5. Infrastruktur und Sicherheit. Vorlesung Betrieb Komplexer IT-Systeme (BKITS)

Größe: px
Ab Seite anzeigen:

Download "5. Infrastruktur und Sicherheit. Vorlesung Betrieb Komplexer IT-Systeme (BKITS)"

Transkript

1 5. Infrastruktur und Sicherheit Vorlesung Betrieb Komplexer IT-Systeme (BKITS)

2 Einführung Bislang: Betrachtung des System-Aspekts in BKITS Identity Management: Konzepte und Systeme Verzeichnisdienste und DNS Single-Sign On Hier: Betrachtung des Infrastruktur-Aspekts Erst durch Netzwerke bringt man Rechner zusammen Ungebrochener Trend zu höheren Bandbreiten Breitbandige Versorgung selbst im privaten Bereich Weite Spanne von Standard-Systemen im Massenmarkt bis hin zu Spezialnetzwerk, z.b. in Rechen-Clustern Offenes System mit zahlreichen Herstellern und Protokollen Aber auch: Risiko durch Angriffe aus dem Netzwerk Matthias Hovestadt - BKITS 4-2

3 5.1 Protokolle und Schichten Internet erweckt Illusion eines homogenen Netzwerks Alle Komponenten scheinen nahtlos ineinander zu greifen Jeder Computer kann Daten an jeden anderen Computer senden Internet ist ein virtuelles Netzwerk Kommunikationssystem ist abstrakt Illusion des einheitlichen Netzwerks entspricht nicht der Wirklichkeit Matthias Hovestadt - BKITS 4-3

4 Kommunikation der Schichten Anwendung Darstellung Sitzung Transport Vermi7lung Sicherung Anwendung Darstellung Sitzung Transport Vermi7lung Sicherung Bitübertragung Matthias Hovestadt - BKITS 4-4

5 Internetworking Protokolle Für Internetworking wurde viele Protokollfamilien entwickelt Name der häufigsten: TCP/IP Protocols Beginn der Entwicklung in den 1970er Jahren Im Rahmen von ARPA (Advanced Research Projects Agency) Erste Nutzer: US-Militär Mitte der 1980er: Weitere Förderung durch NSF Weitere Entwicklung von TCP/IP Realisation eines großen Internet zum Test der Protokollfamilie TCP/IP führte zur modernen Computerwelt Internetworking als allgemeines Prinzip zur Kommunikation Proprietäre Netzwerk-Produkte wurden Internetworking-fähig Einheitliches und übergreifendes Addressierungsschema Matthias Hovestadt - BKITS 4-5

6 Hierarchie der IP-Adressen Internet-Adresse besteht aus 32 Bit Beispiel eines Rechners im CIT: Bzw: Adresse gliedert sich in zwei Teile Präfix: identifiziert das physische Netzwerk Werden global verwaltet Suffix: identifiziert den Rechner in diesem Netzwerk Können lokale verwaltet werden Größe des Präfix variabel, bestimmt Länge des Suffix Matthias Hovestadt - BKITS 4-6

7 IP-Adressklassen Design sieht 3 Adressklassen vor Klasse wird durch die ersten vier Bits der Adresse bestimmt Separate Klasse für Multicast A 0 7 Bit Präfix 24 Bit Suffix B Bit Präfix 16 Bit Suffix C Bit Präfix 8 Bit Suffix D MulHcast- Adresse E Reserviert Beispiel des CIT-Rechners: Adresse aus B-Klasse-Netz: 2 Bit Typ, 14 Bit Präfix, 16 Bit Suffix Matthias Hovestadt - BKITS 4-7

8 Knapper Adressraum Netzklasse bestimmt Anzahl Netze und Anzahl Hosts: Klasse Bit Prefix Max. Anzahl Netze Bit Suffix Max. Anzahl Hosts A B C Netzwerk-Adressen sind ein knappes Gut Erschöpfung war für Mitte der 1990er Jahre prognostiziert Aufschub u.a. durch Network Address Translation (NAT) 2011 wurde letzter freier Adressblock vergeben Ausweg: Einführung von IPv6 mit 128 Bit langen Adressen Matthias Hovestadt - BKITS 4-8

9 Subnetz- und klassenlose Adressierung Probleme mit klassenbasierter Adressierung Viele Adressen eines Netzes blieben ungenutzt Erschöpfung des Adressraums drohte Entwicklung von zwei neuen Mechanismen Mitte 1990er Subnetz-Adressierung und Klassenlose Adressierung Grundgedanke: Aufteilung von Prefix/Suffix an beliebiger Stelle Beispiel: Klasse C Netzwerk mit 9 Knoten Klasse C bietet 8 Bit für Suffix (256 Knoten) 9 Knoten brauchen jedoch nur 4 Bit als Suffix Lösung: Aufteilung der Klasse C Adresse 16 Netze mit 24 Bit Prefix und Platz für 16 Knoten Matthias Hovestadt - BKITS 4-9

