Projekte und Referenzen

Hier finden Sie eine Auswahl der Projekte, Aufgaben und Arbeiten von thwien.de der letzten fünf Jahre.

2024
Migration von Bind9 zu PowerDNS

Auftraggeber: Internetagentur in Düsseldorf-Zoo mit ca. 10 Mitarbeitern

Migration von zwei redundanten DNS-Servern mit Bind9 zu einem PowerDNS-Server. Übertragung aller bestehenden Bind9-Zonen mit zone2sql in die MariaDB-Daten­bank von PowerDNS. Über die grafische Weboberfläche PowerDNS-Admin kann der Auftraggeber nun selbst alle DNS-Einträge für die interne Namensauflösung benutzerfreundlich anpassen.

Umgebung: PowerDNS, Recursor, PowerDNSA-Admin, Docker

2024
Ticketsystem Znuny/OTRS

Als Ticketsystem diente 17 Jahre lang zuverlässig die OpenSource-Lösung MantisBT zur Verarbeitung von ca. 1.400 Tickets jährlich. Dieses System wurde nun durch Znuny/OTRS abgelöst. Der Hauptgrund für den Wechsel ist es, die internen Abläufe in der Dokumentation und Kunden-Kommunikation zu vereinfachen. Sieve-Mail-Filter beschränken den Zugriff ausschließlich auf Kundendomains, ein- und ausgehende Mails können PGP-verschlüsselt verarbeitet werden, Kunden können per Mail, Telefon und Weboberfläche Tickets einstellen. Geplant ist der Einsatz der ITIL-Lösung ITSM für das Change-Managemnt.

Umgebung: Znuny, OTRS, ITIL, ITSM, GnuPG

2023-2024
SIEM (Security Information and Event Management)

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response). Überwachung von Linux-Servern (Debian, Ubuntu, Proxmox, Docker), OPNsense-Firewalls, Windows-Servern, Windows-Arbeitsplätzen und Fedora-Servern.

Umgebung: Wazuh, SIEM

2005-2024
eLearning-Plattform

Auftraggeber: VHS Düsseldorf

Betrieb und ganzjährige Administration einer E-Learning-Plattform (Ilias) der VHS Düsseldorf.

Umgebung: Linux, Apache, PHP, MySQL, Ilias

2019-2024
Server-Administration - Möbelhaus in Düsseldorf

Auftraggeber: Möbelhersteller in Düsseldorf

Regelmäßige Administration und Support von Linux-Servern für ein Unternehmen der Elektrizitätsbranche.

Umgebung: LXC, Software-RAID, NVMe, Plesk, IPv6, Firewall, DSGVO

2019-2024
Server- und Netzwerk-Administration für Unternehmen der Elektrizitätsbranche

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Regelmäßige Administration und Support von Linux-Servern und OPNsense-Firewalls für ein Unternehmen der Elektrizitätsbranche.

Umgebung: Linux, ZFS, Proxmox, OPNsense

2005-2024
Server- und Netzwerk-Administration

Auftraggeber: VHS Düsseldorf

Ganzjährige Netzwerkadministation von 8 Linux-Servern, 22 Cisco-Switche und Cisco-Routern, einem WLAN-Controllern und 27 Access Points. Standortverbindung via IPSec-VPN und OpenVPN. Routing-Protokoll OSPF. Software-RAID. Monitoring. USV.

Umgebung: Debian, Cisco, IPSec, OpenVPN, WLAN, OSPF

2012-2024
Server-Administration - Internetagentur in Düsseldorf

Auftraggeber: Internetagentur in Düsseldorf-Zoo mit ca. 10 Mitarbeitern

Ganzjährige Administration von 50 Linux-Servern mit Debian. Software-RAID, Hardware-RAID, USV, DSL-Router, OpenVPN, Apache, PHP, MySQL, Samba, LXC, Zabbix-Monitoring.

Umgebung: Debian, Linux

2012-2024
Server-Administration - Internetagentur in Düsseldorf

Auftraggeber: Internetagentur in Düsseldorf-Unterbilk mit ca. 25 Mitarbeitern

Ganzjährige Administration von 30 Linux-Servern mit Debian und Ubuntu, Plesk, Apache, PHP, MySQL, Performance, Monitoring, Samba, OpenVPN und IPsec.

Umgebung: Debian, Ubuntu, Zabbix

2023
Zentraler Threat Intelligence Server

Einrichten eines zentralen MISP-Servers zur Bereitstellung von Malware-Signaturen und IP-Adressen, mit schlechter Reputation, für alle verwalteten SIEM-Server und Firewalls. Aktuell hält die Daten­bank über 3,7 Millionen Einträge verdächtiger Signaturen und IP-Adressen.

Umgebung: MISP

2023
Offsite/Offline-Backup-Server

Einrichten eines dedizierten Offsite-Backup-Servers zur wöchentlichen Speicherung des geo-redundanten Online-Backup-Servers als Offsite/Offline-Backup-Version außerhalb der Rechenzentren als Teil der "Business Continuity" nach einem IT-Totalausfall. Speicherung erfolgt auf Datenträgern mit verschlüsselten ZFS-Partitionen. Nach erfolgter Datensicherung wird der Offsite-Backup-Server heruntergefahren, um über das Netzwerk/Internet für Angreifer nicht erreichbar zu sein. Die dedizierte Serverhardware besitzt 8 Hot-Swap-Festplatteneinschübe zur Erweiterung des Speicherplatzes und ein redundantes Netzteil mit Anschluss an einer USV und gleichzeitig an der direkten Stromversorgung.

Umgebung: IT-Notfallplan, Business Continuity, ZFS, Offsite-Backup, Offline-Backup

2023
Firewall mit OPNsense-Hardware

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Konfiguration einer Hardware-Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Standort-Firewall. Anbindung zwischen zwei OPNsense-Firewalls via Wireguard-VPN. OSPF-Routing.

Umgebung: OPNsense, Wireguard-VPN, OSPF, ZFS-RAID, Zabbix-Monitoring

2023
Proxmox-Backup-Server

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Installation und Konfiguration eines Proxmox-Backup-Server für die verschlüsselte Sicherung von virtuellen und dedizierten Servern. Vier herkömmliche Festplatten mit je 16TB Speicherplatz wurden per ZFS-RAIDZ1 (= RAID5) zu 43TB verfügbarem Speicherplatz verbunden. Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Einrichten von Benutzerkonten, API-Tokens und 2FA.

Umgebung: Proxmox-Backup, ZFS-RAID, Zabbix-Monitoring

2022-2023
Netzwerkplanung eines Bürogebäudes in Düsseldorf

Netzwerkplanung eines IT-Netzwerks für ein Bürogebäude mit 7 Etagen auf über 15.000m² Bürofläche. Planung umfasst ein IT-Netzwerk mit 29 Cisco-Layer2-Switches und 2 Cisco-Layer3-Switches, welche mit LWL-Uplinks von 10GBit/s hausintern verbunden sind. Standort wird mit Glasfaser-Internetanbindung (FTTH) mit symmetrischen 1Gbit/s angebunden. Als redundante Internetanbindung wird Koaxial-Internet mit 1Gbit/s eingeplant. Als Router werden zwei dedizierte OPNsense-Firewalls mit MultiWAN-Failover verwendet. Routing wird durch OSPF zwischen OPNsense-Firewalls, Linux-Servern und Cisco-Switches dynamisch verteilt. Im gesamten Gebäude werden zur WLAN-Abdeckung ca. 190 Accesspoints installiert, die von einem zentralen WLAN-Controller verwaltet werden. Strategisch werden bestimmte Netzwerk- und Serverkomponenten mit USV ausfallsicher ausgelegt. Einrichten von zwei dedizierten Servern für die Bereitstellung von virtuellen Linux- und Windows-Active-Directory-Domänencontrollern. Einrichten eines dedizierten Servers als Backup-Server. Netzwerkplanung im Jahr 2022, Sanierungsarbeiten im Jahr 2023 und Inbetriebnahme und Einzug im Jahr 2024.

Umgebung: Netzwerkplanung, USV, OPNsense, OSPF, VRRP, MultiWAN

2023
OPNsense-Firewall mit IPsec-VPN

Auftraggeber: Mittelständiges Unternehmen in Erkrath

Für einen der beiden Standorte in der Schweiz wird der bestehende Cisco881-Router durch eine OPNsense-Hardware-Firewall ersetzt. Dieser Standort ist mit einem weiteren Standort in der Schweiz und drei Standorten in Deutschland per IPsecVPN angebunden.

Umgebung: OPNsense, IPsec-VPN

2022-2023
SIEM (Security Information and Event Management)

Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response).

Umgebung: Wazuh, SIEM

2021-2022
Reverse-Proxy mit WAF und Intrusion Prevention unter OPNsense

OPNsense-Firewall als Reverse-Proxy mit Nginx-WAF (Web Application Firewall), DDoS-Protection, Intrusion Detection und Prevention, GeoIP-Blocking von repressiven und autokraten Staaten, OSPF-Routing und Spamfilter mit Rspamd. Mehrere Standorte sind mit OpenVPN angebunden.

Umgebung: OPNsense, GeoIP-Blocking, Rspamd, ZFS-RAID, Zabbix-Monitoring, OpenVPN

2022
Firewall mit OPNsense

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Nginx-Reverse-Proxy und OpenVPN-Gatway.

Umgebung: OPNsense, OpenVPN, ZFS-RAID, Zabbix-Monitoring

2022
Proxmox-Server für LXC und KVM-Virtualisierung

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Installation und Konfiguration eines Proxmox-Server für die Virtualisierung von Severn unter LXC und KVM. ZFS-RAID (Mirror). Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Der Proxmox-Server wird durch eine dedizierte vorgeschaltete OPNsense-Firewall geschützt.

Umgebung: Proxmox, ZFS-RAID, Zabbix-Monitoring

2021-2022
Cluster von Webkonferenz-Servern

Auftraggeber: VHS Düsseldorf

Aufgrund der Schließung aller öffentlichen Gebäude wegen der Verbreitung des Coronavirus finden seit Monaten keine Schulungen mehr bei der VHS Düsseldorf im Präsenzunterricht statt. Bereits im April 2020 wurde daher die bestehende E-Learningplattform um einen Webkonferenzserver erweitert. Der Webkonferenzserver erreichte bei 8-CPU-Kernen und 16 CPU-Threads bei maximal gleichzeitigen 236 Teilnehmer in 45 Webkonferenzen, wovon 134 Teilnehmer mit Webcam und 205 Teilnehmer mit Mikrofon zugeschaltet waren, eine Auslastung von 85%. Da nun alle Kurse der VHS Düsseldorf als Online-Seminare angeboten werden und die Anforderung steigen wird, wurde entschieden den einzelnen Webkonferenz-Server um einen zweiten mit gleicher Hardware/Software-Konfiguration zu erweitern. Ein dritter dedizierter Server übernimmt den Load-Balancer, welcher die API-Anweisungen des E-Learning-Servers auf die beiden Webkonferenz-Server je nach Auslastung verteilt. Diese Cluster-Konfiguration ist skalierbar, um weitere Webkonferenz-Server bei Bedarf hinzuzufügen oder auch wieder zu entfernen. Zurzeit nutzen über 4.000 Teilnehmer und Dozenten den E-Learning- und Webkonferenz-Server.

Umgebung: Linux, KVM, Ilias, BBB, Scalelite

2021-2022
Firewall mit OPNsense

Auftraggeber: Mittelständiges Unternehmen in Erkrath

Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID, OpenVPN-Gateway und IPsec-Verbindungen zu vier anderen Standorten in Deutschland und der Schweiz.

Umgebung: OPNsense, IPSec, OpenVPN, ZFS-RAID, Zabbix-Monitoring

2020-2022
Mail-Server mit Plesk

Installation und Konfiguration von Plesk auf Debian 10 als Mail-Server. Einrichtung von SPF, Spamassassin, DKIM, SPF und mehrerer DNS-Blacklists zur Spamabwehr und ClamAV als Antivirenscanner. Speicherung der Daten DSGVO-konform auf verschlüsseltem Dateisystem. Konfiguration von TLS-Ver­schlüsselung, Webmail. Monitoring der eigenen Server-IP-Adresse auf Blacklist-Eintragungen. Trennung von Kunden und Abonnements. Anbindung an Rspamd-Dienst unter OPNsense zur effektiven Spamfilterung und Greylisting.

Umgebung: Plesk, Debian, SPF, DKIM, Spamassassin, Greylisting, ClamAV, TLS, DSGVO, Rspamd

2020-2022
Webkonferenzserver für kirchliches Weiterbildungsinstitut in Düsseldorf

Installation und Konfiguration eines dedizierten Webkonferenzservers auf einen Octacore-Prozessor mit 8-CPU-Kernen und 16-CPU-Threads als KVM-Host mit zwei virtuellen KVM-Maschinen einmal als Webkonferenzserver und einmal als STUN/TURN-Server. Datenschutzkonforme Konfiguration durch verschlüsseltes Dateisystem und verschlüsselten Transport inkl. Audio- und Video-Streaming.

Umgebung: Linux, KVM, BBB

2020-2022
Server für virtuelle Klassenzimmer für schulische Weiterbildung und BAMF in Düsseldorf

Auftraggeber: VHS-Haus und BAMF Düsseldorf

Aufgrund der Schließung aller öffentlichen Gebäude wegen der Verbreitung des Coronavirus seit dem 14.3.2020 können auch im VHS-Haus in Düsseldorf keine Schulungen mehr angeboten werden. Um die Prüfungen nicht zu gefährden, wurde unter Hochdruck ein separater Server zur Verwaltung von virtuellen Klassenzimmern installiert und konfiguriert und in der bereits bestehenden E-Learningplattform eingebunden. Somit können Lehrer ein virtuelles Klassenzimmer anlegen und alle Teilnehmer/Schüler eines Kurses nutzen den selben Raum. Ein Tafelbild kann von allen geteilt werden und via Webcam und Mikrofon kann kommuniziert werden. Der Server läuft auf einem verschlüsselten Dateisystem, wird geo-redundant mehrmals täglich auf einem datenschutzkonformen Backup-Server gesichert. Auch das BAMF (Bundesamt für Migration und Flüchtlinge) beteiligt sich jetzt an diesem Projekt und führt Weiterbildung über diesen E-Learning-Server durch. Zurzeit nutzen ca. 6.000 Teilnehmer*innen und Dozent*innen den E-Learning und Webkonferenz-Server.

Umgebung: Linux, KVM, Ilias, BBB

2021
Layer3-Switch für Psychotherapie-Praxis

Konfiguration eines Layer3-Switch für eine Psychotherapie-Praxis in Essen. Alle Therapeuten nutzen dasselbe LAN, um mit dem Internet in Verbindung zu stehen. Dabei ist es nicht wünschenswert, dass die einzelnen Arbeitsplätze untereinander kommunizieren können. Um das zu erreichen, wurde der bestehende Layer2-Switch durch einen Layer3-Switch ersetzt, welcher VLAN und Port Isolation (Protected Ports) unterstützt. Damit soll verhindert werden, dass etwaige infizierte Rechner auch andere Rechner im selben LAN infizieren können. Zugriff auf die Verwaltung der Netzwerkhardware wie Router und Switches ist auf einen bestimmten Netzwerkport beschränkt. Das Spanning-Tree-Protokoll soll darüber hinaus Netzwerkschleifen verhindern.

Umgebung: TP-Link TL-SG2008, VLAN, Isolated Ports, Spanning Tree Protocol (STP)

2021
Firewall mit OPNsense

Installation und Konfiguration einer Firewall mit OPNsense auf einer virtuellen Maschine auf einem KVM-Host mit verschlüsseltem ZFS-RAID. Der dedizierte 19"-Server verfügt über drei LAN-Anschlüsse für Multi-WAN-Anbindungen. Die WAN-Verbindung an den Glasfaser-Provider wird über PPPoE aufgebaut. Dabei wird die IPv6-Konfiguration für die öffentlichen IPv6-Adressen und -Netze über PPPoE per IPV6CP und DHCPv6 bezogen und über Radvd an die lokalen Maschinen verteilt.

Umgebung: Linux, ZFS, RAID, Festplattenverschlüsselung, OPNsense

2020
Redundante Anbindung an Glasfaser FTTH

Erweiterung des Internetzugangs am Standort Ratingen um eine zweite und somit redundante Internetanbindung per Glasfaser (FTTH). Die Internetanbindung mit Koaxial-Kabel bleibt bestehen. Die Glasfaser-Anbindung ist aufgrund der Verfügbarkeit von IPv6, höherer und zuverlässigerer Bandbreite und geringeren Latenz die primäre Internetanbindung. Aufgrund der zweischichtigen Firewall und Netzwerkstruktur wird das IPv6-Präfix per DHCPv6 vom Provider bezogen und per IPv6-Prefix-Delegation an die anderen Netzwerke weiter geleitet.

Umgebung: FTTH, Linux, DHCPv6, IPv6-Prefix-Delegation

2019-2020
Server-Migration - Flugverkehrsbranche

Auftraggeber: In Düsseldorf und Köln ansässige deutsche Fluggesellschaft

Migration von zwei Redhat-Servern von einem Rechnenzentrum in Frankfurt in ein Rechenzentrum in Köln. Dafür werden zwei neue Server mit Redhat Linux Enterprise aufgesetzt und als Mitgliedserver in die Windows-Domäne eingeführt. Die Authentizierung der Benutzer läuft über LDAP/Kerberos, um Zugriff per VPN und vor Ort zu erhalten. Migration der Flugbetriebsanwendungen, die täglich von rund 800 Mitarbeiter des Bodenpersonals und des fliegenden Personals direkt vor Ort oder per VPN verwendet werden.

Umgebung: Redhat, Samba, LDAP, Kerberos, Windows2003/2008

2011-2020
Server-Administration - Flugverkehrsbranche

Auftraggeber: In Düsseldorf und Köln ansässige deutsche Fluggesellschaft

Administration und Support eines 2011 von thwien.de installierten Linux-Servers für eine in Düsseldorf und Köln ansässige deutsche Fluggesellschaft. Dieser Server ist an eine bestehende Windows-Domäne mit Kerberos/Samba angebunden, um ein Single-Sign-On des Apache-Webservers zu realisieren. Auf diesem Server laufen Flugbetriebsanwendungen, die täglich von rund 800 Mitarbeiter des Bodenpersonals und des fliegenden Personals direkt vor Ort oder per VPN verwendet werden. Von thwien.de wurden auch PHP/MySQL-Anwendungen entwickelt, die Mitarbeiterdaten aus SAP und Active-Directory ausliest, eine Anbindung an einen Juniper-SSL-Proxy zur Authentifizierung ermöglicht, zur Auswertung von Pilotenprüfungen und zum Transfer von Flugschreiberdaten der Bombardier CRJ900-Flotte verwendet werden.

Umgebung: Redhat, Windows2003/2008, Kerberos, Samba, ActiveDirectory, Apache, PHP, MySQL

2020
Backup-Server mit ZFS und Native-Encryption

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Einrichten eines dedizierten Backup-Servers mit ZFS, ZFS-Mirroring (RAID-1), Komprimierung und Native Encrpytion (AES256), um eine datenschutzkonforme Speicherung zu gewährleisten. Restriktive Hardware- und Software-Firewallregeln. Der Server verfügt über ECC-RAM, um Speicherfehler weitestgehend auszuschließen.

Umgebung: ZFS, Native Encryption, ZFS-Mirroring, DSGVO

2019
Backup-Server mit ZFS und Native-Encryption

Auftraggeber: In Düsseldorf ansässiges Unternehmen für Software-Entwicklung

Einrichten eines dedizierten Backup-Servers mit ZFS, ZFS-Mirroring (RAID-1), Komprimierung und Native Encrpytion (AES256), um eine datenschutzkonforme Speicherung zu gewährleisten. Restriktive Hardware- und Software-Firewallregeln. Der Server verfügt über ECC-RAM, um Speicherfehler weitestgehend auszuschließen.

Umgebung: ZFS, Native Encryption, ZFS-Mirroring, DSGVO

2019
Server-Administration für Software-Unternehmen

Auftraggeber: In Düsseldorf ansässiges Unternehmen für Software-Entwicklung

Regelmäßige Administration und Support von vier dedizierten Linux-Servern und ca. 10 virtuellen Linux-Servern für ein in Düsseldorf ansässiges Unternehmen für Software-Entwicklung. Zwei bestehende OpenVZ-Server sollen durch LXC-Server abgelöst werden.

Umgebung: Linux, LXC, OpenVZ, Zabbix

2019
LXC-Host für Unternehmen der Elektrizitätsbranche

Auftraggeber: Ein Unternehmen der Elektrizitätsbranche

Einrichten eines dedizierten Servers mit Ubuntu 18.04, Software-RAID auf zwei NVMe-Datenträgern mit LUKS AES512-XTS-Ver­schlüsselung (DSGVO, KRITIS) für die Migration von mehreren virtuellen Servern. Hardware- und Software-Firewall. Monitoring mit Zabbix. Nach BSI KritisV sind besondere IT-Sicherheitsmaßnahmen und -konfigurationen für kritische Infrastrukturen zu berücksichtigen und zu dokumentieren.

Umgebung: Linux, Ubuntu, LXC, DSGVO, KRITIS, NVMe

2019
Samba-Server

Auftraggeber: VHS Düsseldorf

Einrichten eines Samba-Servers zur Speicherung von über 100GB Daten (Kursunterlagen für EDV-Schulungen) und Dateien/Daten­banken für die Kursverwaltung. Durch Zugriffs- und Firewallregeln wird der Zugriff auf bestimmte VLANs wie Schulungsräume und Etagen beschränkt. Der Samba-Server ist so eingerichtet, dass nur das SMB3-Protokoll zugelassen ist und eine AES128-Bit-Ver­schlüsselung für den Datenaustausch ausgehandelt wird.

Umgebung: Samba

2019
MariaDB/Ceph-Cluster mit Hardware-RAID

Auftraggeber: Internetagentur in Düsseldorf-Zoo mit ca. 10 Mitarbeitern

Konfiguration von zwei dedizierten Servern mit Hardware-RAID-Controllern (Adaptec RAID Controller) mit ZMCP (Kapazitiver Schutz des Write-Cache). Über das Monitoring via Zabbix wird der Zustand des RAIDs, der einzelnen Festplatten mit SMART und des ZMCP überwacht. Die Überprüfung des Batteriezustands ist besonders wichtig, da bei einem Stromausfall garantiert sein muss, dass der Write-Cache nicht verloren geht. Konfiguration von MariabDB als Galera-Cluster und Ceph als Filesystem-Cluster mit BluestoreFS auf SSDs. Auf einem dritten virtuellen Server läuft ein Ceph-Monitoring-Node als Arbitrator-Node.

Umgebung: Hardware-RAID, Adaptec RAID mit ZMCP, Ceph, MariaDB Galera-Cluster

2016-2019
Cloud-Storage für Psychotherapie-Praxis

Einrichten von Cloud-Server. Die gespeicherten Daten unterliegen einer hohen Vertraulichkeit und der Pflicht zur Verschwiegenheit. Erstellen eines IT-Sicherheitskonzepts unter Anwendung von Methoden des BSI IT-Grundschutz 200-3 (Risikoanalyse). Umsetzen von Maßnahmen zur Sicherstellung der Anforderungen. Diese Maßnahmen betreffen die sichere Übertragung der Daten über das Internet, die Ver­schlüsselung aller Dateiinhalte auf dem Server, eine sichere Authentifizierung, Mehrschichtige Firewall-Konfiguration (Layer3, Web Application Firewall und Reverse Proxy), Automatisierte Updates, Monitoring, Datenschutzrichtlinie zur sicheren Erstellung von Verzeichnissen und Dateien. Verschlüsseltes Dateisystem mit LUKS-AES-XTS. Intrusion-Detection für unerlaubte Login-Versuche. Zugriffsbeschränkungen durch Zugriffsfilter und Zeitfenster.

Umgebung: Cloud, Storage, LUKS AES-XTS

2019
Dedizierter LXC-Host

Auftraggeber: Möbelhersteller in Düsseldorf

Installation eines dedizierten LXC-Host mit Software-RAID 1 von NVMe-SSD-Festplatten, LXC mit verschlüsseltem Dateisystem (LUKS AES-XTS) hinsichtlich DSGVO, Hardware-Firewall, Software-Firewall, IPv6-Routing, Monitoring, verschlüsseltes Backup auf Provider-Backup-Storages, zwei virtuelle LXC-Maschinen (Plesk und MySQL 5.7) für eine Typo3-Anwendung.

Umgebung: LXC, Software-RAID, NVMe, Plesk, IPv6, Firewall, DSGVO

2019
LDAP-Server mit TLS-Verschlüsselung

Auftraggeber: Internetagentur in Düsseldorf-Zoo mit ca. 10 Mitarbeitern

Migration eines LDAP-Server mit MongoDB. Im Rahmen der Migration und hinsichtlich der DSGVO wurde auf LDAP-over-TLS umgestellt.

Umgebung: OpenLDAP, MongoDB

2019
Austausch von 28 Accesspoints mit WLAN-Controller

Auftraggeber: VHS Düsseldorf

Nach 12-jährigem Betrieb von 28 Cisco Accesspoints mit 2 Cisco WLC 4402 an zwei Standorten wurden diese durch 28 Accesspoints TP-Link EAP 245 ersetzt. Einrichten eines zentralen WLAN-EAP-Controllers unter Linux zur Verwaltungen aller Accesspoints. Die DHCP-Server unter Linux sind redundant ausgelegt.

Umgebung: Cisco WLC 4402, TP-Link EAP 245, Omada EAP Controller