English 
Projekte
Das ist ein kleiner Auszug von Projekten die ich in meiner Laufbahn bewältigt habe:
| ISP Maillösung | Ich habe eine vollständige Maillösung für mehrere ISPs basierend auf nur Open Source Produkten implementiert. Ein Selbstgemachtes Webinterface stellt die Schnittstelle zu ~4000 Benutzerkonten zur Verfügung, schreibt seine Daten in eine MySQL-Datenbank die wiederum notwendige Information in eine LDAP-Datenbank schreibt. Diese repliziert sich mehrfach auf Satelliten LDAP-Server. Der Mailserver benutzt die LDAP-Datenbank als seine Konfigurationsbasis, Benutzerbais, Out of Office Reply und Benutzerquota. Darüberhinaus authentifiziert er gegen LDAP für POP, IMAP und authentifizierte SMTP Requests. Der MTA überprüft jedes eingehende Mail auf Viren (mit optional 2 verschiedenen Virenkillern), weiters sendet er jedes Mail an eine Anti-Spam-Engine, welche Mails als gut oder schlecht markiert. Der MDA sortiert die fertigen Mails nach gewissen Kriterien in die Usermailboxen. Der MTA ist gegen Relay-Attacken gesichert, es wurden aber auch Rate-Limit-Mechanismen eingeführt wie auch pro-IP Grenzen, sodaß Attacken aus dem Internet erschwert ermöglicht werden. Der Mailserver verschlüsselt POP und IMAP Sessions auf Anfrage, sodaß sich die User sicher fühlen können. |
| Sicheres ISP Webhosting | Basierend auf Apache, suexec, FastCGI und PHP habe ich ein sicheres und automatisch provisionierendes Webhosting System entwickelt, auf dem tausende Webseiten unabhängig voneinander co-existieren können. Die Apache-Konfiguration wie die Home-Verzeichnisse der User werden automatisch über LDAP-Einstellungen provisioniert. Die User- und FTP-Accounts auf dem System kommen ebenfalls aus einem LDAP-System, das heisst, lokale Benutzeraccounts können vermieden werden. Mithilfe einiger Scrips bekommt jeder User auch seine individuelle Webseitenausertung und Analyse. Suexec macht es möglich, daß jeder User seinen eigenen PHP Prozess in einem sicheren Kontext ausführt, sodaß die PHP Scripts niemanden schaden können außer den Besitzer der PHP-Scripts. |
| Greylisting Firewall | Ein Ansatz mithilfe von OpenBSD wo ich einen wirklich armen Mailserver der ständig ge-DOSt wurde wieder Luft verschafft habe. Ich habe eine Bridging Firewall zwischen dem Mailhost und dem Internet geschalten (mit einem speziellen Spanning-Tree Setup sodaß diese Maschine auch ausfallen kann und die Mails dennoch weiterfließen). Die OpenBSD-Firewall benutzt eine greylisting-Technik sodaß der Mailserver wieder Luft zum Atmen hat. Durch eine aktuelle Greylsiting-Anzahl von ~95% bleiben die Spammer draussen. |
| Server Virtualisierung | Bei vielen meiner Lösungsansätze benutze ich Virtualisierungstechniken wie linux-vserver und XEN. Ich bin auch bemüht bei anderen Virtualisierungslösungen zu helfen, die auf open source basieren. |
| Enterprise Netzwerk Sicherheit | Ich habe ein hochredundantes (mithilfe von VRRP und Rapid Spanning Tree) und fehlertolerantes Netzwerk für ein Unternehmen implementiert, das jeden Firmenport mit 802.1X Authentifizierung schützt. Computer die diesen Authentifizierungsmechanismus nicht schaffen fallen automatisch in ein Gäste-VLAN mit Zugriff aufs Internet aber keiner Verbindung ins interne Netzwerk. |
| Firewall Redundanz | Firewalls gehören zu meiner Spezialität, da ich imstande bin Redundante Firewalls die sogar ihren State miteinander synchronisieren zu bauen. Ich bediene mich hierbei des OpenBSD Paketfilters, pfsync wie auch CARP (so etwas wie VRRP oder HSRP) um eine redundante IP Adresse zu vergeben. PF macht die Konfiguration einer Firewall wirklich lesbar und einfach. Ich habe dies in einem Routing- und Switching-Setup erstellt. |
| Monitoring Lösung | Als erfahrener Nagios Administrator kann ich benutzerspezifische Checks selbst schreiben, mit speziellen SNMP Scripts aufwarten um zum Beispiel im Falle bei einer Mail Queue die zu voll ist zu alarmieren. Ich kann Server wie auch Router monitoren. Darüberhinaus kann ich mit Cacti und anderen graphing-Tools helfen, statistische Analysen über das Verhalten und den Trend eines Routers oder Servers aufzuzeigen. Ich habe durch diverse Projekte viel Erfahrung mit rrdtool gesammelt. |
| sFlow Analyse | Ein großes Projekt für den Vienna Internet Exchange war es eine Software zu schreiben, die sFlow Daten interpretiert um Graphen für Peer zu Peer Traffic Beziehungen zu generieren. Dieses Tool kann auch eine Peering Matrix errechnen. |
| Cisco/Foundry Automatisierung | Ich habe eine Sammlung von Tools geschrieben, die es möglich machen periodisch und automatisch die aktuelle Konfiguration eines Cisco oder Foundry/Brocade Gerätes auf einen TFTP-Server zu speichern. Umgekehrt kann diese Software auch automatisch Config Snippets auf eine beliebige Anzahl von Geräten schreiben, und das alles in einer sicheren SNMPv3 Umgebung. |
| IPv6 | Als erfahrener IPv6 Benutzer habe ich einen IPv6 Backbone für einen kleinen ISP wie auch für viele UNIX-Services (BIND, Apache, Exim, etc) implementiert. |
| LDAP Authorisierung und Authentifizierung | Mit mehr als 5 Jahren Erfahrung in LDAP bin ich geschult im Umgang mit Authentifizierung und Authorisierung und weiß wie man verschiedenste Services (apache, smtp, pop3, imap, ppp, caldav, webdav, pam, etc) damit verbindet. |
| L2TP Endpunkt | Ich habe eine Radius Infrastruktur erstellt mit der es mir möglich ist PPP Verbindungen über L2TP zu authentifizieren, statische IP Adressen oder Routen zu setzen, und den User sogar - wenn gewünscht - in eine virtuelle Routing-Instanz (VRF) zu setzen. |
Referenzen
Aus Sicherheitsgründen gebe ich keine Referenzen bekannt. Ich kann Ihnen jedoch versichern, daß ich für Regierungseinrichtungen, Universitäten und Internet Service Provider gearbeitet habe.