Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Jetzt<br />
mit<br />
Boto steuert<br />
Amazon Cloud<br />
Browser-Sessions<br />
rekonstruiert<br />
<strong>ADMIN</strong><br />
IT-Praxis & Strategie<br />
UFW: Firewall<br />
unkompliziert<br />
Tails<br />
<strong>Privatsphäre</strong> für jeden,<br />
überall<br />
The Amnesic Incognito Live System<br />
11/2013 November<br />
<strong>Privatsphäre</strong><br />
<strong>schützen</strong><br />
Vor Trackern verstecken<br />
E-Mails verschlüsseln<br />
Anonym surfen<br />
Sicherheit<br />
von ATA-<br />
Platten<br />
Cloud-Firewall<br />
Firewall bei Amazon<br />
Novell Filr<br />
Leicht bedienbarer<br />
Dateiserver<br />
Logstash<br />
Log-Management modern<br />
HA für MS SQL<br />
Die Microsoft-Datenbank<br />
hochverfügbar machen<br />
www.admin-magazin.de<br />
Android-Security<br />
Lücken in der SSL-<br />
Verschlüsselung<br />
D EUR 9,80<br />
A EUR 10,80 - BeNeLux EUR 11,25<br />
CH sfr 19,60 - E / I EUR 12,75<br />
4 196360 509805 11
Service<br />
Editorial<br />
3<br />
Ein neues Internet<br />
Liebe Leserinnen und Leser,<br />
die anfängliche Aufregung über die Überwachung durch PRISM hat sich –<br />
sofern vorhanden – schnell gelegt. Einige standhafte Kolumnisten lassen es<br />
sich aber nicht nehmen, darüber nachzudenken, wie es künftig weitergehen<br />
soll. Einer von ihnen ist der Krypto-Experte Bruce Schneier, der von vielen<br />
Medien zu einer Stellungnahme aufgefordert wurde und entsprechend oft in<br />
Artikeln seine Meinung vertreten hat.<br />
Im englischen Guardian forderte Schneier Anfang September einen kompletten<br />
Neuanfang: Man müsse die Herrschaft über das Internet zurückgewinnen. Mit „man“ ist dabei<br />
die Gemeinschaft von Technikern gemeint, die die technischen Grundlagen für die Internet-Technologie<br />
legen. Sie ruft Schneier auf, in Zukunft mehr Widerstand zu leisten [1].<br />
Zum ersten sollen sie an die Öffentlichkeit gehen, wenn sie von der NSA und anderen zur Kooperation<br />
aufgefordert werden, um Backdoors in Router oder Cloud-Systeme einzubauen. Fünf neue Whistleblower<br />
konnte Schneier bisher gewinnen, er will es auf mindestens fünfzig bringen.<br />
Zweitens soll das Internet technisch so umstrukturiert werden, dass die Überwachung im bisherigen Stil<br />
schwieriger wird. Mehr offene Standards sollen dabei dafür sorgen, dass die NSA es künftig schwerer hat,<br />
im Geheimen zu operieren und etwa Backdoors in proprietäre Systeme einzuschleusen.<br />
Schließlich muss nach Schneiers Ansicht Druck auf die (US-)Regierung ausgeübt werden, die sich als<br />
schlechter Hüter des Internet erwiesen habe. Eine Neustrukturierung betrifft auch die Leitungsgremien<br />
des Internet selbst. Die ITU etwa habe sich in der Vergangenheit dafür als ungeeignet erwiesen und sich<br />
nur zum Handlanger totalitärer Staaten gemacht.<br />
Wie dies, vor allem der zweite und der dritte Punkt, realisiert werden soll, bleibt eine offene Frage. Der<br />
Historiker Andrew Russell hat sogar eine Erwiderung auf Schneiers Forderung verfasst, in der er alle<br />
Vorstellungen des Internet als freien oder demokratischen Raum als reine Utopien entlarvt [2]. In Wirklichkeit<br />
habe das Internet – das schließlich von Anfang an ein Produkt des US-amerikanischen Verteidigungsministeriums<br />
war – nie die Wunschvorstellungen der „kalifornischen Ideologie“ erfüllen können.<br />
PRISM habe letztlich nur eine Seifenblase zum Platzen gebracht.<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30189<br />
@ leserbriefe@admin-magazin.de www.facebook.com/adminmagazin www.twitter.com/admagz<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
<strong>ADMIN</strong><br />
IT-Praxis & Strategie<br />
<strong>Privatsphäre</strong><br />
<strong>schützen</strong>ab Seite 20<br />
n Login<br />
8 Vorgelesen<br />
Bücher zu Wireshark und<br />
Geek-Fitness.<br />
10 Branchen-News<br />
Neues von Firmen und Projekten.<br />
16 Admin-Story<br />
Netzwerke angreifen, um sie<br />
abzusichern.<br />
18 Interview<br />
Mit 12 GBit/s erreicht SAS die<br />
zukunftsträchtige dritte Ausbaustufe.<br />
Fragen an die Firma LSI.<br />
n Netzwerk<br />
20 Tkined<br />
Netzwerkmanagement mit Tkined.<br />
24 UFW-Firewall<br />
Firewall-Management, ganz<br />
unkompliziert.<br />
n Schwerpunkt<br />
28 Festplattensicherheit<br />
ATA-Security-Features moderner<br />
Platten und SSDs nutzen.<br />
32 Webtracker ausschalten<br />
Browser-Plugins zum Schutz der<br />
<strong>Privatsphäre</strong>.<br />
36 Anonym surfen<br />
Tor, Squid und Privoxy helfen, die<br />
eigene Identität zu verschleiern.<br />
40 PGP<br />
Dokumente und Mails mit PGP-<br />
Verschlüsselung <strong>schützen</strong>.<br />
32<br />
Browser-Security<br />
Browser-Erweiterungen<br />
verhindern Spionage.<br />
Service<br />
3 Editorial<br />
4 Inhalt<br />
6 Heft-DVD<br />
114 Impressum und <strong>Vorschau</strong><br />
Ausgabe 11-2013<br />
Admin<br />
www.admin-magazin.de
Service<br />
Inhalt<br />
5<br />
90<br />
SQL Server<br />
Ausfallsicherer Betrieb von<br />
44MS<br />
Microsofts Datenbank.<br />
HA für REST-Services<br />
REST-basierte Webdienste<br />
ohne Downtime.<br />
Tails<br />
Seite 6<br />
<strong>Privatsphäre</strong> für jeden,<br />
überall<br />
The Amnesic Incognito Live System<br />
n Know-how<br />
44 MS SQL Server hochverfügbar<br />
High Availability für Microsoft SQL<br />
Server 2012 und 2014.<br />
48 Logstash<br />
Fortschrittliches Log-Management.<br />
n Test<br />
54 Small Business Server<br />
Linux-basierte Small Business<br />
Server mit deutschen Wurzeln.<br />
62 Novell Filr<br />
Webbasierter Datei-Server.<br />
69 Suse Linux Enterprise 11 SP3<br />
Das neueste Update für die Enterprise-Distribution<br />
von Suse.<br />
74 Windows 8.1<br />
Neues im Window-Update.<br />
n Security<br />
78 Forensik-Tools im Vergleich<br />
Toolkits zur Rekonstruktion von<br />
Browser-Sessions.<br />
86 Citrix Netscaler<br />
Mehr Sicherheit für Windows.<br />
n Virtualisierung<br />
90 REST-Services hochverfügbar<br />
Hochverfügbarkeit für RESTful-<br />
Dienste am Beispiel von Open-<br />
Stack.<br />
96 Cloud-Firewall<br />
Firewall in der Amazon Cloud.<br />
n FreeX<br />
106 Boto und AWS<br />
Python-Fernsteuerung für die<br />
Amazon Cloud.<br />
110 SSL-Lücken in Android<br />
Ergebnisse eines Android-Sicherheitschecks<br />
erschrecken.<br />
106<br />
Boto<br />
Ein Python-Modul steuert<br />
die Amazon Cloud.<br />
69<br />
Suse Linux Enterprise 11 SP3<br />
Das neueste Update der Suse-<br />
Enterprise-Distribution im Test.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
6<br />
Service<br />
Heft-DVD<br />
DVD kaputt?<br />
Wir schicken Ihnen kostenlos eine Ersatz-DVD<br />
zu, E-Mail genügt: info@admin-magazin.de<br />
Tails 0.20<br />
Heft-DVD<br />
coliap, 123RF<br />
Auf dem beiliegenden Datenträger finden Sie die neueste Version<br />
der Tails-Live-DVD.<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30190<br />
n Spezielle Linux-Distribution, die<br />
als Live-DVD anonyme Internet-<br />
Nutzung ermöglicht.<br />
n Basierend auf Debian 6.0.7<br />
n Anonymisierender Tor-Zugang im<br />
Browser integriert<br />
n Installations-Programm für USB-<br />
Live-Sticks<br />
n Verschlüsselung für Instant Messaging,<br />
Dateien und Verzeichnisse<br />
Legen Sie einfach die DVD in das Laufwerk<br />
ein und starten Sie den Rechner.<br />
Möglicherweise müssen Sie noch im<br />
BIOS die richtige Boot-Reihenfolge<br />
einstellen. Danach können Sie die<br />
Software entweder von der DVD<br />
booten oder auf dem Rechner als Betriebssystem<br />
installieren. n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
8<br />
Login<br />
Bücher<br />
Galina Peshkova, 123RF<br />
IT-Ratgeber im Redaktions-Check<br />
Vorgelesen<br />
Die Tage werden kürzer und man hat wieder Zeit zum Lesen. In diesem<br />
Monat auf dem Kaminsims: eine Kurzeinführung in Wireshark<br />
und ein Fitnessratgeber für Geeks. Jens-Christoph Brendel, Oliver Frommel<br />
Die Buchverlage kämpfen ums Überleben<br />
und probieren deshalb immer<br />
wieder Neues aus. Der englische Verlag<br />
Packt Publishing versucht<br />
es mit einer Buchreihe<br />
unter dem Titel »Instant«.<br />
Durch die Kürze des Materials<br />
soll sich der Leser<br />
möglichst schnell das Wesentliche<br />
einer Software<br />
oder einer Technologie aneignen.<br />
Einer der Instant-<br />
Bände beschäftigt sich mit<br />
dem Paket-Sniffer Wireshark, den es<br />
für Unix-Systeme und Windows gibt.<br />
Sein Anwendungsfeld sind die Fehlersuche<br />
im Netz, Forensik und Security-<br />
Anwendungen. Das Instant-Buch gibt<br />
auf 68 Seiten einen Crashkurs in die<br />
Einführung des Tools, wobei hier schon<br />
gute 15 Seiten für Vorgeplänkel und<br />
Abspann abzuziehen sind. Noch einmal<br />
sechs Seiten sind der Installation gewidmet,<br />
die immerhin Windows, Linux<br />
und die Übersetzung aus dem Quellcode<br />
abdeckt. Viel Platz bleibt nun<br />
nicht mehr, um die wichtigsten Bedienelemente<br />
und Features von Wireshark<br />
zu beschreiben: Mitschneiden von Paketen,<br />
die GUI, Captures speichern und<br />
verarbeiten. Die »Top-5-Features«, die<br />
am Ende durchexerziert werden, wirken<br />
etwas willkürlich ausgewählt, besprechen<br />
aber immerhin noch das nützliche<br />
Streams-Feature des Programms.<br />
Das Instant-Buch zu Wireshark hinterlässt<br />
einen zwiespältigen Eindruck.<br />
Einerseits ist die Idee zu begrüßen, in<br />
einem knappen Format die wichtigsten<br />
Features eines Programms vorzustellen.<br />
Andererseits ist der Inhalt für die<br />
knapp 70 Seiten des Buchs recht dünn.<br />
Für zehn Euro kann man sich<br />
das E-Book vielleicht mal<br />
ansehen, 24 Euro für die Taschenbuchausgabe<br />
sind dagegen<br />
indiskutabel.<br />
Abspecken<br />
Man sollte die Sprache mögen,<br />
die sich mit manchmal etwas<br />
aufgesetzter Lockerheit dem<br />
angesprochenen Geek zu nähern versucht.<br />
Man muss den missionarischen<br />
Eifer mögen, mit dem der<br />
Autor seine Gesundheitsbotschaft<br />
an den Mann<br />
zu bringen versucht. Und<br />
man muss tolerieren,<br />
dass er sich etlichen<br />
Themen recht kritiklos<br />
nähert. So liebäugelt er<br />
mit einer einigermaßen<br />
obskuren Ernährungsphilosophie,<br />
derzufolge der Mensch nur an die Nahrungsmittel<br />
genetisch angepasst sei,<br />
die ihm bereits während der Steinzeit<br />
zur Verfügung standen. Allerdings ist<br />
diese Steinzeiternährung (Paleo-Diät)<br />
n Wireshark Starter<br />
Abhinav Singh<br />
Instant Wireshark Starter<br />
Packt Publishing 2013<br />
68 Seiten,<br />
10 Euro (Kindle), 24 Euro (Paperback)<br />
ISBN-13: 978-1849695640<br />
alles andere als unumstritten und eine<br />
gesundheitsfördernde Wirkung ist nicht<br />
belegt. Diesen Umstand verschweigt<br />
das Buch geflissentlich. An anderer<br />
Stelle zieht es eine Parallele zwischen<br />
Muskeltraining und dem sogenannten<br />
Gehirnjogging, die nach Meinung von<br />
Neurologen blanker Unsinn ist.<br />
Wer dennoch weiterliest, dem werden<br />
als nächstes einige Gadgets und Webseiten<br />
vorgestellt, die es erlauben, verschiedene<br />
körperliche Aktivitäten (teils<br />
auch andere Biodaten) im Alltag aufzuzeichnen.<br />
Das erlaubt eine Trainingskontrolle,<br />
motiviert zu Extra-Anstrengungen<br />
und erlaubt den Wettbewerb in<br />
einer entsprechenden Community.<br />
Es folgt ein ausführliches Kapitel zu<br />
Ernährungsfragen. Dort mangelt es<br />
nicht an Verweisen auf viele Webseiten<br />
mit Nährstofftabellen und<br />
Kalorienzähler-Apps. Allerdings<br />
haben sie für Nicht-Amerikaner<br />
den Nachteil englischer Lebensmittelbezeichnungen<br />
und Mengenangaben.<br />
Kurz: Wem es Spaß macht, sein<br />
Leben aus der Perspektive eines<br />
Gesundheitsbuchhalters zu<br />
verfolgen, der findet hier überreichlich<br />
Material. Er wird unterhalten und zumindest<br />
über die Trends informiert, die<br />
vor kurzem in den USA »in« waren. Alle<br />
anderen sehen in dem Buch vielleicht<br />
eher eine Fibel für Hypochonder. n<br />
n Geek-Fitness<br />
Bruce W. Perry<br />
Fitness für Geeks<br />
O’Reilly Verlag, 2012<br />
338 Seiten,<br />
25 Euro<br />
ISBN: 978-3-86899-404-9<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
10<br />
Login<br />
News<br />
Neue Software und Produkte<br />
Branchen-News<br />
Kernel-Report: Mehr Mobilentwickler<br />
Wie jedes Jahr hat die Linux Foundation auf der Linuxcon-Konferenz ihren Kernel-Report<br />
veröffentlicht, der verrät, wer in welchem Umfang zum Linux-Kernel<br />
beiträgt. Angeführt wird die Liste – hinter dem ersten Platz, der die „unbekannten“<br />
Quellen vereint – weiterhin von Red Hat. Dahinter haben sich aber einige<br />
Firmen auf die Plätze geschoben, die dort bisher nicht vertreten waren, etwa<br />
Google und Samsung. Neuerdings sind dort auch Texas Instruments, Linaro und<br />
Qualcomm zu finden, die sich in erster Linie mit Mobilgeräten beziehungsweise<br />
der ARM-Architektur beschäftigen.<br />
Von Google stammen allerdings nicht nur die Kernel-Beiträge aus dem Android-<br />
Projekt, die nur einen kleinen Teil der Beiträge ausmachen, sondern auch aus<br />
der Entwicklung von Chrome OS und dem Serverbetrieb mit Linux, aus dem etwa<br />
Verbesserungen im Netzwerk-Code, dem Scheduler und Cgroups hervorgegangen<br />
sind. Generell stammen nun mehr als 80 Prozent der neuen Beiträge zu Linux<br />
von hauptberuflichen Kernel-Entwicklern. Weniger als 14 Prozent der Beiträge<br />
zum Kernel sind keiner Firma zuzuordnen.<br />
Juniper gibt OpenContrail frei<br />
Die Firma Juniper hat ihren SDN-Controller Contrail als Open-Source-Variante<br />
unter dem Namen OpenContrail veröffentlicht. Er ermöglicht es, per Software Defined<br />
Networking (SDN) auf physischen Netzwerken virtuelle Netzwerke zu definieren<br />
und die Datenströme zu steuern. (Open)Contrail verfolgt dabei einen eigenen<br />
Ansatz und orientiert sich insbesondere nicht an der Architektur des OpenDaylight-Projekts,<br />
dem Juniper aber als Platin-Mitglied angehört.<br />
(Open)Contrail setzt ein Netzwerk voraus, das BGP/MPLS-L3VPN implementiert.<br />
Über eine REST-Webservice-Schnittstelle lässt sich der Controller steuern. Das<br />
kommerzielle Contrail unterscheidet sich von der freien Variante durch den Support,<br />
den Juniper leistet. Contrail ist für 1700 US-Dollar pro x86-Socket dauerhaft<br />
und ab 1000 US-Dollar im Jahr als Abonnement zu haben. OpenContrail steht<br />
unter der Apache-Lizenz 2.0 und hat sein Zuhause unter der Adresse [http://<br />
opencontrail. org].<br />
Schnellstes Tape Drive von Oracle<br />
Mit dem StorageTek T10 000D Tape Drive präsentiert Oracle das nach eigener Aussage schnellste und leistungsstärkste Bandlaufwerk<br />
auf dem Markt. Das neue Laufwerk speichert unkomprimiert bis zu 8,5 TByte – und das in Rekordgeschwindigkeit:<br />
Bis zu 252 MByte/s sind nativ möglich. Die erzielbaren Datenraten sind 57 Prozent schneller als mit LTO-6. Das Bandlaufwerk<br />
unterstützt als einziges auf dem Markt sowohl 16-GBit-Fibre-Channel als auch 10-GBit-Fibre-Channel über Ethernet (FCoE).<br />
Die neuen Möglichkeiten machen Tape Storage besonders attraktiv für Märkte mit großen Datenbeständen, wie Medien &<br />
entertainment, Öl & Gas, medizinische Bildgebungsverfahren sowie Cloud Services. Mit dem Linear Tape File System (LTFS)<br />
von Oracle können verschiedene LTO-LTFS-aktive Bänder per Drag & Drop auf eine einzige StorageTek-T10 000D-Kassette gezogen<br />
werden. Das System eignet sich somit für große Datenkonsolidierungsprojekte. Über die Preise macht Oracle bisher<br />
keine Angaben.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Login<br />
News<br />
11<br />
Seagate feiert millionste SMR-Platte<br />
Seagate, einer der weltweit führenden<br />
Festplattenhersteller, hat mit der Auslieferung<br />
von einer Million Festplatten<br />
mit der Shingled Magnetic Recording-<br />
Technik (SMR-Technik) einen neuen<br />
Rekord aufgestellt.<br />
SMR ist die nächste Generation der<br />
Speichertechnologie und führt zu<br />
kontinuierlichen Verbesserungen der<br />
Flächendichte (Menge geschriebener<br />
Daten auf der Plattenoberfläche in Bit/<br />
Zoll). Mit der SMR-Technologie verbessert<br />
der Hersteller die Flächendichte<br />
um bis zu 25 Prozent oder 1,25 TByte<br />
pro Scheibe und kann so Festplatten<br />
mit Kapazitäten von 5 TByte und mehr<br />
anbieten. Bis zum Jahr 2020 soll es laut<br />
Seagate erste Platten mit einer Kapazität<br />
von 20 TByte geben.<br />
Bereits die Einführung des Perpendicular<br />
Recording hatte die Flächendichte<br />
durch senkrechte Anordnung der Bits<br />
vergrößert, wodurch schmalere Datenspuren<br />
und kleinere Schreib-Lese-<br />
Köpfe verwendet werden konnten. Aufgrund<br />
physikalischer Beschränkungen<br />
können die Schreib-Lese-Köpfe jedoch<br />
nicht noch kleiner produziert werden.<br />
Der beste Weg, um die Flächendichte zu<br />
verbessern, ist folglich die Anpassung<br />
der Art und Weise, wie Daten auf die<br />
Festplatte geschrieben werden.<br />
Genau hier setzt SMR an. Die Technologie<br />
verändert die Architektur des<br />
Mediums grundlegend und ordnet die<br />
gespeicherten Daten auf einer Festplatte<br />
neu an. Dies geschieht durch<br />
überlappende Spuren – ähnlich wie<br />
Schindeln auf einem Dach – wodurch<br />
die Spurdichte steigt und die Flächendichte<br />
verbessert wird.<br />
Als Folge der erhöhten Spurdichte<br />
steigt die Menge der Daten auf einer<br />
einzelnen Platte ebenso wie die<br />
gesamte Speicherkapazität eines<br />
einzelnen Laufwerks. SMR verbessert<br />
außerdem nach Meinung von Seagate<br />
die Zuverlässigkeit, da man damit weniger<br />
Schreib-Lese-Köpfe sowie Platten<br />
verwenden muss, um neue Kapazitäten<br />
zu erreichen.<br />
OS v : neues Betriebssystem für die Cloud<br />
Unter dem Namen OSV wurde ein neues<br />
Betriebssystem veröffentlicht, das für<br />
Cloud-Installationen maßgeschneidert<br />
ist. Hinter dem Projekt stecken maßgebliche<br />
Köpfe der Linux-Welt, etwa der<br />
KVM-Erfinder Avi Kivity, der KVM-Projektmanager<br />
Dor Laor sowie die Kernel-<br />
Programmierer Glauber Costa, Nadav<br />
Har’El und Pekka Enberg. Zusammen<br />
haben sie die Firma Cloudius gegründet,<br />
die OSV als freie Software unter<br />
[https:// github. com/ cloudius‐systems/<br />
osv/] veröffentlicht hat.<br />
Dass OSV unter einer BSD-Lizenz steht<br />
und nicht, wie etwa der Linux-Kernel,<br />
unter der GPL, weist schon darauf hin,<br />
dass das neue Betriebssystem von<br />
FreeBSD abgeleitet ist. Allerdings haben<br />
die Entwickler auch große Teile des<br />
neuen Kernels selbst geschrieben.<br />
OSV ist für den Betrieb auf Hypervisor-<br />
Systemen, insbesondere KVM, optimiert<br />
und verzichtet deshalb auf viele<br />
Funktionen moderner Betriebssysteme,<br />
etwa die Aufteilung des Speichers<br />
in Kernel- und Userspace. Der damit<br />
erzielte Wegfall von Kontextwechseln<br />
soll zu höherer Performance führen.<br />
Anwendungen wie die Java Virtual<br />
Machine haben die Entwickler aus dem<br />
gleichen Grund direkt in das Betriebssystem<br />
integriert.<br />
In C geschriebene Anwendungen sollen<br />
im Normalfall unverändert auf OSV<br />
funktionieren. Allerdings lassen sie sich<br />
noch weiter optimieren, wenn sie direkt<br />
auf die Kernel-API zugreifen, die OSV<br />
bietet.<br />
Als Dateisystem setzt OSV das leistungsfähige<br />
ZFS ein, das von Solaris stammt.<br />
Das minimalistische OS soll jeweils<br />
nur eine Anwendung hosten, verzichtet<br />
dazu weitgehend auf die von Unix<br />
bekannten Security-Features und überlässt<br />
sie dem Hypervisor. Auch die von<br />
Linux und Unix bekannte Konfiguration<br />
des Betriebssystem fällt mit dem neuen<br />
Konzept weg.<br />
Bisher läuft OSV direkt auf KVM, Xen<br />
und Amazon EC2. VMware-Support soll<br />
bis Ende des Jahres folgen.
12<br />
Login<br />
News<br />
Neue Intel-CPUs<br />
Intel hat auf dem Intel Developer<br />
Forum in San Francisco jetzt seine<br />
neuen Xeon-E5-2600-v2-Prozessoren<br />
vorgestellt, die im Vergleich mit den<br />
Vorgängern bis zu 45 Prozent höhere<br />
Energieeffizienz und bis zu 50 Prozent<br />
mehr Leistung bieten.<br />
Mit den Intel-Xeon-E5-2600-v2-Prozessoren<br />
(Codename »Ivy Bridge-EP«) stellt<br />
das Unternehmen extrem vielseitige<br />
Prozessoren vor, die für Server-, Storage-<br />
und Netzwerk-Infrastrukturen in<br />
Rechenzentren gedacht sind. Sie basieren<br />
auf Intels führendem 22-nm-Fertigungsprozess.<br />
Dadurch verbessert sich<br />
die Energieeffizienz im Vergleich zum<br />
Vorgänger um bis zu 45 Prozent. Ausgestattet<br />
mit bis zu 12 Kernen bieten die<br />
neuen Chips zudem bei einer Vielzahl<br />
von rechenintensiven<br />
Workloads<br />
Leistungssteigerungen<br />
von bis zu<br />
50 Prozent.<br />
Intels Xeon-E5-<br />
2600-v2-Prozessoren<br />
sind Intels<br />
vielseitigste Prozessor-Technologie.<br />
Sie kommen bereits in mehreren Systemen<br />
zum Einsatz: So zum Beispiel<br />
im neuen IBM NeXtScale System, einer<br />
flexiblen Plattform mit hoher Rack-<br />
Dichte für rechenintensive Workloads<br />
wie Analytik, Technical Computing und<br />
Cloud-Betrieb, sowie im x3650-M4-HD-<br />
Storage-Server von IBM, der sich ideal<br />
für die Verwaltung großer Datenmengen<br />
und geschäftskritischen Workloads<br />
eignet. Auch alle Zwei-Sockel-Systeme<br />
von IBM werden mit den neuen CPUs<br />
bestückt, darunter die Produktreihen<br />
System x Racks und Tower, Flex System,<br />
iDataPlex und BladeCenter. Die<br />
Produktfamilie der Xeon-E5-2600-v2-<br />
Prozessoren ermöglicht auch kosteneffiziente<br />
Lösungen für Scale Out und<br />
Software Defined Storage. Dell setzt die<br />
neuen Prozessoren in seiner kommenden<br />
Storage-Lösung ein.<br />
oVirt 3.3 unterstützt OpenStack<br />
Das aktuelle Release des KVM-Managers oVirt bringt Anwendern wieder eine ganze<br />
Reihe von Neuerungen. Insbesondere arbeitet es nun mit dem Cloud-Management-Framework<br />
OpenStack zusammen. Dabei kann oVirt die virtuellen Netze einer<br />
OpenStack-Installation nutzen und von dessen Image-Management Gebrauch<br />
machen.<br />
Auch das verteilte Dateisystem GlusterFS kann oVirt nun verwenden. Der Support<br />
beschränkt sich derzeit allerdings auf Fedora 19. An einer Unterstützung in Red Hat<br />
Enterprise Linux arbeiten die Entwickler noch. RAM-Snapshots ermöglichen es,<br />
den aktuellen Zustand des Hauptspeichers einer virtuellen Maschine einzufrieren<br />
und ihn nach der Live-Migration einer VM wiederherzustellen. Außerdem können<br />
Administratoren nun über die VNC-Implementation noVNC im Browser auf den<br />
Desktop der VMs zugreifen.<br />
oVirt ist freie Software, wird maßgeblich von Red Hat entwickelt und stellt die<br />
Basis für dessen kommerziellen Virtualization Manager dar. Laut Eigenwerbung ist<br />
oVirt eine Open-Source-Alternative zu VMware vSphere.<br />
Amazon bietet Redis-Cache<br />
Ab sofort bietet Amazon für den<br />
Caching-Dienst Elasticache seines<br />
Cloud-Angebots EC2 die NoSQL-<br />
Datenbank Redis an. Ähnlich wie das<br />
bisher in Elasticache verwendete Memcache<br />
ist Redis eine im Hauptspeicher<br />
arbeitende Datenbank, bietet aber<br />
gegenüber Memcache mehr Datentypen.<br />
Mit Elasticache lassen sich nun<br />
einfach Redis-Dienste installieren und<br />
verwalten. Darüber hinaus bietet Amazon<br />
die Möglichkeit, die Redis-Speicher<br />
über Datacenter hinweg zu replizieren.<br />
Bestehende Redis-EC2-Installationen<br />
lassen sich in Elasticache überführen.<br />
Spekulation über Hardware-Trojaner<br />
Forscher der University of Massachusetts,<br />
der TU Delft und der Ruhr-<br />
Universität Bochum beschreiben jetzt<br />
in einem Papier die theoretische Möglichkeit,<br />
bereits bei der Chipherstellung<br />
Hintertüren in CPUs einzubauen, die<br />
so gut wie nicht zu entdecken wären<br />
und jede Verschlüsselung untergraben<br />
könnten.<br />
Die von den Kryptografie-Experten<br />
veröffentlichte Studie ([http:// people.<br />
umass. edu/ gbecker/ BeckerChes13.<br />
pdf]) geht davon aus, dass es möglich<br />
sei, durch minimale Änderung der<br />
Dotierung des Halbleitermaterials den<br />
Zufallsgenerator des Prozessors derart<br />
zu schwächen, dass darauf aufbauende<br />
Verschlüsselung um ein Vielfaches<br />
leichter zu brechen wäre.<br />
Eine solche Manipulation wäre so gut<br />
wie nicht erkennbar: Die Komponenten<br />
auf dem Chip blieben die gleichen und<br />
bei einer Funktionsprüfung würden<br />
korrekte Zufallszahlen produziert – nur<br />
wären sie eben nicht so unvorhersehbar<br />
wie versprochen. Mindestens im<br />
zivilen Bereich sind keine Prüfverfahren<br />
bekannt, die eine solche Hintertür aufdecken<br />
könnten.<br />
Auf Befragen gibt Intel zu Protokoll:<br />
„Intel nimmt nicht an Regierungsaktivitäten<br />
teil, die die Sicherheit von<br />
Technologie verringern würden. Außerdem<br />
bauen wir keine Backdoors für<br />
den unautorisierten Zugang in unsere<br />
Produkte ein.“<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Login<br />
News<br />
13<br />
Red Hat Storage 2.1 verbessert Windows- und Cloud-Integration<br />
Die Firma Red Hat hat die neueste Version<br />
2.1 ihres kommerziellen Storage-<br />
Server-Produkts veröffentlicht. Auf der<br />
Basis des frei verfügbaren GlusterFS<br />
lässt sich damit über mehrere Rechner<br />
verteilter Storage realisieren. Neu ist im<br />
aktuellen Release der Support für das<br />
Cloud-Computing-Framework Open-<br />
Stack. Über die Swift-API von Open-<br />
Stack „Grizzly“ lässt sich der verteilte<br />
Speicher in eigenen Clouds verwenden.<br />
Erstmals implementiert Red Hat Storage<br />
Server das Windows-Dateiserverprotokoll<br />
SMB 2.0, was zu besserer<br />
Performance führen soll, wenn ein<br />
Windows-Netzwerkdateisystem auf<br />
dem GlusterFS betrieben wird. Zur<br />
Benutzerverwaltung unterstützt Red<br />
Hat Storage auch Active Directory.<br />
Einfacheres Management des Storage-<br />
Servers soll durch eine Verbesserung<br />
der Management-Konsole sowie die<br />
Integration in Red Hat<br />
Satellite gewährleistet<br />
sein.<br />
Um potenziellen Kunden<br />
einen Eindruck des<br />
Produkts zu geben, bietet Red Hat<br />
künftig auch Instanzen des Storage Servers<br />
in der Amazon Cloud an. Unter der<br />
Adresse [https:// testdrive. redhat. com/<br />
TestDrive] können sich Interessierte<br />
dafür registrieren.<br />
Zentyal 3.2 verbessert Samba-Support<br />
Die spanische Firma Zentyal hat Version<br />
3.2 ihres gleichnamigen Server-Produkts<br />
veröffentlicht. Verbessert wurde<br />
die Samba-Integration, sodass sich<br />
Windows-Umgebungen laut Zentyal<br />
nun noch einfacher migrieren lassen.<br />
Dazu setzt Zentyal auf Samba 4.1, das<br />
einen Active-Directory-Server ersetzen<br />
kann. Die Samba-, Proxy-, Mail- und<br />
Zarafa-Module unterstützen nun auch<br />
Group Policy Objects (GPOs) und Organizational<br />
Units (OUs).<br />
Die technische Basis für Zentyal ist<br />
jetzt die Ubuntu-Distribution 12.04.03<br />
LTS mit einem Linux Kernel 3.8. Zur<br />
Erhöhung der Sicherheit bringt Zentyal<br />
nun ein Intrusion Protection System<br />
mit; das IPSec-Modul beherrscht nun<br />
auch L2TP (Layer 2 Tunneling Protocol).<br />
Zentyal gibt es als kostenlose Community-Version<br />
unter der GPL-Lizenz sowie<br />
in zwei Ausführungen als kostenpflichtiges<br />
Subskriptionsprodukt, für das der<br />
Hersteller Support leistet. Die Small<br />
Business Edition ist auf 25 Benutzer<br />
begrenzt, die Enterprise Edition funktioniert<br />
unbeschränkt.<br />
Python setzt Qualitätsmaßstäbe für Open Source<br />
Laut einer Studie der Firma Coverity setzt das Python-Projekt in der Open-Source-<br />
Welt neue Maßstäbe bei der Code-Qualität. Die von Coverity ermittelte Fehlerrate<br />
liegt demnach bei 0,005: also 0,005 Fehlern pro 1000 Code-Zeilen. Der Durchschnitt<br />
bei Open-Source-Software wurde von Coverity im Jahr 2012 mit 0,69 ermittelt.<br />
Der Linux-Kernel wies dabei mit einer Rate von 0,5 durchschnittlich etwas<br />
weniger Fehler auf. Laut Coverity wurden in dem Python-Test fast 400 000 Zeilen<br />
Python-Code analysiert und dabei 996 Fehler gefunden, von denen 860 durch die<br />
Python-Entwickler behoben wurden.<br />
Hintergrund zur Spähaffäre<br />
Die Gesellschaft für Informatik hat einen umfangreichen Fragen- und Antwortkatalog<br />
zu den Hintergründen der NSA-Spähaffäre erarbeitet. Die Faktensammlung<br />
wendet sich in vier Themenkomplexen im Detail rund 40 politischen, technischen<br />
und juristischen Fragen sowie der möglichen Abwehr von Schnüffelattacken zu.<br />
Beantwortet werden Fragen wie: Wer überwacht wie und in welchem Maße unsere<br />
Kommunikation? Wer dringt wie und in welchem Maße in unsere Computer<br />
ein? Auf welcher rechtlichen Grundlage geschieht dies? Wie können wir uns davor<br />
<strong>schützen</strong>?<br />
Die politische Bedeutung des Themas erschwere eine sachliche Diskussion, so das<br />
Redaktionsteam, berühre sie doch die Grundlagen unseres Lebens im digitalen<br />
Zeitalter. Daher sehen sich Mitglieder der Gesellschaft für Informatik veranlasst,<br />
dem interessierten Bürger und verantwortungsbewussten Informatiker Hintergrundinformationen<br />
zum Kontext der IT-gestützten Ausspähung bereitzustellen.<br />
Das PDF kann unter [http:// www. gi. de/ fileadmin/ redaktion/ Download/<br />
GI‐FAQ‐Ausspaehung2013‐V1. 0. pdf] heruntergeladen werden.<br />
n Info<br />
Neueste nachrichten<br />
immer auf<br />
www.admin-magazin.de<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30191<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
Netzwerke angreifen, um sie zu sichern<br />
Ohne<br />
Gnade<br />
Jesse-lee Lang, 123RF<br />
Statt sein Netzwerk durch Aktenstudium sicherer zu<br />
machen, sollte man es einfach mit allem angreifen,<br />
was man hat. Nmap ist das Tool der Wahl, um die<br />
eigenen Server unter gnadenlosen Beschuss<br />
zu nehmen. Und das ist gar nicht so schwierig.<br />
Thorsten Scherf<br />
Beim Durchstöbern eines Konferenz-<br />
Archivs fiel mir ein altes Video von Fyodor,<br />
dem Hauptentwickler des Nmap-<br />
Scanners, ins Auge. Da ich damals<br />
selbst im Publikum gesessen habe,<br />
wollte ich eigentlich nur meine Erinnerungen<br />
auffrischen, als ich mir das Video<br />
dann noch einmal ansah [1]. Dabei<br />
fiel mir dann allerdings auf, wie rasant<br />
sich das Tool in den letzten Jahren entwickelt<br />
hat. Nicht nur die Performance,<br />
mit der Nmap mittlerweile Tausende<br />
von Hosts in kurzer Zeit scannen kann,<br />
hat sich im Vergleich zu den ersten<br />
Versionen extrem verbessert, auch die<br />
Scripting Engine NSE kann sich nun<br />
wirklich sehen lassen. Standen vor<br />
Abbildung 1: Die Hilfe zeigt, welche Nmap-Module es für den http-Daemon gibt.<br />
einigen Jahren nur wenige Skripte zur<br />
Verfügung, enthält die aktuelle Version<br />
von Nmap weit über 400.<br />
Auch die Datenbank mit den Fingerprints,<br />
die zum Ermitteln der Services<br />
und des eingesetzten Betriebssystems<br />
zum Einsatz kommen, umfasst mittlerweile<br />
mehrere Tausend Einträge. Die<br />
Version 6.40 von Nmap steht seit Mitte<br />
August zum Download [2] zur Verfügung<br />
und sollte in dieser Version über<br />
die Software-Repositories der meisten<br />
Linux-Distributionen zu haben sein.<br />
Mit der Nmap Scripting Engine (NSE)<br />
stellt das Scanning-Tool eine elegante<br />
Methode zur Verfügung, mit denen<br />
Anwender beliebige Security-Tests ausführen<br />
können. Die Tests helfen dabei,<br />
aktive Netwerkdienste zu ermitteln,<br />
Schwachstellen der eingesetzten Software<br />
und eventuell vorhandene Backdoors<br />
zu identifizieren. Es gibt sogar die<br />
Möglichkeit, Exploit-Code auf gefundene<br />
Schwachstellen anzuwenden.<br />
Universell per Skript<br />
erweiterbar<br />
Die Scripting Engine besteht aus zwei<br />
Teilen. Das Herzstück ist der integrierte<br />
Lua-Interpreter. Die Scriptsprache Lua<br />
[5] ist primär dafür gedacht, die Funktionalität<br />
von bestehenden Programmen<br />
zu erweitern. Aus diesem Grunde<br />
ist der Interpreter auch extrem klein,<br />
sodass er sich prima in bestehende<br />
Tools integrieren lässt. Neben Nmap<br />
greifen bereits viele andere Tools auf<br />
Lua zurück, beispielsweise auch das<br />
bekannte Intrusion Detection System<br />
»Snort« und der Packet-Analyzer »Wireshark«.<br />
Neben dem Interpreter stellt<br />
die NSE-Bibliothek die zweite Komponente<br />
der Scripting Engine dar. Diese<br />
ist dafür verantwortlich, Nmap und Lua<br />
miteinander zu verbinden. Neben den<br />
Lua-Standardfunktionen stellt diese<br />
Bibliothek sehr mächtige Nmap-spezifische<br />
Methoden zur Verfügung. Diese<br />
lassen sich in NSE-Skripten mit einer<br />
»require«-Anweisung einbinden.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Netzwerk<br />
Netzwerk-Scanner Nmap<br />
17<br />
Skript-Kategorien<br />
Die NSE-Skripte selbst gliedern sich<br />
in unterschiedliche Kategorien. So<br />
befinden sich beispielsweise Skripte<br />
zum Identifizieren von Schwachstellen<br />
in der Kategorie »vuln«, während die<br />
Skripte der Kategorie »exploit« versuchen,<br />
die identifizierten Schwachstellen<br />
auszunutzen. Ruft man Nmap mit<br />
aktivierter Scripting Engine auf, ohne<br />
jedoch ein spezielles Skript oder eine<br />
Kategorie anzugeben, so kommen die<br />
Default-Skripte zum Einsatz. Neben den<br />
bereits erwähnten existieren noch die<br />
Kategorien auth, broadcast, brute, discovery,<br />
dos, external, fuzzer, intrusive,<br />
malware, safe und version. Die Scripting<br />
Engine erwartet die Skripte im Verzeichnis<br />
»/usr/share/nmap/scripts/«.<br />
Nmap selbst nimmt diese dann über<br />
die Option »‐‐script« entgegen. Mittels<br />
»‐‐script‐args« erhalten die Skripte die<br />
passenden Argumente. Dies ist etwa<br />
bei den Brute-Force-Skripten nötig.<br />
Während der Entwicklung von neuen<br />
NSE-Skripten kann man Nmap auch<br />
einfach mittels »‐‐datadir« den genauen<br />
Dateisystempfad angeben, um<br />
das Skript von einer beliebigen Stelle<br />
aus auszuführen. Ist die Entwicklung<br />
abgeschlossen, sollte die Datei schließlich<br />
in das Default-Skriptverzeichnis kopiert<br />
werden. Neben den eigentlichen<br />
Lua-Skripten liegt dort auch eine Datei<br />
»script.db«. Diese kennt alle vorhandenen<br />
Skripte und die dazugehörigen<br />
Kategorien. Mittels der Nmap-Option<br />
»‐‐script‐updatedb« wird diese auf den<br />
aktuellen Stand gebracht. Die Option<br />
»‐‐script‐help« macht genau das, was<br />
der Name vermuten lässt, wobei auch<br />
Wildcards möglich sind. Eine Hilfe zu<br />
allen NSE-Skripten, die den Service<br />
»httpd« betreffen (Abbildung 1), liefert:<br />
# nmap ‐‐script‐help "http‐*"<br />
Das zweite Beispiel (Abbildung 2) führt<br />
einen Scan auf dem lokalen Port 21<br />
durch. Ist dieser offen, kommen die<br />
Skripte »ftp‐anon« und »ftp‐brute«<br />
zum Einsatz. ftp-anon prüft, ob ein anonymer<br />
Login auf dem Server möglich<br />
ist und listet im Erfolgsfall das Root-<br />
Verzeichnis des Servers auf. Das zweite<br />
Skript führt einen Brute-Force-Angriff<br />
Abbildung 2: So sieht ein Brute-Force-Angriff auf den FTP-Port 21 aus. Der Aufruf dazu ist ein simpler<br />
Einzeiler, der Effekt ein brutaler Passwort-Angriff.<br />
aus. Dabei greift Nmap auf die Bibliothek<br />
»unpwdb.lua« aus dem Verzeichnis<br />
»nselib« zurück. Diese wiederum<br />
bedient sich der beiden Dateien »usernames.lst«<br />
und »passwords.lst« für den<br />
Brute-Force-Angriff. Beide Dateien sind<br />
Teil der regulären Nmap-Installation,<br />
sodass die Brute-Force-Skripte direkt<br />
einsatzbereit sind, ohne erst ein Wörterbuch<br />
mit Benutzernamen und Passwörtern<br />
herunterladen zu müssen.<br />
Nmap kommt in der aktuellen Version<br />
6.40 mit weiteren 400 fertigen NSE-<br />
Skripten daher. Sollte trotzdem nicht<br />
das passende dabei sein, so ist es recht<br />
leicht, eigene Skripte in Lua zu schreiben<br />
oder die bestehenden Skripte<br />
abzuändern. NSE-Skripte sind immer<br />
so aufgebaut, dass diese einen Header,<br />
eine Port-Regel und eine Action enthalten.<br />
Das Beispiel (Listing 1) zeigt, wie<br />
sich SSH-Server identifizieren lassen,<br />
die auf einem nicht Default-Port lauschen,<br />
also beispielsweise auf Port 443.<br />
Dies könnte ein Indiz dafür sein, dass<br />
bestehende Compliance-Regeln bei der<br />
Konfiguration des Server nicht eingehalten<br />
wurden. Solche Server werden<br />
gerne dazu genutzt, um einfache Paketfilter<br />
zu umgehen, die SSH blockieren<br />
sollen. Port 443 ist der Standard-Port<br />
für gesicherte http-Verbindungen<br />
(»https«) und daher fast immer offen.<br />
Ein Paketfilter, der lediglich bis OSI-<br />
Level 4 arbeitet, würde hier nicht<br />
feststellen können, dass über den Port<br />
443 kein Web-Traffic, sondern eine SSH-<br />
Verbindung läuft.<br />
Fazit<br />
Der kleine Ausflug in die Welt des<br />
Nmap-Scriptings zeigt, was mit der<br />
Kombination aus Nmap und der Skriptsprache<br />
Lua alles möglich ist. Das<br />
abgedruckte Beispiel ist dafür nur als<br />
Einstieg gedacht. Wer sich näher mit<br />
NSE auseinander setzen möchte, findet<br />
unter [3] ein hilfreiches Tutorial, das<br />
einen tiefen Einblick in die Scripting Engine<br />
vermittelt. Natürlich hilft auch die<br />
offizielle Dokumentation von Fyodor<br />
und seinem Team weiter [4]. (ofr) n<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30775<br />
n Listing 1: »ssh‐strangeport.nse«<br />
01 description = [[<br />
02 Checks if SSH is running on a non‐standard port.<br />
03 Possible compliance violation.<br />
04 ]]<br />
05 <br />
06 ‐‐‐<br />
07 ‐‐ @output<br />
08 ‐‐ 443/tcp open ssh<br />
09 ‐‐ |_ ssh‐strangeport: SSH server on unusual<br />
port: possible compliance violation<br />
10 <br />
11 author = "Thorsten Scherf"<br />
12 license = "Same as Nmap‐‐See http://nmap.org/<br />
book/man‐legal.html"<br />
13 categories = {"discovery", "safe"}<br />
14 <br />
15 portrule = function(host, port)<br />
16 return port.service == "ssh" and<br />
17 port.number ~= 22 and port.<br />
number<br />
18 and port.protocol == "tcp"<br />
19 and port.state == "open"<br />
20 end<br />
21 <br />
22 action = function()<br />
23 return "SSH server on unusual port:<br />
possible compliance violation"<br />
24 end<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
18<br />
Login<br />
LSI-Interview<br />
Mit 12 GBit/s erreicht SAS die zukunftsträchtige dritte Ausbaustufe<br />
Fibre Channel<br />
ausgestochen<br />
Erst kürzlich machte das Serial-Attached-SCSI-Interface (SAS) damit<br />
Schlagzeilen, dass es seine dritte Ausbaustufe erreichte: 12 GBit/s.<br />
Der erste Hersteller mit passenden Controllern war LSI. Dort erkundigte<br />
sich das <strong>ADMIN</strong>-<strong>Magazin</strong> bei Thomas Pavel, Sales Director Storage<br />
EMEA, nach Perspektiven und Konsequenzen. Jens-Christoph Brendel<br />
Thomas Pavel, Sales Director Storage EMEA bei LSI<br />
<strong>ADMIN</strong>-<strong>Magazin</strong>: SAS ist vor Jahren<br />
angetreten, als Ultra SCSI 320<br />
an seine physikalischen Grenzen stieß.<br />
Nun erleben wir mit 12-GBit-SAS bereits<br />
die dritte SAS-Generation. Wie<br />
lange wird es dauern, bis wir auch hier<br />
eine Grenze erreicht haben?<br />
Thomas Pavel: Ultra 320 basierte auf<br />
paralleler Technologie mit ungünstigen<br />
Phänomenen wie Crosstalk oder<br />
Data Skew, die weniger zuverlässig für<br />
Datentransfers mit hoher Geschwindigkeit<br />
war. SAS im Gegensatz dazu ist seriell<br />
und leidet nicht an diesen Einschränkungen.<br />
SAS sollte somit lange leben.<br />
Bereits 2010 wurde der 16-GBit-<br />
Fibre-Channel-Standard ratifiziert<br />
und inzwischen gibt es auch erste Diskarrays<br />
mit dieser Geschwindigkeit.<br />
Hinkt 12-GBit-SAS da hinterher?<br />
SAS hat Fibre Channel – was Performance<br />
angeht – schon immer ausgestochen,<br />
da SAS-Verbindungen vier Lanes<br />
pro Port nutzen um damit eine kumulierte<br />
Bandbreite von 24 GBit/s für<br />
6-GBit-SAS und 48 GBit/s für 12-GBit-SAS<br />
bieten. In den meisten Umgebungen<br />
werden HBAs oder RAID-Controller mit 2<br />
Ports, also 8 Lanes, eingesetzt – sie sind<br />
Fibre Channel somit weit voraus.<br />
Ein anderer möglicher Konkurrent<br />
sind Storage-Protokolle auf Ethernet-Basis<br />
wie iSCSI oder ATA over Ethernet.<br />
Mit Ethernet können schon heute<br />
Geschwindigkeiten von 40 oder 100<br />
GBit/s und mehr erreicht werden. Kann<br />
SAS diesen Wettlauf gewinnen?<br />
Sicherlich, immerhin ist SAS speziell<br />
für Speichersysteme und Speicheranbindungen<br />
entwickelt worden und sehr<br />
effizient. Außerdem müsste das Ethernet-Protokoll<br />
noch in SAS oder SATA umgewandelt<br />
werden.<br />
Braucht man für 12-GBit-SAS neue<br />
Kabel und Konnektoren?<br />
12-GBit-SAS nutzt Mini-SAS-HD-Kabel.<br />
Damit können Controller mit 12-GBit-<br />
SAS nahtlos mit früheren Generationen<br />
von SAS-Disks kommunizieren. Auch<br />
SATA-Platten werden unterstützt.<br />
Ist 12-GBit-SAS eine Technologie<br />
rein für den Enterprise-Sektor?<br />
Sicher werden auch manche Endkunden<br />
an einer höheren Geschwindigkeit<br />
interessiert sein. Videoverarbeitung<br />
ist ein Beispiel, auch profitiert das Gaming<br />
von dieser Technologie. Für den<br />
Enterprise-Sektor wird 12-GBit-SAS die<br />
bevorzugte Technologie werden.<br />
MIT SAS lassen sich ja mittels sogenannter<br />
Expander viele Laufwerke<br />
zu Verbünden (Storage-Domänen) verbinden.<br />
Gibt es auch die verschiedenen<br />
Expander bereits in 12-GBit-Ausführung?<br />
Wir sind dabei, auch mit 12-GBit-Expandern<br />
in Produktion zu gehen.<br />
Diese Expander werden die DataBolt-<br />
Funktion beinhalten, die es Geräten mit<br />
Infrastruktur für 6 GBit/s erlauben wird,<br />
die gleiche Geschwindigkeit wie 12<br />
GBit/s zu nutzen. Damit wird der Übergang<br />
zu 12 GBit/s beschleunigt und Investitionen<br />
in alte Drives sind sicher.<br />
Ist Dual Porting auch mit 12-GBit-<br />
SAS möglich?<br />
Ja, die neue Generation von 12-GBit-<br />
SAS unterstützt jetzt ebenfalls Dual<br />
Porting.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Noam Armonn, 123RF<br />
Tkined neu aufleben lassen<br />
Bergungsfahrt<br />
Die meisten Monitoring-Tools arbeiten heute webbasiert. Eine Alternative dazu ist das in Tcl/Tk geschriebene<br />
Tkined, das allerdings erst wieder aus den Untiefen des Internet gehoben werden muss. Oliver Frommel<br />
Es ist schon eine komische Sache mit<br />
diesen Open-Source-Projekten. Manche<br />
werden über Nacht erfolgreich, während<br />
andere ein Schattendasein fristen<br />
und dann in der Versenkung verschwinden.<br />
Und sage keiner, dass sich dabei<br />
immer Qualität durchsetzt …<br />
In den neunziger Jahren war einmal<br />
eine Anwendung namens Tkined (Tcl/<br />
tK based Interactive Network EDitor)<br />
recht populär. Damals machte sich<br />
Linux gerade zu seinem Siegeszug in<br />
der Unix-Welt auf, aber die Firmenwelt<br />
war noch von kommerziellen Unix-<br />
Systemen dominiert. Auf ihnen setzten<br />
viele Administratoren das mehrere<br />
Tausend Dollar schwere HP Openview<br />
zur Verwaltung ihrer Netzwerke ein.<br />
1993 stellte der Programmautor Jürgen<br />
Schönwälder erstmals auf der US-<br />
amerikanischen LISA-Konferenz seine<br />
Schöpfung vor: ein in Tcl geschriebenes<br />
Modul zum Netzwerkmanagement,<br />
das er mit einer Shell und einem grafischen<br />
Frontend bündelte. Es waren die<br />
Zeiten, in denen Linux-Anwender ihre<br />
grafische X11-Oberfläche noch manuell<br />
mit dem Befehl »startx« starteten,<br />
wenn sie es überhaupt schafften, die<br />
Modelines für ihren Monitor richtig zu<br />
konfigurieren.<br />
Modesache<br />
Heute ist Jürgen Schönwälder Professor<br />
an der Jacobs-Universität Bremen<br />
und Tkined eine der vielen Projektleichen<br />
im Internet. Dabei gibt es nicht<br />
einmal einen legitimen Nachfolger für<br />
das Projekt. Wie es scheint, ist Netzwerkmanagement<br />
einfach aus der<br />
Mode gekommen und von Monitoring-<br />
Systemen wie Nagios verdrängt worden,<br />
die heute den Ton angeben. Mit<br />
ein wenig Mühe lässt sich Tkined aber<br />
reanimieren und noch einmal ein Blick<br />
auf ein im Grunde vielversprechendes<br />
Open-Source-Projekt werfen.<br />
Die Tcl-TNM-Extension beherrscht eine<br />
ganze Reihe von Protokollen, die das<br />
