Netzwerk Sicherheit. Florian Baumgartner. Institut für Informatik und angewandte Mathematik

Größe: px
Ab Seite anzeigen:

Download "Netzwerk Sicherheit. Florian Baumgartner. Institut für Informatik und angewandte Mathematik"

Transkript

1 Netzwerk Sicherheit Institut für Informatik und angewandte Mathematik 1

2 Personalien Raum #315 IAM Tel:

3 Mailinglist/Webpage address: to subscribe: to: subject: first line of body: subscribe ns-ws04 3

4 Übersicht Einleitung Firewall Architectures Lower Layer Attacks Angriffe auf Netzdienste Kryptographie Application Layer Security AAA Systems Sicherheit in Wireless Networks VPN & Ipv6 & IPSEC Tools, Trends & Risikomanagement 4

5 Literatur [BUNS02] Christoph Busch, Stephen D. Wolthusen: Netzwerksicherheit, Spektrum Akademischer Verlag, 2002 [CEIS02] Claudia Eckert: IT Sicherheit, Konzepte Verfahren Protokolle, 2. Auflage, Oldenbourg Verlag, 2003 [GS96] Simson Garfinkel and Gene Spafford: Practical Unix & Internet Security, 2nd Edition, O'Reilly & Associates, 1996 [RHE03] Man Young Rhee: Internet Security, Wiley, 2003 [Sym04] Symantec Internet Security Threat Report, September

6 Literatur (Fiction) John Brunner: The Shockwave Rider William Gibson: Neuromancer 6

7 Master/Diploma Ratio Trends 16 Master Diplom weiss nicht Master - Weiss nicht - Diploma 7

8 Einführung 8

9 Historischer Hintergrund Schaffung des ARPAnet um 1970 Ziel: Nutzung kostenintensiver Resourcen Kernsystem bestehend aus max. 64 IMPs (Interface Message Processors) Pro IMP 16 Hostinterfaces möglich (-> maximal 256 Hosts) Pakerbasiert mit Datenpaketen (max 1008 bits) NCP Nachrichten (96 bis 8159 bit) 9

10 Kommunikationsablauf im ARPAnet 10

11 ARPAnet (September 1971) 11

12 Historischer Hintergrund 1974 Einführung von TCP TCP beinhaltete IP, UDP & TCP Grundprinzipien/Annahmen Best effort, zugrundeliegendes Netz ist zuverlässig Rein Paketbasiert Flusskontrolle wurde auf Endsysteme verlagert Aufhebung der Trennung von Nah- und Fernverkehrsstrukturen 12

13 Historischer Hintergrund Die frühe Zielsetzung war absolute Offenheit und möglichst geringe Hürden für neue Systeme. So wurde (bewusst?) auf jegliche Art von Sicherheitsmechanismus verzichtet. Letzendlich ist diese Unsicherheit wohl aber auch der Grund für den Erfolg des Internets. Anschluss neuer Systeme mit minimalem Aufwand Selbst heute scheitern aus diesen Gründen relativ einfache zu handhabende Sicherheitsmassnahmen (z.b. Verschlüsselung von s) 13

14 TCP/IP Internet Hosts am

15 Der Sündenfall Morris' Wurm 15

16 Morris' Wurm Begriff Wurm Wurde ursprünglich als Virus eingestuft Begriff Wurm stammt aus John Brunner's Roman The Shockwave Rider (1975) Im Gegensatz zu Viren verbreiten sich Würmer eigenständig. Brachte 1988 ca 10% des Internet zum Erliegen (damals etwa 6000 Knoten). Entwickelt von Robert Tappan Morris, Doktorand an der Cornell University 16

17 Morris' Wurm Nützte eine Reihe von Schwächen in 4.2 und 4.3 BSD Systemen auf Sun und VAX Systemen aus. Buffer overflow im fingerd auf VAX systemen Erraten schwacher Passwörter Fehler in der SMTP Installation Auf infizierten Systemen wurde die Anwesenheit des Wurmes verschleiert. Verursachte keine absichtlichen Schäden! Versuchte nicht Supervisor Rechte zu erhalten, sondern lief komplett im User Space 17

18 Morris' Wurm Wurm war schlecht und z.t. fehlerhaft implementiert. Nicht das Konzept an sich, sondern ein Fehler im sourcecode (falsch implementierter Lastbegrenzer) führte zu den dramatischen Folgen. fehlerhafte und nicht portable C Konstrukte im sourcecode begrenzten die Ausbreitung Die Infektion über fingerd auch problemlos auf Sun Systemen möglich gewesen Fehler im Code führten also erst zu dem Schaden, begrenzten aber auch die Ausbreitung. 18

19 Morris' Wurm Konsequenzen 3 Jahre Bewährung für Morris. Morris lehrt heute Informatik am MIT... :-) Morris war aus heutiger Sicht atypischer Hacker. Zu gute Sachkenntnis Zu alt (25 Jahre) 19

20 Motivation Industriespionage Sabotage Diebstahl Vandalismus Ruhm 20

21 Motivation eines Angreifers Gezielte Angriffe Gezielte Angriffe gegen einen einzelnen unbedeutenden Host (z.b. ein Home PC) sind eher selten. Wenn gezielter Angriff dann auf ausgezeichnete Systeme Von Regierungen (www.whitehouse.gov) Von Firmen (www.amazon.com) Server DNS... 21

22 Motivation eines Angreifers Ungezielte Angriffe Angriffe gegen ein zufälliges Ziel meist aus: Diffusem Kriminellem Interesse (z.b. Ausspähen von Bankverbindungen) Vandalismus Hijacken möglichst vieler Systeme für Angriff auf konkretes Ziel (BOTS, BOT networks) 22

23 Typ eines Angreifers Ideal des einsamen Hackers ist zumeist Utopie. Erfordert hohe Sachkenntnis (relativ alt) Führt normalerweise automatisch zur Professionalisierung, weil als Experte gefragt. 23

24 Typ eines Angreifers Die meisten Angreifer sind dagegen script kiddies Relativ jung (15-20 Jahre) Begrenzter Zugriff auf Studienobjekte Begrenzte Sachkenntnis Ausnützen bekannter Sicherheitslücken Verwendung vorgefertigter Werkzeuge. Frei verfügbare Tools erlauben nicht nur das Scannen nach Verwundbarkeiten, sondern übernehmen auch die Kompromitierung. 24

25 Project Honeynet Projekt Honeynet: It is our goal to learn the tools, tactics, and motives of the blackhat community and share these lessons learned. Anschluss eines anonymen Systems ohne Firewall RH 7 mit Standardeinstellungen: 15 Minuten bis zu ersten Scans Kompromitierung nach 72h Windows 2000 Systems 15 Minuten bis zu ersten Scans Kompromitierung nach 24h 25

26 Der aktuelle Status? * * Quelle: Symantex Security Threat Report 26

27 Einige aktuelle Zahlen Zeit zwischen Erkennen einer Verwundbarkeit und dem Erscheinen eines Exploit Codes ist kurz (5.8 Tage) Die Zahl der überwachten Bots stieg in der ersten Hälfte 2004 von 2000 Computern auf über % der Fortune 100 Firmen kontrollieren IP Adressen, die für die Weiterleitung von Viren verwendet wurden. 16% der Angriffe auf Ecommerce Einrichtungen waren gezielt. Verschiebung der Motivation von Selbstbestätigung hin zu finanziellen Interessen bedeuten 40% der Angriffe hingen mit Web Applikationen zusammen, wobei 82% der entsprechenden Verwundbarkeiten als sehr leicht auszunützen eingestuft wurden. Hauptquelle der Angriffe waren die USA mit 37%. 58% im Vorjahr. 27

28 Top Ten 28

29 Angriffsfrequenz Rückgang grösstenteils durch weniger Würmer 29

30 Typ des Angriffs Zunahme der probes geht auf BOT Netzwerke und Reclassifizierung als Angriff zurück 30

31 Ziele von Angriffen 31

32 Angegriffene Ports 32

33 BOT Networks Eine grosse Anzahl von Systemen wird mit sogenannte BOTs infiziert. Diese BOTs können anschliessend zentral kontrolliert werden Starten von Attacken Verändern des BOTs neue Angriffsmechanismen Neue Verbreitungsmethoden Gegenmassnahmen sind aufgrund der hohen dyamic relativ schwer zu ergreifen. 33

34 BOT Netzwereken zugeordnete IP Adressen 34

35 Attack Pattern eines BOT Netzes 35

36 Anzahl Win32 API Viren & Würmer 36

37 Zeit bis zum Erscheinen eines Exploit Codes 37

38 Verteilung der Angriffszeiten 38

39 Kurzer Rückblick Protocol Stacks ISO/OSI TCP/IP Das Internet Adressierung (MAC, Ipv4, IPv6) Routing 39

40 Protocol Stacks Definieren Schnittstellen und ermöglichen somit die Kombination verschiedener Protokolle/Technologien. TCP/IP über b(WiFi) oder FastEthernet oder Token Ring oder PPP oder SLIP UDP über b(WiFi) oder FastEthernet oder Token Ring oder PPP oder SLIP Schaffen Terminologie (Expert-Talk) filtering auf layer 2 oder layer 4? 40

41 ISO/OSI Referenzmodell Application Presentation Session Transport Network Allgemeine Protokolle für Applikationen (z.b. file transfer, Konvertierung von Textlines...) Kodierung (z.b. ASCII, UniCode, Integers) Aufbau von Sessions (zusätzliche Dienste wie z.b. file transport, synchronization...) Fragmentierung, fehlerfreie Übertragung von Datenpaketen, flow control... Kontrolle des Subnetzes: Routing, Accounting... Data Link Fehlerfreie Übertragung von Data Frames : Korrektur physikalischer Fehler... Physical Übertragung von einzelnen Bits: wieviel Volt, welcher Stecker, welche Frequenz, welche Codierung... 41

42 TCP/IP Referenzmodell Application Transport Internet H-2-Network FTP, TELNET, HTTP, SMTP, DNS,... Übertragung von Daten, TCP, UDP... Übertragung einzelner Pakete, Routing... Übertragung der Pakete über Medium (wie auch immer z.b. Über b) 42

43 Das Internet Eigenschaften Paketbasiert Übertragung von einzelnen, unabhängigen Paketen zwischen Endsystemen. Unzuverlässig Es treten Übertragungsfehler auf (selten) oder Pakete werden bewusst verworfen (häufig). Unintelligent Wenig Funktionalität im Netz, Intelligenz im Endsystem -> Skalierbarkeit. Robust Theoretisch aufgrund der Architektur, real aber wegen extrem zuverlässigen Systemen in den Backbones. 43

44 Das Internet Adressierung Verschiedene Adressen auf verschiedenen Layern: Data Link: Hardware Adresse (MAC), Bei Ethernet fest codiert in NIC: 00:30:48:21:35:A4 Internet: IP Adresse, dynamisch vergeben: (v4), fe80::230:48ff:fe21:35a4 (v6) Application: Host & Domainnamen (appendix.unibe.ch) Erfordert Adressabbildung zwischen den Layern: Adress Resolution Protocol (ARP): IP -> MAC Domain Name System (DNS): host.domain -> IP 44

45 Das Internet Data Link + Physical Layer am Beispiel Ethernet Preamble Destination Address Source Address Type Payload 32 8 CRC Postamble Adressen sind (mehr oder minder) fest in NICs kodiert. Preamble is und dient zum synchronisieren der NICs. Type bestimmt welcher Pakettyptransportiert wird. Payload ist bis zu 1500 bytes. Transport via CSMA/CD 45

46 Das Internet IPv4 Paket Header version hdrlen ToS total length identification ttl flags protocol fragment offset header checksum source address destination address IP options 20 bytes + IP options max total length 0xffff 46

47 Das Internet IPv4 Adressierung Ipv4 Adresse besteht aus 4 Oktetts und beinhaltet Netz-ID und Host-ID. Je nach Klasse unterschiedliche Aufteilung. Class A: Netz-ID 7 bit, Host-ID 24 bit 0NNNNNNN HHHHHHHH HHHHHHHH HHHHHHHH Class B: Netz-ID 14 bit, Host-ID 16 bit 10NNNNNN NNNNNNNN HHHHHHHH HHHHHHHH Class C: Netz-ID 23 bit Host-ID 8 bit 110NNNNN NNNNNNNN NNNNNNNN HHHHHHHH Class D: Multicast Adresse 1110MMMM MMMMMMMM MMMMMMMM MMMMMMMM Class E: reserviert 1111???????????????????????????? 47

48 Das Internet IPv4 Subnetting Subnetz Maske erlaubt Klassifizierung (bitwise and) einer Netzwerkadresse. Subnetzmaske bildet sich aus Klassen-Bits + Netz-ID. Zusätzliches Aufteilen eines IP Adressbereichs durch Individuelle Subnetz Masken z.b. Aufteilen von (Class B) in 4 Subnetze:

49 Das Internet IPv4 Spezielle Adressen Broadcast: Typischerweise die höchste Addresse im Netz. (z.b. a.b.c.255 in class C Netz). Pakete an diese Adresse gehen an alle Computer im Netz Das Netz selber ist jeweils die erste Adresse im Subnetz (z.b ) /8 ist virtuelles lokales Netz. Localhost ist dabei

50 Das Internet IPv4 Routing Routing: Weiterleiten eines einzelnen Pakets basierend auf seiner Zieladresse. Router: Computer mit Anschluss an mehrere IPNetze. (hat also mehrere IP Adressen) Routingtable: Definiert welches Paket über welches Interface geroutet wird. Gateway: Verbindungsknoten zwischen zwei Netzen (ist üblicherweise Router) Routingprotocol: Abgleichen der Routingtabellen (z.b. RIP, OSPF, BGP,...) 50

51 Das Internet IPv4 Routing Routingtable (Host): Kernel IP routing table Destination Gateway Genmask Flags U UG000 Metric RefUse Iface U 000 eth0 lo eth0 Routingtable(Router): Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface U 000 vmnet U 000 vmnet U 000 eth U 000 lo UG000 eth0 51

52 Das Internet Ipv6 Eigenschaften 128 statt 32 bit Adressen Autokonfiguration a.k.a. plug & play Flexiblere Headerstruktur erlaubt direkte Unterstützung von: Mobile IP Quality of Service erleichtert Routing Jeder Host hat automatisch mehrere Adressen link-local, site-local, global 52

53 Das Internet IPv6 Paket Header ver traffic class flow label payload length next header hop limit source address destination address Weniger Felder als bei Ipv4! Zusätzliche Informationen in Erweiterungs-Header 53

54 Das Internet IPv6 Erweiterungsheader Neben zusätzlichen Informationen werden auch einige Felder des Ipv4 Headers auf Erweiterungsheader abgebildet. Ipv6 Header Hop by Hop Options Destination Options Header Routing Header Fragment Header Authentication Header Encapsulation-Security-Payload-Header 54

55 Das Internet Traffic Shaping, Policing & Queueing Internet ist unzuverlässig. Paketverluste durch Datenfehler (selten) Bewusstes Verwerfen von Paketen In Router bei Überlastung (Stau) (häufig) Wenn TTL Feld auf 0 (selten) An Paketfiltern/Firewalls Durch Shaping und Policing Policing: Reduzieren der Bandbreite Shaping: Glätten des Verkehrs 55

56 Protokolle Grundlegende Protokolltypen Typische Protokolle Im Internet Router im End System Internet Protokoll Fragmentierung User Data Protocol TCP Port Nummern Internet Control Message Protocol 56

57 Grundlegende Protokolltypen Man spricht prinzipiell von zwei verschiedenen Protokolltypen: Verbindungslos Austausch einzelner unzusammenhängender Pakete (aka datagrams) (Briefpost, UDP, ICMP, IP) Unzuverlässig, Vertauschung der Paketreihenfolgen möglich Verbindungs-orientiert Verbindung zwischen Endsystemen. (Telefon, TCP). Notwendig für Fehlerkorrektur Zeitverlust durch Verbindungsaufbau 57

58 Vor- und Nachteile der Grundtypen Wahl des Protokolltyps je nach Anwendungszweck. Verbindungslose Protokolle haben i.d.r. weniger Delay (Verzögerung) und weniger Jitter (Verzögerungsschwankungen). Gut für alles was realtime geschehen muss (Videotelefonie, Onlinegames) Verbindungsorientierte Prokolle garantieren i.d.r. Sichere Datenübertragung. Nicht realtime aber zuverlässig (ftp, http,telnet, ssh,...) i.d.r. beschränkt auf end-to-end 58

59 Protokolle in Internet-Komponenten Nicht alle Schichten müssen immer realisiert sein. Am Weiterleiten von Paketen sind In Internet Routern i.d.r. nur die unteren beiden Schichten beteiligt -> hohe Geschwindigkeit Anderen Schichten und Applicaktionen (TCP, rlogin, ssh) sind nur aus Konfigurationsgründen vorhanden. Dafür zusätzliche Protokolle wie BGP, RIP, SNMP, oder RMON, die zum Abgleich der Routingtabellen, der Überwachung oder der Konfiguration dienen 59

60 Internet Protocol RFC 791 version hdrlen ToS total length identification ttl flags protocol fragment offset header checksum source address destination address IP options IP Payload Prüfsumme über Paket Header muss wegen TTL Feld in jedem Router neu berechnet werden! Grosse Pakete werden in mehrere kleine Pakete zerlegt um in Pakete der unteren Schichten (z.b. Ethernet) zu passen. 60

61 Fragmentierung Standardprinzip: Pakete eines Protokolls werden mittels eines anderen Protokolls transportiert. Problem: verschiedene maximale Paketgrössen bei verschiedenen Protokollen: Ethernet (1500 bytes) vs. IP (64 k) Ein grosses IP Paket muss also in mehrere kleinere Ethernet-kompatible IP Pakete zerstückelt und beim Empfänger wieder zusammengesetzt (reassembled) werden. Reassemblierung anhand der fragment Felder und der Paket id im IP header! 61

62 Maximum Transfer Unit (MTU) Probleme bei Fragmentierung/Reassemblierung: Rechenaufwendig (speziell beim Empfänger) Erhöht die Verzögerung Geht auch nur ein Fragment verloren, kann das ursprüngliche Paket nicht wiederhergestellt werden! Der Header des transportierten Protokolls ist nur im ersten Fragment enthalten! (Problem für FireWalls & Paketfiltern) Lösung: Höhere Schichten erkundigen sich nach der MTU und richten sich danach. Die TCP Schicht erzeugt also nur noch IP Pakete, die kleiner als die MTU sind (i.d.r bytes) 62

63 Typische MTUs Network Hyperchannel 16 Mbits/s token ring 4 Mbit/s token ring FDDI Ethernet IEEE 802.3/802.2 X.25 Point-to-Point (PPP,SLIP) MTU (bytes)

64 I. Control Message Protocol RFC 792 IP Header with protocol field = 1 8 bit Type 8 bit Code 16 bit Checksum ICMP Payload Verbindungsloses Protokoll zum Austausch von Kontrollnachrichten im network layer. Kann auch von applicationen genutzt werden (ping, traceroute) 64

65 ICMP Messages (die bekannteren) Time exceeded: Destination unreachable: Wird zurückgesendet, wenn ein Router den Zielrechner/Zielportnicht finden konnte. Echo Request & Echo Reply: Wird ein Paket gelöscht weil das TTL Feld im IP Header 0 erreicht, wird diese Nachricht an den Sender des Paketes geschickt. Festzustellen, ob ein Ziel erreichbar ist. Timestamp Reply: Wie Echo Reply, aber mit zusätzlichen Zeitinformationen. 65

66 User Data Protocol RFC 768 IP Header with protocol field = 17 Source Port Destination Port UDP Length UDP Checksum UDP Payload Sehr einfaches verbindungsloses Protokoll Ports definieren Endpunkte innerhalb der beiden Endsysteme. 66

67 User Data Protocol Eigenschaften Verbindungslos Unzuverlässig Pakete können verlorengehen Paketreihenfolge kann vertauscht sein Aber: Paketinhalt durch Prüfsumme abgesichert Keine Flusskontrolle UDP Sender reagiert nicht auf Paketverluste Kann TCP unterdrücken 67

68 Port Nummern Die destination port Nummer eines TCP/UDP Paketes spezifizieren welchen Server man auf einem Endsystem ansprechen möchte (http 80, ftp 21, telnet 23,...) (siehe auch /etc/services). well-known port numbers sind Ports unter < 1024.Serverprocesse, die diese ports benutzen wollen benötigen superuser rechte. Clients verwenden i.d.r. tempären port (ephemeral port) als source port. 68

69 TCP Header IP Header with protocol field = 6 Source Port Destination Port Sequence Number Acknowledgment Number H-length urg,ack,psh, rst,syn,fin TCP Checksum Window Size Urgent Pointer Options TCP Payload 69

70 TCP Eigenschaften Verbindungsorientiert Zuverlässig Verlorengegangene/beschädigten Pakete werden noch einmal übertragen. Die Paketreihenfolge wird korrigiert Reduziert bei Paketverlust oder zu hoher Verzögerng die Senderate (flow control). Ist immer duplex 70

71 TCP Paketaustausch client server SYN J, mss=1460 SYN K, ack J+1, mss=1024 Verbindungsaufbau ack K+1 Data (request) Datenübertragung Data (reply) ack of request FIN M ack M+1 FIN N Verbindungsabbau ack N+1 71

72 Firewall Architekturen 72

73 Firewall Systeme Bezeichnet einen Mechanismus zur Separierung von Netzwerken mit verschiedenen Sicherheitsstufen Verschiedene Systeme Unterscheiden sich durch Menge an Information, die zur Entscheidung herangezogen wird. Rechenaufwand Latenzzeiten Zustandslose Paketfilter Proxying Systeme Zustandsbasierte Paketfilter 73

74 Firewall Systeme Subnet Internet 74

75 Firewall Regeln Eine Firewall ist normalerweise auf einem Router lokalisiert und filtert den passierenden Datenverkehr aufgrund bestimmter Regeln. default allow lässt alles zu, was nicht explizit verboten ist. Aus Benutzersicht sehr bequem, jedoch nur reaktiv. default deny verbietet alles, was nicht explizit erlaubt ist. Mehr Aufwand für den Benutzer, jedoch eindeutig die bessere Wahl. 75

76 Zustandsloser Paketfilter Einfachste Firewall Variante Pakete werden getrennt betrachtet. D.h. als Entscheidungsgrundlage wird nur das aktuell untersuchte Paket herangezogen. Historisch gerne verwendet um nur Pakete an well known ports (i.d.r. < 1024) passieren zu lassen. 76

77 Zustandloser Paketfilter Regeln Da nur einzelnes Paket betrachtet, relativ wenig Informationen verfügbar. IP quelle, IP ziel Protokolltyp (TCP, UDP, ICMP, IGMP) TCP/UDP quell- und zielports ICMP/IGMP Nachrichtentyp Interface, dass das Paket empfangen hat Interface über das das Paket gesendet werden würde. z.t. Modifikation der Pakete fragmentierung/entfernen von Headeroptionen 77

78 Erweiterungen Schutz von TCP/IP Stacks durch Überprüfen/Modifizieren der Pakete Fragmentierung von Paketen Untersuchen und Entfernen von Headeroptionen Schutz vor DoS Attacken SYN flooding SMURF attacks Blockieren von unerwünschtem Datenverker 78

79 Konfiguration z.b. screend # configuration of screend default reject notify log; for ftc-net netmask is ; between host mail-relay tcp port smtp and any accept; between host mail-relay and any tcp port smtp accept; Häufig auch Access Control Lists (z.b. CISCO IOS) Liste von Regeln, die der Reihe nach abgearbeitet werden Wurde eine passende Regel gefunden, wird die Suche in dieser ACL abgebrochen 79

80 Paketfilter in CISCO IOS ankommendes Paket ACL definiert? nein ja passender Eintrag? Nächster ACL Eintrag ja ja Regelwerk nein weitere Einträge? Paket erlaubt? nein nein Paket blockiert Versenden von ICMP non-reachable ja Weiterleiten an Schnittstelle 80

81 Vor- und Nachteile zustandloser Paketfilter Vorteile: Sehr einfach zu implementieren. Geringer Rechenaufwand Nachteile: Informationsmenge, die zur Definition der Regeln zur Verfügung stehen sind begrenzt. Konfiguration z.t. recht problematisch 81

82 Proxying Systeme Maximale Absicherung eines Netzwerkes Deutlicher Gegensatz zu Paketfiltern Performanz ist weniger ein Kriterium Einschränkung der Benutzer und der Protokolle werden in Kauf genommen Varianten Einzelner Host als Userproxy Application Proxies 82

83 Firewall Systeme Subnet Internet Proxy Server 83

84 User Proxy User Proxy Variante Einloggen der Benutzer auf Proxyserver Von Proxyserver aus Zugriff auf Intranet Nachteile: Schlechte Unterstützung für Services Usermanagement auf Proxy notwendig Proxy Server single Point of Failure Angriff auf Proxy Server 84

85 Application Proxies Userprogramm verbindet aus dem Internet auf Proxy server und stellt request. Proxy server prüft request und leitet ihn, wenn korrekt, an Server im Intranet weiter. Einfache und schlechte Variante: einfaches Weiterleiten der Verbindung ohne Prüfung 85

86 Application Proxies Server Daten bitte! Proxy Server Internet Hole mir Daten von Server 86

87 Application Proxies Probleme Applikation muss Proxy unterstützen: Proxyserver kann selber Ziel des Angriffs sein Schwierig bei speziellen/massgeschneiderten Anwendungen Speziell gehärtete Protokollstacks Bei Anpassung älterer Protokolle Analyse der übertragenen Daten selber notwendig. Ftp? Ist der Proxyserver nicht sicher, so kann er als Brückenkopf ins Intranet genutzt werden. 87

88 Application Proxies Vorteile Viele Protokolle sehen proxybetrieb vor: z.b. http Kein Single Point of Failure. Versagt der Proxy ist immer noch die Firewall aktiv Firewall kann bereits bestimmte Angriffe auf Proxy abfangen -> abgestuftes Sicherheitskonzept Filtern von IP Headeroptionen DoS Attacken Fragmentierung 88

89 Zustandsbasierte Paket Filter Auch dynamic packet filter, stateful inspection, circuit level gateway, Content based Access Control, Dynamic Access Lists Im Gegensatz zu state-less packet filter, nicht einzelnes Paket Grundlage. Paketfilter hält intern Liste von Verbindungen Einfach bei TCP ->verbindungsorientiert UDP wird als verbindungsorientiert interpretiert Z.T. Analyse der übertragenen Daten protokollabhängig Fragmen 89

90 Stateful Firewall Server A Client X Verbindung 1 Von-IP X Y Nach-IP A B Von-Port Nach-Port Internet Verbindung 2 Client Y Server B 90

91 Beschränkungen von Firewalls Abhängigkeit von protokollabhängigen Information. Beispiel ftp: TCP Kontrollverbindung Aufbau zusätzlicher Kommunikationsverbindungen bei Bedarf. Zusätzliche Verbindungen werden über Kontrollverbindung initiiert. -> Überwachen des Datenverkehrs auf Kontrollkanal notwendig um Informationen über zusätzliche Verbindungen zu erhalten. 91

92 Beschränkungen von Firewalls Beispiel file transfer protocol (RFC 959) ASCII und zeilen-basierter Kontrollkanal (telnet) Rückantworten auf dem Kontrollkanal werden in der typischen Form: 200 PORT command successful. <code> <text> gegeben. Die Textantwort erlaubt es die Rückantwort direkt zu lesen, während der Code von Clients interpretiert werden kann. 1ab... 5ab positive preliminary reply permanent negative completion reply 92

93 Beschränkungen von Firewalls Beispiel file transfer protocol (RFC 959) User Interface port L Server PI File System Server DTP port U ftp commands ftp replies port L+1 User User PI port U data connection Server DTP File System Der Datenkanal kann von beiden Seiten bei Bedarf aufgebaut werden. Die Endpunkte der Verbindung können dabei umdefiniert werden. 93

94 Beschränkungen von Firewalls file transfer protocol, server-server channel Control Server FTP A User-FTP data connection Control Server FTP B Der Datenkanal muss nicht zwischen dem Userclient und dem Server aufgebaut werden, sondern kann auch, vom User Client initiiert, zwischen zwei Servern aufgebaut werden. Damit lassen sich auch Daten zwischen zwei Servern kopieren. 94

95 Beschränkungen von Firewalls Client X Kontrollverbindung Von-IP X Nach-IP A Server A Von-Port Nach-Port Kommando von X an A über Kontrollkanal: sende mir Datei an (IP X,Port P) A versucht Verbindungsaufbau auf Port P auf Maschine X -> wird von Firewall abgeblockt Firewall muss Kontrollkanal überwachen um dise Operation zu unterstützen! 95

96 Firewall Topologien 96

97 Topologien Screening Router Dual-Homed Host Bastion Hosts Screened Host Screened Subnet 97

98 Prinzipieller Aufbau Sicheres Netzwerk Internet Sicheres Netzwerk Sicheres Netzwerk 98

99 Topologien Prinzipielle Probleme Mehrere Netzwerkverbindungen nach draussen Verbindung zu lokalem ISP Verbindung zu Firmennetzwerk Einwahlknoten für Mitarbeiter zu Hause Unsichere Heimarbeitsplätze Anbindung an Firmennetz über VPN Anbindung an Internet ohne Firewall Forwarding zwischen den Interfaces 99

100 Screening Router Unsicheres Netzwerk Gesichertes Netzwerk Router stellt alle Firewall Funktionen Begrenzung durch Rechenleistung des Routers Single Point of Failure 100

101 Dual Homed Host Unsicheres Netzwerk Gesichertes Netzwerk Dual Homed Host stellt Firewallfunktionen Unzuverlässige Implementierung des TCP/IP Stacks, Single Point of Failure Kein Routing zwischen Netzwerken, User meldet sich auf DHH an und spricht von dort aus gesichertes Netz an Usermanagement auf Firewall, Anwendungssoftware muss auf DHH installiert werden 101

102 Bastion Host Häufig ist es unvermeidlich Zugriff auf einen einen bestimmten Host hinter der Firewall freizugeben. In dem Zusammenhang spricht man auch von einem Bastion Host. Häufig finden disese Systeme als Application Proxy Server Verwendung. Diese Hosts spielen eine besondere Rolle und werden besonders geschützt. gehärtete TCP/IP Stacks Besonderes Monitoring 102

103 Screened Host Screening Router Gesichertes Netzwerk Ungesichertes Netzwerk Bastion Host SR lässt Zugriffe von ausserhalb nur auf Bastion Host zu Nur ausgehender Verkehr von Bastion Host darf passieren Typischerweise Application Proxy auf Bastion Host Variante auch mit DHH statt Bastion Host 103

104 Proxy Server 104

105 HTTP Proxy Cache Browser Proxy Server Server Transport Transport Transport Physical Physical Physical Idealerweise komplette Implementierung des http Protokolls (RFC2068) Zusatzfunktionen Webcache, Authentifizierung 105

106 Socks Proxy Allgemeiner Proxy für TCP Verbindungen Clients im Intranet fordern beim Application Proxy Verbindungen nach aussen an. Unterstützt auch das Freischalten von eingehenden Verbindungsanfragen. 106

107 Socks Client Application Transport Physical SOCKS Server Transport Physical Server Grundidee: Verbindungen des Clients werden über Socks Server umgeleitet. Automatisches Durchschalten durch Veränderung der socket API auf Client. Client für Server unsichtbar. Server kommuniziert nur mit Socks Server Sehr allgemeiner Mechanismus Keine Protokollspezifischen Funktionen Application Transport Physical 107

108 SOCKS Verbindungsaufbau outbound connection Client Socks Socks Request Socks Reply Daten Daten Server Verbind ungs Aufbau Daten Daten 108

109 SOCKS Nachrichten outbound connection Connection Request VN CD 1 1 Destination Port Destination IP 4 User ID NULL variable 1 Connection Reply VN CD 1 1 Destination Port Destination IP 4 109

110 SOCKS Verbindungsaufbau inbound connection Client Socks Connect Re quest (server, q) ply Connect Re (server, q) Server Verbindungsaufbau Port q Kontrollverb Bind Reque st (server,q) indung Port q (socks, p) Bind Reply Anforderung Datenkanal (socks,p) saufbau Verbindung (socks, p) Port p Bind Reply dung Datenverbin Server Client Aufbau Kontrollv erbi An forderung Dat ndung enkanal nal Au fbau Datenka Daten 110

111 SOCKS Nachrichten inbound connection Bind Request VN CD 1 1 Destination Port Destination IP 4 User ID NULL variable 1 Bind Reply VN CD 1 1 Destination Port Destination IP 4 111

112 Socks Kommentare Nachteile Erfordert Anpassung der Applikationen auf Clientseite. Funktioniert nur begrenzt mit UDP (Socksv5) Vorteile Transparent für den Benutzer Gute Monitoringmöglichkeiten Starke Authentifizierung in SocksV5 Wird von wichtigen Applikationen unterstützt (z.b. Mozilla...) BTW: ssh -D :-) 112

113 Network Address Translation 113

114 NAT Gründe Zu wenig verfügbare IPv4 Adressen Verschwenung von Adressen durch IP Schema Aufbau und Existenz von grossen firmeninternen Netzwerken ohne Verwendung offizieller IP Adressen. Umstellen auf offizielle Struktur ist schwer. z.t. Sehr grosszügige Vergabe der firmeninternen Adressen. Erhöht die Sicherheit, da Zugriffe i.d.r. nur von innen nach aussen erfolgen können. 114

115 NAT Adressen Reservierung von Adressräumen zur lokalen Benutzung RFC /24, /20, /16 Nur lokal, Adressen müssen im Internet gefiltert werden. Keine DNS Einträge für diese Adressen. (nur interne DNS) Entspricht nicht der ursprünglichen Idee des Internets, bei dem alle Geräte global adressierbar sein sollten. RFC 1627 Letztendliche Regelung in RFC 1918 best current practice 115

116 NAT Grundidee NAT Gateway Internet Intern Extern Es haben immer nur wenige Hosts gleichzeitig den Bedarf für eine Verbindung ins Internet. Dynamisches Abbilden von einer kleinen Anzahl interner Adressen auf global gültige Unproblematisch für ausgehende Verbindungen RFC3022 Eingehende Verbindungen müssen manuell konfiguriert werden 116

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Vorwort... 5. Vorwort zur deutschen Übersetzung... 11

Vorwort... 5. Vorwort zur deutschen Übersetzung... 11 Vorwort.................................................... 5 Vorwort zur deutschen Übersetzung........................... 11 1 Einführung................................................ 23 1.1 Einführung................................................

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

IP-Netzwerke und Protokolle

IP-Netzwerke und Protokolle IP-Netzwerke und Protokolle Überblick über die IEEE 802.x Richtlinien Grundsätzliches zu TCP/IP und UDP/IP Namen und Adressen (kurz) Gateways, Routing Praktische Übungen anhand der Linux- Standard-Tools

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Klausur - Computernetzwerke

Klausur - Computernetzwerke Klausur - Computernetzwerke Márk Félegyházi Zeit: 1.5 Stunden, keine Hilfmaterialien Gesamtpuntke: 50 2011.04.12 Name der/den Studenten(innen): NEPTUN: ===================================================

Mehr

Rechnernetze Übung 12

Rechnernetze Übung 12 Rechnernetze Übung 12 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juli 2011 Sie kennen sicherlich sogenannte Web-Mailer, also WWW-Oberflächen über die Sie Emails lesen und vielleicht

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x. 7. PPPoE Server 7.1 Einleitung Im Folgenden wird die Konfiguration einer Dialin Verbindung über PPPoE zum Router beschrieben, um eine zusätzliche Authentifizierung durchzuführen. Bei der Einwahl eines

Mehr

Internetanwendungstechnik (Übung)

Internetanwendungstechnik (Übung) Internetanwendungstechnik (Übung) IPv6 Stefan Bissell, Gero Mühl Technische Universität Berlin Fakultät IV Elektrotechnik und Informatik Kommunikations- und Betriebssysteme (KBS) Einsteinufer 17, Sekr.

Mehr

Chapter 11 TCP. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 11 TCP. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 11 TCP CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

DOSNET SMURF ATTACK EVIL TWIN

DOSNET SMURF ATTACK EVIL TWIN DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

shri Raw Sockets Prof. Dr. Ch. Reich

shri Raw Sockets Prof. Dr. Ch. Reich shri Raw Sockets Prof. Dr. Ch. Reich Szenario: Verschicken einer gespooften Ping-Message IP-Source-Adresse ist Adresse des Opfers Nachrichtenformat: IP-Header (normal, außer IP-Source-Address ist einstellbar)

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Anwendungsprotokolle: HTTP, POP, SMTP

Anwendungsprotokolle: HTTP, POP, SMTP Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Networking - Überblick

Networking - Überblick Networking - Überblick Netzwerkgrundlagen René Pfeiffer Systemadministrator GNU/Linux Manages! lynx@luchs.at rene.pfeiffer@paradigma.net Was uns erwartet... Hardware (Ethernet, Wireless LAN) Internetprotokolle

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

UNIX-Rechnernetze in Theorie und Praxis

UNIX-Rechnernetze in Theorie und Praxis Mathias Hein, Thomas Weihrich UNIX-Rechnernetze in Theorie und Praxis An International Thomson Publishing Company Bonn Albany Belmont Boston Cincinnati Detroit Johannesburg London Madrid Melbourne Mexico

Mehr

TCP/IP. Datenübertragungsschicht Netzwerkschicht Anwendungsschicht

TCP/IP. Datenübertragungsschicht Netzwerkschicht Anwendungsschicht TCP/IP Datenübertragungsschicht Netzwerkschicht Anwendungsschicht 1 Schichtenmodell Schichtenmodell der Internet- Protokollsuite Ziel: Kommunikation unterschiedlicher Rechner mit verschiedenen Betriebssystemen

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006 Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten

Mehr

Projekte IPv4 IPv6 Routing Configuration. OSI-3 - u23 2014. yanosz, florob, nomaster, rampone, ike, gevatter thomas.wtf. Chaos Computer Club Cologne

Projekte IPv4 IPv6 Routing Configuration. OSI-3 - u23 2014. yanosz, florob, nomaster, rampone, ike, gevatter thomas.wtf. Chaos Computer Club Cologne OSI-3 u23 2014 yanosz, florob, nomaster, rampone, ike, gevatter thomas.wtf e.v. https://koeln.ccc.de Cologne 2014-10-13 1 Projekte 2 IPv4 3 IPv6 4 Routing 5 Configuration 1 Projekte 2 IPv4 3 IPv6 4 Routing

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

Die IP-Adressierung. IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6

Die IP-Adressierung. IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6 Die IP-Adressierung IP-Adresse Netz- / Hostadressteil Einteilung der Adressen Subnetting Arbeit des Routers Fragmentierung IPv6 1 Post-Adresse / IP-Adresse Post-Paket IP-Paket 193.135.244.14 Herr Hans

Mehr

Grundlagen zum Internet. Protokolle

Grundlagen zum Internet. Protokolle Grundlagen zum Internet Grundlagen zum Internet Protokolle TCP/IP Die TCP/IP Protokollfamilie ICMP ARP TCP RARP IP UDP X.25 Ethernet FDDI... IP Das Internet Protokoll (IP) Funktionen des IP-Protokolls

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger. 12.05.2009 by P. Infanger Seite 1. Well-known Facts zu IPv6

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger. 12.05.2009 by P. Infanger Seite 1. Well-known Facts zu IPv6 IPv6 Sicherheit Bedrohungen in neuem Gewand Peter Infanger 12.05.2009 by P. Infanger Seite 1 Well-known Facts zu IPv6 Adressen bis zum Abwinken modularer Header erweiterbar neue Diensttypen (z.b. Anycast)

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater

Rechnernetze Übung 8 15/06/2011. Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1. Switch. Repeater Rechnernetze Übung 8 Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2011 Schicht 7 Schicht 6 Schicht 5 Schicht 4 Schicht 3 Schicht 2 Schicht 1 Repeater Switch 1 Keine Adressen 6Byte

Mehr

InfiniBand Low Level Protocol

InfiniBand Low Level Protocol InfiniBand Low Level Protocol Seminar Ausgewählte Themen in Hardwareentwurf und Optik HWS 08 17.12.2008 Andreas Walter Universität Mannheim Inhalt Motivation InfiniBand Basics Physical Layer IB Verbs IB

Mehr

Diplomanden- und Doktorandenseminar. Implementierung eines Gnutella-Clients für IPv6

Diplomanden- und Doktorandenseminar. Implementierung eines Gnutella-Clients für IPv6 Diplomanden- und Doktorandenseminar Implementierung eines Gnutella-Clients für IPv6 1. Motivation 2. IPv6 3. Gnutella 4. Portierung Frank Sowinski 17.12.2002 Motivation Gute Gründe für IPv6 Das Anwachsen

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

1. Netzwerkprogrammierung für mobile Geräte

1. Netzwerkprogrammierung für mobile Geräte 1. Netzwerkprogrammierung für mobile Geräte Lernziele 1. Netzwerkprogrammierung für mobile Geräte Themen/Lernziele: Konzepte der verbindungslosen Kommunikation beherrschen Client/Server-Anwendungen auf

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

E-Mail. Nachrichtenübertragung. Internetkommunikation Christof Fox. Wie werden Nachrichten Übertragen?

E-Mail. Nachrichtenübertragung. Internetkommunikation Christof Fox. Wie werden Nachrichten Übertragen? E-Mail Nachrichtenübertragung 1 Wie werden Nachrichten Übertragen? Über Protokolle: SMTP (Simple Mail Transfer Protocol) POP3 (Post Office Protocol Version 3) IMAP (Internet Message Access Protocol) 2

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o

Mehr

OpenBSD Gateway Cluster

OpenBSD Gateway Cluster Carp, pfsync, pf, sasyncd: 15. September 2005 Firewall und IPSec Failover unter OpenBSD Markus Wernig Firewall Grundlagen: Sessions Stateful inspection IPSec Das Problem: Ausfall IP-Adressen Active-passive

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Internet Protocol Version 6

Internet Protocol Version 6 Internet Protocol Version 6 Internet Protocol 6 IPv6 Felix B. Holzke 8. Mai 2006 Übersicht Beweggründe für IPv6 Der IPv6 Header Adressräume Übergangsstrategien Überblick über den Einsatz von IPv6 Warum

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

!"# $ % Internet Protokolle: HTTP 1/38

!# $ % Internet Protokolle: HTTP 1/38 !"# $ % Internet Protokolle: HTTP 1/38 1 Themenübersicht Schichtenmodell Gopher /FTP Statistik URL Einleitung Anwendungsablauf Beispiel mit Telnet Request, Response Anfragemethoden header Negotiation Proxyserver

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 Migration IPv4 auf IPv6 Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 1 Agenda Kurzer Überblick über das Protokoll IPv6 Vorstellung Migrationsmethoden

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23.

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23. echnernetze I SS 2012 Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 23. März 2012 Betriebssysteme / verteilte Systeme echnernetze I (1/12) i echnernetze

Mehr

Adressauflösung. IP Adresse Physikalische Adresse 128.96.34.1 57:FF:AA:36:AB:11 128.96.34.16 85:48:A4:28:AA:18

Adressauflösung. IP Adresse Physikalische Adresse 128.96.34.1 57:FF:AA:36:AB:11 128.96.34.16 85:48:A4:28:AA:18 Adressauflösung IP Adresse Physikalische Adresse 128.96.34.1 57:FF:AA:36:AB:11 128.96.34.16 85:48:A4:28:AA:18 IP Adresse Physikalische Adresse 128.96.34.15??? 128.96.34.16 85:48:A4:28:AA:18 128.96.34.15

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

Client Server -Anwendungen mit UML und Java

Client Server -Anwendungen mit UML und Java 3. Informatiktag NRW Client-Server mit UML und Java - 1/40 29.3.2004 Client Server -Anwendungen mit UML und Java 3. Informatiktag NRW 29.3.04 Barbara Leipholz-Schumacher Euregio-Kolleg, Würselen 3. Informatiktag

Mehr

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 8 ICMP. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 8 ICMP CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Hauptdiplomklausur Informatik März 2002: Internet Protokolle

Hauptdiplomklausur Informatik März 2002: Internet Protokolle Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Professor Dr. W. Effelsberg Hauptdiplomklausur Informatik März 2002: Internet Protokolle Name:... Vorname:...

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Modul 123 Unit 6 (V1.1) E-Mail und FTP Zielsetzung: E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Technische Berufschule Zürich IT Seite 1 Grundlagen : Das Store-and-Forward

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr