7.2 Betrieb von Firewalls

Größe: px
Ab Seite anzeigen:

Download "7.2 Betrieb von Firewalls"

Transkript

1 7.2 Betrieb von Firewalls 237 Administrator die virtuellen Interfaces aus, hinter denen sich die zu schützenden Systeme des jeweiligen Kunden befinden. Anhand des virtuellen Interfaces, über das ein Paket die Firewall-Plattform betritt, ordnet die Firewall das Paket zunächst der zugeordneten virtuellen Firewall zu. Anschließend wird es von der virtuellen Firewall weiter verarbeitet, d.h. gegen deren Regelbasis bzw. Statustabelle geprüft. Hersteller Check Point Cisco Juniper Produkt FireWall-1/VPN-1 VSX Cisco FWSM NetScreen-500 und höher Tab. 7 2 Hersteller und Produkte für virtuelle Firewalls 7.2 Betrieb von Firewalls Die wichtigsten Alltagsaufgaben eines Firewall-Administrators sind die regelmäßige Analyse der Logdatei der Firewall, das Troubleshooting von Kommunikationsproblemen sowie die Pflege der Regelbasis. Auf diese wichtigen betrieblichen Aufgaben wollen wir in den folgenden Unterabschnitten näher eingehen Analyse der Logdatei der Firewall Die Ziele bei der am besten täglich durchgeführten Logfile-Analyse sind primär Hinweise auf möglicherweise erfolgreiche Angriffe zu finden, aber auch fehlerhaft konfigurierte oder defekte Systeme sowie sonstige Auffälligkeiten zu entdecken. Auf diese Aspekte gehen wir in diesem Abschnitt ausführlich ein. Darüber hinaus kann das Logfile im Bedarfsfall als Werkzeug bei konkret auftretenden Kommunikationsproblemen herangezogen werden. Das Troubleshooting solcher Probleme behandelt der nächste Abschnitt»Troubleshooting von Kommunikationsproblemen«, S Je nach eingesetztem Firewall-Produkt unterscheiden sich die Logging-Philosophie und der Aufbau der Logdatei(en) grundlegend. Gemeinsam ist für alle Produkte jedoch, dass es zum einen systembezogene und zum anderen verbindungsbezogene Logeinträge gibt. Systembezogene Logeinträge liefern Informationen über den Zustand der Firewall (z.b. knappe Systemressourcen, Kommunikationsprobleme mit dem Management-Server etc.). Interessant für die tägliche Logfile-Analyse sowie für das Troubleshooting von Kommunikationsproblemen sind vor allem die verbindungsbezogenen Logeinträge, welche die von der Firewall erlaubten und vor allem verworfenen Verbindungen dokumentieren. Im weiteren Verlauf dieses Abschnitts beziehen wir uns ausschließlich auf die verbindungsbezogenen Logeinträge.

2 238 7 Management von Firewalls Aufbau einer Logdatei Je mehr Informationen ein Logeintrag beinhaltet, desto einfacher gestaltet sich die Logfile-Analyse. Die wichtigsten Informationen, die ein Logeintrag mindestens enthalten sollte, sind: Der Zeitstempel Jeder Logeintrag muss das Datum und die genaue Uhrzeit enthalten, an dem er erzeugt wurde. Um Logeinträge der Firewall mit Einträgen anderer Logdateien zur Deckung bringen zu können, zum Beispiel nach einem erfolgten Einbruch, sollten alle Systeme innerhalb einer Sicherheitsumgebung über dieselbe Uhrzeit verfügen. Für diesen Zweck bietet sich der Einsatz eines NTP-Servers an, der allen Systemen über das Network Time Protocol eine einheitliche Uhrzeit bereitstellt. Der Grund für den Logeintrag Um nachzuvollziehen, weshalb ein Logeintrag erzeugt wurde, sollte im Logeintrag die Nummer der Regel (Check Point FireWall-1) bzw. der Nachrichtencode (Cisco PIX) referenziert werden. Die Information, ob die geloggte Verbindung erlaubt oder verworfen wurde. Die Quell- und Ziel-IP-Adresse sowie der Quell- und Ziel-Port der geloggten Verbindung. Folgendes Beispiel zeigt drei Logeinträge, die die Cisco PIX Firewall unseres fiktiven Unternehmens erzeugt hat. Alle Einträge tragen den Fehlercode , der besagt, dass ein Paket aufgrund einer Access-Liste verworfen wurde. Der Name der entsprechenden Access-Liste wird ebenfalls dokumentiert. Oct 4 13:30:19 Cisco-PIX Oct :27:11: %PIX : Deny tcp src outside: /1165 dst inside: /1023 by access-group "outside_access_in" Oct 4 13:30:19 Cisco-PIX Oct :27:11: %PIX : Deny tcp src outside: /1233 dst RAS: /445 by access-group "outside_access_in" Oct 4 13:30:19 Cisco-PIX Oct :27:11: %PIX : Deny udp src inside: /49152 dst outside: /53 by access-group "inside_access_in" Logging Policy Die Logging Policy beschreibt, welche Ereignisse von der Firewall geloggt werden sollen. In der Praxis findet man meist nur eine von zwei Logging Policies an. Das Logging ist nur für die Clean-Up- und Stealth-Rule (siehe Abschnitt»Konfiguration der Cisco PIX«, S. 142) sowie für einzelne Regeln, über die

3 7.2 Betrieb von Firewalls 239»kritische«Dienste erlaubt werden, aktiviert. Auf diese Weise wird wenig I/O erzeugt und das Datenaufkommen bleibt überschaubar und damit leichter analysierbar. Dies ist insbesondere in großen Umgebungen wichtig. Bei dieser Policy dokumentiert das Logfile alle von der Firewall verworfenen Verbindungen (Clean-Up- und Stealth-Rule) sowie die erlaubten»kritischen«verbindungen wie zum Beispiel ein ssh-zugriff zur Firewall. Das Logging wird für (fast) alle Firewall-Regeln aktiviert, d.h., das Logfile dokumentiert alle verworfenen und zusätzlich auch alle erlaubten Verbindungen. Häufig existieren Vorgaben seitens der Revision eines Unternehmens, alle Verbindungen zu loggen. Im Falle eines erfolgreichen Angriffs auf ein System können bei dieser Logging Policy unter Umständen mehr Hinweise über den Ablauf des Angriffs gewonnen werden als bei der ersten Policy, da auch eine ungewöhnliche Häufung erlaubter Zugriffe auf einen Angriff hindeuten kann. Die gewählte Logging Policy sollte auch im Verdachtsfall, d.h., wenn ein System vermutlich gerade angegriffen wird, nicht verändert werden. Die Chance, dass Logfiles bei der forensischen Analyse sinnvoll verwertet werden können, ist dann am größten, wenn sie durch die Routine des normalen Betriebs entstanden sind. Bei der forensischen Analyse wird nach einem erfolgreichen Einbruch versucht, auf der Basis von verschiedenen Logdateien (Firewall-Logdatei, Systemlog des angegriffenen Systems, Log des Intrusion-Detection-Systems etc.) einen Angriff zu rekonstruieren und auf diese Weise zum Beispiel den Urheber des Angriffs zu ermitteln. Zur Erstellung einer Logging Policy gehört auch, sich über das Verhalten des eingesetzten Firewall-Produkts zu informieren, falls kein Logging mehr möglich ist, z.b. falls auf der Festplatte kein Platz mehr verfügbar ist oder die Verbindung zum Logserver unterbrochen wurde. Bei der Check Point Firewall-1 werden in so einem Fall die Logeinträge auf der lokalen Festplatte des Enforcement-Moduls zwischengespeichert, bis die Verbindung zum Management-Server wiederhergestellt werden kann. Läuft die Festplatte in der Zwischenzeit voll, stoppt die FireWall-1 je nach Konfiguration entweder das Logging und verweigert optional die Annahme weiterer Verbindungen, oder sie löscht alte Logeinträge. Bei einer Cisco PIX, die über das Netzwerk zu einem UDP-basierten syslog- Server loggt, geht beim Ausfall des Logservers der Betrieb unverändert weiter. Die PIX bietet aber auch die Möglichkeit, über TCP mit dem syslog-server zu kommunizieren. syslog-server, die TCP unterstützen, sind zum Beispiel der Kiwi syslogd, der syslog-ng von BalaBit, der Cisco PIX Firewall syslog-server PFSS sowie bestimmte Log-Appliances. Wird TCP verwendet, werden beim Ausfall des syslog-servers von der PIX keine weiteren Verbindungen mehr akzeptiert. Aus diesem Grund wird in den meisten Fällen ein UDP-basierter syslog-server bevorzugt.

4 240 7 Management von Firewalls Reduzierung der Datenmenge Um die Logdatei hinsichtlich Auffälligkeiten oder Hinweisen auf erfolgreiche Angriffe zu untersuchen, sollte vorher das»grundrauschen«, d.h. nicht interessierende Einträge, entfernt bzw. ausgeblendet werden. Dies gilt insbesondere für solche Logging Policies, bei denen (fast) alle erlaubten und nicht erlaubten Verbindungen geloggt werden. Nicht interessierende Einträge sind in der Regel: Verworfene NetBios-Broadcasts von Windows-Systemen. Befinden sich Windows-Systeme in einem an der Firewall angeschlossenen Netz, erscheinen deren Broadcasts im Logfile der Firewall, sofern das Logging hierfür nicht unterbunden wurde. Bekannte Phänomene, die bereits in der Vergangenheit analysiert wurden und für die es eine sinnvolle Erklärung gibt. Ein Beispiel hierfür sind von der Firewall verworfene Pakete, die zu einer Verbindung gehören, die von den Kommunikationspartnern zwar aufrechterhalten wird, aber von der Firewall aufgrund eines abgelaufenen Timeouts bereits aus der Statustabelle entfernt wurde. Abb. 7 9 Mustererkennung Korrelieren Kategorisieren Normalisieren (Grundrauschen abziehen) Filtern Logfile/Rohdaten Schritte zur Interpretation der Logdatei Häufig ist auch die Rolle der Firewall entscheidend für die Relevanz bestimmter Logfile-Einträge. Bei der Analyse der Logdatei der externen Firewall unseres fiktiven Unternehmens zum Beispiel sind Meldungen über erfolglose Verbindungsversuche der im Internet aktuell kursierenden Würmer und Trojaner eher von geringem Informationswert. Automatische Würmer probieren ziellos, anfällige Systeme zu finden. Ein dadurch erzeugter Logfile-Eintrag ist kein Indiz für einen gezielten potenziell erfolgreichen Angriff. Aus diesem Grund können derartige Logeinträge, erkennbar an den entsprechenden Portnummern, beim Logfile der externen Firewall als nicht interessierendes Grundrauschen aufgefasst werden. Treten entsprechende Einträge jedoch im Logfile der Intranet-Firewall auf, ist höchste Aufmerksamkeit geboten, da möglicherweise ein entsprechender Wurm im internen Netzwerk kursiert. Durch die Vorfilterung wird bereits ein Großteil der Einträge eines durchschnittlichen Tages unterdrückt, so dass das Logfile für den Administrator leser-

5 7.2 Betrieb von Firewalls 241 licher und leichter auswertbar wird. Die Vorfilterung kann entweder bereits implizit durch die Logging Policy erfolgen, d.h., bestimmte Ereignisse werden schlichtweg nicht geloggt, oder explizit durch den Einsatz von Filtern, mit denen im Logfile die nicht interessierenden Einträge ausgeblendet werden. Der grafische SmartView Tracker von Check Point bietet zum Beispiel die Möglichkeit zur Definition solcher Filter. Bei textbasierten Logdateien, wie der syslog-datei einer PIX Firewall oder einem mit fwm logexport oder fw log exportierten Check Point Logfile, kann eine Filterung mit Unix-Tools wie grep, sed oder awk skriptgesteuert erfolgen. Außerdem existieren so genannte Log-Appliances, die das Filtern und Analysieren großer Datenmengen aus verschiedenen Quellen (unter anderem der Firewall) in Echtzeit ermöglichen. Inhaltliche Auswertung der Logdatei Nach dem Ausblenden der nicht relevanten Logeinträge sollten an das verbleibende Logfile zum Beispiel folgende Fragen gestellt werden. Wie groß ist die Anzahl der Logeinträge? Ist die Anzahl der Logeinträge deutlich höher oder niedriger als am Vortag? Wie hoch ist die Abweichung in Prozent? Nach den Gesetzen der Stochastik sollten die Abweichungen nach Abzug des Grundrauschens nicht größer als ±20% sein. Wie groß ist die Anzahl der Logeinträge im Vergleich zum gleichen Wochentag der zurückliegenden Kalenderwoche? Können Abweichungen bei bestimmten Wochentagen durch periodische oder zuvor angekündigte Aktivitäten wie z.b. Updates, Backups oder Rechnungsläufe erklärt werden? Falls die Anzahl der Logeinträge ungewöhnlich hoch ist: Gibt es zum Beispiel einen neuen Wurm, der sich im Internet ausbreitet (externe Firewall)? Kann die erhöhte Anzahl durch Hardwareprobleme, wie zum Beispiel eine defekte Netzwerkkarte oder einen defekten Switchport, oder durch Konfigurationsfehler, zum Beispiel einem falschen Default-Gateway auf einem Host, erklärt werden? Falls dies zu keinem Ergebnis führt, sollte festgestellt werden, welche Regel die meisten Logeinträge verursacht hat. Handelt es sich hierbei um eine neue oder kürzlich modifizierte Regel, ist zu klären, ob es sich aufgrund des Informationsgehalts um Grundrauschen handelt, das zukünftig ebenfalls ausgeblendet werden kann. Gibt es Logeinträge, die auf einen erfolgreichen Einbruch hindeuten? Erscheint im Logfile zum Beispiel ein Eintrag, der einen von der Firewall verworfenen FTP-Zugriff eines Webservers in der DMZ in das interne Netzwerk dokumentiert, existieren dafür zwei denkbare Erklärungsmöglichkeiten.

6 242 7 Management von Firewalls Erstens hat der Administrator des Webservers versucht, vom Webserver aus über FTP-Dateien ins interne Netz zu transferieren, oder zweitens hat es ein Angreifer geschafft, über einen Angriff auf Applikationsebene in den Webserver einzubrechen und versucht nun, über das FTP-Protokoll weiter ins interne Netzwerk vorzudringen. Die erste Erklärungsmöglichkeit ist zunächst nicht sehr plausibel, da davon auszugehen ist, dass der Administrator des Webservers darüber informiert ist, dass FTP in Richtung internes Netzwerk von der Firewall nicht zugelassen wird. In so einem Fall sollte der Firewall-Administrator mit dem Administrator des Webservers Rücksprache halten. Kann der verdächtige Logeintrag dabei nicht plausibel erklärt werden, müssen auf dem Webserver weitere Maßnahmen ergriffen werden, um den Verdacht zu erhärten bzw. zu entkräften (siehe Kasten Incident Handling). Exkurs: Incident Handling Führt die Auswertung der Firewall-Logdatei zu dem Verdacht, dass in ein bestimmtes System eingebrochen wurde, müssen weitere Indizien gesammelt werden, um den Verdacht zu erhärten bzw. zu entkräften. Die fünf grundlegenden Schritte für das verdächtige System sind dabei: 1. Netzwerkanschluss»instrumentalisieren«, d.h. sich in die Lage zu versetzen, den Netzwerkverkehr mitlesen zu können (so genanntes Sniffing, siehe»troubleshooting von Kommunikationsproblemen«, S. 245) und gegebenenfalls rasch eine Trennung vom Netz vornehmen zu können. Die Trennung sollte dabei nach Möglichkeit ohne längeren Ausfall des Netzwerk-Links erfolgen, da eine auf dem System vom Angreifer installierte Malware die Logdateien des Systems auf ein solches»link down«-ereignis überprüfen könnte, um dann die»selbstzerstörung«einzuleiten. 2. Betriebssystem»instrumentalisieren«, d.h. die Logdateien des Betriebssystems hinsichtlich verdächtiger Einträge überprüfen sowie gegebenenfalls vertrauenswürdige Software einbringen (statisch gelinkt, wenn möglich), die alle Prozesse und Sockets auflistet, z.b. lsof für Unix- Betriebssysteme oder ein vergleichbares Tool für Windows (zum Beispiel das Freeware-Tool Pmon von Sysinternals, 3. Betriebssystem»validieren«, d.h. MD5-Prüfsummen von allen ausführbaren Dateien (Executables) anfertigen, insbesondere von denen, die gerade als Prozesse ausgeführt werden, und anschließend gegen eine vertrauenswürdige Datenbank vergleichen, die alle MD5-Hashes der Executables des Betriebssystems enthält. Abweichende MD5-Hashes können auf ein Rootkit hindeuten.

7 7.2 Betrieb von Firewalls 243 Ein Rootkit ersetzt wichtige Systemprogramme wie ps, ls oder netstat durch Trojanische Pferde. Das Ziel des Rootkits ist es, die vom Angreifer installierte Software (z.b. ein Backdoor-Programm), die ebenfalls Bestandteil des Rootkits sein kann, unsichtbar zu machen. Beispielsweise zeigt ein vom Rootkit ausgetauschtes dir- oder ls-executable alle Dateien mit Ausnahme der Dateien an, die vom Angreifer auf das kompromittierte System kopiert wurden. Mit dem Vergleich von MD5-Hashes können nur herkömmliche Rootkits, aber keine kernelbasierten Rootkits erkannt werden. Letztere klinken sich wie ein Gerätetreiber in den Kernel des Betriebssystems ein und tauschen bestimmte Systemcalls aus. Die Maßnahmen 1, 2 und 3 können in der Reihenfolge variieren. 4. Wenn die bisher beschriebenen Maßnahmen zu keinem Ergebnis führen, aber das System aufgrund seines Verhaltens weiterhin»verdächtig«erscheint, sollten Tools wie chkrootkit (http://www.chkrootkit.org) für Unix und klister oder Patchfinder2 (http://www.rootkit.com) für Windows eingesetzt werden, um eventuell ein kernelbasiertes Rootkit zu entdecken. 5. In Abhängigkeit von den Verdachtsmomenten muss eine Entscheidung getroffen werden zwischen Weiterlaufenlassen des Systems mit verstärktem Logging und Mitlesen des Netzwerkverkehrs. Zusätzlich sollte ein Backup des Systems durchgeführt werden. Das System vom Netz trennen, volatile Informationen wie Hauptspeicherinhalt, Prozessliste, Socket-Liste oder MACtimes sichern und dann zwecks Plattenkopie und anschließender Offline-Analyse der Kopie das System ausschalten. Ein Mittelweg zwischen 5a und 5b ist eine bitgenaue Plattenkopie im laufenden Betrieb, die durch das Weiterlaufen des Systems jedoch nicht konsistent ist (es sei denn, sie wird gegen einen Filesystem-Snapshot angefertigt) Vertiefende Literatur: SANS ICH-Guide mit einem 10-Punkte-Notfallplan: https://store.sans.org/samples/incidenthandling_sample.pdf Dan Farmers und Wietse Venemas Ratgeber für UNIX: CERT-Informationen für Windows:

8 244 7 Management von Firewalls Einem Firewall-Logfile können grundsätzlich keine direkten Hinweise auf einen erfolgreichen Angriff entnommen werden. Erfolgreiche Angriffe werden über von der Firewall erlaubte Protokolle auf Anwendungsebene durchgeführt, so dass im Logfile der Firewall keine direkten Spuren hinterlassen werden. Es ist anhand der im Logfile dokumentierten verworfenen Pakete lediglich ersichtlich, welche Zugriffe nicht erfolgreich waren. Wie an obigem Beispiel beschrieben wurde, können aber auch solche Logeinträge für die Erkennung und Rückverfolgung eines zuvor erfolgten Einbruchs entscheidend sein. Bei der Analyse des Logfiles einer externen Firewall, die das Unternehmen vor Zugriffen aus dem Internet schützt, wird der Firewall-Administrator mehrmals täglich so genannte Portscans entdecken. Bei einem Portscan sucht ein potenzieller Angreifer systematisch nach Ports, die über das Internet erreichbar sind. Für diesen Zweck existieren zahlreiche freie (z.b. nmap) und kommerzielle (z.b. ISS Security Scanner) Werkzeuge, so genannte Portscanner, die automatisch nach offenen Ports suchen. Das Ziel eines Portscans ist die Beschaffung von Informationen über die erreichbaren Systeme und die darauf installierten Dienste. Ein bei der Logfile-Auswertung erkannter externer Portscan hat in der Regel einen geringen Informationswert, da es sich um keinen Angriff handelt und zum»grundrauschen des Internet-Traffics«gehört. Im Logfile der Firewall sind Portscans meist sehr leicht erkennbar, weil innerhalb von wenigen Sekunden Hunderte von Logeinträgen erzeugt werden. Bei einem Portscan werden entweder für eine bestimmte öffentliche IP-Adresse mehrere Hundert Ports durchprobiert, oder es werden für alle öffentlichen IP-Adressen bestimmte interessierende Ports, wie zum Beispiel der Port 22 für ssh-server oder der Port 80 für Webserver, durchprobiert. Portscans, die im Firewall Logfile sofort erkennbar sind, werden in der Regel durch unprofessionelle Script Kiddies (siehe Abschnitt»Das Sicherheitsproblem«, S. 92) durchgeführt. Ein professioneller Angreifer würde niemals auf diese Weise vorgehen, sondern auf Portscans entweder ganz verzichten oder so genannte Stealth Scans einsetzen, die sich nicht direkt im Logfile erkennen lassen. Stealth Scans erfolgen zum Beispiel sehr langsam, so dass eine Häufung verworfener Pakete nicht ohne weiteres erkennbar ist, oder verteilt von verschiedenen Quellen aus. Um zum Beispiel einen langsamen Scan zu erkennen, ist es wichtig, dass die Daten der Logdatei nicht nur chronologisch nach Zeit, sondern in verschiedenen anderen Ansichten sortiert nach Kriterien wie Quell-IP-Adresse, Ziel- IP-Adresse oder Ziel-Portnummer dargestellt werden können. Ein langsamer Portscan ist in einer chronologischen Ansicht nicht erkennbar, in einer nach Quell-IP-Adressen sortierten Ansicht aber sofort.

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

4.1 Absicherung des Internetzugangs mit einer Firewall

4.1 Absicherung des Internetzugangs mit einer Firewall 90 4.1 Absicherung des Internetzugangs mit einer Firewall 4.1.1 Ausgangssituation Unser mittelständisches Unternehmen verwendet derzeit das Internet für den E- Mail-Austausch und das Surfen im WWW. Außerdem

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3

HowTo: Logging, Reporting, Log-Analyse und Logserver-Einrichtung Version 2007nx Release 3 Inhalt 1 Securepoint Logserver... 3 2 Logserver für eine Securepoint Appliance einrichten... 4 2.1 Logserver an der Appliance registrieren... 4 2.2 Syslogserver auf der Appliance angeben... 6 3 Installation

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Das Schulnetz ist wie folgt aufgebaut:

Das Schulnetz ist wie folgt aufgebaut: Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host 1.2.2 192.168.129.0 /24 intern 192.168.130.0 /24 intern serielle Verbindung Cisco Router.1

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Information über das Virtual Private Networks (VPNs)

Information über das Virtual Private Networks (VPNs) Information über das Virtual Private Networks (VPNs) Ein VPN soll gewährleisten, dass sensible Daten während der Übertragung über verschiedene, sicherheitstechnisch nicht einschätzbare Netzwerke (LANs

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21

Grundlagen Funktionen Architektur Specs Live-Demo Finally OSSEC. Open Source Host Based IDS. Johannes Mäulen 11.04.2014. Johannes Mäulen OSSEC 1 / 21 OSSEC Open Source Host Based IDS Johannes Mäulen 11.04.2014 Johannes Mäulen OSSEC 1 / 21 Was ist OSSEC? Was ist IDS? Wozu brauch ich dass? OSSEC ist ein Open Source Host-based Intrusion Detection System.

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Praktikum IT- Sicherheit

Praktikum IT- Sicherheit Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN. Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen

Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN. Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN Ein Werkzeug für die automatisierte Portscanauswertung in komplexen Netzinfrastrukturen Felix von Eye, Wolfgang Hommel, Stefan Metzger DR. TOPSCAN

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

3. Workshop des VCC. - Firewall und Videokonferenz- Christoph Fleck. 10.04.2003 TU Dresden

3. Workshop des VCC. - Firewall und Videokonferenz- Christoph Fleck. 10.04.2003 TU Dresden 3. Workshop des VCC - Firewall und Videokonferenz- Christoph Fleck 10.04.2003 TU Dresden Inhalt Beteiligte weitere, Ausblick VCC Dresden: Cisco PIX 515 Version 6.3(1), 64 MB RAM, 16 MB FLASH Cisco MCM

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

Da es sich in meinem Fall um einen USB-Scanner handelt, sollte dieser mittels

Da es sich in meinem Fall um einen USB-Scanner handelt, sollte dieser mittels Scan - Server Nach der Einrichtung von Samba - Freigaben und eines Druckservers soll der Homeserver darüber hinaus noch einen, per USB angeschlossenen, Scanner im Netzwerk zur Verfügung stellen. Der Scanner

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

BENS OS 2.x BENS OS 4.00

BENS OS 2.x BENS OS 4.00 Kurze Beschreibung von Änderungen und Neuerungen in BENS OS Vers. 4.00 BENS OS 2.x BENS OS 4.00 Sprache der Bedienoberfläche nur Englisch. HTML-Oberfläche. Unterstützte Druckprotokolle: LPR /IPP / Socket

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Avira AntiVir 10 Service Pack 2 Release-Informationen

Avira AntiVir 10 Service Pack 2 Release-Informationen Release-Informationen Erhöhte Zuverlässigkeit / Stabilität: Der AntiVir-Scanner repariert die Registrierungsschlüssel, die von Malware verändert wurden MailGuard verhindert einen Absturz während des Scans

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0. 1KONFIGURATION VON NETWORK ADDRESS TRANSLATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung

Fertigprodukte. Bruno Blumenthal und Roger Meyer. 18. Juli 2003. Zusammenfassung Fertigprodukte Bruno Blumenthal und Roger Meyer 18. Juli 2003 Zusammenfassung Dieses Dokument beschreibt die Fertigprodukte welche im Projekt NetWACS eingesetzt werden sollen. Es soll als Übersicht dienen

Mehr

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION

KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION KYOFLEETMANAGER DATA COLLECTOR AGENT VORAUSSETZUNGEN UND INSTALLATION Bitte verwenden Sie diese Unterlagen, um vorab sicherzustellen, dass alle Voraussetzungen zur Installation des KYOfleetmanager DCA

Mehr

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung - Dienst wird in den Betriebssystemen Windows 2000 Advanced Server und Windows 2000 Datacenter Server bereitgestellt.

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 -

Befehlsreferenz. Copyright Stefan Dahler 11. Oktober 2010 Version 3.0. Seite - 1 - Befehlsreferenz Copyright Stefan Dahler 11. Oktober 2010 Version 3.0 Seite - 1 - 12. Befehlsreferenz ps Optionen Bedeutung -e Listet alle Prozesse -f Komplette Liste -j Gibt Prozessgruppen-ID aus -l Lange

Mehr

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall State-of-the-art Technology for Worldwide Telecommunications Über die Probleme nach einem Sicherheitsvorfall Andreas Bunten GUUG-Frühjahrsfachgespräch 2012 01.03.2012 I Controlware GmbH I Seite 1 Wie man

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie Mac OS X Firewall Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 21. November 2011 Mark Heisterkamp, Mac OS X Firewall, 21. November 2011 Seite 1/20 Lion Seit Mac OS X 10.7 drei Firewalls: Applikationsspezifisch

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits Bedrohung der Systemsicherheit durch Rootkits Wilhelm Dolle, Berlin, 22. Oktober 2005 1 Agenda Was ist ein Rootkit? Klassifizierung und Möglichkeiten von Rootkits Rootkits im Einsatz Rootkits aufspüren

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Netzwerksicherheit HACKS

Netzwerksicherheit HACKS Netzwerksicherheit HACKS 2. Auflage Andrew Lockhart Deutsche Übersetzung der 1. Auflage von Andreas Bildstein Aktualisierung der 2. Auflage Kathrin Lichtenberg O'REILLT Beijing Cambridge Farnham Köln Paris

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

IBEDongle. Lizenzverwaltung für IBE-Programme

IBEDongle. Lizenzverwaltung für IBE-Programme Lizenzverwaltung für IBE-Programme IBE Software GmbH; Friedrich-Paffrath-Straße 41; 26389 Wilhelmshaven Fon: 04421-994357; Fax: 04421-994371; www.ibe-software.de; Info@ibe-software.de Vorwort IBE Software

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Firewalling für KMU Internet-Partner der Wirtschaft

Firewalling für KMU Internet-Partner der Wirtschaft Firewalling für KMU Internet-Partner der Wirtschaft 1 Es passt... Ihr Business Unser Beitrag 2 was zusammen gehört! Medien Wirtschaftskompetenz Bewährte Technik Neue Gedanken 3 Wir bauen Portale... 4 und

Mehr

Whitepaper. Produkt: combit address manager / Relationship Manager. Client-Verbindungsprobleme beheben. combit GmbH Untere Laube 30 78462 Konstanz

Whitepaper. Produkt: combit address manager / Relationship Manager. Client-Verbindungsprobleme beheben. combit GmbH Untere Laube 30 78462 Konstanz combit GmbH Untere Laube 30 78462 Konstanz Whitepaper Produkt: combit address manager / Relationship Manager Client-Verbindungsprobleme beheben Client-Verbindungsprobleme beheben - 2 - Inhalt Einleitung

Mehr

INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION

INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION INFORMATION MONITOR HSM SOFTWARE GMBH SERVER-INSTALLATION Lizenzvereinbarung Infomon Server-Installation Lesen Sie vorab die Lizenzvereinbarung, die in der Datei Lizenzvereinbarung.doc beschrieben ist.

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

IDS : HoneyNet und HoneyPot

IDS : HoneyNet und HoneyPot IDS : HoneyNet und HoneyPot Know your Enemy Hauptseminar Telematik WS 2002/2003 - Motivation In warfare, information is power. The better you understand your enemy, the more able you are to defeat him.

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Eventscripts. - was passiert wann? -

Eventscripts. - was passiert wann? - Eventscripts - was passiert wann? - Events (Ereignisse) werden zu vielen Situationen aus OS4X gerufen Konfigurierbar (wird beim Start der Daemons eingelesen sowie bei Signalverarbeitung Jegliches Executable

Mehr

Grundlagen PIX-Firewall

Grundlagen PIX-Firewall Lars Krahl Stand: 2006 Grundlagen PIXFirewall Grundkonfiguration, Sicherung, Reset, Logging Einleitung Dieses Dokument befasst sich mit den Grundlagen der Bedienung der Cisco PIXFirewall. Die Aufgaben

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Forensische Analyse von Windows-Systemen BSI 2. IT-Grundschutz-Tag 2012 29.3.2012

Forensische Analyse von Windows-Systemen BSI 2. IT-Grundschutz-Tag 2012 29.3.2012 Forensische Analyse von Windows-Systemen BSI 2. IT-Grundschutz-Tag 2012 29.3.2012 Forensik von Windows-Systemen in 30 Minuten Windows 7 Windows 2008 R2 Bitlocker Quelle: Microsoft 2012, HiSolutions AG

Mehr

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008 Eine hochverfügbare Firewall mit iptables und fwbuilder Secure Linux Administration Conference, 11. Dec 2008 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, SLAC 2008 / 1 Eine einfache Firewall Eine

Mehr

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst 1 Sicherung 1.1 Einleitung Die Applikation WSCAR basiert auf der Datenbank-Engine Firebird 1.5.5 / 2.5.2. Beide Programme sind nur auf der Hauptstation(Server) installiert und dürfen nie deinstalliert

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

AnyWeb AG 2006 www.anyweb.ch

AnyWeb AG 2006 www.anyweb.ch ITSM Practice Circle September 2006 Incident Management mit HP OpenView Operations Incident Mgt mit HP OV Operations Windows Was ist Incident Management? Einer von 10 - ITIL Prozessen Eine Störung (Incident)

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Bevor ein Angreifer in ein System eindringen kann, muss er sich Informationen über dieses System beschaffen. Er muss wissen, welche Ports offen sind,

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Erste Schritte Server und automatische Clientinstallation. Auto Shutdown Manager Version 5

Erste Schritte Server und automatische Clientinstallation. Auto Shutdown Manager Version 5 Erste Schritte Server und automatische Clientinstallation Auto Shutdown Manager Version 5 Serverinstallation zuerst Laden Sie zuerst die neuste Testversion herunter: http://www.enviprot.com/en/free-downloads-auto-shutdown-manager-green-it.html

Mehr

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet

DesktopSecurity. Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet DesktopSecurity Schutz für den Windows-Arbeitsplatz PCs, Workstations und Laptops gegen Bedrohungen aus dem Internet Ralf Niederhüfner PROLINK internet communications GmbH 1 Desktop Security Szenarien

Mehr

Visual VEGA Netzwerkinstallation

Visual VEGA Netzwerkinstallation Allgemeines Visual VEGA 5.30 gibt es in den Varianten "Visual VEGA LT" und "Visual VEGA Pro". Die LT-Version kann maximal 16 Messstellen anzeigen, Visual VEGA Pro kann eine unbegrenzte Anzahl von Messstellen

Mehr