MARE system :: Security

:: Security

security

Die Digitalisierung von Geschäfts- und Arbeitsabläufen in der freien Wirtschaft als auch in der öffentlichen Verwaltung, Anbindung an öffentliche Netze und Internetkommunikation ergeben einerseits eine wachsende Abhängigkeit vom störungsfreien Betrieb der IT als auch sich täglich wandelnde Bedrohungen mit potentiellen wirtschaftlichen Schäden.
Wir unterstützen Sie dabei, den richtigen Mix aus Verfügbarkeit, Sicherheit und Aufwand zu finden.

"Informationen sind wichtige Werte für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. In Wirtschaft und Verwaltung bestreitet niemand mehr die Notwendigkeit, seine IT-Landschaft angemessen zu schützen. Daneben müssen aber auch Informationen in allen anderen Phasen von Geschäftsprozessen adäquat geschützt werden. Sicherheitsvorfälle wie die Offenlegung oder Manipulation von Informationen können weitreichende geschäftsschädigende Auswirkungen haben oder die Erfüllung von Aufgaben behindern und somit hohe Kosten verursachen.
Die Praxis hat gezeigt, dass eine Optimierung des Sicherheitsmanagements oftmals die Informationssicherheit effektiver und nachhaltiger verbessert als Investitionen in Sicherheitstechnik. Massnahmen, die ursprünglich zur Verbesserung der Informationssicherheit umgesetzt wurden, können aber auch ausserhalb des Sicherheitszusammenhangs positive Auswirkungen haben und sich als gewinnbringend erweisen. Investitionen in Informationssicherheit können in vielen Fällen sogar mittelfristig zu Kosteneinsparungen beitragen. Als positive Nebeneffekte sind eine höhere Arbeitsqualität, Steigerung des Kundenvertrauens, Optimierung der IT-Landschaft und organisatorischer Abläufe sowie die Nutzung von Synergieeffekten durch bessere Integration des Informationssicherheitsmanagements in bestehende Strukturen zu erwarten." (1)

Sicherheit im Sinne von Betriebssicherheit (garantieren der Verfügbarkeit der Dienste) und Datensicherheit (Verhindern von unbefugtem Zugriff auf Daten) hat in allen unseren Aktivitäten einen vorrangigen Stellenwert. Als Leitfaden dient uns, an die jeweiligen Bedürfnisse angepasst, der IT-Grundschutzkatalog des BSI

(1) Aus dem IT-Grundschutz-Standard 100-2 des BSI



:: Penetration-Tests & Security-Audits

Penetration-Tests werden oftmals als "Ethisches Hacking" bezeichnet, da sie das Ziel haben, Schwachstellen in Servern, Applikationen oder Netzwerken aufzufinden, ohne die Intention, Schaden anrichten zu wollen.

Security-Audits gehen einen Schritt weiter und bewerten zusätzlich bekannte oder gefundene Schwachstellen ob ihrer Auswirkungen auf die Geschäftsprozesse. Weiterhin werden IT-Sicherheitsrichtlinien, Dokumentation, Notfallpläne uvm, die für ein IT-abhängiges Unternehmen im Worst-Case überlebensnotwendig sind, analysiert.

Gemeinsam mit dem Betreiber der Systeme wird eine Bedrohungsanalyse einzelner Komponenten oder des Gesamtsystems erarbeitet, anhand derer die anzugreifenden Ziele, sortiert nach Prioritäten und Auswirkung, identifiziert werden.

Zur Durchführung der Tests und Audits werden eine Reihe anerkannter Standards und bewährter Tools eingesetzt:

Entsprechend den Rules of Engagement gibt es auf die jeweiligen Ziele abgestimmte individuelle Angriffe und Zugriffsversuche, die über automatisierte Verfahren hinausgehen und unter dem Hintergrund Auswirkungen auf die Geschäftstätigkeiten durchgeführt und beurteilt werden. Gefundene Schwachstellen werden dokumentiert und mit möglichen Hinweisen zum Schliessen der Lücken versehen.






.:. Kompetenzen

  • Konzipieren und Betreiben von sicheren IT-Systemen
  • Absicherung gegen Angriffe von aussen und innen
  • Beratung in allen Bereichen unternehmenspezifischer Sicherheitsfragen
  • Dokumentation des Setup und Administration von IT-Systemen
  • Datensicherheit (Backups, Verschlüsselung)
  • Lasttests für Server und Applikationen
  • Absicherung der elektronischen Unternehmenskommunikation
  • Monitoring von Systemen und Diensten auf Verfügbarkeit und Antwortverhalten
  • Videoüberwachung und Verknüpfung mit Alarmsystemen
  • Konzipieren und Betreiben von Firewalls (Astaro)
  • Firewall-Monitoring
  • Konzipieren und Betreiben von host- und netzwerkbasierten Intrusion Detection/Intrusion Prevention-Systemen (Snort NIDS, OSSEC HIDS)
  • WebApplication Firewalls (ModSecurity mit OWASP-CoreRuleSet)
  • Sichere Anbindung von Unternehmensstandorten (OpenVPN, IPSEC)
  • Sichere Anbindung von Aussendienstmitarbeiten / Heimarbeitsplätzen an Unternehmensnetze (OpenVPN)
  • Verschlüsselung von Datenspeicherung und Datentransfer
  • Security - Audits von Servern, Diensten und Infrastruktur
  • technische Begleitung von Zertifizierungen
  • Antispam- und Antiviruslösungen


.:. Whitepaper / Fallstudien / Dokumente

The listed documents and whitepapers are (c) copyright by the owners and published here with the permission or licensed by the authors, if not otherwise stated.




List of Whitepapers and Documents




:: Webapplication Security Information und Howtos
Die folgenden Links enthalten Whitepapers, Howtos und Best-Practice-Guides zu den Themen Entwicklung und Betrieb von Webapplicationen unter dem Gesichtspunkt Security und ist sowohl für Entwickler als auch für Systemadministartoren gedacht.
The following links includes Whitepapers, Howtos and Best-Practice-Guides around development and serving webapplications in a secure manner and is ment for developers as well as systemadministrators

Best Practice Guide for Webapplication-Firewalls(de)



download Webapplication Security Information und Howtos



Kategorien: [ security rootserver ]


:: How to avoid that nasty linux kernel null_pointer dereference bugs
the following is an article about how to avoid security-problems in the linux-kernel due to null_pointer derefences bugs.
Please note that this is still in development, as we gather new information. The How-To will be updated as soon as we get news to hear.




download How to avoid that nasty linux kernel null_pointer dereference bugs



Kategorien: [ security rootserver ]


:: OWASP Application Security Verification Standard (ASVS)
The primary aim of the OWASP Application Security Verification Standard (ASVS) Project is to normalize the range in the coverage and level of rigor available in the market when it comes to performing Web application security verification using a commercially-workable open standard. The standard provides a basis for testing application technical security controls, as well as any technical security controls in the environment, that are relied on to protect against vulnerabilities such as Cross-Site Scripting (XSS) and SQL injection. This standard can be used to establish a level of confidence in the security of Web applications.




download OWASP Application Security Verification Standard (ASVS)



Kategorien: [ security it ]


:: Security Cheat-Sheet Collection from zeltser.org

The following documents are security-related cheat-sheets, taken from zeltster.com, a very good resource for security-informations, both before an incident and after. This section covers actions to be taken bevore an incident; our DONT PANIC emergency-kit covers what to do AFTER a secruity-related incident. This compilation also covers webbased cheat-sheets for SQL/XSS-prevention.


HOW TO SUCK AT INFORMATION SECURITY

Security Architecture Cheat Sheet for Internet Applications

Information Security Assessment RFP Cheat Sheet

SQL Injection Prevention Cheat Sheet by OWASP

XSS (Cross Site Scripting) Prevention Cheat Sheet by OWASP



download Security Cheat-Sheet Collection from zeltser.org



Kategorien: [ security it rootserver technic ]


:: INTERNET PIZZO
Another very interesting suggestion from the Team @ snortattack.org on how to manage secure webservices through IPS (snort) and a proxy (NGINX).

Intro From the paper:

With the expression "Internet Pizzo" we may reference a system which is able to protect Internet services remotely; the Italian term "pizzo" (as "protection") is hereby used in an ironic and mocking form, far distant from its literal meaning, which refers to the fee that mobsters require to assure "protection". "Remote protection" is the peculiar and innovative feature of this system, i.e. the ability to protect services that are not physically close to the security infrastructure. We will show that, thanks to a "NGINX" proxy and featuring proper IPS/firewall protection, it’s feasible to extend a security perimeter beyond geographical boundaries.






download INTERNET PIZZO



Kategorien: [ security rootserver technic ]


:: IPS FLEXIBLE RESPONSE
The Team from SnortAttack.org comes up with some interesting whitepapers on how to use snort as an active Intrusion Prevention System (IPS).

The Whitepaper IPS FLEXIBLE RESPONSE describes the following: (from the Document): The IPS acronym references an Intrusion Prevention System, i.e. a network security device. It monitors the network traffic flow in order to feature real-time malicious traffic blocking.
An IPS can be implemented using a server wherein Snort software works as an IPS, while Iptables handles the more specific firewall tasks and, leveraging specific packages, creates packet queues to be analyzed by the system.






download IPS FLEXIBLE RESPONSE



Kategorien: [ security it rootserver ]


:: Security / Incident / Sysadmin Cheat Sheets and References

We compiled a list of security and incident-based cheat-sheets, questionaires, online.resources and response information as well as some (mostly *nix) systemadministration pocket reference cards for quick resonses in case of emergency.
For more information you might consult your literature or ask the mighty brother




download Security / Incident / Sysadmin Cheat Sheets and References



Kategorien: [ security mare rootserver ]


:: The Twelve Networking Truths 
RFC1925 - The Twelve Networking Truths

Network Working Group                                  R. Callon, Editor
Request for Comments: 1925                                          IOOF
Category: Informational                                     1 April 1996

                      The Twelve Networking Truths

Status of this Memo

   This memo provides information for the Internet community.  This memo
   does not specify an Internet standard of any kind.  Distribution of
   this memo is unlimited.

Abstract

   This memo documents the fundamental truths of networking for the
   Internet community. This memo does not specify a standard, except in
   the sense that all standards must implicitly follow the fundamental
   truths.

Acknowledgements

   The truths described in this memo result from extensive study over an
   extended period of time by many people, some of whom did not intend
   to contribute to this work. The editor merely has collected these
   truths, and would like to thank the networking community for
   originally illuminating these truths.





download The Twelve Networking Truths



Kategorien: [ security it ]


:: Arbeiten mit Snort - Tutorials und Howtos
Artikelserie mit Tutorials zur Installation, Konfiguration, Tuning und Administration eines Snort-IDS-Sensornetzwerkes.




download Arbeiten mit Snort - Tutorials und Howtos



Kategorien: [ security mare technic ]


:: Z0F5 - Security Research Zine
Grossartige Artikelserie über die Sicherheit in der Security-Industrie selbst, einige ihrer **STARS** wie Kevin Mitnick, Dan Kaminsky, Robert Lemos und gierige Hacker/Skiddie - Gruppen wie Anti-Sec, Blackhat-forum et.al.
Wir spiegeln diesen Text, um uns immer wieder daran zu erinnern, die eigene Sicherheit hochzuhalten.
The security scene is fucked. You have Dan Kaminsky lecturing you on how DNS poisoning will destroy life as we know it. You have Matasano harvesting talent and critiquing everyone, and then Ptacek can only announce the release of....a graphical firewall management client. There's kingcope killing bugs and dropping weaponized exploits while making no other contribution except putting a smile on the face of kiddies. There's iDefense and their competitors selling exploits and only doing research in how to make more exploits. There's Jeff Moss running a conference under the hideous misnomer "Blackhat Briefings" where the same researchers search for glory and present the same shit year after year. There are people who just live press release by press release. And on top of it all, somehow you STILL have not got rid of Kevin Mitnick. The industry cares about virtualization one year and iPhones the next, every year forgetting the lessons it should have picked up in the last.



download Z0F5 - Security Research Zine



Kategorien: [ security ]


:: NIST Technical Guide to Information Security Testing and Assessment
Security-Testing-Guide des National Institute of Standards and Technology (NIST); sehr umfangreiche Sammlung von Techniken und Standards, zur Planung, Durchführung und Auswertung von Security-Tests.

Aus dem Intro:
This document is a guide to the basic technical aspects of conducting information security assessments. It presents technical testing and examination methods and techniques that an organization might use as part of an assessment, and offers insights to assessors on their execution and the potential impact they may have on systems and networks. For an assessment to be successful and have a positive impact on the security posture of a system (and ultimately the entire organization), elements beyond the execution of testing and examination must support the technical process. Suggestions for these activities—including a robust planning process, root cause analysis, and tailored reporting—are also presented in this guide.



download NIST Technical Guide to Information Security Testing and Assessment



Kategorien: [ security technic ]


:: Securing Wordpress Whitepaper
Technisches Whitepaper, in dem Schritt für Schritt erklärt wird, wie eine Wordpress-Installationen abgesichert werden kann (en, 15 Seiten)

Aus dem Intro:
This paper provides you with all necessary information to improve the security for your blog. We try to describe the steps in an easy, understandable way without to much tech talk, so that you can easily follow them and you don’t run into problems with applying these changes to secure your blog.
All information can be found on BlogSecurity.net; this paper serves as a compact guide to secure your blog. We will strive to keep this document updated, so check back regularly. If you have questions, problems, ideas or something else related to this paper, feel free to contact us.


Links


download Securing Wordpress Whitepaper



Kategorien: [ security ]


:: OWASP Testing Guide V3
OWASP Testing Guide: Umfangreiche Anleitung, um Webapplikationen und zugrundeliegende Server (Web/Datenbank-Server) umfangreich auf Schwachstellen zu testen und die Ergebnisse zu analysieren.


download OWASP Testing Guide V3



Kategorien: [ security technic ]


:: Software Assurance Maturity Model (SAMM)
OWASP veröffentlicht ein umfangreiches Framework, um Entwickler und Software-Verantwortliche dabei zu unterstützen, Software im Ansatz sicher zu entwickeln. Das Framework (SAMM) steht unter einer Open License und kann frei verwendet werden.

Aus dem Intro:
The Software Assurance Maturity Model (SAMM) is an open framework to help organizations for- mulate and implement a strategy for software security that is tailored to the specific risks facing the organization. The resources provided by SAMM will aid in:
  • Evaluating an organization’s existing software security practices
  • Building a balanced software security assurance program in well-defined iterations
  • Demonstrating concrete improvements to a security assurance program
  • Defining and measuring security-related activities throughout an organization



download Software Assurance Maturity Model (SAMM)



Kategorien: [ security technic ]


:: SSL Server Rating Guide
Umfangreiches Handbuch von SSL Labs, um SSL-Serverkonfigurationen abzusichern und das Public-SSL-Server-Ranking zu verbessern.


download SSL Server Rating Guide



Kategorien: [ security technic ]


:: THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES
OWASP - Liste der 10 kritischsten Angriffspunkte für Webapplikation. Die Liste wird seit 2004 unregelmäßig mit Hilfe des OWASP-Projektes aktualisiert.


download THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES



Kategorien: [ security technic ]


:: Webserver-Security / linux-magazin.de
Webapplikationen sind meist beinahe schutzlos den Widrigkeiten des WWW ausgesetzt. Enthalten sie Fehler, hat das fatale Folgen. Das Apache-Modul Modsecurity schafft eine zusätzliche Knautschzone.


download Webserver-Security / linux-magazin.de



Kategorien: [ security rootserver technic ]


:: AWS Security Whitepaper (engl.)
Amazon Web Services (AWS) delivers a highly scalable cloud computing platform with high availability and dependability, and the flexibility to enable customers to build a wide range of applications. This document is intended to answer customer questions such as "How does AWS help me ensure my data is secure?" Specifically, AWS physical and operational security processes are described for network and infrastructure under AWS' management, as well as service-specific security implementations.


download AWS Security Whitepaper (engl.)



Kategorien: [ security technic ]


:: Firewall / Astaro - Fallstudien
Mehr als 100.000 Kunden vertrauen Astaro beim Schutz ihrer Unternehmensnetzwerke. Ausführlichere Informationen und Fallbeispiele dazu finden Sie auf der Astaro-Webseite.


download Firewall / Astaro - Fallstudien



Kategorien: [ security it ]





:: Referenzen

Nachstehend finden Sie eine Auswahl von durchgeführten Projekten.

:: 2009

Aufbau eines MultiSensor-Intrusion Detection Systems für ein kleines RZ auf Basis von Snort

Eingesetzte Technologien:

  • IDS/IPS Snort
  • BASE/ACID
  • Snortsam
  • OSSEC
  • Nagios
  • OS: Debian / GNU/Linux

  • Konzeption und Aufbau eines IDS-Sensornetzwerkes für Web/Application- und Datenbanksever
  • Tuning der Sensoren
  • Installation der Managementconsole BASE zur Überwachung der Sensoren
  • Entwickeln eigener Nagios-Plugins zur Sensorüberwachung
  • Apr-Okt 2009

 

Snort-Artikel in der Computerzeitschrift ix

  • Artikel über das Intrusion-Detection-System SNORT für Einsteiger und Interessierte in der Computerzeitschrift ix / Dec. 2009
  • http://www.mare-system.de/whitepaper/snort_intro.pdf
  • Aug-Dec 2009

 

Servermigrationen für Ergovia GmbH

  • Erstellung eines Migrationspfades für den Umzug der verschiedenen Services (Tomcat, Web, Mail, Buchung, Monitoring) und Applikationen mit der Maßgabe geringe Ausfallzeiten (< 5 min je Dienst)
  • Durchführen der schrittweisen Migration aller Dienste
  • Apr-Jul 2009

 

Erstellen eines Hostingkonzepts für Hochverfügbarkeit und Migrationspfad für Server und Services der HCMedia / homecompany.de

  • Erstellung eines Hostingskonzepts für die Webapplikation und Emailsysteme mit mehreren Alternativen im Spannungsfeld zwischen geringen Kosten und hoher Verfügbarkeit zur Entscheidungsfindung
  • Erstellung eines Migrationspfades für den Umzug der verschiedenen Services (Web, Mail, Buchung) von einem auf unterschiedliche Dienstleister und Systeme
  • Betreuung von Teilen der Migration
  • Dec 2008-Mar 2009

 

:: 2008

Aufbau Application-Server-Farm (TOMCAT) für Test- und Livesysteme der Parship GmbH Hamburg

Eingesetzte Technologien:

  • Applicationserver: Apache/Tomcat-Cluster
  • Datenbankserver: Postgres
  • OS: Linux, OpenBSD

  • Konzeption, Setup und Betrieb verschiedener Testumgebungen für die JAVA-basierte Webbapplikation (Apache/TOMCAT Server im Verbund + PostgreSQL - Datenbanken
  • Automation des Deployments von Test- und Livereleases / Application Management
  • Tomcat-Tuning
  • Projektmanagement der Releasezyklen
  • Debugging/Entwicklersupport
  • Systemprogrammierung (Shell/Perl/Python) für Workflows und Routinen
  • Loadbalancing / Verfü:gbarkeit
  • Monitoring mit Nagios und Selenium
  • Schnittstellenfunktion für IT-Operations, QA-Testteam und JAVA-Entwicklern

 

Aufbau eines integrierten, LDAP-basierten Kundenbackends für Jazzey GmbH / Salzburg

Eingesetzte Technologien:

  • Applicationserver: Apache+LDAP
  • Datenbankserver: MySQL
  • OS: Linux, OpenBSD
  • Applications: OTRS/LAM/TRAC/CMS
  • Enwicklung / Konzept eines LDAP-basierten SSO-Kundenbackends für Jazzey-Mitarbeiter, Kunden und Partner
  • Anpassung der Module Ticket-System (OTRS), Bugtracking (TRAC), Kundenverwaltung und CMS-Bereich zur Anbindung an LDAP
  • Analyse und Programmieren von Tools zur Workflowunterstützung

 

Beratung bei der Implementation eines SUN-SQL-Clusters für Ergovia GmbH Kiel

  • Konfiguration und Setup eines PostgreSQL-Clusters (Cybercluster)
  • Automation des Datenbank-Deployments
  • Überwachung des DB-Clusters mit NAGIOS

 

Aufbau eines XEN-Servers zur Verwaltung virtueller Maschinen für einen kleinen Spezialhoster

  • Aufbau eines XEN/Ganeti-Clusters und Anpassung von virtuellen Debian-Instanzen
  • Migration eines 3 Jahre alten Shosystems mit teils alter Software auf ein aktuelles Debiansystem

 

Planung und Durchführung von Leistungstest von Postgres-Datenbanken auf SPARC-Servern (für einen ASP / Teststellung: NetUSE AG)

  • Planen und Erstellen verschiedener Testzenarien (Leistungmessung von Netzdurchsatz, Ansprechverhalten der Datenbank, maximale Verbindungen)
  • Programmierung von Testssoftware zur Simulierung von Benutzerverhalten
  • Durchführen der Tests, Analyse und Dokumentation
  • ... und sorry, NetUSE, für den kurzfristigen Denial-Of-Service .. war nicht unsere Absicht ;-)

 

:: 2007

Aufbau eines linuxbasierten Office- und Produktionssystems für die Cliplister GmbH (Kiel)

  • Aufbau eines Samba/LDAP Serversystems mit Deploy-Funktion
  • Beratung und Unterstützung beim Aufbau und Programmierung des Produktionssystems
  • Aufbau einer Monitoring-Lösung zur Überwachung der Office-IT und der Applikationsserver im Internet

 

technische Begleitung der Zertifizierung einer Online_Datenbank eines norddeutschen ASP durch das ULD Kiel

  • Erstellen der technischen Dokumentation für ein gehärtetes Datenbank- und Applikationsserversystems
  • Erstellen der technischen Zertifizierungsdokumentation
  • Setup und Inbetriebnahme der Server

 

Servermanagement/Konsolidierung für Ergovia GmbH Kiel

  • Konsolidierung der Administration der Ergovia-Serverfarm (40 SQL-DB-Server, 5 Applikationsserver)
  • Programmierung von Automationsroutinen für die Ergovia-Serverfarm
  • Einrichtung eines zentralen Rotationsbackups für alle Datenbank- und Applikationsserver
  • Einrichtung eines NAGIOS-Servers zur Überwachung des Betriebs und der Serverfunktionen

 

NAGIOS-Master/Slave - Installation für kommunale Verwaltungen in und um Kiel

  • Erstellung von NAGIOS-Master/Slave - Templates zum einfachen Verteilen von Slave-Instanzen
  • Installation von NAGIOS-Slaves zur Überwachung aller IT-Systeme
  • Aufbau und Betrieb eines NAGIOS-Masters zur SLA-Überwachung

 

Linux-Cluster zur Strömungssimulation für die FH Kiel GmbH

  • Erstellung eines customized Setups, bestehend aus einemSuSE-9.0 - Systems und den aktuellsten Kernel zum Betrieb auf aktueller Hardware (Supermicro XEON-Server)
  • Installation der Cluster Master und Nodes (15 min/Maschine
  • Programmierung eines Cluster-Clon-Programms zuma automatischen Setup neuer Clusternodes

 

ThinClient-Installationssystem für IT-Migration der Röweland-gruppe (Hamburg)

  • Erstellung eines angepassten ThinClient-Images für die neue Terminalserver-Farm
  • Erstellung eines Update- und Installationssystems für neue ThinClients

 

:: Tools, Partner und Zulieferer

Eine kleine Auswahl der meist Open-Source-Software-Tools, die wir einsetzen; warum wir vornehmlich OpenSourceSoftware und GNU/Linux einsetzen haben wir hier erläutert.

Debian / SuSE+SLES / Red Hat / Ubuntu Linuxdistributionen
Samba/LDAP Fileserver und Benutzerverwaltung
OTRS Ticketing-System
Nomachine NX Terminalserver
Astaro ASG Unternehmensfirewalls und Unified Threat Managementsysteme
MySQL/PostgreSQL/SQLite Datenbanksysteme
CITRIX XENServer und XEN/Ganeti Virtualisierung und Clusterlösung
NAGIOS/NagDOG Templates, Plugins und Erweiterungen für Nagios
VMWare Server / ESX / VI3 Virtualisierunglösungen
Group-E Groupware und Workflow-Software
Jabber Instant Messaging
Postfix/Spamassassin/Mailscanner Email und Spam-Protektion
OpenVAS/Nessus Security-Audit-Toolbox
GRML Analyse und Recovery-Tools
DogTOWN/om-tools ServerManagement- und Administrationssuite
Openfire Java-basierter XMPP-Server (Jabber)
Backtrack Security-Audit-Tools
Cyrus-IMAP Imap-Server
Apache/Tomcat Web/Applikationsserver
Snort/BASE Network Intrusion Detection (NIDS) / Network Intrusion Prevention (NIPS)
OSSEC Hostbasiertes Intrusion Detection/Prevention System (HIDS/HIPS)
Suricata Netzwerkbasiertes basiertes Intrusion Detection/Prevention System (HIDS/HIPS)
Hudson Java/Tomcat/Webbasiertes basiertes Deployment/Build/Continuous Integration Tool
Java plattformunabhängige Programmiersprache
Python Programmiersprache
Mozilla Firefox/Prism Webbrowser / Applicationbrowser
OpenOffice Bürosoftware
OpenXChange / Kolab / Collax Small Business / Workgroup-Server
tbook Dokumentationssystem
Opsi IT-Inventarisierung & Softwareverteilung
Openengine Content Management-System
LX-Office Enterprise ERP & CRM
Eclipse Applicationsuite



Partner und Zulieferer

NetUSE AG Server
Blades
Storage
Hardware (IBM/HP/SUN)
Administration
HighEnd-Hosting
Astaro AG Firewalls
Unified Threat Managementsysteme
Storage
Hardware
Citrix Systems Inc. Virtualisierungslöungen XENServer
XenApps
High Availability-Lösungen
Cluster/Administration
MARE multimedia Grafikdesign
Webprogrammierung
Hosting
Webapplikationen
Igel Technology GmbH Thin Clients
TEO Systems Leichtgewichtige Server
stromsparende IT-Systeme
LOGO EDV Systeme BTO-Systeme
angepasste Server / Clientsysteme
Bürosysteme

















(c) copyright 2003 - 2010 MARE system Kiel

| PublicKey | Datenschutz | Impressum | AGB | Warum GNU/Linux? |


excuse: it has Intel Inside









rss-feed    Security Bulletins

:: Security Bulletin # 10.05 - Kritische Lücke in allen Windows-Versionen
:: Security Bulletin # 10.04 / Facebook, SSL - Server + Client DOS
:: Security Bulletin # 10.03 / Spamassassin Milter-Plugin Remote Code Execution
:: Security Bulletin # 10.02 / Probleme nach Microsoft-Update / XP-Crash und BSOD
:: Security Bulletin # 10.01 / Samba-Lücke ermöglicht Auslesen beliebiger Dateien
:: anmelden / subscribe

rss-feed    MARE news

:: Updates auf der Webseite / Notfallkoffer+SIC
:: Danke, Debian!
:: Nagios-Plugins veröffentlicht
:: Manifest für robuste Software / Rugged Software Manifesto
:: Trüffelschwein: Snort-Artikel für Einsteiger und Interessierte
:: anmelden / subscribe


security

rss-feed
Security Information Center

:: Symantec HackIsWack site still open to rickrolling (theregister_sec)
:: Norton Antivirus 2011: Neue Version des Virenscanners bringt mehr Sicherheit (golem)
:: YouGov*s voluntary stalkware unpicked (theregister_sec)
:: Trend Micro: Übernahme des Antivirenherstellers möglich (golem)
:: Binary Planting: Einschleusen von EXE-Dateien möglich (golem)
:: Apple: Sicherheitspatches für Safari 4 und 5 (golem)
:: Re: Nmap NOT VULNERABLE to Windows DLL Hijacking Vulnerability (fulldisclosure)
:: [RingoBingo Secuity] Wikipedia Reflected XSS (Unresponsive-Conpulsive Disclosure) (fulldisclosure)
:: Adobe warnt vor Zero-Day-Lücke in Reader und Acrobat (heise)
:: Koran-burning *pastor* loses website (theregister_sec)
:: anmelden / subscribe




Whitepapers & Docs
:: Webapplication Security Information und Howtos
:: How to avoid that nasty linux kernel null_pointer dereference bugs
:: OWASP Application Security Verification Standard (ASVS)
:: Security Cheat-Sheet Collection from zeltser.org
:: INTERNET PIZZO
:: IPS FLEXIBLE RESPONSE
:: XEN/Ganeti Whitepaper
:: Security / Incident / Sysadmin Cheat Sheets and References
:: The Twelve Networking Truths
:: Arbeiten mit Snort - Tutorials und Howtos












:: home
:: impressum
:: MARE multimedia