Sicherheitsuntersuchung des Squid Proxy Servers. Feinkonzept
|
|
- Benedikt Bachmeier
- vor 8 Jahren
- Abrufe
Transkript
1 Feinkonzept
2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Internet: Bundesamt für Sicherheit in der Informationstechnik 2005
3 Inhaltsverzeichnis 1. Einleitung 5 2. Einsatzszenarien Einsatz als regulärer Proxy Einsatz als regulärer Proxy in einer DMZ Einsatz als regulärer Proxy auf der Firewall Einsatz als Reverse Proxy Server 9 3. Sicherheitsziele Bedrohungen des Squid Proxy Servers Mögliche Schwachstellen von Squid Sicherheitsanforderungen Identifizierung und Authentisierung Zugriffskontrolle Sicherheitsprotokollierung Unverfälschtheit Zuverlässigkeit der Dienstleistung Übertragungssicherheit Verschlüsselung Funktionen zur Wahrung der Datenintegrität Datenschutzrechtliche Anforderungen Minimale Rechtevergabe Sicherheitsfunktionen von Squid Identifizierung und Authentisierung HTTP Basic Authentisierung HTTP Digest Authentisierung NTLM Authentisierung Zugriffskontrolle Access Control Listen ACLs mit IP Adressen ACLs mit DNS Namen ACLs mit Protokolleingeschaften ACLs mit Benutzerinformationenen (Identifizierung bzw. Authentisierung) ACLs mit Inhaltsinformationen Sonstige ACLs Externe ACLs Access Control Regeln Sonstige Konfigurationen die ACLs verwenden 25 Bundesamt für Sicherheit in der Informationstechnik 3
4 7.3 Sicherheitsprotokollierung Unverfälschtheit Zuverlässigkeit der Dienstleistung Übertragungssicherheit Verschlüsselung Datenintegrität Datenschutz Minimale Rechtevergabe Testplan Funktionale Tests der Sicherheitsfunktionen von Squid Penetrationstests Quellcode Analysen 38 Bundesamt für Sicherheit in der Informationstechnik 4
5 Titel des Dokuments 1 Einleitung Squid ist ein Open Source Web Cache Proxy-Server. Proxy bedeutet in der deutschen Sprache Bevollmächtigter oder Stellvertreter. Ein Proxy-Server dient folglich dazu, an Stelle des Client die entsprechende Anfrage an einen Server zu stellen. Der Proxy-Server nimmt die Antwort vom Server entgegen und leitet diese an den anfragenden Client weiter. Neben dieser Stellvertreteraufgabe bietet der Squid eine Cache-Funktionalität. Der Squid holt das angeforderte Objekt vom Web Server, liefert es an den Client aus und behält eine Kopie des Objekts in einem Zwischenspeicher, der auch kurz Cache genannt wird. Der Proxy-Server kann bei einer Anfrage eines zuvor gespeicherten Objektes dieses Objekt aus seinem Zwischenspeicher ausliefern und muss nicht den entfernten Web Server befragen. Squid unterstützt die Protokolle HTTP, HTTPS, FTP (über HTTP), Gopher und WAIS. Er ist sowohl für kleine Installationen (5-10 Nutzer) wie auch für große Proxy-Verbünde in WAN Netzen mit einer sehr großen Nutzerzahl geeignet. Squid wird weiterhin bei einer Vielzahl von Internet Service Providern (ISP) als transparenter Proxy eingesetzt. Dabei wird der Netzverkehr unbemerkt vom Benutzer über einen Squid Proxy Server gelenkt und nimmt ebenfalls Proxy und Cache Funktionalität war. Weiterhin ist Squid als Reverse Proxy" zum Schutz und zur Beschleunigung von Web Servern einsetzbar. Bundesamt für Sicherheit in der Informationstechnik 5
6 2 Einsatzszenarien In diesem Kapitel werden typische Beispiele für Einsatzumgebungen des Squid Proxy Servers beschrieben. Die hier beschriebenen Einsatzumgebungen stellen die Grundlage für die Sicherheitsuntersuchung des Squid Proxy Servers dar. Sie werden auch bei der Erstellung der im Rahmen des Projektes zu erstellenden Check-Listen berücksichtigt. Die Auswahl der Einsatzumgebungen richtet sich vornehmlich an die Anbindung von kleineren und mittleren Behördennetzen an das Internet. Die im Rahmen der Studie erstellten Check-Listen sollen die Betreiber der kleineren und mittleren Behördennetzen unterstützen, einen adäquaten Sicherheitsstand ihrer Squid Proxy-Installation sicherzustellen. 2.1 Einsatz als regulärer Proxy Bei der Sicherheitsuntersuchung wird der Einsatz als regulärer Proxy Server in den Szenarien Installation auf einem eigenständigem Server in einer demilitarisierten Zone der Firewall und Installation direkt auf der Firewall betrachtet. Auf die Betrachtung des Szenario Installation auf einem eigenständigen Server im LAN sowie innerhalb von Cache Hierarchien wird in Absprache mit dem BSI verzichtet Einsatz als regulärer Proxy in einer DMZ Ein Beispiel einer typischen Einsatzumgebung ist in der Abbildung 1 dargestellt. Der Proxy-Cache- Server wird dabei in einer Firewall-DMZ des Internet-Übergangs installiert. An der Firewall werden einerseits Client-Zugriffe aus dem internen Netz auf den entsprechenden Service-Port des Squid erlaubt. Andererseits werden an der Firewall die Zugriffe vom Squid ins Internet erlaubt. Zusätzlich können weitere Services in Verbindung mit dem Squid Proxy-Cache-Server, wie z.b. HTTP Antivirus-Filter oder URL-Filter auf dedizierten Server Systemen in der DMZ platziert werden. Der Vorteil dieser Realisierungsvariante liegt in dem zusätzlichen Schutz des Proxy-Cache-Server durch die Firewall gegen bestimme Bedrohung, wie z.b. Denial of Service-Angriffe, sowie in dem Schutz offener Ports weiterer Dienste, die von dem Betriebssystems des Squid Systems angeboten werden. Die zusätzlichen Schutzmechanismen einer Firewall sind nicht Gegenstand dieser Untersuchung und werden im Folgenden nicht weiter betrachtet. Bundesamt für Sicherheit in der Informationstechnik 6
7 Titel des Dokuments Auth.-Server Management- LAN Content Security Server Client ProxyCache WebServer DMZ Intranet Internet Router Firewall Router Abbildung 1: Realisierung Squid Proxy-Cache in der DMZ der Firewall Die folgende Tabelle gibt einen Überblick über möglichen Aufgaben, die von dem Squid Proxy Server in diesem Szenario wahrgenommen werden können. Weiterhin ist in dieser Tabelle vermerkt, welche Aufgaben im Rahmen der Sicherheitsuntersuchung betrachtet werden: Aufgabe/Funktion von Squid Proxy Funktionalität für HTTP, FTP (über HTTP), SSL, Gopher und WAIS Cache Funktionalität für HTTP, FTP (über HTTP), Gopher und WAIS SNMP Unterstützung Caching von DNS Anfragen Bandbreitensteuerung Untersuchungsumfang Untersucht wird HTTP, und FTP (über HTTP) Anmerkung: HTTPS wird im Szenario Regulärer Proxy von Squid transparent weitergereicht (auf der Seite des Clients mittels der HTTP Methode CONNECT) Untersucht wird HTTP und FTP (über HTTP) Wird untersucht Wird untersucht Wird nicht untersucht Bundesamt für Sicherheit in der Informationstechnik 7
8 Aufgabe/Funktion von Squid Zugriffskontrolle über Access Listen Authentisierung Schnittstellen für externe Programme und Bibliotheken (Libraries). Protokollierung. Untersuchungsumfang Der Detaillierungsgrad der Untersuchung ist im Testplan (siehe Kapitel 8.1) festgelegt. Betrachtet werden u.a. die Filterung auf Quelle und Ziel (IP Adressen, Domainen Namen, Port Nummern) auf das Protokoll (cache_object), auf die HTTP Methode (CONNECT und PURGE), auf die Proxy Authentisierung, auf reguläre Ausdrücke von URLs und auf übermittelte Mime Typen. Der Detaillierungsgrad der Untersuchung ist im Testplan (siehe Kapitel 8.1) festgelegt. Die Implementation der Schnittstellen werden betrachtet. Wird untersucht. Tabelle 1: Übersicht über die im Einsatzszenario "DMZ" zu untersuchenden Squid Komponenten Einsatz als regulärer Proxy auf der Firewall Eine weitere typische Realisierung innerhalb kleiner Netze ist es, den Squid Proxy-Cache-Server direkt auf der Firewall zu betreiben. Bei dieser Art der Realisierung besteht ein erhöhtes Bedrohungspotential gegenüber dem Betrieb innerhalb einer DMZ. Bei Problemen des Squid Proxy Servers wird in diesem Fall unmittelbar die Firewall beeinträchtigt. Dies kann daher auch zu einer Beeinträchtigung des gesamten über die Firewall abgewickelten Netzwerkverkehrs führen (z.b. VPN Verbindungen). Weiterhin bietet die Firewall einen zusätzlichen Dienst an, der einen weiteren Angriffspunkt darstellt. Bei einem erfolgreichen Angriff gegen den Squid Server ist in diesem Szenario die Sicherheit des internen Netzwerkes betroffen. WebServer Intranet Internet Router Firewall und ProxyCache Router Abbildung 2: Realisierung Squid Proxy-Cache auf der Firewall Die Aufgaben, die von dem Squid Proxy Server in diesem Szenario wahrgenommen werden, unterscheidet sich nicht von dem Szenario bei dem der Squid Proxy in der DMZ lokalisiert ist. Es wird Bundesamt für Sicherheit in der Informationstechnik 8
9 Titel des Dokuments daher hier keine weitere Unterscheidung vorgenommen. (Bei der Erstellung des Testplans wurde diese Einschätzung bestätigt. Die Konfigurationsunterschiede der Squid Installation iwerden bei der Erstellung der Check Listen in Projektphase 3 dargestellt.) 2.2 Einsatz als Reverse Proxy Server In diesem Szenario wird von dem Betreiber eines Web Auftritts ein Squid Proxy-Server zur Unterstützung des Web Auftritts betrieben. Der Reverse Proxy-Server hat dabei typischerweise die Aufgabe, die Skalierbarkeit, die Verfügbarkeit und die Performanz des Web Auftritts zu verbessern. Weiterhin bietet der Squid Proxy-Server die Möglichkeit, externe Programme zur Überprüfung von den an die Web Anwendung übermittelten Inhalte einzubinden. Proxy Server WebServer Intranet Internet Router Abbildung 3: Realisierung Squid als Reverse Proxy-Server Die folgende Tabelle gibt einen Überblick über möglichen Aufgaben, die von dem Squid Reverse Proxy Server in diesem Szenario wahrgenommen werden können. Weiterhin ist in dieser Tabelle vermerkt, welche Aufgaben im Rahmen der Sicherheitsuntersuchung betrachtet werden: Aufgabe/Funktion von Squid Reverse Proxy Funktionalität für HTTP, FTP (über HTTP), SSL, Gopher und WAIS SNMP Unterstützung Caching von DNS Anfragen Zugriffskontrolle über Access Listen Authentisierung Schnittstellen für externe Programme und Bibliotheken (Libraries). Protokollierung. Untersuchungsumfang Untersucht wird HTTP, HTTPS (die Schnittstelle zur Verschlüsselung bzw. Prüfung der Authentizität mit OpenSSL) und FTP (über HTTP). In diesen Funktionen besteht im Vergleich zum Szenario Regulärer Proxy kein Unterschied. Daher werden diese Funktionen nicht nochmals untersucht. Tabelle 2: Übersicht über die im Einsatzszenario "Reverse Proxy" zu untersuchenden Squid Komponenten Aus der Tabelle ergibt sich, dass der wesentliche Unterschied zwischen Proxy Server und Reverse Proxy Server bei der Sicherheitsuntersuchung in der Unterstützung von SSL zur verschlüsselten HTTPS Kommunikation besteht. Alle anderen Komponenten sind nach derzeitiger Einschätzung äquivalent zu dem Einsatzszenario Proxy Server. (In der Konfiguration und in den zu erstellenden Check Listen gibt es natürlich Unterschiede, die im Rahmen von Phase 3 des Projektes dargestellt werden.) Bundesamt für Sicherheit in der Informationstechnik 9
10 3 Sicherheitsziele In diesem Anschnitt werden die übergeordneten Sicherheitsziele aufgeführt, die bei dem Betrieb von Squid erreicht werden sollen. Sie dienen dazu, um die Bedrohungen zu bestimmen, die diese Sicherheitsziele gefährden. Sicherheitsziele für beide Einsatzszenarien (regulärer Proxy und Reverse Proxy) SZ 1: SZ 2: Durch den Einsatz von Squid darf nicht gegen Gesetze verstoßen werden. (u.a. Strafrecht, Urheberrecht und Bundesdatenschutzgesetz). Der Squid darf die Vertraulichkeit und Integrität der über ihn übermittelten Daten nicht gefährden. (Dieses Sicherheitsziel hat für die beiden Einsatzszenarien eine unterschiedliche Bedeutung. So kann die Kommunikation zwischen Browser und Reverse Proxy über SSL abgesichert werden (Verschlüsselung und Sicherstellung der Authentizität der Kommunikationspartner).) Weitere Sicherheitsziele für das Einsatzszenario regulärer Proxy SZ 3: SZ 4: SZ 5: SZ 6: Der Squid sollte einen zuverlässigen Zugang zu Informationen aus dem Internet gewährleisten, die die Benutzer zur Erledigung ihrer Arbeit benötigen. Dies betrifft sowohl die Verfügbarkeit des Dienstes wie auch die Aktualität der ausgelieferten Daten. Das interne Netzwerk soll vor Eindringlingen geschützt werden. Informationen des internen Netzwerkes sollen nicht nach außen gelangen (z.b. lokale IP Adressen). Schädlicher Inhalt soll aus dem internen Netzwerk ferngehalten werden Weitere Sicherheitsziele für das Einsatzszenario Reverse Proxy SZ 7: SZ 8: Die Web Server sollen vor Eindringlingen geschützt werden. Die Zuverlässigkeit der Web Anwendungen soll gewährleistet werden. Bundesamt für Sicherheit in der Informationstechnik 10
11 Titel des Dokuments 4 Bedrohungen des Squid Proxy Servers Die Bedrohungen lassen sich in Anlehnung an des BSI Grundschutzhandbuch in fünf Gefährungskategorien. Diese sind höhere Gewalt, organisatorischen Mängel, menschliches Fehlverhalten, technisches Versagen und vorsätzliche Handlungen. Im Rahmen dieser Sicherheitsuntersuchung werden die Bedrohungen betrachtet, die auf das Produkt Squid Proxy Server zurückzuführen sind. Diese sind im wesentlichen in den beiden Gefähdungskategorien technisches Versagen (des Produkts Squid) und vorsätzliche Handlungen (Angreifer) zuzuordnen. Die Bedrohungen der im Rahmen dieser Untersuchung berücksichtigten Einsatzszenarien von Squid (regulärer Proxy und Reverse Proxy) unterscheiden sich nur in einzelnen Punkten. Daher werden diese Unterschiede bei den einzelnen Bedrohungen vermerkt. Im Folgenden wird eine Unterscheidung der Bedrohungen bezüglich der Grundbedrohungen Verlust der Vertraulichkeit, Verlust der Integrität und Verlust der Verfügbarkeit vorgenommen. Hierbei bedeuten Verlust der Vertraulichkeit: Vertraulichkeit ist gegeben, wenn die Information nur den dazu Befugten zugänglich ist und weder unbefugt noch ungewollt offenbart wird; Verlust der Integrität: Integrität ist definiert als die Unversehrtheit, Korrektheit, Widerspruchsfreiheit und Vollständigkeit der Informationen und schließt ein, dass diese Informationen nur von den Befugten in zulässiger Weise modifiziert werden können; Verlust der Verfügbarkeit: Verfügbarkeit ist definiert als die Bereitstellung der Funktion eines Systems innerhalb einer vorgegebenen Zeit. Zusätzlich wird als weitere Kategorie der Verstoß gegen Gesetze hinzugenommen. Verlust der Vertraulichkeit B 1: Ein Unbefugter bekommt Zugriff auf vertrauliche Informationen, wie z.b. die Konfiguration des Squid oder interne IP Adressen. B 2: Ein Unbefugter bekommt Zugriff auf vertrauliche (verschlüsselte) Daten eines Benutzers, die zwischen Browser und Reverse Proxy Server Daten übermittelt werden. B 3: Ein Unbefugter bekommt Zugriff auf vom Squid System gespeicherte Daten. Verlust der Integrität B 4: Das Squid System wird kompromittiert. B 5: Ein Unbefugter modifiziert die zwischen Browser und Reverse Proxy Server übermittelten Daten eines Benutzers. B 6: Ein Unbefugter missbraucht das Squid System für Angriffe gegen interne oder fremde Systeme. Bundesamt für Sicherheit in der Informationstechnik 11
12 B 7: Ein Benutzer baut nicht vorgesehene Netzverbindungen auf. B 8: Ein Benutzer greift auf für ihn nicht vorgesehene Web Ressourcen zu. B 9: Ein Benutzer erhält administrativen Zugriff auf das Squid System. B 10: Das Squid-System liefert veraltete Informationen aus. Verlust der Verfügbarkeit B 11: Die Ressourcen des Squid Systems werden verbraucht und das System liefert seine Antworten nicht mehr in einer akzeptablen Zeit (Denial of Service). Verstoß gegen Gesetzte B 12: Das Squid System nimmt durch entsprechendes Benutzerverhalten in seinen Cache-Speicher Daten auf, die gegen Gesetzte verstoßen (z.b. rechtsradikale, urheberrechtlich geschützte oder pornographische Inhalte). Gegenüberstellung von Sicherheitszielen und Bedrohungen Die folgende Tabelle stellt zusammen, welche der aufgeführten Bedrohungen welche Sicherheitsziele gefährden: SZ1 SZ 2 SZ 3 SZ 4 SZ 5 SZ 6 SZ 7 SZ 8 B 1 X X B 2 X B 3 X B 4 X X X B 5 X B 6 X B 7 X X B 8 X X B 9 X X B 10 X B 11 X B 12 X Tabelle 3: Gegenüberstellung, welche Bedrohung welche Sicherheitsziele gefährden Bundesamt für Sicherheit in der Informationstechnik 12
13 Titel des Dokuments 5 Mögliche Schwachstellen von Squid Mögliche Schwachstellen von Squid können ihre Ursache in der Implementierung, in der Komplexität der Konfiguration und in der Architektur haben. Typische Implementationsschwächen sind z.b. Speicherlecks, Pufferüberlaufschwächen, Format String Schwächen und versteckte Hintertüren. Typische Konfigurationsfehler sind z.b. unzureichendes Einspielen von Patches, Vergabe von zu vielen Benutzerrechten, unzureichendes Passwort Management und unzureichendes oder ungeeignetes Logging. Typische Architekturfehler sind z.b. Race Condition Schwachstellen, schlecht abgesicherte administrative Zugänge und das Fehlen eines definierten sicheren Fehlerzustandes. Im Rahmen dieser Untersuchung werden Teile des Quellcodes von Squid analysiert. Dies ist geeignet, Schwachstellen, die auf Implemenationsfehler oder Architekturfehler zurückzuführen sind, aufzudecken. Zur Vermeidung von Konfigurationsfehlern sind organisatorische Maßnahmen erforderlich. Im Rahmen dieses Projektes werden hierfür Check Listen erarbeitet. Die dazu notwendigen organisatorischen Maßnahmen werden aber nicht beschrieben. Im Folgenden werden mögliche Schwachstellen von Squid aufgeführt. (Diese Liste ist zum gegenwärtigen Zeitpunkt des Projekts als vorläufig anzusehen und wird im Laufe des Projektes ggf. konkretisiert und erweitert. ) Vul 1: Versagen der Sicherheitsmechanismen von Squid Falls es in der Implementierung der Sicherheitsmechanismen von Squid wie z.b. die Zugriffskontrolle über Access Control Listen und Access Regeln oder in der Authentisierung über Hilfsprogramme Schwachstellen gibt, so können diese Sicherheitsmechanismen möglicherweise umgangen werden. Vul 2: Unzureichende Überprüfungen Squid verarbeitet Daten, die aus nicht vertrauenswürdigen Quellen stammen. Ein Angreifer kann versuchen durch nicht protokollkonforme Kommunikation mit den von Squid bereitgestellten Diensten, ungewollte Aktionen hervorzurufen. Beispiele für unerwartete Datenwerte können u.a. in den folgenden Informationen übermittelt werden: HTTP Header Informationen, die von einem HTTP Client kommen (u.a. die Werte der HTTP Header Felder Pragma und Authorization ) HTTP Header Informationen, die von einem Web Server kommen (u.a. die Werte der HTTP Header Felder Last-Modified, Expire und Cache-Control ) Benutzernamen von Ident Erwiderungen von Client Systemen, DNS Erwiderungen von externen DNS Servern, SSL Anfragen vom Browser (z.b. ASN Strukturen - nur im Einsatzszenario Reverse Proxy relevant) und SNMP Management Anfragen. Vul 3: Unzureichendes Ressourcenmanagement Squid benötigt unterschiedliche System Ressourcen (RAM, Plattenplatz, Filedescriptoren etc.). Durch entsprechende Anfragen/Erwiderungen lassen sich möglicherweise die System Ressourcen aufbrauchen, so dass Squid nicht mehr in Bundesamt für Sicherheit in der Informationstechnik 13
14 einer angemessenen Zeit antwortet. (Denial-of-Service). Weiterhin werden beim Start eine vordefinierte Anzahl von Hilfsprogrammen gestartet (z.b. für die Authentisierung oder für externe URL Filterung). Durch entsprechende Anfragen kann es möglich sein, sämtliche Hilfsprogramme zu beschäftigen, so dass Squid eine Authentisierung bzw. eine externe URL Filterung nicht mehr durchführen kann (Denial-of-Service). Vul 4: Verletzung der Datenschutzbestimmungen. Squid speichert personenbezogenen Daten. Dies können u.a. Benutzernamen und/oder IP Adressen des Benutzerrechner sein. Vul 5: Verletzung von Gesetzten Squid speichert Kopien von Inhalten. Dies könnten bei entsprechender Konfiguration und entsprechendem Benutzerverhalten auch urheberrechtlich geschützte Daten, rechtsradikale Inhalte oder pornographische Inhalte sein. Die folgende Tabelle stellt zusammen, welche der aufgeführten möglichen Schwachstellen welche Bedrohung begünstigt: B1 B2 B3 B4 B5 B6 B7 B8 B9 B10 B11 B12 Vul 1 X X X X X X X Vul 2 X X X X Vul 3 Vul 4 Vul 5 X Tabelle 4: Aufstellung, welche der aufgeführten möglichen Schwachstellen welche Bedrohungen begünstigen X X Bundesamt für Sicherheit in der Informationstechnik 14
15 Titel des Dokuments 6 Sicherheitsanforderungen Die Sicherheitsanforderungen an den Squid Proxy Server ergeben sich aus den möglichen Einsatzszenarien und den Sicherheitszielen, die bei diesen Einsatzszenarien zugrunde gelegt werden, sowie den Bedrohungen, die die Erreichung der Sicherheitsziele gefährden. In den folgenden Kapiteln werden die Sicherheitsanforderungen an Squid in Anlehnung an die Anforderungen der Common Criteria, Teil 2, dargestellt. Dabei werden die generischen Oberbegriffe der ITSEC als Leitschnur verwendet. 6.1 Identifizierung und Authentisierung Neben den für die eigentliche Funktion des Squid vorgesehenen Benutzerzugriffen, stellt der Squid auch Zugriffe für Administration zur Verfügung. Dies sind z.b. der Zugriff über SNMP und über HTTP auf den Cache Manager. Weitere administrative Zugriffe sind über das Betriebssystem oder durch Zusatzprogramme (z.b. einen zusätzlichen Web Server) möglich. Die Bedrohungen über diese zusätzlichen Schnittstellen werden nicht weiter betrachtet, da sie nicht Bestandteil von Squid sind. Die Sicherheitsanforderungen an die Identifizierung und Authentisierung sind für Benutzer des Systems und für Administratoren unterschiedlich: SA 1 Administrative Zugriffe auf den Squid dürfen nur nach erfolgter Authentisierung möglich sein. Im Einsatzszenario Proxy Cache kann die Internet Richtlinie der Einheit (Firma, Behörde etc) besagen, dass der Zugriff auf das Internet benutzerabhängig reglementiert ist. (Z.B. Einschränkung der privaten Nutzung des Internets). SA 2 Es ist erforderlich, dass Squid im Einsatzszenario regulärer Proxy Benutzer identifizieren und/oder authentisieren kann. (Da hierbei das Ziel nicht der Schutz von Daten oder Anwendungen ist, sind die Sicherheitsanforderungen an die Identifizierung und Authentisierung der Benutzer in der Regel gering und eine Übertragung dieser Daten im Klartext ist daher meist ausreichend.) Ein Reverse Proxy hat als Aufgaben die über ihn ansprechbaren Web Anwendungen zu beschleunigen und für die Skalierbarkeit sowie für den Schutz dieser Anwendungen zu sorgen. Eine Identifizierung und Authentisierung der Benutzer am Squid ist daher in der Regel nicht erforderlich. 6.2 Zugriffskontrolle Im Einsatzszenario Regulärer Proxy kann die Internet Richtlinie der Einheit (Firma, Behörde etc.) besagen, dass der Zugriff auf das Internet benutzerabhängig reglementiert ist. (Z.B. Einschränkung der privaten Nutzung des Internets). SA 3 Es ist erforderlich, dass Squid im Einsatzszenario Regulärer Proxy die Zugriffe der Benutzer auf die Web Ressourcen filtern können. (Da hierbei der Fokus nicht der Schutz von Daten oder Anwendungen ist, sind die Sicherheitsanforderungen an die Zugriffskontrolle gering. Eine Umgehung der Restriktion führt nicht zu einem Sicherheitsproblem.) Im Einsatzszenario Reverse Proxy ist das Squid System eine Teilkomponente des Firewall Netzes zum Schutz der Web Anwendungen. Er hat daher die Aufgabe zur Abwehr von Angriffen beizutragen. SA 4 Es ist erforderlich, dass Squid im Einsatzszenario Reverse Proxy die Zugriffe aus dem Internet filtern kann. SA 5 Es ist erforderlich, dass der Reverse Proxy nicht Anfragen für fremde Web Server entgegennimmt. (In diesem Fall könnte der Reverse Proxy für Angriffe gegen fremde Systeme missbraucht werden.) Bundesamt für Sicherheit in der Informationstechnik 15
16 6.3 Sicherheitsprotokollierung Für den sichern Betrieb von Squid ist es erforderlich, dass Squid umfangreiche Überwachungsmöglichkeiten bereitstellt, sofern dies nicht bereits über das Betriebssystem möglich ist. SA 6 Es ist erforderlich, die Performanz von Squid überwachen zu können. Dazu ist es u.a. erforderlich, dass Squid Statistiken über die Verarbeitungszeiten von Anfragen, Statistiken über die Nutzung seines Caches, Statistiken über die Rate, mit der auf Platte ausgelagerte Speicherbereiche von Squid benötigt werden (Page Fault) und Statistiken über die benötigten Systemressourcen (Speicher, Filedesciptoren, Netzwerkverbindungen etc) führt. SA 7 Jede für den Betrieb von Squid benötigte Funktion muss überwacht werden können. Dies sind Statistiken über die von den einzelnen Datenbanken benötigte Speicherbereiche, um die Squid Konfiguration optimieren zu können, Statistiken über die Auslastung externer Hilfsprogramme (Authentisierung, externe DNS Auflösung, andere externe Programme wie z.b. Inhaltsfilter, Virenfilter o.ä.), um die Ursachen von Performanzeinbusen von Squid erkennen zu können. SA 8 Es ist erforderlich, Einbruchsversuche in Squid erkennen zu können. SA 9 Es ist erforderlich, Missbrauchsversuche von Squid erkennen zu können. 6.4 Unverfälschtheit SA 10 Der Squid darf keine veralteten Objekte ausliefern. SA 11 Die SSL Kommunikation zwischen Browser und Squid Reverse Proxy darf nicht modifiziert werden können. 6.5 Zuverlässigkeit der Dienstleistung SA 12 Der Squid muss Sicherheitsmechanismen zur Gewährleistung der Verfügbarkeit bereitstellen. (z.b. Clustering, Monitoring (s.o.)). SA 13 Der Administrator des Squid muss es möglich sein, im Cache-Speicher aufgenommen Inhalte zu entfernen (z.b. Seiten von Defaced Web Servern...). SA 14 Nicht mehr aktuelle Inhalte, die Squid aus seinem Cache-Speicher ausliefert, müssen vor einer konfigurierbaren Zeit noch aktuell gewesen sein (Es kann akzeptabel sein, dass Squid Inhalte, die keine explizite Verfallszeit haben, ausliefert, wenn diese erst seit ein paar Stunden oder Tagen veraltet sind.). 6.6 Übertragungssicherheit Es werden keine Sicherheitsanforderungen an Squid zur Übertragungssicherheit gefordert. 6.7 Verschlüsselung SA 15 Die SSL Kommunikation zwischen Browser und Squid Reverse Proxy darf von Unautorisierten nicht entschlüsselt werden können. Bundesamt für Sicherheit in der Informationstechnik 16
17 Titel des Dokuments 6.8 Funktionen zur Wahrung der Datenintegrität Es werden keine Sicherheitsanforderungen an Squid zur Datenintegrität gestellt. 6.9 Datenschutzrechtliche Anforderungen SA 16 Der Protokollierungsumfang des Squid muss den datenschutzrechtlichen Anforderungen entsprechen können Minimale Rechtevergabe SA 17 Es muss möglich sein, dass der Squid Dienst mit minimalen Rechten läuft. (Die Kompromittierung des Squid Dienstes darf nicht unmittelbar zu einer Komprimittierung des gesamten Squid Systems führen. Bundesamt für Sicherheit in der Informationstechnik 17
18 7 Sicherheitsfunktionen von Squid Dieses Kapitel beschreibt die Sicherheitsfunktionen, die Squid zur Verfügung stellt. 7.1 Identifizierung und Authentisierung Authentisierung für Administratoren: Squid stellt zwei Schnittstellen für Administratoren, den Cache Manager und SNMP, zur Verfügung. Cache Manager: Die einzelnen Komponenten des Cache Manager lassen sich durch ein Passwort schützen. Dieses wird unverschlüsselt über das Netzwerk gesendet. In der Squid Dokumentation wird daher als Konfigurationseinstellung empfohlen, dass der Cache Manager über geeignete ACLs nicht von entfernten Systemen ansprechbar sein sollte. In diesem Fall ist eine Authentisierung über das Betriebssystem erforderlich. Dabei muss aber sichergestellt werden, dass nur Administratoren sich an dem System anmelden können. SNMP Schnittstelle: Squid unterstützt SNMP in der Version 1. Der Community String wird in dieser Version im Klartext übertragen. In der Squid Dokumentation wird daher als Konfigurationseinstellung empfohlen, dass der SNMP Dienst über geeignete ACLs nicht von entfernten Systemen ansprechbar sein sollte. I Weitere Tätigkeiten des Administrators für Manipulationen des Cache Inhaltes (z.b. Entfernen von Inhalten aus dem Cache) können mit Squid spezifischen Erweiterungen des HTTP Protokolls durchgeführt werden (siehe Kapitel 7.4). In der Squid Dokumnetation wird ebenfalls empfohlen, dass diese Protokollerweiterungen mittels entsprechender ACLs auf lokale Zugriffe eingeschränkt werden. Weitere Tätigkeiten der Administratoren (z.b. Analyse der Protokolldateien, Änderungen der Konfiguration) können nur lokal durchgeführt werden. Die Administratoren müssen sich dazu am Betriebssystem des Squid Systems anmelden. Zusammenfassend lässt sich feststellen: eine aus Sicherheitssicht ausreichende Authentisierung für administrative Zugriffe ist nur im Zusammenspiel von Authentisierung am Betriebssystem und ACLs von Squid gegeben. Authentisierung für Benutzer: Die Authentisierung der Benutzer überlässt Squid externen Hilfsprogrammen. Die im Umfang von Squid bereitgestellten Hilfsprogramme lassen sich dabei in drei Gruppen einteilen: HTTP Basic (RFC 2617) Authentisierung: die Authentisierungsinformationen werden unverschlüsselt (base64 kodiert) gesendent (d.h. durch Man in the Middle Angriffe (MiM) kann ein Angreifer das Passwort eines Benutzers erhalten) HTTP Digest (RFC 2617) Authentisierung: Challenge Response Verfahren, das Verfahren ist anfällig gegen Replay Angriffe (in der Praxis muss sich der Angreifer aber in eine MiM Position bringen), NTLM Authentisierung (Properitäres Protokoll von Microsoft, Challenge Response Verfahren (reverse engineered). Nach Abbruch der TCP Verbindung ist eine erneuter Handshake erforderlich.) Squid startet dazu eine konfigurierbare Anzahl dieser Hilfsprogramme. Bei einem HTTP Zugriff, der eine Authenitisieung am Proxy Server erfordert (dies ist über ACLs steuerbar siehe Kapitel 7.2), wird vom HTTP Client die entsprechende Authentisierungsinformation übertragen. Der Squid übermittelt die notwendige Informationen an eines der externen Hilfsprogramme. Dieses Programm wertet die Informationen aus und teilt das Resultat der Benutzerverifizierung (in der Regel "OK" oder "ERR") Squid mit. Die Kommunikation zwsichen den Squid und den externen Hilfsprogrammen wird über Standard In und Out abgewickelt. Bundesamt für Sicherheit in der Informationstechnik 18
19 Titel des Dokuments HTTP Basic Authentisierung Die externen HTTP Basic Authentisierungshilfsprogramme lesen von stdin Paare von Benutzernamen und zugehörigem Passwort. Bei erfolgreicher Authentisierung schreiben die Hilfsprogramme OK sonst ERR auf stdout. Squid speichert intern die Resultate der Authentisierungen. Über einen Parameter (credentialsttl) lässt sich steuern, wie lange zwischengespeicherte Authentisierungsinformationen gültig sind. (Squid bekommt möglicherweise in dieser Zeitspanne Änderungen in der Authentisierungsdatenbank nicht mit!) Squid liefert die folgenden HTTP Basic Authentisierungshilfsprogramme mit. NSCA Dieses Hilfsprogramm liest die gültigen Benutzer/Passwort Kombinationen aus einer Datei, die vergleichbar mit der Unix Passwortdatei ist. LDAP Dieses Hilfsprogramm liest die gültigen Benutzer/Passwort Kombinationen von einem LDAP Server. Als weitere externe Softwarekomponente wird hierfür OpenLDAP benötigt. MSNT Dieses Hilfsprogramm übermittelt über das SMB Protokoll die Authentisierungsinformationen an bis zu fünf NT Domainen Contoller und wertet die Antworten für die Authentisierung aus. Multi Domainen MSNT Dieses Hilfsprogramm arbeitet analog wie das MSNT Hilfsprogramm, jedoch muss der Benutzer in der Authentisierung zusätzlich den Domänennamen angeben. Als weitere externe Softwarekomponenten werden Perl und das Perl Modul Authen::SMB benötigt. PAM Dieses Hilfsprogramm verwendet das Pluggable Authentication Modul (PAM) des Betriebssystems. Dies kann nur verwendet werden, wenn das Betriebssystem dieses unterstützt. SASL SASL steht für Simple Authentication and Security Layer und ist ein Vorschlag für ein IETF Standard (RFC 2222). Die SASL Authentifizierung ist ähnlich wie PAM und kann eine Reihe von verschiedenen Authentisierungsdatenbanken abfragen. Als weitere externe Softwarekomponente wird die Cyrus SASL Bibliothek benötigt. SMB Dieses Hilfsprogramm ist ein weiteres Programm, dass die Authentisierung über eine Microsoft Windows Datenbank durchführt. Es benötigt als weitere Softwarekomponente Samba. YP Dieses Hilfsprogramm führt die Authentisierung über eine NIS Domaine durch. getpwnam Dieses Hilfsprogramm führt die Authentisierung über die Unix Routine getwpnam() durch. Je nach Konfiguration des Betriebssystems ist die Authentisierungsquelle eine andere (u.a. die lokale Passwortdatei, NIS Domaine, PAM). Bundesamt für Sicherheit in der Informationstechnik 19
20 winbind Dieses Hilfsprogramm ist ein Client Programm für den winbindd Dienst von Samba. Es wird hier eine Authentisierung über den von einem Samba Server zur Verfügung gestellten Samba Dienst durchgeführt HTTP Digest Authentisierung Die externen HTTP Digest Authentisierungshilfsprogramme lesen von stdin Benutzernamen und Realm Namen. Bei erfolgreicher Authentisierung schreiben die Hilfsprogramme einen MD5 Hash- Wert sonst ERR auf stdout. Der MD5 Wert wird dabei aus den Informationen Benutzername, Realm und Passwort gebildet. Squid speichert die zu der Authentisierungen gehörigen gültigen MD5 Werte. Nicht alle Browser une Squid liefert dabei ein Authentisierungshilfsprogramm mit, dass die gültigen Benutzer/Passwort Kombinationen aus einer Datei liest NTLM Authentisierung NTLM steht für NT Lan Manager und ist ein proprietäres Authentisierungsprotokoll von Microsoft. Das Protokoll wurde von einer Vielzahl von Gruppen reverse-engineered. NTLM verwendet einen Dreiwege-Handshake, um die Verbindung zu authentisieren. Bei einem Abbruch der Verbindung ist ein erneuter Handshake erforderlich. SMB Dieses Hilfsprogramm ist gleichartig zu dem NTLM HTTP Basic Authentisierungsprogramm. winbind Dieses Hilfsprogramm ist gleichartig zu dem winbind HTTP Basic Authentisierungs-programm. 7.2 Zugriffskontrolle Squid bietet umfangreiche Möglichkeiten, über Access Control Listen (ACLs) und Access Control Regeln den Zugriff auf die von Squid bereitgestellten Dienste zu reglementieren. Die Zugriffskontrollregeln von Squid sind ein wesentlicher und aus Sicherheitssicht wichtiger Bestandteil von Squid. Die Zugriffskontrollregeln haben u.a. die Aufgabe, den Zugriff auf Web Ressourcen zu reglementieren, das Umschreiben von Web Anfragen zu regeln, den Zugriff auf administrative Schnittstellen einzuschränken, das Zusammenspiel von Proxy Servern in einer Proxy Hierarchie festzulegen und verschiedene Quality of Service zu unterstützen. Die Zugriffskontrolle besteht aus zwei verschiedenen Komponenten, den Access Control Listen und den Access Control Regeln. Die Access Control Listen dienen dazu verschiedene Aspekte des Client Zugriffs zu definieren. Dies sind u.a. IP Adressen, Domain Namen, Anfrage Methoden und Benutzername. Diese ACLs können in den Access Control Regeln auf die einzelnen Squid Dienste oder auf einzelne Squid Arbeitsabläufe angewandt werden.im Folgenden werden zunächst die unterschiedlichen Typen der Access Control Listen von Squid beschrieben. Anschließend werden die Access Control Regeln von Squid behandelt. Bundesamt für Sicherheit in der Informationstechnik 20
Handbuch. timecard Connector 1.0.0. Version: 1.0.0. REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen
Handbuch timecard Connector 1.0.0 Version: 1.0.0 REINER SCT Kartengeräte GmbH & Co. KG Goethestr. 14 78120 Furtwangen Furtwangen, den 18.11.2011 Inhaltsverzeichnis Seite 1 Einführung... 3 2 Systemvoraussetzungen...
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrClientkonfiguration für Hosted Exchange 2010
Clientkonfiguration für Hosted Exchange 2010 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergegeben werden. Kontakt: EveryWare AG
MehrPowermanager Server- Client- Installation
Client A Server Client B Die Server- Client- Funktion ermöglicht es ein zentrales Powermanager Projekt von verschiedenen Client Rechnern aus zu bedienen. 1.0 Benötigte Voraussetzungen 1.1 Sowohl am Server
MehrISA Server 2004 Einzelner Netzwerkadapater
Seite 1 von 8 ISA Server 2004 - Konfiguration mit nur einer Netzwerkkarte Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 In diesem Artikel wird auf die Konfiguration von
MehrWindows Server 2008 für die RADIUS-Authentisierung einrichten
Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung
MehrCollax PPTP-VPN. Howto
Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.
Mehrestos UCServer Multiline TAPI Driver 5.1.30.33611
estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...
MehrZugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:
Anleitung zur Installation der Exchange Mail Lösung auf Android 2.3.5 Voraussetzung für die Einrichtung ist ein vorliegender Passwortbrief. Wenn in der folgenden Anleitung vom Extranet gesprochen wird
MehrHowTo: Einrichtung & Management von APs mittels des DWC-1000
HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrSystem-Update Addendum
System-Update Addendum System-Update ist ein Druckserverdienst, der die Systemsoftware auf dem Druckserver mit den neuesten Sicherheitsupdates von Microsoft aktuell hält. Er wird auf dem Druckserver im
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrFTP Server unter Windows XP einrichten
Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket
Mehrrobotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand: 28.05.2014
robotron*e count robotron*e sales robotron*e collect Anwenderdokumentation Version: 2.0 Stand: 28.05.2014 Seite 2 von 5 Alle Rechte dieser Dokumentation unterliegen dem deutschen Urheberrecht. Die Vervielfältigung,
MehrLexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver
Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall
MehrISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote
Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen
MehrIAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014
IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis
MehrKlicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.
ADSL INSTALLATION WINDOWS 2000 Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren
MehrKurzanleitung zur Softwareverteilung von BitDefender Produkten...2
Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste
MehrWhite Paper. Installation und Konfiguration der PVP Integration
Copyright Fabasoft R&D GmbH, A-4020 Linz, 2010. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller. Diese Unterlagen sind streng
MehrAnbindung des eibport an das Internet
Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt
MehrHostProfis ISP ADSL-Installation Windows XP 1
ADSL INSTALLATION WINDOWS XP Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrProxy. Krishna Tateneni Übersetzer: Stefan Winter
Krishna Tateneni Übersetzer: Stefan Winter 2 Inhaltsverzeichnis 1 Proxy-Server 4 1.1 Einführung.......................................... 4 1.2 Benutzung.......................................... 4 3 1
MehrWie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?
Port Forwarding Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar? Server im lokalen Netzwerk können für das Internet durch das Weiterleiten des entsprechenden Datenverkehrs
Mehr"E-Mail-Adresse": Geben Sie hier bitte die vorher eingerichtete E-Mail Adresse ein.
Microsoft Outlook Um ein E-Mail-Postfach im E-Mail-Programm Outlook einzurichten, gehen Sie bitte wie folgt vor: Klicken Sie in Outlook in der Menüleiste auf "Extras", anschließend auf "E-Mail-Konten".
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrVersion 2.0.1 Deutsch 03.06.2014. In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.
Version 2.0.1 Deutsch 03.06.2014 In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen. Inhaltsverzeichnis... 1 1. Hinweise... 2 2. Konfiguration... 3 2.1. Generische
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrGEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY
GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY Vorteile der Verwendung eines ACTIVE-DIRECTORY Automatische GEORG Anmeldung über bereits erfolgte Anmeldung am Betriebssystem o Sie können sich jederzeit als
MehrRegistrierung am Elterninformationssysytem: ClaXss Infoline
elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung
Mehra.i.o. control AIO GATEWAY Einrichtung
a.i.o. control AIO GATEWAY Einrichtung Die folgende Anleitung beschreibt die Vorgehensweise bei der Einrichtung des mediola a.i.o. gateways Voraussetzung: Für die Einrichtung des a.i.o. gateway von mediola
MehrDas Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel
Orville Bennett Übersetzung: Thomas Bögel 2 Inhaltsverzeichnis 1 Einführung 5 2 KNetAttach verwenden 6 2.1 Hinzufügen von Netzwerkordnern............................ 6 3 Rundgang durch KNetAttach 8 4 Danksagungen
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrAnleitung zum Prüfen von WebDAV
Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des
MehrWindows Server 2008 (R2): Anwendungsplattform
Mag. Christian Zahler, Stand: August 2011 13 14 Mag. Christian Zahler, Stand: August 2011 Mag. Christian Zahler, Stand: August 2011 15 1.5.2 Remotedesktop-Webverbindung Windows Server 2008 (R2): Anwendungsplattform
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrAdministrator Handbuch
SPTools Extension Keys: sptools_fal_base sptools_fal_driver SPTools Version: 1 Extension Version: 1.0.2 Inhaltsverzeichnis... 1 1. Einleitung... 2 2. Systemanforderungen... 3 3. SPTools FAL Installation...
MehrSeite 1 von 14. Cookie-Einstellungen verschiedener Browser
Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht
MehrDialup Verbindung und Smarthost einsetzen
Dialup Verbindung und Smarthost einsetzen Problem...2 Ziel...2 Softwarevorausetzungen...2 Schritte vor der Umstellung...3 Einstellungen im IIS vornehmen...3 IIS neustarten...3 Seite 1 von 8 Problem In
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrManuelle Konfiguration einer VPN Verbindung. mit Microsoft Windows 7
Manuelle Konfiguration einer VPN Verbindung mit Microsoft Windows 7 Vorbemerkung In dieser kleinen Dokumentation wird beschrieben, wie eine verschlüsselte VPN Verbindung zur BVS GmbH & Co aufgebaut werden
MehrISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung
Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrWindows 2008R2 Server im Datennetz der LUH
Windows 2008R2 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008R2 Server. Zu einem funktionierenden Active-Directory-Server gehört ein interner
MehrKonfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden
MehrClient-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30
Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen
Mehr> Internet Explorer 7
> Internet Explorer 7 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede
MehrStefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung
1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und
MehrSZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit
SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID
MehrKonfiguration eines DNS-Servers
DNS-Server Grundlagen des Themas DNS sind im Kapitel Protokolle und Dienste in meinem Buch (LINUX erschienen im bhv-verlag) beschrieben. Als Beispiel dient ein Intranet mit mehreren Webservern auf verschiedenen
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrINSTALLATION ABACUS ABAWEBCLIENT
INSTALLATION ABACUS ABAWEBCLIENT Mai 2005 / EMO v.2005.1 Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung der Unterlagen,
MehrAnleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH
Amt für Informatik Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Anleitung vom 12. September 2009 Version: 1.0 Ersteller: Ressort Sicherheit Zielgruppe: Benutzer von SSLVPN.TG.CH Kurzbeschreib:
MehrWLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7
WLAN Bei Windows Vista Home Premium mit Service Pack 1 wrd unten rechts im Tray angezeigt, wenn Drahtlosnetzwerke verfügbar sind, ebenso bei Windows 7. Solange keine Verbindung mit diesen Drahtlosnetzwerken
MehrSicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach 263 8488 Turbenthal Schweiz
QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2 Sicherheit 1. Benutzernamen und Passwörter werden weder telefonisch noch per Email bekannt gegeben. Diese werden per normaler Post oder Fax zugestellt. Ebenso ist
MehrForefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung
Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und
MehrDOKUMENTATION PASY. Patientendaten verwalten
DOKUMENTATION PASY Patientendaten verwalten PASY ist ein Programm zur einfachen und zuverlässigen Verwaltung von Patientendaten. Sämtliche elektronisch gespeicherten Dokumente sind sofort verfügbar. Neue
MehrUniversal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.
ewon - Technical Note Nr. 003 Version 1.2 Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. Übersicht 1. Thema 2. Benötigte Komponenten 3. Downloaden der Seiten und aufspielen auf
MehrLive Update (Auto Update)
Live Update (Auto Update) Mit der Version 44.20.00 wurde moveit@iss+ um die Funktion des Live Updates (in anderen Programmen auch als Auto Update bekannt) für Programm Updates erweitert. Damit Sie auch
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrKonfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:
ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk... Seite 1 von 14 ISA Server 2004 ISA Server 2004 Einrichtung eines 3-Abschnitt-Umkreisnetzwerk - Von Marc Grote --------------------------------------------------------------------------------
MehrMachen Sie Ihr Zuhause fit für die
Machen Sie Ihr Zuhause fit für die Energiezukunft Technisches Handbuch illwerke vkw SmartHome-Starterpaket Stand: April 2011, Alle Rechte vorbehalten. 1 Anbindung illwerke vkw HomeServer ins Heimnetzwerk
MehrEigenen WSUS Server mit dem UNI WSUS Server Synchronisieren
Verwaltungsdirektion Informatikdienste Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren Inhaltsverzeichnis Einleitung... 3 Installation WSUS Server... 4 Dokumente... 4 Step by Step Installation...
MehrDas nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!
IMAP EINSTELLUNGEN E Mail Adresse : Art des Mailservers / Protokoll: AllesIhrWunsch@IhreDomain.de IMAP SMTP Server / Postausgangsserver: IhreDomain.de (Port: 25 bzw. 587) IMAP Server / Posteingangsserver:
MehrFirmware-Update, CAPI Update
Produkt: Modul: Kurzbeschreibung: Teldat Bintec Router RT-Serie Firmware-Update, CAPI Update Diese Anleitung hilft Ihnen, das nachfolgend geschilderte Problem zu beheben. Dazu sollten Sie über gute bis
Mehr> Internet Explorer 8
> Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede
MehrESB - Elektronischer Service Bericht
Desk Software & Consulting GmbH ESB - Elektronischer Service Bericht Dokumentation des elektronischen Serviceberichts Matthias Hoffmann 25.04.2012 DESK Software und Consulting GmbH Im Heerfeld 2-4 35713
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrSoftware zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)
Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen
MehrBenutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.
Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrDokumentation IBIS Monitor
Dokumentation IBIS Monitor Seite 1 von 16 11.01.06 Inhaltsverzeichnis 1. Allgemein 2. Installation und Programm starten 3. Programmkonfiguration 4. Aufzeichnung 4.1 Aufzeichnung mitschneiden 4.1.1 Inhalt
MehrDas Handbuch zu Simond. Peter H. Grasch
Peter H. Grasch 2 Inhaltsverzeichnis 1 Einführung 6 2 Simond verwenden 7 2.1 Benutzereinrichtung.................................... 7 2.2 Netzwerkeinrichtung.................................... 9 2.3
Mehr> Mozilla Firefox 3. Browsereinstellungen optimieren. Übersicht. Stand Juli 2009. Seite. Inhalt. 1. Cache und Cookies löschen
> Mozilla Firefox 3 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 4 Stand Juli 2009 1. Cache und Cookies löschen Jede
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
Mehr2. Installation unter Windows 8.1 mit Internetexplorer 11.0
1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer
MehrInstallation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools
Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte
MehrBüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen
BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrA1 E-Mail-Einstellungen Outlook 2007
Konfigurationsanleitung Einfach A1. A1 E-Mail-Einstellungen Outlook 2007 Klicken Sie in der Registerkarte Datei auf Informationen und anschließend auf Konto hinzufügen. Einfach schneller zum Ziel. Alternativ
MehrPanda GateDefender eseries Inhaltsfilter (Webfilter) How-To
Panda GateDefender eseries Inhaltsfilter (Webfilter) How-To Die Inhaltsfilterfunktionen der Panda GateDefender-Appliance basieren auf der URL- Filterlösung von Commtouch. Von dieser werden zwei Filtertechniken
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen
MehrBeschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x)
Beschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x) www.luf.at Inhaltsverzeichnis 1 ÜBERSICHT...3 1.1 Wann benötige ich die Installation des SSH Servers?...3
MehrÖffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:
Schritt 1: Verbinden Sie Ihr wireless-fähiges Gerät (Notebook, Smartphone, ipad u. ä.) mit dem Wireless-Netzwerk WiFree_1. Die meisten Geräte zeigen Wireless-Netzwerke, die in Reichweite sind, automatisch
MehrTutorial Windows XP SP2 verteilen
Tutorial Windows XP SP2 verteilen Inhaltsverzeichnis 1. Einführung... 3 2. Windows XP SP2 bereitstellen... 3 3. Softwarepaket erstellen... 4 3.1 Installation definieren... 4 3.2 Installationsabschluss
Mehr