Firewallsysteme (1) - Technische Grundlagen

Größe: px
Ab Seite anzeigen:

Download "Firewallsysteme (1) - Technische Grundlagen"

Transkript

1 Firewallsysteme (1) - Technische Grundlagen Stefan Widmaier Hauptseminar: Sicherheit in Kommunikationsnetzen Technische Universität München WS 2002 (Version 10. Februar 2003) Zusammenfassung Dieses Papier behandelt die grundlegenden Techniken von Firewallsystemen und vergleicht deren Wirkungsweise und Leistungsfähigkeit anhand des FTP Protokolls und verschiedener Angriffe, denen Rechnernetze, die Anschluss zum Internet haben, ausgesetzt sind. 1

2 Inhaltsverzeichnis 1 Einleitung 2 2 Grundlagen ISO-OSI Modell Protokolle der Vermittlungsschicht: ARP, IP, ICMP Protokolle der Transportschicht: TCP, UDP Applikationsschicht Protokolle was ist ein Gateway Definition von Firewalls, Techniken Definition Packet Filter Dynamischer Packet Filter oder Stateful Filter Proxy oder auch Circuit-Relay Application Gateway/Application Proxy Vergleich der Techniken Angriffe Denial of Service Angriffe auf Firewalls Angriffe auf Applikationen Mails mit Virus- oder Backdoorsoftware Topologien, Einsatzszenarien 12 6 Zusammenfassung 13 Abbildungen 15 Bibliography 16 1

3 1 Einleitung Aufgrund zunehmender Vernetzung und wirtschaftlicher Trends wird es für Privatpersonen und speziell Unternehmen sehr wichtig eine Verbindung zum globalen Kommunikationsnetz, dem Internet zu haben. Allerdings bleibt dies nicht ohne Nachteile, denn durch globale Erreichbarkeit und die enormen Datenmengen und Nutzerzahlen fällt es potentiellen Angreifern leicht unentdeckt zu bleiben. Häufig sind grosse Teile einer Firma vernetzt, und es besteht überall die Gefahr eines Angriffs. Um die dort verarbeiteten sensitive Daten zu schützen, müssen Mechanismen integriert werden, die ein solches Firmennetz vor Fremdzugriffen abschotten. Auch ein Privatanwender ist nicht gefeit vor Attacken, die Ansprche sind in diesem Fall aber andere, denn es muss meistens nur ein einzelner Rechner oder ein kleines Netz geschtzt werden. Ein Hard oder Softwaremechanismus, der durch Analyse und Beschränkung des Datenverkehrs die Sicherung eines Netzes erreicht, wird allgemein Firewall genannt. Ziele von Firewalls sind: Schutz jeglicher Daten, seien es intern verschickte oder auf Servern im Intranet gespeicherte. Zugriffskontrolle, Reglementierung der Netznutzung: starke Beschränkung des Zugriffs auf das lokale Netz von außen, reglementierter Zugriff auf das Internet von innen. Überwachung des Netzverkehrs sowohl des ankommenden, als auch des Verkehrs im Intranet Transparenz: die Firewall soll in einigen Fällen für den User nicht sichtbar sein und den normalen Arbeitsablauf in keiner Hinsicht stören, keine Wartezeiten verursachen, keine nötigen Verbindungen verbieten etc. 2 Grundlagen In diesem Abschnitt werden einige Protokolle mit ihren für Firewalls wichtigen Eigenschaften dargestellt. 2.1 ISO-OSI Modell Abbildung 1: Das OSI Schichtenmodell zur Netzwerkkommunikation mit für Firewalls wichtigen Protokollen 2

4 2.2 Protokolle der Vermittlungsschicht: ARP, IP, ICMP Adress Resolution Protocol: ARP bildet IP- auf Mac-Adressen ab. Für eine Verbindung zwischen zwei direkt verbundenen Rechnern fragt der Sender ins Netz, wer denn unter der Zieladresse zu erreichen ist. Der entsprechende Zielrechner Antwortet mit einer Nachricht, die seine MAC (Hardwareadresse seiner Netzwerkkarte) enthält. Der Sender schickt nach deren Erhalt eine Quittung mit seiner MAC Adresse. Danach findet der Datenverkehr zwischen diesen beiden Macadressen statt. Für ein Datenpaket ist also immer erkennbar an welche MAC Adresse es geschickt wurde, damit kann eine Firewall auch nach dieser Filtern und Missbrauch einiger Dienste z.b. DHCP verhindern. Internet Protocol: IP ist das Vermittlungsprotokoll im Internet. Eine Adresse (in IPv4) besteht aus 32bit und ist Datagrammorientiert. Router sind die Vermittler bei diesem Datenverkehr, sie verwalten sogenannte Routingtabellen nach denen sie entscheiden an welchen direkt erreichbaren Router sie ein Paket weiterleiten sollen, damit es letztendlich an seinem Bestimmungsort ankommt. Firewalls haben häufig selbst Routingfunktionalität, durch nicht Weiterleiten (Routen) einer Nachricht können Anfragen einzelner IP Adressen geblockt werden. Internet Control Message Protocol: ICMP hat die Aufgabe, Status- Kontroll- und Fehlermeldungen für IP zu transportieren. Router benutzen dieses Protokoll um miteinander zu kommunizieren, einem Client wird z.b. per destination-unreachable mitgeteilt, dass das angeforderte Ziel nicht zu erreichen ist. 2.3 Protokolle der Transportschicht: TCP, UDP Transmission Control Protocol: TCP verschickt Daten in Paketen und ist verbindungsorientiert. Es baut eine Punkt zu Punkt Verbindung auf und nach dem Datenverkehr wieder ab. Der Aufbau läuft nach dem sogenannten 3 Way Handshake Verfahren, der Verbindungsabbau durch beidseitigen 2 Way Handshake. Abbildung 2: Der TCP Verbindungsaufbau mit 3 Way Handshake Bei einer Verbindungsanfrage schickt der Sender ein TCP-Paket mit gesetztem SYN- Flag. Der Empfänger antwortet, wenn er eine Verbindung engehen will, mit einem SYN-ACK Paket, worauf der Anfragende mit einer positiven oder negativen Quittung antworten kann (ACK). Bei erfolgreichem Verbindungsaufbau findet danach beidseitiger (full duplex) Datenverkehr statt. TCP Pakete sind also entweder Teil eines Verbindungsauf-/Abbaus, oder lassen sich eindeutig einer Punk zu Punkt Verbindung zuordnen. Ein Stateful Filter nutzt diese Eigenschaft aus (siehe folgendes Kapitel). 3

5 TCP adressiert Pakete auf Ports, es gibt also (2 16 = 65536) Verbindungspunkte, die bei einer Verbindung ansprechbar sind. Dies erleichtert die Identifikation von Diensten, die auf festgelegten Ports kommunizieren. Einer TCP Dateneinheit sieht man auf diesem Wege an von welchem Dienst sie kommt bzw an welchen sie gerichtet ist. Folgende Informationen des TCP-Headers werden von Firewalls genutzt: Zielport, sowie den Ursprungsport StatusBits oder Flags, die anzeigen ob ein TCP Packet eine Verbindungsanfrage, ein Verbindungsabbruch, eine Quittung etc. ist Eine Sequenznummer, anhand derer der Empfänger die erhaltenen Pakete wieder in die richtige Reihenfolge bringen kann Des weiteren sichert TCP, dass ein Packet auch wirklich ankommt. Zu diesem Zweck schickt der Empfänger immer wieder eine Quittung über den Erhalt der Pakete, wenn der Sender nach einer bestimmten Zeit keine solche Quittung erhalten hat sendet er das/die Pakete ein weiteres mal. Es gibt bei einer TCP Datenübertragung Kommunikation in beide Richtungen (full duplex): neben den Nutzdaten enthalten TCP-pakete auch immer die Quittungen für den Erhalt von Paketen des Partners in der Punkt zu Punkt Verbindung. TCP produziert für die Sicherung der Datenübertragung einiges an Overhead und ist somit langsamer als UDP. User Datagramm Protocol: UDP ist ein verbindungsloses und zustandsloses Protokoll. Es findet kein Verbindungsaufbau statt, der Sender schickt seine Pakete auf gut Glück zum Empfänger. UDP hat keinerlei Sequenznummern (Reihenfolgesicherung) und schickt keine Quittungen. Fehlende Sicherungsmechanismen erhöhen die Performanz, somit ist UDP wesentlich schneller als TCP. UDP basiert wie TCP auf IP und hat genau wie dieses Portnummern, der Header enthält also Sende- und Zielport des Pakets. 4

6 2.4 Applikationsschicht Protokolle Auf der siebten OSI-Schicht gibt es zahlreiche Protokolle (HTTP, SMTP,...). Hier wird genauer auf die Funktionsweise von FTP eingegangen. File Transfer Protocol: FTP hat zwei Betriebsarten: active und passive mode. Für Active Mode stellt der FTP-server zwei Ports zur Verfügung: den Command Port: 21 und den Data Port: 20. Wenn ein Client eine Verbindung zum FTP Server haben will stellt er eine Anfrage an den Command Port des Servers und teilt dabei den Port mit, auf dem auf eine Verbindung wartet (listen). Der Server verbindet dann von sich aus, von Port 20 (data) zum mitgeteilten Listenport des Clients. Es sieht also für die Firewall so aus als würde jemand von Außen eine Verbindung eingehen wollen (3), dies wird meistens verhindert. Abbildung 3: Der FTP Verbindungsaufbau im active Mode In passive Mode stellt der Client eine Anfrage und der Server teilt diesem einen Port mit auf dem er auf eine Verbindung wartet, nun ist es am Client eine Verbindung aufzubauen, eben zu jenem abgesprochenen Port. In diesem Fall ist der Client Initiator der Verbindung und diese wird von der Firewall durchgelassen werden (3). [Ribak01] Abbildung 4: Der FTP Verbindungsaufbau im passive Mode 5

7 2.4.2 was ist ein Gateway In den Folgenden Kapiteln werden oft die Begriffe Router und Gateway verwendet werden. Ein Router arbeitet ausschliesslich auf Schicht 3 OSI, und vermittelt so IP Pakete zb durchs Internet. Ein Host, der Verbindung zu zwei verschiedenen Netzen hat, wird als Gateway bezeichnet, wenn Verbindungen, die über diesen Rechner laufen, auf Applikations-Ebene realisiert werden. Ein Dual Homed Gateway ist ein Gateway mit zwei separaten Netzwerkinterfaces (Netzwerkkarten), Firewalls können auch nach MAC-Adressen filtern und so erkennen an welcher Karte ein Packet ankommt. 3 Definition von Firewalls, Techniken 3.1 Definition Firewall ist ein sehr weiter Begriff, der unterschiedlich definiert wird. Man kann einen umfassenden Sicherungsmechanismus eines großen Firmennetzes mit einigen Zusatzfunktionen als auch einen einfachen Paketfilter einer Personal Firewall als Firewall (oder Brandschutzmauer, wie es eingedeutscht genannt wird) ansehen. Prinzipiell besteht ein Firewallsystem (FWS) aus HW- und SW-Komponenten, die ein gesichertes und ein ungesichertes Netzwerk miteinander verbinden. Es sollen Angriffe von außen verhindert, und gleichzeitig bestimmte Verbindungen von innen nach außen stattfinden können. Enstehungszeit der Verschiedenen Techniken: Packet Filter: 1983 Circuit Relay: 1989 Application Level FW: 1991 Stateful Packetfilter: Packet Filter Ein Packetfilter ist ein relativ einfaches Programm, das den kompletten ein- und ausgehenden Netzverkehr eines Rechners bis zur 2., 3. oder 4. OSI Schicht analysiert. Es werden ungültige Pakete geblockt wie z.b.: Frags, viel zu kleine Pakete, die aufgrund ihrer Größe nicht einmal die vollständige Headerinformation beinhalten können; alle Flags auf 1; alle Flags auf 0; Pakete die das SYN- (Verbindungsaufbauwunsch) und gleichzeitig das FIN-Flag (Verbindungsabbauwunsch) aktiviert haben. Ein Packetfilter entscheidet über sogenannte Filterregeln ob er eine Dateneinheit, ein IP oder TCP/UDP Packet, passieren lässt. Er kann den Paketfluss nach einigen Kriterien filtern wie zb: Netzwerkinterface das diese Nachricht empfangen hat Sender IP-Adresse IP Adresse des Empfängers Nachrichtentyp: TCP, UDP, ICMP, etc. Ursprungsport der Nachricht Zielport Ein Packetfilter muss eine Filtertabelle mit zahlreichen Filterregeln verwalten, die jeweils verbieten oder erlauben eine Dateneinheit mit oben genannten Eigenschaften durchzulassen. Entsprechend gibt es bei der Auswertung/Entscheidungsfindung zwei Vorgehensweisen [Ellermann02]: 6

8 Deny-Filter: Alles was nicht ausdrücklich verboten ist, ist erlaubt. Pakete, die keiner Filterregel entsprechen werden durchgelassen. Es werden also nur Deny-Regeln erstellt, eben für bestimmte Dienste (deamons), die feste Ports verwenden aber von außen nicht erreichbar sein sollen. Dadurch kann aber die Anzahl der Filterregeln sehr groß werden. Alle Pakete müssen, bevor sie die Packetfilter passieren dürfen, erst mit allen Filterregeln verglichen werden. Nicht zulässige Pakete müssen nur bis zu der Regel verglichen werden, die sie herausfiltert. Zu bedenken ist, daß fast alle Pakete, die vom Router übertragen werden sollen, zulässige Benutzeraktivität darstellen. Daher ist es unökonomisch, gerade diese mit den höchsten Performanzeinbußen zu bestrafen. Gefährdete Dienste, die dynamische Ports verwenden, sind kritisch, denn man kann nicht alle Ports blocken aber sollte auch diesen Dienst nicht beliebig erreichbar lassen. Diese Probleme werden mit Pass-Filtern umgangen. Pass-Filter: Alles was nicht ausdrücklich erlaubt ist, ist verboten. Es werden nur Pass-Filterregeln erstellt, z.b. für Dienste die von außen erreichbar sein dürfen. Pakete, die keiner Filterregel entsprechen werden fallen gelassen. Nur für solche, die nicht erlaubt sind, müssen alle Filterregeln geprüft werden. Sinnvollerweise werden die Regeln nach der Häufigkeit der Pakete sortiert. Die erste angegebene Regel sollte dabei auf die meisten Pakete zutreffen, damit für diese nur eine Regel überprüft werden muss. Vor- und Nachteile: Packetfilter sind wegen ihres einfachen Aufbaus und ihrer einfachen Vorgehensweise schnell und verringern die Performanz eines Internetzugangs nur geringfügig, wenn das interne Netz (im Vergleich zu Ethernet) nur schmalbandig am Internet angebunden ist. Packetfilter sind einfach zu konfigurieren, wenn entschieden ist welche Dienste erreichbar sein sollen, wird der Regelsatz erstellt. Ein Packetfilter könnte praktischerweise einen wahrscheinlich vorhandenen Router erweitern, dann wäre nicht einmal die Hardware nötig. Ein User wird einen solchen Packetfilter nicht bemerken, außer er macht etwas anderes als vorgesehen, also erlaubt ist. Bei sehr langen Filterlisten kann es allerdings zu Performanzproblemen kommen. Des weiteren sind die Filterregeln statisch, falls ein Dienst hinzugefügt, entfernt oder neue Clientsoftware zum Einsatz kommen soll müssen die Regeln geändert werden. Ein Packetfilter ist zustandslos kennt keine Verbindungen und kann auch nicht absichern ob über einen bestimmten Port auch wirklich die Kommunikation mit dem entsprechenden Deamon läuft. Somit lassen sich Packetfilter mit dem Tunneln von Daten über erlaubte Ports einfach umgehen. 3.3 Dynamischer Packet Filter oder Stateful Filter Diese Art von Packetfilter verwaltet zusätzlich eine Verbindungstabelle. Jede eingegangene Verbindung wird ein Eintrag in dieser Tabelle gemacht. Bei TCP läuft der Verbindungsaufbau über 3-Way Handshake, der Eintrag in der Tabelle bleibt also so lange bestehen bis der Verbindungsabbau erfolgt ist. Bei UDP gelten alle Packets mit selben Senderdaten (IP, Port) als Verbindung, da es keinen expliziten Verbindungsabbau und -aufbau gibt, wird der entsprechende Eintrag nach einem Timeout gelöscht. Für jedes weitere Packet sucht der Filter die entsprechende Verbindung; falls ein Eintrag existiert wird das Packet durchgelassen, ohne dass darauf die normalen Filterregeln angewendet wurden. Ein Packet, das nicht zu einer Verbindung gehört wird normal gefiltert, falls es passieren darf, wird ein neuer Eintrag in die Verbindungstabelle geschrieben, im anderen Fall wird es normal weggeworfen. Vor- und Nachteile: Es wird Mehraufwand betrieben um die Verbindungstabelle zu verwalten, die Filterung wird aber beschleunigt, da für bereits bewilligte Verbindungen keine Filterregeln mehr angewendet werden. Der Packetfilter hat einen besseren Überblick und kann lesbarere Logdateien schreiben. 7

9 Allerdings kommt es durch die Verbindungstabelle zu neuen Schwachstellen, die ausgenutzt werden können. Ein Angreiffer kann zum Bespiel die Firewall mit ACK TCP Paketen sehr verlangsamen oder ganz lahm legen. Für jedes ACK muss in der Tabelle nach der entsprechenden Verbindung gesucht werden, da es aber keine gibt -es wurde vorher kein SYN gesendet- werden jedes mal alles Regeln durchlaufen. Bei großer Anzahl von ACK Paketen, deshalb heißt der Angriff auch ACK-flooding, wird die Firewall und damit der Zugang zum Netz überlastet (Denial of Service). 3.4 Proxy oder auch Circuit-Relay Ein Proxy oder ein Relay sind Vermittler im Datenverkehr (Proxy z.dt. Vermittler) zwischen Intranet und Internet. Die Arbeitsplatzrechner kennen den Server mit Proxyfunktionalität als einzigen Server im Internet. Alle Anfragen von Intranetrechnern macht der Proxy stellvertretend für diese, von außen ist also nur der Proxy sichtbar oder ansprechbar. Nach diesem Prinzip sind keine Direktverbindungen vom LAN ins Internet und umgekehrt möglich. Wird der Proxy als Dual Homed Gateway realisiert, unterstützt das die Trennung der beiden Netze, allerdings hängt dann die ganze Netzlast und vor allem die ganze Sicherheit an diesem Relay. Grundsätzlich besteht ein Proxy immer aus 2 Komponenten: dem Proxyserver und dem Proxyclient. Nach außen hin ist das nur erkennbar, weil der Proxy sowohl als Server als auch als normaler Client handeln kann. Die Komponente Proxyserver fungiert als Server für die Rechner des zu schützenden Netzes, die Komponente Proxyclient erhält die zwischengespeicherten Anfragen und reicht diese stellvertretend an Server im Internet weiter. Für die Realisierung gibt es 2 Möglichkeiten: Spezieller Proxy: Es wird für jede Applikation, sei es HTTP, FTP, telnet oder SSH, ein eigener Proxy programmiert, der die speziellen Anfragen auf Ebene 7 interpretieren kann. Für die Anwendung sieht der Proxy dann aus wie der Server des entsprechenden Dienstes. Die Server im äußeren Netz sehen den Proxy als Client, der eine spezielle Anfrage macht. Abbildung 5: Der Aufbau eines Proxys Bei Mail und Netnews, die keine Interaktion erfordern und nach dem SStore and ForwardPrinzip funktionieren, ist dies einfach: die entsprechenden Server werden auf dem Firewall installiert. Der Firewall dient dann als Mail- und Netnews- Server.[Ellermann02] Allgemein benötigen Applikationen bei dienstspeziefischen Proxies keine Änderung ihrer Funktionalität, was auch selten möglich ist. 8

10 Generischer Proxy (SOCKSv5): Socks ist im Prinzip ein Protokoll, dass keiner genauen Layer im OSI-Modell zugeordnet ist. Es kapselt, meistens Pakete der Transportlayer, in einen eigenen Header und ermöglicht so einige zusätzliche Funktionen: Es können alle TCP und UDP basierten Dienste über diesen Proxy genutzt werden Userauthentifizierung Verschlüsselung Socks ist für Forschungszwecke als Framework benutzbar und weiterentwicklungsfähig. Allerdings muss eine Applikation das SOCKS Protokoll beherrschen um einen Proxy mit voller Funktionalität nutzen zu können. Falls die nicht der Fall ist, entfällt die Kapselung und damit Verschlüsselung. Bei einer grossen Anzahl von Usern kann Caching von Inhalten sehr effektiv sein, zb Object Caching bei einem HTTP-Proxy. Mehrfache Anfragen nach der gleichen Internetseite können direkt aus dem Cache beantwortet werden ohne erneut Daten zu übertragen. Allerdings ist ein Proxy aufwändiger als Packetfilter und benötigt mehr Rechenleistung und Speicher. 3.5 Application Gateway/Application Proxy Packetfilter und SOCKS-Proxy haben den Nachteil, dass sie nicht wissen was in den Paketen steht, die sie filtern. Application Gateways analysieren die Kommunikation bis zur Applikaitonsebene und können so aus diesem Kontext heraus entscheiden. Ein Application Gateway ist ein umfangreiches auf Proxy-Technik basierendes System. Ein Gateway spielt also wieder die Vermittlerrolle in der Kommunikation. Innerhalb des Proxy wird der Netzverkehr analysiert. Die Kommunikation zwischen den beiden Komponenten Proxyserver und Proxyclient findet auf Applikationsebene statt und wird von der erweiterten Filtern überwacht [Cisco02]. Da ein ein solcher Filter auf Applikationsebene operiert, weiss er wesentlich mehr. Hier wird eine Verbindungstabelle verwaltet, die wesentlich komplexer ist als die des Stateful Filter, da mehr Daten zur Verfügung stehen beziehungsweise verarbeitet werden müssen. Es werden nur gültige Anfragen und Antworten weitergeleitet sowie Verbindungen zugelassen zb nur Datenverkehr auf abgesprochenen Ports. (siehe passive FTP [Ribak01]) Abbildung 6: Der Aufbau eines Application Gateway 9

11 Es kann also nach den folgenden Kriterien gefiltert werden: Eigenschaften, die schon ein Packetfilter kennt ausschließen von bestimmten Protokollen und dadurch Applikationen, die diese benutzen Protokollinterne Daten. z.b. HTTP: URLs (URL Filtering), FTP: Folgeverbindungen auf abgesprochenen Ports Usern, wenn diese authentifiziert sind z.b. bei Socks Vor- und Nachteile: Application Gateways ermöglichen die detaillierte Überwachung von Kommunikationsbeziehungen (Audit). Aus diesem Grund eignen sich Application Gateways sehr gut mit einem Intrusion Detection System (IDS) kombiniert zu werden, dies wird in der Praxis auch sehr häufig realisiert. Anwendungen auf den Clients bedürfen bei speziellen Proxies keiner Anpassung, sogar dynamische Portvergabe ist möglich. Beim generischen Proxy ist es allerdings erforderlich, dass der Client das entsprechende SOCKS-Protokoll unterstützt, dafür bietet es weitere Möglichkeiten wie Authentifizierung und Verschlüsselung. Dynamische Ports sind auch hier möglich. Der Verwaltungstechnische Aufwand steigt allerdings aufgrund des hohen Abstraktionsgrades stark an. Die Verwaltung einer Verbindungstabelle wird aufwändiger und komplexer je mehr Applikationen unterstützt werden. Es entsteht ein hoher Bedarf an Rechenleistung, genaue, kontextabhängige Filterung ist zeitaufwändig und die Vermittlung dadurch langsamer. Application Gateways sind durch ihre hohe Komplexität evtl. störanfälliger. 3.6 Vergleich der Techniken Die gegenläufigen Ziele Qualität der Sicherung und betriebener Aufwand, sind nicht gleichzeitig beliebig gut zu erfüllen. Wieviel Schutz ist nötig, wieviel ist sinnvoll? Der Packetfilter ist die schnellste und preiswerteste Alternative -es gibt zahlreiche Open- Source Lösungen- schützt aber bei weitem am wenigsten. Wegen seines einfachen Aufbaus benötigt ein PacktFilter wenig Rechneleistung und kann z.b. auf vorhandener Hardware wie einem Router installiert werden. Das Konfigurieren ist einfach, allerdings erfordern neue Anwendungen Änderungen in den Filterregeln. Verbesserung Stateful Filter: Es wird Mehraufwand betrieben um mit einer Verbindungstabelle weiteren (erlaubten) Verkehr schneller filtern zu können. Immer noch geringer aber besserer Schutz als rein PacketFilter. Ein Statful Filter erzeugt aber neue Gefahren: ACK Flood. Ein Proxy (zu dt. Vermittler) benötigt dagegen mehr Rechenleistung und Speicher. Die Proxytechnik hat aber den großen Vorteil, dass das interne Netz komplett abgeschottet ist und keine direkten Verbindungen möglich sind. Keiner der Rechner im LAN ist nach außen hin sichtbar. Allerdings muss für diese Technik entweder die Software angepasst oder ein spezielles Proxy-Programm entwickelt werden. Ein Application Gateway betreibt einen noch höheren Aufwand bei der Kontrolle des Netzverkehrs, und erreicht dabei mehr Sicherheit als die anderen Techniken. Es kann größtmögliche Transparenz bieten oder auch sehr restriktiv handeln, in dem es User zur Athentifizierung zwingt. Der erhöhte Aufwand bei der Filterung äussert sich durch größeren Bedarf an Rechenleistung bzw. Infrastruktur. Ein Applicationgateway erfordert hohen Konfigurationsaufwand kann dann aber für nahezu beliebige Applikationen genutzt werden. 10

12 4 Angriffe Dieses Kapitel zeigt einige, teilweise bereits veraltete Angriffe auf Netze, Arbeitsplatzrechner und Firewalls auf. 4.1 Denial of Service Ping of Death: (1997) Ein übergroßes ICMP Packet (Echo Reply oder landläufig auch Ping ) wird an das Opfer geschickt, mit dem Ziel bestimmte Applikationen und/oder das Betriebssystem zu verlangsamen oder sogar zum Absturz zu bringen. Ein Packet mit einer Größe von über kbyte kann nur mit Hilfe von Packetsegmenting erzeugt werden. Prinzipiell ist solches Packet ungültig und sollte verworfen werden. Allerdings haben einige Programme bzw. Betriebssysteme fehlerhafte Implementierungen und deren TCP/IP Stack lässt sich mit solch einem Angriff zum Overflow bringen. Einige ältere Betriebssysteme wie Windows 95 und WinNT, sowie Solaris 2.5 können so zum Absturz gebracht werden. SYN-Flooding: Der Zielrechner (HTTP, FTP-Server oder ähnliches) wird mit zahlreichen Verbindungsanfragen bombardiert, die eine Zeit lang gespeichert werden müssen. Bei entsprechend großer Menge von Anfragen oder fehlendem Timeout verbrauchen die halboffenen Verbindungen zu viel Speicher, der Server wird instabil und kommt in DoS-Zustand. Abhilfe: Timeout, authentification Header ACK-Flood bei Stateful Filter: ähnlich wie SYN Flood; die Firewall muss für jedes ACK in der Verbindungstabelle nachschauen, und kann so bei vielen Nachrichten in DoS Zustand kommen. Distributed DoS, Smurfing: Eine Firewall kann vor DistributetDoS nicht schützen. Ziel des Angriffs ist unter anderem die komplette zur Verfügung stehende Bandbreite eines Anschlusses mit Packeten zuzustopfen. Selbst wenn eine Firewall mit einer derartigen Flut fertig werden könnte, könnte sie Dateneinheiten erst verwerfen, wenn diese schon übertragen sind. Bei Smurfing wird ein ICMP-echo-request Packet mit einer gefälschten Source-IP- Adresse (die des Opfers) in eine Reihe von Netzen an die Broadcast-IP geschickt (diese ist zb bei einem Netz mit Subnetzmaske : ). Der Angreifer nutzt also Router als Verstärker oder Multiplikator der Nachrichtenmenge. Alle Angesprochenen Rechner, also alle aller Subnetze, und das sind in der Regel sehr viele, reagieren darauf mit einem ICMP-echo-reply und schicken diese Nachricht an die Source-IP also das Opfer. Dieses wird regelrecht überflutet. Durch blocken der Broadcast IP-Adresse und filtern von außen kommender ICMP Pakete, die als Sourceadresse eine des zu schützenden (internen) Netzes haben, kann zumindest Smurfing, das das eigene Netz ausnutzt, gestoppt werden. Komplett verhindern ließe sich dieser Angriff nur, wenn alle Router zu Subnetzen ICMP Broadcasting blocken. 4.2 Angriffe auf Firewalls Beziehungsweise Angriffe, die eine Firewall umgehen sollen. Session Hijacking: Session Hijacking ist ein schwieriger Angriff der darauf abzielt, eine bestehende Datenverbindung zu übernehmen. Damit unterläuft der Angreifer Sicherungsmechanismen z.b. Stateful Filter, der ja Packets nur bei Verbindungsaufbau kontrolliert. Spoofing/Redirectangriffe Normalerweise dienen ICMP-Redirect Messages dazu ungünstiges Routing zu vermeiden. (zb stellt ein Router fest, dass er ein Packet aus 11

13 einem Subnetz bekommt, dies aber laut seinem Routingtable wieder über einen weiteren Begrenzungsrouter hineinschickt, kann er an den Router, von dem er das Packet erhielt eine redirect Nachricht mit der IP-Adresse des zweiten Begrenzungsrouters senden. Wenn dieser redirecting zur Verfügung stellt, schreibt er seinen Routingtable um und somit wird unnötiger Traffic Verhindert.) Leider kann dies ein Angreifer auch missbrauchen, den Datenstrom über seinen Rechner umleiten und mittels eines Sniffers Passwörter oder ähnliches ausspionieren. Lösung: Ein GatewayFirewall sollte keine Packets von außen ins Intranet lassen, die eine SourceAdresse aus dem inneren Netz haben. Ebenso sollten keine Packets von innen durchgelassen werden, die ein äußere Adresse im Header haben. (nicht möglich bei NAT oder Proxytechnik) 4.3 Angriffe auf Applikationen Internet Information Server: IIS ist anfällig für Buffer Overflow bei einer speziellen Anfrage auf Port 80. Ein anderer Webserver würde diese Anfrage als ungültig verwerfen. Der Virus Code Red konnte sich so ohne Mails sehr effektiv verbreiten. Inetdeamon (inetd): Indem man inetd ein UDP Packet schickt, das seine IP Adresse als Source und Destination hat, kommt er in DoS-Zustand. Er beantwortet die ankommende Anfrage, da aber die Source seine eigene IP enthält schickt er den Reply wieder an sich selbst. Der Deamon ist dann nur noch damit beschäftigt sich selbst zu antworten und legt das System lahm. Apache: Ein Bug im Webserver ermöglicht es eine shell mit root-rechten zu öffnen oder das System zu überlasten indem zahlreiche Unterprozesse erzeugt werden. SQL: Der Wurm SQL-Slammer nutzt eine Sicherheitslücke im MS SQL-Server 2000 um sich im System einzuschleichen. Er verbraucht dann die gesamte Bandbreite des Internetzugangs um sich weiterzuverbreiten. Slammer stellt eine Anfrage auf Port 1434, dies kann durch eine einfache Regel des Packetfilters vereitelt werden. Analysten schätzen den angerichteten Schaden auf über 1 Milliarde US$. 4.4 Mails mit Virus- oder Backdoorsoftware Die Sicherheitslücke ist hier der User. Abhilfe: Mailfilter oder Virenscanner. Eine Application Level Firewall kann nicht auch noch den Inhalt von Mails überprüfen, also ist dies nur praktikabel mit einem separaten Mailserver. Verbreitung von Viren durch Fehler in Anwendungen: z.b.: Code Red, der einen Bug im IIS von MS nutzte. Code Red stellt eine Anfrage auf Port80 (HTTP) des Zielrechners, dort wird wegen des Bugs ein Buffer Overflow provoziert, und der Wurm kann sich von dort weiterverbreiten. Andere HTTP-Server würden eine solche Anfrage als ungültig fallen lassen. 5 Topologien, Einsatzszenarien Firewalls kommen in verschiedensten Arten von Netzen zum Einsatz. Der folgende Abschnitt soll einen kurzen Überblick in einige Einsatzszenarien geben. Personal Firewall: Eine Personal Firewall ist eine Softwarefirewall, die auf einem Einzelplatzrechner installiert wird. Die Techniken reichen von einfachen Packetfiltern über Stateful Filter bis hin zu Firewalls, die die Zugehörigkeit von Packten zu Applikationen erfassen und IDS integriert haben. Die Schwierigkeiten bei diesen Firewalls bestehen darin, dass sie einerseits für einen Anfänger leicht zu benutzen sein sollen, ihm gleichzeitig dabei eine möglichst hohe Sicherheit geben und andererseits einem Profi ausreichend Möglichkeiten für eine präzise Konfiguration bieten sollen. 12

14 Gateway mit Firewall: Gateways können neben Firewalldiensten auch einige zusätzliche Aufgaben erfüllen, die für einen Privatanwender sehr effizient/praktisch sind. Netwok Address Translation (NAT) oder wie es die Linuxgemeinde nennt: IP Masquerading. Ein Gatewayrechner (meistens Dual Homed) ist Online, an diesen können mehrere Clients im LAN angeschlossen werden. Wenn Anfragen ins Internet geschickt werden sollen wird im Gateway gespeichert welcher Rechner die Verbindung aufbauen will, er ersetzt die LAN-IP Adresse des anfragenden durch seine eigene und schickt die neue Anfrage weiter. Daher stammt auch der Name Network Adress Translation oder IP Masquerading, weil die LAN IPs maskiert also nicht sichtbar nach außen sind. Der Gateway ist ähnlich wie bei Proxytechnik ein Vermittler im Datenverkehr. Bei einer Antwort schickt der Gateway anhand der gespeicherten Anfragen die Daten zurück zum entsprechenden Client ins LAN. Diese Konstellation bietet sogar ein wenig Sicherheit, da nach außen hin nur der Router sichtbar ist und nur schwer erkennbar, ob ich dahinter mehrere Clients befinden (vergleiche Proxy). Problematisch ist diese Technik nur bei einigen Sonderfällen: Falls eine Verbindungsanfrage von außen kommt kann diese nicht weitergeleitet werden, denn es gibt keinen Eintrag in der Anfragentabelle, der Gateway weiß nicht an wen die Anfrage gerichtet ist, denn sie enthält seine eigene IP. In diesem Fall bedient man sich des IP-forwarding. Es handelt sich um feste Regeln, die Verbindungen zu bestimmten Ports des Gateways eine Client-IP im LAN zuweisen. Dieser Port ist dann bei Anfragen von außen nur für diesen Client benutzbar und kann für keine Datenkommunikation mit anderen Rechnern in diesem LAN dienen, denn die entsprechende Anfrage wird ja sofort zum festgelegten Client weitergeleitet. Zu Komplikationen kann es hier wieder kommen, wenn mehrere Clients im LAN auf dem gleichen Port Verbindungsanfragen entgegen nehmen wollen (z.b. HTTPS Port:443 Webinterface OnlineBank). IP-Forwarding hebt auch den Vorteil der Masquierung zumindest teilweise auf, da ja über/auf diesem Port ein anderer Rechner hinter dem Gateway erreichbar ist. Mailserver mit Spamschutz und Virenfilter Virtual Private Network (VPN) z.b. für sicheren Datenaustausch URL Filtering: Falls Internetadressen gesperrt oder nur bestimmte zugelassen werden sollen. Große Netze: Große Netze zb Firmennetze sind wesentlich komplexer als ein häusliches LAN. Meistens besteht ein größeres Intranet selbst wieder aus einigen Subnetzen, die verschiedene Sicherheitsanforderungen haben. So werden Teile dieses Netzes, z.b. eine DMZ (Demilitarisierte Zone) gar nicht oder nur schwach (Packetfilter) geschützt, sondern befinden sich direkt hinter dem Begrenzungsrouter zum Internet. Ein Teil eines Firmennetzes, an dem alle Arbeitsplatzrechner und z.b. Fileserver angeschlossen sind bedarf mehr Sicherung, da hier firmeninterne Daten verarbeitet werden. So sind oft mehrere Firewalls entsprechend der Performanz und Sicherheitsanforderungen vorhanden. Bastion: Eine Bastion NetzüberwachungsFirewall. Sie ist nicht als Dual Homed Gateway realisiert, und besteht aus Firewall und Intrusion Detection System (IDS). Andere Aufgaben: Einige Projekte betreiben mehrere Application Gateways und nutzen diese für Load Balancing. 13

15 6 Zusammenfassung Für den Schutz von Daten auf einzelnen Rechnern, in LANs oder innerhalb großer Firmennetzwerke sind die vielfältigen Arten von Firewalls gut geeignet. Sie schließen unnötige Lücken und versuchen, spezielle Angriffe auf Applikationen und Ausnutzung von Bugs zu unterbinden. Allerdings kann der Schutz im Regelfall nur für Standards und bekannte Angriffstechniken gewährleistet sein. Gezielte Angriffe auf eine individuelle und untypische Sicherheitslücke oder auf Bugs in neu erschienener Software können nicht in jedem Fall verereitelt werden. Darüber hinaus besteht auch immer ein Risikofaktor, der vom User ausgeht. Denn auch eine Firewall kann nicht vor fahrlässigem Umgang mit Daten oder unsachgemäßer Nutzung durch den Anwender schützen. Eine 100 prozentige Sicherheit kann es somit nicht geben. Letztlich findet immer eine Kommunikation zwischen dem Internet und den Rechnern statt und neue Sicherheitslücken tauchen auf. Aus diesem Grund sind Hochsicherheitsnetze gar nicht erst an das Internet angebunden. Welche Firewall nun für welches Netz bzw. welchen User am besten geeignet ist, richtet sich nach den jeweiligen Bedürfnissen. Für eine Privatperson oder eine kleine Firma mit wenig Sicherheitsanspruch lohnt sich kein ausgeklügeltes Application Gateway. Hier sind Software-Firewalls auf PaketFilter-Basis ausreichend, da vor allem geringe Kosten und ein geringer Aufwand anfallen. Große Firmen nehmen hohe Kosten und den Aufwand, einen Administrator zur Konfiguration und Wartung der Firewall zu beschäftigen, eher in Kauf, denn der Verlust von wichtigen Daten oder der Ausfall der Systeme wäre in diesem Fall teurer. Kombinationen der verschiedenen Techniken ermöglichen spezielle Lösungen für die individuellen Ansprüche einer Firma und bieten dabei einen bestmöglichen Schutz. 14

16 Abbildungsverzeichnis 1 Das OSI Schichtenmodell zur Netzwerkkommunikation mit für Firewalls wichtigen Protokollen Der TCP Verbindungsaufbau mit 3 Way Handshake Der FTP Verbindungsaufbau im active Mode Der FTP Verbindungsaufbau im passive Mode Der Aufbau eines Proxys Der Aufbau eines Application Gateway

17 Literatur [Ellermann02] Uwe Ellermann, Firewalls - Klassifikation und Bewertung DFN-CERT; Zentrum für sichere Netzdienste GmbH, 2002 [Romanofski01] Ernest Romanofski, A Comparison of Packet Filtering Vs Application Level Firewall Technology level.php The SANS Institute, 28.März 2001 [Cisco02] Cisco Systems, Inc., Evolution of the Firewall Industry Cisco Systems, Inc., 28.September 2002 [Fung99] King Pong Fung, SOCKS5-based Firewall Support For UDP based Application csrchang/msc/billy.pdf The Hong Kong Polytechnic University, Juni 1999 [Ribak01] Jay Ribak, Active FTP vs. Passive FTP, a Definitive Explanation [Leech96] Marcus Leech, SOCKS Protocol Version 5 Network Working Group,

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Einführung in Firewall-Regeln 1

Einführung in Firewall-Regeln 1 Einführung in Firewall-Regeln 1 Bei einer Firewall ist die Reihenfolge der Regeln eines Regelwerks von wichtiger Bedeutung. Besonders dann, wenn das Regelwerk der Firewall aus sehr vielen Regeln besteht.

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

confidentiality (Vertraulichkeit) integrity (Integrität, Unversehrtheit) availability (Erreichbarkeit)

confidentiality (Vertraulichkeit) integrity (Integrität, Unversehrtheit) availability (Erreichbarkeit) !" confidentiality (Vertraulichkeit) integrity (Integrität, Unversehrtheit) availability (Erreichbarkeit) " #$!$ %!$ &""'( "*%) &""'( "!) &""'( ") +*"",-. / " 01 01 01 0 01!1 "01 2!)$!)*!)") %!)3!)!4!)!)5!)%*!)!4

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn

2.3 Applikationen. Protokolle: TCP/IP. Telnet, FTP, Rlogin. Carsten Köhn 2.3 Applikationen Telnet, FTP, Rlogin Carsten Köhn Protokolle: TCP/IP Application umfasst Dienste, die als Prozesse des Betriebssystems ausgeführt werden SMTP, FTP, HTTP, MIME Transport regelt die Kommunikation

Mehr

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009 Firewalling mit iptables Die Netfilter-Architektur Seminar Betriebssytemadministration SS 2009 Gliederung 2 Firewall Aufgaben/Ziele Firewalltypen Sicherheitspolitik Sicherheitskonzept Netzwerktopologie

Mehr

Einführung in die Firewall - Technologie

Einführung in die Firewall - Technologie Einführung in die Firewall - Technologie??1999 Robert A. Kovacs i Inhaltsverzeichnis 1. WAS IST EIN FIREWALL 1 2. PAKETFILTER 3 3. GATEWAYS 5 3.1 Circuit Level Gateway 5 3.2 Application Level Gateway 6

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Gemeinsam statt einsam - ein Internet-Zugang für mehrere Rechner Wie geht das? - Tricks und Verfahren einer Technik, die wirklich Geld spart.

Gemeinsam statt einsam - ein Internet-Zugang für mehrere Rechner Wie geht das? - Tricks und Verfahren einer Technik, die wirklich Geld spart. Gemeinsam statt einsam - ein Internet-Zugang für mehrere Rechner Wie geht das? - Tricks und Verfahren einer Technik, die wirklich Geld spart. Ausgangssituation: Es ist ein Computer vorhanden (Rechnername

Mehr

Beispiel TCP-/IP-Datenübertragung

Beispiel TCP-/IP-Datenübertragung TCP/IP Beispiel TCP-/IP-Datenübertragung Einfach mal Sniffen (im Raum LAN/Filius) --> Installieren Sie das Programm WireShark http://www.wireshark.org/ Lauschen Sie Ihre Netzwerkkarte aus! (10 Sek) Vorsicht!

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Modul 123 Unit 6 (V1.1) E-Mail und FTP Zielsetzung: E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Technische Berufschule Zürich IT Seite 1 Grundlagen : Das Store-and-Forward

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Einführung in die. Netzwerktecknik

Einführung in die. Netzwerktecknik Netzwerktecknik 2 Inhalt ARP-Prozeß Bridging Routing Switching L3 Switching VLAN Firewall 3 Datenaustausch zwischen 2 Rechnern 0003BF447A01 Rechner A 01B765A933EE Rechner B Daten Daten 0003BF447A01 Quelle

Mehr

Kontrollfragen: Internet

Kontrollfragen: Internet Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).

Mehr

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen

Hacker. unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen Hacker unberechtigter Zugang zu Systemen und insbesondere: Wie man das verhindert! Situationen physikalischer Zugang möglich im LAN des Opfers außerhalb physikalischer Zugang wie kriegt man den? Diebstahl

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Internetzugang Modul 129 Netzwerk Grundlagen

Internetzugang Modul 129 Netzwerk Grundlagen Netzwerk Grundlagen Technische Berufsschule Zürich IT Seite 1 TCP-IP-Stack Aus M117 bekannt! ISO-OSI-Referenzmodell International Standard Organization Open Systems Interconnection 4 FTP, POP, HTTP, SMTP,

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Diplomarbeit Harald Schwier Vortragsthema: Integration von IPv6 in IPv4-basierte Netze Harald Schwier 26.05.2005 Themen der

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Firewall-Versuch mit dem CCNA Standard Lab Bundle -Versuch mit dem CCNA Standard Lab Bundle Cisco Networking Academy Day in Naumburg 10. und 11. Juni 2005 Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik 1 Inhalt

Mehr

Universität Stuttgart. Musterlösung. Communication Networks I. 11. März 2011. Termin: IP-Adressierung und -Routing

Universität Stuttgart. Musterlösung. Communication Networks I. 11. März 2011. Termin: IP-Adressierung und -Routing Universität Stuttgart INSTITUT FÜR KOMMUNIKATIONSNETZE UND RECHNERSYSTEME Prof. Dr.-Ing. Andreas Kirstädter Musterlösung Termin: Communication Networks I 11. März 2011 Aufgabe 1 IP-Adressierung und -Routing

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Warum eine Übersetzung von Adressen? Network Address Translation () Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Internetprotokoll TCP / IP

Internetprotokoll TCP / IP Internetprotokoll TCP / IP Inhaltsverzeichnis TCP / IP - ALLGEMEIN... 2 TRANSPORTPROTOKOLLE IM VERGLEICH... 2 TCP / IP EIGENSCHAFTEN... 2 DARPA MODELL... 3 DIE AUFGABEN DER EINZELNEN DIENSTE / PROTOKOLLE...

Mehr

TCP/IP. Internet-Protokolle im professionellen Einsatz

TCP/IP. Internet-Protokolle im professionellen Einsatz Mathias Hein TCP/IP Internet-Protokolle im professionellen Einsatz mrnrn 5., aktualisierte und erweiterte Auflage m mitp i Vorwort 15 1 Der Erfolg des TCP/IP-Protokolls 17 2 Kommunikation über Schichten

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung 1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Firewalls. Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg

Firewalls. Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg Proseminar Electronic Banking und Digitale Unterschriften Firewalls Betreuer: Dr. Ulrich Tamm Vortragender: Peter Berg Übersicht Einleitung Grundlagen Firewall Bestandteile Paketfilter Bastion Host Firewall

Mehr

Aufgaben zum ISO/OSI Referenzmodell

Aufgaben zum ISO/OSI Referenzmodell Übung 1 - Musterlösung 1 Aufgaben zum ISO/OSI Referenzmodell 1 ISO/OSI-Model Basics Aufgabe 1 Weisen Sie die folgenden Protokolle und Bezeichnungen den zugehörigen OSI- Schichten zu: IP, MAC-Adresse, HTTP,

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr.

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr. Aufgaben einer Firewall Eine Firewall überwacht den sie durchquerenden Datenverkehr. Firewalls Dabei entscheidet die Firewall anhand vorher festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry.

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry. Deckblatt SCALANCE S61x und SOFTNET Security Client Edition 2008 FAQ August 2010 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG,

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Hauptdiplomklausur Informatik März 2002: Internet Protokolle

Hauptdiplomklausur Informatik März 2002: Internet Protokolle Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Professor Dr. W. Effelsberg Hauptdiplomklausur Informatik März 2002: Internet Protokolle Name:... Vorname:...

Mehr

Mobility Support by HIP

Mobility Support by HIP Mobile Systems Seminar Mobility Support by HIP Universität Zürich Institut für Informatik Professor Dr. Burkhard Stiller Betreuer Peter Racz 8 Mai 2008 Svetlana Gerster 01-728-880 1 Gliederung OSI und

Mehr

Grundlagen zum Internet. Protokolle

Grundlagen zum Internet. Protokolle Grundlagen zum Internet Grundlagen zum Internet Protokolle TCP/IP Die TCP/IP Protokollfamilie ICMP ARP TCP RARP IP UDP X.25 Ethernet FDDI... IP Das Internet Protokoll (IP) Funktionen des IP-Protokolls

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall

IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall IT Systeme / Netzwerke (SAN, LAN, VoIP, Video) DFL-800 Small Business Firewall Seite 1 / 5 DFL-800 Small Business Firewall Diese Firewall eignet sich besonders für kleine und mittelständische Unternehmen.

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Die Konfiguration ist statisch und wurde dem System über die Netzwerkkarte von Werk aus mitgegeben.

Die Konfiguration ist statisch und wurde dem System über die Netzwerkkarte von Werk aus mitgegeben. Orientierungstest Der nachfolgende Selbsttest gibt Ihnen die Möglichkeit, Ihre Kenntnisse vor der Teilnahme an der Workshop-Reihe zu überprüfen. Dabei kommt es darauf an, dass Sie die einzelnen Fragen

Mehr

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur Probeklausur Aufgabe 1 (Allgemeine Verständnisfragen): 1. Wie nennt man die Gruppe von Dokumenten, in welchen technische und organisatorische Aspekte (bzw. Standards) rund um das Internet und TCP/IP spezifiziert

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr