Cisco Security Agent. Memmingen, xx.xx.2005

Größe: px
Ab Seite anzeigen:

Download "Cisco Security Agent. Memmingen, xx.xx.2005"

Transkript

1 Cisco Security Agent Ich erkläre hiermit an Eides statt, dass ich die vorliegende Diplomarbeit selbstständig und ohne unzulässige fremde Hilfe angefertigt habe. Die verwendeten Quellen und Hilfsmittel sind vollständig zitiert. Memmingen, xx.xx.2005 i

2 ii Diplomarbeit

3 Cisco Security Agent Zusammenfassung Der Cisco Security Agent ist ein hostbasiertes Intrusion Prevention System. Im Gegensatz zu vielen klassischen Systemen werden Angriffe nicht mit Hilfe von Signaturen ausgewertet, sondern anhand von Verhaltensmustern. Diese Diplomarbeit stellt die Architektur und Funktionsweise des CSAs dar und untersucht die Integrierbarkeit in das Unternehmensnetzwerk der Firma GROB. Eine praktische Umsetzung wird im Rahmen einer Pilotintegration gezeigt. iii

4 iv Diplomarbeit

5 Cisco Security Agent Inhaltsverzeichnis 1 Einleitung Darstellung des Themas/Motivation Ziel der Diplomarbeit Aufbau der Diplomarbeit Ergebnisse der Diplomarbeit I Theorie 3 2 Grundlagen Grundwerte der IT Sicherheit Bedrohungen Malware Buffer-Overflows Hacker-Angriffe Verbreitungsgeschwindigkeiten Benötigtes Wissen Abwehr von Bedrohungen Techniken zur Bedrohungsabwehr Probleme bei der Bedrohungsabwehr Drei Ebenen der HIPS Cisco Self Defending Networks Cisco Security Agent Komponenten der Cisco Security Agent Architektur CSA Management Center Agents SQL Datenbank Webbrowser INCORE Policies und Rules Prioritäten und Aktionen von Regeln Typen von Regeln Global Event Correlation State Sets Testmode Applikations-Klassen Syntax / Variablen Syntax Variablen v

6 Diplomarbeit 3.5 Events, Alerts und Reports Events Alerts Reports Cisco Security Agent Analysis Application Deployment Investigation/Reports Application Behaviour Investigation Integration des CSA in die IT-Infrastuktur der Fa. GROB Ist-Zustand des IT-Sicherheitskonzeptes der Fa. GROB CSA Integrations-Konzept bei der Firma GROB Technische Voraussetzungen Unterstützte Systeme bei der Firma GROB Deployment Konzepte Roll-Out Konzept Policy/Regel Erstellung Agent Installation CSA MC Integration CSA GROB USA & Brasilien CSA und andere Sicherheitssysteme Betrieb des CSA Ausfall des CSA MC CSA und IP-Telephonie Cisco Network Admisson Control Architektur Cisco Trust Agent Funktionsweise Microsoft NAP vs. Cisco NAC NAC und Address Spoofing NAC bei der Firma GROB II Einsatz der Cisco Security Agents in der Praxis 64 6 Installation der CSAs Installation des CSA-Management Centers Installation der Security Agents Test auf verschiedene Angriffsszenarien Nmap & Nessus Windump/TCPdump LAND-Angriff vi

7 Cisco Security Agent 7.4 Windows 2000 EMF DOS Vulnerability Microsoft Windows Image Rendering Memory Limit DoS Windows Explorer Code Injection Metasploit Framework Best Free Keylogger Schutz vor Deaktivierung Vergleich mit VirusScan 8.0i Zusammenfassung Performanceauswirkungen 72 9 Übernahme des Systems in das Produktivnetzwerk Gruppen, Policies und Regelmodule Gruppen Policies Regelmodule Produktivsetzung Probleme bei der Regelwerkerstellung Aufgetretene Fehler Auffälliges III Fazit & Ausblick Fazit Cisco Security Agent Roadmap Alternativen zum CSA McAfee Entercept Sana Security Primary Response Platform Logic Appfire - Symantec Einordnung der Alternativen Zusammenfassung Hinweis auf die verwendete Literatur 99 Literatur 104 Abkürzungs- und Symbolverzeichnis 105 vii

8 Diplomarbeit Abbildungsverzeichnis 108 Tabellenverzeichnis 109 Anhang 110 A Pilotsysteme 110 A.1 Server System A.2 Desktop Systeme B Systemvoraussetzungen 116 B.1 Cisco Security Agents B.2 Cisco Security Agent Management Console C Cisco NAC 119 D Cisco Support 120 viii

9 Cisco Security Agent 1 Einleitung 1.1 Darstellung des Themas/Motivation Im Rahmen der Diplomarbeit wird die CSA Architektur vorgestellt, der Ist-Zustand des IT-Security Konzeptes der Firma GROB kurz dargestellt und ein Lösungsansatz für die Integration der Cisco Security Agents entwickelt. Die Motivation dieser Arbeit ist die ständige Weiterentwicklung aktueller Bedrohungen, denen IT-Systeme heutzutage ausgesetzt sind. Trends zeigen, dass die klassischen Systeme wie Firewalls und Virenscanner bei der stetig wachsenden Anzahl von Bedrohungen oft nicht mehr ausreichend sind und es einer neuen Form von Sicherheitssoftware bedarf. 1.2 Ziel der Diplomarbeit Das Ziel der Diplomarbeit ist es, die Funktionsweise und die Architektur des Cisco Security Agent aufzuzeigen. Das Sicherheitskonzept der Firma GROB soll kurz dargestellt und darauf aufbauend, ein Konzept zur Integration der CSA erarbeitet werden. In einem praktischen Versuch soll die CSA Architektur aufgebaut und getestet werden und eine mögliche Umsetzung in das Produktivnetzwerk der Firma GROB gezeigt werden. 1.3 Aufbau der Diplomarbeit Der Aufbau dieser Arbeit gliedert sich in drei Teile. Im theoretischen Teil wird zunächst allgemein auf verschiedene Bedrohungen und auf grundsätzliche Probleme bei deren Abwehr eingegangen. Im Anschluss daran wird die CSA Architektur vorgestellt. Schließlich wird das momentane Sicherheitskonzept der Firma GROB kurz dargestellt und ein Integrationsansatz des CSA gezeigt. Im zweiten Teil wird der Cisco Security Agent in der Praxis getestet. Die Durchführung mehrerer Angriffsszenarien wird dargestellt. Schließlich wird die praktische Umsetzung des CSAs anhand einer Pilotintegration gezeigt. Der dritte und letzte Teil fasst die Ergebnisse noch einmal kurz zusammen und gibt einen Ausblick auf die weitere mögliche Entwicklung des CSAs. 1.4 Ergebnisse der Diplomarbeit Der CSA ist ein beeindruckendes Mittel zu Bedrohungsabwehr, der in einer Testumgebung sehr gut funktioniert. Es zeigte sich aber bei der Umsetzung für die Firma GROB, dass der CSA noch nicht zuverlässig in einer produktiven Umgebung eingesetzt werden kann. Während der Umsetzung zeigten sich zu viele Fehler. Des Weiteren lässt sich nur sehr schwer ein Verhältnis zwischen einem Sicherheitsnutzen des CSA und Benutzerfreundlichkeit finden. Das eingesetzte Regelwerk lässt sich nicht vernünftig an eine reale Umgebung anpassen. Insgesamt ergab die Arbeit, dass der Einsatz des CSA für die Firma GROB nur bedingt zu empfehlen ist. 1

10 2 Diplomarbeit

11 Cisco Security Agent Teil I Theorie 2 Grundlagen Die folgende Einführung soll aufzeigen, welche grundsätzlichen Gefahren und Bedrohungen für heutige IT Umgebungen existieren und welche Entwicklungen und Tendenzen festzustellen sind. Im zweiten Teil werden Möglichkeiten und Probleme bei der Abwehr dieser Gefahren aufgezeigt. Schließlich wird die Self Defending Network Strategie von Cisco als möglicher Lösungsvorschlag kurz vorgestellt. Ein Teil dieser Strategie ist der Cisco Security Agent. 2.1 Grundwerte der IT Sicherheit Grundsätzlich kann man nach [BSI04] von drei Grundwerten ausgehen, die man vor Bedrohungen schützen muss: Vertraulichkeit Von Vertraulichkeit spricht man, wenn es keinem unberechtigten Benutzer oder Angreifer möglich ist, an Daten oder Informationen durch Abhören des Netzverkehrs zu gelangen. Integrität Die Integrität eines Datenobjektes ist gewährleistet, wenn keine unautorisierten oder unbemerkten Manipulationen von Informationen stattfinden können. Verfügbarkeit Die Verfügbarkeit garantiert, dass der Zugriff auf Informationen oder andere Ressourcen nur berechtigten Benutzern möglich ist und nicht durch andere unautorisiert beeinträchtigt werden kann. Daneben werden häufig noch weitere Begriffe rund um die IT-Sicherheit genannt. Authentisierung, Autorisierung, Datenschutz und Datensicherheit sind nur einige Beispiele. [BSI04, S.8] 2.2 Bedrohungen Malware Malware kommt aus dem Englischen und ist eine Zusammensetzung der Wörter malicious und software. Es bezeichnet somit wörtlich übersetzt bösartige Software [ES03]. Folgender Abschnitt soll einen kurzen Überblick über die Vielzahl verschiedener Typen von Malware geben, von denen heutige Computersysteme bedroht werden. 3

12 Diplomarbeit Computerviren Ein Computervirus ist die wohl bekannteste und älteste Art von Malware. Ein Virus wird als ein nicht selbständiges Programmfragment definiert, das sich selbst reproduziert und an andere Dateien anhängt. Dazu ist in der Regel eine Benutzerinteraktion notwendig. D.h. ein Benutzer muss in der Regel eine infizierte Datei öffnen. Obwohl sie schon relativ alt sind, werden sie immer noch häufig in Kombination mit anderer Malware verwendet. Die Schäden, die Viren anrichten, können stark variieren. Manche Viren löschen oder verändern Dateien, andere installieren weitere Malware wie Backdoors oder verschicken Daten via Mail. Wiederum andere haben keine Schadensroutinen und spielen z.b. nur Musik ab. Computerwürmer Ein Wurm ist, ähnlich einem Virus, ein selbst replizierendes Programm. Im Gegensatz zu Viren benötigen Würmer aber in der Regel keine Benutzerinteraktion um sich zu vermehren. Die Verbreitung erfolgt nicht nur über Dateien. Vielmehr nutzen Würmer Netzverbindungen und verbreiten sich beispielsweise über Dateifreigaben, durch Ausnutzung von Exploits, falsch administrierte -Server oder einfach nur durch Raten von zu schwachen Passwörtern. Die Auswahl des nächsten Opfers kann unter anderem durch lokale -Adressbücher, durch zufällige Generierung von IP-Adressen oder durch Auswahl von Clients im selben LAN erfolgen. Neben dem, dass sie die gleichen Schadensroutinen wie Viren aufweisen, eignen sich Würmer, insbesondere durch ihre schnelle Verbreitung und dadurch große Zahl an Opfern, für Distributed Denial of Service (DoS) -Angriffen oder anderen Brute-Force-Methoden wie z.b. Password Cracking. Malicious Mobile Code Die Idee hinter mobilen Code ist, dass ein, im Vergleich zu anderen Applikationen leichtgewichtiges Programm, von einem Server geladen wird und auf dem Client ausgeführt wird. In der Regel wird es z.b. zur Generierung von dynamischen Inhalten einer Webseite benutzt. Leider ist es auch möglich, dieses Konzept für ungewünschte Zwecke zu missbrauchen. Typische Mobile Code Scripts sind z.b. Browser Skripts, VB Skripts, Microsofts ActiveX Controls, Java Applets, etc. Eine in diesem Zusammenhang typische Bedrohung ist das sogenannte Cross Site Scripting. Backdoors Backdoors sind Programme, die es einem Angreifer erlauben, die normalen Sicherheitsrichtlinien eines Systems zu umgehen und Zugriff auf dieses zu bekommen. Nach [ES03] kann man folgende Zugriffsmöglichkeiten unterscheiden: Lokale Steigerung der Nutzerrechte Ermöglicht es einem Angreifer mit lokalen Rechten, mit Hilfe einer Backdoor Administrations- bzw. Root-Rechte zu erlangen. 4

13 Cisco Security Agent Entfernte Ausführung von Kommandos Hierbei unterscheidet man zwei Möglichkeiten. Die eine ermöglicht es einem Angreifer, einzelne individuelle Kommandos auf der Maschine auszuführen. Die andere ermöglicht dem Angreifer den Zugriff auf einen Kommandozeileninterpreter (Remote Shell). Ein einfaches Beispiel wäre das allseits beliebte Tool Netcat. Durch einfachen Aufruf lässt es sich an den lokalen Kommandozeileninterpreter binden. nc -l -p e cmd.exe Entferntes Benutzerinterface Die wohl komfortabelste Art für einen Angreifer ist ein entferntes Benutzerinterface. Hier hat man vollständigen Zugriff auf das System und kann sogar die Aktionen des angemeldeten Benutzers sehen. Beispiele hierfür wäre SubSeven, Back Orifice2000 aber auch gängige kommerzielle und freie Remote GUI Tools wie Virtual Network Computing (VNC), die von Angreifern missbraucht werden können. Egal welche Zugriffsmöglichkeit auch gewählt wird, sie sind alle darauf ausgerichtet den entfernten Rechner vollständig zu kontrollieren und für eigene Aufgaben, zu missbrauchen. Trojanische Pferde Ein Trojanisches Pferd, auch kurz Trojaner genannt, ist ein Programm, das dem Anschein nach, normale Funktionalität zur Verfügung stellt, aber in Wirklichkeit eine bösartige, schädliche Funktionalität verschleiert. Die einfachste Möglichkeit, Programme zu tarnen, besteht darin, z.b. unter Windows einfach Leerzeichen zwischen mehreren Dateisuffixen einzufügen, um damit Benutzter evtl. zu täuschen. Eine andere Möglichkeit ist es, bekannte Dateinamen zu verwenden. Zum Beispiel ist es relativ unauffällig, wenn ein weiterer Prozess mit dem Namen iexplore.exe im Taskmanager von Windows auftaucht. Besonders hinterlistig ist es, wenn man den Namen eines wichtigen Systemprozesses, z.b. unter Windows 2000 smss.exe oder services.exe verwendet, da diese vom Taskmanager nicht ohne weiteres beendet werden können. Die dritte Art ist die Kombination von beliebten Programmen mit bösartigen oder schädlichen Programmteilen. Sie können mit Hilfe von Wrappertools (vgl. Abbildung 1) erstellt werden. Spyware und Adware Abgesehen von den oben aufgeführten Typen von Malware, werden in diesem Zusammenhang oft auch noch Spyware und Adware genannt. Mit Spyware bezeichnet man Programme, die das Surfverhalten oder andere persönlichen Informationen des Benutzers aufzeichnen und an Dritte weiterleiten. Adware sind Programme, die 5

14 Diplomarbeit Abbildung 1: Wrappertool durch Werbeeinblendungen finanziert werden und somit dem Benutzer kostenlos zur Verfügung gestellt werden können. Sie sind der Definition nach keine Malware. Da aber Adware häufig Spyware enthält, werden beide Begriffe oft irrtümlich gleichgesetzt. Zusammenfassung Die hier genannten Arten von Malware lassen sich in der Praxis meist nicht so einfach differenzieren. Vielmehr kommen sie als Mischformen vor, weshalb es häufig zu Verwechslungen der Begriffe kommt. Sicherlich kann man über Malware noch viel mehr berichten. Da dies aber nicht den Schwerpunkt dieser Diplomarbeit darstellt, wird hier auf das Buch [ES03] verwiesen Buffer-Overflows sogenannte Buffer-Overflow-Angriffe nützen Schwachstellen in Programmen aus, die aufgrund von falscher oder nachlässiger Programmierung entstehen können. Werden in einem Programm Daten variabler Länge in einen Datentyp fester Länge geschrieben, ohne dass das Programm überprüft, ob die Daten überhaupt in den vorhergesehenen Speicherplatz hineinpassen, kommt es zu einem Buffer-Overflow. Ziel eines Buffer-Overflow-Angriffs ist es also, den Speicherbereich einer Variablen zu überschreiben. Der Speicherbereich einer Variablen kann dabei im Heap, Stack oder Shared Memory Bereich liegen. Am häufigsten werden Buffer-Overflow-Angriffe auf Speicherbereiche des Stack Segmentes durchgeführt. Ziel ist es, durch gezielte Überläufe einzelner Variablen, die Rücksprungadresse eines Methodenaufrufs zu überschreiben. Wird die Rücksprungadresse mit keinen sinnvollen Daten überschrieben, kommt es aufgrund eines Segmentation Fault (Speicherzugriffsfehlers) zu einem Absturz des Programms. Ein Angreifer kann dadurch zwar das System oder eine Applikation zum Absturz bringen, 6

15 Cisco Security Agent kann aber noch keinen eigenen Code ausführen. Dazu muss er eine gültige Rücksprungadresse angeben. Da diese oft nicht genau ermittelt werden kann, kann der Angreifer durch Einfügen von No-Operations (NOPs), welche vom Prozessor einfach ignoriert und übersprungen werden, dafür sorgen, dass der eingeschleuste Code ausgeführt wird (vgl. Abbildung 2). [Eck05, S.26-28] Abbildung 2: Einschleusen von Code mit NOPs-Befehlen [Eck05] Hacker-Angriffe Ein Angriff ist als nicht autorisierter Zugriff bzw. Zugriffversuch auf ein System definiert. Man kann dabei zwischen aktiven und passiven Angriffen unterscheiden. Passive Angriffe richten sich gegen die Vertraulichkeit und dienen der unautorisierten Informationsgewinnung. Die häufigsten passiven Angriffe sind sogenannte Sniffer-Angriffe, wobei Netzverkehr z.b. nach Passwörtern abgehört wird. [Eck05, S.14] Aktive Angriffe richten sich gegen die Datenintegrität oder gegen die Verfügbarkeit eines Systems. Dazu zählen, das gezielte Ändern oder Entfernen von Datensätzen, aber auch Spoofing- oder Denial-of-Service (DoS) Angriffe fallen unter diese Kategorie. [Eck05, S.14-15]. Abbildung 3 zeigt die fünf Phasen, die Cisco bei einem Hackerangriff unterscheidet. Typisch für einen Angriff ist, dass er in aufeinander folgenden Phasen durchgeführt wird. Jede der folgenden Phasen ist dabei von der erfolgreichen Durchführung der Vorgängerphase abhängig. Probe Phase In der Testphase werden verwundbare Systeme ausfindig gemacht bzw. identifiziert. Oft werden Ping Scans verwendet, um Netzwerke zu analysieren und offene Ports 7

16 Diplomarbeit Abbildung 3: Life Cylce of an Attack - Quelle Cisco Systems von Applikationen aufzuspüren. Zu dieser Phase zählen aber auch Methoden, um Passwörter zu erlangen, sei es durch Social Engineering, Abhören des Netzverkehrs, Dictionary- oder Brute-Force-Attacken. Penetration Phase In dieser Phase wird versucht, ein Exploit Code auf das Zielsystem zu übertragen und auszuführen. Hierbei gibt es mehrere Methoden. Die Schadensroutine kann durch -Anhänge, Java Applets oder ActiveX Controls, Buffer-Overflows oder mit bereits auf dem Zielsystem eingerichteten, Backdoors oder Trojanern übertragen und gestartet werden. Persist Phase Ziel dieser Phase ist es, die Schadensroutine, die bisher nur temporär, z.b. im Arbeitspeicher des Systems vorhanden ist, dauerhaft auf dem System einzurichten. Dies wird durch die Einrichtung neuer Services, Modifikation existierender Dateien, Erstellung von Registry Keys, etc. erreicht. Propagate Phase In dieser Phase wird versucht, die Schadensroutine auf weitere Systeme auszubreiten, indem andere Systeme attackiert werden. Zu den Ausbreitungsmechanismen zählen das Versenden von s, Upload von Dateien auf FTP Server oder andere 8

17 Cisco Security Agent Dateifreigaben im LAN, aktive Internetverbindungen und andere Methoden. Paralyze Phase Die letzte Phase zeichnet sich dadurch aus, dass dem System Schaden zugefügt wird. Dateien können gelöscht, verändert oder gestohlen, Computer Systeme zum Absturz gebracht, Netz- oder Rechenressourcen zur Ausführung von verteilten Denial of Service Attacken bzw. Password-Cracking missbraucht werden. Vergleicht man die Angriffe über die letzten Jahre, fällt folgendes auf: Während die ersten beiden Phasen laufend Änderungen unterworfen sind und immer wieder neue Techniken und Exploits entwickelt werden, sind die restlichen drei Phasen relativ konstant und nur wenigen Änderungen unterworfen. [Cis03b, S.3ff] Verbreitungsgeschwindigkeiten Untersucht man die Zeitdauer, die zwischen der Entdeckung einer Schwachstelle und dem Auftreten eines ersten Exploits liegt, stellt man fest, dass diese Zeitspanne tendenziell immer kürzer wird. Tabelle 1 gibt einen Überblick über ein paar der populärsten Angriffe der letzten Jahre. Vulnerability Meldung Erste Exploit Meldung Nimda [UC00] (9 Monate) [CER01] SQL Slammer [UC02] (6 Monate) [CER03b] MS Blaster [UC03] (26 Tage) [CER03a] Sasser [UC04b] (18 Tage) [UC04a] Santy [UC04c] (32 Tage) [UC04d] Tabelle 1: Vulnerability und Exploit Hinweise bekannter Bedrohungen Benötigtes Wissen Ein weiteres Phänomen ist, dass das nötigte Wissen zur Durchführung eines Angriffs rapide gesunken ist. War früher noch ein hohes Maß an technischem Verständnis und Wissen bei Angreifern oder Hackern erforderlich, so wird dieses heutzutage nicht mehr in dem selben Umfang benötigt. Vielmehr bietet das Internet sogenannten Script Kiddies die Möglichkeit, fertige Angriffswerkzeuge herunterzuladen und Angriffe ohne das eigentliche Hintergrundwissen durchzuführen. Im Gegenzug nimmt die Raffinesse, mit welcher die eingesetzten Tools arbeiten, immer stärker zu. (vgl. Abbildung 4) [J.H01, S.3] 2.3 Abwehr von Bedrohungen Techniken zur Bedrohungsabwehr Nach [Eck05] gibt es drei grundlegende Ansätze, Bedrohungen abzuwehren, die entweder einzeln oder miteinander kombiniert eingesetzt werden können: 9

18 Diplomarbeit Abbildung 4: Benötigtes Wissen, das zur Durchführung eines Angriffs benötigt wird Verhinderung Die Verhinderung ist nach Eckert die wohl zufriedenstellendste Lösung. Sie bietet Sicherheit per Design. D.h. bereits während der Softwareerstellung wird versucht, spätere Bugs und Angriffsmöglichkeiten auszuschließen. Wie aber bereits die Motivation dieser Arbeit darstellt, ist man davon heute in der Praxis noch sehr weit entfernt. Erkennung und Behebung Zu der zweiten Kategorie, Erkennung und Behebung, zählen Systeme wie Virenscanner, Intrusion Detection und Prevention Systeme, aber auch Techniken, die im Programmcode mögliche Schwachstellen entdecken können. Schadensbegrenzung Zur Schadensbegrenzung zählen Ansätze, die die Auswirkung von möglichen Bedrohungen begrenzen. D.h. immer nur ein Teilsystem des Ganzen ist gefährdet. Beispiele hierfür sind Sandboxing Ansätze (vgl. JAVA) oder Techniken zur Vermeidung von Buffer-Overflows, wie z.b. die Buffer-Overflow-Protection von Windows 2003 (Stack cookie). Ein Programm, das in einer Sandbox läuft, kann auf das darunter liegende System nur in beschränkten Maß zugreifen. Dadurch wird zwar der Funktionsumfang eingeschränkt, aber die Sicherheit für das System erhöht. [Eck05, s25-26] Probleme bei der Bedrohungsabwehr Das große Problem bei der Bedrohungsabwehr ist, dass die Systeme die heute dafür eingesetzt werden, meist auf Signaturen basieren. Diese Abwehr funktioniert effektiv, solange man immer die aktuellsten Signaturen bzw. Virendefinitionen oder Heuristiken besitzt und alle Systeme auf dem aktuellsten Stand sind. 10

19 Cisco Security Agent Diese Abwehr von Bedrohungen stößt aber an seine Grenzen, sobald neue, noch unbekannte Angriffsformen auftreten. Abbildung 5 zeigt den kritischen Bereich, den man zwischen einem ersten Auftreten und einem ersten Patch oder Signaturupdate für eine Verwundbarkeit hat. Abbildung 5: Update Race! Insgesamt arbeiten die meisten Systeme reaktiv. Sie können Bedrohungen erst abwehren, wenn sie das erste Mal aufgetreten sind und aufgezeichnet wurden. Im Gegensatz dazu stehen proaktive Systeme. Sie verwenden keine Signaturen. Stattdessen wird versucht, das Verhalten einer Aktivität zu analysieren. In welche verschiedenen Klassen man hostbasierte Systeme zur Bedrohungsabwehr einordnen kann, zeigt der nächste Abschnitt Drei Ebenen der HIPS Nach [Mac05] lassen sich die heute auf dem Markt befindlichen, Host Intrusion Prevention Systeme (HIPS) in insgesamt neun verschiedene Typen unterteilen. Zum einen kann man unterscheiden, in welchem Zustand sich der auszuführende Code befindet bzw. auf welcher Ebene der Code analysiert wird. Dieser kann auf Netzwerk- Ebene gerade dabei sein, in das System einzudringen, auf der Applikations-Ebene sich bereits auf dem System befinden oder auf der Verhaltens-Ebene während der Ausführung analysiert werden. Daneben gibt es noch verschiedene Ansätze, welche Art von Code geblockt oder erlaubt wird: Bekannter bösartiger Code wird geblockt und alles andere erlaubt, nur gutartiger Code wird erlaubt und alles Unbekannte geblockt oder schließlich die Betrachtung von völlig unbekanntem Code, welcher zunächst analysiert werden muss. Somit ergeben sich insgesamt neun verschiedene Schutz-Stile, in die man HIPS unterteilen kann (vgl. Abbildung 6). Network Level HIPS Auf Netzwerk-Ebene arbeitende Host Intrusion Protection Systeme analysieren einund idealerweise auch ausgehenden Netzwerkverkehr und verwerfen eventuelle schadhafte Pakete mit dem Ziel, schadhafte Programmroutinen erst gar nicht den Zugang zu einen System zu gewähren. Bekannteste Vertreter dieser Kategorie dürften Personal Firewalls sein. Sie werden so konfiguriert, dass lediglich ausgewählte, gutartige Programme der Zugriff auf das Netzwerk gewährt wird. 11

20 Diplomarbeit Abbildung 6: Gartner Three Levels and Nine Protection Styles of HIPS Attack-Facing Network Inspection Produkte basieren auf Mustern (engl. patterns) bzw. Signaturen. Sie sind dafür prädestiniert bekannte Angriffsformen, wie Würmer, Portscans, OS Fingerprintings, etc. zu unterbinden. Die dritte Kategorie der Network Level HIPS, Vulnerability Facing Network Inspection, ist in der Lage auch unbekannte Angriffe zu erkennen. Hierfür werden verschiedene verhaltensbasierte Filtertechnologien verwendet. Diese sind aber um einiges ressourcenintensiver, als die beiden anderen Techniken. [Mac05, S.3f] Application Level HIPS Applikationsbasierte Intrusion Protection Systeme untersuchen den Code bevor dieser ausgeführt wird. Hierzu zählen klassische Antiviren Produkte, welche bekannte schadhafte Programmroutinen blockieren. Eine Kategorie weiter wird System Hardening aufgeführt. Hierbei wird ein System soweit eingeschränkt, dass nur noch bekannte oder erlaubte und keine anderen Applikationen ausgeführt werden können. Teilweise wird auch das Betriebssystem selbst miteinbezogen. Diese Vorgehensweise eignet sich aber hauptsächlich für Server und Embedded-Systeme. Die aufwendigste Art auf dieser Ebene, die auch unbekannte Bedrohungen erkennen kann, ist das Application Inspection. Dabei wird jeder System- oder API-Aufruf auf möglicherweise schadhaften Code untersucht und gegebenenfalls geblockt. [Mac05, S.4] Behaviour Level HIPS Verhaltensbasierte HIPS untersuchen den Code während der Ausführung und stellen somit die letzte Möglichkeit dar, bereits auf dem System befindliche Schadensroutinen zu entdecken und zu unterbinden. Resource Shielding verhindert, wie auch auf den anderen beiden Levels, Attacken anhand von Signaturen und unterbindet somit bekannte Angriffs- und Verhaltens- 12

21 Cisco Security Agent muster. Eine Kategorie weiter wird das Application Hardening eingeordnet, welches die Möglichkeit bietet, Applikationen den Zugriff auf Ressourcen nur dann zu gewähren, wenn diese zur Durchführung ihrer Aufgaben unbedingt benötigt werden. Lösungen dieser Kategorie arbeiten meist mit Regelwerken, durch die gewisse Aktionen erlaubt oder verboten werden. Regelprofile gängiger Standard-Applikationen werden teilweise mit angeboten. Problematisch bei dieser Kategorie ist der Umgang mit neuen oder unbekannten Applikationen. Diesem Problem versucht man mit der letzten Kategorie, dem Behavioural Containment, entgegen zu wirken. Man unterscheidet zwischen mehr passiven oder aktiven Systemen. Eher passive Systeme benutzen Ansätze wie Sandboxing, Virtualisierung oder die Verwendung von Accounts mit weniger Berechtigungen. Sämtlichem Code wird die Ausführung erlaubt. Eine Schädigung des darunter liegenden Betriebssystems ist aber nicht möglich. Mehr aktive Systeme verwenden Verhaltensregeln, die festlegen, was erlaubt ist und was nicht. Ein anderer Ansatz ist, das Verhalten verschiedener Applikationen über einen gewissen Zeitraum aufzuzeichnen. Sind später bei dem regulären Betrieb zu starke Abweichungen festzustellen, gibt dies einen Hinweis auf einen eventuellen Angriff. Ein weiterer Ansatz verwendet Heuristiken. Applikationen werden hier gegen eine große Menge bekannter gutartiger und schädlicher Verhaltensmuster untersucht. Verdächtige Aktivitäten werden auf diese Weise ohne eine lang andauernde Lernoder Konfigurationsperiode gestoppt. [Mac05, S.4f] Ein gutes und effektives HIPS sollte im Idealfall möglichst mehrere der eben vorgestellten Kategorien abdecken. Der in dieser Arbeit zu untersuchende CSA wird von [Mac05] in die Kategorie Active Behavioural Containment und Application Hardening eingeordnet. 2.4 Cisco Self Defending Networks Die Self Defending Network Strategie ist ein neuer Ansatz von Cisco, Bedrohungen für Netzwerke und IT-Systeme zu erkennen, zu verhindern und sich an die laufenden Änderungen anzupassen. [Cis05a] Die Idee, die hinter diesem Ansatz steckt, ist es, die Sicherheit nicht mehr einzelnen Systemen zu überlassen, sondern sie vollständig in das Netzwerk zu integrieren. D.h. einzelne Systeme sollen nicht mehr allein, sondern in Zusammenarbeit mit anderen, den notwendigen Schutz bieten. Die Cisco Self Defending Network Strategie bringt drei Bereiche die für die Sicherheit von besonderer Bedeutung sind zusammen: Trust and Identify Management, Secure Connectivity Systeme und Threat Defense Systeme. 13

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services 5 Schritte zur IT-Sicherheit Johannes Nöbauer Leiter Enterprise Services 5 (einfache) Schritte zur IT-Sicherheit Sicherheitsupdates für Betriebssysteme installieren Sicherheitsupdates für alle Anwendungen

Mehr

Cisco ProtectLink Endpoint

Cisco ProtectLink Endpoint Cisco ProtectLink Endpoint Kostengünstige Daten- und Benutzersicherheit Wenn der Geschäftsbetrieb erste Priorität hat, bleibt keine Zeit für die Lösung von Sicherheitsproblemen, ständiges Patchen und Bereinigen

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

KASPERSKY SECURITY FOR VIRTUALIZATION 2015 KASPERSKY SECURITY FOR VIRTUALIZATION 2015 Leistung, Kosten, Sicherheit: Bessere Performance und mehr Effizienz beim Schutz von virtualisierten Umgebungen AGENDA - Virtualisierung im Rechenzentrum - Marktübersicht

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security

Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Trend Micro Virtualisierte Rechenzentren absichern mit Deep Security Ferdinand Sikora Channel Account Manager Etappen der Virtualisierung Stage 1 Server Virtualisierung Stage 2 Erweiterung & Desktop Server

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

Sophos Anti-Virus im Active Directory

Sophos Anti-Virus im Active Directory Folie S1 Sophos Anti-Virus im Active Directory Sophos Enterprise Manager und Enterprise Library auf AD-Server GWD-Software Abonnement verschiedener Sophos-Produkte, Vorhaltung der abonnierten Antiviren-Software

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Thema: Systemsoftware

Thema: Systemsoftware Teil II 25.02.05 10 Uhr Thema: Systemsoftware»Inhalt» Servermanagement auf BladeEbene» Features der ManagementSoftware» Eskalationsmanagement» Einrichten des Betriebssystems» Steuerung und Überwachung»

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

2. Automotive SupplierS Day. Security

2. Automotive SupplierS Day. Security 2. Automotive SupplierS Day Security Cyber security: Demo Cyberangriffe Steigen rasant An BEDROHUNGEN VERÄNDERN SICH: Heutige Angriffe durchdacht und erfolgreich Damage of Attacks DISRUPTION Worms Viruses

Mehr

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen...

Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... PRETON TECHNOLOGY Was ist PretonSaverTM... 3 PretonSaver's... 3 PretonCoordinator... 3 PretonControl... 4 PretonSaver Client... 4 PretonSaver TM Key Funktionen... 4 System Architekturen:... 5 Citrix and

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K.

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. ESET Technologien und Produkte Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. Wer ist ESET? ESET, spol. s r.o. & Patrick Karacic DATSEC Data Security e. K. ESET, spol. s

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Angriffe auf Windowssysteme

Angriffe auf Windowssysteme Angriffe auf Windowssysteme von Markus Diett Ruhr-Universität Bochum Lehrstuhl Kommunikationssicherheit Seminar: IT-Sicherheit Wintersemester 2003/2004 Fachsemster: 5 Matrikel-Nr.: 108 001 21522 6 Betreut

Mehr

Den Browser isolieren mit GeSWall

Den Browser isolieren mit GeSWall Den Browser isolieren mit GeSWall Das Programm GeSWall von S.a.r.l. aus Luxemburg ist eine sandbox/policy restrictions Anwendung in englischer Sprache. http://www.gentlesecurity.com Eine Feature Übersicht

Mehr

theguard! ApplicationManager Version 3.0

theguard! ApplicationManager Version 3.0 theguard! ApplicationManager Version 3.0 Stand 08/07/2007 Der ApplicationManager ist eine 3-schichtige Client-Server Applikation für die es System- Voraussetzungen in verschiedenen Ausprägungen gibt Das

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2

Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Systemvoraussetzungen Windows Server 2008 Windows Server 2008 R2 Basis: HiScout 2.5 Datum: 17.06.2015 14:05 Autor(en): HiScout GmbH Version: 1.1 Status: Freigegeben Dieses Dokument beinhaltet 13 Seiten.

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl

SMARTPHONES. Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl SMARTPHONES Möglichkeiten, Gefahren, Sicherheit Best Practice Peter Teufl A-SIT/Smartphones iphone security analysis (Q1 2010) Blackberry security analysis (Q1 2010) Qualifizierte Signaturen und Smartphones

Mehr

3 Konfiguration von Windows

3 Konfiguration von Windows Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: Die UAC (User Account Control) Der Windows Defender Sicherheit im Internet Explorer 7 Die Firewall Prüfungsanforderungen

Mehr

Systemvoraussetzungen 13.3

Systemvoraussetzungen 13.3 Systemvoraussetzungen 13.3 CMIAXIOMA - CMIKONSUL - CMISTAR August 2013 Systemvoraussetzungen 13.3 Seite 2 / 9 1 Allgemeines Der Support der CMI-Produkte richtet sich nach der Microsoft Support Lifecycle

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

Absicherung von Linux- Rechnern mit grsecurity

Absicherung von Linux- Rechnern mit grsecurity Absicherung von Linux- Rechnern mit grsecurity Brandenburger Linux Infotag, 23. April 2005 Wilhelm Dolle, Director Information Technology interactive Systems GmbH 1 Agenda Grundlagen und Historie von grsecurity

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

MALWARE AM BEISPIEL VON STUXNET

MALWARE AM BEISPIEL VON STUXNET MALWARE AM BEISPIEL VON STUXNET IAV10/12 24.05.2011 Jan Heimbrodt Inhalt 1. Definition Was ist Malware? 2. Kategorisierung von Malware Viren, Würmer, Trojaner, 3. Was macht Systeme unsicher? Angriffsziele,

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

Der optimale Schutz für dynamische Unternehmens-Netzwerke

Der optimale Schutz für dynamische Unternehmens-Netzwerke Der optimale Schutz für dynamische Unternehmens-Netzwerke Kaspersky Open Space Security steht für den zuverlässigen Schutz von Firmen- Netzwerken, die immer mehr zu offenen Systemen mit ständig wechselnden

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld.

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld. Die perfekte Personal Firewall, gibt es sie? Wilfried Gericke Dr.Phil(USA) Dipl.-Math IT-Sicherheitsbeauftragter Inhalt: Motivation Grundlagen Firewall Grundlagen Personal Firewall Beispiele von Personal

Mehr

HTBVIEWER INBETRIEBNAHME

HTBVIEWER INBETRIEBNAHME HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten

Mehr

Breaking the Kill Chain

Breaking the Kill Chain Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved. Typischer Ablauf eines zielgerichteten

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

UniversitätsRechenZentrum Uni Basel. 2) Vorbereitungen

UniversitätsRechenZentrum Uni Basel. 2) Vorbereitungen Installation der Cisco AnyConnect VPN Client Software für Windows VPN - Virtual Private Network - bietet eine sichere Verbindung zum Netz der Uni Basel. Neben der klassischen VPN-Software bietet die neue

Mehr

Trend Micro DeepSecurity

Trend Micro DeepSecurity Trend Micro DeepSecurity Umfassende Sicherheit für physische, virtuelle und Server in der Cloud Christian Klein Senior Sales Engineer CEUR Trend Micro marktführender Anbieter von Sicherheitslösungen für

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Systemvoraussetzungen 14.0

Systemvoraussetzungen 14.0 Systemvoraussetzungen 14.0 CMIAXIOMA - CMISTAR 29. Oktober 2014 Systemvoraussetzungen 14.0 Seite 2 / 12 Inhaltsverzeichnis 1 Allgemeines... 3 1.1 Support Lifecycle Policy... 3 1.2 Test Policy... 3 1.3

Mehr

Beschreibung Mobile Office

Beschreibung Mobile Office Beschreibung Mobile Office 1. Internet / Netz Zugriff Für die Benutzung von Mobile Office ist lediglich eine Internet oder Corporate Netz Verbindung erforderlich. Nach der Verbindungsherstellung kann über

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Gefahren durch Trojaner und Malware

Gefahren durch Trojaner und Malware Gefahren durch Trojaner und Malware Ablauf einer Trojaner-Infektion Es gibt verschiedene Möglichkeiten für Trojaner, einen Computer zu befallen. Bei fast allen Trojanern ist das Zutun eines Anwenders für

Mehr

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11 Systemanforderungen für EnlightKS Online Certification Management Services ET2.13 Juni 2011 EnlightKS Candidate, EnlightKS TestStation Manager, EnlightKS Certification Manager Betriebssystem: Microsoft

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt

Systemanforderungen und Installationsanleitung für Internet Security. Inhalt Systemanforderungen und Installationsanleitung für Internet Security Inhalt 1 Systemanforderungen für Internet Security...2 2 Installationsanleitung: Internet Security für einen Test auf einem Computer

Mehr

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter Senior Sales Engineer 1 Das Szenario 2 Früher Auf USB-Sticks Auf Netzlaufwerken Auf CDs/DVDs Auf Laptops & PCs 3 Jetzt Im Cloud Storage

Mehr

Getestete Programme. Testmethode

Getestete Programme. Testmethode PDF-EXPLOIT XPLOIT V Welche Folgen hat das Öffnen einer PDF Datei, die ein Exploit enthält? Als Antwort ein kleiner Test mit sieben Programmen und einem typischen PDF-Exploit. Getestete Programme AVG Identity

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

AnNoText. AnNoText Online-Update. Copyright Wolters Kluwer Deutschland GmbH

AnNoText. AnNoText Online-Update. Copyright Wolters Kluwer Deutschland GmbH Copyright Wolters Kluwer Deutschland GmbH AnNoText AnNoText Online-Update Wolters Kluwer Deutschland GmbH Software + Services Legal Robert-Bosch-Straße 6 D-50354 Hürth Telefon (02 21) 9 43 73-6000 Telefax

Mehr

Windows Vista Sicherheitsfeatures der neuen Microsoft Windows Client Plattform

Windows Vista Sicherheitsfeatures der neuen Microsoft Windows Client Plattform Windows Vista Sicherheitsfeatures der neuen Microsoft Windows Client Plattform Roland Taschler Roland Taschler MCSE MCT Windows Exchange - Security Security Experience mehr Vertrauen und Kontrolle Sicher

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8 Byte-Taxi Bedienungsanleitung Seite 1 von 8 Inhaltsverzeichnis 1. Beschreibung 3 2. Systemvoraussetzungen 4 3. Installationsanleitung 5 4. Bedienung 6 5. Infos & Kontakt 8 Seite 2 von 8 1. Beschreibung

Mehr

Systemvoraussetzungen sou.matrixx-produkte

Systemvoraussetzungen sou.matrixx-produkte Systemvoraussetzungen sou.matrixx-produkte Vorwort Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens des Verkäufers dar.

Mehr

theguard! ApplicationManager (Version 2.4)

theguard! ApplicationManager (Version 2.4) theguard! ApplicationManager (Version 2.4) Stand 01/2005 Der ApplicationManager ist eine 3-schichtige Client-Server Applikation für die es System- Voraussetzungen in verschiedenen Ausprägungen gibt Das

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Windows Server Update Services (WSUS)

Windows Server Update Services (WSUS) Windows Server Update Services (WSUS) Netzwerkfortbildung, Autor, Datum 1 WSUS in der Windows Was ist WSUS? Patch- und Updatesoftware von Microsoft, bestehend aus einer Server- und einer Clientkomponente

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL

Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Entgeltbestimmungen und Leistungsbeschreibung Internet Security für DSL Stand: 02. 02. 2009 UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien 1 INHALTSVERZEICHNIS Entgeltbestimmungen:... 3 Leistungsbeschreibung:...

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Systemanforderungen Verlage & Akzidenzdruck

Systemanforderungen Verlage & Akzidenzdruck OneVision Software AG Inhalt Asura 9.5, Asura Pro 9.5, Garda 5.0...2 PlugBALANCEin 6.5, PlugCROPin 6.5, PlugFITin 6.5, PlugRECOMPOSEin 6.5, PlugSPOTin 6.5,...2 PlugTEXTin 6.5, PlugINKSAVEin 6.5, PlugWEBin

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

DIE KUNST DER DIGITALEN VERTEIDIGUNG

DIE KUNST DER DIGITALEN VERTEIDIGUNG DIE KUNST DER DIGITALEN VERTEIDIGUNG Thomas Werth Widmung Wenn aus Liebe Leben wird, trägt das Glück einen Namen: - Maya - INHALT Vorwort Seite 11 Geleitwort Seite 16 Kapitel 1 Bedrohungen und Risiken

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

DirectScan. Handbuch zu DirectScan

DirectScan. Handbuch zu DirectScan DirectScan Allgemeiner Zweck: DirectScan dient dazu möglichst einfach und schnell ohne viel Aufwand ein Dokument über einen angeschlossenen TWAIN/WIA Scanner zu scannen und als PDF / TIFF oder JPEG Datei

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Installationshandbuch für den DAKOSY J Walk Windows Client

Installationshandbuch für den DAKOSY J Walk Windows Client Installationshandbuch für den DAKOSY J Walk Windows Client Version 1.1 DAKOSY Datenkommunikationssystem AG Mattentwiete 2 20457 Hamburg Telefon: 040 370 03 0 Fax: - 370 Erstellt von : Jan Heins Geprüft

Mehr

Fernwartung von Mac OS 9 u. X per VNC

Fernwartung von Mac OS 9 u. X per VNC Fernwartung von Mac OS 9 u. X per VNC Inhalt: Was ist VNC, und was bringt es uns? Vorraussetzungen Welche Schwierigkeiten warten auf uns IP- Adresse, per Mail, DynDNS Wie installieren wir VNC Server, Client

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr