Thomas Bella
Interessen
A+
Sicherheitswertung von SSLLabs.

Sicherheit auf kompletter Applikationsebene
Neben Zertifikaten mit einer RSA-Schlüssellänge von 3072 bit präferiere ich zusätzlich die Verwendung von ECDSA-Zertifikaten um die Auslastung sowohl für Client und Server zu reduzieren. Clients teilen dem Server so mittels Cipher-Präferenz mit, ob ECDSA Zertifikate unterstützt werden oder ob auf RSA zurückgefallen werden soll.
Durch eine situationsabhängig speziell angepasste Cipher-Suite wird so die Sicherheit beim Transport verbessert sowie mit zusätzlichen Erweiterungen wie Forward Secrecy, HSTS preload, diverse Security Header wie CSP und Expect-CT sowie OCSP weiter die Sicherheit optimiert. Teilweise nicht nur bei Web-Applikationen.
Beispielsweise verwendet diese Webseite einige dieser Sicherheitsvorkehrungen. Ein weiteres Beispiel mit vielen Spezialoptimierungen ist die API für uDomainFlag (dfdata.bella.network), welche gleichzeitig RSA & ECDSA und eine auf AES-NI zugeschnittene Cipher-Suite verwendet, da diese API nicht von Mobilsystemen genutzt wird.

Hinweis: Es werden absichtlich nicht 100% im SSLLabs Test erreicht, da die Deaktivierung von TLS_AES_128_GCM_SHA256 in RFC8446 (TLSv1.3) explizit untersagt ist. (#636)
Testberichte diverser Webseiten
Automatisches Monitoring mit
  • Graylog
  • check_mk
  • eigene Programme
Eigenverwaltung statt Abhängigkeit mit einem Hauch von Cloud
Anstatt auf ein fertiges Webhosting und E-Mail-Service zurückgreifen zu müssen, verwalte ich diese Dienste auf meinen Servern selbst. Sowohl intern als auch extern.
Dies erlaubt mir eine weitaus bessere Feinabstimmung der Dienste auf meine sowie die Bedürfnisse der Benutzer. Das erlaubt mir eine erhöhte Sicherheit, da nicht benötigte Funktionalität, Cipher-Suites und Dienste deaktiviert werden können.
Gezielter Einsatz von Technologien
Je nach Anwendungsbereich und Einsatzzweck wird die passende Technologie eingesetzt. So kann der Standard-LAMP-Server je nach einsatzgebiet komplett eigens angepasst und abgeändert werden.
Ich präferiere als Webserver NGiNX, im Kundenbereich verstärkt Apache2. Als Script-/Programmiersprache, je nach Projekt, Go und alternativ PHP8. Mailserver übernimmt Mailcow, Exchange oder ein eigenes angepasstes Postfix, Dovecot und rspamd Setup. Als Datenbanksystem verwende ich primär MariaDB, SQLite, InfluxDB, ElasticSearch und PostgreSQL.
Performance durch Optimierung
Die durchschnittliche Webseitengröße lag 2016 bereits bei über 2,2 MB . Dies verursacht nicht nur einen hohen Trafficverbrauch bei Client und Server, sondern verlangsamt auch den Webseitenaufruf. Durch Optimierung der Software und Übertragungswege ((Pre-)Komprimierung, HTTP-Caching, HTTP3, HTTP-Push, 0-RTT, Prioritize ChaCha, Prefetching, …) kann diesem Effekt entgegengewirkt werden, auch wenn die Datenmenge nicht reduziert werden kann.
Netzwerktechnik, von lokal zu global
Anfangs bestand mein Heimnetzwerk aus einem USB-UMTS-Modem bzw. einem UMTS-Router mit einem schlichten 100 Mbit Switch im Nebenraum.
Heute besteht das Netzwerk aus mehreren Routern mit VDSL2 & LTE Uplink, Firewall, mehreren AccessPoints und managed Switches. Das Netzwerk ist in mehrere VLAN unterteilt und per VPN (WireGuard) und dynamischem Routing (BGP) mit weiteren Netzwerken verbunden. Mehr Details hierzu unter Homelab.
OpenSource als gemeinsame Basis
OpenSource hat einen erheblichen Einfluss auf Software. Eine Anpassung auf die eigenen Bedürfnisse wird so ermöglicht und gleichzeig kann durch Rückführung die komplette Community davon profitieren.
Ich veröffentliche einen Teil meiner Projekte als Open Source unter GitHub und GitLab. Bei Projekten mit Automatisierung durch ein CI-System bevorzuge ich GitLab mit GitLab CI, daher verwende ich mehrere Plattformen aktiv. Für private Projekte benutze ich meine eigene GitLab Instanz.
Zentrales Monitoring und Überwachung
Vertrauen ist gut, Kontrolle ist besser - egal ob Anwendung, Server oder Netzwerk
Aus diesem Grund werden derzeit 70 Server mit Graylog, checkmk und einer eigenen Monitoring-Software aktiv überwacht, welche zusammen 9900 Events pro Minute an einen zentralen SIEM-Server übermitteln.
Durch Anpassung des Monitorings, eigens angepassten Automatisierungen und Benachrichtigungen wird mir eine besonders schnelle Reaktion auf Ereignisse ermöglicht und manche Probleme können automatisch behoben werden.
Hobbyfotografie
Zur Fotografie verwende keine spezielle Hardware sondern primär das Smartphone, welches ich dabei habe. Dabei handelt es sich meistens um Spontanaufnahmen von Spazier- und Wandertouren.
Für die Aufnahmen verwende ich entweder OnePlus 3 with Google Camera Mod 5 und/oder iPhone 12 Pro Max mit der Standard-Kamera-App. Nachbearbeitung von Aufnahmen mache ich meist keine, nur in seltenen fällen durch die automatische Korrekturfunktion von Google Photos.
Nachfolgend die letzten 9 Aufnahmen, welche ich veröffentlicht habe. Unter meinem pixelfed Profil sind noch weitere Aufnahmen verfügbar.