Intrusion Detection Fach: Anwendung Rechnernetze

Größe: px
Ab Seite anzeigen:

Download "Intrusion Detection Fach: Anwendung Rechnernetze"

Transkript

1 Fachbereich IKS Intrusion Detection Fach: Anwendung Rechnernetze Sven Diesendorf INF02

2 Inhaltverzeichnis 1 Einführung Intrusion Intrusion Detection Firewall und Intrusion Detection System Firewall Intrusion Detection System 2 2 Technik Aufbau und Funktionsweise von Intrusion Detection System Network Engine Agent Management Auswertekonzepte Host Intrusion Detection System HIDS Erkennbare Angriffe Technologien Network Intrusion Detection System NIDS Erkennbare Angriffe Technologien Honeypot Honeypot Tiny Honeypot Honeypot-Varianten Vorteile und Nachteile eines Honeypots Honeypot und das Gesetzt Kosten 15 3 Praxis Einfaches Host Intrusion Detection System Einfaches Network Intrusion Detection System 21 4 Zusammenfassung 25 5 Literaturverzeichnis 26 i

3 1 Einführung 1.1 Intrusion Mit Intrusion Detection beschäftigt sich die Intrusion Detection Sub Group (IDGS) des National Security Telecommunications Advisory Council (NSTAC). Am Anfang stellt sich die Frage was ist eine Intrusion, wie definiert man diese. Man könnte Intrusion wie folgt erklären: Eine Intrusion ist ein unerlaubter Zugriff auf oder Aktivität in einem Informationssystem [SPENN03, S. 24]. Weiten man diese Definition aus, kann man sagen, dass jede unerlaubte und unautorisierte Handlung auf einem Informationssystem als Intrusion bezeichnet werden kann. Als Handlung zählen Hackerangriffe, Missbräuche durch die Anwender oder auch ein anomales Verhalten des Systems. Um die Fälle zu Unterscheiden, wählt man die Begriffe Einbruch, Missbrauch und Anomalie. Einbruch stellt dabei die Angriffe/Einbrüche von außen dar, Missbrauch stellt die Angriffe/Einrüche von inner dar und Anomalie bezeichnet einen außergewöhnlichen Zustand des Systems, was Hinweise auf einen Angriff darstellt. Wann erfolgt eigentlich ein Angriff auf das Netzwerk? Es beginnt alles eigentlich mit einem Portscan. Dabei kann man hier schlecht sagen, ob es sich um einen Angriff handelt oder nicht, da das heutige Internet mit Portscans durch automatische Werkzeuge übersäht ist. Es kann sich aber schon als erste Anzeichen für einen Angriff handeln, da der Angreifer zuerst Informationen über das System sammeln will. Deswegen sollte man zusätzliche Fragen stellen: Von wem wird der Portscan durchgeführt? Warum wird der Portscan durchgeführt? Sind diese Informationen bekannt, kann man dann dieses Ereignis in Einbruch oder Missbrauch unterscheiden. 1.2 Intrusion Detection Eine Intrusion Detection hat drei Kategorien: Angriffs-/Einbruchserkennung Intrusion Detection Missbrauchserkennung Missuse Detection Anomalieerkennung - Anomaly Detection Intrusion Detection kann man als eine Intrusion, die versucht wurde, gerade erfolgt oder in der Vergangenheit erfolgte, erklären. Angriffs-/Einbruchserkennung Diese Kategorie versucht einen Angriff von außen zu erkennen. Es könnte zum Beispiel ein Einbruch auf einen Webserver sein. Missbrauchserkennung Diese Kategorie versucht einen Angriff von innen durch die Insider zu erkennen. Es kann sich hier zum Beispiel um einen Benutzer handeln, der auf bestimmte gesperrte Dienste versucht zuzugreifen oder bestimmte Dienste auf seinem System installiert. Anomalie-Erkennung Diese Kategorie versucht Zustände auf einem System zu erkennen die normalerweise ungewöhnlich sind. Hierbei kann es sich zum Beispiel um Benutzer handeln, die über zehn Versuche für ihre Anmeldung benötigen oder plötzlicher Versand der Netzwerkpakete über einen nie genutzten Protokoll. 1

4 1.3 Firewall und Intrusion Detection System Firewall Eine Firewall stellt ein trennendes Glied zwischen zwei Netzen dar. Sie verhindert den ungehinderten Austausch zwischen den Rechnern in beide Netze. Und erlaubt nur bestimmte Informationen auszutauschen. Dabei wird darauf geachtet, dass es keine zweite Verbindung besteht, die die Firewall umgeht. Wenn diese Verbindung besteht, kann dann der Austausch auch ohne die überwachende Schutzfunktion der Firewall erfolgen. Die verschiedenen Funktionen einer Firewall liegen in den Schichten 2 bis 7. Untenstehende Abbildung veranschaulicht die Einbettung von Firewalls ins OSI-Referenzmodell. Abb. 1.1: Firewall im OSI-Referenzmodell Eine Firewall ist in der Lage die Kommunikation einzuschränken und bestimmte Inhalte nur in eine Richtung erlauben. Das geschieht jedoch nur im Rahmen der Richtlinien der Firewall. Wird zum Beispiel der JavaScript-Code erlaubt, kann hier nicht unterschieden werden ob es sich um gutartigen oder bösartigen Code handelt. Ein weiteres Problem sind die Sicherheitslücken, hier werden die Angriffe nicht erkannt und sogar zugelassen, da es nicht unterschieden werden kann ob es sich um einen normalen Zugriff oder einen Angriff handelt. Eine Firewall kann den Verkehr nur analysieren und einschränken. Probiert der Angestellte zum Beispiel neue Hacking-Werkzeuge aus der Computerbild, so kann die Firewall diese nicht erkennen. Versucht dieser Angestellter Angriffe nach außen zu richten, wird die Firewall diese auch nicht erkennen. Da eine Firewall, die Verbindung nach bestimmten Regeln nach außen zulässt und nach innen blockiert. Um die Defizite einer Firewall auszugleichen benötigt man Intrusion Detection Systeme. Da eine Firewall allein nicht ausreichenden Schutz bieten kann. Hier leistet ein Intrusion Detection System eine unterstützende Funktion Intrusion Detection System Kategorien Man teilt die Intrusion Detection Systeme (IDS) in zwei Kategorien auf: - Host Intrusion Detection System (HIDS) - Network Intrusion Detection System (NIDS) 2

5 Ziele Man stellt bestimmte Anforderungen an das IDS. Das IDS muss Angriffe und Einbrüche erkennen und die Systeme bei der Verteidigung unterstützen. Dabei sind die Allgemeinen Ziele des IDS: - bereitgestellte Dienste müssen verfügbar sein - bereitgestellte Daten müssen verfügbar und nachvollziehbar sein - bei einem Angriff muss die Unterstützung bei der Reaktion vorhanden sein - Fehlertoleranz - Geringer Administrationsaufwand und selbstständige Lauffähigkeit - Erzeugung minimalen Overheads - Leichte Installation in das vorhandene System - Intelligenz, die das Umgehen verhindert Funktionalitäten Damit diese Ziele erreicht werden, werden folgende Funktionalitäten vorausgesetzt: - Nachvollziehbarkeit der Daten, die das IDS nutzt. Das IDS muss die Herkunft der Daten überprüfen. - Die Analyse der Daten muss nachvollziehbar sein, eine erneute Analyse der Rohdaten muss dasselbe Ergebnis bringen. - Die Analyse der Daten muss sämtliche mögliche Angriffe und Einbrüche erkennen. - Erzeugte Ergebnisse müssen durch das IDS einen Rückschluss auf die Rohdaten erlauben. - Die Alarmierungsschwelle muss in dem IDS konfigurierbar sein. Es sollte möglich sein, Prioritäten zu vergeben und den Alarm nach den Prioritäten auszulösen - Die Speicherung der Daten und des Berichts muss in einem anerkannten Format erfolgen. Das IDS muss auch die Rohdaten ein einem derartigem Format einlesen können. - Die Vertraulichkeit der Daten muss durch Funktionen des IDS garantiert sein. Zum Beispiel die automatische Anonymisierung und automatische Löschung von personenbezogenen Daten nach der Nutzung. - Ein IDS sollte eine automatische Reaktion auf einen Angriff unterstützen. Der Angreifer darf diese Unterstützung nicht für einen Denial of Service ausnutzen. Die Anforderungen sollten sowohl für ein HIDS als auch für ein NIDS gelten. Aufwand und Kosten Die Kosten für den Aufwand und für die Installation und Pflege eines IDS-Systems sind nur schwer abzuschätzen. 3

6 2 Technik 2.1 Aufbau und Funktionsweise eines Intrusion Detection Systems Intrusion Detection Systeme bestehen aus meistens drei Hauptkomponenten: - Network Engine - Agent - Management Network Engine Die Network Engine analysiert die Datenpakete in Echtzeit, sendet Alarmmeldungen und trifft automatisch Gegenmaßnahmen. Sie besteht aus 5 Einheiten: Response Modul Angriffsdetektor Benutzer Filter Kernel-Software Packet Capture Hardware Netzwerkadapter Netzwerk Abb. 2.1: Network Engine Netzwerkadapter Der Netzwerkadapter läuft im Promiscuous Mode, das heißt der gesamte Verkehr, an dem der Netzwerkadapter angeschlossen ist, wird aufgenommen und an die Network Engine weitergeleitet. Zusätzlich besteht die Möglichkeit, die Network Engine auch im Transparent Mode(keine TCP/IP-Protokoll Stacks) arbeiten zu lassen Packet Capture Im Packet Capture Modul werden die Datenpakete vom Netzwerk für den Transport zum Auswertemodul in der Network Engine organisiert. Filter Auf der Netzwerk- und Transportschicht Layer 3 und 4 im OSI-Modell können Protokolle wie TCP, UDP oder ICMP gefiltert werden, wie zum Beispiel Quell-IP-Adressen/Ports und Ziel-IP-Adressen/Ports. Um die Last zu verteilen, ist es empfehlenswert zwei Network Engines zu betreiben. 4

7 Angriffsdetektor Der Angriffsdetektor untersucht den Datenstrom nach bekannten Angriffsmustern. Dabei werden die Datenpakete mit den Angriffsmustern aus der Signaturdatenbank verglichen. Response Modul Wenn ein Angriff erkannt wird, können dann verschiedene Gegenmaßnahmen eingeleitet werden: - Überwachung aktiver Sessions - Speicherung von Sessions - Führung von Log-Dateien - Blockieren von Verbindungen Für die Alarmierung stehen verschiedene verschiedene Dienste zur Verfügung: - Alarmmeldung an die Management Konsole - - SMS, Pager oder benutzerdefinierte Programme Agent Der Agent hat die Aufgabe alle Systemaktivitäten eines Rechnersystems zu überwachen. Dabei werden alle vom Betriebssystem oder einzelnen Anwendungen erzeuge Dateien nach möglichen Angriffen und Anomalien untersucht. Es können zusätzlich systemrelevante überwacht werden, wie zum Beispiel Log-Dateien, CPU-Auslastung usw., bei Entdeckung kann auch hier ein Alarm gesendet werden. Es können Benutzer-logons und logoffs überwacht werden um einen nicht genehmigten Zugang zu verhindern. Es können auch die Aktivitäten des Administrators überwacht werden, sowie wichtige Dateien. Wodurch die Manipulation dieser verhindert werden kann. Anomalieerkennung hat die Aufgabe, unmittelbare Folgen eines Angriffs zu erkennen und das System vor unbekannten Angriffen zu schützen Management Das IDS-Management administriert und konfiguriert die Network Engine und den Agent, sowie die Aktualisierung des Systems(Updates) läuft über das IDS-Management. Die Kommunikation erfolgt verschlüsselt entweder symmetrisch mit 128 Bit oder asymmetrisch mit 1024 Bit. Das IDS-Management fängt alle Events, die von dem Agent oder der Network Engine gesendet wurden. Über das IDS-Management werden Berichte und Statistiken erstellt, welche dann zum anpassen der Sicherheitsregeln genutzt werden können Auswertekonzepte Auch hier gibt es drei Konzepte zum Auswerten sicherheitsrelevanten Meldungen. Am Ende werden die Konzepte miteinander verglichen. Bekannte Sicherheitsrelevante Aktionen erkennen In diesem Auswertungskonzept werden alle bekannten und die hypothetisch mögliche Ereignisse in einer Wissensbasis festgehalten. Anhand von Protokolldaten oder Log-Dateien, werden diese dann von einem Expertensystem ausgewertet und entsprechend behandelt. 5

8 Beispiele: - fehlerhafte Authentikation eines Benutzers - auf einem SMTP-Proxy wird der befehl debug verwendet - auf einem Telnet-Proxy wird ein Hopping-Angriff versucht - auf einem FTP-Proxy wird der Befehl del verwendet, obwohl dieser verboten wurde - ein nicht erlaubter Port wird verwendet - eine nicht erlaubte Verbindung zu einem geschützten Rechner Sicherheitsstrategie bei der Bewertung von Ereignissen Hier kann es zu einem Problem werden, wenn es entschieden werden soll, was als eine Sicherheitsverletzung gewertet werden darf und was nur ein Zufall war. Deswegen werden bestimmte Strategien angelegt, die solche Fehlalarmierungen verringern sollten. Beispiel: Bei einer Anmeldung auf ein FTP können Fehler passieren, deswegen könnte man folgende Strategie festlegen: - einmaliger Fehler des Benutzers wird als Versehen gewertet - passiert dieser Fehler zweimal, wird das als Zufall gewertet - und sollte es dann dreimal innerhalb eines kurzen Zeitraumes passieren, wird ein Alarm ausgelöst, da das als ein Angriff gewertet werden kann Anomalienerkennung In diesem Auswertungskonzept sollen die Abweichungen vom normalen Betrieb erkannt werden. Das Konzept basiert auf der Annahme, dass Sicherheitsverletzungen anhand gravierender Verhaltensabweichungen erkannt werden können. Die Verhaltensabweichungen werden auf einzelne Benutzer, Programme, bestimmte Dienste oder Kommunikationsabläufe bezogen. Die Grundlage eines Anomaliekonzepts bildet jedoch die Beschreibung eines normalen regulären Verhaltens. Dieses Verhalten wird in Referenzprofilen abgespeichert, die als charakteristische Verhaltensmuster dienen. Beispiele für Anomalien: - Hohe Fehlerrate bei der Identifikation und Authentikation - Art und Umfang der Inanspruchnahme von Diensten die FTP, Telnet - Überdurchschnittlich lange Arbeitszeit der Benutzer - Außergewöhnliche Zeiten und Wochentage bei der Kommunikation mit dem System - Hohes und häufiges Auftreten von sicherheitsrelevanten Ereignissen - Verstoße gegen die Regeln - Angriffsversuche - Fehlverhalten von Hard- und Software Vergleich der Auswertekonzepte Bei den ersten zwei Auswertekonzepten, bekommt man klare Aussagen, welche Angriffe stattgefunden haben und wie sie abgewehrt wurden. Bei den dritten Auswertekonzept können durch Auswertung der Protokolldateien neue Sicherheitsverletzungen gefunden werden, die normalerweise nicht als Angriff erkannt wären. Der Nachteil ist, dass hier auch die Fehlalarme generiert werden. Deswegen ist es sicherlich am besten geeignet, alle drei Konzepte einzusetzen. 6

9 2.2 Host Intrusion Detection System HIDS Ein Host Intrusion Detection System (HIDS) ist ein System, welches die Daten auf dem lokalen Rechner analysiert. Diese Daten werden vom Betriebssystem oder von den Anwendungen erzeugt. Das können Protokolle sein, die vom Betriebssystem oder von den Anwendungen bereitgestellt wurden oder von der IDS zusätzlich erzeugte Ereignisprotokolle. HIDS in besonderer Form stellen die Systeme dar, die auch die Integrität des Systems prüfen. Die Systeme werden auch als System Integrity Verifier (SIV) oder File Integrity Assessment (FIA) bezeichnet. HIDS sind in der Lage, einen Missbrauch des Systems durch Insider zu erkennen. Hier würde eine Firewall überfordert sein. Durch die Überwachung des Systems durch HIDS werden solche Fälle erkannt. Außerdem können HIDS auch Angriffe von außen erkennen. Der Nachteil von HIDS ist die recht umständliche und komplizierte Überwachung einer großen Anzahl von Rechnern. Da es sich um ein Host-basierendes System, muss das HIDS auf jedem Rechner installiert werden. Dadurch wird die Verwaltung und Administration recht aufwändig, man sich aber Abhilfe bei der Installation mit Agenten und Management-Zentrale schaffen Erkennbare Angriffe Hier sind ein paar klassische Angriffe: - bestimmte Personen, wie Wartungstechniker oder externe Berater, erhalten für die Dauer des Aufenthalts einen Zugang zum Rechnersystem, den sie benutzen müssen. Dieser Zugang ist dann mit höheren Rechten ausgestattet. Dadurch können sie den gesamten Rechner administrieren. Dabei kann die Person dann entweder eine Hintertür öffnen oder es wird vergessen den Zugang nach Beendigung der Arbeit zu deaktivieren. - Alte Konten von ehemaligen Mitarbeiter oder Administratoren werden häufig nicht gelöscht, so dass diese Personen nach Wochen oder Monaten sich immer noch anmelden können. Besonders brisant wird es, wenn die Person bei der Konkurrenz ist. - Bei einem Wechsel zu einem Konkurrenzunternehmen wird oft versucht von den Mitarbeitern oder Administratoren eine Hintertür für einen späteren Zugriff eingerichtet um an die Unternehmensgeheimnisse ranzukommen. - Angestellte modifizieren kritische Daten in Berichten oder Personalakten, so dass die Integrität sämtlicher Daten in Frage gestellt wird. - Angestellte versuchen auch Zugriff auf Personalakten oder andere vertrauliche Informationen zu erhalten um diese dann gegen sie zu verwenden. - Wenn eine unbekannte Person Administrationsbefehle verwendet, stellt das einen Angriff dar. - Installation von Trojanischen Pferden sollte auch von HIDS erkannt werden. Diese Angriffe sollte ein HIDS erkennen und die dafür zuständigen Personen alarmieren oder sogar selber eingreifen Technologien Durch die Vielfältigkeit der HIDS werden verschiedene Ziele verfolgt. So dass unterschiedliche Technologien eingesetzt werden. Kommerzielle HIDS setzen meistens mehrere Technologien ein, Open Source-Projekte konzentrieren sich meistens auf eine Technologie. 7

10 Hier werden die wichtigsten Technologien aufgelistet, die ein HIDS unterstützen soll: Protokollanalyse Protokollanalyse ist eine einfache und die ursprüngliche Form der Intrusion Detection. Hier werden die Protokolle vom Betriebssystem und den Anwendungen ausgewertet. Viele HIDS erlauben eine Positiv-Liste, dabei ist jedoch die wahrscheinlich Meldungen zu übersehen groß. Deswegen ist es besser eine Negativ-Liste zu definieren. Dabei werden alle Meldungen, die mit der Negativ-Liste übereinstimmen übersehen. Die unbekannten Meldungen führen zu einem Alarm. Intelligente HIDS können diese Meldungen weiterverarbeiten. Dadurch wird dem Administrator das Lesen von hunderten oder tausenden Protokollzeilen erspart und er erhält die Meldungen übersichtlich aufgelistet. Integritätstest Die meisten HIDS versuchen durch die konstante Integrität des Systems und seiner Daten Angriffe zu erkennen. Dabei wird nach der Installation ein Schnappschuss des frisch installierten Systems erstellt und das HIDS vergleich dann das System mit diesem Schnappschuss. Dabei werden häufig, um Speicherplatz zu sparen, nur die Eigenschaften und die Checksumme verglichen. Dieses Verfahren nennt man SIV oder FIA. Echtzeitanalyse HIDS können auch eine Echtzeitanalyse sämtlicher System- und Dateizugriffe überwachen. Das ist die aufwändigste Variante von HIDS, da das HIDS hier auf der Betriebssystemebene arbeitet und auf diese zugreift. Es besteht dann die Möglichkeit Zugriff auf bestimmte Privilegien und Dateien zu überwachen und zu verweigern. Dabei kann vom HIDS erkannt werden, ob die IP-Adresse des Rechners oder die Firewall modifiziert wurde. Diese Eingriffe werden in Echtzeit gemeldet und können auch durch das HIDS unterbunden werden. Der größte Nachteil von allen HIDS, sind die Falschmeldungen. Es gibt zwei Möglichkeiten der Falschmeldungen: - falsch-positiv: Bei einer Alarmierung handelt es sich um einen Fehlalarm, wenn es keine wirkliche Meldung darstellt. Häufen sich diese Fehlalarme, werden sie nicht wahrgenommen und es könnten dann die richtigen Alarme nicht wahrgenommen werden. - falsch-negativ: Es fehlt eine Alarmierung durch das IDS. Die fehlenden Meldungen stellen dabei eine größere Gefahr dar, da hier das IDS anscheinend nicht richtig konfiguriert wurde. Und ein Administrator verlässt in einem gewissen Maß auf das IDS. Falschmeldungen können durch sorgfältige Konfiguration und ein aufmerksames Studium des IDS reduziert werden. 8

11 2.3 Network Intrusion Detection System NIDS Ein Network Intrusion Detection System (NIDS) bezieht seine Daten aus dem Netzwerk. Dabei werden die Netzwerkpakete gescannt, die das NIDS von einem Netzwerk-Sniffer erhält. Einige Systeme untersuchen jedoch nur die Protokolle von Routern und Switches. Diese Systeme sind deutlich im Nachteil zu einem NIDS mit eigenem Netzwerk-Sniffer. NIDS sind bestens dafür geeignet um Angriffe und Einbrüche von außen zu erkennen. Sie können aber auch Insider erkennen, die die Rechner intern angreifen. Häufig kann ein NIDS erkennen, dass ein Angreifer von außen sich bereits im Netzwerk befinden und dort versucht andere Rechner anzugreifen. Der große Vorteil zu HIDS ist, dass die Installation und die Administration eines NIDS deutlich weniger Aufwand aufweist. Oft reicht es aus einen NIDS-Sensor pro Netzwerk zu installieren und diese dann zentral zu überwachen und verwalten Erkennbare Angriffe Denial of Service mit Bufferoverflows Hier werden Pakete mit sehr charakteristischen Merkmalen verwendet. Ungültige Pakete Ungültige Pakete verwenden von Tear Drop, Bonk oder Ping of Death verwendet. Diese Pakete dürfen laut der Protokollspezifikation nicht existieren und sind somit künstlich erzeugt worden. Angriffe auf der Applikationsschicht Viele Applikationen sind lediglich in der Lage, bei einer korrekten Anwendung des Applikationsprotokolls vorhersagbar zu reagieren. Angreifer nutzen das aus und verändern das Applikationsprotokoll. Danach können sie auf die erwünschten Funktionen zugreifen. Zugriff auf vertrauliche Daten Viele Angriffe haben das Ziel, vertrauliche Daten auszuspionieren, um dann auf weitere Daten zuzugreifen. Ein NIDS kann Pakete, nach bestimmten Mustern, wie z.b. unter UNIX /etc/passwd/, untersuchen. Informationsdiebstahl Ein weiteres Ziel der Angriffe ist es, Informationen auszuspionieren. Werden diese unverschlüsselt übertragen, kann ein NIDS diese Informationen anhand von Schlüsselwörtern erkennen. Angriffe gegen die Firewall oder das NIDS Aber auch die Firewall und das NIDS bleiben nicht unverschont. Die Angriffe können jedoch von fortschrittlichen NIDS erkannt werden. Vorraussetzung dafür, ist die Erkennung von Angriffen, die mit fragmentierten Paketen stattfinden. Außerdem muss die NIDS Angriffe mit modifizierten TCP-Paketen erkennen, die die Zustandsüberwachung abfragen. Distributed Denial of Service (ddos) Ein NIDS bietet keinen Schutz vor einem ddos, ist jedoch aber häufig in der Lage diesen zu erkennen oder den Verdacht zu bestätigen. 9

12 Spoofing-Angriffe Häufig fälschen die Angreifer die Herkunft der MAC-, IP- oder DNS-Ebene. Ein NIDS sollte diese Angriffe erkennen. Portscans Ein Portscan muss immer von einem NIDS erkannt werden, vor allem wenn es sich um die langsamen und intelligenten Portscans handelt, die nur einen oder mehrere Ports pro Stunde oder pro Tag prüfen. Alle aufgeführten Angriffe sollten von einer NIDS erkannt werden und die dafür zuständige Person alarmiert werden oder einen Gegenmaßnahme eingeleitet werden. Die Konfiguration eines NIDS ist sehr aufwändig, genauso wie die Pflege einzelner NIDS. Da hier ständig neue Angriffe eingepflegt werden müssen, damit die NIDS diese erkennt. Die automatische Reaktion kann sich jedoch als problematisch erweisen, da der Angreifer diese ausnutzen kann, indem er einen gezielten Angriff auf den DNS-Server oder - Server vortäuscht und somit einen DoS verursacht Technologien Genauso wie die HIDS verfügen auch die NIDS über viele Technologien, hier werden die wichtigsten aufgelistet: Signatur-Erkennung Jedes NIDS besitzt eine große Datenbank mit bekannten Angriffen. Das NIDS vergleicht nun alle Pakete mit der Datenbank und löst bei einem positiven Treffer einen Alarm aus. Zustandsorientierte Signatur-Erkennung Die Zustandsorientierte Signatur-Erkennung betrachtet nur die Pakete, die in einer aufgebaut Verbindung auch übertragen werden. Alle anderen Pakete werden vom NIDS verworfen. Das NIDS pflegt dabei eine Tabelle mit bekannten Verbindungen. Protokolldekodierung Ein NIDS ist in der Lage, bevor ein Signaturvergleich kommt, den Inhalt des Datenstroms zu normalisieren. Dadurch werden Angriffe auf Websites mit unterschiedlichen Kodierungen, wie Unicode, ASCII und Base 64 erkannt. Statistische Anomalie-Analyse Viele Portscans und Angriffe können nicht mit einer Signatur erkannt werden. Ein Portscan hat meist keine besondere Signatur, sondern ist nur durch die Häufigkeit zu erkennen. Und unbekannte Angriffe können nicht erkannt werden, da sie nicht in der Datenbank existieren. Deswegen kann eine statistische Analyse des Netzwerks solche Angriffe erkennen, wenn es außergewöhnliche Pakete sind. Heuristische Analysen Ein einfacher 1:1 Vergleich ist meist langsam, deswegen können hier heuristische Methoden eine Abhilfe schaffen. Diese beschleunigen die Analyse ohne dass die Genauigkeit und die Trefferanalyse darunter leiden. Ein solcher Algorithmus ist z.b. Bayer-Moore. 10

13 Reaktion Die Reaktion eines NIDS auf einen Angriff kann von einer einfachen Protokollierung reichen, bis hin zu einer Sperrung aller Verbindungen des angreifenden Rechners. Dazwischen stehen mehrere Möglichkeiten zur Alarmierung der zuständigen Person, wie Pager, SMS, . Durch den Einsatz verschiedener Technologien, ergänzen sich diese in ihrer Funktionalität. Moderne kommerzielle und freie NIDS unterstützen meist alle oder viele von diesen Technologien. Die Unterschiede liegen in der Implementierung und der Umsetzung. Auch ein NIDS hat die Probleme mit den falsch-positiven und falsch-negativen Meldungen. Hier kann nur eine sorgfältige Administration und Pflege des Systems Abhilfe schaffen. 11

14 2.4 Honeypot Honeypot Ein Honeypot stellt ein Sicherheitsinstrument dar, dessen Sinn ist es die Untersuchung der Angriffe und Einbrüche durch Cracker. Ein Honeypot stellt keine Verteidigung des Systems dar, sondern es wird gehofft, dass in diesen Rechner eingebrochen wird. Ein Honeypot stellt eine Ablenkung für den Angreifer dar, damit dieser nicht die wichtigen und kritischen Rechner des Netzwerks angreift. Mit einem Honeypot ist es auch möglich die Angriffe durch Insider abzulenken. Das heißt, wenn der Angreifer sich bereits im Netzwerk befindet, kann die Firewall nicht mehr weiter helfen. Als Angreifer können folgende Personen sein: es ist ein unzufriedener Mitarbeiter es könnte ein Kundendienstmitarbeiter sein, der z.b. seinen Laptop an die Netzwerkdose angeschlossen hat oder der Angreifer hat mithilfe eines Mitarbeiters in bewusster oder unbewusster Form einen Trojaner im Netzwerk installiert Somit kann der Honeypot den Angreifer ablenken und Zeit für die Erkennung der Quelle des Angriffs lassen. Während der Angreifer auf dem Honeypot wütet. Eine sehr große Hilfe leistet der Honeypot bei der Reaktion auf ein Einbruch dar. Ein Honeypot-System stellt eine sehr nützliche Hilfe bei der Analyse und Auswertung der Ergebnisse dar und man kann wertvolle Erkenntnisse gewinnen, die dann später für die Sicherung des Systems dienen werden. So können möglicherweise Hintertüren und modifizierte Dateien gefunden werden, die ohne einen Honeypot vielleicht nicht gefunden wären. Das erhöht die Sicherheit des Netzwerkes. Somit sind die Honeypots eine lohnende Investition Tiny Honeypot Ein Tiny-Honeypot stellt eine entschärfte Variante eine Honeypots dar. Hier werden Simulationen von Diensten auf jedem Port erlaubt. Dazu werden kleine Perl-Programme verwendet, die die Anfrage entgegennehmen und dann bestimmten Dienst auf dem Port simulieren. Wichtig ist nun, wenn z.b. eine Verbindung auf den Port 1433 zugreift, muss diese an den Tiny Honeypot weiter geleitet werden. Die Weiterleitung ermöglicht die Netfilter-Architektur. Diese erlaubt die Änderung des Zielport eines Paketes auf den nicht verwendeten Port Vorraussetzung dafür ist dass der Tiny Honeypot die Ports der regulären Dienste des Rechners kennen um diese nicht fehl zu leiten Honeypot-Varianten Es gibt zwei Varianten von Honeypots die sich in ihren Aufgaben unterscheiden. Zum einem Produktions- und zum andrem Forschungssysteme. Produktionssystem: Die Produktions-Honeypots dienen der Sicherheit des Unternehmens, ihre Ziele und Aufgaben sind in erster Linie Erkennung und Verfolgung der Angriffe und Einbrüche. Forschungssystem: Forschungs-Honeypots dienen zur Erkenntnis über das Verhalten von Crackern und neue Angriffe. 12

15 2.4.4 Vorteile und Nachteile eines Honeypots Vorteile: - Datensammlung Die Daten, die auf dem System gesammelt werden, sind höchst interessant, da jeder Zugriff auf den Honeypott einen potenziellen Angriff darstellt. - Ressourcen Durch ein größeres Verkehrsaufkommen können die Sicherheitssysteme nicht mithalten und dadurch gehen unter Umständen kritische Pakete verloren, die bei der späteren Auswertung vielleicht relevant sind. Ein Honeypot entlastet sozusagen das Verkehrsaufkommen. Nachteile: - Singularität Ist der Honeypot nur eine Maschine in den Weiten des Internets, kann ein Angreifer sie unter umständen nicht finden und somit verfehlt der Honeypot seine Wirkung. - Erhöhtes Risiko Ist der Angriff auf den Honeypot erfolgreich, kann es passieren, dass der Angreifer dann weitere Angriffe gegen das Netzwerk startet Honeypot und das Gesetz Der Einsatz von Honeypots ist in Deutschland nicht unproblematisch, da in Deutschland die Beihilfe zu einer Straftat auch unter Strafe steht. Folgende Straftaten stellt ein Honeypot dar bzw. es werden folgende Gesetze aktiv: StGB 26 Anstiftung StGB 27 Beihilfe Einfache Honeypots, die ein Betriebssystem simulieren, können nicht unbedingt als Beihilfe zu einer Straftat dienen. Der Versuch ist aber strafbar. Die Installation eines Betriebssystems ist schon problematischer, wenn hier keine Sicherheitspatches eingespielt werden und dieses System dann vorsätzlich überwacht wird. Kann dass schon als Beihilfe zu einer Straftat angesehen werden. 13

16 2.5 Kosten Es gibt eine Vielzahl von kommerziellen und freien IDS. Die kommerziellen IDS werden jährlich im Internet durch die unabhängige The NSS Group verglichen. Hier werden ein paar IDS erwähnt um zu zeigen, was sie Kosten und was sie können. NetRanger/Cisco Secure IDS Dieses NIDS wird als Stand-Alone Appliance-Lösung von Cisco angeboten. Das IDS wird in verschiedenen Stufen angeboten, welche sich in den Leistungsfähigkeiten unterscheiden. - Ausbaustufen: - IDS-4210: 45 Mbit/s ca Euro - IDS-4235: 200 Mbit/s ca Euro - IDS-4235: 500 Mbit/s ca Euro - Signaturanalyse: - Verdefinierte Signaturen: >300 - Erkennung von benutzerdefinierten Zeichenketten möglich - Updates alle 60 Tage - Defragmentierung, Zustandsüberwachung, keine Protokolldekodierung - Reaktion: - TCP Reset möglich - Grafischer Client: - MS Windows NT - Solaris NFR HID Hier handelt es sich um ein Verteiltes HIDS. Zusätzlich bietet es Intrusion Management System an. - Preis: - StarterPack (Konsole und 10 Sensoren) ca US-Dollar - Weitere Sensoren ca. 800 US-Dollar - Überwachung - Benutzerverhalten - Netzwerkverkehr des Rechners - Protokolldateien - Integritätstest mit tripwire - Reaktion - Abmeldung des Benutzers - Deaktivierung des Benutzerkontos - Aktivierung von Tripwire - Grafischer Client - MS Windows NT und

17 Snort Snort ist ein freies Open Source NIDS. Durch die Entwicklung von mehreren Gruppen entstanden auch grafische Clients für das System. Und es wurde in der Version von ISCAlabs zertifiziert. - Preis: - Open Source, keine Lizenzkosten - Als Appliance: Sourcefire NS 3000 für Gigabit-Netzwerke: 9,995 US-Dollar - Beitriebssysteme: - UNIX - MS Windows NT - Signaturanalyse: - Vordefinierte Signaturen: > Tägliche Updates verfügbar - Einfache Definition neuer Signaturen durch Benutzer - Defragmentierung, Protokolldekodierung, Zustandsüberwachung - Reaktion - TCP Reset, ICMP Unreachable - Konfiguration einer Firewall - Grafischer Client: - MS Windows NT/ UNIX LIDS LIDS ist ein Open Source HIDS. LIDS überwacht sämtliche Zugriffe auf Ressourcen im Kernel und ist nur als Patch für Kernel 2.2 und 2.4 verfügbar. - Preis: - Open Source - Überwachung: - Benutzerverhalten - Portscans - Protokolldateien - Verhalten der einzelnen Prozesse - Kernelprozesse/Module - Reaktion: - Abmeldung des Benutzers - Verweigerung des Zugriffes - Grafischer Client: - Nein 15

18 3 Praxis 3.1 Einfaches Host Intrusion Detection System Die Implementierung eines einfachen Rechner-gestützten IDS soll hier erläutert werden. Dieses IDS soll die Integrität der Daten im Verzeichnis /etc überprüfen. Dazu wird man die Befehle find und diff brauchen. Man kann dieses System auch auf mehrere oder andere Verzeichnisse ausweiten und so mehr vom System überwachen. Vorgehensweise zur Erstellung eines HIDS und Integritätstest der Daten: Zunächst wird der Ist-Zustand des Systems mit Hilfe von find in einem Snapshot gespeichert. In der Datei baseline ist nun jeder Dateieintrag (find type f) des Verzeichnisses /etc mit seiner Inodenummer(-i), den Rechten, dem Besitzer, der Größe und dem Änderungsdatum(-l) abgespeichert. Dabei ruft der Befehl find für jede gefundene Datei den Befehl ls ail auf und übergibt ihm den Namen der gefundenen Datei {}. Nun kann man mit less den Inhalt von baseline betrachten: 16

19 Jetzt wird zu den Testzwecken ein neuer Benutzer im System angelegt. Das Anlegen eines neuen Benutzer modifiziert die Systemdaten und man kann somit eine Veränderung des Systems feststellen. Geht man davon aus, dass das Anlegen eines neuen Benutzers nicht vorgesehen war, kann man das als ein Angriff bewerten. Um zu wissen was nun verändert wurde, kann man in regelmäßigen Abständen mithilfe von diff das System vergleichen und die Änderungen in eine Textdatei abspeichern. Nachdem ich die Systemintegrität geprüft wurde, kann man im Verzeichnis /root eine Datei Namens and.txt finden. 17

20 Nachdem betrachten der Datei and.txt mit less kann man alle Änderungen seit dem erstellen des Snapshots finden. 18

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Intrusion Detection Systems

Intrusion Detection Systems Intrusion Detection Systems Veranstaltung Sicherheit in Rechnernetzen Übersicht Was ist eine Intrusion? Und was die Intrusion Detection? Arten von IDS Rechtliche Fragen Angriffspunkte von IDS IDS sinnvoll

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40

Intrusion Detection. Alexander Auer Dominik Fakner Richard Hentschel. Universität Salzburg 1/40 Intrusion Detection Einführung Kryptographie und IT-Sicherheit Intrusion Detection Alexander Auer Dominik Fakner Richard Hentschel Universität Salzburg 2012 1/40 Inhalt Inhaltsverzeichnis 1 Was ist Intrusion

Mehr

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17

Inhaltsverzeichnis. Teil I Einführung in die Intrusion Detection 21. Vorwort 15. Einleitung 17 Inhaltsverzeichnis Vorwort 15 Einleitung 17 Teil I Einführung in die Intrusion Detection 21 Kapitel 1 Was ist eine Intrusion, was ist Intrusion Detection? 23 1.1 Was ist eine Intrusion? 24 1.2 Was macht

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Network Intrusion Detection

Network Intrusion Detection System Snort Umgehen von NIDS Probleme und Schwächen Andreas Heißel May 5, 2013 System Snort Umgehen von NIDS Probleme und Schwächen Inhalt System Übersicht Aufbau und Funktion eines NIDS Erkennung von

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Intrusion Detection & Response

Intrusion Detection & Response Intrusion Detection & Response Seminararbeit im SS 2002 (4. Semester Bachelor) von Uwe Hoffmeister 900 1840 Christian Klie 900 1882 Tobias Schmidt 900 1883 Seite 1 von 132 Version vom 17.04.2002 1. Verzeichnisse

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr.

Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007. Thema: Intrusion Detection. Von Mathias Bernhard Mat. Nr. Seminararbeit zu: Seminar 184.121 Grundlagen methodischen Arbeitens SS 2007 Thema: Intrusion Detection Von Mathias Bernhard Mat. Nr.: 0627917 Datum: 25. Mai 2007 Inhaltsverzeichnis 1. Kurzfassung... 3

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Network Intrusion Detection

Network Intrusion Detection Stephen Northcutt, Judy Novak Network Intrusion Detection Übersetzung und Überarbeitung aus dem Amerikanischen von Marc Ruef Hüthig Widmung 11 Über die Autoren 12 Vorwort zur deutschen Neuauflage 13 Einführung

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Integriertes Management von Sicherheitsvorfällen

Integriertes Management von Sicherheitsvorfällen Integriertes Management von Sicherheitsvorfällen Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser 18. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 15./16. Februar 2011 Leibniz-Rechenzentrum

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten Klaus J. Müller, Senior IT Architekt 7. Tag der IT-Sicherheit, 19. Mai 2015, Karlsruhe Inhalt Über Ziele Stolperfallen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

User Mode Linux. Sven Wölfel 15. April 2005

User Mode Linux. Sven Wölfel 15. April 2005 User Mode Linux Sven Wölfel 15. April 2005 Inhalt Was ist UML? Wofür kann man UML benutzen? Funktionsweise von UML Installation von UML Netzwerk unter UML einrichten Quellen 2 Was ist UML? I User Mode

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld.

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld. Die perfekte Personal Firewall, gibt es sie? Wilfried Gericke Dr.Phil(USA) Dipl.-Math IT-Sicherheitsbeauftragter Inhalt: Motivation Grundlagen Firewall Grundlagen Personal Firewall Beispiele von Personal

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Linux Intrusion Detection System (LIDS, www.lids.org)

Linux Intrusion Detection System (LIDS, www.lids.org) Linux Intrusion Detection System (LIDS, www.lids.org) oder: wie mache ich mein System sicher... und mir das Leben schwer :-) Michael Würtz TU Darmstadt, HRZ 10/2003 Inhalt 1. Intrusion Detection in Kurzform

Mehr

safe Global Security for iseries

safe Global Security for iseries safe Global Security for iseries Komplette Security Suite für Ihre iseries (AS/400) TCP/IP und SNA Verbindungen Jemand versucht in Ihr System einzubrechen Ist es gesichert? Immer wenn Ihre iseries (AS/400)

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

4.3 Einbruchsentdeckung Intrusion Detection

4.3 Einbruchsentdeckung Intrusion Detection 4.3 Einbruchsentdeckung Intrusion Detection Firewall soll Einbruch verhindern. Bei schwacher (oder fehlender) Firewall ist Einbruch nicht auszuschließen - und soll dann wenigstens entdeckt werden. Ziele:

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

FTP Server unter Windows XP einrichten

FTP Server unter Windows XP einrichten Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket

Mehr

Intrusion Detection und Prevention mit Snort 2 & Co.

Intrusion Detection und Prevention mit Snort 2 & Co. Ralf Spenneberg Intrusion Detection und Prevention mit Snort 2 & Co. Einbrüche auf Linux-Servern erkennen und verhindern An imprint of Pearson Education München Boston San Francisco Harlow, England Don

Mehr

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21 OSSEC Open Source Host Based IDS Johannes Mäulen 11.04.2014 Johannes Mäulen OSSEC 1 / 21 Was ist OSSEC? Was ist IDS? Wozu brauch ich dass? OSSEC ist ein Open Source Host-based Intrusion Detection System.

Mehr

Netzsicherheit: Spielerisch hacken und Einbruchserkennung auf der Basis von Open Source Software

Netzsicherheit: Spielerisch hacken und Einbruchserkennung auf der Basis von Open Source Software Netzsicherheit: Spielerisch hacken und Einbruchserkennung auf der Basis von Open Source Software Richard Sethmann, Stephan Gitz, Helmut Eirund Institut für Informatik und Automation (IIA) Hochschule Bremen

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Systemvoraussetzungen und Installation

Systemvoraussetzungen und Installation Systemvoraussetzungen und Installation Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Einleitung... 2 2. Einzelarbeitsplatzinstallation... 3 3. Referenz: Client/Server-Installation... 5 3.1. Variante A:

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Enns -Westcon Agenda Platformen Module Aufbau Funktion der einzelnen Komponenten Policy 2 Platformen Physisch Virtuell Cloud

Mehr

opensuse 13.2 / SUSE Linux Enterprise 12 Klaus Schmidt Systembetreuer 1. Ausgabe, April 2015 ISBN: 978-3-86249-420-0 LI13XS

opensuse 13.2 / SUSE Linux Enterprise 12 Klaus Schmidt Systembetreuer 1. Ausgabe, April 2015 ISBN: 978-3-86249-420-0 LI13XS Klaus Schmidt 1. Ausgabe, April 2015 opensuse 13.2 / SUSE Linux Enterprise 12 Systembetreuer ISBN: 978-3-86249-420-0 LI13XS 6 opensuse 13.2 / SUSE Linux Enterprise 12 - Systembetreuer 6 YaST bedienen In

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Aufgaben zum ISO/OSI Referenzmodell

Aufgaben zum ISO/OSI Referenzmodell Übung 1 - Musterlösung 1 Aufgaben zum ISO/OSI Referenzmodell 1 ISO/OSI-Model Basics Aufgabe 1 Weisen Sie die folgenden Protokolle und Bezeichnungen den zugehörigen OSI- Schichten zu: IP, MAC-Adresse, HTTP,

Mehr

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse

Netzwerkanalyse Seite 1 von 6. Einführung in die Netzwerkanalyse Netzwerkanalyse Seite 1 von 6 Einführung in die Netzwerkanalyse Unter Netzwerkanalyse versteht man einen Prozess, bei dem der Netzwerk-Traffic abgegriffen und genau untersucht wird, um festzustellen, was

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration

Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration Umfangreicher Schutz für Unternehmensnetzwerke, Optimierung des Internettraffic, flexible Administration Einsatzgebiete Das Internet ist aus dem Arbeitsalltag nicht mehr wegzudenken. Durch die Verwendung

Mehr

Check_MK. 11. Juni 2013

Check_MK. 11. Juni 2013 Check_MK 11. Juni 2013 Unsere Vision IT-Monitoring muss werden: 1. einfach 2. performant 2 / 25 Was macht IT-Monitoring? IT-Monitoring: Aktives Überwachen von Zuständen Verarbeiten von Fehlermeldungen

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

AnyVizor. IT Service Management.

AnyVizor. IT Service Management. AnyVizor. IT Service Management. IT Service Management. AnyVizor ist eine auf Open Source Software basierende Lösung für IT Management Aufgaben. AnyVizor wurde von AnyWeb speziell für kleinere Systemumgebungen,

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr