Senior IT und Security consulting

1/2015 – 12/2015

Ceph OSD (Object Storage Daemon) Cluster Analysis

Rollen: Software Analyst, Software Architekt

Untersuchung der Implementierung der OSD Cluster Komponente des verteilten Object Store Ceph hinsichtlich potentieller Verbesserungen beim Scale-Out und beim I/O Durchsatz durch ein Re-Design der OSD Cluster Software. Untersuchung der Auswirkungen eines Austausch der OSD Komponente auf die Ceph Komponenten ceph-mon, ceph-rados, ceph-fs und ceph-client.

Technologien:
C, C++, KDevelop, WireShark (Protocol-Analysen), Git

Software Design

4/1998 – 12/2016

.... bis 2004
CentricStor Versionen 1.x mit 3.x auf Betriebssystem Basis
SINIX-Z (SVR4 basiertes Unix-Derivat für Intel PC)

Konzeptioneller Entwurf der Systemarchitektur unter der
Vorgabe, eine verteilte, hoch-skalierbare Architektur zu
realisieren, welche die Bereitstellung der Services auf Unix
PCs und die Ablage der Tape-Volume Daten auf Raid-Arrays
über SAN unterstützt.


In der ersten Phase bis zur Kundenfreigabe realisierte Topics waren, unter anderen:

Implementierung eines Fibre Channel Stacks mit Treibern für Emulex Boards für die SAN Anbindung

Design und Implementierung einer Kommunikation Infrastruktur für die verteilten Services (Middleware, Info- und Requestbroker)

Im Designteam des Distributed Tape Volume File System Appliance (DTVFS) für den verteilten, parallelen Zugriff auf die Volume Dateien durch die Services (Unix Kernel Modul).

Beratung zur Implementierung eines Tape File Semantik Moduls (TFS), zur Unterstützung des Lesen/Schreiben der Volume Dateien mit Tape Semantik (Unix Kernel Modul).

Implementierung eines schnellen lz77 Komprimierung

Implementierung eines SNMP Control Centers (für FC Switches)

Implementierung eines Software Raid (loadshare, stripe, mirror, …) mit Metaprotokoll über IP over FCLE


Technologien:
C, x86 Assembler, FC Hardware, Networking, File Systems,
Unix Kernel-Entwicklung, Unix System-Werkzeuge, SMS, Unix Scripts ([k]sh), Unix Diagnose-Tools (crash, gdb)

.... 2006 zweite Phase

Umstellung der Betriebssystemplattform auf Suse Enterprise Linux (SLES).

Rollen:
Software Architekt, Software-Entwickler, 3rd-Level Support

Für diese Versionen realisierte Topics waren, unter anderen:

Portierung der Middleware Request/InfoBroker auf Linux (ca. 130Kloc)

Design und Implementierung einer Migrationslösung von DTVFS auf GPFS

Portierung verschieneder FC Target Treiber

64 Bit Ports diverser Programmbibliotheken.

... bis 2011 dritte Phase

CentricStor Version 5.x

NAS Filer Support,
Hierarchical Storage Management (HSM) Support
Volume Replikation über lange Distanzen

Rollen:
Security Consultant, Software Architekt, Software-Entwickler

Für diese Versionen realisierte Topics waren, unter anderen:

Design und Implementierung der Long-Distance Volume Replikation für die Übertragung von Volume Dateien zwischen CentricStor Systemen über langsame Verbindungen (TCP/IP Kaskade) mit definierten Wiederaufsetzen einer unterbrochenen Übertragung.

Studie zur Mandantenfähigkeit, Schutzzielen

Design zur Authentifizierung und gesicherten Übertragung (Schutzziele Confidentiality, Integrity) (ssh-VPN, S/Key)

Studien zu Assets und Angriffsszenarien, DoS

Studie zur verschlüsselten Ablage (Ersatz der Cryptobox beim Kunden), speziell zum Export der Daten über Band. Hierfür wurde eine Chain of trust beginnend auf Kundenseite implementiert

Integration der IBM Produkte HSM/TSM
Hierfür Design und Implementierung eines managers für die von mir entwickelte Middleware Request/Infobroker



Technologien:
HSM, TSM, DMAPI, DB2, GPFS, Python, XML
Chain of trust, S/Key, aes-128 ccm, hmac,
SYN_cookies, X.509, OpenLDAP

... bis 2016
CentricStor Versionen 6.x

Monitoring der TSM-Betriebsmittel
Data Deduplication Support
Partial Load Support

Rollen: Software-Architekt, -Entwickler, 3rd-Level Support

Für diese Versionen realisierte Topics waren, unter anderen:

Evaluierung von IBM Security Access Manager (ISAM7) für die Verwaltung der CentricStor Objekte in einem Webspace. Hintergrund der Untersuchung war die Idee der zentralen Verwaltung und Administration mehrerer, unabhängiger CentricStor Systeme mittels WebApp mit Rollenkonzept (admin, service, user, …)

Unterstützung des Zugriffs auf partiell in das GPFS geladene Volume Dateien. Automatische Synchronisation des Lesezugriffs, automatischer Abbruch des RESTORE-Prozess vom Backend im Falle eines Schreibzugriffs.

Design und Implementierung eines HSM-TSM Monitor mit Status-Konzentrator und Ablage der Informationen in Broker (ORB) Objekten.

Technologien:
ISAM 7, TDI 7.1, TSM, DB2, GPFS, C, Script-Sprachen (sh, python)

Software engineering / -technik, Netzwerkarchitektur, SOAP, Software Virtualisierung

3/1997 – 12/1998

Büro mit 2 weiteren Consultants tätig für
Bosch SBH:
Design und Implementierung von Web basierenden Protokollen und Statistiken zu der Verkehrssteuerungsanlage A94 und dem Parkverkehrsleitsystem der Neuen Messe München

Technologien: cgi, html, RDB informix, javascript, xml, xsl, browser, CORBA

JavaScript

12/1996 – 6/1997

Erstellt wurden Grob- und Feinkonzepte zur stufenweisen Abschottung der Entwicklungsbereiche mit dem Ziel, Maskendaten nicht nach außen transportieren zu können, auch nicht über covert channel.
Das Konzept wurde zusammen mit dem physischen Zugangskonzept unabhängig durch die Kunden/Banken auditiert und verifiziert.
Implementiert wurden Packet Filter bei den SBS Cisco Routern (am Mittelpunkt aller Siemens Standorte/Subnetze) und ein sehr umfangreiches Checkpoint/Firewall-1 Regelwerk.

Rollen: Security Architect

Technologie: VPN, ssh, ssl, rdist, ip-filter, IOS, Firewall-

IT Sicherheit (allg.)

4/1996 – 11/1996

Implementierung eines deep inspection application level firewalls

Die VPN Architektur wurde von mir erstellt.
In den Sun/Solaris Kernel wurde von mir eine IPsec/AH/ESP Implementierung eingebracht (tunnel only) und die Architektur für IKE erstellt. Die crypto's (RC4, 3DES et alias) wurden abstrakt integriert (international branch only wegen Geheimhaltungs- pflicht)
2 Jahre später nochmals diesbezüglicher Siemens Auftrag:
Siemens in Boston bei Axent/Symantec (ehemals Raptor):
Portierung des Raptor Eagle Firewalls auf Sinix RM200


Das Startup Raptor ist aus Doktoranden des MIT entstanden. Die Firma wurde an Axent weiterverkauft, der Firewall landete schliesslich bei Symantec, wo er heute noch vertrieben wird

Technologie: VPN, ipsec, crypto, md5

Cyber Security

3/1988 – 4/1996

Design und Implementierung eines SCSI Treiber Stacks (3-4 layers + versuchsweise Anbindung an IP Stack); diese Software war 1988 - 2010 in allen Sinix Systemen LMZ als main IO Anbindung im Einsatz

Entwicklung diverser Treiber ca. 10 (SCSI, taksim, token ring)

Multiprozessorportierung SVR4 Kernel für MX500
Verantwortlich u.a. für die Realisierung der Module:
Memory-Management bis Segment layer
Prozess-Management
IPC (pipes, connld, msg, sem)
File Systeme (UFS, namefs)
TCP/IP Stack ohne TLI, RPC
Die Software ist bis heute in BS2000/OSD im Einsatz

Implementierung des ATM Treibers für DLPI inklusive ATMARP Architektur

Architektur für die Integration von Kerberosdämonen

Implementierung zur Integration eines Video Conferencing Systems H.261 in die X11R3 video extensions

Technologien: C, Assembler, tcp/ip, Kerberos, Multiprozessor-Code, Unix Systemwerkzeuge und -Diagnosetools , ATM, H.261, C, X11

Embedded Entwicklung / hardwarenahe Entwicklung, Netzwerk-Sicherheit, Betriebssysteme, Linux (Kernel), Solaris, UNIX, Iscsi