Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Größe: px
Ab Seite anzeigen:

Download "Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)"

Transkript

1 Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

2 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgt. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Inhaltsverzeichnis 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Management Summary Einführung und Überblick Anwendungsszenarien für internetfähige lokale Netze Grundlagen des sicheren Netzbetriebs Wesentliche Ergebnisse der Gefährdungsanalyse Wesentliche Empfehlungen Fazit Glossar Stichwort- und Abkürzungsverzeichnis Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe 1 Leitlinie zur sicheren Anbindung von lokalen Netzen an das Internet Die Nutzung des Internets eröffnet Möglichkeiten, die heute in Verwaltung und Wirtschaft fast schon unentbehrlich geworden sind. Allerdings birgt das Internet für die angeschlossenen IT-Systeme und die davon abhängigen Informationsverarbeitungsprozesse auch erhebliche Gefahren. Das Modul ISi-LANA vermittelt die grundlegenden Sicherheitsempfehlungen zu den Basistechniken, die für den Betrieb eines internetfähigen lokalen Netzes benötigt werden. Der vorliegende ISi-L basiert vorrangig auf der erstellten BSI-Studie: Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA). 1.1 Management Summary Sollen in einem lokalen Netz (LAN) Web, oder andere Internet-Dienste nicht nur intern genutzt werden, so muss dieses lokale Netz an ein nicht vertrauenswürdiges Netz (z. B. Internet) angeschlossen werden. Mit diesem Schritt setzt der Betreiber eines LANs sein bislang geschlossenes Netz jedoch erheblichen zusätzlichen Gefährdungen aus, noch bevor er die erste Anwendung auch nur installiert hätte. Angreifer aus dem Internet können Schwachstellen der grundlegenden Internet- Protokolle, -Dienste und -Komponenten ausnutzen und so Datenverkehr abhören ( Sniffing ), Systeme mit gefälschten Absenderangaben zu unerwünschtem Verhalten bringen ( Spoofing ) oder einfach in das interne Netz eindringen ( Hacking ). Die vorliegende ISi-LANA-Studie gibt Empfehlungen, wie diesen Gefahren bei normalem Schutzbedarf durch eine robuste Grundarchitektur, eine geeignete Geräteauswahl, sichere Konfigurationseinstellungen und einen kontrollierten Betrieb zu begegnen ist. Es werden zudem Varianten für den hohen Schutzbedarf aufgezeigt. Sie bietet dem Anwender damit Unterstützung in der Konzeptionsphase des in [ISi-E] vorgeschlagenen Ablaufplans und hilft ihm, den Netzaufbau, die Komponenten-Beschaffung sowie die Realisierung und den Betrieb des Netzes zu konzipieren. Die Studie behandelt vornehmlich die drei unteren Schichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Die spezifischen Aspekte der einzelnen Dienste und Anwendungen werden in anderen Teilen der ISi-Reihe behandelt. Im Mittelpunkt der Studie steht der Vorschlag einer Grundarchitektur für normalen Schutzbedarf, die sowohl das sichere Nutzen als auch das sichere Anbieten von Diensten im Internet berücksichtigt. Diese Grundarchitektur ist in vier Zonen untergliedert. Die erste Zone umfasst das interne Netz. Sie enthält alle Client-Systeme sowie alle Infrastrukturund Anwendungs-Server, die für den autonomen, lokalen LAN-Betrieb benötigt werden. In der zweiten Zone befindet sich das dreistufige Sicherheits-Gateway, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Dieser Aufbau schützt das LAN vor Angriffen aus dem Internet. Des Weiteren sind hier die erforderlichen Server zum Anbieten von Diensten im Internet untergebracht, welche wiederum durch Paketfilter abgesichert werden, sich also in sogenannten Demilitarisierten Zonen befinden. Die dritte Zone umfasst die Komponenten zur Internet-Anbindung. Sie enthält im einfachsten Fall einen einzelnen Router, der mit dem Netz eines Internet-Diensteanbieters verbunden ist. Bei höheren Anforderungen an die Verfügbarkeit muss die Anbindung redundant ausgelegt werden. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet In der Management-Zone werden alle Management-Daten zentral gesammelt und verarbeitet. Hier ist auch der zentrale Zeitserver untergebracht, mit dem sämtliche Systemuhren im Netz synchronisiert werden. Neben einer sicheren Konzeption ist die Beschaffung und Konfiguration der verwendeten Komponenten von besonderer Wichtigkeit. In der Studie (ISi-S) Sichere Anbindung von lokalen Netzen an das Internet werden dazu umfassende Empfehlungen gegeben. So sollten zum Beispiel alle Komponenten über separate Management-Schnittstellen verfügen oder zumindest über verschlüsselte Protokolle administrierbar sein. Wichtig ist auch, dass die Paketfilter komplexe Regelwerke anwenden können, um den möglichen Datenverkehr bestmöglich einzuschränken, sowie dass das Application-Level Gateway nur Daten passieren lässt, die es auch auf Anwendungsschicht untersuchen kann. Um den Bedürfnissen möglichst vielfältiger Einsatzszenarien gerecht zu werden, ist das Lösungskonzept flexibel anpassbar an die Größe und Komplexität der LAN-Infrastruktur, an die Anzahl und Art der zu unterstützenden Dienste sowie an den individuellen Schutzbedarf der Daten und Anwendungen in den unterschiedlichen Sicherheitszonen. Dazu enthält ISi-LANA neben der Grundarchitektur für normalen Schutzbedarf verschiedene Architektur- und Konfigurationsvarianten: einerseits Varianten für kleine, unkritische IT-Infrastrukturen, die sich mit reduziertem Aufwand realisieren lassen, und andererseits Varianten, die durch ergänzende Maßnahmen oder modulare Erweiterungen auch hohem Schutzbedarf gerecht werden. 1.2 Einführung und Überblick Das Internet hat seinen Ursprung in einem überschaubaren, weitgehend geschlossenen Netz, das anfangs nur einige wenige Forschungseinrichtungen miteinander verband. In seinen Anfängen konnten die angeschlossenen Teilnehmer einander im Wesentlichen vertrauen. Ziel der Entwicklung war ein ausfallsicheres Netz. Bei der Konzeption der Internet-Basistechniken spielten andere Sicherheitsaspekte, wie Vertraulichkeit und Integrität, hingegen nur eine untergeordnete Rolle. Durch die Öffnung des Netzes, seine erdumspannende geografische Ausweitung und seine enorm gestiegene wirtschaftliche Bedeutung hat sich die Bedrohungslage jedoch grundlegend geändert. Einerseits sind die Internet-Nutzer in zunehmendem Maße von der Verfügbarkeit der Internet-Nutzung abhängig, andererseits sehen sie sich durch den Anschluss an das Internet stetig wachsenden Bedrohungen ausgesetzt Anwendungsszenarien für internetfähige lokale Netze Angesichts der Bedrohung kann man mit Recht fragen, warum sich der Betreiber eines lokalen Netzes (Local Area Network, LAN) überhaupt auf eine Anbindung an das Internet einlassen sollte. Zu den wichtigsten Anwendungen, die das Internet ermöglicht, zählen: Bereitstellung eines ortsunabhängigen Zugangs für Außendienstmitarbeiter (Remote Access) Das Internet bietet ein engmaschiges Netz von Zugangspunkten, die es weltweit ermöglichen, mit geringem technischen Aufwand und zu moderaten Kosten eine leistungsfähige Daten- oder Sprachverbindung zu unterschiedlichsten Diensten am Heimatstandort aufzunehmen. Standort-übergreifende LAN-Kopplung (Virtuelles Privates Netz, VPN) Das Internet ermöglicht es, geografisch getrennte LAN-Segmente zu einem logischen Netz zusammenzuschließen, ohne dass dafür eigene Verbindungsleitungen geschaltet werden müssen. Durch die gemeinschaftliche Nutzung der paketvermittelnden IP-Infrastruktur sind solche Ver- 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe bindungen - verglichen mit klassischen, leitungsvermittelnden Netzen wie etwa dem ISDN - aufgrund der guten Auslastung des Netzes besonders preiswert realisierbar. Zugriff auf die globalen Datenbestände des Internets (World Wide Web, WWW) Das Internet ist im Begriff, herkömmliche Nachschlagewerke als bevorzugte Wissensquelle abzulösen. Die Suchmaschinen des WWW liefern einen schnellen und bequemen Zugriff auf unterschiedlichste Informationen und Dienste. Teilhabe an elektronischer Korrespondenz ( ) In Wirtschaft, Verwaltung und Forschung erweist sich gegenüber der Brief-Korrespondenz als bevorzugtes Kommunikationsmittel. ist schneller, weniger förmlich und in der Lage, multimediale Inhalte direkt von Rechner zu Rechner zu transferieren. Datenaustausch mit Geschäftspartnern und Behörden Das Internet ermöglicht die Schaffung von Ad-hoc-Verbindungen zwischen beliebigen Teilnehmern. Dabei bilden die Protokolle der TCP/IP-Familie die weltweite Grundlage der Computer- Netze. Sie ermöglichen einen universellen, medienbruchfreien Datenaustausch zwischen unterschiedlichsten Internet-Teilnehmern. All diese Anwendungsmöglichkeiten machen deutlich, wie sehr das Internet inzwischen die Geschäftsabläufe durchdrungen hat. Es ist daher in vielen Bereichen selbstverständlich geworden, die lokale IT-Infrastruktur zum Internet hin zu öffnen Grundlagen des sicheren Netzbetriebs Bis heute beruht der Datenaustausch im Internet ganz wesentlich auf den Kommunikationsprotokollen und Diensten der Anfangszeit. Deren Sicherheitseigenschaften sind jedoch für die heutige Bedrohungslage nicht mehr ausreichend: Der sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet erfordert zwingend ergänzende technische und organisatorische Vorkehrungen. Grundlegende Netzprotokolle Praktisch alle Internet-Kommunikation baut auf dem Internet-Protokoll IP auf. Dieses stellt nur Mechanismen zur Adressierung (IP-Adressen) und grundlegende Mechanismen zur Steuerung der Paketvermittlung bereit. Auf IP bauen die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) auf, die ihrerseits Grundlage für die diversen Protokolle wie HTTP oder SMTP sind, die von den verschiedenen Anwendungen genutzt werden. Die Bedeutung der IP-Protokollfamilie reicht aber weit über die Übertragung von Dateien zwischen Rechnern hinaus: auch Sprache (z. B. Internet-Telefonie) und multimediale Inhalte (z. B. Internet-TV) werden in zunehmendem Maße über eine einheitliche IP-Infrastruktur übertragen. Ein weiteres grundlegendes Protokoll ist das Internet Control Message Protocol ICMP, das Funktionen zur Steuerung des Datenflusses zur Verfügung stellt. Beispielsweise kann mittels ICMP geprüft werden, ob ein anderer Rechner im Netz erreichbar ist (Ping) oder über welche Zwischenstationen die Pakete zu einem anderen Rechner weitergeleitet werden. Die erwähnten grundlegenden Protokolle bieten keine Funktionen, um die Vertraulichkeit und Integrität der übertragenen Daten zu gewährleisten. Solche Funktionen müssen deswegen von den jeweiligen Anwendungen in ihren eigenen Protokollen implementiert werden. Als Nachfolger der derzeit noch am verbreitetsten eingesetzten IP Version 4 ist bereits seit längerem die Protokollversion 6 (IPv6) verfügbar. IPv6 stellt im Gegensatz zur Vorgängerversion Mechanismen zur Authentisierung und Verschlüsselung bereit, mit denen die Sicherheit der Daten- Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet übertragung einheitlich auf der Netzschicht verbessert werden kann. Die Verbreitung von IPv6 wächst jedoch nur langsam. Grundlegende Dienste Neben den Protokollen gibt es fundamentale Dienste, die für den Betrieb von IP-Netzen unabdingbar sind. Einer der wichtigsten Dienste ist das Domain Name System (DNS). Er sorgt für die Umsetzung alphanumerischer Namen in die entsprechenden IP-Adressen. Der Dienst DNS bildet einen hierarchischen Namensraum, der von DNS-Servern verwaltet wird. Der Namensraum ist in Zonen aufgeteilt. Jede Zone bildet einen unabhängigen Administrationsbereich mit einem verantwortlichen Name Server (DNS Primary). Der verantwortliche DNS Primary gibt an nachgeordnete Server DNS-Informationen mit beschränkter Gültigkeitsdauer (Time to Live, TTL) weiter. Diese hierarchisch gestaffelten Server puffern DNS-Datensätze. Kann ein Server die Anfrage eines Clients nicht lokal auflösen, leitet er die Anfrage an übergeordnete DNS-Server weiter. Das DNS-Protokoll ist ungesichert. DNS-Informationen werden offen übertragen und können von daher genutzt werden, um z. B. den Kommunikationsaufbau zu stören. Es existieren bereits Vorschläge für eine kryptografische Sicherung der DNS-Kommunikation. Hier ist besonders DNS-Security Extensions (DNSSEC) zu erwähnen. Um den Datenaustausch zwischen verschiedenen Routern zu gewährleisten muss der Weg, den ein Datenpaket von der Quelle bis zum Ziel nehmen soll, festgelegt werden. Das bezeichnet man als Routing. Im Internet ist der de-facto-standard für das Routing zwischen verschiedenen IP-Netzen das BGP-Protokoll. Das Border Gateway Protocol Version 4 (BGPv4) dient dem Austausch von Informationen über die Erreichbarkeit von IP-Netzen und Autonomen Systemen. Dies ermöglicht unter anderem die Rekonstruktion der Verbindungstopologie der Autonomen Systeme, die Eliminierung zyklischer Routen, das Aggregieren von Routen sowie die Durchsetzung spezifischer Routing- Strategien für ein Autonomes System. Router und Switches müssen auch administriert und überwacht werden. Dafür gibt es verschiedene Protokolle wie Telnet und SNMP (Simple Network Management Protocol), die jedoch nur teilweise Mechanismen zur sicheren Authentisierung bereitstellen. Auch hier gibt es inzwischen Alternativen, die Verschlüsselung und eine bessere Authentisierung bieten, z. B. SNMPv3, SSH (Secure Shell), SFTP (SSH File Transfer Protocol). Ein weiterer grundlegender Dienst im Netz ist das Network Time Protocol (NTP). Dieses Protokoll dient der Synchronisation von Rechnern in IP-Netzen. Das Protokoll basiert auf einer Hierarchie von Zeitservern; die ranghöchsten Server nutzen in der Regel eine hochgenaue externe Zeitquelle (z. B. DCF77). NTP-Clients passen ihre lokale Uhr in Phase und Frequenz an die Synchronisationssignale des Servers an. Grundlegende LAN-Technologien Im Bereich der lokalen Netze ist Ethernet die vorherrschende Technologie, die konkurrierende Übertragungstechniken (z. B. FDDI, ATM, Token Ring) weitgehend verdrängt hat. Nach dem ursprünglichen Funktionsprinzip von Ethernet senden Teilnehmer ihre Datenpakete über ein gemeinsames Busmedium. Der Bus bildet eine sogenannte Kollisionsdomäne, denn gleichzeitiges Senden mehrerer Busteilnehmer verursacht Signalüberlagerungen ( Kollisionen ). Solche Kollisionen werden in Kauf genommen. Nachteil ist, dass alle Nachrichten innerhalb sogenannter Kollisionsdomänen von jedermann u. a. mitprotokolliert werden können. Durch den Einsatz moderner Netzkoppelelemente und einer geeigneten LAN-Architektur können diese Schwächen deutlich gemildert werden. Sogenannte Switched Ethernet ermöglichen gegenüber klassischen Bus-Netzen 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe eine wesentlich bessere Kontrolle der Netzzugänge und der logischen Netzsegmentierung. Dies bietet eine Grundlage für den sicheren Netzbetrieb, die sich auf der Ebene der Internet-Schicht durch physische Segmentierung des LANs in mehrere Teilnetze weiter ausbauen lässt. All diese Maßnahmen reduzieren die Angriffsfläche des Netzes, sie begrenzen zudem im Falle eines geglückten Angriffs zumindest das Ausmaß des eintretenden Schadens. Basis für sichere IT-Anwendungen Die Grundlage für den sichere Betrieb eines lokalen Netzes mit Anschluss an das Internet bildet eine zuverlässige Basistechnik. Da die grundlegenden Internet- und LAN-Technologien aber nicht von sich aus über ausreichende Sicherungsmechanismen verfügen, müssen lokale Netze von Grund auf speziell für einen sicheren Betrieb im Internet ausgelegt werden, was die Auswahl, Anordnung und Konfiguration ihrer IT-Komponenten betrifft. Erst durch Absicherung der unteren drei Schichten des TCP/IP-Referenzmodells können Schutzmechanismen auf Anwendungsebene nicht dadurch umgangen werden, indem der Angreifer Schwachstellen der tiefer liegenden Protokollschichten ausnutzt. 1.3 Wesentliche Ergebnisse der Gefährdungsanalyse Die im Internet gebräuchlichen Basistechniken sind für verschiedene grundlegende Bedrohungen empfänglich: Sniffing, Spoofing, Hacking und Denial of Service. Sniffing (Bedrohung der Vertraulichkeit) Sniffing (englisch für schnüffeln ) bezeichnet Techniken, um den Datenverkehr eines Computer- Netzes unautorisiert auszuspähen und sich unrechtmäßig Zugriff auf vertrauliche Informationen zu verschaffen. Sniffing bedroht die Vertraulichkeit der Informationsverarbeitung. Es kann auch der Informationsbeschaffung für weitergehende Angriffe dienen, etwa zum Ausspähen von Passwörtern. Ein typisches Beispiel für eine Sniffing-Attacke ist das sogenannte MAC Flooding. Bei diesem Angriff überhäuft der Angreifer einen Switch mit immer neuen MAC-Adressen, bis schließlich dessen Adresstabelle überläuft und der Switch in einen Notbetrieb-Modus (Failopen Mode) wechselt. In dieser Betriebsart sendet er alle eintreffenden Nachrichten an alle angeschlossenen Teilnehmer-Anschlüsse, da für eine genaue Zuordnung von Adresse zu Anschluss der Speicherplatz nicht ausreicht. Der Angreifer kann also an seinem Anschluss sämtlichen Datenverkehr mitlesen, der über diesen Switch läuft. Die elementare Schutzmaßnahme gegen alle Arten von Sniffing-Angriffen ist die Verschlüsselung aller sicherheitsrelevanten Protokolle und Anwendungsdaten. Die grundlegenden Internet-Protokolle (z. B. IPv4, UDP, TCP, ICMP) und Basisdienste (z. B. DNS, Telnet, FTP) senden die übertragenen Daten jedoch unverschlüsselt. Neue Protokollversionen, wie etwa IPv6 und SNMPv3, bieten inzwischen verschlüsselte Kommunikation. Sie setzen sich aber nur allmählich gegen etablierte, unsichere Protokoll-Varianten durch. Noch immer mangelt es auch an weithin verfügbaren Public-Key-Infrastrukturen, die es den Internet-Nutzern in bequemer Weise ermöglichen würden, verschlüsselte Verbindungen mit beliebigen Kommunikationspartnern aufzubauen. Daher bleibt Sniffing auf absehbare Zeit eine ernste Bedrohung für die Internet-Sicherheit. Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Spoofing (Bedrohung der Integrität/Authentizität) Spoofing (englisch für manipulieren, verschleiern, vortäuschen ) nennt man in der Informationstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben. MAC Spoofing und ARP Spoofing sind typische Angriffsvarianten. Hierbei versucht der Angreifer, die Zuordnung zwischen Zugangs-Port am Switch und MAC-Adresse beziehungsweise zwischen IP-Adresse und MAC-Adresse so zu manipulieren, dass er mit seinem Rechner die Identität eines fremden Endgeräts im Netz annehmen kann. Die Folge ist, dass der eigentlich für ein fremdes Endgerät bestimmte Datenverkehr auf den Rechner des Angreifers umgeleitet wird. Ebenso ermöglicht ein solcher Angriff, beliebige Daten unter einer fremden Identität zu verbreiten. Ein ähnlicher Angriff ist auch auf Anwendungsebene möglich. Beim sogenannten DNS Spoofing manipuliert der Angreifer die Zuordnung zwischen Domain-Namen und IP-Adressen, zum Beispiel in dem Bestreben, seinen Angriffsrechner als ein Portal für Online-Banking auszugeben. Gelingt der Angriff, so kann der Angreifer Bank-Transaktionen entgegennehmen, die darin enthaltenen Zugangs-Passwörter, PINs und TANs ausspähen und versuchen, mit diesen Informationen fremde Konten zu plündern. Die grundlegende Maßnahme gegen Spoofing-Angriffe besteht in der Verwendung integritätsgesicherter Protokolle und in der Authentisierung von Benutzern, Diensten und Hardware-Komponenten. Derzeit identifizieren sich die Kommunikationspartner bei den grundlegenden Internet-Protokollen meist nur anhand ihrer Geräte- oder IP-Adressen. Diese Angaben sind jedoch leicht fälschbar und daher für eine sichere Authentisierung ungeeignet. Erst der Einsatz starker Kryptografie ermöglicht in einem offenen Netz den verlässlichen Nachweis der Urheberschaft und der Unversehrtheit empfangener Daten. Neuere Protokoll-Versionen verfügen zunehmend über kryptografische Prüfcodes. Allerdings verwenden viele Geräte in der Standardeinstellung noch die unsicheren älteren Protokoll-Versionen bei der ersten Inbetriebnahme. Hacking (Bedrohung durch Eindringen) Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein IT-System einzudringen, seine Schwächen offen zu legen und es gegebenenfalls zu übernehmen. Hacking bedroht die Systemhoheit des Netzbetreibers. Die grundlegende Maßnahme gegen Hacking besteht darin, die Angriffsfläche zu minimieren. Was aber genau die Angriffsfläche eines IT-Systems ausmacht, ist im Einzelnen schwer vorhersehbar, da sich Angreifer jedwede Schwachstelle in oft überraschender Weise zunutze machen können. Als vorbeugende Maßnahme empfiehlt sich in jedem Fall eine physische Segmentierung der IT-Infrastruktur, die Filterung der Datenpakete an einem mehrstufigen Sicherheits-Gateway sowie eine strenge Zugriffskontrolle. Wichtig ist auch der Schutz des lokalen Netzes gegen Innentäter: Sollte es einem Angreifer tatsächlich gelingen, in das lokale Netz einzudringen und dort einen Rechner zu unterwandern, so begrenzt ein solcher Schutz den Aktionsradius des Angreifers. Sniffing und Spoofing (z. B. das Abhören oder Erschleichen von Passwörtern) sind häufig genutzte Techniken zur Vorbereitung und Durchführung komplexer Hacking-Angriffe. Da die geläufigen Protokolle und Dienste im Internet dem Ausspähen und Täuschen nur wenig Widerstand entgegensetzen, bieten sie ohne zusätzliche Sicherheitsvorkehrungen auch nur geringen Schutz vor einem Eindringling. 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Denial of Service (Bedrohung der Verfügbarkeit) Denial of Service (DoS) bezeichnet einen Zustand, in dem ein System den Dienst verweigert, also nicht mehr verfügbar ist. DoS-Angriff ist der Sammelbegriff für Angriffe, die darauf abzielen, die Verfügbarkeit von Systemen bewusst zu schädigen. Dies kann durch mutwillig erzeugte Rechen-, Speicher- oder Kommunikationslasten erreicht werden oder, indem Schwachstellen in Software oder Hardware genutzt werden, um einen Rechner gezielt zum Absturz zu bringen. Um entsprechende Lasten zu generieren, gehen solche Angriffe meist ferngesteuert und koordiniert von einer sehr großen Zahl von Angriffsrechnern aus; man spricht in diesem Falle von verteilten DoS-Angriffen (Distributed DoS, DDoS). Eine typische Angriffsstrategie besteht darin, mittels eines Broadcasts eine ganze Lawine von Antwort-Nachrichten auszulösen, die die Verarbeitungskapazitäten des Empfängers übersteigen. Beim sogenannten Smurf Attack sendet der Angreifer zum Beispiel eine ICMP-Anfrage unter der gefälschten Absender-Adresse seines Opfers als Broadcast an viele Rechner. Alle Empfänger erwidern den Broadcast mit einer ICMP-Antwort, und die geballte Menge der zeitgleichen Antworten zwingt den Opferrechner in die Knie. In ähnlicher Weise kann ein DNS-Server dazu gebracht werden, eine Kaskade rekursiver DNS-Anfragen auszulösen, um die Namensauflösung im Internet gezielt zu beeinträchtigen (DNS Amplification Attack). Die Funktionsweise des Internets begünstigt solche Überlastungsangriffe: Das Internet basiert auf der Paketvermittlung. Datenpakete verschiedener Kommunikationsverbindungen teilen sich die einzelnen Abschnitte der Übertragungsstrecken. Anders als in einem klassischen, leitungsvermittelnden Netz wie etwa dem Telefonnetz, bei dem für jede Verbindung dauerhaft ein exklusiv genutzter Kommunikationskanal mit fester Bandbreite reserviert wird, haben böswillige Sender es daher relativ leicht, Übertragungseinrichtungen oder Internet-Teilnehmer gezielt mit unerwünschten Datenpaketen zu überlasten. Ein Schutz gegen DoS-Angriffe ist im Internet nur bedingt möglich. Die grundlegende Maßnahme gegen mutwillige Systemabstürze besteht darin, das System in einer Minimalkonfiguration mit möglichst geringer Angriffsfläche zu betreiben und die aktuellen Korrekturen (Patches) der Systemhersteller unverzüglich einzuspielen, um bekannt gewordene Schwachstellen zu eliminieren. Den wichtigsten Schutz gegen Überlastungsversuche bieten ausreichende Leistungsreserven, um einer Attacke so lange zu widerstehen, bis die Quelle des Angriffs auf anderem Wege unschädlich gemacht werden kann. Durch gezieltes Bandbreiten-Management lassen sich die verfügbaren Übertragungskapazitäten so aufteilen, dass den wichtigsten Diensten immer eine definierte Mindestbandbreite zur Verfügung steht, die ihnen nicht von niedriger priorisierten Anwendungen streitig gemacht werden kann. 1.4 Wesentliche Empfehlungen Den Empfehlungen für den Aufbau, die Konfiguration und den Betrieb eines internetfähigen lokalen Netzes liegen folgende Grundprinzipien zugrunde: Funktionstrennung: Unabhängige Funktionen sollten getrennt voneinander realisiert werden ( Ein Server ein Dienst! ). Dies gilt insbesondere für sicherheitsrelevante Funktionen. Die Funktionstrennung reduziert die Komplexität der Gerätekonfiguration und minimiert so die Angriffsfläche und die Last der einzelnen Komponenten. Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Minimalität: Alle Systemkomponenten insbesondere die Komponenten des Sicherheits-Gateways sowie die über das Internet erreichbaren Server sollten minimal konfiguriert sein. Überflüssige Software sollte entfernt, nicht benötigte Gerätefunktionalität sollte deaktiviert werden. Need-to-Know-Prinzip: Systemkomponenten, Anwendungen und Dienste dürfen nur solche Informationen über das LAN und seine Benutzer preisgeben, die für den ordnungsgemäßen Betrieb und die Nutzung der IT-Infrastruktur unverzichtbar sind. Das zugängliche Informationsangebot sollte je nach Rolle und Zugriffsrechten des Benutzers individuell zugeschnitten werden. Whitelisting: Alle Filterregeln in Paketfiltern und Sicherheits-Proxys sollten so formuliert sein, dass Anfragen, die nicht ausdrücklich zugelassen sind, automatisch abgewiesen werden. Beschränkung des Verbindungsaufbaus: Verbindungen dürfen nicht aus dem Internet in das interne Netz aufgebaut werden, es sei denn, dass der Dienst sonst nicht funktioniert (z. B. ). Aktualität: Die eingesetzte Betriebssystem- und Anwendungs-Software sollte immer auf dem neuesten Stand gehalten werden. Verfügbare Patches sollten unverzüglich eingepflegt werden. Auf der Basis dieser Prinzipien ergibt sich die in Abbildung 1.1 dargestellte Grundarchitektur, bestehend aus einem internen Netz, einem vorgelagerten Sicherheits-Gateway, das jegliche Interaktion zwischen Internet und internem Netz auf das unverzichtbare Minimum beschränkt, und der eigentlichen Internet-Anbindung. Abbildung 1.1: Grundarchitektur für normalen Schutzbedarf Empfehlungen zum sicheren Aufbau des internen Netzes Die Basis für eine sichere Internet-Nutzung bildet ein lokales Netz, das auch gegenüber Innentätern widerstandsfähig ist. Ein sicheres lokales Netz begrenzt die Missbrauchsmöglichkeiten eines externen Angreifers, dem es tatsächlich gelungen ist, die äußere Schutzbarriere zu durchbrechen und eine interne Komponente zu unterwandern. Die Abwehr von Innentätern hilft auch zu verhindern, dass interne Nutzer das Netz als Plattform für Internet-Angriffe auf fremde IT-Systeme missbrauchen. Um dies zu erreichen, ist die Grundarchitektur für das interne Netz durch das Prinzip der strikten physischen Segmentierung geprägt: Interne Teilnetze mit unterschiedlichem, gegebenenfalls auch 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe gleich hohem Schutzbedarf (sogenannte Sicherheitszonen) sind durch ein Sicherheits-Gateway voneinander getrennt. Ein internes Sicherheits-Gateway besteht aus mindestens einem Paketfilter. Eine rein logische Segmentierung mittels VLAN-Technik ist für eine sichere Trennung von Sicherheitszonen nicht ausreichend. Jedes nicht-triviale interne Netz ist somit mindestens in zwei Sicherheitszonen untergliedert, ein Client-Segment für Arbeitsplatzrechner und ein Server-Segment für die grundlegenden Dienste zur Unterstützung des Netzbetriebs. Weitere Segmente können ergänzt werden, etwa um Daten und Anwendungen mit hohem Schutzbedarf (z. B. Personaldaten) von der übrigen IT-Infrastruktur abzuschotten. Daten und Anwendungen, die vom Internet aus zugänglich sein sollen, dürfen nicht auf Servern im internen Netz bereitgestellt werden. Sie müssen auf externe Server verlagert werden, die in einer sogenannten Demilitarisierten Zone (DMZ) des Sicherheits-Gateways untergebracht sind und dort sowohl vom Internet als auch vom lokalen Netz aus erreichbar sind. Empfehlungen zur sicheren Anbindung an das Internet Im Kern besteht das Lösungskonzept für eine sichere Anbindung eines lokalen Netzes an das Internet darin, den Datenaustausch zwischen Internet und lokalem Netz durch ein dreistufiges Sicherheits-Gateway zu kontrollieren. Dieses Sicherheits-Gateway besteht aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter (PAP-Struktur). Das PAP-Sicherheits-Gateway darf nicht umgangen werden, jeglicher Datenaustausch zwischen Internet und internem Netz muss das Gateway passieren. Dabei beschränkt das Sicherheits-Gateway eingehenden und ausgehenden Datenverkehr auf die ausdrücklich erwünschten Protokolle und Dienste. Um eine vollständige Kontrolle zu ermöglichen, dürfen verschlüsselte Verbindungen das Sicherheits-Gateway nicht ungeprüft durchtunneln. Die Prüfung erfordert eine Entschlüsselung und gegebenenfalls die Neuverschlüsselung solcher Verbindungen im Sicherheits-Gateway. Nur wenn eine Ende-zu-Ende-Verschlüsselung unabdingbar ist, darf verschlüsselte Kommunikation mit ausgewählten Kommunikationspartnern unkontrolliert durch das Sicherheits-Gateway geschleust werden. Solche Ausnahmen müssen jedoch im Sicherheitskonzept ausdrücklich dokumentiert und begründet werden. Zusätzliche Sicherheitsmaßnahmen müssen dann zudem auf dem internen Client umgesetzt werden. Bei der Internet-Anbindung ist zwischen zwei Kommunikationsrichtungen zu unterscheiden, zum einen dem Nutzen von Internet-Diensten, zum anderen dem Anbieten eigener Dienste im Internet. Während die Kommunikationsverbindung bei der Dienstenutzung auf geradem Weg über die drei Stufen des PAP-Gateways geführt wird, werden externe Zugriffe auf die angebotenen Internet- Dienste auf einem Server in einer DMZ des Sicherheits-Gateways terminiert, um das interne Netz vor direktem Zugriff zu schützen. Die vorgelagerten DMZ-Server können bei Bedarf ihrerseits auf Rechner in nachgelagerten Sicherheitszonen der DMZ zurückgreifen, um ihre Dienste bereitzustellen. Abbildung 1.1 zeigt die Grundarchitektur für normalen Schutzbedarf im Überblick. Beispielhaft für andere Internet-Dienste wird hier ein Web-Anwendungs-Server (WWW AS) in einer hierarchisch geschachtelten DMZ betrieben. Der Anwendungs-Server ist sowohl von innen (über den internen Webserver WWW int. ) als auch aus dem Internet (über den äußeren Webserver WWW in der DMZ) erreichbar. Die Daten der Webanwendung liegen auf einem Datenbank-Server ( WWW DB ), der in einer getrennten Sicherheitszone platziert ist und die Anwendungsdaten von externen wie internen Nutzern verwaltet. Innerer und äußerer Webserver fungieren gewissermaßen als dienst- und benutzergruppenspezifische Proxys für den Web-Anwendungs-Server. Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Ausgehend von der in Abbildung 1.1 dargestellten Grundarchitektur gibt es verschiedene Realisierungsvarianten, die zum Beispiel durch das Zusammenlegen von Servern oder Paketfiltern bei verringertem Hardware-Aufwand einen etwas schwächeren, aber unter Umständen ebenfalls akzeptablen Schutz bieten. Die damit einhergehenden Restrisiken müssen allerdings bewusst getragen werden. Für höheren Schutzbedarf müssen weitergehende Empfehlungen umgesetzt werden, wie zum Beispiel Redundanzmaßnahmen. Eine detaillierte Betrachtung findet sich im zugehörigen ISi-S. Ein wichtiges Sicherheitsmerkmal der Grundarchitektur ist die Verwendung privater Adressen. Im gesamten internen Netz einschließlich des Sicherheits-Gateways werden private IP-Adressen vergeben, die im Internet nicht geroutet werden können. Eine Adressumsetzung (NAT) der extern sichtbaren, öffentlichen IP-Adressen auf interne, private IP-Adressen verbirgt die interne Struktur des Netzes nach außen und verhindert so, dass interne Rechner direkt aus dem Internet angegriffen werden können. Empfehlungen für ein sicheres Netzmanagement Die relevanten Komponenten der Grundarchitektur - Router, Paketfilter, Sicherheits-Proxys und Server - müssen kontinuierlich überwacht und administriert werden. Aus Sicherheitsgründen sollten dazu nur verschlüsselte Netzmanagement-Protokolle verwendet werden. Da aber verschlüsselte Verbindungen das Sicherheits-Gateway aus Sicherheitsgründen nicht ungeprüft durchqueren dürfen, empfiehlt es sich, den gesamten Management-Datenverkehr in einer getrennten Sicherheitszone zu bündeln (Out-of-Band-Management). Abbildung 1.2 zeigt die empfohlene Grundarchitektur für das Netzmanagement. Alle Management- Protokolle (z. B. SNMP, SSH, syslog) werden über eigene Management-Schnittstellen der Komponenten abgewickelt, die über ein separates Netz mit einer zentralen Management-Station verbunden sind. Oft ermöglicht das Betriebssystem einer Komponente eine vollständige Entkopplung der Nutzdaten-Schnittstellen von den Management-Schnittstellen. Die Management-Station dient zugleich dazu, alle Systemkomponenten mittels Network Time Protocol (NTP) zu synchronisieren. Als IT-unabhängige Referenzzeitquelle dient ein DCF77-Empfangsmodul. Die Grundarchitektur sieht vor, die Management-Zone aus Sicherheitsgründen durch Paketfilter in getrennte Teilsegmente zu untergliedern. Auch hier sind vereinfachte Realisierungsvarianten mit reduziertem Hardware-Aufwand und erhöhtem Restrisiko denkbar. Für Anwendungsszenarien mit hohem Schutzbedarf kann es sinnvoll sein, auf eine Zusammenführung der Management-Segmente in einer zentralen Management-Station zu verzichten und statt dessen physisch getrennte Management-Stationen pro Teilsegment vorzusehen. Eine solche dezentrale Lösung hat spezifische Vorteile, bringt aber auch einige Sicherheitsnachteile mit sich, die genau abzuwägen sind. 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe Abbildung 1.2: Grundarchitektur mit Management- und Überwachungsmodul 1.5 Fazit ISi-LANA behandelt die Grundlagen des sicheren LAN-Betriebs mit Internet-Anbindung, adressiert also vornehmlich die drei unteren Protokollschichten des TCP/IP-Referenzmodells: Netzzugangsschicht, Internet-Schicht und Transportschicht. Folgt der Anwender den Empfehlungen und wendet sie sinngemäß auch auf erweiterte Netzarchitekturen an, so hat er was die unteren drei Schichten des TCP/IP-Referenzmodells betrifft das nötige getan, um bei Bedarf selbst hohen Schutzanforderungen zu genügen. Sicherheitsaspekte der Anwendungsschicht erfordern naturgemäß eine anwendungsspezifische Betrachtung und gehen daher über die hier behandelten Grundlagen hinaus. Solch weitergehenden Betrachtungen sind die spezialisierten Module der ISi-Reihe gewidmet, die gezielt auf die anwendungsabhängigen Besonderheiten beim Einsatz bestimmter Sicherheitstechniken und häufig verwendeter Internet-Dienste eingehen. Schutzmaßnahmen auf der Anwendungsschicht können allerdings nur erfolgreich sein, wenn sie nicht durch Angriffe auf darunter liegenden Schichten unterlaufen werden können. Mit seinen Empfehlungen zum sicheren Einsatz der Basistechniken schafft das Modul ISi-LANA die notwendigen Grundlagen für ein durchgängiges Sicherheitskonzept. Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet 2 Glossar Angriff (engl. attack) Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einen Dritten zu schädigen. Angreifer können auch im Auftrag von Dritten handeln, die sich Vorteile verschaffen wollen. Anwendungsschicht (engl. application layer) Die Anwendungsschicht ist die oberste Schicht im TCP/IP-Referenzmodell. Sie umfasst alle Protokolle, die von Anwendungsprogrammen, z. B. Browser oder -Client, verarbeitet und für den Austausch anwendungsspezifischer Daten genutzt werden. Beispiele für Protokolle der Anwendungsschicht sind das Hypertext Transfer Protocol (HTTP) oder das Simple Mail Transfer Protocol (SMTP). Authentisierung (engl. authentication) Unter einer Authentisierung versteht man die Vorlage eines Nachweises eines Kommunikationspartners, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Authentizität (engl. authenticity) Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen. Bedrohung (engl. threat) Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen bedrohen kann, wodurch dem Besitzer der Informationen ein Schaden entsteht. Betriebssystem (engl. operating system) Das Betriebssystem ist ein Steuerungsprogramm, das die Verwendung eines Computers ermöglicht. Der Benutzer kann somit seine Dateien verwalten, angeschlossene Geräte (z. B. Drucker, Festplatte) kontrollieren oder Programme starten. Weit verbreitet sind z. B. Windows, Linux oder MacOS. Client [engl.] Als Client wird Soft- oder Hardware bezeichnet, die bestimmte Dienste von einem Server in Anspruch nehmen kann. Häufig steht der Begriff Client für einen Arbeitsplatzrechner, der in einem Netz auf Daten und Programme eines Servers zugreift. 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe DDoS (Distributed Denial of Service [engl.]) Ein koordinierter DoS Angriff auf die Verfügbarkeit von IT mittels einer größeren Anzahl von angreifenden Systemen. Diensteanbieter (engl. provider) Anbieter von Tele- oder Mediendiensten. Die Gewerblichkeit des Angebots ist nicht Voraussetzung der Einordnung. DMZ (Demilitarisierte Zone) Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen, noch zu dem anderen Netz gehört. Sie stellt ein Netz dar, das weniger stark gesichert, aber vom äußeren Netz aus besser erreichbar ist als das eigentlich zu schützende interne Netz. Die DMZ dient der Schaffung eines zusätzlichen Sicherheitsbereichs für Dienste (z. B. , Web) oder Proxys, die von externen Netzen aus nutzbar sein sollen, aber aus Sicherheitsgründen nicht im internen Netz platziert werden dürfen. DNS (Domain Name System [engl.]) Das Domain Name System übersetzt alphanumerische Adressnamen (z. B. in numerische Adressen (z. B ). Auch eine Übersetzung in die umgekehrte Richtung ist mit dem DNS möglich. Alphanumerische Namen für Rechner sind für die Benutzer einfach zu behalten und einzugeben. Da allerdings IPv4 und IPv6 Adressen in numerischer Form verlangen, ist eine Adressumsetzung durch das DNS notwendig. DoS (Denial of Service [engl.]) Angriffe, mit dem Ziel, die Verfügbarkeit von IT zu schädigen. FTP (File Transfer Protocol [engl.]) Das File Transfer Protocol umfasst Funktionen, mit denen man Dateien auf einfache Weise zwischen zwei Rechnern austauschen kann. Gefährdung Eine Gefährdung ist eine Bedrohung, die konkret auf ein Objekt über eine Schwachstelle einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. Nach der oben gegebenen Definition lässt sich feststellen, dass alle Anwender prinzipiell durch Computer-Viren im Internet bedroht sind. Der Anwender, der eine virenbefallene Datei herunterlädt, wird von dem Computer-Virus gefährdet, wenn sein Computer anfällig für diesen Typ Computer-Virus ist. Für Anwender mit einem wirksamen Schutzprogramm, einer Konfiguration, die das Funktionieren des Computer-Virus verhindert, oder einem Betriebssystem, das den Virencode nicht ausführen kann, bedeutet das geladene Schadprogramm hingegen keine Gefährdung. Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Hacking [engl.] Hacking bezeichnet im Kontext von Informationssicherheit Angriffe, die darauf abzielen, vorhandene Sicherheitsmechanismen zu überwinden, um in ein System IT-System einzudringen, seine Schwächen offen zulegen und es gegebenenfalls - bei unethischem Hacking - zu übernehmen. HTTP (Hypertext Transfer Protocol [engl.]) Das Hypertext Transfer Protocol dient zur Übertragung von Daten - meist Webseiten - zwischen einem HTTP-Server und einem HTTP-Client, also z. B. einem Browser. Die Daten werden über Uniform Resource Locators (URL) eindeutig bezeichnet. URLs werden meist in der Form Protokoll://Rechner/Pfad/Datei angegeben. Protokoll steht dabei für Protokolle der Anwendungsschicht, Rechner für den Namen oder die Adresse des Servers und der Pfad der Datei gibt den genauen Ort der Datei auf dem Server an. Ein Beispiel für eine URL ist ICMP (Internet Control Message Protocol [engl.]) Das Internet Control Message Protocol transportiert Fehler- und Diagnoseinformationen für IPv4 und in der erneuerten Version auch für IPv6. Es wird intern von TCP, UDP und den beiden IP-Protokollen genutzt und kommt z. B. zum Einsatz, wenn Datenpakete nicht ausgeliefert werden können, ein Gateway Datenverkehr über eine kürzere Route leitet oder ein Gateway nicht genügend Pufferkapazität für die zu verarbeitenden Daten besitzt. Informationssicherheit (engl. information security) Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist umfassender und wird daher zunehmend verwendet. Integrität (engl. integrity) Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. Integrität ist ein Grundwert der IT-Sicherheit. IP (Internet Protocol [engl.]) Verbindungsloses Protokoll der Internet-Schicht im TCP/IP-Referenzmodell. Ein IP-Header enthält in der Version IPv4 u. a. zwei 32-Bit-Nummern (IP-Adressen) für Ziel und Quelle der kommunizierenden Rechner. 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-L Sichere Anbindung von lokalen Netzen an das Internet ISi-Reihe IPv4 (Internet Protocol Version 4 [engl.]) Das Internet Protocol Version 4 ist ein verbindungsloses Protokoll der Vermittlungsschicht und erlaubt den Austausch von Daten zwischen zwei Rechnern ohne vorherigen Verbindungsaufbau. IPv4 setzt nicht voraus, dass das darunterliegende Netz Fehlererkennung ausführt. Ferner verfügt es über keine Verlässlichkeits- oder Flusssteuerungsmechanismen. Die meisten dieser Probleme gibt IPv4 an die nächsthöhere Schicht (die Transportschicht) weiter. IPv6 (Internet Protocol Version 6 [engl.]) Das Internet Protocol Version 6 ist die Nachfolgeversion von IPv4 und soll dieses ablösen, da es u. a. die Zahl der verfügbaren Rechneradressen stark erweitert und Maßnahmen zum Schutz der übertragenen Daten vor dem Verlust der Vertraulichkeit, der Integrität und der Authentizität umfasst. Die Sicherungsmaßnahmen sind unter dem Namen "IPSec" zusammengefasst. IPSec definiert Sicherungsdienste, die durch zwei zusätzliche Header, den "IP Authentication Header" (AH) und den Header "IP Encapsulating Security Payload" (ESP) realisiert werden. Mithilfe der Header können unterschiedliche kryptografische Algorithmen eingebunden werden. IPSec erlaubt die Integration der Header in Datagramme des IPv4 sowie des IPv6. AH- und ESP-Header können einzeln oder gemeinsam in einem IP-Datagramm auftreten. Die Sicherheitsmechanismen schützen IPv4/IPv6 und die darüberliegenden Protokolle. Kryptografie Mathematisches Fachgebiet, das sich mit Methoden zum Schutz von Informationen befasst (u. a. mit Vertraulichkeit, Integrität und Authentizität von Daten). NAT (Network Address Translation [engl.]) Network Address Translation (NAT) bezeichnet ein Verfahren zum automatischen und transparenten Ersetzen von Adressinformationen in Datenpaketen. NAT-Verfahren kommen meist auf Routern und Sicherheits-Gateways zum Einsatz, vor allem, um den beschränkten IPv4-Adressraum möglichst effizient zu nutzen und um lokale IP-Adressen gegenüber öffentlichen Netzen zu verbergen. Paketfilter (engl. packet filter) Paketfilter sind IT-Systeme mit spezieller Software, die den ein- und ausgehenden Datenverkehr anhand spezieller Regeln filtern. Ihre Aufgabe ist es, Datenpakete anhand der Informationen in den Header-Daten der IP- und Transportschicht (z. B. Quell- und Ziel-Adresse, -Portnummer, TCP- Flags) weiterzuleiten oder zu verwerfen. Der Inhalt des Pakets bleibt dabei unberücksichtigt. Passwort Geheimes Kennwort, das Daten, Rechner, Programme u. a. vor unerlaubtem Zugriff schützt. Patch [engl.] Ein Patch (vom englischen "patch", auf deutsch: Flicken) ist ein kleines Programm, das Software- Fehler wie z. B. Sicherheitslücken in Anwendungsprogrammen oder Betriebssystemen behebt. Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-L Sichere Anbindung von lokalen Netzen an das Internet Protokoll (engl. protocol) Beschreibung (Spezifikation) des Datenformats für die Kommunikation zwischen elektronischen Geräten. Proxy [engl.] Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten. Restrisiko (engl. residual risk) Risiko, das grundsätzlich bleibt, auch wenn Maßnahmen zum Schutz des IT-Einsatzes ergriffen worden sind. Router [engl.] Ein (IP-)Router ist ein Vermittlungsrechner, der Netze auf IP-Ebene koppelt und Wegewahlentscheidungen anhand von IP-Protokollschicht-Informationen trifft. Router trennen Netze auf der Netzzugangsschicht und begrenzen daher die Broadcast-Domäne eines Ethernets. Schutzbedarf (engl. protection requirements) Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist. Schwachstelle (engl. vulnerability) Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ursachen können in der Konzeption, den verwendeten Algorithmen, der Implementation, der Konfiguration, dem Betrieb sowie der Organisation liegen. Eine Schwachstelle kann dazu führen, dass eine Bedrohung wirksam wird und eine Institution oder ein System geschädigt wird. Durch eine Schwachstelle wird ein Objekt (eine Institution oder ein System) anfällig für Bedrohungen. Server [engl.] Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Weboder server. Sicherheits-Gateway Ein Sicherheits-Gateway (oft auch Firewall genannt) gewährleistet die sichere Kopplung von IP- Netzen durch Einschränkung der technisch möglichen auf die in einer IT-Sicherheitsleitlinie als ordnungsgemäß definierte Kommunikation. Sicherheit bei der Netzkopplung bedeutet hierbei im Wesentlichen, dass ausschließlich erwünschte Zugriffe oder Datenströme zwischen verschiedenen Netzen zugelassen und die übertragenen Daten kontrolliert werden. Ein Sicherheits-Gateway für normalen Schutzbedarf besteht im Allgemeinen aus mehreren, in Reihe geschalteten Filterkomponenten. Dabei ist zwischen Paketfilter und Application-Level Gateway (ALG) zu unterscheiden. 20 Bundesamt für Sicherheit in der Informationstechnik

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server)

Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) Sicherer Betrieb von E-Mail-Servern (ISi-Mail-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0 ISi-Reihe ISi-L Sicherer Betrieb von E-Mail-Servern Vervielfältigung und Verbreitung Bitte

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2009: Gefährdungen der IT-Sicherheit 5.1 Beispiele für Bedrohungen der IT-Sicherheit Aufgabe: Die mehrseitige IT-Sicherheit bestimmt sich anhand

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

Sicheres Bereitstellen von Web-Angeboten (ISi-Web) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Sicheres Bereitstellen von Web-Angeboten (ISi-Web) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Sicheres Bereitstellen von Web-Angeboten (ISi-Web) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) ISi-Reihe ISi-L Sicheres Bereitstellen von Web-Angeboten Vervielfältigung und Verbreitung Bitte beachten

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14

Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 BSI-Checkliste zur Internet-Sicherheit (ISi-Check) Version 1.0 ISi-Reihe ISi-Check Sicherer Betrieb von E-Mail-Servern mit Sendmail 8.14 Vervielfältigung

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1 Telekommunikationsnetze 2 Breitband ISDN Lokale Netze Internet Martin Werner WS 2009/10 Martin Werner, November 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius Exploration des Internets der systemorientierte Ansatz Aktivierender Unterricht mit der Lernsoftware Filius Dr. Stefan Freischlad 26.03.2012 1 Agenda 1.Unterricht zu Internetworking 2.Einführung zur Konzeption

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen

BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Kurztest zur Einschätzung der eigenen BSI-Leitfaden Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen Teil 3: Kurztest zur Einschätzung der eigenen Bedrohungslage Änderungshistorie Datum Änderung.01.007 Version

Mehr

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Sicherer Fernzugriff auf das interne Netz (ISi-Fern) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) ISi-Reihe ISi-L Sicherer Fernzugriff auf das interne Netz Vervielfältigung und Verbreitung Bitte beachten

Mehr

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009 DNS-Baustein, BSc Grundschutztag Bochum 19. November 2009 2 Zu meiner Person Thomas Ledermueller, BSc Masterstudium Sichere Informationssysteme (FHOOE/Campus Hagenberg) KPMG Financial Advisory Services

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit

Die Top 10 Gebote. der industriellen Datenkommunikation für mehr IT-Sicherheit Die Top 10 Gebote der industriellen Datenkommunikation für mehr IT-Sicherheit 1. Gebot Sei einzigartig! Passwörter dienen dazu, jemanden zuverlässig zu identifizieren. Sehr kritisch und hoch bedroht sind

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Internet und WWW Übungen

Internet und WWW Übungen Internet und WWW Übungen 6 Rechnernetze und Datenübertragung [WEB6] Rolf Dornberger 1 06-11-07 6 Rechnernetze und Datenübertragung Aufgaben: 1. Begriffe 2. IP-Adressen 3. Rechnernetze und Datenübertragung

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Chapter 11 TCP. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 11 TCP. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 11 TCP CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Lösungen zu Kontrollfragen: Internet

Lösungen zu Kontrollfragen: Internet Lösungen zu Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. World Wide Web E-Mail News File Transfer Telnet/Secure Shell Domain Name Service 2. Was ist eine virtuelle Verbindung?

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Basisinformationstechnologie I

Basisinformationstechnologie I Basisinformationstechnologie I Sommersemester 2013 24. April 2013 Rechnerkommunikation II Universität zu Köln. Historisch-Kulturwissenschaftliche Informationsverarbeitung Jan G. Wieners // jan.wieners@uni-koeln.de

Mehr

Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L)

Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Absicherung eines Servers (ISi-Server) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

TCP/IP. Datenübertragungsschicht Netzwerkschicht Anwendungsschicht

TCP/IP. Datenübertragungsschicht Netzwerkschicht Anwendungsschicht TCP/IP Datenübertragungsschicht Netzwerkschicht Anwendungsschicht 1 Schichtenmodell Schichtenmodell der Internet- Protokollsuite Ziel: Kommunikation unterschiedlicher Rechner mit verschiedenen Betriebssystemen

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sichere Nutzung von E-Mail (ISi-Mail-Client)

Sichere Nutzung von E-Mail (ISi-Mail-Client) Sichere Nutzung von E-Mail (ISi-Mail-Client) BSI-Leitlinie zur Internet-Sicherheit (ISi-L) Version 1.0 ISi-Reihe ISi-S Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte beachten Sie, dass

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Managed VPS Linux Erläuterungen zur Firewall

Managed VPS Linux Erläuterungen zur Firewall Managed VPS Linux Erläuterungen zur Firewall Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 2 ZWEI OPTIONEN ZUM EINRICHTEN EINER FIREWALL 4 2.1 Überblick über das kommandozeilenbasierte Utility iptables

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Rechnernetze und Organisation

Rechnernetze und Organisation Assignment A3 Präsentation 1 Motivation Übersicht Netzwerke und Protokolle Aufgabenstellung: Netzwerk-Protolkoll-Analysator 2 Protokoll-Analyzer Wireshark (Opensource-Tool) Motivation Sniffen von Netzwerk-Traffic

Mehr

Verschlüsselung des E-Mail-Transports

Verschlüsselung des E-Mail-Transports Verschlüsselung des E-Mail-Transports Whitepaper Version 1.1 Datum 2009-06-08 Vorwort Auf Initiative einiger deutscher Automobilhersteller wurde begonnen, eine Whitepaper-Reihe E-Mail-Sicherheit zu erstellen.

Mehr

Lektion V Datensicherheit im Unternehmen

Lektion V Datensicherheit im Unternehmen Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ

Mehr

Wie funktioniert ein Internetprovider. Michael Stiller

Wie funktioniert ein Internetprovider. Michael Stiller Wie funktioniert ein Internetprovider Michael Stiller Donnerstag 20.01.2000 Ping e.v. Weiterbildung, Wie funktioniert ein Internetprovider 1 Anforderungen an einen Internetprovider oder was die Nutzer

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Telekommunikationsnetze 2

Telekommunikationsnetze 2 Telekommunikationsnetze 2 Breitband-ISDN Lokale Netze Internet WS 2008/09 Martin Werner martin werner, January 09 1 Breitband-ISDN Ziele Flexibler Netzzugang Dynamische Bitratenzuteilung Effiziente Vermittlung

Mehr

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan 2005-04-28 Begrüßung Inhalt Zeitplan Willmann 2005-04-28 Begrüßung Begrüßung Inhalt Zeitplan Wer sind wir? Studenten der TU Braunschweig, Diplom Informatik Wissenschaftliche Hilfskräfte im Rechenzentrum der TU Wer

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

2. In Abhängigkeit von der Anwendung und dem Zugang zum Internet im engeren Sinne verbindet sich der User über verschiedene Varianten mit dem Netz.

2. In Abhängigkeit von der Anwendung und dem Zugang zum Internet im engeren Sinne verbindet sich der User über verschiedene Varianten mit dem Netz. Aufbau des Internet Im Überblick ist im wesentlichen die Hardeare dargestellt, die digitale Informationen vom User bis zur Entstehung transportiert. Für diesen Überblick beschränken wir uns auf die wesentlichen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.6 Internet Domain Name Service - DNS Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Andreas Teuchert 16. Juli 2013 Netzwerk-Protokolle legen fest, wie Daten zur Übertragung verpackt werden unterteilt in verschiedene Schichten: Anwendungsschicht (z. B. HTTP,

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr