Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)"

Transkript

1 Diplomarbeit zur Erlangung des akademischen Grades Diplom-Ingenieur (FH) Planung und Realisierung eines Honeynet zur Analyse realer Angriffe aus dem Internet vorgelegt von: Sven Müller Matrikel-Nummer: Fachbereich: Elektrotechnik und Informationstechnik Studienrichtung: Ingenieurinformatik im Monat Februar 2005 angefertigt bei MAGELLAN Netzwerke GmbH Max-Reichpietsch-Strasse Köln Betreuer: Korreferent: Prof. Dr.-Ing. Rolf Schäfer Prof. Dr.-Ing. Gerhard Stegemann

2 1 Erklärung Ich versichere hiermit, dass ich die vorliegende Arbeit selbständig verfasst und keine anderen als die im Literaturverzeichnis angegebenen Quellen benutzt habe. Stellen, die wörtlich oder sinngemäß aus veröffentlichten oder noch nicht veröffentlichten Quellen entnommen sind, sind als solche kenntlich gemacht. Die Zeichnungen oder Abbildungen in dieser Arbeit sind von mir selbst erstellt worden oder mit einem entsprechenden Quellennachweis versehen. Diese Arbeit ist in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde eingereicht worden. Aachen, im Februar 2005 Geheimhaltung Diese Diplomarbeit darf weder vollständig noch auszugsweise ohne schriftliche Zustimmung des Autors, des betreuenden Referenten bzw. der Firma MAGELLAN Netwerke GmbH vervielfältigt, veröffentlicht oder Dritten zugänglich gemacht werden.

3 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Virtual Local Area Networks Firewall Hardware Software Bridge Intrusion-Detection-System Rootkit Binary-Rootkits Kernel-Rootkits Library-Rootkits Phishing Buffer-Overflow Internet Relay Chat Dateiwiederherstellung - EXT2-Dateisystem Klassifizierung von Angreifern Low-level-Angreifer High-level-Angreifer Whitehat vs. Blackhat Ethische und rechtliche Aspekte Ethische Aspekte Strafrechtliche Aspekte Zivilrechtliche Aspekte Datenschutzrechtliche Aspekte

4 INHALTSVERZEICHNIS 3 5 Klassifizierung von Honeypots Low Interaction Honeypots High Interaction Honeypots Anforderungen an ein Honeynet Datenkontrolle (data control) Datenerfassung (data capture) Zentrale Datensammlung (data collection) Aufbau des Honeynet Logischer Aufbau Router Honeywall Honeypot Betriebssystem Dienste Syslog Sebek Kernel-Patch Administrationsrechner Zentrale Verwaltung Domain-Name-Server-Proxy Network-Time-Protocol-Daemon Mailrelay Frontends MySQL-Datenbank Server Intrusion-Detection Binary-Logging Datensicherung / Redundanz Analyse eines Angriffs Zeitlicher Ablauf des Einbruchs Einbruch in das Zielsystem Analyse der Angreifer-Werkzeuge refresh.tgz sk.tgz spam.tgz willson.tgz psybnc.tgz windmilk.tgz

5 INHALTSVERZEICHNIS sockd.tgz superwu.tgz suntrustsend.tgz Analysewerkzeuge Ethereal/ tethereal Sebek-Web-Interface Snortreport Analysis Console for Intrusion Databases Advanced Intrusion Detection Environment Sleuthkit-Werkzeuge Bewertung des Angriffs Zusammenfassung und Ausblick 64

6 Kapitel 1 Einleitung Sicherheit im Computer- und Netzbereich war schon immer ein wichtiges Thema. Doch seitdem sich diese Technik immer weiter durchgesetzt hat und für das Bearbeiten hoch sensibler Daten verwendet wird, ist der Schutz dieser Systeme von höchster Priorität. Leider gibt es immer wieder Menschen, die versuchen die Sicherheitsmechanismen zu umgehen. Die Motive hierfür können unterschiedlichster Art sein: Spionage, Spass, Geld, Macht und andere. Die hierdurch entstehenden zwei Fronten stehen im ständigen Wettstreit und versuchen, besser zu sein als die andere Seite. Im Bereich der Netztechnik hat es viele Entwicklungen im Bereich Sicherheit gegeben. Firewall, Intrusion Detection und Proxies sind alles Einrichtungen, die die Netz- bzw. Rechnersicherheit erhöhen. Jedoch haben diese Komponenten einen entscheidenden Nachteil: Sie können nur gegen bisher bekannte Schwachstellen wirken. Hierdurch entsteht ein ständiger Wettbewerb zwischen den Leuten, die Sicherheit schaffen möchten, und denen, die diese wieder durchbrechen. Aufgrund der statischen Anpassung an die Bedrohung sind Angreifer in einem zeitlichen Vorteil. Um diesen Abstand weiter zu minimieren, können Honeynets eingesetzt werden. Sie helfen, die Motive, Taktiken und Techniken der Angreifer zu erlernen und zu verstehen. Ein Vergleich zum Militär hilft dies zu erläutern: Bevor Kriege beginnen, erkundigen sich die Gegenparteien möglichst genau, was der Feind für Waffen hat, wie stark seine Truppen sind und in welchen Bereichen er besser oder schwächer ist. Man versucht zum Beispiel, möglichst genau zu erfahren, wie weit seine Panzer schiessen können oder wie stark deren Panzerung ist. Die Gegner sind bemüht, sich gegenseitig möglichst genau auszuspionieren. Sun Tzu schreibt dazu in seinem Buch The Art of War [Tzu]: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang hunderter von Schlachten nicht zu fürchten. Wenn du dich selbst kennst, aber nicht den

7 KAPITEL 1. EINLEITUNG 6 Feind, wirst du für jeden Sieg eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. Doch wie ist dies in der Netzsicherheit? Hier weiss man nichts über die Hacker, die versuchen in Netze einzudringen. Man weiss weder etwas über die Motive, noch über deren technisches Wissen oder deren neueste Werkzeuge. Nach Einbrüchen in Rechnersysteme ist es oft schwierig, genau zu analysieren, wie einem Angreifer dies gelingen konnte oder was er auf dem System verändert hat. Welches Motiv hat ihn überhaupt veranlasst, diese rechtswidrige Tat auszuführen? Honeynets sind Netze, die nur für Angriffe gedacht sind. Nach außen hin wirken sie als normale Produktivsysteme, doch in Wahrheit sind es Fallen, um Angreifer genau analysieren und studieren zu können. Hierdurch wird versucht, den zeitlichen Vorsprung der Angreifer möglichst zu minimieren und von seinen Taktiken und Werkzeugen zu lernen. Im Rahmen dieser Diplomarbeit soll ein solches Netz geplant und realisiert werden. Anschließend stattgefundene Angriffe auf dieses Honeynet sollen analysiert werden.

8 Kapitel 2 Grundlagen In diesem Kapitel werden einige für den Aufbau des Honeynet grundlegende Komponenten kurz erläutert. Des weiteren wird auf das Prinzip von Rootkits, der Buffer-Overflow Technik, des Phishings, sowie dem Internet Relay Chat eingegangen, da diese von dem Angreifer verwendet wurden. 2.1 Virtual Local Area Networks Beim klassischen Ansatz bekommt jedes Teilnetz einen eigenen Switch. Ein Router vermittelt zwischen den Bereichen. Jedes Teilnetz hat einen eigenen IP-Adressraum und, wenn nötig, eine eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern auf logischer Ebene. Somit ist eine Gruppierung von Geräten oder Benutzern, die nach Funktion, Aufgabenbereich oder Anwendung unterteilt werden sollen, unabhängig des Standorts ihres physischen Segments möglich. VLANs segmentieren die physische LAN-Infrastruktur in verschiedene Teilnetze (oder Broadcast-Domänen für Ethernet). Broadcast-Rahmen werden nur zwischen Ports innerhalb desselben VLAN geswitcht. Um die logische Trennung vorzunehmen, stehen zwei unterschiedliche Verfahren zur Auswahl: Port-basierte Aufteilung und VLAN-Tagging nach dem IEEE-Standard 802.1Q [Ass]. Das ältere und einfachere Port-VLAN teilt jedem Port fest ein einzelnes Netzsegment zu. Alle Ports im selben Segment bilden eine Broadcast-Domäne, als ob sie an einem eigenen Switch angeschlossen wären. Sie erhalten somit alle Rundspruchpakete (Broadcasts), jedoch nicht alle Datenpakete, wie das bei einer Kollisions-Domäne der Fall ist.

9 KAPITEL 2. GRUNDLAGEN 8 Flexibler sind VLANs, die Meta-Informationen in den Ethernet-Rahmen nutzen [Rec]. Der Standard 802.1Q sieht dazu zwischen Adress- und Längenfeld jedes Ethernet- Pakets vier zusätzliche Bytes vor. Die ersten beiden Bytes (Tag Protocol Identifier) kennzeichnen mit dem festen Wert 0x8100 das Vorhandensein der 802.1Q- Erweiterung. Die restlichen zwei Bytes (Tag Control Information) setzen sich aus drei Bits für die Priorität (Class of Service, CoS), einem Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID (VID) zusammen. Ein VLAN-Switch benutzt diese VID um zu entscheiden, an welchen anderen Port er das Paket weiterleiten darf. Empfängt er ein normales, nicht markiertes Ethernet-Paket, so teilt er diesem ein Etikett (tag) mit dem jeweiligen Port zugeordneten VID zu. Die Abbildung 2.1 zeigt die Verlängerung des Ethernet-Rahmens um 4 Byte beim VLAN- Tagging. Abbildung 2.1: VLAN-Tagging [Ben05] 2.2 Firewall Als Firewall bezeichnet man in einem Rechnernetz ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen. Die Firewall befindet sich zwischen zwei Netzen und filtert unerwünschten Datenverkehr heraus beziehungsweise lässt nur gewünschte Daten passieren. Es wird bei dem (Sicherheits-)Konzept Firewall zwischen zwei Hauptbestandteilen unterschieden: Hardware und Software. Die Hardware ist für das Senden und Empfangen der Datenpakete zuständig und die Software für das Umsetzen des Regelwerkes, das Aktionen mit den eintreffenden Paketen ausführt.

10 KAPITEL 2. GRUNDLAGEN Hardware Die Hardware stellt die Komponente dar, an die die zu verbindenden Netze angeschlossen sind. Hierfür sind die Netzschnittstellen zuständig. Diese arbeiten auf Schicht 1 des OSI- Referenzmodells [Sysa] Software Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells und demzufolge kann die Implementierung sehr unterschiedlich ausfallen. Aus diesem Grund gibt es Firewalls mit verschiedenen Softwarekomponenten. Die unterschiedlichen Teile werden im Folgenden kurz beschrieben: Paketfilter Eine Paketfilter-Firewall besteht aus einer Liste von Annahme- und Ablehnungskriterien. Die Regeln definieren ganz genau, welche Pakete durch die Netzschnittstelle hindurch dürfen und welche nicht. Die Firewall entscheidet anhand der Felder des Paket-Kopfes, ob ein Paket in Richtung des Empfängers weitergeleitet, kommentarlos verworfen oder mit einer Fehlermeldung an den Absender blockiert wird. Dabei berücksichtigt sie die Netzschnittstelle über die das Paket läuft, sowie die IP-Adresse, dazu die Absender- und Empfängerinformationen aus der Netzschicht, die TCP- bzw. UDP-Ports aus der Transportschicht, einige der TCP-Flags zum Verbindungszustand, die ICMP-Nachrichtentypen und die Richtung, in die das Paket übertragen wird (eingehend, ausgehend). Proxy Ein Proxy ist ein Stellvertreter, der Anfragen entgegennimmt und diese weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Klienten wie ein Server. Gegenüber dem eigentlichen Ziel, zum Beispiel dem Web-Server, verhält er sich wie ein Klient. Dies geschieht nicht auf der Paketebene, sondern der Inhalt der Pakete wird gelesen und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil ist, dass keine Pakete eine installierte Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert. Content-Filter / Application-Level-Gateway Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die In-

11 KAPITEL 2. GRUNDLAGEN 10 halte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können unter anderen folgende sein: Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten. Filtern/Kennzeichnen von Spam-Mails Löschen von Viren-Mails Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist jedoch sehr komplex: Es müssen einzelne Pakete zusammengesetzt werden, damit die HTML- Seite als Ganzes erkannt, durchsucht und der Regel entsprechend behandelt werden kann. Anschließend muss die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden. Abbildung 2.2 zeigt, wie moderne Firewalls eingesetzt werden können. Abbildung 2.2: Moderne Firewalls können als Router, Bridge oder Application Level Gateway arbeiten [Lei04] SOCKS Ein Socks-(Secure Sockets) Server wird in einem Netz dazu verwendet, Anwendungen und Protokolle zu bedienen, die von dem Proxy unterstützt oder von der Firewall geblockt werden. Die Socks-Software hört als Server auf Port Eine Klientenanwendung kann, wenn sie Socks-Verbindungen unterstützt, einen Tunnel zu dem Socks-Server aufbauen und die Daten durch diesen an den Server schicken. Der Server packt das Socks-Paket aus und schickt die Anfrage unverändert weiter ins Internet und die entsprechende Antwort wieder zurück an den Klienten.

12 KAPITEL 2. GRUNDLAGEN Bridge Ein Gerät, das ein physikalisches Netz in zwei Netze aufteilt ohne, dass hierfür IP-Teilnetze erzeugt werden müssen, nennt man Bridge. Eine Bridge arbeitet auf OSI-Schicht 2 (Ethernet) [Sysa] und lässt sich einfach in ein bestehendes Netz einfügen. Die Funktionsweise ist ähnlich der eines Switches. Die Bridge lernt sämtliche im lokalen Netz verwendeten MAC-Adressen und merkt sich, über welchen Anschluss (Schnittstelle, Port) sie den zugehörigen Rechner erreicht. Erhält die Bridge ein Paket, dessen Ziel-MAC-Adresse sie kennt, leitet sie das Paket nur an die passende Schnittstelle weiter und vermeidet damit überflüssige Übertragungen. Wenn die Bridge die Ziel-MAC- Adresse nicht kennt, sendet sie das Paket an jeden Anschluss. Der Vorteil dieser Komponente liegt darin, dass der Netzübergang nur extrem schwer zu entdecken ist, da dieser keinen Hop darstellt. Ebenso bleibt der TTL-Zähler (Time To Live) unverändert und es werden keine MAC-Adressen in den Paketen ausgetauscht. Eine Bridge ist protokolltransparent, das heißt der Inhalt der Pakete, die durch sie hindurchfließen, ist gleichgültig. Sie puffert allerdings die Pakete, bevor sie diese weitersendet. Das bedeutet, dass eine Bridge paketorientiert arbeitet, also wesentlich mehr Intelligenz besitzt als ein Repeater. Dafür ist sie jedoch in der Abarbeitung der Pakete langsamer. Eine Bridge wird häufig eingesetzt, wenn physische Netze mit Datenverkehr überschwemmt werden, aber keine Teilnetze eingesetzt werden sollen. Die Bridge hilft, das Datenaufkommen zu reduzieren, da sie nur Pakete weiterleitet, die das Ziel in einem anderen Netzsegment haben. Ein weiteres Einsatzgebiet für eine Bridge ist das Filtern des Datenverkehrs oder die Bandbreitenbegrenzung. Diese, dann auch als Firewall-Bridge bezeichnete Netzkomponente, wertet auch höhere Protokollschichten aus (IP-Adressen, Ports). Davon bemerken die beteiligten Stationen jedoch nichts, solange sie nur erlaubte Pakete versenden. 2.4 Intrusion-Detection-System Ein Intrusion-Detection-System (IDS) ist ein Werkzeug, mit dessen Hilfe man Zugriffe auf ein Computersystem oder ein Netz feststellen kann. Das heißt, es können Netzattacken gegen verwundbare Dienste, Format-String-Attacken gegen Applikationen, Anmeldeversuche und Malware (Viren, Würmer, Trojaner, Hintertüren) erkannt werden. Es gibt zwei Verfahren, wie Intrusion-Detection-Systeme Angriffe erkennen: Mustererkennung: Hierbei identifiziert das IDS Angriffe anhand bekannter Muster beziehungsweise Signaturen im Netzverkehr. Das heißt, der passierende Datenverkehr wird auf bekannte

13 KAPITEL 2. GRUNDLAGEN 12 Daten mit einer Datenbank verglichen, um so Angriffe oder verdächtige Pakete zu erkennen. Wird ein solches Paket bemerkt, erfolgt eine Meldung. Auf das Paket wird keine weitere Aktion ausgeführt und es erreicht unverändert sein Ziel. Anomalie-Erkennung: Dies ist ein selbstlernendes Verfahren. Der Datenstrom wird auf untypische Daten überprüft. Der Administrator kann hierzu Vorgaben wie Netzauslastung, Protokolle und typische Paketgrößen definieren. Die Anomalie-Erkennung kontrolliert Netzsegmente und vergleicht den Datenstrom mit den Vorgaben. Erkennt sie Anomalien (Unregelmässigkeiten), werden diese gemeldet. Unterschieden werden zwei Arten von Intrusion-Detection-Systemen: Host-basierte Intrusion-Detection Systeme (HIDS): Diese Systeme sind in der Lage, Ereignisse auf einem einzelnen Rechner auf ungewöhnliche und möglicherweise bösartige Aktionen hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden. Ein HIDS bieten die Möglichkeit, die Protokolldateien automatisch zu analysieren, häufige fehlerhafte Anmeldeversuche zu ermitteln oder wichtige Meldungen der Firewall zu erkennen. Das Überprüfen der Integrität von Systemdateien und automatisches Informieren bei Veränderungen von Dateien ist ebenfalls möglich. Netz-basierte Intrusion-Detection-Systeme (NIDS): Hierbei handelt es sich nicht um die Überwachung eines einzelnen Systems, sondern um ein ganzes Netzsegment. Die Systeme sind in der Lage, den Netzverkehr auf ungewöhnliche und möglicherweise bösartige Inhalte hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden, zum Beispiel, ob die IP-Köpfe RFCkonforme Werte enthalten oder ob im Datenteil der Pakete verdächtige Zeichenketten vorkommen. 2.5 Rootkit Nachdem ein Angreifer ein System kompromittiert hat, wird er versuchen, seine Spuren zu verwischen, damit man nicht zurückverfolgen kann, wie er einbrechen konnte beziehungsweise ob er eingebrochen ist. Gleichzeitig wird er versuchen, eine Hintertür einzurichten, um sich immer wieder unbemerkt auf dem System anzumelden. Vielleicht möchte er auch Werkzeuge installieren, die es ihm ermöglichen, Aktivitäten auf dem System zu verfolgen, oder die ihn zum Mitlesen anderer Anmeldevorgänge befähigen.

14 KAPITEL 2. GRUNDLAGEN 13 Damit der Angreifer dies alles umsetzten kann, muss er viele Modifikationen auf dem eingebrochenen Rechner vornehmen. Dies kann sehr aufwendig sein und beinhaltet eventuell auch das Übersetzen von Quelltext. Um diese Vorgänge zu beschleunigen und zu automatisieren, werden sogenannte Rootkits eingesetzt. Es kann sich dabei um eine Ansammlung von Shell-Skripten, Quelltext, vorkompilierte Binärdateien und Kernelmodule handeln, die die Einzelaktionen automatisieren. Ein Rootkit ersetzt Programme des Zielsystems wie beispielsweise ls, df, ps, sshd und netstat auf UNIX Systemen. Ebenso werden möglicherweise auch andere Programme durch eigene ausgetauscht, die dafür konzipiert sind, den Administratoren unzuverlässige Daten zu liefern. Die Geschichte dieser Werkzeuge geht bis etwa Mitte der 90er Jahre zurück, wobei Programme zum Reinigen von Protokolldateien noch länger bekannt sind: 1989: Erste Protokolldatei-Reiniger auf kompromittierten Systemen gefunden 1994: SunOS Rootkit entdeckt 1996: erstes Linux Rootkit öffentlich bekannt 1997: LKM (loadable kernel module) Trojaner im Phrack Magazine vorgestellt 1998: Nicht-LKM Kernel Modifikationen von Silvio Cesare vorgestellt 1999: Adore LKM Kit von TESO veröffentlicht 2000: T0rnkit v8 libproc Library Trojaner veröffentlicht 2001: KIS Trojaner und SucKit-Kit veröffentlicht 2002: Hintergrundsniffer in Rootkits eingesetzt Quelle: An Overview of Unix Rootkits [Chu] Unterschieden werden bis heute im Wesentlichen drei Arten von Rootkits: Binary-Rootkits Die ersten bekannt gewordenen Rootkits sind so genannte Binary-Rootkits. Hierbei werden Programme des Systems durch Trojaner ausgetauscht, die die Anwesenheit des Angreifers entlarven können. In der Regel besteht ein solches Rootkit aus einem Archiv, das unter anderem ein Shell-Skript beinhaltet. Dieses Skript kopiert die Dateien an die richtigen Stellen im Dateisystem. Typische Dateien, die ausgetauscht werden, sind ls, netstat, ps, login, lsof, pstree, und so weiter. Dies sind Systemwerkzeuge, die verwendet werden können, um Prozesse des Hackers zu erkennen. Die eingesetzten Trojaner verhalten sich wie die ursprünglichen

15 KAPITEL 2. GRUNDLAGEN 14 Programme, zeigen aber verdächtige Aktivitäten des Angreifers nicht an. Aktivitäten können zusätzlich installierte Dienste wie SSH-Daemon, Sniffer, Hintertüren oder auch von dem Angreifer initiierte Verbindungen zum Beispiel zu IRC-Servern sein Kernel-Rootkits Kernelmodule sind Programmabschnitte, die vom laufenden Kernel geladen und entladen werden werden können. Ein Kernelmodul stellt bei Bedarf zusätzliche Funktionalität für den Kernel bereit und wird, um Speicher zu sparen, durch den Kernel entladen, wenn die zusätzliche Funktionalität nicht mehr benötigt wird. So kann beispielsweise die Unterstützung für ein nicht natives Dateisystem oder ein Gerät durch Laden eines Kernelmoduls implementiert werden. Kernelmodule können aber auch zu unlauteren Zweck eingesetzt werden. Kernel-Rootkits nutzen diese Fähigkeit des Kernel und bieten nach dem Laden des Moduls die Möglichkeit, den Angreifer zu tarnen, sodass er sein Unwesen auf dem Zielrechner treiben kann. Das Kernelmodul funktioniert jedoch anders als ein Binary-Rootkit. Die Programme des Rootkits fungieren als Filter, um alle verdächtigen Daten von den Administratoren fernzuhalten. Das Kernelmodul läuft auf einer viel tieferen Ebene, greift Datenanforderungen auf der Systemebene ab und filtert alle Daten heraus, die für den Administrator auf die Anwesenheit des Hackers hindeuten könnten. So kann der Angreifer ein System kompromittieren und eine Hintertür einschleusen, ohne Systemeigenschaften ändern zu müssen, was zur Enttarnung führen könnte. Vorraussetzung zum Laden eines solchen Moduls ist jedoch, dass diese Fähigkeit in den Kernel einkompiliert wurde Library-Rootkits Hierbei handelt es sich um Rootkits, die prinzipiell eine ähnliche Technik wie Kernel- Rootkits verwenden. Das heißt, sie verstecken ebenfalls bestimmte Prozesse, die den Angreifer entlarven könnten. Der Unterschied liegt jedoch darin, dass die Modifikation nicht im Kernelbereich vorgenommen wird, sondern im Userspace. Diese Rootkits können daher auch als Userspace- Equivalent von Kernel-Rootkits gesehen werden. Library-Rootkits tauschen die Standard-System-Library, die die Prozessdaten für Werkzeuge wie ps, top und ähnliche aus dem Kernel-Bereich in den Userspace weiterleiten, gegen eine modifizierte Version aus. Dadurch ist es möglich, nach bestimmten Prozessen zu parsen und diese auszufiltern. Diese Modifikation wirkt sich nur auf Anwendungen aus, die nicht statisch gelinkt sind, was aber bei den meisten Linux-Systemen standardmässig der Fall ist.

16 KAPITEL 2. GRUNDLAGEN Phishing Phishing ist eine sehr neue Angriffsmethode. Hierbei handelt es sich um einen Trickbetrug, der mit Methoden des Social Engineerings durchgeführt wird. Der Angreifer versucht dabei, mit Hilfe von gefälschten s oder anderen Tricks einen Nutzer dazu zu bringen, eine gefälschte Webseite zu besuchen, um dort persönliche Informationen wie Passwörter, Kreditkartennummern, Bankdaten oder ähnliches einzugeben. Die Bezeichnung Phishing leitet sich vom Fischen nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Ebenso könnte der Ausdruck auch auf password harvesting fishing zurückführbar sein. Die s erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös dargestellt. Der Empfänger erhält zum Beispiel eine , bei der er seine Bank für den Absender hält. In Wirklichkeit steckt aber hinter dem Versand der ein Datendieb. Der Empfänger wird in dieser gebeten, seine Bankzugangsdaten zu überprüfen und soll diese zu diesem Zweck noch einmal in ein Webformular eintippen. Absender und die Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten sie sind also nur sehr schwer als Fälschungen zu identifizieren. Phishing verbreitet sich derzeit zunehmend, wie eine Analyse der Anti-Phishing Working Group [Groa] belegt. Abbildung 2.3 zeigt den Trend von aktiven Phishing-Seiten. Abbildung 2.3: Pro Woche aktiv gemeldete Phishing Seiten. Zeitraum: August - November 2004

17 KAPITEL 2. GRUNDLAGEN 16 Folgende Statistik ist in der Analyse veröffentlicht: Anzahl der gemeldeten Phishing-Seiten im November: 1518 Durchschnittliche Wachstumsrate von Phishing-Seiten in der Zeit von Juli bis November: 28% Anzahl der von Phishing betroffenen unterschiedlichen Organisationen: 51 Anzahl der unterschiedlichen Top 80% von betroffenen Organisationen: 6 Land, welches die meisten Phishing-Seiten hostet: USA Ähnlich aussehende URL der Ziel-Organisation: 22,1% Keine Hostnamen-Auflösung, nur IP-Adresse: 67% Prozentualer Anteil der Seiten, welche nicht auf Port 80 laufen: 19.2% Durchschnittliche Online-Zeit der Phishing-Seiten: 6,2 Tage Längste Online-Zeit einer Phishing-Seite: 31 Tage 2.7 Buffer-Overflow Buffer-Overflows stellen eine der größten Quellen von Schwachstellen der heutigen Zeit dar. Ein Großteil der möglichen Remote-Angriffe geht auf Buffer-Overflows zurück. Wenn er richtig ausgeführt wird, gibt ein Buffer-Overflow dem Angreifer die Möglichkeit, beliebigen Code auf dem Zielsystem auszuführen - und dies mit den Berechtigungen des Prozesses, der angegriffen wurde. Diese Technik wird oft genutzt, um eine Remote-Shell auf dem Zielsystem zu öffnen. Für einen Buffer-Overflow ist letztendlich immer der Programmierer der Anwendung oder des Systems verantwortlich. Jedes Programm legt zur Laufzeit lokale Variablen, Übergabeparameter für Funktionen sowie Rücksprungadressen für Unterprogramme im Arbeitsspeicher ab. Dieser spezielle Bereich wird als Stack bezeichnet und ist durch das Betriebssystem nicht vor ungewollten Änderungen geschützt. Schreibt ein Programm bespielsweise eine zu lange Zeichenkette in eine lokale Puffervariable, überschreibt es dabei die darauf folgenden Variablen und unter Umständen auch die Rücksprungadresse - es kommt zu einem Buffer-Overflow. Die Programmiersprache C bietet zum Beispiel Funktionen wie strcpy() für das Kopieren eines Strings. Diese Funktion überprüft dabei aber nicht, ob der Speicherbereich an der Zieladresse groß genug für die Daten ist. Ist dieser Puffer zu klein, überschreibt die Kopierfunktion die folgenden Datenfelder.

18 KAPITEL 2. GRUNDLAGEN 17 In den meisten Fällen führt ein Buffer-Overflow zum Absturz des betroffenen Programms. Entweder, weil Variablen mit unsinnigen Werten überschrieben wurden, sodass das Programm nicht wie erwartet funktioniert, oder weil die Rücksprungadresse nicht mehr stimmt. Wird an deren Stelle ein zufälliger Wert geschrieben, springt das Programm nach dem Beenden der Funktion an eine zufällige Speicheradresse und meldet einen Speicherzugriffsfehler. Viel schlimmer ist es jedoch, wenn diese Rücksprungadresse auf speziell präparierte Speicherbereiche verweist, die sinnvollen Code enthalten. Gelingt es einem Angreifer, eigene Anweisungen auf dem Stack abzulegen, kann er durch gezielte Manipulation der Rücksprungadresse dafür sorgen, dass dieser angesprungen und ausgeführt wird. Er hat einen Exploit entwickelt. 2.8 Internet Relay Chat Das Internet Relay Chat (IRC) ist ein Computerprogramm, das es ermöglicht, via Internet mit tausenden von Menschen zu sprechen. Diese Kommunikation findet in Textzeilen auf dem Computerbildschirm statt. Im IRC ist man unter seinem Spitznamen bekannt, und alles, was man sagt und macht, erscheint unter diesem Namen. Diesen Spitznamen kann man selbst frei wählen, nur darf er nicht länger als 9 Zeichen sein und es darf zur gleichen Zeit keine andere Person mit gleichem Namen im IRC geben. Damit nicht alle Benutzer durcheinander reden, ist das IRC in Kanäle unterteilt. Diese Kanäle sind so etwas wie virtuelle Orte, an denen man sich mit Freunden oder Fremden treffen und unterhalten kann. Jeder Kanal hat einen frei wählbaren Namen, der jedoch in der Regel mit einem Doppelkreuz (#) beginnen muss. Will jemand über ein bestimmtes Thema reden oder Kontakt suchen, so kann er einfach einen bestehenden Kanal betreten, oder einen neuen IRC-Kanal erzeugen. Typische Kanalnamen sind zum Beispiel: #aachen oder #linux. Neben diesen öffentlichen Kanälen gibt es auch private Kanäle. Hier kann man sich mit Freunden treffen, ohne in die breite IRC-Öffentlichkeit zu treten. Die IRC-Sprache ist Englisch: die Kanäle heissen Channels, die Spitznamen sind Nicknames und die Mitteilungen Messages. Trotzdem werden die nationalen Eigenheiten gepflegt, es gibt viele Kanäle, auf denen nur die jeweilige Landessprache gesprochen wird. IRC funktioniert nach dem Klient/Server-Prinzip. Das bedeutet, dass es auf der einen Seite einen zentralen Rechner - den Server - gibt, der einen bestimmten Dienst anbietet (in

19 KAPITEL 2. GRUNDLAGEN 18 diesem Fall IRC) und auf der anderen Seite das Programm - den sogenannten Klienten -, das diesen Dienst nutzt und dem Benutzer den Zugang ermöglicht. Der Klient vermittelt zwischen Benutzer und Server. Die wirkliche Arbeit erledigt der Server. Aus diesem Grund befindet sich der Server meist auch auf einer großen UNIX- Workstation und dem Klienten genügt ein einfacher PC. So ist es möglich, dass man mit der kleinsten Hardware einen so komplexen Dienst wie das IRC nutzen kann. Das IRC besteht aber nicht nur aus einem einzelnen Server, sondern aus einem weltweiten Netz mit sehr vielen Servern. In diesem Netz werden die gesamten Benutzerdaten und Nachrichten verwaltet und versendet. 2.9 Dateiwiederherstellung - EXT2-Dateisystem Das Second Extended Filesystem-EXT2 ist ein gutes Beispiel für ein klassisches Inode basierendes Dateisystem. Jede Datei wird durch eine besondere Struktur, ihren Inode, repräsentiert. Der Inode speichert die Metainformationen der Datei. Zusätzlich sind Datenblöcke nötig, die den Nutzinhalt aufnehmen. Verzeichnisse sind nur besondere Dateien, die ebenfalls aus einem Inode bestehen. Ihre Datenblöcke enthalten den Verzeichnisinhalt: Eine Liste aus Dateinamen und Verweisen auf dem zugehörigen Inode. Dieser Inode enthält alle Metainformationen mit Ausnahme des Dateinamens. Dazu zählen die Größe der Datei, ihr Typ, die Rechte der Besitzer und der Gruppe, der Referenzzähler und die drei Unix-Zeitstempel (ctime, atime und mtime). Im Inode stehen auch zwölf direkte Verweise auf Datenblöcke der Datei. Für größere Dateien nutzt der Inode zudem indirekte Verweise. Der erste zeigt auf einen Datenblock, der direkte Verweise auf weitere Datenblöcke enthält. Die beiden letzten Verweise zeigen auf einen doppelt-indirekten und einen dreifach-indirekten Block. (Abbildung: 2.4) Löscht das Dateisystem eine Datei, markiert es nur den Eintrag im Verzeichnis sowie den Inode als gelöscht und gibt den Inode und die Datenblöcke frei. Verweise auf die Datenblöcke und die Verbindung zwischen den Dateinamen und dem Inode bleiben üblicherweise erhalten. So ist es möglich, dass ein Werkzeug wie ils die gelöschten Inodes anzeigt und icat den Inhalt der Datei wiederherstellt. Dies gelingt aber nur, wenn das Dateisystem den Inode oder die Datenblöcke nicht bereits für andere Dateien verwendet. Der Befehl fls zeigt die Namen der gelöschten Dateien an. Die Werkzeuge ils, icat und fls sind Bestandteile des The Sleuth Kit [sle].

20 KAPITEL 2. GRUNDLAGEN 19 [Spe03] Abbildung 2.4: Inodes enthalten Metainformationen einer Datei

21 Kapitel 3 Klassifizierung von Angreifern Nicht jeder, der versucht, ein Netz oder ein Rechnersystem zu hacken, hat kriminelle Absichten. Die Motive der Angreifer können vollkommen unterschiedlich sein. In diesem Kapitel wird eine grobe Klassifizierung der Angreifer vorgenommen. Dabei sind das Fachwissen und das Motiv Kriterium der Einteilung. 3.1 Low-level-Angreifer Low-level-Angreifer werden oft auch als Script Kiddies bezeichnet. Hierbei handelt es sich um jemanden, der versucht, auf eine schnelle und einfache Weise Erfolge beim Kompromittieren von Netzen zu erhalten. Es ist nicht das Ziel, bestimmte Informationen zu erlangen oder in das Netz einer bestimmten Firma einzudringen, sondern vielmehr schnell und einfach root auf einem oder möglichst vielen Systemen zu werden. Das Fachwissen dieser Hacker ist meist sehr gering. Sie benutzen in der Regel fertige Werkzeuge, die einfach zu starten sind und das Zielsystem oft selbständig finden und kompromittieren. Dieser Typ von Angreifer ist sicher häufiger zu finden, zumal es viele fertige Hacker- Werkzeuge im Internet gibt, die man nur kopieren und ausführen muss. Die zufällige Auswahl der Ziele ist es, die das Script Kiddie so gefährlich machen. Die Daten auf dem einzelnen Rechner mögen uninteressant sein, aber früher oder später wird auch der langweilige Rechner von nebenan gescannt und auf Schwachstellen überprüft. Ist ein Angreifer erst einmal auf einem System, muss er gar nicht Daten ausspionieren oder löschen. Vielleicht greift er weitere Systeme von diesem Rechner aus an. Die Kette der gehackten Plattformen wird länger und ein Zurückverfolgen immer schwieriger.

22 KAPITEL 3. KLASSIFIZIERUNG VON ANGREIFERN High-level-Angreifer Im Gegensatz zu einem Low-level-Angreifer besitzt der High-level Angreifer tiefgehendes Wissen über Rechner- und Netztechnik. Er ist in der Lage, die komplexen Strukturen der Hard- oder Software, welche er angreifen möchte, zu verstehen. Dies ermöglicht ihm nicht nur neue Sicherheitslücken zu finden, sondern auch entsprechende Software zu Programmieren, die ihm dadurch zum Beispiel einen Zugriff ermöglicht. High-level Angreifer sind nicht an zufällig gefunden Zielen interessiert, es reizen sie viel mehr die neuen technischen Herausforderungen oder speziell gesicherte Ziele. 3.3 Whitehat vs. Blackhat Der Begriff Hacker wird oft mit jemandem assoziiert, der Computer zu illegalen Zwecken einsetzt und zum Beispiel in fremde Rechner und Netze eindringt, nur um dort Schaden anzurichten. Aber ein Hacker ist viel mehr jemand, der sich sehr gut mit den Techniken auskennt, sehr gute Programmierkenntnisse besitzt, jedoch keine kriminellen Absichten verfolgt. Zutreffender, um den bösen vom guten Hacker zu unterscheiden, sind die Bezeichnungen Blackhat (Cracker) beziehungsweise Whitehat. Hierbei bezeichnet die Farbe des Hutes (Hat) die moralische Einstellung des Hackers. Ein Hacker mit schwarzem Hut (Blackhat) handelt dabei mit krimineller Energie - entweder um das Zielsystem zu beschädigen oder um Daten zu stehlen. Bei einem Hacker mit weißem Hut (Whitehat) handelt es sich um jemanden, der versucht, seine Meinung von Informationsfreiheit zu verbreiten und zu beweisen, dass es keine 100%ige Sicherheit im Internet geben kann. Ein Whitehat ist meistens ein seriöser Programmierer, der sich in seinem Bereich sehr gut auskennt (Nerd) und somit die Schwachstellen wie Buffer-Overlow oder Race Conditions kennt und weiß, wie man sie vermeiden beziehungsweise auch ausnutzen kann. Der Ursprung dieser Bezeichnung sind die klassischen Western-Filme, in denen der Held meist einen weißen und der Schurke einen schwarzen Hut trägt.

23 Kapitel 4 Ethische und rechtliche Aspekte In diesem Kapitel wird auf die ethischen und rechtlichen Aspekte eingegangen, die bei dem Betrieb eines Honeynet, insbesondere in Deutschland, beachtet werden müssen. Maximilian Dornseif schreibt dazu [MDb]: Die Verantwortlichkeit des honeynet-betreibers ist in zwei Bereichen besonders diskussionswürdig: Wie ist das honeynet in Bezug auf das gesamte Internet und wie sind insbesondere Angriffe von honeypots aus auf andere Systeme zu beurteilen? Hierbei sind ethische, straf- und zivilrechtliche Aspekte von Interesse. Wie ist es zu bewerten, dass die blackhats ohne ihr Wissen zum Teil eines Experimentes gemacht werden? Hierbei kommen insbesondere datenschutzrechtliche Aspekte zum Tragen. 4.1 Ethische Aspekte Durch die Installation eines mit dem Internet verbundenen honeynet wurden dem Internet Systeme hinzugefügt, die wider besseren Wissens nicht dem Stand der Sicherheitstechnik entsprechen. Man kann argumentieren, dass dadurch grundsätzlich die Gesamtsicherheit des Internets verringert wurde. Für den honeynet-betreiber würde dies bedeuten, dass er eine besondere Verantwortung gegenüber Personen übernimmt, deren System durch blackhats von dem honeynet aus angegriffen werden. Betrachtet man jedoch das aktuelle Sicherheitsniveau von Systemen im Internet, scheint dieses dermaßen niedrig zu sein, dass die honeypot-systeme möglicherwiese sogar über dem durchschnittlichen Sicherheitsniveau liegen und somit die Gesamtsicherheit des Internet verbessern.

24 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 23 Bedenkt man weiterhin, dass (1) die Systeme des honeynet mit ihrer mangelnden Sicherheit die Population potentieller Opfer im Internet vergrößern und damit das Risiko des einzelnen verringert, Opfer einer Attacke zu werden, und (2) gleichzeitig auch durch die strenge Kontrolle des ausgehenden Verkehrs der Anteil an Rechnern verringert wird, die ohne weiteres als Plattform für weitere Angriffe genutzt werden können, kann durchaus davon ausgegangen werden, dass das honeynet allein durch seine Existenz das Risiko Dritter, zum Opfer eines Angriffs aus dem Internet zu werden, leicht verringert. Weiterhin besteht die berechtigte Hoffnung, dass die mit dem honeynet gesammelten Ergebnisse mittelfristig zur Steigerung der Gesamtsicherheit des Internet beitragen. Ethisch scheint daher der Betrieb eines honeynet gegenüber der Gesellschaft vertretbar zu sein. 4.2 Strafrechtliche Aspekte Rechtlich könnte eine straf- oder zivilrechtliche Haftung bestehen, wenn das honeynet Teil eines Angriffs gegen Dritte ist. Strafrechtlich könnte der Betrieb eines honeynet gemäß 27 StGB Beihilfe zu Straftaten sein, die von einem blackhat über das honeynet verübt werden. Beihilfe kann jedoch nur durch eine vorsätzliche Hilfeleistung erfolgen. Dies ist nicht gegeben. Stattdessen wird versucht, mittels Snort_inline und iptables Beeinträchtigungen anderer Systeme von dem honeynet aus zu verhindern. Weiterhin ist der Betrieb eines Rechners mit dem Sicherheitsniveau der Honeypots völlig sozialadäquat, d.h. er lädt nicht etwa blackhats zum Missbrauch ein. Der Sicherheitsstandard der Systeme liegt sogar über dem vieler anderer am Internet angeschlossener Systeme. Strafrechtlich ist der Betrieb des honeynet daher unbedenklich. 4.3 Zivilrechtliche Aspekte Eine zivilrechtliche Haftung für durch den Angreifer vom honeynet aus gegenüber anderen verursachten Schäden käme primär aus 821 I BGB in Betracht. Dafür müsste aber ein von dem blackhat verursachter Schaden den Betreibern des honeynet zurechenbar sein. Da die Betreiber des honeynet jedoch nicht aktiv andere Rechner schädigen, kommt nur eine Haftung aus dem Unterlassen der

25 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 24 Absicherung des honeynet in Betracht. Dazu müsste der Betreiber insbesondere eine Garantenstellung innehaben, die ihn verpflichtet, Gefahren aus dem honeynet einzuschränken. Diese könnte sich aus einer Verkehrssicherungspflicht ergeben. Die allgemeine Verkehrssicherungspflicht besagt, dass jedermann, der in seinem Verantwortungsbereich Gefahren schafft oder andauern lässt, die notwendigen Vorkehrungen treffen muss, die im Rahmen des wirtschaftlich zumutbaren geeignet sind, Gefahren von Dritten abzuwenden. Welche Maßnahmen notwendig und zumutbar sind, ist eine Wertungsfrage. Bisher scheint es die Gesellschaft inklusive der Rechtssprechung abzulehnen, Betreiber von mit dem Internet verbundenen Systemen für Schäden zur Verantwortung zu ziehen, die durch die Unsicherheit dieser Systeme entstanden sind. Daher ist davon auszugehen, dass es als nicht notwendig oder als nicht zumutbar angesehen wird, mit dem Internet verbundene Systeme abzusichern oder zu überwachen. Das honeynet wird jedoch umfangreich überwacht. Insbesondere wird besonderer Aufwand betrieben, um Schaden von Dritten abzuwenden. Damit hat der Betreiber des honeynet, selbst wenn man eine Verkehrssicherungspflicht für mit dem Internet verbundene System annähme, diese erfüllt. 4.4 Datenschutzrechtliche Aspekte Bei der Frage, wie der Betrieb des honeynet gegenüber den eindringenden blackhats zu bewerten ist, ist vor allem fraglich, in wieweit ein angreifender blackhat nicht unwissend zum Teil eines Experiments gemacht wird. Der blackhat- Community ist durchaus bewusst, dass zum einen honeynets existieren und dass zum anderen Systemadministratoren soweit sich entsprechende Gelegenheiten bieten, alle Schritte von blackhats aufzeichnen und umfangreiche forensische Untersuchungen durchführen. Deshalb kann davon ausgegangen werden, dass blackhats billigend in Kauf nehmen, dass ihr Handeln aufgezeichnet und untersucht wird. Auch rechtlich bestehen aus dieser Hinsicht keine Bedenken. Insbesondere ist nicht davon auszugehen, dass das honeynet mit personenbezogenen Daten in Kontakt kommt. Somit ist der Betrieb aus datenschutzrechtlicher Sicht unbedenklich. Die in den vorigen Abschnitten beschriebenen Aspekte können auf das in dieser Diplomarbeit errichtete Honeynet angewendet werden. Um keine vorsätzliche Hilfeleistung zu

26 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 25 begehen, sind in diesem Honeynet anstelle der iptables-paketfilter die in dem eingesetzten FreeBSD-Betriebssystem implementierten ipfw-filter verwendet worden. snort_inline wurde nicht benutzt, jedoch sind die Anzahl der gleichzeitigen und der maximalen Verbindungen pro Tag limitiert worden. Des weiteren wurde nach dem Versenden der Phishing-Mails und der Installation der Ebay-Phishing-Webseiten die Staatsanwaltschaft Köln informiert um einer gegenbenenfalls notwendigen Anzeigepflicht nachzukommen. Abbildung 4.1 zeigt das Schreiben der Staatsanwaltschaft Köln.

27 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE Abbildung 4.1: Schreiben der Staatsanwaltschaft Köln 26

28 Kapitel 5 Klassifizierung von Honeypots In diesem Kapitel wird auf die unterschiedlichen Einteilungen von Honeypots eingegangen, wobei das Konzept der Systeme identisch ist. Lance Spitzner formulierte dies wie folgt [Spi02]: Simply put, honeypots are systems designed to be compromised by an attacker. Once compromised, they can be used for a variety of purposes, such as an alerting mechanism or deception. Es handelt sich um Systeme, die expliziert dafür konzipiert sind, dass sie von einem Angreifer kompromittiert werden. Dieses Eindringen kann für verschiedene Dinge verwendet werden. So ist es möglich, aus diesen Angriffen zu lernen. Man kann durch gezielte Überwachungsverfahren die Vorgehensweise analysieren und daraus erkennen, wie ein Einbruch möglich war. Dies ist in besonderem Maße interessant, wenn es sich um neue Techniken handelt. Ein Weiterentwickeln der Schutzmechanismen insbesondere bei Produktivsystemen ist somit zu aktuellen Angriffsmethoden fast zeitnah möglich. Honeypots können auch zum Täuschen verwendet werden. Hierbei werden leicht verwundbare Produktivsysteme durch Software vorgespielt. Überprüft ein Angreifer zum Beispiel ein Firmennetz, wird er sich vermutlich auf die schlecht geschützten Systeme, die virtuellen Honeypots, konzentrieren. 5.1 Low Interaction Honeypots Bei sogenannten Low Interaction Honeypots handelt es sich um Systeme, die Netzdienste mit Hilfe von Software simulieren und somit das Vorhandensein einer aktiven Komponente vortäuschen. Die Funktionalität solcher Honeypots ist beschränkt. Der Nutzen ist meist darauf limitiert,

29 KAPITEL 5. KLASSIFIZIERUNG VON HONEYPOTS 28 Informationen zu generellen Netzanalysen zu sammeln. Die Installation und Konfiguration von solchen Systemen ist einfach. Es lassen sich leicht große Netzbereiche administrieren. Ebenso ist das Risiko für diesen Typ Honeypot äußerst gering, da zum einen Konfigurationsfehler kaum Auswirkungen haben und zum anderen dem Angreifer geringe Möglichkeiten eines realen Angriffs geboten werden. Dennoch ist es ratsam, den auch virtuellen Honeypot genannten Dienst in einer explizit gesicherten Umgebung wie einem Jail oder Chroot auszuführen. Das Erkennen einer solchen virtuellen Falle ist auf Grund des beschränkten Aktionsgrades sehr einfach. Ein Angreifer könnte daher versuchen, die Simulationssoftware durch gegebenenfalls vorhandene Softwareschwächen auszunutzen, um an das Host-System, von dem aus die Honeypot-Software gestartet wurde, zu gelangen. Ein bekannter Vertreter für virtuelle Honeypots ist das von Niels Provos unter der GNU General Public License enwickelte Honeyd-Werkzeug [Prob]. Mit Hilfe dieser Software wird unter anderem auch Forschung im Bereich Spam- und Wurm-Attacken aus dem Internet betrieben. Abbildung 5.1 zeigt exemplarisch ein Honeyd-Spam-Forschungsnetz. Abbildung 5.1: Honeyd-Spam-Forschungsnetz [Prob]

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung POP3 und Bridge-Modus Inhaltsverzeichnis 1 POP3 und Bridge-Modus 2 1.1 Funktionsweise von POP3 mit REDDOXX 2 1.2 Betriebsarten 3 1.2.1 Standard-Modus 3 1.2.2 Bridge-Modus 6 1.2.3

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

1 Ratgeber und Praxis

1 Ratgeber und Praxis 1 Ratgeber und Praxis Nicht nur große, sondern zunehmend auch mittlere und kleine Unternehmen sind Zielscheibe von Cyberkriminellen. Dieses Kapitel gibt IT-Verantwortlichen und Administratoren einen praxisrelevanten

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com

Port-Knocking. Referat im Fach Datenschutz / -sicherheit von Stefan Macke. http://www.stefan. www.stefan-macke.com Port-Knocking Referat im Fach Datenschutz / -sicherheit von Stefan Macke http://www.stefan www.stefan-macke.com 1 Agenda des Port-Knockings knockd webknocking durch Port-Knocking? 2 2 Was ist Port-Knocking?

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de Webmail Anleitung für Ihr online E-Mail-Postfach http://webmail.willytel.de Inhalt: Inhalt:... 2 Übersicht:... 3 Menü:... 4 E-Mail:... 4 Funktionen:... 5 Auf neue Nachrichten überprüfen... 5 Neue Nachricht

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009

Digitale Forensik. Teil 6: Ablauf von Angriffen. Schulung Bundespolizeiakademie März 2009 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 6: Ablauf von Angriffen Dipl. Inform. Markus Engelberth Dipl. Inform. Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik

Mehr

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies

ECO AK Sicherheit. Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies ECO AK Sicherheit Maßnahmen gegen Schadprogramme (Botnetz-Abwehr) Abuse-Management bei NetCologne Identifizieren und Stoppen von Zombies Dietmar Braun Gunther Nitzsche 04.02.2009 Agenda Anomalien und Botnetz-Entwicklung

Mehr

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Ein kurzer Überblick über das Deutsche Honeynet Projekt Dependable Distributed Systems Ein kurzer Überblick über das Deutsche Honeynet Projekt Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall

Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall 1. Gebot: http://www.8com.de Verbinden Sie Ihren Computer / Ihr Netzwerk niemals ohne Firewall / DSL-Router mit dem Internet. Überprüfen regelmäßig die Konfiguration Ihrer Firewall / Ihres DSL-Routers

Mehr

Exploits Wie kann das sein?

Exploits Wie kann das sein? Exploits Durch eine Schwachstelle im Programm xyz kann ein Angreifer Schadcode einschleusen. Manchmal reicht es schon irgendwo im Internet auf ein präpariertes Jpg-Bildchen zu klicken und schon holt man

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Inhalt F-Secure Anti-Virus for Mac 2015 Inhalt Kapitel 1: Einstieg...3 1.1 Abonnement verwalten...4 1.2 Wie kann ich sicherstellen, dass mein Computer geschützt ist?...4

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits

Wilhelm Dolle, Berlin, 22. Oktober 2005. Bedrohung der Systemsicherheit durch Rootkits Bedrohung der Systemsicherheit durch Rootkits Wilhelm Dolle, Berlin, 22. Oktober 2005 1 Agenda Was ist ein Rootkit? Klassifizierung und Möglichkeiten von Rootkits Rootkits im Einsatz Rootkits aufspüren

Mehr

IDS : HoneyNet und HoneyPot

IDS : HoneyNet und HoneyPot IDS : HoneyNet und HoneyPot Know your Enemy Hauptseminar Telematik WS 2002/2003 - Motivation In warfare, information is power. The better you understand your enemy, the more able you are to defeat him.

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

SYNerity Analyse von Unix-Rechnern

SYNerity Analyse von Unix-Rechnern Analyse von Unix-Rechnern 1 Unix, aha!... Welches genau? Linux BSD Solaris HP-UX True64 AIX Unix-Analyse Online 2 Willkommen in Babylon Jeder Unix-Dialekt hat andere Befehle bzw. eigene Switches Dokumentation

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

5.2 Analyse des File Slack

5.2 Analyse des File Slack 5.2 Analyse des File Slack 109 Es gibt an vielen Stellen eines Betriebssystems Fundorte für Gebrauchsspuren oder Hinweise auf Auffälligkeiten. Diese Stellen sollten grundsätzlich aufgesucht und analysiert

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

CompuLok Zentrale. Software Interface. Digitalzentrale für DCC und Motorola Format

CompuLok Zentrale. Software Interface. Digitalzentrale für DCC und Motorola Format CompuLok Zentrale Software Interface Digitalzentrale für DCC und Motorola Format Inhalt CompuLok Software Interface... 3 Das Software Interface... 3 Installation... 3 Treiber installieren.... 3 Hinweis

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

Relevante Daten zum richtigen Zeitpunkt

Relevante Daten zum richtigen Zeitpunkt Netzwerkadministratoren analysieren Netze aus zahlreichen Blickwinkeln. Einmal steht die Netzwerksicherheit im Vordergrund, dann eine bestimmte Anwendung oder das Compliance-Management. Für alles gibt

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 3. September 2003 Arbeitspapier zu Intrusion Detection Systemen (IDS) 1 angenommen auf der 34. Sitzung der Arbeitsgruppe, 2.-3. September

Mehr

BACKUP Datensicherung unter Linux

BACKUP Datensicherung unter Linux BACKUP Datensicherung unter Linux Von Anwendern Für Anwender: Datensicherung in Theorie und Praxis! Teil 4: Datenrettung Eine Vortragsreihe der Linux User Group Ingolstadt e.v. (LUG IN) in 4 Teilen Die

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004

Hacker Methoden. für den Angriff auf IT-Systeme. Dortmund, Oktober 2004 Hacker Methoden für den Angriff auf IT-Systeme Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Batch-Programmierung-Netzwerkumgebung

Batch-Programmierung-Netzwerkumgebung Batch-Programmierung-Netzwerkumgebung Inhaltsverzeichnis 1 ping 2 ipconfig o 2.1 ipconfig /all o 2.2 ipconfig /renew o 2.3 ipconfig /flushdns 3 tracert 4 netstat 5 NET o 5.1 NET USE - Netzlaufwerke verbinden

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux Thomas Bechtold Peer Heinlein Snort, Acid 8t Co. Einbruchserkennung mit Linux Grundlagen der Einbruchserkennung 13 Warum und wie funktionieren Angriffe? 15 1.1 Wann ist ein Angriff ein Angriff? 16 1.2

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Angriffe und Schadsoftware zuverlässig erkennen Christian Scheucher secxtreme GmbH Kiefernstraße 38, D-85649 Brunnthal-Hofolding

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

admeritia: UPnP bietet Angreifern eine Vielzahl an

admeritia: UPnP bietet Angreifern eine Vielzahl an 1 von 5 20.10.2008 16:31 19.06.08 Von: Thomas Gronenwald admeritia: UPnP bietet Angreifern eine Vielzahl an Möglichkeiten ein System zu manipulieren Wofür steht UPnP? UPnP steht im generellen für Universal

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

juliteccrm Dokumentation

juliteccrm Dokumentation Customer Relationship Management für kleine und mittelständische Unternehmen juliteccrm Dokumentation 2012, julitec GmbH Page 1 of 12 julitec GmbH Flößaustraße 22 a 90763 Fürth Telefon: +49 911 979070-0

Mehr

SWN-NetT Webmail. Benutzerhandbuch für SWN-NetT Webmail. SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de

SWN-NetT Webmail. Benutzerhandbuch für SWN-NetT Webmail. SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de SWN-NetT Webmail Benutzerhandbuch für SWN-NetT Webmail SWN-NetT Webmail finden Sie unter: http://webmail.swn-nett.de Übersicht Einstieg... 2 Menü... 2 E-Mail... 3 Funktionen... 4 Auf eine neue Nachricht

Mehr

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe Vorwort zur 2. Ausgabe Vorwort zur Erstausgabe xv xix I Die Grundlagen 1 Einführung 3 1.1 Sicherheitsgemeinplätze.......................... 3 1.2 Auswahl eines Sicherheitskonzepts.....................

Mehr

Linux Arbeitsspeicheranalyse

Linux Arbeitsspeicheranalyse Linux Arbeitsspeicheranalyse 19. DFN Cert Workshop Peter Schulik, Jan Göbel, Thomas Schreck Agenda 1. Warum ist Speicheranalyse unter Linux wichtig? 2. Speicherakquise 3. Speicheranalyse 4. Volatility

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

DATENBLATT IDEE ZIELE LÖSUNG VORTEILE VORAUSSETZUNGEN. www.nospamproxy.de

DATENBLATT IDEE ZIELE LÖSUNG VORTEILE VORAUSSETZUNGEN. www.nospamproxy.de www.nospamproxy.de Net at Work Netzwerksysteme GmbH Am Hoppenhof 32, D-33104 Paderborn Tel. +49 5251 304-600, Fax -650 info@netatwork.de www.netatwork.de DIE IDEE Der Anlass zu entwickeln, ist der gestiegene

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

Wenn Sie eine Mail haben die in Ihren Augen kein SPAM. asspnotspam@dachau.net

Wenn Sie eine Mail haben die in Ihren Augen kein SPAM. asspnotspam@dachau.net Wissenswertes über SPAM Unter dem Begriff Spam versteht man ungewünschte Werbenachrichten, die per E-Mail versendet werden. Leider ist es inzwischen so, dass auf eine gewünschte Nachricht, oft zehn oder

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr