GEMEINSAME BENUTZERVERWALTUNG

Größe: px
Ab Seite anzeigen:

Download "GEMEINSAME BENUTZERVERWALTUNG"

Transkript

1 GEMEINSAME BENUTZERVERWALTUNG MIT OPENLDAP UND RADIUS CEBIT SPLITTER DNS - AUFBAU UND COMPUTER FORENSIK DATA HIDING KERNEL SECURITY IPV6 BS7799 IT SERVICE MANAGEMENT SERVER-TAGEBUCH TEIL 2 SCHWACHSTELLEN

2 Hagenberger Kreis zur Förderung der digitalen Sicherheit pa FH-Studiengang CMS Hauptstraße Hagenberg fax: /

3 Vorwort 3 Der Sommer ist zu Ende und ein neues Studienjahr beginnt. Wobei sich viele fragen werden, wo denn der Sommer hinsichtlich der Temperaturen überhaupt geblieben ist. Während zumindest in Deutschland der Wahlkampf für Hitzewallungen sorgte, blieb es bei uns doch eher mäßig. Nichts desto trotz hoffe ich, dass jeder, der Urlaub hatte, diesen auch genießen konnte. Der Herbst beginnt zumindest heiß. Zehn neue Artikel im Magazin erklären, klären auf und analysieren Themen aus den verschiedensten Bereichen der IT-Sicherheit. Von der tief greifenden Technik bis zur hohen Kunst des Managements ist wieder einmal für jeden Geschmack etwas dabei. Wieviele Türen aus unserem Titelbild haben Sie in Verwendung? Wäre es nicht einfacher nur eine Türe öffnen zu müssen? Sollte Sie diese Frage mit ja beantworten, dann wird Ihnen unser Titelthema auf effiziente Weise einen Einblick in diese Thematik anhand von OpenLDAP und FreeRadius bieten. Während der Hagenberger Kreis sich bereits in der Anfangsphase der Planung für das nächste Security Forum befindet und unsere neuen Studenten durchstarten, begeben wir uns auf Themensuche für die nächste Ausgabe. Einstweilen wünsche ich Ihnen viel Spaß mit dem aktuellen HK-Magazin. Harald Fürlinger

4 4 Impressum HK-Magazin Medieninhaber und Verleger: Hagenberger Kreis zur Förderung der digitalen Sicherheit Herausgeber und Redaktion: Harald Fürlinger und Dirk Wallerstorfer A-4232 Hagenberg, Hauptstraße 117 Fax: +43 (0) Chefredaktion: Harald Fürlinger Grafik / Design und Layout: Dirk Wallerstorfer Bilderquelle: wenn nicht anders angegeben, bei den Autoren. Nachdruck der Artikel nur unter genauer Quellenangabe erlaubt, welche die Nennung des Autors sowie die des Hagenberger Kreises beinhalten muss. Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Herausgeber nicht übernommen werden. Für namentlich gekenntzeichnete Artikel wird nur die presserechtliche Verantwortung übernommen. Produktbezeichnungen und Logos sind zu Gunsten der jeweiligen Hersteller als Warenzeichen und eingetragene Warenzeichen geschützt. Wir übernehmen keine Haftung für eventuelle Schäden die aus der Benutzung des pdf- Files entstehen könnten und empfehlen das File vor dem Öffnen noch einmal mit einem Virenscanner zu prüfen. Dieses Magazin erscheint regelmäßig.

5 Inhaltsverzeichnis 5 CEBIT SPLITTER 6 Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. KERNEL SECURITY 21 Bei der Diskussion um das Beste und sicherste Betriebssystem wird meist Linux als erste Wahl genannt. Doch warum ist das so? Man könnte meinen, dass ein fertig zusammengestelltes und unveränderliches Windows System weitaus sicherer ist. DNS - AUFBAU UND SCHWACHSTELLEN 8 Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. IPV6 23 Das Internet Protocol Version 6 ist der designierte Nachfolger der sehr populären Version 4. IPv6 weist in manchen Teilen noch Ähnlichkeiten zum Vorgänger auf, legt jedoch neben zahlreichen Verbesserungen und Erweiterungen einige neue, sehr interessante Konzepte zu Tage. COMPUTER FORENSIK 12 Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. ZERTIFIZIERTE INFORMATIOSSICHERHEIT NACH BS 7799 BZW. ISO/IEC Dass Komponenten wie Firewalls und Anti-Viren Programme zu zentralen Bestandteilen eines Sicherheitskonzepts gehören, haben mittlerweile die meisten Unternehmen erkannt. Aber was nützt die beste Firewall, wenn es die Mitarbeiter sind, die sensible Daten an die Öffentlichkeit tragen? DATA HIDING 14 Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. IT SERVICE MANAGEMENT 28 Ein Großteil der Geschäftsprozesse von Unternehmen setzt das reibungslose Funktionieren aller IT-Infrastrukturkomponenten (Daten- und Sprachnetzwerke, Serversysteme, Anwendungen, etc.) voraus. GEMEINSAME BENUTZERVERWALTUNG FÜR SQUID, POSTFIX, PPTP UND L2TP/IPSEC MIT OPENLDAP UND FREE- RADIUS 16 Ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. SERVER TAGEBUCH - TEIL 2 30 Der zweite Teil des Server Tagebuchs behandelt die Services FTP, Samba und DynDNS.

6 6 Cebit Splitter Cebit Splitter Die von 10. bis in Hannover stattgefundene CeBIT 2005 war wiederum eine Fundgrube für technische Innovationen und zukunftsweisende Entwicklungen. IBM hat einen Prototyp des im Rahmen des Millipede-Projektes entwickelten, im Nanobereich arbeitenden thermomechanischen Datenträgers vorgestellt. Mit dieser Technologie kann eine Aufzeichnungsdichte von 1 TB pro Quadratzoll erreicht werden, was etwa der Datenmenge von 25 DVDs auf der Fläche einer Briefmarke entspricht. Der Datenträger ist wiederbeschreibbar. Die Marktreife könnte nach etwa 2 bis 3-jähriger Entwicklungszeit erreicht werden. DIE TU BRAUNSCHWEIG, Institut für Hochfrequenztechnik, hat organische Leuchtdioden (O-LEDs) präsentiert. Sie bestehen aus hauchdünnen Schichten organischer Halbleiter und organischer Farbstoffe, können auf biegsame Folien aufgetragen werden und benötigen, da sie selbstleuchtend sind, im Gegensatz zu LCDs, keine Hintergrundbeleuchtung. Des-halb und weil sie Strom direkt in Licht umwandeln, kommen sie mit weniger Energie aus und sind aus jedem Betrachtungswinkel gut zu erkennen. Eingesetzt werden derartige ansteuerbare Folien die, etwa 2 cm groß, auf der CeBIT in Serie hergestellt wurden - bereits jetzt als Displays. Die Weiterentwicklung kann bis zur flächendeckenden Beleuch-tung von Wänden oder dem als flache Folie an die Wand gehängten Fernseher/Bildschirm gehen. DIE PHILIPPS-UNIVERSITÄT Marburg hat die Anwendungs-

7 Cebit Splitter 7 möglichkeiten des aus einem Bakterium gewonnenen Pigment Bakteriorhodopsin weiterentwickelt. Es handelt sich um ein fotochromatisches Protein, das unter Einwirkung sichtbaren Lichts seine Farbe sehr augenfällig von Violett nach gelb ändert. Diese Eigenschaft kann genützt werden, um Dokumente (Banknoten) fälschungssicher zu gestalten. Ändert sich die Farbe unter Lichteinfluss nicht, liegt eine Kopie vor. Die Herstellung des Farbstoffs erfordert hohes biotechnologisches Wissen und Knowhow. Außerdem können, ohne die grundlegenden Eigen-schaften zu verändern, Sequenzen der Aminosäuren verändert und das Material dadurch codiert werden, mit 2010 Kombinationsmöglichkeiten, sodass eine Rückführbar-keit auf den Ursprungsort gewährleistet werden kann. Bei Einwirkung sehr hoher Lichtenergie, wie sie durch Laserpulse in Pico- bis Nanosekundenbereich erzielt wird, wird der Farbwechsel irreversibel, was zur Datenspeicherung im Bereich von 1 MB/cm² benützt werden kann KIDDE-DEUGRA hat, auf der Basis des Löschmittels Novec 1230 von 3M, im Rahmen des CefIS (Centrum für Informationssicherheit) ein neuartiges Löschsystem vorgestellt. Das bei Raumtemperatur flüssige Löschmittel ist elektrisch nicht leitend ein in die Flüssigkeit eingetauchtes Handy war nachher wieder voll funktionsfähig. Es handelt sich um ein C6-Fluorketon und nicht um einen Fluorkohlenwasserstoff (anstelle des Wasserstoffs ist ein Sauerstoffatom in Doppelbindung eingefügt). In der Atmosphäre löst sich das Gas nach Herstellerangaben spätestens nach fünf Tagen ohne Gefahr für die Ozonschicht auf. Die Flüssigkeit steht in Behältern durch Stickstoff unter einem Druck von etwa 40 bar und wird im Brandfall über spezielle Düsen verdampft. Die brandlöschende Wirkung entsteht dadurch, dass dem Feuer eine seiner Komponenten, nämlich die Wärme, entzogen wird. Es findet also nicht, wie beispielsweise bei Inertgasen, eine Sauerstoffverdrängung statt, mit der damit verbundenen Erstickungsgefahr für Menschen und der Gefahr des Überdrucks. Die Brandbekämpfung kann auch direkt in einem 19 -Schrank erfolgen, indem Rauchmelder, Steuer- und Löscheinheit direkt in einem Einschub installiert sind, der im Schrank zuoberst angeordnet wird. MIT CINDERELLA ( Math in Motion ) können nicht nur geometrische Lehrsätze interaktiv auf einer Schautafel sichtbar und plausibel gemacht werden, sondern es kann, an Hand der physikalischen Gesetze, mit Szenarien von Atomphysik über Optik bis zu Planetenbewegungen experimentiert werden, ohne den real durch Versuchsbedingungen gegebenen Erschwernissen unterworfen zu sein. Die Umsetzung der auf der Tafel eingegebenen Ausgangswerte in dargestellte Bewegungen erfolgt durch den Rechner (Technische Universitäten Berlin und München; Springer-Verlag). DAS GRAZER UNTERNEHMEN KOMMe Z hat ein Renderingverfahren vorgestellt, durch das einfache Formen beispielsweise in Bauwerke umgerechnet werden können, in denen und um die herum man sich virtuell bewegen und sie aus verschiedenen Blickwinkeln betrachten kann. Im gezeigten Fall war ein einfaches Lego-Haus in ein Bauwerk umgerechnet worden; das frei bewegliche Entlein hat den Betrachter dargestellt. Am Bildschirm konnten die verschiedenen Perspektiven mitverfolgt werden WASSERKÜHLUNG für Prozessoren im PC-Bereich bietet Alphacool an. Dadurch entfällt das Lüftergeräusch und es kann die Prozessorleistung gesteigert werden. Dr. Kurt Hickisch LINKS IBM... TU-BRAUNSCHWEIG... PHILLIPS-UNIVERSITÄT... KIDDE-DEUGRA... CINDERELLA... KOMMe Z... ALPHACOOL...

8 8 DNS - Aufbau&Schwachstellen Domain Name System Aufbau & Schwachstellen Das Domain Name System (DNS) ist eine verteilte Datenbank, die den Namensraum im Internet verwaltet und Domainnamen in IP-Adressen umwandelt und umgekehrt. Das DNS bietet eine Vereinfachung, weil Menschen sich Namen weitaus besser merken können als Zahlenkolonnen. WIE FUNKTIONIERT DNS? Das Domain Name System ist ein hierarchisches System zur Auflösung von Computernamen in IP- Adressen. Die weltweit verteilten 13 Root Server stellen die oberste Schicht dar und verfügen über die Informationen der Top Level Domains. Dabei unterscheidet man zwischen gtld (generic Top Level Domains) wie zb.com,.org,.gov und.net und den länderspezifischen cctld (country coded Top Level Domains) aus zwei- bis dreistelligen Ländercodes. Für jede TLD ist ein eigener Nameserver zuständig, der dann seinerseits wieder die Informationen enthält, welcher Nameserver für die Domains zuständig ist. diesem erhält der Client schließlich die IP-Adresse von Eine Zone stellt einen Teil des Domain-Baums dar, für den ein Nameserver autoritative Informationen besitzt. Dabei können Subdomains in eigenständige Zonen unterteilt und an andere Nameserver delegiert werden. Eine Zone wird von einem Primary Nameserver verwaltet, der diese Zonen auf einen oder mehrere Secondary Nameserver spiegeln kann. Die Daten einer Zone werden in so genannten Zonendateien gespeichert. Die Originaldatei befindet sich am Primary Server, der sie bei Änderungen per Zonentransfer an die Secondary Server überträgt. ERLAUBTE ZEICHEN Ursprünglich waren nur die Buchstaben a bis z, die Ziffern 0 bis 9 und der Bindestrich in Domains erlaubt. Der Punkt ist für die Trennung der einzelnen Levels reserviert und darf in Domainnamen nicht verwendet werden. Ein Domänenname darf inklusive aller Punkte maximal 255 Zeichen lang sein. Im RFC3490 wurde der Internationalized Domain Name (IDN) vorgestellt, der es möglich macht auch Sonderzeichen (zb Umlaute) in Domainnamen zu verwenden. Dabei sorgt der im RFC3492 definierten Punycode dafür, dass die Unicode-Zeichen der Umlautdomain in ASCII-Zeichen mit dem HIERARCHISCHE GLIEDERUNG Die Domain kann in drei Teile gegliedert werden. Top Level Domain: at 2nd Level Domain: hagenberger kreis 3rd Level Domain: www Die Auflösung der Domain www. hagenbergerkreis.at erfolgt in mehreren Schritten (siehe Abbildung 1). Als erstes wird der Root Server befragt, welcher Server für Informationen über.at-domains zuständig ist. Dieser Server wiederum verweist auf den Server, der Informationen über die Domain hagenbergerkreis.at besitzt. Von Abbildung 1 - Auflösung einer Domain

9 DNS - Aufbau&Schwachstellen 9 Skripts auf allen Slaves auf den neuesten Stand gebracht. Zur Absicherung befindet sich der Primary-Server hinter einer Hardware-Firewall während die Secondary-Server jeweils mit iptables (Software-Firewall) abgesichert werden. Zusätzlich ist es wichtig, nach der Installation ein System- Hardening durchzuführen und auf eine sichere Bind-Version zu wählen. Präfix xn-- umgewandelt werden. Die Umwandlung erfolgt beim Client (Webbrowser, Mail-Programm). IDN-fähig sind folgende Browser: Mozilla ab Version 1.4 Firefox ab Version 0.8 Konqueror ab KDE 3.2 mit GNU IDN Library Microsoft Internet Explorer ab Version 5.0 durch Installation des Plugins i-nav von VeriSign (bedingt) IDN-fähig. Mit IE 6 treten jedoch trotz Plugin fehlerhafte Abläufe auf. Ab der im Sommer 2005 erscheinenden Version 7 wird es voraussichtlich eine weitgehende IDNA-Unterstützung geben. Abbildung 2 - Hierarchische Gliederung In einem Projekt im Rahmen des 3. Semesters haben wir ein DNS-Server-System mit Anbindung an einen LDAP-Server aufgebaut. Das System besteht aus zwei Secondary-DNS-Servern (Slaves) und einem Primary-DNS-Server (Master), der sich hinter einer Firewall befindet. Um Redundanzen und eine bessere Lastverteilung zu schaffen können noch weitere Secondary-DNS-Server zum System hinzugefügt werden. Der Primary-DNS-Server erhält seine Informationen von einem LDAP- Verzeichnis und steht nicht für DNS-Abfragen von außen zur Verfügung. Er kann als interner DNS- Server dienen oder nur zur Verteilung der Domain-Informationen an die beiden Slaves verwendet werden. Am LDAP-Server werden über eine eigens erstellte Web-Oberfläche neue Zonen erstellt bzw. bestehende administriert. In einem vorgegebenen zeitlichen Intervall wird mittels ldap2dns (http:// ldap2dns.tiscover.com/) auf aktualisierte bzw. neue Konfigurations- und Zonenfiles überprüft. Im Falle einer Aktualisierung wird ein Zonentransfer veranlasst und somit die Dateien zuerst automatisch am Master und anschließend über Um zu verhindern, dass die Secondary-DNS-Server von unautorisierten Servern Zonenfiles erhalten reicht die Identifikation von autorisierten Servern über IP-Adressen nicht aus, da diese leicht gefälscht werden können. Durch Transaction Signatures (TSIG) kann die Datenintegrität der Transaktion und die Authentizität der beteiligten Server sichergestellt werden. Der Master und die Slaves verfügen über einen gemeinsamen Key, der über dnskeygen erstellt wird. Dieser Key wird für einen HMAC-MD5 über die transferierten Daten verwendet. Somit kann ein Angreifer die Daten während des Transfers nicht abfangen und verändern und auch keine eigenen Zonendaten an einen der Slaves senden ohne den Key zu kennen. WIE SIEHT EINE MÄGLICHE IMPLEMENTIERUNG EINES DNSS AUS? Abbildung 3 - Aufbau

10 10 DNS - Aufbau&Schwachstellen Abbildung 4 - DNS Cache Poisoning ATTACKEN AUF DNS BUFFER OVERFLOW ATTACKS Um Buffer Overflow Attacken durchführen zu können, muss man zuvor den DNS-Server, den man attackieren möchte, genau analysieren und wenn möglich herausfinden, welche Software installiert und aktiv ist. Findet man zu einem aktiven Programm einen Exploit, verschafft man sich durch diesen Zugang auf die Kommandozeile des Servers und kann somit in den Zonenfiles und anderen Konfigurationsdateien nach Belieben Änderungen vornehmen. MAN IN THE MIDDLE Das DNS-System ist dadurch besonders leicht verwundbar, da als einziges Validierungsmerkmal eine 16 Bit große ID, die sogenannte Transaktions-ID zur Verfügung steht, anhand dessen ein anfragender Nameserver die Antworten zuordnen kann. Ein simpler Man in the Middle Angriff könnte erfolgen, indem der Angreifer den angefragten Nameserver daran hindert zu antworten (zb mittels SYN-Flooding). Die sodann folgende Attacke besteht aus Paketen (es muss auch noch der Query-Port stimmen, daher könnten noch mehr Pakete von Nöten sein), welche als Absender den eigentlichen Nameserver haben, sämtliche Query-IDs abdecken und natürlich falsche Informationen enthalten. Weiters kann man die in Frage kommenden IDs durch eigene Anfragen an den Server zuvor einschränken. DNS-CACHE-POISONING Das Cache-Poisoning bedient sich des Umstandes, dass DNS-Server die Informationen, die sie von anderen DNS-Servern bekommen, annehmen, ohne dass sie diese auf Richtigkeit oder Sinnhaftigkeit prüfen. Das heißt, dass Nameserver, die auf eine Anfrage eines anderen antworten, zusätzliche Informationen mit ihrer Antwort mitsenden können, die gar nicht angefordert wurden. Um Cache-Poisoning durchführen zu können, benötigt man eine eigene Domain und einen dazugehörigen Nameserver. Nun sendet man eine Anfrage zu dem Server, den man vergiften will, in der man die Adresse einer Domain beantragt, die unter der Verwaltung des eigenen Nameservers liegt. Dieser beantwortet die Anfrage und sendet in den ungenutzten Felder der Antwort zusätzliche Informationen, wie zum Beispiel eine gefälschte

11 DNS - Aufbau&Schwachstellen 11 Adresse zu Wenn nun ein anderer Client den vergifteten Nameserver nach der Adresse von fragt, bekommt er als Antwort die gefälschte und der Angriff ist geglückt. Dieser Angriff ist nur bei Caching- DNS-Servern möglich. Bei Nameserver, die mit einer aktuellen Version von BIND ausgestattet sind, ist dieser Angriff mittlerweile nicht mehr möglich. DNS-CACHE-POISONING VARIANTE 2 In Abbildung 1 ist eine normale DNS-Abfrage dargestellt. Bei der Verbindung zwischen Client und Nameserver und zwischen den beiden Nameservern sind die Transaktions IDs verschieden. In dieser Variante des Cache-Poisoning wird der Angreifer die ID der Kommunikation zwischen den beiden Nameservern erraten. Bei diesem Angriff ist weiters noch wichtig, dass BIND DNS-Server für Anfragen an einen anderen Server mit großer Wahrscheinlichkeit den gleichen Sourceport für die Anfragen verwendet. Der Angreifer sendet immens viele Anfragen, die jene Domain betreffen, die der Angreifer spoofen will, an den Opfer DNS Server, der die Anfragen an den zuständigen DNS Server weiterleitet. Nun erwartet der Opfer Server eine Flutwelle an Antworten, jede mit einer einzigartigen Transaktions ID, von dem anderen DNS Server. Nun kommt der Angreifer wieder ins Spiel. Dieser sendet nun Antwort-Pakete, versehen mit der Source IP des für die Domain zuständigen DNS Servers und mit dem Source Port, der zuvor schon bestimmt wurde, an den Opfer DNS Server und hofft, dass er eine Transaktions ID errät. Dadurch kann der Angreifer verfälschte Informationen im Cache des Opfer Servers platzieren und der Angriff ist geglückt. DNS FLOODING Darunter versteht man einen Angriff, der darin besteht, permanent von gefälschten, zufällig generierten IP-Adressen Anfragen nach Domains, die ebenfalls zufällig generiert werden, an einen Nameserver zu senden, sodass dieser außer der Beantwortung dieser Anfragen keine anderen mehr beantwortet. Das DNS Flooding stellt einen sehr effizienten Denial-Of-Service Angriff auf Nameserver dar. Diesem Angriff kann man leider nur wenig entgegenstellen. Eine Möglichkeit besteht darin, wie es zb bei ISPs Gang und Gebe ist, mehrere DNS-Server aufzustellen, um somit den Kunden nach Ausfall eines DNS-Servers weiterhin das Nameservice zur Verfügung stellen zu können. INFORMATION LEAKS Wenn ein DNS-System aus mehreren Servern besteht, ist es wahrscheinlich, dass zwischen diesen (hauptsächlich zwischen dem Primary und den Secondaries) Zonentransfers stattfinden. Da die Authentisierung bei der Übertragung hauptsächlich auf IP-Adressen basiert, können Angreifer ohne größeren Aufwand einen Secondary-Server imitieren und somit die Informationen, die in den Zonenfiles stehen, für weitere Angriffe verwenden. WIE KANN MAN ES ABSICHERN? Das Domain Name System ist unentbehrlich für jeden Internetbenutzer. Gerade deshalb sollte beim Aufbau und Betrieb eines eigenen DNS-Servers auf die Sicherheit des Servers und die Integrität der Daten geachtet werden. Einer der wichtigsten Schritte zur Absicherung von DNS Software und generell von jeder Software, ist der Betrieb einer aktuellen Version. Auf den Webseiten der Softwarehersteller (Bind: index.pl?/sw/bind/) werden meistens die neusten Releases und auch aufgetretene Sicherheitslücken bekannt gegeben. Es ist außerdem ratsam, die Version des verwendeten DNS-Servers zu verstecken, um einen Angreifer keinen Hinweis auf die Version und somit auf bereits bekannte Exploits zu geben. Bei Bind lässt sich in der Datei named. conf unter options versions ein beliebiger Text einstellen, der dann anstatt der Softwareversion angezeigt wird. Weiters sollte ein DNS-Server für keine weiteren anderen Dienste sondern rein als dedicated DNS- Server verwendet werden. Zum Härten gehört auch, die laufenden Betriebssystemservices auf das absolute Minimum zu reduzieren und nur benötigte TCP und UDP Ports zu öffnen. Sollte ein Angreifer dennoch Zugriff auf das System erhalten, ist es ratsam, den Zugriff auf das Filesystem zu beschränken, indem man den DNS-Server in einem so genannten Chroot-Gefängnis ausführt. Durch Zonentransfers werden normalerweise die gespeicherten Domains zwischen dem Primary und dem Secondary Server ausgetauscht. Die Informationen über die Domains können für einen Angreifer sehr nützlich sein, da er dadurch zb einen Überblick über die Topologie von Netzwerken, die sich hinter einer Firewall befinden, erhalten kann und diese für weitere Angriffe verwenden kann. Daher sollten Zonentransfers nur vom Primary and den Secondary Server gestattet werden. Um eine Hochverfügbarkeit des DNS-Services zu gewährleisten sind redundante Server erforderlich. Wenn möglich sollten diese sogar in getrennten Netzwerken stehen. Es ist auch empfehlenswert den externen und internen Namespace getrennten Servern zuzuteilen und den Master DNS-Server vor Zugriffen von Außen zu verstecken. Martina Lindorfer Dirk Wallerstorfer

12 12 Der digitale Reisepass Der Ausdruck Forensik stammt aus dem Lateinischen und bedeutet gerichtlich oder kriminaltechnisch. Die Computer Forensik oder auch Digitale Forensik wird vor allem bei Ermittlung von Systemeinbrüchen im Bereich der Computerkriminalität eingesetzt. Durch Computer Forensik ist es möglich strafbare Handlungen zum Beispiel durch die Analyse von digitalen Spuren zu erkennen und aufzuklären. Bevor eine Forensische Untersuchung durchgeführt werden kann, müssen Vorbereitungen am System getroffen werden. Es muss das normale Verhalten des Systems dokumentiert werden um einen späteren Einbruch zu erkennen und zu analysieren. Die Untersuchungen werden also nach einem Angriff durchgeführt, um herauszufinden, wie erfolgreich der Angreifer war und welche Systemlücken ausgenutzt wurden. VORBEREITUNG Zur Vorbereitung der forensischen Analyse ist es wichtig Ist-Stände des Systems zu verschiedenen Zeiten zu sichern. Dies beinhaltet das Speichern von Logfiles, sowie das Erfassen der laufenden Prozesse und Dienste um Veränderungen am System im Ernstfall erkennen zu können. Idealerweise werden auch die freigegebenen Ordner und die angelegten User und Administratoren dokumentiert. Um zu verhindern, dass die gesicherten Daten nicht während eines Angriffs verändert werden, sollten sie auf einem externen Medium gespeichert werden. Außerdem ist es wichtig, die für die Analyse eingesetzten Programme von CD zu starten, da die Ergebnisse bei am System installierten Programmen durch Scripts verändert werden können. Um nach dem Erkennen eines Einbruchs keine Spuren zu verwischen sollten nachträglich auch keinerlei andere Programme installiert werden. Somit sollte vor einem Ernstfall ein Soll-Stand als Vergleichsmöglichkeit existieren, welcher alle relevanten Systeminformationen enthält. Diese Daten können bei einer späteren Analyse als nicht verdächtig herausgefiltert werden

13 Computer Forensik 13 um zu verhindern, dass Hinweise auf mögliche Täter bei einer Analyse in der Fülle an Informationen untergehen. IST-STAND Wurde nun das System kompromittiert, muss man entscheiden ob das System sofort vom Netz genommen wird oder nicht. Will man die Aktionen eines aktiven Angreifers analysieren so wird es nachteilig sein, das System vom Internet zu trennen. Doch so kann man sichergehen, dass nicht noch mehr Schaden angerichtet wird. Um mit der tatsächlichen Analyse beginnen zu können, müssen erneut alle Systemdaten des Rechners erfasst werden. Wichtig hierbei ist, dass das System nicht sofort vom Strom getrennt wird, sondern davor flüchtige Daten wie Netzwerkverbindungen und speziell der RAM gesichert werden. Hierfür verwendbare Tools sind zum Beispiel WinHex oder Helix zum Sichern des Speichers und die Sysinternal Tools TCPView und TDIMon zum Erfassen der Verbindungen. Auch sollten wiederum Systemdaten für die Analyse gesichert werden. Um ein Image des gesamten Systems zu erhalten, kann wiederum die Forensik-CD Helix verwendet werden, aber es kann auch mit dem kostenpflichtigen Programm Encase gearbeitet werden. Hierfür wird die Festplatte aus dem System entfernt und mit einem Analysesystem verbunden. Wichtig ist davor die System-Festplatte mit einem Schreibschutz zu belegen. Dies ist zum Beispiel mit dem FastBlock möglich, welcher es ermöglicht, eine Harddisk über USB oder Firewire an ein anderes System anzuschließen und gleichzeitig jegliche Veränderung verhindert. Die erhaltenen Informationen können nun dem zuvor erfassten Soll- Stand gegenübergestellt und durch Angreifer verursachte Veränderungen erkannt werden. Falls Veränderungen festgestellt werden, sollten diese näher untersucht werden um die Funktion zum Beispiel von neuen Programmen zu ermitteln. So ist es möglich den Angriff nachzuvollziehen und die Schwachstelle des Systems ausfindig zu machen. PROGRAMME Will man nicht warten, bis ein Rechner nicht mehr funktionstüchtig ist oder durch Fehlverhalten auffällt, können schon während dem laufenden Betrieb Anzeichen auf einen Angriff erkannt werden. Folgende Programme können dafür verwendet werden: Um die Netzwerkauslastung am System zu erkennen, kann das kostenpflichtige Programm Traffic Analyzer PRTG installiert werden. Dies erfasst grafisch und tabellarisch die Auslastung und leitet diese Informationen täglich per Mail an den Verantwortlichen weiter. Auf diese Weise können beispielsweise illegitime Downloads erkannt werden. Es ist auch möglich alle Netzwerkverbindungen genauer zu untersuchen. Diese Funktionalität bietet das Sysinternal Tool TCPView, welcher alle bestehenden Verbindungen auflistet und dazu jeweils die Quell- und Remoteadressen in Form einer IP-Adresse oder URL angibt. Besteht eine Verbindung zu einer verdächtigen Adresse, deutet dies auf einen Angriff hin. Auf findet man eine dafür programmierte Suchmaschine, welche die Adresse bis zu Internetanbietern oder größeren Organisationen zurückverfolgt. Jedoch nur die Polizei hat das Recht Daten des Enduser beim Provider oder der Organisation einzufordern. Ein weiteres interessantes Sysinternal Tool ist Streams, durch welches man erkennen kann, ob Daten oder Programme von Angreifern in ADS (Alternate Data Streams) versteckt wurden. Solche Daten werden an bestehende Daten angehängt, verändern jedoch nicht deren Größe und scheinen im Explorer nicht auf. Die Sysinternal Tools und ähnliche Programme befinden sich auf der Forensik CD Helix. Durch eine von CD gestartete Shell, welche Windows- und Linuxbefehle erkennt, können diese Tools von CD gestartet werden und es ist sichergestellt, dass die Befehle und Tools nicht von Angreifern manipuliert wurden und somit ein richtiges Ergebnis liefern. Weitere Tools, welche von dieser CD gestartet werden können, sind zum Beispiel: MAC_Grab erfasst die MAC-Zeiten der Daten, das heißt die Zeitpunkte zu welchen Dateien verändert (Modified), aufgerufen (Access) oder verändert (Change) wurden. Pasco sowie Galleta dienen zur Analyse des Internet Explorers. Es werden die History sowie die Cookies der aufgerufenen Seiten ausgewertet. Md5deep und sha1deep berechnen und vergleichen Checksummen mittels md5- und sha-hashwerte von wichtigen Dateien. Bmap kann im Slackspace abgelegte Daten finden und wiederherstellen. Dieser Speicherbereich wird nur vom System erkannt und scheint in Verwaltungsprogrammen wie Explorer nicht auf. Chkrootkit und rkhunter durchsuchen das System nach Rootkits, welche Systemeigenschaften verändern. Regviewer bietet eine Schnittstelle um in die Windows Registry Einsicht zu nehmen. Zusätzlich bietet die CD einige Features. Zum Beispiel kann ein Security Report erzeugt werden, welcher Systemdaten wie IP-Adressen und Mac-Adressen auflistet sowie die Security Policy anführt. Außerdem werden die installierten Programme, Driver, Services und Bibliotheken sowie die offenen Ports in diese XML-Datei gesichert. Zusätzlich wird noch angegeben, ob die Services aktiv oder gestoppt sind. Ein weiteres Feature ist die Sicherung des RAM und des physikalisches oder logischen Festplattenspeichers als Image mittels dem Linux-Befehl dd. Wird das Programm beendet, können die durch Helix durchgeführten Aktionen des Ermittlers protokolliert werden. Birgit Haas Ulrike Mayrhofer

14 14 Data Hiding um eine Datei zu klassifizieren. Die Tests werden in dieser Reihenfolge durchgeführt und terminieren sobald einer davon erfolgreich ist. Unlinking Open Files Diese Strategie wird oft dazu benutzt, um Log-Informationen wie zum Beispiel Passwörter zu bekommen und gleichzeitig die Chance entdeckt zu werden, möglichst gering zu halten. Um das gewünschte Ergebnis zu erzielen, wird der Link auf eine geöffnete Datei gelöscht. Somit wird nicht mehr auf die Datei verwiesen, obwohl sie sich noch auf dem Speichermedium befindet und vor eventuellem Überschreiben geschützt ist, da das System, die von der Datei benötigten Ressourcen erst weitergibt, wenn der Prozess beendet wird. Die Person, die diesen Prozess gestartet hat, kann also später wiederkommen, um sich die Log-Informationen abzuholen. Data Hiding Techniken beschäftigen sich mit dem Einbetten von Informationen in ein Trägermedium (z.b.: eine Festplatte). Ziel dabei ist es, diese Daten so zu verstecken, dass sie für jeden, außer für den Eigentümer, unsichtbar sind. Hiding Data in Slack Space Slack Space = The space on a hard disk between the end of a file and the end of the cluster that the file occupies. Es gibt mehrere Möglichkeiten dies zu realisieren (getestet auf Linux ext2-filesystemen). Jedoch seien alle, die bereits vergnügt Pläne schmieden wollen, gleich am Anfang gewarnt. Keine einzige dieser Möglichkeiten garantiert Unauffindbarkeit, wenn mit professionellen Tools (wie EnCase oder ILook) nach den Daten gesucht wird. VERSTECKEN DER DATEN AUF DER FESTPLATTE Camouflaged files camouflage = die Tarnung Eine sehr einfache und unter Windows durchaus erfolgreiche Methode Daten zu verstecken ist, die Dateinamenerweiterung zu verändern (z.b.: von.jpg auf.doc). Somit kann der Betrachter ohne Hilfsmittel nicht feststellen, was die Datei wirklich enthält. Während unter Windows auch das Betriebssystem Probleme mit dem falschen Dateiformat hat, und in den meisten Fällen den Inhalt nicht anzeigen kann, gelingt dies unter Linux ohne Schwierigkeiten. Dort werden Dateien nämlich nicht anhand der Namenserweiterung sondern durch so genannte Magic Numbers identifiziert. Deshalb ist es hier auch einfach die ursprünglichen Erweiterungen festzustellen.dies geschieht durch die file Anweisung. Die man page erklärt dieses Kommando als eine combination of file system tests, magic number tests, and language tests Mit dem Programm bmap ist es möglich den normalerweise unzugänglichen Speicherbereich zwischen dem Ende einer Datei und dem Ende des von dieser Datei für Speicherzwecke reservierten Blocks zu nutzen. Es können Wörter, Dateien oder Programme in den Slackspace geschrieben und auch wieder ausgelesen werden. Eine besonders angenehme Nebenwirkung dabei ist, dass sich der Speicherbedarf der Datei beim Beschreiben des Slackspace nicht erhöht, da die Datei sowieso den ganzen Block für sich reserviert, auch wenn nur ein Teil davon belegt wird. Hiding Data in Bad Blocks Um diese Methode erfolgreich zu nutzen, muss man in der Entwick-

15 Data Hiding 15 lungsgeschichte der Speichermedien einige Jahre zurückgehen. Jede Festplatte hat defekte Blöcke. Manche existieren bereits bei der Auslieferung (Fehler bei der Herstellung), andere entstehen erst durch oftmaligen Gebrauch. Während die Kennzeichnung dieser defekten Blöcke bei neuen HDs bereits automatisch geschieht, mussten früher alle Bad Blocks, die nach der Herstellung schon defekt waren manuell vom Benutzer eingetragen werden, damit die Festplatte ohne Probleme laufen konnte. Diese manuelle Kennzeichnung kann man sich zunutze machen, um auch heute noch (voll funktionsfähige) Blöcke als bad zu markieren, damit sie vom Betriebssystem ignoriert werden. Um bestimmte Daten verstecken zu können, muss man zuerst deren Aufenthaltsort, also jenen Block auf dem die Daten liegen, kennen. Hierbei hilft das Tool debugfs, welches genauere Informationen über Dateien und ihren Speicherplatz auf der Festplatte liefert. Um den ausgewählten Block anschließend als bad zu markieren, wird ein weiteres Programm e2fsck (speziell für ext2-filesysteme) benötigt. Als erstes überprüft man die Festplatte auf bereits vorhandene Bad Blocks. Hierbei darf die externe Festplatte nicht gemountet sein! Danach ist es notwendig eine Datei zu erstellen, die den Block/die Blöcke, die als bad markiert werden sollen beinhaltet. Dabei muss beachtet werden, dass in jeder Zeile nur ein Block steht. Nun wird die zur Erstellung der Datei gmountete Festplatte wieder abgehängt, um das Programm e2fsck ausführen zu können. Bei einer Suche nach der versteckten Datei dürfte es nun keine Ergebnisse mehr geben. Um die Daten verändern bzw. auslesen zu können muss das Programm e2fsck den zu Unrecht als bad markierten Block wiederherstellen. FINDEN DER VERSTECKTEN DATEN EnCase/ILook Wie bereits zuvor angekündigt ist es mit den beiden Programmen En- Case und ILook möglich die, durch verschiedene Methoden versteckten Daten, wieder zu finden. Es gibt jedoch einen kleinen Haken. Um die gefundenen Daten als Beweismittel vor Gericht verwenden zu können muss die Unveränderbarkeit der Daten während der Analyse sichergestellt werden. Die Überprüfung der Integrität erfolgt durch zwei Hashwerte. Der erste wird automatisch beim Einlesen der Daten über die einzulesende Festplatte generiert. Der zweite (Verifying Hash) kann nach dem Erstellen der Sicherung berechnet werden. Stimmen beide Werte überein, so wurden die Daten der Festplatte nicht verändert. Um dies zu gewährleisten, muss ein so genannter Fastblock verwendet werden, der einen Schreibzugriff auf das Trägermedium verhindert. Obwohl keine der getesteten Möglichkeiten die versteckten Daten vollkommen unauffindbar machen kann, ist die Thematik des Data Hiding ungeheuer spannend. Man bekommt ungeahnte Einblicke in die oftmals kuriose Welt der Speicherbelegung und Speicherfreigabe, der Blockeinteilung von Festplatten und anderer interessanter Datenlagerungsplätze. Wer nun Lust bekommen hat, selber auch einmal etwas zu Verstecken, dem seien folgende Internetseiten empfohlen: GSEC/Gary_Robertson_GSEC.pdf tations/bh-europe-04/bh-eu-04- grugq.pdf Sandra Wöckinger slack]# echo cybercriminal bmap --putslack file.txt stuffing block file size was: 34 slack size: 4062 block size: 4096 slack]# bmap --slack file.txt getting from block file size was: 34 slack size: 4062 block size: 4096 cybercriminal Abbildung 1 - Hiding Data in Slack Space

16 16 OpenLDAP meets Freeradius Gemeinsame Benutzerverwaltung für Squid, Postfix, PPTP und L2TP/IPSEC mit OpenLDAP und Freeradius In Abbildung 1 ist ein typisches Szenario für einen Benutzer mit mehreren Diensten dargestellt, wobei im schlimmsten Fall für jeden Dienst unterschiedliche Benutzernamen und Passwörter zur Authentifizierung notwendig sind. ALLGEMEINES Standardmäßig besitzt jeder Dienst sein eigenes Authentifizierungsverfahren mit eigenen Benutzerdaten, meist in einer eigenen Datenbank oder Datei. Je mehr Passwörter sich ein User merken muss, desto mehr wird er auch wieder vergessen, unsichere Passwörter verwenden oder einfach Post-Its auf den Monitor kleben. In solchen Fällen ist ein erster Schritt zu einem geschickten Identity Management eine gemeinsame Authentifizierung für mehrere Dienste mit einem einzigen Benutzername-Passwort-Paar. Natürlich wäre es möglich für einen User für jeden Dienst dieselben Daten zu verwenden, allerdings wäre der Aufwand zum Ändern der Daten, wie z.b. dem Passwort, wesentlich größer. Die Lösung ist die Benutzung von OpenLDAP und Freeradius und somit pro User nur ein Passwort, das an einer einzigen Stelle gespeichert und von allen Diensten verwendet werden kann, zu verwenden. Der folgende Artikel beschreibt dabei die Verwendung von OpenLDAP in Version und Freeradius auf Debian Linux. Es wird angenommen, dass die Dienste Squid, Postfix, PPTP sowie L2TP/IPSEC bereits in einer funktionierenden Konfiguration vorhanden und mit den jeweils eigenen Authentifizierungsverfahren funktionsfähig sind. Abbildung 1 - Szenario NOTWENDIGE DIENSTE OpenLDAP LDAP (Lightweight Directory Access Protocol) ist ein TCP/IP basierender, standardisierter Verzeichnisdienst (ähnlich DNS). Konkrete Implementierungen sind z.b. OpenLDAP unter Linux/BSD/Unix, Microsoft Active Directory unter Windows 2000 bzw. Windows 2003 oder das edirectory von Novell. Unter einem Verzeichnis versteht man eine Auflistung von Informati- Abbildung 2 - Gemeinsame Benutzerauthentisierung über LDAP und Radius

17 OpenLDAP meets Freeradius 17 onen über Objekte in einer gewissen Ordnung, wobei sich zu jedem Objekt Detailinformationen abfragen lassen. In einem Telefonbuch als Beispiel sind die Objekte die Personen, die Ordnung ist alphabetisch und die Detailinformationen sind Adresse und Telefonnummer. Im Gegensatz zu relationalen Datenbanken sind Verzeichnisse auf das Suchen und Lesen von Informationen spezialisiert. Die Konfiguration von OpenLDAP inklusive zugehöriger Access Control Lists kann auf Grund des Umfanges an dieser Stelle nicht erklärt werden. Entsprechende Informationen können im Adminguide auf oder in der ausführlicheren Dokumentation auf der Hagenbergerkreis-Homepage (www.hagenbergerkreis.at) nachgelesen werden. Zu Testzwecken wurde die in Abbildung 3 gezeigte LDAP Struktur erzeugt. Freeradius RADIUS (Remote Authentication Dial-In User Service) ist ein Client- Server-Protokoll zur Authentifizierung von Benutzern bei Dial-In Zugängen wie z.b. für PPP-Verbindungen. Die Clients werden dabei gegen verschiedenste Datenbanken (auch LDAP), die die Benutzernamen und Passwörter gespeichert haben, authentifiziert. Durch das AAA-Konzept (Authentication, Authorization, Accounting) lassen sich auch genaue Auswertungen über die einzelnen Loginzeiten usw. erstellen. Freeradius wird als Zwischenschicht für diejenigen Dienste verwendet, die nicht direkt auf LDAP zugreifen können, wie PPTP und L2TP/IPSEC. Auch hier kann eine genaue Konfiguration nicht erklärt werden. Es wird eine funktionierende Freeradius Konfiguration vorausgesetzt, mit OpenLDAP als Backend. KONKRETE ANPASSUNG DER DIENSTE Squid Squid ist ein mächtiger, freier, Open-Source Web Proxy u.a. für HTTP, HTTPS und FTP. In den aktuellen Versionen (derzeit Squid 2.5Stable9) ist ein Modul zur LDAP Authentifizierung bereits fix integriert, befindet sich meist (distributionsabhängig) in /usr/lib/squid/, und muss in der Konfigurationsdatei squid.conf nur entsprechend hinzugefügt werden. (siehe Listing 1) Bei der Wahl dieses Moduls wird für die Authentifizierung das obige Programm ausgeführt: Es wird gegen den LDAP Server auf localhost eine Authentifizierung als Benutzer uid=manager, ou=admin, dc=cms, dc=local mit dem Passwort managerpasswort durchgeführt. Anschließend wird in der ou=users, dc=cms, dc=local nach einem Benutzer gesucht, der Abbildung 3 - LDAP Beispielstruktur folgende Anforderungen erfüllt: Objektklasse cmsuser uid = %s (der vom Squid übergebene Benutzername, dessen Passwort überprüft werden soll) Anschließend wird von diesem Benutzer das Passwort aus dem LDAP Verzeichnis mit dem Eingegebenen verglichen. Im Erfolgsfall wird OK, im Fehlerfall ERR zurückgegeben. Dieser Befehl lässt sich auch sehr leicht über die Shell testen. (siehe Listing 2) Bei der Eingabe von falschen Benutzerdaten (testuser1 und falschespasswort) wird ERR, bei den richtigen Daten (testuser1 geheim) OK zurückgegeben. Verwendet wurde die Squid Version 2.5Stable8. /usr/lib/squid/ldap_auth -v 3 -h localhost -D cn=manager,ou=admin,dc=cms,dc=local -w managerpasswort -b ou=users,dc=cms,dc=local -f (&(objectclass=cmsuser)(uid=%s)) Listing 1 - squid.conf

18 18 OpenLDAP meets Freeradius gibraltar:~# /usr/lib/squid/ldap_auth -v 3 -h localhost -D uid=manager,ou=admin,dc= cms,dc=local -w b ou=users,dc=cms,dc=lo cal -f (&(objectclass=cmsuser)(uid=%s)) testuser1 falschespasswort ERR testuser1 geheim OK Listing 2 - Test Postfix Postfix ist eine sichere Alternative zum weit verbreiteten Unix MTA Server Sendmail. Er ist schnell, einfach zu administrieren und sicher. Aus Kompatibilitätsgründen wirkt er nach außen hin wie Sendmail, ist allerdings intern komplett unterschiedlich aufgebaut. Durch seinen modularen Programmaufbau ist es möglich, jederzeit neue Funktionen, wie z. B. eine LDAP Authentifizierung, hinzuzufügen. Zusätzlich können noch Komponenten für SPAM- und Virenfilterung (wie Spamassassin und ClamAV/Kaspersky Antivirus) integriert werden. Für Postfix gibt es 2 verschiedene Ansätze zur LDAP Authentifizierung. Eine Möglichkeit mit saslauthd (wird in diesem Artikel beschrieben) und die Andere über ldapdb (nähere Informationen hierzu können im Linux Magazin [1] nachgelesen werden). Eine bereits funktionierende Authentifizierungskonfiguration mit saslauthd und einer lokalen SASL- Datenbank muss nur geringfügig verändert werden. In der Datei / etc/postfix/sasl/smtpd.conf werden folgende Zeilen eingetragen. Zusätzlich muss noch die Datei /etc/saslauthd.conf erstellt werden. Abschließend muss für eine erfolgreiche SMTP-Authentifizierung saslauthd mit den Argumenten saslauthd -a ldap -O /etc/ saslauthd.conf gestartet werden und die Authentifizierung erfolgt dadurch über den lokal laufenden LDAP Server. Dafür Base64-Codierung perl -e use MIME::Base64; print encode_ base64( testuser1\0testuser1\0geheim ) dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= wird mit dem unter ldap bind dn angegebenen Benutzer eine Authentifizierung durchgeführt, Benutzer in der Organisationseinheit ou=users gesucht und die Daten mit den angegebenem Benutzernamen und Passwort verglichen. Zusätzlich sollte das Initskript von saslauthd um die entsprechenden Optionen ergänzt werden. gibraltar:~# telnet localhost 25 Trying Connected to gibraltar.example.net ( ). Escape character is ^]. 220 gibraltar.domain.tld ESMTP Postfix EHLO hostname 250-gibraltar.domain.tld 250-PIPELINING 250-SIZE ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME AUTH PLAIN dgvzdhvzzxixmhrlc3r1c2vymtbnzwhlaw0= 235 Authentication successful Listing 3 - Codierung, Authentifizierung /etc/postfix/sasl/smtpd.conf pwcheck_method: saslauthd mech_list: plain login /etc/saslauthd.conf ldap_servers: ldap://localhost ldap_bind_dn: uid=manager,ou=admin,dc=cms,dc=local ldap_bind_pw: managerpasswort ldap_search_base: ou=users,dc=cms,dc=local

19 OpenLDAP meets Freeradius 19 Zum Testen der Authentifizierung müssen der Benutzername und das Passwort Base64-codiert vorliegen. Bei einer erfolgreichen Authentifizierung erhält man von Postfix ein Authentication successful, andernfalls ein Authentication failed. (siehe Listing 3) PPTP Das Point-to-Point-Tunneling- Protocol dient zum Aufbau eines VPNs zum Austausch von privaten Daten über eine öffentliche Leitung. Es ist ein von einem Herstellerkonsortium (Ascend Communications, Microsoft Corporation, 3Com u. a.) entwickeltes Protokoll und definiert im RFC2637. Die Grundlage bildet PPP, durch den ein Tunnel zwischen 2 IP Adressen erstellt und der Verkehr darüber geroutet wird. Die Authentifizierung erfolgt dabei entweder über PAP oder CHAP. Microsoft verwendet mit MSCHAP eine eigene Implementierung der CHAP Authentifizierung. Als Verschlüsselung dient MPPE, beschrieben in RFC Eine direkte Authentifizierung über LDAP ist mittels PPTP bzw. L2TP nicht möglich. Hier wird als Zwischenschicht entweder ein Radiusserver (z.b. Freeradius) oder eine Active Directory bzw. Samba Domäne benötigt. Ab Version ist bei einer PPP- Installation (zumindest unter Debian) das Radiusplugin im Verzeichnis /usr/lib/pppd/2.4.3/ bereits fix integriert. Zusätzlich wird noch der Radiusclient benötigt, der zur Konfiguration dient. Hierfür muss lediglich das im Radiusserver definierte shared secret in die Datei /etc/radiusclient/servers hinzugefügt werden. Durch das Hinzufügen von plugin radius.so in die pptp-options-datei wird automatisch eine CHAP-Authentifizierung über Radius durchgeführt und die chapsecrets-datei ignoriert. Beim Verbindungsaufbau wird anschließend von PPP ein Access Request Paket an den Radiusserver geschickt. (Listing 4) Access-Request packet from host :1060, id=177, length=150 Service-Type = Framed-User Framed-Protocol = PPP User-Name = testuser1 MS-CHAP-Challenge = 0x2676b821dd815aef9af625f961a813d7 MS-CHAP2-Response = 0xd00015d91ca600f13ff55ddda81585db b3a6b59e06e6307acdbfca934a62b6aa b76d Calling-Station-Id = xxx.xxx.xxx.xxx NAS-Identifier = vpn NAS-Port = 0 Listing 4 - Access Request Packet Access-Accept of id 177 to :1060 Framed-IP-Address = Framed-MTU = 576 Service-Type = Framed-User Framed-Protocol = PPP Framed-Compression = Van-Jacobson-TCP-IP MS-CHAP2-Success = 0xd0533d MS-MPPE-Recv-Key = 0xc272633e7894c1a5a091fa06a0f54cea MS-MPPE-Send-Key = 0x27bed20d09b810bcdbf83947c7e2515a MS-MPPE-Encryption-Policy = 0x MS-MPPE-Encryption-Types = 0x Bei Übereinstimmung von Benutzername und Passwort wird ein Access Accept Paket vom Radiusserver geschickt und die Verbindung aufgebaut. (Listing 5) Andernfall wird ein Access Reject Paket vom Radiusserver geschickt und die Verbindung kann nicht aufgebaut werden. L2TP / IPSEC Das Layer-2-Tunneling-Protocol ist im RFC2661 definiert und bietet einen ähnlichen Funktionsumfang wie das Point-to-Point-Tunneling- Protokoll (PPTP). Auf der Basis der Spezifikationen für das Cisco Layer- 2-Forwarding-Protokoll (L2F) und des Microsoft Point-to-Point-Tunneling-Protokolls (PPTP) können mit L2TP Tunnel über dazwischenliegende Netzwerke eingerichtet werden. Ebenso wie PPTP integriert L2TP Datenblöcke aus dem Pointto-Point-Protokoll (PPP), in die wiederum IP-, IPX- oder NetBEUI- Listing 5 - Access Accept Packet Protokolle integriert sind. L2TP über einen IPSEC-Tunnel gilt als sicherste VPN Variante, da für IPSEC keinerlei Angriffe bekannt sind. Das Einrichten auf der Clientseite erfolgt unter Windows XP analog zu PPTP, es wird keine zusätzliche Software benötigt. Für IPSEC wird allerdings entweder ein gemeinsames Geheimnis (pre shared keys) oder eine PKI benötigt, dadurch wird es um einiges komplexer und aufwendiger. Die Verwendung von L2TP innerhalb eines IPSEC-Tunnels ist eigentlich nicht notwendig. IPSEC alleine würde als VPN-Lösung vollkommen genügen, allerdings verlangt die Verwendung von Windows XP als Client eine L2TP/IPSEC Verbindung. Analog zu PPTP braucht nur plugin radius.so in die l2tp-options-datei hinzugefügt werden. Vor der Authentifizierung über Radius muss zuvor ein IPSEC Tunnel aufgebaut werden. Die Host-Authentifizierung kann dabei über Zertifikate

20 20 OpenLDAP meets Freeradius oder so genannte pre-sharedkeys erfolgen. EXKURS: SICHERHEIT VON OPENSOURCE VPN-LÖSUNGEN Für das Erstellen einer VPN Verbindung (Roadwarrior Konfiguration) gibt es 3 gängige Verfahren: 1. PPTP PPTP gilt als unsicherste Variante der 3 gängigen Verfahren. Es ist auf Grund seiner einfachen Konfiguration dennoch weit verbreitet. Seit Windows NT bzw. Windows 9x ist bereits ein PPTP Client fix in Windows integriert. 2. L2TP über IPSEC Für die problemlose Verwendung von L2TP über IPSEC ist seit Windows XP ebenfalls ein Client fix integriert. Die Konfiguration des VPN Servers ist allerdings wesentlich komplexer, so wird z.b. für eine vernünftige IPSEC Lösung eine PKI benötigt. 3. OpenVPN OpenVPN hat den Vorteil, dass es sehr einfach zu konfigurieren und sehr sicher ist, die Verbindung wird durch SSL verschlüsselt. Es wird, im Gegensatz zu den beiden anderen Verfahren, ein eigener VPN Client benötigt, der allerdings sehr leicht zu bedienen ist. OpenVPN ist für viele unterschiedliche Plattformen verfügbar. Die Authentifizierung erfolgt entweder über Zertifikate oder Shared Secrets. Nähere Informationen können unter [2] nachgelesen werden. Die VPN Variante über PPTP sollte, wenn möglich, vermieden werden. Im Idealfall sollte L2TP/IPSEC verwendet werden, da es ohne eigenen Client auf Windows XP Rechnern verwendet werden kann, und dank IPSEC sehr sicher ist. Wem die Konfiguration zu komplex ist, der ist mit OpenVPN gut beraten. ZUSÄTZLICHE MÖGLICHKEITEN Durch geringfügige Veränderungen in den Konfigurationsdateien ist es auch möglich, für einen bestimmten User jeden Dienst einzeln freizuschalten. Das wird größtenteils durch eigene Attribute im LDAP erzielt, die einen bestimmten Wert besitzen müssen, damit sich der User authentifizieren kann. Für das Anlegen, Bearbeiten und Löschen von Benutzern mit entsprechenden Attributen gibt es Skripte in Perl oder auch geeignete Java Klassen. Auch eine Authentifizierung gegen das Microsoft Active Directory ist zumindest für Squid und PPTP sowie L2TP/IPSEC durch die Verwendung von winbind möglich. FAZIT Die Realisierung einer gemeinsamen Benutzerauthentifizierung für die Dienste Squid, Postfix, PPTP und L2TP/IPSEC ist durch die Dienste OpenLDAP und Freeradius mit wenig Aufwand zu realisieren, vor allem wenn die Dienste bereits in einer funktionierenden Konfiguration vorliegen und lediglich die Authentifizierungsmethode geändert werden muss. Das Hinzufügen neuer Dienste, wie z.b. Apache und Tomcat [3] oder Pure-FTPd, ist ebenfalls problemlos möglich. Eine LDAP Authentifizierung ist eine vernünftige Alternative um Ordnung in die Vielfalt von verschiedenen Authentifizierungsdateien der einzelnen Dienste zu bringen und ein zentralisiertes Management von Benutzerdaten zu ermöglichen. Es ist der erste Schritt zu einem vernünftigem Identity Management, so kann durch Speicherung zusätzlicher Anwenderdaten LDAP Verzeichnis auch gleichzeitig als Adressbuch verwendet werden. Ausführliche Konfigurationsanleitungen sowie der Möglichkeit Benutzer nur für einzelne Dienste freizuschalten und die dazugehörigen Skripte zum Bearbeiten können auf der Homepage vom Hagenbergerkreis (www.hagenbergerkreis. at) herunter geladen werden. LITERATUR Peter Gastinger 1. Klünter, Dieter: Workshop: Benutzerauthentifizierung für Postfix mit LDAP und SASL. Linux Magazin, 01/05:71 73, VPN für Linux und Windows, c t Magazin, 09/06, Web-Zentrale, Linux Magazin, 05/05: security forum 2006

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System)

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System) -DNS (Domain Name System) Das DNS ist ein weltweit auf tausende von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum ist in so genannte

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004 GlobalHonknet.local 1 von 37 GlobalHonknet.local 13158 Berlin Implementieren von IPSec - Verschlüsselung im Netzwerk Einrichten der Verschlüsselung unter Verwendung einer PKI 27.03.2004 05.04.2004 GlobalHonknet.local

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Ordner und Laufwerke aus dem Netzwerk einbinden

Ordner und Laufwerke aus dem Netzwerk einbinden Inhaltsverzeichnis 1. Einführung...2 2. Quellcomputer vorbereiten...3 2.1 Netzwerkeinstellungen...3 2.2 Ordner und Laufwerke freigeben...4 2.2.1 Einfache Freigabe...5 2.2.2 Erweiterte Freigabe...6 3. Zugriff

Mehr

Anleitungen und Informationen zu KK-NetServer

Anleitungen und Informationen zu KK-NetServer Anleitungen und Informationen zu KK-NetServer 1. Vorwort Unser KK-NetServer ist einer der modernsten und sichersten Daten-Server mit verschiedenen Nutzungsrechten. Er dient in erster Linie zur Bereitstellung

Mehr

SecurityGateway. Installationsanleitung

SecurityGateway. Installationsanleitung Installationsanleitung Inhaltsverzeichnis Installationsanleitung 3 Schritt 1 Download der Installationsdateien 3 Schritt 2 Willkommensbildschirm 4 Schritt 3 Lizenzbestimmungen 4 Schritt 4 Installationsverzeichnis

Mehr

Installationsanleitung Tivoli Storage Manager für Mac OS

Installationsanleitung Tivoli Storage Manager für Mac OS 11. März 2009, Version 1.0 Installationsanleitung für Mac OS X Verwaltungsdirektion Informatikdienste Installationsanleitung für Mac OS Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Version

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren?

Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren? Wie kann ich das Webserver-Paket XAMPP auf einem Win7 System installieren? 1. Allgemeins über XAMPP XAMPP ist ein kostenloses Programmpaket, das die gängigen Komponenten für einen eigenen Webserver enthält.

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben VPN In diesem Versuch lernen Sie eine sichere VPN Verbindung zu einem Server aufzubauen. Dabei werden zuerst ältere Verfahren eingesetzt

Mehr

Überprüfen Active Directory und DNS Konfiguration Ver 1.0

Überprüfen Active Directory und DNS Konfiguration Ver 1.0 Überprüfen Active Directory und DNS Konfiguration Ver 1.0 Active Directory / DNS Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Knottenwäldchen Software

Knottenwäldchen Software Knottenwäldchen Software Installationsanleitung für die netzbasierte Lösung Knottenwäldchen Software März.2011 Knottenwäldchen Software Seite 2 1 Inhalt 1 Inhalt... 2 2 Übersicht... 3 3 Installation...

Mehr

Dokumentation. juris Autologon-Tool. Version 3.1

Dokumentation. juris Autologon-Tool. Version 3.1 Dokumentation juris Autologon-Tool Version 3.1 Inhaltsverzeichnis: 1. Allgemeines... 3 2. Installation Einzelplatz... 3 3. Installation Netzwerk... 3 4. Konfiguration Netzwerk... 3 4.1 Die Autologon.ini...

Mehr

Kurzhandbuch Managed Exchange 2010

Kurzhandbuch Managed Exchange 2010 Kurzhandbuch Managed Exchange 2010 Seite 1 von 23 Mit Outlook 2010 richten Sie Ihr ManagedExchange-Postfach einfach und schnell in nur wenigen Schritten ein. Im Regelfall benötigen Sie dazu lediglich die

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2011 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht Themen Anwendungsschicht DNS HTTP Anwendungsschicht OSI-Schicht 7, TCP/IP-Schicht 4 Dienste für den Nutzer/Anwender Unabhängig von den niederen Schichten Verschiedene Dienste bzw. Services DNS HTTP FTP,

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Domain Control System [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Seite 1 von 9 Einfü hrung Das 4eins Domain Control System (DCS) stellt Ihnen verschiedene Dienste und Funktionen für die Konfiguration

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

BANKETTprofi Web-Client

BANKETTprofi Web-Client BANKETTprofi Web-Client Konfiguration und Bedienung Handout für die Einrichtung und Bedienung des BANKETTprofi Web-Clients im Intranet / Extranet Der BANKETTprofi Web-Client Mit dem BANKETTprofi Web-Client

Mehr

REV icomfort Einrichtung Fernzugriff per VPN

REV icomfort Einrichtung Fernzugriff per VPN REV icomfort Einrichtung Fernzugriff per VPN Diese Anleitung beschreibt Ihnen Schritt für Schritt die Einrichtung eines Fernzugriffs per VPN-Tunnel anhand einer AVM FritzBox. Sofern Ihnen ein anderer Router

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13 DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13 PROBLEMSTELLUNG 203.178.141.194 (IPv4) 2001:200:0:8002: 203:47ff:fea5:308 (IPv6) Analogie zu Telefonnummern: Jeder Adressat im Internet

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

http://www.hoststar.ch

http://www.hoststar.ch Kapitel 16 Seite 1 Die eigene Homepage Im Internet finden Sie viele Anbieter, die Ihnen rasch und zuverlässig einen Webhost für die eigene Homepage einrichten. Je nach Speicherplatz und Technologie (E-Mail,

Mehr

HILFE Datei. UPC Online Backup

HILFE Datei. UPC Online Backup HILFE Datei UPC Online Backup Inhalt Login Screen......? Welcome Screen:......? Manage Files Screen:...? Fotoalbum Screen:.........? Online backup Client Screen...? Frequently Asked Questions (FAQ s)...?

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Verwendung der Sharepoint-Portal-Server Website

Verwendung der Sharepoint-Portal-Server Website VDE Prüf- und Zertifizierungsinstitut Version: 2007-10-29 Telefon: 069/8306-222 E-Mail: it-helpdesk@vde.com Verwendung der Sharepoint-Portal-Server Website Inhalt: 1 Ziel...1 2 Allgemeine Techniken zur

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012

Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012 Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012 Pervasive Server Engine Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten

Mehr

Anleitungen und Informationen zu KK-CloudServer

Anleitungen und Informationen zu KK-CloudServer Anleitungen und Informationen zu KK-CloudServer 1. Vorwort Ihr neuer KK-CloudServer ist eines der modernsten und sichersten Daten-Server- Systeme zur sicheren und plattformunabhängigen Aufbewahrung Ihrer

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

VPN: Nochmal ein Kilo bitte?

VPN: Nochmal ein Kilo bitte? VPN Reloaded: Mac OS X 10.6 Server Snow Leopard VPN: Nochmal ein Kilo bitte? Autor: Dirk Küpper www.dirkkuepper.de Wie war das noch gleich: 1 Kilo VPN bitte? An der Theke bekomme ich sicherlich 100 Gramm

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

S. 15 "TopAccess Administratormodus aufrufen" Das Untermenü "Sichern" wird aufgerufen.

S. 15 TopAccess Administratormodus aufrufen Das Untermenü Sichern wird aufgerufen. Daten sichern Der Administrator kann Sicherungsdateien von Adressbuch-, Postfach- und Vorlagendaten auf der Festplatte archivieren. Diese Wartungsfunktion wird eingesetzt, um Sicherungsdateien zu erstellen,

Mehr

IKONIZER II Installation im Netzwerk

IKONIZER II Installation im Netzwerk Der IKONIZER II ist netzwerkfähig in allen bekannten Netzwerken. Da jedoch etwa 95% der Installationen lokal betrieben werden, erfolgt diese grundsätzlich sowohl für das Programm wie auch für den lizenzfreien

Mehr

DNS mit Bind9 von Martin Venty Ebnöther

DNS mit Bind9 von Martin Venty Ebnöther DNS mit Bind9 von Martin Venty Ebnöther Was ist das Domain Name System? Eine netzweit verteilte Datenbank Hierarchischer Aufbau Beliebig skalierbar Wie funktioniert DNS? Clients schauen in /etc/hosts nach

Mehr

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver Mit Hilfe des Programmes pzmadmin v1.6.x Inhaltsverzeichnis Inhaltsverzeichnis...2 Voraussetzungen...3 Schritt 1: Verbindungsdaten

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

SPECTRUM 4.0 Netzwerk-Installation

SPECTRUM 4.0 Netzwerk-Installation SPECTRUM 4.0 Netzwerk-Installation Allgemeines zu SPECTRUM 4.0 - Lieferumfang - Lizenzrechner + CodeMeter-Stick - Programmversion - Einzelkomponenten - Begriffe Basisdaten, Projektverzeichnis 1. Einrichten

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

lññáåé=iáåé===pìééçêíáåñçêã~íáçå=

lññáåé=iáåé===pìééçêíáåñçêã~íáçå= lññáåé=iáåé===pìééçêíáåñçêã~íáçå= Wie kann das LiveUpdate durchgeführt werden? Um das LiveUpdate durchzuführen, müssen alle Anwender die Office Line verlassen. Nur so ist gewährleistet, dass die Office

Mehr

Sicherer Remote Support über das Internet mit UltraVNC

Sicherer Remote Support über das Internet mit UltraVNC Sicherer Remote Support über das Internet mit UltraVNC Diese Dokumentation beschreibt die Lösung eines abgesicherten Zugriffs auf einen über das Internet erreichbaren Windows Systems unter Verwendung des

Mehr

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien

Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien 3. Installation Ihres Shops im Internet / Kurzanleitung Kurzanleitung: Starten Sie das Shopinstallatonsprogramm und übertragen Sie alle Dateien Geben Sie während der Webbasierten Installationsroutine alle

Mehr

ProCall 5 Enterprise

ProCall 5 Enterprise ProCall 5 Enterprise Installationsanleitung Upgradeverfahren von ProCall 4+ Enterprise auf ProCall 5 Enterprise ProCall 5 Enterprise Upgrade Seite 1 von 10 Rechtliche Hinweise / Impressum Die Angaben in

Mehr

time project Die clevere Zeitbuchhaltung

time project Die clevere Zeitbuchhaltung time project Die clevere Zeitbuchhaltung Anleitung Installation Inhalt 1 Einleitung... 3 2 Die Komponenten von time project... 3 2.1 Der time project Server... 3 2.2 Der time project Client... 3 3 Systemvoraussetzungen...

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

ekey TOCAhome pc Software Inhaltsverzeichnis 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3

ekey TOCAhome pc Software Inhaltsverzeichnis 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3 Inhaltsverzeichnis Software ekey TOCAhome pc 1. ZWECK DIESES DOKUMENTS... 3 2. VERWENDUNGSHINWEIS ZUR SOFTWARE... 3 3. MONTAGE, INSTALLATION UND ERSTINBETRIEBNAHME... 3 4. VERSION... 3 Version 1.5 5. BENUTZEROBERFLÄCHE...

Mehr

INSTALLATION ABACUS ABAWEBCLIENT

INSTALLATION ABACUS ABAWEBCLIENT INSTALLATION ABACUS ABAWEBCLIENT Mai 2005 / EMO v.2005.1 Diese Unterlagen sind urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdrucks und der Vervielfältigung der Unterlagen,

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry.

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry. Deckblatt SCALANCE S61x und SOFTNET Security Client Edition 2008 FAQ August 2010 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG,

Mehr

Wie funktioniert ein Internetprovider. Michael Stiller

Wie funktioniert ein Internetprovider. Michael Stiller Wie funktioniert ein Internetprovider Michael Stiller Donnerstag 20.01.2000 Ping e.v. Weiterbildung, Wie funktioniert ein Internetprovider 1 Anforderungen an einen Internetprovider oder was die Nutzer

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2015 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil

Compass E-Lab Remote Security Lab 19. November 2008. Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil Hacking-Lab Glärnischstrasse 7 Postfach 1671 CH-8640 Rapperswil T +41 55 214 41 60 F +41 55 214 41 61 root@hacking-lab.com Compass E-Lab Remote Security Lab 19. November 2008 Name des Dokumentes: DE_Hacking_Lab_V3.2.doc

Mehr

Collax Active Directory

Collax Active Directory Collax Active Directory Howto Dieses Howto beschreibt die Konfiguration eines Collax Servers um einer Windows Active Directory Service (ADS) Domäne beizutreten. Im Englischen spricht man hierbei von einem

Mehr

Bedienungsanleitung htp Net Business VPN Remote Access

Bedienungsanleitung htp Net Business VPN Remote Access Liebe Kundin, lieber Kunde, Wir freuen uns, dass Sie sich für htp Net Business VPN RemoteAccess entschieden haben. Die Leistungen dieses Produkts sind speziell auf Ihre Anforderungen als Geschäftskunde

Mehr

SANDBOXIE konfigurieren

SANDBOXIE konfigurieren SANDBOXIE konfigurieren für Webbrowser und E-Mail-Programme Dies ist eine kurze Anleitung für die grundlegenden folgender Programme: Webbrowser: Internet Explorer, Mozilla Firefox und Opera E-Mail-Programme:

Mehr

DHCP und dynamischer Update eines DNS

DHCP und dynamischer Update eines DNS DHCP und dynamischer Update eines DNS Als Voraussetzung für diese Dokumentation wird eine funktionierende Konfiguration eines DNS Servers, mit den entsprechenden Zonefiles angenommen. Die hier verwendete

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

Verwendung der Sharepoint-Portal-Server Website

Verwendung der Sharepoint-Portal-Server Website VDE Prüf- und Zertifizierungsinstitut Version: 2006-09-18 Telefon: 069/8306- Fax: 069/8306- E-Mail: Verwendung der Sharepoint-Portal-Server Website Inhalt: 1 Ziel...1 2 Allgemeine Techniken zur Benutzung

Mehr

FTP Server unter Windows XP einrichten

FTP Server unter Windows XP einrichten Seite 1 von 6 FTP Server unter Windows XP einrichten Es gibt eine Unmenge an komerziellen und Open Source Software die auf dem File Transfer Protocol aufsetze Sicherlich ist das in Windows enthaltene Softwarepaket

Mehr

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH Benutzerhandbuch Benutzerhandbuch Workshops Copyright Version 1.0, 2015 1 Benutzerhandbuch Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. gibt keinerlei Gewährleistung

Mehr

Installationsanleitung für die netzbasierte Variante Bis Version 3.5. KnoWau, Allgemeine Bedienhinweise Seite 1

Installationsanleitung für die netzbasierte Variante Bis Version 3.5. KnoWau, Allgemeine Bedienhinweise Seite 1 1 Installationsanleitung für die netzbasierte Variante Bis Version 3.5 Copyright KnoWau Software 2013 KnoWau, Allgemeine Bedienhinweise Seite 1 2 Seite absichtlich leer KnoWau, Allgemeine Bedienhinweise

Mehr

Installation SuperWebMailer

Installation SuperWebMailer Installation SuperWebMailer Die Installation von SuperWebMailer ist einfach gestaltet. Es müssen zuerst per FTP alle Dateien auf die eigene Webpräsenz/Server übertragen werden, danach ist das Script install.php

Mehr

Virtual Private Network Ver 1.0

Virtual Private Network Ver 1.0 Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses

Mehr