Vorwort zur 2. Auflage Einleitung TEIL I: EINFÜHRUNG 1 Gefahrenanalyse... 35

Größe: px
Ab Seite anzeigen:

Download "Vorwort zur 2. Auflage... 21 Einleitung... 23. TEIL I: EINFÜHRUNG 1 Gefahrenanalyse... 35"

Transkript

1

2

3 Inhalt Vorwort zur 2. Auflage Einleitung TEIL I: EINFÜHRUNG 1 Gefahrenanalyse Die Räumlichkeiten Der Serverraum Die Computerarbeitsplätze Social Engineering Handys, PDAs & Co PDAs Handys Speichermedien Hacker, Cracker & Spione Panikmache Und das Know-how? Zahlen Industriespionage Viren, Würmer & Trojaner Schädlinge Botnetze Spam Selbst in der Verantwortung stehen Ansprechpartner Information Informationsbeschaffung Physikalische Sicherheit Ein klassisches Unternehmensnetzwerk Zugangskontrollen Das Netzwerk Wireless LAN Der Standard Sicherheit WEP

4 Inhalt WPA und VPN Bluetooth Die Funktionsweise Sicherheitsaspekte Mobilgeräte Datenverlust durch Diebstahl Gefahr durch Handys Zusammenfassung IT-Grundschutz Das GSHB des BSI Aufbau Einschränkungen Das GSHB anwenden Strukturanalyse Schutzbedarf Modellierung Weitergehende Maßnahmen Sicherheitscheck und -revision Zusammenfassung TEIL II: SICHERHEIT VON NETZWERKEN 4 Firewalls und Proxys Grundlagen und Konzepte Default Deny Firewalls NAT und Masquerading Paketfilter Typische Einsatzgebiete Funktion NAT Personal Firewalls Szenario 1: auf den Clients eines Firmen-LANs Szenario 2: auf einem Heimrechner Absicherung von Clients und Heimrechnern Gefahren iptables/netfilter für Linux Support im Kernel

5 Inhalt Die Funktionsweise Beispiele für den Einsatz Iptables im Detail pf für OpenBSD pf aktivieren pfctl Regeln erstellen pfsync und CARP IPFilter eine kurze Einführung Portabilität Filterregeln IPF-Administration Firewall-Konfiguration mit fwbuilder Proxyserver Funktion Einsatz Beispiel: Squid unter Linux Zusammenfassung Topologien Switches oder Router? Hubs Switches Repeater Bridges Router Bastion Hosts DMZ Aufbau Ein Beispiel Terminal-Server vs. Desktops Honeypots Argumentation Honeypot-Farm Zusammenfassung Einbruchserkennung Honeypots in der Praxis Honeyd

6 Inhalt Honeytokens Darknets Welche Software? Linux-Syslog-Server Motivation syslogd Konfiguration des Servers Konfiguration der Clients logrotate logcheck Sicherheitsaspekte Ausblick: syslogd-ng Intrusion Detection Mögliche Implementierungen von IDS Snort Aufbau der Intrusion Detection snort.conf Dateisystem-Intrusion-Detection mtree Ein Abbild des Dateisystems erstellen Auf Veränderungen überprüfen Prozesse überwachen Unix-Prozess-Accounting FUPIDS fupids SID systrace IDMEF Intrusion Prevention systrace Intrusion Response Zusammenfassung Netzwerksicherheit überwachen Netzwerkmonitoring mit Nagios Die Installation Die Konfiguration Die Plugins Nmap: Der wichtigste Portscanner Prinzip eines Portscanners

7 Inhalt Techniken des Scannens Weiterer Informationsgewinn Nmap in der Praxis Nessus: Ein Security-Scanner Die Installation Die Konfiguration Nessus benutzen Sniffer tcpdump Wireshark (ehemals ethereal) dsniff Zusammenfassung Remote-Access auf Netzwerke Remote Desktop, VNC & Co Terminalserver RDP und VNC Tunneling und VPNs VPN-Typen Datenverschlüsselung Tunneling Artikel: Firewalls umgehen IPSec Die Tunnel-Modi Authentication Header ESP IKE Security Assoziationen IPSec Security Policys IPSec Praxis: Solaris IPSec Praxis: OpenBSD Support unter Windows VPNs mit OpenVPN Pre-shared Keys Zertifikate mit OpenSSL OpenVPN als Server einrichten OpenVPN als Client Zusammenfassung

8 Inhalt 9 Penetrationstests und Audits Was sind Penetrationstests? Security Audits Bevor es los geht Die Durchführung Aufteilung der Tätigkeiten Der Abschlussbericht IT Grundschutz Zusammenfassung TEIL III: SYSTEMSICHERHEIT 10 Serveraufbau Der Aufbau der Hardware USV RAID Backups Der Serverraum Brandschutz Klimaanlage Zutritt Die Entsorgung Alte Festplatten Kopier- und Faxgeräte Zusammenfassung Serversicherheit Banner Die Lösung des Problems Nameserver-Absicherung Restricted Zonetransfers Hochverfügbarkeit Versionsnummer verstecken Serverzugriff SSH-Absicherung SSH devicespezifisch Root-Login Listen-Port

9 Inhalt Leere Passwörter Benutzer-Wrapper Group-Wrapper Zugriff nur über Key oder auch über Passwort? Weitere Möglichkeiten der Authentifizierung X11-Absicherung xhost Keine Remoteverbindungen Weitere Möglichkeiten Absicherung des Network Filesystems Absicherung der zu exportierenden Verzeichnisse Weitere Möglichkeiten zur Absicherung NIS-Absicherung FTP-Absicherung Das Protokoll chroot Quotas und Speicherlimits Anonymous-Zugriff Authentifizierung Verschlüsselung DHCP-Absicherung Maßnahmen zur Absicherung Absicherung Authentifizierung SMTP, POP3, IMAP MailScanner: Spam- und Viruscheck auf SMTP-Servern Zusammenfassung Websicherheit Webserver-Absicherung Authentifizierung mit htaccess Verwendung von HTTPS mod_security Umgebungsvariablen im Apache Weitere Möglichkeiten zur Absicherung Microsoft IIS absichern nikto PHP-Sicherheit

10 Inhalt Variablen Referer und Co Cross-Site-Scripting CSS und Cookies Cookies Cross-Site-Authentication (XSA) Angriffe auf Proxyserver und Datenbanken Proxyserver Datenbanken SQL-Injection Zusammenfassung Secure Shell Das Protokoll SSH Protokoll SSH Protokoll Konfiguration eines OpenSSH-Servers Die /etc/ssh/sshd_config SSH nutzen Remote-Login Secure Copy Authentifizierung über Public-Key-Verfahren Secure File Transfer X11-Forwarding SSH-Port-Forwarding Zusammenfassung Unix-Sicherheit Access Control Benutzer, Passwörter, Gruppen Trojanische Pferde Logging Bei der Analyse Zeit sparen Partitionierungen Restricted Shells su und sudo chroot Patches OpenBSD

11 Inhalt Solaris Linux LKMs Stealth Interfaces Dateisystemverschlüsselung Swap-Verschlüsselung Dateisystemverschlüsselung unter Linux Kernel-Erweiterungen und gcc-propolice gcc propolice SeLinux und SeBSD OpenWall (OWL) grsecurity PaX Sichere Derivate und Distributionen Trusted Solaris (jetzt Teil von Solaris) OpenBSD TrustedBSD Hardened Gentoo OpenWall Adamantix Hardened Linux Zusammenfassung Windows-Sicherheit Dienste, die die Welt nicht braucht Patches BIOS-Bootreihenfolge Standardfreigaben deaktivieren NetBIOS und SMB Deaktivieren der Druckerfreigabe Zugriff auf Wechselmedien Benutzer-Accounts Unterschiedliche Passwörter im Netzwerk Partitionierung Sicherheit im Dateisystem Sicherheitsfeatures und Systemversion Zusammenfassung

12 Inhalt 16 Viren, Würmer, Trojaner & Rootkits Viren Grundlegende Funktionsweise Viren kennen mehr als nur Win32! Schutz vor Viren Würmer Rootkits Rootkit-Geschichte Rootkit Technologien Backdoors und Malware Firewalls und Hidden Channels Rootkits entdecken Angriffe verhindern Zusammenfassung Disaster Recovery Problemdefinition Ursachenanalyse Serverprobleme Hackerangriffe Forensik Erste Schritte Forensik-Tools Backdoors Rootkits Nach einem Angriff Ein Blick über die Schulter Letzte Worte zur Forensik Server wieder aufsetzen Neuinstallation? Backups Zusammenfassung TEIL IV: DATENSICHERHEIT UND -INTEGRITÄT 18 Security Policys Gute Vorsätze für das neue Jahr! Der Inhalt

13 Inhalt Festlegung der Dokumentationsstruktur Überwachungssystem und -intervalle Autorisierungs- und Authentifizierungsmaßnahmen Weitere Möglichkeiten Zusammenfassung Backups Die Backupstrategie Backuparten Vollständiges Backup Inkrementelles Backup Datenbackup Systembackup Backupmedien Komprimieren BackupPC Das Projekt Die Installation Die Konfiguration Bedienung Zusammenfassung Sichere Kommunikation für Benutzer Richtige Kommunikation Übersehen und Ignorieren von s Von sich auf andere schließen Romane statt kurzer Mails Im Ton vergriffen Mails an alle Grammatik und Rechtschreibung Standards SMTP POP Sichere Übertragung: SSL/TLS Das Protokoll SSL in der Praxis: HTTPS Mails verschlüsseln: PGP und S/MIME PGP/GPG

14 Inhalt S/MIME Zusammenfassung Authentifizierungen Die grundlegendsten Möglichkeiten Biometrische Authentifizierung S/Key S/Key aktivieren Benutzerinitialisierung Anmelden am System PAM Die Datei /etc/pam.conf Die Module Linux-PAM Entwickeln mit der PAM-Library Authentifizierung via NIS, NIS+ und LDAP Zusammenfassung Kerberos KDC und Tickets Master-Server und Realms Konfiguration des Kerberos-Servers und des KDC Konfiguration der krb5.conf Konfiguration der kdc.conf Erstellung einer Datenbank Administrative Rechte klären Starten des KDC und des Master-Servers Principals hinzufügen Konfiguration des Clients kinit Verwalten von Kerberos-Tickets Kerberos unter Windows Zusammenfassung Sichere Software entwickeln Sicheres Design Der Kreislauf der Softwaresicherheit

15 Inhalt 23.2 Buffer-Overflows Eine Einleitung Begriffserklärungen Ein Beispielangriff Vermeiden von Buffer-Overflows Weitere Funktionen Return to Libc Formatstring-Overflows Heap-Overflows Integer-Overflows Der Overflow Vorsicht ist geboten: Multiplikation Race Conditions File-Locking Atomare Operationen Teil Atomare Operationen Teil Off-by-One Integer-Promotions Abschließende Worte (Symbolische) Links Signale Zusammenfassung Organisationen und Informationen ICANN RIPE IETF ETSI BSI CERT/CC HERT Securityfocus Newsgroups Anhang A Einführung in die Kryptografie A.1 Motivation A.1.1 Kryptografie A.1.2 Kryptoanalyse

16 Inhalt A.1.3 Kryptologie A.1.4 Steganografie A.2 Grundlagen A.2.1 Symmetrische Verschlüsselungen A.2.2 Asymmetrische Verschlüsselungen A.2.3 Hashes A.2.4 Digitale Signaturen A.3 DES A.3.1 Die Geschichte A.3.2 Der Algorithmus selbst A.3.3 Sicherheitsfragen A.3.4 Und doch: DES in der Praxis A.3.5 Weitere wichtige symmetrische Algorithmen A.4 RSA A.4.1 Schlüsselerzeugung A.4.2 Ver- und Entschlüsseln mit RSA A.4.3 Die Sicherheit von RSA A.4.4 RSA in der Praxis A.4.5 Weitere wichtige asymmetrische Algorithmen A.5 MD A.5.1 Das Verfahren A.5.2 Sicherheit von MD A.5.3 MD5 in der Praxis A.5.4 Weitere populäre Hashverfahren A.6 Kryptografie und Politik A.6.1 USA A.6.2 Wassenaar A.6.3 Kryptografie in Deutschland A.7 Zusammenfassung B TCP/IP B.1 Grundlegendes zu TCP/IP B.1.1 Network-Access-Layer B.1.2 Internet-Layer B.1.3 Transport-Layer B.1.4 Application-Layer B.2 Das OSI-Modell B.3 Die wichtigen Protokolle B.4 ARP B.4.1 ARP-Spoofing B.4.2 Reverse-ARP B.4.3 Proxy-ARP

17 Inhalt B.5 IP B.5.1 Der IP-Header B.5.2 Fragmentierung B.5.3 MTU B.5.4 Sicherheit B.6 ICMP B.6.1 ICMP-Type 0 und B.6.2 ICMP-Type B.6.3 ICMP-Type B.6.4 ICMP-Type B.6.5 ICMP-Type 9 und B.6.6 ICMP-Type B.6.7 ICMP-Type B.6.8 Weitere ICMP-Typen B.7 IGMP B.7.1 Der IGMPv2-Header B.7.2 IGMPv B.8 IPv B.8.1 Die Verbreitungsproblematik B.8.2 Der IPv6-Header B.8.3 Extension-Header B.8.4 Sicherheit von IPv B.9 ICMPv B.9.1 ICMPv6-Typen B.9.2 Sicherheit von ICMPv B.10 Das UDP-Protokoll B.10.1 Der UDP-Header B.10.2 Sicherheitsaspekte B.11 Das TCP-Protokoll B.11.1 Reliability B.11.2 Sende- und Empfangspuffer B.11.3 Flow-Control B.11.4 Header B.11.5 Grundlegendes zur Datenkommunikation B.11.6 TCP: Sicherheitsaspekte B.12 Weitere Protokolle B.13 Routing B.14 Zusammenfassung C WLAN-Standards nach IEEE D kap23.c E Das Skript vpnstart.sh

18 Inhalt F Buffer-Overflow-Exploit G Glossar H Literatur Nachwort Index

19 »Der Mensch hat dreierlei Wege, klug zu handeln: erstens durch nachdenken, das ist der edelste, zweitens durch nachahmen, das ist der leichteste, und drittens durch Erfahrung, das ist der bitterste.«konfuzius 2 Physikalische Sicherheit Im folgenden Kapitel möchten wir die Aspekte physikalischer Sicherheit sowie die daraus resultierenden Implikationen für den Einsatz moderner Funknetzwerke (z. B. Wireless LAN) besprechen. Es ergibt sich nämlich logischerweise ein Unterschied in der Art und Weise, wie man Daten transportiert, wenn man davon ausgehen muss, dass prinzipiell jeder alle übertragenen Signale mithören kann. Schließlich hat man bei Funknetzwerken nicht mehr den Schutz durch vielleicht im Gebäude verlegte Kabel, sondern überträgt die Daten bis zu mehreren Hundert Metern frei in der Luft. Dadurch bestehen verschiedenste Gefahren: Sniffen wichtiger Daten Natürlich kann in erster Linie abgehört werden. Alle Daten, die Sie übertragen, ob Webseiten, s oder Passwörter, können mitgelesen (gesnifft) werden. Datenmanipulation Neben dem Mitlesen von Daten gibt es noch eine viel größere Gefahr: das Manipulieren. Für einen Angreifer ist es nämlich ein Leichtes, übertragene Daten zu verändern. So ist es zum Beispiel durch DNS Spoofing möglich, einen Rechnernamen wie zu einer anderen IP und damit zu einem vielleicht gefälschten Server umzuleiten, der dann Ihre PIN und TANs mitliest. Unautorisierter Zugriff auf wichtige Ressourcen Nicht nur das Mitlesen von Daten kann eine Gefahr darstellen, sondern natürlich auch der Zugriff auf vitale Systeme ihres Netzwerkes, zum Beispiel auf File- oder Mailserver. Auch das Mitnutzen einer von Ihnen bereitgestellten Internetverbindung kann als Gefahr angesehen werden, da dies eventuell Kosten oder auch richtig Ärger verursa- Mitlesen übertragener Daten 59

20 2 Physikalische Sicherheit chen kann. Stellen Sie sich nur einmal vor, Ihr Zugang würde zum Tauschen von Kinderpornografie oder für das Hacken eines anderen Systems missbraucht. Mit anderen Worten: Sie können Ihre gesamten Bemühungen bezüglich IT-Sicherheit vergessen, wenn Sie an dieser Stelle nicht aufpassen. Und aus eben diesem Grund werden wir uns im Folgenden der physikalischen Sicherheit sowie damit verbundenen Themen ausführlich widmen. 2.1 Ein klassisches Unternehmensnetzwerk Beginnen wollen wir mit der Betrachtung eines normalen Unternehmensnetzwerkes. Damit wir von einer interessanten IT-Infrastruktur ausgehen können, lassen wir dieses Unternehmen mit vielleicht knapp vierzig bis fünfzig Mitarbeitern an seinem Standort arbeiten. Demzufolge ist es ziemlich wahrscheinlich, dass das Unternehmen sogar ein eigenes Gebäude bezogen hat. Verkabelte Arbeitsplätze In so einem Unternehmen ist es bis heute eigentlich üblich, die Arbeitsplätze per Kabel an das vielleicht sogar geswitchte Netzwerk anzuschließen. Darüber hätten die Angestellten dann Zugriff auf File- und Mailserver, damit sie ihre Arbeit verrichten können. Sicherlich gibt es heutzutage auch noch einen Internetzugang, aber dessen Schutz soll nicht Thema dieses Kapitels sein. Wenn man das Szenario so weit analysiert, stellt man erst mal eine relative Sicherheit fest. Die Daten zirkulieren nur im internen Netz über die verkabelten Leitungen, und am Eingang nimmt sicherlich eine Sekretärin eventuelle Besucher oder Kunden in Empfang Zugangskontrollen Aber dort fängt das Problem bereits an. Denn auch wenn sie Ihnen etwas paranoid anmuten, stellen sich hier bereits viele Fragen: Ist der Empfang immer besetzt? Wohin hat der Besucher sonst Zutritt? Wie verhalten sich die Mitarbeiter in so einem Fall?... 60

21 Ein klassisches Unternehmensnetzwerk 2.1 Wie Sie sehen, müssen Sie solche Situationen gedanklich zumindest einmal ernsthaft durchspielen. Zwar sollte die Verhältnismäßigkeit natürlich immer gewahrt bleiben, aber ein»das wird schon nicht passieren«gibt es nicht. Verhältnismäßigkeit Schlüssel und Chipkarten In letzter Zeit sind Lösungen erschwinglich geworden, die eine relative Absicherung gegen solche Gefahren also unbefugtes Eindringen bringen. So könnten Verbindungstüren zwischen einzelnen Abteilungen oder wichtigen Räumen wie z. B. der EDV durch Schlüssel- oder Chipkartenlösungen gesichert werden. Zwar müssen solche Schließsysteme oft schon beim Bau eines Gebäudes mitgeplant werden, bieten dann aber beste Sicherheit. Selbstverständlich muss auch geklärt werden, wer wann warum einen Schlüssel bekommt. Denn einfach an jeden nach Wunsch einen Schlüssel zu verteilen, konterkariert natürlich das Ziel. Mit anderen Worten: Es muss eine Vergaberichtlinie, neudeutsch Policy, her. Diese Richtlinie sollte mindestens folgende Punkte enthalten: Geklärte Kompetenzen Wer ist für die Schlüsselvergabe zuständig, behält den Überblick und ist für neue Genehmigungen zuständig? Wer sollte überhaupt wo Zutritt haben und damit welchen Schlüssel erhalten? Zum Beispiel könnte hier festgehalten werden, dass zwar Mitarbeiter, aber beispielsweise keine studentischen Hilfskräfte einen eigenen Schlüssel erhalten. Zudem kann das Problem der Reinigungsdienste usw. geklärt werden. Außerdem sollte natürlich geklärt werden, wie die Mitarbeiter mit den Schlüsseln umzugehen haben und wie bei einem Verlust zu verfahren ist. Man sollte also schlicht Struktur in diese meist recht undurchsichtige und auf Gewohnheiten basierende Thematik bringen. Auch gehen wir im Kapitel über Authentifizierung noch näher auf die Thematik ein und stellen auch verschiedene Lösungen vor. Gesichtskontrolle Zugegeben: Es klingt hart. Aber die Mitarbeiter sollten ein gewisses Bewusstsein gegenüber Fremden entwickeln. Auf keinen Fall sollte jemand einen Besucher, der behauptet»ich habe einen Termin bei Herrn Müller«, einfach so in einen vielleicht durch obige Maßnahmen abgesicherten Be- 61

22 2 Physikalische Sicherheit reich lassen und sich dann nicht um ihn kümmern. Es sollte in solchen Fällen selbstverständlich sein, den Gast zumindest bis zum Büro des besagten»herrn Müller«zu begleiten, was nicht nur ein Akt der Höflichkeit, sondern auch der Sicherheit ist. Vor allem bei Gegensprechanlagen gilt es, obige Hinweise zu beachten. Auf keinen Fall sollte jemand ins Haus beziehungsweise in die Abteilung gelassen werden, ohne seinen Verbleib zu klären. Der Serverraum Bezüglich der IT-Sicherheit interessiert natürlich besonders der Serverraum. Ein Server ist weniger von Diebstahl als vielmehr durch falsche Handhabung gefährdet. Wie oft ist wohl beim Staubwischen ein Server resettet worden? Es sollte also nur IT-Personal Zugang zur wichtigen Infrastruktur haben. Backups Daten sichern Zu dieser wichtigen Infrastruktur gehören natürlich weiterhin die immer benötigten Backups. Zur physikalischen Sicherheit zählt nämlich auch, dass man diese möglichst extern lagert. Denn bei einem Brand nützt Ihnen kein noch so vollständiges Backup, wenn es gerade mit den Servern im selben Raum in Flammen aufgeht. Aber der Problematik des Serveraufbaus und der Backups haben wir jeweils ein eigenes Kapitel gewidmet, daher wollen wir an dieser Stelle nicht näher auf das Thema eingehen Das Netzwerk Wir haben bereits geklärt, dass sich in diesem Beispiel die Daten»im Kabel«befinden. Heutzutage findet man eigentlich nur noch 10/100-M- Bit- bzw. 1/10-GBit-Ethernet- und Lichtwellenleiternetzwerke in Firmen, daher werden wir nicht auf Sonderfälle wie ATM usw. eingehen. Klar ist jedenfalls, dass man für den Zugang zum Netz eine Netzwerkdose braucht, die dann irgendwie per Switch oder Hub mit anderen Clients beziehungsweise mit den Servern und letztendlich dem Internet verbunden ist. Man möchte meinen, dass man bei der Verkabelung nichts falsch machen kann, jedoch weit gefehlt: In einigen Berliner Ämtern sollen nämlich wirklich in jedem Raum Netzwerkzugänge vorhanden sein. So auch auf der (Gäste-)Toilette. Ob es sich dabei nur um eine urban legend oder Tatsachen handelt, konnte von uns leider nicht überprüft werden... 62

23 Wireless LAN Wireless LAN In einem Funknetzwerk, einem Wireless Local Area Network (WLAN), hat man dagegen mit ganz anderen Problemen zu kämpfen. Prinzipiell hat nämlich jeder in der Reichweite der Antennen Zugang zum Netz beziehungsweise zu allen übertragenen Datenpaketen Der Standard Der Standard wird in der IEEE-Spezifikation beschrieben und auch IEEE oft mit der Abkürzung Wi-Fi (Wireless Fidelity) belegt. Denn Standard ist leider nicht gleich Standard, und so testen die Hersteller der Wi-Fi Alliance vor dem Verkauf ihre Produkte auf Kompatibilität. Bestehen die Produkte den Test, bekommen sie das bereits erwähnte Wi-Fi-Siegel. Das Institute of Electrical and Electronics Engineers (IEEE) definiert mit Wireless LAN in erster Linie den Zugriff auf das Übertragungsmedium sowie die physikalische Schicht, ist also relativ unabhängig vom verwendeten Netzwerkprotokoll. Allerdings wird heutzutage wie eigentlich überall fast ausschließlich TCP/IP verwendet. Im Standard ist die Übertragung mittels Radiowellen sowie mittels Infrarot definiert. Im ursprünglichen Entwurf von 1997 für die Übertragung per Radiowellen ist das Frequenzband von 2,4 GHz vorgesehen, und im Endeffekt eine Übertragung der Daten mit 2 MBit/s. Der Nachteil dieses lizenzfreien Frequenzbandes ist, dass es auch von anderen Geräten wie Babyphones oder Mikrowellenherden genutzt wird. Betriebsmodi Ein Funknetzwerk kann nun in mehreren Modi betrieben werden: Infrastruktur In diesem Modus können sich mehrere Clients mit einem Access Point verbinden. Diese Access Points koordinieren die Kommunikation der Clients untereinander und können auch eine Schnittstelle für das lokale Netz darstellen. Ad-Hoc In diesem selten genutzten Modus kommunizieren zwei Clients ohne Access Point direkt miteinander. Access Points 63

24 Index authorized_keys 348 /etc/group 357 /etc/login.conf 475 /etc/master.passwd 357 /etc/pam.conf 479 /etc/passwd 357 /etc/protocols 592 /etc/services 337 /etc/shadow 357 /etc/ssh/sshd_config 337 /etc/sudoers 363 /var/adm 360 /var/log 360 /.ssh/authorized_keys 347 /.ssh/config 350 /.ssh/id_rsa 346 /.ssh/id_rsa.pub 346 A ACCEPT 92 Access Control Lists 355 Account 637 Account Management 478 accton 188 ACL 355 Adamantix 378 Adaptive Chosen Ciphertext 541 Adaptive Chosen Plaintext 541 Adaptive Chosen Text 541 address space layout randomization 511 airsnort 67 Application Layer 582 ARP 585, 586, 637 Angriffe 587 asymmetrische Verschlüsselung 336, 552, 563, 637 Authentication Header 253 Authentication Management 478 Authentifizierung 471, 538 Biometrie 472 LDAP 487 NIS 487 NIS+ 487 B Backup 62, 427, 437 Arten 441 inkrementell 441 Komprimierung 443 Medien 442 Strategie 438 vollständig 441 BackupPC 443 Bastion Hosts 141 Bigramme 539 Biometrie 472 Bit-Operatoren 546 Blackhat 44 Blockchiffre 548, 558 Modi 549 Blowfish 561 Bluejacking 70 Bluesnarfing 71 Bluetooth 69 Bluejacking 70 Bluesnarfing 71 Funktionsweise 69 Sicherheit 70 Bootvirus 392 boundary-checking 501 BSD 637 BSI 75, 530 Buffer-Overflows 501 Programmiersprachen 502 C C 637 Buffer-Overflows 502 CA.sh 269 Caesar-Verschlüsselung 545 CAST 562 Catch-all 88 CERT/CC 531 Checksumme 538, 553 Chiffre 538 Chipkarten

25 Index Chosen Ciphertext 541 Chosen Key 541 Chosen Plaintext 541 Chosen Text 541 chroot 363 Citrix 236 Compiler 637 consh 414 Cookies 330 coreography 414 Cracker 41 Credentials 490 Cross-Site-Scripting 327 D Daemonprozess 637 Darknet 157 Data Encryption Standard 557 Dateisystem IDS 183 Datenbackup 441 Datenbanken 332 Deauthentication Flooding 64 Default Deny 86, 92, 604 Default Gateway 581 Denial-of-Service 64 DENY 92 DES 557, 637 DHCP Absicherung 308 Diffie-Hellman-Algorithmus 567 Diffusion 547 Digitale Signatur 554, 637 DMZ 142 DNAT 91 DNS Server 292 Druckerfreigabe 386 dsniff 233 Dumpster Diving 433 E Absicherung 309 Standards 453 EBP 503 Echelon 572, 637 EIP 503 ElGamal 567 ESP 254, 503 ethereal 233 Ethernet 62 ETSI 530 ext2/3 637 F Faxgeräte 286 Feistelnetzwerk 558 FIFO 637 File locking 521 Firewall 86, 142 Forensik 413 Tools 414 Formatstring-Angriffe 511 Fotohandy 72 fscanf 510 FTP 335, 637 Absicherung 303 Anonymous-Login 304 Protokoll 303 Funktionen fcntl() 523 gets() 510 snprintf() 510 sprintf() 510 strcat() 509 strcpy() 509 strlcat() 510 strlcpy() 509 FUPIDS 188 fupids2 190 fwbuilder 126 G galleta 414 Gateway 581 gcc propolice 374 Geheimtext 538 Gentoo Hardened 378 getcwd 510 getenv 510 getfacl 356 getwd 510 GMR 567 gnupg

26 Index GPG 461, 637 GPL 637 GRE 241 Greyhat 44 group 357 grsecurity 376 GSHB 75, 77 H Hacker 41, 214 Handy 38, 40, 72 Fotohandy 72 Viren 394 Hardened Gentoo 378 Hardened Linux 378 Hardening 289 Hardware Backup 284 Entsorgung 286 Hash 553, 567, 637 hdb 414 Heap-Overflow 514 HERT 531 HMAC 251 honeyd 151 Installation 152 Konfiguration 153 Honeypots 151 Honeytoken 155 htaccess 314 HTTP 314, 459, 637 Referer 326 HTTPS 316, 459 httptunnel 243 Hubs 137 I ICANN 529 ICMP 598 Echo 599 ICMPv6 611 Typen 611 ICV 254 IDEA 336, 562 IDS 167, 169 IETF 530 ifconfig 596 IGMP 604 IGMPv3 605 IKE 256 IMAP 310 Industriespionage 45, 572 inetd 359 Integer signed 517 Integer-Overflow 517 Integer-Promotion 526 Internet Layer 579 Interpreter 637 Intrusion Detection 167 Intrusion Prevention 191 Intrusion Response 194 IP 588 Adressen 593 Fragmentierung 590, 595 Header 589 Optionen 593 Protokolle 592 IP-Spoofing 598 IPC 637 ipf 122 IPFilter 122 IPIP 241 iproute2 98 IPS 191 IPSec 251 AH 253 Authentifizierung 251 ESP 254 IKE 256 Policys 257 Replay Protection 252 SPD 258 Tunnel-Modi 252 Windows 266 ipsecadm 264 ipsecconf 258, 260 ipseckey 261 iptables 96 FORWARD 100 Funktionsweise 99 INPUT 100 Kernelkonfiguration 98 Masquerading 104 NAT 112 OUTPUT 100 Referenz 104 IPv

Steffen Wendzel, Johannes Plötner. Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung

Steffen Wendzel, Johannes Plötner. Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung Steffen Wendzel, Johannes Plötner Praxisbuch Netzwerk-Sicherheit Risikoanalyse, Methoden und Umsetzung Vorwort zur 2. Auflage 21 Einleitung 23 TEIL I: EINFÜHRUNG 1.1 Die Räumlichkeiten 35 1.1.1 Der Serverraum

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

HTWK Leipzig. Matthias Jauernig. Die Secure Shell

HTWK Leipzig. Matthias Jauernig. Die Secure Shell LV Kryptologie WS06/07, HTWK Leipzig Matthias Jauernig 12.12.06 SSH Die Secure Shell Inhalt 1. Motivation 2. Historie 3. Funktionsweise von SSH-2 4. Das OpenSSH Programmpaket 5. Schlussbemerkungen, Links

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Netzwerksicherheit HACKS

Netzwerksicherheit HACKS Netzwerksicherheit HACKS 2. Auflage Andrew Lockhart Deutsche Übersetzung der 1. Auflage von Andreas Bildstein Aktualisierung der 2. Auflage Kathrin Lichtenberg O'REILLT Beijing Cambridge Farnham Köln Paris

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Netzwerk- und Datensicherheit

Netzwerk- und Datensicherheit Martin Kappes Netzwerk- und Datensicherheit Eine praktische Einführung m Teubner mm ' S ^ ^ ^ ^ ^ ^ ^ B ^ ^ ^ ^ ^ ^ S ^ ^ Ä f c ^ S s ^ f c ^ -iy^i i -- _J Kappes I! l_einführung I _J 2_Kryptographische

Mehr

OpenSource Firewall Lösungen

OpenSource Firewall Lösungen Ein Vergleich OpenSource Training Webereistr. 1 48565 Steinfurt DFN-CERT Workshop 2006 OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere

Mehr

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press Dirk Becker OpenVPN Das Praxisbuch Galileo Press Vorwort 11 Einführung o 1.1 VPN (Virtual Private Network) 18 1.2 Alternativen zu einem VPN 21 1.2.1 Telnet 22 1.2.2 File Transfer Protocol - FTP 23 1.2.3

Mehr

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Secure Linux Praxis ein How-To Vortrag am 11.05.2006 Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Warum noch IPsec benutzen?

Warum noch IPsec benutzen? Erlanger Linux User Group OpenVPN Warum noch IPsec benutzen? Klaus Thielking-Riechert ktr@erlug.de 3. Erlanger Linuxtage 15./16. Januar 2005 Was ist ein VPN? ein Mechanismus zur sicheren Kommunikation

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Networking - Überblick

Networking - Überblick Networking - Überblick Netzwerkgrundlagen René Pfeiffer Systemadministrator GNU/Linux Manages! lynx@luchs.at rene.pfeiffer@paradigma.net Was uns erwartet... Hardware (Ethernet, Wireless LAN) Internetprotokolle

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005 Universität Salzburg, WAP Präsentation, 2005 Gliederung 1 WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken Statistische Untersuchen 2 Gliederung WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Kenne deinen Feind. O'REILLY 8 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Fortgeschrittene Sicherheitstechniken

Kenne deinen Feind. O'REILLY 8 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Fortgeschrittene Sicherheitstechniken Kenne deinen Feind Fortgeschrittene Sicherheitstechniken Cyrus Peikari & Anton Chuvakin Deutsche Übersetzung von Peter Klicman, Andreas Bildstein & Gerald Richter O'REILLY 8 Beijing Cambridge Farnham Köln

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Absicherung von Linux- Rechnern mit grsecurity

Absicherung von Linux- Rechnern mit grsecurity Absicherung von Linux- Rechnern mit grsecurity Brandenburger Linux Infotag, 23. April 2005 Wilhelm Dolle, Director Information Technology interactive Systems GmbH 1 Agenda Grundlagen und Historie von grsecurity

Mehr

Sichere Anbindung von beliebigen Standorten

Sichere Anbindung von beliebigen Standorten Sichere Anbindung von beliebigen Standorten Vortrag im Rahmen der Veranstaltung: Erfolgsfaktor IT-Sicherheit - Wer will erst aus Schaden klug werden? Veranstalter: IHK-Potsdam 16. 08.2006 Christian Schubert

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit Inhaltsverzeichnis Vorwort... 1 Kryptographie und das Internet... 1 1.1 WasistdasInternet... 2 1.2 BedrohungenimInternet... 5 1.2.1 PassiveAngriffe... 5 1.2.2 AktiveAngriffe... 6 1.3 Kryptographie... 7

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

I Grundlegende Internetdienste einrichten 9

I Grundlegende Internetdienste einrichten 9 Inhaltsverzeichnis I Grundlegende Internetdienste einrichten 9 1 DHCP Netzwerkkonfiguration zentral 10 1.1 Das DHCP-Protokoll und seine Einsatzmöglichkeiten......... 10 1.1.1 Einsatzmöglichkeiten......................

Mehr

Reale Angriffsszenarien - Überblick

Reale Angriffsszenarien - Überblick IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

OpenBSD Gateway Cluster

OpenBSD Gateway Cluster Carp, pfsync, pf, sasyncd: 15. September 2005 Firewall und IPSec Failover unter OpenBSD Markus Wernig Firewall Grundlagen: Sessions Stateful inspection IPSec Das Problem: Ausfall IP-Adressen Active-passive

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik

Kerberos und NFSv4. Alexander Kaiser. 27. November 2012. AG Technische Informatik Kerberos und NFSv4 Alexander Kaiser AG Technische Informatik 27. November 2012 Einleitung 2 / 23 Übersicht 1 Einleitung 2 Kerberos 3 NFSv4 4 Ausblick Einleitung 3 / 23 Geschichte Kerberos verteilter Authentifizierungsdienst

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

1 Einleitung 1. 2 Netzwerkgrundlagen 11

1 Einleitung 1. 2 Netzwerkgrundlagen 11 vii 1 Einleitung 1 1.1 Intranet, Internet und Server....................... 1 1.2 Was ist eigentlich ein Intranet?..................... 2 1.3 Wer sollte das Buch lesen?......................... 4 1.4 Welche

Mehr

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Praktikum Rechnernetze

Praktikum Rechnernetze Praktikum Rechnernetze Prof. Dr. Uwe Heuert Hochschule Merseburg (FH) 1 Inhaltsverzeichnis Praktikum... 1 Rechnernetze... 1 Inhaltsverzeichnis... 2 Einführung... 4 Versuche... 8 Passwörter... 11 Versuch

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Vorwort... 5. Vorwort zur deutschen Übersetzung... 11

Vorwort... 5. Vorwort zur deutschen Übersetzung... 11 Vorwort.................................................... 5 Vorwort zur deutschen Übersetzung........................... 11 1 Einführung................................................ 23 1.1 Einführung................................................

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

Neueste Entwicklungen in der Firewall- Technologie

Neueste Entwicklungen in der Firewall- Technologie Neueste Entwicklungen in der Firewall- Technologie John Read http:// John.read@de.balabit.com 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen

Mehr

Sicherheit, Identity Management und Remote Corporate Access

Sicherheit, Identity Management und Remote Corporate Access Sicherheit, Identity Management und Remote Corporate Access Ralf M. Schnell - Technical Evangelist, Microsoft Deutschland GmbH Hans Schermer - Senior Systems Engineer, Citrix Systems GmbH Identität in

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Praxisbuch Sicherheit für Linux-Server und -Netze

Praxisbuch Sicherheit für Linux-Server und -Netze Praxisbuch Sicherheit für Linux-Server und -Netze von Helmar Gerloni, Barbara Oberhaitzinger, Helmut Reiser, Jürgen Plate 1. Auflage Hanser München 2004 Verlag C.H. Beck im Internet: www.beck.de ISBN 978

Mehr

Ablauf. Einleitung Ungesicherte Verbindungen MAC-Adressen Filter WEP: Standard, Schwächen, Angriffe WEP: Hacking Demo Eine sichere Alternative: IPsec

Ablauf. Einleitung Ungesicherte Verbindungen MAC-Adressen Filter WEP: Standard, Schwächen, Angriffe WEP: Hacking Demo Eine sichere Alternative: IPsec Ablauf Einleitung Ungesicherte Verbindungen MAC-Adressen Filter WEP: Standard, Schwächen, Angriffe WEP: Hacking Demo Eine sichere Alternative: IPsec Einleitung Drahtlose Netzwerke laden zum Mithören ein...

Mehr

Kerberos. Markus Schade

Kerberos. Markus Schade Kerberos Markus Schade Agenda Einleitung Authentifizierung Protokoll Implementierungen Anwendungen Vertraust Du mir? Oder mir? Historie 1988 am MIT im Rahmen des Athena Projekts entwickelt Client/Server-Architektur

Mehr

OpenVPN. Chemnitzer Linux-Tage 2010. Felix Kronlage @felixkronlage. bytemine GmbH

OpenVPN. Chemnitzer Linux-Tage 2010. Felix Kronlage <kronlage@bytemine.net> @felixkronlage. bytemine GmbH OpenVPN Chemnitzer Linux-Tage 2010 Felix Kronlage @felixkronlage bytemine GmbH 1 ich? Gründer der bytemine GmbH Seit 2003 Seit 2006 OpenBSD Entwickler fkr@openbsd.org Aktives Mitglied

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

1. Praktikumsaufgabe zur IT-Sicherheit 2

1. Praktikumsaufgabe zur IT-Sicherheit 2 Prof. Dr. Heiko Knospe SS 2004 1. Praktikumsaufgabe zur IT-Sicherheit 2 X.509 Zertifikate In praktischen Teil dieses Versuchs werden mit Hilfe des OpenSSL Paketes unter Linux X.509 Zertifikate erzeugt

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1

Mike Wiesner mike@agile-entwicklung.de. Mike Wiesner 1 Kerberos V5 mit Debian Mike Wiesner mike@agile-entwicklung.de Mike Wiesner 1 Agenda Einführung Implementierungen Installation Kerberized Services Windows Integration Mike Wiesner 2 Über mich Softwareentwickler

Mehr

Johannes Franken

Johannes Franken <jfranken@jfranken.de> Johannes Franken 1. Grundlagen 2. SSH-Tunnels legen 3. Firewalls durchbohren Script: http://www.jfranken.de/homepages/johannes/vortraege/ssh1.de.html (,2,3) Teil 1: Grundlagen Bezugsquellen

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

DIE KUNST DER DIGITALEN VERTEIDIGUNG

DIE KUNST DER DIGITALEN VERTEIDIGUNG DIE KUNST DER DIGITALEN VERTEIDIGUNG Thomas Werth Widmung Wenn aus Liebe Leben wird, trägt das Glück einen Namen: - Maya - INHALT Vorwort Seite 11 Geleitwort Seite 16 Kapitel 1 Bedrohungen und Risiken

Mehr

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP)

Implementierung einer Check Point 4200 Appliance Next Generation Threat Prevention (NGTP) Projekthistorie 08/2014-09/2014 Sicherheitsüberprüfung einer Kundenwebseite auf Sicherheitslücken Juwelier Prüfung der Kundenwebseite / des Online-Shops auf Sicherheitslücken Penetration Tester Sicherheitsüberprüfung

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

VPNs mit OpenVPN. von Michael Hartmann

VPNs mit OpenVPN. von Michael Hartmann <michael.hartmann@as netz.de> VPNs mit OpenVPN von Michael Hartmann Allgemeines Was ist ein VPN? VPN: Virtual Privat Network (virtuelles, privates Netzwerk) Tunnel zwischen zwei Rechnern durch ein (unsicheres)

Mehr