BSI Firewall Studie II

Größe: px
Ab Seite anzeigen:

Download "BSI Firewall Studie II"

Transkript

1 U U U /24 Netgear Switch /24 Cisco Switch / / / /24 Netgear Switch E420R/ H U U5-6-1 U5-2-1 U U5-4-1 U Ersteller: Ernst & Young Deutsche Allgemeine Treuhand AG Elisenstrasse 3a München Sun Microsystems GmbH Ampérestrasse Langen Im Auftrag von: Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee Bonn Version: Abschlussdokument Datum:

2 Inhalt Inhalt 1 Zusammenfassung Zieldefinition und erwartete Ergebnisse Gliederung und Aufbau der Studie Überblick über den Stand der Technik Firewall-Konzepte Filterung Paketfilter Applikationsfilter Filterung und Verschlüsselung Hardware, Betriebssystem und dessen Absicherung Administration, Überwachung, Protokollierung und Alarmierung Zusatzsoftware für GUI Revision Authentifizierung Virtuelle Private Netze Verhalten bei Ausfall oder Störungen Virenscanner und Content Checking Intrusion Detection Systeme Softwareanbindungen URL-Blocking Hochverfügbarkeit, Bandbreitenmanagement und Lastverteilung Verteilte Firewalls und die Abwehr von DoS-Attacken Persönliche Firewalls Sicherheitskonzeption Bedeutung der Zertifizierung Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Kriterien für die Beurteilung des Produkthandlings, der Dokumentation und für die Bestimmung der Performance Kriterien für die Beurteilung des Produkthandlings und der Dokumentation Umfang und Vorbehalte Der Fragenkatalog Tests für Firewalls im reinen Paketfiltermodus Datendurchsatz Concurrent Connections Tests für Firewalls im Einsatz als Applikationsfilter Einsatz eines HTTP-Proxys Einsatz eines SMTP-Proxys I

3 Inhalt 6.4 Sonstige Testfälle Kriterien für die Bestimmung der Firewall-Performance Testaufbau für die Durchführung der Performance-Tests Anforderungen an die Testumgebung Beschreibung der Testumgebung Hardware für die Firewall-Systeme Betriebssysteme für die Firewall-Software Lasterzeuger und Monitoring-Maschinen Switches Netzwerklayout Filterregeln für die Firewalls Anforderungen an die Testverfahren Beschreibung der Testverfahren Verwendete Software Prüfung der Anforderungen Sonderfälle GeNUGate Allgemeine Methodenkritik Darstellung des Produktumfelds und Prüfung nach den funktionalen Sicherheitskriterien Bull (Evidian) AccessMaster Netwall CheckPoint FireWall GeNUA GeNUGate NAI Gauntlet Firewall Sun SunScreen Secure Net Axent (Symantec) Raptor Schwachstellenanalyse Bewertung der Produkthandhabung, der Dokumentation und Prüfung der Performance Bewertung der Produkthandhabung und der Dokumentation Netwall Firewall GeNUGate NAI Gauntlet Sun SunScreen Raptor Performance des Paketfilters Ausgangsleistung des Paket-Filters und Skalierbarkeit Einfluss des Regelwerkes Auswirkungen von Logging Performance des HTTP-Proxys Antwortzeit II

4 Inhalt Durchsatz in Megabit pro Sekunde Connections pro Sekunde Concurrent Connections Auswirkung des Logging Errors pro Sekunde Bewertungen Performance des SMTP-Proxys Sonstige Testfälle Vergleichende Zusammenfassung der Ergebnisse Preis-Leistungs-Verhältnis Abkürzungen Literatur III

5 Verwendung externer Quellen und Danksagungen Verwendung externer Quellen und Danksagungen In der vorliegenden Studie sind Erkenntnisse und Informationen zusammengefasst, die auf selbst durchgeführten Tests, auf der von den Herstellern zur Verfügung gestellten Dokumentation, auf von den Herstellern ausgefüllten Fragebögen und auf Informationen aus verschiedenen externen Quellen, die zum Teil öffentlich zugänglich und zum Teil auch lizenzpflichtig sind, beruhen. Als eine allgemein verfügbare und aktuelle Quelle für den Vergleich von Firewall-Produkten wurden die Ergebnisse des Computer Security Institute Firewall Product Search Center [CSI00] mit einbezogen. Darüber hinaus wurden bestehende Produktbewertungen im Rahmen allgemeiner Nutzungsvereinbarungen zwischen Ernst & Young und Datapro GartnerAdvisory und der Giga Information Group verwendet. Aufstellungen bekannter Schwachstellen wurden aus der lizenzpflichtigen online Datenbank esecurityonline.com und der frei verfügbaren Liste Bugtraq entnommen [eso, BugTraq]. Die Autoren der Studie danken den jeweiligen Herstellern für die Überlassung der Testsoftware und geräte, den Ansprechpartnern bei den einzelnen Herstellern für die freundliche Unterstützung und insbesondere der Firma esecurityonline.com für die Überlassung des online Zugriffs auf deren Datenbank. IV

6 Kapitel: 1 Zusammenfassung 1 Zusammenfassung Aufgabenstellung: Gegenstand der Studie ist die vergleichende Bewertung ausgewählter Firewalls zur Absicherung einer Internet- Anbindung. Hierzu wurde untersucht, welches der am Markt vorhandenen Produkte in welchem Umfang die "Sicherheitsanforderungen für Internet-Firewalls" des BSI erfüllt und welche Performance diese Produkte aufweisen. Folgende in der Bundesrepublik Deutschland verfügbare Firewall-Produkte sind untersucht worden: Bull (Evidian) AccessMaster Netwall CheckPoint FireWall-1 GeNUA GeNUGate NAI Gauntlet Firewall Sun SunScreen Secure Net Axent (Symantec) Raptor Bei der Installation und dem Testbetrieb wurden ausschließlich die im Rahmen des üblichen Produkt-Supports gebotenen Dienste des jeweiligen Herstellers in Anspruch genommen. Soweit als möglich wurden für einen Vergleich identische Hardware- und Betriebssystem-Voraussetzungen herangezogen. Vorgehen: Für die Performance-Messungen wurde eine Methodik zur Durchführung von Lasttests erarbeitet und in einer Testumgebung im Benchmark Center Germany in Langen bei Frankfurt/Main von Sun Microsystems unter Verwendung der aktuellen Produktversionen der einzelnen Hersteller auf unterschiedlichen Hardware- Plattformen implementiert. Dabei wurde versucht, realen und praxisrelevanten Anforderungen u. a. aus dem Bereich ecommerce durch eine geeignete Netzwerkkonfiguration gerecht zu werden. Bei den Testmessungen wurden eigene Werte für die Performance bei reinem Paketfilterbetrieb sofern möglich bzw. bei kombiniertem Paketfilter- und Proxy-Betrieb erfasst. Der Schwerpunkt der Proxy-Tests lag auf Prüfung von HTTP und SMTP in den typischen Szenarien Surfen im Internet und -Austausch. Für die Sicherheitsuntersuchungen wurde der o. g. Kriterienkatalog des BSI herangezogen und ergänzt. Für die Bewertung der einzelnen Produkte wurde sowohl die von den Herstellern zur Verfügung gestellte Produktdokumentation ausgewertet, als auch der Kriterienkatalog den Herstellern direkt zur Beantwortung zur Verfügung gestellt. Für die Überprüfung der Robustheit bzw. Stabilität des TCP/IP-Stacks wurde eine aktuelle Version eines verbreiteten Analyse- und Testtools eingesetzt. Die Prüfungen wurden von Ernst & Young Information Systems Assurance & Advisory Services (http://www.ernst-young.de/isaas) vorgenommen. Um eine vergleichbare Basis für die durchgeführten Untersuchungen zu gewährleisten, wurde der als Zeitgrenze für die Berücksichtigung von Patches und neuen Produktinformationen festgesetzt. Ergebnisse und Einsatzmöglichkeiten: Performance: Von den vier Produkten, die im reinen Paketfilterbetrieb untersucht werden konnten, zeigten drei eine gute bis sehr gute Performance. In einer 100 Mbit LAN-LAN Kopplung hatten diese Paketfilter keine negativen Auswirkungen auf das Leistungsverhalten. Auffallend unterschiedliche Ergebnisse wurden bei den Proxy- Tests verzeichnet. Wie zu erwarten, zeigte der Einsatz von Proxies eine deutliche Verschlechterung der Performance. In diesem Zusammenhang ließen sich erhebliche Unterschiede zwischen den Kombinationen aus Hardware-Plattform und Firewall-Software feststellen. Es konnte nicht bei allen Produkten durch einen Hardware- Ausbau ein Performance-Gewinn erzielt werden. Für das Szenario Zugriff auf einen Web-Server aus dem Internet über einen vorgeschalteten Paketfilter ist eine Übertragung der im Rahmen der Studie gewonnenen Ergebnisse der Paketfiltertests möglich. Sicherheit: Die Untersuchungen zeigten, dass vier von den sechs betrachteten Produkten zumindest 2/3 der gestellten Anforderungen erfüllten. Ein Produkt zeigte auffallende Schwächen im Bereich der geforderten Proxy- Eigenschaften. Unter der Voraussetzung des Einsatzes der Proxies sind aus sicherheitstechnischer Sicht vier Produkte für den Einsatz in Behörden und Unternehmen mit hohen Sicherheitsanforderungen zur Absicherung zum Internet geeignet. Zur Absicherung interner Netzwerkbereiche sind alle untersuchten Produkte aus sicherheitstechnischer Sicht geeignet. Die untersuchten Produkte zeigten ausnahmslos eine hohe Resistenz gegen die simulierten DoS-Angriffe. Für die konkrete Auswahl einer Firewall müssen im Rahmen des konkreten Anforderungsprofils Sicherheitsund Performance-Eigenschaften gegeneinander abgewogen werden. Zur Unterstützung der Produktauswahl können die Ergebnisse der vorliegenden Studie herangezogen werden. Tabellarische Übersichten mit Bewertungen zur Erfüllung der einzelnen Kriterien bieten in diesem Zusammenhang Hilfestellung. 1

7 Kapitel: 2 Zieldefinition und erwartete Ergebnisse 2 Zieldefinition und erwartete Ergebnisse In den letzten Jahren haben sich Firewalls zur Absicherung interner Netze von Behörden und Unternehmen gegenüber Angriffen aus dem Internet etabliert. Wichtig bei einer Kaufentscheidung sind die Sicherheitsfunktionalität, die Gewährleistung eines ordnungsgemäßen Betriebs und die Performance eines Produkts. Die vorliegende Studie untersucht ausgewählte, etablierte Produkte im high end Bereich des Firewall-Markts hinsichtlich Kriterien aus den genannten Bereichen. Ziele für die Durchführung der Performance-Tests: Es ist zu erwarten, dass eine Firewall-Software bei einer Hardware-Aufrüstung (Skalierbarkeit auf einer Komponente) je nach Hardware-Modul entsprechenden Leistungszusatz aufweist. Z. B. ist bei einer Verdopplung der Prozessoranzahl mit einer Leistungssteigerung bei kritischen Performance-Werten um den Faktor 1,5 zu rechnen. Außerdem sollen Messwerte für die relativen und absoluten Performance-Eigenschaften der untersuchten Produkte erhoben und vergleichend bewertet werden. Es wird eine Abschätzung der Relation zwischen Performance und der Eignung der Produkte für verschiedene Unternehmensgrößen erwartet. Als Referenzwerte für Performance-Zahlen werden Messungen des Benutzerverhaltens aus der Praxis herangezogen. Ziele für die Prüfung der Sicherheitsfunktionalität: Es ist ein Ziel der vorliegenden Studie, auch eine Einschätzung darüber zu erhalten, inwieweit aktuelle Produkte in der Lage sind, die Sicherheitsanforderungen aus dem BSI-Kriterienkatalog abzudecken. Damit sind sie für den Einsatz in Unternehmen und Behörden mit hohen Sicherheitsanforderungen für die Absicherung der Internet- Anbindung geeignet. Vorrangiges Ziel ist die Bewertung der Sicherheitseigenschaften der Proxies. Zu den weiteren Zielen zählte eine Bewertung bzw. Abschätzung der Robustheit des Firewall-Produkts gegen häufig vorkommende Angriffsverfahren, insbesondere DoS-Attacken gegen den TCP-Stack. 2

8 Kapitel: 3 Gliederung und Aufbau der Studie 3 Gliederung und Aufbau der Studie Im Kapitel 4 wird ein kurzer Überblick über den Stand der Technik zum Thema gegeben. Generelle Angaben zum Produkt und dem Hersteller sowie Sicherheitskriterien werden im Kapitel 5 vorgestellt. Für die Auswahl von Prüfkriterien zur Einschätzung der Sicherheitseigenschaften werden hier neben der primären Aufgabe der Filterung insbesondere auch Anforderungen an einen ordnungsgemäßen Betrieb und über die Filterung hinausgehende Funktionserweiterungen betrachtet. Es folgt in den Kapiteln 6 und 7 eine Beschreibung der für die Durchführung der Performancetests entwickelten Methodik und des gewählten Testaufbaus. In den Kapiteln 8 und 9 werden die ausgewählten Firewalls nach den o. g. Kriterien hinsichtlich Sicherheitsfunktionalität und Performance untersucht und bewertet. Die in diesen Kapiteln gewonnenen Ergebnisse werden im Kapitel 10 vergleichend in einer tabellarischen Übersicht zusammengefasst. Ein abschließender Preis-/Leistungsvergleich im Kapitel 11 bietet dem Leser die Gelegenheit einer Gewichtung zwischen technischen Aspekten und finanziellen Möglichkeiten. Anhang A Anhang B Anhang C Anhang D Anhang E Anhang F Anhang G Anhang H Die detaillierte Prüfung der einzelnen Firewalls nach den im Kapitel 5 vorgestellten Sicherheitskriterien ist im Anhang A zu finden. Anhang B enthält die detaillierten Performance-Testergebnisse. Im Anhang C sind die im Rahmen der Studie gewonnenen Eindrücke im Umgang mit der von den Herstellern zur Verfügung gestellten Handbücher dokumentiert. Der Anhang D enthält Abbildungen zu, im Rahmen der Performance-Tests gewonnenen Ergebnissen. Auch nicht unmittelbar für die Auswertung herangezogene Abbildungen sind in diesem Anhang zu finden. Übertragung der Ergebnisse der Performance-Tests auf reales Benutzerverhalten. Sammlung bekannter Schwachstellen. Kriterienkatalog des BSI. Der Anhang H enthält das im Rahmen der Performance-Tests verwendete Regelwerk. 3

9 Kapitel: 4 Überblick über den Stand der Technik 4 Überblick über den Stand der Technik 4.1 Firewall-Konzepte In [SAG97] werden die Komponenten Paketfilter als ein grundlegendes Verfahren, Applikationsfilter (Proxy) als ein weiteres grundlegendes Verfahren und überwachte Applikationsfilter (screened subnet) als eine Kombination der beiden grundlegenden Verfahren Paketfilter und Applikationsfilter als Grundbausteine aktueller Firewall-Konzepte genannt. Die Vor- und Nachteile dieser unterschiedlichen Bausteine werden dort beschrieben und verglichen. Zum Beispiel in [CeBe94] wird für hohe Sicherheitsanforderungen die letzte Alternative (screened subnet) als Firewall-Lösung für die Absicherung gegenüber Gefahren aus dem Internet empfohlen. Aus diesem Grund ist der Fokus der vorliegenden Studie auf diesen Produktkreis beschränkt. Neben der Filterung der Internet-Kommunikation bieten aktuelle Firewall-Produkte zunehmend Lösungen zur Abwehr von denial-of-service (DoS) Attacken sowie eine Reihe von zusätzlichen Sicherheitsdiensten, wie etwa VPN (Virtual Private Network) oder RAS (Remote Access Service) an. Schließlich wirkt sich die stark zunehmende kommerzielle Nutzung des Internets auch auf die Anforderungen an Firewalls aus. Mit der Integration von Internet-Kommunikation in die Geschäftsprozesse wird die Verfügbarkeit und Performance zu einem geschäftskritischen Faktor. Dem tragen die Produkte durch Hochverfügbarkeitslösungen, load balancing und zentralen Management-Konsolen Rechnung. Nach wie vor bleibt festzustellen, dass trotz der vielfältigen Sicherheitsfunktionen, die Firewalls heutzutage bereitstellen, die Absicherung des Internet-Anschlusses einer Behörde oder eines Unternehmens nicht ausschließlich auf der Firewall basieren sollte. Die Installation von Intrusion-Detection Systemen [debis98], Virenfiltern, etc. im internen Netz kann hier eine sinnvolle technische Ergänzung zur Erhöhung des Sicherheitsniveaus darstellen. Insbesondere ist die Einbettung in ein umfassendes IT-Sicherheitskonzept mit technischen, organisatorischen und personellen Maßnahmen erforderlich. 4.2 Filterung Paketfilter Das Grundproblem bei der Filterung der Internet-Kommunikation mit Paketfiltern liegt darin, dass die Entscheidung der Firewall darüber, ob ein Zugriff erlaubt oder abgewiesen werden soll, in der Regel auf den leicht fälschbaren Daten aus den Headern der verschiedenen Internet-Protokolle basiert. Paketfilter können an dieser Stelle statische oder auch dynamische, d. h. kontextabhängige Plausibilitätsprüfungen, auch stateful inspection genannt, durchführen. Ein Beispiel für eine statische Regel ist die Prüfung, ob die in einem Datenpaket angegebene Absenderadresse dem Netzwerksegment, aus dem dieses Paket kommt, zugeordnet werden kann. Dies dient der Abwehr von IP-Spoofing-Attacken, bei denen ein externer Angreifer durch die Verwendung interner Adressen versucht, unerlaubt Dienste in Anspruch zu nehmen. Eine dynamische Regel ist z. B. im Fall von UDP von Nutzen, um den Kontext zwischen einer Anfrage und der zugehörigen Antwort herzustellen [SAG97]. Auf diese Weise können eingehende Pakete von auf UDP basierenden Diensten, wie RPC, SNMP oder TFTP, dahingehend gefiltert werden, ob zu diesem Paket auch eine passende Anfrage vorliegt. Gegenüber einem Application Gateway bieten dynamische Paketfilter Performance-Vorteile. Aus sicherheitstechnischer Sicht ist hier jedoch Vorsicht geboten, da nach wie vor Angriffe bekannt werden, die die Zustandsverfolgung dynamischer Filter durch geeignete Konstruktionen täuschen [eso]. Die Konsequenzen sind in diesem Fall erheblich, da eine Überwindung des dynamischen Paketfilters in der Regel eine Bedrohung des zu schützenden Netzes bedeutet Applikationsfilter Applikationsfilter, auch Proxies genannt, trennen den direkten Datenstrom zwischen externem und internem Netz. Der Proxy trennt die direkte Kommunikationsbeziehung zwischen Client und Server und übernimmt als Stellvertreter die Kommunikation zum Zielrechner. Auf diese Weise können gezielt einzelne applikationsspezifische Features (z. B. FTP put) gefiltert werden. Ebenso sind Applikationserweiterungen, wie z. B. die Integration 4

10 Kapitel: 4 Überblick über den Stand der Technik einer Authentisierung, möglich. Derzeit ist der Einsatz von Proxies für HTTP und SMTP gebräuchlich. Daneben bieten verschiedene Hersteller auch Proxies für FTP, NNTP, telnet, SQL oder auch weitere Dienste an. Der Nutzen des Einsatzes von Proxies ist am Beispiel der durch das Protokoll FTP aufgeworfenen Probleme für Firewalls zu erkennen [SAG97]. Der Proxy dient hier dazu, den Kontext zwischen dem Aufbau einer FTP Verbindung und dem anschließenden Datentransfer über einen eigens dafür geöffneten Port zu verfolgen. Mit dieser Aufgabe haben statische und dynamische Paketfilter Probleme. Derzeit kann eine wirkungsvolle Zugriffskontrolle für FTP nur durch einen Proxy realisiert werden Filterung und Verschlüsselung An dieser Stelle ist auch auf die Problematik, die beim Einsatz von Firewalls in Verbindung mit der Verwendung verschlüsselter Kommunikation entsteht, hinzuweisen (siehe z. B. [BSI00]). Prinzipiell kann die Firewall verschlüsselte Inhalte, wie sie z. B. bei der Verwendung von HTTPS, PGP, S/MIME oder SSH auftreten können, nicht auf Schadinhalte prüfen. Abhilfe kann hier durch die Zwischenschaltung eines Proxys geschaffen werden, auf dem die verschlüsselten Inhalte entschlüsselt und dann wieder verschlüsselt werden. Dadurch wird das Prinzip der Ende-zu-Ende Sicherheit verletzt. Welche Gefahren hier in erster Linie begrenzt werden sollen und welche Risiken einzugehen sind, ist letztendlich als Bestandteil in einer behörden- oder unternehmensweiten Security Policy festzulegen. 4.3 Hardware, Betriebssystem und dessen Absicherung Die Absicherung gegenüber dem Internet wird nicht allein durch die Firewall Software, sondern durch ein System, das die Hardware-Komponenten ebenso wie das Betriebssystem einschließt, erbracht. Bei der Bewertung der Sicherheit des Internet-Anschlusses sind alle diese Komponenten mit zu berücksichtigen. Die Notwendigkeit der Einschränkung und Absicherung des Betriebssystems auf dem Rechner, der für die Firewall vorgesehen ist, wird in [SAG97] und auch in [BSI00] erläutert. Da regelmäßig neue Schwachstellen der aktuellen Betriebssystemversionen bekannt werden, ist hier eine kontinuierliche Aktualisierung notwendig. Hierfür haben die Hersteller eigene Informationsforen auf ihren Internet-Seiten eingerichtet. Darüber hinaus gibt es Organisationen, die aktuelle Meldungen über neue Schwachstellen und geeignete Gegenmaßnahmen z. B. über mailing lists verteilen. Als Beispiel sei hier das DFN-CERT (http://www.cert.dfn.de/) genannt. Verschiedene kommerzielle Anbieter bieten zusätzliche Dienste, wie etwa die Möglichkeit, in einer Datenbank die Informationen über die individuelle Systemlandschaft zu pflegen. So ist leicht zu erkennen, welche neuen Schwachstellen für die eigene Organisation relevant sind, welche Gegenmaßnahmen bereits durchgeführt wurden, welche Aktionen noch unerledigt sind, oder welche Risiken man bewusst bereit ist, einzugehen. Neben der zeitnahen Behebung von Schwachstellen des Betriebssystems ist es wichtig, während des Betriebs der Firewall auch auf die Konsistenz des Betriebssystems zu achten. Nicht nachvollziehbare Änderungen sind ein Hinweis auf erfolgte Angriffe von außen oder auch auf Versuche interner Nutzer das System für evtl. unerlaubte Aktionen zu öffnen. Hierfür sind Tools, die die Integrität von Systemdateien in regelmäßigen Abständen prüfen, geeignet. Im Umfeld von Unix ist an dieser Stelle beispielsweise das Werkzeug tripwire (http://www.tripwire.com/) zu nennen. Vergleichbare Programme sind auch für das Betriebssystem Windows NT verfügbar. Dabei ist darauf zu achten, neben dem Dateisystem auch bestimmte Inhalte der Registry Datenbank einer Integritätsprüfung zu unterziehen. Verschiedene Sicherheitstools bieten diese Dienste. Schwieriger ist das Ergreifen von Gegenmaßnahmen bei Schwachstellen in der eingesetzten Hard- oder Firmware, wie z. B. Prozessoren, Netzwerkkarten oder BIOS. Hier empfiehlt sich z. B. der Blick in kommerzielle Schwachstellen-Datenbanken, um bereits bei der Kaufentscheidung Sicherheitsaspekte berücksichtigen zu können. 4.4 Administration, Überwachung, Protokollierung und Alarmierung Häufig werden bei Behörden und Unternehmen nicht mehr nur eine, sondern mehrere Firewalls - zum Teil auch mit unterschiedlichen funktionalen und sicherheitstechnischen Anforderungen - betrieben. In diesem Zusammenhang sind nicht nur Cluster-Lösungen, sondern auch komplexere DMZs zu nennen. Schließlich kann der Einsatz von Firewalls zur Segmentierung eines internen Netzes, zur gleichzeitigen Absicherung mehrerer Netzübergänge, oder zur Abgrenzung gegenüber einem Corporate Network oder den Anschlüssen eines Kooperationspartners dienen. Eine wesentliche Anforderung der Anwender ist in jedem Fall die Möglichkeit der zentralen Administration und Überwachung aller eingesetzten Firewalls. An dieser Stelle ist ggf. auch die Integration von Fremdprodukten gewünscht, wenn etwa für die Absicherung zum Corporate Network hin ein einfacher Paketfilter als ausreichend angesehen wird. 5

11 Kapitel: 4 Überblick über den Stand der Technik Die gängigen Produkte stellen detaillierte Mechanismen zur Protokollierung des überwachten Datenverkehrs zur Verfügung. Neben der Möglichkeit, die Protokolldaten nach den individuellen Bedürfnissen zu konfigurieren, ist es vordringlich, geeignete Werkzeuge zur Auswertung dieser Daten an der Hand zu haben. Hier bieten verschiedene Hersteller Zusatzkomponenten an. Sinnvoll ist an dieser Stelle auch die Anbindung an ein Intrusion Detection System (siehe auch Abschnitt 4.11, Intrusion Detection Systeme ). Ein wichtiges Element der Überwachung stellt die Alarmierung bei definierten, kritischen Ereignissen dar. Auch hier ist bei einem Einsatz mehrerer Firewalls darauf zu achten, dass die Weiterleitung der Alarmmeldungen zu einer zentralen Instanz möglich ist. Sind mehrere Firewalls einer Behörde oder eines Unternehmens von einem externen Netz, wie z. B. dem Internet aus erreichbar, so ist es aus sicherheitstechnischer Sicht von Vorteil, wenn die Möglichkeit besteht, die Log Daten, die an diesen Firewalls anfallen, konsolidieren zu können um sie in ihrer Gesamtheit auszuwerten. Gerade in komplexeren Umgebungen wird die Firewall-Administration oft von mehreren Personen durchgeführt, die ihrerseits jeweils nur einen Teilaspekt bearbeiten. So kann es auftreten, dass ein Administrator lediglich die Verwaltung eines Proxys übernimmt, um z. B. einzelnen Anwendern eines Unternehmens oder einer Behörde Zugang zu Diensten wie FTP oder Telnet zu ermöglichen. Unter solchen Gesichtspunkten ist es wünschenswert, wenn ein Firewall-Produkt es ermöglicht, unterschiedliche administrative Rollen mit den entsprechenden Zugriffsrechten zu definieren und zuzuordnen. Insbesondere ist die Schaffung einer von der Administration unabhängigen Rolle zur Revision der Firewall-Aktivitäten wichtig (siehe auch Abschnitt 4.6, Revision ). Weitere Möglichkeiten bieten sich beim Management durch die Realisierung eines SNMP-Agenten an. Hier ist insbesondere Vorsicht bei der Absicherung gegenüber unberechtigten Zugriff auf den SNMP-Agenten geboten. Der ursprüngliche SNMP-Standard bietet keine starke Authentisierung des Managers und verfügt auch über keine Mechanismen zum Schutz der übertragenen Daten. 4.5 Zusatzsoftware für GUI Aus sicherheitstechnischer Sicht ist zu beachten, dass eine zur Unterstützung des GUI für die Administration notwendige zusätzliche Software (z. B. X11 oder Java) ungewollt zusätzliche Schwachstellen auf dem Firewall- Server verursachen kann. Hier kann eine Verlagerung des GUI auf eine zentrale Managementstation Abhilfe schaffen. Die Administrationsbeziehung sollte durch netzwerktechnische Mechanismen zusätzlich gesichert werden. So kann z. B. die Administration über ein eigenes Netzwerksegment durchgeführt werden, für das die entsprechenden Dienste eigens freigeschaltet wurden. 4.6 Revision Die Revision stellt einen organisatorischen Kontrollmechanismus dar, mit dem eine regelmäßige Prüfung des ordnungsgemäßen Betriebs und dessen Nachvollziehbarkeit ermöglicht werden soll. Die Revision ist eine von der Administration getrennte Rolle. Revisoren haben ausschließlich lesenden Zugriff auf alle betriebsrelevanten Daten der Firewall. Hierzu zählen Konfigurations- ebenso wie Protokolldaten. Zum Zweck der Nachvollziehbarkeit ist es wichtig, dass für jede relevante Aktion festgehalten ist, von wem sie zu welchem Zeitpunkt und auf Grund welchen Anlasses durchgeführt wurde. Die Verlässlichkeit der in diesem Zusammenhang verwendeten Daten, wie Authentisierungsinformationen, Zeitstempel und sonstige Informationen, sowie deren Vollständigkeit sind ein Maß für die Revisionstauglichkeit eines Systems. Insbesondere ist es wichtig, dass die für die Revision notwendigen Daten nicht unbemerkt manipuliert werden können. Die Protokolldaten sind darüber hinaus von erheblichem Nutzen, wenn es gilt, zu bestimmten Vorfällen Nachforschungen anzustellen. Sie können z. B. bei Rechtsstreitigkeiten als Beweismittel herangezogen werden. 4.7 Authentifizierung Aufgrund von Unzulänglichkeiten (z. B. den Problemen bei der Zuordnung zwischen IP-Adresse und Benutzer) bei der auf den Informationen der Standardprotokolle basierenden Zugriffskontrolle ist die Verwendung erweiterter Authentifizierungsmethoden auf der Firewall sinnvoll. Einerseits besteht oft der Wunsch, den lokalen Benutzern bei der Verwendung des Internets unterschiedliche Rechte zuzuordnen. An dieser Stelle kann die Integration der Firewall in die Rechteverwaltung des internen Netzes vorteilhaft sein. Andererseits besteht die Möglichkeit, den Zugang externer Nutzer zum lokalen Netz durch starke Authentifizierungsmethoden, wie SecurID oder S/Key zu regeln. Verschiedene Firewall Produkte bieten in diesem Zusammenhang eine out-of-band Authentifizierung von Benutzern an. Diese erlaubt nach einer erfolgreichen starken Authentifizierung eines externen Benutzers, z. B. via telnet, eine Freischaltung von TCP- und UDP-Diensten. Dies ist für die Unterstützung bestimmter Anwendungen von Nutzen, die keine eigene starke Authentifizierung anbieten. 6

12 Kapitel: 4 Überblick über den Stand der Technik Die Hersteller von Firewall-Produkten integrieren zum Teil Fremdprodukte für die Realisierung von Authentifizierungsfunktionen. 4.8 Virtuelle Private Netze Virtuelle private Netze stellen die Kopplung mehrerer zentraler und dezentraler Lokationen über ein öffentliches Netz dar. Ein Spezialfall eines VPN ist der remote Zugriff externer Nutzer über die Firewall auf interne Ressourcen. An dieser Stelle ist die Unterstützung von Standards wie X.509 und IPSec bedeutend, um beim Einsatz des Remote Systems nicht auf ein proprietäres Produkt angewiesen zu sein. Auch an dieser Stelle setzen die Hersteller vermehrt auf die Integration oder Anbindung von Fremdprodukten, sowohl für die Bereitstellung der Verschlüsselungsoperationen für den Datenverkehr, wie auch für den Aufbau und den Betrieb einer Schlüsselinfrastruktur (z. B. PKI). 4.9 Verhalten bei Ausfall oder Störungen Die Firewall stellt einen wichtigen Mechanismus zum Schutz sensibler Ressourcen einer Organisation vor unberechtigtem Zugriff dar. Aus diesem Grund ist es wichtig, dass vorab Klarheit besteht, welchen Risiken eine Organisation bei einem Ausfall von Teilen oder des gesamten Firewall-Systems ausgesetzt ist. Das Verhalten der Firewall bei solchen Geschehnissen sollte vorab festliegen, bzw. konfigurierbar sein. Einerseits sollte die Möglichkeit eines administrativen Zugriffs zum Zweck der Fehlererkennung und evtl. auch der Fehlerbehebung bei partiellen Ausfällen aufrechterhalten bleiben. Während andererseits eine Konfigurationsmöglichkeit bestehen sollte, bei erkannten Ausfällen zunächst jeglichen Verkehr zu unterbinden. Auf diese Weise kann der Administrator zunächst versuchen, die möglichen Fehlerursachen zu eruieren, und gegebenenfalls erfolgte Eindringversuche abwehren, bevor weiterer Verkehr über die Firewall geleitet wird Virenscanner und Content Checking Seit längerem ist bekannt, dass über Mail oder andere Protokolle Schadprogramme, wie etwa Viren in das interne Netz eingeschleust werden können. Gleiches gilt für Applikationen wie solche auf der Basis von Java, JavaScript oder Active X, die über HTTP übertragen werden können. Während die meisten Hersteller gegenwärtig Virenscanner als Plug-ins für ihre Firewalls anbieten, sind derzeit content-checking-module für Java, etc. noch selten, wie aus Kapitel 8 zu ersehen ist. Ein zufrieden stellendes Maß an Sicherheit kann hier nach wie vor nur durch das generelle Sperren dieser Dienste oder durch den Einsatz zusätzlicher Sicherheitsmechanismen auf den Clients erreicht werden Intrusion Detection Systeme IDS nutzen neben selbst erhobenen Daten auch die Betriebssystem- und Protokolldaten verschiedener Systeme, um unberechtigten Aktionen oder Eindringversuchen auf die Spur zu kommen. Im Rahmen einer mehrstufigen Absicherung gegenüber Gefahren aus dem Internet ist deren Einsatz durchaus empfehlenswert. Es ist naheliegend, bei der Auswahl eines IDS darauf zu achten, dass die Protokolldaten, die an der Firewall anfallen, in das IDS integriert werden können. In diesem Zusammenhang werden von verschiedenen Herstellern Schnittstellen zur Verfügung gestellt Softwareanbindungen Die Unterstützung offener Standards ist von Nutzen, um ein Firewall-Produkt in die IT-Landschaft einer Organisation einbinden zu können. In vorangegangenen Abschnitten wurde die Unterstützung solcher Standards für den Bereich VPN (siehe Abschnitt 4.8) oder auch bei der Anbindung von ID-Systemen (siehe Abschnitt 4.11) erwähnt. Auch für die Virusprüfung und das Content Checking ist das Anbieten von Softwareschnittstellen sinnvoll. Ein weiterer Standard, SNMP, kann im Rahmen der Administration Anwendung finden. Hier ist insbesondere Vorsicht bei der Absicherung gegenüber unberechtigtem Zugriff auf den SNMP-Agenten geboten (siehe in diesem Zusammenhang auch Abschnitt 4.4) URL-Blocking In vielen Anwendungsfällen kann die Einschränkung der Nutzung des Internets sinnvoll sein. An dieser Stelle sind Firewall-Zusätze gefragt, die die Internet Anfragen der Benutzer kategorisieren und gegebenenfalls blocken. Als Beispiel sei hier das Sperren von URLs mit vorwiegend pornographischen Inhalten genannt, das aus Gründen des Jugendschutzes erforderlich sein kann. 7

13 Kapitel: 4 Überblick über den Stand der Technik Für URL-Blocking stellen mittlerweile Drittanbieter Lösungen zur Verfügung, die von Firewall-Herstellern unterstützt werden. Eine weitere geeignete Stelle für die Implementierung eines URL-Filters ist der HTTP-Proxy. Es sei ohne ausführliche Erläuterungen an dieser Stelle darauf hingewiesen, dass derzeit erhältliche Produkte im Bereich URL-Blocking Unzulänglichkeiten bei der Zuordnung von IP-Adressen zu Firmen, Organisationen oder Personen aufweisen. Der Grund dafür ist zu einem großen Teil in der fehlenden Reglementierung bei der Nutzung von IP-Adressen begründet. Ein Überblick über aktuelle Produkte und deren Leistungsfähigkeit ist in [secorvo99] zu finden. Jüngste Produktansätze basieren nicht mehr auf der URL-basierten Filterung sondern typisieren Web-Inhalte mit der Hilfe von Techniken aus dem Bereich der künstlichen Intelligenz. Diese Ansätze werden durch die Hypothese begründet, dass Web-Seiten, die einem bestimmten Thema zugeordnet werden können, auch über einen typischen Aufbau verfügen. Laut Herstellerangaben können so die Fehlerraten bei der Typisierung von Web-Seiten stark reduziert werden. Bisher wurden jedoch keine methodischen Untersuchungen zu diesem Thema veröffentlicht Hochverfügbarkeit, Bandbreitenmanagement und Lastverteilung Der steigenden Nachfrage nach Hochverfügbarkeits- und Hochleistungslösungen tragen die Hersteller durch Cluster-Konzepte Rechnung. Wesentliche Bestandteile solcher Lösungen sind der Einsatz von load-balancing- Systemen und die Möglichkeit der zentralen Administrierbarkeit der einzelnen Firewalls. Die Hersteller binden an dieser Stelle in der Regel Produkte von Drittanbietern ein. Aus funktionaler Sicht ist zu beachten, dass kontextabhängige Information für dynamische Filter oder auch Proxies über das gesamte Firewall-Cluster hinweg verfügbar ist. Auch ohne Clustering können durch ein Bandbreitenmanagement gewisse Benutzergruppen bevorzugt, bzw. sogar bestimmte Bandbreiten für einzelne Benutzergruppen oder Applikationen garantiert werden. Derartige Funktionen werden von verschiedenen Firewall-Produkten durch ein integriertes Quality-of-Service Management erbracht. Zugleich bieten diese QoS-Managementsysteme oft den Kern für Abwehrmechanismen gegen DoS-Attacken Verteilte Firewalls und die Abwehr von DoS-Attacken Gegen DoS-Attacken ist das in [Bell99] vorgestellte Prinzip der Distributed Firewall gerichtet. Eine nach diesem Prinzip aufgebaute verteilte Firewall besteht aus einer Reihe von Systemen, die untereinander über IPSec kommunizieren und von denen ein jedes einen definierten Übergangspunkt zum internen Netz darstellt. Wird eines dieser Systeme Opfer eines DoS Angriffs, so werden die internen Verbindungen zu diesem unterbrochen, während die restlichen Systeme die angebotenen Internet Dienste aufrecht erhalten. Neben der Möglichkeit, Ausweichrouten als Abwehr von DoS-Attacken einzusetzen, bietet es sich auch an, den Datenstrom, der die Attacke verursacht, möglichst frühzeitig, das heißt nahe an der Quelle, einzudämmen bzw. zu unterbinden. Solche Maßnahmen können nur in Übereinkunft mit den Internet-Providern wirksam umgesetzt werden. Ein mögliches Vorgehen ist, beim Erkennen einer Attacke (siehe Abschnitt 4.4) deren Quelle oder Quellen zu identifizieren und diese dem Internet-Provider mitzuteilen. Dieser kann den Datenstrom dann genauer analysieren und eindämmen, wodurch nicht nur der attackierte Server, sondern auch die verwendeten Übertragungsleitungen entlastet werden. Eine Automatisierung dieses Vorgehens ist derzeit bei keinem Hersteller vorgesehen Persönliche Firewalls Die Entwicklung der als persönliche Firewalls bezeichneten Produktlinie ist auf die Absicherung der lokalen Ressourcen eines Clients zugeschnitten. Als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet sind persönliche Firewalls ungenügend. Der Einsatz dieser Firewalls würde bedingen, alle ans Internet angeschlossenen Clients zu härten, d. h., die potenziellen Schwachstellen des Betriebssystems zu beheben. Das Management und die Auswertung der Protokolldaten der einzelnen Firewalls gestaltet sich, wie bei jeder dezentral eingesetzten Software, als aufwendig. Derzeit verfügbare Produkte weisen hier noch einen erheblichen Optimierungsbedarf auf. Vom Hersteller angebotene Sicherheitsprofile bieten hier eine praktikable Konfigurationsmöglichkeit. Als Ergänzung zu einer zentralen Firewall kann der Einsatz persönlicher Firewalls durchaus sinnvoll sein. Prinzipiell ist es z. B. möglich, mit ihnen die Prüfung auf Schadsoftware, die über , Java, ActiveX oder ähnlichen Mechanismen übertragen werden kann, auf den Clients vorzunehmen. Hierfür können Mechanismen, wie sand boxes zum Einsatz kommen, mit denen der Zugriff von Applikationen, die vom Internet auf das lokale 8

14 Kapitel: 4 Überblick über den Stand der Technik System übertragen werden (Java, ActiveX, etc.), eingeschränkt werden kann. Mit ihnen wird die Aufgabe der Prüfung auf Schadsoftware dezentralisiert und damit das Firewall-System entlastet. Ein weiterer Vorteil liegt darin, dass die im Abschnitt 4.2.2, Applikationsfilter geschilderte Problematik der Filterung von verschlüsselten Daten auf der Firewall umgangen werden kann Sicherheitskonzeption In den vorangegangenen Abschnitten wurden technische Leistungen von Firewalls kurz aufgezeigt. Gerade wegen der Vielzahl unterschiedlicher Einsatzszenarien und Zusatzfunktionen ist es notwendig, sich vor dem Einsatz einer Firewall Klarheit über die eigene Zielsetzung (z. B. Security Policy) und die spezifischen Anforderungen zu verschaffen. Insbesondere sollten folgende Punkte in ein Sicherheitskonzept aufgenommen werden: Einsatzzweck (unterstützte Geschäftsprozesse, notwendige Funktionen) Notwendige Schutzwirkung (Identifikation der bedrohten Werte, Bewertung der Risiken, Definition geeigneter Sicherheitsmaßnahmen) Richtlinien für die Definition von Firewall-Regeln und insbesondere für den Nachweis von deren Konsistenz Technische Anforderungen (Abschätzung des zu erwartenden Durchsatzes, Definition von Verfügbarkeitsanforderungen, Integration in die IT-Umgebung) Betriebliche Anforderungen (Anforderungen an die Administration und den Support) Bei der Erstellung eines Firewall-Konzepts ist auf dessen Fortführung und Umsetzung im täglichen Betrieb zu achten. Die Vorgaben für Filterregeln sollten den laufenden organisatorischen Änderungen des IT-Betriebs (Aufnahme neuer Benutzer, Änderung von Benutzerrechten) Rechnung tragen. Effiziente Filterregeln sind gruppenorientiert. Bei der Änderung von Benutzerrechten sind dann lediglich Gruppenzugehörigkeiten zu ändern. Hilfestellung bei der Sicherheitskonzeption bietet hier z. B. das BSI Grundschutzhandbuch [BSI00] Bedeutung der Zertifizierung Um Sicherheitseigenschaften von Produkten nachweisbar und vergleichbar zu machen, wurden standardisierte Kriterienkataloge für die Zertifizierung von Produkten im IT-Umfeld definiert. In diesem Zusammenhang sind der europäische Kriterienkatalog ITSEC (Information Technology Security Evaluation Criteria, [ITSEC91]) und der internationale Kriterienkatalog der Common Criteria [CC99] zu nennen. Verschiedene Firewall-Hersteller haben einzelne Versionen ihrer Produkte nach diesen Kriterien zertifizieren lassen. Nach ITSEC oder CC zertifizierte Produkte können in ihren Konfigurationsmöglichkeiten stark eingeschränkt sein, zumindest wenn das Produkt so betrieben werden soll, wie es zertifiziert wurde. Die Tatsache, dass ein Hersteller ein zertifiziertes Produkt führt, lässt darauf schließen, dass speziell bei der Produktentwicklung und dokumentation bestimmte Mindestanforderungen erfüllt sind, sofern höhere Zertifizierungsstufen wie etwa ITSEC E3 oder CC EAL4 erreicht werden. In diesem Zusammenhang ist auch auf [Co00] hinzuweisen. Neben den o. g. Standards werden von weiteren Organisationen, wie etwa ICSA [ICSA], Produktzertifizierungen angeboten. 9

15 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Neben den sicherheitstechnischen Eigenschaften einer Firewall ist ebenso die Unterstützung durch den Hersteller für den Anwender von Wert. Im Verlauf der Studie wurden allgemeine Angaben über die zu untersuchenden Produkte und die Hersteller, bzw. Vertriebspartner aufgenommen. Diese Informationen werden nicht für die Bewertung der einzelnen Produkte herangezogen. Sie können jedoch ebenfalls zu einer Kaufentscheidung beitragen und sind im Anhang A zu finden. Die folgende Tabelle gibt die Art der aufgenommenen Informationen wieder. Information A Produktumfeld A.1 Adressen A.1.1 Adresse (Headquarter) Firma Adresse Adresse Ort PLZ Staat Land Produkt-Support Telefon Fax Web-URL A.1.2 Adresse (Deutschland) Firma Straße PLZ Ort Produkt-Support Telefon Fax Web-URL A.2 Hardware / Software / Betriebssystem A.2.1 Hardwarelösung Hardwarelösung Mitgeliefertes Betriebssystem Hardening des Betriebssystems Erläuterung Wird eine komplette Hardware mit geliefert? Wenn ein Betriebssystem mitgeliefert wird, welches? Wenn ein Betriebssystem mitgeliefert wird, wurde dieses 10

16 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information A.2.2 Mitgeliefertes Betriebssystem in einer Minimalinstallation Unterstützte CPU Architektur Softwarelösung Softwarelösung Unterstütze Betriebssysteme Unterstützte CPU Architektur Hardening des Betriebssystems A.3 Releases / Updates / Patches / Konfigurationsmanagement A.3.1 A.3.2 A.3.3 Releases Datum des ersten Releases Datum der neuesten Releases Neuestes Release für z. B. NT Neuestes Release für z. B. AIX Neuestes Release für Betriebssystem XY Neueste Release Version Getestete Version Notifikation neuer Releases Patches Notifikation Updates Notifikation Schwachstellen Anzahl der veröffentlichten Patches in 1999 Anzahl der veröffentlichten Patches im Zeitraum von Januar bis Juli 2000 Konfigurationsmanagement Derzeit im Einsatz befindliche Produktversionen Versionspflege und Konfigurationsmanagement Fehlermanagement Vorgehen bei Mitteilungen über Fehler aus externen Quellen Zuordnung von Schwachstellen zu Patches Erläuterung sicherheitstechnisch gestärkt? Wenn ein Betriebssystem mitgeliefert wird, wurde dies auf seine Minimalfunktionen reduziert? Welche CPU Architekturen werden unterstützt? Sind die angebotenen Firewalls reine Softwarelösungen? Welche Betriebssysteme werden von den Firewalls unterstützt? Welche CPU Architekturen werden unterstützt? Wird bei der Installation das Betriebssystem sicherheitstechnisch gestärkt? Mitteilungsweg für neu erschienene Releases Mitteilungsweg für neu erschienene Updates / Patches Mitteilungsweg für neu entdeckte Schwachstellen im Produkt und unterstütztem Betriebssystem Sind beim Kunden installierte Produktstände mit einer eindeutigen Versionsnummer versehen? Lassen sich ausgelieferte Produktstände beim Hersteller rekonstruieren? Generelle Vorgehensweise bei der Aufnahme von Fehlermeldungen, der Fehlerbehebung und -dokumentation Wie werden Fehlermeldungen aus externen Quellen aufgenommen und weiter verfolgt? Ist eine Zuordnung von Fehlermeldungen zu Releaseständen möglich? Wichtig ist das Wissen darüber, welche Versionen welche Fehler aufweisen und mit welchen Patches diese gegebe- 11

17 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information A.4 Preisstruktur A.4.1 A.4.2 A.4.3 Basisprodukt Eingangspreis Limitationen bei Einstiegsprodukt Im Eingangsprodukt enthaltene Features Preisstruktur Preisstruktur Zusatzprodukte Zusätzlich angebotene Features Z. B. Verschlüsselung Z. B. Authentisierung Z. B. Content Inspection Erläuterung nenfalls behoben werden können. Preis des Einstiegsproduktes Bspw. limitierte Anzahl der möglichen Benutzer beim Einstiegsprodukt Bspw. spezielle Verschlüsselungsalgorithmen Sofern unterschiedliche Produktversionen angeboten werden Angaben zur Staffelung der Produkte, Lizensierungsmodelle (Anzahl Clients, etc.), Bekanntgabe der Preise (z. B. auch online) Zusätzliche Kosten für weitere Features, z. B. Verschlüsselung A.4.4 Beispielszenarien Die im Anhang A an dieser Stelle erfolgenden Ausführungen stellen reine Herstellerempfehlungen dar. Kleines Unternehmen / Behörde (50 Pers., 128 Kbit Anschluss) Mittelgroßes Unternehmen / Behörde (300 Pers., 2 Mbit Anschluss) Großes Unternehmen / Behörde (1000 Pers., 4 Mbit Anschluss) A.5 Dokumentation A.5.1 Allgemein Sprachen Medien Inhaltsverzeichnis Index FAQ Liste In der Produktlieferung enthaltene Dokumentation Dokumentation zum Hardening des Betriebssystems Aktualisierung der Dokumentation Englisch, Deutsch, etc. Papier, PDF, HTML, Postscript, sonstige Ausführlichkeit Ausführlichkeit Z. B. aufgrund neu bekannt gewordener Schwachstellen A.5.2 Inhalt An dieser Stelle wurden auch Erfahrungen, die im Verlauf der für die Durchführung der Performancetests erforderlichen Installations- und Konfigurationstätigkeiten gesammelt wurden, berücksichtigt. Gliederung Qualität des Aufbaus der Dokumentation 12

18 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information Beschreibung der Systemvoraussetzungen Unterschiede zu älteren Software- Versionen Firewall Theorie Erläuterung Für Solaris und Windows; Aussagen zu notwendigen Patches für die verschiedenen Plattformen Beschreibung der Unterschiede für Solaris und Windows Allgemeine Einführung; Definition der Erwartungshaltung (der Einsatz einer Firewall löst nicht alle Sicherheitsprobleme, vielmehr ist eine Firewall in ein Gesamtsicherheitskonzept einzuordnen); Erläuterung möglicher Einsatzszenarien und -architekturen. A.5.3 Praxis An dieser Stelle wurden auch Erfahrungen, die im Verlauf der für die Durchführung der Performancetests erforderlichen Installations- und Konfigurationstätigkeiten gesammelt wurden, berücksichtigt. Anleitung zur Definition von Regeln Troubleshooting Literaturliste, Quellenangaben Angabe von Quellen für Fehler und Updates Verweis auf Support A.6 Support / Schulung A.6.1 A.6.2 Support Kostenloser Support Zeitraum des kostenlosen Supports Kostenpflichtiger Support Art der enthaltenen Supportleistungen Schulung Schulungsangebot A.7 Verbreitung A.7.1 A.7.2 Anzahl der Installationen Anzahl der Installationen weltweit Anzahl der Installationen in Deutschland Kommentar des Herstellers Herstellerkommentar Tabelle 1: Allgemeine Kriterien an das Produkt. Art des Supports, z. B. Telefon, Internet, Persönlich Kostenloser Support im Grundpreis eingeschlossen? Z. B. Updates, Patches, etc. Die Aussagen zur Anzahl der Installationen basieren auf Herstellerangaben Die Aussagen zur Anzahl der Installationen basieren auf Herstellerangaben Evtl. Referenzen, Aussagen zur weiteren Produktplanung, Vermarktungsstrategien, etc. Im Kapitel 4, Überblick über den Stand der Technik wurden die derzeit von Firewall Produkten angebotenen funktionalen Leistungen und generelle Anforderungen an Firewalls kurz vorgestellt. Auf Basis dieser Ausführungen werden in diesem Kapitel Kriterien vorgestellt, nach denen die Beurteilung der Sicherheit der zu untersuchenden Firewall Produkte durchgeführt werden soll. Im Rahmen der Beurteilung sind die einzelnen Sicherheitskriterien unterschiedlich gewichtet. Solche Kriterien, deren Erfüllung für die Sicherheitsfunktionalität einer Firewall entscheidend sind, sind fett gekennzeichnet. Der Grad der Erfüllung wird durch die Symbole, und angegeben. Die Bedeutung dieser Symbolik ist in Tabelle 2 erläutert. 13

19 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Der Erfüllungsgrad eines Produkts wurde mit abnehmender Gewichtung auf Grund der Erfahrungen und Ergebnisse aus der Installation, Konfiguration und der Durchführung der Performance-Tests, auf Basis der zur Verfügung stehenden Produktinformation und anhand von Fragebögen, die an die Hersteller verschickt wurden, bestimmt. Die durch den Projektrahmen vorgegebenen Limitationen erlaubten nicht in jedem Fall eine Prüfung der von den Herstellern gemachten Aussagen. Symbol Erfüllungsgrad Die geforderten Kriterien werden nicht in zufriedenstellender Weise erfüllt. Die geforderten Kriterien werden in zufriedenstellender Weise erfüllt. Das Produkt bietet in dem genannten Bereich entweder eine äußerst zufriedenstellende Lösung oder erheblich mehr Funktionalität als gefordert. Tabelle 2: Erläuterung der bei der Beurteilung verwendeten Symbole. Die folgende Tabelle gibt einen Überblick über die im Rahmen der Studie angewendeten Sicherheitskriterien: B Sicherheitskriterium Bezug bzw. Erläuterung B.1 Administration Siehe Abschnitt 4.4, Administration, Überwachung, Protokollierung und Alarmierung. B.1.1 B.1.2 Layout Unterstützte Layouts: Grafische Oberfläche Command line Konfigurationsdatei Zusätzlich für das GUI notwendig Software Fernadministration Zentrale Administrationskonsole für mehrere Firewalls Authentifizierungsmechanismen die Administration für Ist für ein GUI Zusatzsoftware erforderlich, so sollte die in diesem Zusammenhang zu installierende Software oder die in diesem Zusammenhang anzubietenden Dienste miminal gehalten werden. Es sollte also möglich sein, z. B. entweder Java oder X11 nicht aber beide Softwarepakete auf der Firewall für das GUI einzusetzen. Außerdem sollte im Rahmen der Installation der Firewall die Möglichkeit bestehen, das Produkt auch ohne GUI und der dazu notwendigen Software zu installieren. Wird z. B. ein SNMP-Agent unterstützt? Entscheidend sind Art und Stärke der verwendeten Verfahren und die Unterstützung von Standards. Wichtig ist die Unterstützung starker Authentifizierungsverfahren (Begriffsverwendung nach ITU X.509). So ist z. B. beim Einsatz eines auf Passwortverschlüsselung basierenden Authentifizierungsmechanismus eine Verschlüsselung mit Schlüssellängen von 56 Bit (DES) nicht länger als stark zu bewerten. Gefordert wird in diesem Fall der Einsatz von Triple-DES. Nach Möglichkeit sollten starke Authentisierungsmechanismen für die Administration im Standardprodukt enthalten sein und nicht den Zukauf zusätzlicher Pakete erfordern. 14

20 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Verschlüsselungsalgorithmen B.1.3 Definition unterschiedlicher administrativer Rollen Möglichkeit der Definition unterschiedlicher administrativer Rollen Bezug bzw. Erläuterung Entscheidend sind Art und Stärke der verwendeten Verfahren und die Unterstützung von Standards. Von Vorteil ist auch die Berücksichtigung der Exportkontrolle, d. h. das Anbieten länderspezifischer Produktkonfigurationen. B.2 Revision Siehe Abschnitt 4.6, Revision. B.2.1 B.2.2 Revisionsfähigkeit Revisionsfähigkeit hinsichtlich: Nachvollzug von Änderungen am Regelwerk Nachvollzug von Änderungen an den Protokollierungseinstellungen Nachvollzug von Änderungen an den Protokolldaten Fernrevision B.3 Filterung Zentrale Station für die Revision mehrerer Firewalls Authentifizierungsmechanismen Verschlüsselungsmechanismen Für die Revisionsfähigkeit ist einerseits die Möglichkeit des lückenlosen Nachvollzugs der Konfiguration und des Betriebs der Firewall und andererseits die strikte Trennung zwischen Administration und Revision erforderlich. Hier sind die gleichen Anforderungen zu stellen wie unter dem Stichwort Authentifizierungsmechanismen in B.1.2, Fernadministration. Hier sind die gleichen Anforderungen zu stellen wie unter dem Stichwort Verschlüsselungsalgorithmen in B.1.2, Fernadministration. B.3.1 Paketfilter Siehe Abschnitt 4.2.1, Paketfilter. Paketfilter Stateful Packet Inspection Filterung der Pakete nach Outbound Inbound Filterung der Pakete generell getrennt nach den einzelnen Netzwerkschnittstellen Filterung getrennt nach TCP-Flags SYN ACK FIN Ist ein Paketfilter enthalten? Arbeitet der Paketfilter mit Stateful Packet Inspection? Können für inbound und outbound Traffic unterschiedliche Regeln definiert werden? Können für unterschiedliche Netzwerkschnittstellen verschiedene Regeln definiert werden? Ist es möglich, im Rahmen der Definition von Regeln, einzelne TCP-Flags zu filtern? Wenn ja, welche? 15

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien

BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien 1 Einleitung...2 2 Bull (Evidian) AccessMaster Netwall...3 3 CheckPoint FireWall-1...17 4 GeNUA GeNUGate...30 5 NAI Gauntlet Firewall...44

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Norbert Pohlmann. Firewall-Systeme. Sicherheit für Internet und Intranet. 2., aktualisierte und erweiterte Auflage

Norbert Pohlmann. Firewall-Systeme. Sicherheit für Internet und Intranet. 2., aktualisierte und erweiterte Auflage Norbert Pohlmann Firewall-Systeme Sicherheit für Internet und Intranet 2., aktualisierte und erweiterte Auflage i Vorwort 15 Übersicht 17 1 Einleitung: Gesellschaftlicher Wandel und IT-Sicherheit 21 1.1

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel . Firewall Autor: Fritz Heckmann Stand: Dez. 2007 Inhaltsverzeichnis.Firewall...1.1.Skalierbarkeit...1.1.1. Ohne dezidierte Firewall...2.1.2. Einsatz einer Appliance...3.2.Konfiguration der Firewall...3.3.Zusammenfassung...5

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

VPN (Virtual Private Network) an der BOKU

VPN (Virtual Private Network) an der BOKU VPN (Virtual Private Network) an der BOKU Diese Dokumentation beschreibt Einsatzmöglichkeiten von VPN an BOKU sowie Anleitungen zur Installation von VPN-Clients. Zielgruppe der Dokumentation: Anfragen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Decus IT Symposium 2006

Decus IT Symposium 2006 Decus Wie unterscheiden sich klassische VPNs von HOBs Remote Desktop VPN Joachim Gietl Vertriebsleiter Central Europe 1 HOB RD VPN Was leistet HOB RD VPN? Einfacher, sicherer und flexibler Zugriff auf

Mehr

Checkliste. Installation NCP Secure Enterprise Management

Checkliste. Installation NCP Secure Enterprise Management Checkliste Installation NCP Secure Enterprise Management Bitte lesen Sie vor der (Test-)Installation dieses Dokument aufmerksam durch und stellen es unserem Servicetechniker / SE komplett ausgefüllt zur

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Absicherung von Grid Services Transparenter Application Level Gateway

Absicherung von Grid Services Transparenter Application Level Gateway Absicherung von Grid Services Transparenter Application Level Gateway Thijs Metsch (DLR Simulations- und Softwaretechnik) Göttingen, 27.03.2007, 2. D-Grid Security Workshop Folie 1 Überblick Gliederung

Mehr

Versuch 3: Routing und Firewall

Versuch 3: Routing und Firewall Versuch 3: Routing und Firewall Ziel Konfiguration eines Linux-basierten Routers/Firewall zum Routen eines privaten bzw. eines öffentlichen Subnetzes und zur Absicherung bestimmter Dienste des Subnetzes.

Mehr

Intrusion Detection and Prevention

Intrusion Detection and Prevention Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall

IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall Seite 1 / 5 DFL-2500 Enterprise Business Firewall Die Network Security VPN Firewall DFL-2500 ist für den zuverlässigen

Mehr

Firewall-Systeme. Norbert Pohlmann. Sicherheit für Internet und Intranet. 3., aktualisierte und erweiterte Auflage

Firewall-Systeme. Norbert Pohlmann. Sicherheit für Internet und Intranet. 3., aktualisierte und erweiterte Auflage 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Norbert Pohlmann Firewall-Systeme Sicherheit für Internet und Intranet

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung

Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern. Kurzanleitung Avira Management Console AMC Serverkonfiguration zur Verwaltung von Online-Remote-Rechnern Kurzanleitung Inhaltsverzeichnis 1. Allgemeine Informationen... 3 2. Netzwerkübersicht... 3 3. Konfiguration...

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Systemvoraussetzungen 13.3

Systemvoraussetzungen 13.3 Systemvoraussetzungen 13.3 CMIAXIOMA - CMIKONSUL - CMISTAR August 2013 Systemvoraussetzungen 13.3 Seite 2 / 9 1 Allgemeines Der Support der CMI-Produkte richtet sich nach der Microsoft Support Lifecycle

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

PView7 & Citrix XenApp

PView7 & Citrix XenApp Whitepaper PView7 & Citrix XenApp -basierte Bereitstellung von PView7 mit Citrix XenApp Deutsch Products for Solutions Rev. 1.0.0 / 2010-02-10 1 Zusammenfassung Citrix XenApp ist eine Software für die

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch

ZMI Benutzerhandbuch Sophos. Sophos Virenscanner Benutzerhandbuch ZMI Benutzerhandbuch Sophos Sophos Virenscanner Benutzerhandbuch Version: 1.0 12.07.2007 Herausgeber Zentrum für Medien und IT ANSCHRIFT: HAUS-/ZUSTELLADRESSE: TELEFON: E-MAIL-ADRESSE: Zentrum für Medien

Mehr

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011

Patchmanagement. Jochen Schlichting jochen.schlichting@secorvo.de. Jochen Schlichting 15.-17.11.2011 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzungen jochen.schlichting@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

TELEMETRIE EINER ANWENDUNG

TELEMETRIE EINER ANWENDUNG TELEMETRIE EINER ANWENDUNG VISUAL STUDIO APPLICATION INSIGHTS BORIS WEHRLE TELEMETRIE 2 TELEMETRIE WELCHE ZIELE WERDEN VERFOLGT? Erkennen von Zusammenhängen Vorausschauendes Erkennen von Problemen um rechtzeitig

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Check_MK. 11. Juni 2013

Check_MK. 11. Juni 2013 Check_MK 11. Juni 2013 Unsere Vision IT-Monitoring muss werden: 1. einfach 2. performant 2 / 25 Was macht IT-Monitoring? IT-Monitoring: Aktives Überwachen von Zuständen Verarbeiten von Fehlermeldungen

Mehr

Virtual Private Network Ver 1.0

Virtual Private Network Ver 1.0 Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses

Mehr

SSL VPN Zugang Anleitung Version 1.3

SSL VPN Zugang Anleitung Version 1.3 Anleitung Version 1.3 Inhalt: 1. Allgemeine Informationen 2. Voraussetzungen für die Nutzung 3. Aufbau einer SSL Verbindung mit dem Microsoft Internet Explorer 4. Nutzung von Network Connect 5. Anwendungshinweise

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Interneteinstellungen für Agenda-Anwendungen

Interneteinstellungen für Agenda-Anwendungen Interneteinstellungen für Agenda-Anwendungen Bereich: TECHNIK - Info für Anwender Nr. 6062 Inhaltsverzeichnis 1. Ziel 2. Voraussetzungen 3. Vorgehensweise: Firewall einstellen 4. Details 4.1. Datenaustausch

Mehr

Thema: Anforderungen an den OIP Server und das IP- Netzwerk.

Thema: Anforderungen an den OIP Server und das IP- Netzwerk. Hard- und Software Ascotel IntelliGate 150/300/2025/2045/2065 Treiber und Applikationen Autor Open Interface Plattform und OIP Applikationen Michael Egl, Ascotel System Engineer Thema: Anforderungen an

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

AMPUS Inventory. Sie haben die Ressourcen. Wir bieten Ihnen Transparenz. Unternehmensweite Inventarisierung und Diagnose Ihrer IT-Netzwerk-Ressourcen

AMPUS Inventory. Sie haben die Ressourcen. Wir bieten Ihnen Transparenz. Unternehmensweite Inventarisierung und Diagnose Ihrer IT-Netzwerk-Ressourcen Sie haben die Ressourcen. Wir bieten Ihnen Transparenz. Unternehmensweite Inventarisierung und Diagnose Ihrer IT-Netzwerk-Ressourcen Transparente IT-Infrastruktur bei Minimalem Administrationsaufwand Eine

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2012 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für die Firewall- und Serverinstallation SmartHome Backend und

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp.

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite http://www.hp. Erfahrungen mit dem Insight Manager von HP Dipl. Ing. Elektrotechnik (FH) - Automatisierungs- / Regelungstechnik DV-Spezialist Landesbank Rheinland-Pfalz Abteilung 2-351 Große Bleiche 54-56 55098 Mainz

Mehr

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz

IT-Sicherheit im Bankenumfeld: Ein konzeptioneller Ansatz Universität Hildesheim Institut für Betriebswirtschaftslehre und Wirtschaftsinformatik Hannover OE 2152 Endgeräte 02.07.2008 Christian Kröher 1 02.07.2008 Christian Kröher 2 1 Ausgangssituation Unsichere

Mehr

Installationsanleitung biz Version 8.0.0.0

Installationsanleitung biz Version 8.0.0.0 bizsoft Büro Software A-1040 Wien, Waaggasse 5/1/23 D-50672 Köln, Kaiser-Wilhelm-Ring 27-29 e-mail: office@bizsoft.de internet: www.bizsoft.de Installationsanleitung biz Version 8.0.0.0 Die biz Vollversion

Mehr

spezial Software Defined Networking

spezial Software Defined Networking infoline spezial Software Defined Networking Alle Artikel zu unseren Fokusthemen finden Sie unter comlineag.de/infocenter Ciscos ACI-Lösung als Weg zum SDN Seit einiger Zeit sind Schlagworte wie SDN aus

Mehr

Warum ist Frühwarnung interessant?

Warum ist Frühwarnung interessant? Warum ist Frühwarnung interessant? Dr. Klaus-Peter Kossakowski DFN-CERT Wir Menschen sind einfach zu langsam... SAGE (54-65)... linked hundreds of radar stations in the United States and Canada in the

Mehr

Systemvoraussetzungen CMIAXIOMA Release 16.0

Systemvoraussetzungen CMIAXIOMA Release 16.0 Systemvoraussetzungen CMIAXIOMA Release 16.0 CMIAXIOMA Release 16.0 Seite 2/12 Inhaltsverzeichnis 1 Allgemeines... 4 1.1 Support Lifecycle Policy... 4 1.2 Test Policy... 4 1.3 Systemübersicht... 5 2 Softwarevoraussetzungen...

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

STARFACE Salesforce Connector

STARFACE Salesforce Connector STARFACE Salesforce Connector Information 1: Dieses Dokument enthält Informationen für den STARFACE- und Salesforce-Administrator zur Inbetriebnahme und den Betrieb des STARFACE Salesforce Connectors.

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Registrierung und Inbetriebnahme der UTM-Funktionen

Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung und Inbetriebnahme der UTM-Funktionen Registrierung der USG Bevor einzelne UTM-Dienste aktiviert werden können, muss das Device in einem MyZyXEL-Account registriert werden. Die Registrierung

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen. Herr Sven Thomsen, ULD Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 2: Ein Blick in die Giftkiste: Überwachung an Büroarbeitsplätzen Herr Sven Thomsen, ULD Angriff! 2 Mitarbeiterüberwachung ist Angriff!

Mehr

Anleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken

Anleitung zur Einrichtung einer ODBC Verbindung zu den Übungsdatenbanken Betriebliche Datenverarbeitung Wirtschaftswissenschaften AnleitungzurEinrichtungeinerODBC VerbindungzudenÜbungsdatenbanken 0.Voraussetzung Diese Anleitung beschreibt das Vorgehen für alle gängigen Windows

Mehr

DynFire. An Architecture for Dynamic Firewalling. Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011

DynFire. An Architecture for Dynamic Firewalling. Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011 DynFire An Architecture for Dynamic Firewalling Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011 Universität Stuttgart Institut für Kommunikationsnetze und Rechnersysteme (IKR) Prof.

Mehr

Handbuch. MiniRIS-Monitor

Handbuch. MiniRIS-Monitor Handbuch MiniRIS-Monitor Ersteller: EWERK MUS GmbH Erstellungsdatum: 09.05.2011 Inhalt 1 Vorwort... 3 2 Installation... 4 2.1 Voraussetzungen... 4 2.2 Installation... 4 3 Einstellungen... 5 4 Handhabung...

Mehr

www.uni-math.gwdg.de/linuxuebung

www.uni-math.gwdg.de/linuxuebung 14 Netzwerküberwachung und -steuerung Überblick SNMP Simple Network Management Protocol Datendefinitionen SNMP Implementierungen unter Linux Kommandos zur Datenbeschaffung Konfiguration des Net-SNMP Agenten

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Sizing von WebForms-Umgebungen

Sizing von WebForms-Umgebungen Sizing von WebForms-Umgebungen Torsten Schlautmann OPITZ CONSULTING Gummersbach GmbH Seite 1 Agenda Probemdarstellung Grundlegendes Sizing Lasttests zur Validierung Fazit Seite 2 Agenda Probemdarstellung

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

System Center Essentials 2010

System Center Essentials 2010 System Center Essentials 2010 Microsoft System Center Essentials 2010 (Essentials 2010) ist eine neue Verwaltungslösung aus der System Center-Produktfamilie, die speziell für mittelständische Unternehmen

Mehr

Grafische Darstellung des Gerätezustandes und detaillierte Statusinformationen auf einem Blick

Grafische Darstellung des Gerätezustandes und detaillierte Statusinformationen auf einem Blick Network Management Plattform Software (NMP) MICROSENS Einleitung Die Netzwerk Management Plattform (NMP) ist ein universelles Tool, mit dem sich sämtliche Netzwerkkomponenten von MICROSENS konfigurieren

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen 13. Deutscher IT-Sicherheitskongress 14. - 16. Mai 2013 Bonn - Bad Godesberg Ralf Meister genua mbh Teil 1:

Mehr