10 Netzmaske Vorteil klassenloser Adressierung: Bessere Nutzung des vorhandenen Adressraums Nachteil klassenloser Adressierung: Trennung von Präfix und Suffix nicht mehr offensichtlich Trennung an beliebiger Stelle möglich Lösung: Die Netzmaske Bit-Vektor, der den Teil des Präfix bestimmt Verknüpfung mit Adresse durch logisches UND Präfix ist Matthias Hovestadt - BKITS 4-10

11 Class Inter Domain Routing (CIDR) Neue Notation in CIDR Angabe der Netzmaske durch Suffix an Adresse Beispiel: /16 Netzmaske: Die ersten 16 Bit gesetzt = CIDR bringt größere Flexibilität Klassisch: Netz C hat starre 8 Bit für Host-Adresse CIDR: Unterteilung in mehrere kleinere Netze Z.B /28, /28, Verfügbare Hostadressen Erste Adresse Netzwerk, letzte Adresse Broadcast-Adresse Verbleiben in /28 Netz somit 14 Adressen für Hosts Matthias Hovestadt - BKITS 4-11

12 Address Resolution Protocol (ARP) C fragt nach Hardware-Adresse zu gegebener IP-Adresse A B C D E Anfrage erreicht alle Hosts im Netzwerk A B C D E Rechner E hat angefragte IP-Adresse und antwortet an C A B C D E C kennt nun die Hardware-Adresse von E und kann senden Matthias Hovestadt - BKITS 4-12

13 5.2 Sicherheit, Security und Safety Universaldienst als Selbstverständlichkeit: Das Internet Rechner sind über Netzwerke verbunden Benutzer mit Zugriff auf weltweit verteilte Informationsquellen Angebotene Dienste weltweit abrufbar Vernetzung birgt auch Gefahren Abhängigkeit: Arbeitsfähigkeit setzt funktionierende Infrastruktur voraus Komplexität: Schwer zu überblickendes Geflecht von Abhängigkeiten, Unzahl zu überwachender Einzelkomponenten Angreifbarkeit: Viele Angriffspunkte aufgrund Komplexität, Schwerwiegende Konsequenzen bei erfolgreichem Angriff Matthias Hovestadt - BKITS 4-13

14 Schutz Potentielle Angriffsziele Infrastruktur: Server und Arbeitsplätze Kontrolle der Ressourcen durch Dritte (Backdoors, ) Daten: Dokumente, Tabellen, Veränderung oder Löschung von Informationen Reputation Diskreditierung des Unternehmens, Vertrauensverlust Schutzziele Vertraulichkeit: keine unauthorisierte Kenntnisnahme Integrität: keine unauthorisierte (und unbemerkte) Modifikation Verfügbarkeit: keine unauthorisierte Vorenthaltung von Ressourcen Zurechenbarkeit: Verursacher von Aktionen sind ermittelbar Matthias Hovestadt - BKITS 4-14

15 Angriff Der schlimmste Fall: Der Angreifer zerstört das System, löscht alle Daten Aber: Ist dies wirklich der schlimmste Fall? Nachteil: Datenverlust, Zeitverlust Vorteil: Leicht zu entdecken Versteckte Angriffe System scheint auf den ersten Blick normal zu funktionieren System steht jedoch unter fremder Kontrolle Potentiell viel Zeit zur Schädigung bis zur Entdeckung Unerkannte Modifikation von Dokumenten Ausspähung der Infrastruktur für neue Angriffe Zeitpunkt der Infektion nur schwer nachzuvollziehen Matthias Hovestadt - BKITS 4-15

16 Erste Möglichkeit: Präventive Mechanismen Klassischer Weg des Schutzes von IT-Infrastrukturen Vertraulichkeit: Verschlüsselung, Zugangskontrolle, Firewalls Integrität: Zugangskontrolle, digitale Signaturen Verfügbarkeit: Redundante Auslegung von Ressourcen Zurechenbarkeit: digitale Signaturen, Protokollierung Nur begrenztes Schutzpotential Kein Schutz vor missbräuchlichen Aktionen authorisierter Nutzer Kein Schutz vor fehlerhaft implementierter Software Kein Schutz vor Konfigurationsfehlern Kein Schutz vor Dummheit der Benutzer Ergänzung um weitere Mechanismen notwendig Anzahl der Angriffe wächst jährlich um mehr als 50% Matthias Hovestadt - BKITS 4-16

17 Zweite Möglichkeit: Reaktive Mechanismen Situation: Angriff ist bereits erfolgt Ziele reaktiver Mechanismen: Erkennung von Angriffen Identifizierung von Angreifern Bestrafung der Verantwortlichen Abschreckung weiterer Angreifer Schutz der Infrastruktur vor Ausbreitung des Angriffs Eindämmung der negativen Folgen des Angriffs Voraussetzung: Zuverlässige Erkennung von Angriffen Mittel der Wahl: Intrusion Detection Systeme (IDS) Matthias Hovestadt - BKITS 4-17

18 Angriffsmethoden Einbruch Ziel: Erlangung von Nutzerrechten auf dem System Vielfältige Arten, z.b. Social Attack: Ausnutzen persönlicher Verbindungen Password Attacke: Raten des Passwords mit Wörterbuch Nutzen von Fehlern im System Lahmlegen eines Dienstes Ziel: Verhinderung der Nutzung der Infrastruktur Formen: Denial of Service, -Bombe, Informationsdiebstahl Aber auch: Unfälle und Dummheit Matthias Hovestadt - BKITS 4-18

19 Safety und Security Unterschiedliche Aspekte in der Sicherheit Definition Safety: Schutz der Umgebung vor einem Objekt Schutz interner Rechner vor extern erreichbaren Systemen Definition Security: Schutz des Objekts vor der Umgebung Schutz von zentralen Servern vor inneren Angriffen Schutz vor Angriffen aus dem externen Netz Matthias Hovestadt - BKITS 4-19

20 Strategien (1/4) Minimale Zugriffsrechte Grundlegendste Sicherheitsstrategie Jedes Objekt erhält nur absolut notwendige Rechte Benutzer, Dienste, (Administratoren eingeschlossen) Konzept auch in Paket-Filter Firewalls anwendbar Verkleinerung von Angriffsfläche und Konsequenzen Zentrales Problem: Schwierige Realisierung Mehrschichtige Verteidigung Aufbau mehrerer Verteidigungsringe, statt eines einzelnen Kombination unterschiedlicher Verteidigungstypen Firewall, Rechnersicherung, Personalschulung, Reihenschaltung von Firewalls zur Funktionskontrolle Matthias Hovestadt - BKITS 4-20

21 Strategien (2/4) Enge Passierstelle Zugang zu System oder Infrastruktur über nur einen Punkt Besondere Absicherung, erhöhter Aufwand und größtmögliche Sorgfalt bei der Sicherung dieser Passierstelle Passierstelle darf nicht umgangen werden können Das schwächste Glied Ein einzelner unsicherer Dienst genügt zur Kompromittierung des gesamten Systems Angreifer werden versuchen diesen Dienst zu finden Fokus: Monitoring der Infrastruktur, Erkennung von Schwachstellen Aber auch: Aktive Suche nach Schwachstellen Matthias Hovestadt - BKITS 4-21

22 Strategien (3/4): Fehlersicherheit Sicherheit muss auch bei Fehler in einem System innerhalb der Abwehrkette gewährleistet bleiben Beispiel: Schutz des Netzes bei Ausfall der Firewall Es muss der Fehlerfall angenommen werden Wichtig: Einschränkende Grundhaltung Alles, was nicht erlaubt ist, ist verboten Rechte müssen explizit gewährt werden Problem: Notwendige Rechte schwer zu verwalten Daher oft freizügige Grundhaltung ( Alles, was nicht explizit verboten ist, ist erlaubt ) Matthias Hovestadt - BKITS 4-22

23 Strategien (4/4): Beteiligung aller Personen Mensch als schwächstes Glied nicht unüblich Installation von Software aus dem Internet Öffnen von obskuren -Anhängen Ignorieren von Fehlermeldungen oder Auffälligkeiten Wahl unsicherer Passworte Password-Notizen unter der Tastatur Umgehung von Firewall-Systemen Mitarbeit an Sicherheit freiwillig oder erzwungen Zwang resultiert häufig in der Umgehung der Regeln z.b: Zwang zur wöchentlichen Wahl eines neuen Passworts Freiwillige Mitarbeit deutlich effektiver Aufklärung der Mitarbeiter notwendig Matthias Hovestadt - BKITS 4-23

24 5.3 Aufbau sicherer Infrastruktur Einfachstes Element: Router (Überwachungsrouter) Austausch von Paketdaten zwischen zwei Netzen Regelwerk zur Definition von erlaubtem Austausch Positiv-Liste ( Was darf passieren? ) Negativ-Liste ( Was darf nicht passieren? ) z.b.: Quell-/Ziel-IP-Adresse/Port, Protokoll, Ziel: Überwachung des Netzes auf Paket-Ebene Internet Internes Netz Überwachungsrouter Matthias Hovestadt - BKITS 4-24

25 Proxy-Dienste Überwachungsrouter arbeiten nur auf Paket-Ebene Inhalt der Kommunikation kann nicht gesteuert werden Lösung: Proxy-Dienste Routing der Kommunikation auf Applikationsebene Für den Benutzer üblicherweise transparent Server sieht Proxy-Host als Benutzer Externer Server Internet Überwachungsrouter mit Proxy-Server Internes Netz Matthias Hovestadt - BKITS 4-25

26 Bastion Host im internen Netz Extern erreichbarer Rechner im internen Netz Kann auch von internen Rechnern aus angesprochen werden Jedoch kein Routing für interne Rechner Strikte Filterregeln im Überwachungsrouter Bastion Host einzig erreichbares System Filterung meist auf Ebene von Paket-Filterung Beispiel: Proxy-Dienste auf Bastion-Host Internet Interner Host darf nicht direkt auf das Internet zugreifen Internes Netz Überwachungsrouter Matthias Hovestadt - BKITS 4-26

27 Bastion Host im Grenznetz Bastion Host ist primäres Angriffsziel Schutz auf Host-Ebene u.u. nicht ausreichend Bei erfolgreichem Angriff direkter Angriff auf interne Knoten möglich Daher: Isolierung des Bastion Hosts in Grenznetz Zusätzliche Schutzschicht für interne Infrastruktur Angreifer muss zusätzlich noch den inneren Router überwinden Kein Sniffing von internen Paketen im Grenznetz Vertrauliche Kommunikation nur im int. Netz Grenznetz (perimeter network) Internes Netz Bastion Host Innerer Router Internet Äußerer Router Matthias Hovestadt - BKITS 4-27

28 Bastion Host, innerer und äußerer Router Exponiertes System des Unternehmens Anlaufstelle für Verbindungen aus der Außenwelt Z.B. für Dienste wie: SMTP-Server, DNS-Server, Web-Server Proxy-Dienste für das interne Netz Einsatz von gehärtetem Betriebssystem Innerer Router (Choke Router) Letzter Schutzwall vor dem internen Netz Trägt die Hauptlast der Paketfilterung Individuelle Regelsätze für Paketfilterung notwendig (z.b. DNS) Äußerer Router (Access Router) Üblich: Freie Kommunikation aus Grenznetz in das externe Netz Grobe Vorfilterung des eingehendes Netzwerk-Verkehrs Blockierung von externen Paketen mit internen IP-Adressen Matthias Hovestadt - BKITS 4-28

29 Zweistufiger Angriff DOS-Attacke gegen Rechner A Beispiel: Fälschung von IP-Adressen Pakete mit gefälschter IP-Adresse an Rechner B Ziel: Ausnutzung des Vertrauensverhältnisses zwischen A und B Ablauf des Angriffs Rechner B hält Request für authentisch und antwortet Rechner A kann wg. DOS-Angriff nicht reagieren Angreifer muss Kommunikation blind führen! Internet Grenznetz (perimeter network) Internes Netz Bastion Host Innerer Router Vertrauen Äußerer Router Matthias Hovestadt - BKITS 4-29

30 Mehrere Bastion-Hosts im Grenznetz Grenznetz ist vollwertiges Netz Bereitstellung einer Service-Infrastruktur Einsatz mehrerer Bastion-Hosts sinnvoll Redundanz (z.b. MX-Record für SMTP), Performanz, Separation von Diensten für interne und externe Nutzer Höhere Sicherheit Trennung von Diensten Fehler in einem Dienst führt nicht zur Kompromittierung aller Dienste Internet Grenznetz (perimeter network) Internes Netz Bastion Host Innerer Router Bastion Host Äußerer Router Matthias Hovestadt - BKITS 4-30

31 Bastion Host im Grenznetz Zusammenlegung von innerem/äußeren Router möglich Anbindung der Netze über verschiedenen Schnittstellen Zusammenfassung aller Regelsätze auf einem Gerät Router muss ausreichende Flexibilität aufweisen Lösung ist möglich, aber problematisch Erfolgreicher Angriff auf Router öffnet sofort das interne Netz Keine Ausfallsicherheit bzw. Fehlertoleranz Internet Grenznetz (perimeter network) Internes Netz Bastion Host Innerer/ äußerer Router Matthias Hovestadt - BKITS 4-31

32 Bastion Host als äußerer Router Bastion-Host als Multi-Homed Rechner Mehrere Netzwerk-Schnittstellen für unterschiedliche Rechner Bastion-Host übernimmt Aufgaben des äußeren Routers Filterung der Pakete gemäß definierter Regelsätze Problem: Sicherheit Bastion Host durch direkte Anbindung angreifbarer Bei Ausfall nicht mehr von int. Netz aus erreichbar Grenznetz (perimeter network) Internes Netz Innerer Router Bastion Host Internet Matthias Hovestadt - BKITS 4-32

33 Bastion Host als innerer Router Gefährliche Konfiguration Bastion Host und äußerer Router mit unterschiedlicher Funktion Wichtig: Bastion Host darf internes Netz nicht belauschen Innerer Router hat Schutzfunktion für internes Netz Zusammenlegung macht internes Netz verwundbar Bastion-Host von Extern angreifbar Bei erfolgreichem Angriff Vollzugriff auf internes Netz (z.b. für Sniffing von Datenpaketen, ) Grenznetz (perimeter network) Internes Netz Bastion Host Internet Äußerer Router Matthias Hovestadt - BKITS 4-33

34 Einsatz mehrerer innerer Router Gefährliche Konfiguration Routing: Dynamisches Routing könnte interne Pakete in das Grenznetz transportieren Wartung: Schwierige Wartung beider Router, Gefahr von Inkonsistenzen im Regelwerk der beiden Router Mögliche Lösung: Unterschiedliche Grenznetze Eigener äußerer Router je Grenznetz Internet Grenznetz (perimeter network) Internes Netz Bastion Host Innerer Router Innerer Router Äußerer Router Matthias Hovestadt - BKITS 4-34

35 Einsatz mehrerer äußerer Router Einsatz mehrerer äußerer Router ist unkritisch Gefahr für Angriff verdoppelt, aber internes Netz bleibt geschützt Höhere Redundanz (Ausfall eines äußeren Routers) Wichtig: Gleiche Sicherheitsstufe bei beiden Anbindungen Führt eine Anbindung zu Partner-Unternehmen, so sollten diese Pakete nicht im Grenznetz erlauscht werden können Internet Lösung: mehrere Grenznetze Partnernetz Äußerer Router Grenznetz (perimeter network) Internes Netz Innerer Router Bastion Host Äußerer Router Matthias Hovestadt - BKITS 4-35

36 5.4 Network-based Intrusion Detection Systeme Firewall-Systeme nicht unüberwindbar Angriffe auf Fehler im System selbst Fehler in der Konfiguration des Systems Falsches Verhalten eines Benutzers Erfolgreicher Angriff muss schnellstmöglich erkannt werden Mittel der Wahl: Intrusion Detection Systeme Angreifer kann evtl. noch identifiziert werden Ausmaß des Schadens kann eingedämmt werden Kann als Mittel zur Abschreckung dienen Liefert Informationen über den Weg des Eindringens Ggf. Anpassung der Firewall-Regeln Matthias Hovestadt - BKITS 4-36

37 Funktionsweise Grundannahme von IDS: Das Verhalten des Angreifers weicht messbar von dem Verhalten eines normalen Benutzers ab Schwierige Abwägung Enge Definition des normalen Verhaltens führt zu Fehlalarmen Allzu schwammige Definition macht Ergreifung unmöglich Notwendig Sammeln von Informationen über normales Systemverhalten Bestimmung von Grenzwerten Ziel: Erkennung eines Angriffs Matthias Hovestadt - BKITS 4-37

38 Audit Records Datengrundlage für IDS Aufzeichnung des Benutzerverhaltens Datenquelle Betriebssystem Nutzung aller vom Betriebssystem aufgezeichneten Informationen Problem: nicht alle relevanten Informationen werden bereitgestellt Datenquelle Monitoring Installation spezieller Monitoring Software Protokollierung aller Benutzeraktivitäten, beliebig feingranular Problem: Zusätzlicher Aufwand Datenfelder eines Audit Records variieren je nach System Typisch: Zeitstempel, Benutzername, Aktion, Objekt, Fehlercode, Liste genutzter Ressourcen Matthias Hovestadt - BKITS 4-38

39 Beispiel für Audit Record Befehl: cp ~/passwd.mod /etc/passwd Generierte Audit Records: Timestamp User AcHon Object Error maho Execute cp maho Read ~/passwd.mod maho Write /etc/passwd 1 Hier: Aufteilung der Operation in mehrere Audit Records Kontrollierter Zugriff auf Objekte als schützenswerte Elemente Niedrige Komplexitätsstufe bei Protokollierung Einfache Definition von Regeln pro Audit Record möglich Matthias Hovestadt - BKITS 4-39

40 Ansätze (1/2): Statistische Anomalieerkennung Erkennung von Anomalien im Benutzerverhalten Basiert auf einem statistischen Ansatz Grundlage: Datenmaterial über Verhalten regulärer Nutzer Nutzung statistischer Modelle zur Erkennung von Missbrauch Auf Basis von statischen oder adaptiven Grenzwerten Auf Basis von Profilen: Definition von Profilen, die auf verschiedene Benutzergruppen zugeschnitten werden können Vorteil: Passt sich auf Nutzerverhalten an Nachteil: Korrektheit der Grenzwerte ist kritisch Matthias Hovestadt - BKITS 4-40

41 Ansätze (2/2): Regelbasierte Erkennung Erkennung von regelwidrigem Verhalten Basiert auf festgelegtem Regelsatz Beschreibung der normalen Systemnutzung in Regeln Erkennung von Anomalien: Abweichungen vom normalen Nutzerprofil Erkennung von Eindringlingen: Suche nach auffälligem Verhalten Vorteile: Überprüfbare Kommunikationsmuster Nachteil: Fehlende Dynamik und Adaptivität, fragliche Vollständigkeit des Regelwerks Matthias Hovestadt - BKITS 4-41

42 5.5 Honey Pot Erste Verteidigungslinie: Firewall Abschottung und Separierung der Netze Ziel: Internes Netz vor Angriffen schützen Überschaubares Problem: wie ist die Firewall zu konfigurieren? Zweite Verteidigungslinie: Intrusion Detection Systeme Erkennung von Eindringlingen und System-Missbrauch Ziel: Frühzeitige Erkennung, um Schaden zu minimieren Großes Problem: Wie sehen Angriffe aus? Dritte Verteidigungslinie: Honey Pots Erlernen von Angriffsmustern Leichtere Identifikation von Angreifern Matthias Hovestadt - BKITS 4-42

