Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

Größe: px
Ab Seite anzeigen:

Download "Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)"

Transkript

1 Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

2 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Inhaltsverzeichnis 1 Einleitung Funktion der Checklisten Benutzung der Checklisten Konzeption Internes Netz (LAN) Sicherheits-Gateway Internet-Anbindung Netzmanagement Auswahl sicherer Komponenten Übergreifende Aspekte Switches Zustandslose Paketfilter Zustandsbehaftete Paketfilter Perimeterrouter Application-Level Gateway DHCP-Server NTP-Server DNS-Server VPN-Box Konfiguration Übergreifende Aspekte Switches Zustandslose Paketfilter Zustandsbehaftete Paketfilter Perimeterrouter Application-Level Gateway DHCP-Server NTP-Server DNS-Server VPN-Box Betrieb Literaturverzeichnis...29 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren und Sicherheitsrevisoren, die mit der Einrichtung, dem Betrieb und der Überprüfung lokaler Netze mit einer Anbindung an das Internet befasst sind. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der vorliegenden BSI-Studie Sichere Anbindung von lokalen Netzen an das Internet in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen beschränken sich auf die Empfehlungen des ISi-LANA-Moduls. Allgemeine Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene Grundarchitektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-Grundschutzkatalogen [GSK 2006] zu entnehmen; dort finden sich auch Verweise auf entsprechende Checklisten für Grundschutzmaßnahmen. Die Grundschutzkataloge bilden das notwendige Fundament für ISi-Check. Die Checklisten wenden sich vornehmlich an Revisoren und Administratoren. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der IP-Netze und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge beim Betrieb eines Rechnernetzes: Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen Grundschutzmaßnahmen zu beurteilen. Der Zweck der Kontrollfragen besteht also vor allem darin, dem Anwender bei der Konzeption, der Realisierung und dem Betrieb eines lokalen Netzes die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-LANA-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-LANA-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekte zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der vorliegenden Studie ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 2 Konzeption In der Konzeptionsphase des Ablaufplans gemäß [ISi-E] muss eine sichere Netzarchitektur erstellt werden. Die Checklisten in diesem Abschnitt hinterfragen, ob alle Empfehlungen für eine sichere Grundarchitektur korrekt umgesetzt sind. 2.1 Internes Netz (LAN) Sind allen Komponenten im internen Netz private IP-Adressen zugeordnet? Sind die IP-Adressen, wo notwendig, statisch konfiguriert? Haben alle Server und Netzkoppelelemente im LAN feste, statisch konfigurierte IP-Adressen? [hoher Schutzbedarf] Haben alle Client-Rechner im LAN feste, statisch konfigurierte IP-Adressen, und wird auf den Einsatz von DHCP verzichtet? [hoher Schutzbedarf] Sind in den ARP-Tabellen statische Zuordnungen von MAC- und IP- Adresse konfiguriert, um die Komponente vor ARP-Spoofing zu schützen? Ist das LAN geeignet in getrennte Sicherheitszonen segmentiert? Umfasst das LAN wenigstens zwei Sicherheitszonen, eine für Client-Rechner, eine für Server? [hoher Schutzbedarf] Sind Sicherheitszonen mit hohem Schutzbedarf in eigene Segmente ausgegliedert? Haben alle Systeme innerhalb einer Sicherheitszone homogenen Schutzbedarf? Sind die Sicherheitszonen voneinander physisch durch ein Sicherheits-Gateway getrennt, das mindestens aus einem Paketfilter besteht? [hoher Schutzbedarf] Sind Sicherheitszonen mit hohem Schutzbedarf durch ein dreistufiges PAP1-Sicherheits-Gateway von anderen LAN-Segmenten getrennt? Ist sichergestellt, dass die Trennung zwischen Sicherheitszonen auf mehr als nur logischer Segmentierung (VLAN-Technik) fußt? Sind ggf. vorhandene WLAN-Zugangspunkte ausreichend von den leitungsgebundenen LAN- Segmenten getrennt? Das heißt: Wird im LAN auf den Einsatz von WLAN komplett verzichtet? oder Sind alle WLAN-Zugangspunkte in einer eigenen Sicherheitszone untergebracht, die von leitungsgebundenen LAN-Segmenten durch ein Sicherheits-Gateway (mindestens einen Paketfilter) getrennt ist? Verfügt das LAN über interne Server für und DNS, die ausschließlich für lokale Clients zugreifbar sind? Werden getrennte Funktionen mit getrennten Komponenten realisiert ( Ein Dienst pro Server! )? [hohe Vertraulichkeit] Wird vertraulicher Datenverkehr auch innerhalb des internen Netzes verschlüsselt? [hohe Verfügbarkeit] Ist das interne Netz redundant ausgelegt? Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet 2.2 Sicherheits-Gateway Ist die Struktur des Sicherheits-Gateways dem Schutzbedarf angemessen? Das heißt: Ist das Sicherheits-Gateway als dreistufige PAP-Architektur mit zustandsbehafteten Paketfiltern ausgelegt? oder Handelt es sich um eine unkritische IT-Infrastruktur mit höchstens normalem Schutzbedarf, und besteht das Sicherheits-Gateway mindestens aus einem zustandsbehafteten Paketfilter? Ist bei der Nutzung von Internet-Diensten eine vollständige oder partielle Umgehung des Sicherheits-Gateways über andere LAN-Ausgänge (z. B. Modems) oder über parallele Administrationsverbindungen (z. B. ein ut-of-band-managementnetz) ausgeschlossen? Sind Zugriffe aus dem Internet auf die Dienste und Anwendungen beschränkt, die laut Sicherheitsrichtlinie ausdrücklich öffentlich angeboten werden dürfen? Erfolgt die Filterung im Sicherheits-Gateway nach dem Whitelist-Prinzip (d. h. Kommunikationsverbindungen, die nicht ausdrücklich erlaubt sind, werden unterbunden)? Ist gewährleistet, dass direkte Zugriffe aus dem Internet ins interne LAN unterbunden werden? Werden alle zulässigen Zugriffe aus dem Internet auf einem Server in einer DMZ des Sicherheits-Gateways oder zumindest in einem Proxy des ALG terminiert? Werden getrennte Funktionen mit getrennten Komponenten realisiert ( Ein Dienst pro Server! )? [hoher Schutzbedarf] Verfügt das Gateway über getrennte äußere Paketfilter für das Nutzen und das Anbieten von Internet-Diensten? Ist für DMZ-Segmente, in denen öffentlich zugängliche Server (z. B. Webserver) platziert sind, ein eigener externer DNS-Server zur Namensauflösung vorhanden? Sind DNS und öffentliche Dienste ausreichend entkoppelt? Das heißt: Sind DNS und Dienste mittels getrennter Server realisiert? oder Wurden die potenziellen Nachteile einer Zusammenlegung von DNS und Diensten auf einem gemeinsamen Rechner erwogen und in der Sicherheitsrichtlinie akzeptiert? Sind öffentliche Webdienste in der DMZ als dreischichtige Architektur realisiert, bestehend aus Webserver, Anwendungsserver und Datenbank-Server? Das heißt: Sind die drei Schichten in getrennten, hintereinander gestaffelten Sicherheitszonen untergebracht, die (mindestens) durch je einen Paketfilter voneinander getrennt werden? oder Sind die drei Schichten in getrennten Sicherheitszonen untergebracht, die (mindestens) durch einen gemeinsamen Paketfilter untereinander getrennt werden? Besteht eine klare Trennung zwischen internen und externen Nutzern öffentlicher lokaler Webdienste? Erfolgen Zugriffe aus dem LAN auf einen öffentlichen lokalen Webdienst über einen inneren Webserver, der unabhängig vom äußeren Webserver auf den Anwendungsserver zugreift? Sind äußerer und innerer Webserver in physisch getrennten Sicherheitszonen untergebracht? 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Sind LAN und innerer Webserver durch ein dreistufiges PAP1-Sicherheits-Gateway voneinander getrennt? Sind allen Komponenten im Sicherheits-Gateway private IP-Adressen zugeordnet? Sind die IP-Adressen im Sicherheits-Gateway statisch zugeordnet? Haben alle Server und Netzkoppelelemente statisch konfigurierte IP-Adressen? [hoher Schutzbedarf] Sind in den ARP-Tabellen statische Zuordnungen von MAC- und IP- Adresse konfiguriert, um die Komponenten vor ARP-Spoofing zu schützen? Bleiben die IP-Adressen des lokalen Netzes nach außen verborgen? Werden private Adressen der nach außen sichtbaren Dienste durch Adressumsetzung im äußeren Paketfilter in öffentliche IP-Adressen umgesetzt (NAT)? Werden bei der Adressumsetzung am äußeren Paketfilter alle Adressen, die nach Maßgabe der Sicherheitsrichtlinie öffentlich zugreifbar sein sollen, auf die zugehörigen öffentlichen Adressen umgesetzt? Werden alle Adressen, die nach Maßgabe der Sicherheitsrichtlinie nicht öffentlich zugreifbar sein sollen, am Sicherheits-Gateway blockiert? Wird innerhalb des Sicherheits-Gateways ausschließlich statisch geroutet, und sind alle dynamischen Routing-Protokolle im Inneren des Sicherheits-Gateways deaktiviert? [hohe Verfügbarkeit] Ist die Verbindung zum Internet ausreichend verfügbar? Ist das Sicherheits-Gateway redundant ausgelegt? Ist die Internet-Anbindung entsprechend hochverfügbar ausgelegt? 2.3 Internet-Anbindung Wiegt der Nutzen einer Internet-Anbindung die damit verbundenen Risiken auf? Das heißt: Hat das lokale Netz normalen oder äußerstenfalls hohen Schutzbedarf? oder Besteht trotz sehr hohem Schutzbedarf ein dringender Bedarf für eine nline-anbindung, und werden die damit verbundenen Risiken in der Sicherheitsrichtlinie mangels besserer Alternative ausdrücklich getragen? Kann der Internet-Diensteanbieter ausreichende Dienstgüte und Verfügbarkeit gewährleisten? Ist die erforderliche Dienstgüte und Verfügbarkeit in der Sicherheitsrichtlinie spezifiziert? Gibt es eine entsprechende Dienstgütevereinbarung mit dem Internet-Diensteanbieter? [hohe Verfügbarkeit] Ist das lokale Netz mehrbeinig an verschiedene Internet-Diensteanbieter oder zumindest an unabhängige Zugangspunkte des gleichen Diensteanbieters angeschlossen? [hohe Verfügbarkeit] Wird Bandbreitenmanagement betrieben, um die verfügbare Übertragungskapazität der Internet-Anbindung optimal zu nutzen? Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet 2.4 Netzmanagement Ist eine ausreichende zentrale Kontrolle über alle Komponenten des Netzes gewährleistet? Das heißt: Werden alle Netzkoppelelemente und Server der lokalen IT-Infrastruktur zentral fernadministriert? oder Handelt es sich um eine kleine IT-Infrastruktur mit wenigen Komponenten, geringer räumlicher Ausdehnung und höchstens normalem Schutzbedarf? Verfügen die eingesetzten Protokolle zur Fernadministration über Mechanismen zur Authentisierung, Integritätssicherung und Verschlüsselung der übertragenen Daten? Werden diese Mechanismen durchgängig genutzt? Ist eine sichere Trennung zwischen Nutzdatenverbindungen und Administrationsverbindungen gewährleistet? Das heißt: Sollen alle Netzkoppelelemente und Server über eine separate Management-Schnittstelle verfügen, über die sie in einem unabhängigen Management-Netz zusammengeschlossen sind (vollständiges ut-of-band-management)? oder Beschränkt sich das In-Band-Management auf die Netzkoppelelemente und Server im internen Netz, die über eine separate Management-Schnittstelle des Standard-Gateways an ein unabhängiges Management-Netz angeschlossen sind, das alle Management-Schnittstellen der IT-Infrastruktur zusammenschließt (partielles In-Band-Management)? Ist das Management-Netz geeignet in Schutzzonen untergliedert, um eine Unterwanderung der Systemadministration oder eine Umgehung des Sicherheits-Gateways über eine Management- Verbindung auszuschließen? Das heißt: Ist das Management-Netz in gestaffelte Sicherheitszonen für die Administration der äußeren, mittleren und inneren IT-Komponenten untergliedert, die durch je einen Paketfilter getrennt werden? oder Ist das Management-Netz in getrennte Sicherheitszonen für die Administration der äußeren, mittleren und inneren IT-Komponenten untergliedert, die an einen gemeinsamen Paketfilter angeschlossen und durch diesen getrennt werden? [hoher Schutzbedarf] Wird die physische Segmentierung des Management-Netzes durch besondere Maßnahmen verstärkt? Das heißt: Werden im Management-Netz höherwertige Paketfilter eingesetzt, die auch Filterfunktionen auf der Anwendungsschicht unterstützen? oder Werden im Management-Netz gestaffelte Filterkomponenten (Paketfilter, ALGs) verschiedener Hersteller mit unterschiedlichen Technologien (z. B. Betriebssystemen) eingesetzt, um das Risiko komponentenspezifischer Sicherheitsschwachstellen zu mindern? oder Ist das Management-Netz in getrennte Sicherheitszonen für die Administration der äußeren, mittleren und inneren IT-Komponenten untergliedert, die ohne physische Verbindung untereinander als isolierte Management-Zellen betrieben werden? Ist eine ausreichende zentrale Kontrolle über alle Administrator-Kennungen gewährleistet? Das heißt: 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Werden die Administrator-Kennungen in einem zentralen Authentisierungsserver (z. B. RADIUS) im Management-Netz verwaltet? oder Handelt es sich um eine kleine IT-Infrastruktur mit wenigen Komponenten, geringer räumlicher Ausdehnung und höchstens normalem Schutzbedarf? Ist eine angemessene zentrale Kontrolle über alle Logdaten und Systemmeldungen (Traps) der administrierten Komponenten gewährleistet? Das heißt: Werden Logdaten und Systemmeldungen über ein getrenntes Management-Netz zentral erfasst und in einem Managementserver zusammengeführt? oder Handelt es sich um eine kleine IT-Infrastruktur mit wenigen Komponenten, geringer räumlicher Ausdehnung und höchstens normalem Schutzbedarf? oder [hoher Schutzbedarf] Handelt es sich um eine IT-Infrastruktur mit hohem Schutzbedarf und isolierten Management-Zellen, deren Management-Terminals in Sichtweite zueinander platziert sind? Werden die wichtigsten Leistungsparameter der Systemkomponenten kontinuierlich überwacht? Werden die grundlegenden Leistungsparameter aller relevanten Komponenten erfasst (z. B. Speicherplatzreserven, CPU-Auslastung, Schnittstellenauslastung)? Sind im Management-Netz ausreichende Verarbeitungskapazitäten für die Übermittlung, Auswertung und Archivierung der erfassten Daten vorhanden? Werden die Daten regelmäßig und zeitnah ausgewertet? Erfolgt eine unverzügliche Alarmierung bei kritischen Systemmeldungen? Werden die Systemuhren aller administrierten Komponenten sicher synchronisiert? Werden die Komponenten als Clients im Client-Server-Modus des NTP betrieben? Authentisieren die NTP-Clients den Zeitserver mittels entsprechender NTP-ptionen? Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet 3 Auswahl sicherer Komponenten Die Realisierungsphase des Ablaufplans gemäß [ISi-E] beginnt mit der Auswahl geeigneter Komponenten, die über die notwendigen Sicherheitseigenschaften verfügen, um das Sicherheitskonzept umzusetzen. Die Checklisten in diesem Abschnitt hinterfragen die Eignung der vorgesehenen Komponenten. Die Kontrollfragen können als Hilfsmittel bei der Erstellung von Ausschreibungen oder als Bewertungsmaßstab beim Vergleich konkurrierender Produkte dienen. 3.1 Übergreifende Aspekte Die folgenden Kontrollfragen beziehen sich auf Sicherheitsaspekte, die unabhängig von einem bestimmten Komponententyp generell wichtig sind. Grundfunktionalität Sind die Komponenten hinreichend wartungsarm und wartungsfreundlich? Verfügen alle Komponenten über Möglichkeiten, ungenutzte Schnittstellen, Module und Funktionen zu deaktivieren? Unterstützen alle Komponenten standardkonforme Protokolle für die grundlegenden Dienst- und Management-Funktionen (z. B. für DNS, NTP, SMTP, SNMP, SSH) in den aktuellen Protokollversionen? Unterstützen die Protokolle standardkonforme und sichere kryptografische Methoden? Bieten die Komponenten standardkonforme Authentisierungs-, Integritätssicherungs- und Verschlüsselungsoptionen für die unterstützten Protokolle? Wird Authentisierung, Integritätssicherung und Verschlüsselung auf der Basis kryptografisch starker Algorithmen mit ausreichender Schlüssellänge realisiert? Speichern die Komponenten lokale Passwörter, Zertifikate usw. in sicher verschlüsselter Form? Netzmanagement und Protokollierung Unterstützen alle Komponenten personenbezogene Benutzer- und Administrator-Kennungen? Unterstützen alle Netzkoppelelemente und Server sicheres zentrales Netzmanagement? Verfügen die Komponenten über geeignete Schnittstellen für ut-of-band-fernadministration mit sicheren Protokollen (z. B. SSH-2, HTTPS, SNMPv3)? Sind unsichere Protokolle (z. B. Telnet, FTP) deaktivierbar? Ist die Schnittstelle für In-Band-Administration bei Bedarf deaktivierbar? Unterstützen die Komponenten die Verwendung eines zentralen Authentisierungsservers (z. B. RADIUS)? Unterstützen die Komponenten NTP im Client-Server-Modus mit Authentisierungsoption? Unterstützen die Komponenten syslog und Ereignismeldungen (SNMP Traps)? 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Ist der Zugriff auf die Management-Zugänge der Komponenten auf einzelne Ursprünge (Management-Rechner) einschränkbar? Sind Management-Zugriffsrechte bei Bedarf flexibel einschränkbar (z. B. auf nur lesende Zugriffe)? Verfügen die Komponenten über eine Import/Export-Schnittstelle für sämtliche Konfigurationseinstellungen, bevorzugt in einem Textformat (z. B. XML)? Besteht die Möglichkeit, alle Konfigurationsänderungen der administrierten Komponenten nachvollziehbar zu protokollieren? Anbieter Gewährleisten die Anbieter der IT-Komponenten eine ausreichende und schnelle technische Unterstützung ihrer Produkte? Garantiert der Anbieter langfristige Unterstützung für seine Produkte? Werden Updates und Patches nach dem Bekanntwerden von Schwachstellen unverzüglich bereitgestellt? Gibt der Anbieter kurzfristige Empfehlungen für Zwischenlösungen (Workarounds) zur Überbrückung der Zeitspanne bis zur Verfügbarkeit eines kritischen Sicherheits-Patches? Bietet der Anbieter einen deutschsprachigen Kundendienst? Ist der Kundendienst während der regulären Arbeitszeiten jederzeit erreichbar? Ist im Notfall die schnelle Versorgung mit einem Ersatzgerät gewährleistet? 3.2 Switches Die folgenden Kontrollfragen betreffen die Auswahl von Switches. Unterstützt der Switch die gängigen Spanning-Tree-Protokolle (z. B. STP, RSTP, MSTP)? Sind Bridge Protocol Data Units (BPDU-Pakete) an den Endgeräte-Ports deaktivierbar, um Client-Rechnern die Teilnahme an Spanning-Tree-Protokollen zu verwehren? Besteht die Möglichkeit, Endgeräte-Ports mit Geräteadress-Beschränkungen zu belegen? Ist es möglich, das Endgerät anhand seiner MAC-Adresse zu authentisieren? Lässt sich die Anzahl der erlaubten MAC-Adressen pro Switch-Port auf eine Adresse pro Port beschränken? Ist es möglich, den Anschluss von Clients an allen Endgeräte-Ports auf je eine fest vorgegebene MAC-Adresse einzuschränken? [hoher Schutzbedarf] Unterstützt der Switch eine Endgeräte-Authentisierung nach IEEE 802.1x? Verfügt der Switch über geeignete VLAN-Funktionalität? Unterstützt der Switch den VLAN-Standard IEEE 802.1q? Ist VLAN-Funktionalität getrennt für jeden Port einstellbar? Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet Ermöglicht die Switch-Konfiguration eine Unterscheidung zwischen Endgeräte- und Trunk- Ports? 3.3 Zustandslose Paketfilter Die folgenden Kontrollfragen fassen die Mindestanforderungen an zustandslose Paketfilter zusammen. Unterstützt der Paketfilter das Filtern (Weiterleiten oder Verwerfen) der Datenpakete nach den gängigen Filterkriterien für die Protokolle IP, ICMP, UDP und TCP? IP: Ist eine Filterung anhand der IP-Quell- und -Zieladresse (Rechner-Adresse oder Subnetz- Adresse) des Pakets möglich? Ist eine Filterung anhand der IP-Protokollnummer des Pakets möglich? Ist eine Filterung anhand des ICMP-Nachrichtentyps und des ICMP-Codes des Pakets möglich? Ist eine Filterung anhand der TCP-Flags des Pakets möglich? Ist für TCP- und UDP-Pakete eine Filterung anhand der Quell- und -Zielports des Pakets möglich? Ist eine unabhängige Filterung verschiedener Verkehrsströme gewährleistet? Ist eine unabhängige Filterung in kommender und gehender Übertragungsrichtung (ingress/egress) möglich? Ist eine unabhängige Filterung pro Geräteanschluss möglich? Ist eindeutig klar, in welcher Reihenfolge die vorgegebenen Filterregeln zur Anwendung kommen und ob die erste oder letzte der zutreffenden Regeln über den Zugriff entscheidet? Lässt sich in der Komponente ohne großen Aufwand Whitelisting umsetzen? Das heißt: Werden alle Datenpakete, auf die keine der vorgegebenen Filterregeln anwendbar ist, automatisch verworfen? oder Lässt sich eine Whitelisting-Strategie systematisch und mit geringem Aufwand durch geeignete Konfigurationsvorgaben realisieren? Unterstützt der Paketfilter eine detaillierte Protokollierung aller Filteraktivitäten, insbesondere der verworfenen Datenpakete? Ist eine Protokollierung von Quell- und Zieladresse beanstandeter Pakete möglich? Ist eine Protokollierung von Quell- und Zielport möglich? Umfasst die Protokollierung Datum und Uhrzeit? 3.4 Zustandsbehaftete Paketfilter Für zustandsbehaftete Paketfilter gelten alle vorstehenden Kontrollfragen für zustandslose Paketfilter in gleicher Weise. Zusätzlich sind die folgenden Aspekte zu prüfen. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Ist es möglich, das ID-Feld im IP-Header mit Zufallswerten zu belegen? Unterstützt der Paketfilter die Wahl zufälliger TCP-Sequenznummern beim Verbindungsaufbau? Unterstützt der Paketfilter ptionen zur Abwehr von Fragmentierungsangriffen? Ist es möglich, eine minimale akzeptierte Fragmentgröße vorzugeben? Ist es möglich, die zulässige Anzahl der Fragmente pro Frame zu begrenzen? Unterstützt der Paketfilter zustandsbehaftete TCP-Filterung? Ist es möglich, eine obere Schranke für die Anzahl halboffener TCP-Verbindungen vorzugeben? Ist es möglich, Pakete mit unsinnigen TCP-Flag-Kombinationen zu verwerfen? Ist es möglich, die zulässige Richtung eines TCP-Verbindungsaufbaus vorzugeben? Unterstützt der Paketfilter zustandsbehaftete UDP-Filterung? Ist es möglich, Rate Limits für UDP vorzugeben? Ist es möglich, UDP-Verkehr nur zeitlich befristet zuzulassen, relativ zur ersten UDP-Übermittlung (quasi der Sitzungseröffnung ) zwischen den betroffenen Kommunikationsendpunkten? Unterstützt der Paketfilter zustandsbehaftete ICMP-Filterung? Ist es möglich, ICMP-Verkehr nur zeitlich befristet zuzulassen, relativ zur ersten ICMP-Übermittlung (quasi der Sitzungseröffnung ) zwischen den betroffenen Kommunikationsendpunkten? Besondere Anforderungen an den äußeren Paketfilter des Sicherheits-Gateways Unterstützt der äußere Paketfilter des Sicherheits-Gateways (in der Grundarchitektur mit PF1 bezeichnet) statische Adressumsetzung (NAT)? 3.5 Perimeterrouter Generell gelten für den Perimeterrouter alle Kontrollfragen für zustandslose Paketfilter. Darüber hinaus sind folgende Aspekte zu prüfen. Unterstützt der Perimeterrouter statisches Routing? Unterstützt der Perimeterrouter sichere dynamische Routing-Protokolle? Unterstützt der Perimeterrouter dynamische Routing-Protokolle, die eine sichere Authentisierung und eine Integritätssicherung der übertragenen Routing-Daten ermöglichen? [hohe Vertraulichkeit] Unterstützt der Router dynamisches Routing mit verschlüsselten Routing-Protokollen? Ist es möglich, unter Sicherheitsaspekten fragwürdige Funktionen am Perimeterrouter zu sperren? Ist Source Routing deaktivierbar? Ist Gerichteter Broadcast (Directed Broadcast [RFC 2644]) deaktivierbar? Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet Ist das ICMP Router Discovery Protocol (IRDP) deaktivierbar? Ist die Proxy-ARP-Funktion deaktivierbar? 3.6 Application-Level Gateway Bei der Auswahl eines Application-Level Gateways (ALG) sind folgende allgemeine Prüfaspekte zu berücksichtigen. Kann das ALG flexibel auf die vom lokalen Netz benötigten Protokolle zugeschnitten werden? Unterstützt das ALG alle für die Internet-Kommunikation benötigten Protokolle (mindestens DNS, SMTP, HTTP sowie HTTPS mit Zertifikatsprüfung)? Ist es möglich, bei Bedarf Sicherheits-Proxys für weitere Protokolle nachzurüsten? Ist es möglich, nicht benötigte Protokoll-Unterstützung des ALGs zu entfernen oder zu sperren? Ist es möglich, bei fehlender Proxy-Unterstützung für ein Protokoll notfalls ein TCP-Relay selektiv für dieses Protokoll einzurichten? Verfügt das ALG über eine Auskoppelschnittstelle für beliebige Protokolle, um bei Bedarf externe Erweiterungen modular zu ergänzen? Werden Protokolle, für die kein Proxy im ALG vorhanden ist, blockiert? Daneben sind die folgenden protokoll- und anwendungsspezifischen Aspekte zu prüfen. Kontrollfragen bezüglich HTTP- und HTTPS-Proxys Ist es möglich, bei ausgehenden HTTP-Verbindungen die Browser-Kennung des Client-Rechners auszutauschen? Verfügt das ALG über ausreichende Filtermöglichkeiten für HTTP-Verkehr? Ist es möglich, bei HTTP-Verbindungen Request- und Response-Header nach benutzerdefinierten Vorgaben zu filtern? Kann das ALG Webseiten anhand ihrer Internet-Adresse (bzw. der URL) filtern? Ist es möglich, Aktive Inhalte oder bestimmte MIME-Typen zu filtern? Ist es möglich, Zugriffe anhand der beigefügten Cookies zu filtern? Ist es möglich, SSL/TLS-Verbindungen so einzuschränken, dass zum Aufbau der Verbindung nur sichere Kryptoverfahren und nur Schlüssel einer geforderten Mindestlänge für einen Verbindungsaufbau akzeptiert werden? Kann das ALG die Gültigkeit von SSL/TLS-Zertifikaten überwachen und Verbindungen bei ungültigem Zertifikat zurückweisen? Ist es möglich, die Zertifizierungskette bis zum Wurzelzertifikat zu verifizieren? Ist es möglich, die angeforderte URL mit der im Zertifikat ausgewiesenen URL ( Common Name ) abzugleichen? Ist es möglich, das Ablaufdatum von Zertifikaten zu überprüfen? 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Lassen sich im ALG Wurzelzertifikate flexibel konfigurieren? Ist es möglich, eigene Wurzelzertifikate nachzurüsten, die vom ALG bei der Prüfung als vertrauenswürdig angesehen werden? Ist es möglich, vom Hersteller vorkonfigurierte Wurzelzertifikate gezielt zu entfernen, um den darauf fußenden Zertifizierungsketten das Vertrauen zu entziehen? Kontrollfragen bezüglich SMTP Ermöglicht das ALG eine Filterung von -Nachrichten nach benutzerdefinierten Kriterien? Ist es möglich, SMTP-Nachrichten anhand ihrer IP-Adresse, -Adresse oder anhand des Domain-Namens zu filtern? Ist es möglich, Dateianhänge bestimmter, konfigurierbarer Typen zu sperren? Unterstützt das ALG sogenanntes Greylisting zur Abwehr von unerwünschten Werbe-E- Mails? Verfügt das ALG über eine Auskoppelschnittstelle zum Anschluss eines Virenschutzprogramms oder eines Spam-Filters? Kontrollfragen bezüglich DNS Ist das ALG in der Lage, DNS-Anfragen auf bestimmte IP-Adressen oder IP-Subnetze einzuschränken? Ist eine Filterung von DNS-Anfragen anhand des sogenannten Recursion Bits (Recursion Desired, RD) möglich? Ist es möglich, bei DNS-Nachrichten die DNS-Versionsnummer zu unterdrücken oder zu ersetzen? 3.7 DHCP-Server Neben den allgemeinen IT-Grundschutzanforderungen für Server ist folgende Kontrollfrage zu prüfen. Lässt sich der DCHP-Server so konfigurieren, dass nur DHCP-Clients mit registrierter Geräteadresse akzeptiert werden? 3.8 NTP-Server Neben den allgemeinen IT-Grundschutzanforderungen für Server sind folgende Kontrollfragen zu prüfen. Unterstützt der NTP-Server die geforderten NTP-Betriebsarten und -ptionen? Ermöglicht der Server den Anschluss eines DCF77-Empfangsmoduls? Unterstützt der Server den Client-Server-Modus mit Authentisierung des Servers? Ist es möglich, den Broadcast-Modus des NTP-Protokolls zu deaktivieren? Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet 3.9 DNS-Server Neben den allgemeinen IT-Grundschutzanforderungen für Server sind folgende Kontrollfragen zu prüfen. Ist es möglich, DNS-Anfragen auf bestimmte Ursprünge und Anfrage-Modi einzuschränken? Lassen sich rekursive DNS-Anfragen auf einzelne Subnetz-Adressen einschränken? Lassen sich Zonentransfers des DNS-Servers auf die IP-Adressen berechtigter DNS-Partnerserver einschränken? Lässt sich eine dynamische Aktualisierung der DNS-Daten deaktivieren? Kann der DNS-Server Anfragen mit nicht gesetztem Recursion Bit (Recursion Desired, RD) abweisen? Verfügt der DNS-Server über ptionen, die das Ausspähen des DNS erschweren? Ist es möglich, die DNS-Versionsnummer zu unterdrücken oder zu verschleiern? Lässt sich die List-Domain-Funktion des DNS-Servers deaktivieren? 3.10 VPN-Box VPN-Unterstützung ist eine optionale modulare Erweiterung des Sicherheits-Gateways. Sofern ein VPN betrieben werden soll, sind folgende Kontrollfragen zu prüfen. Ist mit der VPN-Komponente ein sicheres, verschlüsseltes VPN (Secure VPN im Gegensatz zu einem Trusted VPN) realisierbar? Bietet die Komponente ausreichend starke kryptografische Verfahren und ausreichende Schlüssellängen? [hohe Vertraulichkeit] Hat die Komponente eine Zulassung für die Übertragung von Verschlusssachen bis einschließlich der Klasse STRENG GEHEIM? Bietet die Komponente ausreichenden Durchsatz für das erwartete Kommunikationsaufkommen? Ermöglicht die Komponente bei Bedarf eine Adressumsetzung (NAT)? 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Check Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 4 Konfiguration Die Checklisten zur Konfiguration sind vor allem für Administratoren bestimmt, die ein sicheres Netz einrichten wollen. Daneben dient der folgende Abschnitt auch als Hilfsmittel für Revisoren, die ein bestehendes Netz einer Sicherheitsrevision unterziehen wollen. 4.1 Übergreifende Aspekte Die folgenden Kontrollfragen betreffen Prüfaspekte, die für alle Komponenten relevant sind, unabhängig von einem bestimmten Komponententyp. Grundfunktionalität Werden bevorzugt standardkonforme, nicht-proprietäre Protokollvarianten konfiguriert? Sind die verfügbaren Authentisierungs- und Verschlüsselungsmechanismen der eingesetzten Protokolle und Dienste aktiviert? Sind die Authentisierungs- und Verschlüsselungsoptionen auf die Wahl starker kryptografischer Verfahren mit ausreichenden Schlüssellängen eingeschränkt? Ist die Verwendung schwacher Verfahren und kurzer Schlüssel ausdrücklich gesperrt? Ist die Software der Komponenten auf dem aktuellen Stand, minimal und jederzeit wiederherstellbar? Wird die neueste empfohlene Betriebssystem-Version eingesetzt? Sind alle empfohlenen Updates und Patches eingespielt? Wurden nicht benötigte Funktionen aus der Konfiguration entfernt oder zumindest stillgelegt? Wurde erwogen, speziell gehärtete Systemsoftware-Varianten einzusetzen? Wurde die so aktualisierte Software-Konfiguration gesichert, um sie jederzeit mit geringem Aufwand wiederherstellen zu können? Gewährleistet die Konfiguration ein Fail Secure -Verhalten, das heißt, wechseln die Komponenten beim Auftreten eines Fehlers oder beim Neustart in eine sicheren Betriebszustand? Verbergen die Komponenten nach außen ihre Konfigurationseinstellungen? Sind alle nicht benötigten Abfrageschnittstellen und Auskunft-Dienste entfernt oder stillgelegt? Dürfen nur Management-Verbindungen (z. B. Zugriffe aus dem Management-Netz unter Administrator-Kennung) auf die Abfrageschnittstelle zugreifen? Wurden die verfügbaren Mechanismen genutzt, um die genauen Versionsbezeichnungen der eingesetzten Software-Module zu verbergen oder zu verschleiern (z. B. Unterdrücken von Versionsnummern in Protokollen, Ersetzen sicherheitsrelevanter Informationen durch unverfängliche Angaben)? Netzmanagement und Protokollierung Sind allen Benutzern und Administratoren personenbezogene, sichere Kennungen zugewiesen? Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-Check Sichere Anbindung von lokalen Netzen an das Internet Sind für alle Benutzer und Administratoren getrennte, persönliche Kennungen eingerichtet? Sind alle Kennungen durch kennungsspezifische Passwörter, Zertifikate oder dergleichen geschützt? Werden sichere Passwörter verwendet? Wird die Passwort-Güte automatisch überprüft? Sind pro Kennung minimale Zugriffsrechte konfiguriert? Sind Benutzer- und Administrator-Sitzungen mit einer Zeitbeschränkung belegt (z. B. Bildschirm-Schoner mit Passwort-Schutz, automatisches Logout)? Wurde bei allen Komponenten, die dem ut-of-band-management unterliegen, die Schnittstelle für In-Band-Management gesperrt? Sind die separaten Management-Schnittstellen als dedizierte Management-Zugänge konfiguriert, zu denen keine Nutzdatenverbindungen geroutet werden können? Wurde die Fernadministration auf sichere Protokolle und sichere Gegenstellen eingeschränkt? Ist der Zugriff auf Management-Schnittstellen auf autorisierte Management-Systeme eingeschränkt? Sind alle unsicheren Protokolle (z. B. Telnet) deaktiviert? Werden die Sicherheitsoptionen (z. B. Verschlüsselung, Authentisierung) der verwendeten Protokolle ausgeschöpft? Sind Art und Umfang der Protokollierung in der Sicherheitsrichtlinie sinnvoll festgelegt und gemäß dieser Festlegung konfiguriert? Wurden überzählige Accounting-Funktionen stillgelegt? Sind ausreichende Ressourcen zur Logdaten-Erfassung, -Übermittlung, -Auswertung und -Archivierungen reserviert? Werden kritische Meldungen automatisch und ohne Zeitverzug an das zuständige Personal weitergeleitet? Ist die Protokollierungstiefe im Einklang mit den gesetzlichen Datenschutz-Bestimmungen? 4.2 Switches Für die Switch-Konfiguration sind folgende Prüfaspekte zu berücksichtigen. Ist das lokale Netz als sogenanntes Switched Ethernet realisiert? Sind alle ungenutzten Switch-Ports gesperrt? Sind die zulässigen Clients pro Endgeräte-Port durch restriktive Konfigurationsvorgaben hinreichend eingeschränkt? Das heißt: Ist die erlaubte Geräteadresse auf je eine MAC-Adresse pro Endgeräte-Port eingeschränkt? oder Ist pro Endgeräte-Port eine feste MAC-Adresse festgelegt? oder Wird das Endgerät an allen Endgeräte-Ports anhand seiner MAC-Adresse authentisiert? oder 20 Bundesamt für Sicherheit in der Informationstechnik

Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14

Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 Vervielfältigung

Mehr

Sichere Nutzung von E-Mail mit KDE Kontact und KMail

Sichere Nutzung von E-Mail mit KDE Kontact und KMail Sichere Nutzung von E-Mail mit KDE Kontact und KMail BSI-Checkliste zur Kontact-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte

Mehr

Sicherer Betrieb von E-Mail-Servern mit Kolab

Sicherer Betrieb von E-Mail-Servern mit Kolab Sicherer Betrieb von E-Mail-Servern mit Kolab BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Kolab Vervielfältigung und Verbreitung

Mehr

Sichere Nutzung von E-Mail mit Mozilla Thunderbird 2.0

Sichere Nutzung von E-Mail mit Mozilla Thunderbird 2.0 Sichere Nutzung von E-Mail mit Mozilla Thunderbird 2.0 BSI-Checkliste zur Thunderbird-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung

Mehr

Sicheres Bereitstellen von Web-Angeboten mit IIS. BSI-Checkliste zur IIS-Sicherheit (ISi-Check)

Sicheres Bereitstellen von Web-Angeboten mit IIS. BSI-Checkliste zur IIS-Sicherheit (ISi-Check) Sicheres Bereitstellen von Web-Angeboten mit IIS BSI-Checkliste zur IIS-Sicherheit (ISi-Check) ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit IIS Vervielfältigung und Verbreitung Bitte

Mehr

Sicheres Bereitstellen von Web-Angeboten mit Apache. BSI-Checkliste zur Apache-Sicherheit (ISi-Check)

Sicheres Bereitstellen von Web-Angeboten mit Apache. BSI-Checkliste zur Apache-Sicherheit (ISi-Check) Sicheres Bereitstellen von Web-Angeboten mit Apache BSI-Checkliste zur Apache-Sicherheit (ISi-Check) ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten mit Apache Vervielfältigung und Verbreitung

Mehr

Sichere Nutzung von Web-Angeboten mit dem Microsoft Internet Explorer 9. BSI-Checkliste zur Internet Explorer-Sicherheit (ISi-Check)

Sichere Nutzung von Web-Angeboten mit dem Microsoft Internet Explorer 9. BSI-Checkliste zur Internet Explorer-Sicherheit (ISi-Check) Sichere Nutzung von Web-Angeboten mit dem Microsoft Internet Explorer 9 BSI-Checkliste zur Internet Explorer-Sicherheit (ISi-Check) ISi-Reihe ISi-Check Sichere Nutzung von Web-Angeboten Vervielfältigung

Mehr

Sichere Nutzung von Web-Angeboten mit Mozilla Firefox 31ESR. BSI-Checkliste zur Firefox-Sicherheit (ISi-Check)

Sichere Nutzung von Web-Angeboten mit Mozilla Firefox 31ESR. BSI-Checkliste zur Firefox-Sicherheit (ISi-Check) Sichere Nutzung von Web-Angeboten mit Mozilla Firefox 31ESR BSI-Checkliste zur Firefox-Sicherheit (ISi-Check) ISi-Reihe ISi-Check Sichere Nutzung von Web-Angeboten Vervielfältigung und Verbreitung Bitte

Mehr

Sichere Nutzung von E-Mail mit Microsoft Outlook 2003

Sichere Nutzung von E-Mail mit Microsoft Outlook 2003 Sichere Nutzung von E-Mail mit Microsoft utlook 2003 BSI-Checkliste zur utlook-2003-sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte

Mehr

Sicherer Betrieb von E-Mail-Servern mit Lotus Domino 8.0

Sicherer Betrieb von E-Mail-Servern mit Lotus Domino 8.0 Sicherer Betrieb von E-Mail-Servern mit Lotus Domino 8.0 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Lotus Domino 8.0 Vervielfältigung

Mehr

Sichere Nutzung von E-Mail mit Microsoft Outlook 2007

Sichere Nutzung von E-Mail mit Microsoft Outlook 2007 Sichere Nutzung von E-Mail mit Microsoft utlook 2007 BSI-Checkliste zur utlook 2007-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte

Mehr

Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2007

Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2007 Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2007 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange

Mehr

Sichere Nutzung von E-Mail (ISi-Mail-Client)

Sichere Nutzung von E-Mail (ISi-Mail-Client) Sichere Nutzung von E-Mail (ISi-Mail-Client) BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte beachten

Mehr

Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2003

Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2003 Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange 2003 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Microsoft Exchange

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server)

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern Vervielfältigung und Verbreitung

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Schnellstart. MX510 mit public.ip via OpenVPN

Schnellstart. MX510 mit public.ip via OpenVPN Schnellstart MX510 mit public.ip via OpenVPN Diese Schnellstartanleitung beschreibt die Einrichtung des MX510 bei Verwendung Ihrer eigenen SIM-Karte und der mdex Dienstleistung public.ip zum Fernzugriff.

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

DSL-Highspeed Service-Plus Paket

DSL-Highspeed Service-Plus Paket DSL-Highspeed Service-Plus Paket Keine zusätzliche Hardware erforderlich: Mit dem Service-Plus Paket erhalten Sie von Global Village mit der Bereitstellung Ihrer DSL-Leitung einen vollständig vorkonfigurierten

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Die Konfiguration ist statisch und wurde dem System über die Netzwerkkarte von Werk aus mitgegeben.

Die Konfiguration ist statisch und wurde dem System über die Netzwerkkarte von Werk aus mitgegeben. Orientierungstest Der nachfolgende Selbsttest gibt Ihnen die Möglichkeit, Ihre Kenntnisse vor der Teilnahme an der Workshop-Reihe zu überprüfen. Dabei kommt es darauf an, dass Sie die einzelnen Fragen

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen:

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen: Default Gateway: 172.16.22.254 Ein häufiger Fehler in den Konfigurationen liegt darin, dass der Netzanteil des Default Gateway nicht mit dem Netzanteil der IP-Adresse des Rechners übereinstimmt. 4.4 DHCP-Service

Mehr

Schnellstart. MX510 ohne mdex Dienstleistung

Schnellstart. MX510 ohne mdex Dienstleistung Schnellstart MX510 ohne mdex Dienstleistung Diese Schnellstartanleitung beschreibt die Einrichtung des MX510 als Internet- Router mit einer eigenen SIM-Karte ohne Verwendung einer mdex SIM-Karte und ohne

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Switch: - nicht konfigurierbare (unmanaged) - konfigurierbare (managed)

Switch: - nicht konfigurierbare (unmanaged) - konfigurierbare (managed) Switch: - nicht konfigurierbare (unmanaged) - konfigurierbare (managed) a) unmanaged: Autosensing: stellt sich automatisch auf 10/100/1000 Mbit ein. Autonegotiation: verhandelt mit seinem Gegenüber über

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

fachdokumentation VPN-Box / Netzbetrieb Transact

fachdokumentation VPN-Box / Netzbetrieb Transact fachdokumentation VPN-Box / Netzbetrieb Transact inhalt Einleitung Seite 4 Zielsetzung Seite 4 Eingesetzte Hardware und Software Seite 4 Konfiguration Seite 4 Aufbau und Kommunikation Seite 4 Verbindung

Mehr

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Leistungsbeschreibung der PfalzKom, Gesellschaft für Telekommunikation mbh

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Leistungsbeschreibung der PfalzKom, Gesellschaft für Telekommunikation mbh FIREWALL-SOLUTION ZENTRALE FIREWALL Dieses Dokument enthält die Leistungsbeschreibung für den Dienst Firewall-Solution. Die PfalzKom, Gesellschaft für Telekommunikation mbh, nachfolgend Gesellschaft genannt,

Mehr

Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Vervielfältigung und Verbreitung

Mehr

Modul 6 LAN-Komponenten (Repeater, Bridge, Switch)

Modul 6 LAN-Komponenten (Repeater, Bridge, Switch) Lernziele: Nach der Lehrveranstaltung zu Modul 6 sollen Sie in der Lage sein, Modul 6 LAN-Komponenten (, Bridge, Switch) (a) die Grundfunktion eines s darzustellen, (b) die Anforderung, Notwendigkeit,

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

Zugriffssteuerung - Access Control

Zugriffssteuerung - Access Control Zugriffssteuerung - Access Control Basierend auf den mehrsprachigen Firmwares. Um bestimmten Rechnern im LAN den Internetzugang oder den Zugriff auf bestimmte Dienste zu verbieten gibt es im DIR- Router

Mehr

Zugriffssteuerung - Access Control

Zugriffssteuerung - Access Control Zugriffssteuerung - Access Control Basierend auf den mehrsprachigen Firmwares. Um bestimmten Rechnern im LAN den Internetzugang oder den Zugriff auf bestimmte Dienste zu verbieten gibt es im DIR- Router

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

In Verbindung mit IP Cam D-Link DCS-7110 Tech Tipp: IP Kamera Anwendung mit OTT netdl 1000 Datenfluss 1. 2. OTT netdl leitet das Bild der IP Cam an den in den Übertragungseinstellungen definierten Server

Mehr

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München 2 Gefahrenpotentiale Ist die totale IT-Sicherheit möglich? Verfügbarkeit Sicherheit Erreichbarkeit Performance Einfachheit

Mehr

Hochschulrechenzentrum

Hochschulrechenzentrum #95 Version 2 Einleitung Das ZEDAT-Portal ist ein Dienst der ZEDAT, der es Ihnen ermöglicht, den eigenen Account auf bequeme und sichere Weise mit einem Webbrowser zu verwalten. Sie können dort persönliche

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert.

So wird der administrative Aufwand bei der Konfiguration von Endgeräten erheblich reduziert. 11.2 Cisco und DHCP.. nur teilweise CCNA relevant DHCP Dynamic Host Configuration Protocol ist der Nachfolger des BOOTP Protokolls und wird verwendet um anfrandenen Hosts dynamisch IP Parameter - i.d.r.

Mehr

Benutzerhandbuch Digitalisierungsbox. Konfigurationsbeispiele. Copyright Version 1.0, 2015 bintec elmeg GmbH

Benutzerhandbuch Digitalisierungsbox. Konfigurationsbeispiele. Copyright Version 1.0, 2015 bintec elmeg GmbH Benutzerhandbuch Konfigurationsbeispiele Copyright Version 1.0, 2015 Benutzerhandbuch Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. gibt keinerlei Gewährleistung

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Verwenden der Cisco UC 320W in Verbindung mit Windows Small Business Server

Verwenden der Cisco UC 320W in Verbindung mit Windows Small Business Server Verwenden der Cisco UC 320W in Verbindung mit Windows Small Business Server Dieser Anwendungshinweis enthält Anweisungen zum Bereitstellen der Cisco UC 320W in einer Umgebung mit Windows Small Business

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck W-LAN einrichten Access Point Konfiguration Diese Anleitung gilt für den Linksys WAP54G. Übersicht W-LAN einrichten... 1 Access Point Konfiguration... 1 Übersicht... 1 Vorbereitung... 1 Verbindung aufnehmen...

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen der zuverlässigen Identifikation. Hoch bedroht sind Zugänge ohne Passwort oder

Mehr

Das Netzwerk einrichten

Das Netzwerk einrichten Das Netzwerk einrichten Für viele Dienste auf dem ipad wird eine Internet-Verbindung benötigt. Um diese nutzen zu können, müssen Sie je nach Modell des ipads die Verbindung über ein lokales Wi-Fi-Netzwerk

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

P793H PPP/ACT LAN 4 PRESTIGE P793H

P793H PPP/ACT LAN 4 PRESTIGE P793H PW R A CT RESET SYS CA RD L AN 10/100 W AN-1 10/100 WAN-2 10/100 1 DMZ 10/100 2 3 4 DIAL BACKUP CONSO LE PW R /SYS D SL PPP/ACT 1 2 LAN 3 4 PRESTIGE 700 SERIES PW R /SYS D SL PPP/ACT 1 2 LAN 3 4 PRESTIGE

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160

HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160 HowTo: erweiterte VLAN Einrichtung & Management von APs mittels des DWC- 1000/DWS-4026/DWS-3160 [Voraussetzungen] 1. DWS-4026/3160 mit aktueller Firmware - DWS-4026/ 3160 mit Firmware (FW) 4.1.0.2 und

Mehr

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung - Beispiel - Stand: Juni 2004 1/6 INHALTSVERZEICHIS 1 EINLEITUNG...2 2 GELTUNGSBEREICH...2 3 ORGANISATION...3 3.1 STELLEN...3 3.2 GRUNDSÄTZLICHE

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen.

Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen. Infoblox GUI Ziel des Dokuments: Erläuterung der Infoblox GUI für CVs, Erläuterung der Fehlermeldungen. Inhalt 1. Einleitung... 2 2. Login / Logout ins GUI... 2 3. Assign Fixed IP... 4 4. Add Host... 6

Mehr

LANCOM Advanced VPN Client:

LANCOM Advanced VPN Client: LANCOM Advanced VPN Client: Eine ganze Reihe von LANCOM-Modellen verfügt über VPN-Funktionalität und damit über die Möglichkeit, entfernten Rechnern einen Einwahlzugang (RAS) über eine gesicherte, verschlüsselte

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Absicherung eines Servers (ISi-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

Absicherung eines Servers (ISi-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Absicherung eines Servers (ISi-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check) ISi-Reihe ISi-Server: generische Checkliste Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr p Eine Open Source SSL VPN Lösung Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr Inhaltsverzeichnis Simon Singh über die Verschlüsslungen Facts about OpenVPN Hintergrund Funktionsweise inkl.

Mehr

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System)

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System) -DNS (Domain Name System) Das DNS ist ein weltweit auf tausende von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum ist in so genannte

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden

2 Sunny WebBox in ein bestehendes lokales Netzwerk (LAN) einbinden SUNNY WEBBOX Kurzanleitung zur Inbetriebnahme der Sunny WebBox unter Windows XP Version: 1.0 1 Hinweise zu dieser Anleitung Diese Anleitung unterstützt Sie bei der Inbetriebnahme der Sunny WebBox in ein

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Benutzerhandbuch bintec R1200 / R1200w(u) / R3000 / R3000w / R3400 / R3800(wu) Fast Ethernet

Benutzerhandbuch bintec R1200 / R1200w(u) / R3000 / R3000w / R3400 / R3800(wu) Fast Ethernet Benutzerhandbuch bintec R1200 / R1200w(u) / R3000 / R3000w / R3400 / R3800(wu) Fast Ethernet Copyright 11. Dezember 2006 Funkwerk Enterprise Communications GmbH Version 3.0 Ziel und Zweck Haftung Marken

Mehr