Client/Server-Systeme

Größe: px
Ab Seite anzeigen:

Download "Client/Server-Systeme"

Transkript

1 Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2005/2006 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98

2 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische Authentifizierung Schicht 6 SSL PGP SSH Web, SHTML Mail Telnet, rlogin, FTP OSI Schicht 2,3 IPSec PPTP L2TP Aussenstellen von Unternehmen cs 0574 ww6 wgs 12-03

3 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public Key 5 Nachricht 1. Sender erstellt Nachricht 2. Sender generiert Session Key (symmetrisch, DES, IDEA, RC4, AES Algorithmus) 3. Sender holt Public Key von Empfänger (asymetrisch, RSA Algorithmus) 4. Sender verschlüsselt Session Key mit dem Public Key 5. Nachricht wird mit dem Session Key verschlüsselt cs 0651 ww6 wgs 12-03

4 Secure Socket Layer - SSL Schicht 5-7 Anwendungen 4 Socket Schnittst Intranet Internet An Stelle der regulären Socket Schnittstelle wird die sehr ähnliche SSL Schnittstelle eingesetzt. SSL bewirkt zuätzlich zur normalen Socket Funktionalität eine Verschlüssselung beim Senden und eine Entschlüsselung beim Empfangen von Nachrichten. css06117 ww6 wgs 01-98

5 SSL Protocol: Handshaking für eine SSL Sitzung Das SSL Protokoll liefert Verbindungssicherheit über unsichere Kommunikationswege. Es hat die folgenden Merkmale: Datenverschlüsselung. Die Verbindung kann durch Verschlüsseln der zwischen Client und Server auszutauschenden Daten sicher gemacht werden. Dies ermöglicht den sicheren Transfer von privater Information wie Kreditkartennummern. Kommunikationsintegrität. Die Verbindung ist zuverlässig. Der Nachrichtentransport schließt einen Nachrichtenintegritätsprüfung ein, die auf einer sicheren Hashfunktion beruht. Authentifizierung. Der Client kann den Server authentifizieren, und ein authentifizierter Server kann den Clienten authentifizieren. Damit wird sichergestellt, daß Information nur zwischen den gewünschten Partnern ausgetauscht wird. Der Authentifizierungmechanismus basiert auf dem Austausch von digitalen Zertifikaten (X.509v3 Zertifikate). cs 0647 ww6 wgs 11-00

6 SSL Protokoll Generisches Protokoll, ursprünglich von Netscape für den Browser entwickelt. Von den meisten Web Servern unterstützt. Stream Protokoll: Handshake eröffnet Verbindung verschlüsselter Datenaustausch (opaque Data Mode) Handshake schließt Verbindung Beim Start einer Verbindung tauschen Klient und Server Hello Nachrichten aus. Einigung auf: Version des SSL Protokolls Definition der Verschlüsselungsalgorithmen Austausch der Schlüssel Datenkompressionsparameter Daten werden in verschlüsselten Blöcken ausgetauscht; jeder Block wird durch eine verschlüsselte Prüfsumme verifiziert. 4 Schlüssel, je 1 Paar für Klient- Server und Server-Klient Kommunikation. Unterschiedliche Verschlüsselungsalgorithmen können eingesetzt werden, darunter DES und RC4. Klient und Server können X.509 Certificate anfordern. Vorgesehen ist die SSL integration in Winsock 2.0. Transparent für existierende Winsock Anwendungen. cs0536 ww6 wgs 09-98

7 Web Server Application Code Secure Socket Layer Public key Symmetric Hashing Cryptographic encryption algorithms functions to keep data to ensure for user confidential message authentification integrity reliable communication protocol e.g. TCP/IP Secure Socket Layer Stack und Componenten cs 0634 x ww6 wgs 11-99

8 Verbreitung von z/os 95% der weltweit größten 2000 Unternehmen setzen zseries und S/390 Rechner mit den z/os und OS/390 Betriebssystemen als ihren zentralen Server ein. Zwischen 65 und 70 % aller geschäftsrelevanten Daten werden im EBCDIC Format auf zseries und S/390 Rechnern gespeichert. Ältere Modelle verfügten über einen kryptografischen Coprozessor. Bei den neueren z9 und z990 Modellen ist die kryptografische Coprozessor Funktion in die CPU integriert. Ca. 100 kryptografische Maschinenbefehle. Es 0257 ww6 wgs 07-03

9 Leistungsabfall beim Einsatz von SSL Krypto-Koprozessoren es 1312 ww6 wgs 11-00

10 Intel Intel Micro Gleitkomma Prozessor Koprozessor Ohne verursacht die Ausführung eines Gleitkomma- Maschinenbefehls eine Programmunterbrechung. Die Unterbrechungsroutine führt die Gleitkommaoperation aus. Intel Micro-Prozessor traditionelle Gleitkomma CPU Funktion Koprozessor Beim Intel und Pentium/AMD ist die Gleitkommafunktion in das Micro-Prozessor Chip integriert IBM z990 Micro-Prozessor traditionelle Krypto CPU Funktion Koprozessor Bei den IBM z990 und 890 Micro-Prozessoren ist die Krypto- Koprozessor Funktion in das Micro-Prozessor Chip integriert. Ca. 150 zusätzliche Maschinenbefehle.

11 PGP - Pretty Good Privacy Phil Zimmermann, 1991 PGP ist ein über das Internet frei verfügbares Software Paket mit den folgenden Funktionen: Verschlüsselung von Dateien und von Electronic Mail Authentifizierung Digitale Unterschrift Verwendet unterschiedliche Verschlüsselungsalgorithmen: IDEA ( 128 Bit asymmetrisches Schlüsselverfahren, entwickelt in Zürich) RSA cs0505 ww6 wgs 05-97

12 PGP, S/Mime, GnuPG S/MIME ist die sichere Version von MIME (Multipurpose Internet Mail Extension. Die meisten Klienten unterstützen auch MIME. S/MIME benutzt X.509 Zertifikat, PGP benutzt Web of Trust 30 % vs 70 % Marktanteil Nur Mail vs. Mail + andere Anwendungen Zertifizierung durch CA kostet etwa 50 Euro/Jahr Krypto Kampagne der Zeitschrift c t ( etwa Schlüssel ), kostenlose Zertifizierung gegen Vorlage des Personalausweises. Vor Gericht nicht ausreichend. GnuPG (Gnu Privacy Guard) ist eine GNU General Public License Alternative zu PGP. Verwendet nicht den patentierten IDEA Algorithmus. cs 0665 wgs 12-03

13 SSH - Secure Shell de facto Standard für remote computer login. Verhindert Diebstahl von Passworten wenn diese im Internet übertragen werden. Typische Anwendungen: remote access auf Computer Ressourcen über das Internet, secure file transfer remote system administration. Suite von drei Utilities - slogin, ssh, and scp - (Sichere Versionen der UNIX Utilities rlogin, rsh, and rcp). Ersatz für telnet. WinSCP ist ein Freeware SCP (Secure CoPy) Programm für Windows. SSH benutzt RSA für die Server Authentifizierung. Mehrere Optionen für die Client Authentifizierung, darunter Kerberos. IDEA ist das Default Verfahrung für die Verschlüsselung. Alternativen sind DES, 3DES, und Blowfish. Klient generiert symmetrischen Schlüssel und sendet ihn zum Server verschschlüsselt mit dessen öffentlchen Schlüssel. Die Verschlüsselung started unmittelbar nach der Server Authentifizierung, aber vor der Client Authentifizierung. Passwort des Benutzers wird über einen sicheren Kanal übertragen. cs 0677 ww6 wgs 12-03

14 Externe Anbindung Anschluß von Außenstellen eines Unternehmens über das Internet Außendienstmitarbeiter, Laptop über ISDN Leitungen Heimarbeitsplätze, PPP Protokoll Kombination von Verschlüsselung und Packet Filter: IP Pakete werden verschlüsselt über das unsichere Netz übertragen und vom Packet Filter Firewall entschlüsselt. Durch Verschüsselung wird ein kryptographisches Virtual Private Network (VPN) in einem unsicheren Netz, z.b. über das Internet, gebildet. cs 0612 ww6 wgs 11-98

15 Ver/Ent- Ver/Entschlüsselung schlüsselung Betriebs- Betriebsgelände A gelände B Internet Virtual Private Network (VPN) Die Intranets auf 2 Betriebsgeländen werden über das (unsichere) Internet miteinander verbunden. Basis ist TCP/IP Die Abschirmung erfolgt über Tunneling (Verpacken aller Pakete) sowie Verschlüsselung der IP-Pakete IPsec ist der Standard für die Verschlüsselung IKE ist der Standard für den Schlüsselaustausch mittels öffentlicher Schlüssel cs0619 ww6 wgs 09-98

16 Sicherheitsprotokoll IPsec Transport Mode vs Tunnel Mode TCP Kopf TCP Daten IP Kopf IP Daten IP Kopf verschlüsselte Daten IPsec Protokoll Authentication Header (AH) AH verschlüsselte Daten ursprünglicher IP Kopf (verschlüsselt) IPsec Kopf, dupliziert unkritische Felder des IP Kopfes Probleme Layer-4-Switching ermöglicht Prioritätensteuerung, indem z.b. FTP (Port Nr. 20) mit höherer Priorität weitergegeben wird als (Port Nr. 25). Die Port Nr. steht im TCP Kopf und kann, da verschlüsselt, nicht genutzt werden. Der zusätzliche IPsec Kopf vergrößert die Paketlänge. Die Überschreitung einer MTU (Maximum Transfer Unit) Grenze erzeugt zusätzliche Fragmentierung. cs0620 ww6 wgs 09-98

17 Point-Point Tunneling Protocol (PPTP) Virtual Private Network, erlaubt getunnelte Point-to-Point Protocol (PPP) Verbindungen über ein IP Nettwerk. Benutzer können sich über Telefon und das Internet in ein Corporate Network einwählen (Road Warrior Protokoll). In RFC2637 beschrieben. Wurde von Microsoft mit einer kleinen Gruppe anderer Unternehmen entwickelt. PPTP ist ein OSI Schicht Schicht 2 Protokoll, kann damit auch andere Schicht 3 Protokolle nutzen. IETF entwickelt derzeitig L2TP Standard als Nachfolger für PPTP cs0614 ww6 wgs 12-03

18 SSL versus IPSec SSL für Remote Access höhere Sicherheitsprobleme im Vergleich zu Standortverbindungen,z.B. zentraler Virenscanner erfordert zwischenzeitliches Entschlüsseln durch Proxy Server Verlangsamung der Verarbeitung > 90 % IPSec für Standortverbindungen Firewall blockiert evtl. IPSec bessere Eignung für VoIP Beide Verfahren verwenden DES, 3DES und AES, SSL auch RC4

19 Homebanking Computer Interface (HBCI) Financial Transaction Services (FinTS) Offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Von den deutschen Banken entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen. Kunden-Authentifizierung und Nachrichtenverschlüsselung mit einer Chip Karte. Erfordert Chip Karten Leser, der an den PC angeschlossen wird. Enthält 112 Bit 3DES- Schlüssel. Alle sensitiven kryptographischen Prozesse laufen im Chip ab. Alternativ auch RSA Verschlüsselung (mehrere Verfahren). cs 0682 ww6 cs\pubs\finztran.pdf wgs 10-05

20 Zugriffsberechtigung Eine Vielzahl von Subjekten hat unterschiedliche Zugriffsberechtigungen (z.b. Read, Write, Execute) auf eine Vielzahl unterschiedlicher Objekte (Dateien, Directories, ausführbare Programme, usw.). Für jedes Paar {Prozessi, Objektj} kann es eine unterschiedliche Zugriffsberechtigung Aij geben. A A A A A Subjekte Objekte (Klienten, Prozesse) Dateien, Programme cs 0626u ww6 wgs 05-99

21 Objekte, z.b. Dateien, Directories n 0 A 0,0 A 0,1 A 0,2 A 0,n 1 A 1,0 A 1,n Subjekte 2 A 2,0 A 2,n z.b. 3 Capability List Prozesse.... m A m,0 A m,1 A m,2 A m,n ACL, Access Control List Zugriffskontrolliste Zugriffsmatrix vs1507 ww6 wgs 05-96

22 ACL Datei 1 Datei 2 Datei 3 Meier r/w x - Müller - - r/w Schulze r r r Capabilities Bauer r r/w - Access Control Lists und Capabilities cs 0627u ww6 wgs 05-99

23 Benutzer 2 Benutzer 4 x x x x x x x x x x x x x x Benutzer 1 x x x x x x x Benutzer 3 Benutzer 5 Group others Zusammenfassung von Prozessen in Klassen, und Verwendung vereinfachter ACL ( r, w, x,.. ), aufgeteilt nach "owner", "group", und "others". Problem: Aufteilung der Zugriffsberechtigung von einem Objekt auf mehrere Gruppen. Unter Unix existiert hierfür eine erweiterte ACL Funktion. vs1508 ww6 wgs 05-96

24 Rollenbasierte Zugriffssteuerung. Separate Zugriffssteuerungen für die Systemanmeldung und den Zugriff auf Objekte, Ressourcen, Programme, Dateien, Prozesse bzw.daemons, Dienste und Anwendungen. Profile für die Zuordnung von Benutzern zu vordefinierten Gruppen mit voreingestellten Zugriffsrechten. In das Betriebssystem integriert. Protokolliert alle Benutzeraktionen und -zugriffe. Aktivitäten können verfolgt und dem ursprünglich authentifizierten Benutzer zugeordnet werden. Implementierungsbeispiele: Computer Associates ACF2 (OS/390, z/os) Computer Associates etrust Access Control (Linux, Unix, Windows) IBM RACF (OS/390, z/os) Security Enhanced Linux (SE-Linux) cs 0576 ww6 wgs 01-05

25 RACF RACF benutzt das Konzept von zu schützenden Resourcen. Resourcen werden in Klassen aufgeteilt. Beispiele für Klassen sind: Benutzer Dateien CICS Transaktionen Datenbank Rechte Terminals Jedem Element einer Klasse wird ein Profil zugeordnet. Das Profil besagt, welche sicherheitsrelevanten Berechtigingen vorhanden sind. Die Profile werden in einer Systemdatenbank, der RACF Profildatenbank, abgespeichert. Beispiel: Ein interaktiver Benutzer logged sich ein. Der Login Prozess überprüft, ob die Login Berechtigung besteht. Er überprüft weiterhin, ob das Terminal, von dem der Benutzer sich einwählt, eine Zugangsberechtigung hat. Hierzu ruft der Login Prozess RACF auf, welches die entsprechenden Profile in seiner Datenbank konsultiert. Anschließend ruft der Benutzer ein Programm auf, welches auf eine Datei zugreift. Die OPEN Routine ruft RACF auf, welches das Profil der Datei bezüglich der Zugriffsrechte befragt. Benutzer Profile enthalten Capabilities. Datei Profile enthalten Access Control Listen. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. Problem: Wartung der Profile. cs 0653 ww6 wgs 10-01

26 OS/390 Security Server RACF (Resource Access Control Facility) bewirkt Identifizierung und Authentifizierung von Benutzern Benutzer Authorisierung für Zugriff auf geschützte Resourcen Logging und Berichte über unauthorisierte Zugriffe Überwacht die Art, wie auf Resourcen zugegriffen wird Anwendungen können RACF Macros benutzen Literatur : IBM GC es 0426 ww6 wgs 08-00

27 RACF Resource Datenbank Profile 5 Resource Resource 1 Manager Manager RACF z.b. TSO z.b. CICS (oder ASF) 2 RACROUTE 3 RACROUTE 4 SAF OS/390 Kernel RACF Arbeitsweise 1. Ein Benutzer greift auf eine Resource über einen Resource Manager zu, z.b. TSO 2. Der Resource Manager benutzt einen System Call RACROUTE um auf die Security Access Facility (SAF) des OS/390 Kernels zuzugreifen. present. SAF ist eine zentrale Anlaufstelle für alle sicherheitsrelevanten Aufgaben. 3. SAF ruft ein Zugriffskontrolle Subsystem auf. Dies ist normalerweise RACF. (Eine Alternative ist die Access Control Facility der Fa. Computer Associates, die ähnlich arbeitet). 4. RACF greift auf einen Profile Datensatz in seiner eigenen RACF Datenbank zu und überprüft die Zugangsberechtigungen 5. Das Ergebnis teilt RACF dem anfragenden Resource Manager mit. es0436 ww6 wgs 09-01

28 RACF Remote Access Control Facility OS/390 spezifiziert kritische Events innerhalb des Betriebssystems als sicherheitssensitive Verzweigungen. Die OS/390 Security Authorisation Facility (SAF) bewirkt an diesen Stellen den Aufruf einer externen Security Engine. In OS/390 ist dies häufig RACF; alternative OS/390 Security Engines sind ACF/2 oder TopSecret. Neben einer Kontrolle von Events (ehe sie wirksam werden) wird ein umfassender Audit Trail erzeugt. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. SAF übergibt der externen Security Engine die pertinente Information. Die Security Engine kann dann auf der Basis von Access Control List (ACL) Strukturen über die Zugriffsrechte entscheiden. Problem: Maintenance der ACL s css 0630 ww6 wgs 01-98

29

30 Security Enhanced Linux (SELinux) Discretionary Access Control (DAC) ist der Standard Linux Ansatz. Der Besitzer einer File kann Read-, Write- und Executerechte setzen. Mandatory Access Control (MAC) bedeutet, der Systemadministrator bestimmt die Sicherheitsstrategie. Benutzer können nicht dagegen verstoßen. SELinux ist Teil des Linux Security Servers und ist Bestandteil des 2.6 Kernels. SELinux implementiert MAC durch die Benutzung von Type Enforcement (TE) und von Role Based Access Controls (RBAC). Type Enforcement bedeutet, jedem Objekt des Systems ist ein Type zugeordnet. Der Sicherheitsadministrator definiert ein Regelwerk, welches die Zugriffsrechte zwischen Paaren von Types definiert. Role Based Access Controls ordnet dem Benutzer eine Reihe von Rollen zu, die Zugriffe und andere aktionen erlauben oder einschränken. Z.B kann ein Benutzer begrenzte Root-Rechte erhalten um den Mail Server zu verwalten, ohne Root-Rechte auf den Rest des Systems. cs 0680 ww6 wgs 07-05

31 Sicheres Netz z.b. LAN sicherer Netzadapter Firewall nicht sicherer Netzadapter Internet Überwacht Nachrichtenfluss auf der Ebene der Netzwerkschicht (Packet Filtering Firewall) oder der Ebene der Anwendungsschicht (Application Level Firewall) cs 0661 ww6 wgs 11-02

32 Vorraussetzungen für einen Firewall Rechner Hardware und Software müssen klar und nachvollziehbar aufgebaut sein. Jedes Programm enthält potentielle Sicherheitslücken. Nur solche Programme sollten auf dem Firewall Rechner laufen, die zur Erbringung der Firewall Funktionalität unbedingt erforderlich sind. Unnötige oder überflüssige Prozesse im Hintergrund sind häufig die Ursache für Sicherheitslücken. Literatur: W. Sonnenreich, T. Yates: Building Linux and OpenBSD Firewalls. Wiley, W. Cheswick, S. Bellovin: Firewalls und Sicherheit im Internet. Addison-Wesley, N. Pohlmann: Firewall-Systeme. Datacom, css 0615 ww6 wgs 01-98

33 cs 0640 wgs 09-00

34 Packet Filtering Firewall Zugriff gestattet Zugriff Verweigert Firewall Rechner Firewall ist gleichzeitig Schicht 3 Router. Firewall entscheidet auf der Basis von Filter Regeln IP Filter auf der Basis von Quell- oder Zieladresse Quell- oder Ziel- Port Nummer Protokoll ( tcp, udp, icmp... ) Richtung Regeln werden von oben nach unten ausgewertet erste Übereinstimmung: angegebene Aktion durchführen keine Übereinstimmung: Paket ablehnen cs 0662 ww6 wgs 11-02

35 Filter Rule Example: Permit packets from the Internet to our Local Network if and only if they are destined for the Mail Gateway machine Local Area Netzwerk Port Filtering Port IP Adresse # 2 Router # Internet Our Filtering router must permit only following packets: coming from the Internet to port 25 on the Mail Gateway Machine; coming from the the Local Network and destined to any port 25. Access Control Liste für Filtering Router Port Nr. 1 Eintrag Source Source Destination Destination Action IP Adr. Port IP Adr. Port 1 any any permit 2 any any any any block Access Control Liste für Filtering Router Port Nr. 2 Eintrag Source Source Destination Destination Action IP Adr. Port IP Adr. Port any any 25 permit 2 any any any any block cs 0658 ww6 wgs 09-01

36 Quelle Ziel Attribut Kommentar IP Port IP Port Adresse Nr. Adresse Nr. erlaubt eigene * * 25 unser Paket zu Ihrem SNMP Port erlaubt * 25 * * ack Ihre Antwort darauf erlaubt * * * 1024 Ziel ist eine eigene, selbstgeschriebene Anwendung blockiert * * * * Default Beispiel für eine Firewall Filtertabelle Filtereinträge werden von oben nach unten abgetastet. Alles was nicht explizit erlaubt ist, ist verboten. Port 25 ist der SNMP Port. Port 1024 ist für private Anwendungen vorgesehen. Weitere Möglichkeiten für Filter Regeln sind z.b. Einschränkung auf Uhrzeit und Wochentag, Erlaubnis zum Verbindungsaufbau, u.s.w. cs 0610u ww6 wgs 11-98

37 cs 3020 ww6 wgs 12-04

38 cs 0639 wgs 09-00

39 Umgang mit IP Fragmenten Bei fragmentierten TCP Segmenten enthält nur das erste Fragment den TCP Protokollkopf und damit die Port Nummer. Kein Problem für Angriffe von außen. Das erste Filter trägt die Port Nr. und wird entsprechend gefiltert. Wird es abgewiesen, bleibt das Paket unvollständig und wird irgendwann verworfen. Beim Informationsexport müssen Fragmente abgewieden werden. Der Sender kann Fragmente ohne Portnummer basteln und extern auf einem Rechner wieder zusammensetzen. Source Routing Normalerweise erfolgt das IP Routing dynamisch. Die Alternative ist Source Routing. Hierbei wird die Route spezifiziert. Hacker benutzen Source Routing um einen anderen Rechner (trusted Maschine) als Sender vorzutäuschen. Nur wenige wichtige Dienste verwenden source routing. Firewalls sollten deshalb alle Source Routing Pakete herausfiltern. css06116 ww6 wgs 01-98

40 Cs 0674 ww6 wgs 07-03

41 Application Firewall Proxy Server Application Firewall Software, die Nachrichtenübertragung auf der Anwendungsschicht (Schicht 7) nur nur für jeweils einen spezifischen Dienst zuläßt, wird als Proxy bezeichnet. Für jeden Dienst muß auf dem Application Firewallrechner ein eigener Proxy errichtet werden. Der Proxy überprüft für jede Anwendung getrennt, ob der Zugriff erlaubt ist. Aus der Sicht des Anwenders sieht es so aus als würde der Klient direkt mit dem eigentlichen Server Prozeß kommunizieren. cs 0608 ww6 wgs 11-98

42 Zwei Arten von Application Firewalls (Proxy Server) Circuit Level Firewall Zwischenstufe für alle TCP/IP Verbindungen 2 Verbindungen (Sessions) zwischen local Host und Proxy, und zwischen Proxy und remote Host Inhalt der übertragenen Nachricht wird nicht untersucht Stateful Inspection Firewall Untersuchen des Inhalts der übertragenen Nachricht Authentifizierung Virenscanner für SSL Nachrichten Logging cs 0679 ww6 wgs 12-03

43 cs 0641 wgs 09-00

44 Socks Server Ein Circuit Level Proxy Server erfordert eine Anpassung aller beteiligten Anwendungen. Dies kann mit Hilfe einer Socks Package entsprechend dem Internet Standard RFC 1928 geschehen. In diesem Fall wird der Proxy Server als Socks Server bezeichnet. Die Client Anwendung has to be socksified. Mit Hilfe der Runsocks Package kann dies für unterstützte Anwendungen (z.b. telnet, ftp und Netscape) und für unterstützte Betriebssysteme dynamisch, ohne Rekompilierung erfolgen (http://www.socks.permeo.com/). Anderer Ansatz: AIX (IBM PowerPC) Rechner verfügen über rtelnet an Stelle von telnet rftp an Stelle von ftp Die normalen C/C++ library Socket Calls sind durch SOCKS library Calls ersetzt.. Eine TELNET Verbindung z.b. sieht so aus: 1. Benutzer started die rtelnet Anwendung um sich in einen remote Host einzuloggen. 2. rtelnet sendet die TELNET Anforderung an den SOCKS server (sockd) des Application level Firewalls. 3. sockd überprüft die Identität des Benutzers, und wenn korrekt, stellt die Verbindung zu dem remote Host her. 4. Danach agiert der SOCKS Server als eine secure Pipeline zu dem remote Host. Der TELNET Benutzer merkt hiervon nichts. cs 0637 ww6 wgs 09-00

45 cs 0642 wgs 09-00

46 Demilitarzed Zone DMZ Überwachtes Grenznetz Der äußere Firewall schützt das DMZ Netz. Er bestimmt, wer aus dem Internet auf Rechner zugreifen darf, die an das DMZ Netz angeschlossen sind. Filter Regeln sind einfacher zu definieren. Der äußere Firewall ist häufig als Router Firewall implementiert. An das DMZ Netz sind weniger kritische Server angeschlossen. Die kritischen Server werden zusätzlich durch den inneren Firewall geschützt. Dieser ist häufig als Application Firewall implementiert. Intranet DMZ Internet Innerer Äußerer Firewall Firewall Name WEB Server Server css0621 ww6 wgs 01-98

47 DMZ Konfigurationen Mehrere Alternativen: 1. Router Firewall - Router Firewall Einfachere Definition der Filterregeln 2. Router Firewall - Application Firewall Der Router Firewall stellt die Schnittstelle zum unsicheren Netz dar 3. Router Firewall - Application Firewall - Router Firewall Der Application Firewall wird duch einen Router Firewall zusätzlich vom sicheren Netz aus geschützt Geschachtelte Sicherheit Unterschiedliche Betriebssysteme der einzelnen Firewallrechner: Sicherheitslücken wirken sich nur auf ein aktiven Firewall Rechner aus cs 0611 ww6 wgs 11-98

48 Internet Zugang und Firewall System Kommunalen Rechenzentrums Stuttgart cd 0671 ww6 wgs 03-03

49 Reservierte IP Adressen Offizielle IP Adressen werden vom NIC oder DE-NIC vergeben. Möchte man mit nicht-offiziellen IP Adressen arbeiten, so sind hierfür in RFC 1918 Adressen für private Adressen reserviert: Klasse A Klasse B (16 Netze) Klasse C (256 Netze) Ein Application Firewall besitzt eine Adresse für das interne Netz und eine weitere Adresse für das externe Netz. Die interne Adresse kann eine RFC 1597 private Adresse sein. Beispiel Volkswagen, R+V Versicherung: Klasse C Adresse Internet DMZ Application Router Firewall Firewall Name WWW Server Server css 0632 ww6 wgs 12-97

50 Netzwerk Address Translation Internet von von nach nach NAT Table Intern extern Firewall Router von nach von nach cs 0663 ww6 wgs 01-04

51 Never install a Firewall Dipl. Inf. Sebastian Schreiber SySS GmbH Friedrich-Dannenmann-Str Tübingen

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2006/2007 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2003/04 Teil 6 Firewalls css 0633 ww6 wgs 01-98 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public Key 5 Nachricht

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2004 / 2005 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2008/2009 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der RACFBroker/z Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/z ist ein Produkt der XPS Software GmbH Eching RACFBroker/z XPS Software GmbH Untere Hauptstr. 2

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

HTWK Leipzig. Matthias Jauernig. Die Secure Shell

HTWK Leipzig. Matthias Jauernig. Die Secure Shell LV Kryptologie WS06/07, HTWK Leipzig Matthias Jauernig 12.12.06 SSH Die Secure Shell Inhalt 1. Motivation 2. Historie 3. Funktionsweise von SSH-2 4. Das OpenSSH Programmpaket 5. Schlussbemerkungen, Links

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Lektion V Datensicherheit im Unternehmen

Lektion V Datensicherheit im Unternehmen Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 6: Protokolle und Anwendungen Wintersemester 2002/2003 Überblick sec Authentisierungsanwendungen

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Firewalls und Virtuelle Private Netze

Firewalls und Virtuelle Private Netze s und Virtuelle Private Netze Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Datensicherheit Institut für Informatik Freie Universität

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

R e m o t e A c c e s s. Cyrus Massoumi

R e m o t e A c c e s s. Cyrus Massoumi R e m o t e A c c e s s Präsentation im Seminar Internet-Technologie im Sommersemester 2008 von Cyrus Massoumi I n h a l t Was versteht man unter Remote Access Unsichere Remotezugriffe TELNET Remote Shell

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

Virtuelle Private Netzwerke

Virtuelle Private Netzwerke Virtuelle Private Netzwerke VPN Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

Informations- und Kommunikationssysteme

Informations- und Kommunikationssysteme Informations- und Kommunikationssysteme Netztechnologien / Repetition Karl Meier karl.meier@kasec.ch 16.12.2006 Agenda 1 2 3 4 5 6 7 Internet und Protokolle, IP Adressierung Die Transportprotokolle UDP

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.4 Internet-Protokolle für serielle Leitungen Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat.

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

1KONFIGURATION VON ACCESS LISTEN UND FILTERN 1KONFIGURATION VON ACCESS LISTEN UND FILTERN Copyright 23. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen Wie

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 Java Connection Architecture Teil 3 CICS Transaction Gateway el0100 copyright W. G. Spruth,

Mehr

NCP Secure Enterprise SSL- VPN

NCP Secure Enterprise SSL- VPN Infoblatt NCP Secure Enterprise SSL-VPN-Lösung NCP Secure Enterprise SSL- VPN Die Lösung Unter dem Anspruch Secure Communications bietet NCP mit der Secure Enterprise Solution eine ganzheitliche VPN-Softwarelösung

Mehr

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1.

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1. Konfigurationsanleitung Quality of Service (QoS) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Quality of Service 1.1 Einleitung Im Folgenden

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

VPN VPN requirements Encryption

VPN VPN requirements Encryption Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls Joachim Zumbrägel 1 VPN - Definition VPNs (Virtual Private Networks) allow secure data transmission i over insecure connections.

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr