IBM POWERSC - PROFI Engineering Systems AG

IBM POWERSC 

Sicherheitsmanagement und Compliance-Messungen

AGENDA 

01 Security and Compliance Automation 

02 PowerSC Realtime Compliance (RTC) 

03 Trusted Boot 

04 Trusted Firewall 

05 Trusted Logging 

06 Trusted Network Connect and Patch management 

2 

20.08.2013 Sicherheitsmanagement und Compliance-Messungen

SECURITY AND COMPLIANCE 

AUTOMATION 

3 


BESCHREIBUNG 

• Automatische Konfiguration, Monitoring und Auditing von AIX Systemen 

• Verwendet AIXPERT und ARTEX 

• Überwachung durch "AIX profile Manager Plug-in des IBM Systems Directors" 

• Vier zusätzliche vordefinierte Standards 

Payment Card Industry Security Standard v1.2 (PCI DSS) 

Sarbanes-Oxley Act and COBIT compliance (SOX/COBIT) 

U.S. Department of Defense (DoD) STIG 

Health Insurance Portability and Accountability Act (HIPAA) 

• Zusätzliche Skripte unter /etc/security/aixpert/bin 

Diese werden von den zusätzlichen XML Dateien benötigt und bieten erweiterte Funktionalitäten 

• Diese Standards können auch "customized" werden 

• Bestandteil der PowerSC Express Edition 

4 20.08.2013 


VORAUSSETZUNGEN 

• POWER5 

• POWER6 

• POWER7 

• AIX 6.1: minimumTL7 


• Optional: IBM Systems Director mit dem AIX Profile Manager Plugin 

5 20.08.2013 


INSTALLATION UND KONFIGURATION 

PowerSC 

• Filesets powerscExp.ice und powerscExp.licence installieren 

AIX Profile Manger 

• Starten des Installationsskriptes APMgrSetup.sh auf dem IBM Systems Director 

• Nach der Installation muss der IBM Systems Director neu gestartet werden 

• Profile Mangager Plugin erscheint vorerst nicht, da vorher ein Update eingespielt werden muss 

IBM Fix Central (www.ibm.com/support/fixcentral/) aufrufen 

Unter Produkt den IBM Systems Director auswählen 

unzip /mnt/Profile_Manager/update/com.ibm.director.artex.feature_1.1.1.10.zip 

unzip /mnt/Profile_Manager/update/com.ibm.director.artex.update.feature_1.1.1.10.zip 

smcli importupd -vr /mnt/Profile_Manager/update 

In der IBM Systems Director GUI "Release Management -> Updates -> Update IBM Systems Director" auswählen 

6 20.08.2013 


ANWENDUNG ÜBER KOMMANDOZEILE 

Vordefinierte Standards manuell einspielen 

• PCI DSS 

aixpert -f /etc/security/aixpert/custom/PCI.xml 

• SOX/COBIT 

aixpert -f /etc/security/aixpert/custom/SOX-COBIT.xml 

• DoD STIG 

aixpert -f /etc/security/aixpert/custom/DoD.xml 

• HIPAA 

aixpert -f /etc/security/aixpert/custom/HIPAA.xml 

Beispiel: PCI-DSS: 

# aixpert -f custom/PCI.xml 

AUDITBIN: ** failed backend command /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1 

do_action(): rule(pci_SecureLPM): warning. 

do_action(): Warning: Prereq failed for prereqsecmig 

Processedrules=80 Passedrules=79 Failedrules=1 Level=AllRules 

Input file=custom/PCI.xml 

# /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1 

auditcat: ** out of memory 

auditcat: There is not enough memory available now. 

7 20.08.2013 


ANWENDUNG MIT AIX PROFILE MANAGER 

8 20.08.2013 



9 20.08.2013 



10 20.08.2013 



11 20.08.2013 



12 20.08.2013 



13 20.08.2013 



14 20.08.2013 



15 20.08.2013 


POWERSC REALTIME 

COMPLIANCE 

16 


BESCHREIBUNG 

• Überwacht Dateien auf Inhalt und Berechtigungen 

• Informiert in Echtzeit über Email und SNMP wenn Änderungen vorgenommen 

wurden. 

• Bestandteil der PowerSC Express Edition 

17 20.08.2013 



• POWER5 

• POWER6 

• POWER7 



18 20.08.2013 



PowerSC 

Filesets powerscExp.ice und powerscExp.licence installieren 

Konfiguration 

Software 

smitty RTC 

commandline mkrtc 

Policy 

Konfiguration der Alerts /etc/security/rtc/rtcd.conf 

19 20.08.2013 


TRUSTED BOOT 

20 


BESCHREIBUNG 

• Gewährleistet die Integrität zwischen virtuellem Server und dem Boot Image auf 

Basis von TPM (Trusted Platform Module) Technologie 

• Boot Images und OS werden kryptografisch gekennzeichnet und durch TPM 

validiert 

• Bestandteil der PowerSC Standard Edition 

21 20.08.2013 



• POWER7, mindestens Firmware eFW7.4 



22 20.08.2013 



PowerSC 

Filesets powerscStd.vtpm und powerscStd.license installieren 

Collector 

Fileset openpts.collector installieren 

Verifier 

Fileset openpts.verifier installieren 

ssh-keygen 

scp ~/.ssh/id_rsa.pub :/tmp 

cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys 

23 20.08.2013 



HMC 

vTPM auf der Collector LPAR 

Ausschalten der Collector LPAR 

Starten der Collector LPAR 

Aktivierung 

Collector: ptsc -i (initial) 

Verifier: openpts -i 

GUI (/opt/ibm/openpts_gui/openpts_GUI.sh) 

24 20.08.2013 


TRUSTED FIREWALL 

25 


BESCHREIBUNG 

• Ermöglicht sicheres direktes Routing zwischen internen VLANs 

• Externer Netzwerk Traffic wird nicht gefiltert 

• Netzwerk Traffic innerhalb eines VLANs wird nicht gefiltert 

• Firewall läuft auf den VIO Servern als Kernel Extension 

• Kernel Extension wird als Secure Virtual Machine (SVM) bezeichnet 


26 20.08.2013 



• POWER6 

• POWER7 



• Virtual I/O Server ab Version 2.2.1.4 

27 20.08.2013 



PowerSC 

powerscStd.svm auf den VIO Servern installieren 

Konfiguration 

SVM Initialisieren: mksvm 

SVM Starten: vlantfw -s 

SVM Stoppen: vlantfw -t 

SVM Status: vlantfw -q 

IP Mappings anzeigen: vlantfw -d 

IP Mappings entfernen: vlantfw -f 

Befehle 

mksvm 

genvfilt 

mkvfilt 

lsvfilt 

rmvfilt 

vlantfw 

28 20.08.2013 


TRUSTED LOGGING 

29 


BESCHREIBUNG 

• Ermöglicht zentralisiertes und sicheres Logging über die VIOS 

• Auf die Log Dateien kann nur noch über die VIOS zugegriffen werden 

• Log Einträge werden über den Hypervisor an die VIOS übertragen 

• VIOS sichert Log Dateien lokal oder über FC LUNs 

• Über zwei VIOS zur Verfügung gestellte Log Devices erfordern Shared-Storage- 

Pools 


30 20.08.2013 



• POWER5 

• POWER6 

• POWER7 




31 20.08.2013 



PowerSC 

Fileset powerscStd.vlog auf den Clients installieren 

Auf den VIOS ist keine Installation notwendig 

Erstellen eines lokalen vlog Devices auf den VIOS 

$ mkvlog -name audit -client lpar-01 

Virtual log 00000000000000005b3f6b7cfcec4c67 created 

$ mkvlog -uuid 00000000000000005b3f6b7cfcec4c67 -vadapter vhost0 

oder gleichzeitig in einem Befehl: 

$ mkvlog -name audit -vadapter vhost0 

32 20.08.2013 


VMCONTROL – CREATE VIO SHARED STORAGE POOL 

Hostnames must be FQN (vio1a.profinet.intern) !!! 

33 



34 



35 



36 



37 



38 



39 



40 



41 



Erstellen eines vlog Devices im Shared-Storage-Pool 

$ cluster -status -clustername profiviosspcluster 

Cluster Name 

State 

profiviosspcluster OK 

Node Name MTM Partition Num State Pool State 

vio1a 8233-E8B020629E9P 71 OK OK 

vio1b 8233-E8B020629E9P 72 OK OK 

vio2a 8203-E4A020698E64 1 OK OK 

vio2b 8203-E4A020698E64 2 OK OK 

$ lsvlrepo 

Storage Pool State Path 

enabled /var/vio/vlogs 

profiviossp1 enabled /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/ 

$ mkvlog -sp profiviossp1 -name syslog -vadapter vhost4 

Virtual log 0f4402177e847a518c8b31de79d92718 created 

vtlogs1 Available 

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/ 

total 0 

drwxr-xr-x 2 root system 512 Jun 14 16:33 syslog 

42 20.08.2013 



$ hostname 

vio1a.profinet.intern 

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/ 

total 8 

-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000 

$ hostname 

vio1b.profinet.intern 


total 8 


Erstellen eines lokalen vlog Devices auf einer Client LPAR 

# hostname nimsrv 

# cfgmgr 

# lsdev -Fname -tvlog | xargs -L1 lsattr -Ea log_name -F"name value" -l 

vlog0 nimsrvlog1 

vlog1 syslog 

# grep vlog /etc/syslog.conf 

*.debug 

/dev/vlog1 

# refresh -s syslogd 0513-095 The request for subsystem refresh was completed successfully. 

43 20.08.2013 



Überprüfen der Konfiguration 


total 16 

-rw-r----- 1 root staff 52 Jun 14 16:40 nimsrv_syslog.000 


$ cat /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/nimsrv_syslog.000 

Jun 14 16:40:04 nimsrv syslog:info syslogd: restart 

Jun 14 16:41:18 nimsrv auth|security:info sshd[8323284]: Accepted publickey for root from 10.120.5.106 port 58124 ssh2 

44 20.08.2013 


TRUSTED NETWORK CONNECT 

AND PATCH MANAGEMENT 

45 


BESCHREIBUNG 

• Ermöglicht die Überwachung der SP Level Stände anhand definierter Policies 

• Ermöglicht Updates von LPARs anhand definierter Policies 

• Kann Netzwerk Verbindungen von Client LPARs unterbinden, wenn diese nicht dem 

definierten Sicherheitsstandard entsprechen 

• Verwendet SUMA für die SP Downloads 


46 20.08.2013 



• POWER5 

• POWER6 

• POWER7 




47 20.08.2013 



PowerSC 

Fileset powerscStd.tnc_pm.rte installieren 

TNCPM Server konfigurieren - erstellt auch die /etc/tncpm.conf Datei 

# tncpmconsole mktncpm pmport=38240 tncserver=172.18.20.66:42830 

Data from conf file :TNCPM 

...Error parsing configuration: -1 

...ERROR initDB failed: -1 

...ERROR init failed: -1 

tncpmd daemon started successfully pid 8257594 

TNCPM Server initialisieren (lädt automatischen den aktuellsten SP für den TL herunter). Besteht bereits eine Repository unter 

/var/tnc/tncpm/fix_repositories/ wird diese erkannt - ein erneuter Download wird nicht durchgeführt. 

# tncpmconsole init -i 1440 -l 7100-01 -A 

accept_all_licenses for TNC Clients update set to yes 

New Service Pack interval check set to 1440 

Initializing 7100-01 

# tncpmconsole list -s 

fix_repository_path : /var/tnc/tncpm/fix_repositories 

Latest_SP_List : 7100-01-07 

SP_List : 

48 20.08.2013 



Sollte die Option "-A" (Accepts all license agreements when performing client updates) vergessen worden sein, kann dies 

nachträglich geändert werden: 

# tncpmconsole modify -g yes 

accept_all_licenses for TNC Clients update set to yes 

Zusätzlichen TL hinzufügen: 

# tncpmconsole add -l 7100-02 

Liste der verfügbaren TL und SP anzeigen: 



Latest_SP_List : 7100-01-07,7100-02-02 

SP_List : 

user_defined_SP_List : 

Einen bestimmten SP hinzufügen: 

# tncpmconsole add -p 7100-01-01 



Latest_SP_List : 7100-01-07,7100-02-02 

SP_List : 7100-01-01 

user_defined_SP_List : 

49 20.08.2013 



Ressourcen werden als normale NIM Ressourcen definiert: 

# lsnim -t lpp_source|grep tnc|sort 

tncpm_7100-01-01_lpp resources lpp_source 



# lsnim -l tncpm_7100-02-02_lpp 

tncpm_7100-02-02_lpp: 

class = resources 

type = lpp_source 

arch = power 

Rstate = ready for use 

prev_state = unavailable for use 

location = /var/tnc/tncpm/fix_repositories/7100-02/SPs/7100-02-02 

alloc_count = 0 

server = master 

50 20.08.2013 



TNC Server konfigurieren: 

# tncconsole mkserver tncport=42830 pmserver=172.18.20.66:38240 

Data from conf file :TNCPM,SERVER 

tnccsd daemon started successfully pid 8716466 

TNC Client Konfiguration (auf dem Client System): 

aix130:/ # tncconsole mkclient tncport=42830 tncserver=172.18.20.66:42830 

Data from conf file :CLIENT 

# tncconsole list -s ALL -i ALL 

#ip Release TL SP status time trustlevel 

172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 TRUSTED 

Das Client Zertifikat wurde zwar automatisch in die TNC Server Datenbank mit aufgenommen, wurde aber nicht automatisch als 

vertrauenswürdig eingestuft. Dieses muss manuell durchgeführt werden: 

# tncconsole certadd -i 172.18.20.130 -t TRUSTED 

Sollten Server mit Ihrem Hostnamen hinzugefügt worden sein, müssen beim certadd Befehl trotzdem die IP Adressen verwendet 

werden: 

# tncconsole certadd -i aix130 -t TRUSTED 

Error updating the attribute trustlevel 

51 20.08.2013 



Hinzufügen des Clients auf dem TNC Server durch manuelle Verifizierung: 

# tncconsole verify -i aix130 

Verification operation initiated in background for host 

Überpfügen der Logs auf dem Server: 

# tncconsole list -H -i ALL 

#ip Release TL SP status time lslpp 

172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:56 No matching policy (rele/TL) configured 



172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 UNTRUSTED 

52 20.08.2013 


TNCPM MANAGEMENT 

Policy Gruppen 

• Enthalten eine oder mehrere Files-Set-Policies (FSPolicy) 

• Enthält eine Policy Gruppe mehrere Files-Set-Policies, muss der assoziierte Client dem aktuellsten 

SP seines TL's entsprechen 

• Bilden die Verbindung zwischen File-Set-Policies und IP Gruppen 

File-Set-Policies 

• Eine Files-Set-Policies definiert, welchen TL und SP Stand ein Client haben muss 

IP Gruppen 

• Enthalten mehrere IP Adressen 

• Jede IP Adressen kann nur in einer Gruppe sein 

• Eine IP Gruppe ist mit einer Policy Gruppe assoziiert 

53 20.08.2013 



IP Gruppe definieren: 

# tncconsole add -G aix61_grp ip=172.18.20.67 

Successfully added the attribute IP group 

# tncconsole add -G aix71_grp ip=172.18.20.130,172.18.20.88 



IP Gruppen anzeigen: 

# tncconsole list -G aix71_grp 

#ipgroupname 

ip 

aix71_grp 172.18.20.130 

aix71_grp 172.18.20.88 

# tncconsole list -G ALL 

#ipgroupname 

ip 

aix61_grp 172.18.20.67 

aix71_grp 172.18.20.130 

aix71_grp 172.18.20.88 

54 20.08.2013 



Erstellen einer FS Policy: 

# tncconsole add -F aix6100-07-07_fspol -r 6100-07-07 

Successfully added the attribute FSPOLICY 





Anzeigen der definierten FS Policies: 

# tncconsole list -F ALL 

#fspolicyname Release TL SP 

aix6100-07-07_fspol 6100 7 7 

aix7100-01-07_fspol 7100 1 7 

aix7100-01-01_fspol 7100 1 1 

55 20.08.2013 



Erstellen einer Policy Gruppe und assoziieren zu einer IP Gruppe: 

# tncconsole add -P aix71-prod_pol ipgroup=aix71_grp 


Anzeigen aller Policy Gruppen: 

# tncconsole list -P ALL 

#policyname 

groupname 

aix71-prod_pol aix71_grp 

Assoziieren einer FSPolicy zu einer Policy Gruppe : 

# tncconsole add -P aix71-prod_pol fspolicy=aix7100-01-01_fspol,aix7100-01-07_fspol 

Successfully added the attribute FS policy 

Successfully added the attribute FS policy 

Anzeigen aller Policy Gruppen: 

# tncconsole list -P ALL 

#policyname groupname subpolicy 

aix71-prod_pol aix71_grp aix7100-01-01_fspol 

aix71-prod_pol aix71_grp aix7100-01-07_fspol 

56 20.08.2013 



Clients verifizieren: 

# tncconsole verify -i 172.18.20.67 

Verification operation initiated in background for host 

# tncconsole list -H –i 172.18.20.67 


172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:22 #(baselower.rpt) 

Clients Verifizierung ist nicht konsistent: 





172.18.20.130 7100 1 3 COMPLIANT 2013-06-12 17:34:45 TRUSTED 

Client Update initiieren: 

tncconsole update -i 172.18.20.67 -r 6100-07-07 

# tncconsole list -H -i 172.18.20.67 




172.18.20.67 0 0 0 INSTALL_FAILED 2013-06-12 17:24:09 Unable to initiate connection with TNCPM server 

57 20.08.2013 



Client Update funktioniert leider nicht. Im syslog finden sich folgende Einträge: 

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Processing connection from client : 172.18.20.67 

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Server side CA cert not available 

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: TLS Client SSL connection using 

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Stored and offered certificates are same 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Apar List = IZ92631 IV15497 IV16241 IV21381 IV21381 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Verifying the client: 172.18.20.67, which has rele = 6100, tl = 7, sp = 5 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: Release 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: TL 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: SP 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename 

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attributes read:RELEASE= 0, TL = 0, SP = 0 

Jun 12 17:25:36 nimsrv daemon:err|error TNC:tnccsd[8716478]: Error in GetClientLevelInfoFromDB() 

Jun 12 17:25:39 nimsrv daemon:err|error TNC:tnccsd[8716478]: Could not fetch the genCopyFile from DB 

Jun 12 17:26:29 nimsrv daemon:err|error TNC:tnccsd[4456636]: Received signal 15. Exiting.. 

58 20.08.2013 


ZUSAMMENFASSUNG 

59 


PROBLEME 

• Security and Compliance Automation: Einspielen von Profilen über den AIX Profile Manager funktioniert 

nicht zu 100%. Nach dem Einspielen eines Profils wurden zwar 0% Differenz angezeigt, ein nachfolgender 

Compare zeigte anschließend 100% Differenz an. 

• TNCPM: Verwendung von Hostnamen nicht konsistent möglich, daher kaum in größeren Umgebungen 

einsetzbar: 

• Client kann mit Namen angelegt werden, als Parameter bei Befehlen muss aber die IP verwendet werden 

• Wurde ein Client mit Namen angelegt, kann dessen History nicht mehr gelöscht werden 

# tncconsole list -I -i ALL 

#ip 

p62pm 

aixlpar3 

sysdir 

# tncconsole list -I -i p62pm 

Host p62pm does not exists 

• Wurde ein Client mit Namen angelegt, kann dieser nicht mehr gelöscht werden 

60 20.08.2013 


PROBLEME 

• Fehlermeldungen sind größtenteils nicht aussagekräftig 

• Wird beim Initiieren des TNC Servers mit tncconsole mkserver der Hostname statt der IP angegeben, erscheint lediglich die 

Fehlermeldung, dass der Prozess nicht gestartet wurde 

• Nach versehentlichen löschen der Datei /etc/tnc_config konnte der TNC Server nicht mehr gestartet werden. Fehlermeldungen dazu 

gab es keine. Nur mit Hilfe des truss Kommandos konnte die Ursache festgestellt werden 

• Dokumentation teilweise inkonsistent und fehlerhaft. Nachfolgende zwei Beispiele 

• Die Manual Page zum Befehl tncpmconsole list gibt als Syntax tncpmconsole list -s [-c] [-q] an 

• tncpmconsole --help gibt als Syntax tncpmconsole list -s [c][q] an 

• In diesem Fall sind die Angaben der Manual Page korrekt 

• Laut Manual Page können die APARs zu einem Service-Pack mit tncpmconsole list -a 7100-01-07 angezeigt werden. Dieses 

funktioniert nicht. Der Befehl tncconsole zeigt diese Option auch nicht an. 

• In diesem Fall sind die Angaben des Befehls korrekt 

61 20.08.2013 


FAZIT 

Erfahrungen konnten mit folgenden PowerSC Komponenten gewonnen worden 

• Trusted Logging 

• Security and Compliance Automation 

• Trusted Network Connect and Patch management 

Praktisch einsetzbar und sinnvoll sind, mit einigen Einschränkungen, alle drei Komponenten: 

• Trusted Logging: Funktioniert einwandfrei und ist einfach und schnell implementiert 

• Security and Compliance Automation: Funktioniert einwandfrei und ist einfach und schnell implementiert, solange man sich auf die 

Anwendung mit Hilfe des AIXPERT Kommandos beschränkt. Das Handling über den AIX Profile Manager lief in unserer Umgebung 

leider nicht fehlerlos. 

• Trusted Network Connect and Patch management: Der automatische Download der aktuellsten Service Packs für verschiedene 

Technical Level Stände funktioniert einwandfrei und ist schnell implementiert. Leider fehlt hier noch die Möglichkeit, dass auch 

einzelne Emergency und Security Patche bereitgestellt werden können. Das Installieren der Service Packs auf den Client System 

funktionierte leider nicht in unserer Umgebung. 

62 20.08.2013 


RESSOURCEN 

AIX Infocenter 

http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.doc/doc/base/powersc_main.htm 

http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.powersc/powersc_pdf.pdf 

IBM Redbooks 

Managing Security and Compliance in Cloud or Virtualized Data Centers Using IBM PowerSC 

http://www.redbooks.ibm.com/redpieces/abstracts/sg248082.html 

63 20.08.2013 


VIELEN DANK FÜR 

IHRE AUFMERKSAMKEIT 

DRAZEN-PETER BAIC 

SYSTEM ENGINEER 

TEL: +49 6151 8290-7709 

MOBIL: +49 163 8075246 

EMAIL: D.BAIC@PROFI-AG.DE 

64

IBM POWERSC - PROFI Engineering Systems AG

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?