Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots

Größe: px
Ab Seite anzeigen:

Download "Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots"

Transkript

1 Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots Diplomarbeit im Studiengang Informatik angefertigt am Lehr- und Forschungsgebiet Informatik 4 der RWTH Aachen in Kooperation mit LeanoMedia Informationslogistik GmbH, Köln von Tobias Hülsdau Matrikelnummer Aachen, im März 2006 Betreuer: Prof. Dr.-Ing. Felix Freiling Zweitgutachter: Prof. Dr. Bischof Externe Betreuung: Dipl.-Ing. Claus Wickinghoff

2 Hiermit versichere ich, daß ich die Arbeit selbständig verfaßt und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate kenntlich gemacht habe. Aachen, (Tobias Hülsdau) 1

3 Inhaltsverzeichnis 1 Einführung Problemstellung und Ziel der Arbeit Virtualisierung IDS Honeypots Auswahl einer Virtualisierungslösung Einführung und Anforderungen Linux-VServer User-Mode Linux XEN Auswahl einer Lösung: XEN Konzeption und Analyse Einleitung Anforderungen

4 3.3 Konzept zur Verbesserung der Sicherheit Analyse eines Einbruchs Zwischenbewertung des Konzeptes Modifikation des Konzeptes Fazit Implementierung Einleitung Samhain auditables auditwrapper auditdb auditfyd Evaluierung Einleitung Ausführung eines simulierten Angriffs Auswertung Fazit Ausblick 63 7 Zusammenfassung 65 A Konfigurationsdateien von Samhain 69 B Sourcecode 72 3

5 Kapitel 1 Einführung 1.1 Problemstellung und Ziel der Arbeit Ein Internet-Provider betreibt mehrere Server in einem Rechenzentrum. Darunter befinden sich sowohl Server für die eigene Infrastruktur (Firewall, Mailserver), komplett an Kunden vermietete Server sowie Server auf denen Domains und Webseiten verschiedener Kunden gemeinsam gehostet werden. Besonders letztere bereiten zunehmend Sicherheitsprobleme, da die Kunden mitunter fehlerhafte dynamische Webseiten online stellen. Ein erfolgreicher Angriff über eine bekannte Forensoftware hatte bereits mehrere Stunden Dienstausfall zur Folge und verursachte einen erheblichen Aufwand an Arbeitszeit. Eine ständige Überwachung aller von Kunden installierten dynamischen Webseiten ist nicht mit vertretbarem Aufwand durchführbar. Daher soll ein Konzept entwickelt und implementiert werden, dass bei zukünftigen Angriffen eine Minimierung von Reaktionszeit und Schadenswirkung bietet. Dies soll in Teilen durch die Virtualisierung von Servern erreicht werden. Der Einsatz von dedizierten Intrusion Detection Systemen und Honeypots auf virtuellen Servern erscheint als geeigneter Ansatz. Die gesamte Entwicklung soll unter Debian GNU/Linux erfolgen. 4

6 Ziel der Arbeit ist die Auswahl einer Virtualisierungslösung sowie die Erstellung und Implementierung eines Konzeptes zur Verbesserung der Sicherheit. Es wird aus drei Kandidaten eine Virtualisierungslösung ausgewählt, um auf einem physikalischen Server mehrere Gastsysteme parallel betreiben zu können. Ein im Verlauf dieser Arbeit erfolgter weiterer Angriff wird analysiert und mit den gewonnen Erkenntnissen eine Überarbeitung des Konzepts vorgenommen. Dieses wird implementiert und anschliessend mit einem simulierten Angriff, der sich an den erfolgten echten Einbruch anlehnt, geprüft. 1.2 Virtualisierung In [Sin04] definiert Amit Singh Virtualisierung wie folgt: Virtualization is a framework or methodology of dividing the resources of a computer into multiple execution environments, by applying one or more concepts or technologies such as hardware and software partitioning, timesharing, partial or complete machine simulation, emulation, quality of service, and many others. Obwohl, oder gerade weil, diese Definition sehr lose ist, was der Autor in seiner Veröffentlichung selber anmerkt, verdeutlicht sie das Verständnis des Begriffs im Rahmen der Arbeit. Im Rahmen der Arbeit ist Virtualisierung das Mittel zum Zweck, um einen physikalischen Computer bzw. Server in mehrere getrennte Einheiten zu unterteilen, so dass diese wiederum wie ein eigenständiger Computer behandelt werden können. Konkret sollen auf einem Server mehrere Betriebssysteminstanzen parallel laufen. Im folgenden werden die Begriffe Hostsystem und Gastsystem benutzt. Der Begriff Hostsystem bezeichnet einen Computer mit darauf laufender Virtualisierungslösung. Der Begriff Gastsystem bezeichnet ein Betriebssystem bzw. 5

7 im konkreten Fall eine Linux Distribution, die parallel mit anderen Gastsystemen auf einem Hostsystem läuft. Es gibt verschiedene Techniken zur Virtualisierung von Computern. Mittels Software kann eine andere Architektur inklusive Prozessorbefehlssatz als die des Hostsystems emuliert werden. Dieser Ansatz ist allerdings nicht sehr performant. Durch das Abfangen und Umschreiben priviligierter Instruktionen kann mehreren parallel laufenden Betriebssystemen vorgetäuscht werden, sie würden auf nativer Hardware laufen. Dabei werden meistens andere als die wirklich vorhandenen Geräte wie Festplattencontroller oder Netzwerkkarte emuliert. Dieser Ansatz ist auf Architekturen, die keine besondere Unterstützung bieten, sehr aufwendig (siehe[law99]). Bei der Paravirtualisierung bildet ein spezieller Kernel (Hypervisor oder Virtual Machine Monitor) die unterste Schicht. Alle darauf laufenden Gastsysteme müssen an den Hypervisor angepasst werden und wissen von dessen Existenz. Dieser Ansatz erfordert die Portierung der Gastsysteme auf die Architektur des Hypervisors. Bei der Partitionierung stellt der Kernel auf dem Hostsystem die Möglichkeit bereit, Prozesse in Kontexten ablaufen zu lassen. Prozesse aus einem Kontext können mit Prozessen aus einem anderen Kontext nicht ungewollt interagieren. Damit einher geht eine Einschränkung des Zugriffs der Prozesse auf Ressourcen wie Festplatte oder Netzwerk, so dass einem Kontext gezielt Teile der Ressourcen zur Verfügung gestellt werden können. Unter diesem Ansatz ist es nicht möglich, verschiedenartige Gastsysteme parallel laufen zu lassen. 6

8 1.3 IDS Der Begriff IDS steht in dieser Arbeit für Intrusion Detection System. In [Cou03] wird der Begriff wie folgt definiert: Software/hardware that detects and logs inappropriate, incorrect, or anomalous activity. IDS are typically characterized based on the source of the data they monitor: host or network. A host-based IDS uses system log files and other electronic audit data to identify suspicious activity. A network-based IDS uses a sensor to monitor packets on the network to which it is attached. Ein bekanntes Network-Based IDS ist snort. Es überwacht den Netzwerkverkehr an zentraler Stelle und prüft alle Pakete gegen seine Signaturdatenbank. Ein Beispiel für ein Host-Based IDS ist tripwire, dass in periodischen Abständen alle Dateien auf einem Computer auf Veränderungen hin überprüft. 1.4 Honeypots Ein Honeypot ist ein System, Computer oder Netzwerk, ohne produktiven Wert, dessen einzige Aufgabe darin besteht, unauthorisierte Zugriffe auf sich zu ziehen, indem es sich für einen potentiellen Angreifer als wertvoll darstellt. Honeypots werden eingesetzt, um durch gezielte Beobachtung Angriffsmuster verstehen zu lernen ([Hol06]), um einen Einbruch in ein Netzwerk zu erkennen oder um Angreifer zu bremsen oder entmutigen ([Pro04], [Spi03]). Ein Problem mit der Benutzung von Honeypots zum Erkennen von Einbrüchen ist, dass der Angreifer auch gezielt den Honeypot angreifen muss. 7

9 Kapitel 2 Auswahl einer Virtualisierungslösung 2.1 Einführung und Anforderungen Die Evaluierung und Auswahl einer Virtualisierungslösung ist ein zentraler Bestandteil dieser Arbeit. Dies ist durch mehrere Anforderungen begründet: Dienste wie Web- und Mailserver, die bislang zusammen auf einem Server liefen, sollten aus Sicherheitsgründen voneinander separiert werden. Die Webauftritte verschiedener Kunden sollten voneinander getrennt werden, um die Schadenswirkung bei Einbrüchen durch Fehler (z.b. Webanwendungen) zu begrenzen. Da die Server in einem kommerziellen Rechenzentrum untergebracht sind, sollte die Separierung der Dienste und Webauftritte nicht mit einer Vergrösserung des Hardwareaufwandes einhergehen, um die Anmietung zusätzlicher Höheneinheiten zu vermeiden. 8

10 Die Möglichkeit, virtuelle Server unkompliziert von einem physikalischen Server auf einen anderen zu migrieren erscheint sinnvoll, um flexibel auf erhöhte Ressourcennachfrage reagieren zu können und die Ausfallzeit bei Hardwaredefekten zu minimieren. Zusätzliche virtuelle Server können bei Bedarf remote eingerichtet werden, ohne dass ein Einsatz vor Ort notwendig ist. Besonders der zweite Punkt ist hervorzuheben und wäre für sich alleine schon Grund genug eine Virtualisierungslösung einzusetzen. Für die Auswahl der Virtualisierungslösung gab es folgende grundsätzliche Vorgaben: Sie muss unter und mit Linux lauffähig sein. Sie soll unter einer Open Source Lizenz stehen, um nicht an einen Hersteller gebunden zu sein, sie bei Bedarf selber anpassen zu können und um sie ohne den Einsatz finanzieller Mittel ausführlich testen zu können. Es werden drei Virtualisierungslösungen, die die genannten Vorgaben erfüllen, in die engere Wahl genommen: Linux-VServer, User-Mode-Linux (UML) und XEN. Aus den drei Lösungen soll diejenige ausgewählt werden, die die folgenden Anforderungen am besten erfüllt: Hohe Geschwindigkeit: Die Virtualisierungslösung darf für den Benutzer der Dienste keinem merkbaren Geschwindigkeitsverlust erkennen lassen im Vergleich zu einem nicht virtualisierten System. Vollständige Netzwerkunterstützung: Die Gastsysteme sollen die Möglichkeit haben, auch spezielle Netzwerkfunktionen wie Raw Sockets und Firewalling nutzen zu können. 9

11 Stabilität im Produktivbetrieb: Die Gastsysteme müssen stabil laufen, um die Anforderungen der Kunden an hohe Dienstverfügbarkeit zu erfüllen. 2.2 Linux-VServer Beim Linux-VServer Projekt ([Pöt04]) handelt es sich um Erweiterungen des Standard Linux Kernels, deren Ziel es ist, Ressourcen zu partitionieren, um verschiedene Prozesse möglichst effizient aber komplett isoliert voneinander parallel laufen zu lassen. Dies wird mit der Bereitstellung von so genannten Kontexten erreicht. Prozesse die in einem Kontext ausgeführt werden, haben nur Zugriff auf die diesem Kontext zugeteilten Ressourcen, wie z.b. Teilbereiche des Dateisystems oder IP-Adressen, dürfen aber nicht ungewollt mit Prozessen in anderen Kontexten interagieren. Das Konzept lässt sich am einfachsten mit einem stark erweiterten chroot() Systemcall vergleichen. Im Gegensatz zu anderen Virtualisierungslösungen wird für eine virtuelle Instanz bzw. einen Kontext kein eigener Kernel gestartet. Da alle Prozesse in allen Kontexten unter demselben Kernel laufen, müssen alle Systemaufrufe, die den Zugriff auf Ressourcen ermöglichen, entsprechend erweitert werden, um die Existenz von Kontexten zu beachten. Diese Erweiterungen sind mittlerweile so weit fortgeschritten, dass es möglich ist, in einem Kontext eine eigene komplette Linux-Distribution zu booten. Damit können auf einem physikalischem System mehrere eigenständige virtuelle Server bereit gestellt werden. Die Vorgehensweise von Linux-VServer hat zwei grosse Vorteile: Hohe Geschwindigkeit: Da es keine zusätzliche Abstraktionsschicht gibt und auch keine virtuelle Hardware emuliert wird, laufen Prozesse unter Linux-VServer mit derselben Geschwindigkeit wie unter einem unmodifizierten Linux-Kernel. 10

12 Prozess Prozess Prozess Prozess Prozess Prozess Kontext 1 Prozess Kontext 2 Linux VServer Kernel Hardware Abbildung 2.1: Linux VServer Schema Gute Ressourcenausnutzung: Jeder Kontext verbraucht nur genau soviel Hauptspeicher, wie die in ihm laufenden Prozesse benötigen. Von mehreren Kontexten genutzte Shared Libraries müssen nur einmal geladen werden. Alle Kontexte teilen sich ein Dateisystem und können sogar statische Dateien wie Programme und Bibliotheken gemeinsam nutzen. Es gibt nur einen globalen Disk Cache. Es gibt jedoch mehrere Nachteile: Linux-VServer ist nicht in den Standard Linux-Kernel integriert, es muss ein speziell gepatchter Kernel verwendet werden. Dies erhöht die Zeitspanne, bis sicherheitskritische Fehler behoben werden und neue Hardwaretreiber oder Features genutzt werden können. Die Erweiterung aller Systemaufrufe um die Beachtung von Kontexten 11

13 ist sehr aufwendig und dementsprechend potentiell fehleranfällig. Ein Bug im Kernel betrifft direkt alle virtuellen Server. Einige spezielle Netzwerkfunktionen sind innerhalb von Kontexten nicht verfügbar, z.b. Routing oder Firewalling. Programme wie traceroute funktionieren nicht, da keine Raw-Sockets zur Verfügung stehen. 2.3 User-Mode Linux User-Mode Linux (UML) ([Dik00]) ist eine Portierung des Linux Kernels auf sein eigenes Systemcall-Interface. Ein UML Kernel läuft als normaler User-Space Prozess unter einem Linux Host Kernel. Alle Prozesse, die unter dem UML Kernel gestartet werden, laufen ebenfalls direkt unter dem Host Kernel. Der UML Kernel fängt alle ihre Systemcalls ab und bedient diese. Um seinerseits Zugriff auf die Ressourcen des Host Systems zu bekommen, bedient sich der UML Kernel wiederum normaler Systemcalls. Das Konzept, alle Prozesse als Host Prozesse laufen zu lassen, hat allerdings den Nachteil, dass der UML Kernel aus technischen Gründen in ihrem Adressraum vorhanden sein muss. Dies stellt ein grosses Sicherheitsproblem dar und ist im Allgemeinen nicht erwünscht. Die Erweiterung,,skas mode (Separate Kernel Address Space) für den Host Kernel eliminiert das Problem, indem alle Prozesse unterhalb des UML Kernels in nur einem einzigen Thread laufen, aber trotzdem einen eigenen Adressraum besitzen, der jeweils umgeschaltet wird. Als zusätzlichen Vorteil bietet der skas mode einen Geschwindigkeitsvorteil gegenüber dem alten Modell. Als Dateisystem dient dem UML Kernel eine Datei auf dem Hostsystem, die mit einem Dateisystem formatiert ist und als Blockdevice angesprochen wird. Um bei mehreren parallel laufenden UML Systemen Speicherplatz zu sparen, beherrscht der Blockdevice-Treiber im UML Kernel Copy-on-write 12

14 postfix postfix apache UML Kernel apache Linux Kernel Abbildung 2.2: UML Schema alle Instanzen teilen sich ein gemeinsames, schreibgeschütztes Image und schreiben nur lokale Änderungen in eine eigene Datei. UML hat mehrere Vorteile: Die vom UML Kernel benötigten Funktionen sind im Standard Linux Kernel integriert. Jedes aktuelle Linux System kann ohne weitere Modifikationen als UML Hostsystem fungieren. Die UML Architektur ist in den Standard Kernel integriert. Vollständige Netzwerkfunktionalität: Die Gastsysteme verfügen über vollständige Netzwerkfunktionalität wie Raw-Sockets und Firewalling. 13

15 Der Hauptnachteil von UML ist die deutlich geringere Performance bei I/O intensiven Programmen im Vergleich zu einem nativen Linux System. 2.4 XEN Der Virtual Machine Monitor, oder auch Hypervisor, XEN ([BDF + 03]) benutzt Paravirtualization um mehrere Gastsysteme parallel auf x86 Hardware laufen zu lassen. Paravirtualization heisst, dass den Gastsystemen keine native Hardware vorgetäuscht wird, sondern sie auf eine spezielle XEN- Architektur portiert werden müssen. Wichtig bei der Entwicklung von XEN war, dass das ABI (Application Binary Interface) stabil bleibt, Programme also weiterhin unmodifiziert auf den Gastsystemen laufen. Um eine Isolierung der einzelnen Gastsysteme voneinander zu gewährleisten, läuft der XEN Kernel mit höheren Privilegien als die Gastsysteme. Auf der x86 Architektur befinden sich normalerweise das Betriebssystem im privilegierten Ring 0 und alle Programme in Ring 3. Unter XEN laufen der XEN- Kernel in Ring 0, die Gastsysteme in Ring 1 und die Programe wie gewohnt in Ring 3. XEN ist eines der wenigen Systeme, welches überhaupt Gebrauch von Ring 1 macht. Für die Ansteuerung von I/O Geräten wie Festplatten und Netzwerkadaptern bedient sich XEN der Hilfe eines seiner Gastsysteme. Das erste Gastsystem welches von XEN beim Booten gestartet wird, wird als Domain0 (Dom0) bezeichnet und bekommt spezielle Rechte. Das Domain0 System darf auf die Hardware zugreifen und muss dafür die entsprechenden Gerätetreiber mitbringen. Allen weiteren Gastsystemen, die als DomainU (Unpriviliged, DomU) bezeichnet werden, stellt es über Backend-Treiber Blockdevices und Netzwerkschnittstellen zur Verfügung. Die DomU Systeme benötigen nur spezielle Frontend-Treiber, welche von der physikalischen Hardware unabhängig sind. Des Weiteren wird Dom0 zur Verwaltung der Gastsysteme benutzt. Diese Vorgehensweise ermöglicht es dem XEN Kernel leichtgewichtig zu bleiben 14

16 BLK Dom0 VIF DomU DomU eth0 hda eth0 hda eth0 hda XEN Kernel NET HDD Hardware CPU RAM Abbildung 2.3: XEN Schema und gleichzeitig auf jeder Hardware lauffähig zu sein, die durch den Dom0 Kernel unterstützt wird. Als Dom0 Kernel kommt Linux zum Einsatz, als DomU Kernel sind bisher Linux, FreeBSD, NetBSD und Plan9 auf die XEN Architektur portiert worden. In der aktuellen Version 3.0 unterstützt XEN die CPU Erweiterungen Intel VT-x. Damit ist es möglich, auch nicht auf die XEN Architektur portierte Betriebssystemkerne als DomU laufen zu lassen. Von dieser Möglichkeit wird im Rahmen der Diplomarbeit wegen fehlender spezieller Hardware allerdings kein Gebrauch gemacht. Der von XEN benutzte Ansatz bietet mehrere Vorteile: Hohe Geschwindigkeit: Gegenüber einem nativen Linux System be- 15

17 trägt der Geschwindigkeitsverlust von Linux unter XEN etwa 2 bis 8% ([BDF + 03]). Verglichen mit Linux-VServer ist XEN also weniger performant, aber immer noch deutlich schneller als andere Lösungen wie UML oder VMWare. Sicherheit: Die Gastsysteme unter XEN sind komplett voneinander isoliert. Selbst bei einem Fehler im Kernel eines Gastsystems kann ein Angreifer nicht die restlichen Systeme kompromittieren (gilt natürlich nicht, wenn auf den anderen Gastsystemen derselbe Angriffsvektor angewandt werden kann). Da XEN selber leichtgewichtig ist und auf eigene Hardwaretreiber verzichtet, ist die Wahrscheinlichkeit eines sicherheitsrelevanten Fehlers im XEN Kernel geringer als bei einem kompletten Betriebssystem. Vollständige Netzwerkfunktionalität: Die Gastsysteme verfügen über vollständige Netzwerkfunktionalität wie Raw-Sockets und Firewalling. Wenn die auf einem XEN System laufenden DomU Systeme über eine virtuelle Bridge (Linux als Dom0 bietet dies Funktionalität mit einem Bridge-Device) mit der Netzwerkkarte verbunden sind, lässt sich hinsichtlich der Handhabung kaum ein Unterschied zwischen einem DomU und einem Betriebssystem auf dedizierter Hardware feststellen. Als grosser Nachteil von XEN ist die im Vergleich mit Linux-VServer schlechtere Ausnutzung des Hauptspeichers zu nennen. Jedes Gastsystem bekommt beim Start eine festgelegte Menge RAM zugewiesen, so dass freier Speicher in einem Gastsystem nicht automatisch von einem anderen genutzt werden kann. Ausserdem führen alle Gastsysteme ihren eigenen Disk-Cache und können auch keine Shared-Libraries gemeinsam nutzen. 16

18 2.5 Auswahl einer Lösung: XEN Die Auswahl einer Virtualisierungslösung bildet die Grundlage für das weitere vorgehen im Rahmen der Arbeit. Die drei Lösungen, Linux-VServer, UML und XEN werden anhand der in Abschnitt 2.1 formulierten Anforderungen miteinander verglichen. Da Linux-VServer keine Abstraktionsschicht besitzt, ist die Geschwindigkeit vergleichbar mit der eines Standard Linux Kernels. In [BDF + 03] wurde die relative Geschwindigkeit von Linux, XEN, VMware und UML in verschiedenen Benchmarks verglichen (s. Abb. 2.4). Es zeigt sich, dass XEN nur rund 2 bis 8% langsamer ist als ein Standard Linux Kernel. Die Geschwindigkeit von UML bricht hingegen besonders bei I/O intensiven Programmen stark ein. Da die Ergebnisse der vorliegenden Benchmarks in [CDD + 04] bestätigt wurden, wurde auf eigene Performance Tests verzichtet Relative score to Linux L X V U L X V U L X V U L X V U L X V U L X V U SPEC INT2000 (score) Linux build time (s) OSDB-IR (tup/s) OSDB-OLTP (tup/s) dbench (score) SPEC WEB99 (score) Figure 3: Relative performance of native Linux (L), XenoLinux (X), VMware workstation 3.2 (V) and User-Mode Linux (U). Abbildung 2.4: Performance von Linux (L), XEN (X), VMware workstation memory management. In the case of the VMMs, this system time is expanded to a greater or lesser degree: whereas Xen incurs a mere 3% overhead, the other VMMs experience a more significant slowdown. Two experiments were performed using the PostgreSQL database, exercised by the Open Source Database Benchmark suite (OSDB) in its default configuration. We present results for the multi-user Information Retrieval (IR) and On-Line Transaction Processing (OLTP) workloads, both measured in tuples per second. A small modification to the suite s test harness was required to produce correct results, due to a UML bug which loses virtual-timer interrupts under high load. The benchmark drives the database via PostgreSQL s native API (callable SQL) over a Unix domain socket. PostgreSQL places considerable load on the operating system, and this is reflected in the substantial virtualization overheads experienced by VMware and UML. In particular, the OLTP benchmark requires many synchronous disk operations, resulting in many protection domain transitions. The dbench program is a file system benchmark derived from the industry-standard NetBench. It emulates the load placed on a file server by Windows 95 clients. Here, we examine the throughput experienced by a single client performing around 90,000 file system operations. SPEC WEB99 is a complex application-level benchmark for evaluating web servers and the systems that host them. The workload is a complex mix of page requests: 30% require dynamic content generation, 16% are HTTP POST operations and 0.5% execute a CGI script. As the server runs it generates access and POST logs, so the disk workload is not solely read-only. Measurements therefore reflect general OS performance, including file system and network, in addition to the web server itself. A number of client machines are used to generate load for the server under test, with each machine simulating a collection of users concurrently accessing the web site. The benchmark is run must receive an aggregate bandwidth in excess of 320Kb/s over a series of requests. A warm-up phase is allowed in which the number of simultaneous clients is slowly increased, allowing servers to preload their buffer caches. For our experimental setup we used the Apache HTTP server version , installing the modspecweb99 plug-in to perform most but not all of the dynamic content generation SPEC rules require 0.5% of requests to use full CGI, forking a separate process. Better absolute performance numbers can be achieved with the assistance of TUX, the Linux in-kernel static content web server, but we chose not to use this as we felt it was less likely to be representative of our real-world target applications. Furthermore, although Xen s performance improves when using TUX, VMware suffers badly due to the increased proportion of time spent emulating ring 0 while executing the guest OS kernel. SPEC WEB99 exercises the whole system. During the measurement period there is up to 180Mb/s of TCP network traffic and considerable disk read-write activity on a 2GB dataset. The benchmark is CPU-bound, and a significant proportion of the time is spent within the guest OS kernel, performing network stack processing, file system operations, and scheduling between the many httpd processes that Apache needs to handle the offered load. XenoLinux fares well, achieving within 1% of native Linux performance. VMware and UML both struggle, supporting less than a third of the number of clients of the native Linux system. 3.2(V) und UML (U) im relativen Vergleich (Quelle: [BDF + 03]) XEN und UML verfügen jeweils über RAW-Sockets und Firewalling. Sie erfüllen die Anforderung an vollständige Netzwerkunterstützung. In einem Gastsystem unter Linux-VServer können weder RAW-Sockets geöffnet werden, noch Firewalling benutzt werden. Linux-VServer erfüllt die Anforderung Operating System Benchmarks To more precisely measure the areas of overhead within Xen and the other VMMs, we performed a number of smaller experiments targeting particular subsystems. We examined the overhead of virtualization as measured by McVoy s lmbench program [29]. We used version 3.0-a3 as this addresses many of the issues regarding the fidelity of the tool raised by Seltzer s hbench [6]. The OS performance subset of the lmbench suite consist of 37 microbench-

19 an eine vollständige Netzwerkunterstützung nicht. Damit ist es nicht möglich, in einem Gastsystem unter Linux-VServer ein IDS oder den honeyd laufen zu lassen. XEN erfüllt als einziges der drei betrachteten Lösungen die Anforderungen nach hoher Geschwindigkeit und vollständiger Netzwerkunterstützung. UML hat Probleme mit der Geschwindigkeit. Linux-VServer bietet keine vollständige Netzwerkunterstützung. XEN wird als Virtualisierungslösung für das weitere Vorgehen im Rahmen dieser Arbeit ausgewählt. 18

20 Kapitel 3 Konzeption und Analyse 3.1 Einleitung In diesem Kapitel wird ein Konzept zur Verbesserung der Sicherheit entwickelt und vorgestellt. Ein nach Erstellung des Konzeptes verübter Einbruch in einen der Server wird analysiert. Aufgrund der Analyse wird das Konzept einer Zwischenbewertung unterzogen und modifiziert. 3.2 Anforderungen An das Konzept zur Verbesserung der Sicherheit werden nachfolgende Anforderungen gestellt: Schnelle Erkennung von Einbrüchen: Da auf den Gastsystemen Webseiten von Kunden gehostet werden, die oftmals ihre eigenen Webapplikationen wie Shopsysteme oder Bulletinboards einrichten, sind Schwachstellen nicht dauerhaft zu unterbinden. Ein Einbruch kann jederzeit passieren. Umso wichtiger ist eine schnelle Erkennung, um Ausfallzeiten und Kosten so gering wie möglich zu halten. 19

21 Alarmierung des Administrators: Der Administrator muss benachrichtigt werden, sobald ein Einbruch vermutet wird. Das System soll nicht autonom Angriffe abwehren, da so die Gefahr besteht, dass es legitimen Datenverkehr in falscher Annahme unterbindet. Dies wäre kontraproduktiv, da der Zweck der Massnahmen eine Verbesserung der Verfügbarkeit ist. Minimierung von false positives: Wenn ein Mensch mit zu vielen Warnmeldungen konfrontiert wird, die zu einem sehr hohen Prozentsatz falsche Alarme sind, wird er sie irgendwann ignorieren. Deswegen sollen Warnmeldungen nur abgesetzt werden, wenn die Wahrscheinlichkeit für einen Angriff sehr hoch ist. Loggen von verdächtigen Ereignissen: Es sollen möglichst viele Ereignisse möglichst genau protokolliert werden, um den Verlauf eines Angriffs im Nachhinein besser analysieren zu können und um die Schwachstelle schneller lokalisieren zu können. Eindämmung der Schadenswirkung: Die potentielle Schadenswirkung durch einen Einbruch soll minimiert werden und möglichst auf den kompromittierten Dienst bzw. die Webanwendung beschränkt bleiben. Geringer Ressourcenverbrauch: Das System soll die vorhandenen Ressourcen möglichst wenig belasten, um den Kunden eine weiterhin hohe Dienstqualität bieten zu können. 3.3 Konzept zur Verbesserung der Sicherheit Das Konzept zur Verbesserung der Sicherheit stützt sich auf drei Ansätze, die im Zusammenspiel die vorgegebenen Anforderungen erfüllen: Virtualisierung der Server mit XEN und Einsatz jeweils eines Honeypots und eines IDS auf jedem Hostsystem (s. Abb. 3.1). 20

22 Gastsystem 1 Gastsystem 4 Gastsystem 2 IDS Gastsystem 3 Honeypot Hostsystem Abbildung 3.1: Konzept zur Verbesserung der Sicherheit Die Virtualisierung der Server mit XEN dient der Eindämmung der Schadenswirkung bei einem erfolgreichen Angriff. Bislang auf einem Server zusammen gehostete Dienste sowie Webseiten verschiedener Kunden werden auf mehrere Gastsysteme aufgeteilt. Ein kompromittiertes Gastsystem kann offline genommen und durch ein Backup ersetzt werden, ohne dass die Konnektivität der anderen Dienste und Kunden beeinträchtigt wird. Es kann außerdem zur genaueren Analyse gesichert und in einer sicheren Umgebung gestartet werden. Das Hostsystem (Domain0 unter XEN) dient nur der Verwaltung der Gastsysteme und stellt, ausser SSH zum entfernten Anmelden, keine Netzwerkdienste zur Verfügung. Die Dateisysteme der Gastsysteme werden in regelmässigen Abständen als Image auf einen dedizierten Backup-Server gesichert. Um ein konsistentes Backup zu gewährleisten, ohne die Gastsysteme offline nehmen zu müssen, wird die Snapshot-Funktion des Logical Volume Managers genutzt. Eine Snapshot-Partition bildet den Inhalt einer Ursprungs-Partition zu einem bestimmten Zeitpunkt ab, ohne dass sich 21

23 Änderungen an der Ursprungs-Partition auf die Snapshot-Partition auswirken. Auf den virtualisierten Servern läuft ein Gastsystem als Honeypot. Es dient zur Erkennung von Einbrüchen in die anderen Gastsysteme. Da der Honeypot keinen produktiven Wert hat, sind alle Verbindungen zum Honeypot verdächtig. Verbindungen von einem der produktiven Gastsysteme zum Honeypot sind ein starker Indikator für einen Einbruch, da der Honeypot keine Dienste bereit stellt, die die produktiven Gastsysteme im normalen Betrieb benötigen. Der Honeypot baut selbständig nie Verbindungen zu den anderen Gastsystemen oder nach aussen auf. Jede vom Honeypot ausgehende Verbindung weist auf einen Einbruch hin und muss untersucht werden. Zusätzlich zum Honeypot läuft auf den virtualisierten Servern ein IDS in einem eigenen Gastsystem. Das IDS überwacht den Netzwerkverkehr aller auf dem Hostsystem befindlichen Gastsysteme anhand vorgegebener Regeln. Das IDS alarmiert den Administrator bei Verstoss, eventuell leitet es auch selbstständig Gegenmassnahmen ein wie z.b. Härtung der Firewall oder Terminierung von TCP Verbindungen über RST Pakete. Die Regeln des IDS werden laufend angepasst unter Zuhilfenahme der vom Honeypot gewonnenen Erkenntnissen über Einbruchsversuche. Die Anpassung erfolgt manuell durch den Administrator, in einer späteren Ausbaustufe möglicherweise aber auch (halb-)automatisch. Für die Implementierung des Konzeptes wird eine iterative Herangehensweise benutzt. Im ersten Schritt wird ein Server, der später als Ersatz für einen weniger leistungsfähigen produktiven Server dienen soll, mit XEN installiert. Auf dem Server werden mehrere Gastsysteme installiert, die aber noch keine produktiven, oder aber unkritische Dienste übernehmen. Ein Gastsystem wird mit der freien Honeypotlösung honeyd installiert. In diesem Schritt wird die Verlässlichkeit von XEN im Rechenzentrumsbetrieb getestet und über den Honeypot werden erste Daten gesammelt. 22

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Studiengang Informatik Anwendung-Rechnernetze Übersicht Virtualisierungstechniken Virtualisierungsmodelle in Xen Netzwerkkonzepte und

Mehr

XEN Performance. Projektpraktikum Informatik. Arne Klein 2008-02-26. Arne Klein () XEN Performance 2008-02-26 1 / 25

XEN Performance. Projektpraktikum Informatik. Arne Klein 2008-02-26. Arne Klein () XEN Performance 2008-02-26 1 / 25 XEN Performance Projektpraktikum Informatik Arne Klein 2008-02-26 Arne Klein () XEN Performance 2008-02-26 1 / 25 1 Virtualisierung mit XEN 2 Performance von XEN Allgemeines Netzwerk-Performance IO-Performance

Mehr

Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Bruno Kleinert fuddl@gmx.de. 20. Juni 2007

Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren. Bruno Kleinert fuddl@gmx.de. 20. Juni 2007 User Mode Linux (UML) Vortrag zum Seminar Konzepte und Techniken virtueller Maschinen und Emulatoren Friedrich-Alexander-Universität Erlangen-Nürnberg Bruno Kleinert fuddl@gmx.de 20. Juni 2007 Überblick

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Installations-Dokumentation, YALG Team

Installations-Dokumentation, YALG Team Installations-Dokumentation, YALG Team Version 8.1 1 Benötigtes Material 2 Vor der Installation 3 Beginn 4 Installation 4.1 Sicherheit 4.2 Partitionierung 4.3 Paketauswahl 4.4 Paketauswahl (fein) 5 Konfiguration

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Virtuelle Maschine in VMware für eine Securepoint Firewall einrichten Securepoint Security Systems Version 2007nx Release 3 Inhalt 1 VMware Server Console installieren... 4 2 VMware Server Console

Mehr

Neues in Hyper-V Version 2

Neues in Hyper-V Version 2 Michael Korp Technical Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/mkorp Neues in Hyper-V Version 2 - Virtualisieren auf die moderne Art - Windows Server 2008 R2 Hyper-V Robust Basis:

Mehr

Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008

Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008 Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008 Jörg Rödel Virtualization - Whats out there? Virtualisierung hat bereits längere Geschichte auf x86 Startete mit VMware Setzte

Mehr

Open Source Virtualisation

Open Source Virtualisation Felix Krohn gpg: 0x1C246E3B 17. Januar 2010 Übersicht Basics 1 Basics 2 3 Isolierung Paravirtualisierung Virtualisierung 1 Basics Isolierung Paravirtualisierung Virtualisierung 2 3 Isolierung

Mehr

XEN- The Debian way of life

XEN- The Debian way of life XEN- The Debian way of life Gruppe 5 Mayer und Pikart Inhaltsverzeichnis 1 Was ist XEN?...2 2 Paketinstalltion...3 3 Runlevel anpassen...4 4 Xen Installation anpassen...4 4.1 /etc/xen/xend-config.sxp...4

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel Generating Fingerprints of Network Servers and their Use in Honeypots Thomas Apel Der Überblick Fingerprinting von Netzwerkdiensten Banner Verfügbare Optionen Reaktionen auf falsche Syntax Verwendung für

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Virtualisierung mit Xen

Virtualisierung mit Xen Virtualisierung mit Xen Hardware minimal halten und optimal ausnutzen Was genau ist Virtualisierung? Woher kommt diese Technik, was ist deren Geschichte? Welche Arten von Virtualisierung existieren auf

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

XEN Virtualisierung und mehr

XEN Virtualisierung und mehr Virtualisierung und mehr 4. Juni 2006 Übersicht Übersicht Unterstützte Betriebssysteme virtuelle Festplatte virtuelle Netzwerkkarte interessante Setups Simulation von Rechnern im Allgemeinen CPU und Speicher

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

Hardware Virtualisierungs Support für PikeOS

Hardware Virtualisierungs Support für PikeOS Virtualisierungs Support für PikeOS Design eines Virtual Machine Monitors auf Basis eines Mikrokernels Tobias Stumpf SYSGO AG, Am Pfaenstein 14, 55270 Klein-Winternheim HS Furtwangen, Fakultät Computer

Mehr

Virtualisierung mit Freier Software

Virtualisierung mit Freier Software Intevation GmbH 13. November 2007 Was ist Virtualisierung? Technische Grundlagen Teil I Einleitung Was ist Virtualisierung? Technische Grundlagen Die Idee Abgrenzung Einsatzszenarien Die Idee Moderne Computer

Mehr

Systeme 1. Kapitel 10. Virtualisierung

Systeme 1. Kapitel 10. Virtualisierung Systeme 1 Kapitel 10 Virtualisierung Virtualisierung Virtualisierung: Definition: Der Begriff Virtualisierung beschreibt eine Abstraktion von Computerhardware hin zu einer virtuellen Maschine. Tatsächlich

Mehr

Virtuelle Sicherheit

Virtuelle Sicherheit Virtuelle Sicherheit Mandatory Access Control und TPM in XEN c 2007 Ralf Spenneberg OpenSource Training Ralf Spenneberg Webereistr. 1 48565 Steinfurt http://www.opensource-training.de http://www.os-t.de

Mehr

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Mac OSX Consoliero Teil 14 Seite: 1/10 Mac OS X Consoliero Weiterführende Dokumentationen für Administratoren. Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2 Christoph Müller, PTS

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Virtualisierung ein Überblick

Virtualisierung ein Überblick Virtualisierung ein Überblick Frank Hofmann Potsdam 18. April 2007 Frank Hofmann (Potsdam) Virtualisierung ein Überblick 18. April 2007 1 / 33 Gedanken zum Thema Fragen, die sich jeder stellt Virtualisierung

Mehr

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best.

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best. Oracle VM Support und Lizensierung best Open Systems Day April 2010 Unterföhring Marco Kühn best Systeme GmbH marco.kuehn@best.de Agenda Oracle VM 2.2 Oracle VM 3.0 Oracle DB in virtualisierten Umgebungen

Mehr

Xenologie oder wie man einen Plastikmainframe baut

Xenologie oder wie man einen Plastikmainframe baut Xenologie oder wie man einen Plastikmainframe baut Alexander Schreiber http://www.thangorodrim.de/ Chemnitzer Linux-Tage 2006 I think there is a world market for maybe five computers.

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Virtualisierung. Zinching Dang. 12. August 2015

Virtualisierung. Zinching Dang. 12. August 2015 Virtualisierung Zinching Dang 12. August 2015 1 Einführung Virtualisierung: Aufteilung physikalischer Ressourcen in mehrere virtuelle Beispiel: CPUs, Festplatten, RAM, Netzwerkkarten effizientere Nutzung

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten [Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten ISCSI Targets mit der Software FreeNAS einrichten Inhalt FreeNAS Server Vorbereitung... 2 Virtuelle Maschine einrichten... 3 FreeNAS

Mehr

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik Hochschule für Technik Zürich Master of Advanced Studies, Informatik 21.12.2007 Outline Einführung 1 Einführung Definition, Abgrenzung Geschichtlicher Rückblick 2 Virtualisierungstechnologien Terminologie

Mehr

SPARC LDom Performance optimieren

SPARC LDom Performance optimieren SPARC LDom Performance optimieren Marcel Hofstetter hofstetter@jomasoft.ch http://www.jomasoftmarcel.blogspot.ch Mitgründer, Geschäftsführer, Enterprise Consultant JomaSoft GmbH 1 Inhalt Wer ist JomaSoft?

Mehr

Version 2.0.1 Deutsch 28.10.2014

Version 2.0.1 Deutsch 28.10.2014 Version.0. Deutsch 8.0.04 In diesem HOWTO wird beschrieben wie Sie die Performance der IAC-BOX und damit auch die Ihres Netzwerks optimieren können. Inhaltsverzeichnis.... Hinweise.... Hardware... 3..

Mehr

Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152

Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152 Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152 Recommended Requirements: 12 GB Ram 4 CPUs (Cores) 2x72 GB / 2 x146 GB HDD (15k)

Mehr

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind Erweiterungen Der Rest / Icinga OpenSource Network-Monitoring im großen Stil Manuel Landesfeind Institut für Mathematik Georg-August-Universität Göttingen This presentation can be used under the terms

Mehr

Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner

Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner <rom@zhwin.ch> Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner Version: 1.0.2 Datum: 10.3.2004 08:28 1 Einleitung 1.1 Über diese Anleitung Diese Anleitung ist als Hilfe bei der Inbetriebnahme

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2012 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Übungen zur Vorlesung. Betriebssysteme

Übungen zur Vorlesung. Betriebssysteme Übungen zur Vorlesung Betriebssysteme Wintersemester 2015 Patrick Kendzo ppkendzo@gmail.com Inhalt Virtuelle Maschine -Eine kleine Einführung Damn Small Linux (DSL) Embedded Eine Einführung Aufgabe 1:

Mehr

Leistungsbeschreibung vserver

Leistungsbeschreibung vserver Leistungsbeschreibung vserver Stand: 17.08.2011 1 Anwendungsbereich...2 2 Leistungsumfang...2 2.1 Allgemein...2 2.2 Hardware und Netzwerkanbindung...2 2.3 Variante Managed...2 2.4 Variante Unmanaged...3

Mehr

cs106 Informatiklabor Teil 1: Java-Installation

cs106 Informatiklabor Teil 1: Java-Installation Herbstsemester 2009 cs106 Informatiklabor Teil 1: Java-Installation Florian Zeller Vorgehen und Ziele Wöchentlich eine Übung Unterstützte Bearbeitung während den Übungsstunden Austausch mit älteren Semestern

Mehr

Proseminar Technische Informatik A survey of virtualization technologies

Proseminar Technische Informatik A survey of virtualization technologies Proseminar Technische Informatik A survey of virtualization technologies Referent: Martin Weigelt Proseminar Technische Informatik - A survey of virtualization technologies 1 Übersicht 1. Definition 2.

Mehr

QEMU Der Rechner im Rechner

QEMU Der Rechner im Rechner QEMU Der Rechner im Rechner Christian Perle, secunet Security Networks AG, NL Dresden 1 Vortragsübersicht Was ist QEMU? Einsatzszenarien QEMU installieren / Beispielaufruf Virtuelles Netzwerk Snapshot-Modus

Mehr

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 E-Mail: sales@softvision.de Web: www.softvision.de Inhaltsverzeichnis

Mehr

Zugriff zum Datenaustausch per scponly

Zugriff zum Datenaustausch per scponly Zugriff zum Datenaustausch per scponly Warum scponly? In der Grundkonfiguration der Musterlösung ist es notwendig, dass ein Benutzer, der die Möglichkeit haben soll von außen Dateien mit dem Server auszutauschen,

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Typo 3 installieren. Schritt 1: Download von Typo3

Typo 3 installieren. Schritt 1: Download von Typo3 Typo 3 installieren Bevor Sie Typo3 installieren, müssen Sie folgende Informationen beachten: Typo3 benötigt eine leere Datenbank. Mit Ihrem Abonnement verfügen Sie über eine einzige Datenbank. Sie können

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Systemvoraussetzungen CustomX. Customer Relationship Management

Systemvoraussetzungen CustomX. Customer Relationship Management Systemvoraussetzungen CustomX Customer Relationship Management ThinX networked business services August 2005 Inhaltsverzeichnis ThinX networked business services Inhaltsverzeichnis 1 Einleitung 3 2 Webserver

Mehr

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik Hochschule für Technik Zürich Master of Advanced Studies, Informatik 21.12.2007 Outline Einführung 1 Einführung Definition, Abgrenzung Geschichtlicher Rückblick 2 Virtualisierungstechnologien Terminologie

Mehr

Workshop: Eigenes Image ohne VMware-Programme erstellen

Workshop: Eigenes Image ohne VMware-Programme erstellen Workshop: Eigenes Image ohne VMware-Programme erstellen Normalerweise sind zum Erstellen neuer, kompatibler Images VMware-Programme wie die Workstation, der ESX-Server oder VMware ACE notwendig. Die Community

Mehr

KOGIS Checkservice Benutzerhandbuch

KOGIS Checkservice Benutzerhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 KOGIS Checkservice Benutzerhandbuch Zusammenfassung Diese Dokumentation beschreibt die Bedienung des KOGIS Checkservice. 4.2.2015

Mehr

Web Space Anbieter im Internet:

Web Space Anbieter im Internet: Linux Projekt Nr. 1 Web Space Anbieter im Internet: - Web-Server mit - PHP, MySQL u. phpmyadmin: - VirtualHost für jedem Benutzer: http://www.xxxxxxx.elop03.de - Jedem Benutzer speichert ihrem Web-Pages

Mehr

... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 2... Konzeption virtualisierter SAP-Systeme... 87

... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 2... Konzeption virtualisierter SAP-Systeme... 87 ... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 1.1... Einführung in die Virtualisierung... 23 1.2... Ursprünge der Virtualisierung... 25 1.2.1... Anfänge der Virtualisierung... 25 1.2.2...

Mehr

Kernel Based Virtual Machine

Kernel Based Virtual Machine Kernel Based Virtual Machine Beni Buess Computerlabor @ KuZeB 11 April 2011 Fragen Fragen stellen! B.Buess (Computerlabor @ KuZeB) Kernel Based Virtual Machine 11 April 2011 2 / 29 Inhaltsverzeichnis 1

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Lernjournal Auftrag 1

Lernjournal Auftrag 1 Lernjournal Auftrag 1 Autor: Ramon Schenk Modul: M151 Datenbanken in Webauftritt einbinden Klasse: INF12.5H Datum: 29/01/15 XAMPP- Entwicklungsumgebung installieren Inhalt 1. Tätigkeiten... 2 2. Einrichten

Mehr

VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN

VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN Fakultät Informatik Institut für Systemarchitektur, Professur Betriebssysteme VIRTUALISIERUNG IN MIKROKERN BASIERTEN SYSTEMEN Henning Schild Dresden, 5.2.2009 Definition Einführung von Abstraktionsschichten

Mehr

PVFS (Parallel Virtual File System)

PVFS (Parallel Virtual File System) Management grosser Datenmengen PVFS (Parallel Virtual File System) Thorsten Schütt thorsten.schuett@zib.de Management grosser Datenmengen p.1/?? Inhalt Einführung in verteilte Dateisysteme Architektur

Mehr

Version 2.0. Copyright 2013 DataCore Software Corp. All Rights Reserved.

Version 2.0. Copyright 2013 DataCore Software Corp. All Rights Reserved. Version 2.0 Copyright 2013 DataCore Software Corp. All Rights Reserved. VDI Virtual Desktop Infrastructure Die Desktop-Virtualisierung im Unternehmen ist die konsequente Weiterentwicklung der Server und

Mehr

Verzeichnisdienste in heterogenen Systemen

Verzeichnisdienste in heterogenen Systemen Verzeichnisdienste in heterogenen Systemen Zielsetzungen Implementierung Aufbau: Active Directory (AD) auf Basis von Windows Server 008 R mit Windows Client(s), Linux Client(s) und einem Linux Server (Dateiserver).

Mehr

Solaris im Datacenter Architektur, Implementation und Betrieb

Solaris im Datacenter Architektur, Implementation und Betrieb Solaris im Datacenter Architektur, Implementation und Betrieb Marco Stadler stadler@jomasoft.ch Senior Technical Specialist JomaSoft GmbH 1 2 Inhalt Wer ist JomaSoft? Architektur: Zonen und LDoms Implementation

Mehr

Installationsanleitung Tivoli Storage Manager für Linux

Installationsanleitung Tivoli Storage Manager für Linux 11. März 2009, Version 1.0 Installationsanleitung für Linux Verwaltungsdirektion Informatikdienste Installationsanleitung für Linux Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Ablauf der

Mehr

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname <neuerhostname> Tutorium Anfänger Übersicht Netzwerk Netzwerk Netzwerk Damit ein Rechner in einem Netzwerk aktiv sein kann, braucht er einen einzigartigen Hostnamen Der Hostname dient zur Identifikation des Rechners Netzwerk

Mehr

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D.

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D. 1 Copyright 1996-1997 by Axel T. Schreiner. All Rights Reserved. 7 Datenbankzugriff Prinzip Dieser Abschnitt beschäftigt sich mit dem Paket java.sql, das eine SQL-Schnittstelle für Java verkapselt. Java-Programme

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Wissenswertes über LiveUpdate

Wissenswertes über LiveUpdate Wissenswertes über LiveUpdate 1.1 LiveUpdate «LiveUpdate» ermöglicht den einfachen und sicheren Download der neuesten Hotfixes und Patches auf Ihren PC. Bei einer Netzinstallation muss das LiveUpdate immer

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

VMware als virtuelle Plattform

VMware als virtuelle Plattform VMware als virtuelle Plattform Andreas Heinemann aheine@gkec.informatik.tu-darmstadt.de Telekooperation Fachbereich Informatik Technische Universität Darmstadt Übersicht Einführung VMware / Produkte /

Mehr

Rechnernetze. 6. Übung

Rechnernetze. 6. Übung Hochschule für Technik und Wirtschaft Studiengang Kommunikationsinformatik Prof. Dr. Ing. Damian Weber Rechnernetze 6. Übung Aufgabe 1 (TCP Client) Der ECHO Service eines Hosts wird für die Protokolle

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

NTCS BMD TECHNIK SYSTEMVORAUSSETZUNGEN

NTCS BMD TECHNIK SYSTEMVORAUSSETZUNGEN BMD TECHNIK SYSTEMVORAUSSETZUNGEN 15/08/34, Steyr Wissen verbreiten, Nutzen stiften! Copying is right für firmeninterne Aus- und Weiterbildung. INHALT 1. ANFORDERUNGEN SERVER... 4 1.1. Mindestausstattung

Mehr

German Metasploit Framework Tutorial 16. August 2005 dav

German Metasploit Framework Tutorial 16. August 2005 dav German Metasploit Framework Tutorial 16. August 2005 dav Inhalt 1. Einleitung 2. Exploit Datenbank 2.1. Neue Exploits integrieren 3. Payload Datenbank 4. Konfiguration und Anwendungen eines Exploits 4.1.

Mehr

Computer & GNU/Linux Einführung Teil 1

Computer & GNU/Linux Einführung Teil 1 Inst. für Informatik [IFI] Computer & GNU/Linux EinführungTeil 1 Simon Haller, Sebastian Stab 1/17 Computer & GNU/Linux Einführung Teil 1 Simon Haller, Sebastian Stabinger, Philipp Zech Inst. für Informatik

Mehr

Projekt für Systemprogrammierung WS 06/07

Projekt für Systemprogrammierung WS 06/07 Dienstag 30.01.2007 Projekt für Systemprogrammierung WS 06/07 Von: Hassan Bellamin E-Mail: h_bellamin@web.de Gliederung: 1. Geschichte und Definition 2. Was ist Virtualisierung? 3. Welche Virtualisierungssoftware

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Yellowbill Adapter Spezifikationen Voraussetzungen Datum : 22.08.2013 Version : 1.0.0.2 22.08.2013 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung...3 2 Architektur...3 2.1 Grundsätze

Mehr

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2 disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2015 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11.

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11. slosungen 11. Mai 2009 Inhaltsverzeichnis Uberlegungen slosungen 1 Uberlegungen Grunduberlegungen Vorteile Hardware-Emulation Nachteile 2 Servervirtualisierung Clientvirtualisierung 3 slosungen 4 5 Uberlegungen

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen...

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... PRETON TECHNOLOGY Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... 4 System Architekturen:... 5 Citrix and

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

IBM SPSS Statistics für Linux-Installationsanweisungen (Netzwerklizenz)

IBM SPSS Statistics für Linux-Installationsanweisungen (Netzwerklizenz) IBM SPSS Statistics für Linux-Installationsanweisungen (Netzwerklizenz) Die folgenden Anweisungen gelten für die Installation von IBM SPSS Statistics Version 20 mit einernetzwerklizenz. Dieses Dokument

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

08.05.2012 UNIX. Linux. UNIX Derivate, die wichtigsten. Free BSD (Open) Solaris MacOS X Linux. UNIX Dateisystem, wichtige Ordner.

08.05.2012 UNIX. Linux. UNIX Derivate, die wichtigsten. Free BSD (Open) Solaris MacOS X Linux. UNIX Dateisystem, wichtige Ordner. 23 UNIX Einführung in Betriebssysteme UNIX AM BEISPIEL LINUX entwickelt Anfang der 1970er Jahre von Ken Thompson und Dennis Ritchie (Bell Laboratories) Quelle: Wikipedia Zusammen und auf der Basis von

Mehr

Auf der Homepage steht

Auf der Homepage steht Auf der Homepage steht VirtualBox is a powerful x86 and AMD64/Intel64 virtualization product for enterprise as well as home use. Not only is VirtualBox an extremely feature rich, high performance product

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

Hyper-V Grundlagen der Virtualisierung

Hyper-V Grundlagen der Virtualisierung Grundlagen der Virtualisierung Was ist Virtualisierung? Eine Software-Technik, die mehrere Betriebssysteme gleichzeitig auf dem Rechner unabhängig voneinander betreibt. Eine Software-Technik, die Software

Mehr

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com Verfügbarkeit von Applikationen und Failover Szenarien Winfried Wojtenek wojtenek@mac.com Verfügbarkeit % Tage Stunden Minuten 99.000 3 16 36 99.500 1 20 48 99.900 0 9 46 99.990 0 0 53 99.999 0 0 5 Tabelle

Mehr

Visendo SMTP Extender

Visendo SMTP Extender Inhalt Einleitung... 2 1. Aktivieren und Konfigurieren des IIS SMTP Servers... 2 2. Installation des SMTP Extenders... 6 3. Konfiguration... 7 3.1 Konten... 7 3.2 Dienst... 9 3.3 Erweitert... 11 3.4 Lizenzierung

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Red Hat Cluster Suite

Red Hat Cluster Suite Red Hat Cluster Suite Building high-available Applications Thomas Grazer Linuxtage 2008 Outline 1 Clusterarten 2 3 Architektur Konfiguration 4 Clusterarten Was ist eigentlich ein Cluster? Wozu braucht

Mehr