Computer-Sicherheit WS 06/07 Kapitel 6: Sicherheitsmechanismen

Größe: px
Ab Seite anzeigen:

Download "Computer-Sicherheit WS 06/07 Kapitel 6: Sicherheitsmechanismen"

Transkript

1 Seite 1 Computer-Sicherheit WS 06/07 Kapitel 6: Sicherheitsmechanismen

2 Folie 2 Überblick Sicherheitsmechanismen 1. Sicherheits-Richtlinien Was verstehe ich unter sicher? Entwicklung und Umsetzung von Sicherheits-Richtlinien 2. Host Security Wie kann ich einen Rechner absichern? Installation und OS Hardening Lokales Scanning (nessus) Sichere Systeme (SELinux) 3. Netzwerk Security Wie sichere ich Netzwerke ab? Firewalls (iptables) Intrusion Detection Systeme (snort, honey pots) Penetration Testing 4. User Security Wie schütze ich meine Benutzer vor sich selbst? 5. Programm Security Wie entwickle ich sichere Programme?

3 Folie 3 Sicherheits-Richtlinien (1) Beschreibt den Sicherheitsanspruch eines Systembetreibers Ziel: Erreichen der in den Sicherheits-Richtlinien definierten Sicherheitsziele Sicherheitsrichtlinien müssen alle Bereiche der Sicherheit regeln Formale Definitionen [aus Bishop Computer Security ] A security policy is a statement that partitions the states of the system into a set of authorized, or secure, states and a set of unauthorized, or non-secure, states. A secure system is a system that starts in an authorized state and cannot enter an unauthorized state. A security mechanism is an entity or procedure that enforces some part of the security policy Unterschiedliche (Haupt-)Ziele bestimmen die Policy Vertraulichkeit (z.b. beim Militär) Integrität (z.b. Banktransaktionen) Verfügbarkeit (z.b. ISP)

4 Folie 4 Sicherheits-Richtlinien (2) Aspekte bei der Erstellung von (top-level) Sicherheits-Richtinien [nach BSI Grundschutz Katalog] Stellenwert der IT-Sicherheit und Bedeutung der IT für die Institution IT-Sicherheitsziele und Bezug der IT-Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution Kernelemente der IT-Sicherheitsstrategie Leitungsebene dokumentiert, dass IT-Sicherheitsleitlinie von ihr getragen und durchgesetzt wird Leitaussagen zur Erfolgskontrolle geben Beschreibung der für die Umsetzung des IT-Sicherheitsprozesses etablierten Organisationsstruktur Bekanntgabe der Sicherheits-Richtlinie und Schulung der Mitarbeiter Kontinuierliche Anpassung

5 Folie 5 IT-Sicherheitskonzept Umsetzung der Sicherheits-Richtlinien [z.b. nach BSI Standard 100-2] Geltungsbereich innerhalb eines IT-Verbundes Bezug auf Fachaufgaben, Geschäftsprozesse oder Oranisationseinheiten Umfasst infrastrukturelle, organisatorische, personelle und technische Komponenten Beschreibung der zu schützenden Informationen und Geschäftsprozesse (technische Komponenten, IT-Anwendungen, verarbeitete Informationen, räumliche Infrastruktur, Vernetzung, etc.) Risikobewertung Gefährdungen und Risiken Mögliche Schäden Auswirkungen auf die Geschäftstätigkeit oder Aufgabenerfüllung Identifikation konkreter IT-Sicherheitsmaßnahmen Analyse der existierenden bzw. noch zu treffenden Maßnahmen durch Sicherheitsprüfung Umsetzungsplan Priorisierung unter Berücksichtigung von Abhängigkeiten und kritischen Maßnahmen Zeitplanung Festlegung der Verantwortlichkeit für Initialisierung, Umsetzung und Kontrolle Notwendige Ressourcen (Geld, Personal, ) Gegebenenfalls externe Zertifizierung/Review Kontinuierliche Anpassung

6 Folie 6 Sicherheitsstrategien Klassische Entwicklung in einer Organisation: Keine Sicherheitsstrategie Security through Obscurity Host-/System-Security Network-Security Kombinationen der letzten drei sinnvoll

7 Folie 7 Security through Obscurity Verstecken von Sicherheitsmängeln hat noch nie funktioniert Aber es macht dem Angreifer das Leben etwas schwerer Keine alleinige Alternative zu echter Sicherheit Beispiel: LAVC Protokoll VMS Hack Reverse Engineering oder Angriffe gesetzlich verbieten?

8 Folie 8 Host-Security (1) Absichern jedes einzelnen Hosts Sehr zeitintensiv Für große Anzahl von Systemen nicht zu realisieren Einschränkungen für Benutzer Querbeziehungen zwischen Systemen Trotzdem notwendig: Schutz vor internen Angriffen Insider Malware Anforderungen der Anwendung Web-Applikation DB Server Bequemlichkeit der Benutzer Single-Sign-On Lösungen

9 Folie 9 Host-Security (2) Saubere Grundinstallation Arbeiten als eingeschränkter User (!root) Nur das Nötigste wird installiert/aktiviert OS-Hardening Skripte/Anleitungen für viele Unix Derivate Bastille Linux (http://www.bastille-linux.org/)

10 Folie 10 Host-Security (3) Sichere Add-on Software: Bessere Zugangskontrolle (z.b. tcp_wrapper & identd, s/key) Verschlüsselung (z.b. ssh statt telnet) Sicherere Alternativen zu OS (z.b. HP Trusted Linux, SELinux ) Virenscanner, Spyware-Detection/-Removel, Personal Firewalls (?) Überprüfen (lokales / Netzwerk Auditing) Security Local Audit Daemon (SLAD) Microsoft Security Baseline Analyzer Nessus (seit Version 3 nicht mehr GPL, freie Ableger) BOSS (BSI OSS Security Suite, enthält nessus und SLAD)

11 Folie 11 Windows Host-Security Replace with Unix ;-) Automatische Updates Aktuellen Virenscanner Integrierte Firewall Personal Firewall Diskussion OS Hardening Windowsdienste abschalten Nicht als Admin arbeiten (c t 15/04, 18/04, Vista) Vista User Account Control (UAC) Integrity Levels bei Benutzer Prozessen Windows Defender (Spyware Control) Verbesserungen in IE 7 (z.b. Phishing Schutz) Address Space Layout Randomization Laden von Binaries an zufällige Adressen (256 Möglichkeiten) XOR von Funktionszeigern, Heap Metadaten Heap Checksums Kernel Patch Protection (Patch Guard) Data Execution Prevention

12 Folie 12 Security Enhanced Linux (1) Zitat des NSA Security-enhanced Linux Team: NSA Security-enhanced Linux is a set of patches to the Linux kernel and some utilities to incorporate a strong, flexible mandatory access control (MAC) architecture into the major subsystems of the kernel. It provides a mechanism to enforce the separation of information based on confidentiality and integrity requirements, which allows threats of tampering and bypassing of application security mechanisms to be addressed and enables the confinement of damage that can be caused by malicious or flawed applications. It includes a set of sample security policy configuration files designed to meet common, general-purpose security goals. (Update: SELinux ist mittlerweile Bestandteil der 2.6 Kernels, Patches sind damit überflüssig)

13 Folie 13 Security Enhanced Linux (2) Via Linux Security Modul (LSM) in den Kernel integriert

14 Folie 14 Security Enhanced Linux (3) Mandatory Access Control Type Enforcement Subjekte und Objekte erhalten Security Labels Zentrale Security Policy bestimmt Zugriffe Process Sandboxing Prozesse werden Domänen zugeordnet Festlegung, welche Objekte eine Domäne zugreifen darf Policy Types Targeted: nur bestimmte Prozesse in eingeschränkten Domänen, Rest in unconfined_t Strict: Eigene Domäne pro Programm/User Enforcing oder Permissive Mode Enforcing: setzt durch Permissive: logged lediglich Daneben Role-based Access Control (RBAC) Multi-Level/Category Security (MLS/MCS) später

15 Folie 15 Security Enhanced Linux (4) Files werden mit Security-Labels getagged Aufbau <SELinux User-Identität>:<Rolle>:<Type oder Domäne> Ersten beiden Felder: RBAC Letztes Feld: TE (Objekt: Type, Prozess: Domäne) Beispiel # ls lz /var/www/htdocs/index.html -rw-r r-- root root system_u:object_r:httpd_sys_content_t / /index.html # ps AZ grep httpd system_u:system_r:httpd_t 4854? 00:00:00 httpd system_u:system_r:httpd_t 4856? 00:00:00 httpd system_u:system_r:httpd_t 4857? 00:00:00 httpd Policies regeln den Zugriff # cat /etc/selinux/targeted/src/policy/policy.conf allow httpd_t httpd_sys_conent_t:file { getattr read write append } Verschiedene Objektklassen (file, link, device, socket) und Zugriffsrechte pro Klasse (z.b. ioctl, lock, relabelfrom, unlink, )

16 Folie 16 Security Enhanced Linux (5) Weitere Möglichkeiten: Rollen Konfigurationdatei users legt mögliche Rollen fest user user_u roles { user_r }; user fkargl roles { user_r staff_r sysadm_r } user root roles { sysadm_r staff_r secadm_r } Auswahl der Rolle bei Login oder über newrole Anwendungsbeispiel: Beschränkung der Möglichkeiten des Superusers # cat /etc/selinux/targeted/src/policy/policy.conf role sysadm_r types ping_t; domain_auto_trans(sysadm_t, ping_exec_t, ping_t) # id Z root:staff_r:sysadm_t # ping bash: /bin/ping: Keine Berechtigung # newrole r sysadm_r Password: **** # ping PING ( ) 56(84) bytes of data.

17 Folie 17 Security Enhanced Linux (6) Weitere Möglichkeiten: Multi Category Security (MCS) Zusätzliches Feld im Security Label: eine oder mehrere Kategorien Beispiele: IT-Abteilung, Management, Verkauf Category c0 - c255 Multi Level Security (MLS) Kategorien plus zusätzliche Schutzstufen Sensitivity s0-s15 No Read Up, No Write Down Mögliche Anwendungen $ lpr -P ReceptionistPrinter /opt/patients/fkargl.pdf Error: You are not allowed to print this doc on ReceptionistPrinter $ lpr -P LabTech /opt/patients/fkargl.pdf <printing> $ mail S Company Secrets < companysecrets.doc Error: You are not allowed to send this document to domain microsoft.com

18 Folie 18 Informationsquellen zu Host Security Herstellerinfos Weitere Informationsquellen: Viele weitere Listen: SELinux ix SELinux-Tutorial ix 8-10/2006

19 Folie 19 Netzwerk-Security (1) Host Security kann bei einer großen Anzahl von Systemen (mit verschiedenen Admins, Anwendungen, Vertrauensbeziehungen...) nur schwer realisiert werden. Die Zone of Risk umfasst das gesamte Netzwerk Internet LAN

20 Folie 20 Netzwerk-Security (2) Bei der Installation einer Firewall verringert man den unmittelbar gefährdeten Bereich auf ein einzelnes System (oder eine kleine Gruppe von Systemen): die Firewall Internet Firewall LAN

21 Folie 21 Netzwerk-Security (3) Weitere Komponenten von Netzwerk-Security Intrusion Detection / Reaction Systeme Schutz des Netzwerkzugangs und der aktiven Netzwerkkomponenten Management von routers, switches etc. Physikalischer Zugang zu Ports, Schränken etc. Überwachung z.b. mit arpwatch Content-Security Automatische Virenfilter für s, am Web-Proxy, etc. Automatische Verschlüsselung von s, etc. Wireless Security, Mobilgeräte, etc.

22 Folie 22 Firewalls (1) Was ist eine Firewall? Eine Netzwerkkomponente, welche mindestens zwei Netzwerksegmente voneinander trennt und dabei den Netzwerkverkehr gemäß einer Sicherheitsrichtlinie kontrolliert und gegebenenfalls unerwünschte Kommunikation unterbindet. Wozu dient eine Firewall? Schafft klar definierten Zugangspunkt für Verbindungen von extern Schafft klar definierten Zugangspunkt für Verbindungen von intern Setzt Security-Policy bzgl. Netzwerkdatenverkehr um

23 Folie 23 Weitere Möglichkeiten bei Firewall Einsatz Logging und Accounting der Internet-Aktivitäten Wer greift wann auf was zu? (Datenschutz beachten) Authentifizierung von und Rechtevergabe an einzelne Mitarbeiter Wer darf wann auf welche Dienste zugreifen? Bessere datenschutzrechtliche Kontrolle Wie können personenbezogene Daten mein Netz verlassen? Virus-/Java-/ActiveX Filter für s, HTTP, Zentrales Filtering an einer Stelle mit garantiert aktuellen Signaturen Umgehung des Filters durch ungewöhnliche Kompressionsverfahren, etc. möglich Inhaltsfilter Scannen auf Zieladressen, Schlüsselworte, Great Firewall of China Vortrag beim 23C3 [http://challenge.cs.uni-sb.de/23c3/23c en-large_scale_internet_content_filtering.m4v] Network Address Translation Adressumsetzung zwischen privaten und öffentlichen Adressen Anti-Spoofing Regeln entfernen Pakete mit gefälschten oder Broadcast-Adressen VLAN Gateway

24 Folie 24 Firewalls (2) Eine Firewall ist mehr als nur ein Rechner oder ein Stück Software! Zu einer Firewall gehören z.b.: Sicherheitsrichtlinien (Security Policy) Router Paketfilter Circuit Level Gateways Application Level Gateways Fortgeschrittene Authentisierungsmaßnahmen Mechanismen für Logging, Authentisierung, uvm. Firewall-System

25 Folie 25 Firewall Security Policy Basis Policy Default-Deny Zugriff ist generell verboten, sofern er nicht explizit in der Security Policy erlaubt wird Nur wirklich benötigte Dienste werden freigegeben Default-Allow Zugriff ist generell erlaubt, sofern er nicht explizit in der Security Policy verboten wird Gefährliche Dienste werden gesperrt Diskussion Nachteil Default-Allow Woher weiß der Administrator, was unsicher ist und gesperrt werden soll? Nachteil Default-Deny Benutzer sind evtl. verärgert, weil sie Anwendungen nicht frei nutzen können Freischaltung neuer Dienste und Anwendungen aufwändig Aufgabe Diskutieren Sie Vor- und Nachteile der Firewall-Policy an der Uni Ulm Infos:

26 Folie 26 Filterung des Netzwerkverkehrs Network-level Filtering Layer 3: Filterung auf Basis von IP Paketen (Sender/Empfänger) Layer 4: zusätzliche Filterung auf Basis von UDP/TCP Ports und Richtung des Verbindungsaufbaus (SYN/ACK Flags) bei TCP Application-level Filtering Proxies Deep Packet Inspection (s.u.)

27 Folie 27 Paketfilter (1) Einfache Paketfilter (Shallow Paket Inspection) Regeln basieren auf Protokollen, IP Adressen, Port Nummern und Richtung des Verbindungsaufbaus bei TCP (SYN-Flag auswerten) Kann jeder Router Extrem schnell implementierbar TCP TCP / / UDP UDP IP / ICMP IP / ICMP INTERNET Regeln Regeln Port-Numern Port-Numern IP-Adressen IP-Adressen Paketfilter LAN

28 Folie 28 Weitere Arten der Paketfilterung Stateful Inspection Zusätzliche Kenntnis des Verbindungszustand in der Firewall Identifikation von Paket Flows Beispiele Aufgebaute TCP Verbindungen UDP Verbindungen Zusammenhängende FTP Kontroll- und Datenverbindung Deep Packet Inspection (DPI) Arbeitet bis OSI Layer 7 Betrachtet auch die jeweiligen Anwendungsprotokolle in den Paketen Beispiele Nur bestimmte HTTP Methoden oder URLs erlaubt s an bestimmte Domain verboten

29 Folie 29 Application Gateway / Proxy Server Regeln basieren auf Diensten, Protokollen, Benutzerauthentisierung, Zielen und Richtung Einfache Form: TCP Circuit Level Gateway (z.b. SOCKS) Proxies Proxies / / Relays Relays ftp-proxy ftp-proxy telnet-proxy telnet-proxy http-proxy http-proxy smtp-relay smtp-relay dns-relay dns-relay TCP TCP / / UDP UDP IP IP / / ICMP ICMP INTERNET Regeln Regeln Benutzer Benutzer Ports Ports IP-Adressen IP-Adressen LAN Firewall

30 Folie 30 Vor- und Nachteile einzelner Ansätze Paket Filter In vielen Routern verfügbar + Vollständig transparent, unabhängig vom Benutzer + Hohe Geschwindigkeit - Keine user-basierte Authentifizierung - Schlechte Logging Möglichkeiten - Filter Regeln oft schwer festzulegen - Manche Protokolle lassen sich schlecht filtern (z.b. ftp, http) Verbesserung: stateful inspection - Keine Interpretation des Datenstroms Verbesserung: DPI

31 Folie 31 Vor- und Nachteile einzelner Ansätze Application Layer Gateways / Proxies + Default Deny automatisch realisiert: Was nicht explizit erlaubt wurde, ist verboten + Authentifizierung mit Username und Passwort möglich + Autorisierung für jeden Benutzer getrennt festlegbar + Interpretation von Kommandos und des Datenstroms möglich + Detailliertes Logging + Filter Regeln komfortabel festlegbar - Der Verbindungsaufbau ist für den Benutzer nicht transparent - Für jeden Dienst wird ein eigener Proxy Server benötigt - Geringere Geschwindigkeit

32 Folie 32 Firewall Architekturen (1) Typische Firewall Architekturen Packet Filtering Router Heute vorwiegend im Heimbereich (z.b. DSL Router) oder bei kleinen Firmen Screened Host Dual-homed Host Gängige Firmenkonfigurationen Screened Subnet Mehrstufiges Firewall-System Firmen mit komplexen Internet-Systemen

33 Folie 33 Packet Filtering Router Internet Packet Filtering Router Firewall

34 Folie 34 Screened Host Application Gateway De-Militarisierte Zone (DMZ) Internet Screening Router Firewall

35 Folie 35 Dual-Homed Host Internet Dual-Homed Host Firewall

36 Folie 36 Screened Subnet Application Gateway De-Militarisierte Zone (DMZ) Internet Exterior Router Interior Router Firewall

37 Folie 37 Mehrstufiges Firewall System (Beispiel) External Servers (SMTP, DNS, WWW) DMZ Server Remote-Access (DB, (VPN, Dial-In) Content Filter) Internet Exterior Router Intermediate Router Firewall Interior Router Externe DMZ Interne DMZ

38 Folie 38 Firewall Architekturen (2) Weitere Aspekte beim Aufbau eines Firewall Systems Logging und Auditing Administrativer Zugriff Offene Probleme beim Einsatz von Firewalls Eingeschränkter Zugriff legitimer Benutzer Kein Schutz vor Insider-Attacken Keine Kontrolle von Hintertüren (z.b. Modems, WLANs, ) evtl. Akzeptanzprobleme

39 Folie 39 IP Tables (1) Paketfilter-Architektur von Linux netfilter: beliebige Manipulationen von Netzwerk-Paketen im Linux- Kernel z.b. neue Header hinzufügen/entfernen MANET Routingprotokolle iptables: Basiert auf Netfilter Pakete filtern (Firewall) Network Address Translation (NAT, Masquerading) Pakete modifizieren ( mangle )

40 Folie 40 IP Tables Architektur Interface (eth0, ppp0, ) PREROUTING mangle, nat INPUT mangle, filter An lokalen Proz.? Lokaler Prozess FORWARD mangle, filter OUTPUT mangle, nat, filter <CHAIN> <tables> POSTROUTING mangle, nat Interface (eth0, ppp0, )

41 Folie 41 IP Tables: Chains und Tables Chains: wann wird gefiltert? PREROUTING: alle eingehenden Pakete INPUT: Pakete an diesen Host OUTPUT: Pakete von diesem Host FORWARDING: Pakete, die nur weitergeleitet werden POSTROUTING: alle ausgehenden Pakete User-defined Chains Tables: wie wird gefiltert? filter: Firewall Funktion nat: Network Address Translation mangle: Veränderungen an Paketen, z.b. für QoS

42 Folie 42 IP Tables Konfiguration (1) Kommando iptables Zur Manipulation der Kernel Tabellen iptables [-t table] <command> <chain> <match> -j <target> <command>: Hinzufügen, Löschen, von Regeln <chain>: Welche Chain ist betroffen? <match>: Für welche Pakete gilt die Regel? <target>: Was passiert mit diesen Paketen?

43 Folie 43 IP Tables Konfiguration (2) <command> -A add, -I insert, -D delete, -L list, -F flush <chain> PREROUTING, INPUT, OUTPUT, FORWARD, POSTROUTING <match> -s <ip>, -d <ip>, -sport <port>, -dport <port>, -p <prot>, -i <if> Erweiterbar mit Modulen (-m <module>) <target/jump> filter: ACCEPT, DROP, REJECT, LOG nat: SNAT, DNAT, MASQUERADE mangle: TOS, TTL, MARK Eigene chains weitere Targets (REDIRECT, QUEUE, ULOG, )

44 Folie 44 IP Tables Konfiguration (3) Matching Module state: Statefull Inspection NEW, ESTABLISHED, RELATED, INVALID owner: Filter auf Prozessbesitzer limit: Ratenlimits iplimit: Limitiert Zahl der parallelen Verbindungen string: Filter auf Nutzdaten quota: Filter auf Datenmenge mac: MAC Adressen tos: Type of Service ttl: Time to Live viele weitere auch eigene Module möglich

45 Folie 45 IP Tables Beispiele iptables F INPUT iptables P INPUT DROP iptables -A INPUT -s /24 -j DROP iptables -A INPUT -p tcp --dport 1:1023 -j DROP iptables -A INPUT -d! /24 -j DROP iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -m owner --uid-owner 0 -j LOG iptables -A OUTPUT -m owner --uid-owner ftp -j DROP iptables A INPUT m limit --limit 10/second --limit-burst 20 j DROP iptables -A INPUT -p tcp --dport http -m iplimit --iplimit-above 4 -j REJECT iptables -A INPUT -p tcp --dport http -m string --string ".exe?/c+tftp" -j DROP iptables -A FORWARD -p tcp --dport 80 -m quota --quota j ACCEPT iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports

46 Folie 46 Firewall Builder Zu kompliziert? Firewall Builder grafisches UI für IPTables (und andere Paketfilter) Grafisches Erstellen der Policy und Upload auf Firewall-Systeme

47 Folie 47 IP Tables Weitere Infos

48 Folie 48 Intrusion Detection Systeme (1) Ziel: Erkennung von Angriffen auf ein Computersystem oder Computernetz Unterscheidung Ort der Installation Host-basiert (Hosts-based IDS; HIDS) Wird auf zu überwachendem Zielsystem installiert Wertet Informationen des OS aus (Logfiles, Kernel, ) Erkennt Angriff auf dieses System Netzwerk-basiert (Network IDS; NIDS) Wird an einer oder mehreren zentrale(n) Stelle(n) mit dem Netzwerk verbunden Wertet Netzwerkverkehr aus Erkennt Angriff auf das Netzwerk Hybrid HIDS + NIDS

49 Folie 49 Intrusion Detection Systeme (2) Unterscheidung Art der Erkennung Signatur-basiert Erkennt bestimmte vor-definierte Angriffssignaturen Vorteil Wenige Fehlalarme (geringe Zahl falsch-positiver Erkennungen) Nachteil keine Erkennung unbekannter Angriffe (evtl. falsch-negative Erkennungen) Anomalie-basiert Erkennt anomale Abweichungen vom Normalzustand Benötigt Trainingsphase Vorteil Kann auch bisher unbekannte Angriffe erkennen Nachteile Saubere Trainingsphase notwendig Keine Garantie, dass ein Angriff erkannt wird Spezifikations-basiert Erkennt Abweichung von spezifiziertem Verhalten des Systems Spezifikation z.b. Protokoll RFC Vorteil Kann korrektes Verhalten sehr genau erkennen Nachteil System muss vollständig spezifiziert sein Was passiert bei spezifikations-konformem Angriff?

50 Folie 50 Intrusion Detection Systeme (3) Intrusion Prevention Systeme (IPS) fügen der Erkennung eine zusätzliche Reaktion hinzu Verbindung unterbrechen Firewall umkonfigurieren Pakete modifizieren (z.b. Schadcode ausfiltern)

51 Folie 51 Snort Open Source NIDS Signatur-basiert mit Regeln (Rules) Basiert auf Aho-Corasick-Algorithmus Prüft ob Inhalt eines Wörterbuchs (Signatur) in Eingabe (Datenpaket) vorkommt; lineare Laufzeit Beispiele für Regeln alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"ids228 - CVE Guestbook CGI access attempt";flags:pa; content:"/cgi-bin/guestbook.cgi"; nocase;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ids184 - DDoS - TFN client command BE"; itype: 0; icmp_id: 456; icmp_seq: 0;) alert udp $EXTERNAL_NET any -> $HOME_NET any (ipopts: ssrr; msg: "Source routed packet";)

52 Folie 52 Honeypots Bietet im Netz einen oder mehrere Dienste an und zeichnet Zugriffe/Angriffe darauf auf Low-Interaction-Honeypot Simulation der Dienste/ganzer Netzwerke Von menschlichen Angreifern meist leicht zu erkennen Gut zur Protokollierung automatischer Angriffe Variante: Tarpits bremsen automatisierte Würmer aus, indem sie große Netzwerke simulieren, die der Wurm scanned. High-Interaction-Honeypot Vollständige Server, die komplette Dienste anbieten Aktionen des Angreifers werden von vorgeschaltetem Rechner oder aus dem Kernel (z.b. mit Sebek) protokolliert

53 Folie 53 Benutzer-Sicherheit Welche Richtlinien gelten für Benutzer? Wie ist die Zugangskontrolle geregelt? Sind die Zugriffsrechte minimal gesetzt? (Need to know/need to use Prinzip) Files Anwendungen Verhaltensregeln z.b. abends ausloggen, keine fremde Software auf Notebooks installieren, usw. Mail-Policy Training und Sensibilisierung Warum soll ich das happy99.exe Attachment nicht starten? Ich schicke mir den Finanzbericht der Firma an meine GMX Adresse und arbeite Abends von zu Hause aus weiter.

54 Folie 54 Programm Security Error: Design- oder Programmierfehler eines Entwicklers Fault/Bug: Manifestation eines Errors in einem Programm Failure: Abweichen eines Programms vom spezifizierten Verhalten Testing: Soll Failure schon während der Programmentwicklung provozieren, um danach den Fault zu beheben Bugs können zu Sicherheitsproblemen führen! Besonders kritisch Programme, die mit Administratorrechten laufen oder über das Netzwerk erreichbar sind Programme, die Eingaben von potentiellen Angreifern akzeptieren Eingabe kann sein Direkte Benutzereingabe Kommandozeilenargumente Konfigurationsfiles Daten aus Netzwerkverbindung Umgebungsvariablen uvm.

55 Folie 55 Design-Richtlinien für sicheres Programmieren 1. Sorgfältiges Design des Programms 2. Dokumentieren des Programmverhaltens 3. Kritische Teile so einfach und klein wie möglich halten 4. Keine unnötigen Funktionen hinzufügen 5. Standardfunktionen verwenden 6. Race Conditions vermeiden Deadlocks, Lockfiles, etc. 7. Prinzip des Least privilege 1. Jede Aktion wird nur auf dem minimal notwendigen Privilegienlevel ausgeführt 2. Verhindert Privilege Escalation (Failure)

56 Folie 56 Coding-Richtlinien für sicheres Programmieren 1. Alle Eingabe ins Programm prüfen! Länge, Format, Sonderzeichen wie Shell-Metazeichen, HTML Markup, Javascript, Am Besten explizit auf erlaubte Zeichen prüfen 2. Prüfen aller Rückgabewerte 3. Interne Konsistenz-Checks einbauen assert 4. Logging zur Kontrolle der Programmfunktionen 5. Sicheres Erzeugen/Öffnen von Files Vollständige Pfadnamen verwenden Erzeugen mit O_EXCL O_CREAT, prüfen mit lstat(), Reihenfolge beachten: stat + open + chown vs. stat + chown + open tmpfile() / mkstemp() für temporäre Files verwenden 6. Auf Sicherheit der verwendeten Bibliotheken achten 7. Tools und Compiler nutzen

57 Folie 57 Tools für sicheres Programmieren Verwenden von Compiler-Warnings gcc Wall, lint, Zusätzliche Tools nutzen Buffer overflow scanner Heuristische Überprüfung von C-Programmen z.b. rats/ratscan, pscan, Weitere Tools libsafe (ersetzt anfällige Funktionen durch eigene) Typsichere Sprachen vermeiden viele Angriffsmöglichkeiten

58 Folie 58 Zu vermeiden sind Kein Aufruf unsicherer Funktionen Kein gets, strcpy, strcat, sprintf, vsprintf Stattdessen fget, strncpy, strncat, snprintf, vsnprintf Vorsicht bei: scanf, fscanf, sscanf, realpath, Nicht auf Umgebungsvariablen oder sonstige Annahmen über die Umbegung verlassen Signals, Umask, Working Directory, Environment explizit löschen (neuen envp + exec) File Descriptoren prüfen / schließen Keine Shell Escapes, kein system/popen Keine Files in World-Writeable Directories erzeugen Keine Core Dumps erzeugen

59 Folie 59 Programm Security (3) Literatur Ausschnitte aus Practical Unix & Internet Security [http://www.onlamp.com/pub/a/onlamp/excerpt/puis3_chap16/index1.html] [http://www.onlamp.com/pub/a/onlamp/excerpt/puis3_chap16/index2.html] [http://www.onlamp.com/pub/a/onlamp/excerpt/puis3_chap16/index3.html] [http://www.onlamp.com/pub/a/onlamp/excerpt/puis3_chap16/index4.html]

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen Computer-Sicherheit SS 2005 Kapitel 5: Sicherheitsmechanismen Sicherheitsmechanismen Sicherheits-Richtlinien Firewalls Beispiel iptables Intrusion Detection Systeme Beispiel snort Honeynets Sicherheit

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

Distributed Systems Security. Überblick. Überblick. Firewalls

Distributed Systems Security. Überblick. Überblick. Firewalls Distributed Systems Security Firewalls Prof. Dr. Stefan Fischer Institut für Telematik, Universität zu Lübeck https://www.itm.uni-luebeck.de/people/fischer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von. ?? Bernhard Linda Mai 2013 von Inhaltsübersicht???? von von ?? Definition: sind Netzwerkkomponenten, die ein internes Netzwerk von einem externen Netzwerk (z.b. Internet) trennen. schützen sichere interne

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Anwendungen. Tom Vogt.

Anwendungen. Tom Vogt. <tom@lemuria.org> Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Distributed Systems Security

Distributed Systems Security Distributed Systems Security Firewalls Dr. Dennis Pfisterer Institut für Telematik, Universität zu Lübeck http://www.itm.uni-luebeck.de/people/pfisterer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

Distributed Systems Security

Distributed Systems Security Distributed Systems Security Firewalls Dr. Dennis Pfisterer Institut für Telematik, Universität zu Lübeck http://www.itm.uni-luebeck.de/people/pfisterer Überblick Firewalls Zweck Komponenten Konfigurationen

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Iptables & NAT. R. Mutschler, inf 273 13.05.2004

Iptables & NAT. R. Mutschler, inf 273 13.05.2004 Iptables & NAT R. Mutschler, inf 273 13.05.2004 1 Inhaltsverzeichnis 1 Firewall mit Iptables 3 1.1 Einleitung............................. 3 1.2 Kernel vorbereiten........................ 3 1.3 Paketfilterung

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

IT-Security Teil 10: Echte Firewalls mit NAT

IT-Security Teil 10: Echte Firewalls mit NAT IT-Security Teil 10: Echte Firewalls mit NAT 31.03.15 1 Übersicht Tipps und Tricks Architekturen Routing Packet-Filter NAT 2 Vollständiges Öffnen der Firewall iptables --policy INPUT ACCEPT iptables --policy

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

OpenSource Firewall Lösungen

OpenSource Firewall Lösungen Ein Vergleich OpenSource Training Webereistr. 1 48565 Steinfurt DFN-CERT Workshop 2006 OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Secure Linux Praxis. ein How-To Vortrag am 11.05.2006. Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Secure Linux Praxis ein How-To Vortrag am 11.05.2006 Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe Workshop Agenda "IT-Sicherheit" - Grundlagen - Gefährdungen Linux Absicherung

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Firewall mit Netfilter/iptables

Firewall mit Netfilter/iptables Firewall mit Netfilter/iptables Proseminar Linux SS 2002 Jürgen Lehle - 1 - Inhaltsverzeichnis EINLEITUNG 3 WAS IST EINE FIREWALL? 3 WARUM SOLLTE MAN EINEN PAKETFILTER VERWENDEN? 3 WIE WERDEN PAKETE UNTER

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

Linux for Beginners 2005

Linux for Beginners 2005 Linux for Beginners 2005 Mit Linux ins Netz Modem-, ISDN-, DSL-Konfiguration Martin Heinrich obrien@lusc.de Agenda Technik Konfiguration Test Fehlersuche Sicherheit Router 2 Verschiedene Techniken POTS

Mehr

bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Stateful Inspection Firewall Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie Funkwerk

Mehr

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius IAPM 3 - Shorewall 1 Shorewall Shoreline Firewall Version 2.0.9 Internet APM 3 WS04/05 Christian Beyerle Robert Tullius IAPM 3 - Shorewall 2 Inhaltsverzeichnis 1 Vorwort 3 2 Installation 4 2.1 Systemvoraussetzungen.......................

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Das Schulnetz ist wie folgt aufgebaut:

Das Schulnetz ist wie folgt aufgebaut: Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host 1.2.2 192.168.129.0 /24 intern 192.168.130.0 /24 intern serielle Verbindung Cisco Router.1

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

MySQL 101 Wie man einen MySQL-Server am besten absichert

MySQL 101 Wie man einen MySQL-Server am besten absichert MySQL 101 Wie man einen MySQL-Server am besten absichert Simon Bailey simon.bailey@uibk.ac.at Version 1.1 23. Februar 2003 Change History 21. Jänner 2003: Version 1.0 23. Februar 2002: Version 1.1 Diverse

Mehr

safe Global Security for iseries

safe Global Security for iseries safe Global Security for iseries Komplette Security Suite für Ihre iseries (AS/400) TCP/IP und SNA Verbindungen Jemand versucht in Ihr System einzubrechen Ist es gesichert? Immer wenn Ihre iseries (AS/400)

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33) Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Verteilte Systeme, Wintersemester 1999/2000 Michael Weber

Verteilte Systeme, Wintersemester 1999/2000 Michael Weber ÿÿþýüûúùø öùõôõ óúöòüñõùüð óùõïõîíù ö 1 øúù ü óü ó ö óúöòü ü ôôíò ü õò ôù digest ÿþýüûúýüù Message Digest Eine Art Prüfsumme der Dokuments Kein Rückschluß auf die Nachricht möglich Es ist praktisch unmöglich

Mehr

Neueste Entwicklungen in der Firewall- Technologie

Neueste Entwicklungen in der Firewall- Technologie Neueste Entwicklungen in der Firewall- Technologie John Read http:// John.read@de.balabit.com 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Lektion V Datensicherheit im Unternehmen

Lektion V Datensicherheit im Unternehmen Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

Check Point FireWall-1 /VPN-1

Check Point FireWall-1 /VPN-1 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Uwe Ullmann Check Point FireWall-1 /VPN-1 I Für wen ist das Buch

Mehr

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH Trend Micro Deep Security Tobias Schubert Pre-Sales Engineer DACH Trends in Datenzentren Schutz von VMs VMsafe Der Trend Micro Ansatz Roadmap Virtual Patching Trends in Datenzentren Schutz von VMs VMsafe

Mehr

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke Kolloquium der Sicherheitslösungen für VoIP Netzwerke 28.06.2006 Paul-Silberbach-Saal der FH Köln Dipl.- Ing. 2006 Überblick des heutigen Abends Gefahren für VoIP-fähige Netzwerke Ansätze zur Netzwerksicherheit

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Mobile Security. Astaro 2011 MR Datentechnik 1

Mobile Security. Astaro 2011 MR Datentechnik 1 Mobile Astaro 2011 MR Datentechnik 1 Astaro Wall 6 Schritte zur sicheren IT Flexibel, Einfach und Effizient Enzo Sabbattini Pre-Sales Engineer presales-dach@astaro.com Astaro 2011 MR Datentechnik 2 Integration

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

15 Iptables(Netfilter)

15 Iptables(Netfilter) 15 Iptables(Netfilter) In diesem Kapitel lernen Sie die Grundlagen des Paketfilters iptables kennen. aus welchen Bausteinen iptables besteht. welche Wege TCP/IP-Pakete durch einen als Firewall konzipierten

Mehr

Was Wer Wie Wo tut? Intrusion Detection

Was Wer Wie Wo tut? Intrusion Detection Was Wer Wie Wo tut? Intrusion Detection Bernhard Schneck, GeNUA mbh München, 2005-02-14 1 Themen Intrusion Detection Einführung Risiken LAN und WLAN Abgreifstellen LAN und WLAN GeNUDetect Funktion, Struktur,

Mehr

St. Wagner. Mathematisches Institut Göttingen. OpenWRT auf ASUS WL-500gd. St. Wagner. Szenarien. Produkte. OpenWRT

St. Wagner. Mathematisches Institut Göttingen. OpenWRT auf ASUS WL-500gd. St. Wagner. Szenarien. Produkte. OpenWRT Image auf d Mathematisches Institut Göttingen auf d - Image Wireless Local Loop (GoeMobile) Grafik auf d Image Internetzugang über WAN (DSL-Anschluß) lokales Netz in den Garten Sicherheit WPA2, Prüfung

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Karl Martin Kern. IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls

Karl Martin Kern. IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls Karl Martin Kern IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls Sicherheit in Netzwerken Überblick Filtertechnologien Firewall-Architekturen 2 Netzwerksicherheit Standard-Netzwerkprotokolle bieten

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 Sicherheitsrisiken im Internet Gestaltung von Internetzugängen und -angeboten Folie: 3 Agenda: 1. Systematik von IT-Sicherheit und Datenschutz 2. Grundbedrohungen der IT-Sicherheit 3.

Mehr

Konfigurationsbeispiel ZyWALL USG

Konfigurationsbeispiel ZyWALL USG Virtual-LAN und Zonen-Konfiguration mit der ZyXEL USG-Firewall Die VLAN-Funktion vereint die Vorteile von Sicherheit und Performance. VLAN eignet sich zur Isolation des Datenverkehrs verschiedener Benutzergruppen

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Fedora Home Server. Fedora als Eier legende Wollmilchsau im Heimnetzwerk

Fedora Home Server. Fedora als Eier legende Wollmilchsau im Heimnetzwerk Fedora Home Server Fedora als Eier legende Wollmilchsau im Heimnetzwerk Von: Benedikt Schäfer Ambassador License statement goes here. See https://fedoraproject.org/wiki/licensing#content_licenses for acceptable

Mehr

4-441-095-42 (1) Network Camera

4-441-095-42 (1) Network Camera 4-441-095-42 (1) Network Camera SNC easy IP setup-anleitung Software-Version 1.0 Lesen Sie diese Anleitung vor Inbetriebnahme des Geräts bitte genau durch und bewahren Sie sie zum späteren Nachschlagen

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0. 1KONFIGURATION VON NETWORK ADDRESS TRANSLATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

"Wolle mer se roilosse?"

Wolle mer se roilosse? "Wolle mer se roilosse?" - Zugangsschutz in Mannheim Gerd Armbruster Abteilungsleiter Infrastrukturmanagement Zugangsschutz? ifconfig eth0 down ifconfig eth0 hw ether MAC ADRESSE ifconfig eth0 up Mein

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Internet & Sicherheit

Internet & Sicherheit Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen

Mehr

IT-Security durch das passende OS. Oracle Solaris 11.2.

IT-Security durch das passende OS. Oracle Solaris 11.2. IT-Security durch das passende OS. Oracle Solaris 11.2. Heiko Stein Senior IT-Architekt etomer GmbH Agenda. Motivation (?) Compliance und Security in Solaris 11.2 Besondere Funktionen und deren Nutzung

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr