Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Größe: px
Ab Seite anzeigen:

Download "Best Practices - sichere Websites und Web-Applikationen. Markus Müller"

Transkript

1 Best Practices - sichere Websites und Web-Applikationen Markus Müller

2 Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom (Prof. Ruland, Prof. Pohlmann) secunet Security Networks seit 1998 in diversen Funktionen Leitung Managed Security Services seit

3 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Server / Middleware Web-Site / Web-Applikation Betrieb / Changemanagement

4 Sichere Architektur, sicheres Netzwerk Netzwerk-Firewall Alles verbieten außer erwünschte Protokolle und Ports (drop, reject) HTTP, WebDAV (80/tcp) HTTPS (443/tcp) Outbound und Inbound wirksam Logging für alle Accept-Regeln aktivieren für Catch-All-Regel aus dem Internet (drop any/any) deaktivieren für sonstige Catch-All-Regeln (drop any/any) aktivieren

5 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Web-Zugriff Netzwerk-Firewall Datenbank Separater Server Netzwerk-Firewall

6 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Administration Separates Management-Netz Dedizierte Netzwerk- Interfaces in Komponenten Im Management-Netz ausschließlich Administration Kein Routing über das Management-Netz Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

7 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Content-Management Beschränkter Zugriff der Web- Agentur auf dedizierte Komponenten Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

8 Sichere Architektur, sicheres Netzwerk

9 Sichere Server, sichere Middleware Auswahl sicherer Komponenten für Betriebssystem Web-Server-Software Content-Management-System Datenbank-Software Programmiersprache Applikationssoftware (Blog, Foren, Webshop) Kriterien für sichere Komponenten Aktuelle Sicherheitsmechanismen Aktuell gepflegte Version, aber nicht Beta Hinreichend weit verbreitet (im Feld getestet) Kontinuierlich gepflegt (schnelles Schließen von Sicherheitslücken) Nicht besonders auffällig in Security-News-Tickern Open-Source vs. Closed Source (?)

10 Sichere Server, sichere Middleware Minimalisierung Nicht benötigte Komponenten und Module entfernen Nicht benötigte Services deaktivieren Nicht benötigte Benutzerkonten entfernen oder sperren Nicht benötigte Funktionen entfernen oder deaktivieren Nicht benötigte Dateien entfernen (alte Versionen, Test-Dateien, etc.) Sichere Konfiguration Zugriffsberechtigungen auf das Notwendige beschränken Sicherheitszonen auch in Komponenten trennen (z.b. kein Routing) Ausschließlich sichere Protokolle und Mechanismen verwenden Backup/Recovery implementieren (und testen!) Unsichere Funktionen, Optionen und Einstellungen deaktivieren Sicherheitsmechanismen nutzen (Kernel-Parameter, selinux) Automatische Meldung sicherheitsrelevanter Ereignisse einrichten

11 Sichere Server, sichere Middleware Rollenbasierte Zugriffsberechtigungen Dedizierte technische Benutzerkonten für Services Dedizierte Benutzerkonten zur Administration Dedizierte Benutzerkonten für den Zugriff auf vertrauliche Daten Persönliche Benutzerkonten für Administratoren Minimale Zugriffsberechtigungen gemäß Rollen Sichere Passworte oder stärkere Authentisierung Überwachung implementieren Überwachung der Verfügbarkeit (Komponenten und Ende-zu-Ende) Überwachung der Auslastung (Komponenten und Ende-zu-Ende) Überwachung der Webinhalte Überwachung wesentlicher Dateien (z.b. Konfigurationsdateien)

12 Sichere Server, sichere Middleware Host basierte Firewall Regelwerk: Alles verbieten (drop, reject) außer erwünschte Protokolle und Ports Outbound und Inbound wirksam Trennung der Sicherheitszonen Logging für alle Accept-Regeln aktivieren für Catch-All-Regel (drop any/any) an externer Firewall deaktivieren für Catch-All-Regel (drop any/any) an internen Firewalls aktivieren

13 Sichere Server, sichere Middleware Virenschutz Renommiertes Produkt wählen Stündlich neue Viren-Pattern abfragen Logging aktivieren Monitoring aktivieren Host basiertes Intrusion Detection System (Host-IDS) Insbesondere bei höherem Sicherheitsbedarf sinnvoll Renommiertes Produkt wählen Mit spezifischen Regeln integrieren (Tuning) Regelmäßig neue Pattern des Herstellers abfragen Logging aktivieren Monitoring aktivieren Regelmäßig spezifische Regeln pflegen

14 Sichere Web-Site, sichere Web-Applikation Verschlüsselter Datentransfer Bei Übertragung vertraulicher Daten SSL mit aktuellem Server-Zertifikat (>= 2048 Bit RSA, kein RC4) und Perfect-Forward-Secrecy Ggf. auch internen Datenverkehr verschlüsseln Kryptografisch gesicherte Datenspeicherung Passwörter als gesalzene kryptographische Hashes speichern Vertrauliche Daten verschlüsseln Schlüssel gegen unbefugten Zugriff sichern

15 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Ohne Authentifizierung Anzeige von Content ohne Interaktion Human Interaction Proof (z.b. Captcha) Verhindern des Spiderns von Informationen Verhindern von automatischer Dateneingabe Verhindern von automatischer Transaktionen Zugriff auf ressourcenhungrige Funktionen

16 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Einfache persönliche Authentifizierung (Username/Passwort) Zugriff auf vertrauliche Daten Eingabe und Hochladen von Daten Einfache kommerzielle Transaktionen Zugriff auf besonders ressourcenhungrige Funktionen Zusätzliche Authentisierung bei kritischen Funktionen Zurücksetzen von Authentisierungsdaten als Self-Service Höhere Sicherheit (SSL-Client-Zertifikat, TAN) Höherer Sicherheitsbedarf Begrenzter Benutzerkreis

17 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien auf unerwünschte Inhalte prüfen (Defacement-Angriffe)

18 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) URL/Sourcefile: <?php // URL-Parameter ungefiltert verwendet // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $_REQUEST['article']")) { //?> <?php URL-Parameter gefiltert $articleid = (int) $_REQUEST['article']; // // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $articleid")) { //?>

19 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) {?> <h3><?=$row[0]?> (<?=$row[1]?> / 5)</h3> <p> von <?=$row[2]?> am <?=$row[3]?><br/> <?=$row[4]?> </p> // DB-Einträge ungefiltert verwendet

20 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) { $title=filter_var($row[0],filter_sanitize_string); $rating=filter_var($row[1],filter_sanitize_string); $uname=filter_var($row[2],filter_sanitize_string); $postdate=filter_var($row[3],filter_sanitize_string); $content=filter_var($row[4],filter_sanitize_string);?> <h3><?=$title?> (<?=$rating?> / 5)</h3> <p> von <?=$uname?> am <?=$postdate?><br/> <?=$content?> </p> // DB-Einträge vor Anzeige gefiltert

21 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter von internen Variablen entkoppeln Anzeige vertraulicher Daten verhindern Alle Fehlerzustände abfangen Keine internen Fehler über das Web anzeigen Fehlermeldungen über das Web nicht zu spezifisch anzeigen autocomplete=off für alle Formularfelder mit vertraulichen Daten Für Formulare vorzugsweise POST statt GET verwenden Requests detektieren, protokollieren und ablehnen, die offensichtlich Angriffe enthalten Requests protokollieren und ablehnen, die nicht aus der Web- Applikation stammen können

22 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Sicheres Session-Handling Sichere Session-ID verwenden (hinreichende Entropie), möglichst im Cookie Zugriff auf Cookie über Flags einschränken (Path, Secure, HttpOnly) Sonstige Sessiondaten ausschließlich auf Serverseite vorhalten Session-Timeout implementieren Zulässigkeit von Zugriffen auf Funktionen explizit prüfen Maßnahmen gegen automatische Attacken CAPTCHAs Transaktionen je Zeitraum begrenzen Progressive Wartezeit bei fehlgeschlagenen Transaktionen Anzahl fehlgeschlagener Transaktionen begrenzen

23 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Verhinderung diverser Attacken Challenge/Response oder dynamische Token gegen Replay-Attacken Zusätzliches Token gegen Cross-Site-Request-Forgery Clientseitige Checks und X-FRAME-OPTIONS DENY in HTTP - Response-Headern gegen Clickjacking Überwachung Sicherheitsrelevante Transaktionen protokollieren (z.b. Login/Logout) Fehlerzustände protokollieren Angriffsversuche protokollieren und melden

24 Sichere Web-Site, sichere Web-Applikation Reverse Proxy Zusätzliche Absicherung von Web-Servern Terminiert die jeweilige Quell-HTTP-Verbindung und baut Sie in Zielrichtung neu auf Kann SSL-Verbindungen terminieren Wirkt gegen diverse Anomalien im HTTP Kann HTTP-Optionen filtern Ermöglicht Blacklist für HTTP-Clients Kann evtl. bis hin zu einer Web-Application-Firewall ausgebaut werden Web-Applikation und Reverse Proxy sollten gemeinsam getestet und ausgerollt werden

25 Sichere Web-Site, sichere Web-Applikation Web-Application-Firewall (WAF) Insbesondere bei dynamischen Web-Applikationen sinnvoll Zusätzliche Absicherung von Web-Applikationen Blacklist-Ansatz ermöglicht schnelleren Roll-Out bei guter Basissicherheit Whitelist-Ansatz bringt höhere Sicherheit Verschiedene Funktionen können von der Web-Applikation in die WAF verlagert werden (Session-Handling, Authentisierung, SSL, URL- Codierung, Brute-Force-Vermeidung) Web-Applikation darf nicht gegen die WAF arbeiten Web-Applikation und WAF sollten gemeinsam getestet und ausgerollt werden Regelmäßig spezifische Regeln pflegen

26 Sichere Architektur, sicheres Netzwerk

27 Sichere Web-Site, sichere Web-Applikation Schutzmaßnahmen auf Client-Seite berücksichtigen Firewalls Proxies Popup-Blocker Cookie-Blocker und -Filter Javascript-Blocker Blocker für sonstige aktive Inhalte (Java, Flash, etc.) Upload-/Download-Schleusen

28 Sicherer Betrieb, Changemanagement Sicherer Betrieb (Basis) Regelmäßige Datensicherung (Backup) Patchmanagement Logging Komponenten Überwachung, Alarmierung Verfügbarkeit Auslastung Security-Events Regelmäßige Logauswertung Anomalien Sicherheitsrelevante Ereignisse

29 Sicherer Betrieb, Changemanagement Security Lifecycle Regelmäßige Pen-Tests/Audits Regelmäßige Security-Reviews Hoher Sicherheitsbedarf 24x7 Computer-Emergency-Response-Team (CERT) Security Information and Event Management (SIEM) Logging Administrationstätigkeiten Kontinuierliche Logauswertung Anomalien Sicherheitsrelevante Ereignisse

30 Sicherer Betrieb, Changemanagement Changemanagement Jede Änderung kann Einfluss auf die Security haben Security auch im Budget berücksichtigen Bewertung von Change-Requests auch in Bezug auf Security Test von Change-Requests auch in Bezug auf Security

31 Sichere Websites und Web-Applikationen und das Ergebnis: aber:

32 Sichere Websites und Web-Applikationen 100% Sicherheit gibt es nicht Weitere Sicherheitsmaßnahmen erhöhen den Aufwand für erfolgreiche Angriffe Machen Sie es den Angreifern schwer! Setzen Sie Ihre Ressourcen gezielt ein! Bleiben Sie wachsam!

33 Weitere Informationen Open Web Application Security Project, OWASP Top Ten Project, Open Web Application Security Project, Development Guide, Bundesamt für Sicherheit in der Informationstechnik (BSI), IT Grundschutzkataloge, Maßnahmen M 4 Hard- und Software, Maßnahmen 4.94, 4.176, 4.359, 4.360, 4.392ff, 04/m04.html

34 Fragen & Antworten

35 secunet Security Networks AG Die secunet im Überblick Gegründet 1996, börsennotiert seit 1999 Umsatz 2012: 67 Mio. Euro [ ,6. Mio. Euro] Anteilseigner: G&D 80%, Freier Handel 20% Umfassende Kompetenz kundennah 2 Geschäftsbereiche 7 Standorte in Deutschland 320 hoch qualifizierte Mitarbeiter Spezialisten für IT-Sicherheit Sicherheitspartner der Bundesrepublik Deutschland Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesministerium des Innern Wegbereiter für die industrielle Nutzung neuester Technologien wie Biometrie, Virtualisierung, sichere Betriebssysteme etc. 35

36 secunet Security Networks AG Dr. Markus Müller Bereichsleiter Managed Security Services

Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Best Practices - sichere Websites und Web-Applikationen. Markus Müller Best Practices - sichere Websites und Web-Applikationen Markus Müller Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom(Prof. Ruland, Prof. Pohlmann) 1997-1998 secunet Security Networks seit

Mehr

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG

Sichere Website. Gezielt ist oft besser als viel 02.12.2014. Markus Müller secunet Security Networks AG Sichere Website Gezielt ist oft besser als viel 02.12.2014 Markus Müller secunet Security Networks AG stellt sich vor führender Anbieter für anspruchsvolle IT-Sicherheit seit 2004 Sicherheitspartner der

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Ist meine Website noch sicher?

Ist meine Website noch sicher? Ist meine Website noch sicher? Massive Angriffe gegen Joomla, Wordpress,Typo3 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter

Konzept eines Datenbankprototypen. 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Konzept eines Datenbankprototypen 30.06.2003 Folie 1 Daniel Gander / Gerhard Schrotter Inhalt (1) Projektvorstellung & Projektzeitplan Softwarekomponenten Detailierte Beschreibung der System Bausteine

Mehr

Designprinzipien sicherer Systeme

Designprinzipien sicherer Systeme Designprinzipien sicherer Systeme Defense in Depth, Least Privilege, Design for Evil, Attack Surface Reduction, Security through Diversity, Dr. Peer Wichmann IT-Sicherheitsbeauftragter WIBU-SYSTEMS AG

Mehr

Die IT Sicherheit der BEKB BCBE

Die IT Sicherheit der BEKB BCBE Die IT Sicherheit der BEKB BCBE 2. Mai 2006 - Folie 1-03.05.2006 15:20 Aufbau Internet Benutzer Internet Web Server HOST Grossrechner und Server - Folie 2-03.05.2006 15:20 1 Kunden der BEKB im Internet

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover

IT - Sicherheit. Maximilian Zubke zubke@iwi.uni-hannover.de. Institut für Wirtschaftsinformatik Leibniz Universität Hannover IT - Sicherheit Maximilian Zubke zubke@iwi.uni-hannover.de Gäste - & Doktorandenkolloquium 17. Juli 2008 Agenda Grundla agen Praxis Grundlagen der Risiken und Maßnahmen Security Engineering (Allgemeine

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I Ora Education GmbH www.oraeducation.de info@oraeducation.de Lehrgang: Oracle Application Server 10g R2: Administration I Beschreibung: Der Teilnehmer ist in der Lage den Oracle Application Server 10g zu

Mehr

secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg

secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg secunet Security Networks AG DE-Mail: Einsatzszenarien Volker Wünnenberg Das Unternehmen im Überblick (1/2) secunet ist der führende deutsche Spezialist für komplexe IT-Sicherheitslösungen Sicherheitspartner

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Einblick in das Promoter-System Stand: 29. Juni 2009. Copyright 2009 ViaThinkSoft. Alle Rechte vorbehalten.

Einblick in das Promoter-System Stand: 29. Juni 2009. Copyright 2009 ViaThinkSoft. Alle Rechte vorbehalten. Einblick in das Promoter-System Stand: 29. Juni 2009 Copyright 2009 ViaThinkSoft. Alle Rechte vorbehalten. Promoting Die Idee dahinter! Jedem System die Möglichkeit geben, pro Minute eine koordinierte

Mehr

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue

Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue 1 3 Die Medien berichten häufig über das Thema IT-Sicherheit: Mit Cyber-Crime kann man viel Geld verdienen Vorfälle bei bekannten Unternehmen Immer neue Sicherheitslücken Jeder, der für ein Unternehmen

Mehr

Call Button / HTTP - Systembeschreibung

Call Button / HTTP - Systembeschreibung Call Button / HTTP - Systembeschreibung Detlef Reil, 14.03.2004, zu Call Button, Version 040127, V1.50 Beta! Software System Für die Kommunikation zwischen den Call Buttons und der Applikation war bisher

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard

Mehr

Aktuelle Bedrohungen im Internet

Aktuelle Bedrohungen im Internet Aktuelle Bedrohungen im Internet Max Klaus, MELANI Bedrohungen von Webanwendungen Reto Inversini, BIT Botnetze webreaders.de/wp-content/uploads/2008/01/botnetz.jpg ISB / NDB Melde- und Analysestelle Informationssicherung

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

D.C.DialogManager Internet

D.C.DialogManager Internet D.C.DialogManager Internet Diese Hinweise sollen die wichtigsten Fragen im Zusammenhang mit der Nutzung des D.C.Dialogmanager beantworten. Sie wenden sich an Personen, die zur Nutzung des D.C.Dialogmanager

Mehr

DECUSnet Konfiguration. IT-Symposium 2005. www.decus.de 1. Alphaserver 2100 OpenVMS V7.3-2. TCPIP-Services

DECUSnet Konfiguration. IT-Symposium 2005. www.decus.de 1. Alphaserver 2100 OpenVMS V7.3-2. TCPIP-Services Neue DECUSnet Features mit PHP Clemens Wermelskirchen Stanford Linear Accelerator Center & DECUS München e.v. DECUS München IT-Symposium 2005 Swissôtel,, Düsseldorf/ D sseldorf/neuss,, 5.-7. April 2005

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Verteidigung gegen SQL Injection Attacks

Verteidigung gegen SQL Injection Attacks Verteidigung gegen SQL Injection Attacks Semesterarbeit SS 2003 Daniel Lutz danlutz@watz.ch 1 Inhalt Motivation Demo-Applikation Beispiele von Attacken Massnahmen zur Verteidigung Schlussfolgerungen 2

Mehr

Herausforderungen und Chancen im industriellen Umfeld

Herausforderungen und Chancen im industriellen Umfeld Die Vorteile öffentlicher Netze nutzen 12.08.2014, Marc Lindlbauer, secunet Security Networks AG Herausforderungen und Chancen im industriellen Umfeld Daten & Fakten zur secunet Security Networks AG >340

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...

php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe... php Hier soll ein Überblick über das Erstellen von php Programmen gegeben werden. Inhaltsverzeichnis 1.Überblick...2 2.Parameterübergabe...7 3.Zugriff auf mysql Daten...11 Verteilte Systeme: php.sxw Prof.

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

Neue Dimensionen der Leitungsverschlüsselung - Datenverluste sicher verhindern -

Neue Dimensionen der Leitungsverschlüsselung - Datenverluste sicher verhindern - Neue Dimensionen der Leitungsverschlüsselung - Datenverluste sicher verhindern - Volker Wünnenberg Geschäftsbereich Business Security Nürnberg, Oktober 2012 Das Unternehmen im Überblick Sicherheitspartner

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

OEDIV SSL-VPN Portal Anbindung Externe

OEDIV SSL-VPN Portal Anbindung Externe OEDIV SSL-VPN Portal Anbindung Externe Collaboration & Communication Services Stand 10.03.2015 Seite 1 von 11 Inhaltverzeichnis 1 Allgemeine Informationen... 3 2 Voraussetzungen... 3 3 Anmeldung am Portal...

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Web Application {Security, Firewall}

Web Application {Security, Firewall} Web Application {Security, Firewall} Mirko Dziadzka mirko.dziadzka@gmail.com http://mirko.dziadzka.de 18.1.2011 / IEEE SB Passau Alle Abbildungen aus http://www.heise.de/newsticker/archiv/ Inhalt Kurze

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

SEIS Statusseminar. Security der Middleware für IP-basierte Bordnetzarchitekturen SEIS AP 4.3. Alexandre Bouard BMW Forschung und Technik 20-09-2011

SEIS Statusseminar. Security der Middleware für IP-basierte Bordnetzarchitekturen SEIS AP 4.3. Alexandre Bouard BMW Forschung und Technik 20-09-2011 SEIS Statusseminar Security der Middleware für IP-basierte Bordnetzarchitekturen SEIS AP 4.3 Alexandre Bouard BMW Forschung und Technik 20-09-2011 Seite 1 Agenda. Ziele des AP4.3 Sicherheit der Middleware

Mehr

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen Surfen, aber sicher! Basisschutz leicht gemacht 10 Tipps für ein ungetrübtes Surf-Vergnügen Ins Internet mit Sicherheit! Viele nützliche und wichtige Dienstleistungen werden heute über das Internet in

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

System Ausbildungen Übersicht

System Ausbildungen Übersicht System Ausbildungen Übersicht Betriebssystem Dienste Security Linux Administration 45 LE und Einsatzgebiete MTA Architektur Linux Programmierung Virtualisierung SQL Datenbank Webserver Exchange Server

Mehr

Zusammenfassung Web-Security-Check ZIELSYSTEM

Zusammenfassung Web-Security-Check ZIELSYSTEM Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Inhalt

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

Firewall Szenarien für Unternehmen. Agenda

Firewall Szenarien für Unternehmen. Agenda Firewall Szenarien für Unternehmen Daniel Beuchler Agenda Herausforderung Netzwerksicherheit in Unternehmen Bausteine moderner Firewallsysteme Architekturen für unterschiedlichen Sicherheitsbedarf Security

Mehr

Vordefinierte Elemente (CI)

Vordefinierte Elemente (CI) 1 IIS Name 1.1 IIS Scans Scandatum, Direktes Bearbeiten der Metabasis ermöglichen, Version 1.1.1 Websites Name, Ausführberechtigung Dateien, Lesen, Nur Skripts ausführen, Skriptzugriff, Schreiben, Sicheren

Mehr

PENETRATIONSTESTS BEI WEB- SERVICES

PENETRATIONSTESTS BEI WEB- SERVICES BSI GRUNDSCHUTZTAG 2014 PENETRATIONSTESTS BEI WEB- SERVICES Dominik Oepen 1 GS-WEB-SERVICES ABGRENZUNG Web-Services Schnittstelle zum automatisierten Aufruf Aufruf durch Programme (auch andere Web-Services)

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

PHP und MySQL. Sicherheit und Session-Handling mit PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424

PHP und MySQL. Sicherheit und Session-Handling mit PHP. Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 Zentrum für Informationsdienste und Hochleistungsrechnen PHP und MySQL Sicherheit und Session-Handling mit PHP Zellescher Weg 12 Willers-Bau A109 Tel. +49 351-463 - 32424 (michael.kluge@tu-dresden.de)

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Anleitung zur Einrichtung von Outbound und Inbound Filtern Für DWR-512 (Stand August 2012)

Anleitung zur Einrichtung von Outbound und Inbound Filtern Für DWR-512 (Stand August 2012) Anleitung zur Einrichtung von Outbound und Inbound Filtern Für DWR-512 (Stand August 2012) Mittels der Outbound Filter können Sie den Zugriff von Ihrem Lokalen Netzwerk auf bestimmte IP Adressen oder Dienste

Mehr

Nachtrag zur Dokumentation

Nachtrag zur Dokumentation Nachtrag zur Dokumentation Zone Labs-Sicherheitssoftware Version 6.5 Dieses Dokument behandelt neue Funktionen und Dokumentaktualisierungen, die nicht in die lokalisierten Versionen der Online-Hilfe und

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Web Services Monitoring

Web Services Monitoring Web Services Monitoring Foliensatz zum Vortrag von der OIO Hauskonferenz am 17. Dezember 2009 predic8 GmbH Moltkestr. 40 53173 Bonn www.predic8.de info@predic8.de Ihr Sprecher Thomas Bayer Trainer, Berater,

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Seite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung Sie konfigurieren den OOBA, um die Webzugriffe mit HTTP ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten Benutzern

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15

Inhaltsverzeichnis. Vorwort... 13. Einleitung... 15 Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist

Mehr

Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich

Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich Geschäft Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich Technologie Virtualisierung Mobile Geräte Consumerization und soziale Medien Cloud-Dienste

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Agenda. Eine kurze Einführung ins Webseitenmonitoring

Agenda. Eine kurze Einführung ins Webseitenmonitoring Agenda - 1/30 - Agenda Agenda...1 MARE system...2 Was ist Monitoring?...3 Warum Monitoring?...4 Was kann man überwachen?...5 Webseitenmonitoring...6 Warum Nagios/Icinga?...11 Welche Daten liefert Nagios?...15

Mehr