- Teil 1 - Firewall & Sicherheitskonzepte. Teil des Abschlussprojektes der Klasse F6H9

Größe: px
Ab Seite anzeigen:

Download "- Teil 1 - Firewall & Sicherheitskonzepte. Teil des Abschlussprojektes der Klasse F6H9"

Transkript

1 - Teil 1 - Firewall & Sicherheitskonzepte Teil des Abschlussprojektes der Klasse F6H9 Autoren: Artur Neumann, Alexander Bauer, Boris Urban Gruppe: 3 Datum:

2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS 2 2 RESSOURCEN- UND ABLAUFPLANUNG 4 3 SICHERHEITSGRUNDLAGEN WAS WOLLEN SIE SCHÜTZEN SICHERHEITSSTRATEGIEN MINIMALE ZUGRIFFSRECHTE MEHRSCHICHTIGE VERTEIDIGUNG PASSIERSTELLE DAS SCHWÄCHSTE GLIED FEHLERSICHERHEIT UMFASSENDE BETEILIGUNG VIELFALT DER VERTEIDIGUNG SICHERHEIT DURCH VERSCHLEIERUNG 12 4 PAKETFILTER-FIREWALL: THEORETISCHE GRUNDLAGE 13 5 ANGRIFFSTYPEN SOURCE IP ADDRESS SPOOFING ATTACKE SNIFFER-ATTACKEN DENIAL OF SERVICE (DOS) SOURCE ROUTING ATTACKE TINY FRAGMENT ATTACKE PORT SCAN 15 6 FIREWALL-KONZEPTE ROUTER MIT FIREWALL-FUNKTIONALITÄTEN FIREWALL-RECHNER MIT ROUTERFUNKTION FIREWALL-RECHNER HINTER ROUTER DMZ AN FIREWALL SCREENED SUBNET FAKE SERVER KONZEPT 18 7 DER PAKETFILTER DES LINUX KERNEL Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 2 / 50

3 7.1.1 VORAUSSETZUNG UM NETFILTER EINZUSETZEN GRUNDLEGENDE FUNKTIOSWEISEN VON NETFILTER MASQUERADING (NAT) MIT NETFILTER WAS IST NETWORK ADDRESS TRANSLATION (NAT)? WOFÜR IST NAT NOTWENDIG? DIE ZWEI FORMEN VON NAT IPTABLES PRAKTISCHE UMSETZUNG FUNKTIONSBEISPIEL 25 8 SYMANTEC ENTERPRISE FIREWALL NT/ INSTALLATION HARDWAREVORRAUSETZUNGEN VORBEREITUNG DES NEUEN SYSTEMS NACH DER INSTALLATION DES BETRIEBSYSTEMS ZENTRALE VERWALTUNG UND SCHNITTSTELLEN DER RAPTOR PROXY DIENSTE DER SEF FILTER REGELWERK DER SEF NETZWERKKARTEN EINSTELLUNGEN Syn Flood Protection Enable Ports Scan Detection VERWALTUNG UND ERSTELLUNG DER SICHERHEITSRICHTLINIEN ERSTELLUNG ICMP REGEL (PING) VERTEIDIGUNG GEGEN DENIAL OF SERVICE ATTACKEN ERSTELLUNG VOM WINDOWS SHARE FREIGABEN (CIFS/SMB) ERSTELLUNG FTP PROXY SERVICES PROTOKOLLIERUNG UND BERICHTSERSTELLUNG IN ECHTZEIT PORTSCAN AKTIVE VERBINDUNGEN 39 9 KOSTEN-NUTZEN-ANALYSE DIE KOSTEN Projekt-Hardware Projekt-Software - Netfilter Projekt-Software - Symantec Enterprise Firewall Installation und Konfiguration NUTZEN-ANALYSE ANHANG A ANHANG B ANHANG C QUELLEN 50 Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 3 / 50

4 2 Ressourcen- und Ablaufplanung Als Testhardware für die Firewall steht uns ein Rechner mit zwei Wechselfestplatten zur Verfügung. Auf einer Platte wurde Red Hat Linux mit der Netfilter-Firewall installiert und getestet. Auf der anderen Platte entsprechend Windows 2000 mit der Raptor-Firewall. In Abstimmung innerhalb der Projektgruppe wurde zuerst die Linuxfirewall eingerichtet und getestet. Anschließend wurde dementsprechend mit der Raptor-Firewall verfahren, währendessen wurde mit der Dokumentation zum Linux-Firewall begonnen. Die Internet-Anbindung wurde durch eine Direktverbindung zu einem weiteren Linux-System über ein Crosslink-Kabel simuliert. Als interner LAN-Client haben wir einen Standard Windows 2000 Rechner eingesetzt. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 4 / 50

5 3 Sicherheitsgrundlagen 3.1 Was wollen sie schützen Eine Firewall ist im Prinzip eine Schutzvorrichtung. Wenn sie eine Firewall aufbauen wollen, müssen sie sich zuerst überlegen, was sie eigentlich schützen wollen. Die meisten Gefahrenquellen gehen von einer Verbindung ins Internet aus Durch die Verbindung mit dem Internet gefährden sie drei Dinge: Ihre Daten: die Informationen auf den Computern Ihre Ressourcen: die Computer selbst Ihren guten Ruf Ihre Daten Ihre Daten müssen in dreierlei Hinsicht geschützt werden Vertraulichkeit Sie wollen sie vor anderen geheim halten Integrität Sie wollen nicht, dass andere ihre Daten verändern Verfügbarkeit Sie wollen ihre Daten selbst zur Verfügung haben Aus heutiger sicht ist die Verbindung über http oder Mail Dienste für ein Unternehmen nicht mehr wegzudenken. Somit existiert eine Verbindung ins Internet und die Möglichkeit eines Einbruchs. Denn da wo eine Tür ist, ist auch der Weg hindurch möglich. Aus diesem Grund gehören nun ihre Daten zu dem Gut, das mitunter der meisten Aufmerksamkeit gehört, diese vor unautorisierten Zugriffen (Kopien) und Veränderungen zu schützen. Das Problem im Computerbereich ist das sich Verbrechen nur sehr schwer feststellbar sind. Es dauert sehr lange, bis sie bemerken, dass jemand in ihre Rechner eingedrungen ist. Möglicherweise erfahren sie es nie oder wenn ihre Konkurrenz das gleiche Produkt vor ihnen auf den Markt bringt. Sogar wenn jemand eindringt und eigentlich nichts an ihrem System oder ihren Daten verändert, werden sie wahrscheinlich Stunden oder tage damit verlieren, herauszufinden, dass nichts manipuliert wurde. In vielerlei Hinsicht ist ein brutaler Angriff, bei dem alles zerstört wird, leichter zu handhaben als ein Einbruch, bei dem auf den ersten Blick kein Schaden entstanden zu sein scheint. Wenn alles zerstört wurde, werden sie in den saueren Apfel beißen und das System mit Backups wieder herstellen. Scheint dagegen ein Angreifer nichts getan zu haben, werden sie will Zeit aufwenden, immer wieder zu überprüfen, ob ihr System nicht dich irgendwo beschädigt wurde. Mit ziemlicher Sicherheit hat der Angreifer etwas getan- die meisten Eindringlinge beginnen zunächst damit, sich ein neues Schlupfloch zu schaffen, bevor sie zu Werke gehen. Um sogenannte Schlupflöcher in ihr System zu verriegeln müssen sie ein ausgeprägtes Sicherheitskonzept entwickeln und sich im Klaren sein welche Dienste ihr System passieren dürfen und welche nicht. Erst dann ist es möglich eine Strategie zu entwickeln, die fundamental Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 5 / 50

6 einsetzbar ist. Die den Anforderungen des Betriebes an Bedienbarkeit mit der höchst mögliche Form an Sicherheit entgegenkommt. 3.2 Sicherheitsstrategien Minimale Zugriffsrechte Das vielleicht grundlegendste Sicherheitsprinzip (jeder Art von Sicherheit, nicht nur im Computer und Netzwerkbereich) ist das der minimalen Zugriffsrechte. Im Grunde besagt das Prinzip der minimalen Zugriffsrechte, dass jede Einheit (Benutzer, Administrator, Programm, System usw. ) nur die Rechte enthält, die sie benötigt, um die ihr zugewiesenen Aufgaben zu erfüllen und nicht mehr. Das Prinzip der minimalen Zugriffsrechte verkleinert die Angriffsfläche und verringert den Schaden, der bei eventuell auftretenden Angriffen entsteht. Manche Autohersteller liefern auch zwei Schlüssel aus, einen für die Türen und das Zündschloss und einen weiteren für das Handschuhfach und den Kofferraum. Auf diese Weise können Sie minimale Zugriffsrechte vergeben. Im Bereich des Internet gibt es unendlich viele Beispiele. Wahrscheinlich benötigt nicht jeder Benutzer alle Internetdienste. Auch ist es sicher nicht notwendig, dass jeder Benutzer alle Dateien in ihrem System verändern (oder nur lesen) können muss. Das Administrator Passwort muss mit Sicherheit auch nicht jeder Benutzer kennen. Nicht einmal jeder Systemadmin muss die Adminpasswörter aller Systeme kennen. Im Gegensatz zu Autoherstellern richten die meisten Hersteller von Betriebssystemen ihre Betriebssysteme standardmäßig nicht mit minimalen Zugriffsrechten ein. Stattdessen sind bei der ersten Installation maximale Zugriffsrechte voreingestellt. Um das Prinzip des minimalen Zugriffsrecht anwenden zu können, müssen sie Wege finden um die Rechte entsprechend der verschiedenen Aufgabenstellungen einzuschränken. Z.B. Geben sie einen Benutzer keine Administratorrechte, wenn er lediglich das Drucksystem zurücksetzen muss. Stellen sie stattdessen eine Methode zur Verfügung mit der sich das Drucksystem auch ohne Administratorrechte zurücksetzen lässt (Gruppe Druckoperatoren W2K) Lassen sie ein Programm nicht als Benutzer mit allen Rechten (root) ablaufen, wenn es lediglich eine geschützte. Erteilen sie stattdessen für die Datei Gruppenschreibrechte für eine bestimmt Gruppe, und lassen Sie das Programm als Mitglied dieser Gruppe ablaufen anstatt als privilegierter Benutzer. Viele der allgemeinen Sicherheitsprobleme im Internet lassen sich darauf zurückzuführen, dass es nicht gelungen ist, das Prinzip der minimalen Zugriffsrechte konsequent durchzuführen. Beispielsweise gab und gibt es eine Vielzahl von Sicherheitslücken in Sendmail, einem großen, komplexen Programm. Jedes vergleichbare Programm wird fehlerhaft sein. Das Problem bei Sendmail ist, dass Sendmail setuid für root verwendet; viele der Angriffe auf Sendmail nutzen dies aus. da es als root ausgeführt wird, stellt Sendmail ein wertvolles Ziel dar, dem Angreifer eine Menge Aufmerksamkeit widmen, die Tatsache, dass es ein sehr kompliziertes Programm ist, erleichtert ihre Aktivitäten nur noch. Daraus folgt, dass privilegierte Programme so einfach wie möglich sein sollten. Außerdem müssen Sie nach Möglichkeiten suchen, bei einem komplexen Programm, das für einige Teile bestimmte Rechte benötigt, diese Bestandteile auszulagern. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 6 / 50

7 Viele der Lösungen, die sie zum Schutz ihres Standorts entwickeln werden. Bestehen in Strategien zur Stärkung des Prinzips der minimalen Zugriffsrechte. Zum Beispiel dient ein Paketfiltersystem dazu, nur solche Pakete durchzulassen, die für die von ihnen gewünschten Dienste notwendig sind Mehrschichtige Verteidigung Ein anderes Sicherheitsprinzip ist mehrschichtige Verteidigung. Verlassen Sie sich nicht nur auf einen einzigen Sicherheitsmechanismus, wie stark er auch immer aussehen mag, installieren sie stattdessen Mechanismen, die sich gegenseitig sichern. Sie werden nicht wollen, dass das Scheitern eines einzigen Sicherheitsmechanismus ihre Sicherheit vollständig zum Erliegen bringt. Die Anwendung dieses Prinzips können sie auch in anderen Bereichen des Lebens beobachten. So hat ihre Haustüre z.b. bestimmt ein Türschloss und einen Riegel, und ihr Auto verfügt sicherlich sowohl über ein Türschloss als auch über ein Zündschloss. usw... Jede Sicherheitsmassnahme selbst die scheinbar unüberwindlicheste Firewall kann von Angreifern mit ausreichend Risokobereitschaft und Einsatz überwunden werden. Der Trick besteht darin, die Einbruchsversuche für erwartete Angreifer zu riskant und aufwendig zu gestalten. Dazu sollten sie verschiedene Mechanismen einsetzen die sich gegenseitig stärken und schützen: Netzwerksicherheit (eine Firewall), Rechnersicherheit und menschliche Sicherheit (Benutzerschulung, sorgsame Systemadministratoren usw...) All diese Mechanismen sind wichtig und können sehr effektiv sein, Sie sollten sich jedoch nicht auf einen allein verlassen. Vermutlich wird ihre Firewall selbst mehrere Schichten aufweisen. Zum Beispiel sieht eine Architektur mehrere Paketfilter vor. Diese beiden Filter decken unterschiedliche Bereiche ab. Es ist aber auch üblich, durch den zweiten Filter die Pakete abweisen zu lassen, die der erste Filter eigentlich bereits abweisen sollte. Wenn der erste Filter richtig funktioniert, kommen solche Pakete nicht beim zweiten Filter an; falls es jedoch Probleme mit dem ersten gibt, dann sind Sie mit ein wenig Glück noch durch den zweiten geschützt. Hier kommt ein weiteres Beispiel: Wenn sie nicht wollen dass Mails an eine bestimmte Maschine geschickt werden, dann filtern sie nicht einfach nur die Pakete, Entfernen sie auch die Mail-Programme von der Maschine. Sofern nur ein geringer Aufwand erforderlich ist, sollten sie immer redundante Abwehrmaßnahmen einsetzen. Diese redundante Maßnahmen dienen nicht allein oder gar ausschließlich dem Schutz vor Angreifern. Vielmehr bieten sie Sicherheit vor dem Fehlschlagen anderer Schutzvorkehrungen Passierstelle An einer Passierstelle werden Angreifer gezwungen, einen schmalen Kanal zu benutzen, den sie überwachen und kontrollieren können. Im realen Leben gibt es viele Passierstellen wie z.b. die Mautstelle an einem Tunnel, die Kassenschlange im Supermarkt oder im Kino. In der Netzwerksicherheit bildet die Firewall zwischen Ihrem Standtort und dem Internet eine solche Passierstelle, jeder der ihr Netz aus dem Internet angreifen will, muss durch diesen Kanal kommen, der gegen solche Angriffe gerüstet seien sollte. Sie sollten nach diesen Angriffen aufmerksam Ausschau halten und darauf angemessen reagieren können. Eine Passierstelle ist sinnlos, wenn ein Angreifer sie leicht umgehen kann. Wozu sollte man sich die Mühe machen, die verrammelte Eingangstür anzugreifen, wenn die Küchentür weit offen steht? Dies gilt auch aus Sicht einen Netzwerks. Warum sollte man eine Firewall Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 7 / 50

8 angreifen, wenn es duzende oder Hunderte von ungesicherten Einwahlpunkten gibt, über die man Ziel einfacher und erfolgreicher ans Ziel kommen kann? Bei dieser Form von Passierstelle drängt sich der Eindruck auf, man setzt alles auf eine Karte, und sie sei deshalb keine besondere gute Idee, allerdings sind hier die Aussichten auf einen Trumpf besonders gut. Die Alternative besteht darin, ihre Aufmerksamkeit auf die verschiedenen möglichen Angriffswege aufzuteilen. Wenn sie so vorgehen, werden sie wahrscheinlich keinen dieser Wege angemessen schützen können. Vermutlich schlüpf gerade in dem Moment jemand durch das Netz, in dem sie versuchen, einen anderen Weg zu schützen (Vielleicht sogar durch einen Scheinangriff, um ihre Aufmerksamkeit abzulenken) Das schwächste Glied Ein fundamentaler Sicherheitsgrundsatz lautet, dass eine Kette immer nur so stark ist wie ihr schwächstes Glied und eine Mauer nur so stark ist wie ihre dünnste Stelle. Schlaue Angreifer werden diese schwächste Stelle suchen und ihre Aufmerksamkeit drauf konzentrieren. Sie müssen auf die schwächsten Punkte in ihrem Abweheinrichtungen besonders aufpassen, um sie entweder zu entfernen oder besonders zu überwachen, wenn sie sich nicht entfernen lassen. Sie sollten versuchen, allen Sicherheitsaspekten die gleiche Aufmerksamkeit zuteil werden zu lassen, damit es keine großen Unterschiede im Grad der Sicherheit oder Unsicherheit zwischen den einzelnen Elementen gibt. Es wird immer ein schwächstes Glied geben. Der Trick besteht darin, dieses Glied stark genug zu gestalten und die Stärke proportional zur Höhe des Risikos auszubauen. Zum Beispiel ist es durchaus in Ordnung, wenn sie sich mehr Sorgen um Leute machen, die sie über das Netz angreifen, als um Leute, die direkt an Ihrem Standort kommen, um sie dann von dort aus anzugreifen. Aus diesem Grund darf die physikalische Sicherheit ihrer Anlagen ihr schwächstes Glied sein. Sie dürfen sie nicht vollkommen vernachlässigen, aber das Abschließen der Aktiven Netzwerkkomponenten in einem Raum ist ausreichend. 3.3 Fehlersicherheit Ein weiteres grundlegendes Sicherheitsprinzip ist die weitgehende Fehlersicherheit. Das bedeutet, dass bei Auftreten eines Fehlers Angreifern der Zugang verweigert werden sollte, anstatt ihn erst recht zu ermöglichen. Der Fehler kann dazu führen, dass auch rechtmäßigen Benutzern der Zugang verwehrt wird, bis die Reparaturen durchgeführt wurden, doch damit lässt sich leben. Das Prinzip der Fehlersicherheit findet in vielen Bereichen Anwendung. Elektrische Geräte sind zum Beispiel so gestaltet, dass sie sich abschalten, wenn bei ihnen ein Fehler auftritt. Die meisten der hier besprochenen Anwendungen reagieren automatisch fehlersicher. Wenn zum Beispiel ein Router mit Paketfilterung ausfällt, dann lässt er keine Pakete mehr durch. Fällt ein Proxyprogramm aus, dann leistet es keine Dienste mehr. Andererseits gibt es rechnerbasierte Paketfiltersysteme, auf denen außerdem nicht eine Anwendung ausgeführt wird. Wenn der Paketfilter ausfällt (oder beim booten nicht gestartet wurde), können die Pakete weiterhin bei der Anwendung ankommen. Das ist auf keinen Fall fehlersicher und sollte vermieden werden. Die wichtigste Anwendung dieses Prinzips im Bereich Netzwerksicherheit liegt in der Entscheidung für eine bestimmt Sicherheit, die sie für ihren Standort treffen müssen. Ihre Haltung ist im Prinzip ihre gesamte Einstellung zum Thema Sicherheit. Sind sie restriktiv oder Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 8 / 50

9 eher freizügig? Neigen sie zu Sicherheit (von manchen auch gerne als Paranoia bezeichnet) oder zu Freiheit? Es gibt zwei grundlegende Einstellungen, die sie in bezug auf Sicherheitsentscheidungen und regeln vertreten können: Die einschränkende Grundhaltung Sie legen nur fest, was sie erlauben; alles andere ist verboten. Die freizügige Grundhaltung Sie legen nur fest, was sie verbieten; alles andere ist erlaubt. Scheinbar ist es offensichtlich, welches der richtige Ansatz ist; vom Sicherheitsstandpunkt her ist dies die einschränkende Grundhaltung. Wahrscheinlich ist für ihre Benutzer und das Management ebenso offensichtlich, dass die freizügige Grundhaltung richtig ist. Vor allem müssen sie Ihre Grundhaltung gegenüber den Benutzern und dem Management klar vertreten und ihnen die Gründe darlegen, die zu ihrer Entscheidung geführt haben. Anderenfalls verschwenden Sie wahrscheinlich eine Menge Zeit mit unnützen Streitereien und sinnlosen Debatten, weil ihr Sicherheitsstandpunkt nicht verstanden wird. Die einschränkende Grundhaltung: Alles, was nicht ausdrücklich erlaubt ist, ist verboten Die einschränkende Grundhaltung ist unter Sicherheitgesichtpunkten sehr sinnvoll, da es sich um einen fehlersicheren Ansatz handelt. Sie geht davon aus, dass alles Unbekannte ihnen schaden kann. Für die meisten Sicherheitsverantwortlichen ist diese Einstellung logisch, allerdings sehen die Benutzer das normalerweise nicht so. Mit einer einschränkenden Grundhaltung verbieten sie standardmäßig alles. Anschließend legen sie fest was Sie erlauben. Sie Ermitteln, welche Dienste von den Benutzern gewünscht werden Wägen die Folgen dieser Dienste für die Sicherheit ab und überlegen, wie sie sie dennoch sicher anbieten können Erlauben nur solche Dienste, die Sie gut genug kennen, sicher anbieten können und für wirklich notwendig halten. Dienste werden je nach Einzelfall zur Verfügung gestellt. Sie beginnen damit die Sicherheit eines speziellen Dienstes zu analysieren und seine Bedeutung für die Sicherheit gegen die Bedürfnisse ihrer Benutzer abzuwägen. Aufbauend auf dieser Analyse und entsprechend der Verfügbarkeit der verschiedenen Mittel zur Verbesserung der Sicherheit des Dienstes, schließen Sie einen Kompromiss. Für den Dienst könnten Sie zu dem Schluss kommen, dass sie ihn für alle Benutzer anbieten und die Sicherheit mit Hilfe der verbreiteten Paketfiliterung oder über Proxysysteme gewährleisten sollten. Bei einem anderen Dienst stellen sie vielleicht fest, dass er mit den verfügbaren Mitteln nicht angemessen gesichert werden kann und ihn sowieso nur wenige Benutzer oder Systeme benötigen. In diesem Fall könnten sie seine Benutzung auf diese kleine Anzahl Benutzer oder System einschränken. Das Problem besteht darin, den für ihre Situation passenden Kompromiss zu finden. Die freizügige Grundhaltung: Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 9 / 50

10 Alles was nicht ausdrücklich verboten wurde, ist erlaubt. Die meisten Benutzer und Manager bevorzugen die freizügige Grundhaltung. Sie neigen dazu anzunehmen, dass alles zunächst erlaubt ist und nur spezielle, besonders gefährliche Aktionen und Dienste bei Bedarf verboten werden. Zum Beispiel: Der Zugriff auf das World Wide Web ist auf solche Benutzer beschränkt, die zuvor über die besonderen Sicherheitsprobleme dieses Dienstes belehrt wurden. Den Benutzern ist es nicht erlaubt, eigene Server einzurichten. Die Benutzer erwarten, dass sie ihnen mitteilen, was gefährlich ist, und die Dinge benennen, die sie nicht tun können. Den Rest sollen sie dann erlauben. Das ist mit Sicherheit nicht besonders fehlersicher. Zum einen geht man vermutlich davon aus, dass sie bereits vorher genau wissen, wo die besonderen Gefahren liegen, wie Sie den Benutzern plausibel machen und die Benutzer davor schützen können. Es ist aber praktisch unmöglich, zu erraten, welche Gefahren in einem System oder draußen im Internet lauern. Es gibt einfach zu viele potentielle Probleme und zu viele Informationen ( neue Sicherheitslöcher, erneute Angriffe über alte Löcher) als dass sie immer auf dem neuesten Stand bleiben könnten. Wenn sie nicht wissen, dass es sich bei irgendetwas um ein Problem handelt, werden sie es nicht auf ihre Verbotsliste setzen. Dennoch besteht es als Problem fort, bis sie darauf aufmerksam werden. Und vermutlich werden sie gerade deshalb darauf aufmerksam werden, weil jemand es ausnutzt Zum anderen verleit die freizügige Grundhaltung zu einem Wettrüsten zwischen dem Betreiber der Firewall und den Benutzern. Der Betreiber bereitet Schutzmaßnahmen gegen die Handlungen und Unterlassungen der Benutzer vor, die Benutzer entdecken faszinierend neue und unsichere Methoden, Dinge zu tun. Das wird immer weiter und weiter fortgesetzt. Der Firewall Betreiber wird für immer Fangen spielen, zwischen dem Zeitpunkt der Einrichtung eines Systems, dem Zeitpunkt der Entdeckung eines Sicherheitsproblems und dem Moment, in dem der Betreiber darauf reagiert, wird es unweigerlich immer Phasen der Verwundbarkeit geben. Unabhängig davon, wie wachsam und kooperativ alle sein werden, irgendwas wird immer durch das Raster fallen; weil der Betreiber der Firewall davon noch nie etwas gehört hat, die vollen Konsequenzen für die Sicherheit noch nicht erfasst hat oder einfach noch keine Zeit hatte, das Problem anzugeben. Die einzigen, die von der freizügigen Grundhaltung profitieren werden, sind potentielle Angreifer. Das liegt daran, dass der Betreiber der Firewall unmöglich alle Löcher stopfen kann, ständig mit Feuerwehr-Aktionen zu tun hat und wahrscheinlich zu beschäftigt ist, um die Angriffe überhaupt wahrzunehmen. 3.4 Umfassende Beteiligung Um effektiv zu funktionieren, brauchen die meisten Sicherheitssysteme die umfassende Beteiligung (oder zumindest das Fehlen eines aktiven Wiederstandes) der Mitarbeiter eines Standorts. Falls jemand ihre Sicherheitmechanismen einfach ablehnt, könnte ein Angreifer zuerst das System dieser Person knacken und ihren Standort dann von innen angreifen. Die beste Firewall der Welt bietet beispielsweise überhaupt keinen Schutz, wenn jemand sie als unnütze Belastung ansieht und sich einfach eine Hintertür zwischen ihrem Standort und dem Internet einrichtet, um die Firewall auf diese Weise zu umgehen. Dazu müsste diese Person lediglich ein Modem kaufen, sich freie PPP oder SLIP Software aus dem Internet besorgen und sich bei einem billigen Internet Service Provider (ISP) anmelden. Dieses Vorgehen liegt sowohl Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 10 / 50

11 aus finanziellen als auch aus technischen Gesichtspunkten im Rahmen der Möglichkeiten vieler Benutzer und Manager. Schon wesentlich schlichtere Formen des Widerstandes können Ihre Sicherheit untergraben. Jeder muss Ihnen über ungewöhnliche Vorkommnisse berichten, die möglicherweise sicheheitsrelevant sind; Sie können nicht alles sehen. Ihre Leute müssen gute Passwörter wählen, sie regelmäßig ändern und dürfen sie nicht an Freunde oder Verwandte weitergeben. Wie erreichen Sie, dass alle mitmachen? Die Beteiligung könnte freiwillig (Sie überzeugen alle dass es gut ist), unfreiwillig (jemand mit den entsprechenden Autorität und Macht weist alle an zu kooperieren) oder eine Kombination aus beidem sein. Selbstverständlich ist eine freiwillige einer unfreiwilligen Beteiligung vorzuziehen; Sie wollen ja dass ihre Mitarbeiter ihnen helfen und nicht nach Wegen suchen, ihnen zu schaden. Ebenso wie ihre Mitarbeiter eine gewisse Sensibilität gegenüber Sicherheit im Internet und die Bedeutung für das Unternehmen und ihren Arbeitsplatz bewusst werden. Diejenigen, die ihnen nicht freiwillig helfen, werden erstaunliche Mühen auf sich nehmen, um ihre Sicherheitsmassnahmen zu umgehen. 3.5 Vielfalt der Verteidigung Die Vielfalt der Verteidigung hängt eng mit einer mehrschichtigen Verteidigung zusammen, geht allerdings noch weiter; der Grundgedanke ist, dass sie nicht nur mehrere Verteidigungsschichten, sondern auch verschiedene Arten der Verteidigung brauchen. Das Vorhandensein eines Türschlosses und eines Zündschlosses an einem Auto bedeutet mehrschichtige Verteidigung, durch eine Alarmanlage wird noch eine weitere Art der Verteidigung hinzugefügt. Sie versuchen nun nicht nur, die Leute von der Benutzung ihres Fahrzeuges abzuhalten, sondern auch die Aufmerksamkeit anderer Personen zu wecken, falls jemand versuchen sollte, sich unberechtigt daran zu schaffen zu machen. Bei richtiger Umsetzung hat die vielfältige Verteidigung einen großen Einfluss auf die Sicherheit eines Systems. Allerdings sind viele Versuche, eine Vielfalt der Verteidigung herzustellen, nicht sehr effektiv. Eine beliebte Theorie besagt, dass man verschiedene Arten von Systemen verwenden soll, zum Beispiel können sie in einer Architektur mit zwei Paketfiltersystemen die Vielfalt der Verteidigung verbessern, wenn die Systeme unterschiedlicher Hersteller benutzen. Wenn alle ihre Systeme zu einem Typ gehören, kann jemand, der weiß wie er in eines einbrechen kann, wahrscheinlich auch in alle anderen eindringen. Durch die Benutzung von Sicherheitssystemen verschiedener Hersteller vermindern Sie sicher die Chancen eines gemeinsamen Programmier- oder Konfigurationsfehlers, der sie alle unbrauchbar macht. Allerdings erhöhen sich die Kosten und die Komplexität des Gesamtsystems. Die Beschaffung und Installation mehrerer verschiedener Systeme ist schwieriger, dauert länger und kostet mehr, als dies sei einem einzelnen System der Fall wäre. Sie müssen mehrere Systeme kaufen und mehrere Wartungsverträge für sie abschließen. Außerdem kostet es ihre Angestellten mehr Zeit und Aufwand, den Umgang mit den unterschiedlichen Systemen zu erlernen. Wenn sie nicht aufpassen, erzeugen sie eine Vielfalt der Schwäche anstelle einer Vielfalt der Verteidigung. Bei zwei verschiedenen, hintereinander angeordneten Paketfiltern kann der Einsatz unterschiedlicher Produkte dabei helfen, die jeweiligen Schwächen auszugleichen. Arbeiten diese Paketfilter jedoch getrennt voneinander, dann werden sie bei der Verwendung unterschiedlicher Produkte anstelle einer zwei unterschiedliche Arten von Problemen haben, mit denen sie kämpfen müssen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 11 / 50

12 All diese aus den Unterschieden resultierenden Problemen bringen ihnen keine Echte Vielfalt. Hüten sie sich vor scheinbarer Vielfalt. Zwei Systeme mit unterschiedlichen Firmenbezeichnungen auf dem Gehäuse können mehr gemeinsam haben als sie denken. Systeme desselben Typs teilen die gleichen Schwächen Systeme die von denselben Personen konfiguriert wurden, haben bei der Konfiguration dieselben Schwachpunkte Viele Programme leiten ihre Herkunft aus dem selben Quellcode ab 3.6 Sicherheit durch Verschleierung Sicherheit durch Verschleierung ist ein Prinzip, beidem sie Dinge schützen, indem sie sie verstecken. Dieses Prinzip wird im täglichen Leben ständig benutzt. Schließen sie sich öfters einmal aus? Verstecken sie irgendwo einen Schlüssel. Müssen sie etwas wertvollen im Auto zurücklassen dann legen sie es so hin damit es keiner direkt sehen kann. Dies ist solange sicher bis jemand den Schlüssel findet oder das jemand etwas wichtiges im Auto vermutet und das Fenster einschlägt. Solange der Schlüssel nicht allzu offensichtlich herumliegt ist dieser Schutz teilweise für manche belange ausreichend. Die folgenden Beispiele zeigen Sicherheit durch Verschleierung im Bereich Computer Sie bringen eine Maschine ins Internet und rechnen damit, dass niemand versucht, in sie einzudringen, weil sie niemanden davon erzählt haben Sie haben einen neuen Verschlüsselungsalgorithmus entwickelt und zeigen ihn niemanden Sie lassen einen Server aus einer anderen Port Nummer laufen als sonst. Z.B. Einen ftp Server auf Port 1111 anstelle auf Port 21 Wenn Leute über Sicherheit durch Verschleierung reden, dann tun sie dies mit einer gewissen Geringschätzung. Verschleierung stellt jedoch eine durchaus gültige Sicherheitstaktik dar; sie ist nur nicht besonders stark. Sie können in allen Beispielen aus dem Nicht Computer Bereich feststellen, dass sie entweder zusammen mit viel stärkeren Sicherheitsmaßnahmen (ein abgeschlossenes Haus oder Auto) oder für unbedeutende Risiken verwendet wird. Sicherheit durch Verschleierung ist schlecht wenn: Es die einzige Sicherheitsmaßnahme ist die Inhalte nicht wirklich verschleiert werden Wenn sie eine Maschine im Internet erreichbar machen, sie nicht sichern und dann hoffen dass niemand sie bemerken wird, weil sie ja keine Werbung dafür machen, handelt es sich nicht um Sicherheit durch Verschleierung. Sicherheit durch Verschleierung kann und sollte nur in sicherheitsunrelevanten Gebieten angewendet werden da kein aktiver Schutz existiert. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 12 / 50

13 4 Paketfilter-Firewall: Theoretische Grundlage Ein Paketfilter arbeitet auf Ebene 3 des OSI Modells. Er entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Überprüft werden Header- Informationen wie: IP-Ursprungsadresse IP-Zieladresse das eingebettete Protokoll (TCP, UDP, ICMP, oder IP Tunnel) TCP/UDP-Absender-Port TCP/UDP-Ziel-Port ICMP message type Eingangsnetzwerkschnittstelle (Ethernetkarte, Modem, etc.) Ausgangsnetzwerkschnittstelle Falls das Datenpaket die Filter passiert sorgt die Firewall für die Weiterleitung des Pakets, andernfalls verwirft sie es. Wenn keine Regel greift, verfährt der Paketfilter nach den Default- Einstellungen. Diese sollte aus Sicherheitsgründen verwerfen sein. Anhand der Filterregeln kann eine Firewall auch eine reine Service-Filterung durchführen. Auch hier muss der Systemadministrator die Filterregeln vorher definieren. Service-Prozesse benutzen bestimmte Ports (Well Known Ports), wie zum Beispiel FTP den Port 21 oder SMTP den Port 25. Um beispielsweise den SMTP-Service abzublocken, sondert die Firewall alle Pakete aus, die im Header den Ziel-Port 25 eingetragen haben oder die nicht die Ziel-IP- Adresse eines zugelassenen Hosts besitzen. Einige typische Filterrestriktionen sind: Nach außen gehende Telnet-Verbindungen sind nicht erlaubt. Telnet-Verbindungen sind nur zu einem bestimmten internen Host erlaubt. Nach außen gehende FTP-Verbindungen sind nicht erlaubt. Pakete von bestimmten externen Netzwerken sind nicht erlaubt. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 13 / 50

14 5 Angriffstypen Bestimmte Angriffstypen verlangen eine vom Service unabhängige Filterung. Diese ist jedoch schwierig umzusetzen, da die dazu erforderlichen Header-Informationen Service-unabhängig sind. Die Konfiguration von Paketfiltern kann auch gegen diese Art von Angriffen erfolgen, für die Filterregeln sind jedoch zusätzliche Informationen notwendig. Beispiele für diese Angriffe sind: 5.1 Source IP Address Spoofing Attacke Bei einer Spoofing-Attacke fälscht der Angreifer die IP-Absenderadresse eines Datenpakets und verwendet stattdessen die Adresse eines Rechners im internen Netz. Die Firewall kann einen solchen Angriff erkennen, indem sie überprüft, ob ein von außen kommendes Paket eine interne Adresse nutzt. Um den Angriff abzuwehren, sind solche Pakete entsprechend herauszufiltern. 5.2 Sniffer-Attacken Beim Sniffing wird der Datenverkehr auf einem Host gezielt belauscht mit dem Ziel, Benutzerkennungen und Passwörter zu erlangen. Die dazu benötigte Software ist meist Freeware und ist als Diagnosetool oft Bestandteil des Betriebssystems (z.b. tcpdump bei Linux). Das Sniffing funktioniert natürlich nur wenn die Daten bei der eigenen Netzwerkschnittstelle vor vorbeikommen. Das kommt z.b. vor wenn die Rechner über ein Bus oder ein Hub verbunden sind. D.h. die effizienteste Möglichkeit Sniffing-Attacken zu verhindern ist die physikalische Abtrennung von potenziellen Angreifern z.b. durch ein Switch oder Router. 5.3 Denial of Service (DoS) DoS-Attacken sind Stürme von Dienstanfragen an einen Server. Die Dienstsnittstelle wird überlastet und steht dadurch einem autorisierten Benutzer nicht zur Verfügung. Besonders verheerend sind distributed DoS-Attacken, da der Angriff von von einer Vielzahl von Rechnern gestartet wird. Einzige Möglichkeit der Abwehr ist eine Zugriffsbeschränkung pro IP und Zeiteinheit. 5.4 Source Routing Attacke Bei einer Source Routing Attacke gibt der Angreifer die konkrete Route vor, die ein Datenpaket nehmen soll, um Sicherheitsmaßnahmen zu umgehen. Das Verfahren zum Source Routing ist zwar im TCP/IP-Standard vorgesehen, kommt jedoch kaum noch zum Einsatz. Deshalb kann die Firewall die Pakete mit diesem Flag bedenkenlos verwerfen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 14 / 50

15 5.5 Tiny Fragment Attacke Bei dieser Angriffsform erzeugt der Hacker extrem kleine Datenpakete, von denen nur das erste den TCP-Header enthält. Das soll den Router veranlassen, nur das erste Fragment zu prüfen und die restlichen ungeprüft durchzulassen. Dies erlaubt dem Hacker, die gewünschten Befehle ins Netz zu schmuggeln. Als Abwehr kann die Firewall alle Pakete verwerfen, bei denen das Feld Fragment-Offset auf eins gesetzt ist. 5.6 Port Scan Bei einem Port Scan überprüft der Angreifer welche Ports auf dem System offen sind. Damit kann er schnell überprüfen welche Dienste der Server anbietet. Dann können diese Dienste gezielt angreifen. Port-Scans können dadurch erkannt werden dass von einer IP ungewöhnlich viele Verbindungsanfragen an verschiedene Ports gestellt werden. Solche IP s sollte die Firewall für eine Zeitlang komplett sperren. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 15 / 50

16 6 Firewall-Konzepte Neben den logischen Aspekten einer Firewall muss auch der physikalische Aufbau bestimmt werden, dieser trägt unmittelbar zur Sicherheit hinzu. Verschiedene Möglichkeiten, Sicherheit zu realisieren sollen im folgenden beschrieben werden. Bastion Host Eine Firewall wird auch als Bastions Host bezeichnet, das ist ein Rechner, der besonders gesichert ist und als Bollwerk" gegen Eindringlinge eingesetzt wird. Er dient der Verteidigung des lokalen Netzwerkes und sollte besondere Aufmerksamkeit vom Administrator (in der Form von regelmäßigen Audits und Sicherheits- Patches) erhalten. Dual Homed Host/Gateway Wenn ein Rechner Teil von zwei Netzen ist (mit zwei Netzwerkkarten), spricht man von einem Dual Homed Host. Oft bietet dieser Rechner auch Gateway- Funktionen an. Um hohe Sicherheit zu erlangen wird die Routing- Funktion deaktiviert. Dann können lokale und Internet- Hosts mit dem Gateway kommunizieren, aber direkter Datenfluss wird unterbunden. 6.1 Router mit Firewall-Funktionalitäten Es gibt viele Hersteller von Routern, die in ihre Geräte Firewall-Funktionalitäten integrieren. Dies sind meistens IP- Filter, die mehr oder weniger detailliert konfiguriert werden können. Manche Geräte aus der höheren Preisklasse bieten weitergehende Funktionen wie IP-Tunneling (VPN) oder Stateful Inspection an. Solche Screening Router" werden jedoch sehr oft als Teil einer Firewall eingesetzt. Der Einsatz eines solchen Routers als alleinige Firewall- Einrichtung ist jedoch nur beschränkt und nur für kleine Netze zu empfehlen. Bei hohen Sicherheitsanforderungen bietet diese Lösung nicht genügend Freiraum zum Konfigurieren und ausserdem keine Möglichkeit einer Application Level Firewall. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 16 / 50

17 6.2 Firewall-Rechner mit Routerfunktion Eine Konfiguration dieser Art bietet die gesamte Palette der Möglichkeiten und ist auch verhältnismäßig kostengünstig da man sich einen zusätzlichen Router spart. Sie ist jedoch nicht für Hochsicherheit geeignet. Die Konzentration aller Einrichtungen auf einem Rechner bietet zu viele Möglichkeiten für Angreifer bei einer Fehlkonfiguration. Auch Fehler der verwendeten Programme führen zu Sicherheitslücken, die durch mehrstufige Firewalls geschlossen werden (können). 6.3 Firewall-Rechner hinter Router In den häufigsten Fällen ist der Firewall- Rechner im lokalen Netz und der Router lässt nur Verkehr vom Internet zum Bastion Host zu. Dieser überprüft die Zulässigkeit der Verbindung und kann sie erlauben oder abblocken. Wenn der Router mit Packet Filtering Rules ausgestattet ist, wird die dahinter liegende Firewall zusätzlich geschützt. Der Router arbeitet mit seinem eigenen TCP/IP Stack, welcher oft wesentlich stabiler ist als der einer Softwareimplementation. DOS- Angriffe (z.b. Ping of Death, SYN-Flooding) werden somit vom Firewall-Rechner abgehalten und die Down-Zeiten verringert, da ein Router schneller wieder online ist als ein neu zu startender Rechner. 6.4 DMZ an Firewall Bei vielen Anwendungen ist es von Vorteil, ein begrenzt sicheres Netz zu haben. Es entspricht nicht den hohen Sicherheitsanforderungen des LANs, erlaubt aber dennoch eine gewisse Überwachung und Abschirmung. Ein solches Netzwerk nennt man "Demilitarisierte Zone". Es wird im allgemeinen dafür benutzt, Dienste für das externe Netz zur Verfügung zu stellen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 17 / 50

18 6.5 Screened Subnet Ein Screened Subnet ist eine Erweiterung der oben genannten Methoden, da zwischen zwei Router-Firewalls ein Abgeschirmtes Netzwerk" geschalten wird. Diesem wird nicht völlig vertraut, aber es hat auch nicht mehr einen so feindlichen Charakter wie das externe Netz. Im Gegensatz zu den obigen Methoden müssen hier zwei Firewall - Systeme überwunden werden, um an das LAN zu gelangen. Sind diese noch von verschiedenen Herstellern und/oder auf verschiedenen Plattformen erhöht sich der notwendige Aufwand für den potentiellen Eindringling, diese Wand zu durchbrechen. In dieser DMZ stehen oft Dienste für das externe Netz zur Verfügung und auch das lokale Netz kann auf die DMZ zugreifen. Direkter Verkehr zwischen den beiden Netzen wird jedoch unterbunden. Eine Application Level Firewall auf einem Bastion Host kann diese Verbindung für spezielle Dienste ermöglichen. 6.6 Fake Server Konzept Eine weitere Steigerung des Sicherheitskonzepts ist die Möglichkeit potentielle Angreifer auf Server mit vermeintlichen Sicherheitslücken zu locken. Diese Server befinden sich in einem vom Unternehmensnetzwerk logisch getrennten Netzwerksegment. Auf dieses Teilsegment kann nur über die Firewall zugegriffen werden. Während der Angreifer versucht in die Fake-Systeme einzudringen, kann durch Überwachungsskripte der Administrator alarmiert werden. Während der Angreifer auf den Fake-Rechnern eingelogt ist, können wichtige Informationen über ihn gesammelt werden. Nützliche Informationen können sein: IP-Adresse zur Identifizierung, Art der Angriffe zur Feststellung der Sicherheitslücken der Systeme und anhand der Aktivitäten können eventuell die Absichten des Angreifers erkannt werden. In der Praxis wird dieses Konzept relativ selten eingesetzt, da es zusätzlichen finanziellen Aufwand bedeutet. Dazu zählen nicht nur Hardware- sondern auch Personalkosten für Konfiguration und Administration. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 18 / 50

19 7 Der Paketfilter des Linux Kernel 2.4 Der Kernel 2.4 kommt mit einer neuen Implementierung einer Paketfilter-Firewall. Dies ist mittlerweile die vierten oder fünfte Implementierung in der Geschichte von Linux. Der Name der Implementierung ist Netfilter. Zwar erlaubt Netfilter es mit Hilfe von Modulen, Abwärtskompatibilität mit Linux 2.2 und sogar 2.0 herzustellen, doch davon ist abzuraten. Es bringt einfach nichts, auf einem Auslaufmodell herumzureiten. Netfilter ist endlich die Implementierung der Paketfilter, die die optimale Flexibilität und Erweiterbarkeit garantiert und dazu noch exzellente Performance bietet. Man darf davon ausgehen, dass sie mehr Bestand haben wird als ihre Vorgänger Voraussetzung um Netfilter einzusetzen Um Netfilter einzusetzen, bedarf es eines neuen Tools, iptables. Die Version 1.2 wird mindestens vorausgesetzt. Da Netfilter komplett im Kernel integriert ist, muss dieser natürlich entsprechend compiliert werden. Eine detaillierte Liste mit den entsprechenden Modulen und Paketen befindet sich im Anhang A. Am einfachsten und komfortabelsten ist es die Module und die Konfiguration der Firewall beim Hochfahren des Rechners automatisch durch ein init-script zu laden Grundlegende Funktiosweisen von Netfilter Es ist wichtig, die grundlegende Funktionsweise von Netfilter zu kennen. Netfilter arbeitet mit "Ketten" von Regeln. Ketten sind wie Unterprogramme. Regeln können in eine neue Kette verzweigen, und Ketten können zur aufrufenden Kette zurückkehren. Dieses Konzept stammt von den ipchains vom Kernel 2.2. Es gibt drei vordefinierte Ketten: INPUT, OUTPUT und FORWARD. Ferner kann man beliebige weitere Ketten definieren. Standardmäßig sind nach dem Booten alle Ketten leer, und alle Pakete werden durchgelassen. Im Unterschied zu früher durchläuft jedes eingehende oder ausgehende Netzwerk-Paket nur noch eine einzige Kette. Pakete, die auf dem lokalen Rechner (d.h. auf dem Firewall selber) erzeugt werden, durchlaufen die OUTPUT-Kette. Pakete, die für den lokalen Rechner (direkt an den Firewall gerichtet) bestimmt sind, durchlaufen die INPUT-Kette. Pakete, die lediglich geroutet werden, also den Rechner auf einem Netzwerk-Interface erreichen und auf einem anderen wieder verlassen, durchlaufen die FORWARD-Kette. Das heißt, daß der Rechner als Router konfiguriert sein muß, damit dies funktioniert. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 19 / 50

20 Externe NIC eth0 FORWARD Interne NIC eth1 INPUT OUTPUT lokale Verarbeitung z.b. ping an den Firewall OUTPUT INPUT Ein Paket durchläuft eine Kette, indem alle Regeln in der Kette der Reihe nach abgearbeitet werden, bis entweder eine Regel entscheidet, was mit dem Paket passiert, oder alle Regeln durchlaufen sind, worauf die Default Policy angewandt wird. Das Schicksal des Pakets kann im Wesentlichen nur zwei mögliche Verläufe nehmen: Es wird ignoriert (DROP) oder normal verarbeitet (ACCEPT). Der Weg bis zu dieser Entscheidung kann natürlich beliebig komplex werden, je nach Umfang der Anforderungen. Artur Neumann, Alexander Bauer, Boris Urban, Stefan Hügele 20 / 50

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009 Firewalling mit iptables Die Netfilter-Architektur Seminar Betriebssytemadministration SS 2009 Gliederung 2 Firewall Aufgaben/Ziele Firewalltypen Sicherheitspolitik Sicherheitskonzept Netzwerktopologie

Mehr

Einführung in Firewall-Regeln 1

Einführung in Firewall-Regeln 1 Einführung in Firewall-Regeln 1 Bei einer Firewall ist die Reihenfolge der Regeln eines Regelwerks von wichtiger Bedeutung. Besonders dann, wenn das Regelwerk der Firewall aus sehr vielen Regeln besteht.

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Klaus Gerhardt Linux Seiten

Klaus Gerhardt Linux Seiten Klaus Gerhardt Linux Seiten iptables und Stealth Scans Klaus Gerhardt, 08.2005, Version 0.11 (Copyright, Nutzungsbedingungen, Haftungsausschluss, s.u.) In diesem Dokument verwendete eingetragene Warenzeichen,

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005

Bridgefirewall eine transparente Lösung. Thomas Röhl 08. April 2005 Bridgefirewall eine transparente Lösung Thomas Röhl 08. April 2005 Inhalt Warum eine Bridgefirewall? Installation der Bridge IPtables der Paketfilter unter Linux Funktionsweise von IPtables Firewallregeln

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

IPTables und Tripwire

IPTables und Tripwire 1/14 und und 8. Juni 2005 2/14 und Anwendungen und ihre FTP (Port 21) 21 FTP- Datenpaket 51 FTP (Port 51) SSH (Port 22) 22 SSH- Datenpaket 35 SSH (Port 35) HTTP (Port 80) 80 HTTP- Datenpaket 99 HTTP (Port

Mehr

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Port-Weiterleitung einrichten

Port-Weiterleitung einrichten Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen

Mehr

Routerguide für das Modell AT AR220E

Routerguide für das Modell AT AR220E Routerguide für das Modell AT AR220E Einleitung: Da viele User ein Problem damit haben ihren Router vernünftig oder überhaupt zu konfigurieren hab ich mich dazu entschlossen eine Anleitung für den AR220E

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Rechnernetze Praktikum Versuch 2: MySQL und VPN Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung

NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung NAS-Server Eine Möglichkeit der dezentralen Datenspeicherung Anton Sparrer email: antonsparrer@gmx.de Zugang zu den Computern Benutzername: Passwort: Was erwartet Sie? Tipps zum Kauf eines NAS Einbau einer

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Wenn Sie Benutzer von ProtectOn 2 sind und überlegen, auf ProtectOn Pro upzugraden, sollten Sie dieses Dokument lesen. Wir gehen davon aus, dass

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Sicherheit unter Linux Workshop

Sicherheit unter Linux Workshop Folie 1 / 20 Sicherheit unter Linux Hergen Harnisch harnisch@rrzn.uni-hannover.de Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 19. Juni 2006 Folie 2 / 20 -Regeln Speichern und Laden von Filterregeln

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr.

Aufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr. Aufgaben einer Firewall Eine Firewall überwacht den sie durchquerenden Datenverkehr. Firewalls Dabei entscheidet die Firewall anhand vorher festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden

Mehr

Technical Note 0605 ewon

Technical Note 0605 ewon PCE Deutschland GmbH Im Langel 4 59872 Meschede Telefon: 02903 976 990 E-Mail: info@pce-instruments.com Web: www.pce-instruments.com/deutsch/ Technical Note 0605 ewon 2 ewon per VPN miteinander verbinden

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

highsystem.net Clients importieren

highsystem.net Clients importieren highsystem.net Clients importieren Tipps & Tricks highsystem R Version: 1.0 Erstellt am: 28.05.2009 Letzte Änderung: - 1 / 11 Hinweis: Copyright 2006,. Alle Rechte vorbehalten. Der Inhalt dieses Dokuments

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Schutz vor unbefugtem Zugriff

Schutz vor unbefugtem Zugriff Seite 1/7 Schutz vor unbefugtem Zugriff Speziell die zunehmende Vernetzung von Elektronikkomponenten erfordert immer weitreichendere Sicherheitskonzepte zum Schutz vor unbefugtem Zugriff. Zum Zeitpunkt

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Einrichten von Internet Firewalls

Einrichten von Internet Firewalls Einrichten von Internet Firewalls Sicherheit im Internet gewährleisten D. Brend Chapman & Elizabeth Zwicky Deutsche Übersetzung von Katja Karsunke & Thomas Merz i O'REILLY Cambridge Köln Paris Sebastopol

Mehr

Firewall-Architekturen

Firewall-Architekturen firewall 2006/1/4 15:26 page 65 #84 KAPITEL 5 Firewall-Architekturen Kommen wir nun zum Kern des Themas. Nachdem wir uns in den vorigen Kapiteln mit Netzwerkprotokollen und Angriffen beschäftigt haben,

Mehr

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall

Mehr

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden. Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes

MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes Fach Multimediale Breitbandkommunikation (MBK) Autoren: Stephanie Endlich Stephan Gitz Matthias Härtel Thomas Hein Prof. Dr. Richard Sethmann

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Virtual Private Network Ver 1.0

Virtual Private Network Ver 1.0 Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses

Mehr

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke

Agenda. Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture. Virtuelle Netzwerke VMware Server Agenda Einleitung Produkte vom VMware VMware Player VMware Server VMware ESX VMware Infrastrukture Virtuelle Netzwerke 2 Einleitung Virtualisierung: Abstrakte Ebene Physikalische Hardware

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

mit ssh auf Router connecten

mit ssh auf Router connecten Dateifreigabe über Router Will man seine Dateien Freigeben auch wenn man hinter einem Router sitzt muss man etwas tricksen, das ganze wurde unter Windows 7 Ultimate und der Router Firmware dd-wrt getestet.

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Einrichtungsanleitung Router MX200

Einrichtungsanleitung Router MX200 Einrichtungsanleitung Router MX200 (Stand: 30. Januar 2015) Zur Inbetriebnahme des MX200 ist zusätzlich die beiliegende Einrichtungsanleitung LTE- Paket erforderlich. Diese steht alternativ auch auf der

Mehr

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH

MultiNET Services GmbH. iptables. Fachhochschule München, 13.6.2009. Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH iptables Fachhochschule München, 13.6.2009 Dr. Michael Schwartzkopff, MultiNET Services GmbH MultiNET Services GmbH: iptables: Seite 1 Entwicklung von Paketfiltern Seit es Internet

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

a.i.o. control AIO GATEWAY Einrichtung

a.i.o. control AIO GATEWAY Einrichtung a.i.o. control AIO GATEWAY Einrichtung Die folgende Anleitung beschreibt die Vorgehensweise bei der Einrichtung des mediola a.i.o. gateways Voraussetzung: Für die Einrichtung des a.i.o. gateway von mediola

Mehr

Versuch 3: Routing und Firewall

Versuch 3: Routing und Firewall Versuch 3: Routing und Firewall Ziel Konfiguration eines Linux-basierten Routers/Firewall zum Routen eines privaten bzw. eines öffentlichen Subnetzes und zur Absicherung bestimmter Dienste des Subnetzes.

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur Probeklausur Aufgabe 1 (Allgemeine Verständnisfragen): 1. Wie nennt man die Gruppe von Dokumenten, in welchen technische und organisatorische Aspekte (bzw. Standards) rund um das Internet und TCP/IP spezifiziert

Mehr

Sicherheit in Netzen- Tiny-Fragment

Sicherheit in Netzen- Tiny-Fragment Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr