Monthly Archives: August 2008

IT-Systemadministrator (IHK) erfolgreich abgeschlossen

Posted on by
IT Systemadministrator (IHK)

Zertifikat IT Systemadministrator (IHK)

Es ist vollbracht. Nach 6 Monaten habe ich nun die Abschlussprüfung, die im wesentlichem aus einer Präsentation und einem Fachgespräch bestand, erfolgreich bestanden. Es folgte noch ein Händeschütteln, ein Bewertungsbogen der einzelnen Kurse und Dozenten und natürlich das Zertifikat.

Zum Ablauf:
Während der Weiterbildung musste ein Projekt durchgeführt und dokumentiert werden. Siehe dazu diesen älteren Artikel. Diese Dokumentation wurde nun von der IHK studiert und bewertet. Glücklicherweise habe ich alle Teilprozesse ausreichend beschrieben, so das fast keine Fragen offen blieben. Nun musste dieses Projekt zusätzlich in einer Präsentation vorgestellt werden. Diese sollte 20 Minuten dauern und einen möglichst guten Überblick der Vorgänge vermitteln. Anschließend folgten einige Fragen zur Präsentation. Da ich noch niemals zuvor eine Präsentation halten musste, eine ziemliche Herausforderung. Hat man es aber erst einmal überstanden, kommt einem alles halb so Wild vor. Zumindest ist es mir so ergangen. Ein kleiner Tipp: Ich habe alle Dokumente mir OpenOffice.org erstellt und zur Präsentation OpenOffice Portable von portableapps.com auf einem USB-Stick installiert. Damit konnte ich Impress und die Präsentation direkt vom Stick starten. Auch sollte man eine Presenter-Maus/Fernbedienung oder Funkmaus mitbringen. Vor Ort gab es zu meinem erstaunen leider nur eine kabelgebundene Maus.

Für alle die diese Zertifizierung erwerben möchten, der Schwierigkeitsgrad ist um einiges einfacher als bei MCSE-Prüfungen (70-293, 294, 298). Allerdings bekommt man die komplette Bandbreite der IT-Systeme vermittelt. Für mich besonders Interessant war das Thema Telekommunikation und der Onlinekurs Projektmanagement.

Also, worauf wartet ihr noch? :-)

Was ist Ihre Hauptaufgabe in der Organisation oder dem Unternehmen?

Posted on by

Inoffizielle IT-Person. Zumindest wenn es nach Microsoft geht. Auf der Seite “Download der Office 2007 Testversion” wird man nach der Anmeldung freundlich mit einem Formular “Ihre Daten” begrüßt. Es fordert auf, einen Vornamen, Nachnamen, Land/Redion und eine EMail-Adresse anzugeben. Weiter unten, im Bereich “Zusätzliche Informationen” soll eine Hauptaufgabe im Unternehmen angegeben werden. Dort finden sich IT-Manager, Leiter,  Direktor, Marketingexperte, Vertreter, Produzent, Vorstandsvorsitzender und Inoffizielle IT-Person. Unter was fällt nun der Bereich Systemadministrator, Desktop-Support oder  Helpdesk-Mitarbeiter? Bravo Microsoft. Entweder sind diese Personen alle “Assistenten” oder “Sachbearbeiter” oder eben  Inoffizielle IT-Personen.

Deutsche Firmen bestehen nun einmal nicht nur aus Managment, Geschäftsleitung und deren Assistenten. Nich nicht…

Unterordner mit TAR differentiell sichern

Posted on by

Auf einem System mit mehreren Benutzern sollten die Basisordner der Benutzer regelmäßig gesichert werden. Eine vollständige Sicherung kann gerade bei großen Ordnern sehr schnell sehr viel Speicherplatz belegen. Für diesen Fall wurden ja auch Inkrementelle und Differentielle Sicherungen erfunden. Ich habe ein Script geschrieben, das die Basisordner, wenn noch keine vollsicherung vorhanden ist, vollständig sichert. Alle folgenden Sicherungen erstellen nur eine Differenzsicherung zur letzten Vollsicherung. Im Moment überschreibt das Script die letzte Differentielle Sicherung, da diese in meiner Umgebung auf einem zentralem Server täglich auf Band gesichert wird. Bei Bedarf sollte man an die Sicherungen evt. noch das aktuelle Datum anhängen oder ein Archivupdate durchführen, um das überschreiben zu verhindern. Das Sicherungsscript gibt es hier zum Download.

[download#6#image]

Wie funktioniert eigentlich IPSec?

Posted on by

IPSec Logo

Viele reden über IPSec ohne genau zu Wissen wie es eigentlich funktioniert. Im Grunde genommen ist es eine symetrische Verschlüsselung, die asymetrische Schlüssel zum austausch des eigentlichen, symetrischen Schlüssels für die Daten verwendet. Dieser Austauschvorgang wird IKE genannt und arbeitet mit dem ISAKMP Protokoll. Anschließend wird mit diesem Schlüssel die eigentliche Datenverschlüsselung oder Signierung durchgeführt. Das ganze funktioniert so:

  • Einmalige Ausstellung eines Zertifikates durch die PKI
  1. Erstellen eines geheimen Schlüssels in einer sicheren Umgebung. Bei einer sauber implementierten PKI sollte der geheime Schlüssen den Speicher des Gerätes, auf dem er erstellt wurde, nie verlassen. Beispiele hierfür sind zb. eine SmartCard oder ein TPM.
  2. Anschließend wird aus dem geheimen Schlüssel ein öffentlicher Schlüssel errechnet. Aus diesem kann der geheime Schlüssel nicht mehr zurückgerechnet werden (Stand der Technik 2008, Schlüssellänge mind. 2048Bit)
  3. Damit dem Inhaber des geheimen Schlüssels vertraut werden kann, wird der öffentliche Schlüssel zusammen mit Daten zum Inhaber an eine Zertifizierungsstelle gesendet. Diese signiert den Schlüssel mit ihrem geheimen Schlüssel. Eine Prüfung der Signatur ist mit dem öffentlichen Schlüssel der Zertifizierungsstelle jederzeit möglich. Dieser ist übrigens im CA-Zertifikat enthalten.
  4. Ein von der CA signierter Schlüssel wird meistens in Form eines Zertifikats ausgestellt und an den Antragsteller zurückgesandt. Dieser verfügt nun über seinen privaten Schlüssen und eine Signatur (Zertifikat), die bestätigt das die person die ist, für die sie sich ausgibt.
  • Der eigentliche Schlüsseltausch (Verbindungsinitialisierung)
  1. Während des Schlüsseltausches verschlüsselt der Client alle Informationen mit dem öffentlichen Schlüssel des IPSec-Servers. Zusätzlich Authentifiziert er sich mit seinem öffentlichem Schlüssel und signiert die Daten mit seinem privatem Schlüssel. Da den privaten Schlüssel nur der Antragsteller des Zertifikates besitzt, ist die Idendität somit bestätigt.
  2. Der IPSec-Server entschlüsselt die Daten mit seinem privatem Schlüssel. Zusätzlich prüft er bei der CA, ob das Zertifikat, mit welchem die Daten signiert wurden, gültig ist. Dies geschiet durch abfrage der Zertifikatssperrliste. Ist die Signatur der CA gültig und das Zertifikat weder abgelaufen noch gesperrt, ist der Client erfolgreich authentifiziert.
  3. Über diese initiale Verbindung generieren beide Partnr bestimmte zufallszahlen und errechnen nach einem bestimmtem Schema einen gemeinsamen Schlüssel (SA). Für dieses Verfahren wird meistens nach dem Diffie-Hellman (DH) prinzip durchgeführt. Zusätzlich einigen sich beide Partner, welcher Algorithmus und welche Prüfsummenmethode (MD5, SHA1), für die Datenpakete der eigentlichen Übertragung verwendet werden sollen.
  • IPSec Modus Authentication Header Modus (AH)

In diesem Modus werden die Datenpakete nur signiert und nicht verschlüsselt. Dies schützt die Daten gegen veränderung während der Übertragung oder Relay Angriffe (Sniffen und erneutes Aussenden der Pakete). Zur Signierung wird der vorher ausgehandelte Schlüssel der private Schlüssel des Clients direkt verwendet. Die so signierten Daten werden über das IP-Prokokoll Nummer 51 versendet.

  • IPSec Encapsulating Security Payload Modus (ESP)

In desem Modus werden die Daten verschlüsselt. Dazu gibt es 2 Verfahren:

  1. Im Tunnel-Modus werden die Daten inklusive IP-Header verschlüsselt und mit einem neuem IP-Header versehen. Dieser Modus eignet sich für Site-to-Site (Verbindung zweier Standorte) Verbindungen.
  2. Im Transport-Modus werden die Daten des verwendeten Transportprotolls (TCP, UDP) verschlüsselt.

Die eigentliche Verschlüsselung erfolgt mit dem vorher über IKE ausgehandeltem Privatem Schlüssel und Protokoll. Die daten werden bei ESP über das IP-Protokoll nummer 50 übertragen.

Ich hoffe mit diesem Beitrag IPSec einfach erklärt zu haben. Auf tiefere Details, wie die verschiedenen Authentifizierungsmethoden, DH-Gruppen oder Algorithmen werde ich hier nicht eingehen. Fragen, Anregungen und Kritik bin ich jederzeit offen. Dafür gibt es ja die Komentarfunktion :-) .

Weitere Informationen:

http://www.google.de/search?q=ipsec+funktionsweise

http://de.wikipedia.org/wiki/IPsec