GEMEINSAME BENUTZERVERWALTUNG

Größe: px
Ab Seite anzeigen:

Download "GEMEINSAME BENUTZERVERWALTUNG"

Transkript

1 GEMEINSAME BENUTZERVERWALTUNG MIT OPENLDAP UND RADIUS CEBIT SPLITTER DNS - AUFBAU UND COMPUTER FORENSIK DATA HIDING KERNEL SECURITY IPV6 BS7799 IT SERVICE MANAGEMENT SERVER-TAGEBUCH TEIL 2 SCHWACHSTELLEN

2 Hagenberger Kreis zur Förderung der digitalen Sicherheit pa FH-Studiengang CMS Hauptstraße Hagenberg fax: /

3 Vorwort 3 Der Sommer ist zu Ende und ein neues Studienjahr beginnt. Wobei sich viele fragen werden, wo denn der Sommer hinsichtlich der Temperaturen überhaupt geblieben ist. Während zumindest in Deutschland der Wahlkampf für Hitzewallungen sorgte, blieb es bei uns doch eher mäßig. Nichts desto trotz hoffe ich, dass jeder, der Urlaub hatte, diesen auch genießen konnte. Der Herbst beginnt zumindest heiß. Zehn neue Artikel im Magazin erklären, klären auf und analysieren Themen aus den verschiedensten Bereichen der IT-Sicherheit. Von der tief greifenden Technik bis zur hohen Kunst des Managements ist wieder einmal für jeden Geschmack etwas dabei. Wieviele Türen aus unserem Titelbild haben Sie in Verwendung? Wäre es nicht einfacher nur eine Türe öffnen zu müssen? Sollte Sie diese Frage mit ja beantworten, dann wird Ihnen unser Titelthema auf effiziente Weise einen Einblick in diese Thematik anhand von OpenLDAP und FreeRadius bieten. Während der Hagenberger Kreis sich bereits in der Anfangsphase der Planung für das nächste Security Forum befindet und unsere neuen Studenten durchstarten, begeben wir uns auf Themensuche für die nächste Ausgabe. Einstweilen wünsche ich Ihnen viel Spaß mit dem aktuellen HK-Magazin. Harald Fürlinger

4 4 Impressum HK-Magazin Medieninhaber und Verleger: Hagenberger Kreis zur Förderung der digitalen Sicherheit Herausgeber und Redaktion: Harald Fürlinger und Dirk Wallerstorfer A-4232 Hagenberg, Hauptstraße 117 Fax: +43 (0) Chefredaktion: Harald Fürlinger Grafik / Design und Layout: Dirk Wallerstorfer Bilderquelle: wenn nicht anders angegeben, bei den Autoren. Nachdruck der Artikel nur unter genauer Quellenangabe erlaubt, welche die Nennung des Autors sowie die des Hagenberger Kreises beinhalten muss. Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Herausgeber nicht übernommen werden. Für namentlich gekenntzeichnete Artikel wird nur die presserechtliche Verantwortung übernommen. Produktbezeichnungen und Logos sind zu Gunsten der jeweiligen Hersteller als Warenzeichen und eingetragene Warenzeichen geschützt. Wir übernehmen keine Haftung für eventuelle Schäden die aus der Benutzung des pdf- Files entstehen könnten und empfehlen das File vor dem Öffnen noch einmal mit einem Virenscanner zu prüfen. Dieses Magazin erscheint regelmäßig.

5 Inhaltsverzeichnis 5 CEBIT SPLITTER 6 Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. KERNEL SECURITY 21 Bei der Diskussion um das Beste und sicherste Betriebssystem wird meist Linux als erste Wahl genannt. Doch warum ist das so? Man könnte meinen, dass ein fertig zusammengestelltes und unveränderliches Windows System weitaus sicherer ist. DNS - AUFBAU UND SCHWACHSTELLEN 8 Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. IPV6 23 Das Internet Protocol Version 6 ist der designierte Nachfolger der sehr populären Version 4. IPv6 weist in manchen Teilen noch Ähnlichkeiten zum Vorgänger auf, legt jedoch neben zahlreichen Verbesserungen und Erweiterungen einige neue, sehr interessante Konzepte zu Tage. COMPUTER FORENSIK 12 Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. ZERTIFIZIERTE INFORMATIOSSICHERHEIT NACH BS 7799 BZW. ISO/IEC Dass Komponenten wie Firewalls und Anti-Viren Programme zu zentralen Bestandteilen eines Sicherheitskonzepts gehören, haben mittlerweile die meisten Unternehmen erkannt. Aber was nützt die beste Firewall, wenn es die Mitarbeiter sind, die sensible Daten an die Öffentlichkeit tragen? DATA HIDING 14 Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. IT SERVICE MANAGEMENT 28 Ein Großteil der Geschäftsprozesse von Unternehmen setzt das reibungslose Funktionieren aller IT-Infrastrukturkomponenten (Daten- und Sprachnetzwerke, Serversysteme, Anwendungen, etc.) voraus. GEMEINSAME BENUTZERVERWALTUNG FÜR SQUID, POSTFIX, PPTP UND L2TP/IPSEC MIT OPENLDAP UND FREE- RADIUS 16 Ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. SERVER TAGEBUCH - TEIL 2 30 Der zweite Teil des Server Tagebuchs behandelt die Services FTP, Samba und DynDNS.

6 6 Cebit Splitter Cebit Splitter Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. IBM hat einen Prototyp des im Rahmen des Millipede-Projektes entwickelten, im Nanobereich arbeitenden thermomechanischen Datenträgers vorgestellt. Mit dieser Technologie kann eine Aufzeichnungsdichte von 1 TB pro Quadratzoll erreicht werden, was etwa der Datenmenge von 25 DVDs auf der Fläche einer Briefmarke entspricht. Der Datenträger ist wiederbeschreibbar. Die Marktreife könnte nach etwa 2 bis 3-jähriger Entwicklungszeit erreicht werden. DIE TU BRAUNSCHWEIG, Institut für Hochfrequenztechnik, hat organische Leuchtdioden (O-LEDs) präsentiert. Sie bestehen aus hauchdünnen Schichten organischer Halbleiter und organischer Farbstoffe, können auf biegsame Folien aufgetragen werden und benötigen, da sie selbstleuchtend sind, im Gegensatz zu LCDs, keine Hintergrundbeleuchtung. Des-halb und weil sie Strom direkt in Licht umwandeln, kommen sie mit weniger Energie aus und sind aus jedem Betrachtungswinkel gut zu erkennen. Eingesetzt werden derartige ansteuerbare Folien die, etwa 2 cm groß, auf der CeBIT in Serie hergestellt wurden - bereits jetzt als Displays. Die Weiterentwicklung kann bis zur flächendeckenden Beleuch-tung von Wänden oder dem als flache Folie an die Wand gehängten Fernseher/Bildschirm gehen. DIE PHILIPPS-UNIVERSITÄT Marburg hat die Anwendungs-

7 Cebit Splitter 7 möglichkeiten des aus einem Bakterium gewonnenen Pigment Bakteriorhodopsin weiterentwickelt. Es handelt sich um ein fotochromatisches Protein, das unter Einwirkung sichtbaren Lichts seine Farbe sehr augenfällig von Violett nach gelb ändert. Diese Eigenschaft kann genützt werden, um Dokumente (Banknoten) fälschungssicher zu gestalten. Ändert sich die Farbe unter Lichteinfluss nicht, liegt eine Kopie vor. Die Herstellung des Farbstoffs erfordert hohes biotechnologisches Wissen und Knowhow. Außerdem können, ohne die grundlegenden Eigen-schaften zu verändern, Sequenzen der Aminosäuren verändert und das Material dadurch codiert werden, mit 2010 Kombinationsmöglichkeiten, sodass eine Rückführbar-keit auf den Ursprungsort gewährleistet werden kann. Bei Einwirkung sehr hoher Lichtenergie, wie sie durch Laserpulse in Pico- bis Nanosekundenbereich erzielt wird, wird der Farbwechsel irreversibel, was zur Datenspeicherung im Bereich von 1 MB/cm² benützt werden kann KIDDE-DEUGRA hat, auf der Basis des Löschmittels Novec 1230 von 3M, im Rahmen des CefIS (Centrum für Informationssicherheit) ein neuartiges Löschsystem vorgestellt. Das bei Raumtemperatur flüssige Löschmittel ist elektrisch nicht leitend ein in die Flüssigkeit eingetauchtes Handy war nachher wieder voll funktionsfähig. Es handelt sich um ein C6-Fluorketon und nicht um einen Fluorkohlenwasserstoff (anstelle des Wasserstoffs ist ein Sauerstoffatom in Doppelbindung eingefügt). In der Atmosphäre löst sich das Gas nach Herstellerangaben spätestens nach fünf Tagen ohne Gefahr für die Ozonschicht auf. Die Flüssigkeit steht in Behältern durch Stickstoff unter einem Druck von etwa 40 bar und wird im Brandfall über spezielle Düsen verdampft. Die brandlöschende Wirkung entsteht dadurch, dass dem Feuer eine seiner Komponenten, nämlich die Wärme, entzogen wird. Es findet also nicht, wie beispielsweise bei Inertgasen, eine Sauerstoffverdrängung statt, mit der damit verbundenen Erstickungsgefahr für Menschen und der Gefahr des Überdrucks. Die Brandbekämpfung kann auch direkt in einem 19 -Schrank erfolgen, indem Rauchmelder, Steuer- und Löscheinheit direkt in einem Einschub installiert sind, der im Schrank zuoberst angeordnet wird. MIT CINDERELLA ( Math in Motion ) können nicht nur geometrische Lehrsätze interaktiv auf einer Schautafel sichtbar und plausibel gemacht werden, sondern es kann, an Hand der physikalischen Gesetze, mit Szenarien von Atomphysik über Optik bis zu Planetenbewegungen experimentiert werden, ohne den real durch Versuchsbedingungen gegebenen Erschwernissen unterworfen zu sein. Die Umsetzung der auf der Tafel eingegebenen Ausgangswerte in dargestellte Bewegungen erfolgt durch den Rechner (Technische Universitäten Berlin und München; Springer-Verlag). DAS GRAZER UNTERNEHMEN KOMMe Z hat ein Renderingverfahren vorgestellt, durch das einfache Formen beispielsweise in Bauwerke umgerechnet werden können, in denen und um die herum man sich virtuell bewegen und sie aus verschiedenen Blickwinkeln betrachten kann. Im gezeigten Fall war ein einfaches Lego-Haus in ein Bauwerk umgerechnet worden; das frei bewegliche Entlein hat den Betrachter dargestellt. Am Bildschirm konnten die verschiedenen Perspektiven mitverfolgt werden WASSERKÜHLUNG für Prozessoren im PC-Bereich bietet Alphacool an. Dadurch entfällt das Lüftergeräusch und es kann die Prozessorleistung gesteigert werden. Dr. Kurt Hickisch LINKS IBM... TU-BRAUNSCHWEIG... PHILLIPS-UNIVERSITÄT... KIDDE-DEUGRA... CINDERELLA... KOMMe Z... ALPHACOOL...

8 8 DNS - Aufbau&Schwachstellen Domain Name System Aufbau & Schwachstellen Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. WIE FUNKTIONIERT DNS? Das Domain Name System ist ein hierarchisches System zur Auflösung von Computernamen in IP- Adressen. Die weltweit verteilten 13 Root Server stellen die oberste Schicht dar und verfügen über die Informationen der Top Level Domains. Dabei unterscheidet man zwischen gtld (generic Top Level Domains) wie zb.com,.org,.gov und.net und den länderspezifischen cctld (country coded Top Level Domains) aus zwei- bis dreistelligen Ländercodes. Für jede TLD ist ein eigener Nameserver zuständig, der dann seinerseits wieder die Informationen enthält, welcher Nameserver für die Domains zuständig ist. diesem erhält der Client schließlich die IP-Adresse von Eine Zone stellt einen Teil des Domain-Baums dar, für den ein Nameserver autoritative Informationen besitzt. Dabei können Subdomains in eigenständige Zonen unterteilt und an andere Nameserver delegiert werden. Eine Zone wird von einem Primary Nameserver verwaltet, der diese Zonen auf einen oder mehrere Secondary Nameserver spiegeln kann. Die Daten einer Zone werden in so genannten Zonendateien gespeichert. Die Originaldatei befindet sich am Primary Server, der sie bei Änderungen per Zonentransfer an die Secondary Server überträgt. ERLAUBTE ZEICHEN Ursprünglich waren nur die Buchstaben a bis z, die Ziffern 0 bis 9 und der Bindestrich in Domains erlaubt. Der Punkt ist für die Trennung der einzelnen Levels reserviert und darf in Domainnamen nicht verwendet werden. Ein Domänenname darf inklusive aller Punkte maximal 255 Zeichen lang sein. Im RFC3490 wurde der Internationalized Domain Name (IDN) vorgestellt, der es möglich macht auch Sonderzeichen (zb Umlaute) in Domainnamen zu verwenden. Dabei sorgt der im RFC3492 definierten Punycode dafür, dass die Unicode-Zeichen der Umlautdomain in ASCII-Zeichen mit dem HIERARCHISCHE GLIEDERUNG Die Domain kann in drei Teile gegliedert werden. Top Level Domain: at 2nd Level Domain: hagenberger kreis 3rd Level Domain: www Die Auflösung der Domain www. hagenbergerkreis.at erfolgt in mehreren Schritten (siehe Abbildung 1). Als erstes wird der Root Server befragt, welcher Server für Informationen über.at-domains zuständig ist. Dieser Server wiederum verweist auf den Server, der Informationen über die Domain hagenbergerkreis.at besitzt. Von Abbildung 1 - Auflösung einer Domain

9 DNS - Aufbau&Schwachstellen 9 Skripts auf allen Slaves auf den neuesten Stand gebracht. Zur Absicherung befindet sich der Primary-Server hinter einer Hardware-Firewall während die Secondary-Server jeweils mit iptables (Software-Firewall) abgesichert werden. Zusätzlich ist es wichtig, nach der Installation ein System- Hardening durchzuführen und auf eine sichere Bind-Version zu wählen. Präfix xn-- umgewandelt werden. Die Umwandlung erfolgt beim Client (Webbrowser, Mail-Programm). IDN-fähig sind folgende Browser: Mozilla ab Version 1.4 Firefox ab Version 0.8 Konqueror ab KDE 3.2 mit GNU IDN Library Microsoft Internet Explorer ab Version 5.0 durch Installation des Plugins i-nav von VeriSign (bedingt) IDN-fähig. Mit IE 6 treten jedoch trotz Plugin fehlerhafte Abläufe auf. Ab der im Sommer 2005 erscheinenden Version 7 wird es voraussichtlich eine weitgehende IDNA-Unterstützung geben. Abbildung 2 - Hierarchische Gliederung In einem Projekt im Rahmen des 3. Semesters haben wir ein DNS-Server-System mit Anbindung an einen LDAP-Server aufgebaut. Das System besteht aus zwei Secondary-DNS-Servern (Slaves) und einem Primary-DNS-Server (Master), der sich hinter einer Firewall befindet. Um Redundanzen und eine bessere Lastverteilung zu schaffen können noch weitere Secondary-DNS-Server zum System hinzugefügt werden. Der Primary-DNS-Server erhält seine Informationen von einem LDAP- Verzeichnis und steht nicht für DNS-Abfragen von außen zur Verfügung. Er kann als interner DNS- Server dienen oder nur zur Verteilung der Domain-Informationen an die beiden Slaves verwendet werden. Am LDAP-Server werden über eine eigens erstellte Web-Oberfläche neue Zonen erstellt bzw. bestehende administriert. In einem vorgegebenen zeitlichen Intervall wird mittels ldap2dns (http:// ldap2dns.tiscover.com/) auf aktualisierte bzw. neue Konfigurations- und Zonenfiles überprüft. Im Falle einer Aktualisierung wird ein Zonentransfer veranlasst und somit die Dateien zuerst automatisch am Master und anschließend über Um zu verhindern, dass die Secondary-DNS-Server von unautorisierten Servern Zonenfiles erhalten reicht die Identifikation von autorisierten Servern über IP-Adressen nicht aus, da diese leicht gefälscht werden können. Durch Transaction Signatures (TSIG) kann die Datenintegrität der Transaktion und die Authentizität der beteiligten Server sichergestellt werden. Der Master und die Slaves verfügen über einen gemeinsamen Key, der über dnskeygen erstellt wird. Dieser Key wird für einen HMAC-MD5 über die transferierten Daten verwendet. Somit kann ein Angreifer die Daten während des Transfers nicht abfangen und verändern und auch keine eigenen Zonendaten an einen der Slaves senden ohne den Key zu kennen. WIE SIEHT EINE MÄGLICHE IMPLEMENTIERUNG EINES DNSS AUS? Abbildung 3 - Aufbau

10 10 DNS - Aufbau&Schwachstellen Abbildung 4 - DNS Cache Poisoning ATTACKEN AUF DNS BUFFER OVERFLOW ATTACKS Um Buffer Overflow Attacken durchführen zu können, muss man zuvor den DNS-Server, den man attackieren möchte, genau analysieren und wenn möglich herausfinden, welche Software installiert und aktiv ist. Findet man zu einem aktiven Programm einen Exploit, verschafft man sich durch diesen Zugang auf die Kommandozeile des Servers und kann somit in den Zonenfiles und anderen Konfigurationsdateien nach Belieben Änderungen vornehmen. MAN IN THE MIDDLE Das DNS-System ist dadurch besonders leicht verwundbar, da als einziges Validierungsmerkmal eine 16 Bit große ID, die sogenannte Transaktions-ID zur Verfügung steht, anhand dessen ein anfragender Nameserver die Antworten zuordnen kann. Ein simpler Man in the Middle Angriff könnte erfolgen, indem der Angreifer den angefragten Nameserver daran hindert zu antworten (zb mittels SYN-Flooding). Die sodann folgende Attacke besteht aus Paketen (es muss auch noch der Query-Port stimmen, daher könnten noch mehr Pakete von Nöten sein), welche als Absender den eigentlichen Nameserver haben, sämtliche Query-IDs abdecken und natürlich falsche Informationen enthalten. Weiters kann man die in Frage kommenden IDs durch eigene Anfragen an den Server zuvor einschränken. DNS-CACHE-POISONING Das Cache-Poisoning bedient sich des Umstandes, dass DNS-Server die Informationen, die sie von anderen DNS-Servern bekommen, annehmen, ohne dass sie diese auf Richtigkeit oder Sinnhaftigkeit prüfen. Das heißt, dass Nameserver, die auf eine Anfrage eines anderen antworten, zusätzliche Informationen mit ihrer Antwort mitsenden können, die gar nicht angefordert wurden. Um Cache-Poisoning durchführen zu können, benötigt man eine eigene Domain und einen dazugehörigen Nameserver. Nun sendet man eine Anfrage zu dem Server, den man vergiften will, in der man die Adresse einer Domain beantragt, die unter der Verwaltung des eigenen Nameservers liegt. Dieser beantwortet die Anfrage und sendet in den ungenutzten Felder der Antwort zusätzliche Informationen, wie zum Beispiel eine gefälschte

11 DNS - Aufbau&Schwachstellen 11 Adresse zu Wenn nun ein anderer Client den vergifteten Nameserver nach der Adresse von fragt, bekommt er als Antwort die gefälschte und der Angriff ist geglückt. Dieser Angriff ist nur bei Caching- DNS-Servern möglich. Bei Nameserver, die mit einer aktuellen Version von BIND ausgestattet sind, ist dieser Angriff mittlerweile nicht mehr möglich. DNS-CACHE-POISONING VARIANTE 2 In Abbildung 1 ist eine normale DNS-Abfrage dargestellt. Bei der Verbindung zwischen Client und Nameserver und zwischen den beiden Nameservern sind die Transaktions IDs verschieden. In dieser Variante des Cache-Poisoning wird der Angreifer die ID der Kommunikation zwischen den beiden Nameservern erraten. Bei diesem Angriff ist weiters noch wichtig, dass BIND DNS-Server für Anfragen an einen anderen Server mit großer Wahrscheinlichkeit den gleichen Sourceport für die Anfragen verwendet. Der Angreifer sendet immens viele Anfragen, die jene Domain betreffen, die der Angreifer spoofen will, an den Opfer DNS Server, der die Anfragen an den zuständigen DNS Server weiterleitet. Nun erwartet der Opfer Server eine Flutwelle an Antworten, jede mit einer einzigartigen Transaktions ID, von dem anderen DNS Server. Nun kommt der Angreifer wieder ins Spiel. Dieser sendet nun Antwort-Pakete, versehen mit der Source IP des für die Domain zuständigen DNS Servers und mit dem Source Port, der zuvor schon bestimmt wurde, an den Opfer DNS Server und hofft, dass er eine Transaktions ID errät. Dadurch kann der Angreifer verfälschte Informationen im Cache des Opfer Servers platzieren und der Angriff ist geglückt. DNS FLOODING Darunter versteht man einen Angriff, der darin besteht, permanent von gefälschten, zufällig generierten IP-Adressen Anfragen nach Domains, die ebenfalls zufällig generiert werden, an einen Nameserver zu senden, sodass dieser außer der Beantwortung dieser Anfragen keine anderen mehr beantwortet. Das DNS Flooding stellt einen sehr effizienten Denial-Of-Service Angriff auf Nameserver dar. Diesem Angriff kann man leider nur wenig entgegenstellen. Eine Möglichkeit besteht darin, wie es zb bei ISPs Gang und Gebe ist, mehrere DNS-Server aufzustellen, um somit den Kunden nach Ausfall eines DNS-Servers weiterhin das Nameservice zur Verfügung stellen zu können. INFORMATION LEAKS Wenn ein DNS-System aus mehreren Servern besteht, ist es wahrscheinlich, dass zwischen diesen (hauptsächlich zwischen dem Primary und den Secondaries) Zonentransfers stattfinden. Da die Authentisierung bei der Übertragung hauptsächlich auf IP-Adressen basiert, können Angreifer ohne größeren Aufwand einen Secondary-Server imitieren und somit die Informationen, die in den Zonenfiles stehen, für weitere Angriffe verwenden. WIE KANN MAN ES ABSICHERN? Das Domain Name System ist unentbehrlich für jeden Internetbenutzer. Gerade deshalb sollte beim Aufbau und Betrieb eines eigenen DNS-Servers auf die Sicherheit des Servers und die Integrität der Daten geachtet werden. Einer der wichtigsten Schritte zur Absicherung von DNS Software und generell von jeder Software, ist der Betrieb einer aktuellen Version. Auf den Webseiten der Softwarehersteller (Bind: index.pl?/sw/bind/) werden meistens die neusten Releases und auch aufgetretene Sicherheitslücken bekannt gegeben. Es ist außerdem ratsam, die Version des verwendeten DNS-Servers zu verstecken, um einen Angreifer keinen Hinweis auf die Version und somit auf bereits bekannte Exploits zu geben. Bei Bind lässt sich in der Datei named. conf unter options versions ein beliebiger Text einstellen, der dann anstatt der Softwareversion angezeigt wird. Weiters sollte ein DNS-Server für keine weiteren anderen Dienste sondern rein als dedicated DNS- Server verwendet werden. Zum Härten gehört auch, die laufenden Betriebssystemservices auf das absolute Minimum zu reduzieren und nur benötigte TCP und UDP Ports zu öffnen. Sollte ein Angreifer dennoch Zugriff auf das System erhalten, ist es ratsam, den Zugriff auf das Filesystem zu beschränken, indem man den DNS-Server in einem so genannten Chroot-Gefängnis ausführt. Durch Zonentransfers werden normalerweise die gespeicherten Domains zwischen dem Primary und dem Secondary Server ausgetauscht. Die Informationen über die Domains können für einen Angreifer sehr nützlich sein, da er dadurch zb einen Überblick über die Topologie von Netzwerken, die sich hinter einer Firewall befinden, erhalten kann und diese für weitere Angriffe verwenden kann. Daher sollten Zonentransfers nur vom Primary and den Secondary Server gestattet werden. Um eine Hochverfügbarkeit des DNS-Services zu gewährleisten sind redundante Server erforderlich. Wenn möglich sollten diese sogar in getrennten Netzwerken stehen. Es ist auch empfehlenswert den externen und internen Namespace getrennten Servern zuzuteilen und den Master DNS-Server vor Zugriffen von Außen zu verstecken. Martina Lindorfer Dirk Wallerstorfer

12 12 Der digitale Reisepass Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. Durch Computer Forensik ist es möglich strafbare Handlungen zum Beispiel durch die Analyse von digitalen Spuren zu erkennen und aufzuklären. Bevor eine Forensische Untersuchung durchgeführt werden kann, müssen Vorbereitungen am System getroffen werden. Es muss das normale Verhalten des Systems dokumentiert werden um einen späteren Einbruch zu erkennen und zu analysieren. Die Untersuchungen werden also nach einem Angriff durchgeführt, um herauszufinden, wie erfolgreich der Angreifer war und welche Systemlücken ausgenutzt wurden. VORBEREITUNG Zur Vorbereitung der forensischen Analyse ist es wichtig Ist-Stände des Systems zu verschiedenen Zeiten zu sichern. Dies beinhaltet das Speichern von Logfiles, sowie das Erfassen der laufenden Prozesse und Dienste um Veränderungen am System im Ernstfall erkennen zu können. Idealerweise werden auch die freigegebenen Ordner und die angelegten User und Administratoren dokumentiert. Um zu verhindern, dass die gesicherten Daten nicht während eines Angriffs verändert werden, sollten sie auf einem externen Medium gespeichert werden. Außerdem ist es wichtig, die für die Analyse eingesetzten Programme von CD zu starten, da die Ergebnisse bei am System installierten Programmen durch Scripts verändert werden können. Um nach dem Erkennen eines Einbruchs keine Spuren zu verwischen sollten nachträglich auch keinerlei andere Programme installiert werden. Somit sollte vor einem Ernstfall ein Soll-Stand als Vergleichsmöglichkeit existieren, welcher alle relevanten Systeminformationen enthält. Diese Daten können bei einer späteren Analyse als nicht verdächtig herausgefiltert werden

13 Computer Forensik 13 um zu verhindern, dass Hinweise auf mögliche Täter bei einer Analyse in der Fülle an Informationen untergehen. IST-STAND Wurde nun das System kompromittiert, muss man entscheiden ob das System sofort vom Netz genommen wird oder nicht. Will man die Aktionen eines aktiven Angreifers analysieren so wird es nachteilig sein, das System vom Internet zu trennen. Doch so kann man sichergehen, dass nicht noch mehr Schaden angerichtet wird. Um mit der tatsächlichen Analyse beginnen zu können, müssen erneut alle Systemdaten des Rechners erfasst werden. Wichtig hierbei ist, dass das System nicht sofort vom Strom getrennt wird, sondern davor flüchtige Daten wie Netzwerkverbindungen und speziell der RAM gesichert werden. Hierfür verwendbare Tools sind zum Beispiel WinHex oder Helix zum Sichern des Speichers und die Sysinternal Tools TCPView und TDIMon zum Erfassen der Verbindungen. Auch sollten wiederum Systemdaten für die Analyse gesichert werden. Um ein Image des gesamten Systems zu erhalten, kann wiederum die Forensik-CD Helix verwendet werden, aber es kann auch mit dem kostenpflichtigen Programm Encase gearbeitet werden. Hierfür wird die Festplatte aus dem System entfernt und mit einem Analysesystem verbunden. Wichtig ist davor die System-Festplatte mit einem Schreibschutz zu belegen. Dies ist zum Beispiel mit dem FastBlock möglich, welcher es ermöglicht, eine Harddisk über USB oder Firewire an ein anderes System anzuschließen und gleichzeitig jegliche Veränderung verhindert. Die erhaltenen Informationen können nun dem zuvor erfassten Soll- Stand gegenübergestellt und durch Angreifer verursachte Veränderungen erkannt werden. Falls Veränderungen festgestellt werden, sollten diese näher untersucht werden um die Funktion zum Beispiel von neuen Programmen zu ermitteln. So ist es möglich den Angriff nachzuvollziehen und die Schwachstelle des Systems ausfindig zu machen. PROGRAMME Will man nicht warten, bis ein Rechner nicht mehr funktionstüchtig ist oder durch Fehlverhalten auffällt, können schon während dem laufenden Betrieb Anzeichen auf einen Angriff erkannt werden. Folgende Programme können dafür verwendet werden: Um die Netzwerkauslastung am System zu erkennen, kann das kostenpflichtige Programm Traffic Analyzer PRTG installiert werden. Dies erfasst grafisch und tabellarisch die Auslastung und leitet diese Informationen täglich per Mail an den Verantwortlichen weiter. Auf diese Weise können beispielsweise illegitime Downloads erkannt werden. Es ist auch möglich alle Netzwerkverbindungen genauer zu untersuchen. Diese Funktionalität bietet das Sysinternal Tool TCPView, welcher alle bestehenden Verbindungen auflistet und dazu jeweils die Quell- und Remoteadressen in Form einer IP-Adresse oder URL angibt. Besteht eine Verbindung zu einer verdächtigen Adresse, deutet dies auf einen Angriff hin. Auf findet man eine dafür programmierte Suchmaschine, welche die Adresse bis zu Internetanbietern oder größeren Organisationen zurückverfolgt. Jedoch nur die Polizei hat das Recht Daten des Enduser beim Provider oder der Organisation einzufordern. Ein weiteres interessantes Sysinternal Tool ist Streams, durch welches man erkennen kann, ob Daten oder Programme von Angreifern in ADS (Alternate Data Streams) versteckt wurden. Solche Daten werden an bestehende Daten angehängt, verändern jedoch nicht deren Größe und scheinen im Explorer nicht auf. Die Sysinternal Tools und ähnliche Programme befinden sich auf der Forensik CD Helix. Durch eine von CD gestartete Shell, welche Windows- und Linuxbefehle erkennt, können diese Tools von CD gestartet werden und es ist sichergestellt, dass die Befehle und Tools nicht von Angreifern manipuliert wurden und somit ein richtiges Ergebnis liefern. Weitere Tools, welche von dieser CD gestartet werden können, sind zum Beispiel: MAC_Grab erfasst die MAC-Zeiten der Daten, das heißt die Zeitpunkte zu welchen Dateien verändert (Modified), aufgerufen (Access) oder verändert (Change) wurden. Pasco sowie Galleta dienen zur Analyse des Internet Explorers. Es werden die History sowie die Cookies der aufgerufenen Seiten ausgewertet. Md5deep und sha1deep berechnen und vergleichen Checksummen mittels md5- und sha-hashwerte von wichtigen Dateien. Bmap kann im Slackspace abgelegte Daten finden und wiederherstellen. Dieser Speicherbereich wird nur vom System erkannt und scheint in Verwaltungsprogrammen wie Explorer nicht auf. Chkrootkit und rkhunter durchsuchen das System nach Rootkits, welche Systemeigenschaften verändern. Regviewer bietet eine Schnittstelle um in die Windows Registry Einsicht zu nehmen. Zusätzlich bietet die CD einige Features. Zum Beispiel kann ein Security Report erzeugt werden, welcher Systemdaten wie IP-Adressen und Mac-Adressen auflistet sowie die Security Policy anführt. Außerdem werden die installierten Programme, Driver, Services und Bibliotheken sowie die offenen Ports in diese XML-Datei gesichert. Zusätzlich wird noch angegeben, ob die Services aktiv oder gestoppt sind. Ein weiteres Feature ist die Sicherung des RAM und des physikalisches oder logischen Festplattenspeichers als Image mittels dem Linux-Befehl dd. Wird das Programm beendet, können die durch Helix durchgeführten Aktionen des Ermittlers protokolliert werden. Birgit Haas Ulrike Mayrhofer

14 14 Data Hiding um eine Datei zu klassifizieren. Die Tests werden in dieser Reihenfolge durchgeführt und terminieren sobald einer davon erfolgreich ist. Unlinking Open Files Diese Strategie wird oft dazu benutzt, um Log-Informationen wie zum Beispiel Passwörter zu bekommen und gleichzeitig die Chance entdeckt zu werden, möglichst gering zu halten. Um das gewünschte Ergebnis zu erzielen, wird der Link auf eine geöffnete Datei gelöscht. Somit wird nicht mehr auf die Datei verwiesen, obwohl sie sich noch auf dem Speichermedium befindet und vor eventuellem Überschreiben geschützt ist, da das System, die von der Datei benötigten Ressourcen erst weitergibt, wenn der Prozess beendet wird. Die Person, die diesen Prozess gestartet hat, kann also später wiederkommen, um sich die Log-Informationen abzuholen. Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. Hiding Data in Slack Space Slack Space = The space on a hard disk between the end of a file and the end of the cluster that the file occupies. Es gibt mehrere Möglichkeiten dies zu realisieren (getestet auf Linux ext2-filesystemen). Jedoch seien alle, die bereits vergnügt Pläne schmieden wollen, gleich am Anfang gewarnt. Keine einzige dieser Möglichkeiten garantiert Unauffindbarkeit, wenn mit professionellen Tools (wie EnCase oder ILook) nach den Daten gesucht wird. VERSTECKEN DER DATEN AUF DER FESTPLATTE Camouflaged files camouflage = die Tarnung Eine sehr einfache und unter Windows durchaus erfolgreiche Methode Daten zu verstecken ist, die Dateinamenerweiterung zu verändern (z.b.: von.jpg auf.doc). Somit kann der Betrachter ohne Hilfsmittel nicht feststellen, was die Datei wirklich enthält. Während unter Windows auch das Betriebssystem Probleme mit dem falschen Dateiformat hat, und in den meisten Fällen den Inhalt nicht anzeigen kann, gelingt dies unter Linux ohne Schwierigkeiten. Dort werden Dateien nämlich nicht anhand der Namenserweiterung sondern durch so genannte Magic Numbers identifiziert. Deshalb ist es hier auch einfach die ursprünglichen Erweiterungen festzustellen.dies geschieht durch die file Anweisung. Die man page erklärt dieses Kommando als eine combination of file system tests, magic number tests, and language tests Mit dem Programm bmap ist es möglich den normalerweise unzugänglichen Speicherbereich zwischen dem Ende einer Datei und dem Ende des von dieser Datei für Speicherzwecke reservierten Blocks zu nutzen. Es können Wörter, Dateien oder Programme in den Slackspace geschrieben und auch wieder ausgelesen werden. Eine besonders angenehme Nebenwirkung dabei ist, dass sich der Speicherbedarf der Datei beim Beschreiben des Slackspace nicht erhöht, da die Datei sowieso den ganzen Block für sich reserviert, auch wenn nur ein Teil davon belegt wird. Hiding Data in Bad Blocks Um diese Methode erfolgreich zu nutzen, muss man in der Entwick-

15 Data Hiding 15 lungsgeschichte der Speichermedien einige Jahre zurückgehen. Jede Festplatte hat defekte Blöcke. Manche existieren bereits bei der Auslieferung (Fehler bei der Herstellung), andere entstehen erst durch oftmaligen Gebrauch. Während die Kennzeichnung dieser defekten Blöcke bei neuen HDs bereits automatisch geschieht, mussten früher alle Bad Blocks, die nach der Herstellung schon defekt waren manuell vom Benutzer eingetragen werden, damit die Festplatte ohne Probleme laufen konnte. Diese manuelle Kennzeichnung kann man sich zunutze machen, um auch heute noch (voll funktionsfähige) Blöcke als bad zu markieren, damit sie vom Betriebssystem ignoriert werden. Um bestimmte Daten verstecken zu können, muss man zuerst deren Aufenthaltsort, also jenen Block auf dem die Daten liegen, kennen. Hierbei hilft das Tool debugfs, welches genauere Informationen über Dateien und ihren Speicherplatz auf der Festplatte liefert. Um den ausgewählten Block anschließend als bad zu markieren, wird ein weiteres Programm e2fsck (speziell für ext2-filesysteme) benötigt. Als erstes überprüft man die Festplatte auf bereits vorhandene Bad Blocks. Hierbei darf die externe Festplatte nicht gemountet sein! Danach ist es notwendig eine Datei zu erstellen, die den Block/die Blöcke, die als bad markiert werden sollen beinhaltet. Dabei muss beachtet werden, dass in jeder Zeile nur ein Block steht. Nun wird die zur Erstellung der Datei gmountete Festplatte wieder abgehängt, um das Programm e2fsck ausführen zu können. Bei einer Suche nach der versteckten Datei dürfte es nun keine Ergebnisse mehr geben. Um die Daten verändern bzw. auslesen zu können muss das Programm e2fsck den zu Unrecht als bad markierten Block wiederherstellen. FINDEN DER VERSTECKTEN DATEN EnCase/ILook Wie bereits zuvor angekündigt ist es mit den beiden Programmen En- Case und ILook möglich die, durch verschiedene Methoden versteckten Daten, wieder zu finden. Es gibt jedoch einen kleinen Haken. Um die gefundenen Daten als Beweismittel vor Gericht verwenden zu können muss die Unveränderbarkeit der Daten während der Analyse sichergestellt werden. Die Überprüfung der Integrität erfolgt durch zwei Hashwerte. Der erste wird automatisch beim Einlesen der Daten über die einzulesende Festplatte generiert. Der zweite (Verifying Hash) kann nach dem Erstellen der Sicherung berechnet werden. Stimmen beide Werte überein, so wurden die Daten der Festplatte nicht verändert. Um dies zu gewährleisten, muss ein so genannter Fastblock verwendet werden, der einen Schreibzugriff auf das Trägermedium verhindert. Obwohl keine der getesteten Möglichkeiten die versteckten Daten vollkommen unauffindbar machen kann, ist die Thematik des Data Hiding ungeheuer spannend. Man bekommt ungeahnte Einblicke in die oftmals kuriose Welt der Speicherbelegung und Speicherfreigabe, der Blockeinteilung von Festplatten und anderer interessanter Datenlagerungsplätze. Wer nun Lust bekommen hat, selber auch einmal etwas zu Verstecken, dem seien folgende Internetseiten empfohlen: GSEC/Gary_Robertson_GSEC.pdf tations/bh-europe-04/bh-eu-04- grugq.pdf Sandra Wöckinger slack]# echo cybercriminal bmap --putslack file.txt stuffing block file size was: 34 slack size: 4062 block size: 4096 slack]# bmap --slack file.txt getting from block file size was: 34 slack size: 4062 block size: 4096 cybercriminal Abbildung 1 - Hiding Data in Slack Space

16 16 OpenLDAP meets Freeradius Gemeinsame Benutzerverwaltung für Squid, Postfix, PPTP und L2TP/IPSEC mit OpenLDAP und Freeradius In Abbildung 1 ist ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. ALLGEMEINES Standardmäßig besitzt jeder Dienst sein eigenes Authentifizierungsverfahren mit eigenen Benutzerdaten, meist in einer eigenen Datenbank oder Datei. Je mehr Passwörter sich ein User merken muss, desto mehr wird er auch wieder vergessen, unsichere Passwörter verwenden oder einfach Post-Its auf den Monitor kleben. In solchen Fällen ist ein erster Schritt zu einem geschickten Identity Management eine gemeinsame Authentifizierung für mehrere Dienste mit einem einzigen Benutzername-Passwort-Paar. Natürlich wäre es möglich für einen User für jeden Dienst dieselben Daten zu verwenden, allerdings wäre der Aufwand zum Ändern der Daten, wie z.b. dem Passwort, wesentlich größer. Die Lösung ist die Benutzung von OpenLDAP und Freeradius und somit pro User nur ein Passwort, das an einer einzigen Stelle gespeichert und von allen Diensten verwendet werden kann, zu verwenden. Der folgende Artikel beschreibt dabei die Verwendung von OpenLDAP in Version und Freeradius auf Debian Linux. Es wird angenommen, dass die Dienste Squid, Postfix, PPTP sowie L2TP/IPSEC bereits in einer funktionierenden Konfiguration vorhanden und mit den jeweils eigenen Authentifizierungsverfahren funktionsfähig sind. Abbildung 1 - Szenario NOTWENDIGE DIENSTE OpenLDAP LDAP (Lightweight Directory Access Protocol) ist ein TCP/IP basierender, standardisierter Verzeichnisdienst (ähnlich DNS). Konkrete Implementierungen sind z.b. OpenLDAP unter Linux/BSD/Unix, Microsoft Active Directory unter Windows 2000 bzw. Windows 2003 oder das edirectory von Novell. Unter einem Verzeichnis versteht man eine Auflistung von Informati- Abbildung 2 - Gemeinsame Benutzerauthentisierung über LDAP und Radius

17 OpenLDAP meets Freeradius 17 onen über Objekte in einer gewissen Ordnung, wobei sich zu jedem Objekt Detailinformationen abfragen lassen. In einem Telefonbuch als Beispiel sind die Objekte die Personen, die Ordnung ist alphabetisch und die Detailinformationen sind Adresse und Telefonnummer. Im Gegensatz zu relationalen Datenbanken sind Verzeichnisse auf das Suchen und Lesen von Informationen spezialisiert. Die Konfiguration von OpenLDAP inklusive zugehöriger Access Control Lists kann auf Grund des Umfanges an dieser Stelle nicht erklärt werden. Entsprechende Informationen können im Adminguide auf oder in der ausführlicheren Dokumentation auf der Hagenbergerkreis-Homepage (www.hagenbergerkreis.at) nachgelesen werden. Zu Testzwecken wurde die in Abbildung 3 gezeigte LDAP Struktur erzeugt. Freeradius RADIUS (Remote Authentication Dial-In User Service) ist ein Client- Server-Protokoll zur Authentifizierung von Benutzern bei Dial-In Zugängen wie z.b. für PPP-Verbindungen. Die Clients werden dabei gegen verschiedenste Datenbanken (auch LDAP), die die Benutzernamen und Passwörter gespeichert haben, authentifiziert. Durch das AAA-Konzept (Authentication, Authorization, Accounting) lassen sich auch genaue Auswertungen über die einzelnen Loginzeiten usw. erstellen. Freeradius wird als Zwischenschicht für diejenigen Dienste verwendet, die nicht direkt auf LDAP zugreifen können, wie PPTP und L2TP/IPSEC. Auch hier kann eine genaue Konfiguration nicht erklärt werden. Es wird eine funktionierende Freeradius Konfiguration vorausgesetzt, mit OpenLDAP als Backend. KONKRETE ANPASSUNG DER DIENSTE Squid Squid ist ein mächtiger, freier, Open-Source Web Proxy u.a. für HTTP, HTTPS und FTP. In den aktuellen Versionen (derzeit Squid 2.5Stable9) ist ein Modul zur LDAP Authentifizierung bereits fix integriert, befindet sich meist (distributionsabhängig) in /usr/lib/squid/, und muss in der Konfigurationsdatei squid.conf nur entsprechend hinzugefügt werden. (siehe Listing 1) Bei der Wahl dieses Moduls wird für die Authentifizierung das obige Programm ausgeführt: Es wird gegen den LDAP Server auf localhost eine Authentifizierung als Benutzer uid=manager, ou=admin, dc=cms, dc=local mit dem Passwort managerpasswort durchgeführt. Anschließend wird in der ou=users, dc=cms, dc=local nach einem Benutzer gesucht, der Abbildung 3 - LDAP Beispielstruktur folgende Anforderungen erfüllt: Objektklasse cmsuser uid = %s (der vom Squid übergebene Benutzername, dessen Passwort überprüft werden soll) Anschließend wird von diesem Benutzer das Passwort aus dem LDAP Verzeichnis mit dem Eingegebenen verglichen. Im Erfolgsfall wird OK, im Fehlerfall ERR zurückgegeben. Dieser Befehl lässt sich auch sehr leicht über die Shell testen. (siehe Listing 2) Bei der Eingabe von falschen Benutzerdaten (testuser1 und falschespasswort) wird ERR, bei den richtigen Daten (testuser1 geheim) OK zurückgegeben. Verwendet wurde die Squid Version 2.5Stable8. /usr/lib/squid/ldap_auth -v 3 -h localhost -D cn=manager,ou=admin,dc=cms,dc=local -w managerpasswort -b ou=users,dc=cms,dc=local -f (&(objectclass=cmsuser)(uid=%s)) Listing 1 - squid.conf

18 18 OpenLDAP meets Freeradius gibraltar:~# /usr/lib/squid/ldap_auth -v 3 -h localhost -D uid=manager,ou=admin,dc= cms,dc=local -w b ou=users,dc=cms,dc=lo cal -f (&(objectclass=cmsuser)(uid=%s)) testuser1 falschespasswort ERR testuser1 geheim OK Listing 2 - Test Postfix Postfix ist eine sichere Alternative zum weit verbreiteten Unix MTA Server Sendmail. Er ist schnell, einfach zu administrieren und sicher. Aus Kompatibilitätsgründen wirkt er nach außen hin wie Sendmail, ist allerdings intern komplett unterschiedlich aufgebaut. Durch seinen modularen Programmaufbau ist es möglich, jederzeit neue Funktionen, wie z. B. eine LDAP Authentifizierung, hinzuzufügen. Zusätzlich können noch Komponenten für SPAM- und Virenfilterung (wie Spamassassin und ClamAV/Kaspersky Antivirus) integriert werden. Für Postfix gibt es 2 verschiedene Ansätze zur LDAP Authentifizierung. Eine Möglichkeit mit saslauthd (wird in diesem Artikel beschrieben) und die Andere über ldapdb (nähere Informationen hierzu können im Linux Magazin [1] nachgelesen werden). Eine bereits funktionierende Authentifizierungskonfiguration mit saslauthd und einer lokalen SASL- Datenbank muss nur geringfügig verändert werden. In der Datei / etc/postfix/sasl/smtpd.conf werden folgende Zeilen eingetragen. Zusätzlich muss noch die Datei /etc/saslauthd.conf erstellt werden. Abschließend muss für eine erfolgreiche SMTP-Authentifizierung saslauthd mit den Argumenten saslauthd -a ldap -O /etc/ saslauthd.conf gestartet werden und die Authentifizierung erfolgt dadurch über den lokal laufenden LDAP Server. Dafür Base64-Codierung perl -e use MIME::Base64; print encode_ base64( testuser1\0testuser1\0geheim ) dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= wird mit dem unter ldap bind dn angegebenen Benutzer eine Authentifizierung durchgeführt, Benutzer in der Organisationseinheit ou=users gesucht und die Daten mit den angegebenem Benutzernamen und Passwort verglichen. Zusätzlich sollte das Initskript von saslauthd um die entsprechenden Optionen ergänzt werden. gibraltar:~# telnet localhost 25 Trying Connected to gibraltar.example.net ( ). Escape character is ^]. 220 gibraltar.domain.tld ESMTP Postfix EHLO hostname 250-gibraltar.domain.tld 250-PIPELINING 250-SIZE ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME AUTH PLAIN dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= 235 Authentication successful Listing 3 - Codierung, Authentifizierung /etc/postfix/sasl/smtpd.conf pwcheck_method: saslauthd mech_list: plain login /etc/saslauthd.conf ldap_servers: ldap://localhost ldap_bind_dn: uid=manager,ou=admin,dc=cms,dc=local ldap_bind_pw: managerpasswort ldap_search_base: ou=users,dc=cms,dc=local

19 OpenLDAP meets Freeradius 19 Zum Testen der Authentifizierung müssen der Benutzername und das Passwort Base64-codiert vorliegen. Bei einer erfolgreichen Authentifizierung erhält man von Postfix ein Authentication successful, andernfalls ein Authentication failed. (siehe Listing 3) PPTP Das Point-to-Point-Tunneling- Protocol dient zum Aufbau eines VPNs zum Austausch von privaten Daten über eine öffentliche Leitung. Es ist ein von einem Herstellerkonsortium (Ascend Communications, Microsoft Corporation, 3Com u. a.) entwickeltes Protokoll und definiert im RFC2637. Die Grundlage bildet PPP, durch den ein Tunnel zwischen 2 IP Adressen erstellt und der Verkehr darüber geroutet wird. Die Authentifizierung erfolgt dabei entweder über PAP oder CHAP. Microsoft verwendet mit MSCHAP eine eigene Implementierung der CHAP Authentifizierung. Als Verschlüsselung dient MPPE, beschrieben in RFC Eine direkte Authentifizierung über LDAP ist mittels PPTP bzw. L2TP nicht möglich. Hier wird als Zwischenschicht entweder ein Radiusserver (z.b. Freeradius) oder eine Active Directory bzw. Samba Domäne benötigt. Ab Version ist bei einer PPP- Installation (zumindest unter Debian) das Radiusplugin im Verzeichnis /usr/lib/pppd/2.4.3/ bereits fix integriert. Zusätzlich wird noch der Radiusclient benötigt, der zur Konfiguration dient. Hierfür muss lediglich das im Radiusserver definierte shared secret in die Datei /etc/radiusclient/servers hinzugefügt werden. Durch das Hinzufügen von plugin radius.so in die pptp-options-datei wird automatisch eine CHAP-Authentifizierung über Radius durchgeführt und die chapsecrets-datei ignoriert. Beim Verbindungsaufbau wird anschließend von PPP ein Access Request Paket an den Radiusserver geschickt. (Listing 4) Access-Request packet from host :1060, id=177, length=150 Service-Type = Framed-User Framed-Protocol = PPP User-Name = testuser1 MS-CHAP-Challenge = 0x2676b821dd815aef9af625f961a813d7 MS-CHAP2-Response = 0xd00015d91ca600f13ff55ddda81585db b3a6b59e06e6307acdbfca934a62b6aa b76d Calling-Station-Id = xxx.xxx.xxx.xxx NAS-Identifier = vpn NAS-Port = 0 Listing 4 - Access Request Packet Access-Accept of id 177 to :1060 Framed-IP-Address = Framed-MTU = 576 Service-Type = Framed-User Framed-Protocol = PPP Framed-Compression = Van-Jacobson-TCP-IP MS-CHAP2-Success = 0xd0533d MS-MPPE-Recv-Key = 0xc272633e7894c1a5a091fa06a0f54cea MS-MPPE-Send-Key = 0x27bed20d09b810bcdbf83947c7e2515a MS-MPPE-Encryption-Policy = 0x MS-MPPE-Encryption-Types = 0x Bei Übereinstimmung von Benutzername und Passwort wird ein Access Accept Paket vom Radiusserver geschickt und die Verbindung aufgebaut. (Listing 5) Andernfall wird ein Access Reject Paket vom Radiusserver geschickt und die Verbindung kann nicht aufgebaut werden. L2TP / IPSEC Das Layer-2-Tunneling-Protocol ist im RFC2661 definiert und bietet einen ähnlichen Funktionsumfang wie das Point-to-Point-Tunneling- Protokoll (PPTP). Auf der Basis der Spezifikationen für das Cisco Layer- 2-Forwarding-Protokoll (L2F) und des Microsoft Point-to-Point-Tunneling-Protokolls (PPTP) können mit L2TP Tunnel über dazwischenliegende Netzwerke eingerichtet werden. Ebenso wie PPTP integriert L2TP Datenblöcke aus dem Pointto-Point-Protokoll (PPP), in die wiederum IP-, IPX- oder NetBEUI- Listing 5 - Access Accept Packet Protokolle integriert sind. L2TP über einen IPSEC-Tunnel gilt als sicherste VPN Variante, da für IPSEC keinerlei Angriffe bekannt sind. Das Einrichten auf der Clientseite erfolgt unter Windows XP analog zu PPTP, es wird keine zusätzliche Software benötigt. Für IPSEC wird allerdings entweder ein gemeinsames Geheimnis (pre shared keys) oder eine PKI benötigt, dadurch wird es um einiges komplexer und aufwendiger. Die Verwendung von L2TP innerhalb eines IPSEC-Tunnels ist eigentlich nicht notwendig. IPSEC alleine würde als VPN-Lösung vollkommen genügen, allerdings verlangt die Verwendung von Windows XP als Client eine L2TP/IPSEC Verbindung. Analog zu PPTP braucht nur plugin radius.so in die l2tp-options-datei hinzugefügt werden. Vor der Authentifizierung über Radius muss zuvor ein IPSEC Tunnel aufgebaut werden. Die Host-Authentifizierung kann dabei über Zertifikate

20 20 OpenLDAP meets Freeradius oder so genannte pre-sharedkeys erfolgen. EXKURS: SICHERHEIT VON OPENSOURCE VPN-LÖSUNGEN Für das Erstellen einer VPN Verbindung (Roadwarrior Konfiguration) gibt es 3 gängige Verfahren: 1. PPTP PPTP gilt als unsicherste Variante der 3 gängigen Verfahren. Es ist auf Grund seiner einfachen Konfiguration dennoch weit verbreitet. Seit Windows NT bzw. Windows 9x ist bereits ein PPTP Client fix in Windows integriert. 2. L2TP über IPSEC Für die problemlose Verwendung von L2TP über IPSEC ist seit Windows XP ebenfalls ein Client fix integriert. Die Konfiguration des VPN Servers ist allerdings wesentlich komplexer, so wird z.b. für eine vernünftige IPSEC Lösung eine PKI benötigt. 3. OpenVPN OpenVPN hat den Vorteil, dass es sehr einfach zu konfigurieren und sehr sicher ist, die Verbindung wird durch SSL verschlüsselt. Es wird, im Gegensatz zu den beiden anderen Verfahren, ein eigener VPN Client benötigt, der allerdings sehr leicht zu bedienen ist. OpenVPN ist für viele unterschiedliche Plattformen verfügbar. Die Authentifizierung erfolgt entweder über Zertifikate oder Shared Secrets. Nähere Informationen können unter [2] nachgelesen werden. Die VPN Variante über PPTP sollte, wenn möglich, vermieden werden. Im Idealfall sollte L2TP/IPSEC verwendet werden, da es ohne eigenen Client auf Windows XP Rechnern verwendet werden kann, und dank IPSEC sehr sicher ist. Wem die Konfiguration zu komplex ist, der ist mit OpenVPN gut beraten. ZUSÄTZLICHE MÖGLICHKEITEN Durch geringfügige Veränderungen in den Konfigurationsdateien ist es auch möglich, für einen bestimmten User jeden Dienst einzeln freizuschalten. Das wird größtenteils durch eigene Attribute im LDAP erzielt, die einen bestimmten Wert besitzen müssen, damit sich der User authentifizieren kann. Für das Anlegen, Bearbeiten und Löschen von Benutzern mit entsprechenden Attributen gibt es Skripte in Perl oder auch geeignete Java Klassen. Auch eine Authentifizierung gegen das Microsoft Active Directory ist zumindest für Squid und PPTP sowie L2TP/IPSEC durch die Verwendung von winbind möglich. FAZIT Die Realisierung einer gemeinsamen Benutzerauthentifizierung für die Dienste Squid, Postfix, PPTP und L2TP/IPSEC ist durch die Dienste OpenLDAP und Freeradius mit wenig Aufwand zu realisieren, vor allem wenn die Dienste bereits in einer funktionierenden Konfiguration vorliegen und lediglich die Authentifizierungsmethode geändert werden muss. Das Hinzufügen neuer Dienste, wie z.b. Apache und Tomcat [3] oder Pure-FTPd, ist ebenfalls problemlos möglich. Eine LDAP Authentifizierung ist eine vernünftige Alternative um Ordnung in die Vielfalt von verschiedenen Authentifizierungsdateien der einzelnen Dienste zu bringen und ein zentralisiertes Management von Benutzerdaten zu ermöglichen. Es ist der erste Schritt zu einem vernünftigem Identity Management, so kann durch Speicherung zusätzlicher Anwenderdaten LDAP Verzeichnis auch gleichzeitig als Adressbuch verwendet werden. Ausführliche Konfigurationsanleitungen sowie der Möglichkeit Benutzer nur für einzelne Dienste freizuschalten und die dazugehörigen Skripte zum Bearbeiten können auf der Homepage vom Hagenbergerkreis (www.hagenbergerkreis. at) herunter geladen werden. LITERATUR Peter Gastinger 1. Klünter, Dieter: Workshop: Benutzerauthentifizierung für Postfix mit LDAP und SASL. Linux Magazin, 01/05:71 73, VPN für Linux und Windows, c t Magazin, 09/06, Web-Zentrale, Linux Magazin, 05/05: security forum 2006

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Domain Control System [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Seite 1 von 9 Einfü hrung Das 4eins Domain Control System (DCS) stellt Ihnen verschiedene Dienste und Funktionen für die Konfiguration

Mehr

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System)

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System) -DNS (Domain Name System) Das DNS ist ein weltweit auf tausende von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum ist in so genannte

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Wie funktioniert ein Internetprovider. Michael Stiller

Wie funktioniert ein Internetprovider. Michael Stiller Wie funktioniert ein Internetprovider Michael Stiller Donnerstag 20.01.2000 Ping e.v. Weiterbildung, Wie funktioniert ein Internetprovider 1 Anforderungen an einen Internetprovider oder was die Nutzer

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht Themen Anwendungsschicht DNS HTTP Anwendungsschicht OSI-Schicht 7, TCP/IP-Schicht 4 Dienste für den Nutzer/Anwender Unabhängig von den niederen Schichten Verschiedene Dienste bzw. Services DNS HTTP FTP,

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

ekey TOCAhome pc Software Inhaltsverzeichnis 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3

ekey TOCAhome pc Software Inhaltsverzeichnis 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3 Inhaltsverzeichnis Software ekey TOCAhome pc 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3 3. MONTAGE, INSTALLATION UND ERSTINBETRIEBNAHME... 3 4. VERSION... 3 Version 1.5 5. BENUTZEROBERFLÄCHE...

Mehr

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13 DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13 PROBLEMSTELLUNG 203.178.141.194 (IPv4) 2001:200:0:8002: 203:47ff:fea5:308 (IPv6) Analogie zu Telefonnummern: Jeder Adressat im Internet

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Anleitungen und Informationen zu KK-NetServer

Anleitungen und Informationen zu KK-NetServer Anleitungen und Informationen zu KK-NetServer 1. Vorwort Unser KK-NetServer ist einer der modernsten und sichersten Daten-Server mit verschiedenen Nutzungsrechten. Er dient in erster Linie zur Bereitstellung

Mehr

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

Überprüfen Active Directory und DNS Konfiguration Ver 1.0 Überprüfen Active Directory und DNS Konfiguration Ver 1.0 Active Directory / DNS Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr

DNS mit Bind9 von Martin Venty Ebnöther

DNS mit Bind9 von Martin Venty Ebnöther DNS mit Bind9 von Martin Venty Ebnöther Was ist das Domain Name System? Eine netzweit verteilte Datenbank Hierarchischer Aufbau Beliebig skalierbar Wie funktioniert DNS? Clients schauen in /etc/hosts nach

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011 FTP HOWTO zum Upload von Dateien auf Webserver Stand: 01.01.2011 Copyright 2002 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben VPN In diesem Versuch lernen Sie eine sichere VPN Verbindung zu einem Server aufzubauen. Dabei werden zuerst ältere Verfahren eingesetzt

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

VPN: Nochmal ein Kilo bitte?

VPN: Nochmal ein Kilo bitte? VPN Reloaded: Mac OS X 10.6 Server Snow Leopard VPN: Nochmal ein Kilo bitte? Autor: Dirk Küpper www.dirkkuepper.de Wie war das noch gleich: 1 Kilo VPN bitte? An der Theke bekomme ich sicherlich 100 Gramm

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

DNS Das Domain Name System

DNS Das Domain Name System Björn Wontora 2001-04-24 DNS Das Domain Name System Inhalt 1. Kurzeinführung 2. Warum DNS? - Geschichtliches 3. Aufbau und Konventionen 4. DNS Client Konfiguration 5. Eine beispielhafte Anfrage 6. DNS

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Anleitungen und Informationen zu KK-CloudServer

Anleitungen und Informationen zu KK-CloudServer Anleitungen und Informationen zu KK-CloudServer 1. Vorwort Ihr neuer KK-CloudServer ist eines der modernsten und sichersten Daten-Server- Systeme zur sicheren und plattformunabhängigen Aufbewahrung Ihrer

Mehr

Installationsanleitung Tivoli Storage Manager für Mac OS

Installationsanleitung Tivoli Storage Manager für Mac OS 11. März 2009, Version 1.0 Installationsanleitung für Mac OS X Verwaltungsdirektion Informatikdienste Installationsanleitung für Mac OS Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Version

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

DHCP und dynamischer Update eines DNS

DHCP und dynamischer Update eines DNS DHCP und dynamischer Update eines DNS Als Voraussetzung für diese Dokumentation wird eine funktionierende Konfiguration eines DNS Servers, mit den entsprechenden Zonefiles angenommen. Die hier verwendete

Mehr

S. 15 "TopAccess Administratormodus aufrufen" Das Untermenü "Sichern" wird aufgerufen.

S. 15 TopAccess Administratormodus aufrufen Das Untermenü Sichern wird aufgerufen. Daten sichern Der Administrator kann Sicherungsdateien von Adressbuch-, Postfach- und Vorlagendaten auf der Festplatte archivieren. Diese Wartungsfunktion wird eingesetzt, um Sicherungsdateien zu erstellen,

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Betriebssystem Windows - SSH Secure Shell Client

Betriebssystem Windows - SSH Secure Shell Client Betriebssystem Windows - SSH Secure Shell Client Betriebssystem Windows - SSH Secure Shell Client... 1 Download... 2 Installation... 2 Funktionen... 3 Verbindung aufbauen... 3 Verbindung trennen... 4 Profile...

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

Installation und Dokumentation. juris Autologon 3.1

Installation und Dokumentation. juris Autologon 3.1 Installation und Dokumentation juris Autologon 3.1 Inhaltsverzeichnis: 1. Allgemeines 3 2. Installation Einzelplatz 3 3. Installation Netzwerk 3 3.1 Konfiguration Netzwerk 3 3.1.1 Die Autologon.ini 3 3.1.2

Mehr

Configuration Manager Hardware Inventory Erweiterungen. 22.05.2014 trueit TechEvent 2014 1

Configuration Manager Hardware Inventory Erweiterungen. 22.05.2014 trueit TechEvent 2014 1 Configuration Manager Hardware Inventory Erweiterungen It s all about WMI 22.05.2014 trueit TechEvent 2014 1 Agenda Grundlagen Inventory Arten Welche Daten können inventarisiert werden Anpassungen an Default

Mehr

Autor: Uwe Labs Stand: 21.03.2008. 1. WinSecureCopy in der paedml 3.0 Novell...1

Autor: Uwe Labs Stand: 21.03.2008. 1. WinSecureCopy in der paedml 3.0 Novell...1 . WinSecureCopy in der paedml 3.0 Novell Autor: Uwe Labs Stand: 2.03.2008 Inhaltsverzeichnis. WinSecureCopy in der paedml 3.0 Novell..... Übersicht....2. Installation und Start....3. Benutzung von WinSCP...6..

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

INSTALLATION ABACUS ABAWEBCLIENT

INSTALLATION ABACUS ABAWEBCLIENT INSTALLATION ABACUS ABAWEBCLIENT Mai 2005 / EMO v.2005.1 Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung der Unterlagen,

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Knottenwäldchen Software

Knottenwäldchen Software Knottenwäldchen Software Installationsanleitung für die netzbasierte Lösung Knottenwäldchen Software März.2011 Knottenwäldchen Software Seite 2 1 Inhalt 1 Inhalt... 2 2 Übersicht... 3 3 Installation...

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP

LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP LDAP für HiPath OpenOffice ME V1 Installation von ESTOS Metadir unter Windows XP Inhaltsverzeichnis Dokumenteninformation... 2 Voraussetzungen... 2 Einschränkungen... 2 Installation von ESTOS Metadir...

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Emailprogramm HOWTO. zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail

Emailprogramm HOWTO. zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail Emailprogramm HOWTO zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail Copyright 2003 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnung

Mehr

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal

Einrichtung von radsecproxy. Dipl.-Math. Christian Strauf Rechenzentrum TU Clausthal Einrichtung von radsecproxy Agenda Erinnerung: Funktionsweise von RADIUS RadSec - eine Übersicht Systemvoraussetzungen Installation von radsecproxy Konfiguration von radsecproxy Debugging 2 Erinnerung:

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Serverumzug mit Win-CASA

Serverumzug mit Win-CASA Serverumzug mit Win-CASA Wenn Sie in Ihrem Netzwerk einen Umzug der Server-Version durchführen müssen, sollten Sie ein paar Punkte beachten, damit dies ohne Probleme abläuft. 1. Nachweis-Ordner In der

Mehr

Handbuch Datensicherung

Handbuch Datensicherung Copyright 1995-2009 by winvs software AG, alle Rechte vorbehalten Gewähr Urheberrechte Haftung Die in diesem Handbuch enthaltenen Angaben sind ohne Gewähr und können jederzeit ohne vorherige Benachrichtigung

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

SecurityGateway. Installationsanleitung

SecurityGateway. Installationsanleitung Installationsanleitung Inhaltsverzeichnis Installationsanleitung 3 Schritt 1 Download der Installationsdateien 3 Schritt 2 Willkommensbildschirm 4 Schritt 3 Lizenzbestimmungen 4 Schritt 4 Installationsverzeichnis

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

FTP Server unter Windows XP einrichten

FTP Server unter Windows XP einrichten Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Installationsleitfaden kabelsafe storage mit FileZilla Client Programm

Installationsleitfaden kabelsafe storage mit FileZilla Client Programm Installationsleitfaden kabelsafe storage mit FileZilla Client Programm Installationsanleitung kabelsafe storage unter Verwendung des kostenlos unter verschiedenen Betriebssystemplattformen (Windows, Apple

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

Auf der Homepage steht

Auf der Homepage steht Auf der Homepage steht VirtualBox is a powerful x86 and AMD64/Intel64 virtualization product for enterprise as well as home use. Not only is VirtualBox an extremely feature rich, high performance product

Mehr

Server 2012 R2 - Active Directory. Installation und Grundkonfiguration. Manual 20

Server 2012 R2 - Active Directory. Installation und Grundkonfiguration. Manual 20 Server 2012 R2 - Active Directory Installation und Grundkonfiguration Manual 20 Manual 20 Server 2012 R2 - Active Directory Installation und Grundkonfiguration Ziel In diesem Manual beschreiben wir die

Mehr

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP ADSL INSTALLATION - ETHERNET Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP HostProfis ISP ADSL Installation 1 Bankverbindung: ADSL INSTALLATION

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

LANCOM Advanced VPN Client:

LANCOM Advanced VPN Client: LANCOM Advanced VPN Client: Eine ganze Reihe von LANCOM-Modellen verfügt über VPN-Funktionalität und damit über die Möglichkeit, entfernten Rechnern einen Einwahlzugang (RAS) über eine gesicherte, verschlüsselte

Mehr

Bedienungsanleitung htp Net Business VPN Remote Access

Bedienungsanleitung htp Net Business VPN Remote Access Liebe Kundin, lieber Kunde, Wir freuen uns, dass Sie sich für htp Net Business VPN RemoteAccess entschieden haben. Die Leistungen dieses Produkts sind speziell auf Ihre Anforderungen als Geschäftskunde

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Inhalt Data Protection Manager 2010 Installieren... 2 Große Festplatte für Backup s hinzufügen... 7 Client Agent installieren...

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag.

TKÜV mit SPONTS. Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ 2004 iku Systemhaus AG http://www.iku ag. TKÜV mit SPONTS Kurt Huwig Vorstand iku Systemhaus AG Leiter Entwicklungsabteilung http://www.iku ag.de/ iku Systemhaus AG gegründet 1997 seit 2002 Aktiengesellschaft 10 Mitarbeiter Geschäftsfelder Linux

Mehr

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung Das Problem Die Abkündigungen seitens Microsoft von Forefront Threat Management Gateway (TMG) und

Mehr