Erforschen und Überwachen eines<br />
Netzwerks vereinfachen sollen, etwa<br />
ICMP, UDP, DNS, HTTP, RPC, NTP sowie<br />
SNMP 1 und 2. Über die Netzwerkprotokolle<br />
hat die Tcl-TNM-Extension auch<br />
Zugriff auf das Syslog des Rechners,<br />
auf dem das Paket installiert ist. Zu<br />
der gewünschten Implementierung<br />
von SNMP 3 ist es nicht mehr gekommen;<br />
auch IPv6 ist ein Eintrag auf der<br />
Feature-Wunschliste geblieben.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Netzwerk<br />
Tkined<br />
21<br />
in« zu fixen, wie es sich eigentlich gehört,<br />
habe ich mir fürs Erste gespart.<br />
Beim Starten von »tkined« tritt unter<br />
Umständen noch eine Fehlermeldung<br />
auf, weil die shared Library »tkined.so«<br />
nicht gefunden wird. Das lässt sich beheben,<br />
indem man die Umgebungsvariable<br />
»TCLLIBPATH« passend setzt:<br />
export TCLLIBPATH=/usr/local/lib/<br />
Abbildung 1: Tkined zeigt die gefundenen Netzwerke an.<br />
Ein kleines Problem bei der Installation<br />
besteht schon einmal darin, den möglichst<br />
aktuellen Quellcode von Tkined/<br />
Scotty zu lokalisieren. Es kursieren eine<br />
Reihe von Hinweisen, die wiederum<br />
tote Links enthalten oder auf Versionen<br />
verweisen, die uralte Tcl-Versionen voraussetzen.<br />
Um es kurz zu machen: Am<br />
meisten Erfolg verspricht die Version,<br />
die in Schönwälders Subversion-Repository<br />
zu finden ist [1]. Es funktioniert<br />
mit der Tcl/Tk-Version, die zumindest<br />
auf aktuellen Debian-Systemen noch<br />
in den Paketquellen enthalten ist. Die<br />
Pakete lassen sich bei Bedarf so installieren:<br />
apt‐get install tk8.4 tk8.4‐dev tcl8.4 U<br />
tcl8.4‐dev<br />
Eine Alternative, die Kompatibilität<br />
mit Tcl/Tk 8.5 verspricht, ist in einem<br />
Github-Repository [2] zu finden. Sie<br />
ließ sich letztlich zwar kompilieren und<br />
starten, stürzte aber beim Laden der<br />
Module ab. Also zurück zum Subversion-Repository.<br />
Nach dem Auschecken<br />
per »svn co« muss man laut Readme-<br />
Datei in das »unix«-Verzeichnis wechseln<br />
und nach »configure« ein paar<br />
Make-Befehle eingeben:<br />
Leider funktionierte nach dem Übersetzen<br />
schon die Installation mit »make<br />
install« nicht und brach mit einem lapidaren<br />
»initialization failed« ab. Wie sich<br />
herausstellte, war das der Make-Schritt<br />
»tnm‐install‐mibs«, der die MIB-Dateien<br />
auf die Festplatte schreibt und sie dann<br />
zum Parsen an den Scotty-Interpreter<br />
übergibt, von dem die wenig aussagekräftige<br />
Fehlermeldung stammt.<br />
Zwei Stunden später – als Redakteur<br />
hat man schließlich ja auch sonst<br />
nichts zu tun – war der Fehler schon<br />
gefunden: Beim Laden des TNM-Moduls<br />
konnte der dynamische Linker das<br />
Symbol »__dn_expand« nicht auflösen,<br />
das zur DNS-Resolver-Bibliothek gehört.<br />
Editiert man das Makefile, findet<br />
man an den entsprechenden Stellen<br />
sogar die Link-Anweisungen »‐lresolv«,<br />
aber sie sind auskommentiert. Entfernt<br />
man die Kommentarzeichen und übersetzt<br />
das Tkined-Paket mit »make« neu,<br />
funktioniert alles wie gewünscht. Den<br />
Fehler in der Autoconf-Datei »configure.<br />
Schon startet Tkined und man bekommt<br />
die GUI in Abbildung 1 zu sehen.<br />
Unter »Tools | IP‐Discover« ist das<br />
Modul für die Discovery von Netzwerkgeräten<br />
zu finden. Wählt man es aus,<br />
erscheint rechts vom Tools-Menü ein<br />
neues Menü mit dem Namen »IP‐Discover«.<br />
Nach der Auswahl von »Discover<br />
IP Network« erscheint ein Dialog, der<br />
zur Eingabe des Netzes auffordert,<br />
zum Beispiel eines Class-C-Netz wie<br />
192.168.1.0.<br />
Routen-Suche<br />
Analog funktioniert »Discover Route«:<br />
Einfach ein Ziel eingeben und wenige<br />
Sekunden später zeigt Tkined die<br />
gefundene Route an. Besonders übersichtlich<br />
ist das Ergebnis erst einmal<br />
nicht. Allerdings bringt Tkined auch ein<br />
Modul fürs automatische Layout von<br />
Netzwerkdiagrammen mit, das ebenfalls<br />
unter »Tools« zu finden ist. Ist das<br />
Menü aktiviert, genügt es mit [a] (oder<br />
über das Menü »Select | Select All«) alle<br />
Knoten zu markieren und dann unter<br />
»IP Layout« den Punkt »Layout Network«<br />
auszuwählen.<br />
Das ist noch nicht perfekt, aber durch<br />
etwas manuelle Nacharbeit leicht zu<br />
korrigieren. Zum Verschieben von grafischen<br />
Elementen hat Tkined die mittlere<br />
Maustaste vorgesehen. Die Funk-<br />
cd unix<br />
./configure<br />
make<br />
make install<br />
make sinstall<br />
Abbildung 2: Per Default prüft Tkined die<br />
Erreichbarkeit eines Knotens im Abstand<br />
von 60 Sekunden.<br />
Abbildung 3: Tkined zeigt die Anzahl der<br />
gleichzeitigen SSH-Logins auf einem Server<br />
grafisch an.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
22<br />
Netzwerk<br />
Tkined<br />
Für Interface Utilization und Storage<br />
Utilization gibt es eigene Menüpunkte.<br />
Selbst die Überwachung der Anzahl von<br />
SSH-Sessions ist möglich (Abbildung 3).<br />
»Tools | SNMP Tree« stellt den MIB-Baum<br />
grafisch dar.<br />
Wer einen Blick in die Tkined- und<br />
Scotty-Verzeichnisse wirft, lernt, wie<br />
man das Tcl-TNM-Modul verwendet,<br />
sei es um das Tkined zu erweitern oder<br />
eigene Skripte zu schreiben. Typischerweise<br />
sieht das etwa so aus:<br />
tclsh<br />
% package require Tnm 3.0<br />
3.0.0<br />
% namespace import Tnm::*<br />
% mib<br />
Abbildung 4: Beispiel eines etwas komplexeren Netzwerks, das mit Tkined überwacht wird.<br />
n Info<br />
tion »Group Network« verhilft hier noch<br />
zu etwas mehr Übersicht, weil sie die<br />
traversierten Subnetze in Icons verwandelt.<br />
Das Ergebnis ist in Abbildung 1 zu<br />
sehen. Wer weiß, was sich im eigenen<br />
Netz hinter jeder Adresse verbirgt, kann<br />
in Tkined ein passendes Icon auswählen<br />
und so für mehr Übersicht sorgen.<br />
Monitoring<br />
Statt automatisch ein Netz zu durchsuchen,<br />
kann der Anwender ein Diagramm<br />
auch von Grund auf selbst erstellen.<br />
Dann wird aus Tkined eine Art<br />
Visio für Arme, aber das selbst gezeichnete<br />
Diagramm erwacht dann zum<br />
Leben, wenn man die Objekte mit den<br />
echten IP-Adressen ausstattet. Dann<br />
lassen sich zum Beispiel die Erreichbarkeit<br />
eines Knotens (Abbildung 2),<br />
der Durchsatz von Netzwerk-Interfaces,<br />
der Festplattenplatz und vieles mehr<br />
überwachen.<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/29895<br />
Den größten Nutzen lässt sich aus Tkined<br />
ziehen, wenn man SNMP verwendet,<br />
das Simple Network Monitoring<br />
Protocol, das gar nicht so simpel ist,<br />
wie es der Name verspricht. Ist ein<br />
Netzwerkgerät passend konfiguriert,<br />
kann Tkined beliebige Daten überwachen<br />
und visualisieren, die in dessen<br />
Management Information Base (MIB)<br />
festgelegt sind. Einen Überblick über<br />
die implementierten Variablen bekommt<br />
man mit »Tools | SNMP‐Browser«<br />
und »Walk MIB Tree«. Auf einem<br />
Linux-System, das nach der Installation<br />
des »snmpd« seine Daten über SNMP<br />
bereitstellt, ist das Ergebnis des Treewalk<br />
eine Datei von knapp 2500 Zeilen!<br />
Über das Menü »SNMP-Trouble« lassen<br />
sich einzelne Variablengruppen, etwa<br />
Interface, IP, ICMP und so weiter abfragen<br />
und so die damit verwandten MIB-<br />
Variablen in Erfahrung bringen.<br />
Überwachen lässt sich per SNMP so<br />
ziemlich alles, was man sich vorstellen<br />
kann: Auslastung von Arbeitsspeicher<br />
und Swapspace, Plattenplatz, CPU-<br />
Load, Netzwerkdurchsatz, Routing-<br />
Tabelle und vieles mehr. Der Eintrag<br />
»Monitor Variable« im Menü »SNMP Monitor«<br />
startet die Überwachung einer<br />
Variablen, die der Anwender eingibt.<br />
Zuerst wird hier die Tcl-Shell gestartet,<br />
dann das Modul »Tnm« importiert und<br />
anschließend entweder die benötigten<br />
oder alle Module daraus geladen. Eine<br />
ganze Reihe von Beispielen, die sich<br />
auch als Shellskripte verwenden lassen,<br />
finden sich im Verzeichnis »tnm/<br />
examples«.<br />
Hilfe!<br />
Hat man Tkined/Scotty erst einmal<br />
zum Laufen gebracht, erhält man ein<br />
brauchbares Netzwerk-Monitoring-<br />
Tool, das sich für Visualisierung, Discovery<br />
und Überwachung eignet. Die<br />
Zeit ist freilich nicht spurlos an ihm<br />
vorbeigegangen und leider kümmert<br />
sich heute niemand mehr um das Projekt.<br />
Standalone-Programme im Stil<br />
von Tkined werden inzwischen meist<br />
durch Webanwendungen abgelöst. Den<br />
Komfort, den Tkined bei der grafischen<br />
Darstellung von Netzwerken in Abbildung<br />
4 demonstriert, bieten aber nur<br />
wenige. Auch für die SNMP-Fähigkeiten<br />
des Tools gibt es nur wenig gleichwertigen<br />
Ersatz.<br />
Vielleicht findet sich irgendwann jemand<br />
mit genügend Interesse und<br />
Tcl-Kenntnissen, der das Tkined-Erbe in<br />
die Zukunft trägt. Mehr, allerdings auch<br />
teilweise recht konfuse Informationen<br />
sind im Tcl-Wiki [3] zu finden. Eine Kopie<br />
der alten Tkined-Website, die auch<br />
die Datei »Getting started with Tkined«<br />
führt, hat die GWDG auf ihren Servern<br />
gespeichert [4]. n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Tomasz Wyszolmirski, 123RF<br />
UFW-Firewall<br />
Geradlinig<br />
Die Firewall-Konfiguration unter Linux ist nicht ganz trivial. Etwas einfacher macht die Bedienung auf der<br />
Kommandozeile die Uncomplicated Firewall UFW. Oliver Frommel<br />
Seit Menschengedenken bildet das<br />
Netfilter-Modul die Grundlage für die<br />
Firewall-Funktionalität unter Linux.<br />
Nun, das stimmt nicht ganz. Aber kann<br />
sich wirklich noch jemand an IPChains<br />
erinnern? Das war noch im Kernel<br />
2.2 und seit Linux 2.4 regiert wirklich<br />
Netfilter die Firewall-Welt des Torvaldsschen<br />
Mikrokosmos. Verwaltet wird die<br />
Netfilter-Firewall mit den bekannten<br />
IPTables-Befehlen, über die sich das<br />
Verhalten der Firewall im Detail steuern<br />
lässt [2].<br />
Eigentlich hätten irgendwann die NFTables<br />
die komplizierten IPTables ablösen<br />
sollen [3], aber dazu ist es nie gekommen<br />
und das Projekt wurde eingestellt.<br />
Mittlerweile gibt es den Versuch, einen<br />
Kompatibilitäts-Layer zwischen IPTables<br />
und NFTables zu schaffen, aber bis<br />
auf Weiteres bleibt IPTables das Maß<br />
der Dinge:<br />
iptables ‐A INPUT ‐p tcp ‐‐dport 22 ‐jU<br />
ACCEPT<br />
Was das alles bedeutet, kann man lernen,<br />
und Tutorials zu IPTables gibt es<br />
im Netz genügend. Einen anderen Weg<br />
hat allerdings die Ubuntu-Distribution<br />
mit Version 8.04 eingeschlagen und das<br />
Paket UFW (Uncomplicated Firewall)<br />
mitgebracht, das die Verwaltung der<br />
eingebauten Netfilter-Firewall drastisch<br />
vereinfacht.<br />
UFW zu Hilfe<br />
Installieren lässt sich UFW recht einfach,<br />
denn es ist in den Paketquellen<br />
enthalten – jedenfalls, wenn man eine<br />
Ubuntu- oder Debian-Distribution<br />
verwendet. Andere, wie Fedora-User,<br />
laden sich von [4] das Quellcode-Paket<br />
herunter, entpacken es und geben<br />
»python setup.py config« ein. Der folgene<br />
Befehl »python setup.py install«<br />
erfordert Root-Rechte. Danach sollte<br />
UFW funktionieren, auch wenn es<br />
eventuell noch überflüssige Gruppenschreibrechte<br />
moniert. Dieses Problem<br />
lässt sich gegebenenfalls so beheben:<br />
chmod g‐w /usr/sbin/ufw /etc/default/ufwU<br />
/lib/ufw/ufw‐init /etc/ufw/ufw.conf U<br />
/etc/ufw/applications.d/<br />
Wir gehen im Folgenden davon aus,<br />
dass es keine IPTables-Konfiguration<br />
gibt. Red-Hat- und Fedora-Anwender<br />
sollten daher erst den IPTables-Dienst<br />
mit »service iptables stop« stoppen.<br />
Dauerhaft schalten sie ihn mit »chkconfig<br />
iptables off« ab.<br />
Damit kann nun die Konfiguration<br />
der Firewall per UFW starten. Um zu<br />
verhindern, dass man sich nicht mehr<br />
übers Netz einloggen kann, sollte man<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Netzwerk<br />
UFW-Firewall<br />
25<br />
sicherheitshalber als Erstes eine Regel<br />
anlegen, die das Login per SSH erlaubt:<br />
ufw allow ssh/tcp<br />
Wie man sieht, versteht UFW die Namen<br />
der Dienste, die es aus der Datei<br />
»/etc/services« bezieht. Alternativ<br />
funktioniert das auch mit den Portnummern,<br />
also »ufw allow 22/tcp«.<br />
Das »tcp« hinter dem Schrägstrich beschränkt<br />
die Regel auf TCP, die Angabe<br />
von »udp« steht für UDP. Ohne weitere<br />
Angaben bezieht sich die Regel auf<br />
beide Protokolltypen. Der Befehl »ufw<br />
enable« startet schließlich die Firewall-<br />
Funktion. Ein Aufruf von »ufw status«<br />
verschafft einen Überblick über die<br />
Funktion (siehe Listing 1).<br />
Wie das Listing zeigt, blockiert UFW per<br />
Default alle eingehenden (»deny (incoming)«)<br />
und erlaubt alle ausgehenden<br />
Verbindungen (»allow (outgoing)«). Die<br />
Firewall ist aktiv und das Logging erzeugt<br />
nur wenige Daten. Apropos Logging:<br />
Bei den Debian- und Ubuntu-Installationen<br />
ist eine Konfigurationsdatei<br />
für den Rsyslog-Daemon enthalten.<br />
Gegebenenfalls müssen Debian-Anwender<br />
nur noch den normalen Syslog-<br />
Daemon durch Rsyslog austauschen,<br />
damit alles wie gewünscht funktioniert.<br />
Die Logging-Datei ist dann »/var/log/<br />
ufw.log«. Wer UFW aus dem Quellcode<br />
installiert, findet eine passende Konfi-<br />
guration in »doc/rsyslog.example«. Das<br />
gleiche gilt für die Komplettierung der<br />
Befehle in der Bash: Bei Ubuntu/Debian<br />
ist sie schon dabei, die anderen finden<br />
die Datei im Quellcode-Archiv.<br />
Was man dem Listing 1 auch noch entnehmen<br />
kann, ist die Tatsache, dass<br />
es je eine Regel für IPv4 und IPv6 gibt.<br />
Dies war bei der Installation auf einem<br />
Fedora-System aus dem Quellcode der<br />
Fall. Bei Debian ist per Default IPv6 deaktiviert.<br />
Die dazu gehörige Einstellung<br />
findet sich in »/etc/default/ufw« mit<br />
»IPV6=yes« respektive »no«.<br />
Prinzipiell kann UFW natürlich die<br />
Firewall auch feiner regulieren, statt<br />
einen Dienst nur pauschal freizuschalten.<br />
So erlaubt der folgende Befehl<br />
die SSH-Verbindungen nur vom Host<br />
192.168.1.136:<br />
ufw allow from 192.168.1.136 port 22<br />
UFW unterstützt nicht nur blindwütiges<br />
Blockieren von Verbindungen, sondern<br />
auch eine sensible Begrenzung<br />
von Verbindungsversuchen, etwa um<br />
Brute-Force-Angriffe auf SSH-Logins zu<br />
verhindern. Dies lässt sich mit<br />
ufw limit ssh/tcp<br />
bewerkstelligen. UFW blockiert per<br />
Default eine IP-Adresse, wenn sie innerhalb<br />
30 Sekunden sechsmal oder mehr<br />
Abbildung 1: Schwer zu glauben: Auf virtualisiertem<br />
Linux im Container funktioniert UFW nicht, denn es<br />
will Kernel-Module laden, die es nicht gibt.<br />
n Listing 1: UFW-Status<br />
01 # ufw status verbose<br />
02 Status: active<br />
03 Logging: on (low)<br />
04 Default: deny (incoming), allow (outgoing)<br />
05 New profiles: skip<br />
06 <br />
07 To Action From<br />
08 ‐‐ ‐‐‐‐‐‐ ‐‐‐‐<br />
09 22/tcp ALLOW IN Anywhere<br />
10 22/tcp ALLOW IN Anywhere<br />
(v6)
26<br />
Netzwerk<br />
UFW-Firewall<br />
Abbildung 2: Grafisches Frontend, aber letztlich<br />
keine wesentliche Erleichterung gegenüber der<br />
Commandline-Version von UFW.<br />
n Info<br />
eine Verbindung aufzubauen versucht.<br />
Einen unbelehrbaren Bot-Host sperrt<br />
der folgende Befehl dauerhaft aus:<br />
ufw deny from 10.0.10.10<br />
Auf einfache Weise lassen sich Regeln<br />
wieder löschen, wenn man sie sich mit<br />
»ufw status numbered« durchnummeriert<br />
anzeigen lässt. »ufw delete Nummer«<br />
löscht die Regel, fragt aber vorher<br />
noch einmal nach.<br />
Alles auf Anfang<br />
Um alle Regeln zu löschen und UFW<br />
wieder auf den Ausgangszustand zurückzusetzen,<br />
bietet das Programm die<br />
Option »reset«. Der Aufruf von »/lib/<br />
ufw/ufw‐init flush‐all« löscht auch alle<br />
IPTables-Chains aus dem System.<br />
Um die Anwendung noch weiter zu vereinfachen,<br />
unterstützt UFW sogenannte<br />
Anwendungsprofile. Dabei sind für<br />
typische Anwendungen die entsprechenden<br />
Ports in Konfigurationsdateien<br />
zusammengefasst, etwa für einen<br />
Printserver der Cups-Port 631 und der<br />
LPD-Port 515. Die installierten Anwendungsprofile<br />
listet »ufw apps list« auf,<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30273<br />
»ufw app info Anwendung« verrät mehr<br />
Details dazu. Wie bei den Diensten<br />
erlaubt »ufw allow Anwendung« die<br />
entsprechende Anwendung, respektive<br />
die darin enthaltenen Ports. Das ist ein<br />
bisschen verwirrend, denn oft heißt<br />
die Anwendung wie der entsprechende<br />
Dienst, aber in Großbuchstaben geschrieben<br />
(»ssh« und »SSH«, »pop3«<br />
und »POP3« und so weiter). In anderen<br />
Fällen unterscheiden sich Dienst und<br />
App aber wieder (etwa »http« und<br />
»WWW«, »https« und »Web Secure«).<br />
Die Regeln speichert UFW ab und lädt<br />
sie beim nächsten Neustart wieder. Dafür<br />
trägt das Start-Skript Sorge, das bei<br />
Ubuntu automatisch installiert ist. Eine<br />
Beispieldatei, die im Test ohne weitere<br />
Änderungen funktionierte, findet sich<br />
für Upstart und das klassische Init-<br />
System im »doc«-Verzeichnis.<br />
n Tabelle 1: Dateien<br />
Datei<br />
/usr/sbin/ufw<br />
/etc/init/ufw.conf<br />
/etc/default/ufw<br />
/etc/ufw/ufw.conf<br />
/etc/ufw/before.rules<br />
/etc/ufw/before6.rules<br />
/etc/ufw/after.rules<br />
/etc/ufw/after6.rules<br />
/etc/ufw/sysctl.conf<br />
/etc/ufw/applications.d<br />
Nicht im Container<br />
Beim Test auf einem virtuellen Linux-<br />
Server bei einem Internet-Provider<br />
spuckte UFW den wenig aussagekräftigen<br />
Fehler »problem running ufw‐init«<br />
aus und die Firewall funktionierte nicht<br />
richtig, blockierte beispielsweise DNS-<br />
Anfragen und ICMP-Pakete. Bei näherer<br />
Untersuchung stellte sich heraus, dass<br />
beim Ablauf von »ufw‐init« tatsächlich<br />
ein Fehler auftrat, der dazu führte, dass<br />
UFW zwar den ersten Teil der Konfiguration<br />
abarbeitete, den zweiten aber<br />
nicht. Das ist ziemlich unglücklich, hier<br />
sollten die Programmierer besser im<br />
Fehlerfall zum Ausgangszustand zurückkehren.<br />
Die Ursache war letztlich ein fehlgeschlagender<br />
Aufruf von »modprobe«,<br />
der die in »/etc/default/ufw« festgelegten<br />
»IPT_MODULES« laden wollte (Abbildung<br />
1). Nur gibt es auf einer Linux-<br />
Installation im virtuellen Container,<br />
etwa in OpenVZ, gar kein Kernel-Image<br />
und keine Kernel-Module. Mit ein paar<br />
Änderungen in »before.rules«, »after.<br />
rules« und den Konfigurationsdateien<br />
lässt sich UFW auch auf einem solchen<br />
Server zum Laufen bringen, aber es ist<br />
keine wirklich elegante Lösung.<br />
Wem die Verwendung von UFW noch<br />
zu kompliziert ist, dem kann geholfen<br />
werden: Mit GUFW [5] gibt es noch ein<br />
grafisches Frontend zu UFW, das die<br />
Benutzung der Kommandozeile komplett<br />
vermeidet (Abbildung 2). Wem<br />
andererseits die UFW zu wenig herausfordernd<br />
erscheint, sollte einen Blick<br />
in die Manpage beziehungsweise in die<br />
Manpage zu »ufw‐framework« werfen.<br />
Dort ist dokumentiert, wie man UFW<br />
für Spezialanwendungen erweitern<br />
kann, etwa um Port-Forwarding oder<br />
Masquerading einzurichten. Limitiert<br />
ist man hierbei nur durch die zugrunde<br />
liegenden Netfilter-Funktionen.<br />
Es hilft<br />
Das UFW-Paket vereinfacht die Verwaltung<br />
der Firewall-Konfiguration unter<br />
Linux erheblich. Für kompliziertere Eingriffe<br />
in die Firewall-Mechanik kann der<br />
Administrator dennoch selbst per IPTables<br />
seine UFW-Installation erweitern<br />
und an seine Bedürfnisse anpassen.<br />
Die gute Manpage und die Readme-<br />
Datei gibt erschöpfend Auskunft für alle<br />
Fragen rund um UFW. Wer allerdings<br />
seine Linux-Firewall in einem virtuellen<br />
Container installiert hat, muss aufpassen:<br />
UFW funktioniert dann nicht oder<br />
fehlerhaft. n<br />
Funktion<br />
UFW-Befehl<br />
Upstart-Datei für UFW-Service (Ubuntu)<br />
Haupteinstellungen für UFW (IPv6 usw.)<br />
Einstellungen (aktiviert, Loglevel)<br />
Regeln vor den benutzerdefinierten Regeln<br />
dito, IPv6<br />
Regeln nach den benutzerdefinierten Regeln<br />
dito, IPv6<br />
Kernel-Parameter<br />
Anwendungsprofile<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
28<br />
Privacy<br />
ATA-Security<br />
braverabbit, 123RF<br />
ATA-Security-Features moderner Platten und SSDs nutzen<br />
Daten im Tresor<br />
Moderne ATA-Festplatten und SSDs bieten Sicherheitsoptionen, mit deren Hilfe man den Zugriff auf die<br />
Daten regeln und sie auch sicher vernichten kann. Oliver Tennert .<br />
Das Konzept der ATA-Security-Features<br />
ist wohldurchdacht, allerdings bringt<br />
kaum ein Betriebssystem eine eng integrierte<br />
Toolchain mit, um dieses Konzept<br />
konsistent auszunutzen. Mit dem<br />
Linux-Tool »hdparm«, das bei nahezu<br />
allen Distributionen zum Standard-<br />
Installationsumfang gehört, lassen sich<br />
die ATA-Security-Features aber zumindest<br />
manuell beziehungsweise skriptbasiert<br />
steuern. Auf vielen Laptops<br />
können die Features darüber hinaus<br />
zum Teil auch über das BIOS genutzt<br />
werden – denn der Ursprungsgedanke<br />
der ATA-Security-Features ging in der<br />
Tat von mobilen Geräten aus. Wer die<br />
Features nutzen will, sollte sich zuvor<br />
jedoch besser erst ein Verständnis des<br />
zugrundeliegenden Sicherheitskonzepts<br />
erarbeiten.<br />
Ein wenig Theorie<br />
Kauft man sich heutzutage eine HDD<br />
oder SSD, so sind alle Sicherheitsfeatures<br />
zunächst einmal deaktiviert. Eine<br />
Abfrage mit »hdparm« als User »root«<br />
liefert Informationen über eine herkömmliche<br />
2.5-Zoll-Notebook-SSD wie<br />
in Listing 1 (die relevanten Zeilen sind<br />
fett markiert).<br />
Hier ist ersichtlich, dass die SSD das<br />
ATA-Security-Command-Set unterstützt,<br />
alle Sicherheitsfeatures allerdings<br />
inaktiv sind (»not enabled«) und<br />
die SSD Änderungen am Sicherheitszustand<br />
zulässt (»not frozen«). Im ATA-<br />
Jargon wird dieser Zustand SEC1 genannt,<br />
das ist der Auslieferungszustand<br />
(der ausgeschaltete Zustand hieße<br />
SEC0). Um nun zu verhindern, dass<br />
entweder aus Versehen oder durch<br />
Malware mit Root-Rechten sicherheitsrelevante<br />
Manipulationen an der SSD<br />
durchgeführt werden, beispielsweise<br />
Passwörter gesetzt werden oder das<br />
n Listing 1: hdparm-Infos<br />
01 root # hdparm ‐I /dev/sdb<br />
02 /dev/sda:<br />
03 <br />
04 ATA device, with non‐removable media<br />
05 Model Number: INTEL SSDSC2CW240A3<br />
06 Serial Number: XXXXXXXXXXXXXXXXXX<br />
07 Firmware Revision: 400i<br />
08 Transport: Serial, ATA8‐AST, SATA 1.0a, SATA II<br />
09 [...]<br />
10 Commands/features:<br />
11 Enabled Supported:<br />
12 * SMART feature set<br />
13 Security Mode feature set<br />
14 * Power Management feature set<br />
15 * Write cache<br />
16 Look‐ahead<br />
17 * Host Protected Area feature set<br />
18 [...]<br />
19 <br />
20 Security:<br />
21 Master password revision code = 65534<br />
22 supported<br />
23 not enabled<br />
24 not locked<br />
25 not frozen<br />
26 not expired: security count<br />
27 supported: enhanced erase<br />
28 4min for SECURITY ERASE UNIT. 2min for ENHANCED SECURITY<br />
ERASE UNIT.<br />
29 <br />
30 [...]<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
ATA-Security<br />
29<br />
Device für sämtlichen I/O gesperrt wird,<br />
lässt sich das Device einfrieren:<br />
root # hdparm ‐‐security‐freeze /dev/sdb<br />
Das Device ist nun im Zustand SEC2.<br />
Den zugehörigen »hdparm ‐I«-Output<br />
zeigt Listing 2.<br />
Das Gegenstück zum Einfrieren, gewissermaßen<br />
ein Auftauen, gibt es nicht.<br />
Erst nach einem neuerlichen Hardware-<br />
Reset oder Power Cycle ist der Zustand<br />
wieder SEC1 (Abbildung 1).<br />
Hier ist aber gleich ein Hinweis auf<br />
eine mögliche Falle nötig: die BIOSse<br />
vieler Notebooks setzen zum Schutz<br />
vor Manipulationen beim Booten das<br />
ATA-Kommando »SECURITY_FREEZE_<br />
LOCK« ab. In diesem Falle ist es dann<br />
im laufenden System gar nicht möglich,<br />
irgendwelche weitere Änderungen am<br />
Sicherheitszustand durchzuführen. In<br />
der Tat hat der Autor bereits an dieser<br />
Stelle schon etwas mogeln müssen:<br />
Sein Laptop friert nämlich auch beim<br />
Booten per BIOS die eingebaute SSD<br />
ein. In diesem Falle hilft nur der Einbau<br />
der Platte in einen PC, dessen BIOS<br />
die Platte oder SSD nicht automatisch<br />
einfriert, sonst ist das Tutorial an dieser<br />
Stelle schon zu Ende.<br />
Daten einsperren<br />
Deshalb gehen wir einmal davon aus,<br />
dass die Platte nicht eingefroren ist.<br />
Zum weiteren Verständnis ist wichtig:<br />
das ATA-Sicherheitskonzept kennt<br />
zwei unterschiedliche Passwörter: das<br />
User- und das Master-Passwort, jeweils<br />
32 Byte lang. Per Factory-Default ist<br />
das User-Passwort NULL (also 32 Null-<br />
Bytes) und das Master-Passwort herstellerspezifisch<br />
und undokumentiert,<br />
n Listing 2: Im Zustand SEC2<br />
01 root # hdparm ‐I /dev/sdb<br />
02 /dev/sda:<br />
03 [...]<br />
04 Security:<br />
05 Master password revision code =<br />
65534<br />
06 supported<br />
07 not enabled<br />
08 not locked<br />
09 frozen<br />
10 [...]<br />
SEC0<br />
Powered off,<br />
security disabled<br />
SEC3<br />
Powered off,<br />
security enabled<br />
Power on<br />
Security Set Pasword<br />
(with user password)<br />
Power on<br />
SEC1<br />
Security disabled,<br />
not frozen<br />
SEC5<br />
Security enabled,<br />
unlocked, not frozen<br />
Security Unlock<br />
SEC4<br />
Security enabled,<br />
locked, not frozen<br />
obwohl im Web allerlei Informationen<br />
über Factory Presets existieren. Mehr zu<br />
Funktion und Verwendung des Master-<br />
Passworts weiter unten.<br />
Die ganze Parade beginnt nun mit dem<br />
Setzen des User-Passworts:<br />
root # hdparm ‐‐user‐master u U<br />
‐‐security‐set‐passwd "Geheim" /dev/sdb<br />
security_password="Geheim"<br />
/dev/sdb:<br />
Issuing SECURITY_SET_PASS command,<br />
password="Geheim", user=user, mode=high<br />
Die Option »‐‐user‐master u« legt fest,<br />
dass im folgenden das User-Passwort<br />
referenziert wird. Da dies der Default<br />
ist, kann sie an dieser Stelle auch weggelassen<br />
werden. Danach sieht man<br />
Ausgaben wie in Listing 3.<br />
Die Platte oder SSD befindet sich nun<br />
im Sicherheitszustand SEC5 (wäre sie<br />
nun ausgeschaltet: SEC3). In diesem<br />
Zustand kann man mit diesem Device<br />
nun zwei Dinge tun: man kann sie für<br />
jeglichen I/O sperren oder vollständig<br />
löschen. Das Sperren erfolgt nach einem<br />
Reboot automatisch. Die SSD lässt<br />
so lange keinen Daten-I/O zu (Zustand:<br />
SEC4), bis ein »SECURITY_UNLOCK«-<br />
Kommando unter Angabe des Passworts<br />
abgesetzt wurde (das Absetzen<br />
von ATA-Steuerungskommandos und<br />
damit auch beispielsweise S.M.A.R.T.-<br />
Security<br />
Freeze<br />
Lock<br />
Hardware<br />
Reset<br />
Security Disable Password<br />
SEC2<br />
Security disabled,<br />
frozen<br />
Security Freeze Lock<br />
SEC6<br />
Security enabled,<br />
unlocked, frozen<br />
Hardware<br />
Reset<br />
Handoff<br />
to OS<br />
Hardware States BIOS States Operating System<br />
Abbildung 1: Die möglichen Übergänge zwischen den Sicherheitszuständen des ATA<br />
Security-Konzepts.<br />
Kommandos funktioniert weiterhin),<br />
entweder wieder direkt beim BIOS-<br />
Prompt (wenn die Platte zum Booten<br />
notwendig ist) oder mit »hdparm«,<br />
wozu natürlich erst einmal ein Betriebssystem<br />
geladen sein muss, was<br />
also nur für zusätzliche Datenplatten<br />
geeignet ist:<br />
root # hdparm ‐‐user‐master uU<br />
‐‐security‐unlock "Geheim" /dev/sdb<br />
Auch hier die Anmerkung: da in diesem<br />
Zustand (jetzt wieder SEC5) durch Malware<br />
mit Root-Rechten Passwörter wieder<br />
geändert werden könnten, bietet<br />
sich ein sofortiges Einfrieren der HDD/<br />
SSD an, wie das eben die meisten Note-<br />
n Listing 3: Mit User-Passwort<br />
01 root # hdparm ‐I /dev/sdb<br />
02 /dev/sdb:<br />
03 [...]<br />
04 Security:<br />
05 Master password revision code = 65534<br />
06 supported<br />
07 enabled<br />
08 not locked<br />
09 not frozen<br />
10 not expired: security count<br />
11 supported: enhanced erase<br />
12 Security level high<br />
13 4min for SECURITY ERASE UNIT. 2min for<br />
ENHANCED SECURITY ERASE UNIT.<br />
14 [...]<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
30<br />
Privacy<br />
ATA-Security<br />
book-BIOSse auch tun. Danach ist die<br />
SSD gegen weitere sicherheitsrelevante<br />
Manipulationen gesichert (Zustand:<br />
SEC6). Nebenbei: ein Counter in der<br />
Festplatten-Elektronik lässt nur fünf<br />
Eingabeversuche für das User-Passwort<br />
zu. Sonst bleibt das Device im Zustand<br />
SEC4 gesperrt. Jeder weitere Versuch<br />
des Entsperrens ist erst nach erfolgtem<br />
Power Cycle oder Hardware-Reset wieder<br />
möglich. »hdparm« liefert dann den<br />
Output aus Listing 4.<br />
n Listing 4: Platte gesperrt<br />
01 root # hdparm ‐I /dev/sdb<br />
02 /dev/sdb:<br />
03 [...]<br />
04 Security:<br />
05 Master password revision code = 65534<br />
06 supported<br />
07 enabled<br />
08 locked<br />
09 not frozen<br />
10 expired: security count<br />
11 supported: enhanced erase<br />
12 Security level high<br />
13 4min for SECURITY ERASE UNIT. 2min for<br />
ENHANCED SECURITY ERASE UNIT.<br />
14 [...]<br />
Sicheres Löschen<br />
Hartnäckig hält sich immer noch der<br />
Mythos, dass ein sogenanntes sicheres<br />
Überschreiben von Festplattensektoren<br />
nur durch mindestens 137-maliges<br />
Überschreiben mit Zufalls-Bytes möglich<br />
sei. Das war aber einmal – dieser<br />
Ansatz ist angesichts der hohen<br />
Schreibdichte moderner Platten nicht<br />
mehr zeitgemäß. Darüber hinaus ist<br />
bei SSDs das mehrfache Überschreiben<br />
aller Zellen nicht nur sinnlos, sondern<br />
verkürzt auch massiv die Lebensdauer.<br />
Bei halbwegs modernen Platten sowie<br />
SSDs reicht ein einfaches Überschreiben<br />
mit Null-Bytes vollkommen aus.<br />
Aus diesem Grund kennt der ATA-Standard<br />
das diesbezügliche Kommando<br />
»SECURITY_ERASE_UNIT«. Dieses Kommando<br />
führt dazu, dass der Festplattencontroller<br />
unwiederbringlich sämtliche<br />
Daten auf dem Device löscht. Der<br />
Befehl kennt einen normalen Modus<br />
und einen Enhanced Mode. Der normale<br />
Modus macht das Gleiche, was ein<br />
»dd« seitens des Betriebssystems erreichen<br />
würde, entlastet aber wenigstens<br />
CPU und PCIe-Bus: das Überschreiben<br />
sämtlicher LBA-adressierbarer Sektoren,<br />
meist mit Null-Bytes. Wenn das<br />
sogenannte DCO (Device Configuration<br />
Overlay) aktiv ist, die Platte also<br />
beispielsweise weniger Sektoren und<br />
damit eine geringere Kapazität anzeigt<br />
als maximal möglich wäre und wenn<br />
sie dem Betriebssystem wie dem BIOS<br />
eine andere Geometrie vorgaukelt (ein<br />
Relikt aus der Festplatten- und BIOS-<br />
Steinzeit), dann wird auch nur dieser<br />
kleinere Bereich gelöscht, denn nur<br />
dieser ist LBA-adressierbar.<br />
Der Enhanced Mode ignoriert DCO<br />
(setzt dieses aber nicht zurück), überschreibt<br />
mit herstellerspezifischen<br />
Daten sämtliche Sektoren inklusive<br />
aller deallokierten Bereiche aus der<br />
sogenannten G-Liste: Der Liste aller in<br />
der Vergangenheit als defekt markierten<br />
und deallokierten Sektoren, deren<br />
LBA-Adressen mit Hilfe von Reservebereichen<br />
reallokiert wurden. Auf diese<br />
Bereiche kann das Betriebssystem<br />
ohnehin nicht direkt zugreifen. Nur der<br />
Festplattencontroller selbst hat Zugriff<br />
auf sie, gibt deren Inhalte nicht preis,<br />
löscht sie aber zuverlässig.<br />
Damit das »SECURITY_ERASE_UNIT«-<br />
Kommando erfolgreich abgesetzt<br />
werden kann, muss das Device im Status<br />
SEC5 sein, die »security«-Zeile im<br />
hdparm-Output muss also »enabled«<br />
lauten und das Device muss »not frozen«<br />
sein. Wie den obigen Ausgabemeldungen<br />
zu entnehmen ist, gibt es zwei<br />
Angaben zur Löschdauer dieser exemplarisch<br />
betrachteten SSD: ein vollständiger<br />
Löschdurchlauf im Normalmodus<br />
dauert bei diesem Device vier Minuten,<br />
im Enhanced Mode zwei Minuten – bei<br />
drehenden Platten und vor allem bei<br />
weitaus größeren Kapazitäten sind hier<br />
natürlich deutlich größere Zeitangaben<br />
im Stundenbereich zu finden.<br />
Mit hdparm löst man das Löschen so<br />
aus:<br />
root # hdparm ‐‐user‐master u U<br />
‐‐security‐erase "Geheim" /dev/sdb<br />
security_password="Geheim"<br />
/dev/sdd:<br />
Issuing SECURITY_ERASE command, U<br />
password="Geheim", user=user<br />
0.000u 0.000s 0:39.71 0.0% U<br />
0+0k 0+0io 0pf+0w<br />
beziehungsweise<br />
root # hdparm ‐‐user‐master u U<br />
‐‐security ‐erase‐enhanced "Geheim" U<br />
/dev/sdb<br />
In beiden Fällen wird nicht nur der<br />
oben beschriebene Löschvorgang<br />
durchgeführt; vielmehr wird darüber<br />
hinaus das User-Passwort gelöscht<br />
(sprich auf NULL zurückgesetzt) und<br />
der Security Mode deaktiviert. Das<br />
Device befindet sich danach im ungeschützten<br />
Zustand SEC1. Das ATA-<br />
Kommando »SECURITY_ERASE_UNIT«<br />
ist also dazu da, eine Festplatte in<br />
einen jungfräulichen Zustand zurückzuversetzen.<br />
Das Master-Passwort:<br />
Vorsicht!<br />
Bisher wurde noch gar nicht erklärt,<br />
was es mit dem Master-Passwort auf<br />
sich hat. Im bislang beschriebenen<br />
Szenario kann das Master-Passwort<br />
einfach als Fallback dienen, wenn das<br />
User-Passwort nicht mehr bekannt<br />
ist. Der Sinn dahinter ergibt sich wiederum<br />
aus dem Kontext von Firmen-<br />
Notebooks: Die firmeneigene IT soll<br />
jederzeit Zugriff auf die Daten haben,<br />
auch wenn der User, sprich der (Ex-)Angestellte,<br />
nicht mehr an Bord ist.<br />
Jede Festplatte ist initial mit einem<br />
undokumentierten Master-Passwort<br />
versehen. Im »hdparm«-Output ist dies<br />
zu erkennen durch die Angabe des<br />
Master-Passwort-Revision-Codes, der<br />
als Identifier auf das aktuell gültige<br />
Master-Passwort verweist. Der Default-<br />
Wert 65534 (Hex $FFFE) referenziert per<br />
definitionem das Hersteller-Passwort.<br />
Von Anfang an hat hiermit also der<br />
Festplatten- oder SSD-Hersteller eine<br />
Möglichkeit, die Sicherheitseinstellungen<br />
rückgängig zu machen. Das initiale<br />
Master-Passwort ist dem Anwender<br />
zwar unbekannt, kann aber überschrieben<br />
werden durch den erstmaligen Aufruf<br />
des »SECURITY_SET_PASSWORD«-<br />
Kommandos, diesmal mit dem<br />
»‐-user‐master m«-Switch:<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
ATA-Security<br />
31<br />
root # hdparm ‐‐user‐master m ‐‐secuU<br />
rity‐set‐pass "Ultrageheim" /dev/sdb<br />
security_password="Ultrageheim"<br />
/dev/sdb:<br />
Issuing SECURITY_SET_PASS command,U<br />
password="Ultrageheim", user=master,U<br />
mode=high<br />
Der Master-Passwort-Revision-Code<br />
ist danach auf 1 gesetzt. Wichtig zu<br />
verstehen: Wenn nur ein Master-, aber<br />
kein User-Passwort gesetzt ist, sind<br />
keine Sicherheitsfeatures aktiv. Das<br />
Master-Passwort spielt seine Rolle<br />
erst aus, wenn diese bereits aktiviert<br />
sind. Dann können sämtliche Sicherheitseinstellungen<br />
entweder mit dem<br />
User- oder dem Master-Passwort über<br />
das ATA-Kommando »SECURITY_DISA-<br />
BLE_PASSWORD« deaktiviert werden:<br />
root # hdparm ‐‐user‐master [m|u] U<br />
‐‐security‐disable "Ultrageheim" U<br />
/dev/sdb<br />
In ATA-Zuständen gesprochen: es findet<br />
wie nach einem »SECURITY_ERASE_<br />
UNIT« ein Übergang von SEC5 nach<br />
SEC1 statt. Nun lässt sich auch ein<br />
neues User-Passwort vergeben.<br />
Was bisher verschwiegen wurde: der<br />
ATA-Standard legt zwei verschiedene<br />
Sicherheitsniveaus fest, die beim<br />
Setzen des User-Passworts bereits<br />
definiert werden und den Umfang der<br />
Fähigkeiten des Master-Passworts festlegen:<br />
»HIGH« und »MAXIMUM«. »HIGH«<br />
ist der Default (»LOW« wäre: gar keine<br />
aktivierten Security Features). Sämtliche<br />
Erklärungen bislang haben sich<br />
auf genau dieses Niveau bezogen. In<br />
diesem Sicherheitsniveau (ATA-Jargon:<br />
Master Password Capability) sind<br />
User- und Master-Passwort wie oben<br />
beschrieben bei aktivierter Security<br />
austauschbar anzuwenden.<br />
Das Sicherheitsniveau MAXIMUM hingegen<br />
schränkt diese Fähigkeit ein.<br />
Erreicht wird es durch den Aufruf:<br />
root # hdparm ‐‐user‐master u -‐securiU<br />
ty‐mode m ‐‐security‐set‐passwd "Geheim"U<br />
/dev/sdb<br />
security_password="Geheim"<br />
/dev/sdb:<br />
Issuing SECURITY_SET_PASS command, passU<br />
word="Geheim", user=user, mode=maximum<br />
Der »hdparm«-Output spiegelt den Zustand<br />
wider (Listing 5).<br />
In diesem Zustand kann man mit dem<br />
Master-Passwort das Device nicht mehr<br />
entsperren und erst recht keine direkte<br />
Deaktivierung der Sicherheitsfeatures<br />
auslösen. Kennt man das User-Passwort<br />
nicht, ist ein Übergang von SEC5<br />
nach SEC1 nur noch über ein SECU-<br />
RITY_ERASE_UNIT möglich.<br />
Der Gedanke dahinter ist, dass in diesem<br />
Fall auch die Admins keinen Zugriff<br />
auf Benutzerdaten bekommen sollen.<br />
Das Device soll sich andererseits aber<br />
wenigstens wieder in einen benutzbaren,<br />
jungfräulichen Zustand zurückversetzen<br />
lassen. Das muss bedacht<br />
werden, sollte der Sicherheitslevel auf<br />
MAXIMUM eingestellt sein! Bei Verlust<br />
des User-Passworts sind im Ernstfall<br />
sämtliche Daten unwiederbringlich<br />
verloren.<br />
Zusammenfassung<br />
Die Sicherheitsfunktionen moderner<br />
ATA-Drives bieten einen guten Schutz<br />
gegen unbefugten Datenzugriff, sofern<br />
sie korrekt angewendet werden. Dabei<br />
ist es hilfreich, den Gedankengang<br />
und die Logik hinter dem Konzept zu<br />
verstehen, das aus der Welt der Firmen-<br />
Notebooks stammt, aber prinzipiell<br />
auch für Desktop-Systeme anwendbar<br />
ist – auch wenn man da unter Umständen<br />
Schritte mit Skripts automatisieren<br />
muss, die das Notebook-BIOS automatisch<br />
absolviert.<br />
Wichtig ist vor allem im privaten oder<br />
einfachen Unternehmensumfeld zu<br />
bedenken, dass die Sicherheitsstufe<br />
HIGH meist ausreicht, aber unbedingt<br />
ein Einfrieren des Devices durchgeführt<br />
werden sollte, um Malware keine Möglichkeiten<br />
zu geben, Sicherheitseinstellungen<br />
zu ändern – egal ob Sicherheit<br />
aktiv ist oder nicht.<br />
Beim Sicherheitsniveau MAXIMUM bedeutet<br />
der Verlust des User-Passwort<br />
zwingend Datenverlust, es sei denn,<br />
man ist bereit, Datenrettungsspezialisten<br />
viel Geld zu zahlen, die unter Reinraumbedingungen<br />
das Gehäuse öffnen<br />
und die Daten direkt von den Platten<br />
abgreifen oder die Speicherzellen der<br />
SSD unter Umgehung des Controllers<br />
direkt einlesen können.<br />
Inwiefern Festplatten- beziehungsweise<br />
SSD-Hersteller oder Data-<br />
Recovery-Spezialisten wie die Firmen<br />
OnTrack und Convar über undokumentierte<br />
Möglichkeiten verfügen, mit<br />
denen sie trotz aller Security Features<br />
dennoch einfachen Zugriff auf die Daten<br />
bekommen, und zwar ohne das Gehäuse<br />
zu öffnen, ist nicht öffentlich bekannt.<br />
Das könnte beispielsweise über<br />
das Aktivieren eines Maintenance Mode<br />
oder das ebenfalls denkbare undokumentierte<br />
Umreferenzieren des Master<br />
Password Identifiers möglich sein. Der<br />
Autor dieses Beitrags geht aber davon<br />
aus, dass es solche Möglichkeiten geben<br />
dürfte.<br />
Zu guter Letzt sollte noch erwähnt<br />
werden, dass bei USB-Festplatten<br />
oder ‐SSDs das sichere Löschen mit<br />
»hdparm« in vielen Fällen zu Fehlermeldungen<br />
führen kann. Es scheint<br />
nämlich so zu sein, dass viele SATA-<br />
USB-Adapter die Verwendung der ATA-<br />
Security-Commands zum Teil blockieren<br />
oder zumindest aber nicht sauber<br />
umsetzen. (jcb) n<br />
n Listing 5: Level MAXIMUM<br />
01 root # hdparm ‐I /dev/sdb<br />
02 /dev/sdb:<br />
03 [...]<br />
04 Security:<br />
05 Master password revision code = 65534<br />
06 supported<br />
07 enabled<br />
08 not locked<br />
09 not frozen<br />
10 not expired: security count<br />
11 supported: enhanced erase<br />
12 Security level maximum<br />
13 4min for SECURITY ERASE UNIT. 2min for<br />
ENHANCED SECURITY ERASE UNIT.<br />
14 [...]<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30130<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
32<br />
Privacy<br />
Browser-Plugins<br />
bowie15, 123RF<br />
Browser-Plugins zum Schutz der <strong>Privatsphäre</strong><br />
Inkognito<br />
Wer mit dem Webbrowser im Internet unterwegs ist, wird von Anzeigennetzwerken und sozialen Netzwerken<br />
verfolgt. Einige Browser-Plugins helfen dabei, sich den Überwachern zu entziehen. Oliver Frommel<br />
Wenn staatliche Stellen wie die NSA<br />
den Traffic direkt am Backbone-Router<br />
abgreifen, kann man als Endanwender<br />
wenig dagegen machen. Allerdings sind<br />
Geheimdienste nicht die einzigen, die<br />
versuchen, User auszuspähen. Besonders<br />
fleißig sind Marketing-Agenturen<br />
und Anzeigennetzwerke, die aus den<br />
gesammelten Daten bares Geld machen<br />
wollen. Auch Facebook, Google<br />
und Twitter mischen hier kräftig mit,<br />
denn auch ihr Kapital sind Benutzerdaten<br />
– soviele wie möglich. So sorgt<br />
etwa schon das Einbinden eines Like-<br />
Buttons in eine Webseite dafür, dass<br />
Tracking-Daten an Facebook übermittelt<br />
werden – ein Klick durch den Benutzer<br />
ist dafür gar nicht nötig.<br />
Abhilfe schaffen hier einige Browser-<br />
Plugins, die es heute meist für Firefox,<br />
Safari, Google Chrome und Internet<br />
Explorer gibt. Der erste Kandidat ist die<br />
Ghostery-Extension [1], deren Hersteller<br />
Evidon ironischerweise selbst im<br />
Anzeigenumfeld Geld<br />
verdient [2]. Allerdings<br />
besteht das Geschäftsmodell<br />
unter<br />
anderem darin, den<br />
Kunden Know-how<br />
zu verkaufen, um Anzeigen<br />
in einer Weise<br />
an den potenziellen<br />
Kunden zu bringen,<br />
die ihn nicht vergrault<br />
– etwa indem<br />
sie die Regeln des<br />
US-amerikanischen<br />
AdChoices-Programms<br />
respektiert.<br />
Ghostery (Abbildung<br />
1) jedenfalls verfügt<br />
Abbildung 1: Ghostery verfügt<br />
über eine große Datenbank an<br />
Trackern, die es auf Wunsch<br />
blockiert.<br />
über eine der umfangreichsten Datenbanken<br />
an Trackern, die Evidon auf<br />
einer eigenen Site als Periodensystem<br />
präsentiert [3] (Abbildung<br />
2). Installiert ist<br />
Ghostery schnell: Bei<br />
den gängigen Browsern<br />
(Firefox, Internet<br />
Explorer, Chrome, Safari<br />
und Opera) genügt<br />
ein Klick auf den Button<br />
auf der Homepage<br />
und schon kann es<br />
losgehen. Für Apple-<br />
Mobilgeräte gibt es<br />
eine Version im App-<br />
Store. Per Default blockiert<br />
Ghostery keinen<br />
Tracker, sondern zeigt<br />
die gefundenen in einem<br />
Popup an. Mit ei-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
Browser-Plugins<br />
33<br />
nem Klick auf das Ghostery-Icon öffnet<br />
sich ein Fenster, in dem der Anwender<br />
jeden Tracker einzeln blockieren kann.<br />
Wer will, kann sich das auch sparen<br />
und gleich in den Ghostery-Optionen<br />
einschalten, dass es sämtliche Tracker<br />
blockieren soll. Dort findet sich auch<br />
der Menüpunkt »GhostRank«, der regelt,<br />
ob Ghostery die gefundenen Daten<br />
an Evidon übermitteln darf. Das macht<br />
die Extension laut Evidon anonymisiert<br />
und trägt zu den Daten bei, mit denen<br />
Evidon sein Geld verdient. Per Default<br />
ist GhostRank aber abgeschaltet.<br />
Auch hinter dem Ghostery-Konkurrenten<br />
»DoNotTrackMe« [4] steht eine<br />
Firma, die ihr Geld aber von vornherein<br />
mit Produkten rund um den Schutz<br />
der <strong>Privatsphäre</strong> verdient. Neben dem<br />
kostenlosen DoNotTrackMe bietet der<br />
Hersteller Abine auch noch »DeleteMe«<br />
an, das als kostenpflichtiger Dienst die<br />
eigenen Spuren aus dem Internet tilgen<br />
soll. DoNotTrackMe (Abbildung 3) lässt<br />
Abbildung 2: Der Ghostery-Hersteller Evidon betreibt eine Webseite, die die bekannten Tracker als<br />
Periodensystem zeigt.
34<br />
Privacy<br />
Browser-Plugins<br />
Abbildung 3: Die DoNotTrackMe-<br />
Extension stellt eine Statistik<br />
über die erkannten Tracker grafisch<br />
dar.<br />
n Info<br />
sich ebenfalls über einen Button-Klick<br />
in Firefox, Internet Explorer, Chrome<br />
und Safari installieren. Firefox muss<br />
allerdings erst neu gestartet werden,<br />
damit die Extension funktioniert. Laut<br />
Herstellerangabe blockiert DoNot-<br />
TrackMe mehr als 600 Tracker, die man<br />
über die Optionen einzeln ein- und ausschalten<br />
kann, wenn man die Einstellungen<br />
öffnet. Darüber hinaus bietet<br />
das Plugin keine Einstellmöglichkeiten.<br />
WLAN-Schutz<br />
Auch »Disconnect« [5] schreibt sich<br />
den Schutz der <strong>Privatsphäre</strong> auf die<br />
Fahnen und realisiert dies mit einer Extension<br />
für Chrome, Firefox, Safari und<br />
Opera. Nach der Installation blockiert<br />
Disconnect ohne weitere Konfiguration<br />
die ihm bekannten Tracker und Anzeigennetzwerke,<br />
die es in grün anzeigt.<br />
Erlauben kann der Anwender sie durch<br />
einen Klick, der die erlaubten Elemente<br />
dann grau einfärbt. Zusätzlich bietet<br />
Disconnect noch einen Schutz namens<br />
»Secure Wi-Fi«, der für Websites, die<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30199<br />
Abbildung 4: Disconnect bringt<br />
zusätzlich eine Funktion mit, um<br />
die Sicherheit in offenen WLANs<br />
zu verbessern.<br />
dies unterstützen,<br />
das Protokoll auf verschlüsseltes<br />
HTTPS<br />
umschaltet (Abbildung<br />
4). So soll verhindert<br />
werden, dass die<br />
privaten Daten von<br />
Anwendern in öffentlichen,<br />
unverschlüsselten<br />
WLANs abgehört<br />
und gegebenenfalls<br />
missbraucht werden.<br />
Secure Wi-Fi funktioniert<br />
ähnlich wie das<br />
bekannte »HTTPS<br />
Everywhere«, soll aber<br />
laut Entwickler weniger<br />
Probleme verursachen,<br />
da es nicht stur<br />
auf HTTPS besteht,<br />
wenn eine Website<br />
damit Schwierigkeiten<br />
macht. Außerdem bietet Disconnect<br />
bunte Balkengrafiken und eine Visualisierung<br />
der Tracking-Netze, die aber<br />
eher wenig sinnvoll erscheinen. Der<br />
Quellcode von Disconnect ist bei Github<br />
zu finden [6].<br />
Im Vergleich<br />
In einem kurzen Test auf einer großen<br />
deutschen Nachrichtenwebseite<br />
schnitten die Plugins in etwa gleich<br />
ab. Disconnect blockierte pro Seite<br />
elf Requests, wobei etwa Facebook,<br />
Google und Twitter je zweimal vertreten<br />
waren. DoNotTrackMe zählt demgegenüber<br />
nur die Tracker und kommt<br />
im Ergebnis auf fünf Stück. Darunter<br />
befindet sich übrigens auch in beiden<br />
Fällen die VG Wort, die ein Zählpixel in<br />
Online-Artikel einbaut, um sie am Ende<br />
des Jahres den Autoren bei der jährlichen<br />
Ausschüttung zu vergüten. Wer<br />
Autoren also generell wohlgesonnen<br />
ist, sollte das Tracking der VG Wort erlauben.<br />
Ghostery fand auf der Testseite<br />
acht Tracker und hat im Wesentlichen<br />
dieselben Datenspäher gefunden wie<br />
Disconnect. DoNotTrackMe erkannte<br />
mindestens einen Tracker nicht. Im<br />
Prinzip spricht auch nichts dagegen,<br />
die Tracker gemeinsam einzusetzen<br />
oder auch mit Adblock Plus zu kombinieren,<br />
das Anzeigen aus einer Website<br />
herausfiltert.<br />
Fingerabdruck<br />
Wogegen die hier vorgestellten Extensions<br />
nicht helfen, ist das sogenannte<br />
»Browser Fingerprinting«, von dem, soweit<br />
bekannt, bislang keine Anzeigenund<br />
sonstigen Netzwerke Gebrauch<br />
machen. Die Idee dabei ist, dass sich<br />
über Javascript bestimmte Eigenschaften<br />
eines Browser auslesen lassen, die<br />
zusammen so einzigartig sind, dass<br />
sich über sie ein Benutzer identifizieren<br />
lässt. Das sind beispielsweise die installierten<br />
Schriften, Plugins, der User-<br />
Agent-String sowie eine ganze Reihe<br />
von Betriebssystemdetails, die der<br />
Browser dummerweise preisgibt.<br />
Die Electronic Frontier Foundation betreibt<br />
die Website »Panopticlick« [7],<br />
die testet, wie leicht sich ein Browser<br />
in einer Menge von anderen Browsern<br />
identifizieren lässt. Dazu setzt sie die<br />
Tests von Browserspy ein, der über die<br />
vielen Merkmale für das Fingerprinting<br />
noch einmal im Detail Auskunft gibt.<br />
Beim Test ergab sich in meinem Fall das<br />
beunruhigende Ergebnis, dass dank einer<br />
Vielzahl von Merkmalen mein Browser<br />
in den bislang getesteten mehr als<br />
3,4 Millionen Fällen einzigartig ist. Das<br />
heißt, würde ein Website-Betreiber die<br />
im Test verwendeten Techniken einsetzen,<br />
könnte er mich beziehungsweise<br />
meinen Browser mit einer relativ hohen<br />
Wahrscheinlichkeit bei einem neuen<br />
Besuch wiedererkennen.<br />
Dagegen machen kann man nicht viel.<br />
Das beste Gegenmittel ist, Javascript<br />
einfach abzuschalten, sei es im Browser<br />
oder mittels des NoScript-Plugins, das<br />
es nur für Firefox gibt. Das Panopticlick-<br />
Ergebnis relativiert sich dann etwas<br />
und besagt, dass immerhin noch ein<br />
anderer in 15 000 Browsern den gleichen<br />
Fingerabdruck besitzen. Anders<br />
ausgedruckt: In den oben gezählten<br />
3,4 Millionen Fällen gibt es noch 226<br />
andere mit dem gleichen Muster. Das<br />
ergibt sich allein aus dem User-Agent-<br />
String und den HTTP-Accept-Headern.<br />
Auf der anderen Seite ist vermutlich<br />
schon das Abschalten von Javascript<br />
ein Merkmal, das einen Anwender signifikant<br />
aus der Masse heraushebt. Abgesehen<br />
davon, dass damit ein Großteil<br />
der gegenwärtigen Websites einfach<br />
nicht mehr funktioniert. n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
36<br />
Privacy<br />
Anonym mit Tor<br />
katalinks, 123RF<br />
Anonymisierter Internetzugang für ein ganzes Netz mit Tor<br />
Tarnkappe<br />
Tor hat sich als Lösung zum anonymen Surfen etabliert. In der Kombination mit Squid und Privoxy kann<br />
es seine Stärken noch besser ausspielen. Daniel van Soest<br />
Abbildung 1: Das Onion-Routing im Tor-Netzwerk<br />
verschleiert die Identität der Endgeräte.<br />
In Zeiten, in denen Anonymität so selten<br />
ist wie ein richtig gesetzter Genitiv<br />
im Ruhrpott, ist der Bedarf nach einer<br />
Lösung groß. Tor ist solch eine und bietet<br />
ein Stück weit das, was längst verloren<br />
geglaubt war: Anonymes Surfen<br />
im Internet. Vereinfacht ausgedrückt<br />
funktioniert es so: Man nehme viele<br />
Teilnehmer, ein vermaschtes Netzwerk,<br />
schüttle alles kräftig durch und schon<br />
hat man einen anonymisierten Zugang<br />
ins Netz.<br />
Basierend auf der Idee des Onion-Routing,<br />
sprich dem Routen von Anfragen<br />
über ständig wechselnde Router in<br />
einem verteilten Netz, werden Anfragen<br />
in einem vermaschten Netz über stetig<br />
wechselnde Knoten geschickt (siehe<br />
Abbildung 1). Weder der Einstiegspunkt<br />
weiß, wo er herauskommt, noch der<br />
Ausstiegspunkt weiß, von wem die Anfrage<br />
gestellt wurde.<br />
Sie benutzen bereits Tor? Sie haben auf<br />
Ihrem PC, Mac oder Endgerät XY den<br />
Tor-Client installiert? Sehr gut, aber<br />
was ist mit ihren übrigen Endgeräten?<br />
Was ist mit Ihrem Smartphone, Ihrem<br />
Fernseher oder Ihrem Toaster? Dieser<br />
Artikel zeigt, wie Sie einen eigenen<br />
Proxy-Server mit Tor-Anbindung aufsetzen,<br />
damit all Ihren Endgeräten der<br />
gleiche Schutz zuteil wird.<br />
Die Basis hierfür bietet der gut geschüttelte<br />
Software-Cocktail von Tor, dem<br />
eigentlichen Anonymisierungsdienst,<br />
zusammengemischt mit Squid, dem<br />
De-facto-Standard für Proxy-Server,<br />
und Privoxy als Filter, um keine Browser-Informationen<br />
preiszugeben. Der<br />
Aufbau des fertigen Konstrukts ist in<br />
Abbildung 2 dargestellt.<br />
Wie dort zu sehen ist, starten jeweils<br />
fünf Tor- und Privoxy-Instanzen, die von<br />
einem Squid-Proxy genutzt werden.<br />
Dies ist deshalb notwendig, da ansonsten<br />
die Clients nur der Reihe nach und<br />
nicht parallel arbeiten können. Passen<br />
Sie daher die Anzahl der Instanzen Ihrer<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
Anonym mit Tor<br />
37<br />
Umgebung an. Es gilt: Mehr Clients =<br />
mehr Instanzen.<br />
Installation<br />
Installieren Sie zunächst über die Paketverwaltung<br />
Ihrer Wahl die Pakete<br />
»squid«, »privoxy« und »tor« (unter Debian<br />
und Ubuntu sind diese bereits in<br />
den Standard-Repositories verfügbar).<br />
Beenden Sie anschließend die automatisch<br />
gestarteten Dienste, zum Beispiel<br />
unter Ubuntu mit:<br />
service squid3 stop<br />
service privoxy stop<br />
service tor stop<br />
Über den Tor-Daemon kann Ihr System<br />
Anfragen in das Tor-Netzwerk schicken.<br />
Zunächst müssen Sie Tor so konfigurieren,<br />
dass fünf Instanzen gleichzeitig<br />
starten, und je eine eigene Konfigurationsdatei<br />
anlegen. Speichern Sie dafür<br />
die Einstellungen aus Listing 1 in die<br />
Datei »/etc/tor/template.torrc« und<br />
führen Sie anschließend das nachstehende<br />
kleine Bash-Konstrukt aus:<br />
cd /etc/tor ; for i in 1 2 3 4 5 ; do U<br />
sed "s/TEMP/${i}/g" template.torrc >> / U<br />
etc/tor/torrc‐${i} ; done<br />
Diese For-Schleife erzeugt fünf Konfigurationsdateien<br />
und ändert sowohl die<br />
»SocketPorts« und »ControlPorts« als<br />
auch »PID« aus der Template-Datei. Sie<br />
finden nun unter »/etc/tor« die Dateien<br />
»torrc‐1« bis »torrc‐5«. Nun müssen Sie<br />
noch die Verzeichnisse für die Daten<br />
(»DataDirectory«) anlegen, damit die<br />
Prozesse auch hineinschreiben können.<br />
Dafür kommen erneut die Fähigkeiten<br />
der Bash zum Einsatz:<br />
install ‐o debian‐tor ‐g debian‐tor ‐m U<br />
700 ‐d /var/lib/tor{1..5}<br />
Dem Befehl »install« werden der Benutzer,<br />
die Gruppe und die Rechte<br />
n Listing 1: »template.torrc«<br />
01 SocksPort 9%VAR%50<br />
02 ControlPort 9%VAR%51<br />
03 DataDirectory /var/lib/tor%VAR%<br />
04 PidFile /var/run/tor/tor‐%VAR%.<br />
übergeben, nach dem Parameter »‐d«<br />
folgt das Verzeichnis und durch die<br />
Bash-Auflistung »{1..5}« wird der Befehl<br />
fünfmal ausgeführt.<br />
Abschließend müssen Sie noch das<br />
»init.d«-Skript anpassen, damit der<br />
Dienst auch fünfmal mit den korrekten<br />
Verzeichnissen und PIDs gestartet oder<br />
beendet wird. Falls Ihnen die Anpassungen<br />
zu umfangreich sind, haben wir<br />
eine Variante für Debian und Ubuntu<br />
vorbereitet, die es auf dem <strong>ADMIN</strong>-<br />
Server zum Download gibt [1]. Beachten<br />
Sie aber, dass dieses Skript nur für<br />
fünf Instanzen ausgelegt ist. Wenn Sie<br />
mehr (oder weniger) einsetzen wollen,<br />
müssen Sie das Skript entsprechend<br />
anpassen (Variable »INSTANCE«).<br />
Privoxy<br />
Privoxy ist ein Filter-Proxy, der dabei<br />
hilft, beim Websurfen seine <strong>Privatsphäre</strong><br />
zu wahren. Wie schon bei Tor<br />
müssen Sie auch hier zunächst fünf<br />
Konfigurationsdateien anlegen. Speichern<br />
Sie daher die Datei aus Listing 2<br />
unter »/etc/privoxy/template.config«<br />
und führen Sie nachstehende Kommandozeile<br />
aus:<br />
for i in 1 2 3 4 5 ; do sed "s/%VAR%/U<br />
${i}/g" template.config >> /etc/privoxy/U<br />
config‐${i} ; done<br />
Das Kommando legt die fünf Konfigurationsdateien<br />
»config-1« bis »config-5«<br />
an und stellt gleichzeitig das Verzeichnis<br />
für Log-Dateien (»logdir«), den<br />
Privoxy-Port (»listen‐address«) und den<br />
Proxy-Server ein, von dem Privoxy die<br />
Daten beziehen soll (»forward‐socks5«).<br />
n Listing 2: »template.config«<br />
01 confdir /etc/privoxy<br />
02 actionsfile match‐all.action<br />
03 actionsfile default.action<br />
04 actionsfile user.action<br />
05 filterfile default.filter<br />
06 toggle 1<br />
07 enable‐remote‐toggle 0<br />
08 enable‐remote‐http‐toggle 0<br />
09 enable‐edit‐actions 0<br />
10 enforce‐blocks 0<br />
11 buffer‐limit 4096<br />
12 forwarded‐connect‐retries 0<br />
Abbildung 2: Die Kombination von Tor, Squid und<br />
Privoxy sorgt für lückenlose Anonymisierung.<br />
Zu guter Letzt muss auch das Init.d-<br />
Skript von Privoxy angepasst werden,<br />
damit auch dieser Dienst fünfmal mit<br />
den richtigen Verzeichnissen und PIDs<br />
gestartet oder beendet wird. Auch dieses<br />
Skript ist unter [1] zu finden. Es ist<br />
nur für fünf Instanzen ausgelegt. Wenn<br />
Sie mehr (oder weniger) einsetzen wollen,<br />
müssen Sie das Skript anpassen.<br />
Squid<br />
Um nun alle gestarteten Instanzen<br />
von Privoxy und Tor auch verwenden<br />
zu können, soll der Squid-Proxy zum<br />
Einsatz kommen. Zunächst befreit der<br />
folgende Aufruf die Squid-Konfigurationsdatei<br />
von den unnötigen Kommentaren:<br />
13 accept‐intercepted‐requests 0<br />
14 allow‐cgi‐request‐crunching 0<br />
15 split‐large‐forms 0<br />
16 keep‐alive‐timeout 5<br />
17 socket‐timeout 300<br />
18 handle‐as‐empty‐doc‐returns‐ok 1<br />
19 <br />
20 logdir /var/log/privoxy<br />
21 logfile logfile‐%VAR%.log<br />
22 listen‐address localhost:81%VAR%8<br />
23 forward‐socks5 / 127.0.0.1:9%VAR%50 .<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
38<br />
Privacy<br />
Anonym mit Tor<br />
n Listing 3: Squid-Konfiguration<br />
01 cache_peer localhost parent 8118 0 round‐robin<br />
no‐query<br />
02 cache_peer localhost2 parent 8128 0 round‐robin<br />
no‐query<br />
03 cache_peer localhost3 parent 8138 0 round‐robin<br />
no‐query<br />
04 cache_peer localhost4 parent 8148 0 round‐robin<br />
no‐query<br />
n Listing 4: No place like localhost<br />
01 127.0.0.1 localhost<br />
02 127.0.0.1 localhost2<br />
03 127.0.0.1 localhost3<br />
04 127.0.0.1 localhost4<br />
n Listing 5: Squid-Ergänzungen<br />
01 cache_access_log none<br />
02 forwarded_for off<br />
03 cache deny all<br />
n Autor<br />
cd /etc/squid3 ; cp squid.conf squid.conf.U<br />
BAK ; sed '/^$/d;/^#/d' ‐i squid.conf<br />
Der Aufruf legt ein Backup der gut dokumentierten<br />
Konfigurationsdatei an,<br />
falls Sie die Funktion des ein oder anderen<br />
Parameters nochmal nachlesen<br />
wollen.<br />
Damit die Clients in Ihrem Netz den<br />
Squid-Proxy nutzen dürfen, müssen Sie<br />
dies erlauben. Fügen Sie dazu eine ACL<br />
am Anfang der »squid.conf« hinzu:<br />
acl myNetwork src 192.168.0.0/24<br />
Daniel van Soest ist System- und Netzwerkadministrator<br />
im kommunalen Rechenzentrum Niederrhein.<br />
Er administriert die zentrale Internet-Infrastruktur,<br />
primär die Sicherheitskomponenten. Daniel verbringt<br />
seine Freizeit mit einer Stromgitarre in der<br />
Alternativ-/Punkrock-Band »4dirty5«.<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30317<br />
Hiermit wird das Objekt »myNetwork«<br />
mit dem Class-C-Netz 192.168.0.0 angelegt.<br />
Passen Sie das Netz entsprechend<br />
Ihrer Umgebung an. Das war aber nur<br />
die halbe Miete. Die entscheidende Zugriffsregel<br />
(»http_access«) fehlt noch.<br />
Fügen Sie dafür vor der Zeile »http_access<br />
deny all« die nachstehende Zeile<br />
ein:<br />
http_access allow myNetwork<br />
Last but not least müssen Sie Squid<br />
auch mitteilen, dass er die Internetinhalte<br />
über Privoxy abrufen soll. Fügen<br />
Sie dafür die Zeilen aus Listing 3 am<br />
Ende der »squid.conf« hinzu.<br />
Bevor Sie Squid nun starten, müssen<br />
Sie noch die Datei »/etc/hosts« anpassen.<br />
Da Squid seine Cache-Parents,<br />
also übergeordnete Caches, von denen<br />
er Inhalte abruft, nur über den Namen<br />
identifiziert und ein Name nur einmal<br />
vorkommen darf, wurde localhost im<br />
Beispiel durchnummeriert (»cache_<br />
peer« in Listing 3). Fügen Sie also der<br />
Datei »/etc/hosts« die Zuordnungen aus<br />
Listing 4 hinzu. Starten Sie nun alle<br />
Dienste über die Init.d-Skripte – verwenden<br />
Sie nicht den »service«-Befehl<br />
aus dem Upstart-Paket, da dieser die<br />
veränderten Init.d-Skripte ignoriert.<br />
Nun müssen Sie Ihren Clients noch beibringen,<br />
dass sie den soeben eingerichteten<br />
anonymisierenden Proxy-Server<br />
verwenden. Unter Firefox öffnen Sie<br />
die Einstellungen (»Bearbeiten | Einstellungen«),<br />
wählen das Menü »Erweitert«<br />
und dort den Reiter »Netzwerk«<br />
aus. Dort angelangt können Sie über<br />
»Einstellungen ...« den Proxy-Server<br />
angeben. Verwenden Sie die IP-Adresse<br />
Ihres Proxies und als Port den Squid-<br />
Standard 3128.<br />
Zunächst sollten Sie sicherstellen, dass<br />
Ihr Proxy-Server die Internetzugriffe<br />
nicht protokolliert. Was nützt die ganze<br />
Anonymisierung, wenn Ihr eigenes System<br />
trotzdem wieder alles aufzeichnet?<br />
Darüber hinaus sollten Sie sicherstellen,<br />
dass der Squid-Proxy Ihre interne<br />
IP-Adresse nicht nach außen versendet;<br />
darüber könnten Sie (mit ein paar Kniffen)<br />
dann doch wieder erkannt werden.<br />
Fügen Sie daher die Zeilen aus Listing<br />
5 der Datei »/etc/squid3/squid.conf«<br />
hinzu. Per Default sollte der Squid zwar<br />
keinen X-Forwarded-For-Header erzeugen<br />
und auch kein »access.log« schreiben,<br />
aber sicher ist sicher.<br />
Debugging<br />
Da alle Logs deaktiviert sind, kann das<br />
Finden eines Fehlers zur Qual werden.<br />
Um Ihre Umgebung zu kontrollieren<br />
und auftretende Fehler aufzuspüren,<br />
müssen Sie das Logging aktivieren.<br />
Mittels »squid3 ‐k parse« prüft Squid<br />
die Konfiguration. Werden hier keine<br />
Fehler angezeigt, können Sie zur weiteren<br />
Fehlersuche das Logging aktivieren.<br />
Ändern Sie hierfür die Zeile »cache_access_log<br />
none« auf »cache_access_log<br />
/var/log/squid3/access.log«. Nach<br />
einem Neustart schreibt Squid alle Zugriffe<br />
in die angegebene Datei.<br />
Um das Logging von Privoxy zu aktivieren,<br />
müssen Sie in allen Konfigurationsdateien<br />
den Parameter »debug« mit einem<br />
Wert größer als 1 setzen. Bei dem<br />
Wert 1 werden alle Zugriffe in der entsprechenden<br />
Datei protokolliert (zum<br />
Beispiel bei »config‐1 /var/log/privoxy/<br />
logfile‐1.log«). Vergessen Sie nicht, das<br />
Logging nach der Fehlersuche wieder<br />
zu deaktivieren, da Ihre Anonymisierung<br />
sonst bereits bei Ihrem eigenen<br />
System aufhört.<br />
Nachteile und Risiken<br />
Durch den Einsatz von Tor und dessen<br />
vermaschten Netzes werden die<br />
Antwortzeiten um einiges länger. Eine<br />
zu geringe Anzahl von Instanzen kann<br />
ebenfalls bremsen. Darüber hinaus<br />
müssen Sie auch noch Ihre Browser-<br />
Plugins im Auge behalten. Zum Beispiel<br />
lässt sich trotz korrekter Konfiguration<br />
über das Shockwave-Flash-Plugin Ihre<br />
echte Adresse herausfinden. Testen Sie<br />
also am besten, was Ihr Browser an Informationen<br />
preisgibt. Gut eignet sich<br />
dafür etwa die Cloakfish-Website [2].<br />
Auch wenn Sie mit Tor Ihre Vorliebe<br />
für die Königspudelzucht verschleiern<br />
können, bietet es trotzdem keine hunderprozentige<br />
Anonymisierung. Ihr<br />
Browser-Cache, der Cache des Squid-<br />
Proxy und vor allem Cookies können all<br />
die gewonnenen Maßnahmen wieder<br />
zunichte machen. Die Arbeit hört also<br />
nicht beim Proxy-Server auf. (ofr) n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
40<br />
Privacy<br />
GPG<br />
Dokumente und Mails mit PGP <strong>schützen</strong><br />
Privates <strong>schützen</strong><br />
Jevgeni Trombovetski, 123RF<br />
Viele haben PGP/GPG schon einmal ausprobiert. Nicht so bekannt ist aber, was sich unter der Haube verbirgt<br />
und welches Sicherheitslevel sich mit welcher Option tatsächlich ergibt. Dieser Artikel gibt einen<br />
tieferen Einblick. Juliet Kemp<br />
Pretty Good Privacy (PGP) erlaubt das<br />
kryptografische Unterschreiben und<br />
das Ver- und Entschlüsseln von Dokumenten.<br />
Ersteres dient der Sicherung<br />
der Identität, letzteres der Sicherung<br />
der Vertraulichkeit. Dabei wird der<br />
OpenPGP-Standard benutzt, der eine<br />
Kombination aus herkömmlichen und<br />
Public-Key-Verfahren einsetzt. PGP<br />
selbst – als Produkt der PGP Corporation<br />
– ist keine GPL-Software. Der<br />
OpenPGP-Standard ist dagegen nicht<br />
proprietär. Die wichtigste Open-Source-<br />
Implementierung von OpenPGP ist<br />
GnuPG (GPG) [1].<br />
Warum Public-Key-<br />
Kryptografie?<br />
Die Grundidee der Public-Key-Kryptografie<br />
ist, dass zuerst ein Verschlüsselungsprozess<br />
den lesbaren Text chiffriert<br />
und anschließend ein Entschlüsselungsprozess<br />
das Ganze wieder in eine<br />
lesbare Form zurückverwandelt. Zum<br />
Verschlüsseln wird ein Algorithmus und<br />
ein Schlüssel gebraucht.<br />
Ein ganz einfaches Beispiel für einen<br />
Verschlüsselungs-Algorithmus ist der<br />
sogenannte Cäsar-Code, bei dem jeder<br />
Buchstabe um eine feste Distanz<br />
verschoben wird: Aus »A« wir »D« aus<br />
»B« wird »E« und so weiter. Den Algo-<br />
rithmus könnte man so beschreiben:<br />
»Verschiebe jeden Buchstaben X um<br />
den Schlüsselwert 3«.<br />
Dieses Verfahren ist natürlich sehr<br />
leicht zu brechen und als ernsthaftes<br />
Verschlüsselungsverfahren nicht zu<br />
gebrauchen, doch es verdeutlicht das<br />
Grundprinzip: Der Empfänger braucht<br />
wieder den zuvor benutzten Schlüssel<br />
und den Algorithmus. Und hier stößt<br />
n RSA und die Berechenbarkeit<br />
RSA ist einer der am meisten benutzten<br />
Kryptografie-Algorithmen, der 1977 von<br />
Rivest, Shamir und Adlerman entwickelt<br />
wurde (tatsächlich entstand bereits 1973<br />
eine Version im Gouvernment Communications<br />
Headquarter, die jedoch bis 1997<br />
geheim gehalten wurde).<br />
RSA ist im Detail mathematisch recht<br />
komplex, aber die Grundidee ist die folgende:<br />
Man wähle zwei sehr große Primzahlen<br />
p und q (mindestens 100 Stellen).<br />
Dann multipliziere man p mit q, was eine<br />
weitere, sehr große Zahl N ergibt. N wird<br />
nun als Public-Key benutzt. Die Sicherheit<br />
beruht darauf, dass die Faktorisierung<br />
von N in q und p extrem aufwendig ist<br />
und es keinen bekannten Algorithmus<br />
gibt, der den Weg verkürzen würde. Ein<br />
Brute-Force-Angriff, der alle möglichen<br />
man auf ein Problem: Wie soll man den<br />
Empfänger mit diesen Daten versorgen?<br />
Man kann sie nicht verschlüsseln,<br />
denn er hätte nichts in der Hand, womit<br />
er sie entschlüsseln könnte. Sendet<br />
man sie aber unverschlüsselt, könnten<br />
sie von Unbefugten abgefangen werden.<br />
Die Lösung für dieses Problem ist die<br />
Public-Key-Kryptografie. Sie verwen-<br />
Faktoren einfach ausprobieren könnte,<br />
würde zu lange dauern.<br />
Die größte Zahl, die nach der Brute-Force-<br />
Methode je faktorisiert wurde, war 768<br />
Bit lang – man brauchte dafür vier Jahre.<br />
Auch 1024 Bit mögen in naher Zukunft<br />
angreifbar sein, aber im Moment muss<br />
ein solcher Schlüssel als unberechenbar<br />
gelten. Für längere Schlüssel gilt das erst<br />
recht.<br />
In der Theorie bleiben derzeit zwei Fragen<br />
offen: Ob es überhaupt eine bessere<br />
Methode für die Faktorisierung großer<br />
Zahlen gibt – bisher wurde lediglich keine<br />
gefunden. Und ob die Schwierigkeiten<br />
bei der Faktorisierung großer Zahlen dieselben<br />
sind wie beim Brechen des RSA-<br />
Codes. Dieses sogenannte RSA-Problem<br />
ist weiter Gegenstand der Forschung.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
GPG<br />
41<br />
det einen öffentlichen Schlüssel zum<br />
Verschlüsseln der Nachricht und einen<br />
anderen, privaten Schlüssel für das<br />
Entschlüsseln. Dabei ist es unmöglich<br />
den privaten Schlüssel aus dem öffentlichen<br />
abzuleiten. Deshalb kann man<br />
den öffentlichen Schlüssel unbesorgt<br />
überall verteilen. Der private Schlüssel<br />
wird dagegen niemals und mit niemandem<br />
geteilt.<br />
So funktioniert GPG<br />
Wenn man eine Nachricht mit GPG verschlüsselt,<br />
passiert das Folgende:<br />
n Der Text wird komprimiert, denn<br />
das reduziert die Muster, die man<br />
im Klartext finden könnte, und erschwert<br />
so Angriffe.<br />
n Es wird ein zufälliger Session-Key<br />
erzeugt.<br />
n Mit diesem Session-Key wird die<br />
Nachricht verschlüsselt.<br />
n Danach wird wiederum der Session-<br />
Key mit dem öffentlichen Schlüssel<br />
des Empfängers verschlüsselt (nicht<br />
die Nachricht selbst).<br />
Nachricht und Session Key gelangen<br />
verschlüsselt gemeinsam zum Empfänger.<br />
Bei ihm passiert das Folgende:<br />
n Er entschlüsselt mit seinem geheimen,<br />
privaten Schlüssel den<br />
Session-Key.<br />
n Danach entschlüsselt er mit dem<br />
Session-Key die Nachricht.<br />
n Schließlich wird die Nachricht wieder<br />
dekomprimiert.<br />
Nun liegt die Nachricht wieder in lesbarer<br />
Form vor. Die zugrunde liegende<br />
Mathematik ist nicht Gegenstand dieses<br />
Artikels. Wer deren Details studieren<br />
möchte, findet ein nachvollziehbares<br />
Beispiel unter [2].<br />
Public-Key-Algorithmen<br />
GPG unterstützt eine Vielzahl verschiedener<br />
Algorithmen. Welche genau,<br />
zeigt der Schalter »‐‐version« des Kommandos<br />
»gpg« an. Eine beispielhafte<br />
Ausgabe zeigt Listing 1.<br />
Die Algorithmen für den öffentlichen<br />
Schlüssel generieren das Public-/<br />
Private-Schlüsselpaar. Die Verschlüsselungs-Algorithmen<br />
sind zuständig für<br />
das symmetrische Einmal-Passwort,<br />
mit dem die Nachricht verschlüsselt<br />
wird. Die Hash-Algorithmen überprüfen<br />
die Authentizität der Nachricht und<br />
die Unifikationsverfahren verpacken<br />
den Text. Dem Schlüssel ist es egal,<br />
mit welchem Verfahren die Nachricht<br />
verschlüsselt wird. Tatsächlich ist eine<br />
Liste der unterstützten Algorithmen<br />
Teil des öffentlichen Schlüssels. Wenn<br />
man mit ihm eine Nachricht verschlüsselt,<br />
sucht sich GPG das am meisten<br />
präferierte Verfahren heraus. Will man<br />
wissen, welches das ist, gibt man<br />
gpg ‐‐edit key user‐id<br />
ein und danach hinter dem Prompt<br />
»Command« das Kommando<br />
»showpref«.<br />
Kompressions- und Hash-<br />
Verfahren<br />
Die Kompression wird sowohl eingesetzt,<br />
um das File zu verkleinern, als<br />
auch um Muster im Text zu verdecken.<br />
Verfügbar sind die Standardverfahren<br />
»zlib«, »bzip2« und »zip«. Die Unterschiede<br />
sind nicht groß von Bedeutung:<br />
Zlib ist vielleicht etwas kompatibler,<br />
Bzip2 ist speicherintensiver, erreicht<br />
dafür etwas höhere Kompressionsraten.<br />
Kryptografische Hash-Algorithmen sichern<br />
die Authentizität eines Files. Der<br />
Hash erzeugt eine Art Fingerabdruck<br />
des Files. Der ist zwar eindeutig, doch<br />
lässt sich der Dateiinhalt nicht aus dem<br />
Fingerabdruck zurückgewinnen. Ein<br />
gängiges Hash-Verfahren ist SHA1 (trotz<br />
bekannter theoretischer Verwundbarkeiten)<br />
oder die sichere Alternative<br />
SHA2.<br />
Betrachtet man die Sicherheit der Algorithmen,<br />
muss man zwei Werte auseinanderhalten:<br />
die Key-Länge in Bits<br />
und die kryptographische Sicherheit<br />
n Listing 1: Unterstützte Algorithmen<br />
als Wert für den kürzesten bekannten<br />
Angriff auf das Verfahren, angegeben<br />
ebenfalls in Bit. Die kryptografische<br />
Sicherheit kann nicht größer sein als<br />
die Key-Länge (denn durch Ausprobieren<br />
jedes möglichen Schlüssels<br />
der gegebenen Länge würde man den<br />
zutreffenden finden). Bei symmetrischen<br />
Verschlüsselungsverfahren ist<br />
die kryptografische Sicherheit meistens<br />
etwas kleiner als die Key-Länge, bei<br />
asymmetrischen Verfahren ungefähr<br />
genauso groß.<br />
Verschlüsselungsverfahren<br />
Als Public-Key-Algorithmen werden<br />
zumeist RSA, RSA-E, RSA-S, ELG-E und<br />
DSA angeboten. Am häufigsten wird<br />
RSA verwendet. Sein Hauptvorteil ist,<br />
dass es Key-Längen bis 4096 Bits gestattet.<br />
RSA-768 ist bereits 2010 ausgelaufen,<br />
aber schon seit 2007 empfiehlt<br />
das amerikanische National Institute<br />
of Standards and Technology (NIST)<br />
auch 1024 Bit lange Keys zu meiden.<br />
Heute sind 2048 Bit der Standard in<br />
GPG. RSA-S dient nur zum Unterzeichnen<br />
und RSA-E nur zum Verschlüsseln.<br />
ELG-E basiert auf dem Diffie-Hellmann-<br />
Verfahren für den Schlüsselaustausch<br />
aus dem Jahr 1976. Es ist ein Vorläufer<br />
von DSA. Verschiedene Key-Längen<br />
sind möglich, aber 2048 Bit sind auch<br />
hier der Standard. Vor RSA waren DSA<br />
(nur zum Unterschreiben) und ELG-E<br />
(nur zum Verschlüsseln) die Standardverfahren.<br />
Cipher-Algorithmus<br />
Unter Cipher wird der symmetrische<br />
Key verstanden, mit dem die eigentliche<br />
Nachricht verschlüsselt wird. Zur<br />
Auswahl stehen Triple-DES, CAST5,<br />
Blowfish/Twofish und AES-Varianten.<br />
01 jcb@hercules:~$ gpg ‐‐version<br />
02 gpg (GnuPG) 1.4.11<br />
03 ...<br />
04 <br />
05 Unterstützte Verfahren:<br />
06 Öffentliche. Schlüssel: RSA, RSA‐E, RSA‐S, ELG‐E, DSA<br />
07 Verschlü.: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128,<br />
08 CAMELLIA192, CAMELLIA256<br />
09 Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224<br />
10 Komprimierung: nicht komprimiert, ZIP, ZLIB, BZIP2<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
42<br />
Privacy<br />
GPG<br />
Abbildung 1: Die Präferenzen der Autorin.<br />
Abbildung 2: Das Generieren eines Encryption-Sub-Keys.<br />
DES ist seit vielen Jahren der Standard,<br />
unterstützt allerdings nur 56 Bit, sodass<br />
es nicht mehr als vollkommen sicher<br />
gelten kann. Triple-DES vergrößert den<br />
Key durch dreimaliges Anwenden von<br />
DES auf 3 x 56 = 168 Bit. Wegen einer<br />
bekannten Verwundbarkeit beträgt die<br />
kryptografische Sicherheit aber nur<br />
112 Bit.<br />
CAST5 ist ein symmetrisches Verfahren<br />
mit Schlüsseln von 40 oder 128 Bits. In<br />
den meisten Linux-Distributionen ist<br />
dieses Verfahren heute der Standard.<br />
Weil es keine bekannten Angriffe (außer<br />
Brute Force) gibt, beträgt seine kryptografische<br />
Sicherheit auch 128 Bit.<br />
Blowfisch kennt Keylängen zwischen<br />
32 und 448 Bits. Die 32 Bits sind sicher<br />
nutzlos, aber darüber hinaus lässt<br />
sich eine brauchbare Schlüssellänge<br />
wählen. Allerdings braucht Blowfish<br />
viel Speicher. Twofish ist ein ähnlicher<br />
n Listing 2: Exportieren der Sub-Keys<br />
01 $ gpg ‐‐list‐secret‐keys<br />
02 /home/me/.gnupg/secring.gpg<br />
03 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐<br />
04 sec 1024D/01234567 2000‐01‐01<br />
05 uid My Name <br />
06 ssb 1024g/11223344 2011‐01‐01<br />
07 ssb 2048R/98989898 2012‐01‐01<br />
08 <br />
09 $ gpg ‐‐export‐secret‐subkey 11223344 > subkey1<br />
10 $ gpg ‐‐export‐secret‐subkey 98989898 > subkey2<br />
Algorithmus mit Schlüsseln von bis zu<br />
256 Bits, den der Security-Spezialist<br />
Bruce Schneier anstelle von Blowfisch<br />
empfiehlt.<br />
AES steht für Advanced Encryption<br />
Standard und ist heute die NIST-Technologie<br />
der Wahl, die DES ersetzen soll.<br />
AES benutzt 128, 192 oder 256 Bit lange<br />
Schlüssel. Welchen man benutzen soll,<br />
darüber herrscht unter Kryptografen<br />
keine Einigkeit. Es gibt Angriffe gegen<br />
AES-256 und AES-192, die bei AES-128<br />
nicht benutzbar sind. Trotzdem gelten<br />
alle diese Verfahren noch als sicher,<br />
weil die Angriffe mit sehr hohen Rechenkosten<br />
verbunden und damit praktisch<br />
nicht anwendbar sind.<br />
AES-128 ist etwas schneller als AES-<br />
256, aber praktisch nicht weniger<br />
sicher. AES-128-Schlüssel gelten für die<br />
nächsten 10 bis 50 Jahre (je nachdem,<br />
wen man fragt) als sicher. AES ist heute<br />
der offizielle Standard der US-Regierung<br />
(AES-128 für die Klassifikation<br />
SECRET, AES‐192 oder AES-256 für TOP<br />
SECRET).<br />
Fügt man nun die Public-Key- und<br />
Cipher-Algorithmen zusammen, dann<br />
sollte man für höchste Sicherheitsansprüche<br />
auf der Public-Key-Seite<br />
nicht weniger als 2048 und auf der<br />
Cipher-Seite nicht weniger als 128 Bit<br />
lange Schlüssel verwenden (Abbildung<br />
1). Eine gute Wahl wäre dann AES (128<br />
oder 256) zusammen mit RSA 2048. Ein<br />
noch längerer RSA-Key würde zusätzliche<br />
Sicherheit bringen, aber Performance<br />
kosten.<br />
Master- und Sub-Keys<br />
An dieser Stelle soll nicht der bekannte<br />
Prozess der GPG-Schlüsselgenerierung<br />
beschrieben werden. Entsprechendes<br />
kann man an vielen Stellen nachlesen.<br />
Stattdessen soll hier diskutiert werden,<br />
wie man Master-Keys mit Sub-Keys verwenden<br />
kann, um die Sicherheit noch<br />
zu erhöhen.<br />
Im ersten Szenario verwendet man<br />
einen Master-Key zum Unterschreiben<br />
und einen Sub-Key für die Verschlüsselung.<br />
Der sogenannte Signing-Key<br />
bestätigt die Identität und baut ein Vertrauensnetzwerk<br />
auf (durch Sammeln<br />
von Unterschriften von Personen, die<br />
die eigene Identität bestätigen). Mit<br />
dem zweiten Schlüssel (Encryption-<br />
Key) werden Dokumente entschlüsselt,<br />
die an einen selber gerichtet sind.<br />
Beide Schlüssel können unabhängig<br />
voneinander verwaltet werden. So<br />
kann man einen Signing-Key haben,<br />
der nie ausläuft, wogegen der Encryption-Key<br />
nur bis zu einem bestimmten<br />
Zeitpunkt gültig ist.<br />
Um den Encryption-Key zu ändern,<br />
fügt man einfach einen neuen Sub-Key<br />
hinzu. Das geht mit<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Privacy<br />
GPG<br />
43<br />
PGP edit‐key myid<br />
und dem Befehl »addkey«, der nach<br />
dem Prompt einzugeben ist. Dabei<br />
kann man den bevorzugten Algorithmus<br />
und die Schlüsselänge wählen.<br />
Danach gibt man »save« ein, um den<br />
Schlüssel zu sichern. Um einen Key<br />
auslaufen zu lassen, tippt man »key<br />
n« wobei n der Index des Keys in der<br />
Liste ist und anschließend»expire«, um<br />
damit das Ablaufdatum einzustellen<br />
(Abbildung 2).<br />
Um den neuen Key anstelle des alten zu<br />
verwenden, muss der neue Public-Key<br />
veröffentlicht werden. Das ist für Leute,<br />
die mit einem korrespondieren wollen,<br />
etwas unbequem, denn sie müssen den<br />
bei sich gespeicherten Schlüssel austauschen.<br />
Das Ganze funktioniert aber<br />
recht geradlinig: Weil der neue Sub-Key<br />
mit dem existierenden Master-Key signiert<br />
ist, braucht es keine zusätzlichen<br />
Signaturen. Die Beteiligten vertrauen<br />
ja bereits dem Master-Key. Den abgelaufenen<br />
Key sollte man übrigens nicht<br />
entsorgen, man braucht ihn immer<br />
noch, um damit ältere Dokumente zu<br />
entschlüsseln.<br />
Will man die Sicherheit noch weiter<br />
steigern, kann man auch einen Sub-Key<br />
für das Unterschreiben anlegen (wie für<br />
das Verschlüsseln). Der Hauptvorteil<br />
dabei ist, dass man nun diese beiden<br />
Sub-Keys auf dem hauptsächlichen<br />
Computer für die tägliche Arbeit<br />
speichern kann, während man den<br />
Master-Key getrennt davon an einem sicheren<br />
Ort aufbewahrt. Davon sollte es<br />
auch ein Backup geben und auch das<br />
Backup muss sicher verwahrt werden.<br />
Der Master-Key wird dann gelegentlich<br />
noch gebraucht, um andere Schlüssel<br />
zu signieren, um neue Sub-Keys zu<br />
kreieren und alte zurückzurufen. Wenn<br />
nun der Rechner gestohlen oder gehackt<br />
wird, ist der Master-Key weiter<br />
sicher. Ja, selbst wenn der Master-Key<br />
gestohlen würde, bräuchte man immer<br />
noch das dazugehörige Passwort, um<br />
ihn benutzen zu können. Aber das ist<br />
sicher leichter zu knacken als die Verschlüsselungsverfahren.<br />
Sind die neuen Keys erzeugt, kopiert<br />
man das Verzeichnis »~/.gnupg« an<br />
einen sicheren Ort. Nun muss von dem<br />
täglich genutzten<br />
Rechner der Master-<br />
Key entfernt werden,<br />
was ein klein wenig<br />
schwieriger ist. Zu<br />
Anfang exportiert man<br />
(wie in Listing 2 zu<br />
sehen) jeden Sub-Key<br />
unter Angabe seiner ID<br />
in ein separates File.<br />
Dann exportiert man<br />
den Master-Key mit<br />
gpg ‐‐export 01234567 ><br />
pubkeys<br />
wobei 01234567 die ID<br />
des Master-Keys ist.<br />
Nun entfernt man den<br />
Master-Key (nicht ohne<br />
sich zu überzeugen, dass ein Backup<br />
existiert) und importiert die anderen<br />
Keys wieder, wie es Listing 3 zu sehen<br />
ist.<br />
Tippt man jetzt »gpg ‐K«, zeigt die Sec-<br />
Zeile »sec#«, was bedeutet, dass der<br />
Master-Key hier nicht mehr installiert<br />
ist. Wollte man den Master-Key hier<br />
wieder verwenden, geht das mit<br />
gpg ‐‐home=Speicherort d. Master Keys U<br />
‐K<br />
Um die Public-Keys auf einen öffentlichen<br />
Key-Server zu laden, verwendet<br />
man<br />
gpg ‐‐sendkey ‐‐keyserver U<br />
my.preferred.keyserver MASTERKEY_ID<br />
Schließlich kann ein Tipp beim Verwenden<br />
der Sub-Keys noch nützlich sein.<br />
Der oben beschriebene Prozess erzeugt<br />
einen Sub-Key und unterschreibt ihn<br />
mit dem Master-Key, um so kenntlich<br />
zu machen, dass er zum Master-Key<br />
gehört. Aber der Sub-Key unterschreibt<br />
nicht den Master-Key, um zu verdeutlichen,<br />
dass er vom öffentlichen<br />
Schlüssel besessen wird. In der Theorie<br />
könnte ein Angreifer einen Signature-<br />
Sub-Key auf seinen eigenen Schlüssel<br />
Abbildung 3: Erweiterte Einstellungen für Enigmail unter Thunderbird.<br />
anwenden, was bedeuten würde, dass<br />
er sowohl vom eigenen Master-Key wie<br />
auch vom Master-Key des Angreifers<br />
verifiziert werden könnte. Der Angreifer<br />
könnte allerdings mit einem solchen<br />
Key nicht unterschreiben und dieser<br />
Umstand würde den Betrug auch aufdecken.<br />
Damit es allerdings gar nicht erst<br />
soweit kommen kann, gibt man am<br />
besten nach »gpg ‐‐edit‐key« ein:<br />
»cross‐verify«. Dazu muss man Zugriff<br />
auf den Master-Key haben. Der Schlüssel<br />
und alle später erzeugten Sub-Keys<br />
sind nun cross-zertifiziert.<br />
Um Mails und Dokumente sicher zu<br />
verschlüsseln, ist GPG ganz bestimmt<br />
keine schlechte Wahl. Am nützlich sten<br />
ist die Software aber in der Zusammenarbeit<br />
mit anderen Applikationen. Am<br />
häufigsten werden das Mail-Clients<br />
sein, doch es gibt auch GPG-Plugins für<br />
Browser oder auch für Jabber-Clients<br />
und -Server. (jcb) n<br />
n Info<br />
n Listing 3: Entfernen und Re-Importieren des Master-Keys<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30205<br />
01 $ gpg ‐‐delete‐secret‐key 01234567 02 $ gpg ‐‐import pubkeys subkey1 subkey2<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
44<br />
Know-how<br />
Microsoft SQL Server<br />
alexwhite, 123RF<br />
Hochverfügbarkeit mit SQL Server 2012 und 2014<br />
Immer bereit<br />
Einerseits wachsen die Anforderungen an die Verfügbarkeit – andererseits beabsichtigt Microsoft gerade,<br />
bei seinem SQL Server die Datenbankspiegelung abzuschaffen. Damit stecken viele Anwender, die bisher<br />
diese Option nutzten, in der Klemme. Das <strong>ADMIN</strong>-<strong>Magazin</strong> hat untersucht, welche Alternativen Ihnen SQL<br />
Server 2012 und 2014 zur Verfügung stellen. Filipe Pereira Martins und Anna Kobylinska<br />
Der Bedarf an Hochverfügbarkeitsfeatures<br />
für Microsofts SQL Server<br />
schnellt gerade im Zeitalter der Cloud<br />
in die Höhe. Doch anstatt die dringend<br />
benötigten Hochverfügbarkeitsfeatures<br />
einer breiten Anwenderschar zur<br />
Verfügung zu stellen, hat Microsoft die<br />
Datenbankspiegelung zum alten Eisen<br />
gelegt und ihren Nachfolger, die mit<br />
SQL Server 2012 vorgestellten und mit<br />
SQL Server 2014 ausgebauten Always-<br />
On-Hochverfügbarkeitsgruppen, auf<br />
die Edition Enterprise beschränkt.<br />
Lieber Vorsicht als Nachsicht<br />
Hochverfügbarkeit (High Availability,<br />
HA) maximiert die Erreichbarkeit von<br />
Datenbankservern, indem sie die Auswirkungen<br />
eines Hardwareschadens<br />
mildert, das Versagen virtualisierter<br />
IaaS-Dienste kompensiert und die<br />
Ausfälle der Netzinfrastruktur auffängt.<br />
Dank Hochverfügbarkeitsfeatures<br />
lassen sich nicht nur die Ausfallzeiten<br />
minimieren, man kann auch den Ver-<br />
lust von Transaktionsdaten weitgehend<br />
ausschließen.<br />
Die Hochverfügbarkeit einer Datenbank<br />
ist auch deswegen schwierig zu gewährleisten,<br />
weil es immer auch darum<br />
geht, die Integrität transaktionaler<br />
Daten zu sichern. Microsofts SQL Server<br />
begegnete diesen Anforderungen in der<br />
Version 2012 je nach Ausbaustufe mit<br />
bis zu drei Hochverfügbarkeitsfeatures :<br />
n der Datenbankspiegelung,<br />
n den AlwaysOn-Failover-Cluster-<br />
Instanzen und<br />
n den AlwaysOn-Verfügbarkeitsgruppen<br />
(letztere sind nur in der Edition<br />
Enterprise zu haben).<br />
Darüber hinaus lässt sich auch mit<br />
Features wie der Datenbankreplikation<br />
und dem Log-Versand die Datensicherung<br />
im Notfall gewährleisten.<br />
Spiegelung vor dem Aus<br />
Die synchrone Datenbankspiegelung<br />
im SQL Server ist eine Hochverfügbarkeitslösung,<br />
bei asynchroner Datenbankspiegelung<br />
(nur in der Enterprise-<br />
Edition verfügbar) handelt es sich<br />
dagegen um eine Lösung zur Datenwiederherstellung<br />
im Notfall.<br />
In jedem Fall besteht die Umgebung<br />
bei der Datenbankspiegelung aus<br />
zwei Instanzen mit lokalem Speicher,<br />
einem Prinzipalserver mit der Prinzipaldatenbank<br />
und einem Spiegelserver<br />
mit der Spiegeldatenbank. Der<br />
Hochsicherheitsmodus beherrscht ein<br />
automatisches Failover. Diese Konfiguration<br />
erfordert einen dritten Server,<br />
den sogenannten Zeugen. Der Zeuge<br />
kümmert sich darum, dass beim Ausfall<br />
des Prinzipalservers der Spiegelserver<br />
dessen Aufgaben nahtlos übernehmen<br />
kann. Bei der synchronen Datenbankspiegelung<br />
übergibt der Prinzipalserver<br />
den Commit einer jeden Transaktion<br />
unmittelbar an den Spiegelserver und<br />
erst nach Erhalt einer Bestätigung meldet<br />
er den Vorgang als abgeschlossen.<br />
Der Sekundärserver kann die Aufgaben<br />
des Primärservers jederzeit überneh-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Know-how<br />
Microsoft SQL Server<br />
45<br />
AlwaysOn Failover Cluster<br />
AlwaysOn-Failover-Cluster-Instanzen<br />
bieten ein Failover von einem momentan<br />
nicht mehr verfügbaren Knoten<br />
auf einen anderen Knoten unter Verwendung<br />
von Windows Server Failover<br />
Clustering (WSFC). Lokale Hochverfügbarkeit<br />
kommt in diesem Fall durch<br />
redundante Server-Instanzen zustande,<br />
die sogenannten FCIs (Failover-Cluster-<br />
Instanzen), die SAN-Speicher gemeinsam<br />
nutzen.<br />
Bei einer FCI handelt es sich um eine<br />
einzelne Instanz von SQL Server, die<br />
über mehrere WSFC-Knoten (möglicherweise<br />
auch über mehrere Subnetze)<br />
verteilt installiert ist. Im Netz<br />
erscheint eine solche Installation wie<br />
ein einzelner Computer. Microsofts SQL<br />
Server Management Studio verbindet<br />
sich mit dem Cluster wie mit einem gewöhnlichen<br />
Host.<br />
Die Editionen Standard und BI von SQL<br />
Server 2012 und 2014 unterstützen<br />
jeweils genau zwei Knoten. Die Entermen.<br />
Informationen außerhalb der<br />
betreffenden Datenbank, wie Jobs,<br />
Joints und Transaktionen über mehrere<br />
Datenbanken hinweg, gehen entweder<br />
verloren oder lassen sich nicht fehlerfrei<br />
übernehmen. Zudem ist diese<br />
Lösung langsam.<br />
Im Unterschied dazu erfolgt die asynchrone<br />
Datenbankspiegelung mit<br />
einer erheblichen Zeitverzögerung und<br />
eignet sich daher zwar nicht für ein<br />
automatisches Failover, ist aber eine<br />
Option für die Datensicherung und die<br />
Notfallwiederherstellung.<br />
Microsoft hat die Datenbankspiegelung<br />
inzwischen zum alten Eisen erklärt.<br />
Anwender von SQL Server sind gut<br />
beraten, dieses Feature bereits heute<br />
nicht mehr zu verwenden und keine<br />
neuen Anwendungen dafür zu entwickeln.<br />
Als Ersatz empfiehlt Microsoft die<br />
AlwaysOn-Hochverfügbarkeitsgruppen.<br />
Der einzige Schönheitsfehler: Jede<br />
Serverinstanz in einer Hochverfügbarkeitsgruppe<br />
benötigt die Enterprise-<br />
Edition des SQL Server. Alleine die<br />
Lizenz gebühren für die minimale<br />
Ausstattung der kleinsten Ausbaustufe<br />
einer Hochverfügbarkeitsgruppe kommen<br />
bei einer Laufzeit von drei Jahren<br />
schon auf den stolzen Betrag von über<br />
100 000 Euro.<br />
Datenbankreplikation<br />
Die Datenbankreplikation kann die Verfügbarkeit<br />
der betreffenden Datenbank<br />
ebenfalls verbessern und die Notfallwiederherstellung<br />
(Disaster Recovery)<br />
der Daten ermöglichen. Die Replikation<br />
im SQL Server basiert auf dem Veröffentlichen-Abonnieren-Modell.<br />
In diesem<br />
Modell kann ein primärer Server,<br />
der Verleger, seine Daten oder eine Untermenge<br />
der Daten an mindestens einen<br />
sekundären Server, den Abonnenten,<br />
weitergeben. In SQL Server 2012<br />
kann die Veröffentlichungsdatenbank<br />
einer AlwaysOn-Verfügbarkeitsgruppe<br />
angehören.<br />
Der größte Vorteil der Datenbankreplikation<br />
ist ihre Flexibilität. Der SQL<br />
Server kann bei Bedarf auch eine Untermenge<br />
einer Datenbank veröffentlichen.<br />
Zudem lassen sich verschiedene<br />
Serverinstanzen mit separaten Indizes<br />
versehen. Dadurch kann man die<br />
Replika etwa mit der Erstellung detaillierter<br />
Berichte beauftragen und gleichzeitig<br />
den Produktionsserver entlasten.<br />
Der größte Nachteil der Datenbankreplikation<br />
besteht in der beachtlichen<br />
Komplexität, die ein großes Potenzial<br />
für Fehler enthält.<br />
Log-Versand<br />
Beim Log-Versand schreibt der primäre<br />
Datenbankserver eine Sicherheitskopie<br />
seiner Transaktions-Logs auf ein gemeinsam<br />
genutztes Volume. Auf dieses<br />
Volume können dann andere Datenbankserver<br />
an einem entfernten Standort<br />
zugreifen, um die Logs abzuholen<br />
und daraus die betreffende Datenbank<br />
lokal wiederherzustellen. Benutzer<br />
können an diese wiederhergestellten<br />
Datenbanken Abfragen senden. Die<br />
Wiederherstellung und die Abfragen<br />
dürfen allerdings nicht gleichzeitig erfolgen;<br />
vor der Wiederherstellung müssen<br />
alle laufenden Abfragen zwangsbeendet<br />
werden. Der Log-Versand bietet<br />
eine robuste Methode der Datenbankwiederherstellung<br />
im Notfall.<br />
Den Log-Versand unterstützen die Editionen<br />
Enterprise, BI, Standard und Web<br />
von SQL Server.<br />
prise-Version geht diesbezüglich bis<br />
an die Grenzen des Betriebssystems.<br />
Fällt der aktive Knoten aus, erfolgt ein<br />
vollautomatisches Failover: Der zweite<br />
Knoten übernimmt die Aufgaben des<br />
ersten Knotens. Für die Endanwender<br />
hat sich nichts geändert, sie können<br />
ihre Arbeit ungestört fortsetzen. Lediglich<br />
nicht abgeschlossene Transaktionen<br />
gehen dabei zwangsweise<br />
verloren. Bereits abgeschlossene Transaktionen<br />
bleiben erhalten.<br />
AlwaysOn-Failover-Cluster-Instanzen<br />
<strong>schützen</strong> die Umgebung vor dem Ausfall<br />
eines Servers in dem Cluster, nicht<br />
jedoch vor dem Ausfall des SAN-Speichers.<br />
Die Daten sind damit nämlich<br />
nicht automatisch ebenfalls redundant<br />
gesichert, im Gegenteil: Alle Knoten<br />
greifen einfach auf denselben gemeinsam<br />
genutzten SAN-Speicher zu. Ein<br />
n Standard und Enterprise<br />
In der Version 2014 erhält SQL Server leistungsstarke<br />
neue Funktionen, darunter:<br />
n In-Memory-OLTP (Codename Hakaton) für deutliche<br />
Performance-Verbesserungen bei häufigen<br />
Zugriffen auf eine Tabelle;<br />
n Verbesserungen in der Handhabung von Big Data<br />
mithilfe des »Resource Governors«.<br />
Zahlreiche relevante Funktionen von SQL Server<br />
2014 kommen leider nur Benutzern der Enterprise-<br />
Edition zu Gute. Dazu zählen:<br />
n Datenbanksnapshots,<br />
n Online-Re-Indizierung und parallele Indizierungsvorgänge,<br />
n Datenbankverschlüsselung (z.B. für E-Commerce),<br />
n Auditing,<br />
n Regelkonformität (der Deutsche Corporate Governance<br />
Kodex, DCGK, spricht hierbei Neudeutsch<br />
von »Compliance«),<br />
n die überwiegende Mehrheit der Business-Intelligence-Funktionen,<br />
n Unterstützung für AlwaysOn-Hochverfügbarkeitsgruppen<br />
mit nun bis zu acht (statt vier) lesbaren<br />
Sekundärservern.<br />
Die Standard-Edition von SQL Server 2014 bietet<br />
somit gar keine nicht veraltete Hochverfügbarkeitsfunktionen<br />
(stattdessen gibt es die eher nutzlose,<br />
weil veraltete Datenbankspiegelung). Noch bedauerlicher<br />
ist die Tatsache, dass die Standard-Edition von<br />
SQL Server 2014 bei gerade einmal 64 GByte Arbeitsspeicher<br />
das Ende der Fahnenstange erreicht, was<br />
die praktische Nutzbarkeit von nativem In-Memory-<br />
OLTP in dieser Edition des Servers in Frage stellt.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
46<br />
Know-how<br />
Microsoft SQL Server<br />
Defekt dieser Hardware kann daher<br />
leicht zum Verlust aller Daten führen.<br />
Um das Risiko von Datenverlusten zu<br />
minimieren, lässt sich SAN-Replikation<br />
einsetzen. Beim Ausfall des primären<br />
SAN-Speichers besteht in diesem Fall<br />
die Möglichkeit, die SAN-Replika dem<br />
Cluster manuell zur Verfügung zu stellen.<br />
Leider ist diese Lösung mit erheblichen<br />
Zusatzkosten verbunden und<br />
erfordert die Beteiligung eines SAN-<br />
Administrators.<br />
AlwaysOn-HA in SQL Server<br />
AlwaysOn-Hochverfügbarkeitsgruppen<br />
ersetzen die Funktionalität der Datenbankspiegelung<br />
und des Log-Versands<br />
durch Verbesserungen wie die Log-Synchronisierung.<br />
AlwaysOn-Hochverfügbarkeitsgruppen<br />
setzen auf WSFC auf,<br />
gewährleisten Redundanz auf Datenbankebene<br />
und erlauben die Nutzung<br />
der Sekundärserver für Lesezugriffe.<br />
Anders als im Falle der Datenbankreplikation<br />
müssen Indizes und Schemata<br />
auf allen Instanzen identisch sein.<br />
Bei einer Verfügbarkeitsgruppe handelt<br />
es sich um eine Failover-Umgebung für<br />
Benutzerdatenbanken (die sogenannten<br />
Verfügbarkeitsdatenbanken). Das<br />
Failover zwischen synchronen Replika<br />
in einer AlwaysOn-Hochverfügbarkeitsgruppe<br />
erfolgt vollautomatisch.<br />
Asynchrone Replika eignen sich nur für<br />
manuelles Failover. Dafür können sie<br />
sich in verschiedenen Datencentern<br />
befinden und auf völlig verschiedener<br />
Hardware laufen.<br />
Microsoft führte die AlwaysOn-Hochverfügbarkeitsgruppen<br />
in SQL Server<br />
2012 ein und hat diese Technologie<br />
in der Version 2014 ausgebaut. SQL<br />
Server 2014 bietet nun Unterstützung<br />
für insgesamt acht statt der zuvor unterstützten<br />
vier Sekundärreplikas. In<br />
Multi-Site-Umgebungen bleiben diese<br />
erstmals auch dann lesbar, wenn sich<br />
die Verbindung zum primären Server<br />
nicht herstellen lässt. Den größten<br />
Nutzen ziehen daraus diejenigen Unternehmen,<br />
die ihre Hochverfügbarkeitsgruppen<br />
in verschiedenen geografisch<br />
verteilten Datencentern aufstellen.<br />
Asynchrone Replika können die primären<br />
Instanzen entlasten, indem sie einen<br />
Teil der Lesezugriffe übernehmen.<br />
Erstmals in SQL Server 2014 besteht<br />
die Möglichkeit, die Belastung der<br />
Hochverfügbarkeitsgruppe mit einem<br />
Lastverteiler zu verwalten.<br />
SQL Server 2014 integriert sich nahtlos<br />
mit Windows Azure. Benutzer von SQL<br />
Server in der Microsoft-Wolke können<br />
SQL Server 2014 als eine synchrone sekundäre<br />
Replika für die Azure-Dienste<br />
nutzen. Auch das umgekehrte Szenario<br />
ist vorgesehen: Wer SQL Server im Haus<br />
einsetzt, kann seine Datenbanken auf<br />
Windows Azure asynchron replizieren,<br />
um im Notfall ein manuelles Failover zu<br />
veranlassen.<br />
AlwaysOn-Hochverfügbarkeitsgruppen<br />
erfordern leider die Edition Enterprise<br />
sowohl in SQL Server 2012 als auch in<br />
2014. Die Datenbankspiegelung, die<br />
voraussichtlich in der nächsten Version<br />
nach SQL Server 2014 entfällt, war auch<br />
in der Edition Standard verfügbar. Es ist<br />
daher bedauerlich, dass Microsoft der<br />
Standard-Edition von SQL Server 2012<br />
und 2014 nicht einmal die geringste<br />
Ausbaustufe von AlwaysOn-Hochverfügbarkeitsgruppen<br />
spendiert hat. Der<br />
Wegfall von Hochverfügbarkeitstechnologien<br />
in der Edition Standard bedeutet<br />
also praktisch eine schleichende<br />
Preiserhöhung. Daher sehen sich viele<br />
Anwender von SQL Server gezwungen,<br />
alternative Lösungen in Betracht zu<br />
ziehen.<br />
Hybride Einsatzszenarien<br />
Die Migration „in die Wolke“ schien eine<br />
Zeit lang ein eindeutiger Trend. Seit Industriespionage<br />
und der NSA-Skandal<br />
in die Schlagzeilen gerieten, hat die<br />
Datensicherheit verstärkt an Relevanz<br />
gewonnen. On-Premises-Hosting und<br />
Co-Location in einem Datencenter blei-<br />
n Hochverfügbarkeit als ein Service<br />
AWS-Anwendern mit Bedarf an Hochverfügbarkeit des SQL Servers, die<br />
auf ihr Budget achten müssen, steht noch eine andere Lösung zur Verfügung:<br />
Amazons RDS-Dienste für SQL Server.<br />
Die astronomischen Kosten der Hochverfügbarkeit und horizontaler<br />
Skalierbarkeit von SQL Server haben einige Anbieter dazu veranlasst,<br />
ihre eigenen Cloud-Dienste mit diesen Fähigkeiten bereitzustellen. Zu<br />
den Pionieren zählt Amazon mit RDS.<br />
Bei RDS übernimmt Amazon die Verantwortung für die Datenintegrität<br />
mit automatischen Backups der gesamten RDS-Instanz (täglich) und automatischen<br />
Sicherheitskopien der Transaktions-Logs (alle 5 Minuten).<br />
Beim Ausfall der Instanz aufgrund eines Hardwarefehlers erfolgt ein automatisches<br />
Failover. Der Benutzer kann außerdem nach Bedarf eigene<br />
Snapshots der Datenbank anlegen und diese manuell restaurieren.<br />
Allerdings gestattet Amazon Nutzern in RDS weder einen Zugriff auf das<br />
Dateisystem ihrer RDS-Instanzen noch den Zugang über eine Remote-<br />
Desktop-Verbindung noch den Einsatz von Tools eines Drittanbieters –<br />
alles gute Gründe, warum erfahrene SQL-Server-Administratoren Amazons<br />
RDS aus dem Weg gehen. Funktionen wie der Log-Versand oder Windows-Authentifizierung<br />
mit Active Directory sind ebenfalls vom Tisch. Dafür<br />
darf sich der Benutzer der intuitiven Skalierbarkeit von RDS erfreuen.<br />
VMware versucht, mit dem vFabric Data Director [3] die Unzulänglichkeiten<br />
von RDS auszugleichen, indem der Benutzer seine Windows-<br />
Instanz in Eigenregie einrichtet. Auch Microsoft bietet einen eigenen<br />
Dienst: Windows Azure SQL Database (WASD)[6]. Der Dienst bietet<br />
leider nicht den vollständigen Funktionsumfang von SQL Server und hat<br />
unter anderem die Datenbankpartitionierung, den Resource Governor,<br />
den Service Broker, CLR und viele andere Features weggelassen. Nicht<br />
allen Anwendern ist mit einem derart beschnittenen Funktionsumfang<br />
wirklich gedient.<br />
Tipp: Wer mit SQL Server 2014 auf die Probefahrt gehen möchte,<br />
kann die Tryout-Version [1] in AWS auf einer ganz gewöhnlichen EC2-<br />
Instanz von Windows Server installieren. Sie können hierzu sogar eine<br />
Spot-Instanz starten, denn das senkt die Kosten gegenüber einer On-<br />
Demand-Instanz oft um den Faktor zehn. Bestehende Nutzer von SQL<br />
Server können beim Wechsel in die Wolke ihre existierenden Lizenzen in<br />
der Regel mitnehmen und weiter verwenden, sofern sie über ein aktives<br />
Abonnement von Software Assurance verfügen (siehe [2]). Den SQL<br />
Server 2014 können Sie außerdem auch direkt auf Azure ausprobieren.<br />
Hierzu wählen Sie beim Zugriff auf die Tryout-Version [1] die Option<br />
»Preview SQL Server 2014 CTP1 on Azure«.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Know-how<br />
Microsoft SQL Server<br />
47<br />
ben für viele Unternehmen immer noch<br />
der bevorzugte Weg.<br />
Der On-Premises-Einsatz ist genau das<br />
Gegenteil einer Public Cloud: Er bietet<br />
die ultimative Kontrolle über die Datensicherheit<br />
und verursacht dafür höhere<br />
Kosten: Hard- und Software, Personalkosten,<br />
die Internetanbindung und so<br />
weiter. Gilt es, die verfügbare Leistung<br />
heraufzuskalieren, stehen dem betroffenen<br />
Unternehmen Neuanschaffungen<br />
ins Haus. Es gibt auch keine praktikable<br />
Möglichkeit, überschüssige Kapazitäten<br />
anderen zugänglich zu machen, damit<br />
sich die Investition schneller zurückzahlt.<br />
In einem On-Premises-Szenario sind<br />
AlwaysOn-Failover-Cluster-Instanzen<br />
in der Edition Standard von SQL Server<br />
mit SAN-Speicher eine gangbare Option.<br />
In der Wolke sieht es anders aus.<br />
Hochverfügbarkeit in der<br />
Wolke<br />
Beim Einsatz von SQL Server in einer<br />
virtualisierten Umgebung einer Cloud<br />
lassen sich Kostensenkungen gegenüber<br />
dem On-Premises-Einsatz in Höhe<br />
von bis zu 80% erzielen. Virtualisierung<br />
bringt jedoch zusätzliche Ausfallrisiken<br />
der Infrastruktur mit sich. Umso größer<br />
ist der Bedarf nach Hochverfügbarkeitslösungen<br />
in der Wolke. Leider sind<br />
diese gerade bei SQL Server nicht so<br />
leicht zu implementieren.<br />
Ein gutes Beispiel ist AWS (Amazon Web<br />
Services, der führende IaaS-Dienstleister).<br />
AWS bietet zwei Lösungen für<br />
SQL Server: EC2/VPC (Elastic Compute<br />
Cloud/Virtual Private Cloud) und einen<br />
schlüsselfertigen Dienst namens RDS<br />
(Relational Database Service). Beide<br />
Dienste unterstützen auch andere<br />
Datenbanken, darunter MySQL und<br />
Oracle.<br />
Unternehmen, die nun ihre MS-SQL-<br />
Server-Umgebung mit Failover-Cluster-<br />
Instanzen in die AWS-Wolke migrieren<br />
und in EC2/VPC implementieren möchten,<br />
erwartet leider eine böse Überraschung:<br />
Der Einsatz von AlwaysOn-<br />
Failover-Cluster-Instanzen erfordert<br />
nämlich die Konfiguration von zwei<br />
EC2-Instanzen in demselben Subnetz<br />
oder die Verwendung gemeinsam genutzten<br />
SAN-Speichers. Keines dieser<br />
beiden Szenarien lässt sich derzeit auf<br />
AWS umsetzen. Der in EC2/VPC einzige<br />
unterstützte Weg zur Hochverfügbarkeit<br />
mit SQL-Servern besteht im Einsatz<br />
von AlwaysOn-Hochverfügbarkeitsgruppen<br />
in der Ausbaustufe Edition<br />
Enterprise.<br />
SQL Server in EC2/VPC<br />
Amazons Infrastruktur ist in jeder<br />
Region in Verfügbarkeitszonen (Availability<br />
Zones oder kurz AZ) unterteilt.<br />
Der Ausfall einer Zone beeinflusst nicht<br />
die Verfügbarkeit der Infrastruktur<br />
einer anderen Zone. Die Latenzzeiten<br />
zwischen den verschiedenen Zonen innerhalb<br />
einer Region sind sehr gering.<br />
Daher eignet sich diese Architektur zum<br />
Aufbau einer AlwaysOn-Verfügbarkeitsgruppe<br />
mit SQL Server Enterprise.<br />
Eine erfolgreiche Installation von SQL<br />
Server mit AlwaysOn-Hochverfügbarkeitsgruppen<br />
erfordert typischerweise<br />
die folgenden Komponenten (hier am<br />
Beispiel von Amazons AWS in einem<br />
VPC mit Subnetzen in zwei unterschiedlichen<br />
Verfügbarkeitszonen):<br />
n mindestens zwei SQL-Server-Instanzen,<br />
also 4 x 2 Lizenzen von SQL Server<br />
Enterprise (SQL Server-Lizenzen<br />
gibt es für je 2 virtuelle Cores; die<br />
kleinste unterstützte Instanz benötigt<br />
also für ihre vier Cores zwei SQL-<br />
Server-Lizenzpakete),<br />
n ein Windows Server Failover Cluster<br />
(WSFC) mit zwei WSFC-Nodes (je ein<br />
Node pro Verfügbarkeitszone), die<br />
jeweils eine der beiden Installationen<br />
von SQL Server hosten,<br />
n zwei Windows-Server-Instanzen mit<br />
Active Directory (je eine pro Verfügbarkeitszone),<br />
n zwei Instanzen als Zwischenstelle für<br />
administrativen Zugang mittels Remote<br />
Desktop Gateway (je eine pro<br />
Verfügbarkeitszone),<br />
n zwei NAT-Instanzen mit Linux für<br />
administrativen Zugang zur Infrastruktur<br />
des VPC in der jeweiligen<br />
Verfügbarkeitszone.<br />
Diese Konfiguration unterstützt automatisches<br />
Failover zwischen zwei<br />
WSFC-Nodes in zwei unterschiedlichen<br />
Verfügbarkeitszonen einer Region.<br />
Microsoft bietet übrigens eine eigene<br />
Alternative zu Amazon EC2: Windows<br />
Azure Virtual Machines. Genauso wie<br />
im Falle von Amazon kann der Benutzer<br />
auch hier seine eigenen Lizenzen<br />
von SQL Server auf einer Instanz von<br />
Windows Server einrichten oder eine<br />
der vorinstallierten Instanzen samt der<br />
mitgelieferten Lizenzen pro Stunde<br />
mieten.<br />
Fazit<br />
In SQL Server 2014 sind alle modernen<br />
Hochverfügbarkeitsfeatures – also<br />
solche, für die Microsoft eine Zukunft<br />
vorsieht – den Anwendern der Edition<br />
Enterprise vorbehalten. Es scheint, als<br />
ob Microsoft mit jeder neuen Edition<br />
den Funktionsumfang von SQL Server<br />
Standard weiter limitiert. Anwender<br />
der Standard-Edition bekommen immer<br />
weniger CPU-Leistung und immer<br />
weniger Arbeitsspeicher vergönnt; auf<br />
dringend benötigte Features wie etwa<br />
einen Nachfolger der Datenbankspiegelung<br />
brauchen sie gar nicht erst zu<br />
hoffen.<br />
Anwender der Standard-Edition stecken<br />
somit in einer Klemme, denn die<br />
Lizenzkosten der Enterprise-Edition<br />
sind für kleinere Unternehmen kaum zu<br />
rechtfertigen. Drittanbieter wie Amazon<br />
mit RDS und VMware mit vFabric Data<br />
Director versuchen, diese Lücke zu<br />
schließen, doch ihre Lösungen lassen<br />
bis jetzt noch eine Menge zu wünschen<br />
übrig.<br />
Inzwischen scheint sich Microsoft zu<br />
bemühen, Benutzer der Enterprise-Edition<br />
mit neuen Features zu verwöhnen.<br />
Die robuste AlwaysOn-Hochverfügbarkeit<br />
unter Verwendung von bis zu acht<br />
lesbarer Sekundärreplikas für einen<br />
hybriden Produktionseinsatz zwischen<br />
On-Premises-Umgebungen und der<br />
Wolke zählt klar zu den momentan<br />
begehrtesten Features von SQL Server<br />
2014 und bietet den Anwendern der<br />
Enterprise-Version einen klaren Wettbewerbsvorteil.<br />
(jcb) n<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30211<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
48<br />
Know-how<br />
Logstash<br />
Log-Management mit Logstash<br />
Die Nadel im Heu<br />
Logs können sich als Retter erweisen oder als nutzloser Datenmüll. Alles hängt davon ab, ob man die richtigen<br />
Hinweise finden und vielleicht sogar systemübergreifende Zusammenhänge erkennen kann. Ein<br />
nützlicher Helfer beim Management der Logs ist das Tool Logstash. Bernd Erk<br />
Schon auf einem kleinen LAMP-Server<br />
steht man einer Vielzahl an Logfiles<br />
gegenüber, die bei Problemen durchsucht<br />
werden müssen. Neben den<br />
vielen Standard-Logs des Systems wie<br />
»syslog« oder »mail.log« schreiben<br />
Dienste wie Apache und MySQL noch<br />
zusätzlich fleissig weitere Einträge in<br />
ihre Logs. Kann man das betroffene<br />
Subsystem bei Problemen bereits<br />
isolieren, ist schon ein großer Schritt<br />
getan. Ein MySQL-Fehler lässt sich dann<br />
bereits sicher finden, wenn man weiß,<br />
wann er ungefähr aufgetreten ist. Wird<br />
die eigene Web-Applikation allerdings<br />
auf der Basis eines Tomcat im Multi-<br />
Node-Cluster ausgeliefert, ist es schon<br />
deutlich schwieriger, die richtige Stelle<br />
im Log zu finden.<br />
Richtig kompliziert wird es dann, wenn<br />
ein Fehler seine Spuren in den Logs<br />
über mehrere Komponenten und Systeme<br />
hinweg hinterlässt, aber genaue<br />
Informationen über Zeit und Fehlerquelle<br />
fehlen. Spätestens dann geht<br />
dem Admin mit normalen Bordmitteln<br />
schnell die Luft aus und der Suchaufwand<br />
steigt exponentiell an. Die diversen<br />
Log-Informationen von verschie-<br />
denen Systemen zeitlich und inhaltlich<br />
richtig auszuwerten, setzt dann voraus,<br />
dass man sich im Vorfeld bereits mit<br />
den verschiedenen Quellen, Formaten<br />
und Inhalten auseinandergesetzt hat.<br />
Wer dabei im Vorhinein Zeit in ein Tool<br />
wie Logstash investiert hat, wird jetzt<br />
schnell mit einer erstklassigen Analyse<br />
und einem schnellen Zugriff auf aktuelle<br />
und historische Daten belohnt.<br />
Ordnung ist das halbe Leben<br />
Auf seine Grundfunktion reduziert ist<br />
Logstash [1] eine netzwerkfähige Pipe<br />
mit verschiedenen Filtermöglichkeiten.<br />
Seine Aufgabe besteht darin, Meldungen<br />
aus verschiedenen Inputs zu empfangen,<br />
zu filtern und dann an einen<br />
oder mehrere Outputs weiterzuleiten.<br />
Logstash kümmert sich bewusst nur<br />
um die Steuerung und Filterung der<br />
verschiedenen Kanäle, aber nicht um<br />
deren Speicherung. Für das kurzfristige<br />
Caching von Events, die Indizierung<br />
und Langzeitspeicherung von Log-<br />
Informationen setzt Logstash auf zwei<br />
weitere Open-Source-Komponenten.<br />
Für die kurzzeitige Speicherung und<br />
Vermittlung von Events verbindet sich<br />
Logstash als Ein- und Ausgabekanal mit<br />
Redis [2]. Redis hat in einer der letzten<br />
Versionen RabbitMQ abgelöst, das<br />
früher diese Funktion übernahm, und<br />
dient als speicherbasierter Key-Value-<br />
Store. Redis selbst hat keine externen<br />
Abhängigkeiten und dient im Zusammenspiel<br />
mit Logstash als Broker für<br />
die verschiedenen Eingangskanäle.<br />
Diese Entkopplung des Datenflusses ist<br />
aus zwei Gesichtspunkten von großer<br />
Bedeutung. Zum einen stellt es die<br />
schnelle Annahme der verschiedenen<br />
Log-Shipper sicher und verhindert so<br />
einen möglichen Engpass bei der Zulieferung<br />
von Log-Informationen. Zum<br />
anderen speichert es bei Ausfall oder<br />
Überlastung der weiterverarbeitenden<br />
Logstash-Instanz(en) alle Daten so<br />
lange, bis die Instanzen ordnungsgemäß<br />
weiterarbeiten können. Stoppt<br />
die Redis-Instanz oder startet sie neu,<br />
lassen sich die Daten im Filesystem<br />
zwischenspeichern, damit die Log-<br />
Informationen lückenlos bleiben.<br />
Um Log-Daten zu indizieren oder<br />
langfristig zu archivieren, bedient sich<br />
Logstash der Dienste von ElasticSearch.<br />
ElasticSearch [3] ist ein Open-Source-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Know-how<br />
Logstash<br />
49<br />
Abbildung 1: Logstash in der Architektur-Übersicht.<br />
Suchserver auf Basis von Apache Lucene<br />
[4], der die Log-Informationen<br />
speichert, indiziert und eine schnelle<br />
Suche via REST-Interface ermöglicht.<br />
ElasticSearch bringt alles mit, was<br />
zur Skalierung und Verteilung der<br />
Daten notwendig ist, ist performant<br />
und leicht bedienbar. Bei der ersten<br />
Speicherung von Log-Informationen<br />
kümmert sich ElasticSearch automatisch<br />
um die Erzeugung des benötigten<br />
Daten-Schemas.<br />
ElasticSearch erlaubt die Administration<br />
und Konfiguration nahezu<br />
aller relevanten Parameter ebenfalls<br />
via REST-Interface. Wer eine visuelle<br />
Konfiguration vorzieht, kann zu freien<br />
Alternativen wie ElasticHQ [5] greifen.<br />
Die Verwendung von Logstash setzt<br />
grundsätzlich kein tieferes Know-how<br />
im Umgang mit ElasticSearch voraus.<br />
Wer bereits zu Beginn mit größeren<br />
Datenmengen konfrontiert ist und die<br />
Hochverfügbarkeit der Log-Informationen<br />
gewährleisten muss, dem sei eine<br />
Einarbeitung in die verschiedenen Begrifflichkeiten<br />
wie Nodes, Shards und<br />
Replicas dringend empfohlen.<br />
Die offizielle Installationsdokumentation<br />
[6] von ElasticSearch ist für kleine<br />
Umgebungen absolut ausreichend und<br />
simpel, jedoch in Bezug auf die angesprochenen<br />
verteilten Umgebungen<br />
etwas dünn. Leider gibt auch die verfügbare<br />
Fachliteratur an dieser Stelle<br />
nicht viel her und so bleibt einem bei<br />
Bedarf externe Unterstützung oder die<br />
Recherche im Web [7].<br />
Zusammen ergeben diese verschiedenen<br />
Komponenten eine skalierbare, flexible<br />
und verlässliche Gesamtarchitektur<br />
(Abbildung 1), die vielen kommerziellen<br />
Alternativen wie beispielsweise<br />
Splunk ebenbürtig, wenn nicht sogar<br />
überlegen ist.<br />
Log-Verarbeitung<br />
Die Inbetriebnahme ist absolut problemlos.<br />
Mit Ausnahme von Redis können<br />
alle Komponenten sofort nach dem<br />
Download entpackt und gestartet werden.<br />
Bei ElasicSearch ist hier lediglich<br />
der Aufruf von »bin/elasticsearch« notwendig<br />
und der Suchserver ist wenige<br />
Sekunden später verfügbar. Logstash<br />
selbst wird ebenfalls als auf JRuby basierende<br />
Java-Applikation ausgeliefert<br />
und ist nach Aufruf von<br />
java ‐jar Logstash‐x.x.x‐flatjar.jar U<br />
agent ‐f logstash‐config.conf<br />
bereit. Wer kein passendes Paket für<br />
Redis findet, muss nach Ausführung<br />
von »make« und »make install« ebenfalls<br />
nur das Binary »redis‐server« starten<br />
und fertig. Für den etwas eleganteren<br />
Betrieb mittels Service-Skript stehen<br />
bei allen Projekten entsprechende<br />
Wrapper-Skripte zur Verfügung.<br />
Die Anlieferung, das sogenannte Log-<br />
Shipping, kann mit Logstash selbst,<br />
Lumberjack oder einem Standardmechanismus<br />
wie etwa Syslog erfolgen.<br />
Listing 1 liest ein Apache-Access-Log<br />
aus der beschriebenen Input-Source<br />
und leitet dieses an eine lokale Redis-<br />
Instanz weiter. Ebenfalls zu erkennen<br />
ist, dass die Daten zusätzlich als Debug-Messages<br />
ausgegeben werden.<br />
Nach dem Start von Logstash werden<br />
alle Informationen des Apache-Access-<br />
Files an Redis übertragen und bis zur<br />
Weiterverarbeitung zwischengespeichert.<br />
Logstash kümmert sich selbstständig<br />
um die richtige Fileposition und<br />
Log-Rotation und wartet am Ende auf<br />
die Aktualisierung der Datenquelle.<br />
Mit einer zweiten Logstash-Konfiguration<br />
(Listing 2) werden die Daten aus<br />
dem Redis-Server gelesen und direkt in<br />
ElasticSearch geschrieben. Wichtig ist<br />
an dieser Stelle der entsprechende key<br />
(»logstash.apache«), der den expliziten<br />
Zugriff auf die in der vorherigen Instanz<br />
erstellten Informationen ermöglicht.<br />
Dieses einfache Beispiel ist selbstverständlich<br />
auch in einer Konfiguration<br />
kombinierbar und ermöglicht die direkte<br />
Übertragung der Apache-Logs zu<br />
ElasticSearch. Da Redis für eine Vielzahl<br />
an Log-Lieferanten als Eingangskanal<br />
dienen kann und wie bereits oben<br />
erwähnt eine entkoppelte Zwischenspeicherung<br />
möglich macht, ist dessen<br />
Verwendung jedoch zu favorisieren.<br />
Für die Verarbeitung diverser Datenquellen<br />
unterstützt Logstash nahezu<br />
alle gängigen Formate [9]. Besonders<br />
elegant und einfach ist der integrierte<br />
Grok-Filter [10], der ein breites Set an<br />
Basis-Patterns für die Filterung von<br />
n Listing 1: Beispiel Access-Log<br />
01 input {<br />
02 file {<br />
03 path => "/root/medialinx/demodata/access.<br />
log.1<br />
04 type => "apache‐access"<br />
05 }<br />
06 }<br />
07 output {<br />
08 stdout {<br />
09 debug => true<br />
10 }<br />
11 redis {<br />
12 host => "127.0.0.1"<br />
13 data_type => "list"<br />
14 key => logstash.apache"<br />
15 }<br />
16 }<br />
n Listing 2: Daten in ElasticSearch<br />
01 input {<br />
02 redis {<br />
03 host => "127.0.0.1"<br />
04 type => "redis‐input"<br />
05 data_type => "list"<br />
06 key => logstash.apache<br />
07 format => "json_event"<br />
08 }<br />
09 }<br />
10 output {<br />
11 elasticsearch {<br />
12 host => "127.0.0.1"<br />
13 }<br />
14 }<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
50<br />
Know-how<br />
Logstash<br />
Abbildung 2: Das neue ansehnliche Web-Interface Kibana 3 von Logstash.<br />
Logs und deren Inhalten zur Verfügung<br />
stellt. So können unstrukturierte Log-<br />
Informationen in Form gebracht und<br />
harmonisiert werden, um die spätere<br />
Weiterverarbeitung zu erleichtern.<br />
Andere Filter erlauben auch Veränderungen<br />
oder Ergänzungen. Der GeoIP-<br />
Filter fügt beispielsweise auf Grundlage<br />
von IP-Adressen die jeweiligen Geo-<br />
Informationen hinzu. Diese werden<br />
ebenfalls gespeichert und erlauben am<br />
Beispiel eines Apache-Logs eine regionale<br />
Auswertung von Seiten-Zugriffen.<br />
Besondere Erwähnung verdient an<br />
dieser Stelle auch noch der Multline-<br />
Filter, der aufbauend auf Patterns eine<br />
zeilenübergreifende Strukturierung von<br />
Log-Informationen ermöglicht. So können<br />
etwa alle Zeilen des Stack Traces<br />
zu einem Event zusammengefasst werden,<br />
was sowohl die spätere Analyse<br />
als auch die Anwendung zusätzlicher<br />
Filter vereinfacht.<br />
Visualisierung<br />
Bis zur Version 1.2 verfügte Logstash<br />
über ein durchaus gruseliges Web-<br />
Interface, das zwar die rudimentäre<br />
Suche in ElasticSearch ermöglichte,<br />
jedoch keine Speicherung spezifischer<br />
Sichten und Filter erlaubte. Bereits seit<br />
einiger Zeit wurde in der Community<br />
ein alternatives Interface mit dem<br />
Namen Kibana 3 entwickelt, was nun<br />
endlich als fester Teil von Logstash ausgeliefert<br />
wird (Abbildung 2).<br />
Kibana 3 ist eine auf Javascript basierende<br />
Weboberfläche, welche direkt<br />
mit dem REST-Interface von Elastic-<br />
Search kommuniziert. Das Interface<br />
lässt sich mit<br />
java ‐jar Logstash‐1.2.x‐flatjar.jar web<br />
starten und ist per Default unter dem<br />
Port 9292 erreichbar. Die einzelnen<br />
Elemente des Dashboards lassen sich<br />
frei konfigurieren. Anschließend stehen<br />
die eigenen Filter und Dashboards allen<br />
anderen Anwendern dieser Instanz zur<br />
Verfügung. Die entsprechenden Datentypen<br />
werden in Kibana automatisiert<br />
gruppiert und lassen sich mithilfe des<br />
Interfaces schnell filtern (Abbildung<br />
3) und analysieren. Die Vielzahl von<br />
Panel-Types mit Diagrammen, Listen<br />
und Charts macht den Einstieg in das<br />
Customizing anfangs etwas schwierig,<br />
ist aber in sich konsistent. Nach einiger<br />
Zeit lassen sich neue Dashboards in wenigen<br />
Minuten zusammenstellen. Durch<br />
den direkten Zugriff auf ElasticSearch<br />
ist die Oberfläche auch in Umgebungen<br />
mit Logfiles im Terabyte-Bereich rasend<br />
schnell und macht einfach Spass.<br />
Eine weitere Möglichkeit der Visualisierung<br />
ist die Weitergabe von Informationen<br />
an Graphite. Nachdem man<br />
manuell Files erzeugt hat, kann man<br />
mithilfe der Ausgaben von »statsd«<br />
[11] mit Graphite Verbindung aufnehmen.<br />
Statsd ist ein Node.js-basierter<br />
Aggregationsserver, der verschiedene<br />
Events verarbeitet und anschließend<br />
an Graphite weitergeben kann. Listing<br />
3 macht es etwas klarer: Hier werden<br />
Response-Codes mit Werten für Increment<br />
und Count an Statsd übergeben.<br />
In der Folge legt Graphite für alle<br />
übertragenen Namespaces Counter<br />
an (Abbildung 4), die dann in Graphen<br />
eingebunden und visualisiert werden<br />
können. In Reihe geschaltet ergibt sich<br />
daraus ein Echtzeit-Monitoring auf alle<br />
aktuellen Response-Codes der zuliefernden<br />
Webserver. Ein solches Adhoc-<br />
Reporting der Log-Daten ermöglicht<br />
nicht nur eine schnelle Identifikation<br />
von Engpässen, sondern reichert auch<br />
klassische Performance-Daten aus dem<br />
Monitoring mit zusätzlicher Qualität<br />
an. Übrigens gibt es auch einen Nagios-<br />
Output für die Weiterleitung von Events<br />
an Nagios und Icinga.<br />
Analyse ohne Grenzen<br />
Durch die lose Kopplung der einzelnen<br />
Komponenten lassen die sich über<br />
Abbildung 3: Filtern von Daten in Kibana 3.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Know-how<br />
Logstash<br />
51<br />
verschiedene Infrastrukturbereiche hinweg<br />
verbinden. Die in Version 1.2 hinzugekommene<br />
konditionelle Verarbeitung<br />
erlaubt nun auch die regelbasierte<br />
Weiterleitung von Log-Informationen<br />
an verschiedene Outputs. Somit können<br />
mittels Filtern und Patterns Nachrichten<br />
auf Applikationsebene herausgesucht<br />
und weiterverarbeitet werden.<br />
Seine volle Stärke spielt Logstash<br />
zusammen mit Tools wie Graphite,<br />
Statsd, ElasticSearch und natürlich<br />
auch Nagios und Icinga aus. Für alle<br />
Abbildung 4: Graphite bietet eine weitere<br />
Möglichkeit der Visualisierung.<br />
diese Komponenten gibt es stabile<br />
Module, genauso wie für die Integration<br />
mit Chef oder Puppet, die den Rollout<br />
von Logshippern und Agents erleichtern.<br />
Auch die Konfiguration des Syslog-Inputs<br />
ist einfach und erlaubt die<br />
Zusammenführung der notwendigen<br />
Log-Informationen ohne zusätzliche<br />
Komponenten.<br />
Da der Logstash-Entwickler Jordan<br />
Sissel vor einigen Tagen von der Firma<br />
ElasticSearch angeheuert wurde, ist<br />
auch in Richtung Suchserver-Integration<br />
in der nächsten Zeit noch einiges<br />
zu erwarten.<br />
Durch viele vorhandene Konfigurationsbeispiele<br />
und eine lückenlose<br />
Dokumentation ist der Einstieg in<br />
Logstash in kurzer Zeit möglich. Schnell<br />
fragt man sich, wie man bisher ohne<br />
Logstash leben konnte. Die erste Projektgrundsatz<br />
von Logstash beschreibt<br />
das treffend: „If a newbie has a bad<br />
time, it’s a bug“. (jcb)<br />
n<br />
n Listing 3: »statsd«<br />
01 statsd {<br />
02 type => "apache‐access"<br />
03 host => "localhost"<br />
04 port => 8125<br />
05 namespace => "logstash"<br />
06 debug => false<br />
07 increment => "apache.%{sitename}.<br />
response.%{response}<br />
08 count => ["apache.%{sitename}.bytes",<br />
"%{bytes}"]<br />
09 }<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30622
54<br />
Test<br />
Small Business Server<br />
Linux-Small-Business-Server mit deutschen Wurzeln<br />
Stets zu Diensten<br />
Seit Microsoft seinen Small Business Server 2011 eingestampft hat, versuchen Anbieter solcher Server, die auf<br />
Linux basieren, aus diesem Umstand Kapital zu schlagen und argumentieren vor allem mit niedrigen Kosten. Der<br />
NSA-Skandal fügt dem Thema nun noch eine Facette hinzu. Dieser Beitrag rückt mit dem Univention Corporate<br />
Server 3.1-1 und dem Intranator Business Server 6.0.3 zwei deutsche Anbieter ins Rampenlicht. Thomas Drilling<br />
alexmit, 123RF<br />
Von den rund zwei Millionen in<br />
Deutschland registrierten Unternehmen<br />
gehören rund 1,5 Millionen der<br />
Betriebsgröße SMB (Small Business)<br />
mit einem bis zehn Mitarbeitern an: ein<br />
riesiger Markt für Softwarehersteller<br />
und IT-Dienstleister. Bis 2011 war diese<br />
Gruppe fest in der Hand von Microsoft.<br />
Die Firma bot mit ihrem Small Business<br />
Server ein auf die Bedürfnisse kleiner<br />
Unternehmen abgestimmtes Bundle<br />
aus Windows Server und MS Exchange.<br />
Wechselzwang<br />
Inzwischen dürfte sich herumgesprochen<br />
haben, dass die Redmonder mit<br />
Einführung ihres als Cloud-Betriebssystem<br />
angepriesenen Windows Server<br />
2012 den bei kleinen Unternehmen<br />
beliebten Small Business Server (SBS)<br />
eingestellt haben. Dieser Zielgruppe<br />
soll stattdessen die abgespeckte Version<br />
Server 2012 Essentials schmackhaft<br />
gemacht werden. Deren Funktionsumfang<br />
ist in etwa mit dem inzwischen<br />
ebenfalls eingestellten SBS Essentials<br />
vergleichbar.<br />
Die Strategie hinter dieser<br />
Produktpolitik ist klar: Das<br />
Fehlen von Exchange oder<br />
Sharepoint in Server 2012<br />
Essentials soll Kunden<br />
animieren, Zusammenarbeitsfunktionen<br />
über<br />
die Cloud, konkret Office<br />
365, nachzurüsten. Das<br />
zwänge zum Erwerb zusätzlicher<br />
Exchange- und<br />
Sharepoint-Lizenzen. Da<br />
die Grenze bereits enthaltener<br />
»Client Access<br />
Licenses« (CALs) beim<br />
Essentials-Server lediglich<br />
bei 25 Benutzern<br />
liegt – im Vergleich zu 75<br />
enthaltenen im alten SBS<br />
– kann Microsoft weitere<br />
Mehreinnahmen einkalkulieren.<br />
Wer Groupware<br />
und E-Mail-Services weiterhin<br />
auf eigener Hardware<br />
betreiben will, muss<br />
wohl oder übel einen zusätzlichen<br />
MS-Exchange-<br />
Server kaufen.<br />
Small Business und IT<br />
Hersteller von Linux-basierenden SBS-<br />
Alternativen greifen in der Regel nicht<br />
zu unrecht das Kostenargument auf.<br />
Renommierte Marktforschungsinstitute<br />
und Analysten wie McKinsey&Company<br />
oder das auf den SMB-Markt spezialisierte<br />
US-amerikanische Beratungsunternehmen<br />
AMI-Partners [1], das für<br />
Microsoft weltweit Marktanalysen im<br />
KMU-Segment erstellt, bestätigen den<br />
hohen Stellenwert der Kosten, unmittelbar<br />
hinter dem wichtigsten Faktor<br />
»Reduzierung der Komplexität«.<br />
Schnürt man beispielsweise das<br />
Bundle SBS 2011 auf, ergibt sich eine<br />
Kostenexplosion um mindestens den<br />
Faktor vier – rechnet man Lizenzen für<br />
Exchange und Sharepoint ein. Nicht<br />
weniger wichtig ist bei kleinen Unternehmen<br />
die Reduzierung der Komplexität.<br />
Das allein spricht für den Einsatz<br />
eines Small Business Servers, weil der<br />
eine ganze Reihe von Einzelfunktionen<br />
in einem Produkt vereint.<br />
Aus Sicht kleiner Unternehmen ist<br />
die webbasierte Administrierbarkeit<br />
eines Linux-Servers unabdingbar. AMI-<br />
Partners klassifiziert etwa 80 Prozent<br />
aller kleinen Unternehmen hinsichtlich<br />
des Anwendertypus als »hilfsbedürftig«<br />
oder bestenfalls noch »nutzungsorientiert«,<br />
die Denkweise als »unstrukturiert«<br />
und das Kaufverhalten als »reaktiv«,<br />
bestenfalls als »adaptiv«. Gekauft<br />
wird, wenn etwas kaputt geht oder – im<br />
Fall von Software – die Lizenz ausläuft.<br />
Einfachheit<br />
Die von den Herstellern Linux-basierter<br />
SBS-Alternativen gern herausgestellte<br />
einfache Installation wird überbe-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Small Business Server<br />
55<br />
Abbildung 1: Der UCS bringt eine große<br />
Auswahl vordefinierter Gruppen mit, die<br />
das Delegieren administrativer Aufgaben<br />
ermöglichen.<br />
wertet, weil die Installation häufig<br />
ein externer Berater vornimmt. Bleibt<br />
als wichtiges Eingrenzungsmerkmal<br />
neben geringeren Kosten die webbasierte<br />
Administrierbarkeit. Sollen<br />
interne Mitarbeiter für administrative<br />
Funktionen eingespannt werden, ist<br />
die webbasierte Administration essenziell.<br />
Günstig ist in einem solchen Fall,<br />
wenn das Produkt hierzu differenzierte<br />
Systemrollen und/oder entsprechende<br />
Gruppen vorsieht, wie in der Abbildung<br />
1 für den Univention Corporate Server<br />
zu sehen.<br />
Beschränkt man sich angesichts der<br />
Abhöraffäre auf Hersteller, die ihre<br />
Produkte ausschließlich aus Open-<br />
Source-Komponenten zusammenschrauben<br />
und zudem ihren Firmensitz<br />
in Deutschland haben, bieten sich<br />
insbesondere im Hinblick auf die Zielgruppe<br />
SMB der Univention Corporate<br />
Server [2] der Bremer Univention<br />
GmbH und der Intranator Business<br />
Server [3] der Tübinger Intra2Net AG<br />
als einfach installierbare Appliances<br />
an. Der UCS ist ausschließlich als Soft-<br />
Appliance erhältlich ist, während es<br />
den Intranator Business Server auch in<br />
drei verschiedenen Hardware-Varianten<br />
gibt.<br />
Bei beiden Herstellern schließen die<br />
jeweiligen Subskriptionen deutschsprachigen<br />
Support ein, den die Hersteller<br />
auch selbst leisten. Intra2net und Univention<br />
bringen ihre Produkte zudem<br />
(fast) ausschließlich über Partner an<br />
den Mann, wobei die Preisliste [4]<br />
der Tübinger inklusive der Hardware-<br />
Appliances um einiges übersichtlicher<br />
ist als die von Univention [5], obwohl<br />
Univention im Prinzip nur ein einziges<br />
Produkt anbietet.<br />
Fairerweise muss man allerdings anführen,<br />
dass Univentions Corporate<br />
Server als universelle Server-Plattform<br />
wesentlich mehr Funktionen bietet und<br />
allein aufgrund der unterstützten Virtualisierung<br />
ein sperrigeres Lizenzmodell<br />
benötigt. Zudem bietet Univention weit<br />
differenziertere Support-Level. Zu beachten<br />
ist weiter, dass bei Intra2net zu<br />
den Preisen für die Hardware-Appliances<br />
stets die der Software zu addieren<br />
sind (Intra2net bietet neben dem Intranator<br />
Business Server noch die beiden<br />
Produkte Intranator Security Gateway<br />
und Intranator Network Security an).<br />
Beide Distributionen versprechen eine<br />
einfache und benutzerfreundliche Installation,<br />
was sich im Hinblick auf die<br />
Zielgruppe nur zum Teil bestätigt, denn<br />
beide Setup-Assistenten verwenden<br />
einen antik anmutenden Ncurses-Installer.<br />
Der gibt sich zwar sowohl beim<br />
UCS als auch beim IBS mit relativ wenigen<br />
Fragen zufrieden, dürfte Laien aber<br />
trotzdem überfordern.<br />
Intranator unter der Haube<br />
Intra2net stellt eine 30-Tage-Testversion<br />
seines Intranator Business Server<br />
in der zum Testzeitpunkt aktuellen Version<br />
6.0.3 zum Herunterladen [6] zur<br />
Verfügung. Allerdings sollte mit Erscheinen<br />
dieses Heftes bereits die Version<br />
6.1 verfügbar sein. Der IBS-Installer<br />
nimmt dem Nutzer als echte Appliance<br />
zwar das Partitionieren ab, bietet dafür<br />
aber nicht die vom UCS-Installer<br />
gewohnte Flexibilität beim manuellen<br />
Aufteilen der Festplatte. Vielmehr greift<br />
sich IBS stets die komplette Festplatte<br />
und vernichtet etwaige vorhandene<br />
Daten. Der IBS-Installer basiert sichtbar<br />
auf Red Hats Anaconda in der Ncurses-<br />
Version 12.46.<br />
Der IBS basiert im Kern auf einer nicht<br />
näher bezeichneten 32-Bit-RPM-Distribution<br />
mit PAE-Kernel (aktuell 3.4.5).<br />
Intra2net baut jedoch sämtliche Pakete<br />
selbst, pflegt eigenständige Repositories<br />
und kümmert sich auch selbst<br />
und zeitnah um die Patch-Versorgung.<br />
Die aktuelle Paketliste [7] steht öffentlich<br />
zur Verfügung. Das Paketformat<br />
ist RPM. Der Kernel ist ebenfalls ein<br />
Selbstbau.<br />
Updates erscheinen ungefähr alle 6 Wochen,<br />
wobei im Laufe eines Zyklus bei<br />
einzelnen Pakete bekannt werdende<br />
Sicherheitslücken, sofern sie nur intern<br />
ausnutzbar sind, in das jeweils nächste<br />
Update einfließen. Bei schwerwiegenden,<br />
extern ausnutzbaren Lücken gibt<br />
Intra2net auch ein außerordentliches<br />
Update heraus. Beim Patchen von<br />
Sicherheitslücken ist Intra2net nach<br />
eigener Aussage zuweilen schneller als<br />
Red Hat. Um das Einspielen von Updates<br />
kümmern sich ausschließlich die<br />
betreuenden Vertriebspartner.<br />
IBS installieren<br />
Der Installer kommt ohne viel Umschweife<br />
zur Sache, partitioniert nach<br />
Abnicken der Willkommensseite automatisch<br />
die Festplatte und spielt das<br />
Basissystem ein. Das Ganze dauert<br />
kaum fünf Minuten. Nach dem Reboot<br />
muss sich der Admin mit Tab- und<br />
Cursor-Taste durch eine Reihe von<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
56<br />
Test<br />
Small Business Server<br />
Abbildung 2: Das optisch ansprechende Web-Interface erschlägt<br />
sämtliche Konfigurationsaspekte des Intranator Business Server.<br />
Abbildung 3: Univention bringt eine reichhaltige, in Gruppen organisierte<br />
Software-Auswahl mit.<br />
Curses-Dialogen hangeln, die sich der<br />
Hardware-Erkennung, dem Netzwerkkarten-Setup,<br />
dem Netzwerk-Setup und<br />
dem Root-Account widmen.<br />
Eine Zurück-Funktion gibt es nicht, was<br />
besondere Sorgfalt erfordert. Bei der<br />
Konfiguration der Netzwerkkarte ist der<br />
Typ »Intranet (LAN mit NAT)« voreingestellt,<br />
was für die meisten SMB-Setups<br />
passen sollte. Die IP-Adresse ist per<br />
Default mit 192.168.1.254 vorbelegt; die<br />
Netzwerkmaske auf Class-C.<br />
Die Adresse des Routers ermittelt das<br />
System selbst, wenn die IP-Adresse<br />
zum eigenen Netzwerk passend geändert<br />
wurde. Selbstverständlich lassen<br />
sich an dieser Stelle bei Bedarf mehrere<br />
Netzwerkkarten einrichten. Das Netzwerk-Setup<br />
widmet sich den Punkten<br />
DNS und DHCP-Pool. Letzteres kann<br />
man auch deaktivieren.<br />
Abschließend ist nur noch die Adresse<br />
eines externen DNS-Servers oder<br />
die des eigenen Routers anzugeben,<br />
sofern der das Weiterleiten von DNS-<br />
Anfragen übernimmt. Im letzten Punkt<br />
legt der Admin ein Root-Passwort fest<br />
und startet das System dann noch einmal<br />
neu.<br />
An der Konsole kann man sich aus<br />
Sicherheitsgründen nur mit einem<br />
Administrator-Account anmelden, was<br />
aber bis auf Weiteres nicht notwendig<br />
ist. Tut man es dennoch, zeigt der IBS<br />
keinen grafischen Desktop, sondern<br />
das IBS-Hauptmenü, in dem man bei<br />
Bedarf durch Abarbeiten der Punkte<br />
1 bis 9 die Konfigurationsoptionen<br />
korrigieren kann, die schon der Setup-<br />
Assistent abfragte.<br />
Die weitere Konfiguration findet am<br />
Web-Interface statt, das ab jetzt via<br />
SSL unter der angegebenen IP-Adesse<br />
erreichbar sein sollte. Anmelden kann<br />
man sich hier nur mit dem Admin-<br />
Account, dessen Passwort per Default<br />
»admin« lautet und daher unmittelbar<br />
im Menü »Benutzermanager | Benutzer«<br />
geändert werden sollte (Abbildung<br />
2). Bei der Gelegenheit lässt sich auch<br />
gleich ein erster Benutzer anlegen und<br />
im Menü »Informationen | Lizenz« ein<br />
gegebenenfalls vorhandenes Lizenz-<br />
File einspielen.<br />
UCS-Setup<br />
Univention bietet ebenfalls Test-Versionen<br />
seines Corporate Servers wahlweise<br />
als ISO-Image zur Installation<br />
oder als vorkonfiguriertes VM-Image<br />
zum Herunterladen [8] an. Die zugehörige<br />
Test-Lizenz [9] erhält der Tester<br />
nach kostenloser Registrierung. Ferner<br />
gibt es wie beim IBS [10] eine Online-<br />
Demo [11].<br />
Im Gegensatz zum IBS lässt sich Univentions<br />
Corporate Server im privaten<br />
Einsatz für maximal 5 Nutzer ohne Einschränkungen<br />
auch kostenlos nutzen.<br />
Verzichten muss man dann nur auf<br />
Support von Univention. Den gibt es<br />
aber im gut besuchten Forum. Löblich:<br />
die Free-for-Personal-Use-Version [12]<br />
lässt sich nach dem Bestätigen der<br />
Lizenzbedingungen auch ohne die vorgeschlagene<br />
kostenlose Registrierung<br />
direkt [13] herunterladen.<br />
Der Univention Corporate Server basiert<br />
in der aktuellen Version 3.1-1 auf<br />
Debian Wheezy, was dem ebenfalls<br />
Ncurses-basierten Installer aber nicht<br />
anzusehen ist. Bei dem hangelt sich<br />
der Admin ganz klassisch per »Weiter«-<br />
Schaltfläche rechts unten durch die<br />
einzelnen Dialog-Seiten.<br />
Mehrere Reboots wie beim IBS sind<br />
nicht notwendig. Die Dramaturgie ist<br />
logischer als beim IBS, der zuerst Software<br />
einspielt und sich erst danach der<br />
Konfiguration widmet. Kann der Admin<br />
in den ersten Schritten bei Sprache,<br />
Zeitzone und Tastaturlayout noch die<br />
Voreinstellungen übernehmen, ist<br />
in den Folgeschritten Eigeninitiative<br />
gefragt, etwa bei der »Systemrolle«,<br />
wobei die Voreinstellung »Domain Controller<br />
Master« beim ersten zu installierenden<br />
UCS erste Wahl ist.<br />
Die Systemrollen beziehen sich auf<br />
das durchdachte, Verzeichnisdienstbasierte<br />
Identify-Infrastruktur-Management<br />
des UCS: eine herausragende und<br />
wesentliche Eigenschaft der Lösung<br />
von Univention. Auch im Folgeschritt<br />
»Optionen« ist die Initiative eines<br />
Experten gefragt, denn mit den einzutragenden<br />
Werten für Rechnername,<br />
LDAP-Basis oder dem Namen für die<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Small Business Server<br />
57<br />
Abbildung 4: Die Univention Management Console.<br />
Abbildung 5: Das App-Center des Univention-Business-Servers.<br />
Windows-Domäne (bezieht sich auf das<br />
Domänen-Konzept von Windows-NT –<br />
ein UCS kann dank Samba 3.x nämlich<br />
auch Domain Controller in einer klassischen<br />
NT-Domäne sein) dürften Laien<br />
überfordert sein.<br />
Nach dem Festlegen eines Root-Passwortes<br />
widmet sich der Installer dem<br />
Partitionieren und unterbreitet bei einer<br />
leeren oder zur Löschung vorgesehenen<br />
Festplatte einen LVM-basierten<br />
Vorschlag zum automatischen Aufteilen.<br />
Im Gegensatz zum IBS kann der<br />
Admin hier aber manuell eingreifen.<br />
Auch bei der folgenden IP-Konfiguration<br />
ist Fachwissen gefragt; immerhin<br />
ist die Default-Einstellung »manuelle<br />
IP-Konfiguration« und nicht DHCP, was<br />
für einen Server Sinn macht. Optional<br />
kann der Admin hier auch einen externen<br />
DNS oder HTTP-Proxy eintragen.<br />
Nach dem Konfigurieren des Boot-Loaders<br />
widmet sich der UCS-Installer der<br />
Software-Auswahl und bietet Software-<br />
Komponenten in Form von Paketgruppen<br />
an (Abbildung 3).<br />
Ist das erledigt, kann sich der Admin<br />
mit dem im Verlauf der Installation<br />
festgelegten Administrator-Konto via<br />
HTTPS am Web-Portal des UCS anmelden,<br />
das seinerseits mit dem Account<br />
»Administrator« Zugriff auf die Univention<br />
Management Console (UMC) (Abbildung<br />
4) bietet und auf die virtuellen<br />
Apache-Hosts etwaiger unter UCS installierter<br />
Zusatzprodukte verweist, wie<br />
etwa Zarafa.<br />
Das Anlegen eines ersten Benutzers<br />
erfolgt analog zum IBS im Modul Benutzer.<br />
Ein Lizenz-Key lässt sich mit<br />
einem Klick auf das Zahnradsymbol in<br />
der Kopfzeile des Web-Interfaces rechts<br />
neben dem Benutzernamen einspielen.<br />
Klickt man hier auf den Eintrag »Lizenz«<br />
zeigt der Dialog »UCS‐Lizenz« eine<br />
etwaige, bereits vorhandene Lizenz an<br />
und bietet eine Funktion zum Lizenz-<br />
Import.<br />
Wer Apps aus dem App-Center (Abbildung<br />
5) installieren möchte (beispielsweise<br />
OwnCloud oder Zarafa), braucht<br />
auch bei der kostenlosen UCS-Version<br />
trotzdem einen Lizenz-Key für den UCS,<br />
weil es sich hier um Drittanbieterprodukte<br />
handelt. Deren Installation setzt<br />
einen registrierten UCS voraus, weil<br />
Univention dann den jeweiligen Hersteller<br />
mithilfe der Registrierungsdaten<br />
über die Installation und Deinstallation<br />
des Produktes informieren kann.<br />
Dass der Installationsdialog im App-<br />
Center direkt das Herunterladen und<br />
Installieren eines freien UCS-Key anbietet,<br />
ist löblich, funktionierte im Test<br />
aber nicht auf Anhieb. Abhilfe brachte<br />
nach kurzer Recherche im Univention-<br />
Forum die Installation der Demo-App.<br />
Wahlweise kann man sich auch vorab<br />
einen kostenlosen Key von Univention<br />
besorgen und über den gezeigten<br />
Lizenz-Dialog einspielen. Möchte man<br />
etwa Zarafa oder OwnCloud über die<br />
mit den im App-Center (Abbildung 6)<br />
verfügbaren Community-Versionen<br />
einhergehenden Limitierungen, etwa<br />
hinsichtlich der Benutzerzahl, hinaus<br />
einsetzen, besorgt man sich die entsprechende<br />
Lizenzen direkt von Own-<br />
Cloud oder Zarafa.<br />
Intranator Business Server<br />
einsetzen<br />
Funktional ist der Intranator Business<br />
Server ein Small Business Server im<br />
klassischen Sinne der Definition, orientiert<br />
sich also im Wesentlichen an den<br />
Funktionen von Microsoft Exchange<br />
[14] und bietet daher ausschließlich<br />
Groupware-Funktionen sowie mithilfe<br />
von Zusatzprodukten erweiterte<br />
Funktionen für Netzwerk-, Web- und E-<br />
Mail-Sicherheit; auf Wunsch sogar eine<br />
mehrstufige Firewall.<br />
Im Grunde findet sich im Produktbaukasten<br />
von Intra2net alles, was kleine<br />
Unternehmen im Zusammenhang mit<br />
Internet, Intranet und Kollaboration benötigen.<br />
Einen Fileserver gibt es nicht,<br />
weil Intra2net auf dem Standpunkt<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
58<br />
Test<br />
Small Business Server<br />
Abbildung 6: Der Web-Client des IBS basiert auf dem Horde-Framework.<br />
steht, dass gerade in kleinen Unternehmen<br />
durchgängig NAS-Geräte Verwendung<br />
finden und in puncto Fileservices<br />
die Herausforderung ohnehin eher<br />
in einer tragfähigen Backup-Lösung<br />
liegt, als im Bereitstellen von Samba-<br />
Freigaben.<br />
Der IBS enthält dafür eine komplett<br />
selbstentwickelte Groupware-Lösung<br />
auf Basis des Horde-Frameworks<br />
(Horde, Turba, Nag, Mnemo und Kronolith<br />
mit Speicher-Backend für das Kolab-XML-Format).<br />
Als optionales Zusatz-<br />
Produkt ist passend zur Groupware ein<br />
ebenfalls ohne Hilfe von VipCom oder<br />
anderen OpenMAPI-Spezialisten entwickelter<br />
Intranator-Groupware-Client<br />
für Outlook, aktuell in der Version 2.1.2<br />
verfügbar, der sich im Test als sehr<br />
stabil erwiesen hat und sich funktional<br />
nicht hinter Outlook/Exchange verstecken<br />
muss. Einschränkungen gegenüber<br />
einem echten Gespann Exchange/<br />
Outlook gibt es nur wenige [15], wie<br />
etwa die fehlende Journal-Funktion<br />
oder das nicht mögliche Einbinden von<br />
Fotos in Kontakten.<br />
Admins müssen allerdings berücksichtigen,<br />
dass beim Anlegen eines<br />
neuen Outlook-Profils im Gegensatz<br />
zu Zarafa oder Exchange nicht der<br />
Verbindungstyp »MS Exchange« oder<br />
»Zusätzliche Servertypen« zum Einsatz<br />
kommt, sondern schlicht »IMAP«,<br />
wobei der Intranator Business Server<br />
als IMAP-Server eingetragen wird. Das<br />
liegt daran, dass beim verwendeten<br />
Horde-Framework der IMAP-Server als<br />
Speicher-Backend für sämtliche Groupware-Daten<br />
fungiert, während MAPI-<br />
Lösungen wie Zarafa und Exchange ein<br />
Datenbank-basiertes Backend bevorzugen.<br />
Der Horde-Client hinkt aktuellen<br />
HTML5-Web-Clients von Zarafa oder<br />
OX ist in Sachen Optik und Usability<br />
sichtbar hinterher,<br />
ist aber immer noch<br />
einer der funktionsreichsten<br />
Web-<br />
Clients (Abbildung<br />
6). Intra2net unterstützt<br />
übrigens das<br />
Horde-Entwicklerteam<br />
personell und<br />
finanziell.<br />
Abbildung 7: Konfiguration von<br />
ActiveSync unter Android.<br />
Intranator<br />
Groupware-<br />
Client<br />
Der Komfortgewinn<br />
beim Verwenden<br />
des Outlook-Clients<br />
gegenüber dem<br />
Web-Client ist<br />
dennoch immens,<br />
sofern Anwender<br />
Outlook an einem Windows-<br />
Arbeitsplatz nutzen, was bei KMUs<br />
der Normalfall sein sollte. So können<br />
Mitarbeiter beispielsweise individuelle<br />
Ordnerstrukturen, wie etwa ihre lokale<br />
Ordnerstruktur aus beliebigen Server-<br />
Ordnern zusammenstellen. Das funktioniert<br />
sowohl mit eigenen Ordnern als<br />
auch mit Freigaben. Ferner unterstützt<br />
der Groupware-Client alle relevanten<br />
Outlook-Versionen von 2003 bis 2013.<br />
Groupware-Daten lassen sich sogar im<br />
Mischbetrieb mit unterschiedlichen<br />
Versionen problemlos lesen und schreiben.<br />
Außerdem lassen sich Ordner gezielt<br />
nur lokal speichern. Die Synchronisation<br />
ist dann optional.<br />
Die Daten-Synchronisation via Outlook-<br />
Client ist zudem robuster, weil die Daten<br />
nicht erst per POP3 geholt, sondern<br />
direkt per IMAP ohne eine Queue synchronisiert<br />
werden. Eine Synchronisation<br />
aus dem Outlook-Client lässt sich<br />
jederzeit unterbrechen und wird automatisch<br />
an der richtigen Stelle fortgesetzt,<br />
was für die Erstanbindung von<br />
externen Standorten und Mitarbeitern<br />
interessant ist. Dabei synchronisiert die<br />
Lösung die jeweils neuesten Objekte<br />
stets zuerst. So kann der Nutzer bereits<br />
mit den aktuellen Daten arbeiten, während<br />
ältere Daten noch im Hintergrund<br />
synchronisiert werden. Eine Übersicht<br />
sämtlicher vom Groupware-Client unterstützter<br />
MAPI-Funktionen findet sich<br />
auf der Webseite [16]<br />
von Intra2net.<br />
Intranator<br />
Business Server<br />
ActiveSync<br />
Intra2net plant noch<br />
im Oktober als dritten<br />
Baustein seines<br />
Groupware-Stacks eine<br />
ActiveSync-Lösung<br />
für das Anbinden von<br />
Smartphones und<br />
Mobilgeräten auf den<br />
Markt zu bringen, die<br />
mit Erscheinen dieses<br />
Heftes wahrscheinlich<br />
verfügbar ist. Wir hatten<br />
die Möglichkeit,<br />
am nicht öffentlichen<br />
Beta-Test teilzuneh-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Small Business Server<br />
59<br />
men – mit höchst zufriedenstellenden<br />
Ergebnissen für ein Samsung Galaxy<br />
S4 und ein Samsung Galaxy S3 Mini.<br />
Außerdem funktioniert ActiveSync<br />
mit iOS und Windows Phone sehr zuverlässig.<br />
Die positiven Tests mit dem<br />
iPhone konnten wir mit einem iPhone<br />
4 selbst verifizieren. Die Aussagen zum<br />
Windows Phone ergab eine Nachfrage<br />
beim Hersteller. Bei Android missfällt<br />
allenfalls, dass die Konfiguration der<br />
ActiveSync-Unterstützung je nach Gerät,<br />
Modell und Hersteller unterschiedlich<br />
ist (Abbildung 7).<br />
Es hat sich aber als nützlich erwiesen,<br />
für Android die Push-Funktion zu deaktivieren<br />
und das Sync-Intervall auf<br />
15 Minuten zu stellen, denn im Push-<br />
Modus ist permanent eine Funkverbindung<br />
aktiv, sodass das Gerät kaum<br />
noch seine Energiesparmodi nutzen<br />
kann, was die Akkulaufzeit signifikant<br />
reduziert. Ferner kam es im Push-Modus<br />
unter Android bei einigen Geräten<br />
zu Übertragungsfehlern, was etwa zu<br />
einer Verdoppelung von E-Mails und<br />
Terminen führte. Weitere Informationen<br />
zum Thema ActiveSync lassen sich<br />
dem bereits fertigen ActiveSync-Handbuch<br />
[17] entnehmen.<br />
UCS als Small-Business-<br />
Server<br />
Univentions Corporate Server lässt sich<br />
ebenfalls durchaus als SBS-Alternative<br />
nutzen. Im Gegensatz zu Intra2Net, dessen<br />
Kundenquerschnitt auf Nachfrage<br />
auch zu 94 Prozent ins SBS-Segment<br />
passt, sieht Univention das Einsatzgebiet<br />
seiner Plattformlösung anderswo<br />
und empfiehlt den UCS auch nicht<br />
unbedingt als SBS-Ersatz. Dass UCS bei<br />
jeder einzelnen Funktion des IBS auf<br />
Anwendungsebene im Zweifel mühelos<br />
mithalten kann, liegt größtenteils an<br />
Drittanbieter-Produkten wie Zarafa, OX<br />
App Suite und Kolab, die sich allesamt<br />
komfortabel über das App-Center installieren<br />
lassen .<br />
Ein Vergleich mit der Groupware-<br />
Funktion im IBS entfällt, weil die nicht<br />
von Univention bereitgestellt wird.<br />
Außerdem haben wir sowohl dem<br />
Univention Corporate Server, speziell<br />
dessen Samba-4-Unterstützung und<br />
auch Zarafa und Open-Xchange bereits<br />
Abbildung 8: Zarafa-Nutzer lassen sich im Univention-Benutzer-Dialog anlegen.<br />
zahlreiche Artikel im Heft gewidmet<br />
[18]. Bemerkenswert ist aber, dass<br />
Univention beim Installieren von Zarafa<br />
via App-Center (gilt auch für OX) ein<br />
LDAP-Schema mitliefert, das es im Gegensatz<br />
zur sonst nur via CLI möglichen<br />
Zarafa-Administration erlaubt, elementare<br />
Funktionen wie das Anlegen<br />
eines Zarafa-Nutzers in der grafischen<br />
»Univention Management Console« zu<br />
erledigen (Abbildung 8).<br />
Der UCS passt hinsichtlich der nicht<br />
ganz trivialen Installation, die mit<br />
dem großen Basisfunktionsumfang im<br />
Zusammenhang steht, nicht wirklich<br />
zur KMU-Zielgruppe, weshalb ein UCS<br />
immer von einem erfahrenen Consultant<br />
oder Admin betreut werden sollte.<br />
Univentions Corporate Server versteht<br />
sich von jeher als Plattform- und Infrastruktur-Lösung<br />
und weniger als Applikation,<br />
wie es der IBS tut. Im Zentrum<br />
der Produkt-Philosophie steht das auf<br />
einem Verzeichnisdienst (OpenLDAP)<br />
basierende Identify- und Infrastruktur-<br />
Management samt Single-Sign-On,<br />
das nicht nur ein zentrales Verwalten<br />
sämtlicher Nutzer in einer UCS- oder<br />
NT-Domäne beziehungsweise einem<br />
Active-Directory auf dem UCS-Domain-<br />
Controller-Master erlaubt, sondern<br />
auch die zugehörigen Rechner- und<br />
Benutzerprofile verwaltet.<br />
Ein UCS Domaincontroller wird dabei<br />
zur alles verwaltenden Instanz in einer<br />
UCS-Domäne oder übernimmt selbst<br />
die Rolle eines Windows-Domänen-<br />
Controllers.<br />
Teil des Plattformkonzeptes war von<br />
jeher auch eine eigene Desktop-Distribution<br />
(UCD), die Univention aber<br />
im Laufe der Jahre in Anerkennung<br />
der Realitäten fallen ließ. Stattdessen<br />
stellt die Firma den neuen Univention<br />
Corporate Client in das Zentrum seiner<br />
Server-Based-Computing-Strategie.<br />
Die Bemühungen, Linux auch auf dem<br />
Desktop etablieren zu wollen, sind<br />
löblich. Nach außen stellen die Bremer<br />
aber seit einiger Zeit verstärkt den auf<br />
Samba 4 basierenden Active-Directory-<br />
Support in den Mittelpunkt ihres<br />
Produkt-Marketings und betonen damit,<br />
dass sich UCS wahlweise perfekt in<br />
bestehende Windows-Infrastrukturen<br />
integriert oder selbst die tragende Rolle<br />
in einer Windows-Domäne übernehmen<br />
kann, was dann den Windows Server<br />
obsolet macht.<br />
UCS administrieren<br />
Teil des Verzeichnisdienst-basierten<br />
Konzepts ist auch, dass UCS sämtliche<br />
Konfigurationsdaten im LDAP<br />
speichert. Erfahrene Administratoren,<br />
die UCS an der Konsole oder via SSH<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
60<br />
Test<br />
Small Business Server<br />
Abbildung 9: Das direkte Bearbeiten des LDAP-Verzeichnisses – hier auf Container-Ebene.<br />
gezielt an ihre Bedürfnisse anpassen<br />
wollen, tun gut daran, die Finger von<br />
den klassischen Linux-Konfigurationsdateien<br />
zu lassen, weil UCS diese<br />
dynamisch aus Templates generiert.<br />
Univention hat mit Univention Corporate<br />
Registry (UCR) sogar eine Art API.<br />
Mit deren Hilfe interagieren erfahrene<br />
Administratoren mit der im LDAP gespeicherten<br />
Konfiguration. Anderseits<br />
greifen aber auch die grafischen Konfigurations-Module<br />
im Web-Interface auf<br />
Konfigurationsdaten zu. Der Konfigurationsbaum<br />
im LDAP lässt sich sogar<br />
direkt über das grafische Werkzeug<br />
»LDAP-Verzeichnis« bearbeiten, was<br />
selbstverständlich administrative<br />
Kenntnisse erfordert, im Zweifel aber<br />
einige UCR-Konfigurationsvariablen<br />
mehr erschließt, als die entsprechenden<br />
Module der Web-Oberfläche (Abbildung<br />
9).<br />
Aber selbst die zeigen den betroffenen<br />
LDAP-Container gleich mit an. Dass<br />
UCS darüber hinaus bereits in der<br />
Basis-Ausstattung Funktionen für Server-<br />
und Desktop-Virtualisierung, Systemüberwachung,<br />
Netzwerk-Backup<br />
(Bacula) und Fileservices mitbringt,<br />
relativiert die Aussagen zur Eignung als<br />
SBS-Ersatz ebenfalls, wenn man sich<br />
das Argument »Reduzierung der Komplexität«<br />
in Erinnerung ruft.<br />
Neues bei UCS<br />
Wir haben übrigens im Test die seit<br />
wenigen Tagen aktualisierte Version<br />
3.1-1 des Univention Corporate Servers<br />
in der Free-For-Personal-Use-Version<br />
installiert. Das ISO-Image der Installations-DVD<br />
lässt sich von Univentions<br />
Download-Seite herunterladen [19].<br />
Das Image kumuliert sämtliche im<br />
Laufe des Jahres ausgelieferten Errata-<br />
Updates (170 an der Zahl) zu UCS. Die<br />
neue Version enthält auch ein Kernel-<br />
Update auf die Version »3.2.0-ucs31-<br />
amd64« des UCS-Kernels, der vor allem<br />
für Unterstützung aktueller Hardware<br />
sorgt.<br />
Kurz vor Redaktionsschluss erreichte<br />
uns die Meldung, dass ab sofort der<br />
erste Meilenstein der für November<br />
geplanten neuen Hauptversion 3.2<br />
zum Testen [20] zur Verfügung steht.<br />
Die ist allerdings vorrangig für Partner<br />
gedacht, die sich einen Eindruck von<br />
der neuen Version verschaffen möchten.<br />
Highlights von UCS 3.2 sind die<br />
weltweit erste Integration des zweiten<br />
Release-Candidate von Samba 4.1 und<br />
eine neue Übersichtsseite der Univention<br />
Management Console mit Filterfunktionen,<br />
die eine schnelle Übersicht<br />
der zur Verfügung stehenden Module<br />
ermöglicht. Ferner wird UCS 3.1 mit<br />
einem aktualisierten Kernel 3.10 ausgeliefert<br />
werden.<br />
Übrigens steht UCS seit Mitte August<br />
auch als Zielplattform im Opensuse<br />
Build Service zur Verfügung, womit die<br />
Anzahl der vom Build-Service unterstützt<br />
Betriebssysteme inklusive Univention<br />
Corporate Server auf 22 steigt.<br />
Der Opensuse Build Service [21] ist<br />
die öffentlich und online zugängliche<br />
Instanz der seit 2011 von Suse unter<br />
neuem Domain-Namen betriebenen<br />
verteilten Build-Plattform »Open Build<br />
Service« (OBS) [22], mit deren Hilfe<br />
Entwickler sehr komfortabel Pakete<br />
ihrer Apps und Anwendungen für gleich<br />
mehrere Zielplattformen bauen können,<br />
ohne eine eigene Build-Umgebung<br />
etwa für UCS vorhalten zu müssen (Abbildung<br />
10), was auch die Bedeutung<br />
von UCS als Enterprise-Distribution<br />
unterstreicht.<br />
Fazit<br />
Intranator Business Server 6.0.3 und<br />
Univention Corporate Server 3.1-1<br />
eignen sich rein funktional beide als<br />
kostengünstiges Replacement für Microsofts<br />
Small Business Server. Beim<br />
IBS passt auch die Produkt-Philosophie<br />
mit der Beschränkung auf Exchange-<br />
Funktionalität exakt zur anvisierten<br />
Zielgruppe. Die Lösung von Intra2net<br />
wird auch den geforderten Aspekten<br />
Kostenreduzierung und Vereinfachung<br />
der Komplexität gerecht. Funktional<br />
wünschen sich kleine Unternehmen<br />
an erster Stelle die Möglichkeit, gemeinsame<br />
Kalender nutzen zu können,<br />
wobei zu beobachten ist, dass<br />
Unternehmen mit weniger als sieben<br />
Mitarbeitern in der Regel einen einzigen<br />
gemeinsamen Kalender nutzen und auf<br />
eine granulare Berechtigungssteuerung<br />
verzichten. Erst bei Unternehmen mit<br />
zehn Benutzern setzt sich die Arbeitsweise<br />
mit individuellen Kalendern<br />
durch, die dann gezielt für kollaboratives<br />
Arbeiten freigegeben werden.<br />
Verfügbarkeit und Ausfallsicherheit<br />
spielt bei kleinen Unternehmen nur<br />
eine untergeordnete Rolle. Der IBS trifft<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Small Business Server<br />
61<br />
damit in seiner Eigenschaft als Groupware-Server<br />
den Nerv der meisten<br />
SMBs perfekt. Beim IBS stimmt auch<br />
das Kosten-Argument. Eine Kosten-Betrachtung<br />
ist zwar nicht Anliegen dieses<br />
Beitrages, beide Produkte unterbieten<br />
aber die Kosten für MS Server 2012 +<br />
MS Exchange und/oder Sharepoint,<br />
auch wenn der Preisvorteil beim IBS<br />
deutlicher ausfällt, weil die Groupware<br />
als Eigenentwicklung integrative Komponente<br />
des Gesamtkunstwerks ist.<br />
Beim UCS kommen gegebenenfalls<br />
auch Lizenzkosten für Drittanbieter-<br />
Produkte wie Zarafa hinzu. Der Forderung<br />
nach einer Verminderung der<br />
Komplexität von IT wird der UCS nur<br />
bedingt gerecht. Während sich Intra-<br />
2net gezielt an Unternehmen richtet,<br />
die in der IT im Allgemeinen ein notwendiges<br />
Übel sehen und einer durchdachten,<br />
strukturierten und zukunftssicheren<br />
