Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)"

Transkript

1 Diplomarbeit zur Erlangung des akademischen Grades Diplom-Ingenieur (FH) Planung und Realisierung eines Honeynet zur Analyse realer Angriffe aus dem Internet vorgelegt von: Sven Müller Matrikel-Nummer: Fachbereich: Elektrotechnik und Informationstechnik Studienrichtung: Ingenieurinformatik im Monat Februar 2005 angefertigt bei MAGELLAN Netzwerke GmbH Max-Reichpietsch-Strasse Köln Betreuer: Korreferent: Prof. Dr.-Ing. Rolf Schäfer Prof. Dr.-Ing. Gerhard Stegemann

2 1 Erklärung Ich versichere hiermit, dass ich die vorliegende Arbeit selbständig verfasst und keine anderen als die im Literaturverzeichnis angegebenen Quellen benutzt habe. Stellen, die wörtlich oder sinngemäß aus veröffentlichten oder noch nicht veröffentlichten Quellen entnommen sind, sind als solche kenntlich gemacht. Die Zeichnungen oder Abbildungen in dieser Arbeit sind von mir selbst erstellt worden oder mit einem entsprechenden Quellennachweis versehen. Diese Arbeit ist in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde eingereicht worden. Aachen, im Februar 2005 Geheimhaltung Diese Diplomarbeit darf weder vollständig noch auszugsweise ohne schriftliche Zustimmung des Autors, des betreuenden Referenten bzw. der Firma MAGELLAN Netwerke GmbH vervielfältigt, veröffentlicht oder Dritten zugänglich gemacht werden.

3 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Virtual Local Area Networks Firewall Hardware Software Bridge Intrusion-Detection-System Rootkit Binary-Rootkits Kernel-Rootkits Library-Rootkits Phishing Buffer-Overflow Internet Relay Chat Dateiwiederherstellung - EXT2-Dateisystem Klassifizierung von Angreifern Low-level-Angreifer High-level-Angreifer Whitehat vs. Blackhat Ethische und rechtliche Aspekte Ethische Aspekte Strafrechtliche Aspekte Zivilrechtliche Aspekte Datenschutzrechtliche Aspekte

4 INHALTSVERZEICHNIS 3 5 Klassifizierung von Honeypots Low Interaction Honeypots High Interaction Honeypots Anforderungen an ein Honeynet Datenkontrolle (data control) Datenerfassung (data capture) Zentrale Datensammlung (data collection) Aufbau des Honeynet Logischer Aufbau Router Honeywall Honeypot Betriebssystem Dienste Syslog Sebek Kernel-Patch Administrationsrechner Zentrale Verwaltung Domain-Name-Server-Proxy Network-Time-Protocol-Daemon Mailrelay Frontends MySQL-Datenbank Server Intrusion-Detection Binary-Logging Datensicherung / Redundanz Analyse eines Angriffs Zeitlicher Ablauf des Einbruchs Einbruch in das Zielsystem Analyse der Angreifer-Werkzeuge refresh.tgz sk.tgz spam.tgz willson.tgz psybnc.tgz windmilk.tgz

5 INHALTSVERZEICHNIS sockd.tgz superwu.tgz suntrustsend.tgz Analysewerkzeuge Ethereal/ tethereal Sebek-Web-Interface Snortreport Analysis Console for Intrusion Databases Advanced Intrusion Detection Environment Sleuthkit-Werkzeuge Bewertung des Angriffs Zusammenfassung und Ausblick 64

6 Kapitel 1 Einleitung Sicherheit im Computer- und Netzbereich war schon immer ein wichtiges Thema. Doch seitdem sich diese Technik immer weiter durchgesetzt hat und für das Bearbeiten hoch sensibler Daten verwendet wird, ist der Schutz dieser Systeme von höchster Priorität. Leider gibt es immer wieder Menschen, die versuchen die Sicherheitsmechanismen zu umgehen. Die Motive hierfür können unterschiedlichster Art sein: Spionage, Spass, Geld, Macht und andere. Die hierdurch entstehenden zwei Fronten stehen im ständigen Wettstreit und versuchen, besser zu sein als die andere Seite. Im Bereich der Netztechnik hat es viele Entwicklungen im Bereich Sicherheit gegeben. Firewall, Intrusion Detection und Proxies sind alles Einrichtungen, die die Netz- bzw. Rechnersicherheit erhöhen. Jedoch haben diese Komponenten einen entscheidenden Nachteil: Sie können nur gegen bisher bekannte Schwachstellen wirken. Hierdurch entsteht ein ständiger Wettbewerb zwischen den Leuten, die Sicherheit schaffen möchten, und denen, die diese wieder durchbrechen. Aufgrund der statischen Anpassung an die Bedrohung sind Angreifer in einem zeitlichen Vorteil. Um diesen Abstand weiter zu minimieren, können Honeynets eingesetzt werden. Sie helfen, die Motive, Taktiken und Techniken der Angreifer zu erlernen und zu verstehen. Ein Vergleich zum Militär hilft dies zu erläutern: Bevor Kriege beginnen, erkundigen sich die Gegenparteien möglichst genau, was der Feind für Waffen hat, wie stark seine Truppen sind und in welchen Bereichen er besser oder schwächer ist. Man versucht zum Beispiel, möglichst genau zu erfahren, wie weit seine Panzer schiessen können oder wie stark deren Panzerung ist. Die Gegner sind bemüht, sich gegenseitig möglichst genau auszuspionieren. Sun Tzu schreibt dazu in seinem Buch The Art of War [Tzu]: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang hunderter von Schlachten nicht zu fürchten. Wenn du dich selbst kennst, aber nicht den

7 KAPITEL 1. EINLEITUNG 6 Feind, wirst du für jeden Sieg eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. Doch wie ist dies in der Netzsicherheit? Hier weiss man nichts über die Hacker, die versuchen in Netze einzudringen. Man weiss weder etwas über die Motive, noch über deren technisches Wissen oder deren neueste Werkzeuge. Nach Einbrüchen in Rechnersysteme ist es oft schwierig, genau zu analysieren, wie einem Angreifer dies gelingen konnte oder was er auf dem System verändert hat. Welches Motiv hat ihn überhaupt veranlasst, diese rechtswidrige Tat auszuführen? Honeynets sind Netze, die nur für Angriffe gedacht sind. Nach außen hin wirken sie als normale Produktivsysteme, doch in Wahrheit sind es Fallen, um Angreifer genau analysieren und studieren zu können. Hierdurch wird versucht, den zeitlichen Vorsprung der Angreifer möglichst zu minimieren und von seinen Taktiken und Werkzeugen zu lernen. Im Rahmen dieser Diplomarbeit soll ein solches Netz geplant und realisiert werden. Anschließend stattgefundene Angriffe auf dieses Honeynet sollen analysiert werden.

8 Kapitel 2 Grundlagen In diesem Kapitel werden einige für den Aufbau des Honeynet grundlegende Komponenten kurz erläutert. Des weiteren wird auf das Prinzip von Rootkits, der Buffer-Overflow Technik, des Phishings, sowie dem Internet Relay Chat eingegangen, da diese von dem Angreifer verwendet wurden. 2.1 Virtual Local Area Networks Beim klassischen Ansatz bekommt jedes Teilnetz einen eigenen Switch. Ein Router vermittelt zwischen den Bereichen. Jedes Teilnetz hat einen eigenen IP-Adressraum und, wenn nötig, eine eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern auf logischer Ebene. Somit ist eine Gruppierung von Geräten oder Benutzern, die nach Funktion, Aufgabenbereich oder Anwendung unterteilt werden sollen, unabhängig des Standorts ihres physischen Segments möglich. VLANs segmentieren die physische LAN-Infrastruktur in verschiedene Teilnetze (oder Broadcast-Domänen für Ethernet). Broadcast-Rahmen werden nur zwischen Ports innerhalb desselben VLAN geswitcht. Um die logische Trennung vorzunehmen, stehen zwei unterschiedliche Verfahren zur Auswahl: Port-basierte Aufteilung und VLAN-Tagging nach dem IEEE-Standard 802.1Q [Ass]. Das ältere und einfachere Port-VLAN teilt jedem Port fest ein einzelnes Netzsegment zu. Alle Ports im selben Segment bilden eine Broadcast-Domäne, als ob sie an einem eigenen Switch angeschlossen wären. Sie erhalten somit alle Rundspruchpakete (Broadcasts), jedoch nicht alle Datenpakete, wie das bei einer Kollisions-Domäne der Fall ist.

9 KAPITEL 2. GRUNDLAGEN 8 Flexibler sind VLANs, die Meta-Informationen in den Ethernet-Rahmen nutzen [Rec]. Der Standard 802.1Q sieht dazu zwischen Adress- und Längenfeld jedes Ethernet- Pakets vier zusätzliche Bytes vor. Die ersten beiden Bytes (Tag Protocol Identifier) kennzeichnen mit dem festen Wert 0x8100 das Vorhandensein der 802.1Q- Erweiterung. Die restlichen zwei Bytes (Tag Control Information) setzen sich aus drei Bits für die Priorität (Class of Service, CoS), einem Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID (VID) zusammen. Ein VLAN-Switch benutzt diese VID um zu entscheiden, an welchen anderen Port er das Paket weiterleiten darf. Empfängt er ein normales, nicht markiertes Ethernet-Paket, so teilt er diesem ein Etikett (tag) mit dem jeweiligen Port zugeordneten VID zu. Die Abbildung 2.1 zeigt die Verlängerung des Ethernet-Rahmens um 4 Byte beim VLAN- Tagging. Abbildung 2.1: VLAN-Tagging [Ben05] 2.2 Firewall Als Firewall bezeichnet man in einem Rechnernetz ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen. Die Firewall befindet sich zwischen zwei Netzen und filtert unerwünschten Datenverkehr heraus beziehungsweise lässt nur gewünschte Daten passieren. Es wird bei dem (Sicherheits-)Konzept Firewall zwischen zwei Hauptbestandteilen unterschieden: Hardware und Software. Die Hardware ist für das Senden und Empfangen der Datenpakete zuständig und die Software für das Umsetzen des Regelwerkes, das Aktionen mit den eintreffenden Paketen ausführt.

10 KAPITEL 2. GRUNDLAGEN Hardware Die Hardware stellt die Komponente dar, an die die zu verbindenden Netze angeschlossen sind. Hierfür sind die Netzschnittstellen zuständig. Diese arbeiten auf Schicht 1 des OSI- Referenzmodells [Sysa] Software Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells und demzufolge kann die Implementierung sehr unterschiedlich ausfallen. Aus diesem Grund gibt es Firewalls mit verschiedenen Softwarekomponenten. Die unterschiedlichen Teile werden im Folgenden kurz beschrieben: Paketfilter Eine Paketfilter-Firewall besteht aus einer Liste von Annahme- und Ablehnungskriterien. Die Regeln definieren ganz genau, welche Pakete durch die Netzschnittstelle hindurch dürfen und welche nicht. Die Firewall entscheidet anhand der Felder des Paket-Kopfes, ob ein Paket in Richtung des Empfängers weitergeleitet, kommentarlos verworfen oder mit einer Fehlermeldung an den Absender blockiert wird. Dabei berücksichtigt sie die Netzschnittstelle über die das Paket läuft, sowie die IP-Adresse, dazu die Absender- und Empfängerinformationen aus der Netzschicht, die TCP- bzw. UDP-Ports aus der Transportschicht, einige der TCP-Flags zum Verbindungszustand, die ICMP-Nachrichtentypen und die Richtung, in die das Paket übertragen wird (eingehend, ausgehend). Proxy Ein Proxy ist ein Stellvertreter, der Anfragen entgegennimmt und diese weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Klienten wie ein Server. Gegenüber dem eigentlichen Ziel, zum Beispiel dem Web-Server, verhält er sich wie ein Klient. Dies geschieht nicht auf der Paketebene, sondern der Inhalt der Pakete wird gelesen und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil ist, dass keine Pakete eine installierte Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert. Content-Filter / Application-Level-Gateway Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die In-

11 KAPITEL 2. GRUNDLAGEN 10 halte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können unter anderen folgende sein: Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten. Filtern/Kennzeichnen von Spam-Mails Löschen von Viren-Mails Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist jedoch sehr komplex: Es müssen einzelne Pakete zusammengesetzt werden, damit die HTML- Seite als Ganzes erkannt, durchsucht und der Regel entsprechend behandelt werden kann. Anschließend muss die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden. Abbildung 2.2 zeigt, wie moderne Firewalls eingesetzt werden können. Abbildung 2.2: Moderne Firewalls können als Router, Bridge oder Application Level Gateway arbeiten [Lei04] SOCKS Ein Socks-(Secure Sockets) Server wird in einem Netz dazu verwendet, Anwendungen und Protokolle zu bedienen, die von dem Proxy unterstützt oder von der Firewall geblockt werden. Die Socks-Software hört als Server auf Port Eine Klientenanwendung kann, wenn sie Socks-Verbindungen unterstützt, einen Tunnel zu dem Socks-Server aufbauen und die Daten durch diesen an den Server schicken. Der Server packt das Socks-Paket aus und schickt die Anfrage unverändert weiter ins Internet und die entsprechende Antwort wieder zurück an den Klienten.

12 KAPITEL 2. GRUNDLAGEN Bridge Ein Gerät, das ein physikalisches Netz in zwei Netze aufteilt ohne, dass hierfür IP-Teilnetze erzeugt werden müssen, nennt man Bridge. Eine Bridge arbeitet auf OSI-Schicht 2 (Ethernet) [Sysa] und lässt sich einfach in ein bestehendes Netz einfügen. Die Funktionsweise ist ähnlich der eines Switches. Die Bridge lernt sämtliche im lokalen Netz verwendeten MAC-Adressen und merkt sich, über welchen Anschluss (Schnittstelle, Port) sie den zugehörigen Rechner erreicht. Erhält die Bridge ein Paket, dessen Ziel-MAC-Adresse sie kennt, leitet sie das Paket nur an die passende Schnittstelle weiter und vermeidet damit überflüssige Übertragungen. Wenn die Bridge die Ziel-MAC- Adresse nicht kennt, sendet sie das Paket an jeden Anschluss. Der Vorteil dieser Komponente liegt darin, dass der Netzübergang nur extrem schwer zu entdecken ist, da dieser keinen Hop darstellt. Ebenso bleibt der TTL-Zähler (Time To Live) unverändert und es werden keine MAC-Adressen in den Paketen ausgetauscht. Eine Bridge ist protokolltransparent, das heißt der Inhalt der Pakete, die durch sie hindurchfließen, ist gleichgültig. Sie puffert allerdings die Pakete, bevor sie diese weitersendet. Das bedeutet, dass eine Bridge paketorientiert arbeitet, also wesentlich mehr Intelligenz besitzt als ein Repeater. Dafür ist sie jedoch in der Abarbeitung der Pakete langsamer. Eine Bridge wird häufig eingesetzt, wenn physische Netze mit Datenverkehr überschwemmt werden, aber keine Teilnetze eingesetzt werden sollen. Die Bridge hilft, das Datenaufkommen zu reduzieren, da sie nur Pakete weiterleitet, die das Ziel in einem anderen Netzsegment haben. Ein weiteres Einsatzgebiet für eine Bridge ist das Filtern des Datenverkehrs oder die Bandbreitenbegrenzung. Diese, dann auch als Firewall-Bridge bezeichnete Netzkomponente, wertet auch höhere Protokollschichten aus (IP-Adressen, Ports). Davon bemerken die beteiligten Stationen jedoch nichts, solange sie nur erlaubte Pakete versenden. 2.4 Intrusion-Detection-System Ein Intrusion-Detection-System (IDS) ist ein Werkzeug, mit dessen Hilfe man Zugriffe auf ein Computersystem oder ein Netz feststellen kann. Das heißt, es können Netzattacken gegen verwundbare Dienste, Format-String-Attacken gegen Applikationen, Anmeldeversuche und Malware (Viren, Würmer, Trojaner, Hintertüren) erkannt werden. Es gibt zwei Verfahren, wie Intrusion-Detection-Systeme Angriffe erkennen: Mustererkennung: Hierbei identifiziert das IDS Angriffe anhand bekannter Muster beziehungsweise Signaturen im Netzverkehr. Das heißt, der passierende Datenverkehr wird auf bekannte

13 KAPITEL 2. GRUNDLAGEN 12 Daten mit einer Datenbank verglichen, um so Angriffe oder verdächtige Pakete zu erkennen. Wird ein solches Paket bemerkt, erfolgt eine Meldung. Auf das Paket wird keine weitere Aktion ausgeführt und es erreicht unverändert sein Ziel. Anomalie-Erkennung: Dies ist ein selbstlernendes Verfahren. Der Datenstrom wird auf untypische Daten überprüft. Der Administrator kann hierzu Vorgaben wie Netzauslastung, Protokolle und typische Paketgrößen definieren. Die Anomalie-Erkennung kontrolliert Netzsegmente und vergleicht den Datenstrom mit den Vorgaben. Erkennt sie Anomalien (Unregelmässigkeiten), werden diese gemeldet. Unterschieden werden zwei Arten von Intrusion-Detection-Systemen: Host-basierte Intrusion-Detection Systeme (HIDS): Diese Systeme sind in der Lage, Ereignisse auf einem einzelnen Rechner auf ungewöhnliche und möglicherweise bösartige Aktionen hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden. Ein HIDS bieten die Möglichkeit, die Protokolldateien automatisch zu analysieren, häufige fehlerhafte Anmeldeversuche zu ermitteln oder wichtige Meldungen der Firewall zu erkennen. Das Überprüfen der Integrität von Systemdateien und automatisches Informieren bei Veränderungen von Dateien ist ebenfalls möglich. Netz-basierte Intrusion-Detection-Systeme (NIDS): Hierbei handelt es sich nicht um die Überwachung eines einzelnen Systems, sondern um ein ganzes Netzsegment. Die Systeme sind in der Lage, den Netzverkehr auf ungewöhnliche und möglicherweise bösartige Inhalte hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden, zum Beispiel, ob die IP-Köpfe RFCkonforme Werte enthalten oder ob im Datenteil der Pakete verdächtige Zeichenketten vorkommen. 2.5 Rootkit Nachdem ein Angreifer ein System kompromittiert hat, wird er versuchen, seine Spuren zu verwischen, damit man nicht zurückverfolgen kann, wie er einbrechen konnte beziehungsweise ob er eingebrochen ist. Gleichzeitig wird er versuchen, eine Hintertür einzurichten, um sich immer wieder unbemerkt auf dem System anzumelden. Vielleicht möchte er auch Werkzeuge installieren, die es ihm ermöglichen, Aktivitäten auf dem System zu verfolgen, oder die ihn zum Mitlesen anderer Anmeldevorgänge befähigen.

14 KAPITEL 2. GRUNDLAGEN 13 Damit der Angreifer dies alles umsetzten kann, muss er viele Modifikationen auf dem eingebrochenen Rechner vornehmen. Dies kann sehr aufwendig sein und beinhaltet eventuell auch das Übersetzen von Quelltext. Um diese Vorgänge zu beschleunigen und zu automatisieren, werden sogenannte Rootkits eingesetzt. Es kann sich dabei um eine Ansammlung von Shell-Skripten, Quelltext, vorkompilierte Binärdateien und Kernelmodule handeln, die die Einzelaktionen automatisieren. Ein Rootkit ersetzt Programme des Zielsystems wie beispielsweise ls, df, ps, sshd und netstat auf UNIX Systemen. Ebenso werden möglicherweise auch andere Programme durch eigene ausgetauscht, die dafür konzipiert sind, den Administratoren unzuverlässige Daten zu liefern. Die Geschichte dieser Werkzeuge geht bis etwa Mitte der 90er Jahre zurück, wobei Programme zum Reinigen von Protokolldateien noch länger bekannt sind: 1989: Erste Protokolldatei-Reiniger auf kompromittierten Systemen gefunden 1994: SunOS Rootkit entdeckt 1996: erstes Linux Rootkit öffentlich bekannt 1997: LKM (loadable kernel module) Trojaner im Phrack Magazine vorgestellt 1998: Nicht-LKM Kernel Modifikationen von Silvio Cesare vorgestellt 1999: Adore LKM Kit von TESO veröffentlicht 2000: T0rnkit v8 libproc Library Trojaner veröffentlicht 2001: KIS Trojaner und SucKit-Kit veröffentlicht 2002: Hintergrundsniffer in Rootkits eingesetzt Quelle: An Overview of Unix Rootkits [Chu] Unterschieden werden bis heute im Wesentlichen drei Arten von Rootkits: Binary-Rootkits Die ersten bekannt gewordenen Rootkits sind so genannte Binary-Rootkits. Hierbei werden Programme des Systems durch Trojaner ausgetauscht, die die Anwesenheit des Angreifers entlarven können. In der Regel besteht ein solches Rootkit aus einem Archiv, das unter anderem ein Shell-Skript beinhaltet. Dieses Skript kopiert die Dateien an die richtigen Stellen im Dateisystem. Typische Dateien, die ausgetauscht werden, sind ls, netstat, ps, login, lsof, pstree, und so weiter. Dies sind Systemwerkzeuge, die verwendet werden können, um Prozesse des Hackers zu erkennen. Die eingesetzten Trojaner verhalten sich wie die ursprünglichen

15 KAPITEL 2. GRUNDLAGEN 14 Programme, zeigen aber verdächtige Aktivitäten des Angreifers nicht an. Aktivitäten können zusätzlich installierte Dienste wie SSH-Daemon, Sniffer, Hintertüren oder auch von dem Angreifer initiierte Verbindungen zum Beispiel zu IRC-Servern sein Kernel-Rootkits Kernelmodule sind Programmabschnitte, die vom laufenden Kernel geladen und entladen werden werden können. Ein Kernelmodul stellt bei Bedarf zusätzliche Funktionalität für den Kernel bereit und wird, um Speicher zu sparen, durch den Kernel entladen, wenn die zusätzliche Funktionalität nicht mehr benötigt wird. So kann beispielsweise die Unterstützung für ein nicht natives Dateisystem oder ein Gerät durch Laden eines Kernelmoduls implementiert werden. Kernelmodule können aber auch zu unlauteren Zweck eingesetzt werden. Kernel-Rootkits nutzen diese Fähigkeit des Kernel und bieten nach dem Laden des Moduls die Möglichkeit, den Angreifer zu tarnen, sodass er sein Unwesen auf dem Zielrechner treiben kann. Das Kernelmodul funktioniert jedoch anders als ein Binary-Rootkit. Die Programme des Rootkits fungieren als Filter, um alle verdächtigen Daten von den Administratoren fernzuhalten. Das Kernelmodul läuft auf einer viel tieferen Ebene, greift Datenanforderungen auf der Systemebene ab und filtert alle Daten heraus, die für den Administrator auf die Anwesenheit des Hackers hindeuten könnten. So kann der Angreifer ein System kompromittieren und eine Hintertür einschleusen, ohne Systemeigenschaften ändern zu müssen, was zur Enttarnung führen könnte. Vorraussetzung zum Laden eines solchen Moduls ist jedoch, dass diese Fähigkeit in den Kernel einkompiliert wurde Library-Rootkits Hierbei handelt es sich um Rootkits, die prinzipiell eine ähnliche Technik wie Kernel- Rootkits verwenden. Das heißt, sie verstecken ebenfalls bestimmte Prozesse, die den Angreifer entlarven könnten. Der Unterschied liegt jedoch darin, dass die Modifikation nicht im Kernelbereich vorgenommen wird, sondern im Userspace. Diese Rootkits können daher auch als Userspace- Equivalent von Kernel-Rootkits gesehen werden. Library-Rootkits tauschen die Standard-System-Library, die die Prozessdaten für Werkzeuge wie ps, top und ähnliche aus dem Kernel-Bereich in den Userspace weiterleiten, gegen eine modifizierte Version aus. Dadurch ist es möglich, nach bestimmten Prozessen zu parsen und diese auszufiltern. Diese Modifikation wirkt sich nur auf Anwendungen aus, die nicht statisch gelinkt sind, was aber bei den meisten Linux-Systemen standardmässig der Fall ist.

16 KAPITEL 2. GRUNDLAGEN Phishing Phishing ist eine sehr neue Angriffsmethode. Hierbei handelt es sich um einen Trickbetrug, der mit Methoden des Social Engineerings durchgeführt wird. Der Angreifer versucht dabei, mit Hilfe von gefälschten s oder anderen Tricks einen Nutzer dazu zu bringen, eine gefälschte Webseite zu besuchen, um dort persönliche Informationen wie Passwörter, Kreditkartennummern, Bankdaten oder ähnliches einzugeben. Die Bezeichnung Phishing leitet sich vom Fischen nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Ebenso könnte der Ausdruck auch auf password harvesting fishing zurückführbar sein. Die s erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös dargestellt. Der Empfänger erhält zum Beispiel eine , bei der er seine Bank für den Absender hält. In Wirklichkeit steckt aber hinter dem Versand der ein Datendieb. Der Empfänger wird in dieser gebeten, seine Bankzugangsdaten zu überprüfen und soll diese zu diesem Zweck noch einmal in ein Webformular eintippen. Absender und die Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten sie sind also nur sehr schwer als Fälschungen zu identifizieren. Phishing verbreitet sich derzeit zunehmend, wie eine Analyse der Anti-Phishing Working Group [Groa] belegt. Abbildung 2.3 zeigt den Trend von aktiven Phishing-Seiten. Abbildung 2.3: Pro Woche aktiv gemeldete Phishing Seiten. Zeitraum: August - November 2004

17 KAPITEL 2. GRUNDLAGEN 16 Folgende Statistik ist in der Analyse veröffentlicht: Anzahl der gemeldeten Phishing-Seiten im November: 1518 Durchschnittliche Wachstumsrate von Phishing-Seiten in der Zeit von Juli bis November: 28% Anzahl der von Phishing betroffenen unterschiedlichen Organisationen: 51 Anzahl der unterschiedlichen Top 80% von betroffenen Organisationen: 6 Land, welches die meisten Phishing-Seiten hostet: USA Ähnlich aussehende URL der Ziel-Organisation: 22,1% Keine Hostnamen-Auflösung, nur IP-Adresse: 67% Prozentualer Anteil der Seiten, welche nicht auf Port 80 laufen: 19.2% Durchschnittliche Online-Zeit der Phishing-Seiten: 6,2 Tage Längste Online-Zeit einer Phishing-Seite: 31 Tage 2.7 Buffer-Overflow Buffer-Overflows stellen eine der größten Quellen von Schwachstellen der heutigen Zeit dar. Ein Großteil der möglichen Remote-Angriffe geht auf Buffer-Overflows zurück. Wenn er richtig ausgeführt wird, gibt ein Buffer-Overflow dem Angreifer die Möglichkeit, beliebigen Code auf dem Zielsystem auszuführen - und dies mit den Berechtigungen des Prozesses, der angegriffen wurde. Diese Technik wird oft genutzt, um eine Remote-Shell auf dem Zielsystem zu öffnen. Für einen Buffer-Overflow ist letztendlich immer der Programmierer der Anwendung oder des Systems verantwortlich. Jedes Programm legt zur Laufzeit lokale Variablen, Übergabeparameter für Funktionen sowie Rücksprungadressen für Unterprogramme im Arbeitsspeicher ab. Dieser spezielle Bereich wird als Stack bezeichnet und ist durch das Betriebssystem nicht vor ungewollten Änderungen geschützt. Schreibt ein Programm bespielsweise eine zu lange Zeichenkette in eine lokale Puffervariable, überschreibt es dabei die darauf folgenden Variablen und unter Umständen auch die Rücksprungadresse - es kommt zu einem Buffer-Overflow. Die Programmiersprache C bietet zum Beispiel Funktionen wie strcpy() für das Kopieren eines Strings. Diese Funktion überprüft dabei aber nicht, ob der Speicherbereich an der Zieladresse groß genug für die Daten ist. Ist dieser Puffer zu klein, überschreibt die Kopierfunktion die folgenden Datenfelder.

18 KAPITEL 2. GRUNDLAGEN 17 In den meisten Fällen führt ein Buffer-Overflow zum Absturz des betroffenen Programms. Entweder, weil Variablen mit unsinnigen Werten überschrieben wurden, sodass das Programm nicht wie erwartet funktioniert, oder weil die Rücksprungadresse nicht mehr stimmt. Wird an deren Stelle ein zufälliger Wert geschrieben, springt das Programm nach dem Beenden der Funktion an eine zufällige Speicheradresse und meldet einen Speicherzugriffsfehler. Viel schlimmer ist es jedoch, wenn diese Rücksprungadresse auf speziell präparierte Speicherbereiche verweist, die sinnvollen Code enthalten. Gelingt es einem Angreifer, eigene Anweisungen auf dem Stack abzulegen, kann er durch gezielte Manipulation der Rücksprungadresse dafür sorgen, dass dieser angesprungen und ausgeführt wird. Er hat einen Exploit entwickelt. 2.8 Internet Relay Chat Das Internet Relay Chat (IRC) ist ein Computerprogramm, das es ermöglicht, via Internet mit tausenden von Menschen zu sprechen. Diese Kommunikation findet in Textzeilen auf dem Computerbildschirm statt. Im IRC ist man unter seinem Spitznamen bekannt, und alles, was man sagt und macht, erscheint unter diesem Namen. Diesen Spitznamen kann man selbst frei wählen, nur darf er nicht länger als 9 Zeichen sein und es darf zur gleichen Zeit keine andere Person mit gleichem Namen im IRC geben. Damit nicht alle Benutzer durcheinander reden, ist das IRC in Kanäle unterteilt. Diese Kanäle sind so etwas wie virtuelle Orte, an denen man sich mit Freunden oder Fremden treffen und unterhalten kann. Jeder Kanal hat einen frei wählbaren Namen, der jedoch in der Regel mit einem Doppelkreuz (#) beginnen muss. Will jemand über ein bestimmtes Thema reden oder Kontakt suchen, so kann er einfach einen bestehenden Kanal betreten, oder einen neuen IRC-Kanal erzeugen. Typische Kanalnamen sind zum Beispiel: #aachen oder #linux. Neben diesen öffentlichen Kanälen gibt es auch private Kanäle. Hier kann man sich mit Freunden treffen, ohne in die breite IRC-Öffentlichkeit zu treten. Die IRC-Sprache ist Englisch: die Kanäle heissen Channels, die Spitznamen sind Nicknames und die Mitteilungen Messages. Trotzdem werden die nationalen Eigenheiten gepflegt, es gibt viele Kanäle, auf denen nur die jeweilige Landessprache gesprochen wird. IRC funktioniert nach dem Klient/Server-Prinzip. Das bedeutet, dass es auf der einen Seite einen zentralen Rechner - den Server - gibt, der einen bestimmten Dienst anbietet (in

19 KAPITEL 2. GRUNDLAGEN 18 diesem Fall IRC) und auf der anderen Seite das Programm - den sogenannten Klienten -, das diesen Dienst nutzt und dem Benutzer den Zugang ermöglicht. Der Klient vermittelt zwischen Benutzer und Server. Die wirkliche Arbeit erledigt der Server. Aus diesem Grund befindet sich der Server meist auch auf einer großen UNIX- Workstation und dem Klienten genügt ein einfacher PC. So ist es möglich, dass man mit der kleinsten Hardware einen so komplexen Dienst wie das IRC nutzen kann. Das IRC besteht aber nicht nur aus einem einzelnen Server, sondern aus einem weltweiten Netz mit sehr vielen Servern. In diesem Netz werden die gesamten Benutzerdaten und Nachrichten verwaltet und versendet. 2.9 Dateiwiederherstellung - EXT2-Dateisystem Das Second Extended Filesystem-EXT2 ist ein gutes Beispiel für ein klassisches Inode basierendes Dateisystem. Jede Datei wird durch eine besondere Struktur, ihren Inode, repräsentiert. Der Inode speichert die Metainformationen der Datei. Zusätzlich sind Datenblöcke nötig, die den Nutzinhalt aufnehmen. Verzeichnisse sind nur besondere Dateien, die ebenfalls aus einem Inode bestehen. Ihre Datenblöcke enthalten den Verzeichnisinhalt: Eine Liste aus Dateinamen und Verweisen auf dem zugehörigen Inode. Dieser Inode enthält alle Metainformationen mit Ausnahme des Dateinamens. Dazu zählen die Größe der Datei, ihr Typ, die Rechte der Besitzer und der Gruppe, der Referenzzähler und die drei Unix-Zeitstempel (ctime, atime und mtime). Im Inode stehen auch zwölf direkte Verweise auf Datenblöcke der Datei. Für größere Dateien nutzt der Inode zudem indirekte Verweise. Der erste zeigt auf einen Datenblock, der direkte Verweise auf weitere Datenblöcke enthält. Die beiden letzten Verweise zeigen auf einen doppelt-indirekten und einen dreifach-indirekten Block. (Abbildung: 2.4) Löscht das Dateisystem eine Datei, markiert es nur den Eintrag im Verzeichnis sowie den Inode als gelöscht und gibt den Inode und die Datenblöcke frei. Verweise auf die Datenblöcke und die Verbindung zwischen den Dateinamen und dem Inode bleiben üblicherweise erhalten. So ist es möglich, dass ein Werkzeug wie ils die gelöschten Inodes anzeigt und icat den Inhalt der Datei wiederherstellt. Dies gelingt aber nur, wenn das Dateisystem den Inode oder die Datenblöcke nicht bereits für andere Dateien verwendet. Der Befehl fls zeigt die Namen der gelöschten Dateien an. Die Werkzeuge ils, icat und fls sind Bestandteile des The Sleuth Kit [sle].

20 KAPITEL 2. GRUNDLAGEN 19 [Spe03] Abbildung 2.4: Inodes enthalten Metainformationen einer Datei

21 Kapitel 3 Klassifizierung von Angreifern Nicht jeder, der versucht, ein Netz oder ein Rechnersystem zu hacken, hat kriminelle Absichten. Die Motive der Angreifer können vollkommen unterschiedlich sein. In diesem Kapitel wird eine grobe Klassifizierung der Angreifer vorgenommen. Dabei sind das Fachwissen und das Motiv Kriterium der Einteilung. 3.1 Low-level-Angreifer Low-level-Angreifer werden oft auch als Script Kiddies bezeichnet. Hierbei handelt es sich um jemanden, der versucht, auf eine schnelle und einfache Weise Erfolge beim Kompromittieren von Netzen zu erhalten. Es ist nicht das Ziel, bestimmte Informationen zu erlangen oder in das Netz einer bestimmten Firma einzudringen, sondern vielmehr schnell und einfach root auf einem oder möglichst vielen Systemen zu werden. Das Fachwissen dieser Hacker ist meist sehr gering. Sie benutzen in der Regel fertige Werkzeuge, die einfach zu starten sind und das Zielsystem oft selbständig finden und kompromittieren. Dieser Typ von Angreifer ist sicher häufiger zu finden, zumal es viele fertige Hacker- Werkzeuge im Internet gibt, die man nur kopieren und ausführen muss. Die zufällige Auswahl der Ziele ist es, die das Script Kiddie so gefährlich machen. Die Daten auf dem einzelnen Rechner mögen uninteressant sein, aber früher oder später wird auch der langweilige Rechner von nebenan gescannt und auf Schwachstellen überprüft. Ist ein Angreifer erst einmal auf einem System, muss er gar nicht Daten ausspionieren oder löschen. Vielleicht greift er weitere Systeme von diesem Rechner aus an. Die Kette der gehackten Plattformen wird länger und ein Zurückverfolgen immer schwieriger.

22 KAPITEL 3. KLASSIFIZIERUNG VON ANGREIFERN High-level-Angreifer Im Gegensatz zu einem Low-level-Angreifer besitzt der High-level Angreifer tiefgehendes Wissen über Rechner- und Netztechnik. Er ist in der Lage, die komplexen Strukturen der Hard- oder Software, welche er angreifen möchte, zu verstehen. Dies ermöglicht ihm nicht nur neue Sicherheitslücken zu finden, sondern auch entsprechende Software zu Programmieren, die ihm dadurch zum Beispiel einen Zugriff ermöglicht. High-level Angreifer sind nicht an zufällig gefunden Zielen interessiert, es reizen sie viel mehr die neuen technischen Herausforderungen oder speziell gesicherte Ziele. 3.3 Whitehat vs. Blackhat Der Begriff Hacker wird oft mit jemandem assoziiert, der Computer zu illegalen Zwecken einsetzt und zum Beispiel in fremde Rechner und Netze eindringt, nur um dort Schaden anzurichten. Aber ein Hacker ist viel mehr jemand, der sich sehr gut mit den Techniken auskennt, sehr gute Programmierkenntnisse besitzt, jedoch keine kriminellen Absichten verfolgt. Zutreffender, um den bösen vom guten Hacker zu unterscheiden, sind die Bezeichnungen Blackhat (Cracker) beziehungsweise Whitehat. Hierbei bezeichnet die Farbe des Hutes (Hat) die moralische Einstellung des Hackers. Ein Hacker mit schwarzem Hut (Blackhat) handelt dabei mit krimineller Energie - entweder um das Zielsystem zu beschädigen oder um Daten zu stehlen. Bei einem Hacker mit weißem Hut (Whitehat) handelt es sich um jemanden, der versucht, seine Meinung von Informationsfreiheit zu verbreiten und zu beweisen, dass es keine 100%ige Sicherheit im Internet geben kann. Ein Whitehat ist meistens ein seriöser Programmierer, der sich in seinem Bereich sehr gut auskennt (Nerd) und somit die Schwachstellen wie Buffer-Overlow oder Race Conditions kennt und weiß, wie man sie vermeiden beziehungsweise auch ausnutzen kann. Der Ursprung dieser Bezeichnung sind die klassischen Western-Filme, in denen der Held meist einen weißen und der Schurke einen schwarzen Hut trägt.

23 Kapitel 4 Ethische und rechtliche Aspekte In diesem Kapitel wird auf die ethischen und rechtlichen Aspekte eingegangen, die bei dem Betrieb eines Honeynet, insbesondere in Deutschland, beachtet werden müssen. Maximilian Dornseif schreibt dazu [MDb]: Die Verantwortlichkeit des honeynet-betreibers ist in zwei Bereichen besonders diskussionswürdig: Wie ist das honeynet in Bezug auf das gesamte Internet und wie sind insbesondere Angriffe von honeypots aus auf andere Systeme zu beurteilen? Hierbei sind ethische, straf- und zivilrechtliche Aspekte von Interesse. Wie ist es zu bewerten, dass die blackhats ohne ihr Wissen zum Teil eines Experimentes gemacht werden? Hierbei kommen insbesondere datenschutzrechtliche Aspekte zum Tragen. 4.1 Ethische Aspekte Durch die Installation eines mit dem Internet verbundenen honeynet wurden dem Internet Systeme hinzugefügt, die wider besseren Wissens nicht dem Stand der Sicherheitstechnik entsprechen. Man kann argumentieren, dass dadurch grundsätzlich die Gesamtsicherheit des Internets verringert wurde. Für den honeynet-betreiber würde dies bedeuten, dass er eine besondere Verantwortung gegenüber Personen übernimmt, deren System durch blackhats von dem honeynet aus angegriffen werden. Betrachtet man jedoch das aktuelle Sicherheitsniveau von Systemen im Internet, scheint dieses dermaßen niedrig zu sein, dass die honeypot-systeme möglicherwiese sogar über dem durchschnittlichen Sicherheitsniveau liegen und somit die Gesamtsicherheit des Internet verbessern.

24 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 23 Bedenkt man weiterhin, dass (1) die Systeme des honeynet mit ihrer mangelnden Sicherheit die Population potentieller Opfer im Internet vergrößern und damit das Risiko des einzelnen verringert, Opfer einer Attacke zu werden, und (2) gleichzeitig auch durch die strenge Kontrolle des ausgehenden Verkehrs der Anteil an Rechnern verringert wird, die ohne weiteres als Plattform für weitere Angriffe genutzt werden können, kann durchaus davon ausgegangen werden, dass das honeynet allein durch seine Existenz das Risiko Dritter, zum Opfer eines Angriffs aus dem Internet zu werden, leicht verringert. Weiterhin besteht die berechtigte Hoffnung, dass die mit dem honeynet gesammelten Ergebnisse mittelfristig zur Steigerung der Gesamtsicherheit des Internet beitragen. Ethisch scheint daher der Betrieb eines honeynet gegenüber der Gesellschaft vertretbar zu sein. 4.2 Strafrechtliche Aspekte Rechtlich könnte eine straf- oder zivilrechtliche Haftung bestehen, wenn das honeynet Teil eines Angriffs gegen Dritte ist. Strafrechtlich könnte der Betrieb eines honeynet gemäß 27 StGB Beihilfe zu Straftaten sein, die von einem blackhat über das honeynet verübt werden. Beihilfe kann jedoch nur durch eine vorsätzliche Hilfeleistung erfolgen. Dies ist nicht gegeben. Stattdessen wird versucht, mittels Snort_inline und iptables Beeinträchtigungen anderer Systeme von dem honeynet aus zu verhindern. Weiterhin ist der Betrieb eines Rechners mit dem Sicherheitsniveau der Honeypots völlig sozialadäquat, d.h. er lädt nicht etwa blackhats zum Missbrauch ein. Der Sicherheitsstandard der Systeme liegt sogar über dem vieler anderer am Internet angeschlossener Systeme. Strafrechtlich ist der Betrieb des honeynet daher unbedenklich. 4.3 Zivilrechtliche Aspekte Eine zivilrechtliche Haftung für durch den Angreifer vom honeynet aus gegenüber anderen verursachten Schäden käme primär aus 821 I BGB in Betracht. Dafür müsste aber ein von dem blackhat verursachter Schaden den Betreibern des honeynet zurechenbar sein. Da die Betreiber des honeynet jedoch nicht aktiv andere Rechner schädigen, kommt nur eine Haftung aus dem Unterlassen der

25 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 24 Absicherung des honeynet in Betracht. Dazu müsste der Betreiber insbesondere eine Garantenstellung innehaben, die ihn verpflichtet, Gefahren aus dem honeynet einzuschränken. Diese könnte sich aus einer Verkehrssicherungspflicht ergeben. Die allgemeine Verkehrssicherungspflicht besagt, dass jedermann, der in seinem Verantwortungsbereich Gefahren schafft oder andauern lässt, die notwendigen Vorkehrungen treffen muss, die im Rahmen des wirtschaftlich zumutbaren geeignet sind, Gefahren von Dritten abzuwenden. Welche Maßnahmen notwendig und zumutbar sind, ist eine Wertungsfrage. Bisher scheint es die Gesellschaft inklusive der Rechtssprechung abzulehnen, Betreiber von mit dem Internet verbundenen Systemen für Schäden zur Verantwortung zu ziehen, die durch die Unsicherheit dieser Systeme entstanden sind. Daher ist davon auszugehen, dass es als nicht notwendig oder als nicht zumutbar angesehen wird, mit dem Internet verbundene Systeme abzusichern oder zu überwachen. Das honeynet wird jedoch umfangreich überwacht. Insbesondere wird besonderer Aufwand betrieben, um Schaden von Dritten abzuwenden. Damit hat der Betreiber des honeynet, selbst wenn man eine Verkehrssicherungspflicht für mit dem Internet verbundene System annähme, diese erfüllt. 4.4 Datenschutzrechtliche Aspekte Bei der Frage, wie der Betrieb des honeynet gegenüber den eindringenden blackhats zu bewerten ist, ist vor allem fraglich, in wieweit ein angreifender blackhat nicht unwissend zum Teil eines Experiments gemacht wird. Der blackhat- Community ist durchaus bewusst, dass zum einen honeynets existieren und dass zum anderen Systemadministratoren soweit sich entsprechende Gelegenheiten bieten, alle Schritte von blackhats aufzeichnen und umfangreiche forensische Untersuchungen durchführen. Deshalb kann davon ausgegangen werden, dass blackhats billigend in Kauf nehmen, dass ihr Handeln aufgezeichnet und untersucht wird. Auch rechtlich bestehen aus dieser Hinsicht keine Bedenken. Insbesondere ist nicht davon auszugehen, dass das honeynet mit personenbezogenen Daten in Kontakt kommt. Somit ist der Betrieb aus datenschutzrechtlicher Sicht unbedenklich. Die in den vorigen Abschnitten beschriebenen Aspekte können auf das in dieser Diplomarbeit errichtete Honeynet angewendet werden. Um keine vorsätzliche Hilfeleistung zu

26 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 25 begehen, sind in diesem Honeynet anstelle der iptables-paketfilter die in dem eingesetzten FreeBSD-Betriebssystem implementierten ipfw-filter verwendet worden. snort_inline wurde nicht benutzt, jedoch sind die Anzahl der gleichzeitigen und der maximalen Verbindungen pro Tag limitiert worden. Des weiteren wurde nach dem Versenden der Phishing-Mails und der Installation der Ebay-Phishing-Webseiten die Staatsanwaltschaft Köln informiert um einer gegenbenenfalls notwendigen Anzeigepflicht nachzukommen. Abbildung 4.1 zeigt das Schreiben der Staatsanwaltschaft Köln.

27 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE Abbildung 4.1: Schreiben der Staatsanwaltschaft Köln 26

28 Kapitel 5 Klassifizierung von Honeypots In diesem Kapitel wird auf die unterschiedlichen Einteilungen von Honeypots eingegangen, wobei das Konzept der Systeme identisch ist. Lance Spitzner formulierte dies wie folgt [Spi02]: Simply put, honeypots are systems designed to be compromised by an attacker. Once compromised, they can be used for a variety of purposes, such as an alerting mechanism or deception. Es handelt sich um Systeme, die expliziert dafür konzipiert sind, dass sie von einem Angreifer kompromittiert werden. Dieses Eindringen kann für verschiedene Dinge verwendet werden. So ist es möglich, aus diesen Angriffen zu lernen. Man kann durch gezielte Überwachungsverfahren die Vorgehensweise analysieren und daraus erkennen, wie ein Einbruch möglich war. Dies ist in besonderem Maße interessant, wenn es sich um neue Techniken handelt. Ein Weiterentwickeln der Schutzmechanismen insbesondere bei Produktivsystemen ist somit zu aktuellen Angriffsmethoden fast zeitnah möglich. Honeypots können auch zum Täuschen verwendet werden. Hierbei werden leicht verwundbare Produktivsysteme durch Software vorgespielt. Überprüft ein Angreifer zum Beispiel ein Firmennetz, wird er sich vermutlich auf die schlecht geschützten Systeme, die virtuellen Honeypots, konzentrieren. 5.1 Low Interaction Honeypots Bei sogenannten Low Interaction Honeypots handelt es sich um Systeme, die Netzdienste mit Hilfe von Software simulieren und somit das Vorhandensein einer aktiven Komponente vortäuschen. Die Funktionalität solcher Honeypots ist beschränkt. Der Nutzen ist meist darauf limitiert,

29 KAPITEL 5. KLASSIFIZIERUNG VON HONEYPOTS 28 Informationen zu generellen Netzanalysen zu sammeln. Die Installation und Konfiguration von solchen Systemen ist einfach. Es lassen sich leicht große Netzbereiche administrieren. Ebenso ist das Risiko für diesen Typ Honeypot äußerst gering, da zum einen Konfigurationsfehler kaum Auswirkungen haben und zum anderen dem Angreifer geringe Möglichkeiten eines realen Angriffs geboten werden. Dennoch ist es ratsam, den auch virtuellen Honeypot genannten Dienst in einer explizit gesicherten Umgebung wie einem Jail oder Chroot auszuführen. Das Erkennen einer solchen virtuellen Falle ist auf Grund des beschränkten Aktionsgrades sehr einfach. Ein Angreifer könnte daher versuchen, die Simulationssoftware durch gegebenenfalls vorhandene Softwareschwächen auszunutzen, um an das Host-System, von dem aus die Honeypot-Software gestartet wurde, zu gelangen. Ein bekannter Vertreter für virtuelle Honeypots ist das von Niels Provos unter der GNU General Public License enwickelte Honeyd-Werkzeug [Prob]. Mit Hilfe dieser Software wird unter anderem auch Forschung im Bereich Spam- und Wurm-Attacken aus dem Internet betrieben. Abbildung 5.1 zeigt exemplarisch ein Honeyd-Spam-Forschungsnetz. Abbildung 5.1: Honeyd-Spam-Forschungsnetz [Prob]

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Aktuelle Themen der Informatik Daniel Renoth CN 8

Aktuelle Themen der Informatik Daniel Renoth CN 8 HFU Furtwangen Aktuelle Themen der Informatik Daniel Renoth CN 8 Agenda 1. Definition Rootkit? 2. Historie 3. Szenario 4. Funktionalität 5. Arten von Rootkits HFU Furtwangen - Aktuelle Themen der Informatik

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung POP3 und Bridge-Modus Inhaltsverzeichnis 1 POP3 und Bridge-Modus 2 1.1 Funktionsweise von POP3 mit REDDOXX 2 1.2 Betriebsarten 3 1.2.1 Standard-Modus 3 1.2.2 Bridge-Modus 6 1.2.3

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Beschimpfung Beleidigung Verleumdung. Diebstahl. Raub. Erpressung. Terror. Körperverletzung Ermordung Werkzeug/Methode

Beschimpfung Beleidigung Verleumdung. Diebstahl. Raub. Erpressung. Terror. Körperverletzung Ermordung Werkzeug/Methode Beschimpfung Beleidigung Verleumdung Diebstahl Betrug Einbruch Körperverletzung Ermordung Werkzeug/Methode Raub Terror Erpressung Flame (von englisch to flame aufflammen ) ist ein ruppiger oder polemischer

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry.

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry. Deckblatt SCALANCE S61x und SOFTNET Security Client Edition 2008 FAQ August 2010 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG,

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8

Byte-Taxi. Bedienungsanleitung. Seite 1 von 8 Byte-Taxi Bedienungsanleitung Seite 1 von 8 Inhaltsverzeichnis 1. Beschreibung 3 2. Systemvoraussetzungen 4 3. Installationsanleitung 5 4. Bedienung 6 5. Infos & Kontakt 8 Seite 2 von 8 1. Beschreibung

Mehr

3. Firewall-Architekturen

3. Firewall-Architekturen 3. Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

juliteccrm Dokumentation

juliteccrm Dokumentation Customer Relationship Management für kleine und mittelständische Unternehmen juliteccrm Dokumentation 2012, julitec GmbH Page 1 of 12 julitec GmbH Flößaustraße 22 a 90763 Fürth Telefon: +49 911 979070-0

Mehr

BRÜCKENTYPEN FUNKTION UND AUFGABE

BRÜCKENTYPEN FUNKTION UND AUFGABE Arbeitet auf der OSI-Schicht 2 Verbindet angeschlossene Collision-Domains mit verwandten Protokollen In jeder Collision-Domain kann gleichzeitig Kommunikation stattfinden Nur eine Verbindung über eine

Mehr

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen Kassenärztliche Vereinigung Niedersachsen Inhaltsverzeichnis 1. Allgemein... 3 1.1 Betriebssysteme und Internet Browser... 3 2. Zugang... 4 2.1 Anmeldung... 4 2.2 VPN Verbindung herstellen... 4 2.3 Browser

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet

Zero Effort Backup (ZEB) automatische Datensicherung über das Internet Ralph Lehmann. Computerservice und IT-Beratung. Kochstraße 34. 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Kochstraße 34 04275 Leipzig Ralph Lehmann Computerservice und IT-Beratung Tel.:

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de Webmail Anleitung für Ihr online E-Mail-Postfach http://webmail.willytel.de Inhalt: Inhalt:... 2 Übersicht:... 3 Menü:... 4 E-Mail:... 4 Funktionen:... 5 Auf neue Nachrichten überprüfen... 5 Neue Nachricht

Mehr

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009 Firewalling mit iptables Die Netfilter-Architektur Seminar Betriebssytemadministration SS 2009 Gliederung 2 Firewall Aufgaben/Ziele Firewalltypen Sicherheitspolitik Sicherheitskonzept Netzwerktopologie

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

Idee des Paket-Filters

Idee des Paket-Filters Idee des Paket-Filters Informationen (Pakete) nur zum Empfänger übertragen und nicht überallhin Filtern größere Effizienz Netzwerk größer ausbaubar Filtern ist die Voraussetzung für Effizienz und Ausbaubarkeit

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Einrichten eines SSH - Server

Einrichten eines SSH - Server Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -

Mehr

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein. Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website

Mehr

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003. Subnetting Referat von Sonja Trotter Klasse: E2IT1 Datum Jan. 2003 Subnetting Einleitung Thema dieser Ausarbeitung ist Subnetting Ganz zu Beginn werden die zum Verständnis der Ausführung notwendigen Fachbegriffe

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Zugriff zum Datenaustausch per scponly

Zugriff zum Datenaustausch per scponly Zugriff zum Datenaustausch per scponly Warum scponly? In der Grundkonfiguration der Musterlösung ist es notwendig, dass ein Benutzer, der die Möglichkeit haben soll von außen Dateien mit dem Server auszutauschen,

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum KMU Backup Ausgangslage Eine KMU taugliche Backup-Lösung sollte kostengünstig sein und so automatisiert wie möglich ablaufen. Dennoch muss es alle Anforderungen die an ein modernes Backup-System gestellt

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Ein kurzer Überblick über das Deutsche Honeynet Projekt

Ein kurzer Überblick über das Deutsche Honeynet Projekt Dependable Distributed Systems Ein kurzer Überblick über das Deutsche Honeynet Projekt Thorsten Holz Laboratory for Dependable Distributed Systems holz@i4.informatik.rwth-aachen.de Thorsten Holz Laboratory

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Der Nachdruck und die Auswertung von Pressemitteilungen bzw. Reden sind mit Quellenangabe allgemein gestattet.

Der Nachdruck und die Auswertung von Pressemitteilungen bzw. Reden sind mit Quellenangabe allgemein gestattet. Nutzungsbedingungen Texte, Bilder, Grafiken sowie die Gestaltung dieser Internetseiten unterliegen dem Urheberrecht. Sie dürfen von Ihnen nur zum privaten und sonstigen eigenen Gebrauch im Rahmen des 53

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

bla bla Guard Benutzeranleitung

bla bla Guard Benutzeranleitung bla bla Guard Benutzeranleitung Guard Guard: Benutzeranleitung Veröffentlicht Dienstag, 13. Januar 2015 Version 1.2 Copyright 2006-2015 OPEN-XCHANGE Inc. Dieses Werk ist geistiges Eigentum der Open-Xchange

Mehr

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized

CSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized 1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Zeiterfassungsanlage Handbuch

Zeiterfassungsanlage Handbuch Zeiterfassungsanlage Handbuch Inhalt In diesem Handbuch werden Sie die Zeiterfassungsanlage kennen sowie verstehen lernen. Es wird beschrieben wie Sie die Anlage einstellen können und wie das Überwachungsprogramm

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

SMTP-Verfahren POP-Verfahren IMAP-Verfahren

SMTP-Verfahren POP-Verfahren IMAP-Verfahren IT Zertifikat Mailserver 01 Server Mailserver Protokolle Teil des Client-Server-Modells bietet Dienste für lokale Programme/ Computer (Clients) an -> Back-End-Computer Ausbau zu Gruppe von Servern/ Diensten

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

Interneteinstellungen für Agenda-Anwendungen

Interneteinstellungen für Agenda-Anwendungen Interneteinstellungen für Agenda-Anwendungen Bereich: TECHNIK - Info für Anwender Nr. 6062 Inhaltsverzeichnis 1. Ziel 2. Voraussetzungen 3. Vorgehensweise: Firewall einstellen 4. Details 4.1. Datenaustausch

Mehr