High Availability Firewalls

Größe: px
Ab Seite anzeigen:

Download "High Availability Firewalls"

Transkript

1 Projektarbeit High Availability Firewalls Remi Locherer Thomas Treuthardt 18. Februar 2005

2 Zusammenfassung An die Verfügbarkeit von IT-Services wie z.b. oder E-Banking werden hohe Erwartungen gestellt. Um diesen Erwartungen gerecht werden zu können, müssen sämtliche Komponenten, die zur Erbringung dieses Services notwendig sind, auf High Availability ausgelegt sein. Der Ausdruck High Availability wird verwendet, um ein System zu beschreiben, das darauf ausgerichtet ist, eine Beeinträchtigung des Betriebs durch Fehler und geplante Aktivitäten möglichst gering zu halten. Höchstes Ziel wäre, 100% Verfügbarkeit zu erreichen. In der Praxis ist die nicht realistisch, kann aber durch geeignete Massnahmen annähernd erreicht werden. In dieser Arbeit beschäftigen wir uns damit, wie Firewalls hochverfügbar aufgebaut werden können. Mit Hilfe von Firewalls kann der Datenuss zwischen Netzwerken kontrolliert und eingeschränkt werden. Unter den verschiedenen verfügbaren Firewalltechniken haben wir uns auf Paketlter beschränkt, die auf den OSI-Layern drei und vier arbeiten. Um High Availability Funktionen bei Firewalls zu realisieren, werden Clusters gebildet. Ein Cluster ist ein Verbund aus mehreren Computern, die gegen Aussen als ein System auftreten. Fällt ein Mitglied eines Clusters aus, übernimmt automatisch ein anderes Mitglied des Clusters dessen Funktionen. Für einen Enduser erfolgt dieser Vorgang transparent. Drei Produkte haben wir installiert und auf ihre HA-Funktionalität getestet. Die Lösung von Checkpoint basierend auf ClusterXL hat uns sehr überzeugt. Als einziges Produkt hat diese Lösung alle unsere Tests bestanden. Auch die Bedienung, die von einem zentralen Managementserver aus erfolgt, ist sehr überzeugend gelöst. Wenn die von Checkpoint zur Verfügung gestellte und auf Linux basierende SecurePlatform verwendet wird, kann der Aufwand bei der Installation und Wartung gegenüber anderen Lösungen beträchtlich reduziert werden. Mit OpenBSD kann dank den Protokollen CARP und pfsync ein redundanter Firewallcluster aufgebaut werden. Da OpenBSD unter der BSD-Lizenz steht, entfallen Lizenzierungskosten und der Sourcecode ist frei verfügbar. Was fehlt, ist ein zentrales Management. OpenBSD ist aber vorzüglich als Basis für eine eigene Platform geeignet. Das dritte getestete Produkt ist FortiGate 60. Hierbei handelt es sich um eine Appliance der Firma FortiNet. FortiGate 60 ist eher für den Einsatz in kleineren Betrieben geeignet. Trotzdem verfügt es mit der uns zur Verfügung stehenden Software über Features der grösseren Modelle, wie z.b. High Availability. Grundsätzlich macht das Produkt einen guten Eindruck. Für den Einsatz in einer auf Hochverfügbarkeit ausgelegten Umgebung ist es, unserer Meinung nach, noch nicht geeignet. 2

3 Abstract IT services such as or e-banking are subject to great expectations. To meet those demands, every single component associated with the provision of services must be of high availability. High Availability describes systems, which keep the disturbances caused by failures or planned actions as small as possible. The aim is to maintain operation at 100%. In reality, however, it's not realistic to meet this goal, although taking proper actions can help to get close to it. In this project, we were looking into high availability rewll concepts. Using rewalls, it is possible to control and limit network trac. There are various rewall techniques; we were focusing on packet lters, which work on OSI layers three and four. To build highly available rewalls, cluster technology is used. A cluster consists of two or more computers called nodes. If one node fails another node will take over. End users shouldn't notice anything of this. We were installing and testing three dierent rewall products with respect to their high availability features. The product distributed by Checkpoint, which is based on ClusterXL, convinced us most and passed all our tests. In addition, this solution is easy to handle through a central management server. Using Linux based SecurePlatform, only a small eort is needed to operate and maintain the system. OpenBSD is another solution to build a redundant rewall cluster using the CARP and pfsync protocols. As it is provided for free thanks to the BSD License, there are no fees and the source code is available. On the downside, it lacks a central management tool. Nevertheless, Open BSD can be used as a base for a platform. The third product we examined is FortiGate 60. It's an appliance of the company FortiNet designed to be used in small enterprises. In general our impression is quite good. However, the actual state of the high availability implementation does not meet the required standard yet. Therefore we do not recommend using it in a high availability environment. 3

4 Inhaltsverzeichnis 1 Einleitung Motivation Ziele der Arbeit Übersicht 6 2 Einführung in HA Firewalls Der Begri Firewall Paketlterung Statefull Filtering Grundwerte der IT-Sicherheit High Availability Allgemeine Denition von High Availability Wiso braucht es HA? Einsatzgebiete von HA Lösungen 11 3 Technische Umsetzung Cluster Virtual Router Redundancy Protocol (VRRP) Common Address Redundancy Protokol (CARP) Cluster Control Protokol (CCP) und ClusterXL FortiGate Cluster Protokoll (FGCP) Statesynchronisation Pfsync ClusterXL ct_sync Netzwerkinfrastruktur 21 4 Produktetest Produkteauswahl Testszenarien Kriterien Netzwerkaufbau Tools Ablauf 26 4

5 Inhaltsverzeichnis Inhaltsverzeichnis Firewall Rules Checkpoint FW1 NG (R55) Installation Konguration Funktionstests Fazit OpenBSD 3.6 mit CARP und Pfsync Installation Konguration Funktionstests Fazit Fortigate Installation Konguration Funktionstests Fazit Zusammenfassung 43 5 Schlusswort 44 A Anhang 45 A.1 Hardware Konguration 45 A.1.1 bart 45 A.1.2 lisa 46 A.1.3 maggie 47 A.1.4 Firewallcluster 47 A.1.5 DNS-Listing 48 A.2 Konguration 49 A.2.1 Checkpoint FW1 NG 49 A.2.2 OpenBSD 54 A.2.3 FortiGate A.3 Testskripte 56 A.3.1 failover_whithout_trac.sh 56 A.3.2 statesync_recovery.sh 56 A.3.3 interfaces.sh 56 A.3.4 failover_with_trac.sh 56 A.3.5 delay_analyzer.pl 57 A.4 Projektplan 58 A.5 Aufgabenstellung 59 Literaturverzeichnis 60 5

6 1. Einleitung 1.1. Motivation Es gilt heute als selbstverständlich, dass Applikationen wie e-banking oder Fahrplanauskünfte 7 x 24 Stunden über das Internet zur Verfügung stehen. Um das zu erreichen, muss nicht nur die Applikation selbst auf "High Availability" (HA) ausgerichtet sein, sondern auch die Netzwerkinfrastruktur. In dieser Projektarbeit untersuchen wir eine Komponente dieser Netzwerkinfrastruktur - die Firewall - genauer auf ihre HA-Tauglichkeit Ziele der Arbeit Das Ziel der Arbeit ist es, die Tauglichkeit von Firewalls für den Einsatz in einer HA-Umgebung zu untersuchen. Um dieses Ziel zu erreichen, unterteilten wir die Arbeit in verschiedene Schritte. Zuerst erarbeiten wir uns die Grundlagen über Hochverfügbarkeit und Firewalling im Allgemeinen. Danach untersuchen wir verschiedene auf dem Markt erhältliche Produkte und standardisierte Protokolle im Zusammenhang mit HA-Firewalls. Der nächste Schritt ist das Installieren von verschiedenen Produkten, um ihre HA-Funktionen zu testen. Wir wollen untersuchen, ob die Produkte den HA-Anforderungen auch wirklich gerecht werden und in welchen Punkten sich die verschiedenen Implementationen unterscheiden. Damit wir diese Tests durchführen können, müssen wir ein geeignetes und reproduzierbares Testverfahren entwickeln. Das Ziel der Testinstallation ist es, Aussagen über die untersuchten Produkte bezüglich Features, Implementations- und Betriebsaufwand zu machen Übersicht Der Bericht ist so gegliedert, wie wir vorgegangen sind. Im theoretischen Kapitel 2 Einführung in HA Firewalls gehen wir zunächst kurz auf Firewalls, IT-Sicherheit und HA im Allgemeinen ein. Im Kapitel 2.4 untersuchen wir die Funktionsweise verschiedener Protokolle, die für die Realisation von HA-Firewalls verwendet werden. Auf die Implementationen von Checkpoint und OpenBSD gingen wir ausführlich ein. Die HA-Lösungen von Checkpoint, OpenBSD und FortiNet haben wir zudem installiert und 6

7 1.3. ÜBERSICHT Einleitung auf ihre HA-Tauglichkeit getestet. Im Kapitel 3 ist zuerst unsere Testszenarios und dann die Ergebnisse im Detail erläutert. Mit einem kurzen Vergleich der Produkte betreend der Eignung für verschiedene Einsatzgebiete wird Kapitel 3 abgeschlossen. Zuletzt wird die Arbeit mit dem Schlusswort zur Projektarbeit abgeschlossen. 7

8 2. Einführung in HA Firewalls Inhalt 2.1 Der Begri Firewall Paketlterung Statefull Filtering Grundwerte der IT-Sicherheit High Availability Allgemeine Denition von High Availability Wiso braucht es HA? Einsatzgebiete von HA Lösungen 11 Damit die Erläuterungen zu den Protokollen in Kapitel 3 verständlich sind, müssen zuerst einige Grundlagen verstanden werden. In diesem Kapitel erläutern wir zuerst den Begri Firewall etwas bgenauer. Nach einer kurzen Einführung in die Grundwerte der IT-Sicherheit erklären wir, was es mit High Availability auf sich hat Der Begri Firewall Im IT-Grundschutzhandbuch [1] Kapitel 7.3 wird der Begri Firewall folgendermassen erklärt: Eine Firewall dient zur Kontrolle der Kommunikation zwischen zwei Netzen. Im Regelfall wird sie zum Schutz eines Netzes gegen Angrie aus einem Netz mit einem geringeren Schutzbedarf eingesetzt, z. B. bei der Anbindung eines zu schützenden Teilnetzes an ein organisationsumspannendes Netz oder der Anbindung eines Firmennetzes an das Internet. Der Einsatz von Firewalls alleine bietet jedoch noch nicht genügend Schutz für ein Netzwerk. Als Bestandteil eines Sicherheitskonzepts ist eine Firewall trotzdem ein sehr eektives Mittel. Firewalls gibt es als Softwarelösungen, die z.b. auf einem UNIX aufsetzen und vom Administrator selber installiert werden müssen. Vermehrt werden heute aber Appliance-Lösungen eingesetzt. Bei einer Appliance wird die Hardware mit vorinstallierter Software geliefert. Oft bauen Appliances auf spezialisierten Prozessoren auf, welche die Paketverarbeitung beschleunigen. 8

9 2.1. DER BEGRIFF FIREWALL Einführung in HA Firewalls Paketlterung Wenn von Firewalls die Rede ist, sind in den meisten Fällen Paketlter gemeint. Paketlterung ist ein Mechanismus und den Datenuss zu und von einem Netzwerk auf den OSI-Layern 3 und 4 zu kontrollieren. Es kann kontrolliert werden, von welcher IP-Adresse aus über welches Protokoll zu welcher IP-Adresse kommuniziert werden darf. Protokolle auf höheren OSI-Layern wie z.b. SMTP können nur zugelassen oder gesperrt werden. Der Inhalt kann nicht überprüft werden. Es ist auch nicht möglich, nach Usern z.b. auf Basis von Passwörtern oder Zertikaten zu ltern. Wenn solche Funktionen benötigt werden, müssen Proxies (Filter auf höheren OSI- Layern) verwendet werden. Paketlter haben gegenüber Proxies den Vorteil, dass auf den zu schützenden Komponennten keine Anpassungen notwendig sind. Die meisten Paketlter arbeiten auf OSI-Layer 3 als Router. Es gibt jedoch auch Produkte, die auf OSI-Layer 2 als Bridge konguriert werden können Statefull Filtering Um beispielsweise die Kommunikation mit einem Webserver hinter einer Firewall zu ermöglichen, muss die Firewall einerseits Verbindungen vom Client zum Webserver erlauben. Andererseits muss, für die Antwortpakete, die Verbindung vom Webserver zu den Clients ebenfalls erlaubt sein. Wenn Verbindungen in beide Richtungen zugelassen werden müssen, kann die Firewall die einzelnen Verbindungen nicht mehr überprüfen und kontrollieren. Diese zustandslose Filtermethode wird oft statische Paketlterung genannt. Statefull ltering oder Statefull inspection baut darauf auf, dass bei TCP basierten Protokollen eine Verbindung mit einem SYN-Paket initiiert wird. Danach kann die Session eindeutig identi- ziert werden. So ist es nur noch notwendig, Pakete mit gesetztem SYN-Flag zum Webserver durchzulassen. Die neue Verbindung wird in die State-Tabelle eingetragen und alle Pakete, die zu dieser Verbindung gehören, werden nun in beide Richtungen zugelassen. Damit keine toten Einträge in dieser Tabelle entstehen, wird zusätzlich noch mit Timeouts gearbeitet. Bei vielen Implementationen ist das Durchsuchen dieser State-Tabelle viel schneller als das Durcharbeiten des Rulesets. Schwieriger als bei TCP ist es bei UDP- und ICMP-Paketen, da diese Protokolle zustandslos sind. Hier wird ausschliesslich mit Timeouts gearbeitet. Statefull ltering wird in deutscher Literatur teilweise auch dynamische Paketlterung genannt. Ausführlichere Erläuterungen sind in [2] zu nden. Für detailiertere Informationen zu den Protokollen ist [3] empfehlenswert. In dieser Arbeit beschränken wir uns auf Paketlter die routen. Wenn ein Produkt zusätzlich Proxy-Funktionen anbietet, gehen wir nicht näher auf diese ein. 9

