Forschen

Newsletter 2. Quartal 2024


Hallo,

eben noch frisch und nass hat uns jetzt wohl doch endlich ein bisschen Sommer erreicht und das auch noch passend zur Fußball-EM im eigenen Land.

So ein Event wird gerne genutzt, um von dringlichen Herausforderungen abzulenken – ganz getreu dem alten Rom mit dem Motto „Brot und Spiele“. Mit der Digitalisierung und - wichtiger noch - mit einer, die die Ansprüche von digitaler Souveränität erfüllt, tun wir uns hier immer noch schwer. Die öffentliche Verwaltung hat Ansätze und Ideen, die aber oft am grundsätzlichen Digitalisierungswillen scheitern. Die Wirtschaft hat zwar dank Energiekrise erkannt, dass einseitige Abhängigkeiten schlecht sind, es fehlt aber oft nach wie vor die Überzeugung, dass Digitalisierung ein strategisches Thema ist. Und so stampft man weiter in die Fettnäpfe von Vendor-Lock-Ins.

Und damit sind wir eigentlich schon mitten in den GONews, die eben unter anderem dieses Thema aufgreifen und so eine hoffentlich spannende Lektüre für alle Digitalisierer sind.
Jetzt aber viel Spaß mit den GONews


Alfred Schröder
Geschäftsführer



Inhalt

  • Proxmox – die Alternative zu VMware
  • Vierter SCS Hackathon bei GONICUS in Arnsberg
  • Open Source Software im Vergaberecht
  • Nacht der Ausbildung im Hochsauerlandkreis
  • Nur mit Open Source kann echte digitale Souveränität erreicht werden
  • Sicherheit von Open Source Software
  • Team News: Verstärkung im Projektmanagement und bestandene Ausbildungen
  • Tipp des Monats



Proxmox – die Alternative zu VMware

Seit den Veränderungen bei VMware und der zugeschnappten Vendor-lock-in-Falle suchen mehr und mehr Kunden nach Alternativen. Aus unserer Sicht ist Proxmox VE eine probate Möglichkeit, sich im Bereich von Virtualisierungslösungen digital souverän aufzustellen.


Mehr zum Thema Proxmox finden Sie hier: https://www.gonicus.de/produkte/proxmox/


Vierter SCS Hackathon bei GONICUS in Arnsberg

Am 16.04. fand der vierte SCS Hackathon bei uns im Kaiserhaus statt. Über 30 engagierte Open Sourceler beteiligten sich dabei an der Weiterentwicklung des Souvereign Cloud Stacks. Begleitet wurde der Hackathon noch vom Besuch des digitalpolitischen Sprechers von Bündnis90/Die Grünen, Maik Außendorf. Er machte sich ein ausführliches Bild über das SCS-Projekt.


Einen kurzen Bericht mit Bildern finden Sie unter: https://www.gonicus.de/aktuelles/20240423_4scs_hackathon/


Open Source Software im Vergaberecht

Ein Positionspapier des Zentrums für digitale Souveränität (ZenDiS) fordert, dass Open Source Software (OSS) im Vergaberecht Vorrang erhält, um die digitale Souveränität der öffentlichen Verwaltung zu stärken. Obwohl Thüringen bereits einen solchen Vorrang eingeführt hat und das Onlinezugangsänderungsgesetz (OZG 2.0) ähnliche Bestimmungen enthält, bleibt der Einsatz von OSS in der Praxis marginal. ZenDiS betont, dass die anstehende Reform des Vergaberechts eine ideale Gelegenheit bietet, um diese Maßnahmen umfassend und effektiv zu verankern.


Mehr Informationen hierzu finden Sie unter: https://www.behoerden-spiegel.de/2024/06/05/open-source-software-im-vergaberecht/


Nacht der Ausbildung im Hochsauerlandkreis

Am 20.06. fand im Hochsauerlandkreis die Nacht der Ausbildung statt. Der Kreis hatte die Aktion ins Leben gerufen und knapp 200 Betriebe beteiligten sich daran, indem sie ihre Türen öffneten und möglichen Auszubildenden die Unternehmen vorstellten.

Auch die GONICUS war mit dabei und begrüßte über 20 Besucherinnen und Besucher, die sich über die Arbeit mit Open Source Software informieren wollten.


Mehr dazu finden Sie hier: https://www.gonicus.de/aktuelles/20240624_nacht_der_ausbildung/


Nur mit Open Source kann echte digitale Souveränität erreicht werden

Digitale Souveränität ist eines der Schlagworte, wenn es um den Schutz der eigenen Daten geht. Dabei wird diese Begrifflichkeit mittlerweile von fast allen Anbietern genutzt, aber was dahinter steckt, ist oft doch nicht das, was es sein sollte. Um wirklich digital souverän handeln zu können, muss man sicher sein können, was mit seinen Daten passiert, wie und wo diese verarbeitet werden. Das kann nur geschehen, wenn man den Quellcode der eingesetzten Software auch selbst überprüfen kann, es sich also um Open Source Software handelt.


Einen ausführlichen Artikel dazu finden Sie unter: https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/digitale-souveraenitaet-nur-mit-open-source


Sicherheit von Open Source Software

Nach wie vor gibt es Vorbehalte gegen Open Source Software. Ein weitverbreiteter Mythos ist, dass durch den frei zugänglichen Code Schwachstellen identifiziert und ausgenutzt werden können. Allerdings ist eben diese Offenheit ein Hauptgrund für die hohe Sicherheit freier Software. Dadurch, dass eine Vielzahl an Entwicklern den Code überprüft, werden Schwachstellen schnell erkannt und behoben. Speziell die Geschwindigkeit, mit der Risiken behoben werden, ist bei Open Source in der Regel deutlich schneller als bei Closed Source Software.


Einen interessanten Artikel zu diesem Themen finden Sie hier: https://www.cloudcomputing-insider.de/sicherheit-von-open-source-vs-proprietaerer-software-a-54bcdd30e1a4a3a903193aa2b1d3b9c3/


Team News: Verstärkung im Projektmanagement und bestandene Ausbildungen

Auch in diesem Quartal konnten wir uns wieder über Zuwachs freuen. Bereits im Mai stieß Michaela zu unserem Team und sie wird unser Projektmanagement mit Ihrer Scrum- und Projekterfahrung bereichern. Herzlich willkommen im Team der GONICUS! Zudem haben unsere Auszubildenden Kevin und Leon ihre Abschlussprüfungen als Fachinformatiker für Anwendungsentwicklung erfolgreich abgeschlossen und konnten übernommen werden. Euch beiden einen herzlichen Glückwunsch!


Weitere offene Stellen finden Sie hier: https://www.gonicus.de/jobs


Tipp des Monats

Betreibt man diverse Dienste in einer DMZ, ist man in den Logs gewohnt diverse IP-Adressen zu sehen, die immer wieder von Filtermaßnahmen an weiteren Aktionen gehindert werden sollen.
Ein Klassiker ist das Werkzeug fail2ban um Brute-Force-Attacken einzudämmen.


Bei Mailrelays ist es gebräuchlich, DNSBL (z.B. zen.spamhaus.org=127.0.0 [2..11]*3 ) zu benutzen, um früh in der SMTP-Kommunikation eine IP eines Spammers abzuweisen. Das folgende Beispiel zeigt eine Alternative zu fail2ban, um mittels Log-Analyse die Firewall eines MikroTik-Router zu triggern und somit die gesamte DMZ vor den gefundenen IP-Adressen zu schützen.


1.) Eine Mangle-Rule auf dem Mikrotik sorgt dafür, dass ganz spezifische ICMP-Pakete ausgewertet werden, sodass die Ziel-IP für einige Minuten in einer dynamischen Adressliste hinterlegt wird:


ip firewall mangle
chain=prerouting action=add-dst-to-address-list connection-state=new protocol=icmp src-address=1.2.3.4 address-list=ATTACKER address-list-timeout=14m icmp-options=8:0-255 packet-size=1328 log=no log-prefix=“”


2.) Eine Firewall-Filter-Rule benutzt diese dynamische Adressliste, um IP-Pakete zu sperren, welche von IP-Adressen auf der Liste stammen:


ip firewall filter:
chain=forward action=drop src-address-list=ATTACKER


3.) Auf Servern, in dessen Logs die IP-Adressen der bösartigen Clients erkannt werden, lässt man zyklisch nach diesen IPs per Script suchen und das spezifische Ping-Paket generieren, welches den Trigger in der Mangle-Rule des MikroTik anspricht:


for i in $( /usr/bin/journalctl -u postfix@-.service –since “259200min ago” -g “listed by domain” |awk ‘{print $7}’| grep -v “:” | sort -u); do ping -q -4 -c1 -s 1300 -t3 -W1 -w1 $i 2>&1> /dev/null; done # Beispiel für einen Dovecot IMAP-Proxy inklusive DNSBL-Prüfung gegen SPAMHAUS: for i in $( journalctl -u dovecot.service –since “15min ago” -g “proxy dest auth failed”| awk ‘{print $14}’ | cut -d “=” -f2 | cut -d “,” -f1 | grep -v “CEST”| sort -u); do dig +short echo $i| awk -F. '{print $4"."$3"." $2"."$1}'.zen.spamhaus.org| grep -q ‘127.0.0.2|127.0.0.3|127.0.0.4|127.0.0.9|127.0.0.11’ && echo “date mikrotik-spamhaus-dovecot $i” >> /var/log/DMZ-Blocker.log && ping -4 -c1 -s 1300 -t3 -W1 -w1 $i; done


Die Intervalle und Sperrzeiten sowie die exakten Such-Strings für die Logs sind natürlich auf die eigenen Bedürfnisse anzupassen.
Ein DNS-Cache kann ähnliches leisten und das Volumen an Anfragen an eine DNSBL verringern. Obiges Beispiel zeigt aber, wie man mit einfachsten Mitteln den Treffer von einem Host zum Schutz für die ganze DMZ heranziehen kann.


Ein Tipp von Markus

×
×

Nehmen Sie Kontakt zu uns auf!

Mit * gekennzeichnete Felder sind Pflichtfelder.

Wir haben Ihre Kontaktanfrage erhalten und melden uns kurzfristig bei Ihnen!

×

Ich möchte digital unabhängig werden!

Vielen Dank für Ihre Mitteilung!