IT-Strategie unter Einbeziehung<br />
offener Standards und Schnittstellen<br />
wenig Verständnis entgegenbringen,<br />
spricht Univention eher Unternehmen<br />
an, die mit Planung, Betrieb und Pflege<br />
ihrer IT eigene Ideen und Visionen<br />
verbinden. Auf Deutsch gesagt: ein Univention<br />
Corporate Server ist als Small<br />
Business Server deutlich unterfordert<br />
und kann schon mit seinem Funktionsumfang<br />
das Vereinfachungskriterium<br />
trotz Weboberfläche eigentlich nicht<br />
erfüllen.<br />
Zwar bieten beide Produkte eine durchgängig<br />
webbasierte Administration,<br />
aber lediglich beim IBS gibt es nirgends<br />
einen Usability-Bruch, wenn man<br />
vom Horde-Web-Interface absieht. Da<br />
sich der UCS vorrangig als Plattform<br />
versteht, kann auch ein zweifelsohne<br />
nützliches App-Center nicht darüber<br />
hinwegtäuschen, dass ein Zarafa oder<br />
Open-Xchange auf Kommando-Ebene<br />
oder zumindest mit eigenen Werkzeugen<br />
administriert werden möchten.<br />
Univention weist zwar beim Installieren<br />
von Third-Party-Apps via App-Center<br />
darauf hin, dass das App-Center nicht<br />
als Verkaufsplattform konzipiert ist,<br />
sondern lediglich das Installieren von<br />
Partnerprodukten erleichtern soll, damit<br />
erfüllt es aber nicht die Funktion<br />
eines Google-, Apple- oder Mozilla-App-<br />
Stores. Deren App-Konzepte greifen<br />
Abbildung 10: UCS als Zielplattform im Opensuse-Build-Service.<br />
bekanntlich tiefer und schließen auch<br />
die für ein einheitliches Look&Feel der<br />
für die jeweilige Plattform entwickelten<br />
Apps benötigten Programmierschnittstellen<br />
ein.<br />
Was die Forderung nach einer einfachen<br />
Installation und Konfiguration angeht,<br />
tun sich beide Produkte schwer,<br />
was in der Natur der Sache liegt. IT<br />
kann man nun mal nicht sich selbst<br />
überlassen. Daher sollten beide Produkte<br />
nur von einem erfahrenen Vertriebspartner<br />
oder externen Betreuer in<br />
Betrieb genommen und administriert<br />
werden. Als Fazit für den UCS kann<br />
man in Bezug auf das Small Business<br />
Segment konstatieren, dass er es kann,<br />
wenn das gewollt ist, sich aber mit<br />
seinem weitreichenden Infrastruktur-<br />
Funktionen bis in die Bereiche Client-<br />
Management, Virtualisierung, VDI und<br />
Netzwerküberwachung eher für mittelständische<br />
und große Unternehmen<br />
eignet, was auch die Referenzkundenliste<br />
unter Beweis stellt.<br />
Als Gemeinsamkeit ist noch die komplett<br />
in Deutschland beheimatete<br />
Entwicklung zu nennen, wobei es<br />
selbstverständlich naiv ist, von einer<br />
in Deutschland entwickelten Lösung<br />
einen Vorteil in Bezug auf die Überwachungsproblematik<br />
zu erwarten, zumal<br />
es den UCS von Univention inzwischen<br />
auch in einer via AWS gehosteten Version<br />
gibt.<br />
Hilfreich ist schon eher die Verwendung<br />
von Open-Source-Komponenten<br />
und die bei beiden Lösungen durchgängige<br />
Verwendung von Zertifikaten<br />
beziehungsweise SSL. Halten wir fest:<br />
Der Intranator Business Server ist der<br />
perfekte, kostengünstige und sichere<br />
Exchange-Ersatz auf Linux-Basis.<br />
Univention Corporate Server ist die<br />
umfassende Open-Source-Plattform für<br />
Unternehmen, die eine grundsätzliche<br />
Migration ihrer gesamten Infrastruktur<br />
auf Open-Source anstreben und nach<br />
einer Lösung suchen, die mit den eigenen<br />
Anforderungen wächst und sich<br />
später einmal sogar im Cluster betreiben<br />
lässt. (jcb) n<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/29990<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
62<br />
Test<br />
Novell Filr<br />
Novell Filr 1.0 im Test<br />
Datei-Server, leicht bewölkt<br />
Externe Mitarbeiter, Heimarbeitsplätze, private Smartphones in der Firma und Cloud-Dienste wie Dropbox: All das<br />
kann einen IT-Admin, der auf Sicherheit bedacht sein muss, leicht in den Wahnsinn treiben. Mit Filr hat Novell ein<br />
Dateiablage-System entwickelt, das die meisten Probleme lösen soll. Thomas Drilling<br />
Nach den Vorstellungen der Marketing-<br />
Strategen sollten Kollaborationsplattformen<br />
wie Sharepoint, OX-App-Suite,<br />
Kolab und Zarafa alles können: Sie<br />
sollen mit ihrem integrierten Dokumenten-Management<br />
Dreh- und Angelpunkt<br />
jeglicher Unternehmenskommunikation<br />
sein und selbstverständlich Ausgangspunkt<br />
für die Dateiablage. Heutzutage<br />
müssen Mitarbeiter viele Dokumente<br />
organisieren und verarbeiten.<br />
Da ist es eine gute Idee, Dokumente mit<br />
Bezug zu einem Referenz-Kontakt, ‐Ereignis<br />
oder ‐Projekt in so einem System<br />
abzulegen.<br />
Im Vorteil ist, wer jetzt schon zentrale<br />
Dateiablagen einsetzt. Ideal ist es<br />
daher, wenn Unternehmen ihren Mitarbeitern<br />
vorschreiben, existierende Dokumenten-Management-Lösungen<br />
zu<br />
verwenden. Deren Hersteller widmen<br />
Abbildung 1: Die Wahl des Storage Backends in der Suse-Virtual-<br />
Appliance-Konfiguration.<br />
sich der gleichen Problematik aus einem<br />
anderen Blickwinkel: Für sie geht<br />
es darum, Teamarbeit zu koordinieren<br />
und Dokumente effizient abzulegen.<br />
Von gestern: File-Server<br />
Eine zusätzliche Dimension erhält die<br />
Thematik durch das Einbinden von externen<br />
Mitarbeitern. Ein sicherer Zugriff<br />
via VPN auf die firmeneigenen Datei-<br />
Server ist zwar prinzipiell möglich, auf<br />
mobilen Geräten aber wenig praktikabel.<br />
Die gängigen Protokolle und Netzwerk-Dateisysteme<br />
sind nicht für die<br />
Mobilfunknutzung konzipiert. Und was<br />
tut ein externer Mitarbeiter, wenn der<br />
Admin den Zugriff auf Netzlaufwerke<br />
eingeschränkt hat oder das Netzwerk<br />
nicht funktioniert, wie es soll? Er lädt<br />
im schlimmsten Fall – ohne Wissen<br />
des Admins – Firmen-Dokumente zur<br />
Dropbox hoch und<br />
synchronisiert sie auf<br />
andere Endgeräte und<br />
ins Home Office.<br />
Auch wenn klassische<br />
File-Server derzeit<br />
noch Standard in<br />
vielen Firmen sind,<br />
braucht es doch eine<br />
Lösung, die jedem<br />
Mitarbeiter – ob intern<br />
oder extern – eine<br />
konsolidierte Sicht<br />
auf die Daten erlaubt,<br />
unabhängig davon,<br />
wo diese tatsächlich<br />
gespeichert sind.<br />
Der Nutzer muss sich<br />
dann nicht mit Server-<br />
Namen, langen URLs, Laufwerksnamen,<br />
Pfaden oder ähnlichen Dingen<br />
herumschlagen. Außerdem müssen<br />
Nutzer mobiler Geräte auf ihre Dokumente<br />
auch offline zugreifen können.<br />
Ein Web-Interface sollte dafür sorgen,<br />
dass der Zugriff auf eigene Daten auch<br />
mit Clients möglich ist, auf denen keine<br />
Software installiert werden darf. Zudem<br />
sollte eine Lösung dafür sorgen,<br />
dass sämtliche Daten nur verschlüsselt<br />
zu den Endgeräten gelangen und nicht<br />
in eine Public Cloud wandern. Die<br />
Integration mit einem existenten Verzeichnisdienst<br />
sollte eine separate Benutzerverwaltung<br />
obsolet machen und<br />
die Rechte für das File-Sharing zentral<br />
verwalten können. Mit Novells neuem<br />
Dienst »Filr« steht eine solche Lösung<br />
zur Verfügung.<br />
Was ist Filr?<br />
Novell Filr [1] ist eine neue, als<br />
File-Sharing-Plattform konzipierte<br />
Cloud-Lösung. Konzeptionell ist<br />
Filr mit einer selbst-gehosteten<br />
OwnCloud-Installation vergleichbar,<br />
konzentriert sich aber ausschließlich<br />
aufs File-Sharing und auf Funktionen<br />
zur Zusammenarbeit. Filr macht<br />
Datei-Server (Netzwerklaufwerke)<br />
und Storage-Ressourcen über eine<br />
logische Abstraktionsebene verfügbar.<br />
So können interne und externe Nutzer<br />
über organisatorische Grenzen hinweg<br />
komfortabel auf ihre Daten zugreifen<br />
und für andere Benutzer freigeben. Der<br />
Zugriff auf Filr ist wahlweise über das<br />
moderne Web-Interface, eine mobile<br />
App für iOS und Android sowie mithilfe<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Novell Filr<br />
63<br />
Anthony McAulay, 123RF<br />
einer nativen Anwendung für Windows<br />
und Mac OS möglich. Ferner verfügt Filr<br />
über eine leistungsstarke, auf »Lucene«<br />
basierende Volltextsuche.<br />
Verbindungen zu Filr sind durchgängig<br />
per SSL verschlüsselt. Sämtliche Dateien<br />
bleiben auf den Servern des Unternehmens<br />
hinter der firmeninternen<br />
Firewall. Das gewährleistet ein hohes<br />
Maß an Sicherheit, weil die Zugriffskontrollen<br />
auf das Dateisystem greifen.<br />
Ferner können Filr-Admins Quotas auf<br />
Benutzer-, Gruppen- und Standortebene<br />
verwalten. Eine Lizenz von Filr<br />
kostet inklusive einem Jahr Standard-<br />
Support 104 Euro; 50 Lizenzen mit<br />
einem Jahr Support schlagen mit 5200<br />
Euro zu Buche.<br />
Filr unter die Haube geschaut<br />
Ein Filr-Setup besteht normalerweise<br />
aus drei virtuellen VMware-Maschinen,<br />
auf denen Suse Linux Enterprise Server<br />
läuft. Die Maschinen stellen die<br />
Filr-Software, die auf Lucene basierende<br />
Volltext-Suchmaschine und eine<br />
MySQL-Datenbank zur Verfügung. Die<br />
Datenbank dient nicht etwa zur Aufnahme<br />
der von Filr verwalteten Dateien<br />
und Verzeichnisse – Filr dupliziert keine<br />
Daten, sondern lässt sie dort, wo sie<br />
sind – sie verbindet vielmehr die Dateisystem-Ressourcen<br />
mit den Filr-Benutzern,<br />
speichert deren Freigaberechte<br />
und die Accounts externer Nutzer sowie<br />
die Verbindungsinformationen des<br />
Proxy-Users.<br />
Filr unterstützt neben lokalen Festplatten<br />
auch NFS, Network Attached<br />
Storage (NAS) per NetApp und Storage<br />
Area Networks (SAN). Ferner kann Filr<br />
vorhandene Datenquellen integrieren,<br />
die via SMB/CIFS oder NCP (Novell Core<br />
Protocol) erreichbar sind, etwa auf<br />
Windows-2003-/2008- beziehungsweise<br />
auf Novell-Open-Enterprise-11- oder<br />
NetWare-6.5.8-Servern mit mindestens<br />
einem NSS-Volume. An Dateisystemen<br />
unterstützt Filr NTFS, Ext3, Btrfs und<br />
XFS.<br />
Wer über Filr lediglich Benutzerverzeichnisse<br />
(»Meine Dateien«) und keine<br />
Netzwerkordner zur Verfügung stellen<br />
will, kann das System auch ohne Datei-<br />
Server betreiben. Novell nennt als Mindestvoraussetzung<br />
für das Host-System<br />
12 GByte RAM und 100 GByte Festplattenplatz<br />
für eine sogenannte kleine<br />
Installation: Dabei laufen Filr, MySQL-<br />
Datenbank und die Lucene-Engine auf<br />
einer einzigen virtuellen Maschine.<br />
Filr ausprobieren<br />
Alternativ dazu gibt<br />
es das Large-Setup<br />
mit drei separaten<br />
Virtual Appliances für<br />
die Filr-Software, die<br />
Datenbank und die<br />
Lucene-Engine. Eine<br />
Evaluierungsversion<br />
von Filr 1.0 kann jeder<br />
registrierte Nutzer<br />
[2] in Form der Virtual<br />
Appliance »Filr.<br />
x86_64‐0.0.459.ovf.<br />
zip« im Open Virtualization<br />
Format von der<br />
Novell-Downloadseite<br />
[3] herunterladen. Die<br />
lässt sich für einen schnellen Test zwar<br />
unter VMware Player oder VirtualBox<br />
ausführen, für den Produktiveinsatz<br />
ist aber mindestens ein Host mit ESXi<br />
4.1.x, ESXi 5.0 oder ESXi 5.1 mit allen<br />
aktuellen Updates erforderlich.<br />
Für ein Large-Setup lädt man zusätzlich<br />
die beiden virtuellen Anwendungen<br />
»Filrsearch.x86_64‐0.0.296.ovf.zip«<br />
(Lucene) und »MySQL.x86_64‐0.0.188.<br />
ovf.zip« herunter. Ferner stehen im<br />
Download-Bereich die Desktop-Clients<br />
für Windows [4] und Mac OS [5] zur<br />
Verfügung. Die Mobil-Clients sind im<br />
jeweiligen App-Store von iOS und Android<br />
(Google Play) zu finden. Alternativ<br />
ist es auch möglich, sich direkt auf<br />
der Filr-Download-Seite [6] für die Filr-<br />
Evaluierung zu registrieren. Ausführliche<br />
Dokumentation für Admins und<br />
Nutzer, Installationsanleitungen und<br />
Abbildung 2: Filr lässt sich mit drei komfortablen Web-Interfaces<br />
administrieren.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
64<br />
Test<br />
Novell Filr<br />
Abbildung 3: Auch das Starten und Stoppen von Filr erfolgt in der<br />
»Appliance System Configuration«.<br />
Quickstart-Guides in zahlreichen Sprachen<br />
hält Novell auf der gut bestückten<br />
Dokumentationsseite [7] bereit.<br />
Test-Setup aufsetzen<br />
Das Konfigurieren und Starten der Filr-<br />
Appliance ist dank YaST mit wenigen<br />
Handgriffen erledigt. Nach Festlegen<br />
der elementaren Netzwerkparameter<br />
muss sich der Admin für ein Storage<br />
Backend zwischen »Harddisk« und »Remote<br />
NFS« entscheiden (Abbildung 1).<br />
Die Harddisk-Variante erfordert das<br />
vorherige Anlegen entsprechender<br />
virtueller Devices; ebenso muss ein entsprechendes<br />
NFS-Target vorher existieren.<br />
Der Filr-Administrator kann auch<br />
zwei NFS-Mountpoints angeben. Filr<br />
verwendet dann »/vastorage« als zentralen<br />
Datenspeicher für die Appliance<br />
und »/vashared« für Sharing und Clustering.<br />
Wer ein geclustertes Filr-Setup<br />
plant, wählt die Option »Remote NFS«.<br />
Im nächsten Schritt lassen sich – sofern<br />
gewünscht – Netzwerkordner unter<br />
die Verwaltung von Filr stellen und im<br />
Web-Interface verfügbar machen. Das<br />
ist etwas anderes, als die eben konfigurierte<br />
NFS-Freigabe eines externen Servers<br />
als Storage-Backend einzubinden.<br />
Einzelheiten dazu finden sich im Novell<br />
Filr 1.0 Web Application User Guide [8].<br />
Mit »Do not configure shares storage«<br />
stellt Filr Nutzern im Web-Interface<br />
dagegen ausschließlich Arbeitsverzeichnisse<br />
unter »Meine Dateien« zur<br />
Verfügung.<br />
Nachdem die Suse-<br />
Konfiguration abgeschlossen<br />
ist, kann<br />
sich der Admin unter<br />
der Adresse »https://<br />
Filr‐Maschine:9443«<br />
mit dem Account »vaadmin«<br />
und dem im<br />
Setup gewählten Passwort<br />
am Web-Interface<br />
anmelden. Das steuert<br />
den Zugriff auf die drei<br />
Management-Tools<br />
»Appliance System<br />
Configuration«, »Novell<br />
Filr Appliance Configuration«<br />
und »Gangila«<br />
(Abbildung 2).<br />
Ganglia ist ein quelloffenes,<br />
skalierbares Distributed-Monitoring-Werkzeug.<br />
Appliance System Configuration<br />
dient dazu, die beim Setup<br />
von Suse Linux Enterprise getätigten<br />
Einstellungen nachträglich anzupassen,<br />
digitale Zertifikate zu verwalten<br />
und die Firewall sowie aktiv laufende<br />
Dienste zu kontrollieren. Das Tool kann<br />
aber auch dazu dienen, Filr komplett<br />
neu zu starten und herunterzufahren<br />
(Abbildung 3).<br />
»Novell Filr Appliance Configuration« –<br />
zu erreichen unter »https://Filr‐Maschine:9443/filrconfig«<br />
– kümmert sich<br />
um die initiale Filr-Konfiguration. Ein<br />
Assistent hilft beim Konfigurieren eines<br />
Small- oder Large-Setups, fragt das<br />
Datenbank-Kennwort ab und startet<br />
anschließend den Filr-Service. Wer<br />
sich für ein Large-Setup entscheidet,<br />
muss dann die erwähnten zusätzlichen<br />
virtuellen Appliances »Filrsearch.<br />
x86_64‐0.0.296.ovf.zip« (Lucene) und<br />
»MySQL.x86_64‐0.0.188.ovf.zip« bereithalten.<br />
Ein Admin kann mithilfe des Tools auch<br />
einen geclusterten Betrieb, den Web-<br />
DAV-Authentifikationsmodus und einen<br />
Reverse-Proxy-Betrieb einrichten. Auch<br />
die Portnummern 9443 für die Appliance-Konfiguraton<br />
und 8443 für das<br />
Web-Interface lassen sich einstellen.<br />
Anschließend kann sich der Admin mit<br />
dem Default-Account »admin« und<br />
dem Passwort »admin« unter »https://<br />
Filr‐Maschine:8443« am Filr-Web-Interface<br />
anmelden.<br />
Filr aus Nutzer-Sicht<br />
Das Filr-Web-Interface hat Novell mit<br />
Javascript und HTML5 realisiert. Das<br />
funktionale Gegenstück, den Applikationsserver,<br />
treibt die performante Jetty-<br />
Servlet-Engine an. Die Bedienung ist<br />
eingängig und erschließt sich schnell<br />
mit der übersichtlichen Gliederung in<br />
»Meine Dateien«, »Für mich freigeben«,<br />
»Von mir freigegeben« und »Netzwerkordner«.<br />
Ganz links gibt es Schaltflächen<br />
für »Neuigkeiten« und »Personen<br />
anzeigen«, welche die Funktionen zur<br />
Zusammenarbeit beinhalten. Nach<br />
dem Erst-Setup kann sich zunächst nur<br />
der Benutzer »admin« mit dem Passwort<br />
»admin« (nicht zu verwechseln<br />
mit »vaadmin« zur Filr-VA-Konfiguration)<br />
anmelden. Er ist in Bezug auf Filr<br />
ein Benutzer wie jeder andere, der Filr<br />
als Filesharing-Plattform nutzen kann.<br />
Im Unterschied zu gewöhnlichen Nutzern<br />
steht beim Anklicken der Filr-ID<br />
»admin« oben rechts im Kontextmenü<br />
der Eintrag »Verwaltungskonsole« zur<br />
Verfügung. In der kann der »admin«<br />
weitere Nutzer anlegen, deren Rechte<br />
einstellen und globale Einstellungen<br />
(wie Spracheinstellungen) vorgeben.<br />
Benutzer und Konten<br />
Filr kennt interne und externe Benutzer<br />
sowie Gäste. Interne Nutzer sind solche,<br />
die der Administrator mit einem<br />
eigenen Konto anlegt und mit den<br />
gewünschten Rechten versieht. Filr ist<br />
aber auch in der Lage, Benutzerkonten<br />
aus einem Active Directory oder NovelleDirectory-Verzeichnis<br />
zu importieren.<br />
Außerdem kann der Filr-Admin externen<br />
Mitarbeitern Zugriff auf Ordner und<br />
Dateien in Filr und die Berechtigung<br />
zur Zusammenarbeit einräumen. Dazu<br />
können bestehende Nutzer Externe<br />
per E-Mail einladen. Externe können<br />
sich, sofern sie bereits eine Googleoder<br />
Yahoo-E-Mail-Adresse besitzen,<br />
via OpenID anmelden oder dem Link<br />
in der Einladungsmail zur Registrierungsseite<br />
folgen. Als Filr-ID ist dann<br />
die E-Mail-Adresse zu verwenden. Filr<br />
legt automatisch ein Filr-Konto mit<br />
einer E-Mail-Adresse an, sobald ein Filr-<br />
Nutzer ein Objekt für einen externen<br />
Nutzer freigibt. Allerdings muss der<br />
Filr-Admin in der Verwaltungskonsole<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Novell Filr<br />
65<br />
Abbildung 4: Nur wenn es der Filr-Admin erlaubt, dürfen Gäste oder<br />
externe Nutzer via OpenID auf Filr zugreifen – unabhängig davon, welche<br />
objektbezogenen Zugriffsrechte sie nachher erhalten.<br />
Abbildung 5: Filr zeigt bei zahlreichen Dateitypen eine <strong>Vorschau</strong> im<br />
Browser.<br />
unter »System | Benutzerzugriff« zuvor<br />
festlegen, dass externe Benutzer oder<br />
Gäste überhaupt auf Objekte zugreifen<br />
dürfen (Abbildung 4).<br />
Dateien hochladen<br />
Filr-Nutzer können Dateien gemäß ihrer<br />
Zugriffsrechte entweder in den Bereich<br />
»Meine Dateien«, in einen freigegebenen<br />
Ordner eines anderen Nutzers oder<br />
in einen Netzwerkordner hochladen.<br />
Mit Ordnern oder umfangreichen Ordnerstrukturen<br />
funktioniert das im Web-<br />
Client leider nicht. Das geht nur, wenn<br />
man die nativen Clients für Windows<br />
oder Mac verwendet.<br />
Netzwerkordner sind freigegebene Verzeichnisse<br />
im Dateisystem der File-Server<br />
des Unternehmens, die der Admin<br />
während des Filr-Setups einbindet und<br />
damit unter die Kontrolle von Filr stellt.<br />
Dateien lassen sich hochladen, indem<br />
man sie in den Drag-and-Drop-Bereich<br />
des Web-Clients wirft; wahlweise funktioniert<br />
das auch via Datei-Selektor.<br />
Neue Ordner lassen sich mit der gleichnamigen<br />
Schaltfläche anlegen.<br />
Dateien online bearbeiten<br />
Interne oder externe Filr-Nutzer können<br />
Dateien entweder direkt im Web-Interface<br />
oder nach dem Herunterladen bearbeiten.<br />
Der Mobil-Client unterstützt<br />
ausschließlich die Offline-Methode,<br />
erfordert also stets das Herunterladen.<br />
Wer die Datei via WebDAV direkt in Filr<br />
bearbeiten möchte, braucht die nötigen<br />
Rechte und eine zum Dateityp passende<br />
Anwendung auf seinem Rechner<br />
– etwa MS Office oder LibreOffice für<br />
».doc«-Dateien. Zum Bearbeiten wählt<br />
der Nutzer aus dem Auswahlmenü<br />
rechts neben der Datei den Eintrag<br />
»Details anzeigen«. Filr zeigt dann bei<br />
allen unterstützten Dateiformaten eine<br />
<strong>Vorschau</strong> der Datei im Browser (Abbildung<br />
5).<br />
In dieser Ansicht lässt sich die Datei<br />
mit der gleichnamigen Schaltfläche<br />
auch für andere Benutzer freigeben.<br />
Hinter »Weitere« verbergen sich Aktionen<br />
zum Kopieren, Löschen und<br />
Abonnieren. Hat der Nutzer eine Datei<br />
oder einen Ordner abonniert, hält ihn<br />
Filr via E-Mail über Änderungen auf<br />
dem Laufenden. Eine Untermenge der<br />
mit »Weitere« verfügbaren Funktionen<br />
findet sich auch im oben erwähnten<br />
Objektmenü rechts neben der jeweiligen<br />
Datei.<br />
Klickt der Nutzer in der Browser-Preview<br />
auf die Schaltfläche »Diese Datei<br />
bearbeiten«, öffnet Filr die Datei im<br />
eingetragenen Standard-Editor, etwa<br />
Microsoft Word für ».doc«-Dateien. Die<br />
Schaltfläche ist nur verfügbar, wenn<br />
der Dateityp lokal unterstützt wird<br />
und einer Anwendung zugeordnet ist.<br />
Daher klappt zum Beispiel das direkte<br />
Bearbeiten einer ».docx«-Datei an einem<br />
Linux-Rechner nicht auf Anhieb,<br />
wohl aber das einer ».doc«-Datei. Jeder<br />
Nutzer kann jedoch in seinen »persönlichen<br />
Einstellungen« sogenannte »Editor‐Overrides<br />
definieren«, mit denen<br />
sich die jeweilige Standard-Anwendung<br />
für den angegebenen Dateityp ersetzen<br />
lässt. Die »persönlichen Einstellungen«<br />
erreicht der Nutzer mit einem Klick auf<br />
die Filr-ID oben rechts (Abbildung 6).<br />
Dateien offline bearbeiten<br />
Klickt der Nutzer stattdessen direkt<br />
auf den Link des Dateinamens, lädt<br />
Filr die Datei herunter und zeigt den<br />
»Speichern‐unter«-Dialog des Browsers<br />
an. Hat der Nutzer seine Änderungen<br />
offline vorgenommen, bietet Filr beim<br />
Wiederhochladen im Dialog »Dateikonflikte«<br />
das Überschreiben an.<br />
Zugriffsrechte und Freigaben<br />
Filr-Nutzer können Dateien und Ordner<br />
für andere Filr-Benutzer freigeben,<br />
sofern die Option vom Administrator<br />
aktiviert ist. Sonst steht die Schaltfläche<br />
»Freigeben« nicht zur Verfügung.<br />
Der Filr-Admin erteilt Freigaberechte<br />
für einzelne Benutzer oder Gruppen in<br />
der Verwaltungskonsole unter »System<br />
| Freigabe«. Filr unterscheidet die<br />
Freigabeziele »interne Benutzer«, »alle<br />
internen Benutzer«, »externe Benutzer«<br />
und »Öffentlichkeit«. Ferner kennt Filr<br />
das Recht »erneut freigeben«, mit dem<br />
ein Nutzer ein für ihn freigegebenes<br />
Element, dessen Eigentümer er aber<br />
nicht ist, weiter freigeben kann. Zum<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
66<br />
Test<br />
Novell Filr<br />
Abbildung 6: Die »Editor‐Overrides« definieren die für den Dateityp<br />
zuständige lokale Anwendung. Die »persönlichen Einstellungen« erreicht<br />
man mit einem Klick auf die Filr-ID.<br />
Abbildung 7: Filr differenziert bei den Freigaberechten sowohl in der<br />
Art des Rechtes (Lesen, Schreiben, Mitwirken), als auch in der »Zielgruppe«<br />
(interne sowie externe Benutzer und Gäste).<br />
Freigeben einer Datei oder eines Ordners<br />
markiert man das Objekt, klickt<br />
auf »Freigeben« und setzt im Freigeben-<br />
Dialog bei »Freigeben für« einen Such-<br />
Filter, um den gewünschten Partner zu<br />
finden.<br />
Danach kann man im Unterdialog<br />
»Freigaberechte erteilen« zwischen<br />
»Betrachter« und »Bearbeiter« wählen.<br />
Ein Bearbeiter kann einerseits Dateien<br />
bearbeiten, die für ihn freigegeben<br />
sind, und andererseits alle Dateien<br />
eines für ihn freigegebenen Ordners.<br />
Bei freizugebenden Ordnern gibt es darüber<br />
hinaus das Recht »Mitwirkender«.<br />
Mitwirkende dürfen im betreffenden<br />
Verzeichnis auch Ordner erstellen und<br />
vorhandene Dateien umbenennen,<br />
bearbeiten, verschieben und löschen.<br />
Alternativ steht die Schaltfläche »Veröffentlichen«<br />
zur Verfügung, mit der sich<br />
ein Element für die Gruppe »Öffentlich«<br />
mit dem Recht »Betrachter« freigeben<br />
lässt (Abbildung 7).<br />
Arbeiten mit Dateien<br />
Filr zeigt die vom Benutzer selbst freigegebenen<br />
Dateien im Web-Interface<br />
unter »Von mir freigeben an« an. Für<br />
ihn freigegebene Dateien und Ordner<br />
finden sich unter »Für mich freigegeben«.<br />
Mit der »Filterliste« oben rechts<br />
lassen sich die angezeigten Elemente<br />
filtern. Das Konfigurationssymbol daneben<br />
erlaubt es, Anzahl, Reihenfolge<br />
und Breite der angezeigten Spalten<br />
zu verändern. Neben dem Bearbeiten,<br />
Weiterfreigeben und Löschen lassen<br />
sich Dateien auch kommentieren.<br />
Im Kontextmenü rechts neben dem Dateinamen<br />
stehen außerdem die Funktionen<br />
»Freigeben« (beziehungsweise<br />
»Weiter‐Freigeben«) sowie »Details<br />
anzeigen«, »HTML anzeigen«, »Umbenennen«,<br />
»Zugriffsrechte anzeigen« und<br />
»Abonnieren« zur Verfügung. Ferner<br />
lassen sich Freigaben mit einem Ablaufdatum<br />
versehen. Hinter »Weitere«<br />
verbirgt sich ein Kontextmenü mit den<br />
Funktionen »Kopieren«, »Verschieben«,<br />
»Löschen«, »Als gelesen/ungelesen<br />
markieren« und noch einmal »Abonnieren«.<br />
Beim Kopieren lässt sich mit<br />
dem Dateimanager-Symbol ein Ziel<br />
auswählen, etwa ein Filr-Ordner oder<br />
eine Freigabe.<br />
Nutzerverwaltung<br />
Einen internen Filr-Nutzer legt der<br />
Filr-Admin in der Verwaltungskonsole<br />
unter »Verwaltung | Benutzerkonten«<br />
an. Beim Anlegen eines neuen Nutzers<br />
öffnet Filr ein neues Browser-Fenster, in<br />
dem der Admin Vorname, Nachname,<br />
Passwort und persönliche Informationen<br />
hinterlegen kann. Diese Informationen<br />
kann der Nutzer auch selbst<br />
anpassen und eingeben. Wer will, kann<br />
die Daten mit einem Bild des Nutzers<br />
komplettieren.<br />
Zurück in der User-Liste öffnet ein Klick<br />
auf den kleinen Pfeil neben dem jeweiligen<br />
Benutzernamen ein spezielles<br />
Menü: Darüber lässt sich der persönliche<br />
Speicher für diese Nutzer vollständig<br />
aktivieren sowie deaktivieren und<br />
der Dialog »Benutzereigenschaften«<br />
öffnen, um das Profil zu verändern.<br />
Außerdem kann der Filr-Admin mit<br />
den jeweiligen Schaltflächen einen<br />
Netzwerkordner zuordnen und mit<br />
»Wird freigegeben« die grundsätzlichen<br />
Freigaberechte für den internen Nutzer<br />
einrichten (Abbildung 8).<br />
Kommunikation und<br />
Kollaboration<br />
Die Novell-Entwickler haben zudem<br />
eine ganze Reihe von Zusammenarbeitsfunktionen<br />
implementiert.<br />
So kann etwa der Eigentümer eines<br />
Ordners grundsätzlich festlegen, dass<br />
andere Benutzer, die Zugriffsrechte auf<br />
Dateien dieses Ordner haben (Mitwirkende),<br />
eine E-Mail-Benachrichtigung<br />
erhalten, sobald es eine Aktivität in<br />
diesem Ordner gibt. Filr erstellt dann<br />
im Nachrichten-Bereich der E-Mail automatisch<br />
eine Verknüpfung zu diesem<br />
Ordner und fügt alle Benutzer, die Dateien<br />
im betreffenden Ordner besitzen,<br />
automatisch zur Empfängerliste hinzu.<br />
Nutzer können auch selbst Dateien<br />
oder Ordner abonnieren. Sie benachrichtigt<br />
Filr bei Änderungen an einem<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Novell Filr<br />
67<br />
Abbildung 8: Neben konkreten, Objekt-bezogenen Freigaberechten<br />
kann der Admin auch für jeden Nutzer einstellen, welche Art Freigaberechte<br />
dieser in seinem Arbeitsbereich nutzen kann.<br />
Abbildung 9: Das Abonnieren hält den Nutzer via E-Mail über Veränderungen<br />
auf dem Laufenden. Die Neuigkeitenliste im Browser aktualisiert<br />
Filr alle 60 Sekunden.<br />
Ordner dann per E-Mail. Der Nutzer<br />
muss dazu »Abonnieren« auswählen<br />
und im Kontextmenü rechts neben dem<br />
Ordner/der Datei den Nachrichtentyp<br />
wählen. Zur Wahl stehen »Digest«, »Nur<br />
Nachricht«, »Nachricht mit Anhang«<br />
und »Textnachricht«, wobei »Digest«<br />
nur beim Abonnieren von Ordnern<br />
verfügbar ist. Filr sendet bei Digest eine<br />
Nachricht mit einer Zusammenfassung<br />
sämtlicher Aktivitäten im Ordner und<br />
der Unterordner. Der einfachste Weg,<br />
sich über Änderungen im Datenbestand<br />
von Filr auf dem Laufenden zu halten,<br />
ist ein Blick auf die Seite »Neuigkeiten«<br />
links oben. Die Seite lässt sich<br />
mithilfe der Menüstruktur links gezielt<br />
filtern, zum Beispiel nach Dateien, die<br />
speziell für den betreffenden Nutzer<br />
freigegeben sind. Filr aktualisiert die<br />
Neuigkeitenliste alle 60 Sekunden. Das<br />
Abonnieren neuer Dateien klappt auch<br />
über das Menü »Aktionen« rechts von<br />
der jeweiligen Datei (Abbildung 9).<br />
Windows-Client<br />
Der Zugriff auf die von Filr verwalteten<br />
Daten ist nicht nur über das Web-Interface,<br />
sondern auch über native Clients<br />
für Android, iOS und Windows möglich.<br />
Beim Setup des Windows-Clients gibt<br />
der Admin den zu überwachenden Filr-<br />
Ordner an: In der Voreinstellung ist das<br />
»C:\Users\Benutzer\Filr«. Der Filr-Client<br />
nistet sich unter Windows als Systray-<br />
Applet mit einem Symbol rechts unten<br />
in der Taskbar ein. Nach dem Login am<br />
Windows-Rechner startet der Filr-Client<br />
automatisch, signalisiert etwaige Änderungen<br />
und startet danach die Synchronisation<br />
(Abbildung 10).<br />
Der Filr-Nutzer kann das Synchronisieren<br />
jederzeit auch selbst über das<br />
Kontextmenü des Applets mit »Jetzt<br />
synchronisieren« anstoßen. Ebenfalls<br />
im Kontext-Menü kann er nach Bestätigen<br />
des entsprechenden Sicherheitszertifikats<br />
die Client-Oberfläche öffnen<br />
und zum Beispiel auf die Bereiche<br />
»Neuigkeiten« oder »Von mir freigegeben«<br />
zugreifen.<br />
Außerdem ist es von hier aus möglich,<br />
die Filr-Konsole zu öffnen, die Zugriff<br />
auf Kontoinformationen, synchronisierte<br />
Ordner und die Liste »Kürzlich<br />
erfolgte Aktivitäten« gewährt (Abbildung<br />
11).<br />
Android-Client<br />
Die Filr-Android-App erhält der Benutzer<br />
im Play Store von Google. Der Filr-<br />
Admin muss allerdings den mobilen<br />
Zugriff für den betreffenden Benutzer<br />
explizit erlauben. Die zugehörigen<br />
Einstellungen befinden sich in der<br />
Verwaltungskonsole unter »System |<br />
Mobile Anwendungen«. Hier kann er<br />
explizit regeln, ob ein Zugriff der App<br />
auf Filr erlaubt ist, ob aus der App ein<br />
Datei-Download möglich ist und ob<br />
die App mit anderen Anwendungen<br />
interagieren darf. Das ist essenziell, um<br />
Dateien offline bearbeiten zu können.<br />
Außerdem kann der Admin das Synchronisationsintervall<br />
einstellen.<br />
Selbstverständlich verschlüsselt die<br />
mobile Filr-App – wie auch die Web-<br />
Applikation – jegliche Kommunikation<br />
via SSL. Erlaubt der Filr-Admin das<br />
Herunterladen von Dateien, sollte der<br />
Nutzer auf dem Mobilgerät unbedingt<br />
auch die Dateiverschlüsselung konfigurieren,<br />
um dem Verlust sensibler Daten<br />
zum Beispiel bei einem Diebstahl des<br />
Smartphones vorzubeugen. Das Vorgehen<br />
hängt vom jeweiligen Smartphone<br />
ab; Ausgangspunkt ist aber in der Regel<br />
das Menü »Einstellungen | Systemsicherheit«.<br />
Allerdings muss der Nutzer<br />
darauf achten, die Datenverschlüsselung<br />
sowohl für den internen Speicher<br />
des Smartphones als auch für die SD-<br />
Karte einzurichten, denn die Filr-App<br />
speichert heruntergeladene Dateien<br />
stets auf der SD-Karte.<br />
Die Mobile-App bietet nur eine Untermenge<br />
der Funktionen des Web-<br />
Interfaces. So gibt es derzeit leider<br />
Abbildung 10: Das Applet des Windows-Clients synchronisiert<br />
automatisch den Filr-Ordner.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
68<br />
Test<br />
Novell Filr<br />
Abbildung 11: Die Filr-Konsole informiert über sämtliche aktuellen<br />
Aktivitäten.<br />
n Info<br />
keine Funktionen zum Löschen und<br />
Freigeben von Dateien. Das Bearbeiten<br />
von Dateien ist nur offline nach dem<br />
Herunterladen mit einer passenden<br />
Anwendung möglich. Der Download ist<br />
auch zum Betrachten und Lesen einer<br />
Datei erforderlich, wenn der integrierte<br />
Viewer den Dateityp nicht kennt. Der<br />
unterstützt allerdings eine große Anzahl<br />
von Dateitypen. Bei ».doc«-Dateien<br />
unter Android kommen dazu Quick Office,<br />
Softmaker Office 2012 oder Think<br />
Free Office Mobile in Frage. Immerhin<br />
sind die Kommentare zur heruntergeladenen<br />
Datei in der mobilen App verfügbar.<br />
Nach dem Bearbeiten muss der<br />
Nutzer sie wieder hochladen.<br />
Synchronisation inklusive<br />
Darüber hinaus unterstützt Filr das<br />
Synchronisieren heruntergeladener Dateien.<br />
Das System unterscheidet dabei<br />
zwischen der Synchronisation mit dem<br />
Filr-Server nach einem festgelegten<br />
Zeitplan und die sogenannte Just-In-<br />
Time-Synchronisierung. Die zugehörige<br />
Option findet sich zum Beispiel bei<br />
Android in den Einstellungen der App<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30183<br />
im Abschnitt »Downloads<br />
synchronisieren«.<br />
Mit der Option<br />
»Nur WLAN« erfolgt<br />
ein Synchronisieren<br />
nur bei einer aktiven<br />
WLAN-Verbindung. Ist<br />
die Option deaktiviert,<br />
synchronisiert die App,<br />
sobald eine WLAN-<br />
Verbindung oder eine<br />
direkte Verbindung<br />
über den Netzbetreiber<br />
zur Verfügung steht.<br />
Mit der Einstellungen<br />
»Jetzt synchronisieren«<br />
werden Dateien<br />
unabhängig von der<br />
Option »Nur WLAN« sofort<br />
synchronisiert.<br />
Die Filr-App fragt zudem beim Schließen<br />
der Anwendung, ob die Änderungen<br />
direkt hochgeladen werden sollen,<br />
wozu der Anwender auf »Heraufladen«<br />
tippt. Zum Hochladen einer neuen<br />
Datei muss der Nutzer auf »Freigeben«<br />
tippen und anschließend auf das Filr-<br />
Symbol. Die Filr-App startet dann automatisch<br />
und zeigt das Dialogfeld »Datei<br />
heraufladen« an.<br />
Fazit<br />
Filr erledigt aus Nutzersicht, was man<br />
von dem Dienst erwartet. Die Bedienung<br />
erschließt sich weitgehend intuitiv.<br />
Dabei erweist sich Filr 1.0 bereits<br />
als sehr stabil und etwa im Vergleich<br />
zu Dropbox erstaunlich performant.<br />
Dazu muss der Admin aber die Mindest-<br />
Hardware-Anforderungen beachten,<br />
denn Lucene, Datenbank und Filr-<br />
Engine fordern ihren Tribut. Unter 12<br />
GByte Arbeitsspeicher braucht man<br />
auch in einem Single-Setup gar nicht<br />
erst anzufangen.<br />
Die Mobile-App lässt leider noch einige<br />
Funktionen vermissen, ebenso wie innovative<br />
Ideen oder einen Wow-Effekt<br />
in puncto Offline-Fähigkeiten. Der<br />
Workaround »Herunterladen‐Bearbeiten‐Hochladen«<br />
funktioniert zwar<br />
tadellos (sofern auf dem Smartphone<br />
eine passende Anwendung existiert),<br />
andere Hersteller machen sich in diesem<br />
Punkt aber mehr Gedanken. Letztlich<br />
ist das auch eine Folge der Filr-<br />
Philosophie der zentralen Datenablage.<br />
Da die Filr-Entwickler danach streben,<br />
die Datenhoheit zu behalten, soll das<br />
direkte Bearbeiten nur lokal am Mobile-<br />
Client möglich sein. Ein Online-Bearbeiten,<br />
etwa in einer gehosteten Office-<br />
Lösung, würde ja das Weiterleiten an<br />
einen Cloud-Speicherdienst bedingen,<br />
selbst wenn es sich nur um einen »Edit<br />
Cache« handelte.<br />
Auf Server-Seite überzeugt Filr mit<br />
einer durchdachten und auf Skalierbarkeit<br />
ausgelegten Enterprise-Architektur<br />
auf Basis von Suse Linux Enterprise.<br />
Das zeigt, wen Novell als Zielgruppe im<br />
Visier hat. Das gilt auch für die Möglichkeit,<br />
Web-Client und Mobile-App mit einem<br />
eigenen Unternehmens-Branding<br />
versehen zu können.<br />
Hauptkonkurrent OwnCloud [9] ist<br />
dagegen mit seinem Plugin-Interface<br />
durch externe Apps erweiterbar. So<br />
lassen sich mit der jüngst erschienenen<br />
Version 5 externe Speicher wie<br />
Dropbox, Swift, Google Docs, Amazon<br />
S3 oder WebDAV mit internen oder<br />
externen OwnCloud-Servern zu einer<br />
hybriden Cloud zusammenfassen.<br />
OwnCloud existiert sowohl in einer<br />
Community- als auch Enterprise-<br />
Version sowie in diversen gehosteten<br />
Varianten. Dank des inzwischen recht<br />
großen Partner-Netzwerks gibt es sogar<br />
eine fertig benutzbare App für Univentions<br />
Corporate Server [10]. Mit dem<br />
mittlerweile riesigen Funktionsumfang<br />
verliert die Software im Gegensatz zu<br />
Filr aber an Kontur.<br />
Novell konzentriert sich mit der Philosophie<br />
von Filr ganz auf die Private<br />
Cloud beziehungsweise ausschließlich<br />
aufs Filesharing, denn die Kern-Philosophie<br />
besteht darin, einen oder mehrere<br />
Datei-Server in Unternehmen für<br />
heterogene und mobile Clients zugänglich<br />
zu machen. Darüber hinaus ist die<br />
Konsolidierung und Synchronisation<br />
von Dateien die Basis von Zusammenarbeitsfunktionen.<br />
Eine Versionierung<br />
wie bei einem Content Management<br />
System gibt es nicht, weil Filr keine<br />
Daten in eine Datenbank dupliziert,<br />
sondern auf Storage-Seite auf Dateisystemebene<br />
arbeitet und Dateisysteme<br />
normalerweise keine Versionsinformationen<br />
unterstützen. (ofr) n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Suse Enterprise Linux<br />
69<br />
maria gritsai, 123RFa<br />
Test Suse Enterprise Linux 11 SP3<br />
Des Chamäleons<br />
neue Kleider<br />
Suse hat das dritte Update seiner Unternehmens-Distribution veröffentlicht. Neben aktualisierter Software<br />
und Fehlerkorrekturen hat Novell der aktuellen Version neue Treiber, Verbesserungen im Bereich der<br />
Storage- und Netzwerkfunktionen sowie Support für UEFI-Secure-Boot verpasst. Thomas Drilling<br />
Unternehmen benötigen für ihre eingesetzte<br />
Software vor allem Stabilität<br />
über viele Jahre hinweg. Mit dem<br />
Erwerb eines Abonnements für eine<br />
Enterprise-Distribution erkaufen sich<br />
Firmen das Versprechen, dass der<br />
Anbieter die Distribution möglichst<br />
lange bereitstellt, pflegt und behutsam<br />
weiterentwickelt. Das erspart dem<br />
gestressten Admin unangenehme Unwägbarkeiten<br />
wie den Austausch eines<br />
Kernels oder anderer, wesentlicher Systembestandteile.<br />
Eine Enterprise-Distribution beinhaltet,<br />
dass große Umbauten so selten wie<br />
möglich notwendig sind, ohne aber<br />
der Distribution essenzielle neue Technologien<br />
vorzuenthalten. Diese finden<br />
in der Regel über Patches und Kernel-<br />
Backports ihren Weg in die Distribution.<br />
Suse und Red Hat bieten ihren Kunden<br />
einen sieben- sowie optional zehnjährigen<br />
Produktlebenszyklus an. Während<br />
dieser Zeit halten beide Unternehmen<br />
essenzielle Systembestandteile wie<br />
Kernel, glibc, wichtige Systembibliotheken<br />
und Entwicklungswerkzeuge<br />
so konstant wie möglich. Dennoch<br />
versorgen sie Kunden regelmäßig mit<br />
aktuellen Security-Patches. Das erklärt<br />
bei Suse auch die Bezeichnung »Service<br />
Pack« oder »Service Patch« im Produktnamen.<br />
Suse Manager<br />
Unternehmen, die eine große Anzahl<br />
von Enterprise-Distributionen einsetzen,<br />
müssen diese auf eine Vielzahl von<br />
Servern verteilen und pflegen. Dazu ist<br />
ein leistungsfähiges Verwaltungswerkzeug<br />
notwendig. Im Gegensatz zum<br />
Konkurrenten Red Hat mit seinem »Red<br />
Hat Customer Portal« (RHCP) erfolgt<br />
ein standortübergreifendes Management<br />
der Systeme bei Suse nicht über<br />
einen gehosteten Dienst, sondern in<br />
Form einer lokal aufzusetzenden Virtual<br />
Appliance, dem »Suse Manager«<br />
[1]. Er leistet in puncto Management<br />
im Vergleich zum Red-Hat-Werkzeug<br />
ähnliches, kostet aber extra. Meldet<br />
man ein lizenziertes SLE-System beim<br />
Suse Manager an, stehen umfangreiche<br />
Management-Funktionen inklusive<br />
Monitoring und ein Scheduler für das<br />
Einplanen automatischer Updates zur<br />
Verfügung.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
70<br />
Test<br />
Suse Enterprise Linux<br />
Abbildung 1: Ohne Registrierung beim Novell Customer Center gibt es keine Aktualisierungen.<br />
Online-Aktualisierungen<br />
Auch ohne Suse Manager ist es beim<br />
Installieren von Suse Enterprise Linux<br />
(SLE) erforderlich, sich beim Novell<br />
Customer Center anzumelden. Darüber<br />
können Kunden Produktaktualisierungen<br />
anfordern, ihre Abonnements<br />
verwalten und Support in Anspruch<br />
nehmen (Abbildung 1).<br />
Zur Konfiguration des Customer Centers<br />
sind die Registrierungsdaten erforderlich.<br />
Die Registrierung lässt sich<br />
Abbildung 2: Eine Enterprise-Distribution wie SLE stellt Security-Patches so zeitnah wie möglich<br />
zur Verfügung.<br />
zwar während der Installation überspringen,<br />
allerdings stehen dann keine<br />
Online-Aktualisierungen zur Verfügung.<br />
Nutzer der Trial-Version können neben<br />
einer gültigen E-Mail-Adresse statt eines<br />
Aktivierungscodes den Rechnernamen<br />
oder eine beliebige Beschreibung<br />
beim Registrieren eingeben. Ein erstes<br />
Online-Update lässt sich direkt aus der<br />
Installation anstoßen.<br />
Bei der Aktualisierung sollte der Admin<br />
bei »Patch‐Kategorie« sämtliche Patches<br />
der Kategorie »benötigte Patches«<br />
einspielen. Das schließt etwa auch ein<br />
Kernel-Update auf die Version 3.0.82<br />
des Suse-Linux-Enterprise-Kernels<br />
ein. Auch ein Patch für die Firefox-ESR-<br />
Version mit Long-Term-Support von<br />
Version 17.04 auf 17.07 findet sich an<br />
dieser Stelle. Der Patch repariert zwar<br />
nicht die während der Entstehung<br />
dieses Beitrages bekanntgewordene<br />
Schwachstelle in Firefox ESR 17.06,<br />
da sie offenbar nur in der Windows-<br />
Version auftritt, demonstriert aber das<br />
zeitnahe Reagieren der SLE-Maintainer<br />
(Abbildung 2).<br />
Da Suse Patches beim SLE in der Regel<br />
in Form von Delta-RPMs anbietet, geht<br />
ein Online-Update recht zügig und im<br />
Idealfall ohne Reboot über die Bühne –<br />
es sei denn, der Kernel wurde aktualisiert<br />
(Abbildung 3).<br />
Kernig<br />
Ein Hauptunterschied der gängigen<br />
Enterprise-Distribution zwischen Suse<br />
und Red Hat besteht in der Strategie<br />
der Kernel-Pflege. Aus Sicht des Kunden<br />
ist es wünschenswert, so selten<br />
wie möglich die Haupt-Kernel-Version<br />
wechseln zu müssen. Red Hat pflegt<br />
dazu in der 6er-Inkarnation von RHEL<br />
einen gehärteten Kernel 2.6.32, den<br />
das Unternehmen via Backports mit<br />
notwendigen aktuellen Entwicklungen<br />
versorgt. Eine ähnliche Strategie verfolgte<br />
auch Suse bis einschließlich der<br />
Version SP1 mit dem damaligen Kernel<br />
2.6.32. Mit dem SP2 wechselte Suse zu<br />
einem 3.0er-SLE-Kernel und handelte<br />
sich damit einige Probleme ein. So<br />
funktionierten einige der für SP1 übersetzten<br />
Treiber mit SP2 nicht mehr, was<br />
Suse erst nach entsprechenden Anpassungen<br />
korrigieren konnte.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Suse Enterprise Linux<br />
71<br />
Mit dem SP3 kehrt Suse zu seiner konservativen<br />
Kernel-Strategie zurück. Die<br />
Distribution behält den 3er-Kernel in<br />
Version 3.0.76 und integriert erforderliche<br />
Aktualisierungen etwa im Bereich<br />
der Virtualisierungsfunktionen oder<br />
aktuelle Hardwaretreiber wieder über<br />
Backports. Die bescheren SLE SP3 zum<br />
Beispiel eine Reihe von Verbesserungen<br />
bei der Speicherverwaltung und einen<br />
erhöhten I/O-Durchsatz bei CPU-lastigen<br />
Aufgaben. Mit Update des Kernel-<br />
Codes für KVM und Xen beeinflusst der<br />
aktuelle SLE-Kernel 3.0.82 auch die unterstützten<br />
Virtualisierungsfähigkeiten<br />
von SLE 11 SP3.<br />
Virtualisierung<br />
Das SP3 unterstützt bei der Virtualisierung<br />
mit KVM bis zu 2 TByte RAM und<br />
160 CPU-Kerne je Gast und schließt<br />
damit zu RHEL 6.4 auf. Außerdem kann<br />
es bei aktuellen Intel-Prozessoren die<br />
»Nested Paging« genannte Funktion<br />
einsetzen, um eine VM aus einer VM<br />
zu starten. Die Funktion hat allerdings<br />
noch den Status »Technologie-<br />
Preview« und wird von Suse offiziell<br />
nicht supportet. Der Kernel-Code von<br />
Xen wurde übrigens auf die Version 4.2<br />
aktualisiert. Im Rahmen der sonstigen<br />
Aktualisierungen legt Suse außerdem<br />
den »virt‐manager« in Version 0.9.4 und<br />
die »virt‐utils« in Version 1.2.1 bei.<br />
Red Hats virt-manager lässt ich bei<br />
SLE direkt als YaST-Modul starten (Abbildung<br />
4). Der SLE-Installer fragt bei<br />
»Server‐Basisszenario«, ob der Admin<br />
SLE als Virtualisierungshost (Hypervisor)<br />
für Xen oder KVM nutzen, ein<br />
gewöhnliches System auf physischer<br />
Hardware oder ein Xen-/KVM-Gastsystem<br />
auf paravirtualisierter Hardware<br />
aufsetzen möchte. Vollvirtualisierung<br />
ohne paravirtualisierte oder virtio-<br />
Treiber (KVM) ist dagegen identisch zur<br />
Installation auf physischer Hardware.<br />
Die erste Option »Vollvirtualisierung«<br />
steht nicht zur Verfügung, wenn der<br />
Admin das Setup bereits auf einem<br />
virtuellen Computer ausführt oder<br />
wenn der Installer keine Virtualisierungsfunktionen<br />
der CPU gefunden hat<br />
(Abbildung 5).<br />
Übrigens liefert Suse den Xen-Hypervisor<br />
in der 32-Bit-SLE-Variante seit<br />
Abbildung 3: Bei einem Kernel-Update ist ein Neustart normalerweise unvermeidlich.<br />
dem SP2 nicht mehr mit, sodass sich<br />
SLE in der 32-Bit-Verison nur noch als<br />
Xen-Gastsystem nutzen lässt. Paravirtualisierte<br />
Xen-Treiber stehen durch Installieren<br />
der Pakete »xen‐kmp‐default«<br />
oder »xen‐kmp‐pae« zur Verfügung.<br />
Die Suse-Entwickler haben im Zuge<br />
der Veröffentlichung von SLE SP3<br />
aber auch ihr separat downloadbares<br />
Treiber-Pack für SLE-Gastsysteme [2]<br />
auf die Version 2.1 aktualisiert. Das<br />
beinhaltet die virtio-Treiber (Disk,<br />
Abbildung 4: Der von Red Hat entwickelte »virt-manager« ist auch bei SLE an Bord und sogar aus<br />
dem Suse-Tool YaST aufrufbar.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
72<br />
Test<br />
Suse Enterprise Linux<br />
Abbildung 5: SLE kann als Hypervisor, als gewöhnlicher Host auf physischer Hardware und als<br />
Gastsystem auf paravirtualisierter Hardware zum Einsatz kommen.<br />
Network und Memory/Ballooning) für<br />
alle Microsoft-Betriebssysteme ab XP<br />
– für den Fall, dass eines der Microsoft-<br />
Betriebssysteme als Gastsystem unter<br />
einem KVM-betriebenen SLE-11-Hypervisor<br />
zum Einsatz kommt.<br />
Neu ist die Unterstützung für Windows<br />
Server 2012 und Windows 8 [3]. Erweiterten<br />
Hyper-V-Support für das Installieren<br />
von SLE als Gast unter Microsofts<br />
n SLE SP3 ausprobieren<br />
Wie bei Suse üblich ist das SP3 [10]<br />
eine vollständige Distribution. Zwei<br />
DVD-ISOs bringen Neukunden so auf<br />
den aktuellen Stand [11] – inklusive<br />
aller Patches und Aktualisierungen, die<br />
Suse seit Start von SLE 11 im Jahr 2009<br />
veröffentlicht hat. Interessierte Admins<br />
können eine 60 Tage gültige Testversion<br />
[12] nach Registrierung auch ohne<br />
gültigen Support-Vertrag kostenlos herunterladen.<br />
Bestandskunden nehmen<br />
dagegen ein reguläres Upgrade auf SP3<br />
via Zypper [13] vor. Der Support für SLE<br />
11 SP2 endet im Januar 2014 – außer<br />
für Kunden mit Long Term Service Pack<br />
Support (LTSS).<br />
Hypervisor gibt es durch Installieren<br />
des Paketes »hyper‐v« in der Version<br />
5.0.7. Mithilfe eines Ballooning-Treibers<br />
passt Windows die dem SLE-Gast zur<br />
Verfügung stehende Speichergröße automatisch<br />
an. Darüber hinaus erlaubt<br />
ein Framebuffer-Grafiktreiber beim<br />
Betrieb unter Windows Server 2012/<br />
Hyper-V Auflösungen bis zu 1920x1080<br />
Punkte. Außerdem handeln Windows-<br />
Host und SLE-Gast das für einen<br />
möglichst effizienten Betrieb beste<br />
Kommunikationsprotokoll automatisch<br />
aus. Die KVM-Unterstützung in der SLE-<br />
Version für IBMs »System z (s390x)« und<br />
der Desktop-Variante SLED ist noch als<br />
»Technical Preview« eingestuft.<br />
Neue Treiber<br />
SLE SP3 unterstützt etliche neue<br />
Hardwarekomponenten, darunter<br />
Xeon-Prozessoren der E5-Familie, Intels<br />
Core-CPUs der vierten Generation und<br />
AMD-Opteron-Prozessoren der Serien<br />
4000 und 6000. Das gilt ebenso für<br />
Intels zweite Generation des Atom-<br />
Microservers und zahlreiche neuere<br />
Netzwerkkarten. Ebenfalls neu ist<br />
die Unterstützung des »Transparent-<br />
Inter‐Process-Communication«-Protokolls<br />
(TIPC) sowie der Micron-P320-<br />
PCIe-SSDs. Außerdem hat Suse den<br />
Kernel-Code zum Aufsetzen eines via<br />
iSCSI oder FCoE adressierbaren iSCSI-<br />
Targets auf den Stand von [linux‐iscsi.<br />
org] im Linux-Kernel 3.4 gebracht.<br />
SLE enthält traditionell grafische<br />
Werkzeuge zur Konfiguration des<br />
Client-Zugriffs auf ein iSCSI-Gerät<br />
beziehungsweise einen iSCSI-Server.<br />
Die Tools heißen »iSCSI Initiator« und<br />
»iSCSI Ziel«. Der Initiator dient zum<br />
Setzen der »Initiator IQN« in der lokalen<br />
Konfigurationsdatei »/etc/iscsi/<br />
initiatorname.icsi« des gleichnamigen<br />
Systemdienstes; »iSCSI Ziel« initialisiert<br />
die Target-Konfiguration (Abbildung 6).<br />
Ferner hat Suse seinen SLE-Kernel für<br />
die Verwendbarkeit von Intels Fernwartungstechnik<br />
AMT [4] (Active Management<br />
Technology) vorbereitet. Wer AMT<br />
nutzen möchte, muss allerdings auch<br />
die zugehörigen Intel-Werkzeuge [5]<br />
installieren.<br />
Dateisysteme<br />
Suse Enterprise Linux nutzt weiterhin<br />
Ext3 als Standard-Dateisystem.<br />
Der Suse-Support umfasst aber auch<br />
den Einsatz von Reiserfs 3.6, XFS und<br />
Btrfs, nicht aber Ext4. SLE 11 kann<br />
Ext4-Dateisysteme standardmäßig nur<br />
lesen. Etwaige Schreibunterstützung<br />
muss der Admin manuell nachrüsten<br />
und aktivieren [6]. Bei der Btrfs-Unterstützung<br />
haben die Suse-Entwickler<br />
den Dateisystem-Code angepasst, sodass<br />
Btrfs unter SLE 11 auch Quotas für<br />
Subvolumes unterstützt. Mit der High<br />
Availability Extension unterstützt SP3<br />
außerdem OCFS2. Das erstmals mit<br />
dem SP2 eingeführte Snapshot-Tool<br />
»Snapper« arbeitet jetzt schneller. Es<br />
funktioniert nun auch mit der Thin-<br />
Provisioning-Funktion von LVM. Offiziell<br />
unterstützt der »Device‐Mapper« das<br />
Thin Provisioing erst seit der Kernel-<br />
Version 3.2. Er steht inzwischen einer<br />
Reihe von Funktionen zur Verfügung,<br />
die in früheren Kernel-Versionen integraler<br />
Bestandteil von LVM waren.<br />
Dazu gehören das Erzeugen und Verwalten<br />
der Block-orientierten Geräte,<br />
Snapshots sowie verschiedene RAID-<br />
Funktionen, die auch von anderen<br />
Block-orientierten Geräten (wie Fest-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Suse Enterprise Linux<br />
73<br />
platten) verwendet werden können.<br />
Unter Thin Provisioning versteht man<br />
allgemein ein Verfahren zum Bereitstellen<br />
von Speicherkapazität in virtualisierten<br />
Speicherumgebungen (Storage-<br />
Virtualisierung). Das Gegenstück heißt<br />
Hard Provisioning, bei dem der Admin<br />
das Partitionieren und Formatieren<br />
von Datenträgern manuell und unveränderbar<br />
vornimmt. Neu in SLE 11 SP3<br />
ist zudem, dass auch Anwender ohne<br />
Root-Privilegien Snapshots verwalten<br />
können. Das ist mit dem Installieren<br />
des Pakets »yast2‐snapper« sogar über<br />
ein YaST-Modul möglich.<br />
Software-Updates<br />
Selbstverständlich bringt SLE 11 SP3<br />
auch eine große Anzahl von Software-<br />
Aktualisierungen mit. Erwähnenswert<br />
ist zum Beispiel MySQL 5.5, dessen<br />
Datenbankformat jedoch inkompatibel<br />
zu dem von MySQL 5.0 ist. Suse<br />
stellt allerdings unter [7] eine Reihe<br />
von Skripten zur Verfügung, mit denen<br />
Admins MySQL-5.0-Datenbanken konvertieren<br />
können. Einen recht großen<br />
Versionssprung gab es auch bei Postfix<br />
von Version 2.5.13 auf die 2.9.4. Die<br />
neue Version verhält sich an der einen<br />
oder anderen Stelle etwas anders [8].<br />
Als Alternative zum Standard-Compiler<br />
gcc bringt das SP3 außerdem gcc 4.7.2<br />
mit. Diese Version bietet umfangreiche<br />
Unterstützung der Standards ISO C 11<br />
und ISO C++ 11. Ferner liegt dem Service<br />
Pack auch die Version OpenJDK 7<br />
[9] der Java-Laufzeitumgebung und<br />
des Developement-Kits bei, weil Open-<br />
JDK 6 von seinen Entwicklern aufgegeben<br />
wurde.<br />
UEFI-Secure-Boot<br />
Zu den weiteren Neuerungen gehört<br />
auch die Unterstützung für UEFI-Secure-Boot<br />
auf dem Level der aktuellen<br />
Opensuse-Version. Damit startet SLE<br />
11 SP3 jetzt auch auf Windows-8-<br />
Systemen mit aktiviertem Secure Boot.<br />
Die UEFI-Firmware klassifiziert die SLE-<br />
SP3-Installationsmedien für x86-64-<br />
Systeme als vertrauenswürdig, weil sie<br />
von Suse mit einer Microsoft-signierten<br />
Version des Bootloaders Shim versehen<br />
sind. Die Secure-Boot-Implementation<br />
von SLE hat (wie andere auch) jedoch<br />
Abbildung 6: Suse Linux Enterprise enthält grafische YaST-Module zur Konfiguration des SLE-Hosts<br />
und der iSCSI-Clients.<br />
eine Reihe von Einschränkungen zur<br />
Folge: So funktioniert das Software-<br />
Suspend- und ‐Hibernation mit aktivem<br />
Secure Boot nicht mehr. Außerdem<br />
können Anwender bei aktiviertem Secure<br />
Boot ausschließlich einen Grafiktreiber<br />
mit Unterstützung für KMS (Kernel<br />
based Mode Setting) einsetzen.<br />
Die Secure-Boot-Implementation bei<br />
Ubuntu und Ubuntu Server bringt<br />
bekanntlich keine solchen Einschränkungen<br />
mit. Sie verfügt aber nicht<br />
über eine sichere Boot-Kette aus Boot-<br />
Loader, Kernel und Kernel-Modulen,<br />
sondern dient einzig der Installierbarkeit<br />
auf Windows-8-Systemen. Suse hat<br />
dagegen ein eigenes MOK-Verfahren<br />
entwickelt, dass es dem Nutzer erlaubt,<br />
die im Auslieferungszustand<br />
verwendete Suse-Signatur durch eigene<br />
Schlüssel zu ersetzen. So kann ein<br />
Admin bei aktivem Secure Boot selbstkompilierte<br />
und signierte Kernel laden.<br />
Fazit<br />
Suse Linux Enterprise 11 SP3 ist ein<br />
wichtiges Update, obwohl es gemäß<br />
der Produkt-Philosophie nur moderate<br />
Anpassungen vornimmt. Vor allem die<br />
neuen Kernel-Backports sorgen für<br />
bessere Hardware-Unterstützung und<br />
mehr Funktionen bei der Virtualisierung.<br />
Wer Suse Linux Enterprise erstmalig<br />
einsetzt, braucht das SP3 schon<br />
wegen der UEFI-Unterstützung.<br />
Wer allerdings mit aktuellen Distributionen<br />
zu tun hat, auf den wirken<br />
manche Details befremdlich: Etwa die<br />
fehlende Ext4-Untersützung, die Favorisierung<br />
von App Armor statt SELinux<br />
als Mandatory-Access-Control-Technologie<br />
und Upstart als Init-System (statt<br />
des aktuell üblichen »systemd«). Auch<br />
der Gnome-2-Default-Desktop ist nicht<br />
gerade frisch. Das ist wohl der Preis für<br />
eine maximal zehnjährige Unterstützung.<br />
(ofr) n<br />
n Autor<br />
Thomas Drilling ist seit mehr als zehn Jahren hauptberuflich<br />
als freier Journalist und Redakteur für Wissenschafts-<br />
und IT-<strong>Magazin</strong>e tätig. Er selbst und das<br />
Team seines Redaktionsbüros verfassen regelmässig<br />
Beiträge zu den Themen Open Source, Linux, Server,<br />
IT-Administration und Mac OS X. Außerdem arbeitet<br />
Thomas Drilling als Buchautor und Verleger, berät<br />
als IT-Consultant Unternehmen und hält Vorträge zu<br />
Linux, Open Source und IT-Sicherheit.<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30184<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
74<br />
Test<br />
Microsoft Windows 8.1 Preview<br />
Neues in Windows 8.1<br />
Retten,<br />
was zu<br />
retten ist<br />
Mit Windows 8.1 will Microsoft vor allem die Patzer in<br />
Windows 8 korrigieren, die Anwender und Unternehmen<br />
vom Einsatz des neuen Betriebssystems abhalten.<br />
Neben dem halbherzig wiederbelebten Startknopf<br />
und der Möglichkeit, direkt in den Desktop zu starten,<br />
gibt es weitere interessante Neuerungen. Thomas Joos<br />
Sergey Nivens, 123RF<br />
Windows 8.1 wird kostenlos als Update<br />
zur Verfügung gestellt. Das Betriebssystem<br />
lässt sich über bestehende<br />
Windows-8-Systeme installieren. Ein<br />
Erwerb der Vollversion ist nicht notwendig.<br />
Die Aktualisierung soll über<br />
den Windows Store oder mit einem<br />
Installationsdatenträger erfolgen. Die<br />
Windows-Update-Funktion von Windows<br />
8 kommt dabei nicht zum Einsatz.<br />
Wer mag, kann selbstverständlich auch<br />
ein neues System direkt mit Windows<br />
8.1 aufzusetzen.<br />
Eine der wichtigsten Neuerungen<br />
ist der wiederbelebte Startknopf. Er<br />
hat lediglich die gleiche Funktion<br />
wie die Windows-Taste in Windows 8<br />
oder das Aktivieren der linken oberen<br />
Bildschirm ecke via Maus oder Finger.<br />
Ein Menü wie bei Windows 7 erscheint<br />
nach dem Tippen oder Klicken mit der<br />
linken Maustaste nicht.<br />
Allerdings kann man jetzt über das<br />
Kontextmenü des Startknopfes den<br />
Rechner wesentlich einfacher herunterfahren<br />
und neu starten. Außerdem<br />
stehen per rechter Maustaste die<br />
wichtig sten Verwaltungswerkzeuge zur<br />
Verfügung. Diese lassen sich in Windows<br />
8 auch mit der Tastenkombination<br />
[Windows]+[X] aufrufen. Wer dem<br />
neuen Startknopf eine Chance gibt,<br />
merkt schnell, dass dieser auf Desktop-<br />
PCs das Arbeiten deutlich erleichtert<br />
(Abbildung 1).<br />
Startbildschirm und bessere<br />
Kacheloberfläche<br />
Neben dem Startknopf bietet auch die<br />
Startseite einige interessante Neuerungen.<br />
Zunächst gibt es eine weitere<br />
Größe von Kacheln. Anwender können<br />
selbst die Größe der Kacheln und Gruppen<br />
auswählen. Dazu muss einfach mit<br />
der rechten Maustaste auf die entsprechende<br />
Kachel geklickt werden. Der<br />
Vorteil größerer Kacheln ist die größere<br />
Menge an Informationen, die Windows<br />
in Echtzeit anzeigen kann. Die Wetter-<br />
App präsentiert zum Beispiel Temperaturen<br />
mehrerer Städte auf einen Blick,<br />
was vor allem mobile Anwender interessieren<br />
dürfte.<br />
Befindet sich der Rechner im gesperrten<br />
Zustand, können Anwender dennoch<br />
auf Funktionen wie die Kamera<br />
zugreifen. Auch das Annehmen von<br />
Skype-Anrufen ist während des gesperrten<br />
Zustands generell möglich. Für<br />
Tablets ist auch interessant, dass sich<br />
die verschiedenen Apps besser miteinander<br />
arrangieren lassen. Bereits bei<br />
einer Auflösung von 1024x768 Punkten<br />
(bisher 1366x768) können zwei Apps<br />
gleichzeitig nebeneinander laufen. Bei<br />
entsprechend hoher Auflösung lassen<br />
sich bis zu vier Apps nebeneinander anzeigen.<br />
So arbeitet etwa das integrierte<br />
E-Mail-Programm mit dem Internet<br />
Explorer zusammen. Tippen Anwender<br />
einen Link in einer E-Mail an, teilt sich<br />
der Bildschirm und zeigt rechts den Internet<br />
Explorer mit der geöffneten Seite<br />
an. Der Internet Explorer hat zwar die<br />
Version 11 erreicht, bringt aber wenig<br />
interessante Neuerungen mit.<br />
Die Bildschirmtastatur hat Microsoft<br />
ebenfalls verbessert: Umlaute lassen<br />
sich wie bei Smartphones durch langes<br />
Gedrückthalten einer Taste auswählen.<br />
Anwender von Tablets profitieren davon,<br />
dass sie Wortvorschläge übernehmen<br />
können, ohne die Finger von der<br />
virtuellen Tastatur nehmen zu müssen.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Microsoft Windows 8.1 Preview<br />
75<br />
Das Hintergrundbild der Startseite<br />
lässt sich mit dem Hintergrundbild des<br />
Desktops synchronisieren. Das führt zu<br />
dem Effekt, dass die Startseite transparent<br />
wirkt, wenn sie erscheint, und die<br />
Arbeit wesentlich flüssiger vonstatten<br />
geht. Wer möchte, kann direkt in den<br />
vertrauten Windows-Desktop starten,<br />
ohne dass vorher die Kachel-Startseite<br />
erscheint.<br />
Ebenfalls neu sind Einstellungsmöglichkeiten<br />
für die Startseite, um<br />
Programme besser zu sortieren. Auf<br />
Wunsch zeigt das Betriebssystem auf<br />
der Startseite zuerst die Desktop-<br />
Anwendungen und dann die Windows-<br />
8-Apps an. So können Anwender ein<br />
Startmenü bauen, das eher dem täglichen<br />
Bedarf entspricht. Dazu lässt sich<br />
die »Alle‐Apps«-Ansicht jetzt sortieren<br />
und kategorisieren.<br />
Installieren Sie neue Anwendungen in<br />
Windows 8.1, werden diese nicht direkt<br />
auf der Startseite eingebaut, sondern<br />
zunächst nur in der Alle-Apps-Ansicht.<br />
Das erhöht deutlich die Übersicht. In<br />
Windows 8.1 finden Sie auf der linken<br />
unteren Seite einen Pfeil nach unten:<br />
Über diesen schalten Sie zwischen der<br />
Startseite mit den wichtigsten Apps auf<br />
die »Alle-Apps«-Ansicht um. Klicken Sie<br />
mit der rechten Maustaste auf die Startseite,<br />
können Sie über »Anpassen« das<br />
Aussehen der Startseite verändern. Sie<br />
können Gruppen erstellen und diese<br />
umbenennen. Das geht zwar auch in<br />
Windows 8 schon, aber nicht so bequem<br />
(Abbildung 2).<br />
Diese und andere Einstellungen nehmen<br />
Sie auf der neuen Registerkarte<br />
»Navigation« in den Eigenschaften der<br />
Taskleiste vor. Ebenfalls möglich ist die<br />
Vorgabe der Einstellungen für Startseite<br />
und Co über Gruppenrichtlinien<br />
und zentrale XML-Dateien, die Administratoren<br />
im Netzwerk verteilen können.<br />
Doch dazu gleich mehr.<br />
Neu in Windows 8.1 ist, dass Sie in der<br />
Alle-Apps-Ansicht, die Sie über das<br />
Kontextmenü der Startseite starten,<br />
die Anzeige der Apps kategorisieren<br />
können. Sie können die Startseite auch<br />
direkt mit der Alle-Apps-Ansicht starten<br />
lassen und die Option aktivieren, dass<br />
Desktop-Anwendungen zuerst erscheinen<br />
(Abbildung 3). Diese Einstellung<br />
entspricht in etwa einem Windows-7-<br />
Startmenü, wenn auch nicht vom Aussehen<br />
her.<br />
Verbesserte Charms-Leiste<br />
Die Einstellungen, die sich über die<br />
neue Oberfläche vornehmen lassen,<br />
hat Microsoft komplett überarbeitet.<br />
Sie lassen sich über die Charms-<br />
Leiste (Abbildung 4) erreichen, die<br />
Windows nach Wischen mit der Maus<br />
oder dem Finger in die rechte obere<br />
Ecke sowie nach Drücken der Tasten<br />
[Windows]+[C] einblendet. Danach klicken<br />
Sie auf »Einstellungen | PC Einstellungen<br />
ändern«.<br />
Ein Zugriff auf die alte Systemsteuerung<br />
ist mit den neuen Möglichkeiten<br />
fast nicht mehr notwendig, aber<br />
weiterhin möglich. Sie können auch<br />
Bereiche wie die Auflösung über<br />
»PC&Geräte | Anzeige« anpassen. In der<br />
Charms-Leiste lassen sich auch weitere<br />
Personalisierungen für den Rechner<br />
vornehmen: zum Beispiel eine Diashow<br />
für den Sperrbildschirm. Das ist nicht<br />
nur für Anwender interessant, sondern<br />
auch für Kiosk- und Vorführrechner<br />
in Unternehmen. Generell lassen sich<br />
mehr Funktionen in den Sperrbildschirm<br />
integrieren.<br />
Neue Explorer-Ansichten<br />
In Windows 8.1 gibt es die Ansicht<br />
»Computer« nicht mehr, sie heißt jetzt<br />
»Dieser PC«. Im Explorer finden Sie unter<br />
dieser Ansicht die Ordner der Benutzer.<br />
Es gibt für die Bibliotheken keinen<br />
eigenen Menüpunkt mehr.<br />
Klicken Sie mit der rechten Maustaste<br />
in den Navigationsbereich des Explorers,<br />
blendet er die Bibliotheken ein.<br />
Das funktioniert auch mit den anderen<br />
Bereichen wie den Explorer-Favoriten.<br />
Über das Kontextmenü der Ordner in<br />
den Bibliotheken können Sie diese einzeln<br />
aus dem Navigationsbereich ausblenden.<br />
Beim Starten des Explorers<br />
fällt auf, dass im Navigationsbereich<br />
links die Bibliotheken standardmäßig<br />
ausgeblendet sind (Abbildung 5). Dafür<br />
sind die Benutzerordner auf der rechten<br />
Seite ganz oben angeordnet. Hierbei<br />
handelt es sich aber nicht um die<br />
Bibliotheken aus Windows 7, sondern<br />
nur um den entsprechenden Ordner im<br />
Abbildung 1: Über den Startknopf in Windows 8.1<br />
sind Verwaltungswerkzeuge und die Startseite<br />
schneller erreichbar.<br />
Profil des angemeldeten Anwenders.<br />
Sie können zwar über den Pfeil im<br />
Bereich Ordner die Benutzerordner<br />
ausblenden, allerdings sind diese dann<br />
immer noch vorhanden. Klicken Sie mit<br />
der rechten Maustaste in das Fenster,<br />
können Sie auch »Gruppieren nach |<br />
Absteigend« auswählen. Dann zeigt der<br />
Explorer die Ordner ganz unten an. Mit<br />
verschiedenen Registry-Tricks lässt sich<br />
die Ansicht im Explorer weiter anpassen.<br />
Im Internet finden Sie dazu zahlreiche<br />
Anleitungen.<br />
Abbildung 3: In den Navigationseinstellungen kann<br />
man festlegen, dass nach dem Anmelden gleich der<br />
Windows-Desktop erscheint.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
76<br />
Test<br />
Microsoft Windows 8.1 Preview<br />
Abbildung 2: Die Alle-Apps-Ansicht in Windows 8.1 zeigt sich bei der<br />
Darstellung deutlich flexibler als der Vorgänger.<br />
In Windows 8.1 können Sie das Aussehen<br />
und die Konfiguration der Startseite<br />
in eine Datei exportieren. Dazu<br />
dient das Commandlet »export‐startlayout«<br />
in der PowerShell. Das Gegenstück<br />
»import‐startlayout« importiert<br />
die Einstellungen wieder. Die Verteilung<br />
ist auch über Gruppenrichtlinien mit<br />
Windows Server 2012 R2 möglich. Mit<br />
dem Befehl »get‐help Commandlet«<br />
erhalten Sie eine Hilfe zum neuen Commandlet.<br />
Administratoren in Unternehmensnetzwerken<br />
können Veränderungen<br />
an der Startseite untersagen. Dazu<br />
gibt es in den Richtlinien von Windows<br />
8.1 die Option »Start Screen Layout«.<br />
Diese finden Sie über »gpedit.msc«<br />
im Bereich »Benutzerkonfiguration |<br />
Administrative Vorlagen | Startmenü<br />
und Taskleiste«. Dort können Sie die<br />
Layout-Datei hinterlegen, die Sie<br />
vorher mit dem neuen Commandlet<br />
»export‐startlayout« exportiert haben.<br />
Synchronisieren Anwender mehrere<br />
Windows-8.1-PCs und ‐Tablets miteinander,<br />
kann das neue Betriebssystem<br />
auch die Ansicht und Anordnung der<br />
Apps mitsynchronisieren und berücksichtigen.<br />
Verbesserte Suche und<br />
Workplace Join<br />
Geben Sie in Windows 8.1 einen Begriff<br />
in der Startseite ein, unterscheidet die<br />
Suche nicht mehr zwischen Dateien,<br />
Apps und Einstellungen, sondern zeigt<br />
die Ergebnisse sofort an. Das gilt auch<br />
für die Internetsuche<br />
mit Bing und Dateien<br />
aus SkyDrive-Ordnern.<br />
Die Suche wird dadurch<br />
einfacher, weil<br />
Sie nicht mehr zwischen<br />
den verschiedenen<br />
Ergebnissen<br />
navigieren müssen.<br />
Wollen Sie die Suche<br />
aber auf einen bestimmten<br />
Bereich einschränken,<br />
können Sie<br />
dazu einfach unter der<br />
Überschrift »Suchen«<br />
nach bestimmten Kategorien<br />
filtern lassen.<br />
Detaillierte Einstellungen<br />
der Suche nehmen Sie in der<br />
Charms-Leiste vor, indem Sie zu »Einstellungen<br />
| PC‐Einstellungen ändern |<br />
Suche&Apps« wechseln.<br />
In Windows 8.1 können Sie nach der<br />
Eingabe von Arbeitsplatz auf der Startseite<br />
über Ihre E-Mail-Adresse einen<br />
Zugriff auf Unternehmensressourcen<br />
anfordern. Dazu müssen die Server<br />
entsprechend konfiguriert sein. So<br />
können Anwender mit ihren PCs auf<br />
Unternehmensressourcen zugreifen,<br />
auch wenn sie nicht Mitglied der zugehörigen<br />
Domäne sind. Sie finden<br />
diese Einstellungen auch, wenn Sie in<br />
der Charms-Leiste zu »Einstellungen |<br />
PC‐Einstellungen ändern | Netzwerk |<br />
Arbeitsplatz« wechseln. Der PC ist nach<br />
Gewährung des Zugriffs nicht Mitglied<br />
einer Domäne. Administratoren können<br />
aber verschiedene Einstellungen vorgeben<br />
und Richtlinien erzwingen, damit<br />
der PC Zugriff auf die Daten im Unternehmen<br />
hat. Daten, die über diesen<br />
Weg auf den PCs gespeichert werden,<br />
lassen sich remote löschen.<br />
Neuer Windows Store und<br />
SkyDrive<br />
Mit Windows 8.1 verbessert Microsoft<br />
auch die Oberfläche des »Windows<br />
Store«. Die Navigation ist einfacher und<br />
die Auswahl verschiedener Kategorien<br />
besser. Wischen Sie im Windows Store<br />
von oben nach unten und zurück oder<br />
klicken im Store auf die rechte Maustaste,<br />
zeigt Windows 8.1 Optionen zum<br />
Store und dem eigenen Konto an. Die<br />
Oberfläche hat Microsoft für Windows<br />
8.1 überarbeitet. Sie können sich alle<br />
Ihre heruntergeladenen Apps anzeigen<br />
lassen und die angezeigten Apps<br />
Abbildung 4: Microsoft hat die Charms-Leiste in Windows 8.1 deutlich aufgewertet.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Test<br />
Microsoft Windows 8.1 Preview<br />
77<br />
besser sortieren. Über das Menü ist ein<br />
schneller Wechsel zwischen den Kategorien<br />
möglich. Darüber hinaus fällt<br />
auf, dass Microsoft seinen Cloud-Dienst<br />
»SkyDrive« wesentlich enger mit dem<br />
Betriebssystem verbunden hat. In der<br />
SkyDrive-App von Windows 8.1 können<br />
Anwender nicht nur Online-Daten nutzen,<br />
sondern auch Offline-Dateien auf<br />
dem lokalen Rechner. Liegen Updates<br />
für Apps vor, lassen sich diese in Windows<br />
8.1 automatisch aktualisieren<br />
und nicht nur anzeigen.<br />
Fazit<br />
Mit Windows 8.1 will Microsoft vor allem<br />
Patzer aus Windows 8 ausbessern<br />
und den Anwendern bei der Bedienung<br />
der Oberfläche entgegenkommen. Leider<br />
fehlt immer noch das beliebte Windows-7-Startmenü;<br />
Microsoft zwingt<br />
den Nutzer immer noch zur neuen<br />
Kacheloberfläche. Das ist vor allem für<br />
Unternehmensrechner problematisch,<br />
da Anwender hier oft erst neu geschult<br />
werden müssen. Anwender, die nach<br />
der Anmeldung nicht auf der Kacheloberfläche<br />
landen wollen, haben allerdings<br />
die Möglichkeit, den normalen<br />
Desktop anzeigen zu lassen.<br />
Ob Windows 8.1 der große Wurf ist,<br />
darüber lässt sich streiten. Allerdings<br />
integriert Microsoft interessante Neuerungen<br />
und rundet das Betriebssystem<br />
deutlich besser ab. Die Arbeit mit Windows<br />
8.1 ist wesentlich flüssiger als mit<br />
Windows 8 – obwohl auch Windows<br />
8 schon schnell und stabil läuft. Die<br />
Kacheloberfläche lässt sich glücklicherweise<br />
umgehen und die neuen Funktionen<br />
für mobile Anwender, wie zum<br />
Beispiel besseres »Direct Access« oder<br />
»Workplace Join«, stellen einen echten<br />
Mehrwert dar. (ofr) n<br />
n Autor<br />
Thomas Joos ist freiberuflicher IT-Consultant und<br />
seit über 20 Jahren in der IT tätig. Neben seinen Projekten<br />
schreibt er praxisnahe Fachbücher und Fachartikel<br />
rund um Windows und andere Microsoft-Themen.<br />
Online trifft man ihn unter [http://thomasjoos.<br />
spaces.live.com].<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
Abbildung 5: Die Ansicht des Explorers hat Microsoft in Windows 8.1 überarbeitet.<br />
www.admin-magazin.de/qr/30272
stockbksts, 123RF<br />
Forensische Toolkits zur Rekonstruktion von Browser-Sessions<br />
Daten-<br />
Archäologie<br />
Browser rücken zunehmend in den Fokus von Kriminellen. Als universelle Schnittstelle sind sie ein lohnendes,<br />
attraktives und oft auch leicht verwundbares Angriffsziel. Aber auch die Gegenseite rüstet auf:<br />
Mit Forensik-Tools, die Browser-Sessions rekonstruieren können. Sandy-Dorothea Hein, Frank Tietze, Mario Golling<br />
n IT-Forensik<br />
Die schnellen Innovationszyklen<br />
machen es praktisch unmöglich, ein<br />
System gegen alle Schwachstellen abzusichern.<br />
Hatte ein Angriff Erfolg, ist<br />
es aber umso wichtiger, zumindest das<br />
Vorgehen der Kriminellen aufzuklären,<br />
um Beweise zu sichern oder um sich<br />
gegen eine Wiederholung zu wappnen.<br />
Um zu untersuchen, was eine Postmortem-Analyse<br />
(Kasten »IT-Forensik«)<br />
nach einem Angriff auf den<br />
Browser zu leisten vermag, gehen wir<br />
von folgender Beispielsituation aus:<br />
Ein Angestellter benutzt in der Mittagspause<br />
ohne Einwilligung den Rechner<br />
am benachbarten Arbeitsplatz seines<br />
Kollegen, um unter dessen Namen und<br />
auf dessen Kosten bei Amazon diverse<br />
Bücher zu bestellen. Um seine Tat zu<br />
verschleiern, fährt er den Rechner<br />
anschließend herunter. Was ließe sich<br />
dann noch nachweisen?<br />
Der Leitfaden »IT-Forensik« des Bundesamts für Sicherheit in der Informationstechnik (BSI) [1] definiert<br />
IT-Forensik als »die streng methodisch vorgenommene Datenanalyse auf Datenträgern und<br />
in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen<br />
Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.«<br />
Bei der IT-Forensik wird bezüglich des Zeitpunktes der Untersuchung zwischen der Live-Forensik<br />
und der Post-mortem-Analyse unterschieden:<br />
Die Live-Forensik findet vor dem erstmaligen Herunterfahren des betroffenen Systems nach Eintritt<br />
des Vorfalls statt. Dabei liegt der Fokus auf der Sicherung und Analyse flüchtiger Daten, wie dem<br />
Arbeitsspeicher, gestartete Prozesse und bestehende Netzverbindungen. Da es im Zuge der Datensicherung<br />
zu einer Veränderung dieser Daten kommt, sind jedoch die Analyseergebnisse anfechtbar.<br />
Die Post-mortem-Analyse wiederum findet nach dem erstmaligen Herunterfahren des Systems statt.<br />
Dadurch gehen die flüchtigen Daten verloren, weswegen bei der Untersuchung des Datenträgers<br />
nicht-flüchtige Daten (umbenannte, gelöschte, versteckte oder verschlüsselte Dateien) im Vordergrund<br />
stehen.<br />
Auf diesem Szenario aufbauend definieren<br />
Forscher allgemeine und<br />
Szenario-spezifische Anforderungen an<br />
forensische Toolsammlungen, anhand<br />
derer sie später einschlägige Toolkits<br />
vergleichen.<br />
Zu den allgemeinen Anforderungen an<br />
die Toolsammlungen zählt etwa eine<br />
Such- und Filterfunktion zur Eingrenzung<br />
der relevanten Daten. Zudem sollen<br />
die Forensik-Tools eine Möglichkeit<br />
zur Kombination von Daten bieten, wodurch<br />
sich Abläufe reproduzieren und<br />
Zusammenhänge zwischen verschiedenen<br />
Datenquellen erkennen lassen.<br />
Weitere Anforderungen betreffen die<br />
Protokollierung der Ein- und Ausgaben<br />
und die Möglichkeit, verschiedene<br />
Image-Dateitypen einzubinden.<br />
Zu den Szenario-spezifischen Anforderungen<br />
gehört die Unterstützung beim<br />
Auffinden und Verarbeiten der Browser-<br />
Artefakte oder auch von ungewollten<br />
Änderungen an Diensten oder deren<br />
Konfiguration. Der Browser oder seine<br />
externen Komponenten könnten beispielsweise<br />
von Malware infiziert sein,<br />
der Angreifer könnte die Netzwerk-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Security<br />
Forensik-Tools<br />
79<br />
Konfiguration so geändert haben, dass<br />
der Benutzer ungewollt mit einem<br />
schädlichen Nameserver arbeitet, und<br />
so weiter.<br />
Forensische Untersuchung<br />
Bei der professionellen forensischen<br />
Untersuchung orientiert sich der Ermittler<br />
bei seinem Vorgehen an Modellen.<br />
Der vorliegende Artikel benutzt das<br />
Secure-Analyse-Present-Modell (siehe<br />
Kasten »SAP-Modell«).<br />
Mit den zum Vergleich anstehenden<br />
forensischen Toolsammlungen untersuchten<br />
die Autoren das Opfersystem,<br />
um die Browser-Sitzung zu rekonstruieren.<br />
In der Secure-Phase sicherten sie<br />
dabei zunächst die Festplatte mithilfe<br />
des Tools »dcfldd«, einer um forensische<br />
Features erweiterten Version des<br />
GNU-Tools »dd«. Die Integrität gewährleistete<br />
eine mit »md5deep« erzeugte<br />
Hashfunktion (die Integritätssicherung<br />
stand allerdings nicht im Mittelpunkt<br />
der Untersuchung. In der Praxis sollte<br />
man SHA den Vorzug geben).<br />
Die Analyse erfolgte auf einer forensischen<br />
Workstation in einer virtuellen<br />
Umgebung (VMware vSphere ESXi).<br />
Verglichen wurden nur aktive Open-<br />
Source-Projekte, die zur Post-mortem-<br />
Analyse eines Windows-7-Systems<br />
geeignet sind. Ferner erfolgte die<br />
Auswahl anhand der Popularität der<br />
Toolsammlungen (siehe Tabelle 1). Die<br />
Untersucher achteten auch darauf,<br />
inwiefern die Standardinstallationen<br />
der Toolsammlungen für das gegebene<br />
Szenario geeignet waren. Der besseren<br />
Vergleichbarkeit wegen wurden keine<br />
zusätzlichen Pakete nachinstalliert.<br />
Stellvertretend für alle Tools aus Tabelle<br />
1 sollen hier OSForensics, Autopsy<br />
n Tabelle 1: Popularität der Tools<br />
Abbildung 1: Ergebnis der Suche nach der Opfer-E-Mail-Adresse (OSForensics).<br />
und CAINE betrachtet werden, die positiv<br />
hervorstachen.<br />
OSForensics<br />
OSForensics [3] ist ein Windows-Tool<br />
von PassMark Software zur Live-Forensik<br />
und Post-mortem-Analyse. Für<br />
diesen Vergleich wurde die Version 1.2<br />
(Build 1003) untersucht. Mittlerweile<br />
ist die Version 2.0 erschienen. Die forensische<br />
Duplikation der originalen<br />
Festplatte wurde als zusätzliche virtuelle<br />
Festplatte im Read-Only-Modus<br />
eingebunden.<br />
Daten können mittels Stichwortsuche,<br />
Sortierung nach Zeitstempel, Anzeige<br />
der letzten Aktivitäten, der Registry-<br />
Keys und der im Browser gespeicherten<br />
Zugangsdaten gefiltert werden.<br />
Dabei gibt es intern eine Datei-, Hex-,<br />
String- und Textansicht. Dateien lassen<br />
sich jedoch auch mit Hilfe externer<br />
Programme betrachten und können<br />
verlinkt werden.<br />
Nach Abschluss der Untersuchung kann<br />
der Ermittler einen Fallbericht mit Fall-/<br />
Ermittlername, exportierten Dateien,<br />
Anhängen, Notizen, E-Mails und Verlinkungen<br />
mit oder ohne Javascript als<br />
HTML-Datei generieren. Zusätzlich ist<br />
eine Vorlage für das Protokollieren der<br />
forensischen Beweiskette vorhanden.<br />
OSForensics lieferte verschiedene<br />
Szenario-spezifische Ergebnisse:<br />
Eine Stichwortsuche nach der E-Mail-<br />
Adresse des Opfers führte wie Abbildung<br />
1 zeigt zu »F:\Users\Sandy\<br />
Platz Name URL Aufrufe<br />
1 OSForensics http://osforensics.com 8417<br />
2 DFF http://www.digital-forensic.org 524<br />
3 Autopsy http://www.sleuthkit.org/autopsy 373<br />
4 SIFT https://computer-forensics2.sans.org/community/ 328<br />
siftkit/#overview<br />
5 Backtrack http://www.backtrack-linux.org 298<br />
6 CAINE http://www.caine-live.net 277<br />
7 Paladin http://www.sumuri.com/ 261<br />
8 The SleuthKit http://www.sleuthkit.org/sleuthkit 195<br />
AppData\Local\Microsoft\Windows\<br />
TemporaryInternetFiles\Low\Content.<br />
IE5\BYO5TPM7\display[1].html«. Öffnet<br />
man das File in einem Browser,<br />
erscheint die Kaufbestätigung von<br />
Amazon. Die Stichwortsuche nach<br />
dem Titel des gekauften Buches führte<br />
zum File »Opfersystem:\Users\Sandy\<br />
AppData\Local\Microsoft\Windows\<br />
TemporaryInternetFiles\Low\Content.<br />
IE5\S6OU8I07\view‐upsell[1].html«, das<br />
den Amazon-Einkaufswagen darstellt.<br />
Die Kategorie Bilder lieferte die in Abbildung<br />
2 erkennbaren Treffer aus den<br />
Temporary Internet Files, die mit dem<br />
gekauften Artikel übereinstimmen.<br />
Der Registry-Eintrag unter dem Key<br />
»Software\Microsoft\InternetExplorer\<br />
TypedURLs« zeigt die letzten URL-<br />
Eingaben in die Adresszeile des IEs<br />
(Abbildung 3). Vollzogene Anmeldevorgänge<br />
konnten mithilfe des Website-<br />
Passwords-Moduls ohne Zugangsdaten<br />
eingesehen werden, da der Nutzer<br />
diese nicht im Browser gespeichert hat.<br />
Dass man Registry-Dateien automatisch<br />
erkennen kann, ist eine Bereicherung<br />
für die forensische Untersuchung.<br />
Trotzdem ist Fachwissen nötig und eine<br />
n SAP-Modell<br />
Das Secure-Analyse-Present-Modell (SAP) ist ein<br />
simples Modell, das beschreibt, wie bei einer forensischen<br />
Untersuchung vorzugehen ist. Es richtet sich<br />
auf die Verfolgung von Straftaten aus. Die Secure-<br />
Phase dient der Identifizierung potenzieller Datenquellen,<br />
die anschließend korrekt und nach dem<br />
Vier-Augen-Prinzip gesichert werden. Dabei entseht<br />
eine forensische Duplikation.<br />
Die Analyse-Phase besteht aus der Vorbereitung,<br />
Durchführung und Interpretation. Vorbereitend wird<br />
eine Kopie der Master-Kopie erstellt. Im Zuge der<br />
Durchführung wird nach relevanten Daten gesucht,<br />
die auf Zusammenhänge hin untersucht werden.<br />
Abschließend interpretiert man die Daten, indem<br />
man ihre Bedeutung für die Untersuchung kritisch<br />
bewertet. In der Present-Phase legt der Untersucher<br />
eine verständliche und vollständige Dokumentation<br />
an und präsentiert die Resultate zielgruppengerecht.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
80<br />
Security<br />
Forensik-Tools<br />
Abbildung 5: Registry-Einträge (FRED).<br />
Abbildung 2: Bilder des gekauften Artikels im Cache (OSForensics).<br />
manuelle Suche nach Daten durch den<br />
forensischen Ermittler unabdingbar.<br />
Abbildung 3: Registry-Einträge (OSForensics).<br />
Autopsy<br />
Autopsy [4] ist eine grafische Erweiterung<br />
von The Sleuth Kit (TSK), die von<br />
Brian Carrier für Windows- und Linux-<br />
Systeme entwickelt wird. Untersucht<br />
wurde die Windows-Version 3.0.3,<br />
wobei mittlerweile die Version 3.0.6<br />
verfügbar ist.<br />
Die forensischen Duplikation wird wieder<br />
im Read-Only-Modus als zusätzliche<br />
(virtuelle) Festplatte eingebunden.<br />
Für die Verwaltung der Fälle kann man<br />
Name, Speicherverzeichnis, Fallnummer<br />
und Ermittlername angeben. Für<br />
das Datenmanagement stehen Stichwortsuche,<br />
Abgleich mit Hash-Datenbanken,<br />
Anzeigen von Dateileichen und<br />
nicht zugeordneten Dateien, ein automatisches<br />
Filtern unter anderem nach<br />
Dateitypen (Bilder, Video, Audio, Dokumente)<br />
und Kategorien (Lesezeichen,<br />
Cookies, Browser-Verlauf, Downloads)<br />
zur Verfügung. Dateien lassen sich in<br />
externen Programmen öffnen oder in<br />
Abbildung 4: Ausschnitt der Auswertung des Verlaufs (Autopsy).<br />
einer Hex-, String-, Ergebnis-, Text- und<br />
Medienansicht betrachten. Nützlich ist<br />
auch das Verlinken relevanter Dateien,<br />
denen man einen Kommentar mitgeben<br />
kann.<br />
Es lässt sich ein Abschlussbericht als<br />
HTML-Datei, Excel-Tabelle oder Body<br />
File mit Zusammenfassung der Fallund<br />
Image-Informationen und Verlinkungen<br />
inklusive Dateinamen, Dateipfaden<br />
und Kommentaren erstellen.<br />
Autopsy lieferte folgende Szenariospezifische<br />
Ergebnisse: Die Verlaufsdaten<br />
der Session wurden aus »F:\Users\<br />
Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\<br />
Low\<br />
Content.IE5\index.dat« gelesen (siehe<br />
Abbildung 4). Zudem fanden sich drei<br />
Cookies mit der Domain von Amazon,<br />
deren Inhalt die Untersucher in Textform<br />
betrachten konnten. Die Keyword-<br />
Suche nach der E-Mail-Adresse des<br />
Opfers führte nach manueller Durchsicht<br />
einer Wiederherstellungsdatei zu<br />
eingegebenen Zugangsdaten einer fehlgeschlagenen<br />
Anmeldung im Klartext.<br />
Das Öffnen der Verlaufsdatei »F:\Users\<br />
Sandy\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Low\<br />
Content.IE5\BYO5TPM7\display[1].<br />
html« mit dem IE zeigte einen Ausschnitt<br />
aus dem Amazon-Einkaufswagen.<br />
Die Datei »F:\Users\Sandy\<br />
AppData\Local\Microsoft\Windows\<br />
TemporaryInternetFiles\Low\Content.<br />
IE5\BYO5TPM7\continue.html« beinhaltete<br />
die Lieferadresse und die letzten<br />
zwei Stellen der Kontonummer des<br />
Opfers – ließ sich jedoch nicht mit dem<br />
IE öffnen.<br />
Auch bei Autopsy ist es notwendig,<br />
dass der forensische Ermittler weiß, wo<br />
sich die Speicherorte der Datenquellen<br />
befinden. Zudem ist auch eine manuelle<br />
Durchsicht potenziell relevanter<br />
Dateien nötig.<br />
Computer Aided Investigative<br />
Environment (CAINE)<br />
Die Linux-Distribution Computer Aided<br />
Investigative Environment (CAINE) [5]<br />
von Nanni Bassetti stellt eine Sammlung<br />
von Softwaretools zur Post-mortem-Analyse<br />
und Live-Forensik bereit.<br />
Ein Großteil der Tools hat eine grafische<br />
Oberfläche. Die untersuchte Version<br />
3.0 wird durch die mittlerweile aktuelle<br />
Version 4.0 abgelöst. Die Einbindung<br />
der forensischen Duplikation erfolgte<br />
als virtuelle Read-Only-Festplatte. Im<br />
vorliegenden Fall benutzten die Untersucher<br />
die CAINE-Werkzeuge Forensic<br />
Registry Editor (FRED), Galleta, Pasco,<br />
NBTempo, Autopsy Forensic Browser<br />
und TSK.<br />
FRED dient dem Öffnen und anschließenden<br />
Durchsuchen einer Registry.<br />
Beim Öffnen der Registry-Datei »NTU-<br />
SER.DAT« zeigte FRED in dem Key<br />
»Software\Microsoft\Internet_Explorer\<br />
TypedURLs« die letzten drei ins Adressfeld<br />
des IEs eingegebenen URLs an, die<br />
– wie Abbildung 5 zeigt – zu eBay und<br />
Amazon führten.<br />
Das Konsolen-Tool Galleta [7] der<br />
Firma McAfee dient der Verarbeitung<br />
von Cookies des IEs. Ordnet der forensische<br />
Ermittler Galleta eine Cookie-<br />
Datei zu, erstellt es ein Spreadsheet,<br />
wie es exemplarisch in Abbildung 6 zu<br />
sehen ist. Die Daten werden dabei in<br />
eine Tabelle überführt, was die Übersichtlichkeit<br />
verbessert und sie für den<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Security<br />
Forensik-Tools<br />
81<br />
Abbildung 6: Galleta erzeugt eine übersichtliche Tabelle aus Cookie-Inhalten.<br />
Ermittler leichter verwertbar macht.<br />
Jedoch müssen ihm die relevanten<br />
Cookies bekannt sein. Sie lassen sich<br />
häufig anhand des Dateinamens erkennen,<br />
der den Domainnamen der<br />
besuchten Webseite enthält.<br />
Ebenfalls von McAfee ist das Tool Pasco<br />
[8], das sich auf die Internet-Aktivität<br />
des Browsers anhand des Files »index.<br />
dat« konzentriert. Dazu erzeugt Pasco<br />
ein Spreadsheet mit dem Inhalt der Datei.<br />
Die Abbildung 7 zeigt das Spreadsheet<br />
des URL-Verlaufs aus dem Szenario.<br />
In der Type-Spalte wird zwischen<br />
URLs und Weiterleitungen unterschieden,<br />
die mit »REDR« gekennzeichnet<br />
sind. Pasco erleichtert dem Ermittler<br />
die Rekonstruktion des Browser- oder<br />
Cookie-Verlaufs. Weiterhin ermöglicht<br />
es ihm, die Inhalte nach Belieben zu<br />
sortieren und zu filtern oder anderweitig<br />
weiterzuverarbeiten.<br />
NBTempo ist ein Bash-Skript mit GUI<br />
von Nanni Bassetti, das Zeitstrahlen<br />
generiert. Zunächst wählt der Ermittler<br />
ein forensisches Duplikat als<br />
Image-Datei oder ein Laufwerk aus.<br />
Nach Angabe des Zielverzeichnisses,<br />
der Zeitzone, der Zeitverzögerung der<br />
Daten auf dem Opfersystem und der zu<br />
untersuchenden Zeitspanne liefert es<br />
zügig Ergebnisse.<br />
Dabei werden drei Dateien erstellt: Die<br />
Datei »data.txt« enthält eine Übersicht<br />
über das Image-Verzeichnis, die ausgewählte<br />
Zeitspanne, ‐zone und ‐verzögerung.<br />
In »times.txt« werden die Ergebnisse<br />
im Rohformat für viele weiterverarbeitende<br />
Tools lesbar gesichert,<br />
während das Spreadsheet »report.csv«<br />
den Zeitstrahl tabellarisch darstellt,<br />
wobei der Ermittler die Spalten nach<br />
eigenen Bedürfnissen benennen kann<br />
(Abbildung 8). Der Zeitstrahl kann<br />
anschließend vom Ermittler sortiert,<br />
gefiltert und weiterverarbeitet werden.<br />
NBTempo unterstützt den forensischen<br />
Ermittler bei der Rekonstruktion des<br />
Sessionverlaufs. So kann festgestellt<br />
werden, welche Dateien parallel zur<br />
Browser-Sitzung angelegt oder ausge-<br />
Abbildung 7: Pasco erzeugt Tabellen aus dem Inhalt der »index.dat«.
82<br />
Security<br />
Forensik-Tools<br />
führt wurden, was Hinweise auf weitere<br />
Datenquellen liefern kann.<br />
Der Autopsy Forensic Browser ist eine<br />
grafische Erweiterung zu TSK, wie auch<br />
sein bereits vorgestellter Nachfolger<br />
Autopsy – hat jedoch eine abweichende<br />
grafische Oberfläche. Die Analyse erfolgt<br />
in einem Browser, wobei Ermittler<br />
die forensischen Duplikationen auf<br />
einem Server speichern können. Dadurch<br />
kann die Analyse durch mehrere<br />
Ermittler an getrennten Computern<br />
erfolgen. Beim Anlegen des Falls wird<br />
neben den Angaben zu Fallname,<br />
Name des zu untersuchenden Systems,<br />
Zeitzone und Zeitabweichung auch ein<br />
Host bestimmt.<br />
Die zu untersuchende Duplikation<br />
wurde als Partition und mit einer MD5-<br />
Hashwertberechnung eingebunden.<br />
Der Autopsy Forensic Browser arbeitet<br />
vor allem mit Dateisystemstrukturen.<br />
Somit lassen sich beispielsweise bei<br />
NTFS Details über die Master File Table<br />
(MFT) inklusive ihrer Cluster aufrufen.<br />
Die Datenträgeranalyse erfolgt in fünf<br />
aufeinanderfolgenden Schritten:<br />
n Über File Analyse lässt sich die Ordnerstruktur<br />
aufrufen und es kann<br />
nach Dateinamen und gelöschten<br />
Dateien gesucht werden. Die Inhalte<br />
der Suchtreffer lassen sich in einer<br />
ASCII-, Hex- und ASCII-String-Ansicht<br />
betrachten. Zudem ist eine Exportier-<br />
und Notizfunktion für Dateien<br />
vorhanden. Wird eine Notiz hinzugefügt,<br />
erstellt der Autopsy Forensic<br />
Browser einen Bericht mit allgemeinen<br />
Informationen (Dateiname,<br />
Hashwerte, Zeitstempel der Generierung,<br />
Ermittler), mit Metadaten<br />
(Position in der MFT, Attribute) und<br />
mit dem entsprechenden Inhalt.<br />
n Darauf folgt die Keyword Search. In<br />
diesem Schritt kann nach einzelnen<br />
und zusammengesetzten Suchbegriffen<br />
und regulären Ausdrücken<br />
auf Basis der Grep-Funktion gesucht<br />
werden. Grep hat allerdings Einschränkungen<br />
und ist laut Brian Carriers<br />
»Grep Search Limitations« [6]<br />
dadurch nicht zuverlässig. Die Suche<br />
ist wegen des nicht indizierten Images<br />
besonders zeitaufwendig. Treffer<br />
werden nach Clustern mit einem<br />
Verweis zum Quellverzeichnis aufgelistet.<br />
Ein Cluster kann ebenso wie<br />
eine Datei exportiert und mit einer<br />
Notiz versehen werden.<br />
n Nach diesem Schritt gelangt der<br />
Ermittler zu File Type Sortings.<br />
Hier werden die Dateien nach den<br />
Kategorien Archiv, Audio, Komprimierung,<br />
Krypto, Daten, Disk, Dokumente,<br />
ausführbare Dateien, Bilder,<br />
System, Text, Unbekannt, Video<br />
und Extension Mismatches sortiert<br />
ausgegeben. Das Ergebnis lässt sich<br />
als HTML-Datei ohne Verlinkungen<br />
speichern.<br />
n Im anschließenden Meta Data Mode<br />
kann nach einem konkreten MFT-<br />
Eintrag gesucht oder die Allocation-<br />
Liste angezeigt werden. Jeder MFT-<br />
Eintrag gibt an, welche Datei ihm<br />
n Tabelle 2: Bewertungen<br />
Anforderungen/Toolkit OSForensics DFF Autopsy SIFT Backtrack CAINE Paladin TSK<br />
Allgemeine Anforderungen<br />
Image-Einbindung + + + o o o – +<br />
Such-/Filterfunktion + o + + + + k.A. +<br />
Kombination verschiedener – – – – – – k.A. –<br />
Datenquellen<br />
Protokollierung o – o o o o k.A. –<br />
Szenario-spezifische Anforderungen<br />
Browser-Artefakte<br />
Darstellung – – – – – – k.A. –<br />
Verlauf – – + + + + k.A. +<br />
Cache o – o o o o k.A. –<br />
HTTPS/SSL – – – – – – k.A. –<br />
Passwörter o – – – – – k.A. –<br />
Cookies – – + + + + k.A. –<br />
Favoriten o – + o o o k.A. o<br />
Formulardaten – – – – – – k.A. –<br />
Downloads – – + – – – k.A. –<br />
Information/Veränderungen zugrundeliegender Dienste<br />
DNS/Namensauflösung o – o o o o k.A. –<br />
TCP/IP Protocol Stack – – – – – – k.A. –<br />
Veränderung der Konfiguration<br />
Browser – – – – – – k.A. –<br />
Komponenten – – – – – – k.A. –<br />
Veränderter Programmablauf<br />
Browser – – – – – – k.A. –<br />
Komponenten – – – – – – k.A. –<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Security<br />
Forensik-Tools<br />
83<br />
zugeordnet ist. Hierbei lassen sich<br />
auch die Inhalte anzeigen, die Datei<br />
als Cluster exportieren und Notizen<br />
mit Berichten hinzufügen.<br />
n Zuletzt kann eine Suche nach Clustern<br />
unter dem Data Unit Mode<br />
erfolgen. Dabei stehen wie im Schritt<br />
zuvor die gleichen Informationen<br />
und Funktionen zur Verfügung. Nach<br />
der Analyse kann zur Aufbereitung<br />
eine »File Activity Timeline« erstellt<br />
werden. Dazu wird nach der Auswahl<br />
eines Zeitfensters ein in Monate gegliederter<br />
Zeitstrahl erstellt. Zuvor<br />
eingegebene Notizen lassen sich<br />
hier betrachten. Zudem wird dieser<br />
Zeitstrahl in Tabellenform auf der<br />
Workstation hinterlegt.<br />
Der »Event Sequencer« listet alle Events<br />
mit zugehörigen Notizen auf. Ein Event<br />
kann mit einem individuellen Zeitstempel<br />
versehen und mit einer Quellenangabe<br />
hinzugefügt werden.<br />
Der Autopsy Forensic Browser dient in<br />
erster Linie der Datenbetrachtung. Der<br />
Großteil der gegebenen Informationen<br />
liegt nur in reiner Textform ohne jegliche<br />
Verlinkung oder Bewertung vor. Daher<br />
bietet er in diesem Szenario keine<br />
ausreichende Unterstützung für die<br />
forensische Untersuchung. Lediglich<br />
die Verifizierung durch Hashwerte, das<br />
Fallmanagement und die Kategoriezuweisung<br />
der Dateitypen stellen für den<br />
Ermittler eine Bereicherung dar.<br />
Abbildung 8: Ausschnitt aus der Report-Tabelle (NBTempo).<br />
TSK [9] als CAINE-Werkzeug beschränkt<br />
sich auf Kommandozeilen-<br />
Tools zur Analyse von Dateisystemen,<br />
Partitionen, Images und Disks. Die<br />
Partition-Tools unterstützen nicht die<br />
Analyse von Windows-Systemen. Daher<br />
wurden nur Dateisystem- und Image-<br />
Tools betrachtet.<br />
Mithilfe der Tools »tsk_gettimes« und<br />
»fls ‐m« ließ sich ein Zeitstrahl der<br />
Dateien im Rohformat als Body File<br />
generieren, der dem File »times.txt«<br />
von NBTempo entsprach. Das konnte<br />
mit dem »mactime«-Tool in eine übersichtliche<br />
Tabelle mit Spaltenbezeichnungen<br />
übertragen werden, welche<br />
wiederum mit der Datei »report.csv«<br />
von NBTempo übereinstimmte.<br />
Das Modul »fsstat« gab Informationen<br />
über das Layout, die Größen und Labels<br />
des Dateisystems aus. Auffällig,<br />
dass das Windows-7-Opfersystem als<br />
Windows XP erkannt wurde. Details<br />
über die Dateiendung und die Größe<br />
eines Images ließen sich mit dem Tool<br />
»imgstat« ausgeben. Je nach Image<br />
liefert es noch weitere Angaben. Das<br />
Tool »sorter« wies Dateien den Typ-<br />
Kategorien entsprechend des FileType<br />
Sortings des Autopsy Forensic Browsers<br />
zu. Die Standardinstallation von TSK<br />
unterstützt nur geringfügig die Analyse<br />
einer Browser-Sitzung. Funktionen wie<br />
Berichterstellung, Keyword-Suche und<br />
Registry-Analyse benötigen eine Nachinstallation<br />
des TSK-Frameworks.<br />
Jahres-DVD 2012<br />
InklusIve:<br />
Der komplette<br />
Jahrgang 2012!<br />
■ Artikel zu Storage, Backup, Security, Monitoring,<br />
Virtualisierung u.v.m.<br />
■ Zum Lesen am Bildschirm oder Ausdrucken:<br />
PDF und HTML-Format<br />
■ Search Engine für Artikel-Volltext-Suche<br />
Jetzt gleich bestellen!<br />
www.admin-magazin.de/DVD2012 oder 089 - 99 34 11 - 00<br />
<strong>ADMIN</strong><br />
Netzwerk & Security
84<br />
Security<br />
Forensik-Tools<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/29911<br />
Während bei CAINE kein zentrales Fallmanagement<br />
vorhanden ist und der<br />
Ermittler bei jedem Neustart den Fallund<br />
Ermittlernamen erneut eingeben<br />
muss, kann er jedoch über das Interface<br />
manuell einen Abschlussbericht<br />
als RTF- oder HTML-Datei sowie als<br />
persönlichen Bericht erstellen. CAINE<br />
hebt sich insofern von den anderen<br />
umfangreichen Toolsammlungen SIFT<br />
und Backtrack ab, da die Aufteilung<br />
der einzelnen Tools innerhalb des<br />
Interfaces sich von der Struktur her<br />
an forensischen Vorgehensmodellen<br />
orientiert und es daher vergleichsweise<br />
geringer Einarbeitungszeit bedarf.<br />
Weitere Toolkits<br />
Neben OSForensics, Autopsy und CAINE<br />
wurden in unserem Test noch folgende<br />
Toolsammlungen analysiert:<br />
Digital Forensics Framework (DFF)<br />
der Firma ArxSys bietet eine Windowsund<br />
Linux-Distribution zur Analyse von<br />
Laufwerken, Dateisystemen, Benutzer-<br />
und Anwendungsdaten. Zudem stellt<br />
es eine Suchfunktion nach Metadaten<br />
sowie gelöschten und versteckten Daten<br />
bereit. Die untersuchte Version war<br />
»Windows Release with dependencies<br />
1.2.0«. Die aktuelle Version trägt die<br />
Versionsnummer 1.3.0.<br />
TSK: Diese Kommandozeilen-Toolsammlung<br />
wird von Brian Carrier<br />
sowohl für Windows als auch für Linux<br />
entwickelt. Untersucht wurde die Windows<br />
Version 4.0.1., die durch die aktuelle<br />
Version 4.1.0 abgelöst wird.<br />
Paladin, die Linux-Toolsammlung<br />
der Firma Sumuri, dient primär der<br />
Image-Erzeugung. Bei der untersuchten<br />
Version 3.0 ließ sich das Image nicht<br />
erfolgreich einbinden. Die aktuelle<br />
Version ist Version 4.0. SANS Investigate<br />
Forensics Toolkit (SIFT) in der<br />
aktuellen Version 2.14 und Backtrack<br />
in der aktuellen Version 5.0 R3 wurden<br />
zusätzlich untersucht. Backtrack wird<br />
mittlerweile durch Kali Linux abgelöst<br />
und dient primär der Überprüfung der<br />
Gesamtsicherheit eines Netzes.<br />
Fazit<br />
Autopsy ist in der Gesamtbewertung<br />
das beste Tool zur Rekonstruktion<br />
Browser-basierter Tatbestände. Viele<br />
Tools der untersuchten Toolsammlungen<br />
bauen auf TSK auf und erweitern<br />
es durch eine grafische Oberfläche.<br />
Bewertet man die Toolsammlungen<br />
danach, wie sie die Anforderungen<br />
erfüllen (Tabelle 2), kann man für<br />
komplett erfüllte Anforderungen ein<br />
„+“, für teilweise erfüllte ein „o“ und<br />
für nicht erfüllte Anforderungen ein „–“<br />
vergeben. Hier wird ersichtlich, dass<br />
die Überprüfung von Konfigurationen,<br />
Programmabläufe und die Bereiche<br />
HTTPS/SSL und DNS noch Defizite<br />
aufweisen. Keine der Toolsammlungen<br />
lieferte hier verwertbare Ergebnisse.<br />
Die Toolsammlungen boten primär<br />
Funktionen zur Datenbetrachtung,<br />
Hash-Verifizierung einzelner Datenquellen,<br />
Suche und zum Filtern. In Zukunft<br />
ist eine Weiterentwicklung hin zur<br />
Kombination von Daten verschiedener<br />
Quellen nötig. Im Idealfall sollte eine<br />
gesamte Browser-Sitzung schrittweise<br />
nachvollziehbar sein. Zudem müssen<br />
für eine umfangreiche Analyse zusätzliche<br />
Datenquellen, wie beteiligte Netzkomponenten<br />
und Server mit Monitoring-Tools<br />
hinzugezogen werden.<br />
Auch die zusätzliche Durchführung<br />
einer Live-Forensik zur Untersuchung<br />
flüchtiger Daten wäre gewinnbringend.<br />
Für einen detaillierteren Einblick ist<br />
die diesem Beitrag zugrunde liegende<br />
wissenschaftliche Arbeit unter [10] einsehbar.<br />
(jcb) n<br />
n Browser-spezifische Datenquellen:<br />
1. Browser-Artefakte<br />
n Zeitbehaftete Daten: Diese ändern sich von Sitzung zu Sitzung. Wiederherstellungsdaten<br />
sind geöffnete Fester mit ihrer Position, Tabs<br />
mit der jeweiligen Scroll-Position und Popups. Der Cache beinhaltet<br />
die URLs besuchter Webseiten und die mit ihnen verbundenen Elemente<br />
(zum Beispiel Bilder und Texte). Der Verlauf speichert alle besuchten<br />
Webseiten mit Zeitstempel. Logdateien protokollieren alle<br />
Ereignisse unter Angabe von Datum, Uhrzeit und Ereignisquelle. Der<br />
Sitzungsschlüssel einer HTTPS-SSL-Verbindung mit einer Webseite<br />
wird nach der Überprüfung des Zertifikats der Seite auf Echtheit auf<br />
dem Nutzersystem hinterlegt und dient der symmetrischen Datenverschlüsselung.<br />
n Gering zeitbehaftete Daten: Cookies werden im Browser zur Identifizierung<br />
von Interessen und Besuchen von Webseiten hinterlegt,<br />
um etwa gezielt Werbung zu platzieren. Lesezeichen sind favorisierte<br />
URLs, die vom Nutzer im Browser gespeichert sind. Login-Daten sind<br />
Nutzername-Passwort-Kombinationen zur Anmeldung bei Benutzerkonten.<br />
Auto-Vervollständigungsdaten sind Formulardaten (z.B.<br />
Name, Adresse, Kennwörter), die nach einer ersten Eingabe automatisch<br />
gespeichert und jederzeit wieder abgerufen werden können.<br />
n Downloads: Der gespeicherte Download-Verlauf beinhaltet Informationen<br />
darüber, welche Dateien wann erfolgreich heruntergeladen<br />
wurden beziehungsweise wann das Herunterladen abgebrochen<br />
wurde.<br />
n Konfigurationen: Browser-Einstellungen lassen sich so ändern, dass<br />
Schwachstellen entstehen (indem sich zum Beispiel das Speicherverhalten<br />
ändert).<br />
2. Browser-spezifische Dienste<br />
Das Domain Name System (DNS) dient der Zuordnung von IP-Adressen<br />
zu Domainnamen und bietet dem Angreifer die Möglichkeit, das Opfer<br />
automatisch zu einer falschen Webseite weiterzuleiten. Die IP-Adresse<br />
kann außerdem – sofern sie nicht verschleiert ist – den Nutzer-Standort<br />
offenbaren.<br />
3. Externe Browser-Komponenten<br />
Ein Plugin ist ein Zusatzprogramm, das über eine vordefinierte Schnittstelle<br />
in ein Basisprogramm eingebunden wird und dessen Funktionsumfang<br />
erweitert. Es kann der Verarbeitung von Daten auf Webseiten<br />
(zum Beispiel PDF, Flash) dienen. Erweiterungen, auch Addons genannt,<br />
erweitern die Funktion bestehender Hard- oder Software (zum Beispiel<br />
der Symbolleiste)..<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
86<br />
Security<br />
Citrix NetScaler<br />
Citrix NetScaler als Ersatz für Microsoft TMG/ISA<br />
Wachablösung<br />
Seit Microsoft das Threat Management Gateway (TMG), den Nachfolger<br />
des Internetsecurity and Acceleration Servers (ISA) abgekündigt<br />
hat, sind Unternehmen auf der Suche nach einem adäquaten Ersatz.<br />
In diese Bresche springt Citrix mit seinen verschiedenen NetScaler-<br />
Produkten. Thomas Joos<br />
NetScaler ist ein Netzwerkprodukt. Es<br />
funktioniert als Anwendungsbeschleuniger<br />
und Firewall. Die Integration des<br />
Produktes übernimmt in Unternehmen<br />
also am besten die Netzwerkabteilung,<br />
da der Netzwerkverkehr direkt beeinflusst<br />
und gesteuert wird. Die Komplexität<br />
von NetScaler übersteigt bei<br />
weitem die Verwaltung von Citrix-Produkten<br />
wie XenDesktop oder XenApp.<br />
Das heißt, Sie sollten das Produkt bei<br />
aller Einfachheit nicht unterschätzen.<br />
NetScaler ist außerdem auch noch der<br />
Nachfolger des Access Gateways, also<br />
des Produkts, mit dem Sie XenDesktop<br />
und XenApp im Internet bereitstellen.<br />
Doch dazu später mehr.<br />
Citrix selbst deklariert seine NetScaler-<br />
Produkte als optimalen Ersatz für<br />
Microsofts TMG. Ein entsprechendes<br />
Whitepaper stellt der Hersteller als<br />
PDF-Dokument zur Verfügung [1]. Der<br />
Hauptvorteil von TMG waren die integrierten<br />
Assistenten, mit denen sich Exchange-Dienste,<br />
Lync und SharePoint<br />
effizient im Internet anbieten ließen.<br />
In diese Lücke springt Citrix mit seinen<br />
NetScaler-Produkten, die alle Funktionen<br />
von TMG beherrschen sollen.<br />
NetScaler hat ebenfalls Assistenten und<br />
Vorlagen integriert, um die Konfiguration<br />
möglichst einfach zu halten. Doch<br />
das ist noch nicht alles.<br />
Was kann NetScaler?<br />
Citrix NetScaler kann Nutzern des<br />
öffentlichen Internets webbasierte<br />
Dienste wie Exchange, Lync und Share-<br />
Point sicher aus dem internen Netzwerk<br />
zur Verfügung stellen. Man könnte<br />
auch sagen, dass NetScaler diese<br />
Dienste ins Internet veröffentlicht.<br />
Zusätzlich beherrscht NetScaler auch<br />
Loadbalancing sowie die Layer-4-Verbindungsverwaltung,<br />
das Filtern von<br />
Inhalten, URL-Filterung und ‐Rewriting.<br />
Auch Netzwerkzugriffsschutz, VPN und<br />
mehr lassen sich mit NetScaler verwenden.<br />
Darüber hinaus kann der Admin<br />
auch noch Programme wie einen Virenscanner<br />
integrieren und einrichten.<br />
Es gibt verschiedene Editionen und<br />
Versionen, die unterschiedliche Netzwerkbandbreiten<br />
unterstützen.<br />
NetScaler ist auch der Nachfolger des<br />
Citrix Access Gateways; es heißt Citrix<br />
NetScaler Access Gateway. Es ermöglicht<br />
die sichere Veröffentlichung von<br />
XenDesktop und XenApps im Internet<br />
und unsicheren Netzwerken. Die Verwaltung<br />
dieser Veröffentlichungen<br />
findet in der gleichen Weboberfläche<br />
statt, die auch die Firewall-Funktionen<br />
steuert.<br />
NetScaler-Produkte im<br />
Vergleich<br />
NetScaler steht in verschiedenen Versionen<br />
und Editionen zur Verfügung.<br />
Zum einen bietet Citrix die Lösung als<br />
Hardware-Appliance an, zum anderen<br />
als virtuelle Software für VMware, Xen-<br />
Server und Hyper-V. Die Hardware-basierten<br />
Appliances tragen die Bezeichnung<br />
NetScaler MPX und bieten einen<br />
Admin
Security<br />
Citrix NetScaler<br />
87<br />
Durchsatz von 500 MBit/s bis 120 GBit/s<br />
(laut Hersteller). Es gibt verschiedene<br />
Geräte mit unterschiedlichen Ausrichtungen<br />
und Leistungsstufen [2].<br />
Die Software-basierten Appliances<br />
schaffen laut Citrix Datenmengen von<br />
10 MBit/s bis 3 GBit/s und tragen die<br />
Bezeichnung NetScaler VPX. Diese lassen<br />
sich mit VMware, Hyper-V und Xen-<br />
Server virtualisieren. Citrix stellt dazu<br />
Testversionen auf Basis von virtuellen<br />
Servern für den Download bereit. Offiziell<br />
unterstützt NetScaler XenServer ab<br />
5.6, VMware ESX(i) ab Version 3.5 und<br />
Windows Server 2008 R2. In unseren<br />
Tests konnten wir NetScaler VPX auch<br />
auf Servern mit Windows Server 2012<br />
und Hyper-V importieren. Die Leistung<br />
der VPX-Versionen hängt selbstverständlich<br />
stark vom zugrunde liegenden<br />
physikalischen Server ab.<br />
Weitere Editionen sind SDX und AWS.<br />
NetScaler SDX ist für sehr große Netzwerke<br />
entwickelt worden und besteht<br />
ebenfalls aus einer Hardware-basierten<br />
Appliance, bietet aber Virtualisierung<br />
und bis zu 40 parallele NetScaler-Instanzen<br />
mit einem Durchsatz bis zu 50<br />
GBit/s. SDX ist daher vor allem für Internetprovider<br />
und Cloud-Dienstleister<br />
gedacht. AWS baut auf die Amazon<br />
Web Services auf und ist ein komplett<br />
webbasierter Dienst.<br />
Viele Unternehmen setzen auf die günstige,<br />
virtuelle Umgebung VPX. Sie hat<br />
den gleichen Funktionsumfang wie die<br />
MPX-Modelle, kann große Datenmengen<br />
aber nicht so schnell verarbeiten.<br />
Der größte Vorteil der VPX-Version ist<br />
die schnelle Bereitstellung über virtuelle<br />
Maschinen. MPX-Modelle haben dagegen<br />
Vorteile bei der Datenverschlüsselung,<br />
etwa im Bereich SSL-Offloading.<br />
Dazu verfügen die Hardware-Modelle<br />
über spezielle Verschlüsselungskarten.<br />
Bei VPX-Modellen übernehmen die virtuellen<br />
Server die Verschlüsselung, was<br />
deutlich langsamer ist.<br />
Die Verwaltung der Editionen ist weitgehend<br />
identisch. Admins können die<br />
webbasierte, grafische Oberfläche<br />
verwenden oder per SSH Befehle auf<br />
Kommandozeilenebene absetzen.<br />
Die Versionen MPX, VPX, SDX und AWS<br />
bietet der Hersteller in den Ausbaustufen<br />
Standard, Platin und Enterprise<br />
Abbildung 1: Citrix NetScaler kann über Assistenten auch Exchange, SharePoint und Lync im Internet<br />
zur Verfügung stellen.<br />
an. Citrix stellt die Unterschiede der<br />
verschiedenen Editionen übersichtlich<br />
in einem Datenblatt dar [3].<br />
Für NetScaler VPX gibt es noch mehr<br />
Varianten [4], die sich vor allem in der<br />
Geschwindigkeit unterscheiden. Unternehmen<br />
können dabei problemlos von<br />
kleineren VPX-Modellen auf größere<br />
Modelle wechseln. Das zusätzliche<br />
Lizenzieren von weiteren Funktionen<br />
können Sie in der Weboberfläche oder<br />
per SSH vornehmen. Die Einstellungen<br />
dazu sind in der Weboberfläche im Bereich<br />
»System | Licenses« zu finden.<br />
NetScaler VPX testen<br />
Für einen Test kann man Installations-<br />
Images inklusive Server auf Basis von<br />
Hyper-V, VMware oder auch XenServer<br />
bei Citrix herunterladen [5]. Auch die<br />
Abbildung 2: Die Verwaltungsoberfläche von NetScaler ist webbasiert. Mit ihr lassen sich alle Einstellungen<br />
vornehmen.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
88<br />
Security<br />
Citrix NetScaler<br />
Abbildung 3: Citrix NetScaler können Sie auch mit Hyper-V testen und virtualisieren.<br />
kostenlosen Versionen der Virtualisierer<br />
werden unterstützt. Nach Entpacken<br />
des Archivs müssen Sie das Image<br />
nur noch in die virtuelle Umgebung<br />
importieren. Wie Sie beim Einsatz von<br />
Hyper-V vorgehen sollten, ist im Video<br />
[6] zu sehen. Die kostenlose Express<br />
Edition von NetScaler, mit der Bezeichnung<br />
»NetScaler VPX Express«, gibt es<br />
unter [7].<br />
Während der Installation von NetScaler,<br />
also nachdem Sie die virtuellen Server<br />
importiert haben, können Sie sich am<br />
Web-Interface mit »http://IP‐Adresse<br />
des virtuellen Servers« anmelden. Der<br />
Login lautet »nsroot«, das Kennwort<br />
auch. Danach steht die Weboberfläche<br />
von Citrix NetScaler bereit.<br />
Wenn der Server im Netzwerk noch<br />
nicht sichtbar ist, müssen Sie in den<br />
Einstellungen des virtuellen Servers zunächst<br />
eine virtuelle Netzwerkkarte integrieren.<br />
Melden Sie sich dazu per SSH<br />
in der virtuellen Maschine ebenfalls mit<br />
Abbildung 4: Citrix NetScaler kann Vorlagen recht einfach in die Firewall importieren.<br />
»nsroot« an. Mit »ping« testen Sie, ob<br />
der virtuelle Server eine Verbindung<br />
zum Netzwerk hat. Danach können<br />
Sie dann auch mit der Weboberfläche<br />
arbeiten.<br />
Anleitungen, wie Sie NetScaler einrichten,<br />
finden Sie auf [8]. Zur Einrichtung<br />
des Servers verfügt NetScaler auch<br />
über einen Assistenten. Diesen starten<br />
Sie über »System« und dann der Auswahl<br />
von »Setup Wizard« im unteren<br />
Bereich des mittleren Fensters. Haben<br />
Sie das System eingerichtet, können<br />
Sie Einstellungen zu den IP-Adressen<br />
auch jederzeit im Bereich »Network«<br />
anpassen. Benutzername und Kennwort<br />
zum Anmelden an der Weboberfläche<br />
finden Sie über »System | Users«.<br />
Im unteren Bereich lassen sich weitere<br />
Benutzer mit unterschiedlichen Rollen<br />
anlegen und Kennwörter bereits angelegter<br />
Benutzerkonten ändern.<br />
Citrix NetScaler kann aber nicht nur lokale<br />
Benutzer und Administratoren anbinden,<br />
sondern auch Benutzerkonten<br />
aus einem Active Directory. Die Anbindung<br />
nehmen Sie über virtuelle Server<br />
in VPX vor. Diese steuern Sie im Bereich<br />
»System | Authentication | LDAP | Server«.<br />
Sie benötigen zur Anbindung ans<br />
Active Directory einen Namen für den<br />
virtuellen Server, die IP-Adresse eines<br />
Domänen-Controllers, eine »OU« sowie<br />
den Benutzernamen eines Administrators<br />
in der Domäne. Richtlinien für die<br />
Authentifizierung über Active Directory<br />
legen Sie über »System | Authentication<br />
| LDAP | Policies« an. Die genauen Anleitungen<br />
finden Sie in der PDF-Datei<br />
in [9].<br />
NetScaler produktiv nutzen<br />
Um NetScaler optimal zu nutzen,<br />
sollte das Gerät über mindestens zwei<br />
Netzwerkschnittstellen verfügen. Eine<br />
Schnittstelle ist mit dem internen<br />
Netzwerk, die andere mit dem externen<br />
Netzwerk verbunden. Wie bei<br />
Microsofts TMG gibt es aber auch bei<br />
Net Scaler die Möglichkeit, auf eine einzelne<br />
Netzwerkkarte zu setzen.<br />
Achten Sie beim produktiven Einsatz<br />
von NetScaler darauf, dass Sie eine Lizenzdatei<br />
einspielen müssen. Diese finden<br />
Sie im Bereich »System | Licenses«<br />
der Weboberfläche. Häufig brauchen<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Security<br />
Citrix NetScaler<br />
89<br />
Sie zur Lizenzierung auf der Citrix-Webseite<br />
die Host-ID des NetScaler-Servers.<br />
Dabei handelt es sich um die MAC-<br />
Adresse. Setzen Sie eine VPX-Version<br />
ein, erfahren Sie die MAC-Adresse direkt<br />
im Hypervisor.<br />
Auch mit der Testversion und der<br />
kostenlosen Edition »NetScaler VPX<br />
Express Edition« können Sie Netzwerke<br />
umfassend sichern und Anwendungen<br />
veröffentlichen. Dazu müssen Sie<br />
sogenannte AppExpert-Templates herunterladen<br />
und installieren [10]. Diese<br />
unterstützen Sie bei der Einrichtung<br />
ähnlich wie die Einrichtungsassistenten<br />
zur Veröffentlichung von Exchange und<br />
SharePoint. Bei den Vorlagen handelt<br />
es um einfache XML-Dateien.<br />
In der Weboberfläche finden Sie die<br />
AppExpert-Vorlagen von NetScaler im<br />
Bereich »AppExpert«. In der Mitte des<br />
Fensters können Sie die Download-<br />
Seite der AppExpert-Vorlagen öffnen<br />
und mit »Import AppExpert Template«<br />
in die virtuelle Appliance importieren.<br />
Sind die Vorlagen erst integriert, können<br />
Administratoren interne Lösungen<br />
wie Exchange anbinden – wenn auch<br />
nicht so bequem wie mit TMG. So müssen<br />
Sie vor dem produktiven Einsatz<br />
des NetScalers einiges an Netzwerkwissen<br />
zusammentragen und etliche Einstellungen<br />
vornehmen. So schnell das<br />
Produkt installiert ist, so lange dauert<br />
eine Veröffentlichung der verschiedenen<br />
Dienste.<br />
NetScaler managen<br />
Neben den bereits genannten Funktionen<br />
können Sie NetScaler als Access<br />
Gateway an XenDesktop oder XenApps<br />
anbinden. Dazu steht in der Weboberfläche<br />
der Bereich »Access Gateway«<br />
zur Verfügung. Über diesen können<br />
Sie zentral auch diese Bereiche zur<br />
Veröffentlichung im Internet steuern.<br />
Verschiedene Unterbereiche und Assistenten<br />
helfen bei der Einrichtung.<br />
Interne Anwendungen und die Arbeit<br />
der Datenbank lassen sich mit der<br />
Weboberfläche auch überwachen.<br />
Dazu steht das »Dashboard« zur Verfügung.<br />
Dieses starten Sie in der Weboberfläche<br />
im oberen Bereich. Über<br />
den Link »Reporting« erstellt NetScaler<br />
ausführliche Berichte.<br />
Abbildung 5: NetScaler lässt sich mithilfe der Weboberfläche auch überwachen.<br />
Im Bereich »Configuration« passen Sie<br />
NetScaler an, starten die verschiedenen<br />
Assistenten und importieren die<br />
verschiedenen AppExpert-Vorlagen.<br />
Wählen Sie links den Bereich, in dem<br />
Sie Veränderungen vornehmen möchten,<br />
und rechts davon dann die passenden<br />
Einstellungen.<br />
Besser auf Desktops und<br />
Apps zugreifen<br />
Mit der neuen Version 10.1 von Net-<br />
Scaler lassen sich veröffentlichte Desktops<br />
und Apps noch besser absichern,<br />
schneller veröffentlichen und auch<br />
von Smartphones und Tablets aus besser<br />
nutzen. Dazu nutzt NetScaler das<br />
Citrix-Protokoll HDX.<br />
Außerdem hat Citrix einen Exchange-<br />
ActiveSync-Proxy in NetScaler integriert.<br />
Damit können Anwender mobil<br />
über NetScaler auf Exchange-Postfächer<br />
sicher zugreifen. Unternehmen,<br />
die auf NetScaler SDX setzen, können<br />
für Exchange ActiveSync auf dieser<br />
Basis auch eine eigene Instanz erstellen<br />
und betreiben. Auch wenn die<br />
angebundenen Smartphones ständig<br />
die Leitungsgeschwindigkeit wechseln,<br />
zum Beispiel von 3G zu LTE oder WLAN,<br />
bleiben Verbindungen bestehen. Dazu<br />
nutzt NetScaler »TCP Multipath«. Auch<br />
neue Protokolle wie Googles SPDY-<br />
Erweiterungsprotokoll kennt NetScaler<br />
in der Version 10.1. Mit SPDY lassen<br />
sich HTTP-Verbindungen deutlich beschleunigen.<br />
Fazit<br />
Sicherlich ist Citrix NetScaler ein<br />
hervorragendes Produkt, um TMG-Installationen<br />
abzulösen. Es ist nicht<br />
nur für große Unternehmen, sondern<br />
durchaus auch für kleine Unternehmen<br />
und Niederlassungen geeignet. Da die<br />
Lösung teilweise auch kostenlos zur<br />
Verfügung steht und sich umfassend<br />
testen lässt, sollten Administratoren<br />
einen Blick auf das Produkt werfen,<br />
insbesondere wenn Sie einen Ersatz für<br />
TMG suchen. In einer virtuellen Testumgebung<br />
ist Citrix NetScaler schnell<br />
einsatzbereit und lässt sich in bestehende<br />
Netzwerke flott integrieren.<br />
Unternehmen, die ohnehin schon auf<br />
Citrix-Produkte setzen, können von der<br />
Interaktion mit NetScaler profitieren.<br />
(ofr) n<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30275<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
90<br />
Virtualisierung<br />
RESTful-HA<br />
Hochverfügbarkeit für RESTful-Dienste am Beispiel von OpenStack<br />
Weichensteller<br />
RESTful-Dienste erfreuen sich derzeit großer Beliebtheit, gerade im Zusammenhang mit Clouds. Um<br />
HTTP-basierte Services hochverfügbar zu machen, bietet sich dem Admin ein Füllhorn an Möglichkeiten.<br />
Auf die Kombination kommt es an! Martin Loschwitz<br />
Hochverfügbarkeit ist mittlerweile ein<br />
elementarer Bestandteil jedes neuen<br />
Setups, das IT-Architekten aus der<br />
Taufe heben. Denn die Summen, die<br />
sich wegen entgangener Geschäfte und<br />
Strafzahlungen nach Ausfällen ergeben,<br />
sind oft derart hoch, dass bereits ein<br />
einziger Vorfall teurer kommt als ein<br />
von Anfang an ordentlich implementiertes<br />
High-Availability-Setup.<br />
Auf Linux-Systemen steht dem Admin<br />
in Form des Linux-HA-Stacks mit<br />
Corosync und dem Cluster-Manager<br />
Pacemaker [1] dabei ein umfassender<br />
Werkzeugkoffer zur Verfügung, mit dem<br />
sich zuverlässig Hochverfügbarkeit<br />
realisieren lässt. Doch es muss nicht<br />
immer Pacemaker sein – es gibt auch<br />
andere Möglichkeiten, die durchaus<br />
im praktischen Einsatz sind. Geht es<br />
beispielsweise darum, die ständige<br />
Verfügbarkeit für HTTP-basierte Dienste<br />
zu gewährleisten, dann bieten sich<br />
Loadbalancer an. Gerade für die im<br />
Augenblick sehr beliebten Dienste auf<br />
Grundlage des REST-Prinzips existiert<br />
damit eine echte Alternative zu den<br />
klassischen Failover-Setups, wie sie mit<br />
Cluster-Managern machbar sind.<br />
HA-Hintergründe<br />
Die gängige Lehre beschreibt Hochverfügbarkeit<br />
grundsätzlich als den<br />
Zustand eines Systems, bei dem eine<br />
elementare Komponente ausfallen<br />
kann, ohne dass es zu einer längeren<br />
Downtime kommt. Ein klassischer<br />
Ansatz zur Lösung dieses Problems besteht<br />
in sogenannten Failover-Clustern<br />
nach dem Active-Passive-Prinzip. Dabei<br />
existieren mehrere Server, idealerweise<br />
mit identischer Hardware, derselben<br />
Software und auch der gleichen Konfiguration.<br />
Ein Rechner ist jeweils aktiv,<br />
ein zweiter Rechner steht parat und<br />
übernimmt bei Bedarf den Betrieb der<br />
Applikation, die zuvor auf dem ausgefallenen<br />
ersten System lief. Eine elementare<br />
Komponente in einem Setup<br />
dieser Art ist stets ein Cluster-Manager<br />
wie Pacemaker, der sich um die Überwachung<br />
der Server kümmert und bei<br />
Bedarf den Neustart des Services auf<br />
dem überlebenden System einleitet.<br />
Damit ein Failover funktionieren kann,<br />
müssen ein paar Komponenten des<br />
Systems Hand in Hand zusammenarbeiten.<br />
Zwingend ist – wie zuvor<br />
beschrieben – eine auf beiden Servern<br />
installierte Anwendung mit identischer<br />
Konfiguration. Ein zweites wichtiges<br />
Thema sind die Daten, die die Anwendung<br />
braucht: Falls es sich zum Beispiel<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
RESTful-HA<br />
91<br />
Ying Feng Johansson, 123RF<br />
Abbildung 1: Mittels eines Loadbalancers und Pacemaker lässt sich auch der Proxy-Server<br />
des Swift-Speichers hochverfügbar machen und ordentlich in die Breite skalieren.<br />
Pacemaker übernimmt dabei vor allem Überwachungsaufgaben.<br />
Gute Verbindungen<br />
Ein weiteres Thema ist die Verbindung<br />
der Clients zum hochverfügbaren<br />
Dienst: Eine echte HA-Lösung sollte es<br />
dem Clients keinesfalls vorschreiben,<br />
nach dem Failover die eigene Konfiguration<br />
zu verändern, um eine Verbindung<br />
zum neuen Server aufbauen zu<br />
können. Stattdessen arbeiten Admins<br />
hier meist mit sogenannten Virtual-IPs<br />
oder Service-IPs: Eine IP-Adresse ist<br />
dann fest an einen Dienst gebunden<br />
und stets auf dem Host zu finden, auf<br />
dem dieser Dienst zu dieser Zeit tatsächlich<br />
läuft. Wann immer ein Client<br />
eine Verbindung zu dieser Adresse aufum<br />
eine Datenbank handelt, sollte sie<br />
die gleichen Daten auf beiden Rechnern<br />
zur Verfügung haben. Das wird<br />
beispielsweise durch Shared Storage<br />
möglich, der in Form von Cluster-<br />
Filesystemen wie GlusterFS oder Ceph<br />
oder Netzwerk-Filesystemen wie NFS<br />
oder Replikationslösungen wie DRBD<br />
daherkommen kann (DRDB kommt in<br />
Frage, wenn es sich tatsächlich um einen<br />
Zwei-Knoten-Cluster handelt).<br />
baut, wird er also dort auch den erwarteten<br />
Dienst finden.<br />
Handelt es sich um eine Software, die<br />
Verbindungen im Stateful-Zustand<br />
nutzt, bei der also eine Client-Server-<br />
Verbindung permanent existiert, so<br />
sollte der Client über ein Feature verfügen,<br />
das einen automatischen Reconnect<br />
bewerkstelligt. Die Clients für die<br />
gängigen Datenbanken, also MySQL<br />
oder PostgreSQL, sind hierfür Beispiele.<br />
Deutlich einfacher im Umgang sind<br />
Stateless-Protokolle wie HTTP: Hier<br />
öffnet der Client für jede Server-Anfrage<br />
eine eigene Verbindung. Ob er beim<br />
ersten Request mit Knoten A oder Kno-<br />
n SSL im Handumdrehen<br />
Die im Artikel beschriebene Vorgehensweise ermöglicht es Admins,<br />
RESTful-Komponenten über Loadbalancing hochverfügbar zu machen.<br />
Wer obendrein SSL für seine Dienste anbieten möchte, bekommt das<br />
Feature in Loadbalancer-Setups quasi als Nebeneffekt hinzu, denn<br />
praktisch jeder Loadbalancer bietet auch die Möglichkeit einer SSL-<br />
Verschlüsselung. Der im Artikel vorgestellte HAProxy [3] kann das ausdrücklich<br />
seit Version 1.5. Die Idee ist im Grunde simpel: Die Verbindung<br />
zwischen Client und Loadbalancer ist verschlüsselt, die Verbindung<br />
zwischen Balancer und dem eigentlichen Zielhost aber nicht. Das ist<br />
insofern zu verschmerzen, als dass die Daten auch beim SSL-gestützten<br />
Loadbalancing ja zumindest die Zielplattform erreicht haben. Wäre<br />
diese kompromittiert, so würde sich das in der Regel sowohl auf den<br />
Webserver wie auch auf die Balancer erstrecken, und irgendeine Form<br />
von Verschlüsselung wäre so oder so im Verdacht, bereits aufgebrochen<br />
zu sein. De facto macht es also keinen Unterschied, wo die SSL-Verbindung<br />
terminiert, solange sie das erst im Wirkungsbereich der Zielplattform<br />
tut und nicht außerhalb.<br />
Einige Anwendungen bauen übrigens fest darauf, dass sie sich um SSL<br />
selbst gar nicht zu kümmern brauchen – OpenStack Swift ist ein gutes<br />
Beispiel: Der Dienst hat zwar die Möglichkeit, über die RESTful-Komponente<br />
»swift‐proxy« SSL-Zertifikate auszuliefern, doch ist dieses Feature<br />
in der Dokumentation nur zu Testzwecken freigegeben. Wer Swift<br />
produktiv mit SSL einsetzen möchte, soll das über eine Loadbalancer-<br />
Lösung (Abbildung 4) erledigen.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
92<br />
Virtualisierung<br />
RESTful-HA<br />
Abbildung 2: HAProxy ist eine Applikation, die ausschließlich im Userspace werkelt. Sie bietet eine übersichtliche Statistikseite, über<br />
die sich auch Backends aktivieren und deaktivieren lassen.<br />
ten B redet, ist also völlig egal. Findet in<br />
der Zwischenzeit ein Failover statt, so<br />
merkt der Client davon nichts.<br />
Failover-Nachteile<br />
Das beschriebene Failover-Modell<br />
kommt mit ein paar unangenehmen<br />
Nachteilen daher, die dem Image solcher<br />
Installationen schaden. Einerseits<br />
stehen sie im Verdacht, ökologisch<br />
problematisch zu sein, weil einer<br />
der Knoten immer läuft, Energie verbraucht<br />
und Wärme produziert, ohne<br />
etwas Sinnvolles zu tun. Andererseits<br />
genießt die Usability der vielen Cluster-<br />
Manager, allen voran Pacemaker,<br />
keinen guten Ruf, obwohl sich das in<br />
der Vergangenheit oft genug als altes<br />
Vorurteil gegenüber Heartbeat 2 erwiesen<br />
hat, dem direkten Vorgänger von<br />
Pacemaker. Bleibt das Argument, dass<br />
Failover-Setups für manche Dienstarten<br />
nicht die beste Möglichkeit darstellen,<br />
um Hochverfügbarkeit zu erreichen.<br />
RESTful-Dienste, die auf HTTP oder<br />
HTTPS basieren, sind ein klassiches<br />
Beispiel.<br />
n Loadbalancing per DNS?<br />
Grundsätzlich existieren mehrere Möglichkeiten, um Loadbalancing zu<br />
realisieren. Eine besteht in der Lösung, die dieser Artikel vorstellt:<br />
Dabei kommt eine Loadbalancing-Software zum Einsatz, die eingehende<br />
Verbindungen entgegennimmt, danach auf die Backend-Server<br />
im Hintergrund verteilt und nebenbei noch SSL quasi als ein Neben-<br />
Feature mitbringt.<br />
Wer ohne Loadbalancer-Software auskommen möchte, kann alternativ<br />
auf DNS-basiertes Round-Robin-Balancing setzen, sollte sich aber der<br />
Nachteile bewusst sein, die eine solche Lösung mit sich bringt. Da wäre<br />
zunächst die Tatsache, dass sich DNS-Einträge nicht von jetzt auf gleich<br />
ändern lassen. Ein DNS-Eintrag, der fünf A-Records hat, wird im Falle<br />
des Ausfalls einer der Zielserver dazu führen, das 20 von 100 Clients<br />
eine Fehlermeldung erhalten. Vermeiden ließe sich das Problem nur<br />
dadurch, dass die Ziel-IPs selbst wiederum in einem Pacemaker-Cluster<br />
verwaltet werden, so dass zu keinem Zeitpunkt eine IP-Adresse fehlt.<br />
Ein solches Szenario bietet außerdem keine Möglichkeit, über den<br />
Loadbalancer selbst die Webserver im Hintergrund zu prüfen. Es ist ja<br />
durchaus denkbar, dass ein »httpd« nicht funktioniert, obwohl er unter<br />
seiner üblichen IP-Adresse erreichbar ist – zum Beispiel, weil lokal auf<br />
dem Zielserver selbst ein Problem existiert. Loadbalancer-Programme<br />
bieten häufig Monitoring-Funktionen an, die sogar soweit gehen, dass<br />
sie sich per HTTP mit dem Backend-Server verbinden und prüfen, ob die<br />
als Antwort auf ihren Request ausgelieferte Seite den Inhalt hat, den sie<br />
haben soll. Der Admin würde in solchen Fällen typischerweise eine eigene<br />
Monitoring-Seite bauen, die im Hintergrund verschiedene Checks<br />
durchführt und am Ende schließlich „Everything works“ ausgibt – erhält<br />
der Balancer diesen Text ausgeliefert, betrachtet er das Backend als in<br />
Ordnung; andernfalls wirft er es automatisch aus der Konfiguration und<br />
leitet neue Verbindungen dorthin erst wieder weiter, wenn das Backend<br />
erneut den Dienst aufgenommen hat.<br />
Im Austausch für die genannten Nachteile bietet DNS-Loadbalancing<br />
die Option, eine zu wartende Software-Komponente weniger im Setup<br />
zu haben. Insbesondere für einfache, kleine Dienste bietet sich das<br />
Balancing per DNS insofern an. Und wer ganz große Setups baut, kann<br />
die beiden Methoden auch gewinnbringend miteinander kombinieren:<br />
Denkbar wäre zum Beispiel, mehrere aktive Loadbalancer zu betreiben,<br />
die Clients über DNS-LB erreichen. Die Balancer selbst bilden dann wieder<br />
einen HA-Cluster mit Pacemaker, der sich um die Hochverfügbarkeit<br />
der IP-Adressen kümmert. So wäre bereits die Last, die auf den Loadbalancern<br />
liegt, auf mehrere Systeme verteilbar.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
RESTful-HA<br />
93<br />
Abbildung 3: Jeder Dienst in OpenStack kommt mit einer API daher. Im Beispiel zu sehen sind die RESTful-APIs von Nova, Cinder, Glance und<br />
Quantum sowie Keystone, das selbst ausschließlich eine RESTful-API ist.<br />
REST<br />
REST-basierte Dienste waren im Admin-<br />
<strong>Magazin</strong> in letzter Zeit einige Male<br />
Gegenstand der Betrachtung. Im Kontext<br />
von Cloud-Computing-Lösungen<br />
erleben sie einen wahren Aufschwung.<br />
Denn immer mehr Hersteller von<br />
Anwendungen gehen dazu über, für<br />
die Kommunikation zwischen ihren<br />
Diensten und den Clients nicht ein eigenes<br />
On-Wire-Protokoll zu entwerfen,<br />
sondern stattdessen lieber das seit<br />
gefühlter Ewigkeit vorhandene HTTP-<br />
Protokoll zu nutzen. Dann braucht es<br />
„nur“ noch eine definierte API, damit<br />
ein Client standardisiert auf einem Server<br />
URLs aufrufen kann, gegebenenfalls<br />
spezifische Header mitschickt und der<br />
Server weiß, was er tun soll – fertig ist<br />
das RESTful-Interface.<br />
Gerade weil HTTP eines der erprobtesten<br />
Protokolle des Internets ist, haben<br />
sich über die Frage der Hochverfügbarkeit<br />
bereits vor längerer Zeit clevere<br />
Entwickler Gedanken gemacht. Die<br />
gängige Lösung, um Hochverfügbarkeit<br />
und zugleich auch Scale-Out bei HTTP-<br />
Diensten in den Griff zu kriegen, sind<br />
Loadbalancer.<br />
Loadbalancer-Lösungen<br />
Die Grundidee eines solchen Web-<br />
Loadbalancers ist simpel: Eine Software<br />
lauscht auf einem System auf<br />
der Adresse und auf dem Port, der<br />
eigentlich zur Anwendung gehört. Das<br />
ist der Loadbalancer. Im Hintergrund<br />
existieren die sogenannten Backend-<br />
Server, also die eigentlichen Webserver.<br />
Der Loadbalancer nimmt eingehende<br />
Verbindungen an und verteilt sie nach<br />
einem festen Modus auf die Backend-<br />
Server. So ist für eine gleichmäßige<br />
Auslastung gesorgt, und obendrein gibt<br />
es kein System, das nichts tut.<br />
Neben den Software-basierten Loadbalancern,<br />
mit denen sich dieser Artikel<br />
maßgeblich beschäftigt, sind die Loadbalancer-Appliances<br />
mittlerweile sehr<br />
beliebt, weil sie fix und fertig vom Hersteller<br />
kommen und nur noch ein Mindestmaß<br />
an Konfiguration benötigen.<br />
Spannender ist allerdings ein Überblick<br />
über die Software-Implementationen,<br />
die für Linux zur Verfügung stehen.<br />
Mit Loadbalancern ist es so ein bisschen<br />
wie mit Identd-Daemons oder<br />
IRC-Servern: Für praktisch jeden<br />
Geschmack ist etwas dabei. Wer aus<br />
der Netzwerk-Ecke kommt, wird an<br />
»ldirectord« [2] Gefallen finden, denn<br />
es handelt sich nicht nur um einen der<br />
erprobtesten Loadbalancer für Linux,<br />
sondern außerdem um eine der wenigen<br />
Implementierungen, die auf IPVS<br />
aufbaut und direkt im Kernel ansetzt.<br />
Als Alternative gelten solche Loadbalancer,<br />
die komplett im Userspace<br />
beheimatet sind; der prominenteste<br />
n Listing 1: »haproxy.cfg«<br />
01 global<br />
02 log 127.0.0.1 local0<br />
03 maxconn 4000<br />
04 daemon<br />
05 uid 99<br />
06 gid 99<br />
07 <br />
08 defaults<br />
09 log global<br />
10 mode http<br />
11 option httplog<br />
12 option dontlognull<br />
13 timeout server 5s<br />
14 timeout connect 5s<br />
15 timeout client 5s<br />
16 stats enable<br />
17 stats refresh 10s<br />
18 stats uri /stats<br />
19 <br />
Vertreter dieser Art ist zweifelsohne<br />
HAProxy (Abbildung 3), mit dem sich in<br />
kürzester Zeit ebenfalls Loadbalancer-<br />
Setups aus der Taufe heben lassen. Das<br />
Listing 1 zeigt eine beispielhafte Konfiguration<br />
für HAProxy (/etc/haproxy/<br />
haproxy.cfg), die bereits SSL unterstützt<br />
und eingehende Requests auf Port 80<br />
auf drei verschiedene Backend-Server<br />
weiterleitet.<br />
Sind die Backend-Server so konfiguriert,<br />
dass auf jedem der Computer<br />
ein Webserver oder ein RESTful-Dienst<br />
lauscht, bildet das Gespann aus HA-<br />
Proxy und jenen Backend-Servern<br />
bereits ein komplettes Setup. Es<br />
hängt insofern nicht davon ab, ob der<br />
RESTful-Dienst selbst einen Webserver<br />
als externen Dienst braucht, wie es beispielsweise<br />
beim Rados-Gateway der<br />
Fall ist, das zu Ceph gehört, oder ob der<br />
Dienst selbst auf einem Port lauscht,<br />
wie im OpenStack-Beispiel, bei dem<br />
sämtliche API-Dienste die Kontrolle<br />
20 frontend https_frontend<br />
21 bind www.example.com:443 ssl crt /<br />
etc/haproxy/www.example.com.pem<br />
22 mode http<br />
23 option httpclose<br />
24 option forwardfor<br />
25 reqadd X‐Forwarded‐Proto:\ https<br />
26 default_backend web_server<br />
27 <br />
28 backend web_server<br />
29 mode http<br />
30 balance roundrobin<br />
31 cookie SERVERID insert indirect<br />
nocache<br />
32 server s1 10.42.0.1:443 check<br />
cookie s1<br />
33 server s2 10.42.0.1:443 check<br />
cookie s2<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
94<br />
Virtualisierung<br />
RESTful-HA<br />
Abbildung 4: Keystone ist das Telefonbuch der OpenStack-Cloud. Wenn auf »alice.local« jeweils ein Loadbalancer am betreffenden Port läuft,<br />
funktioniert das Setup wie gewünscht.<br />
über den HTTP- oder HTTPS-Port selbst<br />
übernehmen (Abbildung 2).<br />
n Listing 2: Pacemaker mit DNS-RR-HAProxy<br />
01 primitive p_ip_lb1 oct:heartbeat:IPaddr2 \<br />
02 params ip="208.77.188.166" cidr_netmask=24 iflabel="lb1" \<br />
03 op monitor interval="20s" timeout="10s"<br />
04 primitive p_ip_lb2 oct:heartbeat:IPaddr2 \<br />
05 params ip="208.77.188.167" cidr_netmask=24 iflabel="lb2" \<br />
06 op monitor interval="20s" timeout="10s"<br />
07 primitive p_haproxy ocf:heartbeat:haproxy \<br />
08 params conffile="/etc/haproxy/haproxy.cfg" \<br />
09 op monitor interval="60s" timeout="30s"<br />
10 clone cl_haproxy p_haproxy<br />
11 location p_ip_lb1_on_alice p_ip_lb1 \<br />
12 rule $id="p_ip_lb1_prefer_on_alice" inf: #uname eq alice<br />
13 location p_ip_lb2_on_bob p_ip_lb2 \<br />
14 rule $id="p_ip_lb2_prefer_on_bob" inf: #uname eq bob<br />
Hochverfügbarkeit für den<br />
Loadbalancer<br />
Das vorgestellte HAProxy-Setup kommt<br />
mit einem kleinen Pferdefuß daher,<br />
um den sich der Admin noch zu kümmern<br />
hat: Zwar wäre der Zugriff auf<br />
die Webserver problemlos möglich,<br />
solange auch nur ein einziger Backend-<br />
Server im Rennen ist. Kritisch würde es<br />
allerdings, wenn der Rechner ausfällt,<br />
auf dem der Loadbalancer läuft: Dann<br />
würden Kunden, die sich mit der IP<br />
des Loadbalancers verbinden wollen,<br />
nämlich plötzlich im Regen stehen und<br />
merken, dass die gesamte Plattform<br />
nicht funktioniert. Es gilt insofern zu<br />
verhindern, dass der Loadbalancer<br />
zum hässlichen Single Point of Failure<br />
(SPOF) in der Installation wird. An dieser<br />
Stelle kommt wieder Pacemaker<br />
ins Spiel, der sich für diese Aufgabe<br />
ganz hervorragend eignet. Wer also ein<br />
Loadbalancer-Setup plant, der sollte<br />
sich mit Pacemaker zumindest grundlegend<br />
anfreunden – es sei denn, es<br />
käme eine kommerzielle Balancer-Lösung<br />
zum Einsatz, die sich des Themas<br />
HA automatisch annimmt.<br />
Konkret bieten sich dem Admin zwei<br />
Möglichkeiten, das Problem in den Griff<br />
zu bekommen. Variante 1 sieht vor,<br />
die Loadbalancer-Software auf einen<br />
eigenen Failover-Cluster zu legen und<br />
Pacemaker die Aufgabe zu übertragen,<br />
stets für die HAProxy-Funktionalität zu<br />
sorgen. Mittels einer »clone«-Direktive<br />
wäre es sogar möglich, HAProxy-Instanzen<br />
auf beiden Servern laufen zu lassen<br />
und die Installation mit DNS-Round-<br />
Robin-Balancing zu kombinieren, so<br />
dass es nicht permanent einen funktionslosen<br />
Knoten in der Installation<br />
gibt. Listing 2 enthält die beispielhafte<br />
Pacemaker-Konfiguration für eine solche<br />
Lösung mit dezidiertem Loadbalancer-Cluster.<br />
Der Vorteil: Die Last, die die<br />
Balancer selbst hervorrufen, bleibt separiert<br />
und beeinflusst nicht die Server,<br />
auf denen die Applikation läuft.<br />
Genau das wäre in Variante 2 der Fall:<br />
Hier ist die Annahme, dass einer der<br />
ohnehin vorhandenen Backend-Server<br />
einfach noch den Loadbalancer mit auf<br />
seine Kappe nimmt. Wiederum kombiniert<br />
mit Pacemaker wäre so sichergestellt,<br />
dass auf einem der Knoten stets<br />
ein Loadbalancer läuft, die Plattform<br />
also für eingehende Requests zur Verfügung<br />
steht. Falls die durch den Balancer<br />
verursachte Last vernachlässigbar<br />
klein ist, bietet sich eine solche Lösung<br />
insbesondere dann an, wenn insgesamt<br />
nur wenig Hardware verfügbar ist.<br />
Technisch sauber ist allerdings die Variante<br />
mit eigenem Balancer-Cluster.<br />
Pacemaker als Apache-<br />
Wachhund<br />
Übrigens: Ganz gleich für welches der<br />
beiden Designs sich ein Admin auch<br />
entscheidet: Pacemaker besitzt eine<br />
überaus nützliche Funktion, was die<br />
Webserver-Prozesse auf den Backend-<br />
Hosts angeht. Denn Pacemaker kann<br />
ganz automatisch in regelmäßigen<br />
Abständen überprüfen, ob diese noch<br />
laufen. Mittels einer »clone«-Direktive<br />
kann das für alle Backend-Server auf<br />
einmal geschehen. In Abhängigkeit von<br />
der Größe des Setups bietet Pacemaker<br />
so einen echten Mehrwert. Aber Vorsicht:<br />
Mehr als 30 Knoten funktionieren<br />
in einem Pacemaker-Cluster mehr<br />
schlecht als recht, sodass 30 Knoten für<br />
einen Verbund von Backend-Servern<br />
die Maximalgröße darstellt, falls Pacemaker<br />
zum Einsatz kommen soll. Ein<br />
2er-Set aus Apache-Ressource und<br />
clone-Direktive kann zum Beispiel so<br />
aussehen:<br />
primitive p_apache ocf:lsb:apache2 U<br />
op monitor interval="30s"<br />
timeout="20s"<br />
clone cl_apache p_apache<br />
Am Beispiel von OpenStack<br />
Bis dato beschäftigt sich dieser Artikel<br />
maßgeblich mit der Frage, wie sich<br />
für RESTful-basierte APIs mittels eines<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
RESTful-HA<br />
95<br />
Abbildung 5: Was chaotisch aussieht, ist in Wirklichkeit der Traffic, der zwischen dem Keystone-<br />
Client und dem Server passiert – im Bild zu sehen ist die Übermittlung eines SSL-signierten<br />
Authentifizierungstokens. Gut zu erkennen: HTTPS ist das Mittel der Wahl.<br />
Loadbalancers Hochverfügbarkeit erreichen<br />
lässt. Der oben beschriebene<br />
Weg führt zu einer Installation aus mehreren<br />
Servern mit einem kompletten<br />
Loadbalancer-Setup inklusive Backend-<br />
Hosts. Dabei lässt die Beschreibung bis<br />
dato allerdings Spezifika hinsichtlich<br />
einzelner RESTful-Lösungen aus. Besonders<br />
im Cloud-Kontext, in dem<br />
REST-Interfaces gerade eine echte Blütezeit<br />
erleben, ist die Verwendung der<br />
Schnittstellen aber sehr oft hochgradig<br />
spezifisch. OpenStack ist ein gutes<br />
Beispiel dafür: Jeder der OpenStack-<br />
Dienste hat mindestens eine API oder<br />
ist selber eines. Was gemeinhin als<br />
OpenStack-Cloud beschrieben wird, ist<br />
in Wirklichkeit eine Ansammlung von<br />
diversen Komponenten, die zusammenspielen.<br />
Nun ist es bekanntlich bei OpenStack<br />
so, dass ein Hauptaugenmerk beim Design<br />
der Umgebung auf Skalierbarkeit<br />
in der Breite liegt. Nutzer kommunizieren<br />
ständig mit den einzelnen Komponenten<br />
und auch die Dienste selbst<br />
reden ausgiebig miteinander.<br />
Damit sie das tun können, müssen sie<br />
aber wissen, unter welcher Adresse ein<br />
Dienst wie Glance oder Nova gerade<br />
zu erreichen ist. OpenStack verwendet<br />
für diese Aufgabe die Komponente<br />
Keystone (Abbildung 1), die in ihrer<br />
Datenbank die Liste der Endpoints<br />
pflegt. Als Endpoint bezeichnen die<br />
OpenStack-Entwickler dabei die URL<br />
einer RESTful-API, über die sie Befehle<br />
von außen entgegennimmt. Der Clou:<br />
Die Endpoint-Datenbank ist dadurch<br />
nicht statisch. Um also zum Beispiel die<br />
Adresse zu ändern, unter der Nova von<br />
allen anderen erreicht werden kann,<br />
genügt es, einfach den Endpunkt in<br />
Keystone umzuleiten.<br />
Das sorgt für wesentlich mehr Flexibilität,<br />
als es hartkodierte Werte in<br />
Konfigurationsdateien tun würden,<br />
denn qua Design fragt jeder Client in<br />
OpenStack die Endpunkt-Adresse eines<br />
Dienstes neu ab, bevor er sich mit<br />
ihm verbindet.<br />
Wenn in einem solchen Setup Hochverfügbarkeit<br />
für RESTful-Dienste mittels<br />
eines Loadbalancer-Setups erwünscht<br />
ist, dann umfassen die nötigen Schritte<br />
also mehr als die Installation von zusätzlichen<br />
RESTful-Diensten und HA-<br />
Proxy. Das ist ohnehin kein besonderes<br />
Problem, weil in OpenStack beliebig<br />
viele Instanzen der API-Dienste gleichzeitig<br />
vorhanden sein dürfen, solange<br />
diese im Hintergrund auf die gleiche<br />
Datenbank zugreifen. Wichtig ist aber,<br />
dass sich die Endpoint-Konfiguration<br />
in Keystone dem HA-Umstand anpasst.<br />
Ganz konkret bedeutet das, dass dort,<br />
wo vorher in der Endpoint-Datenbank<br />
die IPs der APIs selbst eingetragen<br />
waren, nun Verweise auf die Loadbalancer<br />
einzutragen sind. Keystone<br />
leitet die Benutzer bei Anfragen also<br />
an die Loadbalancer weiter, die im Hintergrund<br />
dann die Verbindung zu den<br />
Backend-Servern herstellen – wo die eigentlichen<br />
OpenStack-APIs laufen. Das<br />
Schema lässt sich sowohl für interne<br />
wie auch für externe Verbindungen realisieren<br />
(Abbildung 5).<br />
Fazit<br />
Dass Cloud-Computing-Lösungen wie<br />
OpenStack, Eucalyptus und CloudStack<br />
auf RESTful-Schnittstellen setzen,<br />
erleichtert im Hinblick auf Hochverfügbarkeit<br />
so einiges. Schließlich ist für<br />
das zugrunde liegende HTTP-Protokoll<br />
nunmehr eine Lösung für jedes Problem<br />
zu haben, weil irgendwer in den<br />
20 Jahren, die HTTP auf dem Buckel<br />
hat, das Problem bereits gelöst hat.<br />
Wenn es um alleinstehende APIs geht,<br />
genügen mehrere Webserver und ein<br />
Balancer, um Scale-Out und HA zu<br />
erreichen. Wer HA auf Loadbalancer-<br />
Ebene will, erreicht mit Pacemaker sein<br />
Ziel, ohne eine komplexe Cluster-Konfiguration<br />
auf sich zu laden. Wer bereits<br />
eine Cloud-Umgebung betreibt, kann<br />
über den beschriebenen Weg Hochverfügbarkeit<br />
sogar sehr leicht nachrüsten<br />
und seine Installationen so gegen Ausfälle<br />
absichern. (jcb) n<br />
n Info<br />
n Autor<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30201<br />
Martin Gerhard Loschwitz arbeitet als Principal<br />
Consultant bei hastexo. Er beschäftigt sich dort<br />
intensiv mit Hochverfügbarkeitslösungen und pflegt<br />
in seiner Freizeit den Linux-Cluster-Stack für Debian<br />
GNU/Linux.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
96<br />
Security<br />
Firewall bei Amazon<br />
bowie15, 123RF<br />
Firewall in der Amazon Cloud<br />
Aus dem Hut gezaubert<br />
Die Cloud ist nicht nur für Server praktisch: Auch virtuelle Netzwerkgeräte lassen sich dort bequem konfigurieren.<br />
Am Beispiel einer Sophos-Firewall beschreibt dieser Artikel die Vorteile und führt die Inbetriebnahme eines Firewall-Systems<br />
in der Amazon Cloud vor. Thomas Zeller<br />
Die Elastic Compute Cloud EC2 von<br />
Amazon bietet in erster Linie die Möglichkeit,<br />
virtuelle Server zu konfigurieren<br />
und in der Cloud zu betreiben [1].<br />
Ein solcher »Server« kann natürlich<br />
auch eine Firewall sein. Prinzipiell<br />
kommen hier alle Systeme in Frage,<br />
die als Software auf einer virtuellen<br />
Plattform betrieben werden können.<br />
Noch einfacher ist es natürlich, wenn –<br />
wie im Falle der Sophos-UTM-Firewall<br />
(früher Astaro Security Gateway) – der<br />
Hersteller bereits ein vorkonfektioniertes<br />
Amazon Machine Image (AMI) über<br />
den AWS-Marketplace zur Verfügung<br />
stellt. Doch welche Vorteile bietet nun<br />
der Betrieb einer Firewall in der Cloud<br />
beziehungsweise die Cloud-Anbindung<br />
über die Firewall? Nachfolgend stellen<br />
wir die beiden wichtigsten Use-Cases<br />
kurz vor.<br />
Ein typisches Anwendungsszenario für<br />
die Nutzung von AWS-Diensten ist der<br />
Betrieb eines oder mehrerer Server,<br />
zum Beispiel Webserver oder Terminalserver<br />
in der Amazon Cloud, die<br />
mit einer eigenen Firewall geschützt<br />
werden sollen. In diesem Fall werden<br />
die Server im privaten Teil einer Virtual<br />
Privte Cloud (VPC) betrieben. Die<br />
Firewall-Instanz wird dann mit je einer<br />
Schnittstelle mit dem privaten Teil der<br />
VPC und mit dem öffentlichen Teil der<br />
Abbildung 1: Mit der Virtual Private Cloud stellt Amazon ein isoliertes Netzwerk zur<br />
Verfügung. Hier kann man Server betreiben, die sich sogar mit einer eigenen Firewall<br />
<strong>schützen</strong> lassen.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
Firewall bei Amazon<br />
97<br />
VPC verbunden. Der öffentliche Teil der<br />
VPC bekommt eine offizielle IP-Adresse,<br />
sodass die Firewall und damit auch die<br />
dahinter stehenden Server aus dem Internet<br />
erreichbar sind (Abbildung 1).<br />
Cloud-Erweiterung fürs<br />
lokale Netz<br />
Noch spannender wird es, wenn Serversysteme<br />
aus dem LAN in der Amazon<br />
Cloud betrieben oder ausgelagert<br />
werden sollen. Denn auf diese Weise<br />
lässt sich eine lokal installierte Client-<br />
Server-Infrastruktur leicht mit zusätzlichen<br />
Ressourcen aus dem virtuellen<br />
Amazon-Rechenzentrum erweitern. Als<br />
Bindeglied fungiert in diesem Fall wiederum<br />
eine Sophos-UTM-Firewall, die<br />
diesmal allerdings auf der lokalen Seite<br />
und nicht in der Cloud installiert wird.<br />
Dank des integrierten VPC-Connectors<br />
kann eine als lokales Internet-Gateway<br />
eingesetzte Sophos-UTM-Firewall eine<br />
IPsec-VPN-Verbindung zur Amazon<br />
Cloud herstellen und auf diese Weise<br />
das lokale Rechenzentrum mit dem<br />
virtuellen Rechenzentrum bei Amazon<br />
verbinden (Abbildung 2).<br />
Der gesamte Vorgang ist für die Benutzer<br />
transparent. Dienste der bei<br />
Amazon laufenden Server lassen sich<br />
also vom LAN aus direkt ansprechen,<br />
eventuell erwünschte Beschränkungen<br />
für lokale Netze oder Benutzer kann der<br />
Administrator natürlich auf der Firewall<br />
einstellen. Der Sophos-UTM-VPC-Connector<br />
unterstützt das Border Gateway<br />
Protocol (BGP). So kann ein redundan-<br />
Abbildung 2: Per Hardware-VPN lassen sich Ressourcen in der Amazon Cloud so nutzen,<br />
als befänden sie sich im eigenen Netzwerk. Die Verbindung wird in unserem Fall über<br />
den VPC-Connector einer Sophos-UTM-Firewall hergestellt.<br />
ter IPsec-Tunnel zwischen Firewall und<br />
VPC betrieben werden. Zu beachten<br />
ist in diesem Szenario allerdings, dass<br />
Amazon für jede angefangene VPN-Verbindungsstunde<br />
0,05 US-Dollar extra<br />
berechnet; hinzu kommt noch der obligatorische<br />
AWS-Datentransfer. Diese<br />
Konstellation bietet Administratoren<br />
eine enorme Flexibilität, denn Serveroder<br />
Speichersysteme von praktisch<br />
beliebiger Größenordnung können<br />
über den VPC-Connector »on the fly«<br />
bereitgestellt werden.<br />
Start mit Amazon Web<br />
Services<br />
Um mit der Amazon Cloud arbeiten zu<br />
können, müssen Sie zunächst unter<br />
[https:// aws. amazon. com] einen AWS-<br />
Account einrichten. Für diesen wird<br />
zwingend eine Kreditkarte benötigt –<br />
ein Account für den Amazon Online<br />
Shop reicht also nicht aus. Nachdem<br />
Ihr Account eingerichtet wurde, sollten<br />
Sie das Konto im nächsten Schritt<br />
gleich absichern. Denn wird das Konto<br />
von Unbefugten verwendet, entsteht<br />
n Cloud-Firewall für zentralisierten Internet-Zugang<br />
Auch die komplette Verlagerung der Firewall vom lokalen Serverraum<br />
in die Cloud kann besonders für Unternehmen mit vielen Standorten<br />
interessant sein. Denn im Sinne einer zentralen Internet Usage Policy<br />
sollte die Internet-Kommunikation für alle Standorte immer über einen<br />
zentralen Internet-Breakout erfolgen. Die Vernetzung der Standorte erfolgt<br />
dabei über ein sternförmiges VPN, dessen Zentrum die Firewall in<br />
der Cloud bildet. Die Vorteile einer solchen Lösung liegen auf der Hand:<br />
Es existiert nur ein einheitliches Regelwerk für die Benutzer an allen<br />
Standorten und es muss auch nur ein System (statt eines je Standort)<br />
administriert werden. Besonders deutlich werden die Vorteile, wenn<br />
am Standort der Unternehmenszentrale nur wenig Internet-Bandbreite<br />
zur Verfügung steht. Denn in diesem Falle würde die Internet-Leitung<br />
am Hauptstandort nicht nur mit dem VPN-Traffic, sondern zusätzlich ja<br />
auch mit dem Internet-Traffic der Standorte belastet.<br />
Wird als zentrale Firewall in der Cloud ein Sophos-UTM-System betrieben,<br />
ist die VPN-Vernetzung mehrerer Standorte durch den Einsatz der<br />
Sophos-UTM-RED-Technologie besonders einfach. RED ist das Kürzel<br />
für »Remote Ethernet Device«. Dabei handelt es sich um kleine, wartungsfreie<br />
VPN-Boxen, die beispielsweise per Post in die Außenstellen<br />
geliefert und dank eines Provisioning Service über das zentrale Firewall-<br />
System in Betrieb genommen werden können. Dazu muss der Admin<br />
lediglich einen Namen sowie die eindeutige Gerätekennung in die<br />
Sophos-UTM eingeben, um eine Konfigurationsdatei für das jeweilige<br />
Gerät zu erstellen. Das unkonfigurierte RED-Device wird dann am jeweiligen<br />
Standort einfach ans Internet und an Strom angeschlossen und als<br />
Default-Gateway eingesetzt.<br />
Seine Konfiguration bezieht das Gerät automatisch vom Einrichtungsservice.<br />
Anschließend verbindet das Gerät den Standort über einen<br />
sicheren Ethernet-Tunnel mit der Firewall. Der Administrator kann hier<br />
Regeln für die Inter-Netz-Kommunikation konfigurieren, um beispielsweise<br />
bestimmte Services nur bestimmten Benutzern zur Verfügung zu<br />
stellen. Abbildung 3 veranschaulicht dieses Szenario.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
98<br />
Virtualisierung<br />
Firewall bei Amazon<br />
aus dem Service-Menü und legen dort<br />
eine neue Gruppe an (zum Beispiel<br />
»Admin«), der Sie dann entweder das<br />
Policy Template »Administrator Access«<br />
oder eben individuell eingeschränkte<br />
Zugriffsberechtigungen zuordnen.<br />
Legen Sie dann einen persönlichen Benutzer<br />
für sich selbst an und ordnen Sie<br />
diesen Account der Gruppe Admin zu.<br />
Abbildung 3: Interessanter Use-Case: Eine zentrale Firewall in der Amazon Cloud sorgt<br />
hier in Kombination mit kleinen Hardware-VPN-Boxen für einen zentralen Internet-<br />
Breakout an allen Standorten mit einheitlicher Internet-Use-Policy.<br />
schnell großer Schaden. AWS bietet mit<br />
dem Dienst IAM (Identity and Access<br />
Management) dafür ein ausgefeiltes<br />
Framework, mit dem Benutzer und<br />
Gruppen definiert werden können, denen<br />
Sie Passwort-Policies und Berechtigungen<br />
zuordnen können.<br />
Google Authenticator<br />
Zusätzlich unterstützt AWS auch die<br />
Authentifizierung über sogenannte<br />
Multifaktor Devices (MFA) mit Einmalpasswörtern.<br />
Im einfachsten (und<br />
kostenlosen) Fall ist das der Google<br />
Authenticator, den es praktisch für alle<br />
Smartphone-Plattformen gibt. Wer es<br />
noch sicherer mag, kann aber auch zu<br />
einem dedizierten Hardware-Device<br />
(Ezio Time Token) von Gemalto greifen,<br />
das für 12,99 US-Dollar unter [3] erhältlich<br />
ist.<br />
Im ersten Schritt sollten Sie einen<br />
weiteren Benutzer anlegen, damit<br />
Sie nicht mit dem Root-Account Ihres<br />
AWS-Kontos arbeiten müssen. Dazu aktivieren<br />
und starten Sie den IAM-Dienst<br />
Zwei-Faktor-Authentifizierung<br />
aktivieren<br />
Um für Ihren persönlichen Benutzer<br />
nun den Google Authenticator zu aktivieren,<br />
installieren Sie ihn zunächst<br />
auf dem Smartphone. Klicken Sie dann<br />
im »Users«-Menü den Benutzer mit der<br />
rechten Maustaste an und wählen Sie<br />
»Manage MFA Device | A virtual MFA<br />
Device«. Im Google Authenticator fügen<br />
Sie über das Pluszeichen jetzt einen<br />
neuen Account hinzu, wählen »Barcode<br />
scannen« und scannen den auf<br />
dem Bildschirm angezeigten QR-Code.<br />
Auf dem Smartphone wird dann der<br />
Account mit einem aktuellen Token angezeigt.<br />
Zur Aktivierung des MFA müssen<br />
Sie nun noch zwei Token-Codes<br />
eingeben. Für den AWS-Root-Account<br />
funktioniert das im Prinzip genauso,<br />
der Root-Benutzer wird allerdings nicht<br />
im »Users«-Menü, sondern nur im IAM-<br />
Dashboard angezeigt. Anschließend<br />
sollten Sie im Dashboard gleich noch<br />
einen Account-Alias einrichten. Unter<br />
der URL in der Notation »https://IhrIn-<br />
n Von Risiken und Nebenwirkungen: Prism, Tempora & Co<br />
Spätestens seit Edward Snowdens Enthüllungen um die Machenschaften<br />
der amerikanischen und britischen Geheimdienste dürfte sich<br />
überall herumgesprochen haben, dass die Cloud nicht unbedingt der sicherste<br />
Ort für (unverschlüsselte) Daten ist. Zumal Amazon als amerikanisches<br />
Unternehmen auch schon vor dem Bekanntwerden von Prism<br />
& Co aufgrund des Patriot Acts zur Herausgabe von Daten gezwungen<br />
werden konnte.<br />
Problematisch bei der Zusammenarbeit mit amerikanischen (oder besser:<br />
nichteuropäischen) Cloud-Anbietern sind vor allem zwei Aspekte:<br />
1. Datenschutz (Personenbezogene Daten)<br />
Werden personenbezogene Daten, zum Beispiel von Mitarbeitern,<br />
Kunden oder Lieferanten in der Cloud verarbeitet, dürfen diese den<br />
europäischen Wirtschaftsraum nicht verlassen. Denn für diese Daten<br />
gilt gemäß der europäischen Datenschutzrichtlinie der Grundsatz, dass<br />
personenbezogene Daten nur in Staaten übermittelt werden dürfen, die<br />
„ein angemessenes Datenschutzniveau“ besitzen – die USA gehören de<br />
facto nicht zu diesen Staaten.<br />
Eine Ausnahme gilt allerdings für US-Unternehmen, die der Kontrolle<br />
des Handelsministeriums unterliegen und die bei der Zertifizierung für<br />
das sogenannte »Safe-Harbor-Abkommen« die Zusammenarbeit mit<br />
den europäischen Datenschutzaufsichtsbehörden nicht ausgeschlossen<br />
haben. Unter [2] stellt das US-Handelsministerium eine Liste der für<br />
das Safe-Harbor-Abkommen zertifizierten Unternehmen bereit.<br />
2. Wirtschaftsspionage<br />
Mit dem Bekanntwerden des (bisher bekannten) Ausmaßes der Abhöraktion<br />
im Rahmen von Prism und Tempora liegt die Vermutung nahe,<br />
dass die von unseren befreundeten Staaten gewonnenen Daten nicht<br />
ausschließlich zur Terrorabwehr genutzt werden. Denn schließlich ist<br />
im britischen »Intelligence Services Act 1994« als Zielsetzung für die<br />
Geheimdienste unter anderem auch »die Wahrung des wirtschaftlichen<br />
Wohlergehens des Vereinigten Königreichs« fest verankert.<br />
Amazon liefert in seinen FAQs dazu folgenden Hinweis [4]: »Bei Wahl<br />
der Amazon S3-Region EU (Irland) können Kunden sämtliche Daten in<br />
der EU speichern. Dennoch liegt es in Ihrer Verantwortung sicherzustellen,<br />
dass Sie die Datenschutzbestimmungen der EU einhalten.«<br />
Es ist also unverzichtbar, die eigenen Daten vor der Verlagerung in die<br />
Cloud zumindest auf die beiden oben genannten Aspekte hin zu untersuchen.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
Firewall bei Amazon<br />
99<br />
Abbildung 4: Amazons AWS bietet zahlreiche Dienste an. Glücklicherweise lassen sich die am häufigsten benötigten Services fest in der Toolbar<br />
verankern.<br />
dividuellerName.signin.aws.amazon.<br />
com/console« können Sie sich dann mit<br />
den im IAM eingerichteten Benutzern<br />
anmelden.<br />
Szenario 1: Firewall im AWS<br />
Das folgende Szenario beschreibt, wie<br />
Sie eine Virtual Private Cloud aufsetzen,<br />
eine Sophos-UTM-Firewall sowie einen<br />
Windows-Server in der Amazon Cloud<br />
installieren und die Regeln einrichten,<br />
damit diese Systeme miteinander und<br />
auch mit dem Internet kommunizieren<br />
können (siehe Abbildung 1).<br />
Dreh- und Angelpunkt für alle Amazon<br />
Web Services ist die AWS-Management-<br />
Console (Abbildung 4). Die für unser<br />
Vorhaben benötigten Dienste VPC und<br />
EC2 finden sich in der Gruppe »Compute<br />
& Networking«. Im ersten Schritt<br />
soll eine Virtual Private Cloud entstehen,<br />
in der ein Windows-Server läuft.<br />
Die Virtual Private Cloud ist prinzipiell<br />
durch die Amazon-NAT-Firewall vom<br />
Internet abgeschirmt. Stattdessen soll<br />
dort aber eine eigene Firewall laufen.<br />
Sie soll mit einem Netzwerk-Interface<br />
mit der VPC und dem dortigen Windows-Server<br />
verbunden werden. Das<br />
zweite Interface dient zur Anbindung<br />
an das Internet.<br />
Tipp: Häufig benötigte Services wie<br />
EC2 und VPC können Sie sich über den<br />
»Edit«-Button in der Service-Leiste per<br />
Drag-and-Drop direkt in die Toolbar ziehen.<br />
Sie müssen dann nicht jedesmal<br />
den Umweg über das Menü nehmen,<br />
um die Konfigurationsoberfläche des<br />
jeweiligen Service aufzurufen.<br />
Bring your own Network –<br />
VPC-Design<br />
Im ersten Schritt muss man sich ein<br />
paar Gedanken über das Design der<br />
Virtual Private Cloud machen. Für das<br />
Testszenario soll diese Konfiguration<br />
gelten:<br />
Network = 192.168.100.0 / 22<br />
Das entspricht einer Host Range<br />
von 1022 Hosts (192.168.100.1 bis<br />
192.168.103.254). Innerhalb dieser VPC<br />
bildet man nun zwei Subnetze, nämlich<br />
192.168.100.0/24 und 192.168.101.0/<br />
24. Die Firewall erhält für ihr externes<br />
Interface dann eine Adresse aus dem<br />
100er-Netz; die Netzwerkkarte, die mit<br />
dem privaten Teil der VPC verbunden<br />
wird, hingegen eine aus dem 101er-<br />
Netz. So mancher Admin stellt sich<br />
wohl nun die Frage, wie das private<br />
»externe« Netz mit dem Internet kommunizieren<br />
soll. Dafür stellt AWS einen<br />
Mechanismus namens Elastic-IP bereit.<br />
Doch der Reihe nach.<br />
Rufen Sie aus dem Services Menü<br />
»VPC« auf und starten Sie den »VPC<br />
Wizard«. Wählen Sie dort »VPC with Public<br />
and Private Subnets« und klicken<br />
Sie auf »Continue«. Im nächsten Dialog<br />
editieren Sie die einzelnen Bereiche<br />
entsprechend des Netzwerk-Designs<br />
von oben:<br />
IP CIDR block: 192.168.100.0/22<br />
DNS Hostnames: Enabled<br />
Unter »Two Subnets« tragen Sie jetzt<br />
noch die beiden folgenden Subnetze<br />
ein:<br />
Public Subnet: 192.168.100.0/24 (251 U<br />
available IPs) Availability Zone: us-U<br />
west-2a<br />
Private Subnet: 192.168.101.0/24 (251 U<br />
available IPs) Availability Zone: us-U<br />
west-2a<br />
Achten Sie unbedingt darauf, für beide<br />
Subnetze die gleiche »Availability<br />
Zone« auszuwählen. Die Default-Einstellung<br />
»No Preference« genügt nicht!<br />
Die restlichen Einstellungen können<br />
Sie dagegen bedenkenlos übernehmen<br />
und die VPC mit einem Klick auf<br />
»Create VPC« erzeugen. Für den Betrieb<br />
einer Virtual Private Cloud fallen übrigens<br />
keine zusätzlichen Kosten an.<br />
Schaufensterbummel<br />
Im nächsten Schritt installieren wir nun<br />
die Firewall. Dazu wechseln Sie über<br />
das Servicemenü in das EC2-Dashboard<br />
und klicken dort auf »Launch Instance«.<br />
Im Quick Launch Wizard wählen Sie<br />
dann »AWS Marketplace« und geben<br />
in das Suchfeld »Sophos« ein. Im Marketplace<br />
werden aktuell zwei Versionen<br />
der Sophos-Firewall angeboten:<br />
Sophos UTM 9 BYOL und Sophos UTM<br />
9. »BYOL« steht für „Bring your own license“<br />
und ist kostenfrei, da die Lizenz<br />
für die Firewall nicht enthalten ist. Das<br />
Lizenzmodell von Sophos ist Abonnement-basiert.<br />
Die einzelnen Features<br />
wie Network Security, Mail Security,<br />
Web Security, Webserver Security und<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
100<br />
Virtualisierung<br />
Firewall bei Amazon<br />
externen Zugriff nur dann nötig, wenn<br />
Sie sich später auch per SSH auf der<br />
Kommandozeile einloggen wollen. Der<br />
Zugriff auf das Sophos-UTM-Web-Interface<br />
erfolgt über Benutzernamen und<br />
Passwort, das nach der Installation initial<br />
gesetzt wird. Aus Sicherheitsgründen<br />
sollten Sie aber auf jeden Fall ein<br />
Schlüsselpaar generieren lassen und<br />
auf Ihren Rechner herunterladen.<br />
Abbildung 5: Das Netz im Netz: Mit der Virtual Private Cloud lassen sich private Netze<br />
und Subnetze innerhalb der Amazon Cloud abbilden. Die IP-Netze sind dabei frei wählbar.<br />
Wireless Security können also modular<br />
erworben werden. Das BYOL-AMI läuft<br />
aber nach der Installation auch 30 Tage<br />
ohne Lizenz-Key – für erste Tests ist das<br />
mehr als genug.<br />
Lizenz inklusive<br />
Alternativ können Sie sich auch für das<br />
zweite AMI entscheiden. Dieses enthält<br />
bereits eine Lizenz, in der alle Features<br />
aktiviert sind. Die Lizenzgebühren werden<br />
hier (wie bei den Amazon-Diensten)<br />
nur für die tatsächlich in Anspruch<br />
genommene Laufzeit in Rechnung gestellt<br />
– der Lizenzkauf entfällt hier also<br />
komplett. Der Preis dieser Mietlizenz<br />
richtet sich nach der Größe des verwendeten<br />
EC2-Instance-Type. So kostet<br />
eine Instanz »m1.small« mit 1,7 GByte<br />
RAM, einer Virtual Core CPU und 160<br />
GByte EBS-Storage in der 64-Bit-Version<br />
beispielsweise rund 216 US-Dollar im<br />
Monat. Hinzu kommen noch die Kosten<br />
für die EC2-Instanz in Höhe von 43,20<br />
pro Monat – insgesamt also 259,20<br />
US-Dollar im Monat. Der Vorteil dieses<br />
Modells ist, dass Sie den Instance-Type<br />
immer dynamisch Ihrem Bedarf anpassen<br />
können – bezahlt wird immer nur<br />
das, was Sie gerade nutzen.<br />
Wählen Sie zum Test das BYOL-AMI aus,<br />
klicken Sie auf »Continue« und entscheiden<br />
Sie sich unter »EC2 Instance<br />
Type« für eine virtuelle Hardware-<br />
Plattform. Ein gutes Verhältnis zwischen<br />
Preis und Performance bietet<br />
die Instanz »m1.medium«. Nachdem<br />
Sie sie ausgewählt haben, klicken Sie<br />
auf »Launch with EC2 Console« und<br />
wählen dort die Region. Bitte beachten<br />
Sie, dass Ihre neue EC2-Instanz und die<br />
VPC in der gleichen AWS-Region laufen<br />
müssen.<br />
Der Wizard möchte im zweiten Schritt<br />
nun wissen, wo die Instanz gestartet<br />
werden soll. Hier wählen Sie »EC2‐VPC«<br />
aus und stellen unter Subnet jenes Netz<br />
ein, das Sie bei der Erstellung der VPC<br />
als Public-Subnet angelegt haben. Im<br />
Beispiel ist dies 192.168.100.0/24. Nach<br />
einem Klick auf »Continue« beginnen<br />
Sie mit der Netzwerkkonfiguration.<br />
Da die Firewall zwei Netzwerkkarten<br />
benötigt, stellen Sie hier »2« ein. Der<br />
externen Schnittstelle (eth0) geben<br />
Sie jetzt eine IP-Adresse aus dem<br />
Public-Netz vor: 192.168.100.5. Genauso<br />
verfahren Sie mit der internen<br />
Schnittstelle (eth1): Wählen Sie aus der<br />
Liste der Subnetze 192.168.101.0/24<br />
und vergeben Sie analog die IP-Adresse<br />
192.168.101.5. Wie viele Netzwerkschnittstellen<br />
Sie hier auswählen können,<br />
hängt übrigens nur vom gewählten<br />
Instanz-Typ ab. Im vorletzten Dialog<br />
des Wizards können Sie noch mehrere<br />
eigene »Tags« definieren. Mit ihnen fällt<br />
die Orientierung in der AWS-Konsole<br />
später leichter, wenn dort mehrere Maschinen<br />
laufen. Sinnvolle Tags sind zum<br />
Beispiel ein aussagekräftiger Name für<br />
die Instanz und die beiden IP-Adressen<br />
für das interne und externe Interface.<br />
Login-Schlüssel<br />
Im letzten Dialog steht jetzt noch die<br />
Erstellung eines Schlüsselpaares an.<br />
Prinzipiell ist ein Schlüsselpaar für den<br />
Firewall ausschalten<br />
Vor dem ersten Start der neuen Instanz<br />
in der Cloud bleibt nun noch ein<br />
wichtiger Schritt: Die Amazon Virtual<br />
Private Cloud wird durch einen netzseitigen<br />
NAT-Router/Paketfilter geschützt.<br />
Da Sie selbst eine Firewall betreiben,<br />
müssen Sie diese Firewall-Funktion<br />
also vollständig deaktivieren. Dafür definieren<br />
Sie eine eigene Security-Group,<br />
in der Sie sämtlichen Datenverkehr<br />
zulassen:<br />
Create a new rule: All Traffic<br />
Source: 0.0.0.0/0<br />
Abschließend zeigt der Wizard alle<br />
Daten nochmal im Überblick an. Passt<br />
alles, starten Sie mit einem Klick auf<br />
»Launch« die Installation. Im EC2-<br />
Dashboard taucht die neue virtuelle<br />
Maschine dann kurze Zeit später mit<br />
dem Status »running« auf.<br />
Elastische IP<br />
Damit die Firewall übers Internet<br />
erreichbar ist, müssen Sie ihr jetzt<br />
noch eine offizielle IP-Adresse – im<br />
Amazon-Speak »Elastic-IP« – zuordnen.<br />
AWS reserviert automatisch eine<br />
öffentliche IP-Adresse für jede VPC,<br />
die Sie anlegen. Zu finden sind diese<br />
dann im EC2-Dashboard unter dem<br />
Menüpunkt »Elastic-IPs«. Per Default<br />
wird die Elastic-IP für jede VPC dem<br />
Amazon-NAT-Router zugewiesen, denn<br />
Amazon geht ja davon aus, dass Sie<br />
die VPC über deren Firewall erreichbar<br />
machen möchten. Um die Elastic IP<br />
jetzt dem externen Interface unserer<br />
Firewall zuzuweisen, müssen Sie die<br />
Bindung an das Amazon-NAT-Gateway<br />
also erst einmal lösen. Dazu wählen Sie<br />
»Disassociate Address« und bestätigen<br />
die nachfolgende Sicherheitsfrage.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
Firewall bei Amazon<br />
101<br />
Anschließend klicken Sie auf »Associate<br />
Address« und wählen unter »Instance«<br />
im folgenden Dialog die soeben installierte<br />
Sophos-UTM-Instanz sowie unser<br />
VPC-Public-Netz (192.168.100.0) aus,<br />
damit die offizielle IP-Adresse auf das<br />
externe Interface gebunden wird.<br />
Firewall konfigurieren<br />
Jetzt ist der große Augenblick gekommen<br />
und Sie können das erste Mal über<br />
die offizielle IP-Adresse auf die webbasierte<br />
Administrationsoberfläche Ihrer<br />
neuen Firewall zugreifen. Dazu rufen<br />
Sie in einem neuen Browserfenster die<br />
folgende URL auf: »https://IhreElasticIP:4444«.<br />
Die Eingabe der Portnummer<br />
4444 für den Zugriff auf das Admin-Interface<br />
ist erforderlich, da Sophos-UTM<br />
auf Port 443 das User-Portal betreibt.<br />
Da auf der Firewall kein offzielles SSL-<br />
Zertifikat installiert ist, bestätigen Sie<br />
die Warnmeldung des Browsers und<br />
fügen eine Ausnahmeregel für die Site<br />
hinzu. Anschließend haben Sie Zugriff<br />
auf die Sophos-UTM-Instanz in der<br />
Cloud, die Sie nun noch konfigurieren<br />
werden. Füllen Sie die Felder im folgenden<br />
Dialog aus. Hier vergeben Sie zum<br />
Beispiel den Hostnamen und definieren<br />
das Admin-Passwort. Akzeptieren Sie<br />
die Lizenzbedingungen und klicken Sie<br />
auf »Perform basic system setup«. Je<br />
nach gewähltem Instanz-Typ dauert<br />
es nun bis zu zwei Minuten, bis die Einrichtung<br />
vollständig abgeschlossen ist.<br />
Tipp: Wenn Sie für den Zugriff auf Ihre<br />
Domain einen eigenen Domain-Name-<br />
Service betreiben, legen Sie für die<br />
Elastic-IP dort einfach einen A-Record,<br />
zum Beispiel »awsutm.domain.de« an.<br />
So können Sie das Admin-Interface der<br />
Cloud-Firewall unter einem leicht zu<br />
merkenden Namen ansprechen.<br />
Netzwerkschnittstellen<br />
konfigurieren<br />
Da der Administrator normalerweise<br />
über das LAN-Interface auf die Konfigurationsoberfläche<br />
der Firewall zugreift,<br />
lautet die Bezeichnung der Netzwerkkarte<br />
unter »Interfaces & Routing |<br />
Interfaces« auch »Internal«. Ändern<br />
Sie diese Bezeichnung auf »External«,<br />
indem Sie die Interface-Einstellungen<br />
editieren. Den Schnittstellentyp belassen<br />
Sie dabei auf »Ethernet DHCP«.<br />
Da es noch weitere Server in der VPC<br />
geben soll, benötigen Sie noch ein<br />
Netzwerk-Interface in dieses Netz. Legen<br />
Sie ein neues Netzwerk-Interface<br />
an und benennen Sie die Schnittstelle<br />
»Internal«. Als Schnittstellentyp wählen<br />
Sie »Ethernet Static«, als IP-Adresse<br />
verwenden Sie eine aus dem privaten<br />
Subnetz unserer VPC, zum Beispiel<br />
192.168.101.5. Bitte beachten Sie, dass<br />
das Interface nach dem Anlegen noch<br />
aktiviert werden muss. Dies geschieht<br />
über den kleinen Schalter neben dem<br />
»Edit«-Button. Nach einem Refresh der<br />
Browser-Sitzung sollten nun beide Interfaces<br />
als »Up« dargestellt werden.<br />
DNS, Firewall & NAT<br />
Nun müssen Sie noch dafür sorgen,<br />
dass die Systeme in der VPC über unsere<br />
Firewall auch mit dem Internet<br />
kommunizieren können. Dafür tragen<br />
Sie unter »Network Services | DNS«<br />
unter »Allowed Networks« das interne<br />
VPC-Subnetz ein: »Internal (Network)«<br />
192.168.100.0/24. Unter »Forwarders«<br />
deaktivieren Sie die Option »Use forwarders<br />
assigned by ISP« und tragen<br />
stattdessen einen oder mehrere freie<br />
DNS-Server, zum Beispiel Googles<br />
Abbildung 6: Dank des integrierten HTML5-Portals der Sophos-UTM-Firewall lässt sich ein Windows-Terminalserver in der Cloud auch direkt im<br />
Browser ansprechen.<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
102<br />
Virtualisierung<br />
Firewall bei Amazon<br />
Windows-Server aufsetzen<br />
Für den Test soll ein virtueller Windows-Server<br />
im privaten Teil der VPC<br />
betrieben werden und per RDP dann<br />
über die Firewall aus dem Internet erreichbar<br />
sein. Die Vorgehensweise ist<br />
dabei identisch mit der beim Anlegen<br />
der Sophos-UTM-Instanz: Im EC2-Dashboard<br />
den Classic-Wizard für eine neue<br />
Instanz verwenden und als AMI eines<br />
der bereitgestellten Windows-Images<br />
auswählen. Die Instanz wird dann<br />
wieder in der VPC gestartet und erhält<br />
wiederum eine IP-Adresse aus dem privaten<br />
Subnetz (192.168.101.0/24). Als<br />
»Security‐Group« verwenden Sie wie<br />
bei der Firewall wieder die zuvor selbst<br />
definierte Gruppe »All Traffic«.<br />
Abbildung 7: Per Hardware-VPN lassen sich Ressourcen in der Amazon Cloud so nutzen,<br />
als befänden sie sich im eigenen Netzwerk. Die Verbindung wird in diesem Fall über den<br />
VPC-Connector einer Sophos-UTM-Firewall hergestellt.<br />
8.8.8.8 und 8.8.4.4, als Forwarder ein.<br />
Im Bereich »Network Protection |<br />
Firewall« legen Sie dann eine Regel an,<br />
die zunächst allen ausgehenden Traffic<br />
vom privaten Subnetz ins Internet<br />
erlaubt:<br />
Sources: Internal (Network)<br />
Services: Any<br />
Destinations: Any<br />
Natürlich würde man die Server aus<br />
der VPC in einer Produktivumgebung<br />
nicht ungefiltert in Richtung Internet<br />
kommunizieren lassen. Für Webzugriffe<br />
empfiehlt es sich, den Web-Proxy mit<br />
Virenscanner zu aktivieren. Werden<br />
weitere ausgehende Services benötigt,<br />
sollten diese explizit als Firewall-Regel<br />
angelegt werden.<br />
Um die Windows-Maschine später<br />
vollständig einzurichten, benötigen Sie<br />
Zugriff per RDP auf das System. Fürs<br />
Erste richten Sie als Krücke eine DNAT-<br />
Regel (»Network Protection | NAT | New<br />
NAT Rule«) ein, mit der Sie den RDP-<br />
Dienst über die offizielle IP-Adresse der<br />
Firewall ansprechen können:<br />
For traffic from: Any<br />
Using Service: Microsoft Remote Desktop U<br />
3389/TCP<br />
Going to: External (Address)<br />
Change the destination to: IP Adresse<br />
des Windows Servers in der VPC<br />
Für den Produktivbetrieb ist der Zugriff<br />
per RDP (Abbildung 6) über das<br />
Internet natürlich nicht geeignet. Die<br />
NAT-Regel sollten Sie daher nach der<br />
Einrichtung des Servers wieder deaktivieren<br />
oder gleich ganz löschen. Stattdessen<br />
verwenden Sie besser einen<br />
VPN-Tunnel. Sophos-UTM hält dafür<br />
mehrere Alternativen bereit, von Open-<br />
VPN über IPsec bis zu L2TP. Alternativ<br />
bietet Sophos-UTM aber auch die Möglichkeit,<br />
den Windows-Server (und andere<br />
Dienste) mit Hilfe des integrierten<br />
HTML5-Portals verfügbar zu machen.<br />
Der Zugriff auf den Windows-Server<br />
erfolgt dann einfach über den Browser<br />
und das User-Portal der Firewall. Wie<br />
das genau funktioniert, wurde bereits<br />
in Ausgabe 6/2012 des <strong>ADMIN</strong>-<strong>Magazin</strong>s<br />
beschrieben [5].<br />
Schlüssel abholen<br />
Da Windows kein Default-Passwort für<br />
Administratoren kennt, sollten Sie für<br />
Windows-Systeme in der AWS immer<br />
ein neues Schlüsselpaar anfordern.<br />
Nachdem die Windows-Instanz erzeugt<br />
wurde und im Dashboard erscheint,<br />
fordern Sie das Windows-Admin-<br />
Passwort an. Dazu klicken Sie im EC2-<br />
Dashboard mit der rechten Maustaste<br />
auf die Server-Instanz und wählen den<br />
Befehl »Get Windows Password«. Das<br />
Passwort wird zunächst nur verschlüsselt<br />
angezeigt. Um das Windows-Passwort<br />
im Klartext darzustellen, laden Sie<br />
den Private Key Ihres Schlüsselpaares<br />
hoch oder fügen ihn per Copy-and-<br />
Paste in das zugehörige Feld ein.<br />
Tipp: Beachten Sie, dass die Erzeugung<br />
des Windows-Passworts mindestens<br />
15 Minuten in Anspruch nimmt. Wenn<br />
Sie den Server gerade erst aufgesetzt<br />
haben, müssen Sie sich also noch ein<br />
wenig gedulden, bis das Passwort angefordert<br />
werden kann.<br />
Routing anpassen<br />
Bevor Sie nun per RDP über das Internet<br />
auf den Windows-Server zugreifen<br />
können, ist allerdings noch ein<br />
wichtiger Arbeitsschritt zu erledigen.<br />
Denn die Default-Route des privaten<br />
Subnetzes der VPC zeigt derzeit noch<br />
auf das Amazon-NAT-Gateway. Dieses<br />
müssen Sie jetzt durch die Schnittstelle<br />
der Firewall ins private Subnetz<br />
(192.168.101.5) ersetzen. Finden Sie<br />
dazu im EC2-Menü unter »Network Interfaces«<br />
die Interface-ID der Netzwerkkarte<br />
mit der IP-Adresse 192.168.101.5<br />
und notieren Sie sich deren Namen,<br />
zum Beispiel »eni‐bb898fd3«. Rufen Sie<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
Virtualisierung<br />
Firewall bei Amazon<br />
103<br />
im VPC-Menü »Route Tables« auf und<br />
wählen Sie dort die Route-Table-ID aus,<br />
bei der in der Main-Spalte »Yes« steht<br />
(Default-Route). Entfernen Sie die Default-Route<br />
mit dem »Remove«-Button.<br />
Legen Sie die Default-Route neu an:<br />
Destination 0.0.0.0/0. Unter »Target«<br />
klicken Sie auf »Enter Network InterfaceID«<br />
und wählen die Interface-ID aus<br />
der Liste aus, die Sie sich notiert haben.<br />
RDP funktioniert<br />
Dank des korrigierten Routings und der<br />
zuvor auf der Firewall eingerichteten<br />
NAT-Regel können Sie jetzt mit einem<br />
RDP-Client auf den Windows-Server<br />
zugreifen. Dazu geben Sie einfach Ihre<br />
Elastic-IP oder den in Ihrem DNS-Server<br />
vergebenen Hostnamen in den RDP-<br />
Client ein und melden sich als Administrator<br />
mit dem zugehörigen Passwort<br />
an. Zur abschließenden Einrichtung<br />
der Windows-Instanz tragen Sie in<br />
den Netzwerk-Einstellungen noch die<br />
IP-Adresse (192.168.101.10) sowie das<br />
Default-Gateway und den DNS-Server<br />
(192.168.101.5) ein.<br />
Szenario 2: VPC-Connector<br />
Dieses Szenario geht davon aus, dass<br />
die Amazon Cloud als Erweiterung<br />
eines lokalen LANs beziehungsweise<br />
Rechenzentrums verwendet werden<br />
soll. Amazon stellt für diesen Zweck<br />
netzseitig VPN-Gateways bereit, die mit<br />
verschiedenen Hardware-VPN-Routern<br />
und Firewalls – darunter die Sophos-<br />
UTM-Firewall – kompatibel sind. Die<br />
VPN-Anbindung kann dabei entweder<br />
über statisches oder dynamisches Routing<br />
erfolgen.<br />
Das dynamische Routing von IPsec-<br />
VPN-Tunneln setzt die Unterstützung<br />
des Border Gateway Protocols (BGP)<br />
voraus. Unter [6] stellt Amazon eine<br />
Liste der kompatiblen VPN-Hardware-<br />
Devices bereit, die auch Auskunft zur<br />
BGP-Unterstützung gibt. Für kompatible<br />
Geräte lassen sich im VPC-Wizard<br />
Konfigurationsdateien erstellen, die<br />
dann einfach in das lokale VPN-Gerät<br />
eingelesen werden.<br />
Um den VPC-Connector mit einer lokal<br />
installierten Sophos-UTM-Firewall zu<br />
nutzen, muss sie mit einer festen IP-Adresse<br />
ans Internet angebunden und mit<br />
der Software-Version 9 bestückt sein.<br />
Die Verwendung von Hostnamen statt<br />
fester IP-Adressen für die IPsec-Verbindung<br />
wird leider nicht unterstützt.<br />
Netzwerke, die über eine dynamische<br />
IP-Adresse ans Internet angebunden<br />
sind, bleiben daher außen vor und<br />
können den VPC-Connector nicht verwenden.<br />
Sind diese Voraussetzungen<br />
gegeben, ist die Einrichtung der VPN-<br />
Verbindung kinderleicht (Abbildung 7).<br />
VPC anlegen<br />
Um das lokale Netzwerk mit den Ressourcen<br />
im virtuellen Rechenzentrum<br />
bei Amazon zu verbinden, benötigen
104<br />
Virtualisierung<br />
Firewall bei Amazon<br />
Abbildung 8: Der VPC-Wizard ist bei der Auswahl des passenden Szenarios behilflich. So lassen sich<br />
schnell Ressourcen in der Amazon Cloud im lokalen Netzwerk nutzen.<br />
über den Dialog unter »Site‐to‐Site<br />
VPN | Amazon VPC« auf dem Tab »Setup«<br />
unter »Import via Amazon VPC<br />
configuration«. Nach dem Upload der<br />
Konfiguration aktivieren Sie sie über<br />
den Button »Apply«. Anschließend<br />
wird die VPN-Verbindung ins virtuelle<br />
Rechenzentrum sofort hergestellt.<br />
Wechseln Sie auf den Status-Reiter in<br />
der VPN-Konfiguration, um die Details<br />
der beiden per BGP dynamisch gerouteten<br />
IPsec-Tunnel einzusehen. Server-<br />
Instanzen in der EC2, die Sie über diese<br />
Verbindung an das lokale Netzwerk<br />
anbinden möchten, müssen natürlich<br />
wieder in der entsprechenden VPC gestartet<br />
werden.<br />
Da die Firewall das Routing über den<br />
VPN-Tunnel übernimmt, können Sie die<br />
Serverdienste in der Cloud dann über<br />
deren private IP-Adresse vom LAN aus<br />
ansprechen.<br />
n Autor<br />
n Info<br />
Sie zunächst eine weitere Virtual<br />
Private Cloud, diesmal aber mit VPN-<br />
Zugriff. Starten Sie den Wizard über das<br />
VPC-Dashboard und wählen Sie »VPC<br />
with a Private Subnet Only and Hardware<br />
VPN Access« (Abbildung 8). Der<br />
Wizard fragt zunächst die öffentliche<br />
IP-Adresse des lokal installierten VPN-<br />
Gateways ab. Im Falle eines Sophos-<br />
Thomas Zeller ist IT-Consultant<br />
und beschäftigt sich seit über<br />
15 Jahren mit IT-Sicherheit<br />
und Open Source. Er ist Autor/<br />
Co-Autor der Bücher »OpenVPN<br />
kompakt« und »Mindmapping mit<br />
Freemind«. Im richtigen Leben ist<br />
er IT-Unternehmer und Geschäftsführer<br />
eines mittelständischen IT-<br />
Systemhauses und verantwortet<br />
dort auch den Geschäftsbereich<br />
IT-Sicherheit.<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30398<br />
UTM-Systems ist dies die offizielle<br />
IP-Adresse der externen Netzwerkkarte<br />
der Firewall. Bei den Routing-Optionen<br />
können Sie zwischen statischem und<br />
dynamischen Routing wählen.<br />
Da Sophos-UTM das Border Gateway<br />
Protocol (BGP) unterstützt, soll dynamisches<br />
Routing zum Einsatz kommen.<br />
Wie in Szenario 1 steht im nächsten<br />
Schritt nun wieder die Definition des<br />
VPC-Netzes an. In diesem erzeugen Sie<br />
wieder ein Subnetz, in dem später die<br />
Server laufen, die über die VPN-Verbindung<br />
mit dem lokalen Netz gekoppelt<br />
werden sollen:<br />
VPC: 192.168.12.0/22<br />
Private Subnet: 192.168.15.0/24<br />
Nach einigen Minuten hat Amazon die<br />
VPC erzeugt und bietet den Download<br />
einer Konfigurationsdatei für den VPN-<br />
Zugriff an. Damit die Konfigurationsdatei<br />
eingelesen werden kann, müssen<br />
Sie hier das korrekte Format wählen. In<br />
diesem Fall ist das »Sophos UTM V9«.<br />
Laden Sie die Datei herunter und speichern<br />
Sie sie auf Ihrem Rechner.<br />
Verbindung aufnehmen<br />
Im nächsten Schritt lesen Sie die Konfiguration<br />
in die lokal installierte Sophos-UTM-Firewall<br />
ein. Dies geschieht<br />
Fazit<br />
Der Einsatz von Cloud-Infrastrukturen<br />
wie den Amazon Web Services eröffnet<br />
Unternehmen und Privatleuten Zugang<br />
zu praktisch unendlichen Computing-<br />
und Storage-Ressourcen. Egal ob<br />
nur ein Webserver benötigt wird oder<br />
gleich ganze Teile aus dem eigenen<br />
Rechenzentrum in die Cloud wandern<br />
sollen – praktisch für jede Anforderung<br />
steht dort ein geeigneter Service zur<br />
Verfügung. Die geltenden Datenschutzbestimmungen<br />
und das Risiko der<br />
Ausspähung unternehmenskritischer<br />
Informationen sollte man dabei natürlich<br />
stets im Blick behalten.<br />
Wer bereits eine Sophos-UTM-Firewall<br />
zum Schutz des eigenen Unternehmensnetzwerks<br />
einsetzt, kann sein<br />
LAN mit dem ab Version 9 verfügbaren<br />
VPC-Connector leicht an das virtuelle<br />
Amazon-Rechenzentrum andocken.<br />
Ressourcen dort lassen sich dann mit<br />
einer redundanten VPN-Verbindung<br />
so einfach verwenden, als befänden<br />
sie sich im eigenen Netzwerk. Umgekehrt<br />
lässt sich aber auch einfach<br />
eine Sophos-UTM-Firewall in der AWS<br />
einrichten, um dort gehostete Services<br />
zu <strong>schützen</strong> oder eine zentrale Firewall<br />
für verteilte Standorte bereitzustellen.<br />
VPN-Tunnel sorgen dann für Sicherheit<br />
und richtiges Routing. (ofr) n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
freeX<br />
Einführung<br />
105<br />
Sonderteil<br />
Auf der folgenden Seite startet der regelmäßige<br />
FreeX-Sonderteil des <strong>ADMIN</strong>-<strong>Magazin</strong>s. Hier finden<br />
Sie Know-how-Artikel und Workshops von erfahrenen<br />
Autoren aus der langen Tradition der FreeX.<br />
Boto.............................................106<br />
Fernsteuerung der Amazon Cloud mit eigenen<br />
Python-Skripten.<br />
Android-Security.............................. 110<br />
Eine Studie zeigt: Mit der Sicherheit von Android-<br />
Anwendungen steht es nicht zum Besten, wenn<br />
es um SSL-Verschlüsselung geht.<br />
ika747, 123RF<br />
www.admin-magazin.de Admin Ausgabe 11-2013
106<br />
freeX<br />
Boto<br />
Marcin Balcerzak, 123RF<br />
Apache Cloud mit Boto fernsteuern<br />
Freischwimmer<br />
Das Boto-Modul hilft dabei, Ressourcen in der Amazon Cloud zu managen. Dieser Artikel gibt eine Einführung<br />
in die Programmierung mit der Python-Bibliothek. Oliver Frommel<br />
Die Amazon Cloud bietet eine ganze<br />
Reihe von Diensten, um eigene Serverdienste<br />
dynamisch zu skalieren,<br />
angefangen bei der Elastic Compute<br />
Cloud (EC2), dem Basisdienst, über<br />
diverse Storage-Angebote (S3, Elastic<br />
Block Store) bis hin zu Loadbalancern<br />
und DNS. Sie über das Web-Frontend<br />
zu steuern, ist nur dann sinnvoll, wenn<br />
man wenige Dienste verwaltet und sich<br />
die Konfiguration nur selten ändert.<br />
Bei komplexeren Setups eignen sich<br />
dafür besser die Command Line Tools,<br />
die Amazon kostenlos zur Verfügung<br />
stellt [1]. Wer selbst Skripte schreiben<br />
möchte, die die eigene Cloud-Infrastruktur<br />
steuern, findet eine Alternative<br />
dazu in »Boto«, einem umfangreichen<br />
Python-Modul, das die Amazon-API<br />
weitgehend abdeckt.<br />
Python-Modul<br />
Geschrieben wurde Boto von Mitchell<br />
„Mitch“ Garnett, der in seinem Blog<br />
[2] eine ganze Reihe von Anwendungsbeispielen<br />
gibt. Boto steht unter einer<br />
nicht näher bezeichneten freien Lizenz<br />
und ist auf Github [3] zu finden. Installieren<br />
lässt sich die Software mit dem<br />
Python-Paketmanager »Pip« durch<br />
»pip install boto«. Um die Bibliothek<br />
zu verwenden, ist es als Erstes nötig,<br />
ein Connection-Objekt zu erzeugen,<br />
das die Verbindung zum jeweiligen<br />
Amazon-Dienst repräsentiert:<br />
from boto.ec2 import EC2Connection<br />
conn = EC2Connection(access_key, secretU<br />
_key)<br />
Wie man sieht, erwartet die Funktion<br />
»EC2Connection« zwei Schlüssel, die<br />
sich über das »Amazon Identity and<br />
Access Management« (IAM) verwalten<br />
lassen. In der IAM-Console findet sich<br />
unter »Users« und »User Actions« der<br />
Eintrag »Manage Access Keys«, mit<br />
dem sich einer neuer Zugangsschlüssel<br />
erzeugen lässt (Abbildung 1). Direkt<br />
danach steht er auch zum Download<br />
bereit, später aus Sicherheitsgründen<br />
nicht mehr. Man sollte sich also die<br />
CSV-Datei herunterladen und an einem<br />
sicheren Ort verwahren, wo man sie<br />
auch noch ein halbes Jahr später wiederfindet.<br />
Mit dem obigen Aufruf wird eine Verbindung<br />
zu der Default-Region des Amazon<br />
Web Service hergestellt, die sich in<br />
den USA befindet. Um stattdessen eine<br />
andere Region auszuwählen, bietet<br />
Boto den Aufruf »connect_to_region()«<br />
an. Die folgende Zeile baut eine Verbindung<br />
zum Amazon-Datencenter in<br />
Irland auf:<br />
conn = boto.ec2.connect_to_regionU<br />
("eu‐west‐1")<br />
Über das Connection-Objekt kann der<br />
Anwender typischerweise alle Funktionen<br />
nutzen, die ein Dienst bietet. Im<br />
Fall des EC2 kann er also etwa eine Instanz<br />
starten, was in etwa einer virtuellen<br />
Maschine entspricht. Dazu braucht<br />
er ein sogenanntes Image (AMI), das die<br />
Daten für das Betriebssystem enthält.<br />
Eine Reihe von Images bietet Amazon<br />
selbst an, darunter nicht nur kostenlose,<br />
sondern auch kommerzielle Systeme<br />
wie Windows Server oder Red Hat<br />
Enterprise Linux. Je nach Lizenz wird<br />
die Nutzung über einen entsprechend<br />
höheren Stundensatz abgegolten. Viele<br />
Images, die zum Beispiel für Webserver-Dienste<br />
und alle denkbaren Anwendungen<br />
vorkonfiguriert sind, wurden<br />
von anderen AWS-Nutzern erstellt. Fürs<br />
Erste lässt sich der Identifier, den man<br />
für das Starten einer Image-Instanz<br />
braucht, über die Webkonsole herausfinden,<br />
die auch eine Suchfunktion<br />
enthält.<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
freeX<br />
Boto<br />
107<br />
Die folgende Funktion startet dann die<br />
kleinste von Amazon angebotene Instanz<br />
mit dem Image »ami‐df9b8bab«:<br />
conn.run_instances('ami‐df9b8bab', U<br />
instance_type='m1.small')<br />
Wer jetzt einen Blick in das EC2-Web-<br />
Frontend wirft, kann sehen, dass die Instanz<br />
startet (Abbildung 2). Im Prinzip<br />
war es das schon, und der neu erzeugte<br />
virtuelle Server lässt sich nutzen.<br />
Amazon weist darauf hin, dass der Anwender<br />
selbst dafür verantwortlich ist,<br />
dass der ausgewählte Instanz-Typ und<br />
das AMI zusammenpassen. Der Cloud-<br />
Anbieter überprüft das nicht.<br />
Reservierung<br />
Um eine gestartete Instanz auch wieder<br />
beenden zu können, wäre es praktisch,<br />
in Boto direkten Zugriff darauf zu haben.<br />
Dies lässt sich dadurch erreichen,<br />
dass man den Rückgabewert des<br />
obigen Aufrufs in einer Variablen speichert:<br />
»run_instances()« gibt eine sogenannte<br />
Reservation zurück. Sie enthält<br />
ein Array namens »instances«, in dem<br />
alle gleichzeitig gestarteten Instanzen<br />
gespeichert sind. Listing 1 zeigt das<br />
vollständige Skript zum Starten und<br />
Stoppen einer Instanz.<br />
Um sich bei einer Vielzahl von Instanzen<br />
besser zu orientieren, bietet die<br />
Amazon Cloud die Möglichkeit, sogenannte<br />
Tags zu vergeben. Damit kann<br />
man zum Beispiel ein Name-Tag einführen,<br />
das man beim Erzeugen sinnvoll<br />
vergibt:<br />
instance.add_tag("Name", "Mailserver")<br />
Im Attribut »tags« des Instanz-Objekts<br />
sind die Tags dann als Dictionary gespeichert.<br />
Um mehrere Instanzen zu beenden,<br />
enthält das EC2-Modul die Methode<br />
»terminate_instances()«, die als Parameter<br />
eine Liste von Instanzen-IDs<br />
erwartet. Wer sich die »Reservations«<br />
nicht beim Start speichert, kann sie<br />
mit dem etwas irreführend benannten<br />
»get_all_instances()« abrufen. Wiederum<br />
enthält jede Reservation eine Liste<br />
mit Instanzen – auch denen, die schon<br />
wieder beendet wurden:<br />
Abbildung 1: Mit dem Amazon Identity and Access Management (IAM) lassen sich die<br />
Zugangsdaten erzeugen, die man braucht, um den Webservice zu nutzen.<br />
>>> reservations = conn.get_all_U<br />
instances()<br />
>>> reservations[0].instances[0].id<br />
u'i‐1df79851'<br />
>>> reservations[0].instances[0].state<br />
u'terminated'<br />
Schreibt man ein paar solcher Zeilen<br />
wie in Listing 2 in ein Skript, kann man<br />
es mit »python ‐i« aufrufen und landet<br />
danach in einer interaktiven Python-<br />
Sitzung, in der man die EC2-Funktionen<br />
weiter erforschen kann, etwa mit Hilfe<br />
des Befehls »dir(Objekt)«:<br />
$ python ‐i interact.py<br />
r‐72ffb53e i‐1df79851 terminated<br />
r‐9b6b61d4 i‐3021247f terminated<br />
>>><br />
Um sich das wiederholte Eintippen der<br />
Region und der Authentifizierungsinformationen<br />
zu sparen, bietet Boto<br />
die Möglichkeit, solche Variablen in<br />
einer Konfigurationsdatei zu speichern,<br />
entweder per User als »~/.boto« oder<br />
systemweit als »/etc/boto.cfg«.<br />
Die Konfigurationsdatei ist in Abschnitte<br />
aufgeteilt, die meistens einem<br />
bestimmten Amazon-Dienst entsprechen.<br />
Die Zugangsdaten haben ihren<br />
Ort im Abschnitt »Credentials«. Übermäßig<br />
komfortabel ist das erst einmal<br />
nicht, denn neben der Region muss der<br />
Anwender auch den entsprechenden<br />
Endpoint eingeben.<br />
Wenigstens fällt diese Arbeit nur beim<br />
ersten Mal an. Herausfinden lassen sich<br />
die erforderlichen Daten zum Beispiel<br />
wie in Listing 3. Eine vollständige Konfigurationsdatei<br />
mit Region, Endpoint<br />
und den Zugangsdaten ist in Listing 4<br />
zu sehen.<br />
n Listing 1: »launch.py«<br />
01 import boto.ec2<br />
02 <br />
03 conn = boto.ec2.connect_to_region("eu‐west‐1")<br />
04 reservation = conn.run_instances('ami‐df9b8bab',<br />
instance_type='m1.small')<br />
05 instance = reservation.instances[0]<br />
06 <br />
07 raw_input("Press ENTER to stop instance")<br />
08 <br />
09 instance.terminate()<br />
n Listing 2: »interact.py«<br />
01 # mit python ‐i aufrufen<br />
02 import boto.ec2<br />
03 <br />
04 conn = boto.ec2.connect_to_region("eu‐west‐1")<br />
05 reservations = conn.get_all_instances()<br />
06 <br />
07 for r in reservations:<br />
08 for i in r.instances:<br />
09 print r.id, i.id, i.state<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
108<br />
freeX<br />
Boto<br />
n Info<br />
Abbildung 2: Die Webkonsole zeigt: Das Boto-Skript startet neue Instanzen eines Image.<br />
Die Regions-Daten sind – wie erwähnt –<br />
dienstspezifisch, weil man unter Umständen<br />
die Dienste ja in unterschiedlichen<br />
Regionen laufen lassen will.<br />
Die Region für den Compute-Dienst<br />
EC2 heißt also wie im obigen Beispiel<br />
»ec2_region_name«, für den Speicherdienst<br />
S3 »s3_region_name«, für den<br />
n Listing 3: Regions<br />
01 >>> import boto.ec2<br />
02 >>> regions = boto.ec2.regions()<br />
03 >>> regions<br />
04 [RegionInfo:ap‐southeast‐1,<br />
RegionInfo:ap‐southeast‐2, RegionInfo:us‐west‐2,<br />
RegionInfo:us‐east‐1, RegionInfo:us‐gov‐west‐1,<br />
RegionInfo:us‐west‐1, RegionInfo:sa‐east‐1,<br />
RegionInfo:ap‐northeast‐1, RegionInfo:eu‐west‐1]<br />
05 >>> regions[‐1].name<br />
06 'eu‐west‐1'<br />
07 >>> regions[‐1].endpoint<br />
08 'ec2.eu‐west‐1.amazonaws.com'<br />
n Listing 4: »~/.boto«<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/29989<br />
01 [Boto]<br />
02 ec2_region_name = eu‐west‐1<br />
03 ec2_region_endpoint = ec2.eu‐west‐1.amazonaws.<br />
com<br />
04 <br />
05 [Credentials]<br />
06 aws_access_key_id=AKIABCDEDFGEHIJ<br />
07 aws_secret_access_key=ZSDSLKJSDSDLSKDJTAJEm+7fjU<br />
23223131VDXCXC+<br />
Loadbalancer »elb_region_name« und<br />
so weiter.<br />
Etwas verwirrend ist die API, da einige<br />
Funktionen den einzelnen Diensten zugeordnet<br />
sind und in den entsprechenden<br />
Python-Modulen zu finden sind,<br />
während andere mit teilweise gleichen<br />
Aufgaben als statische Funktionen im<br />
»boto«-Modul angesiedelt sind. So gibt<br />
es zum Aufbau einer Verbindung die<br />
schon erwähnten »boto.ec2.connect_<br />
to_region()« und »boto.connect_ec2()«.<br />
Analog ist es mit »boto.connect_s3«,<br />
während der entsprechende Aufruf im<br />
S3-Modul aber »S3Connection« heißt.<br />
Die API-Dokumentation unter [4] gibt<br />
Auskunft über alle Details.<br />
Loadbalancer<br />
Um zum Beispiel mit Boto einen Loadbalancer<br />
in der Amazon Cloud aufzusetzen,<br />
bedarf es zunächst wieder eines<br />
Connection-Objekts, das die Aufrufe<br />
»boto.ec2.elb.connect_to_region()«<br />
oder »boto.connect_elb()« liefern. Eine<br />
weitere Funktion erzeugt einen Loadbalancer,<br />
dem sich anschließend einzelne<br />
Knoten zuweisen lassen:<br />
lb = conn.create_load_balancer('lb', U<br />
zones, ports)<br />
lb.register_instances(['i‐4f8cf126'])<br />
Alternativ bedient man sich des<br />
Autoscaling-Moduls, das abhängig von<br />
der Last selbstständig Knoten dem<br />
Loadbalancer hinzufügt oder sie wieder<br />
entfernt.<br />
So viele Dienste Amazon selbst bietet,<br />
so viele Module enthält auch die<br />
Boto-Bibliothek. So gibt es an Basisdiensten<br />
neben EC auch das Virtual<br />
Secure Network (siehe den Artikel zur<br />
Firewall-Installation in der Amazon-<br />
Cloud in diesem Heft), Autoscaling,<br />
DNS und Loadbalancing. Für einfache<br />
Webanwendungen mit größeren Anforderungen<br />
an Skalierbarkeit und Verfügbarkeit<br />
kommt man damit schon sehr<br />
weit. Um Daten zu speichern, bietet<br />
Amazon schon eine ganze Palette an<br />
Möglichkeiten: die verteilte Datenbank<br />
Dynamo, den Elastic Block Store, eine<br />
relationale Datenbank und ein großes<br />
System für ein »Data Warehouse«.<br />
Darüber hinaus kann man natürlich<br />
immer selbst in einer Reihe von Linux-<br />
Instanzen beispielsweise MySQL, PostgreSQL<br />
oder eine NoSQL-Datenbank<br />
installieren und sie über die Rechner<br />
hinweg replizieren. Zur Lastverteilung<br />
verwendet man dann den »Load Balancing<br />
Service«, gegebenenfalls in Zusammenarbeit<br />
mit dem Amazon Content<br />
Delivery Network »Cloudfront«. Auch<br />
zum Management der eigenen Cloud-<br />
Installation gibt es eher zu viel als zu<br />
wenig Auswahl. Neben dem Autoscaling<br />
gibt es dafür auch noch Elastic<br />
Beanstalk, Opsworks und Cloud Formation,<br />
die ähnliche Funktionen bieten.<br />
Die Aufzählung der Dienste ist damit<br />
noch nicht abgeschlossen, eine Übersicht<br />
enthält das PDF unter [5].<br />
Fazit<br />
Mit Boto lassen sich Skripte schreiben,<br />
die auch komplexere Setups in der<br />
Amazon Cloud verwalten. Auch wer<br />
noch kein Python-Experte ist, sollte<br />
wenig Schwierigkeiten haben, sich die<br />
nötigen Kenntnisse anzueignen. Die<br />
Dokumentation des Python-Moduls ist<br />
brauchbar, wenngleich viele Methoden<br />
der API mit ihrer Vielzahl an Parametern<br />
ziemlich komplex sind.<br />
Schließlich sollte man auch daran<br />
denken, dass Cloud Computing Frameworks<br />
teilweise schon die Funktionalität<br />
bieten, die man mit Boto selbst<br />
programmiert, und aufpassen, das Rad<br />
nicht neu zu erfinden. Mehr Informationen<br />
zu Boto sind in der Dokumentation<br />
zu finden. In gedruckter Form gibt es<br />
das »Python and AWS Cookbook«, das<br />
beim O’Reilly-Verlag erschienen ist und<br />
vom Boto-Autor stammt. n<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
fixer00, 123RF<br />
Ergebnisse eines Android-Sicherheitschecks erschrecken<br />
Ziemlich löchrig<br />
Mittlerweile existieren mehr als 900 000 Apps für Smartphones, die unter Android laufen. Viele tauschen<br />
auch sensible Informationen über das Internet aus. Welche Sicherheit bieten sie dabei? Die Leibniz Universität<br />
Hannover und die Philipps-Universität Marburg haben gemeinsam mehr als 13 500 beliebte und<br />
kostenlose Android-Apps von Googles PlayStore analysiert. Sascha Fahl<br />
Das Secure-Socket-Layer-Protokoll<br />
(SSL) wird oft benutzt, um die Übertragung<br />
von Informationen zwischen<br />
Android-Apps und Servern im Internet<br />
zu sichern. SSL identifiziert dabei zum<br />
einen den Kommunikationspartner<br />
und verschlüsselt zum anderen die<br />
übertragenen Informationen, um sie<br />
vor dem Abhören und Manipulation zu<br />
<strong>schützen</strong>. Dabei beruht die Sicherheit<br />
mobiler Apps ganz wesentlich auf der<br />
eindeutigen Identifizierung des Zielservers<br />
im Internet, mit dem die App kommuniziert.<br />
Dafür überträgt der Server<br />
beim Verbindungsaufbau ein SSL-Zertifikat,<br />
das die Android-App validiert. Die<br />
Validierung beinhaltet folgende Fragen:<br />
n Wurde das Server-Zertifikat von einer<br />
vertrauenwürdigen »Certificate<br />
Authority« (CA) unterzeichnet?<br />
n Wurde das Server-Zertifikat für den<br />
Internet-Host ausgestellt, mit dem<br />
gerade kommuniziert wird?<br />
n Ist das betreffende Zertifikat bereits<br />
abgelaufen?<br />
Zusätzlich sollte geprüft werden, ob<br />
das Zertifikat und seine dazugehörige<br />
Zertifikatskette widerrufen wurde. Widerrufenen<br />
Zertifikaten darf nicht mehr<br />
vertraut werden.<br />
Die Standardimplementierung der<br />
Zertifikatsvalidierung in Android-Apps<br />
führt diese Schritte korrekt aus. Apps<br />
können jedoch auch eigene Strategien<br />
zur Zertifikatsvalidierung implementieren<br />
und die könnten dann durchaus<br />
für sogenannte Man-In-The-Middle-<br />
Angriffe (MITMA) anfällig sein.<br />
Bei einem MITMA ist der Angreifer in<br />
der Lage, Nachrichten zwischen den<br />
Kommunikationspartnern abzufangen,<br />
indem er sein eigenes SSL-Zertifikat in<br />
den Verbindungsaufbau einschleust<br />
und dadurch ausgetauschte Informationen<br />
entschlüsselt und verändert.<br />
MITMA stellen für Smartphones und Tablet-PCs<br />
eine größere Gefahr dar als für<br />
traditionelle Desktop-Computer, weil<br />
die Mobilgeräte häufiger in unbekannten<br />
und weniger vertrauenswürdigen<br />
Umgebungen genutzt werden. Speziell<br />
die Nutzung offener WLAN-Netze machen<br />
MITMA gegen mobile Geräte zu<br />
einer ernsthaften Bedrohung.<br />
Eine weitere Gefahr geht vom sogenannten<br />
SSL-Stripping aus, mit dem<br />
sich ein MITM-Angriff gegen eigentlich<br />
geschützte SSL-Verbindungen durchführen<br />
lässt. Der Angriff beruht darauf,<br />
dass viele SSL-Verbindungen erst<br />
durch den Klick auf einen Link eingeleitet<br />
oder über eine nicht durch SSL<br />
geschützte Seite umgeleitet werden.<br />
Während des SSL-Strippings ersetzt der<br />
Angreifer HTTPS-Links auf geschützte<br />
Seiten durch unsichere HTTP-Links. Der<br />
Angreifer kann im Anschluss – solange<br />
der Benutzer nicht merkt, dass die<br />
Links geändert wurden – sämtlichen<br />
SSL-Schutz umgehen. Dieser Angriff ist<br />
besonders bei einem Erstkontakt zu<br />
einem Server relevant.<br />
Die Ergebnisse der hier diskutierten<br />
Studie machen deutlich, dass viele<br />
Millionen Nutzer von Android-Apps gefährdet<br />
sind, weil sie sensible Informationen<br />
über unzureichend geschützte<br />
Kommunikationskanäle im Internet<br />
austauschen.<br />
Netzwerkkommunikation in<br />
Android-Apps<br />
Das Android-SDK bietet komfortable<br />
Möglichkeiten für den Netzwerkzugriff.<br />
Die »java.net«-, »android.net«- und<br />
»org.apache.http«-Pakete sind verwendbar,<br />
um direkte Netzwerksockets<br />
oder HTTP(S)-Verbindungen aufzubauen.<br />
Das »org.webkit«-Paket bietet<br />
zudem Zugriff auf Webbrowserfunkti-
freeX<br />
Android Security<br />
111<br />
onen. Alle diese Möglichkeiten für den<br />
Netzwerkzugriff erlauben es, die SSL-<br />
Zertifikatsvalidierung den Bedürfnissen<br />
der App-Entwickler anzupassen. In diesem<br />
Fall müssen Entwickler aber selbst<br />
sicherstellen, dass SSL-Zertifikate ausreichend<br />
sicher überprüft werden.<br />
Zertifikate« genannt). Die Angriffe<br />
auf einige große Certificate Authorities<br />
(CAs) im Jahr 2011 und die<br />
aktuelle Entwicklung im Hinblick auf<br />
Spionageprogramme der NSA machen<br />
ein solches Standardverhalten<br />
besonders problematisch.<br />
n Mixed Mode/Kein SSL: App-Entwickler<br />
können sichere und unsichere<br />
Verbindungen in einer App<br />
mischen oder SSL gar nicht verwenden.<br />
Dies ist kein direktes Problem<br />
von SSL, aber dennoch relevant, da<br />
der Endanwender nicht feststellen<br />
kann, ob eine sichere Verbindung<br />
genutzt wird oder nicht. Dieses<br />
Verhalten macht es dem oben beschriebenen<br />
SSL-Stripping-Angriff<br />
besonders einfach.<br />
Die Flexibilität, die Android seinen Entwicklern<br />
bietet, führt allerdings nicht<br />
zwingend zum häufigen Missbrauch<br />
der SSL-Zertifikatsvalidierung, den die<br />
Forscher aufdeckten. Sie eröffnet auch<br />
die Möglichkeit, die Sicherheit von SSL<br />
im Vergleich zum Standardverhalten<br />
zu erhöhen. Eine zentrale Strategie ist<br />
SSL-Pinning. Dabei können sowohl eine<br />
kleinere Liste von vertrauenswürdigen<br />
CAs, eine benutzerdefinierte Liste von<br />
speziellen CAs oder sogar selbst signierte<br />
Zertifikate auf sichere Art und<br />
Weise verwendet werden.<br />
Obwohl durch die Benutzung von SSL<br />
viele Sicherheitslücken entstehen<br />
Kontrollen laufen ins Leere<br />
Die Analyse-Ergebnisse haben gezeigt,<br />
dass dies häufig nicht der Fall ist. Es<br />
fanden sich folgende gefährliche Validierungsstrategien<br />
für SSL-Zertifikate<br />
in Apps:<br />
n Vertraue allen Zertifikaten: Zertifikatsvalidierung<br />
kann mithilfe des<br />
TrustManager-Interface derart implementiert<br />
werden, dass allen Zertifikaten,<br />
ungeachtet ihrer Signatur,<br />
vertraut wird.<br />
n Erlaube alle Hostnamen: Wurde die<br />
Signatur geprüft, so kann dennoch<br />
die Hostname-Verifikation fehlerhaft<br />
sein. Es wird dann zum Beispiel<br />
ein für »some‐other‐domain.com«<br />
vergebenes Zertifikat akzeptiert, obwohl<br />
auf den Server »example.com«<br />
zugegriffen wird und es für diesen<br />
Server nicht gültig ist.<br />
n Vertraue vielen Wurzelzertifikaten:<br />
Obwohl dies nicht notwendigerweise<br />
ein Sicherheitsproblem<br />
darstellt, vertrauen aktuelle Android<br />
Apps standardmäßig mehr als 130<br />
Wurzelzertifikaten (oft auch »Rootkönnen,<br />
soll an dieser Stelle betont<br />
werden: Die Benutzung eines durch SSL<br />
gesicherten Kanals, auch mit den zuvor<br />
beschriebenen Schwachstellen, ist<br />
gegen einen passiven Angreifer immer<br />
noch sicherer, als komplett auf kryptographische<br />
Techniken zu verzichten.<br />
Sicherheitsanalyse von<br />
Android-Apps<br />
Im Rahmen einer Sicherheitsanalyse<br />
wurden 13 500 beliebte und kostenlose<br />
Apps aus Googles PlayStore untersucht.<br />
Zur Analyse entwickelten die<br />
Untersucher basierend auf dem Androguard<br />
Reverse Engineering Framework<br />
[1] das Tool MalloDroid, das automatisch<br />
eine statische Code-Analyse<br />
von Android-Apps durchführt und<br />
fehlerhafte Implementierungen der<br />
SSL-Zertifikatsvalidierung identifiziert.<br />
MalloDroid ist unter [2] frei verfügbar<br />
und kann als Werkzeug im Rahmen der<br />
Sicherheitsanalyse von Android-Apps<br />
verwendet werden.<br />
Die Untersuchungen kamen zu folgenden<br />
Ergebnissen: Mehr als 88 Prozent<br />
der getesteten Apps greifen auf das<br />
Internet zu. Mehr als die Hälfte (51<br />
Prozent) der untersuchten Apps greifen<br />
auf das Internet zu und fordern weitere<br />
<strong>Privatsphäre</strong>-relevante Rechte an, wie<br />
Kalender, Kontakte, Browser-Verlauf,<br />
Profilinformationen, soziale Streams,<br />
Kurznachrichten oder exakte geogra-
112<br />
freeX<br />
Android Security<br />
Abbildung 1: Diese Implementierung akzeptiert sämtliche Zertifikate für eine SSL-Verbindung und<br />
schützt damit nicht vor Man-In-The-Middle-Angriffen.<br />
fische Position des Benutzers. Diese<br />
Apps können potenziell sensible Informationen<br />
über das Internet übertragen.<br />
Weitere Apps, die die <strong>Privatsphäre</strong><br />
betreffende Informationen verarbeiten,<br />
sind solche für Banking, E-Mail, soziale<br />
Netzwerke und Instant Messaging.<br />
Zu wenige nutzen HTTPS<br />
Mehr als 90 Prozent aller Aufrufe der<br />
Netzwerk-API nutzen HTTP- oder<br />
HTTPS-Verbindungen. MalloDroid extrahierte<br />
mehr als 200 000 Web-URLs,<br />
darunter aber nur knapp 30 000 HTTPS-<br />
URLs, der Rest verwendete HTTP. Eine<br />
weitere Analyse ergab, dass 76 000<br />
URLs, die HTTP benutzten, auch über<br />
das verschlüsselte HTTPS-Protokoll<br />
erreichbar gewesen wären. Das heißt,<br />
dass 73 Prozent der getesteten Apps<br />
durch das einfache Einfügen eines einzigen<br />
Buchstabens, eine sichere Verbindung<br />
hätten nutzen können.<br />
Insgesamt 46 Prozent der Apps griffen<br />
sowohl auf HTTP- als auch HTTPS-URLs<br />
zurück, während 43 Prozent nur HTTP-<br />
URLs verwendet haben. Lediglich 0,8<br />
Prozent der Apps setzten ausschließlich<br />
HTTPS ein und verschlüsselten ihre<br />
Kommunikation komplett.<br />
Um die Gültigkeit der verwendeten<br />
SSL-Zertifikate zu überprüfen, luden die<br />
Forscher die Zertifikate aller aus den<br />
Apps extrahierten HTTPS-Hosts herunter.<br />
Das waren insgesamt 1900 unterschiedliche<br />
SSL-Zertifikate, von denen<br />
8 Prozent die Standardvalidierung von<br />
Android für Zertifikate nicht bestanden<br />
haben. Diese wurden in insgesamt 668<br />
Apps verwendet.<br />
Mit Hilfe von MalloDroid konnten in<br />
allen untersuchten Apps mehr als 3400<br />
App-spezifische SSL-Implementierungen<br />
gefunden werden. Diese erstreckten<br />
sich über 1074 Apps, die Code<br />
enthielten, der die SSL-Verifikation<br />
vollständig durch das Akzeptieren aller<br />
Zertifikate (790 Apps) oder das Akzeptieren<br />
aller Hostnames (284 Apps)<br />
aushebelte.<br />
Sicherheit ausgehebelt<br />
Während ein App-Entwickler, der alle<br />
SSL-Zertifikate akzeptieren möchte,<br />
das TrustManager-Interface implementieren<br />
muss, ist für das Erlauben aller<br />
Hostnames für eine SSL-Verbindung,<br />
lediglich die Benutzung des »Allow-<br />
AllHostnameVerifier« nötig. Die Implementierung<br />
einer eigenen Hostname-<br />
Verifier-Klasse ist allerdings auch<br />
möglich.<br />
Um nachzuvollziehen, wie Entwickler<br />
benutzerdefinierte SSL-Implementierungen<br />
einsetzen, wurden Apps analysiert,<br />
die spezielle TrustManager- und<br />
HostnameVerifier-Implementierungen<br />
beinhalteten. Die Forscher fanden 86<br />
unterschiedliche benutzerdefinierte<br />
TrustManager-Implementierungen<br />
in 878 Apps. In über 90 Prozent der<br />
Fälle, in denen eine App-spezifische<br />
SSL-Zertifikatsvalidierung implementiert<br />
wurde, war das Resultat, dass die<br />
Zertifikatsvalidierung komplett ausgeschaltet<br />
wurde, so dass alle betroffenen<br />
Apps für die eben beschriebenen<br />
Man-In-The-Middle-Angriffe anfällig<br />
waren. Abbildung 1 zeigt eine typische<br />
Implementierung, die den Hostname<br />
eines Zertifikats nicht validiert.<br />
Verräterische Namen<br />
Passenderweise fanden sich für die<br />
meisten fehlerhaften Implementierungen<br />
entsprechende Klassennamen:<br />
»FakeHostnameVerifier«, »NaiveHostnameVerifier«<br />
und der »AcceptAll-<br />
HostnameVerifier« akzeptieren beispielsweise<br />
alle Hostnames, während<br />
TrustManager-Implementierungen wie<br />
»AcceptAllTrustManager«, »Dummy-<br />
TrustManager«, »EasyX509TrustManager«<br />
oder »PermissiveX509TrustManager«<br />
die Zertifikatsvalidierung gleich<br />
ganz ausschalten.<br />
Diese kleine Anzahl von kritischen Klassen<br />
betrifft eine große Anzahl von Apps.<br />
Viele der obigen Klassen gehören zu<br />
häufig verwendeten Bibliotheken und<br />
Frameworks. Ganze 313 Apps verwenden<br />
die »NaiveTrustManager«-Klasse,<br />
die von einer »Crash Reporting Library«<br />
angeboten wird. In 90 Apps wurde die<br />
»NonValidatingTrustManager«-Klasse<br />
verwendet – angeboten von einem<br />
SDK zur Entwicklung mobiler Apps<br />
für verschiedene Plattformen. Der<br />
»Permissive X509TrustManager« wurde<br />
in einer Bibliothek zum Versenden<br />
verschiedener Arten von Push-Benachrichtigungen<br />
an Android-Geräte,<br />
eingebunden in 76 Apps, gefunden.<br />
Der »EasyX509TrustManager« ist Teil<br />
einer Bibliothek, die einfache und zuverlässige<br />
Netzwerkverbindungen für<br />
Android-Apps verspricht und in einem<br />
Großteil der missbräuchlichen Implementierungen<br />
gefunden wurde. Die bisherigen<br />
Ergebnisse wurden mit Mitteln<br />
der statischen Code-Analyse erzielt und<br />
zeigen nur das Potenzial für Sicherheitsprobleme<br />
durch nicht korrekt validierte<br />
SSL-Zertifikate auf. Die Tatsache,<br />
dass unsicherer SSL-Code in einer App<br />
enthalten ist, bedeutet allerdings nicht<br />
zwangsweise, dass darüber auch sensitive<br />
Informationen übertragen werden.<br />
Welche Informationen sind<br />
wirklich gefährdet?<br />
Aus diesem Grund wurde eine zweite,<br />
detailliertere Analyse angeschlossen,<br />
um festzustellen, welche Benutzerinformationen<br />
tatsächlich gefährdet<br />
sind. Zu diesem Zweck in stallierten die<br />
Untersucher Apps auf einem Android-<br />
Smartphone und führten Man-In-The-<br />
Middle-Angriffe gegen diese Apps<br />
durch. Sie konzentrierten sich dabei<br />
auf Apps aus den Kategorien Finanzen,<br />
Geschäftliches, Kommunikation, Soziale<br />
Netzwerke und Werkzeuge, da sie<br />
hier besonders kritische Informationen<br />
vermuteten. Aus den 260 Apps, die im<br />
ersten Schritt der Untersuchung in die-<br />
Ausgabe 11-2013 Admin www.admin-magazin.de
freeX<br />
Android Security<br />
113<br />
sen Kategorien als mögliche Ziele identifiziert<br />
wurden, wählten die Forscher<br />
die 100 populärsten Apps für einen<br />
manuellen Angriff aus.<br />
Für die Durchführung des Angriffes<br />
wurde ein Samsung Galaxy Nexus mit<br />
installiertem Android 4.0 Ice Cream<br />
Sandwich verwendet. Die potenziell<br />
fehlerhaften Apps wurden installiert<br />
und die SSL-Verbindung über einen<br />
speziellen WLAN-Accesspoint via<br />
MITMA angegriffen. Abhängig von der<br />
untersuchten Schwachstelle wurde der<br />
dabei verwendete Proxy entweder mit<br />
einem selbstsignierten Zertifikat oder<br />
mit einem Zertifikat einer CA ausgestattet,<br />
das jedoch für einen anderen<br />
Hostnamen ausgestellt war.<br />
Von den 100 angegriffenen Apps,<br />
enthielten 41 ausnutzbare Schwachstellen.<br />
Die Tester konnten erfolgreich<br />
Bankdaten, Zugangsdaten zu Geldtransferdiensten<br />
wie PayPal, American<br />
Express, Zugangsdaten zu Facebook,<br />
Email und Cloud-Speicherdiensten<br />
sowie Instant-Messaging-Anbietern abfangen<br />
und mitlesen. Schwachstellen<br />
wurden meist in Drittanbieter-Apps<br />
gefunden. Aber auch die Apps einiger<br />
namhafter Hersteller waren betroffen.<br />
Anmerkung: Alle betroffenen Hersteller<br />
wurden informiert und haben in der<br />
Zwischenzeit alle gefundenen Sicherheitslücken<br />
geschlossen.<br />
Selbstzerstörer<br />
Eine Antiviren-App, die Virensignaturen<br />
über eine fehlerhafte SSL-Verbindung<br />
herunterlädt, ist ein besonders prägnantes<br />
Beispiel. Weil sie annahm, dass<br />
es sich durch SSL um eine sichere<br />
Verbindung handelt, validierte die App<br />
die Virensignaturen nicht zusätzlich.<br />
So kann ein Angreifer selbsterstellte Virensignaturen<br />
einschleusen und damit<br />
den Virenschutz durch ein leeres Update<br />
komplett ausschalten. Abbildung<br />
2 zeigt, dass sich die App nach einem<br />
entsprechendem Signatur-Update<br />
selbst als Virus erkennt und vorschlägt,<br />
sich zu löschen.<br />
Millionen betroffen<br />
Basierend auf Installationszahlen aus<br />
Googles PlayStore betreffen diese Sicherheitslücken<br />
zwischen 40 und 185<br />
Millionen Installationen weltweit. Alle<br />
betroffenen App-Hersteller wurden von<br />
den Untersuchern kontaktiert und über<br />
die gefundenen Sicherheitsprobleme<br />
informiert. Sie boten allen Herstellern<br />
Hilfe bei der Behebung der Schwachstellen<br />
an und baten sie, an einem Interview<br />
teilzunehmen.<br />
Diese Interviews zielten besonders<br />
darauf ab, welche Gründe die App-Entwickler<br />
bewogen, vom Standardverhalten<br />
bei der SSL-Zertifikatsvalidierung<br />
abzuweichen und warum sie in mehr<br />
als 90 Prozent dieser Fälle die Zertifikatsvalidierung<br />
einfach ausschalteten.<br />
Der häufigste Grund für das Umgehen<br />
der Zertifikatsvalidierung war, dass es<br />
mit den verwendeten SSL-Zertifikaten<br />
zu Fehlermeldungen kam. Diese Fehlermeldungen<br />
wurden in vielen Fällen<br />
ausgelöst, weil Apps nicht vertrauenswürdige<br />
SSL-Zertifikate verwendeten.<br />
Ein zweites, häufiges Problem war, dass<br />
in der Entwicklungsphase mit Testservern<br />
gearbeitet wurde, die selbstsignierte<br />
Zertifikate verwendeten. Die<br />
Zertifikatsvalidierung wurde aus diesem<br />
Grund umgangen. Das ist zu Testzwecken<br />
üblich und nachvollziehbar.<br />
Häufig vergaß man dann allerdings, die<br />
Umgehung vor der Freigabe der fertigen<br />
App wieder zu entfernen.<br />
Ein drittes, weit verbreitetes Problem<br />
bestand darin, dass es einige Apps<br />
ihren Benutzern ermöglichen, Kommunikationsendpunkte<br />
selbst zu konfigurieren.<br />
Ein Beispiel hierfür ist eine<br />
Blogging-App, über die ein Benutzer<br />
auf seinen eigenen Blog zugreifen kann.<br />
Um in einem solchen Szenario keine<br />
Benutzer auszuschließen, verzichten<br />
Apps oft auf Zertifikatsvalidierung, da<br />
Android Apps standardmäßig keine<br />
Warnmeldungen anzeigen, wenn es zu<br />
einem Fehler während der Überprüfung<br />
von Zertifikaten kommt. Stattdessen<br />
werden Verbindungen einfach abgelehnt.<br />
So ist die mangelnde Flexibilität<br />
von SSL in Android-Apps ein weiterer<br />
entscheidender Grund.<br />
Abbildung 2: Die Zoner-Antivirus-App erkennt sich<br />
nach einem Man-In-The-Middle-Angriff selbst als<br />
Virus und möchte gerne gelöscht werden. Diese<br />
Schwachstelle wurde mittlerweile behoben.<br />
Fazit<br />
Die in unseren Analysen gefundenen<br />
Schwachstellen sind insbesondere im<br />
Kontext der aktuellen Erkenntnisse<br />
über großangelegte Überwachungsaktivitäten<br />
in- und ausländischer Geheimdienste<br />
von besonderer Brisanz. Die<br />
von Edward Snowden veröffentlichten<br />
Details lassen vermuten, dass auch<br />
die Nutzer von mobilen Apps Ziele von<br />
Überwachungsaktivitäten sind. Gleichzeitig<br />
machte er deutlich, dass korrekt<br />
eingesetzte Verschlüsselungstechnologien<br />
eine wirkungsvolle Gegenmaßnahme<br />
darstellt [3].<br />
Auch wenn die Untersuchungsergebnisse<br />
eher ernüchternd wirken, sind<br />
die Forscher doch zuversichtlich, dass<br />
neue Technologien in Zukunft zu einem<br />
höheren Grad an Sicherheit führen<br />
werden. Dazu möchten sie ihren Teil<br />
beitragen. (jcb) n<br />
n Autor<br />
Sascha Fahl ist Doktorand an der Leibniz Universität<br />
Hannover, wo er sich mit der Sicherheit von SSL und<br />
daraus resultierenden Benutzbarkeitsproblemen für<br />
Entwickler und Endbenutzer beschäftigt.<br />
n Info<br />
Weiterführende Links und<br />
Informationen zu diesem<br />
Artikel finden Sie unter:<br />
www.admin-magazin.de/qr/30112<br />
www.admin-magazin.de<br />
Admin<br />
Ausgabe 11-2013
114<br />
Service<br />
Impressum und <strong>Vorschau</strong><br />
n Impressum ISSN 2190-1066<br />
<strong>ADMIN</strong>-<strong>Magazin</strong> eine Publikation der Medialinx AG<br />
Redaktionsanschrift Putzbrunner Straße 71<br />
81739 München<br />
Tel.: 0 89 / 99 34 11-0<br />
Fax: 0 89 / 99 34 11-99 oder -96<br />
Internet<br />
www.admin-magazin.de<br />
E-Mail<br />
redaktion@admin-magazin.de<br />
Geschäftsleitung<br />
Chefredakteure<br />
Redaktion<br />
News/Report<br />
Software/Test<br />
Security/Networking<br />
Ständige Mitarbeiter<br />
Produktionsleitung<br />
Grafik<br />
Abo-Infoseite<br />
Abonnenten-Service<br />
Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de<br />
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de<br />
Oliver Frommel (V. i. S. d. P.),<br />
ofrommel@admin-magazin.de (ofr)<br />
Jens-Christoph Brendel<br />
jbrendel@admin-magazin.de (jcb)<br />
Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba)<br />
Mathias Huber, mhuber@medialinx-gruppe.de (mhu)<br />
Marcel Hilzinger, mhilzinger@medialinx-gruppe.de, (mhi)<br />
Kristian Kißling, kkissling@medialinx-gruppe.de, (kki)<br />
Markus Feilner, mfeilner@medialinx-gruppe.de (mfe)<br />
Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle)<br />
David Göhler (Schlussredaktion),<br />
Carsten Schnober, Tim Schürmann, Claudia Thalgott<br />
Christian Ullrich, cullrich@medialinx-gruppe.de<br />
Judith Erb (Design und Layout)<br />
Titel: Judith Erb, Ausgangsgrafik: ku2raza, 123RF<br />
www.admin-magazin.de/abo<br />
Gudrun Blanz (Teamleitung)<br />
abo@admin-magazin.de<br />
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601<br />
Preise Print Deutschland Österreich Schweiz Ausland EU<br />
Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel)<br />
Mini-Abo (3 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel)<br />
Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95<br />
Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70<br />
Jahresabo € 99,90 € 109,90 Sfr 159,90 € 129,90<br />
Preise Digital Deutschland Österreich Schweiz Ausland EU<br />
Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80<br />
DigiSub (12 Ausgaben) € 89,90 € 89,90 Sfr 129,50 € 89,90<br />
DigiSub (zum Printabo) € 12,— € 12,— Sfr 12,— € 12,—<br />
HTML-Archiv (zum Abo 1 ) € 48,— € 48,— Sfr 48,— € 48,—<br />
Preise Kombiabos<br />
Profi-Abo 2 € 181,90 € 198,90 Sfr 235,90 € 219,90<br />
1<br />
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital<br />
2<br />
mit Linux-<strong>Magazin</strong>-Abo und beiden Jahres-DVDs<br />
Schüler- und Studenten-Ermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer<br />
aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen.<br />
Andere Abo-Formen, Ermäßigungen im Ausland etc. auf Anfrage.<br />
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für<br />
Zeitschriften gelten.<br />
Pressemitteilungen info@admin-magazin.de<br />
Anzeigen/Repräsentanz Es gilt die Anzeigenpreisliste vom 01.01.2013<br />
National<br />
Pressevertrieb<br />
Druck<br />
Petra Jaser<br />
Tel.: 089 / 99 34 11 24, Fax: 089 / 99 34 11 99<br />
E-Mail: pjaser@medialinx-gruppe.de<br />
Michael Seiter<br />
Tel.: 089 / 99 34 11 23, Fax: 089 / 99 34 11 99<br />
E-Mail: mseiter@medialinx-gruppe.de<br />
MZV, Moderner Zeitschriften Vertrieb GmbH<br />
Breslauer Straße 5, 85386 Eching<br />
Tel.: 089 / 31906-0, Fax: 089 / 31906-113<br />
Vogel Druck und Medienservice GmbH<br />
97204 Höchberg<br />
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme<br />
verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett-<br />
Packard) oder Sinix (Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist ein<br />
eingetragenes Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis<br />
verwendet. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von<br />
Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Verlag nicht übernommen<br />
werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine Zustimmung zum Abdruck im <strong>ADMIN</strong>-<br />
<strong>Magazin</strong>. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen werden. Die Redaktion<br />
behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim<br />
Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in irgendeiner<br />
Form vervielfältigt oder verbreitet werden. Copyright © 1994–2013 Medialinx AG<br />
n Autoren dieser Ausgabe<br />
Thomas Drilling Des Chamäleons neue Kleider 70<br />
Thomas Drilling Datei-Server, leicht bewölkt 62<br />
Thomas Drilling Stets zu Diensten 54<br />
Bernd Erk Die Nadel im Heu 48<br />
Sascha Fahl Ziemlich löchrig 110<br />
Mario Golling Daten-Archäologie 78<br />
Thomas Joos Wachablösung 86<br />
Thomas Joos Retten, was zu retten ist 74<br />
Juliet Kemp Privates <strong>schützen</strong> 40<br />
Anna Kobylinska Immer bereit 44<br />
Martin Loschwitz Weichensteller 90<br />
Thorsten Scherf Ohne Gnade 16<br />
Daniel van Soest Tarnkappe 36<br />
Oliver Tennert Daten im Tresor 28<br />
Thomas Zeller Aus dem Hut gezaubert 96<br />
n Inserentenverzeichnis<br />
<strong>ADMIN</strong> www.admin-magazin.de 7, 83, 116<br />
Android Apps & Tipps www.android-user.de 111<br />
Android User GY www.android-user.de 2, 83<br />
Diavlon GmbH www.tuxhardware.de 11<br />
Fernschule Weber GmbH www.fernschule-weber.de 55<br />
Linux User Spezial www.linux-user.de/spezial 77<br />
Linux-Hotel www.linuxhotel.de 51<br />
Linux-<strong>Magazin</strong> www.linux-magazin.de 9, 81, 115<br />
Medialinx IT-Academy www.medialinx-academy.de 33, 39, 103<br />
PlusServer AG www.plusserver.de 14, 19, 23,<br />
27, 35, 52<br />
Raspberry Pi Geek www.raspberry-pi-geek.de 25, 109<br />
Windows Phone User www.windows-phone-user.de 85<br />
n <strong>Vorschau</strong>: <strong>ADMIN</strong> 12/2013 erscheint am 14. November 2013<br />
noreboo, 123RF<br />
Groupware<br />
Termine planen, Nachrichten<br />
austauschen, Kundendaten<br />
verwalten, am besten auch vom<br />
Smartphone aus. Das alles und<br />
noch viel mehr sollen moderne<br />
Groupware-Suites im Unternehmen<br />
leisten. Ob sie es tun oder<br />
wo sie versagen, verrät das<br />
kommende <strong>ADMIN</strong>-Heft.<br />
OpenLDAP<br />
Was dem Windows-Admin sein<br />
Active Directory, ist dem Unix-<br />
Fan sein OpenLDAP: zentrales<br />
Verzeichnis für Benutzerdaten,<br />
Authentifizierung und alles,<br />
was es sonst noch zu speichern<br />
gibt. Mit unserem Workshop ist<br />
die OpenLDAP-Konfiguration<br />
spielend zu bewältigen.<br />
Putnik, Fotolia<br />
Ausgabe 11-2013 Admin www.admin-magazin.de