- Teil 1 - Firewall & Sicherheitskonzepte. Teil des Abschlussprojektes der Klasse F6H9

Größe: px
Ab Seite anzeigen:

Download "- Teil 1 - Firewall & Sicherheitskonzepte. Teil des Abschlussprojektes der Klasse F6H9"

Transkript

1 - Teil 1 - Firewall & Sicherheitskonzepte Teil des Abschlussprojektes der Klasse F6H9 Autoren: Artur Neumann, Alexander Bauer, Boris Urban Gruppe: 3 Datum:

2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS 2 2 RESSOURCEN- UND ABLAUFPLANUNG 4 3 SICHERHEITSGRUNDLAGEN WAS WOLLEN SIE SCHÜTZEN SICHERHEITSSTRATEGIEN MINIMALE ZUGRIFFSRECHTE MEHRSCHICHTIGE VERTEIDIGUNG PASSIERSTELLE DAS SCHWÄCHSTE GLIED FEHLERSICHERHEIT UMFASSENDE BETEILIGUNG VIELFALT DER VERTEIDIGUNG SICHERHEIT DURCH VERSCHLEIERUNG 12 4 PAKETFILTER-FIREWALL: THEORETISCHE GRUNDLAGE 13 5 ANGRIFFSTYPEN SOURCE IP ADDRESS SPOOFING ATTACKE SNIFFER-ATTACKEN DENIAL OF SERVICE (DOS) SOURCE ROUTING ATTACKE TINY FRAGMENT ATTACKE PORT SCAN 15 6 FIREWALL-KONZEPTE ROUTER MIT FIREWALL-FUNKTIONALITÄTEN FIREWALL-RECHNER MIT ROUTERFUNKTION FIREWALL-RECHNER HINTER ROUTER DMZ AN FIREWALL SCREENED SUBNET FAKE SERVER KONZEPT 18 7 DER PAKETFILTER DES LINUX KERNEL Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 2 / 50

3 7.1.1 VORAUSSETZUNG UM NETFILTER EINZUSETZEN GRUNDLEGENDE FUNKTIOSWEISEN VON NETFILTER MASQUERADING (NAT) MIT NETFILTER WAS IST NETWORK ADDRESS TRANSLATION (NAT)? WOFÜR IST NAT NOTWENDIG? DIE ZWEI FORMEN VON NAT IPTABLES PRAKTISCHE UMSETZUNG FUNKTIONSBEISPIEL 25 8 SYMANTEC ENTERPRISE FIREWALL NT/ INSTALLATION HARDWAREVORRAUSETZUNGEN VORBEREITUNG DES NEUEN SYSTEMS NACH DER INSTALLATION DES BETRIEBSYSTEMS ZENTRALE VERWALTUNG UND SCHNITTSTELLEN DER RAPTOR PROXY DIENSTE DER SEF FILTER REGELWERK DER SEF NETZWERKKARTEN EINSTELLUNGEN Syn Flood Protection Enable Ports Scan Detection VERWALTUNG UND ERSTELLUNG DER SICHERHEITSRICHTLINIEN ERSTELLUNG ICMP REGEL (PING) VERTEIDIGUNG GEGEN DENIAL OF SERVICE ATTACKEN ERSTELLUNG VOM WINDOWS SHARE FREIGABEN (CIFS/SMB) ERSTELLUNG FTP PROXY SERVICES PROTOKOLLIERUNG UND BERICHTSERSTELLUNG IN ECHTZEIT PORTSCAN AKTIVE VERBINDUNGEN 39 9 KOSTEN-NUTZEN-ANALYSE DIE KOSTEN Projekt-Hardware Projekt-Software - Netfilter Projekt-Software - Symantec Enterprise Firewall Installation und Konfiguration NUTZEN-ANALYSE ANHANG A ANHANG B ANHANG C QUELLEN 50 Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 3 / 50

4 2 Ressourcen- und Ablaufplanung Als Testhardware für die Firewall steht uns ein Rechner mit zwei Wechselfestplatten zur Verfügung. Auf einer Platte wurde Red Hat Linux mit der Netfilter-Firewall installiert und getestet. Auf der anderen Platte entsprechend Windows 2000 mit der Raptor-Firewall. In Abstimmung innerhalb der Projektgruppe wurde zuerst die Linuxfirewall eingerichtet und getestet. Anschließend wurde dementsprechend mit der Raptor-Firewall verfahren, währendessen wurde mit der Dokumentation zum Linux-Firewall begonnen. Die Internet-Anbindung wurde durch eine Direktverbindung zu einem weiteren Linux-System über ein Crosslink-Kabel simuliert. Als interner LAN-Client haben wir einen Standard Windows 2000 Rechner eingesetzt. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 4 / 50

5 3 Sicherheitsgrundlagen 3.1 Was wollen sie schützen Eine Firewall ist im Prinzip eine Schutzvorrichtung. Wenn sie eine Firewall aufbauen wollen, müssen sie sich zuerst überlegen, was sie eigentlich schützen wollen. Die meisten Gefahrenquellen gehen von einer Verbindung ins Internet aus Durch die Verbindung mit dem Internet gefährden sie drei Dinge: Ihre Daten: die Informationen auf den Computern Ihre Ressourcen: die Computer selbst Ihren guten Ruf Ihre Daten Ihre Daten müssen in dreierlei Hinsicht geschützt werden Vertraulichkeit Sie wollen sie vor anderen geheim halten Integrität Sie wollen nicht, dass andere ihre Daten verändern Verfügbarkeit Sie wollen ihre Daten selbst zur Verfügung haben Aus heutiger sicht ist die Verbindung über http oder Mail Dienste für ein Unternehmen nicht mehr wegzudenken. Somit existiert eine Verbindung ins Internet und die Möglichkeit eines Einbruchs. Denn da wo eine Tür ist, ist auch der Weg hindurch möglich. Aus diesem Grund gehören nun ihre Daten zu dem Gut, das mitunter der meisten Aufmerksamkeit gehört, diese vor unautorisierten Zugriffen (Kopien) und Veränderungen zu schützen. Das Problem im Computerbereich ist das sich Verbrechen nur sehr schwer feststellbar sind. Es dauert sehr lange, bis sie bemerken, dass jemand in ihre Rechner eingedrungen ist. Möglicherweise erfahren sie es nie oder wenn ihre Konkurrenz das gleiche Produkt vor ihnen auf den Markt bringt. Sogar wenn jemand eindringt und eigentlich nichts an ihrem System oder ihren Daten verändert, werden sie wahrscheinlich Stunden oder tage damit verlieren, herauszufinden, dass nichts manipuliert wurde. In vielerlei Hinsicht ist ein brutaler Angriff, bei dem alles zerstört wird, leichter zu handhaben als ein Einbruch, bei dem auf den ersten Blick kein Schaden entstanden zu sein scheint. Wenn alles zerstört wurde, werden sie in den saueren Apfel beißen und das System mit Backups wieder herstellen. Scheint dagegen ein Angreifer nichts getan zu haben, werden sie will Zeit aufwenden, immer wieder zu überprüfen, ob ihr System nicht dich irgendwo beschädigt wurde. Mit ziemlicher Sicherheit hat der Angreifer etwas getan- die meisten Eindringlinge beginnen zunächst damit, sich ein neues Schlupfloch zu schaffen, bevor sie zu Werke gehen. Um sogenannte Schlupflöcher in ihr System zu verriegeln müssen sie ein ausgeprägtes Sicherheitskonzept entwickeln und sich im Klaren sein welche Dienste ihr System passieren dürfen und welche nicht. Erst dann ist es möglich eine Strategie zu entwickeln, die fundamental Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 5 / 50

6 einsetzbar ist. Die den Anforderungen des Betriebes an Bedienbarkeit mit der höchst mögliche Form an Sicherheit entgegenkommt. 3.2 Sicherheitsstrategien Minimale Zugriffsrechte Das vielleicht grundlegendste Sicherheitsprinzip (jeder Art von Sicherheit, nicht nur im Computer und Netzwerkbereich) ist das der minimalen Zugriffsrechte. Im Grunde besagt das Prinzip der minimalen Zugriffsrechte, dass jede Einheit (Benutzer, Administrator, Programm, System usw. ) nur die Rechte enthält, die sie benötigt, um die ihr zugewiesenen Aufgaben zu erfüllen und nicht mehr. Das Prinzip der minimalen Zugriffsrechte verkleinert die Angriffsfläche und verringert den Schaden, der bei eventuell auftretenden Angriffen entsteht. Manche Autohersteller liefern auch zwei Schlüssel aus, einen für die Türen und das Zündschloss und einen weiteren für das Handschuhfach und den Kofferraum. Auf diese Weise können Sie minimale Zugriffsrechte vergeben. Im Bereich des Internet gibt es unendlich viele Beispiele. Wahrscheinlich benötigt nicht jeder Benutzer alle Internetdienste. Auch ist es sicher nicht notwendig, dass jeder Benutzer alle Dateien in ihrem System verändern (oder nur lesen) können muss. Das Administrator Passwort muss mit Sicherheit auch nicht jeder Benutzer kennen. Nicht einmal jeder Systemadmin muss die Adminpasswörter aller Systeme kennen. Im Gegensatz zu Autoherstellern richten die meisten Hersteller von Betriebssystemen ihre Betriebssysteme standardmäßig nicht mit minimalen Zugriffsrechten ein. Stattdessen sind bei der ersten Installation maximale Zugriffsrechte voreingestellt. Um das Prinzip des minimalen Zugriffsrecht anwenden zu können, müssen sie Wege finden um die Rechte entsprechend der verschiedenen Aufgabenstellungen einzuschränken. Z.B. Geben sie einen Benutzer keine Administratorrechte, wenn er lediglich das Drucksystem zurücksetzen muss. Stellen sie stattdessen eine Methode zur Verfügung mit der sich das Drucksystem auch ohne Administratorrechte zurücksetzen lässt (Gruppe Druckoperatoren W2K) Lassen sie ein Programm nicht als Benutzer mit allen Rechten (root) ablaufen, wenn es lediglich eine geschützte. Erteilen sie stattdessen für die Datei Gruppenschreibrechte für eine bestimmt Gruppe, und lassen Sie das Programm als Mitglied dieser Gruppe ablaufen anstatt als privilegierter Benutzer. Viele der allgemeinen Sicherheitsprobleme im Internet lassen sich darauf zurückzuführen, dass es nicht gelungen ist, das Prinzip der minimalen Zugriffsrechte konsequent durchzuführen. Beispielsweise gab und gibt es eine Vielzahl von Sicherheitslücken in Sendmail, einem großen, komplexen Programm. Jedes vergleichbare Programm wird fehlerhaft sein. Das Problem bei Sendmail ist, dass Sendmail setuid für root verwendet; viele der Angriffe auf Sendmail nutzen dies aus. da es als root ausgeführt wird, stellt Sendmail ein wertvolles Ziel dar, dem Angreifer eine Menge Aufmerksamkeit widmen, die Tatsache, dass es ein sehr kompliziertes Programm ist, erleichtert ihre Aktivitäten nur noch. Daraus folgt, dass privilegierte Programme so einfach wie möglich sein sollten. Außerdem müssen Sie nach Möglichkeiten suchen, bei einem komplexen Programm, das für einige Teile bestimmte Rechte benötigt, diese Bestandteile auszulagern. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 6 / 50

7 Viele der Lösungen, die sie zum Schutz ihres Standorts entwickeln werden. Bestehen in Strategien zur Stärkung des Prinzips der minimalen Zugriffsrechte. Zum Beispiel dient ein Paketfiltersystem dazu, nur solche Pakete durchzulassen, die für die von ihnen gewünschten Dienste notwendig sind Mehrschichtige Verteidigung Ein anderes Sicherheitsprinzip ist mehrschichtige Verteidigung. Verlassen Sie sich nicht nur auf einen einzigen Sicherheitsmechanismus, wie stark er auch immer aussehen mag, installieren sie stattdessen Mechanismen, die sich gegenseitig sichern. Sie werden nicht wollen, dass das Scheitern eines einzigen Sicherheitsmechanismus ihre Sicherheit vollständig zum Erliegen bringt. Die Anwendung dieses Prinzips können sie auch in anderen Bereichen des Lebens beobachten. So hat ihre Haustüre z.b. bestimmt ein Türschloss und einen Riegel, und ihr Auto verfügt sicherlich sowohl über ein Türschloss als auch über ein Zündschloss. usw... Jede Sicherheitsmassnahme selbst die scheinbar unüberwindlicheste Firewall kann von Angreifern mit ausreichend Risokobereitschaft und Einsatz überwunden werden. Der Trick besteht darin, die Einbruchsversuche für erwartete Angreifer zu riskant und aufwendig zu gestalten. Dazu sollten sie verschiedene Mechanismen einsetzen die sich gegenseitig stärken und schützen: Netzwerksicherheit (eine Firewall), Rechnersicherheit und menschliche Sicherheit (Benutzerschulung, sorgsame Systemadministratoren usw...) All diese Mechanismen sind wichtig und können sehr effektiv sein, Sie sollten sich jedoch nicht auf einen allein verlassen. Vermutlich wird ihre Firewall selbst mehrere Schichten aufweisen. Zum Beispiel sieht eine Architektur mehrere Paketfilter vor. Diese beiden Filter decken unterschiedliche Bereiche ab. Es ist aber auch üblich, durch den zweiten Filter die Pakete abweisen zu lassen, die der erste Filter eigentlich bereits abweisen sollte. Wenn der erste Filter richtig funktioniert, kommen solche Pakete nicht beim zweiten Filter an; falls es jedoch Probleme mit dem ersten gibt, dann sind Sie mit ein wenig Glück noch durch den zweiten geschützt. Hier kommt ein weiteres Beispiel: Wenn sie nicht wollen dass Mails an eine bestimmte Maschine geschickt werden, dann filtern sie nicht einfach nur die Pakete, Entfernen sie auch die Mail-Programme von der Maschine. Sofern nur ein geringer Aufwand erforderlich ist, sollten sie immer redundante Abwehrmaßnahmen einsetzen. Diese redundante Maßnahmen dienen nicht allein oder gar ausschließlich dem Schutz vor Angreifern. Vielmehr bieten sie Sicherheit vor dem Fehlschlagen anderer Schutzvorkehrungen Passierstelle An einer Passierstelle werden Angreifer gezwungen, einen schmalen Kanal zu benutzen, den sie überwachen und kontrollieren können. Im realen Leben gibt es viele Passierstellen wie z.b. die Mautstelle an einem Tunnel, die Kassenschlange im Supermarkt oder im Kino. In der Netzwerksicherheit bildet die Firewall zwischen Ihrem Standtort und dem Internet eine solche Passierstelle, jeder der ihr Netz aus dem Internet angreifen will, muss durch diesen Kanal kommen, der gegen solche Angriffe gerüstet seien sollte. Sie sollten nach diesen Angriffen aufmerksam Ausschau halten und darauf angemessen reagieren können. Eine Passierstelle ist sinnlos, wenn ein Angreifer sie leicht umgehen kann. Wozu sollte man sich die Mühe machen, die verrammelte Eingangstür anzugreifen, wenn die Küchentür weit offen steht? Dies gilt auch aus Sicht einen Netzwerks. Warum sollte man eine Firewall Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 7 / 50

8 angreifen, wenn es duzende oder Hunderte von ungesicherten Einwahlpunkten gibt, über die man Ziel einfacher und erfolgreicher ans Ziel kommen kann? Bei dieser Form von Passierstelle drängt sich der Eindruck auf, man setzt alles auf eine Karte, und sie sei deshalb keine besondere gute Idee, allerdings sind hier die Aussichten auf einen Trumpf besonders gut. Die Alternative besteht darin, ihre Aufmerksamkeit auf die verschiedenen möglichen Angriffswege aufzuteilen. Wenn sie so vorgehen, werden sie wahrscheinlich keinen dieser Wege angemessen schützen können. Vermutlich schlüpf gerade in dem Moment jemand durch das Netz, in dem sie versuchen, einen anderen Weg zu schützen (Vielleicht sogar durch einen Scheinangriff, um ihre Aufmerksamkeit abzulenken) Das schwächste Glied Ein fundamentaler Sicherheitsgrundsatz lautet, dass eine Kette immer nur so stark ist wie ihr schwächstes Glied und eine Mauer nur so stark ist wie ihre dünnste Stelle. Schlaue Angreifer werden diese schwächste Stelle suchen und ihre Aufmerksamkeit drauf konzentrieren. Sie müssen auf die schwächsten Punkte in ihrem Abweheinrichtungen besonders aufpassen, um sie entweder zu entfernen oder besonders zu überwachen, wenn sie sich nicht entfernen lassen. Sie sollten versuchen, allen Sicherheitsaspekten die gleiche Aufmerksamkeit zuteil werden zu lassen, damit es keine großen Unterschiede im Grad der Sicherheit oder Unsicherheit zwischen den einzelnen Elementen gibt. Es wird immer ein schwächstes Glied geben. Der Trick besteht darin, dieses Glied stark genug zu gestalten und die Stärke proportional zur Höhe des Risikos auszubauen. Zum Beispiel ist es durchaus in Ordnung, wenn sie sich mehr Sorgen um Leute machen, die sie über das Netz angreifen, als um Leute, die direkt an Ihrem Standort kommen, um sie dann von dort aus anzugreifen. Aus diesem Grund darf die physikalische Sicherheit ihrer Anlagen ihr schwächstes Glied sein. Sie dürfen sie nicht vollkommen vernachlässigen, aber das Abschließen der Aktiven Netzwerkkomponenten in einem Raum ist ausreichend. 3.3 Fehlersicherheit Ein weiteres grundlegendes Sicherheitsprinzip ist die weitgehende Fehlersicherheit. Das bedeutet, dass bei Auftreten eines Fehlers Angreifern der Zugang verweigert werden sollte, anstatt ihn erst recht zu ermöglichen. Der Fehler kann dazu führen, dass auch rechtmäßigen Benutzern der Zugang verwehrt wird, bis die Reparaturen durchgeführt wurden, doch damit lässt sich leben. Das Prinzip der Fehlersicherheit findet in vielen Bereichen Anwendung. Elektrische Geräte sind zum Beispiel so gestaltet, dass sie sich abschalten, wenn bei ihnen ein Fehler auftritt. Die meisten der hier besprochenen Anwendungen reagieren automatisch fehlersicher. Wenn zum Beispiel ein Router mit Paketfilterung ausfällt, dann lässt er keine Pakete mehr durch. Fällt ein Proxyprogramm aus, dann leistet es keine Dienste mehr. Andererseits gibt es rechnerbasierte Paketfiltersysteme, auf denen außerdem nicht eine Anwendung ausgeführt wird. Wenn der Paketfilter ausfällt (oder beim booten nicht gestartet wurde), können die Pakete weiterhin bei der Anwendung ankommen. Das ist auf keinen Fall fehlersicher und sollte vermieden werden. Die wichtigste Anwendung dieses Prinzips im Bereich Netzwerksicherheit liegt in der Entscheidung für eine bestimmt Sicherheit, die sie für ihren Standort treffen müssen. Ihre Haltung ist im Prinzip ihre gesamte Einstellung zum Thema Sicherheit. Sind sie restriktiv oder Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 8 / 50

9 eher freizügig? Neigen sie zu Sicherheit (von manchen auch gerne als Paranoia bezeichnet) oder zu Freiheit? Es gibt zwei grundlegende Einstellungen, die sie in bezug auf Sicherheitsentscheidungen und regeln vertreten können: Die einschränkende Grundhaltung Sie legen nur fest, was sie erlauben; alles andere ist verboten. Die freizügige Grundhaltung Sie legen nur fest, was sie verbieten; alles andere ist erlaubt. Scheinbar ist es offensichtlich, welches der richtige Ansatz ist; vom Sicherheitsstandpunkt her ist dies die einschränkende Grundhaltung. Wahrscheinlich ist für ihre Benutzer und das Management ebenso offensichtlich, dass die freizügige Grundhaltung richtig ist. Vor allem müssen sie Ihre Grundhaltung gegenüber den Benutzern und dem Management klar vertreten und ihnen die Gründe darlegen, die zu ihrer Entscheidung geführt haben. Anderenfalls verschwenden Sie wahrscheinlich eine Menge Zeit mit unnützen Streitereien und sinnlosen Debatten, weil ihr Sicherheitsstandpunkt nicht verstanden wird. Die einschränkende Grundhaltung: Alles, was nicht ausdrücklich erlaubt ist, ist verboten Die einschränkende Grundhaltung ist unter Sicherheitgesichtpunkten sehr sinnvoll, da es sich um einen fehlersicheren Ansatz handelt. Sie geht davon aus, dass alles Unbekannte ihnen schaden kann. Für die meisten Sicherheitsverantwortlichen ist diese Einstellung logisch, allerdings sehen die Benutzer das normalerweise nicht so. Mit einer einschränkenden Grundhaltung verbieten sie standardmäßig alles. Anschließend legen sie fest was Sie erlauben. Sie Ermitteln, welche Dienste von den Benutzern gewünscht werden Wägen die Folgen dieser Dienste für die Sicherheit ab und überlegen, wie sie sie dennoch sicher anbieten können Erlauben nur solche Dienste, die Sie gut genug kennen, sicher anbieten können und für wirklich notwendig halten. Dienste werden je nach Einzelfall zur Verfügung gestellt. Sie beginnen damit die Sicherheit eines speziellen Dienstes zu analysieren und seine Bedeutung für die Sicherheit gegen die Bedürfnisse ihrer Benutzer abzuwägen. Aufbauend auf dieser Analyse und entsprechend der Verfügbarkeit der verschiedenen Mittel zur Verbesserung der Sicherheit des Dienstes, schließen Sie einen Kompromiss. Für den Dienst könnten Sie zu dem Schluss kommen, dass sie ihn für alle Benutzer anbieten und die Sicherheit mit Hilfe der verbreiteten Paketfiliterung oder über Proxysysteme gewährleisten sollten. Bei einem anderen Dienst stellen sie vielleicht fest, dass er mit den verfügbaren Mitteln nicht angemessen gesichert werden kann und ihn sowieso nur wenige Benutzer oder Systeme benötigen. In diesem Fall könnten sie seine Benutzung auf diese kleine Anzahl Benutzer oder System einschränken. Das Problem besteht darin, den für ihre Situation passenden Kompromiss zu finden. Die freizügige Grundhaltung: Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 9 / 50

10 Alles was nicht ausdrücklich verboten wurde, ist erlaubt. Die meisten Benutzer und Manager bevorzugen die freizügige Grundhaltung. Sie neigen dazu anzunehmen, dass alles zunächst erlaubt ist und nur spezielle, besonders gefährliche Aktionen und Dienste bei Bedarf verboten werden. Zum Beispiel: Der Zugriff auf das World Wide Web ist auf solche Benutzer beschränkt, die zuvor über die besonderen Sicherheitsprobleme dieses Dienstes belehrt wurden. Den Benutzern ist es nicht erlaubt, eigene Server einzurichten. Die Benutzer erwarten, dass sie ihnen mitteilen, was gefährlich ist, und die Dinge benennen, die sie nicht tun können. Den Rest sollen sie dann erlauben. Das ist mit Sicherheit nicht besonders fehlersicher. Zum einen geht man vermutlich davon aus, dass sie bereits vorher genau wissen, wo die besonderen Gefahren liegen, wie Sie den Benutzern plausibel machen und die Benutzer davor schützen können. Es ist aber praktisch unmöglich, zu erraten, welche Gefahren in einem System oder draußen im Internet lauern. Es gibt einfach zu viele potentielle Probleme und zu viele Informationen ( neue Sicherheitslöcher, erneute Angriffe über alte Löcher) als dass sie immer auf dem neuesten Stand bleiben könnten. Wenn sie nicht wissen, dass es sich bei irgendetwas um ein Problem handelt, werden sie es nicht auf ihre Verbotsliste setzen. Dennoch besteht es als Problem fort, bis sie darauf aufmerksam werden. Und vermutlich werden sie gerade deshalb darauf aufmerksam werden, weil jemand es ausnutzt Zum anderen verleit die freizügige Grundhaltung zu einem Wettrüsten zwischen dem Betreiber der Firewall und den Benutzern. Der Betreiber bereitet Schutzmaßnahmen gegen die Handlungen und Unterlassungen der Benutzer vor, die Benutzer entdecken faszinierend neue und unsichere Methoden, Dinge zu tun. Das wird immer weiter und weiter fortgesetzt. Der Firewall Betreiber wird für immer Fangen spielen, zwischen dem Zeitpunkt der Einrichtung eines Systems, dem Zeitpunkt der Entdeckung eines Sicherheitsproblems und dem Moment, in dem der Betreiber darauf reagiert, wird es unweigerlich immer Phasen der Verwundbarkeit geben. Unabhängig davon, wie wachsam und kooperativ alle sein werden, irgendwas wird immer durch das Raster fallen; weil der Betreiber der Firewall davon noch nie etwas gehört hat, die vollen Konsequenzen für die Sicherheit noch nicht erfasst hat oder einfach noch keine Zeit hatte, das Problem anzugeben. Die einzigen, die von der freizügigen Grundhaltung profitieren werden, sind potentielle Angreifer. Das liegt daran, dass der Betreiber der Firewall unmöglich alle Löcher stopfen kann, ständig mit Feuerwehr-Aktionen zu tun hat und wahrscheinlich zu beschäftigt ist, um die Angriffe überhaupt wahrzunehmen. 3.4 Umfassende Beteiligung Um effektiv zu funktionieren, brauchen die meisten Sicherheitssysteme die umfassende Beteiligung (oder zumindest das Fehlen eines aktiven Wiederstandes) der Mitarbeiter eines Standorts. Falls jemand ihre Sicherheitmechanismen einfach ablehnt, könnte ein Angreifer zuerst das System dieser Person knacken und ihren Standort dann von innen angreifen. Die beste Firewall der Welt bietet beispielsweise überhaupt keinen Schutz, wenn jemand sie als unnütze Belastung ansieht und sich einfach eine Hintertür zwischen ihrem Standort und dem Internet einrichtet, um die Firewall auf diese Weise zu umgehen. Dazu müsste diese Person lediglich ein Modem kaufen, sich freie PPP oder SLIP Software aus dem Internet besorgen und sich bei einem billigen Internet Service Provider (ISP) anmelden. Dieses Vorgehen liegt sowohl Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 10 / 50

11 aus finanziellen als auch aus technischen Gesichtspunkten im Rahmen der Möglichkeiten vieler Benutzer und Manager. Schon wesentlich schlichtere Formen des Widerstandes können Ihre Sicherheit untergraben. Jeder muss Ihnen über ungewöhnliche Vorkommnisse berichten, die möglicherweise sicheheitsrelevant sind; Sie können nicht alles sehen. Ihre Leute müssen gute Passwörter wählen, sie regelmäßig ändern und dürfen sie nicht an Freunde oder Verwandte weitergeben. Wie erreichen Sie, dass alle mitmachen? Die Beteiligung könnte freiwillig (Sie überzeugen alle dass es gut ist), unfreiwillig (jemand mit den entsprechenden Autorität und Macht weist alle an zu kooperieren) oder eine Kombination aus beidem sein. Selbstverständlich ist eine freiwillige einer unfreiwilligen Beteiligung vorzuziehen; Sie wollen ja dass ihre Mitarbeiter ihnen helfen und nicht nach Wegen suchen, ihnen zu schaden. Ebenso wie ihre Mitarbeiter eine gewisse Sensibilität gegenüber Sicherheit im Internet und die Bedeutung für das Unternehmen und ihren Arbeitsplatz bewusst werden. Diejenigen, die ihnen nicht freiwillig helfen, werden erstaunliche Mühen auf sich nehmen, um ihre Sicherheitsmassnahmen zu umgehen. 3.5 Vielfalt der Verteidigung Die Vielfalt der Verteidigung hängt eng mit einer mehrschichtigen Verteidigung zusammen, geht allerdings noch weiter; der Grundgedanke ist, dass sie nicht nur mehrere Verteidigungsschichten, sondern auch verschiedene Arten der Verteidigung brauchen. Das Vorhandensein eines Türschlosses und eines Zündschlosses an einem Auto bedeutet mehrschichtige Verteidigung, durch eine Alarmanlage wird noch eine weitere Art der Verteidigung hinzugefügt. Sie versuchen nun nicht nur, die Leute von der Benutzung ihres Fahrzeuges abzuhalten, sondern auch die Aufmerksamkeit anderer Personen zu wecken, falls jemand versuchen sollte, sich unberechtigt daran zu schaffen zu machen. Bei richtiger Umsetzung hat die vielfältige Verteidigung einen großen Einfluss auf die Sicherheit eines Systems. Allerdings sind viele Versuche, eine Vielfalt der Verteidigung herzustellen, nicht sehr effektiv. Eine beliebte Theorie besagt, dass man verschiedene Arten von Systemen verwenden soll, zum Beispiel können sie in einer Architektur mit zwei Paketfiltersystemen die Vielfalt der Verteidigung verbessern, wenn die Systeme unterschiedlicher Hersteller benutzen. Wenn alle ihre Systeme zu einem Typ gehören, kann jemand, der weiß wie er in eines einbrechen kann, wahrscheinlich auch in alle anderen eindringen. Durch die Benutzung von Sicherheitssystemen verschiedener Hersteller vermindern Sie sicher die Chancen eines gemeinsamen Programmier- oder Konfigurationsfehlers, der sie alle unbrauchbar macht. Allerdings erhöhen sich die Kosten und die Komplexität des Gesamtsystems. Die Beschaffung und Installation mehrerer verschiedener Systeme ist schwieriger, dauert länger und kostet mehr, als dies sei einem einzelnen System der Fall wäre. Sie müssen mehrere Systeme kaufen und mehrere Wartungsverträge für sie abschließen. Außerdem kostet es ihre Angestellten mehr Zeit und Aufwand, den Umgang mit den unterschiedlichen Systemen zu erlernen. Wenn sie nicht aufpassen, erzeugen sie eine Vielfalt der Schwäche anstelle einer Vielfalt der Verteidigung. Bei zwei verschiedenen, hintereinander angeordneten Paketfiltern kann der Einsatz unterschiedlicher Produkte dabei helfen, die jeweiligen Schwächen auszugleichen. Arbeiten diese Paketfilter jedoch getrennt voneinander, dann werden sie bei der Verwendung unterschiedlicher Produkte anstelle einer zwei unterschiedliche Arten von Problemen haben, mit denen sie kämpfen müssen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 11 / 50

12 All diese aus den Unterschieden resultierenden Problemen bringen ihnen keine Echte Vielfalt. Hüten sie sich vor scheinbarer Vielfalt. Zwei Systeme mit unterschiedlichen Firmenbezeichnungen auf dem Gehäuse können mehr gemeinsam haben als sie denken. Systeme desselben Typs teilen die gleichen Schwächen Systeme die von denselben Personen konfiguriert wurden, haben bei der Konfiguration dieselben Schwachpunkte Viele Programme leiten ihre Herkunft aus dem selben Quellcode ab 3.6 Sicherheit durch Verschleierung Sicherheit durch Verschleierung ist ein Prinzip, beidem sie Dinge schützen, indem sie sie verstecken. Dieses Prinzip wird im täglichen Leben ständig benutzt. Schließen sie sich öfters einmal aus? Verstecken sie irgendwo einen Schlüssel. Müssen sie etwas wertvollen im Auto zurücklassen dann legen sie es so hin damit es keiner direkt sehen kann. Dies ist solange sicher bis jemand den Schlüssel findet oder das jemand etwas wichtiges im Auto vermutet und das Fenster einschlägt. Solange der Schlüssel nicht allzu offensichtlich herumliegt ist dieser Schutz teilweise für manche belange ausreichend. Die folgenden Beispiele zeigen Sicherheit durch Verschleierung im Bereich Computer Sie bringen eine Maschine ins Internet und rechnen damit, dass niemand versucht, in sie einzudringen, weil sie niemanden davon erzählt haben Sie haben einen neuen Verschlüsselungsalgorithmus entwickelt und zeigen ihn niemanden Sie lassen einen Server aus einer anderen Port Nummer laufen als sonst. Z.B. Einen ftp Server auf Port 1111 anstelle auf Port 21 Wenn Leute über Sicherheit durch Verschleierung reden, dann tun sie dies mit einer gewissen Geringschätzung. Verschleierung stellt jedoch eine durchaus gültige Sicherheitstaktik dar; sie ist nur nicht besonders stark. Sie können in allen Beispielen aus dem Nicht Computer Bereich feststellen, dass sie entweder zusammen mit viel stärkeren Sicherheitsmaßnahmen (ein abgeschlossenes Haus oder Auto) oder für unbedeutende Risiken verwendet wird. Sicherheit durch Verschleierung ist schlecht wenn: Es die einzige Sicherheitsmaßnahme ist die Inhalte nicht wirklich verschleiert werden Wenn sie eine Maschine im Internet erreichbar machen, sie nicht sichern und dann hoffen dass niemand sie bemerken wird, weil sie ja keine Werbung dafür machen, handelt es sich nicht um Sicherheit durch Verschleierung. Sicherheit durch Verschleierung kann und sollte nur in sicherheitsunrelevanten Gebieten angewendet werden da kein aktiver Schutz existiert. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 12 / 50

13 4 Paketfilter-Firewall: Theoretische Grundlage Ein Paketfilter arbeitet auf Ebene 3 des OSI Modells. Er entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Überprüft werden Header- Informationen wie: IP-Ursprungsadresse IP-Zieladresse das eingebettete Protokoll (TCP, UDP, ICMP, oder IP Tunnel) TCP/UDP-Absender-Port TCP/UDP-Ziel-Port ICMP message type Eingangsnetzwerkschnittstelle (Ethernetkarte, Modem, etc.) Ausgangsnetzwerkschnittstelle Falls das Datenpaket die Filter passiert sorgt die Firewall für die Weiterleitung des Pakets, andernfalls verwirft sie es. Wenn keine Regel greift, verfährt der Paketfilter nach den Default- Einstellungen. Diese sollte aus Sicherheitsgründen verwerfen sein. Anhand der Filterregeln kann eine Firewall auch eine reine Service-Filterung durchführen. Auch hier muss der Systemadministrator die Filterregeln vorher definieren. Service-Prozesse benutzen bestimmte Ports (Well Known Ports), wie zum Beispiel FTP den Port 21 oder SMTP den Port 25. Um beispielsweise den SMTP-Service abzublocken, sondert die Firewall alle Pakete aus, die im Header den Ziel-Port 25 eingetragen haben oder die nicht die Ziel-IP- Adresse eines zugelassenen Hosts besitzen. Einige typische Filterrestriktionen sind: Nach außen gehende Telnet-Verbindungen sind nicht erlaubt. Telnet-Verbindungen sind nur zu einem bestimmten internen Host erlaubt. Nach außen gehende FTP-Verbindungen sind nicht erlaubt. Pakete von bestimmten externen Netzwerken sind nicht erlaubt. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 13 / 50

14 5 Angriffstypen Bestimmte Angriffstypen verlangen eine vom Service unabhängige Filterung. Diese ist jedoch schwierig umzusetzen, da die dazu erforderlichen Header-Informationen Service-unabhängig sind. Die Konfiguration von Paketfiltern kann auch gegen diese Art von Angriffen erfolgen, für die Filterregeln sind jedoch zusätzliche Informationen notwendig. Beispiele für diese Angriffe sind: 5.1 Source IP Address Spoofing Attacke Bei einer Spoofing-Attacke fälscht der Angreifer die IP-Absenderadresse eines Datenpakets und verwendet stattdessen die Adresse eines Rechners im internen Netz. Die Firewall kann einen solchen Angriff erkennen, indem sie überprüft, ob ein von außen kommendes Paket eine interne Adresse nutzt. Um den Angriff abzuwehren, sind solche Pakete entsprechend herauszufiltern. 5.2 Sniffer-Attacken Beim Sniffing wird der Datenverkehr auf einem Host gezielt belauscht mit dem Ziel, Benutzerkennungen und Passwörter zu erlangen. Die dazu benötigte Software ist meist Freeware und ist als Diagnosetool oft Bestandteil des Betriebssystems (z.b. tcpdump bei Linux). Das Sniffing funktioniert natürlich nur wenn die Daten bei der eigenen Netzwerkschnittstelle vor vorbeikommen. Das kommt z.b. vor wenn die Rechner über ein Bus oder ein Hub verbunden sind. D.h. die effizienteste Möglichkeit Sniffing-Attacken zu verhindern ist die physikalische Abtrennung von potenziellen Angreifern z.b. durch ein Switch oder Router. 5.3 Denial of Service (DoS) DoS-Attacken sind Stürme von Dienstanfragen an einen Server. Die Dienstsnittstelle wird überlastet und steht dadurch einem autorisierten Benutzer nicht zur Verfügung. Besonders verheerend sind distributed DoS-Attacken, da der Angriff von von einer Vielzahl von Rechnern gestartet wird. Einzige Möglichkeit der Abwehr ist eine Zugriffsbeschränkung pro IP und Zeiteinheit. 5.4 Source Routing Attacke Bei einer Source Routing Attacke gibt der Angreifer die konkrete Route vor, die ein Datenpaket nehmen soll, um Sicherheitsmaßnahmen zu umgehen. Das Verfahren zum Source Routing ist zwar im TCP/IP-Standard vorgesehen, kommt jedoch kaum noch zum Einsatz. Deshalb kann die Firewall die Pakete mit diesem Flag bedenkenlos verwerfen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 14 / 50

15 5.5 Tiny Fragment Attacke Bei dieser Angriffsform erzeugt der Hacker extrem kleine Datenpakete, von denen nur das erste den TCP-Header enthält. Das soll den Router veranlassen, nur das erste Fragment zu prüfen und die restlichen ungeprüft durchzulassen. Dies erlaubt dem Hacker, die gewünschten Befehle ins Netz zu schmuggeln. Als Abwehr kann die Firewall alle Pakete verwerfen, bei denen das Feld Fragment-Offset auf eins gesetzt ist. 5.6 Port Scan Bei einem Port Scan überprüft der Angreifer welche Ports auf dem System offen sind. Damit kann er schnell überprüfen welche Dienste der Server anbietet. Dann können diese Dienste gezielt angreifen. Port-Scans können dadurch erkannt werden dass von einer IP ungewöhnlich viele Verbindungsanfragen an verschiedene Ports gestellt werden. Solche IP s sollte die Firewall für eine Zeitlang komplett sperren. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 15 / 50

16 6 Firewall-Konzepte Neben den logischen Aspekten einer Firewall muss auch der physikalische Aufbau bestimmt werden, dieser trägt unmittelbar zur Sicherheit hinzu. Verschiedene Möglichkeiten, Sicherheit zu realisieren sollen im folgenden beschrieben werden. Bastion Host Eine Firewall wird auch als Bastions Host bezeichnet, das ist ein Rechner, der besonders gesichert ist und als Bollwerk" gegen Eindringlinge eingesetzt wird. Er dient der Verteidigung des lokalen Netzwerkes und sollte besondere Aufmerksamkeit vom Administrator (in der Form von regelmäßigen Audits und Sicherheits- Patches) erhalten. Dual Homed Host/Gateway Wenn ein Rechner Teil von zwei Netzen ist (mit zwei Netzwerkkarten), spricht man von einem Dual Homed Host. Oft bietet dieser Rechner auch Gateway- Funktionen an. Um hohe Sicherheit zu erlangen wird die Routing- Funktion deaktiviert. Dann können lokale und Internet- Hosts mit dem Gateway kommunizieren, aber direkter Datenfluss wird unterbunden. 6.1 Router mit Firewall-Funktionalitäten Es gibt viele Hersteller von Routern, die in ihre Geräte Firewall-Funktionalitäten integrieren. Dies sind meistens IP- Filter, die mehr oder weniger detailliert konfiguriert werden können. Manche Geräte aus der höheren Preisklasse bieten weitergehende Funktionen wie IP-Tunneling (VPN) oder Stateful Inspection an. Solche Screening Router" werden jedoch sehr oft als Teil einer Firewall eingesetzt. Der Einsatz eines solchen Routers als alleinige Firewall- Einrichtung ist jedoch nur beschränkt und nur für kleine Netze zu empfehlen. Bei hohen Sicherheitsanforderungen bietet diese Lösung nicht genügend Freiraum zum Konfigurieren und ausserdem keine Möglichkeit einer Application Level Firewall. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 16 / 50

17 6.2 Firewall-Rechner mit Routerfunktion Eine Konfiguration dieser Art bietet die gesamte Palette der Möglichkeiten und ist auch verhältnismäßig kostengünstig da man sich einen zusätzlichen Router spart. Sie ist jedoch nicht für Hochsicherheit geeignet. Die Konzentration aller Einrichtungen auf einem Rechner bietet zu viele Möglichkeiten für Angreifer bei einer Fehlkonfiguration. Auch Fehler der verwendeten Programme führen zu Sicherheitslücken, die durch mehrstufige Firewalls geschlossen werden (können). 6.3 Firewall-Rechner hinter Router In den häufigsten Fällen ist der Firewall- Rechner im lokalen Netz und der Router lässt nur Verkehr vom Internet zum Bastion Host zu. Dieser überprüft die Zulässigkeit der Verbindung und kann sie erlauben oder abblocken. Wenn der Router mit Packet Filtering Rules ausgestattet ist, wird die dahinter liegende Firewall zusätzlich geschützt. Der Router arbeitet mit seinem eigenen TCP/IP Stack, welcher oft wesentlich stabiler ist als der einer Softwareimplementation. DOS- Angriffe (z.b. Ping of Death, SYN-Flooding) werden somit vom Firewall-Rechner abgehalten und die Down-Zeiten verringert, da ein Router schneller wieder online ist als ein neu zu startender Rechner. 6.4 DMZ an Firewall Bei vielen Anwendungen ist es von Vorteil, ein begrenzt sicheres Netz zu haben. Es entspricht nicht den hohen Sicherheitsanforderungen des LANs, erlaubt aber dennoch eine gewisse Überwachung und Abschirmung. Ein solches Netzwerk nennt man "Demilitarisierte Zone". Es wird im allgemeinen dafür benutzt, Dienste für das externe Netz zur Verfügung zu stellen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 17 / 50

18 6.5 Screened Subnet Ein Screened Subnet ist eine Erweiterung der oben genannten Methoden, da zwischen zwei Router-Firewalls ein Abgeschirmtes Netzwerk" geschalten wird. Diesem wird nicht völlig vertraut, aber es hat auch nicht mehr einen so feindlichen Charakter wie das externe Netz. Im Gegensatz zu den obigen Methoden müssen hier zwei Firewall - Systeme überwunden werden, um an das LAN zu gelangen. Sind diese noch von verschiedenen Herstellern und/oder auf verschiedenen Plattformen erhöht sich der notwendige Aufwand für den potentiellen Eindringling, diese Wand zu durchbrechen. In dieser DMZ stehen oft Dienste für das externe Netz zur Verfügung und auch das lokale Netz kann auf die DMZ zugreifen. Direkter Verkehr zwischen den beiden Netzen wird jedoch unterbunden. Eine Application Level Firewall auf einem Bastion Host kann diese Verbindung für spezielle Dienste ermöglichen. 6.6 Fake Server Konzept Eine weitere Steigerung des Sicherheitskonzepts ist die Möglichkeit potentielle Angreifer auf Server mit vermeintlichen Sicherheitslücken zu locken. Diese Server befinden sich in einem vom Unternehmensnetzwerk logisch getrennten Netzwerksegment. Auf dieses Teilsegment kann nur über die Firewall zugegriffen werden. Während der Angreifer versucht in die Fake-Systeme einzudringen, kann durch Überwachungsskripte der Administrator alarmiert werden. Während der Angreifer auf den Fake-Rechnern eingelogt ist, können wichtige Informationen über ihn gesammelt werden. Nützliche Informationen können sein: IP-Adresse zur Identifizierung, Art der Angriffe zur Feststellung der Sicherheitslücken der Systeme und anhand der Aktivitäten können eventuell die Absichten des Angreifers erkannt werden. In der Praxis wird dieses Konzept relativ selten eingesetzt, da es zusätzlichen finanziellen Aufwand bedeutet. Dazu zählen nicht nur Hardware- sondern auch Personalkosten für Konfiguration und Administration. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 18 / 50

19 7 Der Paketfilter des Linux Kernel 2.4 Der Kernel 2.4 kommt mit einer neuen Implementierung einer Paketfilter-Firewall. Dies ist mittlerweile die vierten oder fünfte Implementierung in der Geschichte von Linux. Der Name der Implementierung ist Netfilter. Zwar erlaubt Netfilter es mit Hilfe von Modulen, Abwärtskompatibilität mit Linux 2.2 und sogar 2.0 herzustellen, doch davon ist abzuraten. Es bringt einfach nichts, auf einem Auslaufmodell herumzureiten. Netfilter ist endlich die Implementierung der Paketfilter, die die optimale Flexibilität und Erweiterbarkeit garantiert und dazu noch exzellente Performance bietet. Man darf davon ausgehen, dass sie mehr Bestand haben wird als ihre Vorgänger Voraussetzung um Netfilter einzusetzen Um Netfilter einzusetzen, bedarf es eines neuen Tools, iptables. Die Version 1.2 wird mindestens vorausgesetzt. Da Netfilter komplett im Kernel integriert ist, muss dieser natürlich entsprechend compiliert werden. Eine detaillierte Liste mit den entsprechenden Modulen und Paketen befindet sich im Anhang A. Am einfachsten und komfortabelsten ist es die Module und die Konfiguration der Firewall beim Hochfahren des Rechners automatisch durch ein init-script zu laden Grundlegende Funktiosweisen von Netfilter Es ist wichtig, die grundlegende Funktionsweise von Netfilter zu kennen. Netfilter arbeitet mit "Ketten" von Regeln. Ketten sind wie Unterprogramme. Regeln können in eine neue Kette verzweigen, und Ketten können zur aufrufenden Kette zurückkehren. Dieses Konzept stammt von den ipchains vom Kernel 2.2. Es gibt drei vordefinierte Ketten: INPUT, OUTPUT und FORWARD. Ferner kann man beliebige weitere Ketten definieren. Standardmäßig sind nach dem Booten alle Ketten leer, und alle Pakete werden durchgelassen. Im Unterschied zu früher durchläuft jedes eingehende oder ausgehende Netzwerk-Paket nur noch eine einzige Kette. Pakete, die auf dem lokalen Rechner (d.h. auf dem Firewall selber) erzeugt werden, durchlaufen die OUTPUT-Kette. Pakete, die für den lokalen Rechner (direkt an den Firewall gerichtet) bestimmt sind, durchlaufen die INPUT-Kette. Pakete, die lediglich geroutet werden, also den Rechner auf einem Netzwerk-Interface erreichen und auf einem anderen wieder verlassen, durchlaufen die FORWARD-Kette. Das heißt, daß der Rechner als Router konfiguriert sein muß, damit dies funktioniert. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 19 / 50

20 Externe NIC eth0 FORWARD Interne NIC eth1 INPUT OUTPUT lokale Verarbeitung z.b. ping an den Firewall OUTPUT INPUT Ein Paket durchläuft eine Kette, indem alle Regeln in der Kette der Reihe nach abgearbeitet werden, bis entweder eine Regel entscheidet, was mit dem Paket passiert, oder alle Regeln durchlaufen sind, worauf die Default Policy angewandt wird. Das Schicksal des Pakets kann im Wesentlichen nur zwei mögliche Verläufe nehmen: Es wird ignoriert (DROP) oder normal verarbeitet (ACCEPT). Der Weg bis zu dieser Entscheidung kann natürlich beliebig komplex werden, je nach Umfang der Anforderungen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 20 / 50

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Firewall-Architekturen

Firewall-Architekturen firewall 2006/1/4 15:26 page 65 #84 KAPITEL 5 Firewall-Architekturen Kommen wir nun zum Kern des Themas. Nachdem wir uns in den vorigen Kapiteln mit Netzwerkprotokollen und Angriffen beschäftigt haben,

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler.

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler. Fachbereich Informatik Fachbereich efi Labor Netzwerktechnik Version 1.1 22.03.2005 Cisco 1710 Prof. Dr. Alfons Eizenhöfer Dipl.-Inf. (FH) Daniel Beuchler Oliver Reiche Fachhochschule Nürnberg 2005 Verbindung

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Praxisarbeit Semester 1

Praxisarbeit Semester 1 TITEL Praxisarbeit Semester 1 vorgelegt am: Studienbereich: Studienrichtung: Seminargruppe: Von: Praktische Informatik Felix Bueltmann Matrikelnummer: Bildungsstätte: G020096PI BA- Gera Gutachter: Inhaltsverzeichnis

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

Port-Weiterleitung einrichten

Port-Weiterleitung einrichten Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

Firewall mit Netfilter/iptables

Firewall mit Netfilter/iptables Firewall mit Netfilter/iptables Proseminar Linux SS 2002 Jürgen Lehle - 1 - Inhaltsverzeichnis EINLEITUNG 3 WAS IST EINE FIREWALL? 3 WARUM SOLLTE MAN EINEN PAKETFILTER VERWENDEN? 3 WIE WERDEN PAKETE UNTER

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

Praktikum IT-Sicherheit. Firewall

Praktikum IT-Sicherheit. Firewall IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Einrichten von Firewallsystemen mit IPtables Firewall In diesem Versuch lernen Sie den Umgang mit Paketfiltern im Zusammenhang von Servern und

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

Seminar User Mode Linux : Netfilter

Seminar User Mode Linux : Netfilter Seminar User Mode Linux : Netfilter Tassilo Horn heimdall@uni-koblenz.de 03.02.2006 1 Inhaltsverzeichnis 1 Einführung 3 1.1 Kurzbeschreibung.......................... 3 1.2 Historisches.............................

Mehr

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden. Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Das Schulnetz ist wie folgt aufgebaut:

Das Schulnetz ist wie folgt aufgebaut: Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host 1.2.2 192.168.129.0 /24 intern 192.168.130.0 /24 intern serielle Verbindung Cisco Router.1

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Aufgaben zum ISO/OSI Referenzmodell

Aufgaben zum ISO/OSI Referenzmodell Übung 1 - Musterlösung 1 Aufgaben zum ISO/OSI Referenzmodell 1 ISO/OSI-Model Basics Aufgabe 1 Weisen Sie die folgenden Protokolle und Bezeichnungen den zugehörigen OSI- Schichten zu: IP, MAC-Adresse, HTTP,

Mehr

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen

Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Einsatz des flypaper-dämons zur effektiven Abwehr von Portscan-Angriffen Johannes Franken Abbildung: Klebefalle (engl.: flypaper) Auf dieser Seite beschreibe ich, wie man Linux-Firewalls

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

1. Installation / Konfiguration der Software unter Windows XP :

1. Installation / Konfiguration der Software unter Windows XP : www.damian-dandik.de NETZWERK MIT WINDOWS XP RECHNERN Netzwerk - Installation Anleitungen unter Windows XP Installation / Konfiguration. Windows XP und Windows 95/98/Me/2000 über das Netzwerk verbinden.

Mehr

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius

IAPM 3 - Shorewall 1. Shorewall. Shoreline Firewall Version 2.0.9. Internet APM 3 WS04/05. Christian Beyerle Robert Tullius IAPM 3 - Shorewall 1 Shorewall Shoreline Firewall Version 2.0.9 Internet APM 3 WS04/05 Christian Beyerle Robert Tullius IAPM 3 - Shorewall 2 Inhaltsverzeichnis 1 Vorwort 3 2 Installation 4 2.1 Systemvoraussetzungen.......................

Mehr

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden SUNNY WEBBOX Kurzanleitung zur Inbetriebnahme der Sunny WebBox unter Windows XP Version: 1.0 1 Hinweise zu dieser Anleitung Diese Anleitung unterstützt Sie bei der Inbetriebnahme der Sunny WebBox in ein

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1

Service-Handbuch SH_Checkup_NetzwerkFremdeinfluss.doc. Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Version:1.00 Aktualisiert: 06.06.2011 durch: RLo Seite 1 Dieser Checkup überprüft, ob im Netzwerk in Bezug auf eine bestimmte IP-Adresse Störungen durch externen Netzverkehr stattfinden. 1. Netzverkehr

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen

Computer-Sicherheit SS 2005. Kapitel 5: Sicherheitsmechanismen Computer-Sicherheit SS 2005 Kapitel 5: Sicherheitsmechanismen Sicherheitsmechanismen Sicherheits-Richtlinien Firewalls Beispiel iptables Intrusion Detection Systeme Beispiel snort Honeynets Sicherheit

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung: ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk... Seite 1 von 14 ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk - Von Marc Grote --------------------------------------------------------------------------------

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von.

Firewalls. Mai 2013. Firewalls. Feldbacher Schallmoser. Was sind Firewalls? Warum Firewalls? Aufgaben von. Firewalls. Grenzen von. ?? Bernhard Linda Mai 2013 von Inhaltsübersicht???? von von ?? Definition: sind Netzwerkkomponenten, die ein internes Netzwerk von einem externen Netzwerk (z.b. Internet) trennen. schützen sichere interne

Mehr

windream mit Firewall

windream mit Firewall windream windream mit Firewall windream GmbH, Bochum Copyright 2004 2006 by windream GmbH / winrechte GmbH Wasserstr. 219 44799 Bochum Stand: 08/06 1.0.0.3 Alle Rechte vorbehalten. Kein Teil dieser Beschreibung

Mehr

Quick Installation Guide

Quick Installation Guide WWW.REDDOXX.COM Erste Schritte Bitte beachten Sie, dass vor Inbetriebnahme auf Ihrer Firewall folgende Ports in Richtung Internet für die Appliance geöffnet sein müssen: Port 25 SMTP (TCP) Port 53 DNS

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung Anton Sparrer email: antonsparrer@gmx.de Zugang zu den Computern Benutzername: Passwort: Was erwartet Sie? Tipps zum Kauf eines NAS Einbau einer

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Firewalling für KMU Internet-Partner der Wirtschaft

Firewalling für KMU Internet-Partner der Wirtschaft Firewalling für KMU Internet-Partner der Wirtschaft 1 Es passt... Ihr Business Unser Beitrag 2 was zusammen gehört! Medien Wirtschaftskompetenz Bewährte Technik Neue Gedanken 3 Wir bauen Portale... 4 und

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr