Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)"

Transkript

1 Diplomarbeit zur Erlangung des akademischen Grades Diplom-Ingenieur (FH) Planung und Realisierung eines Honeynet zur Analyse realer Angriffe aus dem Internet vorgelegt von: Sven Müller Matrikel-Nummer: Fachbereich: Elektrotechnik und Informationstechnik Studienrichtung: Ingenieurinformatik im Monat Februar 2005 angefertigt bei MAGELLAN Netzwerke GmbH Max-Reichpietsch-Strasse Köln Betreuer: Korreferent: Prof. Dr.-Ing. Rolf Schäfer Prof. Dr.-Ing. Gerhard Stegemann

2 1 Erklärung Ich versichere hiermit, dass ich die vorliegende Arbeit selbständig verfasst und keine anderen als die im Literaturverzeichnis angegebenen Quellen benutzt habe. Stellen, die wörtlich oder sinngemäß aus veröffentlichten oder noch nicht veröffentlichten Quellen entnommen sind, sind als solche kenntlich gemacht. Die Zeichnungen oder Abbildungen in dieser Arbeit sind von mir selbst erstellt worden oder mit einem entsprechenden Quellennachweis versehen. Diese Arbeit ist in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde eingereicht worden. Aachen, im Februar 2005 Geheimhaltung Diese Diplomarbeit darf weder vollständig noch auszugsweise ohne schriftliche Zustimmung des Autors, des betreuenden Referenten bzw. der Firma MAGELLAN Netwerke GmbH vervielfältigt, veröffentlicht oder Dritten zugänglich gemacht werden.

3 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Virtual Local Area Networks Firewall Hardware Software Bridge Intrusion-Detection-System Rootkit Binary-Rootkits Kernel-Rootkits Library-Rootkits Phishing Buffer-Overflow Internet Relay Chat Dateiwiederherstellung - EXT2-Dateisystem Klassifizierung von Angreifern Low-level-Angreifer High-level-Angreifer Whitehat vs. Blackhat Ethische und rechtliche Aspekte Ethische Aspekte Strafrechtliche Aspekte Zivilrechtliche Aspekte Datenschutzrechtliche Aspekte

4 INHALTSVERZEICHNIS 3 5 Klassifizierung von Honeypots Low Interaction Honeypots High Interaction Honeypots Anforderungen an ein Honeynet Datenkontrolle (data control) Datenerfassung (data capture) Zentrale Datensammlung (data collection) Aufbau des Honeynet Logischer Aufbau Router Honeywall Honeypot Betriebssystem Dienste Syslog Sebek Kernel-Patch Administrationsrechner Zentrale Verwaltung Domain-Name-Server-Proxy Network-Time-Protocol-Daemon Mailrelay Frontends MySQL-Datenbank Server Intrusion-Detection Binary-Logging Datensicherung / Redundanz Analyse eines Angriffs Zeitlicher Ablauf des Einbruchs Einbruch in das Zielsystem Analyse der Angreifer-Werkzeuge refresh.tgz sk.tgz spam.tgz willson.tgz psybnc.tgz windmilk.tgz

5 INHALTSVERZEICHNIS sockd.tgz superwu.tgz suntrustsend.tgz Analysewerkzeuge Ethereal/ tethereal Sebek-Web-Interface Snortreport Analysis Console for Intrusion Databases Advanced Intrusion Detection Environment Sleuthkit-Werkzeuge Bewertung des Angriffs Zusammenfassung und Ausblick 64

6 Kapitel 1 Einleitung Sicherheit im Computer- und Netzbereich war schon immer ein wichtiges Thema. Doch seitdem sich diese Technik immer weiter durchgesetzt hat und für das Bearbeiten hoch sensibler Daten verwendet wird, ist der Schutz dieser Systeme von höchster Priorität. Leider gibt es immer wieder Menschen, die versuchen die Sicherheitsmechanismen zu umgehen. Die Motive hierfür können unterschiedlichster Art sein: Spionage, Spass, Geld, Macht und andere. Die hierdurch entstehenden zwei Fronten stehen im ständigen Wettstreit und versuchen, besser zu sein als die andere Seite. Im Bereich der Netztechnik hat es viele Entwicklungen im Bereich Sicherheit gegeben. Firewall, Intrusion Detection und Proxies sind alles Einrichtungen, die die Netz- bzw. Rechnersicherheit erhöhen. Jedoch haben diese Komponenten einen entscheidenden Nachteil: Sie können nur gegen bisher bekannte Schwachstellen wirken. Hierdurch entsteht ein ständiger Wettbewerb zwischen den Leuten, die Sicherheit schaffen möchten, und denen, die diese wieder durchbrechen. Aufgrund der statischen Anpassung an die Bedrohung sind Angreifer in einem zeitlichen Vorteil. Um diesen Abstand weiter zu minimieren, können Honeynets eingesetzt werden. Sie helfen, die Motive, Taktiken und Techniken der Angreifer zu erlernen und zu verstehen. Ein Vergleich zum Militär hilft dies zu erläutern: Bevor Kriege beginnen, erkundigen sich die Gegenparteien möglichst genau, was der Feind für Waffen hat, wie stark seine Truppen sind und in welchen Bereichen er besser oder schwächer ist. Man versucht zum Beispiel, möglichst genau zu erfahren, wie weit seine Panzer schiessen können oder wie stark deren Panzerung ist. Die Gegner sind bemüht, sich gegenseitig möglichst genau auszuspionieren. Sun Tzu schreibt dazu in seinem Buch The Art of War [Tzu]: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang hunderter von Schlachten nicht zu fürchten. Wenn du dich selbst kennst, aber nicht den

7 KAPITEL 1. EINLEITUNG 6 Feind, wirst du für jeden Sieg eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. Doch wie ist dies in der Netzsicherheit? Hier weiss man nichts über die Hacker, die versuchen in Netze einzudringen. Man weiss weder etwas über die Motive, noch über deren technisches Wissen oder deren neueste Werkzeuge. Nach Einbrüchen in Rechnersysteme ist es oft schwierig, genau zu analysieren, wie einem Angreifer dies gelingen konnte oder was er auf dem System verändert hat. Welches Motiv hat ihn überhaupt veranlasst, diese rechtswidrige Tat auszuführen? Honeynets sind Netze, die nur für Angriffe gedacht sind. Nach außen hin wirken sie als normale Produktivsysteme, doch in Wahrheit sind es Fallen, um Angreifer genau analysieren und studieren zu können. Hierdurch wird versucht, den zeitlichen Vorsprung der Angreifer möglichst zu minimieren und von seinen Taktiken und Werkzeugen zu lernen. Im Rahmen dieser Diplomarbeit soll ein solches Netz geplant und realisiert werden. Anschließend stattgefundene Angriffe auf dieses Honeynet sollen analysiert werden.

8 Kapitel 2 Grundlagen In diesem Kapitel werden einige für den Aufbau des Honeynet grundlegende Komponenten kurz erläutert. Des weiteren wird auf das Prinzip von Rootkits, der Buffer-Overflow Technik, des Phishings, sowie dem Internet Relay Chat eingegangen, da diese von dem Angreifer verwendet wurden. 2.1 Virtual Local Area Networks Beim klassischen Ansatz bekommt jedes Teilnetz einen eigenen Switch. Ein Router vermittelt zwischen den Bereichen. Jedes Teilnetz hat einen eigenen IP-Adressraum und, wenn nötig, eine eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern auf logischer Ebene. Somit ist eine Gruppierung von Geräten oder Benutzern, die nach Funktion, Aufgabenbereich oder Anwendung unterteilt werden sollen, unabhängig des Standorts ihres physischen Segments möglich. VLANs segmentieren die physische LAN-Infrastruktur in verschiedene Teilnetze (oder Broadcast-Domänen für Ethernet). Broadcast-Rahmen werden nur zwischen Ports innerhalb desselben VLAN geswitcht. Um die logische Trennung vorzunehmen, stehen zwei unterschiedliche Verfahren zur Auswahl: Port-basierte Aufteilung und VLAN-Tagging nach dem IEEE-Standard 802.1Q [Ass]. Das ältere und einfachere Port-VLAN teilt jedem Port fest ein einzelnes Netzsegment zu. Alle Ports im selben Segment bilden eine Broadcast-Domäne, als ob sie an einem eigenen Switch angeschlossen wären. Sie erhalten somit alle Rundspruchpakete (Broadcasts), jedoch nicht alle Datenpakete, wie das bei einer Kollisions-Domäne der Fall ist.

9 KAPITEL 2. GRUNDLAGEN 8 Flexibler sind VLANs, die Meta-Informationen in den Ethernet-Rahmen nutzen [Rec]. Der Standard 802.1Q sieht dazu zwischen Adress- und Längenfeld jedes Ethernet- Pakets vier zusätzliche Bytes vor. Die ersten beiden Bytes (Tag Protocol Identifier) kennzeichnen mit dem festen Wert 0x8100 das Vorhandensein der 802.1Q- Erweiterung. Die restlichen zwei Bytes (Tag Control Information) setzen sich aus drei Bits für die Priorität (Class of Service, CoS), einem Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID (VID) zusammen. Ein VLAN-Switch benutzt diese VID um zu entscheiden, an welchen anderen Port er das Paket weiterleiten darf. Empfängt er ein normales, nicht markiertes Ethernet-Paket, so teilt er diesem ein Etikett (tag) mit dem jeweiligen Port zugeordneten VID zu. Die Abbildung 2.1 zeigt die Verlängerung des Ethernet-Rahmens um 4 Byte beim VLAN- Tagging. Abbildung 2.1: VLAN-Tagging [Ben05] 2.2 Firewall Als Firewall bezeichnet man in einem Rechnernetz ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen. Die Firewall befindet sich zwischen zwei Netzen und filtert unerwünschten Datenverkehr heraus beziehungsweise lässt nur gewünschte Daten passieren. Es wird bei dem (Sicherheits-)Konzept Firewall zwischen zwei Hauptbestandteilen unterschieden: Hardware und Software. Die Hardware ist für das Senden und Empfangen der Datenpakete zuständig und die Software für das Umsetzen des Regelwerkes, das Aktionen mit den eintreffenden Paketen ausführt.

10 KAPITEL 2. GRUNDLAGEN Hardware Die Hardware stellt die Komponente dar, an die die zu verbindenden Netze angeschlossen sind. Hierfür sind die Netzschnittstellen zuständig. Diese arbeiten auf Schicht 1 des OSI- Referenzmodells [Sysa] Software Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells und demzufolge kann die Implementierung sehr unterschiedlich ausfallen. Aus diesem Grund gibt es Firewalls mit verschiedenen Softwarekomponenten. Die unterschiedlichen Teile werden im Folgenden kurz beschrieben: Paketfilter Eine Paketfilter-Firewall besteht aus einer Liste von Annahme- und Ablehnungskriterien. Die Regeln definieren ganz genau, welche Pakete durch die Netzschnittstelle hindurch dürfen und welche nicht. Die Firewall entscheidet anhand der Felder des Paket-Kopfes, ob ein Paket in Richtung des Empfängers weitergeleitet, kommentarlos verworfen oder mit einer Fehlermeldung an den Absender blockiert wird. Dabei berücksichtigt sie die Netzschnittstelle über die das Paket läuft, sowie die IP-Adresse, dazu die Absender- und Empfängerinformationen aus der Netzschicht, die TCP- bzw. UDP-Ports aus der Transportschicht, einige der TCP-Flags zum Verbindungszustand, die ICMP-Nachrichtentypen und die Richtung, in die das Paket übertragen wird (eingehend, ausgehend). Proxy Ein Proxy ist ein Stellvertreter, der Anfragen entgegennimmt und diese weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Klienten wie ein Server. Gegenüber dem eigentlichen Ziel, zum Beispiel dem Web-Server, verhält er sich wie ein Klient. Dies geschieht nicht auf der Paketebene, sondern der Inhalt der Pakete wird gelesen und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil ist, dass keine Pakete eine installierte Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert. Content-Filter / Application-Level-Gateway Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die In-

11 KAPITEL 2. GRUNDLAGEN 10 halte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können unter anderen folgende sein: Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten. Filtern/Kennzeichnen von Spam-Mails Löschen von Viren-Mails Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist jedoch sehr komplex: Es müssen einzelne Pakete zusammengesetzt werden, damit die HTML- Seite als Ganzes erkannt, durchsucht und der Regel entsprechend behandelt werden kann. Anschließend muss die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden. Abbildung 2.2 zeigt, wie moderne Firewalls eingesetzt werden können. Abbildung 2.2: Moderne Firewalls können als Router, Bridge oder Application Level Gateway arbeiten [Lei04] SOCKS Ein Socks-(Secure Sockets) Server wird in einem Netz dazu verwendet, Anwendungen und Protokolle zu bedienen, die von dem Proxy unterstützt oder von der Firewall geblockt werden. Die Socks-Software hört als Server auf Port Eine Klientenanwendung kann, wenn sie Socks-Verbindungen unterstützt, einen Tunnel zu dem Socks-Server aufbauen und die Daten durch diesen an den Server schicken. Der Server packt das Socks-Paket aus und schickt die Anfrage unverändert weiter ins Internet und die entsprechende Antwort wieder zurück an den Klienten.

12 KAPITEL 2. GRUNDLAGEN Bridge Ein Gerät, das ein physikalisches Netz in zwei Netze aufteilt ohne, dass hierfür IP-Teilnetze erzeugt werden müssen, nennt man Bridge. Eine Bridge arbeitet auf OSI-Schicht 2 (Ethernet) [Sysa] und lässt sich einfach in ein bestehendes Netz einfügen. Die Funktionsweise ist ähnlich der eines Switches. Die Bridge lernt sämtliche im lokalen Netz verwendeten MAC-Adressen und merkt sich, über welchen Anschluss (Schnittstelle, Port) sie den zugehörigen Rechner erreicht. Erhält die Bridge ein Paket, dessen Ziel-MAC-Adresse sie kennt, leitet sie das Paket nur an die passende Schnittstelle weiter und vermeidet damit überflüssige Übertragungen. Wenn die Bridge die Ziel-MAC- Adresse nicht kennt, sendet sie das Paket an jeden Anschluss. Der Vorteil dieser Komponente liegt darin, dass der Netzübergang nur extrem schwer zu entdecken ist, da dieser keinen Hop darstellt. Ebenso bleibt der TTL-Zähler (Time To Live) unverändert und es werden keine MAC-Adressen in den Paketen ausgetauscht. Eine Bridge ist protokolltransparent, das heißt der Inhalt der Pakete, die durch sie hindurchfließen, ist gleichgültig. Sie puffert allerdings die Pakete, bevor sie diese weitersendet. Das bedeutet, dass eine Bridge paketorientiert arbeitet, also wesentlich mehr Intelligenz besitzt als ein Repeater. Dafür ist sie jedoch in der Abarbeitung der Pakete langsamer. Eine Bridge wird häufig eingesetzt, wenn physische Netze mit Datenverkehr überschwemmt werden, aber keine Teilnetze eingesetzt werden sollen. Die Bridge hilft, das Datenaufkommen zu reduzieren, da sie nur Pakete weiterleitet, die das Ziel in einem anderen Netzsegment haben. Ein weiteres Einsatzgebiet für eine Bridge ist das Filtern des Datenverkehrs oder die Bandbreitenbegrenzung. Diese, dann auch als Firewall-Bridge bezeichnete Netzkomponente, wertet auch höhere Protokollschichten aus (IP-Adressen, Ports). Davon bemerken die beteiligten Stationen jedoch nichts, solange sie nur erlaubte Pakete versenden. 2.4 Intrusion-Detection-System Ein Intrusion-Detection-System (IDS) ist ein Werkzeug, mit dessen Hilfe man Zugriffe auf ein Computersystem oder ein Netz feststellen kann. Das heißt, es können Netzattacken gegen verwundbare Dienste, Format-String-Attacken gegen Applikationen, Anmeldeversuche und Malware (Viren, Würmer, Trojaner, Hintertüren) erkannt werden. Es gibt zwei Verfahren, wie Intrusion-Detection-Systeme Angriffe erkennen: Mustererkennung: Hierbei identifiziert das IDS Angriffe anhand bekannter Muster beziehungsweise Signaturen im Netzverkehr. Das heißt, der passierende Datenverkehr wird auf bekannte

13 KAPITEL 2. GRUNDLAGEN 12 Daten mit einer Datenbank verglichen, um so Angriffe oder verdächtige Pakete zu erkennen. Wird ein solches Paket bemerkt, erfolgt eine Meldung. Auf das Paket wird keine weitere Aktion ausgeführt und es erreicht unverändert sein Ziel. Anomalie-Erkennung: Dies ist ein selbstlernendes Verfahren. Der Datenstrom wird auf untypische Daten überprüft. Der Administrator kann hierzu Vorgaben wie Netzauslastung, Protokolle und typische Paketgrößen definieren. Die Anomalie-Erkennung kontrolliert Netzsegmente und vergleicht den Datenstrom mit den Vorgaben. Erkennt sie Anomalien (Unregelmässigkeiten), werden diese gemeldet. Unterschieden werden zwei Arten von Intrusion-Detection-Systemen: Host-basierte Intrusion-Detection Systeme (HIDS): Diese Systeme sind in der Lage, Ereignisse auf einem einzelnen Rechner auf ungewöhnliche und möglicherweise bösartige Aktionen hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden. Ein HIDS bieten die Möglichkeit, die Protokolldateien automatisch zu analysieren, häufige fehlerhafte Anmeldeversuche zu ermitteln oder wichtige Meldungen der Firewall zu erkennen. Das Überprüfen der Integrität von Systemdateien und automatisches Informieren bei Veränderungen von Dateien ist ebenfalls möglich. Netz-basierte Intrusion-Detection-Systeme (NIDS): Hierbei handelt es sich nicht um die Überwachung eines einzelnen Systems, sondern um ein ganzes Netzsegment. Die Systeme sind in der Lage, den Netzverkehr auf ungewöhnliche und möglicherweise bösartige Inhalte hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden, zum Beispiel, ob die IP-Köpfe RFCkonforme Werte enthalten oder ob im Datenteil der Pakete verdächtige Zeichenketten vorkommen. 2.5 Rootkit Nachdem ein Angreifer ein System kompromittiert hat, wird er versuchen, seine Spuren zu verwischen, damit man nicht zurückverfolgen kann, wie er einbrechen konnte beziehungsweise ob er eingebrochen ist. Gleichzeitig wird er versuchen, eine Hintertür einzurichten, um sich immer wieder unbemerkt auf dem System anzumelden. Vielleicht möchte er auch Werkzeuge installieren, die es ihm ermöglichen, Aktivitäten auf dem System zu verfolgen, oder die ihn zum Mitlesen anderer Anmeldevorgänge befähigen.

14 KAPITEL 2. GRUNDLAGEN 13 Damit der Angreifer dies alles umsetzten kann, muss er viele Modifikationen auf dem eingebrochenen Rechner vornehmen. Dies kann sehr aufwendig sein und beinhaltet eventuell auch das Übersetzen von Quelltext. Um diese Vorgänge zu beschleunigen und zu automatisieren, werden sogenannte Rootkits eingesetzt. Es kann sich dabei um eine Ansammlung von Shell-Skripten, Quelltext, vorkompilierte Binärdateien und Kernelmodule handeln, die die Einzelaktionen automatisieren. Ein Rootkit ersetzt Programme des Zielsystems wie beispielsweise ls, df, ps, sshd und netstat auf UNIX Systemen. Ebenso werden möglicherweise auch andere Programme durch eigene ausgetauscht, die dafür konzipiert sind, den Administratoren unzuverlässige Daten zu liefern. Die Geschichte dieser Werkzeuge geht bis etwa Mitte der 90er Jahre zurück, wobei Programme zum Reinigen von Protokolldateien noch länger bekannt sind: 1989: Erste Protokolldatei-Reiniger auf kompromittierten Systemen gefunden 1994: SunOS Rootkit entdeckt 1996: erstes Linux Rootkit öffentlich bekannt 1997: LKM (loadable kernel module) Trojaner im Phrack Magazine vorgestellt 1998: Nicht-LKM Kernel Modifikationen von Silvio Cesare vorgestellt 1999: Adore LKM Kit von TESO veröffentlicht 2000: T0rnkit v8 libproc Library Trojaner veröffentlicht 2001: KIS Trojaner und SucKit-Kit veröffentlicht 2002: Hintergrundsniffer in Rootkits eingesetzt Quelle: An Overview of Unix Rootkits [Chu] Unterschieden werden bis heute im Wesentlichen drei Arten von Rootkits: Binary-Rootkits Die ersten bekannt gewordenen Rootkits sind so genannte Binary-Rootkits. Hierbei werden Programme des Systems durch Trojaner ausgetauscht, die die Anwesenheit des Angreifers entlarven können. In der Regel besteht ein solches Rootkit aus einem Archiv, das unter anderem ein Shell-Skript beinhaltet. Dieses Skript kopiert die Dateien an die richtigen Stellen im Dateisystem. Typische Dateien, die ausgetauscht werden, sind ls, netstat, ps, login, lsof, pstree, und so weiter. Dies sind Systemwerkzeuge, die verwendet werden können, um Prozesse des Hackers zu erkennen. Die eingesetzten Trojaner verhalten sich wie die ursprünglichen

15 KAPITEL 2. GRUNDLAGEN 14 Programme, zeigen aber verdächtige Aktivitäten des Angreifers nicht an. Aktivitäten können zusätzlich installierte Dienste wie SSH-Daemon, Sniffer, Hintertüren oder auch von dem Angreifer initiierte Verbindungen zum Beispiel zu IRC-Servern sein Kernel-Rootkits Kernelmodule sind Programmabschnitte, die vom laufenden Kernel geladen und entladen werden werden können. Ein Kernelmodul stellt bei Bedarf zusätzliche Funktionalität für den Kernel bereit und wird, um Speicher zu sparen, durch den Kernel entladen, wenn die zusätzliche Funktionalität nicht mehr benötigt wird. So kann beispielsweise die Unterstützung für ein nicht natives Dateisystem oder ein Gerät durch Laden eines Kernelmoduls implementiert werden. Kernelmodule können aber auch zu unlauteren Zweck eingesetzt werden. Kernel-Rootkits nutzen diese Fähigkeit des Kernel und bieten nach dem Laden des Moduls die Möglichkeit, den Angreifer zu tarnen, sodass er sein Unwesen auf dem Zielrechner treiben kann. Das Kernelmodul funktioniert jedoch anders als ein Binary-Rootkit. Die Programme des Rootkits fungieren als Filter, um alle verdächtigen Daten von den Administratoren fernzuhalten. Das Kernelmodul läuft auf einer viel tieferen Ebene, greift Datenanforderungen auf der Systemebene ab und filtert alle Daten heraus, die für den Administrator auf die Anwesenheit des Hackers hindeuten könnten. So kann der Angreifer ein System kompromittieren und eine Hintertür einschleusen, ohne Systemeigenschaften ändern zu müssen, was zur Enttarnung führen könnte. Vorraussetzung zum Laden eines solchen Moduls ist jedoch, dass diese Fähigkeit in den Kernel einkompiliert wurde Library-Rootkits Hierbei handelt es sich um Rootkits, die prinzipiell eine ähnliche Technik wie Kernel- Rootkits verwenden. Das heißt, sie verstecken ebenfalls bestimmte Prozesse, die den Angreifer entlarven könnten. Der Unterschied liegt jedoch darin, dass die Modifikation nicht im Kernelbereich vorgenommen wird, sondern im Userspace. Diese Rootkits können daher auch als Userspace- Equivalent von Kernel-Rootkits gesehen werden. Library-Rootkits tauschen die Standard-System-Library, die die Prozessdaten für Werkzeuge wie ps, top und ähnliche aus dem Kernel-Bereich in den Userspace weiterleiten, gegen eine modifizierte Version aus. Dadurch ist es möglich, nach bestimmten Prozessen zu parsen und diese auszufiltern. Diese Modifikation wirkt sich nur auf Anwendungen aus, die nicht statisch gelinkt sind, was aber bei den meisten Linux-Systemen standardmässig der Fall ist.

16 KAPITEL 2. GRUNDLAGEN Phishing Phishing ist eine sehr neue Angriffsmethode. Hierbei handelt es sich um einen Trickbetrug, der mit Methoden des Social Engineerings durchgeführt wird. Der Angreifer versucht dabei, mit Hilfe von gefälschten s oder anderen Tricks einen Nutzer dazu zu bringen, eine gefälschte Webseite zu besuchen, um dort persönliche Informationen wie Passwörter, Kreditkartennummern, Bankdaten oder ähnliches einzugeben. Die Bezeichnung Phishing leitet sich vom Fischen nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Ebenso könnte der Ausdruck auch auf password harvesting fishing zurückführbar sein. Die s erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös dargestellt. Der Empfänger erhält zum Beispiel eine , bei der er seine Bank für den Absender hält. In Wirklichkeit steckt aber hinter dem Versand der ein Datendieb. Der Empfänger wird in dieser gebeten, seine Bankzugangsdaten zu überprüfen und soll diese zu diesem Zweck noch einmal in ein Webformular eintippen. Absender und die Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten sie sind also nur sehr schwer als Fälschungen zu identifizieren. Phishing verbreitet sich derzeit zunehmend, wie eine Analyse der Anti-Phishing Working Group [Groa] belegt. Abbildung 2.3 zeigt den Trend von aktiven Phishing-Seiten. Abbildung 2.3: Pro Woche aktiv gemeldete Phishing Seiten. Zeitraum: August - November 2004

17 KAPITEL 2. GRUNDLAGEN 16 Folgende Statistik ist in der Analyse veröffentlicht: Anzahl der gemeldeten Phishing-Seiten im November: 1518 Durchschnittliche Wachstumsrate von Phishing-Seiten in der Zeit von Juli bis November: 28% Anzahl der von Phishing betroffenen unterschiedlichen Organisationen: 51 Anzahl der unterschiedlichen Top 80% von betroffenen Organisationen: 6 Land, welches die meisten Phishing-Seiten hostet: USA Ähnlich aussehende URL der Ziel-Organisation: 22,1% Keine Hostnamen-Auflösung, nur IP-Adresse: 67% Prozentualer Anteil der Seiten, welche nicht auf Port 80 laufen: 19.2% Durchschnittliche Online-Zeit der Phishing-Seiten: 6,2 Tage Längste Online-Zeit einer Phishing-Seite: 31 Tage 2.7 Buffer-Overflow Buffer-Overflows stellen eine der größten Quellen von Schwachstellen der heutigen Zeit dar. Ein Großteil der möglichen Remote-Angriffe geht auf Buffer-Overflows zurück. Wenn er richtig ausgeführt wird, gibt ein Buffer-Overflow dem Angreifer die Möglichkeit, beliebigen Code auf dem Zielsystem auszuführen - und dies mit den Berechtigungen des Prozesses, der angegriffen wurde. Diese Technik wird oft genutzt, um eine Remote-Shell auf dem Zielsystem zu öffnen. Für einen Buffer-Overflow ist letztendlich immer der Programmierer der Anwendung oder des Systems verantwortlich. Jedes Programm legt zur Laufzeit lokale Variablen, Übergabeparameter für Funktionen sowie Rücksprungadressen für Unterprogramme im Arbeitsspeicher ab. Dieser spezielle Bereich wird als Stack bezeichnet und ist durch das Betriebssystem nicht vor ungewollten Änderungen geschützt. Schreibt ein Programm bespielsweise eine zu lange Zeichenkette in eine lokale Puffervariable, überschreibt es dabei die darauf folgenden Variablen und unter Umständen auch die Rücksprungadresse - es kommt zu einem Buffer-Overflow. Die Programmiersprache C bietet zum Beispiel Funktionen wie strcpy() für das Kopieren eines Strings. Diese Funktion überprüft dabei aber nicht, ob der Speicherbereich an der Zieladresse groß genug für die Daten ist. Ist dieser Puffer zu klein, überschreibt die Kopierfunktion die folgenden Datenfelder.

18 KAPITEL 2. GRUNDLAGEN 17 In den meisten Fällen führt ein Buffer-Overflow zum Absturz des betroffenen Programms. Entweder, weil Variablen mit unsinnigen Werten überschrieben wurden, sodass das Programm nicht wie erwartet funktioniert, oder weil die Rücksprungadresse nicht mehr stimmt. Wird an deren Stelle ein zufälliger Wert geschrieben, springt das Programm nach dem Beenden der Funktion an eine zufällige Speicheradresse und meldet einen Speicherzugriffsfehler. Viel schlimmer ist es jedoch, wenn diese Rücksprungadresse auf speziell präparierte Speicherbereiche verweist, die sinnvollen Code enthalten. Gelingt es einem Angreifer, eigene Anweisungen auf dem Stack abzulegen, kann er durch gezielte Manipulation der Rücksprungadresse dafür sorgen, dass dieser angesprungen und ausgeführt wird. Er hat einen Exploit entwickelt. 2.8 Internet Relay Chat Das Internet Relay Chat (IRC) ist ein Computerprogramm, das es ermöglicht, via Internet mit tausenden von Menschen zu sprechen. Diese Kommunikation findet in Textzeilen auf dem Computerbildschirm statt. Im IRC ist man unter seinem Spitznamen bekannt, und alles, was man sagt und macht, erscheint unter diesem Namen. Diesen Spitznamen kann man selbst frei wählen, nur darf er nicht länger als 9 Zeichen sein und es darf zur gleichen Zeit keine andere Person mit gleichem Namen im IRC geben. Damit nicht alle Benutzer durcheinander reden, ist das IRC in Kanäle unterteilt. Diese Kanäle sind so etwas wie virtuelle Orte, an denen man sich mit Freunden oder Fremden treffen und unterhalten kann. Jeder Kanal hat einen frei wählbaren Namen, der jedoch in der Regel mit einem Doppelkreuz (#) beginnen muss. Will jemand über ein bestimmtes Thema reden oder Kontakt suchen, so kann er einfach einen bestehenden Kanal betreten, oder einen neuen IRC-Kanal erzeugen. Typische Kanalnamen sind zum Beispiel: #aachen oder #linux. Neben diesen öffentlichen Kanälen gibt es auch private Kanäle. Hier kann man sich mit Freunden treffen, ohne in die breite IRC-Öffentlichkeit zu treten. Die IRC-Sprache ist Englisch: die Kanäle heissen Channels, die Spitznamen sind Nicknames und die Mitteilungen Messages. Trotzdem werden die nationalen Eigenheiten gepflegt, es gibt viele Kanäle, auf denen nur die jeweilige Landessprache gesprochen wird. IRC funktioniert nach dem Klient/Server-Prinzip. Das bedeutet, dass es auf der einen Seite einen zentralen Rechner - den Server - gibt, der einen bestimmten Dienst anbietet (in

19 KAPITEL 2. GRUNDLAGEN 18 diesem Fall IRC) und auf der anderen Seite das Programm - den sogenannten Klienten -, das diesen Dienst nutzt und dem Benutzer den Zugang ermöglicht. Der Klient vermittelt zwischen Benutzer und Server. Die wirkliche Arbeit erledigt der Server. Aus diesem Grund befindet sich der Server meist auch auf einer großen UNIX- Workstation und dem Klienten genügt ein einfacher PC. So ist es möglich, dass man mit der kleinsten Hardware einen so komplexen Dienst wie das IRC nutzen kann. Das IRC besteht aber nicht nur aus einem einzelnen Server, sondern aus einem weltweiten Netz mit sehr vielen Servern. In diesem Netz werden die gesamten Benutzerdaten und Nachrichten verwaltet und versendet. 2.9 Dateiwiederherstellung - EXT2-Dateisystem Das Second Extended Filesystem-EXT2 ist ein gutes Beispiel für ein klassisches Inode basierendes Dateisystem. Jede Datei wird durch eine besondere Struktur, ihren Inode, repräsentiert. Der Inode speichert die Metainformationen der Datei. Zusätzlich sind Datenblöcke nötig, die den Nutzinhalt aufnehmen. Verzeichnisse sind nur besondere Dateien, die ebenfalls aus einem Inode bestehen. Ihre Datenblöcke enthalten den Verzeichnisinhalt: Eine Liste aus Dateinamen und Verweisen auf dem zugehörigen Inode. Dieser Inode enthält alle Metainformationen mit Ausnahme des Dateinamens. Dazu zählen die Größe der Datei, ihr Typ, die Rechte der Besitzer und der Gruppe, der Referenzzähler und die drei Unix-Zeitstempel (ctime, atime und mtime). Im Inode stehen auch zwölf direkte Verweise auf Datenblöcke der Datei. Für größere Dateien nutzt der Inode zudem indirekte Verweise. Der erste zeigt auf einen Datenblock, der direkte Verweise auf weitere Datenblöcke enthält. Die beiden letzten Verweise zeigen auf einen doppelt-indirekten und einen dreifach-indirekten Block. (Abbildung: 2.4) Löscht das Dateisystem eine Datei, markiert es nur den Eintrag im Verzeichnis sowie den Inode als gelöscht und gibt den Inode und die Datenblöcke frei. Verweise auf die Datenblöcke und die Verbindung zwischen den Dateinamen und dem Inode bleiben üblicherweise erhalten. So ist es möglich, dass ein Werkzeug wie ils die gelöschten Inodes anzeigt und icat den Inhalt der Datei wiederherstellt. Dies gelingt aber nur, wenn das Dateisystem den Inode oder die Datenblöcke nicht bereits für andere Dateien verwendet. Der Befehl fls zeigt die Namen der gelöschten Dateien an. Die Werkzeuge ils, icat und fls sind Bestandteile des The Sleuth Kit [sle].

20 KAPITEL 2. GRUNDLAGEN 19 [Spe03] Abbildung 2.4: Inodes enthalten Metainformationen einer Datei

21 Kapitel 3 Klassifizierung von Angreifern Nicht jeder, der versucht, ein Netz oder ein Rechnersystem zu hacken, hat kriminelle Absichten. Die Motive der Angreifer können vollkommen unterschiedlich sein. In diesem Kapitel wird eine grobe Klassifizierung der Angreifer vorgenommen. Dabei sind das Fachwissen und das Motiv Kriterium der Einteilung. 3.1 Low-level-Angreifer Low-level-Angreifer werden oft auch als Script Kiddies bezeichnet. Hierbei handelt es sich um jemanden, der versucht, auf eine schnelle und einfache Weise Erfolge beim Kompromittieren von Netzen zu erhalten. Es ist nicht das Ziel, bestimmte Informationen zu erlangen oder in das Netz einer bestimmten Firma einzudringen, sondern vielmehr schnell und einfach root auf einem oder möglichst vielen Systemen zu werden. Das Fachwissen dieser Hacker ist meist sehr gering. Sie benutzen in der Regel fertige Werkzeuge, die einfach zu starten sind und das Zielsystem oft selbständig finden und kompromittieren. Dieser Typ von Angreifer ist sicher häufiger zu finden, zumal es viele fertige Hacker- Werkzeuge im Internet gibt, die man nur kopieren und ausführen muss. Die zufällige Auswahl der Ziele ist es, die das Script Kiddie so gefährlich machen. Die Daten auf dem einzelnen Rechner mögen uninteressant sein, aber früher oder später wird auch der langweilige Rechner von nebenan gescannt und auf Schwachstellen überprüft. Ist ein Angreifer erst einmal auf einem System, muss er gar nicht Daten ausspionieren oder löschen. Vielleicht greift er weitere Systeme von diesem Rechner aus an. Die Kette der gehackten Plattformen wird länger und ein Zurückverfolgen immer schwieriger.

22 KAPITEL 3. KLASSIFIZIERUNG VON ANGREIFERN High-level-Angreifer Im Gegensatz zu einem Low-level-Angreifer besitzt der High-level Angreifer tiefgehendes Wissen über Rechner- und Netztechnik. Er ist in der Lage, die komplexen Strukturen der Hard- oder Software, welche er angreifen möchte, zu verstehen. Dies ermöglicht ihm nicht nur neue Sicherheitslücken zu finden, sondern auch entsprechende Software zu Programmieren, die ihm dadurch zum Beispiel einen Zugriff ermöglicht. High-level Angreifer sind nicht an zufällig gefunden Zielen interessiert, es reizen sie viel mehr die neuen technischen Herausforderungen oder speziell gesicherte Ziele. 3.3 Whitehat vs. Blackhat Der Begriff Hacker wird oft mit jemandem assoziiert, der Computer zu illegalen Zwecken einsetzt und zum Beispiel in fremde Rechner und Netze eindringt, nur um dort Schaden anzurichten. Aber ein Hacker ist viel mehr jemand, der sich sehr gut mit den Techniken auskennt, sehr gute Programmierkenntnisse besitzt, jedoch keine kriminellen Absichten verfolgt. Zutreffender, um den bösen vom guten Hacker zu unterscheiden, sind die Bezeichnungen Blackhat (Cracker) beziehungsweise Whitehat. Hierbei bezeichnet die Farbe des Hutes (Hat) die moralische Einstellung des Hackers. Ein Hacker mit schwarzem Hut (Blackhat) handelt dabei mit krimineller Energie - entweder um das Zielsystem zu beschädigen oder um Daten zu stehlen. Bei einem Hacker mit weißem Hut (Whitehat) handelt es sich um jemanden, der versucht, seine Meinung von Informationsfreiheit zu verbreiten und zu beweisen, dass es keine 100%ige Sicherheit im Internet geben kann. Ein Whitehat ist meistens ein seriöser Programmierer, der sich in seinem Bereich sehr gut auskennt (Nerd) und somit die Schwachstellen wie Buffer-Overlow oder Race Conditions kennt und weiß, wie man sie vermeiden beziehungsweise auch ausnutzen kann. Der Ursprung dieser Bezeichnung sind die klassischen Western-Filme, in denen der Held meist einen weißen und der Schurke einen schwarzen Hut trägt.

23 Kapitel 4 Ethische und rechtliche Aspekte In diesem Kapitel wird auf die ethischen und rechtlichen Aspekte eingegangen, die bei dem Betrieb eines Honeynet, insbesondere in Deutschland, beachtet werden müssen. Maximilian Dornseif schreibt dazu [MDb]: Die Verantwortlichkeit des honeynet-betreibers ist in zwei Bereichen besonders diskussionswürdig: Wie ist das honeynet in Bezug auf das gesamte Internet und wie sind insbesondere Angriffe von honeypots aus auf andere Systeme zu beurteilen? Hierbei sind ethische, straf- und zivilrechtliche Aspekte von Interesse. Wie ist es zu bewerten, dass die blackhats ohne ihr Wissen zum Teil eines Experimentes gemacht werden? Hierbei kommen insbesondere datenschutzrechtliche Aspekte zum Tragen. 4.1 Ethische Aspekte Durch die Installation eines mit dem Internet verbundenen honeynet wurden dem Internet Systeme hinzugefügt, die wider besseren Wissens nicht dem Stand der Sicherheitstechnik entsprechen. Man kann argumentieren, dass dadurch grundsätzlich die Gesamtsicherheit des Internets verringert wurde. Für den honeynet-betreiber würde dies bedeuten, dass er eine besondere Verantwortung gegenüber Personen übernimmt, deren System durch blackhats von dem honeynet aus angegriffen werden. Betrachtet man jedoch das aktuelle Sicherheitsniveau von Systemen im Internet, scheint dieses dermaßen niedrig zu sein, dass die honeypot-systeme möglicherwiese sogar über dem durchschnittlichen Sicherheitsniveau liegen und somit die Gesamtsicherheit des Internet verbessern.

24 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 23 Bedenkt man weiterhin, dass (1) die Systeme des honeynet mit ihrer mangelnden Sicherheit die Population potentieller Opfer im Internet vergrößern und damit das Risiko des einzelnen verringert, Opfer einer Attacke zu werden, und (2) gleichzeitig auch durch die strenge Kontrolle des ausgehenden Verkehrs der Anteil an Rechnern verringert wird, die ohne weiteres als Plattform für weitere Angriffe genutzt werden können, kann durchaus davon ausgegangen werden, dass das honeynet allein durch seine Existenz das Risiko Dritter, zum Opfer eines Angriffs aus dem Internet zu werden, leicht verringert. Weiterhin besteht die berechtigte Hoffnung, dass die mit dem honeynet gesammelten Ergebnisse mittelfristig zur Steigerung der Gesamtsicherheit des Internet beitragen. Ethisch scheint daher der Betrieb eines honeynet gegenüber der Gesellschaft vertretbar zu sein. 4.2 Strafrechtliche Aspekte Rechtlich könnte eine straf- oder zivilrechtliche Haftung bestehen, wenn das honeynet Teil eines Angriffs gegen Dritte ist. Strafrechtlich könnte der Betrieb eines honeynet gemäß 27 StGB Beihilfe zu Straftaten sein, die von einem blackhat über das honeynet verübt werden. Beihilfe kann jedoch nur durch eine vorsätzliche Hilfeleistung erfolgen. Dies ist nicht gegeben. Stattdessen wird versucht, mittels Snort_inline und iptables Beeinträchtigungen anderer Systeme von dem honeynet aus zu verhindern. Weiterhin ist der Betrieb eines Rechners mit dem Sicherheitsniveau der Honeypots völlig sozialadäquat, d.h. er lädt nicht etwa blackhats zum Missbrauch ein. Der Sicherheitsstandard der Systeme liegt sogar über dem vieler anderer am Internet angeschlossener Systeme. Strafrechtlich ist der Betrieb des honeynet daher unbedenklich. 4.3 Zivilrechtliche Aspekte Eine zivilrechtliche Haftung für durch den Angreifer vom honeynet aus gegenüber anderen verursachten Schäden käme primär aus 821 I BGB in Betracht. Dafür müsste aber ein von dem blackhat verursachter Schaden den Betreibern des honeynet zurechenbar sein. Da die Betreiber des honeynet jedoch nicht aktiv andere Rechner schädigen, kommt nur eine Haftung aus dem Unterlassen der

25 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 24 Absicherung des honeynet in Betracht. Dazu müsste der Betreiber insbesondere eine Garantenstellung innehaben, die ihn verpflichtet, Gefahren aus dem honeynet einzuschränken. Diese könnte sich aus einer Verkehrssicherungspflicht ergeben. Die allgemeine Verkehrssicherungspflicht besagt, dass jedermann, der in seinem Verantwortungsbereich Gefahren schafft oder andauern lässt, die notwendigen Vorkehrungen treffen muss, die im Rahmen des wirtschaftlich zumutbaren geeignet sind, Gefahren von Dritten abzuwenden. Welche Maßnahmen notwendig und zumutbar sind, ist eine Wertungsfrage. Bisher scheint es die Gesellschaft inklusive der Rechtssprechung abzulehnen, Betreiber von mit dem Internet verbundenen Systemen für Schäden zur Verantwortung zu ziehen, die durch die Unsicherheit dieser Systeme entstanden sind. Daher ist davon auszugehen, dass es als nicht notwendig oder als nicht zumutbar angesehen wird, mit dem Internet verbundene Systeme abzusichern oder zu überwachen. Das honeynet wird jedoch umfangreich überwacht. Insbesondere wird besonderer Aufwand betrieben, um Schaden von Dritten abzuwenden. Damit hat der Betreiber des honeynet, selbst wenn man eine Verkehrssicherungspflicht für mit dem Internet verbundene System annähme, diese erfüllt. 4.4 Datenschutzrechtliche Aspekte Bei der Frage, wie der Betrieb des honeynet gegenüber den eindringenden blackhats zu bewerten ist, ist vor allem fraglich, in wieweit ein angreifender blackhat nicht unwissend zum Teil eines Experiments gemacht wird. Der blackhat- Community ist durchaus bewusst, dass zum einen honeynets existieren und dass zum anderen Systemadministratoren soweit sich entsprechende Gelegenheiten bieten, alle Schritte von blackhats aufzeichnen und umfangreiche forensische Untersuchungen durchführen. Deshalb kann davon ausgegangen werden, dass blackhats billigend in Kauf nehmen, dass ihr Handeln aufgezeichnet und untersucht wird. Auch rechtlich bestehen aus dieser Hinsicht keine Bedenken. Insbesondere ist nicht davon auszugehen, dass das honeynet mit personenbezogenen Daten in Kontakt kommt. Somit ist der Betrieb aus datenschutzrechtlicher Sicht unbedenklich. Die in den vorigen Abschnitten beschriebenen Aspekte können auf das in dieser Diplomarbeit errichtete Honeynet angewendet werden. Um keine vorsätzliche Hilfeleistung zu

26 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 25 begehen, sind in diesem Honeynet anstelle der iptables-paketfilter die in dem eingesetzten FreeBSD-Betriebssystem implementierten ipfw-filter verwendet worden. snort_inline wurde nicht benutzt, jedoch sind die Anzahl der gleichzeitigen und der maximalen Verbindungen pro Tag limitiert worden. Des weiteren wurde nach dem Versenden der Phishing-Mails und der Installation der Ebay-Phishing-Webseiten die Staatsanwaltschaft Köln informiert um einer gegenbenenfalls notwendigen Anzeigepflicht nachzukommen. Abbildung 4.1 zeigt das Schreiben der Staatsanwaltschaft Köln.

27 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE Abbildung 4.1: Schreiben der Staatsanwaltschaft Köln 26

28 Kapitel 5 Klassifizierung von Honeypots In diesem Kapitel wird auf die unterschiedlichen Einteilungen von Honeypots eingegangen, wobei das Konzept der Systeme identisch ist. Lance Spitzner formulierte dies wie folgt [Spi02]: Simply put, honeypots are systems designed to be compromised by an attacker. Once compromised, they can be used for a variety of purposes, such as an alerting mechanism or deception. Es handelt sich um Systeme, die expliziert dafür konzipiert sind, dass sie von einem Angreifer kompromittiert werden. Dieses Eindringen kann für verschiedene Dinge verwendet werden. So ist es möglich, aus diesen Angriffen zu lernen. Man kann durch gezielte Überwachungsverfahren die Vorgehensweise analysieren und daraus erkennen, wie ein Einbruch möglich war. Dies ist in besonderem Maße interessant, wenn es sich um neue Techniken handelt. Ein Weiterentwickeln der Schutzmechanismen insbesondere bei Produktivsystemen ist somit zu aktuellen Angriffsmethoden fast zeitnah möglich. Honeypots können auch zum Täuschen verwendet werden. Hierbei werden leicht verwundbare Produktivsysteme durch Software vorgespielt. Überprüft ein Angreifer zum Beispiel ein Firmennetz, wird er sich vermutlich auf die schlecht geschützten Systeme, die virtuellen Honeypots, konzentrieren. 5.1 Low Interaction Honeypots Bei sogenannten Low Interaction Honeypots handelt es sich um Systeme, die Netzdienste mit Hilfe von Software simulieren und somit das Vorhandensein einer aktiven Komponente vortäuschen. Die Funktionalität solcher Honeypots ist beschränkt. Der Nutzen ist meist darauf limitiert,

29 KAPITEL 5. KLASSIFIZIERUNG VON HONEYPOTS 28 Informationen zu generellen Netzanalysen zu sammeln. Die Installation und Konfiguration von solchen Systemen ist einfach. Es lassen sich leicht große Netzbereiche administrieren. Ebenso ist das Risiko für diesen Typ Honeypot äußerst gering, da zum einen Konfigurationsfehler kaum Auswirkungen haben und zum anderen dem Angreifer geringe Möglichkeiten eines realen Angriffs geboten werden. Dennoch ist es ratsam, den auch virtuellen Honeypot genannten Dienst in einer explizit gesicherten Umgebung wie einem Jail oder Chroot auszuführen. Das Erkennen einer solchen virtuellen Falle ist auf Grund des beschränkten Aktionsgrades sehr einfach. Ein Angreifer könnte daher versuchen, die Simulationssoftware durch gegebenenfalls vorhandene Softwareschwächen auszunutzen, um an das Host-System, von dem aus die Honeypot-Software gestartet wurde, zu gelangen. Ein bekannter Vertreter für virtuelle Honeypots ist das von Niels Provos unter der GNU General Public License enwickelte Honeyd-Werkzeug [Prob]. Mit Hilfe dieser Software wird unter anderem auch Forschung im Bereich Spam- und Wurm-Attacken aus dem Internet betrieben. Abbildung 5.1 zeigt exemplarisch ein Honeyd-Spam-Forschungsnetz. Abbildung 5.1: Honeyd-Spam-Forschungsnetz [Prob]

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Beschimpfung Beleidigung Verleumdung. Diebstahl. Raub. Erpressung. Terror. Körperverletzung Ermordung Werkzeug/Methode

Beschimpfung Beleidigung Verleumdung. Diebstahl. Raub. Erpressung. Terror. Körperverletzung Ermordung Werkzeug/Methode Beschimpfung Beleidigung Verleumdung Diebstahl Betrug Einbruch Körperverletzung Ermordung Werkzeug/Methode Raub Terror Erpressung Flame (von englisch to flame aufflammen ) ist ein ruppiger oder polemischer

Mehr

Verbreitete Angriffe

Verbreitete Angriffe Literatur Verbreitete Angriffe Univ.-Prof. Dr. Christoph Meinel Hasso-Plattner-Institut Universität Potsdam, Deutschland DoS und DDoS Angriffe (1/2) 2 Denial-of-Service Angriff mit dem Ziel der Störung

Mehr

GSM: IDS Optimierung. Inhalt. Einleitung

GSM: IDS Optimierung. Inhalt. Einleitung Copyright 2009-2014 Greenbone Networks GmbH Herkunft und aktuellste Version dieses Dokuments: www.greenbone.net/learningcenter/ids_optimization.de.html GSM: IDS Optimierung Inhalt Vorbereitung des Sourcefire

Mehr

Ungenauigkeiten der Filterung

Ungenauigkeiten der Filterung A Ungenauigkeiten der Filterung Kein Filter ist perfekt. Mit Ihrer Hilfe strebt MailCleaner an, ein perfekter Filter zu werden. Die Filterung, die von MailCleaner durchgeführt wird, beruht auf automatischen

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen Kassenärztliche Vereinigung Niedersachsen Inhaltsverzeichnis 1. Allgemein... 3 1.1 Betriebssysteme und Internet Browser... 3 2. Zugang... 4 2.1 Anmeldung... 4 2.2 VPN Verbindung herstellen... 4 2.3 Browser

Mehr

Penetrationtests: Praxisnahe IT-Sicherheit

Penetrationtests: Praxisnahe IT-Sicherheit Ihr Netzwerk aus der Angreiferperspektive jens.liebchen@redteam-pentesting.de http://www.redteam-pentesting.de 21. März 2007 Technologieforum Telekommunikation IHK Aachen Februar 2007: Agenda Verfassungsschutz:

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Kapitel 4 Zugriffsbeschränkungen

Kapitel 4 Zugriffsbeschränkungen Kapitel 4 Zugriffsbeschränkungen In diesem Kapitel erfahren Sie, wie Sie Ihr Netzwerk durch Zugriffsbeschränkungen des 54 MBit/s Wireless Router WGR614 v6 schützen können. Diese Funktionen finden Sie im

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

Einrichten eines SSH - Server

Einrichten eines SSH - Server Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de

Webmail. Anleitung für Ihr online E-Mail-Postfach. http://webmail.willytel.de Webmail Anleitung für Ihr online E-Mail-Postfach http://webmail.willytel.de Inhalt: Inhalt:... 2 Übersicht:... 3 Menü:... 4 E-Mail:... 4 Funktionen:... 5 Auf neue Nachrichten überprüfen... 5 Neue Nachricht

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

juliteccrm Dokumentation

juliteccrm Dokumentation Customer Relationship Management für kleine und mittelständische Unternehmen juliteccrm Dokumentation 2012, julitec GmbH Page 1 of 12 julitec GmbH Flößaustraße 22 a 90763 Fürth Telefon: +49 911 979070-0

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Aktuelle Themen der Informatik Daniel Renoth CN 8

Aktuelle Themen der Informatik Daniel Renoth CN 8 HFU Furtwangen Aktuelle Themen der Informatik Daniel Renoth CN 8 Agenda 1. Definition Rootkit? 2. Historie 3. Szenario 4. Funktionalität 5. Arten von Rootkits HFU Furtwangen - Aktuelle Themen der Informatik

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Zeiterfassungsanlage Handbuch

Zeiterfassungsanlage Handbuch Zeiterfassungsanlage Handbuch Inhalt In diesem Handbuch werden Sie die Zeiterfassungsanlage kennen sowie verstehen lernen. Es wird beschrieben wie Sie die Anlage einstellen können und wie das Überwachungsprogramm

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung POP3 und Bridge-Modus Inhaltsverzeichnis 1 POP3 und Bridge-Modus 2 1.1 Funktionsweise von POP3 mit REDDOXX 2 1.2 Betriebsarten 3 1.2.1 Standard-Modus 3 1.2.2 Bridge-Modus 6 1.2.3

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Änderungsprotokoll Endpoint Security for Mac by Bitdefender Änderungsprotokoll Veröffentlicht 2015.03.11 Copyright 2015 Bitdefender Rechtlicher Hinweis Alle Rechte

Mehr

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit

WINDOWS 7. Druckerkonfiguration - Systemsteuerung - Sicherheit WINDOWS 7 Druckerkonfiguration - Systemsteuerung - Sicherheit Druckerverwaltung ab Seite 91 = Standarddrucker Druckaufträge verwalten ab Seite 96 Systemsteuerung ab Seite 97 System Information über das

Mehr

1. Schritt: Benutzerkontensteuerung aktivieren

1. Schritt: Benutzerkontensteuerung aktivieren Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

Fresh Minder 3-Server

Fresh Minder 3-Server Fresh Minder 3-Server Installation und Betrieb Fresh Minder-Vertrieb Rieslingweg 25 D - 74354 Besigheim support@freshminder.de www.freshminder.de ÜBERSICHT Die Standardversion (Einzelplatzversion) von

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei!

Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Aktuelle Phishingfälle- Sicherheitskontrolle fast immer dabei! Eine Auswertung der seit Beginn des Jahres aufgetretenen Phishingfälle, sowie unterschiedliche mediale Beiträge zum Thema Phishing, zeigen

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

BRÜCKENTYPEN FUNKTION UND AUFGABE

BRÜCKENTYPEN FUNKTION UND AUFGABE Arbeitet auf der OSI-Schicht 2 Verbindet angeschlossene Collision-Domains mit verwandten Protokollen In jeder Collision-Domain kann gleichzeitig Kommunikation stattfinden Nur eine Verbindung über eine

Mehr

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security

Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security Referat: Jan Pape Mai 2003 Internetsicherheit mit Norton Internet Security 1. Einführung Im folgenden wird die Handhabung des Programmes Norton Internet Security erklärt. NIS ist ein umfassendes Programm,

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

25.11.1999 25.11.1999

25.11.1999 25.11.1999 1 nur ein Sicherheitsaspekt ist etwas irreführend - es berührt auch viele anderen der Schwächen und Angriffspunkte, die scheinbar nichts mit dem Netz zu tun haben: Viele Angriffe nutzen eine Kombination

Mehr

FrogSure Installation und Konfiguration

FrogSure Installation und Konfiguration FrogSure Installation und Konfiguration 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...1 2 Installation...1 2.1 Installation beginnen...2 2.2 Lizenzbedingungen...3 2.3 Installationsordner auswählen...4 2.4

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009

Firewalling mit iptables Die Netfilter-Architektur. Seminar Betriebssytemadministration SS 2009 Firewalling mit iptables Die Netfilter-Architektur Seminar Betriebssytemadministration SS 2009 Gliederung 2 Firewall Aufgaben/Ziele Firewalltypen Sicherheitspolitik Sicherheitskonzept Netzwerktopologie

Mehr

Interneteinstellungen für Agenda-Anwendungen

Interneteinstellungen für Agenda-Anwendungen Interneteinstellungen für Agenda-Anwendungen Bereich: TECHNIK - Info für Anwender Nr. 6062 Inhaltsverzeichnis 1. Ziel 2. Voraussetzungen 3. Vorgehensweise: Firewall einstellen 4. Details 4.1. Datenaustausch

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Benutzerhandbuch. Marco Wegner [14.05.09]

Benutzerhandbuch. Marco Wegner [14.05.09] Benutzerhandbuch Marco Wegner [14.05.09] Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Login...3 2. Navigation...4 2.1 Menü...5 2.2 Das Logfile...5 3. Dokumentenverwaltung...6 3.1 Hochladen von Dateien...6

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant

Die Kunst des Krieges Parallelen zu Cybercrime. Michael Simon, Security Consultant Die Kunst des Krieges Parallelen zu Cybercrime Michael Simon, Security Consultant Die größte Verwundbarkeit ist die Unwissenheit. Quelle: Sun Tzu, Die Kunst des Krieges 2 Agenda Kenne Dich selbst Schwachstelle,

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

Sicherheits-Leitfaden

Sicherheits-Leitfaden Sicherheits-Leitfaden Sehr geehrter Kunde, bei dem von Ihnen genutzten Angebot handelt es sich um Webspace auf einem Shared-Server. Dies bedeutet, dass auf einem Server mehrere Kunden gehostet werden.

Mehr

Das Handbuch zu KSystemLog. Nicolas Ternisien

Das Handbuch zu KSystemLog. Nicolas Ternisien Nicolas Ternisien 2 Inhaltsverzeichnis 1 KSystemLog verwenden 5 1.1 Einführung.......................................... 5 1.1.1 Was ist KSystemLog?................................ 5 1.1.2 Funktionen.....................................

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach reitenba@fh-brandenburg.de Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30 Agenda traditionelle Sicherheitstechnologien

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Spamschutz bei TYPO3. von Bernd Warken bei Fa. Netcos AG

Spamschutz bei TYPO3. von Bernd Warken bei Fa. Netcos AG Spamschutz bei TYPO3 von Bernd Warken bei Fa. Netcos AG Kapitel 0: Einleitung 3 0.1 Vorwort 3 0.2 Lizenz 3 Kapitel 1: Aktivierung und Konfiguration 4 1.1 config.spamprotectemailaddresses 4 1.2 config.spamprotectemailaddresses_atsubst

Mehr

SiteAudit Knowledge Base. Move Add Change Tracking. Vorteile Übersicht. In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen

SiteAudit Knowledge Base. Move Add Change Tracking. Vorteile Übersicht. In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen SiteAudit Knowledge Base Move Add Change Tracking Dezember 2010 In diesem Artikel: Vorteile Übersicht Funktionsübersicht Berichte anpassen MAC Benachrichtigungen Vorteile Übersicht Heutzutage ändern sich

Mehr

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum KMU Backup Ausgangslage Eine KMU taugliche Backup-Lösung sollte kostengünstig sein und so automatisiert wie möglich ablaufen. Dennoch muss es alle Anforderungen die an ein modernes Backup-System gestellt

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

BANKETTprofi Web-Client

BANKETTprofi Web-Client BANKETTprofi Web-Client Konfiguration und Bedienung Handout für die Einrichtung und Bedienung des BANKETTprofi Web-Clients im Intranet / Extranet Der BANKETTprofi Web-Client Mit dem BANKETTprofi Web-Client

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Alle Inhalte der Webseite sind urheberrechtliches Eigentum von JEUNESSE.

Alle Inhalte der Webseite sind urheberrechtliches Eigentum von JEUNESSE. JEUNESSE Datenschutzerklärung JEUNESSE ist bemüht Ihre Privatsphäre zu respektieren. Wir haben unsere Webseite so aufgebaut, dass Sie diese auch ohne sich zu identifizieren oder andere Daten preis geben

Mehr

G-Info Lizenzmanager

G-Info Lizenzmanager G-Info Lizenzmanager Version 4.0.1001.0 Allgemein Der G-Info Lizenzmanager besteht im wesentlichen aus einem Dienst, um G-Info Modulen (G-Info Data, G-Info View etc.; im folgenden Klienten genannt) zentral

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst

Der Parameter CLOSE bewirkt, dass sich das Sicherungsprogramm am Ende der Sicherung automatisch schliesst 1 Sicherung 1.1 Einleitung Die Applikation WSCAR basiert auf der Datenbank-Engine Firebird 1.5.5 / 2.5.2. Beide Programme sind nur auf der Hauptstation(Server) installiert und dürfen nie deinstalliert

Mehr

Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem

Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem Integration MULTIEYE in EBÜS - Das Einheitliche Bildübertragunssystem Über dieses Handbuch Wichtige Funktionen werden durch die folgenden Symbole hervorgehoben Wichtig: Besonders wichtige Informationen,

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

X5 unter Windows Vista / 7 und Windows 2008 Server

X5 unter Windows Vista / 7 und Windows 2008 Server X5 unter Windows Vista / 7 und Windows 2008 Server Die Benutzerkontensteuerung (später UAC) ist ein Sicherheitsfeature welches Microsoft ab Windows Vista innerhalb Ihrer Betriebssysteme einsetzt. Die UAC

Mehr

Spamfilter Einrichtung

Spamfilter Einrichtung Spamfilter Einrichtung Melden Sie sich in Ihrem Hosting Control Panel an. Klicken Sie in der Navigation links, im Menu "E-Mail", auf den Unterpunkt "Spam Filter". Bei dem Postfach, dessen Einstellungen

Mehr

TeleBuilder for Process Data

TeleBuilder for Process Data TeleBuilder for Process Data Komponenten für die Lean Web Automation - Benutzeranleitung Version: 1.0 / 15.11.005 Autoren: Dipl.-Ing. S. Karasik Prof. Dr.-Ing. R. Langmann 1. Allgemeine Information Der

Mehr

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1

Vortrag am 06.06.2002. in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer. 16.01.2006 IT-Sicherheit 1 IT-Sicherheit Vortrag am 06.06.2002 in Hannover (DVG) Arbeitskreis Informationstechnologie IHK Uni Hildesheim Prof. Dr. E. Schwarzer 16.01.2006 IT-Sicherheit 1 Literatur O. Kyas, M. a Campo, IT-Crackdown

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Reale Angriffsszenarien Clientsysteme, Phishing & Co. IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Viren

Mehr

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird. Der Admin-Bereich im Backend Achtung: Diese Anleitung gibt nur einen groben Überblick über die häufigsten Aufgaben im Backend-Bereich. Sollten Sie sich nicht sicher sein, was genau Sie gerade tun, dann

Mehr

Der Nachdruck und die Auswertung von Pressemitteilungen bzw. Reden sind mit Quellenangabe allgemein gestattet.

Der Nachdruck und die Auswertung von Pressemitteilungen bzw. Reden sind mit Quellenangabe allgemein gestattet. Nutzungsbedingungen Texte, Bilder, Grafiken sowie die Gestaltung dieser Internetseiten unterliegen dem Urheberrecht. Sie dürfen von Ihnen nur zum privaten und sonstigen eigenen Gebrauch im Rahmen des 53

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr