Projekt Phase I:

• Ist-Efassung aller Systeme (Cis) in GH und EH in Bezug auf OS, Systemnahe SW
• Ist-Erfassung der jeweiligen eingesetzten Patchverfahren und Problemen
• Ist-Erfassung der jeweiligen Kritikalitaet des Cis im Service-Baum sowie die Bedrohungslage für das CI bzw. CI-Typ
• Ist-Erfassung Organisation und Prozesse
• Einbettung der zu patchenden Systeme in Services und Nutzung von Change, Release- und Deployment Management als Kernprozess für das Patchmanagement
• Use Cases definiert mit Schwerpunkt Security-Threads, OS Patches, OS Updates, Systemnahe Software)
• Lösung ausgearbeitet und präsentiert für Konzept, Architektur, Leitplanken, Prozesse, Schnittstellen etc.

Ziel:

• Erkennung von Security-Threads
• Einleiten eines Prozesses zur Ergreifung standardisierter Maßnahmen inkl. Risiko – Management
• Beschaffung notwendiger Patches/Fixes/Updates (möglichst automatisch)
• Testing und Freigabe des Patches/Fixes/Updates
• Rollout der Patches/Fixes/Updates (Projektteam)
• Dokumentation
• Audits
• Ggf. Tools vorschlagen und eingeführen

Ist-Darstellung Systeme und Gefahrenquellen erstellt

Projekt Phase II:

• Umsetzung des Konzeptes (Projektteam) (Oktober/November)

• LINUX (SLES11/12, RedHat/CentOS, Ubuntu) Systemadministration
  • Loadbalancing mit HAProxy implementiert und administriert
  • Tuningmassnahmen fuer das TCP Stack durchgefuehrt (ulimit, sysctl.conf)
  • Webserverperformance Benchmarking / Testing (ab, httperf, perfkit, wrk, h2load)
  • Tomcat Application Server nach Vorgabe der Entwicklungsabteilng installiert und fuer das Deployment neuer Applikationen vorbereitet
  • Tomcat 9 und HTTP/2 installiert und konfiguriert und TLS – Schlüssel aktiviert
  • Apache SSL Verschlüsselung aktiviert
  • Erweiterte Sicherheitstechniken einschließlich 2FA und sichere Passwörter
  • Server mit SSH, apparmor und sudo, gesichert um Schaden zu begrenzen, den Angreifer anrichten können, und  entfernte Syslog-Server eingerichtet
  • VPNs mit OpenVPN einrichtet und SSH nutzen, um den Verkehr zu tunneln, wenn VPNs nicht genutzt werden können
  • Software Load Balancer vorbereitet/konfiguriert  so das  SSL/TLS-Verbindungen zu beendet werden  um neue nachgeschaltete SSL/TLS-Verbindungen zu initiieren
  • Sichere Apache- und Nginx-Webserver und volle HTTPS-Nutzung implementiert
  • Erweiterte Webserver-Härtung mit HTTPS Forward Secretcy und ModSecurity Web Application Firewalls durchgeführt
  • E-Mail-Sicherheit durch SMTP-Relay-Authentifizierung, SMTPS, SPF-Records, DKIM und DMARC ausgearbeitet
  • DNS-Server abgesichert um so DDoS-Angriffe zu verhindern und DNSSEC vollständig implementiert
  • Systematischer Schutz von Datenbanken durch Netzwerkzugriffskontrolle, TLS-Verkehrsverschlüsselung und verschlüsselte Datenspeicherung
  • Performanceueberwachung und Tuning der Linux-Server
• Identifizierung von Bottlenecks
• Die richtige Interpretation der gesammelten Metriken und Informationen
• Performanceoptimierung durch CPU – Profiling
• Visualisierung von Metriken/Reports
• I/O Tracing etc.
• SSHFS installiert fuer das Team konfiguriert und dokumentiert
• WINDOWS 2008/2012R2/2016 Betriebssystemadministration
  • Group Policy Objekte
  • RADIUS VPN EAP mit Windows NPS konfiguriert und betreut
  • IPSec konfiguriert und dokumentiert
  • Analyse der IPSec – Pakete durchgeführt
  • IPAM Server installiert, konfiguriert und dokumentiert (Windows 2012 R2)
• Neo4J Enterprise Edition
  • installiert und konfiguriert
• Tomcat Administration
  • Tomcat installiert
  • StartStop Tomcat Instanz
  • Ports konfiguriert
  • Servlets kompiliert
  • Mapping
  • Servlets gestartet und administriert
  • JSP gestartet
  • Webapplikationen deployed

JBOSS 7 / Wildfly 11 Administration

• Installation und Konfiguration auf Redhat/Centos 7 Servern
• Konfiguration der JBOSS/Wildfly – Umgebungen auf den Betrieb nach Vorgabe der Fachteams
• Deployments und Undeployments der Applikationen mit hilfe des CLI – Tools
• Snapshots der verschiedenen Konfigurationen erstellt
• Betrieb in Batch-Mode durchgeführt
• JBOSS Domains erstellt und diese verwaltet und vorgehensweise dokumentiert
• Applikationsdeployments im Domain – Mode konfiguriert und durchgeführt

Puppet

Docker

• Dockerfiles fuer unterschiedliche Webapplikationen erstellt (in Absprache mit den jeweiligen Fachteams)
• Flaskapplikationen in Container “gepackt”
• Container Links angelegt und konfiguriert
• Mit Docker Compose Workflows automatisiert
• Container Logs überprüft
• Docker Events auf dem Docker Host überwacht
• Docker Inspect benützt
• Datenaustausch zwischen Containern konfiguriert
• Persisten Storage fuer Container angelegt
• Security fuer Host und Container konfiguriert
• Orchestrierung von Containern mit Kubernetes eingeführt

Jenkins

• Jenkins installiert via package installiert
• Fehlende Plugins installiert (Build Pipeline Plugin, Job DSL Plugin …)
• Job Descriptions geschrieben (DSL)
• Auto Deployment via Jenkins konfiguriert
• Maven plugin installiert und konfiguriert
• Maven Projekte angelegt und verwaltet
• Build getriggert
• Quality Assurance und Atomated Testing mit Jenkins realisiert
  • Automatisierte quality assurance aktivitaeten in jenkins projekte implementiert
  • Unit Testing mit jUnit durchgefuehrt
  • Monitoring der Metriken mit JaCoCo durchgeführt
  • Source Code mit FindBugs auf Fehler analysiert
  • Code Strukturen mit checkstyle ausgewertet

Security

Projekte:

• RelEx - TP0 - Compass Absicherung
• Problembeschreibung und Zielsetzung:
• Die verarbeitung von Gesundheitsdaten im Antrags-Prozess macht eine umfangreiche Absicherung aller externen Schnittstellen mi Verbindung zum Compass-System notwendig.
• Auf Citrix NetScaler VPX CR angelegt und entprechend SSL Zertifikate installiert

Aufbau Vmware App Volumes:

• Ausarbeitung der Deployment Strategie fuer Client Applikationen und Design der AppStack – Umgebung (PoC)
• Einfuehrung von Vmware App Volumes in die bestehende VHV Infrastruktur sowie Dokumentation der Vorgehensweise
• Auf den genannten Client das App Volumes Agent installiert und konfiguriert
• Auf AppStacks die Applikationen angelegt und diese an RDSH angebunden
• Mit App Volumes Manager die Deployment Phase der Applikationen gesteuert und vorgehensweise Dokumentiert
• App Volumes Agent Start-Up und Checks-In dokumentiert
• Vorbereitung der MSSQL – Server und dokumentation der Vorgehensweise
• AppStack Build Process implementiert und dokumentiert (Create-Assign-Deliver)
• App Volumes angelegt entsprechend konfiguriert und verwaltet (dokumentiert!)
• Eingesetzte Software:
• Vmware ESXi 5.5x, 6.x und vCenter Server
• Vmware Horizon View 6.0.1
• ESXi 5.5 U3b
• Microsoft AD

Centralized Logging mit dem ELK – Stack implementiert und dokumentiert

• Die Loesung wurde auf Basis Docker implementiert
• Logstash konfiguration angepasst

Anforderungen:

• Die nachfolgenden Anforderungen sollen durch das Sicherheitskonzept erfüllt werden:
  • Nur authentifizierte Nutzer sollen auf Compass zugreifen können
  • Es soll nicht möglich sein, auf fremde Compass-Datensätze zuzugreifen
  • Es soll nicht möglich sein, auf alte Compass-Datensätze zuzugreifen. D.h., nach einem bestimmten Zeitfenster sollen alte Datensätze nicht abrufbar sein.
• Das Sicherheitskonzept besteht aus zwei Bausteinen.
  • Authentifizierung
  • Verschlüsselung der CaseIDs

• Datenbanken
• Coding
• Nagios (checkMK) Monitoring

Die VHV verwendet ein Ebenenkonzept mit folgenden Stufen:

• Entwicklung (e)
• Test (t)
• Pre-Produktion (s)
• Produktion (p)

• Wartung/Betrieb WebApplicationserver, HTTP-Server,Java-Services.
• Middletierbetreuung, Infrastrukturkenntnisse, SOA
• Architektur, Performanceanalyse/Monitoring, Deploymentprozesse,
• Kompetenzen in Scriptsprachen (bash/wsh/ps/perl) und Java

Must have:

• Linux und Windows Know-how
• Apache Tomcat
• JBOSS
• http web services
• Bash Scripting
• GIT Versionskontrolle
• Python
• Flask
• redis

Nice to have:

• IBM WebSphere MQ (SEHR VON VORTEIL, WENN VORHANDEN !)
• UC4 Grundlagen (Jobdessign)
• Java Grundlagen

• ORS1 1.5 Online Rollout Stufe1 fuer die Elektronische Gesundheitskarte
• OPB1 1.6 Online Produktivbetrieb zur elektronischen Gesundheitskarte

• Testmaßnahmen für Komponenten und Dienste der Telematikinfrastruktur im Produktivbetrieb fuer den VPN-Zugangsdienst OPB1 1.6

Testobjekt

Das Testobjekt VPN-Zugangsdienst ist ein zentraler Produkttyp, der der Zulassungsstelle in Form von Zugangsinformationen zum Zulassungsobjekt beigebracht wird.

Der VPN-Zugangsdienst gemäß (gemProdT_VPN_ZugD_PTV170-0_V101, 2017) ermöglicht den Leistungserbringern den Zugang zur Telematikinfrastruktur (TI),

zum Secure Internet Service (SIS) und z. B. zum Sicheren Netz der KVen (SNK).

Als Transportinfrastruktur zwischen dem Netz des Leistungserbringers auf der einen Seite und dem VPN-Zugangsdienst auf der anderen Seite wird in der Regel das öffentliche Internet genutzt.

Durch diese Infrastruktur werden gesicherte Verbindungen von den Konnektoren der Leistungserbringer zu einer Anzahl zentraler VPN-Konzentratoren aufgebaut.

Der Zugang ist durch beidseitige, zertifikatsbasierte Authentisierung gesichert. Die Vertraulichkeit und Integrität der übertragenen Daten wird durch den Einsatz kryptographischer Maßnahmen sichergestellt.

Zweck

Das Testkonzept definiert die Anforderungen an die notwendigen Rahmenbedingungen und Testmaßnahmen für Komponenten und Dienste (nachfolgend Produkte) der Telematikinfrastruktur im Produktivbetrieb.

Um Redundanzen mit anderen Dokumenten zu vermeiden, wird an den Stellen, an denen sich Inhalte überschneiden, auf die führenden Dokumente verwiesen.

Einordnung

Die testdurchführende Instanz erstellt pro Testphase je ein Testkonzept pro Produkttyp, wobei die Testkonzepte einheitlich strukturiert sein sollen und alle relevanten Informationen konsolidieren (z.B. von Subunternehmen).

Je nach Testkonzept und Produkttyp wird verschiedene Tools verwendet (Python, Bash/Shell, CommandLine etc.).

Testsystem

Das Testen der einzelnen Produkte ist so aufgestellt, dass sie aufeinander aufbauen. Schwerpunkt sind dabei Funktionalität, Sicherheit und Interoperabilität um alle gestellten funktionalen Anforderungen zu erfüllen.

Daher werden die Testaktivitäten in zwei Testphasen eingeteilt:

• Eigenverantwortliche Tests der Hersteller und Anbieter
• Zulassungstests der gematik

• Die jeweiligen Aktivitäten der Testphasen finden in eigenen Systemumgebungen statt.
  • Referenzumgebung: Eigenverantwortliche Tests
  • Testumgebung: Zulassungstests der gematik

Vorgehensweise für die Testmanager im Projekt OPB1

• Benutzen der AFO´s aus Produkttypsteckbrief
• Analysieren der Abhängigkeiten
• Zusammenfassen in Matrix
• Evaluieren auf Durchführbarkeit
• Ableiten eines Kataloges mit verwendbaren Testverfahren
• Erstellen von automatisierten Tests
• Prüfen, ob die automatisierten Tests, dass von der gematik geforderte Ergebnis liefern
• Prüfen der automatisierten Tests in der LU
• Erstellen von Nicht-automatisierbaren Tests
• Prüfen, ob die nicht-automatisierbaren Tests, dass von der gematik geforderte Ergebnis liefern
• Prüfen der nicht-automatisierbaren Tests in der LU

• Testvorgehen und Dokumente halten sich an Standards des ISTQB.

• Umsetzen der VPNZD - Testspezfikationen fuer die Spezifikation Netzwerkadministration

Durchgefuehrte Tests:

• Prüfung der Protokolle. NTP Server als Stratum 1 und 2 einrichten, Client jeweils dagegen synchronisieren lassen, Differenz messen.
• Simulation eines Komponentenausfalls im VPN, Auslösung von Datenverkehr und Auswertung der Protokolle.
• Anfrage des SRV-Record Intermediär des Sekundärstandorts Los2  (Abfrageziel muss in anderer Namenshierarchie liegen und eigene Zonenverwaltung einsetzen) an Nameserver (TI) aus Primärstandort.
• Auslösung von Datenverkehr und Überprüfung der Paketlogs und Protokolle auf ICMP-Typen.
• Sicherheitsgutachten ueberpruefen (Einbringung des DNSSEC Trust Anchor für den Namensraum TI)
• Auslösung von Datenverkehr und Überprüfung der Paketlogs und Protokolle auf ICMP-Typen.
• Daten vom Konnektor(simulator) in die Servicezone TI schicken (z.B. ICMP Echo Requests mit variabler Paketgröße und DF-Flag). sowie beispielsweise einem Wert in einem unused-field
• Mehrere Synchronisationszyklen abwarten, Protokolle von VPN-ZD und NTP-Sever prüfen
• Prüfung der Protokolle. NTP Server als Stratum 1 und 2 einrichten, Client jeweils dagegen synchronisieren lassen, Differenz messen.
• Produkttyp VPN-Zugangsdienst, DNSSEC im Namensraum Transportnetz (Prüfung der Nachweise für die Herstellererklärung, Prüfung der Nachweise für das Sicherheitsgutachten)
• Anfrage des SRV-Record Intermediär des Sekundärstandorts Los2  (Abfrageziel muss in anderer Namenshierarchie liegen und eigene Zonenverwaltung einsetzen) an Nameserver (TI) aus Primärstandort.
• DNS-Protokoll, Nameserver-Implementierungen
• Ping mit dem Parameter -Q auf ein Ziel starten. Last auf dem Gerät erzeugen. Ping mit dem Parameter -Q auf ein Ziel starten.
• Serverneustart, Synchronisationszyklen abwarten, Protokolle und Pakete von VPN-ZD und NTP-Server prüfen
• Protokolle und Pakete von VPN Zugangsdienst prüfen auf Polling Intervalle. Bei laufenden Diensten Systemzeit des VPN -Zugangsdienstes nachstellen,
•   Synchronisationszyklen abwarten, Protokolle und Pakete von VPN-ZD und NTP-Server prüfen
• Pruefen von Installationsdokumentationen der verschiedenen Produkttypen
• Daten vom Konnektor(simulator) in die Servicezone TI schicken (z.B. ICMP Echo Requests mit variabler Paketgröße und DF-Flag).
• Herstellererklärungen ueberprueft
• Überprüfung der IP-Adressen im VPN-Zugangsdienst mittels Portscan. Abgleich mit den dokumentierten IP-Bereichen.
• Statisches Routing TI-Übergabepunkte
• Prüfung der Erreichbarkeit zentraler Dienste und VSDD, Erreichbarkeit SIS (ping) Mitloggen der Kommunikation zwischen den Routern. Ausfall (deaktivieren ) des / eines primary routers Prüfung der Erreichbarkeit
•   zentraler Dienste und VSDD, Erreichbarkeit SIS (ping) Mitloggen der Kommunikation zwischen den Routern.
• DSCP-Transport , Konnektorstart Konnektor aktivieren, Pakete vor VPN-Konzentrator und vor SZZP mitloggen  DSCP-Markierungen prüfen.
•   DSCP-Transport , Automatische Onlineprüfung eGK stecken, Pakete vor VPN-Konzentrator und vor SZZP mitloggen DSCP-Markierungen prüfen.
• DSCP-Transport , readVSD readVSD am PS auslösen, Pakete vor VPN-Konzentrator und vor SZZP mitloggen DSCP-Markierungen prüfen.
• Nachweis der Hersteller-Test genua – os-cillation zur Interoperabilität Konnektor und VPNKonzentrator unter Verwendung des SHA-256

• Lastests-/Stress-/Performancetests durchgefuehrt nach Anforderung(en) der gematik

• Installationsanleitungen / Sicherheitshandbücher der Hersteller fuer die Testformulierungen überprüft

Python Programmierung

• Mit venv Module virtuelle Umgebungen fuer Python 3 erstellt / konfiguriert / administriert
• Fuer die Vorbereitung der Tests Pythonumgebungen installiert (Python 2.7, Anaconda 2.7, Module und Erweiterungen etc.)
• Erstellen von Automatisierungsskripten fuer Testabfragen (Python / Scapy)
• Dokumentationen angelegt mit Python Sphinx (HTML Format)
• Codeanalyse vorhandener Codes mit pylint tool und PyCharm als IDE
• Python Skripte (Version 2.7) fuer Penetration Testing erstellt
• Penetration Skripte fuer verschiedene Anforderungen angepasst und ausgeführt und Anpassungen vorgenommen

BashScripting

• Script fuer GS-A_4884_2_Erlaubte ICMP-Types erstellt und in das GIT - Repo eingepflegt
• Script fuer GS-A_4832_1_Path MTU Discovery erstellt und fuer das Testing freigegeben
• Script TIP1-A_4372_1 VPN-Zugangsdienst, Ablauf des IPsec-Verbindungsaufbaus zur TI (bash, traceroute, wget etc.)
• Script TIP1-A_4396_1 VPN-Zugangsdienst, Ablauf des IPsec-Verbindungsaufbaus Richtung Internet
• Script TIP1-A_4353_1_ VPN-Zugangsdienst und Konnektor, Internet Key Exchange Version 2
• Script GS-A_3835_1_DNS-Protokoll, Unterstützung von DNS-SD  erstellt
• Script/Loesung TIP1-A_4357_1_ VPN-Zugangsdienst und Konnektor, Peer Liveness Detection  implementiert

VMWare vSphere DataCenter Konsolidierung ESXi 6.5

• Umgebung fuer Auto Deploy aufgebaut (DHCP, TFTP, Rules, AutoDeploy) und konfiguriert
• AutoDeploy als Service gestartet (startup type bearbeitet)
• TFTP Server konfiguriert (deploy-tftp.zip)
• Images mit vSphere ESXi Image Builder erzeugt
• Images mit Auto Deploye GUI "ausgerollt"
• Host Profiles erstellt und administriert
• Physische Maschinen virtualisiert mit VMware Converter

Debian/Ubuntu/CentOS/KaliLinux/OpenBSD Administration

• Administration der NTP - Server sowie Performancetests vorbereitet und durchgeführt (Die Stratum 1 NTP Server des Produkttyps Zeitdienst und der Stratum 2 NTP Ser-ver des Produkttyps VPN-Zugangsdienst MÜSSEN jeweils mindestens eine Spitzenlast von 200 NTP Anfragen pro Sekunde verarbeiten können.)
• strongSwan auf Ubuntu 16.04.2  installiert, administriert und konfiguriert
• IPSec SAs verwaltet/veraendert mit setkey
• Mit LXC Containerloesungen implementiert und administriert (fuer das Testing die Infrastruktur nachgebildet!)
• Debian/Ubuntu/CentOS Basissysteme installiert und konfiguriert (debootstrap)
• Administration des iked - Daemons mit ikectl
• IMAP konfiguriert
• WebDAV implementiert/konfiguriert (Apache)
• Mit NMAP Netzwerkscans durchgefuehrt
• SNORT IDS installiert und administriert
• Das Logging zentralisiert
• SNORT Rules erstellt und administriert
• SNORT Logging konfiguriert/administriert
• Dynamic DNS implementiert/administriert
• IPv6 Tunnel erstellt (Hurricane Electric)
• Mit ip6tables IPv6 Traffic administriert
• OpenVPN administriert
• TLS fuer NGINX konfiguriert/administriert
• OpenSSH als SocksProxy konfiguriert/administriert
• Tagged VLANs erstellt/konfiguriert/administriert
• File Services auf LINUX – Basis implementiert
  • SAMBA installiert
  • User angelegt
  • Shares angelegt und konfiguriert
  • Linux in Active Directory Umgebung konfiguriert und dokumentiert
  • NFS installiert und konfiguriert und dokumentiert
  • Nagios und NRPE installiert und konfiguriert
  • Munin für Performanceanalyse der Lab-Infrastruktur installiert, konfiguriert und dokumentiert

Centralized Tracing auf Basis OpenZipking implementiert und vorgehensweise dokumentiert

• Zipkin Server via Docker installiert und konfiguriert
• Traces analysiert und dokumentiert

LINUX Server Hardening

• Analyse der vorhandenen Systemen, Auditing Services konfiguriert, Netzwerkscanning Tools (nmap, nessus) und IPTables benutzt, System Logging und remote logging services konfiguriert/administriert,
• Identity Management Services installiert/administriert, User Notification konfiguriert, Terminal/Console Security/Hardening, User Administration Password Aging, Filesystem Security setuid/acls etc, Package Security

WINDOWS 2016 Betriebssystemadministration (Hyper V)

• Installation diverser Windows 2016 Serversysteme und Anpassungen fuer CompuGroup vorgenommen
• Implementation von PatchManagement und Antimalware Applikationen durchgeführt
• Implementation von Server Backups
• Das Monitoring der installierten Server uebernommen
• WSUS Server installiert und die Administration uebernommen (daily tasks) (SQL Server, multiple WSUS Server, Network Load Balancer, Servers & Workstations)

• Support/Schulungen fuer interner Kollegen fuer Linux, Netzwerkadministration etc.

• Python 2.x/3.x, Python Scapy, JIRA
• OpenSSL Kommandozeile, Ping/Hping etc, Nmap, Wireshark, dig, TCPDumg, Tracert, SOAP-UI, SOAP-UI Skripte zur Lastsimulation, Python SCAPY, bwm-ng, nload, iftop, iptraf, nethofs, bmon, slurm, tcptrack, vnstat, speedometer, pktstat, Python Volatility,
• ipsecctl, tcpdump, Windows 10, Ubuntu, CentOS, VMware, Virtualbox, syslog-ng, tomcat (bouncycastle, xmlsec, apache httpcomponents, log4j, perf4j, slf4j),
• Methoden: SAFe 4.0 (durch das CGM - angepasst)
• genua genuscreen

Systemarchitektur:

• Internetgateway/Router, Nameserver, Paketfilter
• Registrierungsserver, HASH&URL-Server(HURL)
• Autorisierungsserver (AAA), VPN-Konzentrator(VPNK)
• NTP-Server, HTTP-Forwarder, Sicherheitsgateway (ALG)
• Störungsampel-Client, LOGGING-Server, OMD-Server

Systemkomponenten VPN Zugangsdienst:

• DNS-Server (bind9), NTP-Server (ntpq), Webserver (apache2), Applikationsserver (tomcat 7), HA-Cluster-
• Software: corosync&pacemaker
• Proxyserver: squid3
• AAA-/Radius-Server: freeradius, Datenbank mysql, VPN-Software iked(IPSec)
• Monitoring-Software: check_mk
• Datenbackup: Bareos und REAR

Konfigurationsmanagement:

• Puppet

Monitoring:

• check_mk, ike-daemon, logfile monitoring squid3
  • Langjährige Berufserfahrung im Bereich Qualitätssicherung
  • Erfahrungen mit Serverumgebungen (Linux-Systemen Debian, Ubuntu, Windows, OpenBSD) speziell im Bereich Networking und Serverdienste
  • Langjährige Erfahrung im Bereich Digitaler Zertifikate (PKI)
  • Python Enthusiast sowie Kenntnisse der verschiedenen Module (scapy etc.)
  • Vertiefte Kenntnisse in System- und Netzwerkadministration
  • Erfahrungen in der IT-Sicherheit

Aufgaben:

• Review der Spezifikation auf Testbarkeit
• Erstellung von Testfällen und Testberichten und Qualitätssicherung
• Planung und Durchführung von Software- und Systemtests
• Berichterstattung über Fehler und Abweichungen und Lösungspresentation
• Qualifiziertes Erstellen, Bearbeiten und Lösen von Incident-Tickets
• Ueberpruefen der aufgeführten RFCs und diverser Netzwerk - Spezifikationen

Rollen: PEGA Administrator / Senior UNIX/LINUX Administrator / Senior Application Manager / Senior Docker DevOps / Senior Virtualization and Cloud Specialist

Projektscope:

Planung und Bereitstellung der Container-Infrastruktur für die AZD-Cloud (ADP, CRP) inklusive Toolchain und Erstellung und Einführung eines Betriebskonzepts. PoC eines Infrastruktur - Betriebs auf Basis AWS.

Zentrale Entscheidungen und Prämissen:

• Aufbau der Zielinfrastruktur in der Public Cloud bei Amazon Web Services
• Amazon rein als IaaS, nicht als PaaS genutzt. Allianz ist als PaaS Betreiber vorgesehen.
• Business-Anwendungen sollen ausschliesslich auf Container-Plattformen betrieben werden
• Aufbau einer Deployment-Pipline zu Amazon Web Services
• Aufbau einer Continuous Delivery Pipline mit Jenkins
• Aufbau und Test von Docker release images
• Erstellen von Unit und Integrations-Tests mit Docker

• UNIX / LINUX (RedHat, CentOS, Ubuntu - Server) Administration

• Softwareversionsverwaltung mit GIT

Docker Administration auf Linux/Windows Plattformen

• Fuer interne Testings innerhalb der Allianz diverse Dockerfile erzeugt um speziell angepasste Images aufzusetzen
• Docker-Workshop fuer Allianz Staff durchgeführt
• DockerToolbox on Windows 7 Troubeshooting betrieben (proxy, profile etc.)
• Nach Allianz Vorgabe/Richtlinien DOCKER - Images erstellt und diese dokumentiert
• Docker Monitoring Konzept erstellt und Loesung implementiert sowie die Loesung dokumentiert
• Mit Docker Compose Multicontainer Applikationen installiert und administriert
• Analyse und Dokumentation vorhandener Dockerkonfigurationen
• DailyDoings (nach images suchen, pulling images, starten/stoppen von containern, logs ueberpruefen, container loeschen und neu aufsetzen, priviligierten in die container konfigurieren, ports konfigurieren,
• ueberpruefen der history, images exportiert, images importiert, Dockerfiles erstellt, automated builds generiert mit github und bitbucket, mit supermin images erstellt usw.)
• Installed and configured cAdvisor fuer Containermonitoring
• Installed and configured Prometheus fuer Containerueber-/Applikationsueberwachung diese dann mit cAdvisor "gekoppelt"
• Windows 2016 Server Container Hosts mit Hilfe von Powershell eingerichtet (Sandbox), vorgehensweise dokumentiert und uebergeben
• Nano Server Images fuer die Containerisierung vorbereitet und erstellt und vorgehensweise dokumentiert

Websphere Administration

• Server/Cluster in Maintenance Mode gesetzt
• Autodeployment administriert (Allianz Eigenentwicklung)

• Oracle 11GR2 Datenbankadministration

PEGA Administration

• Fuer das TEST Stage KIK heute PEGA 7.1.9 installiert / konfiguriert / uebergeben
• Hierfuer alle Vorarbeite und Testing durchgefuehrt (Schema geleert, Vorbereitungs-(Konfig)Skripte gestartet, evtl. Troubelshooting betrieben, die Installationsroutine gestartet)

Beschreibung:

• Unterstützung bei der Konzeption, der Installation und den Upgrades der Pega Infrastruktur (Websphere Konfiguration, Aufsetzen der DB, HotFixes)
• Mitarbeiteit bei der Migration von Pega 6 auf Pega 7
• Datenbank-Administration (Management von DB-Size, SQL Skripte)
• System-Konfiguration (Agents/Listeners, Operator, Unix, z.B. prconfig, web.xml, etc.)
• System-Monitoring (Pega, AES, Unix, Dynatrace, LogFiles, Debugging)
• Support Plattform (Restarts, PRPC Caches, Erstellung Verzeichnisse)
• Dokumentation und Pflege der unternehmensinternen Pega-Wiki-Seite (Changes, IPMs, Best Practices, FAQs etc.)
• Governance (Verwaltung von Prozessen, Schnittstellenfunktion, Pega Projekte Meeting, Eruieren von Lösungskonzepten, IPM, Changes, LogViewer Rechte, Troubleshooting)

Must-Haves:

• Fundierte Kenntnisse in Docker und RedHat Openshift vorausgesetzt
• Gute Kenntnisse in Websphere, UNIX, SQL erforderlich
• Grundkenntnisse in MS Outlook, Word, Excel, PowerPoint
• Kenntisse in der Pflege einer Wiki-Seite
• Erfahrung mit Dynatrace
• Grundkenntnisse in Pega wünschenswert (Pega Administration Specialist sowie Pega Certified System Architect)

Rolle: Senior DevOps / Cloud Specialist / Developer / Systems Administrator

Windows Server 2012/2016 Administration

• Neue Windows Server 2012/2016 installiert (vmware/hypver v)
• Neue Server Rollen angelegt und konfiguriert (vorgabe)
• Die Administration von Hyper-V uebernommen und changes dokumentiert
• Netzwerk Services konfiguriert / administriert (subnetting, supernetting, dynamic configuration, ipv4/ipv6, dns, dhcp, zones, troubleshooting)
• Active Directory konfiguriert / administriert (forests, physical components, single master roles, domain controllers, dns, global catalog server, accounts, computer accounts, groups, units etc.)
• Remote Management fuer beide Platteformen installiert/konfiguriert/administriert
• Diverse Serverrollen installiert/konfiguriert/administriert und dokumentiert (DHCP, DNS, Dcs etc.)
• User / Computer Accounts angelegt und administriert
• Active Directory Administration uebernommen
• Die Server gehaertet (Konform zu Appliance Richtlinien)
• Troubleshooting diverser Fehler/Probleme (diskpart etc.)

LINUX Redhat/Ubuntu/SLES 2nd - 3rd - Level Administrator

• User & Gruppenverwaltung
• ACL Verwaltung (getfacl, setfacl)
• YUM Repositories angelegt & administriert
• RPM - Pakete "gebaut"
• Jobs/Tasks mit Cron verwaltet
• Disk Management Partitionen/Filesysteme angelegt, LVMs angelegt / verwaltet
• LDAP Server installiert / konfiguriert / verwaltet
• Automount konfiguriert Nfs& LDAP
• SELinux konfiguriert / administriert / dokumentiert
• Firewall administriert (firewalld)
• NTP Server installiert / konfiguriert / verwaltet / dokumentiert
• Monitoring auf der CommandLine (CPU & Memory Usage, DiskIO, Network IO, bandwidth monitoring) hierzu auch das stress – Tool eingesetzt (free, top/htop, sar, iotop, lsof, iperf, speedtest cli etc.)
• LINUX Kernel Administration
  • Kernel Modules manipuliert (lsmod, insmod, rmmod, modprobe, depmod etc.)
  • Kernel Automatisierung und Konfiguration (sysctl, udevadm monitor, lsusb, lspci, lsdev, dmesg etc.)
  • Custom Kernel kompiliert (make targets, module options, Dracut)
• Monitoring Data Trends (Historisch) mit collectd
• Administration / Pflege SysV und wenn noch vorhanden Upstart
• Troubleshooting diverser Probleme (Harddisk Recovery, Bootprobleme, GRUB2 Recovery, S.M.A.R.T, smartctl, smartd etc.)
• PXE – Umgebung installiert / konfiguriert / produktiv genommen und dokumentiert fuer die Uebergabe
• Filesystemverwaltung/-administration CentOS und Ubuntu 
• AutoFS konfiguriert / administriert
• Mit LVM2 Volume Groups installiert / konfiguriert / administriert Ubuntu/CentOS
• RAID konfiguriert / administriert / dokumentiert
• Netzwerkadminstration Wired und Wireless Netzwerkverwaltung
• collectd standalone server installiert und konfiguriert
• Troubleshooting von Netzwerkproblemen auf LINUX – Systemen nach Physical, Data Link, Network und Transportissues (arp, ethtool, ip addr, ip route, netstat, Wireshark)
  • Netzwerkscripte ueberarbeitet/korrigiert
  • firewalld-cmd benutzt um firewall – probleme zu loesen
  • Wireshark 2
• Dokumentation angelegt / gepflegt / uebergeben

• HADOOP BigData Administration

Docker

• Auf einem DebianImage diaspora installiert, konfiguriert und produktiv genommen
• Containerverwaltung mit DockerCompose
• Mit Dockerfile angepasste Images erzeugt und diese auf Docker Hub "publiziert"
• Kommunikation zwischen Docker - Container konfiguriert/optmiert/angepasst/administriert
• Die Containerverwaltung um DockerCompose erweitert
• Die Container in die Cloud ausgelagert und administriert
• Data Volumes angelegt und verwaltet fuer SourceCode transfers
• Container Netzwerke erstellt und administriert (custom bridge network)
• Die Verbindung mehrerer Container implementiert / konfiguriert / administriert

Ansible

• Ansible control server installiert
• User angelegt und sudo konfiguriert
• ssh – key auf die agents verteilt
• AWS Provisioning mit Ansible implementiert (python-pip, boto, awscli)
• Erstellen von Ansible-Playbooks (boto)
• AdHoc Tasks durchgeführt

Jenkins

Kubernetes

• fuer mehrere Inhouse Applikationen mit Helm Pakete erstellt und in die Deployment Pipeline aufgenommen
  • Erfahrung bei den Themen rund um eine Build- und Deployment-Pipeline
  • Automatisierung mit Konfigurationsmanagement Systemen
  • Docker-Container Erfahrungen optimal bei der Nutzung von Containern in PaaS-Lösungen
  • Erfahrungen beim Aufbau von zentralen Logmanagement Lösungen
  • Praxiserfahrung in der Systemadministration - idealerweise von *nix Systemen (RHEL, CentOS, Fedora)
  • Affinität zu IT Operations, Open Source, SW-Testing sowie Build- und Release-Management
  • Lust auf Einarbeitung in neue Themen und Container Technologien wie Docker
  • Kenntnisse in einigen der folgenden Bereiche: JEE Application Server, relationale und NoSQLDatenbanken, Data- und Compute-Grids, Clouds, Storage, Netzwerke, Multi-Kanal Plattformen, VCS (Git), Kollaborationstools, Monitoring-Lösungen, Ruby, Perl, Python, Shell

Ein Auszug der verwendeten Technologien:

• Docker
• OpenShift
• DC/OS Mesosphere
• AWS
• Ansible
• Puppet
• Jenkins
• Gitlab CI
• Maven
• Graylog
• ELK
• Logstash
• RPM Builds
• Python 2.x/3.x
• Python-PIP
• AWS
• aws-cli
• EC2
• Jenkins
• Orchestrierung: Mesos, Kubernetes
• Elasticsearch
• Logstash
• Kibana
• Docker / Docker Compose / Docker Swarm / Docker Kitematic / Docker Machine
• MongoDB
• Otto / Vagrant

UNIX/LINUX 3rd Level Administration

• Administration der internen UNIX-/LINUX – Serversysteme (RedHat 6.x, SUSE SLES, Oracle Solaris, HP-UX, AIX) mit Schwerpunkt Security Monitoring & Hardening
• Administration von Zugriffsrechten auf ACL – Ebene
• Sicherer Umgang mit Access Control Mechanisms Standard Linux (DAC), SELinux: Mandatory Access Control (AMC) wurde aber im Haus nicht implementiert
• RHEL/CentOS/Oracle Linux Hardening Konzept erstellt
• Linux Filesystem Management LVM (physical volumes, metadata, volume gruppen, logische volumes, vergroessern/verkleinern, snapshots, thin provisioning, striping, mirroring, migration, backup and recovery, import/export, merge/split volumes)
• Linux Raid Management (creating raids, raid array growing, fehlerhafte harddisks entfernt, /etc/mdadm.conf verwaltet, raid sicherheit und nfsv4, raid 5)
• Administration der Systemdienste mit systemd
• Linux Netzwerk Administration (ARP, DNS, Subnetting, Troubleshooting)
• Linux Encryption (gpg, efs, luks)
  • entcryptfs installiert und konfiguriert
  • ryptsetup installiert und konfiguriert
• Monitoring der Server und Performanceoptimierung
• Dokumentation zu Oracle Solaris 10 SMF erstellt (technische details, infrastruktur, befehle, wichtige konfigdateien, security konzepte innerhalb smf)
• Installation / Konfiguration / Administration SSL/TLS (openssl)
  • Installation / Konfiguration / Administration auf SLES und RedHat 6.5 Betriebssystemen
  • (private public certificates, self signed SSL, hashing, root certificates, code signing             certificates, code signing certificates, backups and restores)
  • Oracle Solaris Zones administriert
    • Solaris Zones geplant und konfiguriert (Non-Global Zones)
    • Solaris Non-Global Zones installiert, geklont und deinstalliert
    • Zonen gebootet und eingeloggt (Zone Console, Non-Interactive Mode, Failsafe Mode etc.)
    • Physikalische Solaris Systeme in Zonen migriert
    •  Zonen gepatcht
    • Dtrace in Zonen gestartet
    •   alle Adminstrativen Arbeiten übernommen

WINDOWS 2003 R2 / 2008 R1&R2, / 2012 R1&R2 Server 3rd Level Administration

• ADS Administration
• Analyse der Group Policies und implementation neuer Gruppenrichtlinien
• Verschiedene Netzwerk Dienste Implementiert
  •  DNS Konfiguration und Troubleshooting auftretender Probleme
  • AGPM installiert / konfiguriert / administriert
  • DirectAccess und NAP installiert / konfiguriert / administriert
  • WSUS installiert / konfiguriert / administriert
  • FSRM installiert / konfiguriert / administriert
  • Datei und Druck – Services eingerichtet
  • DFS installiert / konfiguriert / administriert
• NPS Dienst eingerichtet (RADIUS Server, RADIUS Proxy, NAP Policy Server) und administriert
• WDS implementiert fuer Windows Server Deployment
  • WDS Rolle installiert
  •  Image – Verwaltung konfiguriert / implementiert
  •  Treiber und Softwarepakete aktualisiert
  • Images mit Patches, Hotfixes, Treiber aktualisiert
  • Erweiterungen fuer Offline Images installiert/implementiert
• Monitoring der Server
• Windows 2008/2012 AD Administration
  • Account Policies konfiguriert (local user password policy, account lockout policy, kerberos        policies, PSOs konfiguriert und ausgerollt)
  • Service – Authentifizierung konfiguriert (service accounts, group managed service accounts, virtuelle accounts, kerberos delegation, SPNs administriert)

Forensische - Analyse der verschiedenen Betriebssystem (Windows/Linux) und Dokumentation der Analyse

• Analyse des Windows Registry und Hives
• Snapshots der Registry mit Regshot erstellt
• Mit regripper informationen extrahiert und output analysiert … vorgehensweise dokumentiert

• Log Review der diversen IPS/IDS Applikationen und Konfigurationen (SIEM) und Analyse und Reporting (Qradar)
• Taegliche Reviews der Router & Firewall ACLs
• Firewall Rules angelegt und penetration tests durchgeführt und output analysiert und reports erstellt
• Anpassungen der Netzwerksegmentierung mit dem Netzwerkteam vorgenommen und neue angepasste DMZ Zonen Einfuehrung mitgewirkt

• Network Reconaissance
• Paketanalyse, Netflow Analyse, Wireless Analyse

Advanced Client Security fuer vorhandene Windows Client – Systeme

• Konzept fuer Storage Hardware erstellt und die Einfuehrung innerhalb HSBC mitgewirkt (BitLocker)
• Konzept fuer Software Security erstellt und die Einfuehrung innerhalb HSBC durchgeführt (AppLocker)
• Active Directory Group Policies fuer erhoehte Sicherheit analysiert und bei der Einfuehrung mitgearbeitet (AGPM 4.0 SP1) und fuer Windows AGPM 4.0 SP3
• Analyse und Implementation von Sicherheitsfeatures & Sicerheitsrichtlinien fuer Windows 10 Clients (Installation, Anmeldung, Datenschutz, Security fuer Updates, Netzwerk und Firewalleinstellungen, Verschluesselung mit EFS, Browsereinstellungen etc.)

Security auf Vmware vSphere konfiguriert, administriert und ueberwacht

• Rollen und Berechtigungsverwaltung auf vSphere Server (builtinroles, custom roles, permissions, clone roles)
• ESXi Authentifizierung und Berechtigungsverwaltung
• Hardening der vSphere Umgebung ueberprueft und wenn noetig optimiert und verbessert
• SSO konfiguriert (multisite SSO, VMCA)

Auditing / Monitoring Websphere Sessions der Bankinternen Administratoren

Centrify DirectAudit Monitoring

• Review der aufgezeichneten Sessions (Videos)
• Erstellen neuer Regeln / Filter und Ausweitung des Monitorings konform zu den Richtlinien HSBC   
• Trinkaus
• Analyse neuer Applikationen und generierung neuer Filter/Rules fuer diese neuen Anwendungen

Symantec Data Center Security Server v6.x

• Installation und Deployment fuer HSBC – Infrastruktur Konzept und technische Realisierung
• User und Rollenverteilung
• Konfiguration der Assets (Linux, UNIX, Windows)
  • Defining agents and assets
  • Viewing agents and assets
  • Managing assets
  • Exploring configurations
  • Creating and editing configurations
• Konzeption & Implementation von Policies (Windows Prevention Policies, Unix Security, Emergency Response, Security Awareness)
• Advanced Prevention
• Detection Policies
• Event Management
• Agent Management und Fehlerbehebung
• System Management
• Lease Privilege Access Control (LPAC) / „Sandboxing“ fuer diverse Applikationen erstellt und implementiert

RSA enVision 4.x / Administration

• User und System Access Administration
• enVision Konfiguration und Data Collection
• Event Data ueberwacht
• Reporting
• Alerting
• Vulnerability and Asset Management
• enVision Maintenance / Troubleshooting
• Incident Bearbeitung
• Logging
• Support Files generiert (ESI)

Echtzeit Monitoring / Compliance – Reporting mit IBM Guardium

• Policies
• Reporting
• Administration KTAPs in Guardium fuer Windows (Deployment, Maintenance/Troubleshooting etc.)
• KTAP Kopien auf „andere Systeme“ uebertragen
• FlexLoading konfiguriert (check, enable, disable)

Python Coding for Security Reasons

• Python Scripts fuer Forensic erstellt 2.x / 3.x (Windows Registry, MFT, Log Parsing, MBR Analyse, Windows/Linux Prozesse, Datenbank Access, Windows Recycle Bin Analyse, Filesystem Analyse, File Analysis)

C Code Auditing

• C – Code Auditing
  • Security Flaws/Overflows, Offbyone, Command Injection, Design, ASCIIWide und mehr
  • Memory Analyse und Heartbleed Analyse
  • Kernel und Compiler Bugs Analysiert
• C – Bug Debugging

Ueberpruefung Schwachstellen des Sicerheitskonzeptes

• Scanning
  • Netzwerk Scans, Port Scans, Vulnerability Scans etc.
  • Tools: command line, nmap, angry ip scanner, solarwinds, colasoft ping, visual ping tester, ping scanner pro, ping sweep, ping monitor, pinkie, PingInfoView, PacketTrap MSP, GFI, SoftPerfect, Nessus, NetStumbler, Ping Tester etc.
  • Vulnerability Assessment, Information gathering, Forensics, Reverse Engineering, Exploitation tools, Privilege escalation, Wireless tools und viele andere
  • Netzwerk- / Memory- / Virus- / Trojan- / Malware – Analyse fuer UNIX/LINUX & Windows Clients/Server
  • tcpdump, wireshark,  ftk imager, network miner, autopsy/sleuth kit, nmap, snort, Penetration Testing UNIX/LINUX & Windows Systeme

• Cybermonitoring

Monitoring Konzepte erstellt und optimiert

• Monitoring Strategy – IT Security (englisch/deutsch)
• Monitoring Strategy – DirectAudit for Unix
• Monitoring Strategy – enVision und viele ander Dokumente

• Incidentmanagement nach ISO IEC 27022

Skills

Centrify Server Suite 2016, Centrify DirectAudit for UNIX, Centrify DirectAudit for Windows, Action Software eventAction, IBM Infosphere Guardium, Avecto Defentpoint / Privilegeguard, Network Intelligence Envision, IBM Qradar Siem, Symantec SCSP/DCS, CyberArk Password Vault, Realtech theGuard!, Lotus Notes, Nessus, fail2ban, Metasploit, diverse Inhouse – Entwicklungen HSBC, DS Kerberos, RAS VPN, NAT PAT, Bastion Host, Endpoint Systems, Directory Services, DHCP, DNS, Firewalls, Routers, Wireless Networking, Wireless Security, Network Media,  Modulation & Encoding, Topologien, Transmission Typen, Media Access Methoden, Checkpoint SmartConsole R77.30

Methoden

Access Control und identity Management (Radius, XTACACS, TACACS+, LDAP/SecureLDAP, Kerberos, SAML), Software Security, Web Security, Threat Modeling, Sicherheit innerhalb des Unternehmens

OS

RedHat, SLES, Oracle Solaris/LINUX, HP-UX, AIX, Tru64, Windows, z/OS

Cryptography

Symmetric cryptography, Asymmetric cryptography, Hybrid cryptography, hashing

Application Server

JBOSS, Websphere, WebLogic

Datenbanken

Oracle, MSSQL, Sybase, IBM DB2

Projektmanagement Tools & Methoden

JIRA, Agile, Scrum, ITIL

Schulungen

Interne Schulungen Bankensecurity

• AGG – Schulung – Informationen fuer Beschaeftigte
• Ausfallsicherheit – Planung zahlt sich aus
• Bekaempfung von Geldwäsche – Was Sie wissen müssen
• Bestechung und Korruption (Handeln Sie richtig)
• Compliance Online Schulung 2015
• Datenmanagement
• Datenschutz im Informationsaustausch mit der HSBC – Gruppe
• Der Common Reporting Standard
• Erneuerung des Vertrauens in die Banken
• FATCA – Grundlagenschulung
• Health & Safety
• Informationssicherheit ist wichtig
• Kartellrecht – Unterstützung des volkswirtschaftlichen Wachstums
• Market Awareness Schulungsmodul
• Reputationsrisiken 2015
• Richtiges Verhalten verankern
• Sanktionen – Stark, Sicher, Geschützt
• Schulung zum Thema operationelle Risiken 2015 (Operational Risk and You)

3 – Tage Symantec Datacenter Security Server Workshop/Schulung durch Symantec

• Linux-Unix Policies – Erweiterung / Aktualisiserung und neue Funktionen der bestehenden IPS Policies – Teil1
• Windows 2008 Policies – Erstellung von neuen Win 2008 / 2012 IPS Policies – Teil1
• Windows 2008 Policies – Erweiterung / Aktualisierung und neue Funktionen der bestehenden IPS Policy – Teil2
• Monitoring Policy Status
  • Null – Policies
  • Prevention disabled
  • Gruppenverschiebung
  • Ein neuer User wird in DCS angelegt etc.
• Zahlungsverkehrsuser absichern – Policy Beispiel
• IDS Veraenderung einer Datei – Policy – Beispiel
• Eventbearbeitung als Abschluss

• Unterstützung eines bestehenden DevOps bzw. Betriebsteams
• Betreuung und Administration der Systemlandschaft mit Ansible und Nagios
• Unterstützung der Entwicklung bei Software Deployments

Tools:

• Ansible, Jenkins
• Nagios, Linux (CentOS, debian)
• puppet, bash/shell
• vagrant, docker

BlueStar Backend Migration (Übersicht)

• Implementierung einer neuen zentralisierten Serverinfrastruktur für die Backend Applikationen in den Rechenzentren HP/Portigon
• Unterstützung bei Applikation Performance Tests, die von PFS durchgeführt werden
• Design der zukünftigen Serverinfrastruktur inkl. der enstsprechenden Implementierungspläne
• Estellung detaillierter Ablauf- und Projektpläne zur Migration der Backend-Applikationen von der existierenden auf die neu implementierte Serverinfrastruktur
• Erstellung der vereinbarten virtuellen Instanzen unter Zuhilfenahme der zuvorerstellten Standardimages; Installation und Konfiguration der benötigten VMWare,- und HP - Standard Tools sofern die Applikationen auf diesen Systemen freigegeben sind.
• Installation, Konfiguration und Daten-Migration der jeweiligen Datenbanksysteme
• Konfiguration der Datenbank Reporting Tools nach HP/PFS Standard
• Applikationsanalyse und Erstellung der Migrationspläne in Zusammenarbeit mit PFS/HP.
• Unterstützung der PFS bei der Migration der Applikationen gemaeß vereinbartem Migrationsplan
• Installation von Tools und Software für das Monitoring und Überwachung von Sicherheitsrichtlinien der Applikationen lt. Vorgaben von PFS
• Die detaillierte Ist-Aufnahme der existierenden Applikations- und Datenbank Hosting Services (inkl. Abhängigkeiten) als Input für das Sizing der zukünftigen Serverinfrastruktur und die Migrationspläne
• Auswertung der vorhandenen Migrationskonzepte und anderer systemkritischer Dokumente
• Erstellen von detaillierten Ist - Listen der vorhandenen Applikationslandschaft mit den verantwortlichen PVs sowie Auswertung dieser zur Installation und Konfiguration in FMO

BE-02 DC Migration Düsseldorf

• BE-02.1 Capital Markets DUS Applications
• BE-02.2 Transaction Banking DUS Applications
• BE-02.3 Other DUS Applications

BE-03 DC Migration München

• BE-03.1 SAP Platforms
• BE-03.2 CDP
• BE-03.3 eBusiness Platform
• BE-03.4 Credit Services (remaining Munich Applications)
• BE-03.5 Capital Services (remaining Munich Applications)
• BE-03.5.1 GRID
• BE-03.6 Finance & Controlling (remaining Munich Applications)
• BE-03.6.1 Archive Systeme (Open Text Archiving, ZORA)
• BE-03.7 Transaction Banking (remaining Munich Applications)

BE-04 DC Migration London

• BE-04.1 Summit (incl. NFS, ConnectDirect, Autosys, MQ)
• BE-04.2 Trader Tools
• BE-04.3 Other London Applications
• BE-04.4 Citrix Farm

BE-05 DC Migration New York

• BE-05.1 New York Applications

Key Objectives:

• Flexibilitaet
• Skalierbarkeit
• Servicequalitaet
• Kosteneffizienz
• Zukunftssicherheit
• Technik:
• eBusiness - Plattform:
  • ARIS
  • WestGate
  • zed
  • SmartCloseManager
  • TRUSTFONDS
  • Asset Control
  • WestAppl
  • planningIT
  • FircoSoft
  • MessageMaker
  • TRAX
  • WestLB Exchange - WestLB FTP
  • WestLB Exchange - xmlexchange
  • EBIP Admin
  • Clarity
  • TIM/TAM
  • Tivoli Directory Integrator
  • TLM
  • SmartNotes
  • Logistik Begleit System
  • WestBCS
  • Matrix42 Lizenzmanagement
  • ARIS Business Publisher
  • Early Warning System
  • AML Suite Norkom
  • A-Early Warning System
  • A-Transaction Monitoring
  • Credit Default Database
  • A-Credit Default Database
  • A-Advanced Rating Tool
  • Advanced Rating Tool
  • ZKM Application
  • Securitisation Database
  • Global Watch List
  • A-Global Watch List
  • EFiS
  • REDISwin
  • Early Warning System
  • Advanced Rating Tool
  • WestLB CasLine Web - Germany
  • NameSearch on Worldcheck data
  • EBIP
  • Microsoft Reporting Service

• XBRL-Publisher
• ROME
• SQL-Server (eBusiness)
• Serena Business Manager
• SubVersion

eBusiness - Plattform (Technik):

Oracle DBA:

• Daily DBA Tasks
• Oracle Backup und Disaster Recovery arbeiten durchgeführt
  • Oracle Backup / DR vorbereitet
  • Archivelog Modus aktiviert
  • Ein Backup des UNDO TS erstellt
  • Die Fast Recovery Area spezifiziert
  • Die Flashback Features konfiguriert
  • Multiplex fuer das Control File konfiguriert und ein Backup dessen erstellt
  • Backup des Server Parameter Files erstellt
  • RMAN konfiguriert
  • Konsistente / Inkonsistente Backups "gezogen"
  • Inkrementelle Backups erstellt
  • Das Backupprozedere automatisiert

Microsoft SQL Server 2008 Server (Standard) Edition DBA

• Microsoft SQL Server Evaluation, Installation & Konfigurationsaufgaben übernommen & durchgeführt
• T-SQL Programmierung (DMLs & DDLs) durchgeführt (create databases, create tables, stored procedures programmiert, insert/updates/deletes abgesetzt, permissions auf tables, procedures, triggers gesetzt etc.)
• MSSQL Daily Tasks

• Middleware Administration IBM WAS, JBOSS, Tomcat

• RedHat 5.x Engineer
• Daily Tasks (Applikationen als Schwerpunkt)

Windows Server 2008 R2 / 2012 R2 Administration

• Daily Tasks
• NLB Cluster konfiguriert / administriert / dokumentiert uebergeben
• Cluster aufgebaut und administriert
• Cluster Storage und Netzwerkfunktionalitaet konfiguriert (iscsi)

Nagios Administration:

• Auf Ubuntu tasksel installiert ... Nagiospaket mit tasksel auf Ubuntu Server installiert
• Nagios 3 / 4 auf Linux (RedHat/Ubuntu) installiert
• Mailbenachrichtigung konfiguriert
• Neue Hosteintraege generiert/angelegt
• Nagios auf CentOS (Headless) istalliert (kompiliert) ... troubleshooting der auftretenden Fehler und Abhaengigkeiten
• Plugin Paket mit curl "runtergeladen" und "kompiliert"

Puppet Server Administration

• Puppet Server / Agents installiert
• Verzeichnisstruktur konfiguriert
• Puppetmaster in SELinux konfiruation "eingebunden"
• Zertifikate fuer die Kommunikation zwischen Master und Nodes erstellt
  • sudo puppet master --verbose --no-daemonize
  • /var/lib/puppet/ssl (stored certificates)
• IPTables modifiziert -- Port TCP/8140 fuer alle Nodes zum connecten freigegeben
  • /etc/sysconfig/iptables
  •  sudo service iptables restart (reload der iptables)
• Apache und Passenger installiert und konfiguriert
• Puppet Agents installiert und konfiguriert
  • PuppetMaster in die Hosts File eingepflegt
  • Puppet Agents auf CentOS und Ubuntu Nodes installiert
  • Agent Zertifikate in die Nodes transferiert
  • Troubleshooting betrieben

Projektausschreibung:

• IT Spezialist Linux-/Webapplikationserver (m/w)

Aufgabengebiet:

• Betrieb einer konsolidierten Server Plattform bestehend aus ca. 30 Applikationen und betrieben auf 20 RedHat Enterprise Linux Server und 4 Microsoft Server Systemen
• Betreuung der Datenbankinfrastruktur (MS SQL und Oracle)
• Betrieb der Applikationsserver (IBM Websphere Application Server / RedHat JBoss EAP) und deren Applikationen
• Betrieb von Anwendungsapplikationen
• Beratung von neuen Applikationsprojekten in der IT-Plattforminfrastruktur- und IT-Betriebsfragen
• Design, Implementierung und Weiterentwicklung der Betriebsprozesse für Incident-, Problem-, Release- und Changemanagement
• Installation und Konfiguration der Applikations- und Webserver, wie Apache, Oracle Iplanet oder Microsoft IIS
• Automatisierung von Installation und Konfiguration der Serverkomponenten nach Vorgaben der Anwendungsarchitektur
• Planung, Test und Durchführung von Patch- oder neuer Applikationsversionen
• Definition von Firewallregeln
• Definition und Betrieb eines Monitorings (Nagios)
• Analyse und Behebung von Problemen im Schnittstellen- und Applikationsumfeld
• Kommunikation zum internen Kunden und auch zum externen IT Dienstleister / Softwarehersteller
• Dokumentation und Übergabe der Arbeitsergebnisse

Servicezeit:

• 5 X 10 / 08:00h-18:00h
• Wochenende auf Anforderung bei Übernahmen (Software Releases)
• Bereitschaft ggf. Targettage

Profil:

• Ausgeprägtes Wissen über IT-Architekturen und Infrastrukturthemen
• Sehr gute Kenntnisse im Umgang mit Linux (RHEL) / Windows (MS) Servern und der Shell setzen wir voraus

• Gute Kenntnisse in IBM WebSphere Application Server 7/8 , Apache Tomcat, Apache HTTP Server und JBoss EAP sowie in Java EE
• Erfahrungen in der Planung, Umsetzung oder Betrieb von Lösungen in einem der folgenden Gebiete:
  • Identity Management, Access Management und Single Sign-On (SSO), Authentisierungs- und Autorisierungskonzepten (Kerberos, Microsoft Active Directory, Web-SSO), Prozessmodellierung zur Benutzer- und Berechtigungsverwaltung, Public Key Infrastrukturen (PKI)

• Kenntnisse im IBM TAM, TIM, Directory Server
• Know-how in der Konfiguration von Application Servern (Deployment, JDBC/JMS-Schnittstelle)
• Gute oder sehr gute Kenntnisse in mehreren dieser Themengebiete: Firewall, Loadbalancer, Virtualisierung (VMWare)

• Analytische und konzeptionelle Fähigkeiten
• Eigenverantwortliches Handeln und schnelle Auffassungsgabe
• Kunden- und Serviceorientierung
• Teamfähigkeit und Durchsetzungsvermögen

Projektsprache(n):

• Deutsch / Englisch

Technologien:

Betriebssysteme, Virtualisierung, ITIL, Datenbanken

• CentOS Administrator 6.x / 7.x, SUSE SLES 11/12 Administrator, debian 8 Wheezy Die Firewall Konfiguriert/Administriert mit firewalld
  • Apache Webserver installiert/konfiguriert/administriert
  •  Samba - Umgebung aufgesetzt konfiguriert/administriert
  • User/Gruppen angelegt und troubleshooting betrieben
  • Passwordless SSH Zugaenge angelegt
  • SE Linux konfiguriert / administriert und troubleshooting betrieben (DACs/MACs)
•  SELinux in "targeted mode" konfiguriert und administriert
•  Ansprechpartner fuer alle Formen von "Policies"
• Ausgiebig mit Tools wie chcon, setsebool etc. gearbeitet
• File contexts mit verwaltet semanage und restorecon
• booleans mit setsebool verwaltet
• Logs ueberwacht und mit sealert Troubleshooting betrieben
  • Prozessmanagement und Prozessmonitoring
  • Mit etckeeper Konfigurationsdateien unter Versionskontrolle gestellt
  • Bonding von Netzwerkkarten durchgefuehrt
  • Kernel Patching durchgefuehrt
  • CUPS
  • FreeIPA Client installiert und an FreeIPA Server "connected" (authconfig)
  • CephCluster installiert und konfiguriert  ... (AdminNode + Client ... 3 Ceph Nodes)
  •  Docker auf CentOS installiert und administriert
  • Auf Client realmd installiert und ein connect an eine Windows Domäne durchgeführt
  • Updates & Upgrades durchgeführt
  • Mit yum-config-manager repos verwaltet
  • System - Prozesse mit systemctl verwaltet
  • Logverwaltung mi journald & journalctl
  • Postfix Troubleshooting (postfix check .. /var/log/messages ... )
• Logrotate implementiert
• Dovecot installiert und konfiguriert
• Mit groupinstall (CentOS / Redhat)
• Software/Applikationsbundles installiert

PostgreSQL DBA

• Backup und Recovery von Postgre Datenbanken (pg_dump, pg_basebackup, pg_restore)
•  Monitoring von Postgre Datenbanken via LINUX Console commands (sar, sysstat tools)
• Troubleshooting von Performanceproblemen der SQL Queries und der DB Engine im allgemeinen
• PostgreSQL Replikation mit DRBD realisiert
• Tabellenparitionierung implementiert
• Datenbanken angelegt, user administriert, schemas angelegt, tablespaces angelegt/erweitert/geloescht etc., Server status ueberwacht, Log dateien ueberwacht etc.
• Datenbanken/Objekte nach gewuenschten Richtlinien "gesichert"
• HP Blades mit HP BladeSystem Onboard Administrator administriert / verwaltet
• Storage / Filesystemadministration
  • Generelle Filesystemadministration fuer EXT4 / XFS / BTRFS
  • Automounts angelegt
  • Disk Encryption mit LUKS konfiguriert
  • Mit ISO - Files gearbeitet
  •  RAID Partitionen konfiguriert (EXT4) auch mit BTRFS (Persisting RAIDs)
  • iSCSI Target/Initiator konfiguriert/administriert
  • Device Acces performance optimiert
• SAN / NAS Administration EMC VNX5300 / EMC Clariion CX3-10
  • LUNs resizing
  • LUNs loeschen
• Cisco MDS 9216i Multilayer Fabric Switch
• Ganeti Administrator
  • Ganeti installiert
  • Cluster "burning" - Tests durchgeführt ... Fehler behoben
• Docker Administration
• KVM Virtualisierung
• LINUX Hardening
• MySQL DBA (myisam-cluster, innodb-cluster)
• OpenVZ
  •  Neue VPS angelegt
  •  Mit vzctl administrative tasks durchgeführt
• ElasticSearch
• exim - Maildienst Administration
• Xen - Administration
  • Mit xm/xl Instanzen administriert
• Cfengine Administration
• Puppet Administration
  • Puppet installiert und konfiguriert
• Graylog

• Troubelshooting / Incidentmanagement der Tickets in OTRS
• Queue
• Netdot
• LDAP - Server Administration
• Jabber Service Administration
• fail2ban
• Jenkins
• Bluepill
• MCollective
• Capistrano
• Supervisor
• Graphite/Carbon
• ActiveMQ
• Snort
• Ansible
• lperf
• Memcached
• logstash
• Cisco Network Registrar
• Raga Gesang
• Fully Automatic Installation (FAI) automatisierte Installation von Linux-Systemen konfiguriert
• Bacula fuer Backups / Restores betreut
• Auf mehreren HP DL380 G3 Server(n) (Smart Array 5i plus controller mit 6 x 72GB hot swappable disks) mit hpacucli storage administriert (add, delete, identify and repair logical and physical disks)
•  Blade Administration
  • VLANs einzelne Ports zugewiesen
  • Trunks einzlene Ports zugewiesen
  • Ports ranges zugewiesen
  • Interface status abgefragt etc.
  • 16 Blades (Bladecenter) mit FAI installiert
  • Managementprozessort Server Administration
•  Checkwall firewall betreut

Aufgabe:

• Management der hochverfügbaren Server und geo-redundanten Datacenter innerhalb einer stark wachsenden Service-Provider-Infrastruktur
• Administration und Expert-Level-Support im Bereich Linux-Server und Serverdienste
• Weiterentwicklung der Infrastruktur hinsichtlich Skalierbarkeit, Virtualisierung, Automatisierung, Security und Monitoring
• Dokumentation und Präsentation Ihrer Arbeit und der Plattform

Anforderungen:

• abgeschlossenes Studium im technischen Bereich oder vergleichbare Ausbildung mit Berufserfahrung

Kenntnisse und Erfahrungen:

• in oben genannten Aufgaben
• Server-Administration Debian Linux, RHEL/CentOS
• Datenbankadministration (MySQL, Oracle RAC)
• Betreuung der E-Mail-Infrastruktur für Kunden
• DNS-Administration
• Sicherer Umgang mit der Kommandozeile und gängigen Skriptsprachen
• Maildiensten (exim, dovecot, Roundcube), DNS (BIND, PowerDNS), OpenLDAP, Apache, Configuration Management (Puppet, cfengine), SAN
• HTTP, LDAP, SMTP, TLS, POP3, IMAP, SNMP, DHCP, TFTP
• Grundlagenkenntnisse: IPv4/IPv6-Netzwerken
• Englischkenntnisse in Wort und Schrift
• Bereitschaft zur Teilnahme an einer Rufbereitschaft

Wünschenswert:

• automatische Installation (Debian FAI), Virtualisierung (Ganeti, KVM), Storage-Cluster (ceph), Monitoring (Nagios/Icinga), Backup (Bacula), Elasticsearch, Cisco Network Registrar
• Grundlagenkenntnisse IT-Security, IT-Recht, Datenschutz und regulatorische Anforderungen (TKG, TKÜV)

Hardware:

HP und Dell Blades, Cisco 3020 Switches

Tools:

bmon, tcpdump, sar, vmstat, iostat, mpstat, iotop, htop, top, keepalived (load balancing, ha), iptables (Firewall Configuration)

Technologien:

C#, Java, C++, Perl, SQL-Server, Compart, PReS, Git

RedHat LINUX (5.x/6.x)- Systemadministration

• Installation von RedHat 6 minor update 5
• Serverinstallation mit RedHat Network registiert "rhn_register"   und danach
• die "relevanten" Channels eingebunden via rhn_channel sowie ein check der "yum repolist" durchgeführt
• LogfileMonitoring mit SWATCH implementiert und konfiguriert sowie administrative hilfe geleistet
• NetzwerkMonitoring mit NTOP ueberwacht

Linux Hardening:

• ROOTKITHUNTER installiert & konfiguriert sowie via crontab eingebunden
• Passwortcracker JOHN THE RIPPER fuer das ueberpruefen der Passwoerter installiert & verwendet
• Auf verschiedene Applikationsserver NMAP SYN- & TCP Connect Scans und Analysiert
•  SELinux auf RedHat 6 Server konfiguriert & administriert
• Modus auf Enforcing "gesetzt" (mit verschiedenen Modi "experimentiert")
• Mit semanage policies konfiguriert
• Mit getsebool/setsebool/togglesebool Booleans des httpd - Daemons mofiziert
• Die "Context"e von Dateien/Verzeichnissen/Prozessen geaendert
• SELinux Troubleshooting mit setroubleshoot/sealert vorgenommen (/var/log/messages eintraege analysiert und gefixt)
• Performanceanalyse & Performancetuning

RedHat RHEV Administration

• Installation/Konfiguration/Administration RHEV Manager und "anbinden" der Hypervisor (1 & 2)
  • yum -y install rhevm
  • engine-setup (die initiale Konfiguration durchgeführt)
  • das Admin-Portal konfiguriert
  • History Database installiert und konfiguriert (yum install rhevm-dwh rhevm-reports) danach das setup ausgeführt mit (rhevm-dwh-setup) danach das reporting konfiguriert mit (rhevm-reports-setup)
  • Neuen DataCenter angelegt ... AXA Tech Konform
  • Neuen Cluster angelegt und Konfiguriert
  • Neue Hypervisor Hosts "approved"
  • Standardtaetigkeiten wie: Anlegen von virtuellen Maschinen Linux&Windows, Anlegen von Templates, Neue Maschinen anlegen mit Hilfe von Templates, Snapshots angelegt, Backups von virtuellen Maschinen durchgeführt

Installation/Konfiguration/Administration mehrerer Hypervisor

• Das Deployment des RHEV Hypervisor durchgeführt (Hypervisor ISO image "runtergeladen" und installiert)
•      >Hypervisor konfiguriert mit der "admin login console" hier hervorzuheben: Network, Security & oVirt (Anbindung an RHEV Manager durchgeführt und Zertifikat eingebunden)

Installation/Konfiguration/Administration RedHat iSCSI storage server

• Neue Domain angelegt und danach iSCSI Target eingebunden
• Neue ISO Domain angelegt und ISO-Images eingebunden (engine-iso-uploader list, engine-iso-uploader -v upload -i ISO_Datastore          
• /opt/rhel-server-6.5-x86_64-dvd.iso)
• Installation/Konfiguration/Administration RedHat Identity Management

Websphere Portal 8.5 Administration

• Websphere Portal 8.5 Installation
• Administration mit Webportal GUI
  • Virtual Hosts angelegt
  • Page Templates und Artikel Templates angelegt und   verwaltet
  • Portlets installiert
  • Portlets verwaltet und XMLAccess administriert
  •  Portlet security verwaltet
  • WCM Management administration
  • Anforderungen synchronisiert
  • Portale “geclustert”
  • CMS Integration
  • IBM Scriptlet Portlet und Web Experience Factory bearbeitet
  • Mit Command Line Tools administriert

• WINDOWS Server - Systemadministration (2003/2008r2/2012)
• Nagios (Opsview) – Administration

APACHE - Webserveradministration (Security, Hardening)

• Installation & Konfiguration (RPM & Source) RedHat 6.x
• Die httpd.conf nach internen Security & Hardening "bearbeitet"
  • Apache User und entsprechende Gruppen AXA - Konform angelegt
  • Standardmodule entfernt die nicht benoetigt werden
  • Indexing entfernt
  • Apache in verschiedene "Jail" - Umgebungen LAN & DMZ installiert, konfiguriert und betrieben
  • PHP Security evaluiert, getestet und implementiert ... php.ini etc.

Docker Virtualisierung

• Docker Package (docker & docker-registry) installiert
• Firewall "disabled" ... docker generiert/setzt eigene iptables rules ...
•  Docker mit systemctl gestartet und "enabled"
•  Docker registries fuer docker container "gesetzt"
• Mit docker pull ... docker images von registry.acces.com/rhel "geholt"
• Mit docker run -v ... docker images gestartet und  bereitgestellt
• Zur Verwaltung von Kubernetes installiert und konfiguriert
• Mit kubectl ... container erstellt und verwaltet

• WebLogic
• MQSeries
• Automatisierung BMC Server Automation Console
• Citrix XenApp
• VMware vSphere 5-1 / 5-5
• Cygwin - Server Administration
• IIS - Administration
• Bash-Shell Scripting
• PowerShell - v3/v4/v5 Scripting

Tasks/ services (Stellenbeschreibung … englisch):

• 2nd - 3rd level support, Incident, Problem and Change Management; Application monitoring and reporting
• Implementation of Standard Work Request
• Deployment of Applications on Linux and Windows based infrastructure
• Application operation Manager activities (Control of Backup, monitoring, CMDB, Blue print, documentation)
• Improvement and extension of operational stability and performance
• General technology system administration
• Creation / improvement of operational guidelines, implementation guidelines and work instructions and necessary documentation for transition of first and second line tasks.

Profil/ Skills

• In Depth technical knowledge in Linux Red Hat OS and Windows
• OS (middleware & applications)
• Depth technical knowledge in Application server: JBOSS, Apache Tomcat, Apache HTTP and IIS.
• Experience with one or more of the following technologies is an advantage: Network Knowledge (basic TCP/IP, ..), Scripting (Shell, Perl, ...), Nagios, Websphere MQ Series, Websphere Application Server,
• Technical writing skills to write the proper documentation according to internal regulations
• Flexibility in working hours is required (occasional over-time or weekend/holiday work)
• On-call permanency is possible
• Strong tracking, coordination and planning skills
• Ability to identify and implement process and/or application improvements
• Strong analytical and problem-solving skills
• Must be able to work on multiple simultaneous tasks with limited supervision.
• Ability to work effectively under pressure.
• Quick learner, motivated self-starter
• Excellent customer service, interpersonal, communication and team collaboration skills
• Able to follow change management procedures and internal guidelines
• Able to work in a global team and in a multiple cultural environment.
• Able to work in an ITIL model based organization.
• Language Requirements: Local language (French and/or Dutch for Belgium; German for Germany) + English (mandatory)

KnowHow:

• Linux OS
• Windows OS
• Virtualisierungskenntnisse (VMware, HyperV, RedHat RHEV)
• ITIL Kenntnisse
• Jboss Kenntnisse
• Apache Kenntnisse
• Tomcat Kenntnisse
• IIS Kenntnisse
• Nagios und HP BSM Kenntnisse (nice to have)
• Scripting Kenntnisse

Projektsprache(n):

Deutsch / Englisch

Technologien:

HTML5, CSS3, JavaScript, AngularJS, gulp, npm, Git, Jira