestand darin, dass es einige Apps 

ihren Benutzern ermöglichen, Kommunikationsendpunkte 

selbst zu konfigurieren. 

Ein Beispiel hierfür ist eine 

Blogging-App, über die ein Benutzer 

auf seinen eigenen Blog zugreifen kann. 

Um in einem solchen Szenario keine 

Benutzer auszuschließen, verzichten 

Apps oft auf Zertifikatsvalidierung, da 

Android Apps standardmäßig keine 

Warnmeldungen anzeigen, wenn es zu 

einem Fehler während der Überprüfung 

von Zertifikaten kommt. Stattdessen 

werden Verbindungen einfach abgelehnt. 

So ist die mangelnde Flexibilität 

von SSL in Android-Apps ein weiterer 

entscheidender Grund. 

Abbildung 2: Die Zoner-Antivirus-App erkennt sich 

nach einem Man-In-The-Middle-Angriff selbst als 

Virus und möchte gerne gelöscht werden. Diese 

Schwachstelle wurde mittlerweile behoben. 

Fazit 

Die in unseren Analysen gefundenen 

Schwachstellen sind insbesondere im 

Kontext der aktuellen Erkenntnisse 

über großangelegte Überwachungsaktivitäten 

in- und ausländischer Geheimdienste 

von besonderer Brisanz. Die 

von Edward Snowden veröffentlichten 

Details lassen vermuten, dass auch 

die Nutzer von mobilen Apps Ziele von 

Überwachungsaktivitäten sind. Gleichzeitig 

machte er deutlich, dass korrekt 

eingesetzte Verschlüsselungstechnologien 

eine wirkungsvolle Gegenmaßnahme 

darstellt [3]. 

Auch wenn die Untersuchungsergebnisse 

eher ernüchternd wirken, sind 

die Forscher doch zuversichtlich, dass 

neue Technologien in Zukunft zu einem 

höheren Grad an Sicherheit führen 

werden. Dazu möchten sie ihren Teil 

beitragen. (jcb) n 

n Autor 

Sascha Fahl ist Doktorand an der Leibniz Universität 

Hannover, wo er sich mit der Sicherheit von SSL und 

daraus resultierenden Benutzbarkeitsproblemen für 

Entwickler und Endbenutzer beschäftigt. 

n Info 






Admin 

Ausgabe 11-2013

114 

Service 

Impressum und Vorschau 

n Impressum ISSN 2190-1066 

ADMIN-Magazin eine Publikation der Medialinx AG 

Redaktionsanschrift Putzbrunner Straße 71 

81739 München 

Tel.: 0 89 / 99 34 11-0 

Fax: 0 89 / 99 34 11-99 oder -96 

Internet 


E-Mail 

redaktion@admin-magazin.de 

Geschäftsleitung 

Chefredakteure 

Redaktion 

News/Report 

Software/Test 

Security/Networking 

Ständige Mitarbeiter 

Produktionsleitung 

Grafik 

Abo-Infoseite 

Abonnenten-Service 

Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de 

Hermann Plank (Vorstand), hplank@medialinx-gruppe.de 

Oliver Frommel (V. i. S. d. P.), 

ofrommel@admin-magazin.de (ofr) 

Jens-Christoph Brendel 

jbrendel@admin-magazin.de (jcb) 

Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba) 

Mathias Huber, mhuber@medialinx-gruppe.de (mhu) 

Marcel Hilzinger, mhilzinger@medialinx-gruppe.de, (mhi) 

Kristian Kißling, kkissling@medialinx-gruppe.de, (kki) 

Markus Feilner, mfeilner@medialinx-gruppe.de (mfe) 

Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle) 

David Göhler (Schlussredaktion), 

Carsten Schnober, Tim Schürmann, Claudia Thalgott 

Christian Ullrich, cullrich@medialinx-gruppe.de 

Judith Erb (Design und Layout) 

Titel: Judith Erb, Ausgangsgrafik: ku2raza, 123RF 

www.admin-magazin.de/abo 

Gudrun Blanz (Teamleitung) 

abo@admin-magazin.de 

Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601 

Preise Print Deutschland Österreich Schweiz Ausland EU 

Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel) 

Mini-Abo (3 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel) 

Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95 

Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70 

Jahresabo € 99,90 € 109,90 Sfr 159,90 € 129,90 

Preise Digital Deutschland Österreich Schweiz Ausland EU 

Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80 

DigiSub (12 Ausgaben) € 89,90 € 89,90 Sfr 129,50 € 89,90 

DigiSub (zum Printabo) € 12,— € 12,— Sfr 12,— € 12,— 

HTML-Archiv (zum Abo 1 ) € 48,— € 48,— Sfr 48,— € 48,— 

Preise Kombiabos 

Profi-Abo 2 € 181,90 € 198,90 Sfr 235,90 € 219,90 

1 

nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital 

2 

mit Linux-Magazin-Abo und beiden Jahres-DVDs 

Schüler- und Studenten-Ermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer 

aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen. 

Andere Abo-Formen, Ermäßigungen im Ausland etc. auf Anfrage. 

Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für 

Zeitschriften gelten. 

Pressemitteilungen info@admin-magazin.de 

Anzeigen/Repräsentanz Es gilt die Anzeigenpreisliste vom 01.01.2013 

National 

Pressevertrieb 

Druck 

Petra Jaser 

Tel.: 089 / 99 34 11 24, Fax: 089 / 99 34 11 99 

E-Mail: pjaser@medialinx-gruppe.de 

Michael Seiter 

Tel.: 089 / 99 34 11 23, Fax: 089 / 99 34 11 99 

E-Mail: mseiter@medialinx-gruppe.de 

MZV, Moderner Zeitschriften Vertrieb GmbH 

Breslauer Straße 5, 85386 Eching 

Tel.: 089 / 31906-0, Fax: 089 / 31906-113 

Vogel Druck und Medienservice GmbH 

97204 Höchberg 

Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme 

verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett- 

Packard) oder Sinix (Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist ein 

eingetragenes Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis 

verwendet. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von 

Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Verlag nicht übernommen 

werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine Zustimmung zum Abdruck im ADMIN- 

Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen werden. Die Redaktion 

behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim 

Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in irgendeiner 

Form vervielfältigt oder verbreitet werden. Copyright © 1994–2013 Medialinx AG 

n Autoren dieser Ausgabe 

Thomas Drilling Des Chamäleons neue Kleider 70 

Thomas Drilling Datei-Server, leicht bewölkt 62 

Thomas Drilling Stets zu Diensten 54 

Bernd Erk Die Nadel im Heu 48 

Sascha Fahl Ziemlich löchrig 110 

Mario Golling Daten-Archäologie 78 

Thomas Joos Wachablösung 86 

Thomas Joos Retten, was zu retten ist 74 

Juliet Kemp Privates schützen 40 

Anna Kobylinska Immer bereit 44 

Martin Loschwitz Weichensteller 90 

Thorsten Scherf Ohne Gnade 16 

Daniel van Soest Tarnkappe 36 

Oliver Tennert Daten im Tresor 28 

Thomas Zeller Aus dem Hut gezaubert 96 

n Inserentenverzeichnis 

ADMIN www.admin-magazin.de 7, 83, 116 

Android Apps & Tipps www.android-user.de 111 

Android User GY www.android-user.de 2, 83 

Diavlon GmbH www.tuxhardware.de 11 

Fernschule Weber GmbH www.fernschule-weber.de 55 

Linux User Spezial www.linux-user.de/spezial 77 

Linux-Hotel www.linuxhotel.de 51 

Linux-Magazin www.linux-magazin.de 9, 81, 115 

Medialinx IT-Academy www.medialinx-academy.de 33, 39, 103 

PlusServer AG www.plusserver.de 14, 19, 23, 

27, 35, 52 

Raspberry Pi Geek www.raspberry-pi-geek.de 25, 109 

Windows Phone User www.windows-phone-user.de 85 

n Vorschau: ADMIN 12/2013 erscheint am 14. November 2013 

noreboo, 123RF 

Groupware 

Termine planen, Nachrichten 

austauschen, Kundendaten 

verwalten, am besten auch vom 

Smartphone aus. Das alles und 

noch viel mehr sollen moderne 

Groupware-Suites im Unternehmen 

leisten. Ob sie es tun oder 

wo sie versagen, verrät das 

kommende ADMIN-Heft. 

OpenLDAP 

Was dem Windows-Admin sein 

Active Directory, ist dem Unix- 

Fan sein OpenLDAP: zentrales 

Verzeichnis für Benutzerdaten, 

Authentifizierung und alles, 

was es sonst noch zu speichern 

gibt. Mit unserem Workshop ist 

die OpenLDAP-Konfiguration 

spielend zu bewältigen. 

Putnik, Fotolia

ADMIN Magazin Privatsphäre schützen (Vorschau)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?