43 Grundidee Status Quo: Netzwerk als Angriffsziel Netzwerk ist statisch im Internet erreichbar Angreifer kann sich Zeitpunkt des Angriffs aussuchen Verteidiger kann sich schlecht vorbereiten Ziel: Erhöhung der Chancen zur erfolgreichen Verteidigung Aufdeckung eines Angriffs Entschlüsselung eines Angriffs Ergreifung von Gegenmaßnahmen Matthias Hovestadt - BKITS 4-43

44 Die Versuchung des Honigtopfs Idee: Auslegen eines Köders für potentielle Angreifer System bietet reguläre Dienste im Netz an Keinerlei wertvolle Daten oder Dienste vorhanden System wird niemals von regulären Nutzern kontaktiert Angreifer kann nicht zwischen einem echtem System und dem Honey Pot unterscheiden Angreifer sucht im Netz blind nach Systemen für Angriff Angreifer wird auf angebotene Dienste stoßen Honey Pot als präpariertes System Monitoring Software protokolliert alle Zugriffe Alarmierung der Administratoren über erfolgten Angriff Dynamische Rekonfiguration der Firewall Matthias Hovestadt - BKITS 4-44

45 Honey Pot Typen (1/2): Low Interaction Honey Pot System bildet lediglich Systemdienste nach Anbieten eines FTP- oder Web-Dienstes Originaler Systemdienst wird lediglich nachgebildet Ziel sind automatisch geführte Angriffe Probleme: Begrenzter Informationsgewinn Originaler Dienst hat ggf. anderes Verhalten Für den versierten menschlichen Angreifer erkennbar Verhalten des Honey Pots unterscheidet sich vom org. System Low Interaction Honey Pot haben daher Charakteristik eines Intrusion Detection Systems Wenn Dienst angesprochen wird, ist ein Angreifer im Netz. Matthias Hovestadt - BKITS 4-45

46 Beispiel für Low Interaction Honey Pot Open Source System: honeyd Emulation von populären Systemdiensten Arbeitsweise Beobachtung des Netzwerks Kennt die Adressen aller realen Systeme Wird Zugriff auf ungenutzte IP-Adresse beobachtet, antwortet honeyd dem Angreifer unter Angabe jener IP-Adresse In dünn besetzten Netzen sehr hohe Erkennungswahrscheinlichkeit Virtueller Honey Pot honeyd Server Reale Hosts Matthias Hovestadt - BKITS 4-46

47 Honey Pot Typen (2/2): High Interaction Honey Pot Honey Pot ist vollständiger Server Komplettes Betriebssystem mit allen Serverdiensten vorhanden Einsatz der originalen Serverdienste Ziel: Lernen von manuell geführten Angriffen auf System Der Angreifer muss das angegriffene Ziel für wertvoll erachten Beobachtung der Aktionen des Angreifers auf dem System Ausführung des Systems in virtueller Umgebung Ausführung spezieller Software im System Kernel-Erweiterung Sebek, die alle User-Space Aktionen protokolliert und von Kernel-Space aus an Logger sendet Problem: Aufwändige Installation Matthias Hovestadt - BKITS 4-47

48 5.6 Host-based Intrusion Detection Allgemeines Problem: Erkennung IT-Infrastruktur bleibt trotz aller Absicherungen angreifbar Angriff muss frühestmöglich erkannt werden Bislang lediglich externe Elemente Firewall zur Abschottung interner Netze Gesicherte Bastion Hosts ggf. mit gehärtetem Betriebssystem Honey Pot versucht Falle aufzustellen Erkennung eines Angriffs auf ein System Aufgabe von Hostbased Intrusion Detection System (HIDS) Matthias Hovestadt - BKITS 4-48

49 Überwachung der Dateien Situation: Ein Angreifer konnte erfolgreich eindringen Hat Benutzerrechte erlangt und bewegt sich im System Grundidee: Ein Angreifer verändert bei seinem Angriff Dateien auf dem lokalen Host Veränderungen von Systemkonfiguration, Z.B. um späteres erneutes Eindringen zu ermöglichen Dateien werden nicht durch Normalbetrieb geändert Ziel: Erkennung dieser Veränderungen Zahlreiche Systeme verfügbar: TripWire, AIDE, Matthias Hovestadt - BKITS 4-49

50 Zweistufiger Ablauf Schritt 1: Aufbau der Datenbank Analyse des Dateisystems Bildung von Prüfsummen relevanter Dateien Systemdateien, Konfiguration, Speicherung der Prüfsummen in Datenbank Schritt 2: Analyse des System Erneute Bildung von Prüfsummen relevanter Dateien Abgleich der Prüfsumme mit Datenbank Matthias Hovestadt - BKITS 4-50

51 Hase und Igel Intrusion Detection kann Einbrüche melden, aber Ausbleiben einer Einbruchsmeldung ist keine Entwarnung Systeme wie TripWire melden Änderungen an Dateien aber was passiert, wenn Dateien nicht geändert werden? Systeme wie chkrootkit durchsuchen z.b. den Speicher aber es werden nur bekannte Rootkits gefunden Fazit: Erkennung eines Einbruchs nicht trivial Unterstreicht Bedeutung einer sorgfältigen möglichst sicheren Systemkonfiguration Matthias Hovestadt - BKITS 4-51

52 5.7 System Monitoring Ziel: Bereitstellung eines zuverlässigen Dienstes Stichwort: Hochverfügbarkeit (99%, 99.9%, 99.99%, ) Bislang betrachtet: Externe Faktoren Angriff durch Eindringling, Denial of Service Nun im Fokus: Interne Faktoren Ausfall einzelner Komponenten innerhalb der Infrastruktur Z.B. Ausfall eines Servers oder eines Netzwerk-Routers Probleme: Gegenseitige Abhängigkeiten aufgrund komplexer Infrastruktur Beurteilung des Systemzustands Matthias Hovestadt - BKITS 4-52

53 Manuelle vs. Automatische Überprüfung Ansatz 1: Manuelle Überprüfung Administrator kennt Aufbau und Komponenten der Infrastruktur Periodische Überprüfung der Funktionalität Probleme Skalierbarkeit (Anzahl Systeme als auch Anzahl Parameter) Zuverlässigkeit (Interpretation der Daten) Ansatz 2: Automatische Überprüfung Zentralisierte Überprüfung der Infrastruktur Auswertung der Messdaten gemäß Konfiguration Durchführung von Aktionen zur Alarmierung Senden von Nachrichten, SMS, Matthias Hovestadt - BKITS 4-53

54 Nagios Open Source System für Netzwerk Monitoring Kontinuierliche Entwicklung seit 1999 Komponenten Sammlung diverser Überwachungsmodule Überwachung von Komponenten (Hosts) Überwachung von Diensten (SSH, HTTP, ) Überwachung von Systemen (CPU-Temp, freier Speicher,..) Sammlung beliebig erweiterbar Einsatz in heterogenen Umgebungen möglich Zentraler Nagios-Server Auswertung und Durchführung von Aktionen Ausfallsicherheit durch Failover-Server Visualisierung durch Web-Oberfläche Matthias Hovestadt - BKITS 4-54

55 Überwachung von Netzen Matthias Hovestadt - BKITS 4-55

56 Grafische Präsentation der Monitoring Daten Matthias Hovestadt - BKITS 4-56

57 Literatur Netze Douglas E. Corner: Computernetzwerke und Internets, Pearson Studium, 2003 Firewall Elisabeth Zwicky: Einrichten von Internet Firewalls, O Reilly, 2001 Security William Stallings: Cryptography and Network Security: Principles and Practises, Prentice Hall, 2002 Monitoring Wolfgang Barth: Nagios, System- und Netzwerk-Monitoring, Open Source Press, 2005 Matthias Hovestadt - BKITS 3-57

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Seminar im Sommersemester 2009. Complex and Distributed IT-Systems TU Berlin

Seminar im Sommersemester 2009. Complex and Distributed IT-Systems TU Berlin Betrieb komplexer IT-Systeme Seminar im Sommersemester 2009 Complex and Distributed IT-Systems TU Berlin Status Quo Rechenzentren erfüllen Vielzahl an Diensten Klassische Server-Dienste Mailserver, Newsserver,

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Classless Inter Domain Routing CIDR. Jonas Sternisko Albert Ludwigs Universität Freiburg

Classless Inter Domain Routing CIDR. Jonas Sternisko Albert Ludwigs Universität Freiburg Classless Inter Domain Routing CIDR Classless Inter Domain Routing 1993 eingeführte Verfeinerung des IP-Adressschemas CIDR, sprich cider Domain: virtuelle Hosts im Internet...Verfahren mit dem zwischen

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater Rechnernetze Übung 8 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2011 Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1 Repeater Switch 1 Keine Adressen 6Byte

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen jan.gassen@fkie.fraunhofer.de 21.02.2012 Forschungsgruppe Cyber Defense Erkennung von Malware Unterschiedliche Verbreitung

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Adressierung im Internet

Adressierung im Internet Adressierung im Internet Adressen sind in einem Netz, wie dem Internet, für einen Datenaustausch absolut notwendig. Jede Ressource, jedes Gerät im Netz muss auf diese Weise eindeutig identifiziert werden.

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie Wolfgang Ginolas Fachhochschule Wedel 21. September 2009 Wolfgang Ginolas (Fachhochschule Wedel) 21. September 2009 1 / 14 Einleitung

Mehr

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius Exploration des Internets der systemorientierte Ansatz Aktivierender Unterricht mit der Lernsoftware Filius Dr. Stefan Freischlad 26.03.2012 1 Agenda 1.Unterricht zu Internetworking 2.Einführung zur Konzeption

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Erkennung und Verhinderung von Netzangriffen

Erkennung und Verhinderung von Netzangriffen Erkennung und Verhinderung von Netzangriffen 1. Firewall 2. IDS 3. AAA-Dienste Labor MMV+RN 1 1. Firewall Analogie: elektronischer Pförtner + elektr. Brandschutzmauer Sicherung u. Kontrolle zw. zu schützendem

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Internet Protocol v6

Internet Protocol v6 Probleme von IPv4 IPv6-Überblick IPv6 unter Linux Internet Protocol v6 Ingo Blechschmidt Linux User Group Augsburg e. V. 5. Januar 2011 Probleme von IPv4 IPv6-Überblick IPv6 unter Linux Inhalt 1 Probleme

Mehr

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe Vorwort zur 2. Ausgabe Vorwort zur Erstausgabe xv xix I Die Grundlagen 1 Einführung 3 1.1 Sicherheitsgemeinplätze.......................... 3 1.2 Auswahl eines Sicherheitskonzepts.....................

Mehr

Einrichten von Internet Firewalls

Einrichten von Internet Firewalls Einrichten von Internet Firewalls Zweite Auflage Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman Deutsche Übersetzung von Kathrin Lichtenberg & Conny Espig O'REILLY* Beijing Cambridge Farnham Köln

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

CCNA Exploration Network Fundamentals. Chapter 6 Subnetze

CCNA Exploration Network Fundamentals. Chapter 6 Subnetze CCNA Exploration Network Fundamentals Chapter 6 Subnetze Chapter 6: Zu erwerbende Kenntnisse Wissen über: Rechnen / Umrechnen im binären Zahlensystem Strukturteile einer IP-Adresse Spezielle IPv4-Adressen

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1)

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1) Netzwerke Teil 4 Adressierung und Netzwerkklassen 11.09.2011 BLS Greifswald Folie 1/26 Netzwerk-Adressierung (1) Ein Protokoll der Netzwerkschicht muss grundsätzlich gewährleisten, das jeder Knoten mit

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Denken wie ein Hacker

Denken wie ein Hacker Denken wie ein Hacker Phasen eines Hackerangriffs Juerg Fischer Juerg.fischer@sunworks.ch Consultant & Trainer Certified EC-Council Instructor Microsoft Certified Trainer www.digicomp.c 2 1 Ihre Daten

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Mailbox Cluster Konzepte

Mailbox Cluster Konzepte Ideen für grosse Mailstores Mailbox Cluster Konzepte Felix J. Ogris (fjo@dts.de) Version 1.0 2008-05-25 Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis 1 Schema 4 2 Storage 5 2.1 Mailbox- und

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Lektion V Datensicherheit im Unternehmen

Lektion V Datensicherheit im Unternehmen Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Seminar aus Informatik

Seminar aus Informatik 2012-06-15 Intrusion Detection Systems (IDS) Ziel: Erkennung von Angriffen und Ausbrüchen Host Based IDS Läuft auf dem Host Ist tief im System verankert Hat Zugriff auf: Prozessinformationen Netzwerkverkehr

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 Sicherheitsrisiken im Internet Gestaltung von Internetzugängen und -angeboten Folie: 3 Agenda: 1. Systematik von IT-Sicherheit und Datenschutz 2. Grundbedrohungen der IT-Sicherheit 3.

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

IT-Service Unsere Leistungen im Überblick

IT-Service Unsere Leistungen im Überblick IT-Service Unsere Leistungen im Überblick Bei uns arbeiten keine Fachleute sondern nur Experten. Täglich stellen wir fest, dass sich Menschen mit schlecht funktionierenden IT-Systemen abfinden und der

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

IPv6-Tunnelbroker leicht gemacht: OpenVPN

IPv6-Tunnelbroker leicht gemacht: OpenVPN IPv6-Tunnelbroker leicht gemacht: OpenVPN 40. DFN-Betriebstagung in Berlin 9.3.-10.3.2004 Copyright 2004 by Christian Strauf Christian Strauf (JOIN) 1 Agenda Was ist ein Tunnelbroker? Szenarien für Tunnelbroker

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Einführung. Übersicht

Einführung. Übersicht Einführung Erik Wilde TIK ETH Zürich Sommersemester 2001 Übersicht Durchführung der Veranstaltung Termine (Vorlesung und Übung) Bereitstellung von Informationen Einführung Internet Internet als Transportinfrastruktur

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

3 Das verbindungslose Vermittlungsprotokoll IP

3 Das verbindungslose Vermittlungsprotokoll IP Das verbindungslose Vermittlungsprotokoll IP 27 3 Das verbindungslose Vermittlungsprotokoll IP In diesem Kapitel lernen Sie das verbindungslose Vermittlungsprotokoll IP näher kennen. Nach dem Durcharbeiten

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

Grundlagen zum Internet. Protokolle

Grundlagen zum Internet. Protokolle Grundlagen zum Internet Grundlagen zum Internet Protokolle TCP/IP Die TCP/IP Protokollfamilie ICMP ARP TCP RARP IP UDP X.25 Ethernet FDDI... IP Das Internet Protokoll (IP) Funktionen des IP-Protokolls

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

AltaVista Internet Software - Internet Security

AltaVista Internet Software - Internet Security AltaVista Software - Security sichere Anbindung an das vertrauliche Kommunikation über das Mathias Schmitz AltaVista Software mathias.schmitz@altavista.digital.com Die Risiken des sind real! Jede 5. Anschluß

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr