Projekte und Referenzen

Hier finden Sie eine Auswahl der Projekte, Aufgaben und Arbeiten von thwien.de der letzten fünf Jahre.

2024
OPNsense-Nginx mit HTTP/3-Unterstützung

Einrichten des Nginx-Reverse-Proxy auf der OPNsense-Firewall zur Unterstützung des neuen Protokolls HTTP/3 (QUIC) via Port 443/udp.

Umgebung: OPNsense, Nginx, HTTP/3, QUIC

2024
Migration von ISC-DHCP zu Kea-DHCP

Migration von zwei redundanten ISC-DHCP-Servern zu zwei redundanten Kea-DHCP-Servern.

Umgebung: ISC-DHCP, Kea

2024
OSINT-Server

Einrichten eines Servers zur Internetaufklärung mit öffentlichen Quellen (Open Source Intelligence / OSINT) zur Reduzierung der Angriffsfläche (Attack Surface) hinter den Firmen-Domains.

Umgebung: Spiderfoot, OSINT, Attack surface

2024
Honeypot-Server

Einrichten eines Servers als Honeypot zur Detektion interner Angreifer. Einbindung ins SIEM zur Meldung mit höchster Warnstufe.

Umgebung: Honeypot, SIEM

2024
Migration von Bind9 zu PowerDNS

Migration von zwei redundanten Bind9-DNS-Servern zu zwei redundanten PowerDNS-Servern jeweils mit einem Recursor. Übertragung aller bestehenden Bind9-Zonen mit zone2sql in die MariaDB-Daten­bank von PowerDNS. Die Redundanz ist über Master-Slave-Replikation per AXFR/IXFR realisiert. Über die grafische Weboberfläche PowerDNS-Admin kann der Auftraggeber nun selbst alle DNS-Einträge für die interne Namensauflösung benutzerfreundlich anpassen.

Umgebung: PowerDNS, Recursor, PowerDNS-Admin, Docker, Master-Slave-Replikation, AXFR/IXFR

2024
Ticketsystem Znuny/OTRS

Als Ticketsystem diente 17 Jahre lang zuverlässig die OpenSource-Lösung MantisBT zur Verarbeitung von ca. 1.400 Tickets jährlich. Dieses System wurde nun durch Znuny/OTRS abgelöst. Der Hauptgrund für den Wechsel ist es, die internen Abläufe in der Dokumentation und Kunden-Kommunikation zu vereinfachen. Sieve-Mail-Filter beschränken den Zugriff ausschließlich auf Kundendomains, ein- und ausgehende Mails können PGP-verschlüsselt verarbeitet werden, Kunden können per Mail, Telefon und Weboberfläche Tickets einstellen. Geplant ist der Einsatz der ITIL-Lösung ITSM für das Change-Managemnt.

Umgebung: Znuny, OTRS, ITIL, ITSM, GnuPG

2023-2024
SIEM (Security Information and Event Management)

Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR/XDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response). Überwachung von Linux-Servern (Debian, Ubuntu, Proxmox, Docker), OPNsense-Firewalls, Windows-Servern, Windows-Arbeitsplätzen und Fedora-Servern.

Umgebung: Wazuh, SIEM, EDR, XDR

2005-2024
E-Learning-Plattform

Betrieb und ganzjährige Administration einer E-Learning-Plattform (Ilias) mit über 5.000 Teilnehmern.

Umgebung: Linux, Apache, PHP, MySQL, Ilias

2023
Zentraler Threat Intelligence Server

Einrichten eines zentralen MISP-Servers zur Bereitstellung von Malware-Signaturen und IP-Adressen, mit schlechter Reputation, für alle verwalteten SIEM-Server und Firewalls. Aktuell hält die Daten­bank über 3,7 Millionen Einträge verdächtiger Signaturen und IP-Adressen.

Umgebung: MISP

2023
Offsite/Offline-Backup-Server

Einrichten eines dedizierten Offsite-Backup-Servers zur wöchentlichen Speicherung des geo-redundanten Online-Backup-Servers als Offsite/Offline-Backup-Version außerhalb der Rechenzentren als Teil der "Business Continuity" nach einem IT-Totalausfall. Speicherung erfolgt auf Datenträgern mit verschlüsselten ZFS-Partitionen. Nach erfolgter Datensicherung wird der Offsite-Backup-Server heruntergefahren, um über das Netzwerk/Internet für Angreifer nicht erreichbar zu sein. Die dedizierte Serverhardware besitzt 8 Hot-Swap-Festplatteneinschübe zur Erweiterung des Speicherplatzes und ein redundantes Netzteil mit Anschluss an einer USV und gleichzeitig an der direkten Stromversorgung.

Umgebung: IT-Notfallplan, Business Continuity, ZFS, Offsite-Backup, Offline-Backup

2023
Firewall mit OPNsense-Hardware

Konfiguration einer Hardware-Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Standort-Firewall. Anbindung zwischen zwei OPNsense-Firewalls via Wireguard-VPN. OSPF-Routing.

Umgebung: OPNsense, Wireguard-VPN, OSPF, ZFS-RAID, Zabbix-Monitoring

2023
Proxmox-Backup-Server

Installation und Konfiguration eines Proxmox-Backup-Server für die verschlüsselte Sicherung von virtuellen und dedizierten Servern. Vier herkömmliche Festplatten mit je 16TB Speicherplatz wurden per ZFS-RAIDZ1 (= RAID5) zu 43TB verfügbarem Speicherplatz verbunden. Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Einrichten von Benutzerkonten, API-Tokens und 2FA.

Umgebung: Proxmox-Backup, ZFS-RAID, Zabbix-Monitoring

2022-2023
Netzwerkplanung eines Bürogebäudes in Düsseldorf

Netzwerkplanung eines IT-Netzwerks für ein Bürogebäude mit 7 Etagen auf über 15.000m² Bürofläche. Planung umfasst ein IT-Netzwerk mit 29 Cisco-Layer2-Switches und 2 Cisco-Layer3-Switches, welche mit LWL-Uplinks von 10GBit/s hausintern verbunden sind. Standort wird mit Glasfaser-Internetanbindung (FTTH) mit symmetrischen 1Gbit/s angebunden. Als redundante Internetanbindung wird Koaxial-Internet mit 1Gbit/s eingeplant. Als Router werden zwei dedizierte OPNsense-Firewalls mit MultiWAN-Failover verwendet. Routing wird durch OSPF zwischen OPNsense-Firewalls, Linux-Servern und Cisco-Switches dynamisch verteilt. Im gesamten Gebäude werden zur WLAN-Abdeckung ca. 190 Accesspoints installiert, die von einem zentralen WLAN-Controller verwaltet werden. Strategisch werden bestimmte Netzwerk- und Serverkomponenten mit USV ausfallsicher ausgelegt. Einrichten von zwei dedizierten Servern für die Bereitstellung von virtuellen Linux- und Windows-Active-Directory-Domänencontrollern. Einrichten eines dedizierten Servers als Backup-Server. Netzwerkplanung im Jahr 2022, Sanierungsarbeiten im Jahr 2023 und Inbetriebnahme und Einzug im Jahr 2024.

Umgebung: Netzwerkplanung, USV, OPNsense, OSPF, VRRP, MultiWAN

2023
OPNsense-Firewall mit IPsec-VPN

Für einen der beiden Standorte in der Schweiz wird der bestehende Cisco881-Router durch eine OPNsense-Hardware-Firewall ersetzt. Dieser Standort ist mit einem weiteren Standort in der Schweiz und drei Standorten in Deutschland per IPsecVPN angebunden.

Umgebung: OPNsense, IPsec-VPN

2022-2023
SIEM (Security Information and Event Management)

Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR/XDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response).

Umgebung: Wazuh, SIEM, EDR, XDR

2021-2022
Reverse-Proxy mit WAF und Intrusion Prevention unter OPNsense

OPNsense-Firewall als Reverse-Proxy mit Nginx-WAF (Web Application Firewall), DDoS-Protection, Intrusion Detection und Prevention, GeoIP-Blocking von repressiven und autokraten Staaten, OSPF-Routing und Spamfilter mit Rspamd. Mehrere Standorte sind mit OpenVPN angebunden.

Umgebung: OPNsense, GeoIP-Blocking, Rspamd, ZFS-RAID, Zabbix-Monitoring, OpenVPN

2022
Firewall mit OPNsense

Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Nginx-Reverse-Proxy und OpenVPN-Gatway.

Umgebung: OPNsense, OpenVPN, ZFS-RAID, Zabbix-Monitoring

2022
Proxmox-Server für LXC und KVM-Virtualisierung

Installation und Konfiguration eines Proxmox-Server für die Virtualisierung von Severn unter LXC und KVM. ZFS-RAID (Mirror). Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Der Proxmox-Server wird durch eine dedizierte vorgeschaltete OPNsense-Firewall geschützt.

Umgebung: Proxmox, ZFS-RAID, Zabbix-Monitoring

2021-2022
Cluster von Webkonferenz-Servern

Aufgrund der Schließung aller öffentlichen Gebäude wegen der Verbreitung des Coronavirus finden seit Monaten keine Schulungen mehr in Düsseldorf im Präsenzunterricht statt. Bereits im April 2020 wurde daher die bestehende E-Learningplattform um einen Webkonferenzserver erweitert. Der Webkonferenzserver erreichte bei 8-CPU-Kernen und 16 CPU-Threads bei maximal gleichzeitigen 236 Teilnehmer in 45 Webkonferenzen, wovon 134 Teilnehmer mit Webcam und 205 Teilnehmer mit Mikrofon zugeschaltet waren, eine Auslastung von 85%. Da nun alle Kurse in Düsseldorf als Online-Seminare angeboten werden und die Anforderung steigen wird, wurde entschieden den einzelnen Webkonferenz-Server um einen zweiten mit gleicher Hardware/Software-Konfiguration zu erweitern. Ein dritter dedizierter Server übernimmt den Load-Balancer, welcher die API-Anweisungen des E-Learning-Servers auf die beiden Webkonferenz-Server je nach Auslastung verteilt. Diese Cluster-Konfiguration ist skalierbar, um weitere Webkonferenz-Server bei Bedarf hinzuzufügen oder auch wieder zu entfernen. Zurzeit nutzen über 4.000 Teilnehmer und Dozenten den E-Learning- und Webkonferenz-Server.

Umgebung: Linux, KVM, Ilias, BBB, Scalelite

2021-2022
Firewall mit OPNsense

Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID, OpenVPN-Gateway und IPsec-Verbindungen zu vier anderen Standorten in Deutschland und der Schweiz.

Umgebung: OPNsense, IPSec, OpenVPN, ZFS-RAID, Zabbix-Monitoring

2020-2022
Mail-Server mit Plesk

Installation und Konfiguration von Plesk auf Debian 10 als Mail-Server. Einrichtung von SPF, Spamassassin, DKIM, SPF und mehrerer DNS-Blacklists zur Spamabwehr und ClamAV als Antivirenscanner. Speicherung der Daten DSGVO-konform auf verschlüsseltem Dateisystem. Konfiguration von TLS-Ver­schlüsselung, Webmail. Monitoring der eigenen Server-IP-Adresse auf Blacklist-Eintragungen. Trennung von Kunden und Abonnements. Anbindung an Rspamd-Dienst unter OPNsense zur effektiven Spamfilterung und Greylisting.

Umgebung: Plesk, Debian, SPF, DKIM, Spamassassin, Greylisting, ClamAV, TLS, DSGVO, Rspamd

2020-2022
Webkonferenzserver für kirchliches Weiterbildungsinstitut in Düsseldorf

Installation und Konfiguration eines dedizierten Webkonferenzservers auf einen Octacore-Prozessor mit 8-CPU-Kernen und 16-CPU-Threads als KVM-Host mit zwei virtuellen KVM-Maschinen einmal als Webkonferenzserver und einmal als STUN/TURN-Server. Datenschutzkonforme Konfiguration durch verschlüsseltes Dateisystem und verschlüsselten Transport inkl. Audio- und Video-Streaming.

Umgebung: Linux, KVM, BBB

2020-2022
Server für virtuelle Klassenzimmer für schulische Weiterbildung und BAMF in Düsseldorf

Aufgrund der Schließung aller öffentlichen Gebäude wegen der Verbreitung des Coronavirus seit dem 14.3.2020 können auch in Düsseldorf keine Schulungen mehr angeboten werden. Um die Prüfungen nicht zu gefährden, wurde unter Hochdruck ein separater Server zur Verwaltung von virtuellen Klassenzimmern installiert und konfiguriert und in der bereits bestehenden E-Learningplattform eingebunden. Somit können Lehrer ein virtuelles Klassenzimmer anlegen und alle Teilnehmer/Schüler eines Kurses nutzen den selben Raum. Ein Tafelbild kann von allen geteilt werden und via Webcam und Mikrofon kann kommuniziert werden. Der Server läuft auf einem verschlüsselten Dateisystem, wird geo-redundant mehrmals täglich auf einem datenschutzkonformen Backup-Server gesichert. Auch das BAMF (Bundesamt für Migration und Flüchtlinge) beteiligt sich jetzt an diesem Projekt und führt Weiterbildung über diesen E-Learning-Server durch. Zurzeit nutzen ca. 6.000 Teilnehmer*innen und Dozent*innen den E-Learning und Webkonferenz-Server.

Umgebung: Linux, KVM, Ilias, BBB

2021
Layer3-Switch für Psychotherapie-Praxis

Konfiguration eines Layer3-Switch für eine Psychotherapie-Praxis in Essen. Alle Therapeuten nutzen dasselbe LAN, um mit dem Internet in Verbindung zu stehen. Dabei ist es nicht wünschenswert, dass die einzelnen Arbeitsplätze untereinander kommunizieren können. Um das zu erreichen, wurde der bestehende Layer2-Switch durch einen Layer3-Switch ersetzt, welcher VLAN und Port Isolation (Protected Ports) unterstützt. Damit soll verhindert werden, dass etwaige infizierte Rechner auch andere Rechner im selben LAN infizieren können. Zugriff auf die Verwaltung der Netzwerkhardware wie Router und Switches ist auf einen bestimmten Netzwerkport beschränkt. Das Spanning-Tree-Protokoll soll darüber hinaus Netzwerkschleifen verhindern.

Umgebung: TP-Link TL-SG2008, VLAN, Isolated Ports, Spanning Tree Protocol (STP)

2021
Firewall mit OPNsense

Installation und Konfiguration einer Firewall mit OPNsense auf einer virtuellen Maschine auf einem KVM-Host mit verschlüsseltem ZFS-RAID. Der dedizierte 19"-Server verfügt über drei LAN-Anschlüsse für Multi-WAN-Anbindungen. Die WAN-Verbindung an den Glasfaser-Provider wird über PPPoE aufgebaut. Dabei wird die IPv6-Konfiguration für die öffentlichen IPv6-Adressen und -Netze über PPPoE per IPV6CP und DHCPv6 bezogen und über Radvd an die lokalen Maschinen verteilt.

Umgebung: Linux, ZFS, RAID, Festplattenverschlüsselung, OPNsense

2020
Redundante Anbindung an Glasfaser FTTH

Erweiterung des Internetzugangs am Standort Ratingen um eine zweite und somit redundante Internetanbindung per Glasfaser (FTTH). Die Internetanbindung mit Koaxial-Kabel bleibt bestehen. Die Glasfaser-Anbindung ist aufgrund der Verfügbarkeit von IPv6, höherer und zuverlässigerer Bandbreite und geringeren Latenz die primäre Internetanbindung. Aufgrund der zweischichtigen Firewall und Netzwerkstruktur wird das IPv6-Präfix per DHCPv6 vom Provider bezogen und per IPv6-Prefix-Delegation an die anderen Netzwerke weiter geleitet.

Umgebung: FTTH, Linux, DHCPv6, IPv6-Prefix-Delegation

2019-2020
Server-Migration - Flugverkehrsbranche

Migration von zwei Redhat-Servern von einem Rechnenzentrum in Frankfurt in ein Rechenzentrum in Köln. Dafür werden zwei neue Server mit Redhat Linux Enterprise aufgesetzt und als Mitgliedserver in die Windows-Domäne eingeführt. Die Authentizierung der Benutzer läuft über LDAP/Kerberos, um Zugriff per VPN und vor Ort zu erhalten. Migration der Flugbetriebsanwendungen, die täglich von rund 800 Mitarbeiter des Bodenpersonals und des fliegenden Personals direkt vor Ort oder per VPN verwendet werden.

Umgebung: Redhat, Samba, LDAP, Kerberos, Windows2003/2008

2011-2020
Server-Administration - Flugverkehrsbranche

Administration und Support eines 2011 von thwien.de installierten Linux-Servers für eine in Düsseldorf und Köln ansässige deutsche Fluggesellschaft. Dieser Server ist an eine bestehende Windows-Domäne mit Kerberos/Samba angebunden, um ein Single-Sign-On des Apache-Webservers zu realisieren. Auf diesem Server laufen Flugbetriebsanwendungen, die täglich von rund 800 Mitarbeiter des Bodenpersonals und des fliegenden Personals direkt vor Ort oder per VPN verwendet werden. Von thwien.de wurden auch PHP/MySQL-Anwendungen entwickelt, die Mitarbeiterdaten aus SAP und Active-Directory ausliest, eine Anbindung an einen Juniper-SSL-Proxy zur Authentifizierung ermöglicht, zur Auswertung von Pilotenprüfungen und zum Transfer von Flugschreiberdaten der Bombardier CRJ900-Flotte verwendet werden.

Umgebung: Redhat, Windows2003/2008, Kerberos, Samba, ActiveDirectory, Apache, PHP, MySQL

2020
Backup-Server mit ZFS und Native-Encryption

Einrichten eines dedizierten Backup-Servers mit ZFS, ZFS-Mirroring (RAID-1), Komprimierung und Native Encrpytion (AES256), um eine datenschutzkonforme Speicherung zu gewährleisten. Restriktive Hardware- und Software-Firewallregeln. Der Server verfügt über ECC-RAM, um Speicherfehler weitestgehend auszuschließen.

Umgebung: ZFS, Native Encryption, ZFS-Mirroring, DSGVO

2019
Backup-Server mit ZFS und Native-Encryption

Einrichten eines dedizierten Backup-Servers mit ZFS, ZFS-Mirroring (RAID-1), Komprimierung und Native Encrpytion (AES256), um eine datenschutzkonforme Speicherung zu gewährleisten. Restriktive Hardware- und Software-Firewallregeln. Der Server verfügt über ECC-RAM, um Speicherfehler weitestgehend auszuschließen.

Umgebung: ZFS, Native Encryption, ZFS-Mirroring, DSGVO

2019
LXC-Host für mittelständisches Unternehmen

Einrichten eines dedizierten Servers mit Ubuntu 18.04, Software-RAID auf zwei NVMe-Datenträgern mit LUKS AES512-XTS-Ver­schlüsselung (DSGVO, KRITIS) für die Migration von mehreren virtuellen Servern. Hardware- und Software-Firewall. Monitoring mit Zabbix. Nach BSI KritisV sind besondere IT-Sicherheitsmaßnahmen und -konfigurationen für kritische Infrastrukturen zu berücksichtigen und zu dokumentieren.

Umgebung: Linux, Ubuntu, LXC, DSGVO, KRITIS, NVMe

2019
Samba-Server

Einrichten eines Samba-Servers zur Speicherung von über 100GB Daten (Kursunterlagen für EDV-Schulungen) und Dateien/Daten­banken für die Kursverwaltung. Durch Zugriffs- und Firewallregeln wird der Zugriff auf bestimmte VLANs wie Schulungsräume und Etagen beschränkt. Der Samba-Server ist so eingerichtet, dass nur das SMB3-Protokoll zugelassen ist und eine AES128-Bit-Ver­schlüsselung für den Datenaustausch ausgehandelt wird.

Umgebung: Samba