Projekte und Referenzen
Hier finden Sie eine Auswahl der Projekte, Aufgaben und Arbeiten von thwien.de der letzten fünf Jahre.
2025
OPNsense-Firewall-Cluster mit WAN-Failover
Eine bestehende Sonicwall soll durch zwei OPNsense-Firewalls ersetzt werden. Jede OPNsense-Firewall ist über unterschiedliche Provider mit dem Internet verbunden. Über CARP wird eine redundante Gateway-IP im Netzwerk bereitgestellt, um ein WAN-Failover zu realisieren. Die Standorte sind per IPsec verbunden. Ein OpenVPN-Gateway mit RADIUS-Authentifzierung gegen einen Windows-Domänencontroller wird für externe Mitarbeiter eingerichtet. VoIP wird in einem separaten VLAN untergebracht, welches durch Traffic Shaping (QoS) priorisiert wird. Per OSPF werden die Netzwerk-Routen aller Standorte synchronisiert. Je zwei Ports je OPNsense-Firewall werden per LACP gebündelt und erreichen einen Uplink von 5 Gbps.
Umgebung: OPNsense, CARP, WAN-Failover, QoS, OSPF, LACP, VLAN
2024-2025
Proxmox-Cluster
Einrichten zweier Proxmox-Server zu einem Cluster mit VLAN-Schnittstellen zu einer OPNsense-Firewall und einem externen dritten Quorum-Arbitrator per selbst-entwickelter Ansible-Skripts, um später im Sinne von IaC (Infrastructure as Code) durch weitere Proxmox-Server das Cluster horizontal zu skalieren.
Umgebung: Proxmox, Quorum, VLAN, Ansible, IaC
2024
OPNsense-Nginx mit HTTP/3-Unterstützung
Einrichten des Nginx-Reverse-Proxy auf der OPNsense-Firewall zur Unterstützung des neuen Protokolls HTTP/3 (QUIC) via Port 443/udp.
Umgebung: OPNsense, Nginx, HTTP/3, QUIC
2024
OSINT-Server
Einrichten eines Servers zur Internetaufklärung mit öffentlichen Quellen (Open Source Intelligence / OSINT) zur Reduzierung der Angriffsfläche (Attack Surface) hinter den Firmen-Domains.
Umgebung: Spiderfoot, OSINT, Attack surface
2024
Honeypot-Server
Einrichten eines Servers als Honeypot zur Detektion interner Angreifer. Einbindung ins SIEM zur Meldung mit höchster Warnstufe.
Umgebung: Honeypot, SIEM
2024
Ticketsystem Znuny/OTRS
Als Ticketsystem diente 17 Jahre lang zuverlässig die OpenSource-Lösung MantisBT zur Verarbeitung von ca. 1.400 Tickets jährlich. Dieses System wurde nun durch Znuny/OTRS abgelöst. Der Hauptgrund für den Wechsel ist es, die internen Abläufe in der Dokumentation und Kunden-Kommunikation zu vereinfachen. Sieve-Mail-Filter beschränken den Zugriff ausschließlich auf Kundendomains, ein- und ausgehende Mails können PGP-verschlüsselt verarbeitet werden, Kunden können per Mail, Telefon und Weboberfläche Tickets einstellen. Geplant ist der Einsatz der ITIL-Lösung ITSM für das Change-Managemnt.
Umgebung: Znuny, OTRS, ITIL, ITSM, GnuPG
2023-2024
SIEM (Security Information and Event Management)
Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR/XDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response). Überwachung von Linux-Servern (Debian, Ubuntu, Proxmox, Docker), OPNsense-Firewalls, Windows-Servern, Windows-Arbeitsplätzen und Fedora-Servern.
Umgebung: Wazuh, SIEM, EDR, XDR
2023
Zentraler Threat Intelligence Server
Einrichten eines zentralen MISP-Servers zur Bereitstellung von Malware-Signaturen und IP-Adressen, mit schlechter Reputation, für alle verwalteten SIEM-Server und Firewalls. Aktuell hält die Datenbank über 3,7 Millionen Einträge verdächtiger Signaturen und IP-Adressen.
Umgebung: MISP
2023
Offsite/Offline-Backup-Server
Einrichten eines dedizierten Offsite-Backup-Servers zur wöchentlichen Speicherung des geo-redundanten Online-Backup-Servers als Offsite/Offline-Backup-Version außerhalb der Rechenzentren als Teil der "Business Continuity" nach einem IT-Totalausfall. Speicherung erfolgt auf Datenträgern mit verschlüsselten ZFS-Partitionen. Nach erfolgter Datensicherung wird der Offsite-Backup-Server heruntergefahren, um über das Netzwerk/Internet für Angreifer nicht erreichbar zu sein. Die dedizierte Serverhardware besitzt 8 Hot-Swap-Festplatteneinschübe zur Erweiterung des Speicherplatzes und ein redundantes Netzteil mit Anschluss an einer USV und gleichzeitig an der direkten Stromversorgung.
Umgebung: IT-Notfallplan, Business Continuity, ZFS, Offsite-Backup, Offline-Backup
2023
Firewall mit OPNsense-Hardware
Konfiguration einer Hardware-Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Standort-Firewall. Anbindung zwischen zwei OPNsense-Firewalls via Wireguard-VPN. OSPF-Routing.
Umgebung: OPNsense, Wireguard-VPN, OSPF, ZFS-RAID, Zabbix-Monitoring
2023
Proxmox-Backup-Server
Installation und Konfiguration eines Proxmox-Backup-Server für die verschlüsselte Sicherung von virtuellen und dedizierten Servern. Vier herkömmliche Festplatten mit je 16TB Speicherplatz wurden per ZFS-RAIDZ1 (= RAID5) zu 43TB verfügbarem Speicherplatz verbunden. Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Einrichten von Benutzerkonten, API-Tokens und 2FA.
Umgebung: Proxmox-Backup, ZFS-RAID, Zabbix-Monitoring
2023
OPNsense-Firewall mit IPsec-VPN
Für einen der beiden Standorte in der Schweiz wird der bestehende Cisco881-Router durch eine OPNsense-Hardware-Firewall ersetzt. Dieser Standort ist mit einem weiteren Standort in der Schweiz und drei Standorten in Deutschland per IPsecVPN angebunden.
Umgebung: OPNsense, IPsec-VPN
2022-2023
SIEM (Security Information and Event Management)
Einrichten eines SIEM (Security Information and Event Management) mit einer Open-Source-SIEM-Lösung für die Umsetzung von EDR/XDR (Endpoint Detection and Response). Durchführen von Schwachstellen-Scans und die Beseitigung bzw. Reduzierung erkannter Schwachstellen. Erkennen von Angrifftechniken, unautorisierter Loginversuche (Intrusion Detection) und automatisierte Blockierung weitere Zugriffe (Active Response).
Umgebung: Wazuh, SIEM, EDR, XDR
2021-2022
Reverse-Proxy mit WAF und Intrusion Prevention unter OPNsense
OPNsense-Firewall als Reverse-Proxy mit Nginx-WAF (Web Application Firewall), DDoS-Protection, Intrusion Detection und Prevention, GeoIP-Blocking von repressiven und autokraten Staaten, OSPF-Routing und Spamfilter mit Rspamd. Mehrere Standorte sind mit OpenVPN angebunden.
Umgebung: OPNsense, GeoIP-Blocking, Rspamd, ZFS-RAID, Zabbix-Monitoring, OpenVPN
2022
Firewall mit OPNsense
Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID für die Verwendung als Nginx-Reverse-Proxy und OpenVPN-Gatway.
Umgebung: OPNsense, OpenVPN, ZFS-RAID, Zabbix-Monitoring
2022
Proxmox-Server für LXC und KVM-Virtualisierung
Installation und Konfiguration eines Proxmox-Server für die Virtualisierung von Severn unter LXC und KVM. ZFS-RAID (Mirror). Routing mit VLAN-Netzwerk via OSPF. Zabbix-Monitoring. Der Proxmox-Server wird durch eine dedizierte vorgeschaltete OPNsense-Firewall geschützt.
Umgebung: Proxmox, ZFS-RAID, Zabbix-Monitoring
2021-2022
Firewall mit OPNsense
Installation und Konfiguration einer Firewall mit OPNsense mit ZFS-RAID, OpenVPN-Gateway und IPsec-Verbindungen zu vier anderen Standorten in Deutschland und der Schweiz.
Umgebung: OPNsense, IPSec, OpenVPN, ZFS-RAID, Zabbix-Monitoring
2020-2022
Mail-Server mit Plesk
Installation und Konfiguration von Plesk auf Debian 10 als Mail-Server. Einrichtung von SPF, Spamassassin, DKIM, SPF und mehrerer DNS-Blacklists zur Spamabwehr und ClamAV als Antivirenscanner. Speicherung der Daten DSGVO-konform auf verschlüsseltem Dateisystem. Konfiguration von TLS-Verschlüsselung, Webmail. Monitoring der eigenen Server-IP-Adresse auf Blacklist-Eintragungen. Trennung von Kunden und Abonnements. Anbindung an Rspamd-Dienst unter OPNsense zur effektiven Spamfilterung und Greylisting.
Umgebung: Plesk, Debian, SPF, DKIM, Spamassassin, Greylisting, ClamAV, TLS, DSGVO, Rspamd
2021
Layer3-Switch für Psychotherapie-Praxis
Konfiguration eines Layer3-Switch für eine Psychotherapie-Praxis in Essen. Alle Therapeuten nutzen dasselbe LAN, um mit dem Internet in Verbindung zu stehen. Dabei ist es nicht wünschenswert, dass die einzelnen Arbeitsplätze untereinander kommunizieren können. Um das zu erreichen, wurde der bestehende Layer2-Switch durch einen Layer3-Switch ersetzt, welcher VLAN und Port Isolation (Protected Ports) unterstützt. Damit soll verhindert werden, dass etwaige infizierte Rechner auch andere Rechner im selben LAN infizieren können. Zugriff auf die Verwaltung der Netzwerkhardware wie Router und Switches ist auf einen bestimmten Netzwerkport beschränkt. Das Spanning-Tree-Protokoll soll darüber hinaus Netzwerkschleifen verhindern.
Umgebung: TP-Link TL-SG2008, VLAN, Isolated Ports, Spanning Tree Protocol (STP)
2021
Firewall mit OPNsense
Installation und Konfiguration einer Firewall mit OPNsense auf einer virtuellen Maschine auf einem KVM-Host mit verschlüsseltem ZFS-RAID. Der dedizierte 19"-Server verfügt über drei LAN-Anschlüsse für Multi-WAN-Anbindungen. Die WAN-Verbindung an den Glasfaser-Provider wird über PPPoE aufgebaut. Dabei wird die IPv6-Konfiguration für die öffentlichen IPv6-Adressen und -Netze über PPPoE per IPV6CP und DHCPv6 bezogen und über Radvd an die lokalen Maschinen verteilt.
Umgebung: Linux, ZFS, RAID, Festplattenverschlüsselung, OPNsense