Sicherheitsuntersuchung des Squid Proxy Servers. Feinkonzept

Größe: px
Ab Seite anzeigen:

Download "Sicherheitsuntersuchung des Squid Proxy Servers. Feinkonzept"

Transkript

1 Feinkonzept

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Internet: Bundesamt für Sicherheit in der Informationstechnik 2005

3 Inhaltsverzeichnis 1. Einleitung 5 2. Einsatzszenarien Einsatz als regulärer Proxy Einsatz als regulärer Proxy in einer DMZ Einsatz als regulärer Proxy auf der Firewall Einsatz als Reverse Proxy Server 9 3. Sicherheitsziele Bedrohungen des Squid Proxy Servers Mögliche Schwachstellen von Squid Sicherheitsanforderungen Identifizierung und Authentisierung Zugriffskontrolle Sicherheitsprotokollierung Unverfälschtheit Zuverlässigkeit der Dienstleistung Übertragungssicherheit Verschlüsselung Funktionen zur Wahrung der Datenintegrität Datenschutzrechtliche Anforderungen Minimale Rechtevergabe Sicherheitsfunktionen von Squid Identifizierung und Authentisierung HTTP Basic Authentisierung HTTP Digest Authentisierung NTLM Authentisierung Zugriffskontrolle Access Control Listen ACLs mit IP Adressen ACLs mit DNS Namen ACLs mit Protokolleingeschaften ACLs mit Benutzerinformationenen (Identifizierung bzw. Authentisierung) ACLs mit Inhaltsinformationen Sonstige ACLs Externe ACLs Access Control Regeln Sonstige Konfigurationen die ACLs verwenden 25 Bundesamt für Sicherheit in der Informationstechnik 3

4 7.3 Sicherheitsprotokollierung Unverfälschtheit Zuverlässigkeit der Dienstleistung Übertragungssicherheit Verschlüsselung Datenintegrität Datenschutz Minimale Rechtevergabe Testplan Funktionale Tests der Sicherheitsfunktionen von Squid Penetrationstests Quellcode Analysen 38 Bundesamt für Sicherheit in der Informationstechnik 4

5 Titel des Dokuments 1 Einleitung Squid ist ein Open Source Web Cache Proxy-Server. Proxy bedeutet in der deutschen Sprache Bevollmächtigter oder Stellvertreter. Ein Proxy-Server dient folglich dazu, an Stelle des Client die entsprechende Anfrage an einen Server zu stellen. Der Proxy-Server nimmt die Antwort vom Server entgegen und leitet diese an den anfragenden Client weiter. Neben dieser Stellvertreteraufgabe bietet der Squid eine Cache-Funktionalität. Der Squid holt das angeforderte Objekt vom Web Server, liefert es an den Client aus und behält eine Kopie des Objekts in einem Zwischenspeicher, der auch kurz Cache genannt wird. Der Proxy-Server kann bei einer Anfrage eines zuvor gespeicherten Objektes dieses Objekt aus seinem Zwischenspeicher ausliefern und muss nicht den entfernten Web Server befragen. Squid unterstützt die Protokolle HTTP, HTTPS, FTP (über HTTP), Gopher und WAIS. Er ist sowohl für kleine Installationen (5-10 Nutzer) wie auch für große Proxy-Verbünde in WAN Netzen mit einer sehr großen Nutzerzahl geeignet. Squid wird weiterhin bei einer Vielzahl von Internet Service Providern (ISP) als transparenter Proxy eingesetzt. Dabei wird der Netzverkehr unbemerkt vom Benutzer über einen Squid Proxy Server gelenkt und nimmt ebenfalls Proxy und Cache Funktionalität war. Weiterhin ist Squid als Reverse Proxy" zum Schutz und zur Beschleunigung von Web Servern einsetzbar. Bundesamt für Sicherheit in der Informationstechnik 5

6 2 Einsatzszenarien In diesem Kapitel werden typische Beispiele für Einsatzumgebungen des Squid Proxy Servers beschrieben. Die hier beschriebenen Einsatzumgebungen stellen die Grundlage für die Sicherheitsuntersuchung des Squid Proxy Servers dar. Sie werden auch bei der Erstellung der im Rahmen des Projektes zu erstellenden Check-Listen berücksichtigt. Die Auswahl der Einsatzumgebungen richtet sich vornehmlich an die Anbindung von kleineren und mittleren Behördennetzen an das Internet. Die im Rahmen der Studie erstellten Check-Listen sollen die Betreiber der kleineren und mittleren Behördennetzen unterstützen, einen adäquaten Sicherheitsstand ihrer Squid Proxy-Installation sicherzustellen. 2.1 Einsatz als regulärer Proxy Bei der Sicherheitsuntersuchung wird der Einsatz als regulärer Proxy Server in den Szenarien Installation auf einem eigenständigem Server in einer demilitarisierten Zone der Firewall und Installation direkt auf der Firewall betrachtet. Auf die Betrachtung des Szenario Installation auf einem eigenständigen Server im LAN sowie innerhalb von Cache Hierarchien wird in Absprache mit dem BSI verzichtet Einsatz als regulärer Proxy in einer DMZ Ein Beispiel einer typischen Einsatzumgebung ist in der Abbildung 1 dargestellt. Der Proxy-Cache- Server wird dabei in einer Firewall-DMZ des Internet-Übergangs installiert. An der Firewall werden einerseits Client-Zugriffe aus dem internen Netz auf den entsprechenden Service-Port des Squid erlaubt. Andererseits werden an der Firewall die Zugriffe vom Squid ins Internet erlaubt. Zusätzlich können weitere Services in Verbindung mit dem Squid Proxy-Cache-Server, wie z.b. HTTP Antivirus-Filter oder URL-Filter auf dedizierten Server Systemen in der DMZ platziert werden. Der Vorteil dieser Realisierungsvariante liegt in dem zusätzlichen Schutz des Proxy-Cache-Server durch die Firewall gegen bestimme Bedrohung, wie z.b. Denial of Service-Angriffe, sowie in dem Schutz offener Ports weiterer Dienste, die von dem Betriebssystems des Squid Systems angeboten werden. Die zusätzlichen Schutzmechanismen einer Firewall sind nicht Gegenstand dieser Untersuchung und werden im Folgenden nicht weiter betrachtet. Bundesamt für Sicherheit in der Informationstechnik 6

7 Titel des Dokuments Auth.-Server Management- LAN Content Security Server Client ProxyCache WebServer DMZ Intranet Internet Router Firewall Router Abbildung 1: Realisierung Squid Proxy-Cache in der DMZ der Firewall Die folgende Tabelle gibt einen Überblick über möglichen Aufgaben, die von dem Squid Proxy Server in diesem Szenario wahrgenommen werden können. Weiterhin ist in dieser Tabelle vermerkt, welche Aufgaben im Rahmen der Sicherheitsuntersuchung betrachtet werden: Aufgabe/Funktion von Squid Proxy Funktionalität für HTTP, FTP (über HTTP), SSL, Gopher und WAIS Cache Funktionalität für HTTP, FTP (über HTTP), Gopher und WAIS SNMP Unterstützung Caching von DNS Anfragen Bandbreitensteuerung Untersuchungsumfang Untersucht wird HTTP, und FTP (über HTTP) Anmerkung: HTTPS wird im Szenario Regulärer Proxy von Squid transparent weitergereicht (auf der Seite des Clients mittels der HTTP Methode CONNECT) Untersucht wird HTTP und FTP (über HTTP) Wird untersucht Wird untersucht Wird nicht untersucht Bundesamt für Sicherheit in der Informationstechnik 7

8 Aufgabe/Funktion von Squid Zugriffskontrolle über Access Listen Authentisierung Schnittstellen für externe Programme und Bibliotheken (Libraries). Protokollierung. Untersuchungsumfang Der Detaillierungsgrad der Untersuchung ist im Testplan (siehe Kapitel 8.1) festgelegt. Betrachtet werden u.a. die Filterung auf Quelle und Ziel (IP Adressen, Domainen Namen, Port Nummern) auf das Protokoll (cache_object), auf die HTTP Methode (CONNECT und PURGE), auf die Proxy Authentisierung, auf reguläre Ausdrücke von URLs und auf übermittelte Mime Typen. Der Detaillierungsgrad der Untersuchung ist im Testplan (siehe Kapitel 8.1) festgelegt. Die Implementation der Schnittstellen werden betrachtet. Wird untersucht. Tabelle 1: Übersicht über die im Einsatzszenario "DMZ" zu untersuchenden Squid Komponenten Einsatz als regulärer Proxy auf der Firewall Eine weitere typische Realisierung innerhalb kleiner Netze ist es, den Squid Proxy-Cache-Server direkt auf der Firewall zu betreiben. Bei dieser Art der Realisierung besteht ein erhöhtes Bedrohungspotential gegenüber dem Betrieb innerhalb einer DMZ. Bei Problemen des Squid Proxy Servers wird in diesem Fall unmittelbar die Firewall beeinträchtigt. Dies kann daher auch zu einer Beeinträchtigung des gesamten über die Firewall abgewickelten Netzwerkverkehrs führen (z.b. VPN Verbindungen). Weiterhin bietet die Firewall einen zusätzlichen Dienst an, der einen weiteren Angriffspunkt darstellt. Bei einem erfolgreichen Angriff gegen den Squid Server ist in diesem Szenario die Sicherheit des internen Netzwerkes betroffen. WebServer Intranet Internet Router Firewall und ProxyCache Router Abbildung 2: Realisierung Squid Proxy-Cache auf der Firewall Die Aufgaben, die von dem Squid Proxy Server in diesem Szenario wahrgenommen werden, unterscheidet sich nicht von dem Szenario bei dem der Squid Proxy in der DMZ lokalisiert ist. Es wird Bundesamt für Sicherheit in der Informationstechnik 8

9 Titel des Dokuments daher hier keine weitere Unterscheidung vorgenommen. (Bei der Erstellung des Testplans wurde diese Einschätzung bestätigt. Die Konfigurationsunterschiede der Squid Installation iwerden bei der Erstellung der Check Listen in Projektphase 3 dargestellt.) 2.2 Einsatz als Reverse Proxy Server In diesem Szenario wird von dem Betreiber eines Web Auftritts ein Squid Proxy-Server zur Unterstützung des Web Auftritts betrieben. Der Reverse Proxy-Server hat dabei typischerweise die Aufgabe, die Skalierbarkeit, die Verfügbarkeit und die Performanz des Web Auftritts zu verbessern. Weiterhin bietet der Squid Proxy-Server die Möglichkeit, externe Programme zur Überprüfung von den an die Web Anwendung übermittelten Inhalte einzubinden. Proxy Server WebServer Intranet Internet Router Abbildung 3: Realisierung Squid als Reverse Proxy-Server Die folgende Tabelle gibt einen Überblick über möglichen Aufgaben, die von dem Squid Reverse Proxy Server in diesem Szenario wahrgenommen werden können. Weiterhin ist in dieser Tabelle vermerkt, welche Aufgaben im Rahmen der Sicherheitsuntersuchung betrachtet werden: Aufgabe/Funktion von Squid Reverse Proxy Funktionalität für HTTP, FTP (über HTTP), SSL, Gopher und WAIS SNMP Unterstützung Caching von DNS Anfragen Zugriffskontrolle über Access Listen Authentisierung Schnittstellen für externe Programme und Bibliotheken (Libraries). Protokollierung. Untersuchungsumfang Untersucht wird HTTP, HTTPS (die Schnittstelle zur Verschlüsselung bzw. Prüfung der Authentizität mit OpenSSL) und FTP (über HTTP). In diesen Funktionen besteht im Vergleich zum Szenario Regulärer Proxy kein Unterschied. Daher werden diese Funktionen nicht nochmals untersucht. Tabelle 2: Übersicht über die im Einsatzszenario "Reverse Proxy" zu untersuchenden Squid Komponenten Aus der Tabelle ergibt sich, dass der wesentliche Unterschied zwischen Proxy Server und Reverse Proxy Server bei der Sicherheitsuntersuchung in der Unterstützung von SSL zur verschlüsselten HTTPS Kommunikation besteht. Alle anderen Komponenten sind nach derzeitiger Einschätzung äquivalent zu dem Einsatzszenario Proxy Server. (In der Konfiguration und in den zu erstellenden Check Listen gibt es natürlich Unterschiede, die im Rahmen von Phase 3 des Projektes dargestellt werden.) Bundesamt für Sicherheit in der Informationstechnik 9

10 3 Sicherheitsziele In diesem Anschnitt werden die übergeordneten Sicherheitsziele aufgeführt, die bei dem Betrieb von Squid erreicht werden sollen. Sie dienen dazu, um die Bedrohungen zu bestimmen, die diese Sicherheitsziele gefährden. Sicherheitsziele für beide Einsatzszenarien (regulärer Proxy und Reverse Proxy) SZ 1: SZ 2: Durch den Einsatz von Squid darf nicht gegen Gesetze verstoßen werden. (u.a. Strafrecht, Urheberrecht und Bundesdatenschutzgesetz). Der Squid darf die Vertraulichkeit und Integrität der über ihn übermittelten Daten nicht gefährden. (Dieses Sicherheitsziel hat für die beiden Einsatzszenarien eine unterschiedliche Bedeutung. So kann die Kommunikation zwischen Browser und Reverse Proxy über SSL abgesichert werden (Verschlüsselung und Sicherstellung der Authentizität der Kommunikationspartner).) Weitere Sicherheitsziele für das Einsatzszenario regulärer Proxy SZ 3: SZ 4: SZ 5: SZ 6: Der Squid sollte einen zuverlässigen Zugang zu Informationen aus dem Internet gewährleisten, die die Benutzer zur Erledigung ihrer Arbeit benötigen. Dies betrifft sowohl die Verfügbarkeit des Dienstes wie auch die Aktualität der ausgelieferten Daten. Das interne Netzwerk soll vor Eindringlingen geschützt werden. Informationen des internen Netzwerkes sollen nicht nach außen gelangen (z.b. lokale IP Adressen). Schädlicher Inhalt soll aus dem internen Netzwerk ferngehalten werden Weitere Sicherheitsziele für das Einsatzszenario Reverse Proxy SZ 7: SZ 8: Die Web Server sollen vor Eindringlingen geschützt werden. Die Zuverlässigkeit der Web Anwendungen soll gewährleistet werden. Bundesamt für Sicherheit in der Informationstechnik 10

11 Titel des Dokuments 4 Bedrohungen des Squid Proxy Servers Die Bedrohungen lassen sich in Anlehnung an des BSI Grundschutzhandbuch in fünf Gefährungskategorien. Diese sind höhere Gewalt, organisatorischen Mängel, menschliches Fehlverhalten, technisches Versagen und vorsätzliche Handlungen. Im Rahmen dieser Sicherheitsuntersuchung werden die Bedrohungen betrachtet, die auf das Produkt Squid Proxy Server zurückzuführen sind. Diese sind im wesentlichen in den beiden Gefähdungskategorien technisches Versagen (des Produkts Squid) und vorsätzliche Handlungen (Angreifer) zuzuordnen. Die Bedrohungen der im Rahmen dieser Untersuchung berücksichtigten Einsatzszenarien von Squid (regulärer Proxy und Reverse Proxy) unterscheiden sich nur in einzelnen Punkten. Daher werden diese Unterschiede bei den einzelnen Bedrohungen vermerkt. Im Folgenden wird eine Unterscheidung der Bedrohungen bezüglich der Grundbedrohungen Verlust der Vertraulichkeit, Verlust der Integrität und Verlust der Verfügbarkeit vorgenommen. Hierbei bedeuten Verlust der Vertraulichkeit: Vertraulichkeit ist gegeben, wenn die Information nur den dazu Befugten zugänglich ist und weder unbefugt noch ungewollt offenbart wird; Verlust der Integrität: Integrität ist definiert als die Unversehrtheit, Korrektheit, Widerspruchsfreiheit und Vollständigkeit der Informationen und schließt ein, dass diese Informationen nur von den Befugten in zulässiger Weise modifiziert werden können; Verlust der Verfügbarkeit: Verfügbarkeit ist definiert als die Bereitstellung der Funktion eines Systems innerhalb einer vorgegebenen Zeit. Zusätzlich wird als weitere Kategorie der Verstoß gegen Gesetze hinzugenommen. Verlust der Vertraulichkeit B 1: Ein Unbefugter bekommt Zugriff auf vertrauliche Informationen, wie z.b. die Konfiguration des Squid oder interne IP Adressen. B 2: Ein Unbefugter bekommt Zugriff auf vertrauliche (verschlüsselte) Daten eines Benutzers, die zwischen Browser und Reverse Proxy Server Daten übermittelt werden. B 3: Ein Unbefugter bekommt Zugriff auf vom Squid System gespeicherte Daten. Verlust der Integrität B 4: Das Squid System wird kompromittiert. B 5: Ein Unbefugter modifiziert die zwischen Browser und Reverse Proxy Server übermittelten Daten eines Benutzers. B 6: Ein Unbefugter missbraucht das Squid System für Angriffe gegen interne oder fremde Systeme. Bundesamt für Sicherheit in der Informationstechnik 11

12 B 7: Ein Benutzer baut nicht vorgesehene Netzverbindungen auf. B 8: Ein Benutzer greift auf für ihn nicht vorgesehene Web Ressourcen zu. B 9: Ein Benutzer erhält administrativen Zugriff auf das Squid System. B 10: Das Squid-System liefert veraltete Informationen aus. Verlust der Verfügbarkeit B 11: Die Ressourcen des Squid Systems werden verbraucht und das System liefert seine Antworten nicht mehr in einer akzeptablen Zeit (Denial of Service). Verstoß gegen Gesetzte B 12: Das Squid System nimmt durch entsprechendes Benutzerverhalten in seinen Cache-Speicher Daten auf, die gegen Gesetzte verstoßen (z.b. rechtsradikale, urheberrechtlich geschützte oder pornographische Inhalte). Gegenüberstellung von Sicherheitszielen und Bedrohungen Die folgende Tabelle stellt zusammen, welche der aufgeführten Bedrohungen welche Sicherheitsziele gefährden: SZ1 SZ 2 SZ 3 SZ 4 SZ 5 SZ 6 SZ 7 SZ 8 B 1 X X B 2 X B 3 X B 4 X X X B 5 X B 6 X B 7 X X B 8 X X B 9 X X B 10 X B 11 X B 12 X Tabelle 3: Gegenüberstellung, welche Bedrohung welche Sicherheitsziele gefährden Bundesamt für Sicherheit in der Informationstechnik 12

13 Titel des Dokuments 5 Mögliche Schwachstellen von Squid Mögliche Schwachstellen von Squid können ihre Ursache in der Implementierung, in der Komplexität der Konfiguration und in der Architektur haben. Typische Implementationsschwächen sind z.b. Speicherlecks, Pufferüberlaufschwächen, Format String Schwächen und versteckte Hintertüren. Typische Konfigurationsfehler sind z.b. unzureichendes Einspielen von Patches, Vergabe von zu vielen Benutzerrechten, unzureichendes Passwort Management und unzureichendes oder ungeeignetes Logging. Typische Architekturfehler sind z.b. Race Condition Schwachstellen, schlecht abgesicherte administrative Zugänge und das Fehlen eines definierten sicheren Fehlerzustandes. Im Rahmen dieser Untersuchung werden Teile des Quellcodes von Squid analysiert. Dies ist geeignet, Schwachstellen, die auf Implemenationsfehler oder Architekturfehler zurückzuführen sind, aufzudecken. Zur Vermeidung von Konfigurationsfehlern sind organisatorische Maßnahmen erforderlich. Im Rahmen dieses Projektes werden hierfür Check Listen erarbeitet. Die dazu notwendigen organisatorischen Maßnahmen werden aber nicht beschrieben. Im Folgenden werden mögliche Schwachstellen von Squid aufgeführt. (Diese Liste ist zum gegenwärtigen Zeitpunkt des Projekts als vorläufig anzusehen und wird im Laufe des Projektes ggf. konkretisiert und erweitert. ) Vul 1: Versagen der Sicherheitsmechanismen von Squid Falls es in der Implementierung der Sicherheitsmechanismen von Squid wie z.b. die Zugriffskontrolle über Access Control Listen und Access Regeln oder in der Authentisierung über Hilfsprogramme Schwachstellen gibt, so können diese Sicherheitsmechanismen möglicherweise umgangen werden. Vul 2: Unzureichende Überprüfungen Squid verarbeitet Daten, die aus nicht vertrauenswürdigen Quellen stammen. Ein Angreifer kann versuchen durch nicht protokollkonforme Kommunikation mit den von Squid bereitgestellten Diensten, ungewollte Aktionen hervorzurufen. Beispiele für unerwartete Datenwerte können u.a. in den folgenden Informationen übermittelt werden: HTTP Header Informationen, die von einem HTTP Client kommen (u.a. die Werte der HTTP Header Felder Pragma und Authorization ) HTTP Header Informationen, die von einem Web Server kommen (u.a. die Werte der HTTP Header Felder Last-Modified, Expire und Cache-Control ) Benutzernamen von Ident Erwiderungen von Client Systemen, DNS Erwiderungen von externen DNS Servern, SSL Anfragen vom Browser (z.b. ASN Strukturen - nur im Einsatzszenario Reverse Proxy relevant) und SNMP Management Anfragen. Vul 3: Unzureichendes Ressourcenmanagement Squid benötigt unterschiedliche System Ressourcen (RAM, Plattenplatz, Filedescriptoren etc.). Durch entsprechende Anfragen/Erwiderungen lassen sich möglicherweise die System Ressourcen aufbrauchen, so dass Squid nicht mehr in Bundesamt für Sicherheit in der Informationstechnik 13

14 einer angemessenen Zeit antwortet. (Denial-of-Service). Weiterhin werden beim Start eine vordefinierte Anzahl von Hilfsprogrammen gestartet (z.b. für die Authentisierung oder für externe URL Filterung). Durch entsprechende Anfragen kann es möglich sein, sämtliche Hilfsprogramme zu beschäftigen, so dass Squid eine Authentisierung bzw. eine externe URL Filterung nicht mehr durchführen kann (Denial-of-Service). Vul 4: Verletzung der Datenschutzbestimmungen. Squid speichert personenbezogenen Daten. Dies können u.a. Benutzernamen und/oder IP Adressen des Benutzerrechner sein. Vul 5: Verletzung von Gesetzten Squid speichert Kopien von Inhalten. Dies könnten bei entsprechender Konfiguration und entsprechendem Benutzerverhalten auch urheberrechtlich geschützte Daten, rechtsradikale Inhalte oder pornographische Inhalte sein. Die folgende Tabelle stellt zusammen, welche der aufgeführten möglichen Schwachstellen welche Bedrohung begünstigt: B1 B2 B3 B4 B5 B6 B7 B8 B9 B10 B11 B12 Vul 1 X X X X X X X Vul 2 X X X X Vul 3 Vul 4 Vul 5 X Tabelle 4: Aufstellung, welche der aufgeführten möglichen Schwachstellen welche Bedrohungen begünstigen X X Bundesamt für Sicherheit in der Informationstechnik 14

15 Titel des Dokuments 6 Sicherheitsanforderungen Die Sicherheitsanforderungen an den Squid Proxy Server ergeben sich aus den möglichen Einsatzszenarien und den Sicherheitszielen, die bei diesen Einsatzszenarien zugrunde gelegt werden, sowie den Bedrohungen, die die Erreichung der Sicherheitsziele gefährden. In den folgenden Kapiteln werden die Sicherheitsanforderungen an Squid in Anlehnung an die Anforderungen der Common Criteria, Teil 2, dargestellt. Dabei werden die generischen Oberbegriffe der ITSEC als Leitschnur verwendet. 6.1 Identifizierung und Authentisierung Neben den für die eigentliche Funktion des Squid vorgesehenen Benutzerzugriffen, stellt der Squid auch Zugriffe für Administration zur Verfügung. Dies sind z.b. der Zugriff über SNMP und über HTTP auf den Cache Manager. Weitere administrative Zugriffe sind über das Betriebssystem oder durch Zusatzprogramme (z.b. einen zusätzlichen Web Server) möglich. Die Bedrohungen über diese zusätzlichen Schnittstellen werden nicht weiter betrachtet, da sie nicht Bestandteil von Squid sind. Die Sicherheitsanforderungen an die Identifizierung und Authentisierung sind für Benutzer des Systems und für Administratoren unterschiedlich: SA 1 Administrative Zugriffe auf den Squid dürfen nur nach erfolgter Authentisierung möglich sein. Im Einsatzszenario Proxy Cache kann die Internet Richtlinie der Einheit (Firma, Behörde etc) besagen, dass der Zugriff auf das Internet benutzerabhängig reglementiert ist. (Z.B. Einschränkung der privaten Nutzung des Internets). SA 2 Es ist erforderlich, dass Squid im Einsatzszenario regulärer Proxy Benutzer identifizieren und/oder authentisieren kann. (Da hierbei das Ziel nicht der Schutz von Daten oder Anwendungen ist, sind die Sicherheitsanforderungen an die Identifizierung und Authentisierung der Benutzer in der Regel gering und eine Übertragung dieser Daten im Klartext ist daher meist ausreichend.) Ein Reverse Proxy hat als Aufgaben die über ihn ansprechbaren Web Anwendungen zu beschleunigen und für die Skalierbarkeit sowie für den Schutz dieser Anwendungen zu sorgen. Eine Identifizierung und Authentisierung der Benutzer am Squid ist daher in der Regel nicht erforderlich. 6.2 Zugriffskontrolle Im Einsatzszenario Regulärer Proxy kann die Internet Richtlinie der Einheit (Firma, Behörde etc.) besagen, dass der Zugriff auf das Internet benutzerabhängig reglementiert ist. (Z.B. Einschränkung der privaten Nutzung des Internets). SA 3 Es ist erforderlich, dass Squid im Einsatzszenario Regulärer Proxy die Zugriffe der Benutzer auf die Web Ressourcen filtern können. (Da hierbei der Fokus nicht der Schutz von Daten oder Anwendungen ist, sind die Sicherheitsanforderungen an die Zugriffskontrolle gering. Eine Umgehung der Restriktion führt nicht zu einem Sicherheitsproblem.) Im Einsatzszenario Reverse Proxy ist das Squid System eine Teilkomponente des Firewall Netzes zum Schutz der Web Anwendungen. Er hat daher die Aufgabe zur Abwehr von Angriffen beizutragen. SA 4 Es ist erforderlich, dass Squid im Einsatzszenario Reverse Proxy die Zugriffe aus dem Internet filtern kann. SA 5 Es ist erforderlich, dass der Reverse Proxy nicht Anfragen für fremde Web Server entgegennimmt. (In diesem Fall könnte der Reverse Proxy für Angriffe gegen fremde Systeme missbraucht werden.) Bundesamt für Sicherheit in der Informationstechnik 15

16 6.3 Sicherheitsprotokollierung Für den sichern Betrieb von Squid ist es erforderlich, dass Squid umfangreiche Überwachungsmöglichkeiten bereitstellt, sofern dies nicht bereits über das Betriebssystem möglich ist. SA 6 Es ist erforderlich, die Performanz von Squid überwachen zu können. Dazu ist es u.a. erforderlich, dass Squid Statistiken über die Verarbeitungszeiten von Anfragen, Statistiken über die Nutzung seines Caches, Statistiken über die Rate, mit der auf Platte ausgelagerte Speicherbereiche von Squid benötigt werden (Page Fault) und Statistiken über die benötigten Systemressourcen (Speicher, Filedesciptoren, Netzwerkverbindungen etc) führt. SA 7 Jede für den Betrieb von Squid benötigte Funktion muss überwacht werden können. Dies sind Statistiken über die von den einzelnen Datenbanken benötigte Speicherbereiche, um die Squid Konfiguration optimieren zu können, Statistiken über die Auslastung externer Hilfsprogramme (Authentisierung, externe DNS Auflösung, andere externe Programme wie z.b. Inhaltsfilter, Virenfilter o.ä.), um die Ursachen von Performanzeinbusen von Squid erkennen zu können. SA 8 Es ist erforderlich, Einbruchsversuche in Squid erkennen zu können. SA 9 Es ist erforderlich, Missbrauchsversuche von Squid erkennen zu können. 6.4 Unverfälschtheit SA 10 Der Squid darf keine veralteten Objekte ausliefern. SA 11 Die SSL Kommunikation zwischen Browser und Squid Reverse Proxy darf nicht modifiziert werden können. 6.5 Zuverlässigkeit der Dienstleistung SA 12 Der Squid muss Sicherheitsmechanismen zur Gewährleistung der Verfügbarkeit bereitstellen. (z.b. Clustering, Monitoring (s.o.)). SA 13 Der Administrator des Squid muss es möglich sein, im Cache-Speicher aufgenommen Inhalte zu entfernen (z.b. Seiten von Defaced Web Servern...). SA 14 Nicht mehr aktuelle Inhalte, die Squid aus seinem Cache-Speicher ausliefert, müssen vor einer konfigurierbaren Zeit noch aktuell gewesen sein (Es kann akzeptabel sein, dass Squid Inhalte, die keine explizite Verfallszeit haben, ausliefert, wenn diese erst seit ein paar Stunden oder Tagen veraltet sind.). 6.6 Übertragungssicherheit Es werden keine Sicherheitsanforderungen an Squid zur Übertragungssicherheit gefordert. 6.7 Verschlüsselung SA 15 Die SSL Kommunikation zwischen Browser und Squid Reverse Proxy darf von Unautorisierten nicht entschlüsselt werden können. Bundesamt für Sicherheit in der Informationstechnik 16

17 Titel des Dokuments 6.8 Funktionen zur Wahrung der Datenintegrität Es werden keine Sicherheitsanforderungen an Squid zur Datenintegrität gestellt. 6.9 Datenschutzrechtliche Anforderungen SA 16 Der Protokollierungsumfang des Squid muss den datenschutzrechtlichen Anforderungen entsprechen können Minimale Rechtevergabe SA 17 Es muss möglich sein, dass der Squid Dienst mit minimalen Rechten läuft. (Die Kompromittierung des Squid Dienstes darf nicht unmittelbar zu einer Komprimittierung des gesamten Squid Systems führen. Bundesamt für Sicherheit in der Informationstechnik 17

18 7 Sicherheitsfunktionen von Squid Dieses Kapitel beschreibt die Sicherheitsfunktionen, die Squid zur Verfügung stellt. 7.1 Identifizierung und Authentisierung Authentisierung für Administratoren: Squid stellt zwei Schnittstellen für Administratoren, den Cache Manager und SNMP, zur Verfügung. Cache Manager: Die einzelnen Komponenten des Cache Manager lassen sich durch ein Passwort schützen. Dieses wird unverschlüsselt über das Netzwerk gesendet. In der Squid Dokumentation wird daher als Konfigurationseinstellung empfohlen, dass der Cache Manager über geeignete ACLs nicht von entfernten Systemen ansprechbar sein sollte. In diesem Fall ist eine Authentisierung über das Betriebssystem erforderlich. Dabei muss aber sichergestellt werden, dass nur Administratoren sich an dem System anmelden können. SNMP Schnittstelle: Squid unterstützt SNMP in der Version 1. Der Community String wird in dieser Version im Klartext übertragen. In der Squid Dokumentation wird daher als Konfigurationseinstellung empfohlen, dass der SNMP Dienst über geeignete ACLs nicht von entfernten Systemen ansprechbar sein sollte. I Weitere Tätigkeiten des Administrators für Manipulationen des Cache Inhaltes (z.b. Entfernen von Inhalten aus dem Cache) können mit Squid spezifischen Erweiterungen des HTTP Protokolls durchgeführt werden (siehe Kapitel 7.4). In der Squid Dokumnetation wird ebenfalls empfohlen, dass diese Protokollerweiterungen mittels entsprechender ACLs auf lokale Zugriffe eingeschränkt werden. Weitere Tätigkeiten der Administratoren (z.b. Analyse der Protokolldateien, Änderungen der Konfiguration) können nur lokal durchgeführt werden. Die Administratoren müssen sich dazu am Betriebssystem des Squid Systems anmelden. Zusammenfassend lässt sich feststellen: eine aus Sicherheitssicht ausreichende Authentisierung für administrative Zugriffe ist nur im Zusammenspiel von Authentisierung am Betriebssystem und ACLs von Squid gegeben. Authentisierung für Benutzer: Die Authentisierung der Benutzer überlässt Squid externen Hilfsprogrammen. Die im Umfang von Squid bereitgestellten Hilfsprogramme lassen sich dabei in drei Gruppen einteilen: HTTP Basic (RFC 2617) Authentisierung: die Authentisierungsinformationen werden unverschlüsselt (base64 kodiert) gesendent (d.h. durch Man in the Middle Angriffe (MiM) kann ein Angreifer das Passwort eines Benutzers erhalten) HTTP Digest (RFC 2617) Authentisierung: Challenge Response Verfahren, das Verfahren ist anfällig gegen Replay Angriffe (in der Praxis muss sich der Angreifer aber in eine MiM Position bringen), NTLM Authentisierung (Properitäres Protokoll von Microsoft, Challenge Response Verfahren (reverse engineered). Nach Abbruch der TCP Verbindung ist eine erneuter Handshake erforderlich.) Squid startet dazu eine konfigurierbare Anzahl dieser Hilfsprogramme. Bei einem HTTP Zugriff, der eine Authenitisieung am Proxy Server erfordert (dies ist über ACLs steuerbar siehe Kapitel 7.2), wird vom HTTP Client die entsprechende Authentisierungsinformation übertragen. Der Squid übermittelt die notwendige Informationen an eines der externen Hilfsprogramme. Dieses Programm wertet die Informationen aus und teilt das Resultat der Benutzerverifizierung (in der Regel "OK" oder "ERR") Squid mit. Die Kommunikation zwsichen den Squid und den externen Hilfsprogrammen wird über Standard In und Out abgewickelt. Bundesamt für Sicherheit in der Informationstechnik 18

19 Titel des Dokuments HTTP Basic Authentisierung Die externen HTTP Basic Authentisierungshilfsprogramme lesen von stdin Paare von Benutzernamen und zugehörigem Passwort. Bei erfolgreicher Authentisierung schreiben die Hilfsprogramme OK sonst ERR auf stdout. Squid speichert intern die Resultate der Authentisierungen. Über einen Parameter (credentialsttl) lässt sich steuern, wie lange zwischengespeicherte Authentisierungsinformationen gültig sind. (Squid bekommt möglicherweise in dieser Zeitspanne Änderungen in der Authentisierungsdatenbank nicht mit!) Squid liefert die folgenden HTTP Basic Authentisierungshilfsprogramme mit. NSCA Dieses Hilfsprogramm liest die gültigen Benutzer/Passwort Kombinationen aus einer Datei, die vergleichbar mit der Unix Passwortdatei ist. LDAP Dieses Hilfsprogramm liest die gültigen Benutzer/Passwort Kombinationen von einem LDAP Server. Als weitere externe Softwarekomponente wird hierfür OpenLDAP benötigt. MSNT Dieses Hilfsprogramm übermittelt über das SMB Protokoll die Authentisierungsinformationen an bis zu fünf NT Domainen Contoller und wertet die Antworten für die Authentisierung aus. Multi Domainen MSNT Dieses Hilfsprogramm arbeitet analog wie das MSNT Hilfsprogramm, jedoch muss der Benutzer in der Authentisierung zusätzlich den Domänennamen angeben. Als weitere externe Softwarekomponenten werden Perl und das Perl Modul Authen::SMB benötigt. PAM Dieses Hilfsprogramm verwendet das Pluggable Authentication Modul (PAM) des Betriebssystems. Dies kann nur verwendet werden, wenn das Betriebssystem dieses unterstützt. SASL SASL steht für Simple Authentication and Security Layer und ist ein Vorschlag für ein IETF Standard (RFC 2222). Die SASL Authentifizierung ist ähnlich wie PAM und kann eine Reihe von verschiedenen Authentisierungsdatenbanken abfragen. Als weitere externe Softwarekomponente wird die Cyrus SASL Bibliothek benötigt. SMB Dieses Hilfsprogramm ist ein weiteres Programm, dass die Authentisierung über eine Microsoft Windows Datenbank durchführt. Es benötigt als weitere Softwarekomponente Samba. YP Dieses Hilfsprogramm führt die Authentisierung über eine NIS Domaine durch. getpwnam Dieses Hilfsprogramm führt die Authentisierung über die Unix Routine getwpnam() durch. Je nach Konfiguration des Betriebssystems ist die Authentisierungsquelle eine andere (u.a. die lokale Passwortdatei, NIS Domaine, PAM). Bundesamt für Sicherheit in der Informationstechnik 19

20 winbind Dieses Hilfsprogramm ist ein Client Programm für den winbindd Dienst von Samba. Es wird hier eine Authentisierung über den von einem Samba Server zur Verfügung gestellten Samba Dienst durchgeführt HTTP Digest Authentisierung Die externen HTTP Digest Authentisierungshilfsprogramme lesen von stdin Benutzernamen und Realm Namen. Bei erfolgreicher Authentisierung schreiben die Hilfsprogramme einen MD5 Hash- Wert sonst ERR auf stdout. Der MD5 Wert wird dabei aus den Informationen Benutzername, Realm und Passwort gebildet. Squid speichert die zu der Authentisierungen gehörigen gültigen MD5 Werte. Nicht alle Browser une Squid liefert dabei ein Authentisierungshilfsprogramm mit, dass die gültigen Benutzer/Passwort Kombinationen aus einer Datei liest NTLM Authentisierung NTLM steht für NT Lan Manager und ist ein proprietäres Authentisierungsprotokoll von Microsoft. Das Protokoll wurde von einer Vielzahl von Gruppen reverse-engineered. NTLM verwendet einen Dreiwege-Handshake, um die Verbindung zu authentisieren. Bei einem Abbruch der Verbindung ist ein erneuter Handshake erforderlich. SMB Dieses Hilfsprogramm ist gleichartig zu dem NTLM HTTP Basic Authentisierungsprogramm. winbind Dieses Hilfsprogramm ist gleichartig zu dem winbind HTTP Basic Authentisierungs-programm. 7.2 Zugriffskontrolle Squid bietet umfangreiche Möglichkeiten, über Access Control Listen (ACLs) und Access Control Regeln den Zugriff auf die von Squid bereitgestellten Dienste zu reglementieren. Die Zugriffskontrollregeln von Squid sind ein wesentlicher und aus Sicherheitssicht wichtiger Bestandteil von Squid. Die Zugriffskontrollregeln haben u.a. die Aufgabe, den Zugriff auf Web Ressourcen zu reglementieren, das Umschreiben von Web Anfragen zu regeln, den Zugriff auf administrative Schnittstellen einzuschränken, das Zusammenspiel von Proxy Servern in einer Proxy Hierarchie festzulegen und verschiedene Quality of Service zu unterstützen. Die Zugriffskontrolle besteht aus zwei verschiedenen Komponenten, den Access Control Listen und den Access Control Regeln. Die Access Control Listen dienen dazu verschiedene Aspekte des Client Zugriffs zu definieren. Dies sind u.a. IP Adressen, Domain Namen, Anfrage Methoden und Benutzername. Diese ACLs können in den Access Control Regeln auf die einzelnen Squid Dienste oder auf einzelne Squid Arbeitsabläufe angewandt werden.im Folgenden werden zunächst die unterschiedlichen Typen der Access Control Listen von Squid beschrieben. Anschließend werden die Access Control Regeln von Squid behandelt. Bundesamt für Sicherheit in der Informationstechnik 20

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Sicherheitsuntersuchung des Squid Proxy Servers. Analyse des Squid Proxy Servers

Sicherheitsuntersuchung des Squid Proxy Servers. Analyse des Squid Proxy Servers Analyse des Squid Proxy Servers Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: oss@bsi.bund.de Internet: http://www.bsi.bund.de Bundesamt für Sicherheit in der

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Sicherheitsuntersuchung des Squid Proxy Servers. Sicherungsmaßnahmen

Sicherheitsuntersuchung des Squid Proxy Servers. Sicherungsmaßnahmen Sicherheitsuntersuchung des Squid Proxy Servers Sicherungsmaßnahmen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn E-Mail: oss@bsi.bund.de Internet: http://www.bsi.bund.de

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

KvBK: Basic Authentication, Digest Authentication, OAuth

KvBK: Basic Authentication, Digest Authentication, OAuth 14.07.2010 Julian Reisser Julian.Reisser@ce.stud.uni-erlangen.de KvBK: Basic Authentication, Digest Authentication, OAuth Motivation Authentifizierung Nachweis, dass man der ist für den man sich ausgibt

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Systemvoraussetzungen und Installation

Systemvoraussetzungen und Installation Systemvoraussetzungen und Installation Inhaltsverzeichnis Inhaltsverzeichnis... 2 1. Einleitung... 2 2. Einzelarbeitsplatzinstallation... 3 3. Referenz: Client/Server-Installation... 5 3.1. Variante A:

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Serv-U Distributed Architecture Guide

Serv-U Distributed Architecture Guide Serv-U Distributed Architecture Guide Horizontale Skalierung und mehrstufiges Setup für Hohe Verfügbarkeit, Sicherheit und Performance Serv-U Distributed Architecture Guide v12.0.0.0 Seite 1 von 16 Einleitung

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Modul 123 Unit 6 (V1.1) E-Mail und FTP Zielsetzung: E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Technische Berufschule Zürich IT Seite 1 Grundlagen : Das Store-and-Forward

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

SMTP-Verfahren POP-Verfahren IMAP-Verfahren

SMTP-Verfahren POP-Verfahren IMAP-Verfahren IT Zertifikat Mailserver 01 Server Mailserver Protokolle Teil des Client-Server-Modells bietet Dienste für lokale Programme/ Computer (Clients) an -> Back-End-Computer Ausbau zu Gruppe von Servern/ Diensten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers. Feinkonzept

Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers. Feinkonzept Feinkonzept Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 (0) 1888 9582 0 E-Mail: oss@bsi.bund.de Internet: http://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

!"# $ % Internet Protokolle: HTTP 1/38

!# $ % Internet Protokolle: HTTP 1/38 !"# $ % Internet Protokolle: HTTP 1/38 1 Themenübersicht Schichtenmodell Gopher /FTP Statistik URL Einleitung Anwendungsablauf Beispiel mit Telnet Request, Response Anfragemethoden header Negotiation Proxyserver

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten,

1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten, OUTDOOR webservices 1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten, Kostenstellen oder Kostenträgern... 2

Mehr

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST

2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST 2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

FTP Server unter Windows XP einrichten

FTP Server unter Windows XP einrichten Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket

Mehr

INSTALLATION ABACUS ABAWEBCLIENT

INSTALLATION ABACUS ABAWEBCLIENT INSTALLATION ABACUS ABAWEBCLIENT Mai 2005 / EMO v.2005.1 Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung der Unterlagen,

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Internet Information Services v6.0

Internet Information Services v6.0 Internet Information Services v6.0 IIS History Evolution von IIS: V1.0 kostenlos auf der CeBit 1996 verteilt V2.0 Teil von Windows NT 4.0 V3.0 Als Update in SP3 von NT4.0 integriert V4.0 Windows NT 4.0

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Hidden Automa-c Navigator your gateway to electronic resources. Markus Libiseller M.A. Technical Product Manager

Hidden Automa-c Navigator your gateway to electronic resources. Markus Libiseller M.A. Technical Product Manager Hidden Automa-c Navigator your gateway to electronic resources Markus Libiseller M.A. Technical Product Manager E- Ressourcen in modernen Bibliotheken Moderne Bibliotheken stellen nicht nur klassische,

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal Einrichtung von radsecproxy Agenda Erinnerung: Funktionsweise von RADIUS RadSec - eine Übersicht Systemvoraussetzungen Installation von radsecproxy Konfiguration von radsecproxy Debugging 2 Erinnerung:

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Zeiterfassung für Projekte. ZEP Offline Handbuch. Juni 2013 Version 4.6

Zeiterfassung für Projekte. ZEP Offline Handbuch. Juni 2013 Version 4.6 Weil Zeit Geld ist Zeiterfassung für Projekte ZEP Offline Handbuch Juni 2013 Version 4.6 provantis IT Solutions GmbH Siemensstr. 1 71254 Ditzingen Tel. +49 (0)7156/43623-0 Fax. +49 (0)7156/43623-11 ZEP@provantis.de

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Konfiguration Zentyal 3.3 Inhaltsverzeichnis

Konfiguration Zentyal 3.3 Inhaltsverzeichnis Konfiguration Zentyal 3.3 Inhaltsverzeichnis Installation... 2 Grundkomponenten... 5 Grundkonfiguration... 6 Netzwerk... 6 Domain... 7 Updates installieren... 8 DNS konfigurieren... 10 Anpassungen in DNS

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

VPN: Nochmal ein Kilo bitte?

VPN: Nochmal ein Kilo bitte? VPN Reloaded: Mac OS X 10.6 Server Snow Leopard VPN: Nochmal ein Kilo bitte? Autor: Dirk Küpper www.dirkkuepper.de Wie war das noch gleich: 1 Kilo VPN bitte? An der Theke bekomme ich sicherlich 100 Gramm

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Dokumentation Gruppe 4 Kaiser, Gruss. Einrichten eines SQUID Proxyservers

Dokumentation Gruppe 4 Kaiser, Gruss. Einrichten eines SQUID Proxyservers Dokumentation Gruppe 4 Kaiser, Gruss Einrichten eines SQUID Proxyservers Gruppe 4 / g4.loc Server / rdf.loc = gateway0406 192.168.99.117 Subserver / g4.loc = 192.168.4.1 (pc08) Client / g4.loc = 192.168.4.2

Mehr

Sichere und datenschutzgerechte Internet-Anbindung:

Sichere und datenschutzgerechte Internet-Anbindung: Sichere und datenschutzgerechte Internet-Anbindung: VNC als Arbeitsplatz-Proxy Roman Maczkowsky Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein R.Maczkowsky@datenschutzzentrum.de Gliederung

Mehr

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001

MVB3. Einrichten eines Servers für MVB3 ab Version 3.5. Admin-Dokumentation. Inhalt V3.05.001 V3.05.001 MVB3 Admin-Dokumentation Einrichten eines Servers für MVB3 ab Version 3.5 Inhalt Organisatorische Voraussetzungen... 1 Technische Voraussetzungen... 1 Konfiguration des Servers... 1 1. Komponenten

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

> Internet Explorer 8

> Internet Explorer 8 > Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Fachschule Wirtschaft für Informationsverarbeitung und Informationsmanagement

Fachschule Wirtschaft für Informationsverarbeitung und Informationsmanagement FachschuleWirtschaft fürinformationsverarbeitungundinformationsmanagement ProjektarbeitimModulMehrplatzbetriebssysteme Thema:EinrichtenundKonfiguriereneinesSquidProxyserversunter Suse9.0 Projektteilnehmer:MatthiasAuer,ChristianJakob,AndreasRau

Mehr

Wie funktioniert ein Internetprovider. Michael Stiller

Wie funktioniert ein Internetprovider. Michael Stiller Wie funktioniert ein Internetprovider Michael Stiller Donnerstag 20.01.2000 Ping e.v. Weiterbildung, Wie funktioniert ein Internetprovider 1 Anforderungen an einen Internetprovider oder was die Nutzer

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Vordefinierte Elemente (CI)

Vordefinierte Elemente (CI) 1 IIS Name 1.1 IIS Scans Scandatum, Direktes Bearbeiten der Metabasis ermöglichen, Version 1.1.1 Websites Name, Ausführberechtigung Dateien, Lesen, Nur Skripts ausführen, Skriptzugriff, Schreiben, Sicheren

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr

Benutzerhandbuch für FaxClient für HylaFAX

Benutzerhandbuch für FaxClient für HylaFAX Benutzerhandbuch für FaxClient für HylaFAX Vielen Dank, daß Sie entschlossen haben, dieses kleine Handbuch zu lesen. Es wird Sie bei der Installation und Benutzung des FaxClients für HylaFAX unterstützen.

Mehr

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur Page 1 of 5 Exchange 2007 - Architektur Kategorie : Exchange Server 2007 Veröffentlicht von webmaster am 18.03.2007 Warum wurde die Architektur in der Exchange 2007 Version so überarbeitet? Der Grund liegt

Mehr

Konfiguration einer Firewall mit FireHOL

Konfiguration einer Firewall mit FireHOL Dokumentation Konfiguration einer Firewall mit FireHOL Inhalt: 1. Installation von FireHOL 2. Netzübersicht 3. Konfigurationsoptionen 4. Anpassen der FireHOL Konfiguration 5. FireHOL-Optionen 6. Überprüfen

Mehr

ESET NOD32 Antivirus. für Kerio. Installation

ESET NOD32 Antivirus. für Kerio. Installation ESET NOD32 Antivirus für Kerio Installation Inhalt 1. Einführung...3 2. Unterstützte Versionen...3 ESET NOD32 Antivirus für Kerio Copyright 2010 ESET, spol. s r. o. ESET NOD32 Antivirus wurde von ESET,

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Benutzeranleitung Outlook konfigurieren

Benutzeranleitung Outlook konfigurieren Version 1.3 Stand 06/2012 t Benutzeranleitung Outlook konfigurieren DB Systel Inhaltsverzeichnis 1 Einleitung und allgemeine Hinweise 3 2 Auto Account Setup 4 2.1 Schritt 1: Starte Outlook 4 2.2 Schritt

Mehr

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung 3-349-871-01 1/7.15 GMSTHostService Bedienungsanleitung Inhaltsverzeichnis 1. Registrierung... 3 Erste Registrierung... 3 2. GMSTHostService Basisinformationen... 8 3. Beispiel GMSTHostService Konfiguration....

Mehr

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9

bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 bintec Workshop Dynamic Host Configuration Protocol Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie Sie

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

1 Outlook 2013-Installation und Konfiguration

1 Outlook 2013-Installation und Konfiguration Outlook 2013-Installation und Konfiguration 1 Outlook 2013-Installation und Konfiguration Outlook kann in zwei Betriebsmodi verwendet werden: Exchange Server-Client: In diesem Modus werden die E-Mails

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr