Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots

Größe: px
Ab Seite anzeigen:

Download "Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots"

Transkript

1 Schutz eines Rechenzentrums gegen externe Angriffe durch den Einsatz virtueller IDS-Sensoren und Honeypots Diplomarbeit im Studiengang Informatik angefertigt am Lehr- und Forschungsgebiet Informatik 4 der RWTH Aachen in Kooperation mit LeanoMedia Informationslogistik GmbH, Köln von Tobias Hülsdau Matrikelnummer Aachen, im März 2006 Betreuer: Prof. Dr.-Ing. Felix Freiling Zweitgutachter: Prof. Dr. Bischof Externe Betreuung: Dipl.-Ing. Claus Wickinghoff

2 Hiermit versichere ich, daß ich die Arbeit selbständig verfaßt und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate kenntlich gemacht habe. Aachen, (Tobias Hülsdau) 1

3 Inhaltsverzeichnis 1 Einführung Problemstellung und Ziel der Arbeit Virtualisierung IDS Honeypots Auswahl einer Virtualisierungslösung Einführung und Anforderungen Linux-VServer User-Mode Linux XEN Auswahl einer Lösung: XEN Konzeption und Analyse Einleitung Anforderungen

4 3.3 Konzept zur Verbesserung der Sicherheit Analyse eines Einbruchs Zwischenbewertung des Konzeptes Modifikation des Konzeptes Fazit Implementierung Einleitung Samhain auditables auditwrapper auditdb auditfyd Evaluierung Einleitung Ausführung eines simulierten Angriffs Auswertung Fazit Ausblick 63 7 Zusammenfassung 65 A Konfigurationsdateien von Samhain 69 B Sourcecode 72 3

5 Kapitel 1 Einführung 1.1 Problemstellung und Ziel der Arbeit Ein Internet-Provider betreibt mehrere Server in einem Rechenzentrum. Darunter befinden sich sowohl Server für die eigene Infrastruktur (Firewall, Mailserver), komplett an Kunden vermietete Server sowie Server auf denen Domains und Webseiten verschiedener Kunden gemeinsam gehostet werden. Besonders letztere bereiten zunehmend Sicherheitsprobleme, da die Kunden mitunter fehlerhafte dynamische Webseiten online stellen. Ein erfolgreicher Angriff über eine bekannte Forensoftware hatte bereits mehrere Stunden Dienstausfall zur Folge und verursachte einen erheblichen Aufwand an Arbeitszeit. Eine ständige Überwachung aller von Kunden installierten dynamischen Webseiten ist nicht mit vertretbarem Aufwand durchführbar. Daher soll ein Konzept entwickelt und implementiert werden, dass bei zukünftigen Angriffen eine Minimierung von Reaktionszeit und Schadenswirkung bietet. Dies soll in Teilen durch die Virtualisierung von Servern erreicht werden. Der Einsatz von dedizierten Intrusion Detection Systemen und Honeypots auf virtuellen Servern erscheint als geeigneter Ansatz. Die gesamte Entwicklung soll unter Debian GNU/Linux erfolgen. 4

6 Ziel der Arbeit ist die Auswahl einer Virtualisierungslösung sowie die Erstellung und Implementierung eines Konzeptes zur Verbesserung der Sicherheit. Es wird aus drei Kandidaten eine Virtualisierungslösung ausgewählt, um auf einem physikalischen Server mehrere Gastsysteme parallel betreiben zu können. Ein im Verlauf dieser Arbeit erfolgter weiterer Angriff wird analysiert und mit den gewonnen Erkenntnissen eine Überarbeitung des Konzepts vorgenommen. Dieses wird implementiert und anschliessend mit einem simulierten Angriff, der sich an den erfolgten echten Einbruch anlehnt, geprüft. 1.2 Virtualisierung In [Sin04] definiert Amit Singh Virtualisierung wie folgt: Virtualization is a framework or methodology of dividing the resources of a computer into multiple execution environments, by applying one or more concepts or technologies such as hardware and software partitioning, timesharing, partial or complete machine simulation, emulation, quality of service, and many others. Obwohl, oder gerade weil, diese Definition sehr lose ist, was der Autor in seiner Veröffentlichung selber anmerkt, verdeutlicht sie das Verständnis des Begriffs im Rahmen der Arbeit. Im Rahmen der Arbeit ist Virtualisierung das Mittel zum Zweck, um einen physikalischen Computer bzw. Server in mehrere getrennte Einheiten zu unterteilen, so dass diese wiederum wie ein eigenständiger Computer behandelt werden können. Konkret sollen auf einem Server mehrere Betriebssysteminstanzen parallel laufen. Im folgenden werden die Begriffe Hostsystem und Gastsystem benutzt. Der Begriff Hostsystem bezeichnet einen Computer mit darauf laufender Virtualisierungslösung. Der Begriff Gastsystem bezeichnet ein Betriebssystem bzw. 5

7 im konkreten Fall eine Linux Distribution, die parallel mit anderen Gastsystemen auf einem Hostsystem läuft. Es gibt verschiedene Techniken zur Virtualisierung von Computern. Mittels Software kann eine andere Architektur inklusive Prozessorbefehlssatz als die des Hostsystems emuliert werden. Dieser Ansatz ist allerdings nicht sehr performant. Durch das Abfangen und Umschreiben priviligierter Instruktionen kann mehreren parallel laufenden Betriebssystemen vorgetäuscht werden, sie würden auf nativer Hardware laufen. Dabei werden meistens andere als die wirklich vorhandenen Geräte wie Festplattencontroller oder Netzwerkkarte emuliert. Dieser Ansatz ist auf Architekturen, die keine besondere Unterstützung bieten, sehr aufwendig (siehe[law99]). Bei der Paravirtualisierung bildet ein spezieller Kernel (Hypervisor oder Virtual Machine Monitor) die unterste Schicht. Alle darauf laufenden Gastsysteme müssen an den Hypervisor angepasst werden und wissen von dessen Existenz. Dieser Ansatz erfordert die Portierung der Gastsysteme auf die Architektur des Hypervisors. Bei der Partitionierung stellt der Kernel auf dem Hostsystem die Möglichkeit bereit, Prozesse in Kontexten ablaufen zu lassen. Prozesse aus einem Kontext können mit Prozessen aus einem anderen Kontext nicht ungewollt interagieren. Damit einher geht eine Einschränkung des Zugriffs der Prozesse auf Ressourcen wie Festplatte oder Netzwerk, so dass einem Kontext gezielt Teile der Ressourcen zur Verfügung gestellt werden können. Unter diesem Ansatz ist es nicht möglich, verschiedenartige Gastsysteme parallel laufen zu lassen. 6

8 1.3 IDS Der Begriff IDS steht in dieser Arbeit für Intrusion Detection System. In [Cou03] wird der Begriff wie folgt definiert: Software/hardware that detects and logs inappropriate, incorrect, or anomalous activity. IDS are typically characterized based on the source of the data they monitor: host or network. A host-based IDS uses system log files and other electronic audit data to identify suspicious activity. A network-based IDS uses a sensor to monitor packets on the network to which it is attached. Ein bekanntes Network-Based IDS ist snort. Es überwacht den Netzwerkverkehr an zentraler Stelle und prüft alle Pakete gegen seine Signaturdatenbank. Ein Beispiel für ein Host-Based IDS ist tripwire, dass in periodischen Abständen alle Dateien auf einem Computer auf Veränderungen hin überprüft. 1.4 Honeypots Ein Honeypot ist ein System, Computer oder Netzwerk, ohne produktiven Wert, dessen einzige Aufgabe darin besteht, unauthorisierte Zugriffe auf sich zu ziehen, indem es sich für einen potentiellen Angreifer als wertvoll darstellt. Honeypots werden eingesetzt, um durch gezielte Beobachtung Angriffsmuster verstehen zu lernen ([Hol06]), um einen Einbruch in ein Netzwerk zu erkennen oder um Angreifer zu bremsen oder entmutigen ([Pro04], [Spi03]). Ein Problem mit der Benutzung von Honeypots zum Erkennen von Einbrüchen ist, dass der Angreifer auch gezielt den Honeypot angreifen muss. 7

9 Kapitel 2 Auswahl einer Virtualisierungslösung 2.1 Einführung und Anforderungen Die Evaluierung und Auswahl einer Virtualisierungslösung ist ein zentraler Bestandteil dieser Arbeit. Dies ist durch mehrere Anforderungen begründet: Dienste wie Web- und Mailserver, die bislang zusammen auf einem Server liefen, sollten aus Sicherheitsgründen voneinander separiert werden. Die Webauftritte verschiedener Kunden sollten voneinander getrennt werden, um die Schadenswirkung bei Einbrüchen durch Fehler (z.b. Webanwendungen) zu begrenzen. Da die Server in einem kommerziellen Rechenzentrum untergebracht sind, sollte die Separierung der Dienste und Webauftritte nicht mit einer Vergrösserung des Hardwareaufwandes einhergehen, um die Anmietung zusätzlicher Höheneinheiten zu vermeiden. 8

10 Die Möglichkeit, virtuelle Server unkompliziert von einem physikalischen Server auf einen anderen zu migrieren erscheint sinnvoll, um flexibel auf erhöhte Ressourcennachfrage reagieren zu können und die Ausfallzeit bei Hardwaredefekten zu minimieren. Zusätzliche virtuelle Server können bei Bedarf remote eingerichtet werden, ohne dass ein Einsatz vor Ort notwendig ist. Besonders der zweite Punkt ist hervorzuheben und wäre für sich alleine schon Grund genug eine Virtualisierungslösung einzusetzen. Für die Auswahl der Virtualisierungslösung gab es folgende grundsätzliche Vorgaben: Sie muss unter und mit Linux lauffähig sein. Sie soll unter einer Open Source Lizenz stehen, um nicht an einen Hersteller gebunden zu sein, sie bei Bedarf selber anpassen zu können und um sie ohne den Einsatz finanzieller Mittel ausführlich testen zu können. Es werden drei Virtualisierungslösungen, die die genannten Vorgaben erfüllen, in die engere Wahl genommen: Linux-VServer, User-Mode-Linux (UML) und XEN. Aus den drei Lösungen soll diejenige ausgewählt werden, die die folgenden Anforderungen am besten erfüllt: Hohe Geschwindigkeit: Die Virtualisierungslösung darf für den Benutzer der Dienste keinem merkbaren Geschwindigkeitsverlust erkennen lassen im Vergleich zu einem nicht virtualisierten System. Vollständige Netzwerkunterstützung: Die Gastsysteme sollen die Möglichkeit haben, auch spezielle Netzwerkfunktionen wie Raw Sockets und Firewalling nutzen zu können. 9

11 Stabilität im Produktivbetrieb: Die Gastsysteme müssen stabil laufen, um die Anforderungen der Kunden an hohe Dienstverfügbarkeit zu erfüllen. 2.2 Linux-VServer Beim Linux-VServer Projekt ([Pöt04]) handelt es sich um Erweiterungen des Standard Linux Kernels, deren Ziel es ist, Ressourcen zu partitionieren, um verschiedene Prozesse möglichst effizient aber komplett isoliert voneinander parallel laufen zu lassen. Dies wird mit der Bereitstellung von so genannten Kontexten erreicht. Prozesse die in einem Kontext ausgeführt werden, haben nur Zugriff auf die diesem Kontext zugeteilten Ressourcen, wie z.b. Teilbereiche des Dateisystems oder IP-Adressen, dürfen aber nicht ungewollt mit Prozessen in anderen Kontexten interagieren. Das Konzept lässt sich am einfachsten mit einem stark erweiterten chroot() Systemcall vergleichen. Im Gegensatz zu anderen Virtualisierungslösungen wird für eine virtuelle Instanz bzw. einen Kontext kein eigener Kernel gestartet. Da alle Prozesse in allen Kontexten unter demselben Kernel laufen, müssen alle Systemaufrufe, die den Zugriff auf Ressourcen ermöglichen, entsprechend erweitert werden, um die Existenz von Kontexten zu beachten. Diese Erweiterungen sind mittlerweile so weit fortgeschritten, dass es möglich ist, in einem Kontext eine eigene komplette Linux-Distribution zu booten. Damit können auf einem physikalischem System mehrere eigenständige virtuelle Server bereit gestellt werden. Die Vorgehensweise von Linux-VServer hat zwei grosse Vorteile: Hohe Geschwindigkeit: Da es keine zusätzliche Abstraktionsschicht gibt und auch keine virtuelle Hardware emuliert wird, laufen Prozesse unter Linux-VServer mit derselben Geschwindigkeit wie unter einem unmodifizierten Linux-Kernel. 10

12 Prozess Prozess Prozess Prozess Prozess Prozess Kontext 1 Prozess Kontext 2 Linux VServer Kernel Hardware Abbildung 2.1: Linux VServer Schema Gute Ressourcenausnutzung: Jeder Kontext verbraucht nur genau soviel Hauptspeicher, wie die in ihm laufenden Prozesse benötigen. Von mehreren Kontexten genutzte Shared Libraries müssen nur einmal geladen werden. Alle Kontexte teilen sich ein Dateisystem und können sogar statische Dateien wie Programme und Bibliotheken gemeinsam nutzen. Es gibt nur einen globalen Disk Cache. Es gibt jedoch mehrere Nachteile: Linux-VServer ist nicht in den Standard Linux-Kernel integriert, es muss ein speziell gepatchter Kernel verwendet werden. Dies erhöht die Zeitspanne, bis sicherheitskritische Fehler behoben werden und neue Hardwaretreiber oder Features genutzt werden können. Die Erweiterung aller Systemaufrufe um die Beachtung von Kontexten 11

13 ist sehr aufwendig und dementsprechend potentiell fehleranfällig. Ein Bug im Kernel betrifft direkt alle virtuellen Server. Einige spezielle Netzwerkfunktionen sind innerhalb von Kontexten nicht verfügbar, z.b. Routing oder Firewalling. Programme wie traceroute funktionieren nicht, da keine Raw-Sockets zur Verfügung stehen. 2.3 User-Mode Linux User-Mode Linux (UML) ([Dik00]) ist eine Portierung des Linux Kernels auf sein eigenes Systemcall-Interface. Ein UML Kernel läuft als normaler User-Space Prozess unter einem Linux Host Kernel. Alle Prozesse, die unter dem UML Kernel gestartet werden, laufen ebenfalls direkt unter dem Host Kernel. Der UML Kernel fängt alle ihre Systemcalls ab und bedient diese. Um seinerseits Zugriff auf die Ressourcen des Host Systems zu bekommen, bedient sich der UML Kernel wiederum normaler Systemcalls. Das Konzept, alle Prozesse als Host Prozesse laufen zu lassen, hat allerdings den Nachteil, dass der UML Kernel aus technischen Gründen in ihrem Adressraum vorhanden sein muss. Dies stellt ein grosses Sicherheitsproblem dar und ist im Allgemeinen nicht erwünscht. Die Erweiterung,,skas mode (Separate Kernel Address Space) für den Host Kernel eliminiert das Problem, indem alle Prozesse unterhalb des UML Kernels in nur einem einzigen Thread laufen, aber trotzdem einen eigenen Adressraum besitzen, der jeweils umgeschaltet wird. Als zusätzlichen Vorteil bietet der skas mode einen Geschwindigkeitsvorteil gegenüber dem alten Modell. Als Dateisystem dient dem UML Kernel eine Datei auf dem Hostsystem, die mit einem Dateisystem formatiert ist und als Blockdevice angesprochen wird. Um bei mehreren parallel laufenden UML Systemen Speicherplatz zu sparen, beherrscht der Blockdevice-Treiber im UML Kernel Copy-on-write 12

14 postfix postfix apache UML Kernel apache Linux Kernel Abbildung 2.2: UML Schema alle Instanzen teilen sich ein gemeinsames, schreibgeschütztes Image und schreiben nur lokale Änderungen in eine eigene Datei. UML hat mehrere Vorteile: Die vom UML Kernel benötigten Funktionen sind im Standard Linux Kernel integriert. Jedes aktuelle Linux System kann ohne weitere Modifikationen als UML Hostsystem fungieren. Die UML Architektur ist in den Standard Kernel integriert. Vollständige Netzwerkfunktionalität: Die Gastsysteme verfügen über vollständige Netzwerkfunktionalität wie Raw-Sockets und Firewalling. 13

15 Der Hauptnachteil von UML ist die deutlich geringere Performance bei I/O intensiven Programmen im Vergleich zu einem nativen Linux System. 2.4 XEN Der Virtual Machine Monitor, oder auch Hypervisor, XEN ([BDF + 03]) benutzt Paravirtualization um mehrere Gastsysteme parallel auf x86 Hardware laufen zu lassen. Paravirtualization heisst, dass den Gastsystemen keine native Hardware vorgetäuscht wird, sondern sie auf eine spezielle XEN- Architektur portiert werden müssen. Wichtig bei der Entwicklung von XEN war, dass das ABI (Application Binary Interface) stabil bleibt, Programme also weiterhin unmodifiziert auf den Gastsystemen laufen. Um eine Isolierung der einzelnen Gastsysteme voneinander zu gewährleisten, läuft der XEN Kernel mit höheren Privilegien als die Gastsysteme. Auf der x86 Architektur befinden sich normalerweise das Betriebssystem im privilegierten Ring 0 und alle Programme in Ring 3. Unter XEN laufen der XEN- Kernel in Ring 0, die Gastsysteme in Ring 1 und die Programe wie gewohnt in Ring 3. XEN ist eines der wenigen Systeme, welches überhaupt Gebrauch von Ring 1 macht. Für die Ansteuerung von I/O Geräten wie Festplatten und Netzwerkadaptern bedient sich XEN der Hilfe eines seiner Gastsysteme. Das erste Gastsystem welches von XEN beim Booten gestartet wird, wird als Domain0 (Dom0) bezeichnet und bekommt spezielle Rechte. Das Domain0 System darf auf die Hardware zugreifen und muss dafür die entsprechenden Gerätetreiber mitbringen. Allen weiteren Gastsystemen, die als DomainU (Unpriviliged, DomU) bezeichnet werden, stellt es über Backend-Treiber Blockdevices und Netzwerkschnittstellen zur Verfügung. Die DomU Systeme benötigen nur spezielle Frontend-Treiber, welche von der physikalischen Hardware unabhängig sind. Des Weiteren wird Dom0 zur Verwaltung der Gastsysteme benutzt. Diese Vorgehensweise ermöglicht es dem XEN Kernel leichtgewichtig zu bleiben 14

16 BLK Dom0 VIF DomU DomU eth0 hda eth0 hda eth0 hda XEN Kernel NET HDD Hardware CPU RAM Abbildung 2.3: XEN Schema und gleichzeitig auf jeder Hardware lauffähig zu sein, die durch den Dom0 Kernel unterstützt wird. Als Dom0 Kernel kommt Linux zum Einsatz, als DomU Kernel sind bisher Linux, FreeBSD, NetBSD und Plan9 auf die XEN Architektur portiert worden. In der aktuellen Version 3.0 unterstützt XEN die CPU Erweiterungen Intel VT-x. Damit ist es möglich, auch nicht auf die XEN Architektur portierte Betriebssystemkerne als DomU laufen zu lassen. Von dieser Möglichkeit wird im Rahmen der Diplomarbeit wegen fehlender spezieller Hardware allerdings kein Gebrauch gemacht. Der von XEN benutzte Ansatz bietet mehrere Vorteile: Hohe Geschwindigkeit: Gegenüber einem nativen Linux System be- 15

17 trägt der Geschwindigkeitsverlust von Linux unter XEN etwa 2 bis 8% ([BDF + 03]). Verglichen mit Linux-VServer ist XEN also weniger performant, aber immer noch deutlich schneller als andere Lösungen wie UML oder VMWare. Sicherheit: Die Gastsysteme unter XEN sind komplett voneinander isoliert. Selbst bei einem Fehler im Kernel eines Gastsystems kann ein Angreifer nicht die restlichen Systeme kompromittieren (gilt natürlich nicht, wenn auf den anderen Gastsystemen derselbe Angriffsvektor angewandt werden kann). Da XEN selber leichtgewichtig ist und auf eigene Hardwaretreiber verzichtet, ist die Wahrscheinlichkeit eines sicherheitsrelevanten Fehlers im XEN Kernel geringer als bei einem kompletten Betriebssystem. Vollständige Netzwerkfunktionalität: Die Gastsysteme verfügen über vollständige Netzwerkfunktionalität wie Raw-Sockets und Firewalling. Wenn die auf einem XEN System laufenden DomU Systeme über eine virtuelle Bridge (Linux als Dom0 bietet dies Funktionalität mit einem Bridge-Device) mit der Netzwerkkarte verbunden sind, lässt sich hinsichtlich der Handhabung kaum ein Unterschied zwischen einem DomU und einem Betriebssystem auf dedizierter Hardware feststellen. Als grosser Nachteil von XEN ist die im Vergleich mit Linux-VServer schlechtere Ausnutzung des Hauptspeichers zu nennen. Jedes Gastsystem bekommt beim Start eine festgelegte Menge RAM zugewiesen, so dass freier Speicher in einem Gastsystem nicht automatisch von einem anderen genutzt werden kann. Ausserdem führen alle Gastsysteme ihren eigenen Disk-Cache und können auch keine Shared-Libraries gemeinsam nutzen. 16

18 2.5 Auswahl einer Lösung: XEN Die Auswahl einer Virtualisierungslösung bildet die Grundlage für das weitere vorgehen im Rahmen der Arbeit. Die drei Lösungen, Linux-VServer, UML und XEN werden anhand der in Abschnitt 2.1 formulierten Anforderungen miteinander verglichen. Da Linux-VServer keine Abstraktionsschicht besitzt, ist die Geschwindigkeit vergleichbar mit der eines Standard Linux Kernels. In [BDF + 03] wurde die relative Geschwindigkeit von Linux, XEN, VMware und UML in verschiedenen Benchmarks verglichen (s. Abb. 2.4). Es zeigt sich, dass XEN nur rund 2 bis 8% langsamer ist als ein Standard Linux Kernel. Die Geschwindigkeit von UML bricht hingegen besonders bei I/O intensiven Programmen stark ein. Da die Ergebnisse der vorliegenden Benchmarks in [CDD + 04] bestätigt wurden, wurde auf eigene Performance Tests verzichtet Relative score to Linux L X V U L X V U L X V U L X V U L X V U L X V U SPEC INT2000 (score) Linux build time (s) OSDB-IR (tup/s) OSDB-OLTP (tup/s) dbench (score) SPEC WEB99 (score) Figure 3: Relative performance of native Linux (L), XenoLinux (X), VMware workstation 3.2 (V) and User-Mode Linux (U). Abbildung 2.4: Performance von Linux (L), XEN (X), VMware workstation memory management. In the case of the VMMs, this system time is expanded to a greater or lesser degree: whereas Xen incurs a mere 3% overhead, the other VMMs experience a more significant slowdown. Two experiments were performed using the PostgreSQL database, exercised by the Open Source Database Benchmark suite (OSDB) in its default configuration. We present results for the multi-user Information Retrieval (IR) and On-Line Transaction Processing (OLTP) workloads, both measured in tuples per second. A small modification to the suite s test harness was required to produce correct results, due to a UML bug which loses virtual-timer interrupts under high load. The benchmark drives the database via PostgreSQL s native API (callable SQL) over a Unix domain socket. PostgreSQL places considerable load on the operating system, and this is reflected in the substantial virtualization overheads experienced by VMware and UML. In particular, the OLTP benchmark requires many synchronous disk operations, resulting in many protection domain transitions. The dbench program is a file system benchmark derived from the industry-standard NetBench. It emulates the load placed on a file server by Windows 95 clients. Here, we examine the throughput experienced by a single client performing around 90,000 file system operations. SPEC WEB99 is a complex application-level benchmark for evaluating web servers and the systems that host them. The workload is a complex mix of page requests: 30% require dynamic content generation, 16% are HTTP POST operations and 0.5% execute a CGI script. As the server runs it generates access and POST logs, so the disk workload is not solely read-only. Measurements therefore reflect general OS performance, including file system and network, in addition to the web server itself. A number of client machines are used to generate load for the server under test, with each machine simulating a collection of users concurrently accessing the web site. The benchmark is run must receive an aggregate bandwidth in excess of 320Kb/s over a series of requests. A warm-up phase is allowed in which the number of simultaneous clients is slowly increased, allowing servers to preload their buffer caches. For our experimental setup we used the Apache HTTP server version , installing the modspecweb99 plug-in to perform most but not all of the dynamic content generation SPEC rules require 0.5% of requests to use full CGI, forking a separate process. Better absolute performance numbers can be achieved with the assistance of TUX, the Linux in-kernel static content web server, but we chose not to use this as we felt it was less likely to be representative of our real-world target applications. Furthermore, although Xen s performance improves when using TUX, VMware suffers badly due to the increased proportion of time spent emulating ring 0 while executing the guest OS kernel. SPEC WEB99 exercises the whole system. During the measurement period there is up to 180Mb/s of TCP network traffic and considerable disk read-write activity on a 2GB dataset. The benchmark is CPU-bound, and a significant proportion of the time is spent within the guest OS kernel, performing network stack processing, file system operations, and scheduling between the many httpd processes that Apache needs to handle the offered load. XenoLinux fares well, achieving within 1% of native Linux performance. VMware and UML both struggle, supporting less than a third of the number of clients of the native Linux system. 3.2(V) und UML (U) im relativen Vergleich (Quelle: [BDF + 03]) XEN und UML verfügen jeweils über RAW-Sockets und Firewalling. Sie erfüllen die Anforderung an vollständige Netzwerkunterstützung. In einem Gastsystem unter Linux-VServer können weder RAW-Sockets geöffnet werden, noch Firewalling benutzt werden. Linux-VServer erfüllt die Anforderung Operating System Benchmarks To more precisely measure the areas of overhead within Xen and the other VMMs, we performed a number of smaller experiments targeting particular subsystems. We examined the overhead of virtualization as measured by McVoy s lmbench program [29]. We used version 3.0-a3 as this addresses many of the issues regarding the fidelity of the tool raised by Seltzer s hbench [6]. The OS performance subset of the lmbench suite consist of 37 microbench-

19 an eine vollständige Netzwerkunterstützung nicht. Damit ist es nicht möglich, in einem Gastsystem unter Linux-VServer ein IDS oder den honeyd laufen zu lassen. XEN erfüllt als einziges der drei betrachteten Lösungen die Anforderungen nach hoher Geschwindigkeit und vollständiger Netzwerkunterstützung. UML hat Probleme mit der Geschwindigkeit. Linux-VServer bietet keine vollständige Netzwerkunterstützung. XEN wird als Virtualisierungslösung für das weitere Vorgehen im Rahmen dieser Arbeit ausgewählt. 18

20 Kapitel 3 Konzeption und Analyse 3.1 Einleitung In diesem Kapitel wird ein Konzept zur Verbesserung der Sicherheit entwickelt und vorgestellt. Ein nach Erstellung des Konzeptes verübter Einbruch in einen der Server wird analysiert. Aufgrund der Analyse wird das Konzept einer Zwischenbewertung unterzogen und modifiziert. 3.2 Anforderungen An das Konzept zur Verbesserung der Sicherheit werden nachfolgende Anforderungen gestellt: Schnelle Erkennung von Einbrüchen: Da auf den Gastsystemen Webseiten von Kunden gehostet werden, die oftmals ihre eigenen Webapplikationen wie Shopsysteme oder Bulletinboards einrichten, sind Schwachstellen nicht dauerhaft zu unterbinden. Ein Einbruch kann jederzeit passieren. Umso wichtiger ist eine schnelle Erkennung, um Ausfallzeiten und Kosten so gering wie möglich zu halten. 19

21 Alarmierung des Administrators: Der Administrator muss benachrichtigt werden, sobald ein Einbruch vermutet wird. Das System soll nicht autonom Angriffe abwehren, da so die Gefahr besteht, dass es legitimen Datenverkehr in falscher Annahme unterbindet. Dies wäre kontraproduktiv, da der Zweck der Massnahmen eine Verbesserung der Verfügbarkeit ist. Minimierung von false positives: Wenn ein Mensch mit zu vielen Warnmeldungen konfrontiert wird, die zu einem sehr hohen Prozentsatz falsche Alarme sind, wird er sie irgendwann ignorieren. Deswegen sollen Warnmeldungen nur abgesetzt werden, wenn die Wahrscheinlichkeit für einen Angriff sehr hoch ist. Loggen von verdächtigen Ereignissen: Es sollen möglichst viele Ereignisse möglichst genau protokolliert werden, um den Verlauf eines Angriffs im Nachhinein besser analysieren zu können und um die Schwachstelle schneller lokalisieren zu können. Eindämmung der Schadenswirkung: Die potentielle Schadenswirkung durch einen Einbruch soll minimiert werden und möglichst auf den kompromittierten Dienst bzw. die Webanwendung beschränkt bleiben. Geringer Ressourcenverbrauch: Das System soll die vorhandenen Ressourcen möglichst wenig belasten, um den Kunden eine weiterhin hohe Dienstqualität bieten zu können. 3.3 Konzept zur Verbesserung der Sicherheit Das Konzept zur Verbesserung der Sicherheit stützt sich auf drei Ansätze, die im Zusammenspiel die vorgegebenen Anforderungen erfüllen: Virtualisierung der Server mit XEN und Einsatz jeweils eines Honeypots und eines IDS auf jedem Hostsystem (s. Abb. 3.1). 20

22 Gastsystem 1 Gastsystem 4 Gastsystem 2 IDS Gastsystem 3 Honeypot Hostsystem Abbildung 3.1: Konzept zur Verbesserung der Sicherheit Die Virtualisierung der Server mit XEN dient der Eindämmung der Schadenswirkung bei einem erfolgreichen Angriff. Bislang auf einem Server zusammen gehostete Dienste sowie Webseiten verschiedener Kunden werden auf mehrere Gastsysteme aufgeteilt. Ein kompromittiertes Gastsystem kann offline genommen und durch ein Backup ersetzt werden, ohne dass die Konnektivität der anderen Dienste und Kunden beeinträchtigt wird. Es kann außerdem zur genaueren Analyse gesichert und in einer sicheren Umgebung gestartet werden. Das Hostsystem (Domain0 unter XEN) dient nur der Verwaltung der Gastsysteme und stellt, ausser SSH zum entfernten Anmelden, keine Netzwerkdienste zur Verfügung. Die Dateisysteme der Gastsysteme werden in regelmässigen Abständen als Image auf einen dedizierten Backup-Server gesichert. Um ein konsistentes Backup zu gewährleisten, ohne die Gastsysteme offline nehmen zu müssen, wird die Snapshot-Funktion des Logical Volume Managers genutzt. Eine Snapshot-Partition bildet den Inhalt einer Ursprungs-Partition zu einem bestimmten Zeitpunkt ab, ohne dass sich 21

23 Änderungen an der Ursprungs-Partition auf die Snapshot-Partition auswirken. Auf den virtualisierten Servern läuft ein Gastsystem als Honeypot. Es dient zur Erkennung von Einbrüchen in die anderen Gastsysteme. Da der Honeypot keinen produktiven Wert hat, sind alle Verbindungen zum Honeypot verdächtig. Verbindungen von einem der produktiven Gastsysteme zum Honeypot sind ein starker Indikator für einen Einbruch, da der Honeypot keine Dienste bereit stellt, die die produktiven Gastsysteme im normalen Betrieb benötigen. Der Honeypot baut selbständig nie Verbindungen zu den anderen Gastsystemen oder nach aussen auf. Jede vom Honeypot ausgehende Verbindung weist auf einen Einbruch hin und muss untersucht werden. Zusätzlich zum Honeypot läuft auf den virtualisierten Servern ein IDS in einem eigenen Gastsystem. Das IDS überwacht den Netzwerkverkehr aller auf dem Hostsystem befindlichen Gastsysteme anhand vorgegebener Regeln. Das IDS alarmiert den Administrator bei Verstoss, eventuell leitet es auch selbstständig Gegenmassnahmen ein wie z.b. Härtung der Firewall oder Terminierung von TCP Verbindungen über RST Pakete. Die Regeln des IDS werden laufend angepasst unter Zuhilfenahme der vom Honeypot gewonnenen Erkenntnissen über Einbruchsversuche. Die Anpassung erfolgt manuell durch den Administrator, in einer späteren Ausbaustufe möglicherweise aber auch (halb-)automatisch. Für die Implementierung des Konzeptes wird eine iterative Herangehensweise benutzt. Im ersten Schritt wird ein Server, der später als Ersatz für einen weniger leistungsfähigen produktiven Server dienen soll, mit XEN installiert. Auf dem Server werden mehrere Gastsysteme installiert, die aber noch keine produktiven, oder aber unkritische Dienste übernehmen. Ein Gastsystem wird mit der freien Honeypotlösung honeyd installiert. In diesem Schritt wird die Verlässlichkeit von XEN im Rechenzentrumsbetrieb getestet und über den Honeypot werden erste Daten gesammelt. 22

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration

Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Servervirtualisierung mit Xen Möglichkeiten der Netzwerkkonfiguration Studiengang Informatik Anwendung-Rechnernetze Übersicht Virtualisierungstechniken Virtualisierungsmodelle in Xen Netzwerkkonzepte und

Mehr

XEN Performance. Projektpraktikum Informatik. Arne Klein 2008-02-26. Arne Klein () XEN Performance 2008-02-26 1 / 25

XEN Performance. Projektpraktikum Informatik. Arne Klein 2008-02-26. Arne Klein () XEN Performance 2008-02-26 1 / 25 XEN Performance Projektpraktikum Informatik Arne Klein 2008-02-26 Arne Klein () XEN Performance 2008-02-26 1 / 25 1 Virtualisierung mit XEN 2 Performance von XEN Allgemeines Netzwerk-Performance IO-Performance

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Virtuelle Sicherheit

Virtuelle Sicherheit Virtuelle Sicherheit Mandatory Access Control und TPM in XEN c 2007 Ralf Spenneberg OpenSource Training Ralf Spenneberg Webereistr. 1 48565 Steinfurt http://www.opensource-training.de http://www.os-t.de

Mehr

XEN- The Debian way of life

XEN- The Debian way of life XEN- The Debian way of life Gruppe 5 Mayer und Pikart Inhaltsverzeichnis 1 Was ist XEN?...2 2 Paketinstalltion...3 3 Runlevel anpassen...4 4 Xen Installation anpassen...4 4.1 /etc/xen/xend-config.sxp...4

Mehr

Virtualisierung ein Überblick

Virtualisierung ein Überblick Virtualisierung ein Überblick Frank Hofmann Potsdam 18. April 2007 Frank Hofmann (Potsdam) Virtualisierung ein Überblick 18. April 2007 1 / 33 Gedanken zum Thema Fragen, die sich jeder stellt Virtualisierung

Mehr

Virtualisierung mit Xen

Virtualisierung mit Xen Virtualisierung mit Xen Hardware minimal halten und optimal ausnutzen Was genau ist Virtualisierung? Woher kommt diese Technik, was ist deren Geschichte? Welche Arten von Virtualisierung existieren auf

Mehr

XEN Virtualisierung und mehr

XEN Virtualisierung und mehr Virtualisierung und mehr 4. Juni 2006 Übersicht Übersicht Unterstützte Betriebssysteme virtuelle Festplatte virtuelle Netzwerkkarte interessante Setups Simulation von Rechnern im Allgemeinen CPU und Speicher

Mehr

QEMU Der Rechner im Rechner

QEMU Der Rechner im Rechner QEMU Der Rechner im Rechner Christian Perle, secunet Security Networks AG, NL Dresden 1 Vortragsübersicht Was ist QEMU? Einsatzszenarien QEMU installieren / Beispielaufruf Virtuelles Netzwerk Snapshot-Modus

Mehr

Neues in Hyper-V Version 2

Neues in Hyper-V Version 2 Michael Korp Technical Evangelist Microsoft Deutschland GmbH http://blogs.technet.com/mkorp Neues in Hyper-V Version 2 - Virtualisieren auf die moderne Art - Windows Server 2008 R2 Hyper-V Robust Basis:

Mehr

Leistungsbeschreibung vserver

Leistungsbeschreibung vserver Leistungsbeschreibung vserver Stand: 17.08.2011 1 Anwendungsbereich...2 2 Leistungsumfang...2 2.1 Allgemein...2 2.2 Hardware und Netzwerkanbindung...2 2.3 Variante Managed...2 2.4 Variante Unmanaged...3

Mehr

Installationsanleitung Tivoli Storage Manager für Linux

Installationsanleitung Tivoli Storage Manager für Linux 11. März 2009, Version 1.0 Installationsanleitung für Linux Verwaltungsdirektion Informatikdienste Installationsanleitung für Linux Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Ablauf der

Mehr

Virtualisierung mit Freier Software

Virtualisierung mit Freier Software Intevation GmbH 13. November 2007 Was ist Virtualisierung? Technische Grundlagen Teil I Einleitung Was ist Virtualisierung? Technische Grundlagen Die Idee Abgrenzung Einsatzszenarien Die Idee Moderne Computer

Mehr

Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008

Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008 Die Linux Kernel Virtual Machine - Wo steht der Linux Hypervisor? 2. März 2008 Jörg Rödel Virtualization - Whats out there? Virtualisierung hat bereits längere Geschichte auf x86 Startete mit VMware Setzte

Mehr

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11.

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11. slosungen 11. Mai 2009 Inhaltsverzeichnis Uberlegungen slosungen 1 Uberlegungen Grunduberlegungen Vorteile Hardware-Emulation Nachteile 2 Servervirtualisierung Clientvirtualisierung 3 slosungen 4 5 Uberlegungen

Mehr

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel Generating Fingerprints of Network Servers and their Use in Honeypots Thomas Apel Der Überblick Fingerprinting von Netzwerkdiensten Banner Verfügbare Optionen Reaktionen auf falsche Syntax Verwendung für

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Installations-Dokumentation, YALG Team

Installations-Dokumentation, YALG Team Installations-Dokumentation, YALG Team Version 8.1 1 Benötigtes Material 2 Vor der Installation 3 Beginn 4 Installation 4.1 Sicherheit 4.2 Partitionierung 4.3 Paketauswahl 4.4 Paketauswahl (fein) 5 Konfiguration

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Virtuelle Maschine in VMware für eine Securepoint Firewall einrichten Securepoint Security Systems Version 2007nx Release 3 Inhalt 1 VMware Server Console installieren... 4 2 VMware Server Console

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik Hochschule für Technik Zürich Master of Advanced Studies, Informatik 21.12.2007 Outline Einführung 1 Einführung Definition, Abgrenzung Geschichtlicher Rückblick 2 Virtualisierungstechnologien Terminologie

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best.

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best. Oracle VM Support und Lizensierung best Open Systems Day April 2010 Unterföhring Marco Kühn best Systeme GmbH marco.kuehn@best.de Agenda Oracle VM 2.2 Oracle VM 3.0 Oracle DB in virtualisierten Umgebungen

Mehr

Virtuelle Infrastrukturen mit Linux...

Virtuelle Infrastrukturen mit Linux... Virtuelle Infrastrukturen mit Linux...... und deren Integration in OSL SC Christian Schmidt Systemingenieur Virtualisierung "Aufteilung oder Zusammenfassung von Ressourcen" Unterschiedliche Bereiche für

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Hardware Virtualisierungs Support für PikeOS

Hardware Virtualisierungs Support für PikeOS Virtualisierungs Support für PikeOS Design eines Virtual Machine Monitors auf Basis eines Mikrokernels Tobias Stumpf SYSGO AG, Am Pfaenstein 14, 55270 Klein-Winternheim HS Furtwangen, Fakultät Computer

Mehr

Installation SQL- Server 2012 Single Node

Installation SQL- Server 2012 Single Node Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit

Mehr

EasyDIS-base-44-v1.0.nrg GT1_v44_programs.iso (falls vorhanden) K+DCAN Interface von MY-OBD2.COM Shop

EasyDIS-base-44-v1.0.nrg GT1_v44_programs.iso (falls vorhanden) K+DCAN Interface von MY-OBD2.COM Shop EasyDIS-base-44-v1.0.nrg GT1_v44_programs.iso (falls vorhanden) K+DCAN Interface von MY-OBD2.COM Shop Grundinstallation EasyDIS-base-44-v1.0 Eine korrekte Installation von Vmware sollte wie rechts abgebildet

Mehr

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik

Virtual Machines. Peter Schmid 21.12.2007. Hochschule für Technik Zürich Master of Advanced Studies, Informatik Hochschule für Technik Zürich Master of Advanced Studies, Informatik 21.12.2007 Outline Einführung 1 Einführung Definition, Abgrenzung Geschichtlicher Rückblick 2 Virtualisierungstechnologien Terminologie

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Kernel Based Virtual Machine

Kernel Based Virtual Machine Kernel Based Virtual Machine Beni Buess Computerlabor @ KuZeB 11 April 2011 Fragen Fragen stellen! B.Buess (Computerlabor @ KuZeB) Kernel Based Virtual Machine 11 April 2011 2 / 29 Inhaltsverzeichnis 1

Mehr

Übungen zur Vorlesung. Betriebssysteme

Übungen zur Vorlesung. Betriebssysteme Übungen zur Vorlesung Betriebssysteme Wintersemester 2015 Patrick Kendzo ppkendzo@gmail.com Inhalt Virtuelle Maschine -Eine kleine Einführung Damn Small Linux (DSL) Embedded Eine Einführung Aufgabe 1:

Mehr

SPARC LDom Performance optimieren

SPARC LDom Performance optimieren SPARC LDom Performance optimieren Marcel Hofstetter hofstetter@jomasoft.ch http://www.jomasoftmarcel.blogspot.ch Mitgründer, Geschäftsführer, Enterprise Consultant JomaSoft GmbH 1 Inhalt Wer ist JomaSoft?

Mehr

Aktuelle Themen der Informatik: Virtualisierung

Aktuelle Themen der Informatik: Virtualisierung Aktuelle Themen der Informatik: Virtualisierung Sebastian Siewior 15 Mai 2006 1 / 22 1 Überblick 2 Techniken 3 Paravirtualisierung 4 Ende 2 / 22 Wieso Virtualisieren Wieso mehrere Betriebsysteme auf einer

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

IT Engineering Continuous Delivery. Development Tool Chain Virtualisierung, Packer, Vagrant und Puppet. Alexander Pacnik Karlsruhe, 20.05.

IT Engineering Continuous Delivery. Development Tool Chain Virtualisierung, Packer, Vagrant und Puppet. Alexander Pacnik Karlsruhe, 20.05. IT Engineering Continuous Delivery Development Tool Chain Virtualisierung, Packer, Vagrant und Puppet Alexander Pacnik Karlsruhe, 20.05.2014 Einleitung... worum es in diesem Vortrag geht Ziele Continuous

Mehr

SolidQ Flex Services Walkthrough Part I

SolidQ Flex Services Walkthrough Part I Part I Im Folgenden stellen wir Ihnen in Text und Bild die wichtigsten Funktionen der SolidQ Flex Services vor. 1. Dashboard Nach dem Einloggen sieht man zunächst das Dashboard. Dies gilt sowohl für den

Mehr

Xenologie oder wie man einen Plastikmainframe baut

Xenologie oder wie man einen Plastikmainframe baut Xenologie oder wie man einen Plastikmainframe baut Alexander Schreiber http://www.thangorodrim.de/ Chemnitzer Linux-Tage 2006 I think there is a world market for maybe five computers.

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Virtualisierung. Zinching Dang. 12. August 2015

Virtualisierung. Zinching Dang. 12. August 2015 Virtualisierung Zinching Dang 12. August 2015 1 Einführung Virtualisierung: Aufteilung physikalischer Ressourcen in mehrere virtuelle Beispiel: CPUs, Festplatten, RAM, Netzwerkkarten effizientere Nutzung

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Systemvoraussetzungen CustomX. Customer Relationship Management

Systemvoraussetzungen CustomX. Customer Relationship Management Systemvoraussetzungen CustomX Customer Relationship Management ThinX networked business services August 2005 Inhaltsverzeichnis ThinX networked business services Inhaltsverzeichnis 1 Einleitung 3 2 Webserver

Mehr

EEX Kundeninformation 2002-08-30

EEX Kundeninformation 2002-08-30 EEX Kundeninformation 2002-08-30 Terminmarkt - Eurex Release 6.0; Versand der Simulations-Kits Kit-Versand: Am Freitag, 30. August 2002, versendet Eurex nach Handelsschluss die Simulations -Kits für Eurex

Mehr

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind Erweiterungen Der Rest / Icinga OpenSource Network-Monitoring im großen Stil Manuel Landesfeind Institut für Mathematik Georg-August-Universität Göttingen This presentation can be used under the terms

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 E-Mail: sales@softvision.de Web: www.softvision.de Inhaltsverzeichnis

Mehr

Red Hat Cluster Suite

Red Hat Cluster Suite Red Hat Cluster Suite Building high-available Applications Thomas Grazer Linuxtage 2008 Outline 1 Clusterarten 2 3 Architektur Konfiguration 4 Clusterarten Was ist eigentlich ein Cluster? Wozu braucht

Mehr

PVFS (Parallel Virtual File System)

PVFS (Parallel Virtual File System) Management grosser Datenmengen PVFS (Parallel Virtual File System) Thorsten Schütt thorsten.schuett@zib.de Management grosser Datenmengen p.1/?? Inhalt Einführung in verteilte Dateisysteme Architektur

Mehr

Proseminar Technische Informatik A survey of virtualization technologies

Proseminar Technische Informatik A survey of virtualization technologies Proseminar Technische Informatik A survey of virtualization technologies Referent: Martin Weigelt Proseminar Technische Informatik - A survey of virtualization technologies 1 Übersicht 1. Definition 2.

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

Ahmed Koujan / akouj001@informatik.fh-wiesbaden.de Bastian Liewig / bliew001@informatik.fh-wiesbaden.de

Ahmed Koujan / akouj001@informatik.fh-wiesbaden.de Bastian Liewig / bliew001@informatik.fh-wiesbaden.de Ahmed Koujan / akouj001@informatik.fh-wiesbaden.de Bastian Liewig / bliew001@informatik.fh-wiesbaden.de 1. 2. 3. 4. 5. 6. 7. Einleitung / Geschichte Virtualisierungstechniken Vor- und Nachteile Virtueller

Mehr

Version 2.0.1 Deutsch 28.10.2014

Version 2.0.1 Deutsch 28.10.2014 Version.0. Deutsch 8.0.04 In diesem HOWTO wird beschrieben wie Sie die Performance der IAC-BOX und damit auch die Ihres Netzwerks optimieren können. Inhaltsverzeichnis.... Hinweise.... Hardware... 3..

Mehr

01.04.2009 / Mich u. Laurent

01.04.2009 / Mich u. Laurent Virtualisierung 01.04.2009 / Mich u. Laurent Inhalt Motivation Anwendungsmöglichkeiten Virtualisierung Virtualisierungs-Technologien Produkte (XEN, VMware, ESX, ) LiveDemo Vor- und Nachteile Fragen und

Mehr

Lernjournal Auftrag 1

Lernjournal Auftrag 1 Lernjournal Auftrag 1 Autor: Ramon Schenk Modul: M151 Datenbanken in Webauftritt einbinden Klasse: INF12.5H Datum: 29/01/15 XAMPP- Entwicklungsumgebung installieren Inhalt 1. Tätigkeiten... 2 2. Einrichten

Mehr

cs106 Informatiklabor Teil 1: Java-Installation

cs106 Informatiklabor Teil 1: Java-Installation Herbstsemester 2009 cs106 Informatiklabor Teil 1: Java-Installation Florian Zeller Vorgehen und Ziele Wöchentlich eine Übung Unterstützte Bearbeitung während den Übungsstunden Austausch mit älteren Semestern

Mehr

The linux container engine. Peter Daum

The linux container engine. Peter Daum 0 The linux container engine Peter Daum Über mich Peter Daum Entwickler seit 13 Jahren Java Developer @ tyntec Java EE / Spring im OSS / BSS Twitter - @MrPaeddah Blog - www.coders-kitchen.com Agenda Docker?!

Mehr

Dokumentation Einrichten von XEN mit etch Gast und Samba PDC

Dokumentation Einrichten von XEN mit etch Gast und Samba PDC Dokumentation Einrichten von XEN mit etch Gast und Samba PDC Installationsanleitung für Gruppe 3 (g3.loc) Server (rdf.loc) gateway0608 eth0 192.168.99.117 Subserver (g3.loc) pc05 eth0 192.168.99.105 eth0:0

Mehr

Virtuelle Maschinen. Serbest Hammade / Resh. Do, 13. Dezember 2012

Virtuelle Maschinen. Serbest Hammade / Resh. Do, 13. Dezember 2012 Virtuelle Maschinen Serbest Hammade / Resh Do, 13. Dezember 2012 Was sind Virtuelle Machinen? Welche Aufgaben können sie erfüllen? Welche Anbieter von VMs gibt es? Workshop Was sind Virtuelle Machinen?

Mehr

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten [Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten ISCSI Targets mit der Software FreeNAS einrichten Inhalt FreeNAS Server Vorbereitung... 2 Virtuelle Maschine einrichten... 3 FreeNAS

Mehr

Die L4-Mikrokern. Mikrokern-Familie. Hauptseminar Ansätze für Betriebssysteme der Zukunft. Michael Steil. Michael Steil 18.04.2002

Die L4-Mikrokern. Mikrokern-Familie. Hauptseminar Ansätze für Betriebssysteme der Zukunft. Michael Steil. Michael Steil 18.04.2002 Die L4-Mikrokern Mikrokern-Familie Hauptseminar Ansätze für Betriebssysteme der Zukunft 18.04.2002 Folie 1 Aufbau des Vortrags 1. Mikrokerne: Idee und Geschichte 2. L4: ein schneller Mikrokern 3. L4Linux:

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Verzeichnisdienste in heterogenen Systemen

Verzeichnisdienste in heterogenen Systemen Verzeichnisdienste in heterogenen Systemen Zielsetzungen Implementierung Aufbau: Active Directory (AD) auf Basis von Windows Server 008 R mit Windows Client(s), Linux Client(s) und einem Linux Server (Dateiserver).

Mehr

Systemvoraussetzungen und Installation

Systemvoraussetzungen und Installation Systemvoraussetzungen und Installation Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Einleitung... 2 2. Einzelarbeitsplatzinstallation... 3 3. Referenz: Client/Server-Installation... 5 3.1. Variante A:

Mehr

Computer & GNU/Linux Einführung Teil 1

Computer & GNU/Linux Einführung Teil 1 Inst. für Informatik [IFI] Computer & GNU/Linux EinführungTeil 1 Simon Haller, Sebastian Stab 1/17 Computer & GNU/Linux Einführung Teil 1 Simon Haller, Sebastian Stabinger, Philipp Zech Inst. für Informatik

Mehr

Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner

Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner <rom@zhwin.ch> Inbetriebnahme des Oracle-Einschubs für DBF, DBB und DBP Markus Rohner Version: 1.0.2 Datum: 10.3.2004 08:28 1 Einleitung 1.1 Über diese Anleitung Diese Anleitung ist als Hilfe bei der Inbetriebnahme

Mehr

... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 2... Konzeption virtualisierter SAP-Systeme... 87

... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 2... Konzeption virtualisierter SAP-Systeme... 87 ... Einleitung... 15 1... Grundlagen der Virtualisierung... 23 1.1... Einführung in die Virtualisierung... 23 1.2... Ursprünge der Virtualisierung... 25 1.2.1... Anfänge der Virtualisierung... 25 1.2.2...

Mehr

Dokumentation. Servervirtualisierung mit XEN und open SUSE 11.1

Dokumentation. Servervirtualisierung mit XEN und open SUSE 11.1 Dokumentation Servervirtualisierung mit XEN und open SUSE 11.1 Inhalt...1 Partitionierung...1...2 Netzwerkkonfiguration...2 VNC-Server...5 Updates...7 Fernzugriff...7 XEN Hypervisor einrichten...9 Sicherung

Mehr

Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152

Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152 Installation von VMWare Virtual Center Server 5.1 und Komponenten Inkl. migrieren der Datenbank Setup Version 5.1.0-1065152 Recommended Requirements: 12 GB Ram 4 CPUs (Cores) 2x72 GB / 2 x146 GB HDD (15k)

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Xen Kochbuch. O'REILLY 8 Beijing Cambridge Farnham Köln Sebastopol Taipei Tokyo. Hans-Joachim Picht. mit Sebastian Ott

Xen Kochbuch. O'REILLY 8 Beijing Cambridge Farnham Köln Sebastopol Taipei Tokyo. Hans-Joachim Picht. mit Sebastian Ott Xen Kochbuch Hans-Joachim Picht mit Sebastian Ott O'REILLY 8 Beijing Cambridge Farnham Köln Sebastopol Taipei Tokyo Inhalt Vorwort XI 1 Einführung in die Virtualisierung 1 1.1 Was ist Virtualisierung?

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

German Metasploit Framework Tutorial 16. August 2005 dav

German Metasploit Framework Tutorial 16. August 2005 dav German Metasploit Framework Tutorial 16. August 2005 dav Inhalt 1. Einleitung 2. Exploit Datenbank 2.1. Neue Exploits integrieren 3. Payload Datenbank 4. Konfiguration und Anwendungen eines Exploits 4.1.

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Tensei-Data Demoleitfaden. Jens Grassel, Andre Schütz

Tensei-Data Demoleitfaden. Jens Grassel, Andre Schütz Tensei-Data Demoleitfaden Jens Grassel, Andre Schütz Inhaltsverzeichnis 1. Installation der Demoversion............................................................... 1 1.1. Windows.............................................................................

Mehr

(Prüfungs-)Aufgaben zum Thema Scheduling

(Prüfungs-)Aufgaben zum Thema Scheduling (Prüfungs-)Aufgaben zum Thema Scheduling 1) Geben Sie die beiden wichtigsten Kriterien bei der Wahl der Größe des Quantums beim Round-Robin-Scheduling an. 2) In welchen Situationen und von welchen (Betriebssystem-)Routinen

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates

RIWA NetUpdater Tool für automatische Daten- und Softwareupdates RIWA NetUpdater Tool für automatische Daten- und Softwareupdates Grundlegendes... 1 Ausführbare Dateien und Betriebsmodi... 2 netupdater.exe... 2 netstart.exe... 2 netconfig.exe... 2 nethash.exe... 2 Verzeichnisse...

Mehr

Rechnernetze. 6. Übung

Rechnernetze. 6. Übung Hochschule für Technik und Wirtschaft Studiengang Kommunikationsinformatik Prof. Dr. Ing. Damian Weber Rechnernetze 6. Übung Aufgabe 1 (TCP Client) Der ECHO Service eines Hosts wird für die Protokolle

Mehr

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com

Verfügbarkeit von Applikationen und Failover Szenarien. Winfried Wojtenek. wojtenek@mac.com Verfügbarkeit von Applikationen und Failover Szenarien Winfried Wojtenek wojtenek@mac.com Verfügbarkeit % Tage Stunden Minuten 99.000 3 16 36 99.500 1 20 48 99.900 0 9 46 99.990 0 0 53 99.999 0 0 5 Tabelle

Mehr

Teil 2 Virtuelle Netzwerke im Überblick

Teil 2 Virtuelle Netzwerke im Überblick Teil 2 Virtuelle Netzwerke im Überblick Motto von Teil 2: Gäste flexibel im LAN oder in abgeschotteten Testumgebungen betreiben. Teil 2 dieser Workshopserie erklärt die Grundlagen virtueller Netzwerke

Mehr

IT macht den Meister mit VDCF Version 5

IT macht den Meister mit VDCF Version 5 IT macht den Meister mit VDCF Version 5 Marcel Hofstetter hofstetter@jomasoft.ch Enterprise Consultant JomaSoft GmbH 1 Inhalt Wer ist JomaSoft? Solaris Virtualisierungs Technologien (Zones und LDoms) VDCF

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Projekt für Systemprogrammierung WS 06/07

Projekt für Systemprogrammierung WS 06/07 Dienstag 30.01.2007 Projekt für Systemprogrammierung WS 06/07 Von: Hassan Bellamin E-Mail: h_bellamin@web.de Gliederung: 1. Geschichte und Definition 2. Was ist Virtualisierung? 3. Welche Virtualisierungssoftware

Mehr

Systeme 1. Kapitel 10. Virtualisierung

Systeme 1. Kapitel 10. Virtualisierung Systeme 1 Kapitel 10 Virtualisierung Virtualisierung Virtualisierung: Definition: Der Begriff Virtualisierung beschreibt eine Abstraktion von Computerhardware hin zu einer virtuellen Maschine. Tatsächlich

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall State-of-the-art Technology for Worldwide Telecommunications Über die Probleme nach einem Sicherheitsvorfall Andreas Bunten GUUG-Frühjahrsfachgespräch 2012 01.03.2012 I Controlware GmbH I Seite 1 Wie man

Mehr

Next Generation Firewall: Security & Operation Intelligence

Next Generation Firewall: Security & Operation Intelligence Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Konsolidieren Optimieren Automatisieren. Virtualisierung 2.0. Klaus Kremser Business Development ACP Holding Österreich GmbH.

Konsolidieren Optimieren Automatisieren. Virtualisierung 2.0. Klaus Kremser Business Development ACP Holding Österreich GmbH. Konsolidieren Optimieren Automatisieren Virtualisierung 2.0 Klaus Kremser Business Development ACP Holding Österreich GmbH Business today laut Gartner Group Der Erfolg eines Unternehmen hängt h heute von

Mehr

Organisatorisches. Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben

Organisatorisches. Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben Organisatorisches Übungsleiter: Karsten Otto (otto@inf.fu-berlin.de) Homepage: http://www.inf.fu-berlin.de/lehre/ss06/netzsicherheit Aufgaben Mittwochs im Netz Vorbesprechung Freitag/Montag in der Übung

Mehr

Version 2.0. Copyright 2013 DataCore Software Corp. All Rights Reserved.

Version 2.0. Copyright 2013 DataCore Software Corp. All Rights Reserved. Version 2.0 Copyright 2013 DataCore Software Corp. All Rights Reserved. VDI Virtual Desktop Infrastructure Die Desktop-Virtualisierung im Unternehmen ist die konsequente Weiterentwicklung der Server und

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Documentation. OTRS Appliance Installationshandbuch. Build Date:

Documentation. OTRS Appliance Installationshandbuch. Build Date: Documentation OTRS Appliance Installationshandbuch Build Date: 10.12.2014 OTRS Appliance Installationshandbuch Copyright 2001-2014 OTRS AG Dieses Werk ist geistiges Eigentum der OTRS AG. Es darf als Ganzes

Mehr