Netzwerksicherheit. Teil 4: Absichern von Netzwerken. Martin Mauve, Björn Scheuermann und Philipp Hagemeister

Größe: px
Ab Seite anzeigen:

Download "Netzwerksicherheit. Teil 4: Absichern von Netzwerken. Martin Mauve, Björn Scheuermann und Philipp Hagemeister"

Transkript

1 Netzwerksicherheit Teil 4: Absichern von Netzwerken Martin Mauve, Björn Scheuermann und Philipp Hagemeister Sommersemester 2015 Heinrich-Heine-Universität Düsseldorf Netzwerksicherheit Absichern von Netzwerken 1

2 Ziele und Vorgehen in diesem Kapitel Verstehen, wie man ein Netzwerk absichern kann: Welche Architektur sollte ein sicheres Netzwerk haben? Aus welchen Komponenten besteht eine solche Architektur typischerweise? Wie funktionieren diese Komponenten? Vorgehen: Verstehen der Probleme anhand eines Beispiels Erklären der einzelnen Komponenten Aufsetzen eines sicheren Netzwerkes (Praktikumsaufgabe) Netzwerksicherheit Absichern von Netzwerken 2

3 Sie sollen ein sicheres Netzwerk für ein kleines mittelständisches Unternehmen entwerfen. Das Unternehmen besteht aus drei Abteilungen: Buchhaltung und Personal (BP), Produktentwicklung (PE) und Vertrieb (VT). Das Unternehmen betreibt einen Web-Server und einen -Server. Einige Mitarbeiter in PE haben ein Home-Office und arbeiten häufig von zu Hause aus. Mitarbeiter des Vertriebs sind häufig beim Kunden vor Ort und benötigen dann Zugriff auf interne Daten. Welchen Anforderungen sollte ein sicheres Netzwerk für diese Problemstellung genügen? Netzwerksicherheit Absichern von Netzwerken 3

4 Anforderungsanalyse Wichtige Sicherheitsziele, Netzwerksicht: Schutz des internen Netzwerkes vor unberechtigtem Zugriff aus dem Internet Feststellen von und Benachrichtigung bei Angriffsversuchen Trennung sensibler Systemen von öffentlich zugänglichen Systemen Trennung der Abteilungen voneinander Keine unverschlüsselten Daten über unsichere Netzwerke übertragen Abwägen: Sicherheit-Nutzen-Kosten Authentifikation, Zugriffsrechte (später) s/Spam filtern (später) Netzwerksicherheit Absichern von Netzwerken 4

5 Anforderungsanalyse Andere Sicherheitsziele (hier nicht betrachtet): Umgang mit Angreifern innerhalb des Unternehmens Ausfallsicherheit Virenscanner (wenn sinnvoll) einsetzen Schutz der Daten bei Hardware-Diebstahl Benutzerfreundlichkeit, Schulungen von Benutzern Regelmäßige Updates, aktuelle Sicherheitsinformationen Notfallpläne/Reaktionen im Notfall Policy bezüglich Einspielen von Software, eigener Hardware Netzwerksicherheit Absichern von Netzwerken 5

6 Sie sollen ein sicheres Netzwerk für ein kleines mittelständisches Unternehmen entwerfen. Das Unternehmen besteht aus drei Abteilungen: Buchhaltung und Personal (BP), Produktentwicklung (PE) und Vertrieb (VT). Das Unternehmen betreibt einen Web-Server und einen -Server. Einige Mitarbeiter in PE haben ein Home-Office und arbeiten häufig von zu Hause aus. Mitarbeiter des Vertriebs sind häufig beim Kunden vor Ort und benötigen dann Zugriff auf interne Daten. Bilden Sie Gruppen von 4 6 Personen. Entwickeln Sie in Ihrer Gruppe einen Vorschlag für eine Architektur (Komponenten, Aufbau) für das Netzwerk. Sie haben 8 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 6

7 Eine mögliche Architektur Netzwerksicherheit Absichern von Netzwerken 7

8 Weiterer Ablauf Firewalls IDS VPN Netzwerksicherheit Absichern von Netzwerken 8

9 Begriffsdefinition Firewall Eine Firewall soll zwei Bereiche eines Netzwerkes voneinander trennen Manches darf durch, anderes nicht gar nichts durchlassen (= Stecker raus) ist nicht das, was man üblicherweise will alles durchlassen aber auch nicht... die Kunst ist also, zu definieren, was durch darf Diese Funktionalität kann man auf unterschiedlichen Protokollschichten realisieren auf der Anwendungsschicht durch Proxies oder Application Level Gateways auf der Transportschicht durch einen SOCKS-Proxy auf der Netzwerk- (+ ggf. Transport-)schicht durch eine klassische Firewall Netzwerksicherheit Absichern von Netzwerken 9

10 Anwendungsschicht-Proxies Proxies (oder auch: Application Level Gateways) vermitteln zwischen einem Client-Programm und einem Server, mit dem es sich verbindet Der Proxy arbeitet anwendungsprotokollspezifisch separate Proxies für jedes Anwendungsschichtprotokoll müssen (i. d. R.) vom Client-Programm unterstützt werden Statt direkt zum Server baut der Client eine Verbindung zum Proxy auf...und teilt diesem mit, zu welchem Server er sich verbinden soll Der Proxy reicht dann die Daten dann durch Netzwerksicherheit Absichern von Netzwerken 10

11 Anwendungsschicht-Proxies Der Proxy kann Filterregeln anwenden Da der Proxy das Anwendungsschichtprotokoll versteht, können die Regeln sehr detailliert und mächtig sein z. B. Zugriff auf bestimmte externe Server nur für bestimmte Nutzer nach vorheriger Anmeldung z. B. bei HTTP: Erlaube von Server X den Download beliebiger HTML-Dateien, aber keine JPEG-Bilder, usw. Sogar tiefe Eingriffe in den Datenstrom sind möglich Privoxy beispielsweise ist ein HTTP-Proxy, der sensible Informationen aus HTTP-Anfragen ausfiltert und die angefragten Seiten vor dem Weiterreichen an den Client von Werbung säubern kann Web Caches (z. B. Squid) sind HTTP-Proxies, die Daten (Webseiten, Bilder,...) zwischenspeichern und bei späteren Anfragen direkt zurückgeben, statt sie vom Server zu holen Netzwerksicherheit Absichern von Netzwerken 11

12 Hausaufgabe (Übungsblatt 4) (a) Installieren Sie bei sich den HTTP-Proxy Squid. (b) Konfigurieren Sie einen Web-Browser auf demselben Rechner so, dass er Ihren Squid als HTTP-Proxy verwendet. (c) Vergleichen Sie mit Wireshark den Datenverkehr (auf der Anwendungsschicht) beim direkten Aufruf einer Webseite mit dem Aufruf über den Proxy (sowohl auf dem Loopback-Interface lo als auch auf dem Netzwerkinterface zum Internet hin). Netzwerksicherheit Absichern von Netzwerken 12

13 Transportschicht-Proxies: SOCKS Proxies gibt es auch auf der Transportschicht Transportschicht-Proxies sprechen in der Regel das SOCKS-Protokoll [RFC 1928] Ursprünglich für TCP, inzwischen auch UDP Vorgehen mehr oder weniger wie erwartet: Client verbindet sich zum SOCKS-Proxy authentifiziert sich (falls gefordert) teilt dann mit, mit wem (Adresse, Port) er sprechen möchte Proxy baut die Verbindung auf bestätigt dem Client den erfolgreichen Verbindungsaufbau (oder sendet einen Fehlercode...) leitet danach alle Daten zwischen Client und Server unverändert durch SOCKS muss also (wie Anwendungsschicht-Proxies) vom Anwendungsprogramm unterstützt werden Netzwerksicherheit Absichern von Netzwerken 13

14 Paketfilter-Firewalls Die einfachste Form von Firewalls sind sog. Paketfilter Paketfilter arbeiten auf der Netzwerk- und Transportschicht (seltener auch: Sicherungsschicht) Idee: betrachte jedes Paket für sich wende nacheinander eine Reihe von Regeln an eine Regel überprüft zunächst, ob sie auf das Paket passt z. B. durch Vergleiche von Adressen, Portnummern, Sequenznummern, Flags usw. als Kriterium in Frage kommt hier alles, was im Netzwerkoder Transportschicht-Header steht wenn die Regel passt, wird eine Aktion ausgeführt meist: entweder Durchlassen oder Verwerfen des Paketes Netzwerksicherheit Absichern von Netzwerken 14

15 Paketfilter-Firewalls In diesem Netz soll die Firewall nur der Empfang und Versand von s per SMTP über den Mailserver ermöglichen. Wie könnten entsprechende Firewall-Regeln aussehen? Entwerfen Sie einen Regelsatz in Ihrer Gruppe. Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 15

16 Ganz kurz: SMTP SMTP ist das Protokoll zur Übermittlung von s im Internet Um eine Mail zuzustellen, wird zum zuständigen SMTP-Server eine TCP-Verbindung (Port 25) aufgebaut Darüber wird die Mail dann übertragen In unserem Beispiel müssen also durchgelassen werden: eingehende TCP-Verbindungen von außen zu Port 25 des Mailservers ausgehende TCP-Verbindungen zum Mailserver zu Port 25 auf anderen Rechnern jeweils einschließlich der Antwort-/ACK-Pakete Netzwerksicherheit Absichern von Netzwerken 16

17 Paketfilter-Firewalls Erlaubte Pakete müssen vom Mailserver kommen oder zum Mailserver laufen, TCP-Pakete sein und von Port 25 (SMTP) kommen oder an Port 25 gehen Ein Regelsatz könnte z. B. so aussehen: 1 Quelle= und Ziel-Port=25 durchlassen 2 Ziel= und Quell-Port=25 durchlassen 3 Ziel= und Ziel-Port=25 durchlassen 4 Quelle= und Quell-Port=25 durchlassen 5 sonst: verwerfen Netzwerksicherheit Absichern von Netzwerken 17

18 Linux iptables Der Linux-Kernel unterstützt mit dem iptables-framework schon seit langem die Verarbeitung von Firewall-Regeln Wird ein Linux-Rechner als Router eingesetzt, dann kann er auch als Firewall arbeiten iptables ist sehr mächtig (und deswegen auf den ersten Blick auch ein bisschen kompliziert) genauer hinschauen lohnt sich aber! In der Vorlesung: grober erster Überblick Für die praktische Übung: selbständig etwas tiefer einarbeiten [Andreasson: Iptables Tutorial. [Manpage zum Befehl iptables] Netzwerksicherheit Absichern von Netzwerken 18

19 iptables-grundlagen: Tables In iptables werden Regeln in mehreren unterschiedlichen Tables definiert Die Tables werden zu unterschiedlichen Zeitpunkten während der Verarbeitung eines Paketes im Kernel aktiv und haben unterschiedliche Zielsetzungen Für uns hier am wichtigsten: die filter-table Hauptzweck: Klassische Firewall Pakete durchlassen oder verwerfen Außerdem: mangle, nat und raw speziellere Aufgaben: Veränderungen an Paketen, NAT, Sonderbehandlung für bestimmte Pakete, Performance-Optimierungen,... Netzwerksicherheit Absichern von Netzwerken 19

20 iptables-grundlagen: Chains In jeder Table gibt es mehrere Chains Z. B. in der filter-table: INPUT: hier werden Pakete untersucht, die von außen kommen und an einen lokalen Prozess gerichtet sind OUTPUT: hier werden ausgehende Pakete von lokalen Programmen untersucht FORWARD: hier werden Pakete untersucht, die beim Routing durchgereicht werden Außerdem können benutzerdefinierte Chains zusätzlich angelegt werden Welche Chain benötigen wir (hauptsächlich) in unserem Mailserver-Beispiel? Netzwerksicherheit Absichern von Netzwerken 20

21 iptables-grundlagen: Regeln Beispiel Jede Chain besteht aus einer Folge von Regeln Eine Regel hat eine Menge von Kriterien, die erfüllt sein müssen, damit die Regel aktiv wird ( Match ) eine Aktion, die ausgeführt wird, falls die Regel zutrifft ( Target ) Regeln können mit dem Kommando iptables angelegt, gelöscht, verändert, angezeigt usw. werden iptables Table { }} { -t filter Kommando: Regel anfügen {}}{ -A -d p tcp --dport 25 } {{ } Match Chain { }} { FORWARD -j ACCEPT } {{ } Target Dieser Befehl fügt eine neue Regel ans Ende der FORWARD-Chain in der filter-table an. Netzwerksicherheit Absichern von Netzwerken 21

22 iptables-grundlagen: Matches und Targets Einige gängige Match-Kriterien: -s, -d: Quell- bzw. Ziel-IP-Adress(bereich) (z. B oder /16) -i, -o: ein- bzw. ausgehendes Interface (eth0, wlan0,...) -p: Transportschicht-Protokoll (tcp, udp, icmp,...) --sport, --dport: Quell- bzw. Ziel-Port dieser Test muss den Transportschicht-Header lesen und funktioniert natürlich nur bei Protokollen, die Ports kennen deswegen nur in Kombination mit z. B. -p tcp gültig! Die wichtigsten Targets: DROP: Paket verwerfen, Regelverarbeitung abbrechen ACCEPT: Paket annehmen, Regelverarbeitung abbrechen LOG: Systemprotokoll-Eintrag über das Paket erstellen, danach mit der Regelverarbeitung fortfahren auch möglich: benutzerdefinierte Chain als Target Vollständige Liste: iptables-dokumentation! Netzwerksicherheit Absichern von Netzwerken 22

23 iptables Beispiel Ein iptables-skript zum Setzen der FORWARD-Regeln für unseren Mailserver-Paketfilter könnte so aussehen: iptables -F FORWARD # alle Regeln in FORWARD löschen iptables -P FORWARD DROP # Paket verwerfen, wenn keine Regel passt iptables -A FORWARD -d p tcp --dport 25 -j ACCEPT iptables -A FORWARD -s p tcp --sport 25 -j ACCEPT iptables -A FORWARD -s p tcp --dport 25 -j ACCEPT iptables -A FORWARD -d p tcp --sport 25 -j ACCEPT (Wir müssen nicht jedesmal -t filter angeben, da filter die standardmäßig verwendete Table ist.) Netzwerksicherheit Absichern von Netzwerken 23

24 Betrachten wir nochmal das Netzwerk von vorhin: Jetzt sollen unsere internen Clients beliebige Verbindungen ins Internet aufbauen dürfen (von außen kommende Verbindungen zu den Clients sollen aber verboten bleiben!). Wie müssten entsprechende Regeln aussehen? Welches Problem ergibt sich? Netzwerksicherheit Absichern von Netzwerken 24

25 Probleme von Paketfiltern Problem: Im vorangegangenen Beispiel müssen wir Pakete mit beliebigen Quell- und Zielports von und an unsere internen Clients erlauben...also eigentlich alles Auch unser Mailserver-Beispiel hatte einen schweren Bug: ein Angreifer könnte eine Verbindung zu einem beliebigen Dienst (Port) auf dem Mailserver aufbauen, wenn er als eigene Quell-Portnummer 25 wählt! das verkaufen wir also besser keinem Kunden... Mögliche Abhilfe für TCP: SYN-Pakete nur von innen erlauben auch nicht wirklich überzeugend: man kann immer noch Pakete von außen durch die Firewall bringen Netzwerksicherheit Absichern von Netzwerken 25

26 Stateful Firewalls Die Firewall müsste wissen, ob ein Paket von außen eine Antwort auf ein zuvor von innen verschicktes ist Das kann man einem einzelnen Paket für sich genommen aber in der Regel nicht ansehen! Eine Stateful Firewall beobachtet deshalb die durch sie laufenden Verbindungen Enthält eine Tabelle existierender Verbindungen Jeder dieser Verbindungen ist ein Zustandswert zugeordnet, z. B. für eine TCP-Verbindung SYN gesendet, aber noch keine Antwort ( halboffen ) Verbindung von beiden Seiten bestätigt ( offen )... Es ist dann beispielsweise möglich zu entscheiden, ob ein Paket zu einer existierenden Verbindung gehört Netzwerksicherheit Absichern von Netzwerken 26

27 Stateful Firewalls Jetzt sollen unsere internen Clients beliebige Verbindungen ins Internet aufbauen dürfen (von außen kommende Verbindungen zu den Clients sollen aber verboten bleiben!). Entwickeln Sie in Ihrer Gruppe Regeln für eine Stateful Firewall! Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 27

28 Stateful Firewalls Wir müssen durchlassen: beliebige Pakete von innen nach außen Pakete von außen, die zu einer existierenden Verbindung gehören außerdem Pakete von außen, die an Port 25 unseres Mailservers gehen Netzwerksicherheit Absichern von Netzwerken 28

29 Stateful Firewalls mit iptables iptables unterstützt den Aufbau von Stateful Firewalls Wichtigstes Werkzeug: Match-Kriterium --state Zunächst mit -m state das State-Modul laden, danach --state in den Regeln verwenden Mögliche Zustandswerte: --state ESTABLISHED: Paket gehört zu einer vollständig und korrekt aufgebauten Verbindung --state INVALID: Paket gehört zu keiner vorhandenen Verbindung und sieht fehlerhaft/problematisch aus --state RELATED: Paket startet einen neue Verbindung, steht aber in Beziehung zu einer bereits existierenden --state NEW: erstes Paket einer Verbindung oder die Verbindung hat noch keine Pakete in beiden Richtungen gesehen Verbindung umfasst auch UDP-/ICMP-Kommunikation! Netzwerksicherheit Absichern von Netzwerken 29

30 Stateful Firewalls mit iptables Für unser Beispiel könnte ein (recht minimalistisches) Konfigurationsskript für die FORWARD-Chain so aussehen: iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A FORWARD -s /24 -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -d i eth0 -o eth1 -p tcp \ --dport 25 -j ACCEPT iptables -A FORWARD -d /24 -i eth0 -o eth1 -m state \ --state RELATED,ESTABLISHED -j ACCEPT (Wir geben hier immer mit -i und -o das ein- und ausgehende Interface explizit an; dies hilft gegen Angriffe mit gefälschten IP-Adressen.) Netzwerksicherheit Absichern von Netzwerken 30

31 Hausaufgabe (Übungsblatt 5) Im auf der nächsten Seite abgebildeten Netzwerk sollen die Clients im internen Netz (nur) auf den Web-Proxy (TCP-Port 3128) und auf den Mail-Server (per SMTP und IMAP, TCP-Ports 25 und 143) zugreifen dürfen der Mailserver von außen per SMTP (TCP-Port 25) erreichbar sein und selbst SMTP-Verbindungen nach außen aufbauen können der Web-Proxy beliebige TCP-Verbindungen (alle Ports) nach außen aufbauen können die DNS-Namensauflösung (UDP und TCP Port 53) für Web-Proxy und Mailserver funktionieren (a) Entwickeln Sie (zunächst ohne bestimmte Syntax, also als Beschreibung in Stichworten) Regelsätze für die beiden Stateful Firewalls. (b) Schreiben Sie iptables-konfigurationsskripte für die FORWARD- Chains in den filter-tables. Netzwerksicherheit Absichern von Netzwerken 31

32 Netzwerkschema zur Hausaufgabe Netzwerksicherheit Absichern von Netzwerken 32

33 Zustand RELATED Der Zustand RELATED scheint etwas ungewöhnlich, denn er bedeutet, dass eine Verbindung neu ist... aber gleichzeitig mit einer bereits existierenden Verbindung zusammenhängt Dies tritt bei bestimmten Anwendungsprotokollen auf, die auf Anwendungsschicht den Aufbau zusätzlicher Verbindungen aushandeln Das bekannteste Beispiel ist die aktive Variante des FTP-Protokolls Die Firewall braucht also Anwendungswissen, um dies entscheiden zu können! Für einige gängige Anwendungsprotokolle (z. B. FTP) ist entsprechende Unterstützung für iptables verfügbar Netzwerksicherheit Absichern von Netzwerken 33

34 Stateful Firewalls: Vor- und Nachteile Erst mit Stateful-Regeln werden Firewalls mächtig genug für die meisten praktischen Einsatzbereiche Allerdings sind Stateful Firewalls auch sehr viel aufwändiger (= langsamer, CPU-intensiver) als reine Paketfilter In der Praxis werden Stateful Firewalls oft mit NAT-Mechanismen (Network Address Translation) kombiniert Das ist naheliegend: Beides benötigt eine Tabelle über den Zustand offener Verbindungen! iptables beispielsweise nutzt dieselbe Tabelle für NAT- und Stateful-Firewall-Mechanismen Netzwerksicherheit Absichern von Netzwerken 34

35 Erinnerung: Network Address Translation NAT versteckt die internen Adressen vor dem Internet Dafür ersetzt ein NAT-Router in ausgehenden Paketen die Quelladresse durch seine eigene...und in eingehenden Paketen dann die Zieladresse entsprechend (Wenn das nicht klar ist: bitte nachlesen!) Netzwerksicherheit Absichern von Netzwerken 35

36 NAT als Sicherheitsmechanismus? NAT ist ein Hack, um mit dem zu knappen Adressraum im Internet umzugehen Obwohl man das immer wieder hört und liest: NAT ist kein Sicherheitsfeature! Viele NAT-Router lassen viel mehr durch, als man denkt Eine gut und sinnvoll konfigurierte (Stateful) Firewall ist unverzichtbar egal, ob mit oder ohne NAT! Netzwerksicherheit Absichern von Netzwerken 36

37 Transparente Proxies Eine interessante Kombination von Firewall-Techniken und Proxies sind sogenannte Transparente Proxies Häufig vor allem für HTTP eingesetzt Idee: eine Firewall fängt ausgehende HTTP-Verbindungen ab...und leitet sie an einen speziellen HTTP-Proxy um (ersetzt Zieladdr.+Port) der Proxy tut so, als wäre er der Webserver aus den HTTP/1.1-Headern der Anfrage kann der Proxy ablesen, mit wem der Browser eigentlich sprechen wollte...und kann die entsprechenden Daten dann anfordern und an den Client ausliefern der Client merkt davon nichts! Netzwerksicherheit Absichern von Netzwerken 37

38 Host-basierte Firewalls Bisher haben wir Firewalls betrachtet, die als Geräte im Netzwerk arbeiten und Datenverkehr auf Basis der Informationen in den Netzwerkpaketen filtern Solche Firewalls können nicht entscheiden von welchem Programm/Prozess ein Paket erzeugt wurde von welchem Benutzer ein Paket kommt... Oft wollen wir aber zum Beispiel daran eine Entscheidung festmachen! Das geht nur mit Host-basierten Firewalls, die direkt auf den Endgeräten laufen Sollten wir Firewalls im Netzwerk oder Host-basierte Firewalls einsetzen? Wann immer möglich: Beides! Netzwerksicherheit Absichern von Netzwerken 38

39 Richtlinien für den Firewall-Entwurf Lieber erst mal zu wenig als zu viel erlauben zu wenig fällt auf, zu viel erst mal nicht! nie darauf verlassen, dass eine bestimmte Regel alles erwischt ( doppelt hält besser so viele Kriterien wie möglich nutzen!) Bewährtes Vorgehen in der Praxis: 1 Firewall zunächst so dicht wie möglich konfigurieren, nur das erlauben, was garantiert und unbedingt offen sein muss 2 Einsatz testen, verwendete Software ausprobieren 3 Geht nicht? Log-Dateien auf der Firewall überprüfen: Welche Pakete/Verbindungen wurden geblockt? 4 Nachdenken: Wäre es richtig und wichtig gewesen, die geblockten Pakete durchzulassen? 5 Wenn ja (und nur wenn keine Sicherheitsbedenken): Regeln entsprechend erweitern 6 zurück zu (2) Netzwerksicherheit Absichern von Netzwerken 39

40 Richtlinien für den Firewall-Entwurf (2) Niemals den eigenen Fähigkeiten zu sehr vertrauen es gibt viele gemeine Fallstricke im Detail auch unsere Beispiele in diesem Kapitel waren/sind sehr stark vereinfacht! es gibt viele gute Beispielkonfigurationen: lesen, verstehen, und an eigene Bedürfnisse anpassen Niemals anderen zu sehr vertrauen Beispiele sind gut, aber nur, wenn man sie nachvollzieht und nicht blind übernimmt keine Regeln und Konstruktionen einsetzen, die man nicht vollständig verstanden hat! So einfach wie möglich Komplexität erhöht die Fehlerwahrscheinlichkeit! Netzwerksicherheit Absichern von Netzwerken 40

41 Tools zum Untersuchen von Netzen und Firewalls Es gibt eine ganze Reihe von Werkzeugen zur Untersuchung von Netzwerken: zum Finden offener Ports zum Bestimmen von Eigenschaften des Rechners, Softwareversionen usw.... Diese Werkzeuge sind sehr mächtig und können erstaunlich detaillierte Informationen gewinnen Ausprobieren lohnt sich hier unbedingt aber nur mit eigenen Rechnern als Ziel! Netzwerksicherheit Absichern von Netzwerken 41

42 Port-Scanner: nmap Ein bekannter sogenannter Port-Scanner ist nmap Idee eines Portscanners: versuche Verbindungsversuche zu allen Ports erstelle so eine Liste erreichbarer Netzwerkdienste nmap ist darüber inzwischen deutlich hinausgewachsen unterschiedliche Verfahren zum Bestimmen offener Ports (z. B. Stealth Scans, die keinen vollständigen Verbindungsaufbau machen und so in vielen Logdateien nicht auftauchen) detaillierte Analyse des Verhaltens von Rechnern auf bestimmte Pakete (kann z. B. Rückschlüsse auf das Betriebssystem ermöglichen) Ermitteln von laufenden Programmen und ihren Versionen... [nmap-homepage, Netzwerksicherheit Absichern von Netzwerken 42

43 nmap: Beispiel $ nmap scanme.nmap.org Starting Nmap 5.21 ( ) at :14 CEST Nmap scan report for scanme.nmap.org ( ) Host is up (0.16s latency). Not shown: 993 filtered ports PORT STATE SERVICE 22/tcp open ssh 25/tcp closed smtp 53/tcp open domain 70/tcp closed gopher 80/tcp open http 113/tcp closed auth 31337/tcp closed Elite Nmap done: 1 IP address (1 host up) scanned in seconds (Praktisches Beispiel) Netzwerksicherheit Absichern von Netzwerken 43

44 Vulnerability-Scanner Noch einen Schritt weiter gehen Vulnerability-Scanner Solche Tools bringen eine Datenbank bekannter Sicherheitslücken mit Können so automatisiert testen, ob Rechner anfällig sind für bestimmte Exploits Bekannte Beispiele: nessus: Kommerzielle Software, aber frei für den rein privaten Einsatz zuhause OpenVAS: Freier nessus-fork W3AF: Freier Web Application Scanner metasploit: Weit verbreitet, Fokus auf exploits statt nur Erkennung Netzwerksicherheit Absichern von Netzwerken 44

45 Intrusion Detection Systeme Häufig möchte man erkennen, ob das eigene Netzwerk gerade angegriffen wird Idee: Beobachten des Netzwerkverkehrs Untersuchen auf bekannte Angriffsmuster Anomalien mitprotokollieren bei erkannten Angriffen: Alarm auslösen Intrusion Detection Systeme (IDS) Implementierung auf Endsystemen: Host IDS (HIDS) Implementierung als Packetsniffer: Network IDS (NIDS) Intrusion Prevention Systeme (IPS) IDS + direkter Eingriff in das Weiterleiten von Paketen [Bundesamt für Sicherheit in der Informationstechnik (BSI): Einführung von Intrusion-Detection-Systemen.] Netzwerksicherheit Absichern von Netzwerken 45

46 NIDS Funktionsweise Beobachten des Netzwerkverkehrs Stateless: Auf Basis einzelner Pakete Stateful: Auf Basis von Verbindungen/Sitzungen Analyse des Verkehrs ein NIDS besitzt eine Menge von Regeln einzelne Pakete, bzw. Verbindungen werden anhand dieser Regeln geprüft ähnlich zu Signaturen bei Anti-Viren Software Wenn Auffälligkeiten vorkommen Protokollieren Alarm auslösen (z. B. per ) bei IPS: Gegenmaßnahmen einleiten Netzwerksicherheit Absichern von Netzwerken 46

47 IDS-Architektur Ein IDS besteht typischerweise aus folgenden Komponenten: Netzsensoren: dedizierte Systeme, die den Netzwerkverkehr an einer Stelle des eigenen Netzwerkes überwachen Hostsensoren: Software auf einem produktiven Host, die den dort ankommenden Netzwerkverkehr überwacht IDS Management Station: Sammelstelle für die Daten der Sensoren, Auswertung der Daten von mehreren Sensoren Datenbank: Häufig werden viele Daten gesammelt, d. h. Verwenden einer Datenbank ist sinnvoll Netzwerksicherheit Absichern von Netzwerken 47

48 Platzierung von Sensoren Wo würden Sie Sensoren platzieren? Je nachdem, was man überwachen möchte, sind unterschiedliche Platzierungen sinnvoll Häufig verwendete Orte vor der ersten eigenen Firewall hier ist noch nichts gefiltert worden interessant, um den Kontext von Angriffen zu untersuchen in der DMZ im privaten Netzwerk auf wichtigen Hosts (z. B. Fileserver) Netzwerksicherheit Absichern von Netzwerken 48

49 IDS Anpassen Ein IDS muss an seine Umgebung angepasst werden Typische Entscheidungen, die zu treffen sind: tolerierbare Anzahl an Fehlalarmen akzeptabler Ressourcenverbrauch Wenn man dabei einen Fehler macht: Mailbox voll Netzwerkverkehr wird verzögert... oder teilweise nicht untersucht Bisher viel Erfahrung, Experimente nötig Aktuelle Forschung: automatisches Anpassen des IDS [Dreger, Feldmann, Paxson, Sommer: Predicting the Resource Consumption of Network Intrusion Detection Systems, Recents Advance in Intrusion Detection, Springer, 2008] Netzwerksicherheit Absichern von Netzwerken 49

50 Snort als Beispiel für ein NIDS Snort ist ein bekanntes Open-Source-NIDS Zwei für uns relevante Betriebsweisen: NIDS mode (über libpcap): beobachtet Netzwerkverkehr und erzeugt Warnungen anhand von Regeln Inline mode (über iptables): in den Netzwerkverkehr eingebunden, kann das Weiterleiten von Paketen unterbinden oder den Inhalt von Paketen verändern Wir betrachten hier den NIDS mode [Snort-Homepage. Netzwerksicherheit Absichern von Netzwerken 50

51 Snort Snort kann im NIDS Modus wie folgt gestartet werden:./snort -d -h /24 -l./log -c snort.conf -d loggen der Nutzdaten (nicht nur der TCP/IP Header) -h /24 Angabe des Heimatnetzes -l./log Verzeichnis für die Logdaten -c snort.conf Datei mit Regeln Netzwerksicherheit Absichern von Netzwerken 51

52 Snort Regeln Für jedes Paket überprüft Snort alle Regeln Trifft eine der Regeln zu, dann wird eine Aktion ausgeführt und das Paket in eine Logdatei geschrieben Eine möglich Aktion: Alert je nach Konfiguration: Ausgabe auf der Konsole Übergabe an einen Socket zur Weiterverarbeitung... Beispiel für eine Regel (Quelle: Snort-Handbuch) alert tcp any any -> / \ (content:" a5 "; msg:"mountd access"; \ sid: ; rev:1) Suche nach TCP-Paketen von beliebigen Adressen und Ports an /24:111 Überprüft ob darin die Bytes a5 vorkommen Falls ja: Löse einen Alert mit der Nachricht mountd access aus Netzwerksicherheit Absichern von Netzwerken 52

53 nmap & IDS: Hausaufgabe Hausaufgabe (Übungsblatt 5) (a) Scannen Sie Ihren eigenen Computer mit nmap, wenn möglich sowohl lokal als auch von einem anderem Computer aus. Welche UDP- und TCP-Ports sind aus welcher Sicht geöffnet? (b) In der VM unter ~/04-ids/ids.py oder unter https://hhunetsec.de/2015/ids.py finden Sie ein einfaches IDS. Testen Sie, ob das IDS eine Meldung beim Scan mit nmap ausgibt. Konfigurieren Sie nmap ggf. so, dass das IDS nicht anschlägt. Warum wählt nmap nicht immer die weniger auffallende Scan- Variante? (c) Finden Sie mit nmap die Python-Version heraus, auf der das IDS läuft. Scannen Sie nur eigene und explizit freigegebene Systeme! Netzwerksicherheit Absichern von Netzwerken 53

54 Standortübergreifende Kommunikation Angenommen eine Firma/Organisation/... betreibt mehrere Zweigstellen. Netzwerkkommunikation soll auch zwischen den Zweigstellen möglich sein. Wie können wir das erreichen? Netzwerksicherheit Absichern von Netzwerken 54

55 Lösung 1: Leitungen legen Eine Lösungsmöglichkeit: eigene Leitungen legen (oder Leitungen anmieten) Probleme: teuer nicht immer möglich Netzwerksicherheit Absichern von Netzwerken 55

56 Lösung 2: Internetanbindung verwenden Alternativer Ansatz: Firewalls so konfigurieren, dass Pakete von IP-Quelladressen der anderen Zweigstellen reindürfen Sehen Sie Probleme? (hoffentlich!) Bitte nicht so! Netzwerksicherheit Absichern von Netzwerken 56

57 Lösung 3: virtuelle Leitungen übers Internet Idee: Erfinde ein Paar von zusätzlichen, virtuellen Netzwerkkarten in Router in Zweigstellen A und B Über diese virtuellen Netzwerkschnittstellen verschickte Pakete landen nicht auf einem Übertragungsmedium, sondern in einer speziellen Software Diese Software verschlüsselt das Paket und schickt die so entstehenden Daten über das Internet an ihr Gegenstück in der anderen Zweigstelle Netzwerksicherheit Absichern von Netzwerken 57

58 Lösung 3: virtuelle Leitungen übers Internet Dort wird es entschlüsselt und wird danach über die dortige virtuelle Netzwerkkarte empfangen Statt einer physikalischen Leitung zwischen den virtuellen Netzwerkkarten wird also eine Verbindung über ein anderes Netzwerk als Übertragungsmedium verwendet So eine Verbindung nennt man Tunnel, das Konzept heißt Virtual Private Network (VPN) Netzwerksicherheit Absichern von Netzwerken 58

59 Routing über VPNs Wie könnte im oben abgebildeten Netzwerk die Routing-Tabelle der Firewall am Standort A aussehen? Ziel Gateway Interface /16 - eth /24 - tun / tun0 default eth0 Netzwerksicherheit Absichern von Netzwerken 59

60 Umsetzung von Tunneln/VPNs Es gibt sehr viele Möglichkeiten, Tunnel bzw. VPNs technisch zu realisieren Das Prinzip ist immer ähnlich, die Details z. T. sehr verschieden Unterschiede gibt es z. B. bei dem Protokoll, über das der Tunnel läuft den verwendeten Verfahren für Verschlüsselung und Authentifizierung werden Sicherungs- oder Netzwerkschicht-Pakete getunnelt? Möglichkeit der Kommunikation mit einer einzelnen oder mit mehreren Gegenstellen Preis... Netzwerksicherheit Absichern von Netzwerken 60

61 Layer-2- vs. Layer-3-Tunnel Bisher hatten wir angenommen, dass über den Tunnel IP-Pakete übertragen werden Der Tunnel verhält sich dann also wie ein eigenes IP-Netzwerksegment man spricht von einem Layer-3-Tunnel bzw. einem IP-over-xyz-Tunnel, wenn IP-Pakete innerhalb von Paketen des Protokolls xyz übertragen werden Man kann statt IP-Paketen aber genausogut auch z. B. Ethernet-Rahmen verschicken in der gängigen Terminologie wäre das also ein Layer-2- bzw. Ethernet-over-xyz-Tunnel Solch ein Tunnel würde sich verhalten wie ein Ethernet-Link zwischen zwei Switches oder Bridges Netzwerksicherheit Absichern von Netzwerken 61

62 Tunnel-Transportprotokolle Der Begriff Layer-2-Tunnel bzw. Layer-3-Tunnel sagt aus, was innerhalb der Tunnel-Pakete übertragen wird Aber worin sollte man die übertragenen Pakete verpacken? Sie sollen einen Tunnel zwischen zwei Standorten A und B aufsetzen. Über was für eine Verbindung schicken Sie die (verschlüsselten) Pakete von A nach B? (Oder anders: In was für eine Hülle stecken Sie ihre verschlüsselten Pakete?) Netzwerksicherheit Absichern von Netzwerken 62

63 Tunnel-Transportprotokolle: TCP vs. UDP Betrachten wir die möglichen Kandidaten TCP und UDP (es gibt noch mehr!) TCP hat Zuverlässigkeitsmechanismen (Daten kommen sicher an) Überlastkontrolle UDP hat beides nicht Was sollten wir also verwenden? Besser: UDP! Warum? Zuverlässigkeit und Überlastkontrolle wird ja schon von den Protokollen, die durch den Tunnel laufen, erledigt soweit diese das benötigen! Netzwerksicherheit Absichern von Netzwerken 63

64 Interaktionen bei TCP-über-TCP-Tunneling Angenommen, ein TCP-Datenstrom läuft durch einen TCP-basierten Tunnel dann wird ein TCP-Strom (mit AIMD-Überlastkontrolle) über eine Leitung geleitet, deren Kapazität selbst von einem weiteren AIMD-Überlastkontrollmechanismus über die Zeit verändert wird das Ergebnis sind (fiese!) Interaktionen zwischen den beiden Überlastkontrollmechanismen......und in der Praxis % weniger Durchsatz! Trotzdem tunneln erschreckend viele praktische VPN-Lösungen die Daten über eine TCP-Verbindung... Netzwerksicherheit Absichern von Netzwerken 64

65 Praktisch häufig eingesetzte Tunnel-Lösungen Einige gängige VPN-Tunnel-Lösungen sind z. B.: OpenVPN (platformübergreifend, Tunnel über TCP oder UDP, sehr flexibel) IPSec (ist ein eigenes Protokoll oberhalb von IP) Tunneln von IP-Paketen über SSH, SSL- oder TLS-verschlüsselte TCP-Verbindungen (z. B. mit OpenSSH) Point-to-Point Tunnelling Protocol (PPTP) (TCP-Kontrollverbindung plus GRE-Tunnel für die Daten) meist in Verbindung mit MPPE (Microsoft Point-to-Point Encryption) für die Verschlüsselung... Netzwerksicherheit Absichern von Netzwerken 65

66 Exkurs: DNS-Tunnel Das Tunneln von IP-Datenverkehr ist nicht nur über TCP oder UDP möglich Es ist genauso denkbar, die Daten in ein Anwendungsschichtprotokoll zu packen Besonders originell: IP-Tunnel über DNS speziell präparierter DNS-Client (= Tunnel-Endpunkt) verpackt IP-Datagramme in DNS-Hostnamen in einer speziellen Domain der für die Domain zuständige DNS-Server (= anderes Ende des Tunnels) packt sie aus den eingehenden Anfragen wieder aus Pakete in die andere Richtung werden in die DNS-Antwortnachrichten hineincodiert Netzwerksicherheit Absichern von Netzwerken 66

67 Exkurs: DNS-Tunnel (2) Kommunikation über einen DNS-Tunnel zwischen dem Client und dem präparierten DNS-Server funktioniert, sobald der Client DNS-Hostnamen auflösen kann Wofür ist sowas gut? DNS-Datenverkehr zum betreibereigenen DNS-Server wird fast überall durchgelassen (auch von restriktiven Firewalls, kommerziellen Internet-Hotspots vor dem Bezahlen,...) damit lassen sich also Sicherheitsrichtlinien häufig unterwandern Implementation: iodine (http://code.kryo.se/iodine/) Und wieder einmal lernen wir: Vertraue niemals darauf, dass Sicherheitsmechanismen immer zuverlässig greifen! Netzwerksicherheit Absichern von Netzwerken 67

68 Hausaufgabe (Übungsblatt 6) Über einen DNS-Tunnel wird eine Webseite aufgerufen. Die getunnelten Pakete werden an einer Stelle über einen Ethernet- Link übertragen. Sie fangen dort eine der DNS-Nachrichten ab. (a) Welche Protokolle (Header) sind in welcher Reihenfolge in dem Paket vorhanden? (b) Wenn der Tunnel verschlüsselt ist: Welche Teile der Nachricht können Sie lesen, welche sind verschlüsselt? Netzwerksicherheit Absichern von Netzwerken 68

69 Schutz vor Denial of Service (DoS) Angriffen Ziel eines DoS-Angriffs: Verhindern, dass Ressourcen genutzt werden können! Wie würden Sie als Angreifer vorgehen? Welche Ressource würden Sie angreifen? Wie würden Sie einen Angriff realisieren? Was könnte man ausnutzen? Netzwerksicherheit Absichern von Netzwerken 69

70 Ziele von DoS-Angriffen Typische Ziele eines DoS-Angriffs: Netzwerk oder Systeme überlasten Systeme zum Absturz bringen Systeme manipulieren (z. B. Routingtabellen) Systeme dauerhaft beschädigen (PDoS = Permanten DoS) Jetzt: nur Angriffe, die Netzwerke/Systeme überlasten Alles andere: analog zu Kapitel 2 Netzwerksicherheit Absichern von Netzwerken 70

71 DoS Grundlagen Was zeichnet einen guten DoS-Angriff aus? Ziel des DoS-Angriffs: Erzeugen von Überlast bei minimaler Auslastung eigener Ressourcen möglichst schwer zu identifizieren möglichst schwer zu blockieren Mögliche Vorgehensweisen asymmetrischen Ressourcenverbrauch ausnutzen eigene Ressourcen vergrößern (Botnetze schon betrachtet) mehr Ressourcen als das Opfer besitzen (nicht weiter betrachtet) Netzwerksicherheit Absichern von Netzwerken 71

72 DoS durch asymmetrischen Ressourcenverbrauch Alle Operationen, die beim Opfer mehr Ressourcen verbrauchen als beim Angreifer, können verwendet werden! Drei im Folgenden betrachtete Beispiele SYN Flood Smurf Attack DNS Amplification Netzwerksicherheit Absichern von Netzwerken 72

73 SYN Flood Das Opfer: Server, der auf eingehende TCP Verbindungen wartet Der Angriff: sende ein SYN-Paket an den Server ignoriere die Antwort wiederhole dies häufig Warum ist dies ein guter DoS-Angriff? Netzwerksicherheit Absichern von Netzwerken 73

74 SYN Flood Der Effekt: der Server muss eine zunehmende Zahl halboffener Verbindungen verwalten dafür werden Ressourcen (mindestens Speicher) benötigt der Angreifer muss sich gar nichts merken: Asymmetrie! als Resultat werden TCP-Verbindungen von anderen Clients abgewiesen Alternative Variante: zufällige Absenderadresse beim Senden des SYN verschleiert die Identität macht das Filtern von Angriffen schwerer Was kann man dagegen tun? Netzwerksicherheit Absichern von Netzwerken 74

75 SYN-Cookies Was muss sich der Server bei einer halboffenen Verbindung merken? eindeutige Kennzeichnung der Verbindung IP-Adressen von Client und Server Portnummer von Client und Server Zeitpunkt des SYN-Empfangs Löschen des Eintrags, wenn für eine bestimmte Zeit keine Antwort kommt MSS (Maximum Segment Size) für die Verbindung initiale Sequenznummer der Gegenseite Idee: Server merkt sich diese Informationen nicht!...sondern schickt sie als Cookie an den Client der Client schickt sie dann mit dem ersten ACK zurück Wie kommt das Cookie zum Client und zurück, ohne eine neue TCP-Version auf der Clientseite vorauszusetzen? Netzwerksicherheit Absichern von Netzwerken 75

76 SYN-Cookies Das einzige Datenfeld, welches der Server bei einem SYN-ACK frei wählen kann, ist seine initiale Sequenznummer Idee: Cookie in der initialen Sequenznummer des Servers codieren 5 Bit: Zeitstempel mod 32 Uhrzeit darf sich nur langsam erhöhen (typisch: 1 Tick alle 64 Sekunden) 3 Bit: MSS 24 Bit: Kryptographischer Hash über IP Adressen von Client und Server Port Nummer von Client und Server Zeitstempel mod 32 Client schickt diese Informationen automatisch mit seinem ersten ACK zurück der um eins erhöhte Wert steht im ACK-Nummernfeld Netzwerksicherheit Absichern von Netzwerken 76

77 SMURF-Angriff Früher haben Router gerichtete Broadcasts per Standardeinstellung weitergeleitet. Ein gerichteter Broadcast ist ein IP-Paket mit einer besonderen Zieladresse: diese muss eine gültige Broadcast-Adresse für ein Subnetzwerk sein, welches nicht das Subnetzwerk des Absenders ist. Außerdem haben Hosts auf ICMP-Echo-Request-Pakete geantwortet, die sie per Broadcast empfangen haben. Entwickeln Sie, basierend auf diesen Informationen, einen guten DoS-Angriff. Sie haben 5 Minuten Zeit. Netzwerksicherheit Absichern von Netzwerken 77

78 SMURF-Angriff Vorgehen bei einem SMURF-Angriff: schicke ICMP-Echo-Request-Pakete als gerichteten Broadcast verwende als Absendeadresse die IP Adresse des Opfers Dies ist ein sogenannter Reflection-Angriff der Angreifer kommuniziert nicht direkt mit dem Opfer Die ausgenutzen Systeme nennt man auch Amplifier sie verstärken den Angriff um ein Vielfaches Schutz vor SMURF-Angriffen gerichtete Broadcasts nicht weiterleiten Firewalls, Ingress Filtering nicht auf ICMP-Pakete antworten, die per Broadcast empfangen werden Netzwerksicherheit Absichern von Netzwerken 78

79 DNS Amplification Angreifer wollen Ziel mit Paketen fluten Aber: Angreifer-Bandbreite ist auch beschränkt! Darum: Angriff verstärken Z.B. bei Attacke auf Spamhaus verwendet (2013, 10 GB/s) [Deep Inside a DNS Amplification DDOS Attack, deep-inside-a-dns-amplification-ddos-attack] Netzwerksicherheit Absichern von Netzwerken 79

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Andreas Teuchert 16. Juli 2013 Netzwerk-Protokolle legen fest, wie Daten zur Übertragung verpackt werden unterteilt in verschiedene Schichten: Anwendungsschicht (z. B. HTTP,

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen jan.gassen@fkie.fraunhofer.de 21.02.2012 Forschungsgruppe Cyber Defense Erkennung von Malware Unterschiedliche Verbreitung

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Distributed Systems Security. Überblick. Überblick. Firewalls

Distributed Systems Security. Überblick. Überblick. Firewalls Distributed Systems Security Firewalls Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck https://www.itm.uni-luebeck.de/people/fischer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Klausur - Computernetzwerke

Klausur - Computernetzwerke Klausur - Computernetzwerke Márk Félegyházi Zeit: 1.5 Stunden, keine Hilfmaterialien Gesamtpuntke: 50 2011.04.12 Name der/den Studenten(innen): NEPTUN: ===================================================

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung POP3 und Bridge-Modus Inhaltsverzeichnis 1 POP3 und Bridge-Modus 2 1.1 Funktionsweise von POP3 mit REDDOXX 2 1.2 Betriebsarten 3 1.2.1 Standard-Modus 3 1.2.2 Bridge-Modus 6 1.2.3

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen Computer-Sicherheit SS 2005 Kapitel 5: Sicherheitsmechanismen Sicherheitsmechanismen Sicherheits-Richtlinien Firewalls Beispiel iptables Intrusion Detection Systeme Beispiel snort Honeynets Sicherheit

Mehr

Distributed Systems Security

Distributed Systems Security Distributed Systems Security Firewalls Dr. Dennis Pfisterer Institut für Telematik, Universität zu Lübeck http://www.itm.uni-luebeck.de/people/pfisterer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

Distributed Systems Security

Distributed Systems Security Distributed Systems Security Firewalls Dr. Dennis Pfisterer Institut für Telematik, Universität zu Lübeck http://www.itm.uni-luebeck.de/people/pfisterer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Firewall-Architekturen

Firewall-Architekturen firewall 2006/1/4 15:26 page 65 #84 KAPITEL 5 Firewall-Architekturen Kommen wir nun zum Kern des Themas. Nachdem wir uns in den vorigen Kapiteln mit Netzwerkprotokollen und Angriffen beschäftigt haben,

Mehr

15 Iptables(Netfilter)

15 Iptables(Netfilter) 15 Iptables(Netfilter) In diesem Kapitel lernen Sie die Grundlagen des Paketfilters iptables kennen. aus welchen Bausteinen iptables besteht. welche Wege TCP/IP-Pakete durch einen als Firewall konzipierten

Mehr

Aufgaben zum ISO/OSI Referenzmodell

Aufgaben zum ISO/OSI Referenzmodell Übung 1 - Musterlösung 1 Aufgaben zum ISO/OSI Referenzmodell 1 ISO/OSI-Model Basics Aufgabe 1 Weisen Sie die folgenden Protokolle und Bezeichnungen den zugehörigen OSI- Schichten zu: IP, MAC-Adresse, HTTP,

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap

Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg. Nmap Vortrag im Rahmen der Lehrveranstaltung Sicherheit in Netzen Studiengang MSc Computer Science Fachhochschule Bonn-Rhein-Sieg Nmap Evaluierung des Portscanners Nmap von Goran Galunic Mittwoch, 12.01.05

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Informationen zur. LCOS Software Release 3.36. für LANCOM Router und Wireless LAN Access Points

Informationen zur. LCOS Software Release 3.36. für LANCOM Router und Wireless LAN Access Points Informationen zur LCOS Software Release 3.36 für LANCOM Router und Wireless LAN Access Points Copyright (c) 2002-2004 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Linux Personal Firewall mit iptables und ip6tables

Linux Personal Firewall mit iptables und ip6tables FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0402 E. Grünter, W. Anrath, S. Werner

Mehr

Das Schulnetz ist wie folgt aufgebaut:

Das Schulnetz ist wie folgt aufgebaut: Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host 1.2.2 192.168.129.0 /24 intern 192.168.130.0 /24 intern serielle Verbindung Cisco Router.1

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Firewall mit Netfilter/iptables

Firewall mit Netfilter/iptables Firewall mit Netfilter/iptables Proseminar Linux SS 2002 Jürgen Lehle - 1 - Inhaltsverzeichnis EINLEITUNG 3 WAS IST EINE FIREWALL? 3 WARUM SOLLTE MAN EINEN PAKETFILTER VERWENDEN? 3 WIE WERDEN PAKETE UNTER

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

1. Praktikumsaufgabe zur IT-Sicherheit 2

1. Praktikumsaufgabe zur IT-Sicherheit 2 Prof. Dr. Heiko Knospe SS 2004 1. Praktikumsaufgabe zur IT-Sicherheit 2 X.509 Zertifikate In praktischen Teil dieses Versuchs werden mit Hilfe des OpenSSL Paketes unter Linux X.509 Zertifikate erzeugt

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

I Grundlegende Internetdienste einrichten 9

I Grundlegende Internetdienste einrichten 9 Inhaltsverzeichnis I Grundlegende Internetdienste einrichten 9 1 DHCP Netzwerkkonfiguration zentral 10 1.1 Das DHCP-Protokoll und seine Einsatzmöglichkeiten......... 10 1.1.1 Einsatzmöglichkeiten......................

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Praxisarbeit Semester 1

Praxisarbeit Semester 1 TITEL Praxisarbeit Semester 1 vorgelegt am: Studienbereich: Studienrichtung: Seminargruppe: Von: Praktische Informatik Felix Bueltmann Matrikelnummer: Bildungsstätte: G020096PI BA- Gera Gutachter: Inhaltsverzeichnis

Mehr

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008 Eine hochverfügbare Firewall mit iptables und fwbuilder Secure Linux Administration Conference, 11. Dec 2008 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, SLAC 2008 / 1 Eine einfache Firewall Eine

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr