Einsatz von Open Source Software an der Charite

E-Mail Proxy DNS/DHCP/NTP RADIUS Trouble-Ticket Überwachung VPN Webserver LDAP Firewall Netbooks

Einsatz von Open Source Software an derCharite

Ralf Hildebrandt

T-System Business Services

sage@guug-Berlin Treffen, 06. November 2008

Ralf Hildebrandt T-System Business Services

Einsatz von Open Source Software an der Charite

1 E-Mail

2 Proxy

3 DNS/DHCP/NTP

4 RADIUS

5 Trouble-Ticket

6 Überwachung

8 Webserver

9 LDAP

10 Firewall

11 Netbooks

Zusammenfassung

Bedingt durch den Kostendruck, mangelnde Flexibilität undZuverlässigkeit werden viele zentrale Netzwerkdienste inder Charite mittels Open Source Software realisiert.Dazu gehören unter anderem:

E-Mail mit Virenscanner

Proxies mit Virenscanner

DNS, DHCP und NTP

Trouble-Ticket-System

Netzwerküberwachung

sonstiges

eigentlich zweieines primär für outgoing, eines primär für incoming(MX-basiertes Routing)postfix

amavisd-new

Postfix

zahlreiche smtpd_*_restrictions

mime_header_checksgegen komische Attachmentsheader_checks

body_checks

amavisd-new als smtpd_proxy_filterArbeitsverzeichnis im RAMviele lustige und weniger lustige Workarounds

Postfix

mime_header_checksgegen komische Attachments

header_checks

body_checks

Postfix

body_checks

Postfix

body_checks

Postfix

body_checks

amavisd-new als smtpd_proxy_filterArbeitsverzeichnis im RAM

viele lustige und weniger lustige Workarounds

Postfix

body_checks

Abbildung: Morris-Wurm

“Sippenhaft”:

check_client_access cidr:/etc/postfix/drop.cidrcheck_sender_mx_access cidr:/etc/postfix/drop.cidr

check_sender_ns_access cidr:/etc/postfix/drop.cidr

Klassen von MX-Hosts:check_sender_mx_access

cdb:/etc/postfix/mx_accepts_no_bounces

DNSBLs:zen.spamhaus.org, bl.spamcop.net, b.barracudacentral.org

RHSBLs:dsn.rfc-ignorant.org

“Sippenhaft”:check_client_access cidr:/etc/postfix/drop.cidrcheck_sender_mx_access cidr:/etc/postfix/drop.cidr

Klassen von MX-Hosts:

check_sender_mx_access

DNSBLs:

zen.spamhaus.org, bl.spamcop.net, b.barracudacentral.org

RHSBLs:

dsn.rfc-ignorant.org

b.barracudacentral.org

Die DNSBL b.barracudacentral.org generiertsäckeweise Supportanfragen – das ist schlecht!

Ich dachte, soeine “professionelle” Blacklist würde weniger Probleme nachsich ziehen.

b.barracudacentral.org

Die DNSBL b.barracudacentral.org generiertsäckeweise Supportanfragen – das ist schlecht! Ich dachte, soeine “professionelle” Blacklist würde weniger Probleme nachsich ziehen.

smtp_discard_ehlo_keyword_address_maps =cdb:/etc/postfix/smtp_discard_ehlo_keyword_address

195.149.117.4 enhancedstatuscodes,dsn84.16.252.206 enhancedstatuscodes,dsn195.149.117.3 body

smtpd_discard_ehlo_keyword_address_maps =cdb:/etc/postfix/smtpd_discard_ehlo_keyword

213.61.110.45 STARTTLS

Stress

Spezielle Einstellungen, die davon abhängen, ob Postfix unterStress ist (=alle smtpd Prozesse sind in Benutzung):

smtpd_hard_error_limit = ${stress?1}${stress:20}smtpd_timeout = ${stress?5}${stress:300}smtpd_banner = $myhostname ESMTP ${stress?(condition RED)}smtpd_error_sleep_time = ${stress?0}${stress:5}

Ratelimiting

Bremsen nach innen und außen!Außen:

smtpd_client_connection_rate_limit = 40smtpd_client_connection_count_limit = 16

Innen:

smtpd_client_connection_count_limit = 20smtpd_client_connection_rate_limit = 30

Spezialzustellung

Spezielle Methoden via transport_maps:

delucaandweizenbaum.com noesmtp:schering.de noesmtp:# spezieller SMTP transport der NIE ESMTP versucht!

dife.de nomime:# spezieller SMTP transport der keine 7bit-8bit Wandlung macht!

doctors.org.uk noquote:# doctor-@doctors.org.uk statt "doctor-"@doctors.org.uk

web.de webde:# a league of their own

Dreckpfuhler!

hotmial.com error:Sie meinen sicher hotmail.com, nicht hotmial.comhotmal.com error:Sie meinen sicher hotmail.com, nicht hotmal.comhormail.com error:Sie meinen sicher hotmail.com, nicht hormail.comhotmil.com error:Sie meinen sicher hotmail.com, nicht hotmil.comhotrmail.com error:Sie meinen sicher hotmail.com, nicht hotrmail.comhotnail.com error:Sie meinen sicher hotmail.com, nicht hotnail.comholmail.com error:Sie meinen sicher hotmail.com, nicht holmail.comhotmsil.com error:Sie meinen sicher hotmail.com, nicht hotmsil.comhotmali.com error:Sie meinen sicher hotmail.com, nicht hotmali.comhotmain.com error:Sie meinen sicher hotmail.com, nicht hotmain.com

Abbildung: Received und Rejected

amavisd-new

Von den ca. 100 Verbindungen/Minute im Wochenmittel werden

78 abgewiesen und23 angenommen.

Dazu kommen viele spontane Disconnects.

default_process_limit = 800

$max_servers = 16;

Erstaunlicherweise reicht das.

amavisd-new

$max_servers = 16;

amavisd-new

$max_servers = 16;

amavisd-new

$max_servers = 16;

Default, bis auf die Phishing/Spam Pattern von:http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz

http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz

Mailboxserver

18.000 Accountsdovecot-1.1.6

postfix mit TLS und SMTP-AUTH

Mailinglisten

> 500 Listen

welche davon sind tot?Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .

Mailinglisten

> 500 Listen welche davon sind tot?

Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .

Mailinglisten

> 500 Listen welche davon sind tot?Injektion an amavisd-new vorbei

bei Mail an alle Studenten dennoch recht viel los. . .

Mailinglisten

> 500 Listen welche davon sind tot?Injektion an amavisd-new vorbeibei Mail an alle Studenten dennoch recht viel los. . .

4 identische Proxies

squid-2.7.x

Squid-3.0 hatte Probleme (sog. “white pages”)Squid-3.1 wird wohl funktionieren. . .(wahrscheinlich schreit Udo jetzt im Publikum)

4 identische Proxiessquid-2.7.x

Squid-3.0 hatte Probleme (sog. “white pages”)

Squid-3.1 wird wohl funktionieren. . .(wahrscheinlich schreit Udo jetzt im Publikum)

Squid-3.0 hatte Probleme (sog. “white pages”)Squid-3.1 wird wohl funktionieren. . .

(wahrscheinlich schreit Udo jetzt im Publikum)

White Pages II

This ‘new’ issue is caused by certain widely-used web serverswhich shall remain nameless and unadvertised by me. Whichalways respond with HTTP/1.1 chunked-encoding of pages.

Servers are explicitly forbidden from sending that particularencoding type to software announcing itself as HTTP/1.0 (suchas squid). But the broken server is doing it anyway!

White Pages II

This ‘new’ issue is caused by certain widely-used web serverswhich shall remain nameless and unadvertised by me. Whichalways respond with HTTP/1.1 chunked-encoding of pages.Servers are explicitly forbidden from sending that particularencoding type to software announcing itself as HTTP/1.0 (suchas squid). But the broken server is doing it anyway!

White Pages II

Ironically: The authors use this server on their own help andsupport website. So those who are having this problem bothsee it as a squid problem, and can’t find or see any solutionthey may have posted anyway.

Will jemand raten, welcher Hersteller das ist?

White Pages II

Ironically: The authors use this server on their own help andsupport website. So those who are having this problem bothsee it as a squid problem, and can’t find or see any solutionthey may have posted anyway.

Will jemand raten, welcher Hersteller das ist?

White Pages III

dansguardian

Als Contentfilter läuft dansguardian.

als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)

dansguardian

als Virenscanner clamd

Jegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)

dansguardian

als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktiviert

einige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)

dansguardian

als Virenscanner clamdJegliche Contentfilterung (pr0n) außer Virenscan istdeaktivierteinige Anfragen werden am dansguardian vorbeigeleitet(Streams, Lufthansa, usw.)

DNS, DHCP und NTP sind auf drei identischen Maschinenvereinigt

DNS: BIND9

DHCP: statisches DHCP für normale Netze, Pools fürWLANNTP: eigener Empfänger für DFC77 und externe Quellen

DNS, DHCP und NTP sind auf drei identischen MaschinenvereinigtDNS: BIND9

DHCP: statisches DHCP für normale Netze, Pools fürWLAN

NTP: eigener Empfänger für DFC77 und externe Quellen

Autorisierung für Switches und Router

Autorisierung der Rechner an den SwitchesAutorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben

Autorisierung für Switches und RouterAutorisierung der Rechner an den Switches

Autorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben

Autorisierung für Switches und RouterAutorisierung der Rechner an den SwitchesAutorisierung für WLAN

Wechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben

Autorisierung für Switches und RouterAutorisierung der Rechner an den SwitchesAutorisierung für WLANWechsel 1.x zu 2.x steht an, mit Syntaxänderungen, dieden Kollegen zum Wahnsinn treiben

OTRSAktuell existiert noch Support-Magic, aber der Name istwohl ein subtiler Witz.

An OTRS schätze ich die intuitive Bedienung undKonfiguration. . .

OTRSAktuell existiert noch Support-Magic, aber der Name istwohl ein subtiler Witz.

An OTRS schätze ich die intuitive Bedienung undKonfiguration. . .

Überwachung vom Netzwerk, nicht von den Mitarbeitern. . .

Nagiosim Umbau, Christian Froemmel implementiert seineLösung aus der ZEDATSmokepingMaster-Slave-Setup, schön bunt!

Überwachung vom Netzwerk, nicht von den Mitarbeitern. . .Nagiosim Umbau, Christian Froemmel implementiert seineLösung aus der ZEDATSmokepingMaster-Slave-Setup, schön bunt!

OpenVPN

für Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

Leider wird das iPhone nicht unterstützt. . .

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linux

pam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .

dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werden

individuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den Login

Nutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameserver

mit GUI!ViscosityTunnelblickNetworkManager

OpenVPNfür Windows, Windows CE (?), Mac OS X und Linuxpam_per_user für per-user Autentifizierung gegenKerberos, LDAP, IMAP, . . .dynamische Firewallregeln, die beim Login ergänzt undbeim Logout wieder entfernt werdenindividuelle x.509 Zertifikate, gebunden an den LoginNutzung interner Nameservermit GUI!ViscosityTunnelblickNetworkManager

TYPO3 (www.charite.de)Wiki (Serverdokumentation)Marktplatz (Bestellsystem)mailman (Mailinglisten)

Adressbuch für E-MailAbbildung der UnternehmenstrukturFührungsebenen, Centren, InstituteAutorisierung für OpenVPN (und bald E-Mail)

historisch: Checkpoint FW-1OSS wäre theoretisch möglich, aber ähnlich wie beiExchange:politische Widerstände, deshalb auch keineOSS-Groupware bisher

Wir haben angefangen, kleine Netbooks (Acer Aspire One) fürspezielle Netzwerkpunkt-Überwachung zu nehmen:

günstigperformanter als Router

die sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!

kleingünstig

performanter als Routerdie sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!

kleingünstigperformanter als Router

die sonst die günstigste Lösung gewesen wären.

Und zusätzlich auch immer ein Terminal im Netzwerkschrank.Macht ja ohne Linux keinen Sinn!

die sonst die günstigste Lösung gewesen wären.Und zusätzlich auch immer ein Terminal im Netzwerkschrank.

Macht ja ohne Linux keinen Sinn!

Fragen?

Ralf Hildebrandt ralf.hildebrandt@charite.de

Einsatz von Open Source Software an der Charite

Documents

RAfEG – Eine Open Source basierte Architektur f¨ur die ... · Open Source Software basierenden Architektur, die den Einsatz f¨ur eine brei- ... E-Government wurde mit Mitteln

Noelle La Charite - Building Voice Experiences

Einsatz von Ölsperren

Tablets im Einsatz

Dein Einsatz zählt !

Charite Dulcissima'_ a Note on the Nameless Charite at Apuleius' Metamorphoses 7_12 (163.10)

CHARITE Charite auf...18/06/2020 17:15 W) P.002/009 •1: i. t 2. Hat Herr Prof. Drosten den PCR-Tesf während seiner Arbeitszeit an der Charite entwickelt? Wenn ja, mit welchen Mitteln

OPEN SOURCE IT-Lösungen ohne Lizenzgebühr – Wirtschaftlichkeit von Open Source Lösungen Einsatz von Open Source als strategische Entscheidung Joachim Bartsch,

Stephan Gutzeit - Stiftung Charite - Stanford Engineering - Feb 6 2012 - V2

Iatrogene Elektrolytstoerungen [Iatrogenic Electrolyte ...edoc.mdc-berlin.de/14841/1/14841oa.pdf · 1Nephrologie und Internistische Intensivmedizin, Charite-Universitätsmedizin Berlin,

ardiology Science Lunch erlin - Charite

MongoDb im Einsatz

Madhwacharya ' s Lineage - "GURU CHARITE"

Sicherheit im Einsatz durch Open-Source Intelligence in ... · Medium.Diesen Umstand macht sich die Open Source Intelligence (OSINT) zunutze. Durch die gezielte Recherche können

CHARITE CAMPUS BENJAMIN FRANKLIN · CHARITE CAMPUS BENJAMIN FRANKLIN 1. Lehrgang Breast Care Nurse vom 18.09.2006 -16.05.2007

Impressum - Charite

20191207 ZIPP Flyer - Charite

Open Source BI im Einsatz 15. November 2013 GUIA, Würzburg, Konstantin Böhm

Unterrichtsplanung mit dem Internet 1. Unterricht ohne Computer-Einsatz 2. Unterricht mit Computer-Einsatz 3. Unterricht mit Internet-Einsatz

Psychogenic non-epileptic seizures - Charite