10 2.2. GRUNDWERTE DER IT-SICHERHEIT Einführung in HA Firewalls 2.2. Grundwerte der IT-Sicherheit Beim Begri IT-Sicherheit denken die Meisten zuerst an Vertraulichkeit. Bei Vertraulichkeit geht es darum, Daten vor unbefugten Zugrien zu schützen. Wenn die Vertraulichkeit nicht gewährleistet ist und z.b. Kundendaten oder Betriebsgeheimnisse in falsche Hände geraten, kann das für eine Unternehmung ernste Folgen haben. Es muss mit Image-Verlust, Wettbewerbsnachteilen und strafrechtlichen Verfahren gerechnet werden. Mindestens so wichtig wie der Schutz vor unbefugten Zugrien ist die Integrität der Daten. Es kann verheerende Konsequenzen haben, wenn z.b. manipuliertes Zahlenmaterial als Basis von Analysen verwendet wird. Oft weniger beachtet wird die Verfügbarkeit. Barth [2] deniert Verfügbarkeit folgendermassen: "Verfügbar sind Daten und Dienste dann, wenn Sie innerhalb einer zuvor festgelegten Zeitspanne (zum Beispiel Bürozeit, 5x8 h, 7x24 h etc.) im Bedarfsfall ohne Einschränkung, ordnungsgemäss erreichbar sind." In dieser Arbeit betrachten wir vor allem diesen Aspekt von Firewallsystemen High Availability Allgemeine Denition von High Availability Der Ausdruck High Availability wird verwendet um ein System zu beschreiben das darauf ausgerichtet ist, eine Beeinträchtigung des Betriebs durch Fehler und geplante Aktivitäten möglichst gering zu halten. Höchstes Ziel von HA wäre, 100% Verfügbarkeit zu erreichen. In der Praxis ist das kaum möglich. Mit sorgfältiger Planung kann jedoch eine sehr hohe Verfügbarkeit von beinahe 100% erreicht werden. Oft werden die ve 9s (99,999 %) erwähnt, was einer Ausfallzeit von ca. fünf Minuten pro Jahr entspricht. Ziel eines HA-Designs ist es, möglichst alle potentiellen Ursachen eines Unterbruchs zu eliminieren Wiso braucht es HA? Der Einsatz von IT-Systemen gilt heute als selbstverständlich und nimmt ständig zu. Die Leistungsfähigkeit von Computern ist stark angestiegen und sie werden heute in einem grossen Anwendungsfeld eingesetzt. Gleichzeitig sind die Preise drastisch gesunken, was der Verbreitung weiteren Anschub gab. Es ist ganz normal, das Anwender mit Systemen auf der ganzen Welt interagieren. Die Abhängigkeit von vernetzten Computersystemen nimmt stetig zu. Deshalb sinkt die Toleranz für Unterbrüche und Fehler. Die Erwartungen an die Verfügbarkeit von IT-Systemen nähert sich immer mehr denen der Telefonie an. Immer mehr Geschäftsfälle basieren auf den Möglichkeiten des Internets. Um das zu verdeutli- 10

11 2.3. HIGH AVAILABILITY Einführung in HA Firewalls chen hier ein Beispiel: Im Juni 1999 war der Service von ebay für 22 Stunden nicht verfügbar. Gemäss [4] gingen ebay dadurch zwischen 3 und 5 Millionen Dollar verloren. Um Schäden am Unternehmensimage zu vermeiden, ist eine hohe Verfügbarkeit einer Internetpräsenz wichtig. Bei einigen Ratings von Banken wird auch die Erreichbarkeit der Website und speziell der E-Banking Platform miteinbezogen. Immer mehr Unternehmen, die nicht direkt mit Internettechnologie Umsatz erzielen, messen Diensten wie oder dem WWW einen hohen Stellenwert zu. Wenn eine nicht innerhalb von wenigen Minuten beim Empfänger ankommt, wird schnell dem Support angerufen Einsatzgebiete von HA Lösungen Bei einer kleinen Umfrage hat sich gezeigt, dass in verschiedenen Unternehmen ganz unterschiedliche Ansichten und auch Anforderungen zum Thema HA vorherrschen. Einige Unternehmen lassen sich durch zusätzliche Kosten oder Komplexität abschrecken. Andere erachten es als essentiell um ihre vertraglichen Verpichtungen einhalten zu können. An der ZHW ist das Netzwerk mit Ausnahme weniger Services nicht redundant konzipiert. Redundant ist unter anderem die eingesetzte VPN-Lösung von Cisco, die DNS- und Proxy- Server sowie das Active Directory von Microsoft. Die Betriebszeiten ensprechen den Bürozeiten. HA ist desshalb keine Anforderung die gestellt wird. Für Probleme die Nachts oder an Wochenenden auftreten, existiert kein Bereitschaftsdienst. Bei der Firma terreactive, die sich auf umfassende IT-Sicherheitslösungen spezialisiert hat, werden mit den Kunden SLAs vereinbart. So werden Verfügbarkeit, maximale Ausfallzeit, Servicewindow und Reaktionszeit vertraglich vereinbart. Hauptsächlich werden DNS-, Webund Mailservices hochverfügbar ausgelegt. Um das zu erreichen, wird die eigens entwickelte Lösung tacas für Linux und Solaris eingesetzt. Zudem ist auch das Netzwerkdesign und die Internetanbindung redundant. Realisiert wird das mit BGP und dem von Cisco entwickelten Hot Standby Routing Protocol (HSRP). Für Notfälle existiert ein Bereitschaftsdienst. Die Schweizer Grossbank UBS AG legt viel Wert auf hohe Verfügbarkeit. Wichtige Services sind komplett redundant aufgebaut. Um auch Elementarschäden vorzubeugen, wurde ein zweites, Rechenzentrum aufgebaut. So wird z.b. ein Teil eines Firewallclusters im Rechenzentrum in Zürich betrieben und der zweite Teil im ca. 10 km entfernten Rechenzentrum. Die Verfügbarkeit der einzelnen Services ist mit SLAs geregelt. Da die UBS AG ein global tätiges Unternehmen ist, werden die wichtigsten Services rund um die Uhr aktiv von einer zentralen Stelle aus überwacht. KURZ ist ein weltweit agierender Anbieter der Heissprägetechnologie, mit Hauptstandort in Deutschland. Die verschiedenen Standorte sind mit VPN-Tunnels verbunden. Bei KURZ ist erfahrungsgemäss die Anbindung zum Internet Service Provider (ISP) die häugste Fehlerursache. Um die Verfügbarkeit zu steigern, setzt KURZ auf eine redundante Internetanbindung 11

12 2.3. HIGH AVAILABILITY Einführung in HA Firewalls mit zwei ISPs. Zudem ist auch das interne Netzwerk redundant aufgebaut. Bei den Firewalls verzichtet man jedoch auf den Einsatz eines Clusters, da man mit der Verfügbarkeit der verwendeten Hardware gute Erfahrungen gemacht hat. 12

13 3. Technische Umsetzung Inhalt 3.1 Cluster Virtual Router Redundancy Protocol (VRRP) Common Address Redundancy Protokol (CARP) Cluster Control Protokol (CCP) und ClusterXL FortiGate Cluster Protokoll (FGCP) Statesynchronisation Pfsync ClusterXL ct_sync Netzwerkinfrastruktur 21 Um HA zu erreichen, gibt es verschiedene Ansätze. Im Mainframe Bereich ist HA auf Hardware- Ebene schon seit langem verwirklicht. Fallen Hardwarekomponenten aus, können diese während des Betriebs ausgetauscht werden. Der Einsatz von Raid-Systemen zur Minderung der Folgen eines Harddisk-Ausfalls ist weit verbreitet. Diese Techniken nützen aber nichts, wenn ein Techniker aus Unachtsamkeit das falsche Netzwerkkabel zieht oder der berühmte Bagger die Verbindung durchtrennt. In Kombination mit Cluster-Technologien kann jedoch eine sehr hohe Ausfallsicherheit erzielt werden. In diesem Kapitel beschäftigen wir uns einleitend mit Clustertechnologie im Allgemeinen. Danach stellen wir verschiedene Firewallspezische Lösungen vor. Um Firewallcluster zu bilden, ist einerseits ein Protokoll zur Clusterverwaltung und andererseits ein Protokoll zur Synchronisation notwendig. Auf diese zwei Bestandteile gehen wir im Folgenden getrennt ein. Wenn HA-Firewalls eingesetzt werden, sollte dass ganze Netzwerkdesign darauf ausgelegt sein. Diesen Punkt behandeln wir kurz am Ende dieses Kapitels Cluster Wenn mehrere Computer zu einer logischen Einheit zusammengeschaltet werden, wird dieser Verbund als Cluster bezeichnet. Gegen aussen tritt ein solcher Rechnerverbund als ein System auf. Ein einzelner Computer eines Clusters wird als Node oder Clusternode bezeichnet. Beim Design eines HA-Clusters muss zuerst die Betriebsart der Nodes deniert werden. Unterschieden wird zwischen Aktiv und Passiv. Ein Node im aktiven Modus nimmt Anfragen von 13

14 3.1. CLUSTER Technische Umsetzung Clients entgegen und beantwortet sie. Im Passiven Modus bearbeitet ein Node keine Anfragen von Clients. Der passive Node überwacht den aktiven und übernimmt dessen Funktion, sollte er ausfallen. [5] Am häugsten wird ein Firewallcluster mit einem aktiven und einem passiven Node betrieben. Man nennt diese Konguration das Aktiv-Passiv Clustermodell. Wenn beim Design des Firewallclusters die Skalierung wichtig ist, werden Firewallcluster als Aktiv-Aktiv oder Loadsharing Clustermodell mit mehreren aktiven Nodes verwendet. Bei beiden Modellen muss ein Mechanismus implementiert sein, um Netzwerkpakete zu steuern und zu verteilen. Dies kann mit einem externen Loadbalancer realisiert werden, der entweder die Pakete gleichmässig auf die Clusternodes verteilt (Aktiv-Aktiv Clustermodell) oder beim Ausfall des einen Clusternodes alle Pakete an den verbleibenden Clusternode sendet. Der Loadbalancer selbst muss natürlich auch auf HA ausgelegt sein. In der Regel wird der Mechanismus aber mit Hilfe von Protokollen von den Clusternodes selbst übernommen. In den folgenden Abschnitten betrachten wir verschiedene solche Protokolle genauer. Die unterschiedlichen Produkte und Protokolle verwenden teilweise unterschiedliche Begrie, die aber Dasselbe bedeuten. Für Passiv-Node werden auch die Begrie Backup oder Slave benutzt. Mit dem Begri Master ist ein aktiver Node gemeint Virtual Router Redundancy Protocol (VRRP) Bei einem Ausfall eines Routers kann mittels dynamischer Routingprotokollen wie z.b. OSPF eine alternative Route berechnet und benutzt werden. Das funktioniert aber nicht, wenn der erste Router einer Strecke ausfällt, da ein Host normalerweise nicht ins dynamische Routing eingebunden ist und nur einen Eintrag für den Defaultrouter hat. Um auch für diesen Problemfall Redundanz zu ermöglichen, wurde 1998 vom IETF, das Virtual Router Redundancy Protocol in RFC 2338 deniert. VRRP ist ähnlich aufgebaut wie das Hot Standby Routing Protocol der Firma Cisco. Mit VRRP können mehrere physikalische Router zu einem virtuellen zusammengefasst werden. Dieser virtuelle oder logische Router erhält eine eigenen MAC- und IP-Adresse. Ein Router im Cluster wird als Master bestimmt und verarbeitet Pakete die an die virtuellen Adressen gesendet werden. Der Master-Router sendet in einem denierten Zeitintervall Pakete um anzuzeigen, das er noch verfügbar ist. Wenn der Backup-Router diese Pakete nicht mehr erhält, übernimmt er die Funktion des Masters Common Address Redundancy Protokol (CARP) CARP ist ein Failover Protokoll, welches in OpenBSD implementiert ist. CARP ist eine Alternative zu VRRP. Die Patentansprüche von Cisco auf gewisse Bestandteile von VRRP hat das OpenBSD Entwicklerteam dazu veranlasst, ein eigenes, freies Protokoll zu schaen. Um 14

15 3.1. CLUSTER Technische Umsetzung zu verhindern, dass Cisco auch auf CARP Patentansprüche erhebt, wurden in CARP einige Features eingebaut die HSRP nicht unterstützt. Ein grosser Unterschied ist, dass CARP die Pakete veschlüsselt versendet und auf Integrität prüft. Dies ist ein sehr wichtiger Sicheheitsmechanismus. Ohne diesen Mechanismus könnte ein Angreifer im lokalen Netz mit falschen Paketen die Rolle des Masters übernehmen. Ein weiterer Unterschied ist, dass CARP bereits IPv6 unterstützt. Aktiv-Passiv Modus Ein CARP Cluster hat eine virtuelle Host Nummer (VHID), eine virtuelle IP-Adresse (VIP) und eine virtuelle MAC-Adresse (VMAC). Die VMAC-Adresse wird automatisch von CARP generiert und hat bei Ethernet und FDDI Interfaces das Format 00:00:E5:00:01:xx, wobei xx für die VHID steht. Diese Angaben sind im aktiv-passiv Modus auf allen Nodes gleich. Wichtig ist, dass die VIP-Adresse im gleichen Subnetz ist wie die realen IP-Adressen der Nodes. Bei der Konguration der CARP Interfaces wird jedem Node zudem eine Priorität zugeordnet. Diese wird für das Aushandeln des Masters benötigt. Der Node mit der höchsten Priorität ist der Master. Wenn nun von einem Host im Netz ein ARP-Request auf die VIP-Adresse stattndet, antwortet der Master mit der virtuellen MAC-Adresse. Die passiven Nodes erhalten die Pakete, welche an die VIP-Adresse gesendet werden, in einem geswitchten Netz normalerweise nicht. Falls doch, würden sie diese Pakete verwerfen. Der Master sendet, in einem von der Priorität bestimmten Intervall, CARP-Bestätigungspakete an die anderen Nodes. Anhand dieser Pakete können diese feststellen, ob der Master noch verfügbar ist. Wenn der Master, zum Beispiel auf Grund eines Defektes, keine Bestätigungspakete mehr senden würde, stellen das die anderen Nodes fest. Der Node mit der zweithöchsten Priorität im Cluster übernimmt die Funktion des Masters und sendet nun an seiner Stelle die Bestätigungspakete. Abbildung 3.1 zeigt die schematische Darstellung eines CARP-Clusters. Im Abschnitt 4.4 gehen wir genauer auf die Installation und Konguration von CARP im Aktiv-Passiv Modus ein. Loadsharing CARP bietet zusätzlich die Möglichkeit zur Konguration eines Loadsharing. Diese Option wird Arpbalancing genannt. Die Verteilung der Verbingungen basiert auf einem Hash über die Source IP-Adresse des Hosts, welcher den ARP-Request für die VIP-Adresse des Clusters sendet. Dies hat zur Folge, dass dieser Mechanismus nur im lokalen Netzwerksegment funktioniert. Wenn die Pakete über einen Router zum CARP-Cluster gelangen, ist die Source IP-Adresse des ARP-Requests immer die des Routers. Alle Pakete würden so über den selben Node im Cluster geführt Cluster Control Protokol (CCP) und ClusterXL Checkpoint hat mit ClusterXL ein eigenes, propretäres Cluster Protokoll entwickelt. Mit CCP tauschen die Clusternodes ihren Status wie auch die State-Informationen untereinander aus. 15

16 3.1. CLUSTER Technische Umsetzung Abbildung 3.1.: CARP Diagramm In diesem Abschnitt gehen wir nur auf den Failovermechanismus ein. Der Synchronisationsmechanismus wird unter 3.2 behandelt. Bei Checkpoint ist es möglich, verschiedene Produkte für den Betrieb eines Clusters zu nutzen. Wir betrachten hier nur die Checkpoint eigene Lösung mit ClusterXL. ClusterXL stellt vier verschiedene Betriebsarten zur Verfügung. Es gibt zwei High Availability und zwei Loadsharing Modi. Wir gehen hier auf drei dieser Modi genauer ein. Den High Availability Legacy Modus haben wir nicht näher untersucht. Für alle Modi benötigt jeder Node mindestens drei Netzwerkinterfaces. Je eines für das interne und das externe Netzwerk und eines für das Synchronisationsnetzwerk. Letzteres wird für die Synchronisation der Firewall State-Tabelle benötigt. Der Cluster hat für das interne und das externe Netwerk je eine viruelle IP-Adresse. Zu dieser VIP-Adresse existiert kein reales Interface. Jeder Node hat zudem für jedes Interface eine eigene eindeutige IP-Adresse. Die VIP-Adresse muss dabei nicht im gleichen Subnetz sein wie die eigene IP-Adressen der Nodes. So ist es möglich, das eine Unternehmung nur eine öentliche IP-Adresse besitzen muss. Jedoch müssen alle eigenen IP-Adressen der Nodes auf der gleichen Seite des Clusters im gleichen Subnetz sein. Die Nodes versenden in regelmässigen Abständen über alle Interfaces Statusinformationspakete. Diese Pakete werden mit einem Layer 2 Broadcast unverschlüsselt über das Netzwerk gesendet. In Abbildung 4.1 ist der Aufbau eines solchen Cluster ersichtlich. 16

17 3.1. CLUSTER Technische Umsetzung High Availability New Mode Abbildung 3.2.: CCP FWHA_MY_STATE Paket In diesem Modus arbeitet der Cluster mit einem aktiven und einem oder mehreren passiven Nodes. Bei der Konguration wird allen Nodes eine Priorität zugeordnet die das Master/Slave Verhalten steuert. Zusätzlich ist es möglich das Verhalten zu beeinussen, wenn ein Node nach einem Ausfall wieder ins Cluster aufgenommen wird (Recovery). Eine Kongurationsmöglichkeit ist, dass der gerade aktive Node der Master bleibt, auch wenn der Node, welcher wieder in den Cluster aufgenommen wird, eine höhere Priorität besitzt. Bei der anderen Variante, übernimmt nach einem Recovery der Nodes mit der höchsten Priorität auch dieser wieder die Masterfunktion. Abbildung 3.2 zeigt den Aufbau eines CCP-Paketes, welches wir mit Hilfe von Ethereal gesnit haben. Dieses Paket liefert einige Informationen über den Cluster. Man sieht zum Beispiel, dass unser Cluster aus zwei Nodes besteht (Number of IDs Reported) und mit welchem Recoverymodus das Cluster arbeitet (HA mode). Unter Machine states ist ersichtlich, welcher Node gerade aktiv ist. Wie der High Availability New Mode im Detail bei einem Failover funktioniert, lässt sich am besten anhand eines Beispieles erklären. Wir nehmen an, dass 2 Subnetze über ein Firewallcluster miteinander verbunden sind. Nun möchte Host A im einen Subnetz mit Host B im anderen Subnetz kommunizieren. 17

18 3.1. CLUSTER Technische Umsetzung 1. Host A weiss anhand seiner Routingtabelle die IP-Adresse des Gateways. Diese Adresse entspricht der VIP-Adresse des Clusters. 2. Um die MAC-Adresse des Clusters hearauszunden, sendet Host A einen ARP-Request (broadcast) für die VIP-Adresse des Clusters. 3. Der Master des Cluster beantwortet diesen Request mit der MAC-Adresse seines realen Interfaces. 4. Host A sendet Pakete für Host B an die MAC-Adresse die er mit der VIP-Adresse verknüpft hat. 5. Mit einem ARP-Request ndet der Master heraus, welche MAC-Adresse Host B hat. 6. Die Pakete werden nun über den aktiven Node des Clusters zu Host B versendet. 7. Host B kennt die MAC-Adresse die zur VIP-Adresse vom vorhergehenden ARP-Request des Masters. 8. Wenn nun auf dem aktiven Node ein Fehler auftritt, bemerkt dies der passive Node und übernimmt die Rolle des Masters. Damit die Pakete auch zum neuen Node gesendet werden, sendet dieser an Host A und Host B einen unaufgeforderten ARP-Reply. Dies bewirkt, dass die Hosts die MAC-Adresse in der eigenen ARP-Tabelle für die VIP- Adresse des Clusters mit der neuen MAC-Adresse überschreiben. 9. Die Kommunikation zwischen den beiden Hosts kann nach einem kurzen Unterbruch weitergeführt werden. Loadsharing Multicast Wie der Name schon sagt, wird hier die Last auf alle Nodes im Cluster verteilt. Alle Nodes sind aktiv. Die Kommunikation unter den Nodes funktioniert gleich wie im High Availability New Mode. Ein grosser Unterschied besteht bei der Verteilung der Pakete auf die einzelnen Nodes. Auf den Switches, mit denen der Cluster verbunden ist, müssen Multicast MAC- Adressen eingerichtet werden. Wenn ein Paket an eine Multicast MAC-Adresse gesendet wird, leitet der Switch dieses an alle Nodes im Cluster weiter. Diese entscheiden nun anhand eines Algorithmus, welcher das Paket verarbeitet. Das Problem besteht darin, dass alle Pakete einer Verbindung, wegen der dynamischen Paketlterung, vom gleichen Node bearbeitet werden sollten. ClusterXL garantiert dies aber nicht für alle Fälle. Durch die Statesynchronisation sollte dies jedoch kein Problem darstellen. 18

19 3.1. CLUSTER Technische Umsetzung Loadsharing Unicast Auch in diesem Modus sind alle Nodes im aktiven Zustand. Man benötigt jedoch keine Multicast fähigen Switches. Die Nodes machen untereinander den sogenannten Pivot aus. Dieser beantwortet daraufhin alle ARP-Request mit der MAC-Adresse physikalischen Interfaces. Alle Pakete werden an diesen Pivot-Node gesendet und er entscheidet, ob er ein Paket selbst bearbeitet oder es mittels ARP-rewrite an einen anderen Node des Clusters weiterleitet. Falls der Pivot-Node ausfällt wird diese Funktion von einem anderen Node übernommen. Dieser Modus kann unter dem Aspekt der Performance nicht mit der Multicast-Variant mithalten. Der Vorteil liegt darin, dass keine spezielle Switchkonguration notwendig ist. Failover Damit ein Fehler erkannt wird und daraufhin ein Failover durchgeführt werden kann, überwacht auf jedem Node ein Prozess das eigene System. Ein Failover wird bei folgenden Ereignissen durchgeführt: Bei einem kritischen Prozess tritt ein Fehler aufh. Ein Beispiel für einen kritischen Pozess ist der Firewallprozess fwd. Ein Netzwerkinterface oder ein Netzwerkkabel ist defekt. Das Ruleset einer Firewall ist nicht korrekt installiert FortiGate Cluster Protokoll (FGCP) Auch die Firma FortiNet hat für den Clusterberieb ihrer Firewalls ein eigenes Clusterprotokoll entwickelt. Die Firewallprodukte werden unter dem Namen FortiGate vertrieben. Grundsätzlich funktioniert das FortiGate Cluster Protokoll ähnlich wie das CCP von Checkpoint. Der grösste Unterschied besteht darin, dass beim FGCP, wie bei CARP, mit virtuellen MAC- Adressen gearbeitet wird. Aus diesem Grund werden wir hier nur noch die markanten Unterschiede behandeln. Das FGCP übernimmt folgende Aufgaben: Austausch von Informationen über den Zustand der einzelnen Firewalls Synchronisation der Firewalls-State Tabelle Synchronisation der Konguration der Firewalls 19

20 3.2. STATESYNCHRONISATION Technische Umsetzung Ein Cluster aus mehreren FortiGate Firewalls ist im Netz nur als ein Gerät ersichtlich. Nachdem die einzelnen Nodes für den Clusterberieb vorkonguriert worden sind, übernimmt das FGCP die restliche Konguration. Als virtuelle IP-Adressen werden diejenige des Masters übernommen. Die Nodes haben nach der abschliessenden Konguration durch das FGCP keine eigenen IP-Adressen mehr. Alle Interfaces die am gleichen Subnetz angeschlossen sind, erhalten die vorhin erwähnte virtuelle IP-Adresse des Masters. Zudem haben alle beteiligten Interfaces von allen Nodes die gleiche MAC-Adresse. Der Cluster kann im Active-Passive und im Active-Active Modus betreiben werden. Im Active- Active Modus arbeitet das FGCP gleich wie das CCP im Loadsharing Unicast Modus. Alle Pakete werden von einem Node entgegengenommen und anhand eines Algorithmus auf die anderen Nodes verteilt. Den Active-Passive Modus wollen wir hier auch nicht weiter diskutieren, da das Prinzip demjenigen des CARP Active-Passive Modus entspricht. Als zusätzliches Feature ist es zudem möglich den Cluster transparent, das heisst auf Layer 2, zu betreiben. Über ein Webinterface oder über die Konsole kann der Cluster administriert werden. Die Änderungen werden automatisch auf die restlichen Nodes übertragen. Das FCGP überträgt die Pakete über TCP Port 720. Für die Synchronisation der Konguration wird TCP Port 23 verwendet. Die Daten werden ohne Verschlüsselung übertragen. Somit ist auch hier der Einsatz eines dedizierten Synchronisationsnetzwerks zu empfehlen. Für die Authorization zwischen den Nodes muss bei der Vorkonguration ein Passwort eingetragen werden Statesynchronisation Wie unter beschrieben, ist die dynamische Paketlterung ein zentraler Bestandteil einer Firewall. In einem Cluster müssen nun alle States unter den Nodes synchronisiert werden. Ohne diese Synchronisation würden bei einem Failover oene Verbindungen unterbrochen. Jedes Firewallprodukt hat ihre eigene Implementation der dynamischen Paketlterung. Deshalb benötigt auch jedes Produkt eigene Mechanismen um die States zu synchronisieren. Im Folgenden stellen wir einige dieser Mechanismen vor Pfsync Mit pfsync bietet OpenBSD das Werkzeug, um die States des Paketlters pf zwischen mehreren Clustern abzugleichen. In der Grundeinstellung sendet jede Firewall die pfsync Pakete per Multicast. Wenn sichere Authentisierung und Verschlüsselung gewünscht wird, kann auch Unicast konguriert werden, um einen IPSec-Tunnel zu benutzen. Pfsync setzt nicht auf TCP oder UDP, sondern direkt auf IP auf. Benutzt wird IP Protokoll 240. Konguriert wird pfsync über das Pseudointerface pfsync0 und über die Konguration von pf. Mit dem Statement nosync in der pf-konguration, kann pfsync daran gehindert werden, States für die entsprechende Verbindung zu berücksichtigen. 20

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

OpenBSD Gateway Cluster

OpenBSD Gateway Cluster Carp, pfsync, pf, sasyncd: 15. September 2005 Firewall und IPSec Failover unter OpenBSD Markus Wernig Firewall Grundlagen: Sessions Stateful inspection IPSec Das Problem: Ausfall IP-Adressen Active-passive

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

... relevante Ports für Streaming bzw. Remote Control!

... relevante Ports für Streaming bzw. Remote Control! ... relevante Ports für Streaming bzw. Remote Control! Wenn Sie mit der Installation des IO [io] 8000 / 8001 beginnen, ist es am sinnvollsten mit einem minilan zu beginnen, da dies mögliche Fehlrequellen

Mehr

Cluster Quick Start Guide

Cluster Quick Start Guide Cluster Quick Start Guide Cluster SR2500 Anleitung zur Konfi guration KURZÜBERBLICK CLUSTER SEITE 2 FUNKTIONSWEISE DES THOMAS KRENN CLUSTERS (SCHAUBILD) SEITE 3 CLUSTER AUFBAUEN UND KONFIGURIEREN SEITE

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Clustering und Failover mit Linux

Clustering und Failover mit Linux Grazer Linux-Tage 2003 25. April Markus Oswald Worum geht es? Load-Balanced Cluster Failover Cluster Shared Storage Computational Cluster Beowulf Distributed Computing Worum es nicht

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Red Hat Cluster Suite

Red Hat Cluster Suite Red Hat Cluster Suite Building high-available Applications Thomas Grazer Linuxtage 2008 Outline 1 Clusterarten 2 3 Architektur Konfiguration 4 Clusterarten Was ist eigentlich ein Cluster? Wozu braucht

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008

Eine hochverfügbare Firewall mit iptables und fwbuilder. Secure Linux Administration Conference, 11. Dec 2008 Eine hochverfügbare Firewall mit iptables und fwbuilder Secure Linux Administration Conference, 11. Dec 2008 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, SLAC 2008 / 1 Eine einfache Firewall Eine

Mehr

Session Storage im Zend Server Cluster Manager

Session Storage im Zend Server Cluster Manager Session Storage im Zend Server Cluster Manager Jan Burkl System Engineer, Zend Technologies Agenda Einführung in Zend Server und ZSCM Überblick über PHP Sessions Zend Session Clustering Session Hochverfügbarkeit

Mehr

Ether S-Net Diagnostik

Ether S-Net Diagnostik Control Systems and Components 4 Ether S-Net Diagnostik Ether S-Net Diagnostik 4-2 S-Net EtherDiagnostik.PPT -1/12- Inhalt - Kurzbeschreibung einiger Test- und Diagnosebefehle unter DOS - PING-Befehl -

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

Clustering und Failover mit Linux 2004. Markus Oswald

Clustering und Failover mit Linux 2004. Markus Oswald <moswald@iirc.at> Grazer Linux-Tage 2004 7. / 8. Mai Clustering und Failover mit Linux 2004 Markus Oswald 2004 Worum geht es? Load-Balanced Cluster Failover Cluster Shared Storage (DRBD) Computational

Mehr

VoIPcom Supportpakete

VoIPcom Supportpakete VoIPcom Supportpakete bietet drei verschiedene Supportpakete an. Anrecht auf das Supportpaket Silber haben grundsätzlich alle Kunden, welche eine VoIPcom Telefonanlage im Einsatz haben. Für Firmenkunden

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

University of Applied Sciences. Hochschule Merseburg (FH) Anwendung Rechnernetze. Layer 3 Switching. Frank Richter. 7. Semester

University of Applied Sciences. Hochschule Merseburg (FH) Anwendung Rechnernetze. Layer 3 Switching. Frank Richter. 7. Semester University of Applied Sciences Hochschule Merseburg (FH) Anwendung netze Layer 3 Switching Frank Richter 7. Semester Fachbereich: Informatik Matrikel: 2INF03 Kennnummer: 10760 1. Inhaltsverzeichnis: 1.

Mehr

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer

D r e ISP S P i m K l K as a s s e s n e r n au a m H.Funk, BBS II Leer Der ISP im Klassenraum H.Funk, BBS II Leer Überblick Agenda: Ziel des Workshops Grundlagen PPPoE Realisierung eines lokalen PPPoE Servers Port-Forwarding DNS / DDNS Ziel des Workshops Ein Netzwerk vergleichbar

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Das Schulnetz ist wie folgt aufgebaut:

Das Schulnetz ist wie folgt aufgebaut: Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host 1.2.2 192.168.129.0 /24 intern 192.168.130.0 /24 intern serielle Verbindung Cisco Router.1

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Load Balancing mit Freier Software

Load Balancing mit Freier Software Volker Dormeyer GNU/LinuxTag 2005 Inhalt 1 Begriffserläuterung OSI und IP Schichten 2 3 Inhalt Begriffserläuterung OSI und IP Schichten 1 Begriffserläuterung OSI und IP Schichten

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Network Time Protocol NTP

Network Time Protocol NTP Network Time Protocol NTP Autor: Luca Costa, HTW Chur, luca.costa@tet.htwchur.ch Dozent: Bruno Wenk, HTW Chur, bruno.wenk@fh-htwchur.ch Inhaltsverzeichnis 1 Network Time Protocol... 3 1.1 Einleitung...

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen

Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen Anleitung Apple Time Capsule Kombigerät ans Universitätsnetz anschliessen Einleitung Apple Time Capsule Geräte vereinen in sich die Funktionen einer Netzwerk-Festplatte und eines WLAN-Routers (Wireless

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Die wichtigsten Vorteile von SEPPmail auf einen Blick

Die wichtigsten Vorteile von SEPPmail auf einen Blick Die wichtigsten Vorteile von SEPPmail auf einen Blick August 2008 Inhalt Die wichtigsten Vorteile von SEPPmail auf einen Blick... 3 Enhanced WebMail Technologie... 3 Domain Encryption... 5 Queue-less Betrieb...

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

DynDNS Router Betrieb

DynDNS Router Betrieb 1. Einleitung Die in dieser Information beschriebene Methode ermöglicht es, mit beliebige Objekte zentral über das Internet zu überwachen. Es ist dabei auf Seite des zu überwachenden Objektes kein PC und/oder

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0. 1KONFIGURATION VON NETWORK ADDRESS TRANSLATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

CosmosMonitoring Server von CosmosNet

CosmosMonitoring Server von CosmosNet Network Services without limitation. Cosmos Server von CosmosNet Cosmos Cosmos Server [CMS] Der Cosmos Server, erhältlich als zertifizierte Hardware Box, virtuelle Maschine oder Softwarelösung, ist eine

Mehr

EgoSecure Mail Encryption Quick Setup Guide

EgoSecure Mail Encryption Quick Setup Guide EgoSecure Mail Encryption Quick Setup Guide Inhalt 1 Einleitung... 2 2 Vorbereitung... 3 2.1 Firewall... 3 3 Inbetriebnahme... 3 3.1 Einschalten und anschließen... 3 3.2 Erstes Login... 3 3.3 Admin-Passwort

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit. 1. ODBC 1.1 Problemstellung Die Informationen über die Microsoft SQL Server Datenbanken sind zur Zeit nicht auf der TIMD Website verfügbar. Der Grund ist, dass kein Interface zur Abfrage der benötigten

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1)

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1) Netzwerke Teil 4 Adressierung und Netzwerkklassen 11.09.2011 BLS Greifswald Folie 1/26 Netzwerk-Adressierung (1) Ein Protokoll der Netzwerkschicht muss grundsätzlich gewährleisten, das jeder Knoten mit

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Visual VEGA Netzwerkinstallation

Visual VEGA Netzwerkinstallation Allgemeines Visual VEGA 5.30 gibt es in den Varianten "Visual VEGA LT" und "Visual VEGA Pro". Die LT-Version kann maximal 16 Messstellen anzeigen, Visual VEGA Pro kann eine unbegrenzte Anzahl von Messstellen

Mehr

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung

Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung Technische Übersicht über den Netzwerklastenausgl eich (Network Load Balancing) Einführung - Dienst wird in den Betriebssystemen Windows 2000 Advanced Server und Windows 2000 Datacenter Server bereitgestellt.

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel

Booten aus dem Netz PXE. Technologiepräsentation Rechenzentrum Uni Kiel PXE Technologiepräsentation Rechenzentrum Uni Kiel Inhalt 1. Einführung Motivation Anwendungsszenarien Technische Hintergründe 2. Stand der Umsetzung 3. Implementierung im Uni-Netz? 4. Alles neu mit ipxe!?

Mehr

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3.

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3. Version 5.2.0 1 Einleitung Wir gratulieren Ihnen zum Kauf Ihrer SEPPmail Appliance. Dieser Quick Setup Guide soll Ihnen helfen, die Appliance ohne Komplikationen in Betrieb zu nehmen. In diesem Quick Setup

Mehr

EXCHANGE 2013. Neuerungen und Praxis

EXCHANGE 2013. Neuerungen und Praxis EXCHANGE 2013 Neuerungen und Praxis EXCHANGE 2013 EXCHANGE 2013 NEUERUNGEN UND PRAXIS Kevin Momber-Zemanek seit September 2011 bei der PROFI Engineering Systems AG Cisco Spezialisierung Cisco Data Center

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015

OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015 OpenVPN-Anbindung Sysmess Multi und Compact Firmware 3.7.X 03/2015 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Serv-U Distributed Architecture Guide

Serv-U Distributed Architecture Guide Serv-U Distributed Architecture Guide Horizontale Skalierung und mehrstufiges Setup für Hohe Verfügbarkeit, Sicherheit und Performance Serv-U Distributed Architecture Guide v12.0.0.0 Seite 1 von 16 Einleitung

Mehr

Informationen zur. LCOS Software Release 3.36. für LANCOM Router und Wireless LAN Access Points

Informationen zur. LCOS Software Release 3.36. für LANCOM Router und Wireless LAN Access Points Informationen zur LCOS Software Release 3.36 für LANCOM Router und Wireless LAN Access Points Copyright (c) 2002-2004 LANCOM Systems GmbH, Würselen (Germany) Die LANCOM Systems GmbH übernimmt keine Gewähr

Mehr

Scanner, Sniffer und Scanlogger

Scanner, Sniffer und Scanlogger Scanner, Sniffer und Scanlogger Sniffer Sniffer Grundlagen Promiscuous Mode Ethernet Gefahren und Nutzen von Sniffer Praxis mit Buttsniff und Sniffit Sniffer Grundlagen Ein Sniffer ist ein Device, ob Software

Mehr

IPv6 in der Praxis: Microsoft Direct Access

IPv6 in der Praxis: Microsoft Direct Access IPv6 in der Praxis: Microsoft Direct Access Frankfurt, 07.06.2013 IPv6-Kongress 1 Über mich Thorsten Raucamp IT-Mediator Berater Infrastruktur / Strategie KMU Projektleiter, spez. Workflowanwendungen im

Mehr

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP)

Laborübung SNMP. Aufgabe 1: SNMP Basics genutzter Agent: 10.20.143.73 (VM_SNMP_Win_XP) Netzmanagement SS 2014 Prof. Dr. Martin Leischner / Dipl.Inf. Wolfgang Pein 14.5.14 - V1 Laborübung SNMP Einführung Um Netzmanagement betreiben zu können, ist es notwendig, auf Managementinformationen

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr