BSI Firewall Studie II

Größe: px
Ab Seite anzeigen:

Download "BSI Firewall Studie II"

Transkript

1 U U U /24 Netgear Switch /24 Cisco Switch / / / /24 Netgear Switch E420R/ H U U5-6-1 U5-2-1 U U5-4-1 U Ersteller: Ernst & Young Deutsche Allgemeine Treuhand AG Elisenstrasse 3a München Sun Microsystems GmbH Ampérestrasse Langen Im Auftrag von: Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee Bonn Version: Abschlussdokument Datum:

2 Inhalt Inhalt 1 Zusammenfassung Zieldefinition und erwartete Ergebnisse Gliederung und Aufbau der Studie Überblick über den Stand der Technik Firewall-Konzepte Filterung Paketfilter Applikationsfilter Filterung und Verschlüsselung Hardware, Betriebssystem und dessen Absicherung Administration, Überwachung, Protokollierung und Alarmierung Zusatzsoftware für GUI Revision Authentifizierung Virtuelle Private Netze Verhalten bei Ausfall oder Störungen Virenscanner und Content Checking Intrusion Detection Systeme Softwareanbindungen URL-Blocking Hochverfügbarkeit, Bandbreitenmanagement und Lastverteilung Verteilte Firewalls und die Abwehr von DoS-Attacken Persönliche Firewalls Sicherheitskonzeption Bedeutung der Zertifizierung Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Kriterien für die Beurteilung des Produkthandlings, der Dokumentation und für die Bestimmung der Performance Kriterien für die Beurteilung des Produkthandlings und der Dokumentation Umfang und Vorbehalte Der Fragenkatalog Tests für Firewalls im reinen Paketfiltermodus Datendurchsatz Concurrent Connections Tests für Firewalls im Einsatz als Applikationsfilter Einsatz eines HTTP-Proxys Einsatz eines SMTP-Proxys I

3 Inhalt 6.4 Sonstige Testfälle Kriterien für die Bestimmung der Firewall-Performance Testaufbau für die Durchführung der Performance-Tests Anforderungen an die Testumgebung Beschreibung der Testumgebung Hardware für die Firewall-Systeme Betriebssysteme für die Firewall-Software Lasterzeuger und Monitoring-Maschinen Switches Netzwerklayout Filterregeln für die Firewalls Anforderungen an die Testverfahren Beschreibung der Testverfahren Verwendete Software Prüfung der Anforderungen Sonderfälle GeNUGate Allgemeine Methodenkritik Darstellung des Produktumfelds und Prüfung nach den funktionalen Sicherheitskriterien Bull (Evidian) AccessMaster Netwall CheckPoint FireWall GeNUA GeNUGate NAI Gauntlet Firewall Sun SunScreen Secure Net Axent (Symantec) Raptor Schwachstellenanalyse Bewertung der Produkthandhabung, der Dokumentation und Prüfung der Performance Bewertung der Produkthandhabung und der Dokumentation Netwall Firewall GeNUGate NAI Gauntlet Sun SunScreen Raptor Performance des Paketfilters Ausgangsleistung des Paket-Filters und Skalierbarkeit Einfluss des Regelwerkes Auswirkungen von Logging Performance des HTTP-Proxys Antwortzeit II

4 Inhalt Durchsatz in Megabit pro Sekunde Connections pro Sekunde Concurrent Connections Auswirkung des Logging Errors pro Sekunde Bewertungen Performance des SMTP-Proxys Sonstige Testfälle Vergleichende Zusammenfassung der Ergebnisse Preis-Leistungs-Verhältnis Abkürzungen Literatur III

5 Verwendung externer Quellen und Danksagungen Verwendung externer Quellen und Danksagungen In der vorliegenden Studie sind Erkenntnisse und Informationen zusammengefasst, die auf selbst durchgeführten Tests, auf der von den Herstellern zur Verfügung gestellten Dokumentation, auf von den Herstellern ausgefüllten Fragebögen und auf Informationen aus verschiedenen externen Quellen, die zum Teil öffentlich zugänglich und zum Teil auch lizenzpflichtig sind, beruhen. Als eine allgemein verfügbare und aktuelle Quelle für den Vergleich von Firewall-Produkten wurden die Ergebnisse des Computer Security Institute Firewall Product Search Center [CSI00] mit einbezogen. Darüber hinaus wurden bestehende Produktbewertungen im Rahmen allgemeiner Nutzungsvereinbarungen zwischen Ernst & Young und Datapro GartnerAdvisory und der Giga Information Group verwendet. Aufstellungen bekannter Schwachstellen wurden aus der lizenzpflichtigen online Datenbank esecurityonline.com und der frei verfügbaren Liste Bugtraq entnommen [eso, BugTraq]. Die Autoren der Studie danken den jeweiligen Herstellern für die Überlassung der Testsoftware und geräte, den Ansprechpartnern bei den einzelnen Herstellern für die freundliche Unterstützung und insbesondere der Firma esecurityonline.com für die Überlassung des online Zugriffs auf deren Datenbank. IV

6 Kapitel: 1 Zusammenfassung 1 Zusammenfassung Aufgabenstellung: Gegenstand der Studie ist die vergleichende Bewertung ausgewählter Firewalls zur Absicherung einer Internet- Anbindung. Hierzu wurde untersucht, welches der am Markt vorhandenen Produkte in welchem Umfang die "Sicherheitsanforderungen für Internet-Firewalls" des BSI erfüllt und welche Performance diese Produkte aufweisen. Folgende in der Bundesrepublik Deutschland verfügbare Firewall-Produkte sind untersucht worden: Bull (Evidian) AccessMaster Netwall CheckPoint FireWall-1 GeNUA GeNUGate NAI Gauntlet Firewall Sun SunScreen Secure Net Axent (Symantec) Raptor Bei der Installation und dem Testbetrieb wurden ausschließlich die im Rahmen des üblichen Produkt-Supports gebotenen Dienste des jeweiligen Herstellers in Anspruch genommen. Soweit als möglich wurden für einen Vergleich identische Hardware- und Betriebssystem-Voraussetzungen herangezogen. Vorgehen: Für die Performance-Messungen wurde eine Methodik zur Durchführung von Lasttests erarbeitet und in einer Testumgebung im Benchmark Center Germany in Langen bei Frankfurt/Main von Sun Microsystems unter Verwendung der aktuellen Produktversionen der einzelnen Hersteller auf unterschiedlichen Hardware- Plattformen implementiert. Dabei wurde versucht, realen und praxisrelevanten Anforderungen u. a. aus dem Bereich ecommerce durch eine geeignete Netzwerkkonfiguration gerecht zu werden. Bei den Testmessungen wurden eigene Werte für die Performance bei reinem Paketfilterbetrieb sofern möglich bzw. bei kombiniertem Paketfilter- und Proxy-Betrieb erfasst. Der Schwerpunkt der Proxy-Tests lag auf Prüfung von HTTP und SMTP in den typischen Szenarien Surfen im Internet und -Austausch. Für die Sicherheitsuntersuchungen wurde der o. g. Kriterienkatalog des BSI herangezogen und ergänzt. Für die Bewertung der einzelnen Produkte wurde sowohl die von den Herstellern zur Verfügung gestellte Produktdokumentation ausgewertet, als auch der Kriterienkatalog den Herstellern direkt zur Beantwortung zur Verfügung gestellt. Für die Überprüfung der Robustheit bzw. Stabilität des TCP/IP-Stacks wurde eine aktuelle Version eines verbreiteten Analyse- und Testtools eingesetzt. Die Prüfungen wurden von Ernst & Young Information Systems Assurance & Advisory Services (http://www.ernst-young.de/isaas) vorgenommen. Um eine vergleichbare Basis für die durchgeführten Untersuchungen zu gewährleisten, wurde der als Zeitgrenze für die Berücksichtigung von Patches und neuen Produktinformationen festgesetzt. Ergebnisse und Einsatzmöglichkeiten: Performance: Von den vier Produkten, die im reinen Paketfilterbetrieb untersucht werden konnten, zeigten drei eine gute bis sehr gute Performance. In einer 100 Mbit LAN-LAN Kopplung hatten diese Paketfilter keine negativen Auswirkungen auf das Leistungsverhalten. Auffallend unterschiedliche Ergebnisse wurden bei den Proxy- Tests verzeichnet. Wie zu erwarten, zeigte der Einsatz von Proxies eine deutliche Verschlechterung der Performance. In diesem Zusammenhang ließen sich erhebliche Unterschiede zwischen den Kombinationen aus Hardware-Plattform und Firewall-Software feststellen. Es konnte nicht bei allen Produkten durch einen Hardware- Ausbau ein Performance-Gewinn erzielt werden. Für das Szenario Zugriff auf einen Web-Server aus dem Internet über einen vorgeschalteten Paketfilter ist eine Übertragung der im Rahmen der Studie gewonnenen Ergebnisse der Paketfiltertests möglich. Sicherheit: Die Untersuchungen zeigten, dass vier von den sechs betrachteten Produkten zumindest 2/3 der gestellten Anforderungen erfüllten. Ein Produkt zeigte auffallende Schwächen im Bereich der geforderten Proxy- Eigenschaften. Unter der Voraussetzung des Einsatzes der Proxies sind aus sicherheitstechnischer Sicht vier Produkte für den Einsatz in Behörden und Unternehmen mit hohen Sicherheitsanforderungen zur Absicherung zum Internet geeignet. Zur Absicherung interner Netzwerkbereiche sind alle untersuchten Produkte aus sicherheitstechnischer Sicht geeignet. Die untersuchten Produkte zeigten ausnahmslos eine hohe Resistenz gegen die simulierten DoS-Angriffe. Für die konkrete Auswahl einer Firewall müssen im Rahmen des konkreten Anforderungsprofils Sicherheitsund Performance-Eigenschaften gegeneinander abgewogen werden. Zur Unterstützung der Produktauswahl können die Ergebnisse der vorliegenden Studie herangezogen werden. Tabellarische Übersichten mit Bewertungen zur Erfüllung der einzelnen Kriterien bieten in diesem Zusammenhang Hilfestellung. 1

7 Kapitel: 2 Zieldefinition und erwartete Ergebnisse 2 Zieldefinition und erwartete Ergebnisse In den letzten Jahren haben sich Firewalls zur Absicherung interner Netze von Behörden und Unternehmen gegenüber Angriffen aus dem Internet etabliert. Wichtig bei einer Kaufentscheidung sind die Sicherheitsfunktionalität, die Gewährleistung eines ordnungsgemäßen Betriebs und die Performance eines Produkts. Die vorliegende Studie untersucht ausgewählte, etablierte Produkte im high end Bereich des Firewall-Markts hinsichtlich Kriterien aus den genannten Bereichen. Ziele für die Durchführung der Performance-Tests: Es ist zu erwarten, dass eine Firewall-Software bei einer Hardware-Aufrüstung (Skalierbarkeit auf einer Komponente) je nach Hardware-Modul entsprechenden Leistungszusatz aufweist. Z. B. ist bei einer Verdopplung der Prozessoranzahl mit einer Leistungssteigerung bei kritischen Performance-Werten um den Faktor 1,5 zu rechnen. Außerdem sollen Messwerte für die relativen und absoluten Performance-Eigenschaften der untersuchten Produkte erhoben und vergleichend bewertet werden. Es wird eine Abschätzung der Relation zwischen Performance und der Eignung der Produkte für verschiedene Unternehmensgrößen erwartet. Als Referenzwerte für Performance-Zahlen werden Messungen des Benutzerverhaltens aus der Praxis herangezogen. Ziele für die Prüfung der Sicherheitsfunktionalität: Es ist ein Ziel der vorliegenden Studie, auch eine Einschätzung darüber zu erhalten, inwieweit aktuelle Produkte in der Lage sind, die Sicherheitsanforderungen aus dem BSI-Kriterienkatalog abzudecken. Damit sind sie für den Einsatz in Unternehmen und Behörden mit hohen Sicherheitsanforderungen für die Absicherung der Internet- Anbindung geeignet. Vorrangiges Ziel ist die Bewertung der Sicherheitseigenschaften der Proxies. Zu den weiteren Zielen zählte eine Bewertung bzw. Abschätzung der Robustheit des Firewall-Produkts gegen häufig vorkommende Angriffsverfahren, insbesondere DoS-Attacken gegen den TCP-Stack. 2

8 Kapitel: 3 Gliederung und Aufbau der Studie 3 Gliederung und Aufbau der Studie Im Kapitel 4 wird ein kurzer Überblick über den Stand der Technik zum Thema gegeben. Generelle Angaben zum Produkt und dem Hersteller sowie Sicherheitskriterien werden im Kapitel 5 vorgestellt. Für die Auswahl von Prüfkriterien zur Einschätzung der Sicherheitseigenschaften werden hier neben der primären Aufgabe der Filterung insbesondere auch Anforderungen an einen ordnungsgemäßen Betrieb und über die Filterung hinausgehende Funktionserweiterungen betrachtet. Es folgt in den Kapiteln 6 und 7 eine Beschreibung der für die Durchführung der Performancetests entwickelten Methodik und des gewählten Testaufbaus. In den Kapiteln 8 und 9 werden die ausgewählten Firewalls nach den o. g. Kriterien hinsichtlich Sicherheitsfunktionalität und Performance untersucht und bewertet. Die in diesen Kapiteln gewonnenen Ergebnisse werden im Kapitel 10 vergleichend in einer tabellarischen Übersicht zusammengefasst. Ein abschließender Preis-/Leistungsvergleich im Kapitel 11 bietet dem Leser die Gelegenheit einer Gewichtung zwischen technischen Aspekten und finanziellen Möglichkeiten. Anhang A Anhang B Anhang C Anhang D Anhang E Anhang F Anhang G Anhang H Die detaillierte Prüfung der einzelnen Firewalls nach den im Kapitel 5 vorgestellten Sicherheitskriterien ist im Anhang A zu finden. Anhang B enthält die detaillierten Performance-Testergebnisse. Im Anhang C sind die im Rahmen der Studie gewonnenen Eindrücke im Umgang mit der von den Herstellern zur Verfügung gestellten Handbücher dokumentiert. Der Anhang D enthält Abbildungen zu, im Rahmen der Performance-Tests gewonnenen Ergebnissen. Auch nicht unmittelbar für die Auswertung herangezogene Abbildungen sind in diesem Anhang zu finden. Übertragung der Ergebnisse der Performance-Tests auf reales Benutzerverhalten. Sammlung bekannter Schwachstellen. Kriterienkatalog des BSI. Der Anhang H enthält das im Rahmen der Performance-Tests verwendete Regelwerk. 3

9 Kapitel: 4 Überblick über den Stand der Technik 4 Überblick über den Stand der Technik 4.1 Firewall-Konzepte In [SAG97] werden die Komponenten Paketfilter als ein grundlegendes Verfahren, Applikationsfilter (Proxy) als ein weiteres grundlegendes Verfahren und überwachte Applikationsfilter (screened subnet) als eine Kombination der beiden grundlegenden Verfahren Paketfilter und Applikationsfilter als Grundbausteine aktueller Firewall-Konzepte genannt. Die Vor- und Nachteile dieser unterschiedlichen Bausteine werden dort beschrieben und verglichen. Zum Beispiel in [CeBe94] wird für hohe Sicherheitsanforderungen die letzte Alternative (screened subnet) als Firewall-Lösung für die Absicherung gegenüber Gefahren aus dem Internet empfohlen. Aus diesem Grund ist der Fokus der vorliegenden Studie auf diesen Produktkreis beschränkt. Neben der Filterung der Internet-Kommunikation bieten aktuelle Firewall-Produkte zunehmend Lösungen zur Abwehr von denial-of-service (DoS) Attacken sowie eine Reihe von zusätzlichen Sicherheitsdiensten, wie etwa VPN (Virtual Private Network) oder RAS (Remote Access Service) an. Schließlich wirkt sich die stark zunehmende kommerzielle Nutzung des Internets auch auf die Anforderungen an Firewalls aus. Mit der Integration von Internet-Kommunikation in die Geschäftsprozesse wird die Verfügbarkeit und Performance zu einem geschäftskritischen Faktor. Dem tragen die Produkte durch Hochverfügbarkeitslösungen, load balancing und zentralen Management-Konsolen Rechnung. Nach wie vor bleibt festzustellen, dass trotz der vielfältigen Sicherheitsfunktionen, die Firewalls heutzutage bereitstellen, die Absicherung des Internet-Anschlusses einer Behörde oder eines Unternehmens nicht ausschließlich auf der Firewall basieren sollte. Die Installation von Intrusion-Detection Systemen [debis98], Virenfiltern, etc. im internen Netz kann hier eine sinnvolle technische Ergänzung zur Erhöhung des Sicherheitsniveaus darstellen. Insbesondere ist die Einbettung in ein umfassendes IT-Sicherheitskonzept mit technischen, organisatorischen und personellen Maßnahmen erforderlich. 4.2 Filterung Paketfilter Das Grundproblem bei der Filterung der Internet-Kommunikation mit Paketfiltern liegt darin, dass die Entscheidung der Firewall darüber, ob ein Zugriff erlaubt oder abgewiesen werden soll, in der Regel auf den leicht fälschbaren Daten aus den Headern der verschiedenen Internet-Protokolle basiert. Paketfilter können an dieser Stelle statische oder auch dynamische, d. h. kontextabhängige Plausibilitätsprüfungen, auch stateful inspection genannt, durchführen. Ein Beispiel für eine statische Regel ist die Prüfung, ob die in einem Datenpaket angegebene Absenderadresse dem Netzwerksegment, aus dem dieses Paket kommt, zugeordnet werden kann. Dies dient der Abwehr von IP-Spoofing-Attacken, bei denen ein externer Angreifer durch die Verwendung interner Adressen versucht, unerlaubt Dienste in Anspruch zu nehmen. Eine dynamische Regel ist z. B. im Fall von UDP von Nutzen, um den Kontext zwischen einer Anfrage und der zugehörigen Antwort herzustellen [SAG97]. Auf diese Weise können eingehende Pakete von auf UDP basierenden Diensten, wie RPC, SNMP oder TFTP, dahingehend gefiltert werden, ob zu diesem Paket auch eine passende Anfrage vorliegt. Gegenüber einem Application Gateway bieten dynamische Paketfilter Performance-Vorteile. Aus sicherheitstechnischer Sicht ist hier jedoch Vorsicht geboten, da nach wie vor Angriffe bekannt werden, die die Zustandsverfolgung dynamischer Filter durch geeignete Konstruktionen täuschen [eso]. Die Konsequenzen sind in diesem Fall erheblich, da eine Überwindung des dynamischen Paketfilters in der Regel eine Bedrohung des zu schützenden Netzes bedeutet Applikationsfilter Applikationsfilter, auch Proxies genannt, trennen den direkten Datenstrom zwischen externem und internem Netz. Der Proxy trennt die direkte Kommunikationsbeziehung zwischen Client und Server und übernimmt als Stellvertreter die Kommunikation zum Zielrechner. Auf diese Weise können gezielt einzelne applikationsspezifische Features (z. B. FTP put) gefiltert werden. Ebenso sind Applikationserweiterungen, wie z. B. die Integration 4

10 Kapitel: 4 Überblick über den Stand der Technik einer Authentisierung, möglich. Derzeit ist der Einsatz von Proxies für HTTP und SMTP gebräuchlich. Daneben bieten verschiedene Hersteller auch Proxies für FTP, NNTP, telnet, SQL oder auch weitere Dienste an. Der Nutzen des Einsatzes von Proxies ist am Beispiel der durch das Protokoll FTP aufgeworfenen Probleme für Firewalls zu erkennen [SAG97]. Der Proxy dient hier dazu, den Kontext zwischen dem Aufbau einer FTP Verbindung und dem anschließenden Datentransfer über einen eigens dafür geöffneten Port zu verfolgen. Mit dieser Aufgabe haben statische und dynamische Paketfilter Probleme. Derzeit kann eine wirkungsvolle Zugriffskontrolle für FTP nur durch einen Proxy realisiert werden Filterung und Verschlüsselung An dieser Stelle ist auch auf die Problematik, die beim Einsatz von Firewalls in Verbindung mit der Verwendung verschlüsselter Kommunikation entsteht, hinzuweisen (siehe z. B. [BSI00]). Prinzipiell kann die Firewall verschlüsselte Inhalte, wie sie z. B. bei der Verwendung von HTTPS, PGP, S/MIME oder SSH auftreten können, nicht auf Schadinhalte prüfen. Abhilfe kann hier durch die Zwischenschaltung eines Proxys geschaffen werden, auf dem die verschlüsselten Inhalte entschlüsselt und dann wieder verschlüsselt werden. Dadurch wird das Prinzip der Ende-zu-Ende Sicherheit verletzt. Welche Gefahren hier in erster Linie begrenzt werden sollen und welche Risiken einzugehen sind, ist letztendlich als Bestandteil in einer behörden- oder unternehmensweiten Security Policy festzulegen. 4.3 Hardware, Betriebssystem und dessen Absicherung Die Absicherung gegenüber dem Internet wird nicht allein durch die Firewall Software, sondern durch ein System, das die Hardware-Komponenten ebenso wie das Betriebssystem einschließt, erbracht. Bei der Bewertung der Sicherheit des Internet-Anschlusses sind alle diese Komponenten mit zu berücksichtigen. Die Notwendigkeit der Einschränkung und Absicherung des Betriebssystems auf dem Rechner, der für die Firewall vorgesehen ist, wird in [SAG97] und auch in [BSI00] erläutert. Da regelmäßig neue Schwachstellen der aktuellen Betriebssystemversionen bekannt werden, ist hier eine kontinuierliche Aktualisierung notwendig. Hierfür haben die Hersteller eigene Informationsforen auf ihren Internet-Seiten eingerichtet. Darüber hinaus gibt es Organisationen, die aktuelle Meldungen über neue Schwachstellen und geeignete Gegenmaßnahmen z. B. über mailing lists verteilen. Als Beispiel sei hier das DFN-CERT (http://www.cert.dfn.de/) genannt. Verschiedene kommerzielle Anbieter bieten zusätzliche Dienste, wie etwa die Möglichkeit, in einer Datenbank die Informationen über die individuelle Systemlandschaft zu pflegen. So ist leicht zu erkennen, welche neuen Schwachstellen für die eigene Organisation relevant sind, welche Gegenmaßnahmen bereits durchgeführt wurden, welche Aktionen noch unerledigt sind, oder welche Risiken man bewusst bereit ist, einzugehen. Neben der zeitnahen Behebung von Schwachstellen des Betriebssystems ist es wichtig, während des Betriebs der Firewall auch auf die Konsistenz des Betriebssystems zu achten. Nicht nachvollziehbare Änderungen sind ein Hinweis auf erfolgte Angriffe von außen oder auch auf Versuche interner Nutzer das System für evtl. unerlaubte Aktionen zu öffnen. Hierfür sind Tools, die die Integrität von Systemdateien in regelmäßigen Abständen prüfen, geeignet. Im Umfeld von Unix ist an dieser Stelle beispielsweise das Werkzeug tripwire (http://www.tripwire.com/) zu nennen. Vergleichbare Programme sind auch für das Betriebssystem Windows NT verfügbar. Dabei ist darauf zu achten, neben dem Dateisystem auch bestimmte Inhalte der Registry Datenbank einer Integritätsprüfung zu unterziehen. Verschiedene Sicherheitstools bieten diese Dienste. Schwieriger ist das Ergreifen von Gegenmaßnahmen bei Schwachstellen in der eingesetzten Hard- oder Firmware, wie z. B. Prozessoren, Netzwerkkarten oder BIOS. Hier empfiehlt sich z. B. der Blick in kommerzielle Schwachstellen-Datenbanken, um bereits bei der Kaufentscheidung Sicherheitsaspekte berücksichtigen zu können. 4.4 Administration, Überwachung, Protokollierung und Alarmierung Häufig werden bei Behörden und Unternehmen nicht mehr nur eine, sondern mehrere Firewalls - zum Teil auch mit unterschiedlichen funktionalen und sicherheitstechnischen Anforderungen - betrieben. In diesem Zusammenhang sind nicht nur Cluster-Lösungen, sondern auch komplexere DMZs zu nennen. Schließlich kann der Einsatz von Firewalls zur Segmentierung eines internen Netzes, zur gleichzeitigen Absicherung mehrerer Netzübergänge, oder zur Abgrenzung gegenüber einem Corporate Network oder den Anschlüssen eines Kooperationspartners dienen. Eine wesentliche Anforderung der Anwender ist in jedem Fall die Möglichkeit der zentralen Administration und Überwachung aller eingesetzten Firewalls. An dieser Stelle ist ggf. auch die Integration von Fremdprodukten gewünscht, wenn etwa für die Absicherung zum Corporate Network hin ein einfacher Paketfilter als ausreichend angesehen wird. 5

11 Kapitel: 4 Überblick über den Stand der Technik Die gängigen Produkte stellen detaillierte Mechanismen zur Protokollierung des überwachten Datenverkehrs zur Verfügung. Neben der Möglichkeit, die Protokolldaten nach den individuellen Bedürfnissen zu konfigurieren, ist es vordringlich, geeignete Werkzeuge zur Auswertung dieser Daten an der Hand zu haben. Hier bieten verschiedene Hersteller Zusatzkomponenten an. Sinnvoll ist an dieser Stelle auch die Anbindung an ein Intrusion Detection System (siehe auch Abschnitt 4.11, Intrusion Detection Systeme ). Ein wichtiges Element der Überwachung stellt die Alarmierung bei definierten, kritischen Ereignissen dar. Auch hier ist bei einem Einsatz mehrerer Firewalls darauf zu achten, dass die Weiterleitung der Alarmmeldungen zu einer zentralen Instanz möglich ist. Sind mehrere Firewalls einer Behörde oder eines Unternehmens von einem externen Netz, wie z. B. dem Internet aus erreichbar, so ist es aus sicherheitstechnischer Sicht von Vorteil, wenn die Möglichkeit besteht, die Log Daten, die an diesen Firewalls anfallen, konsolidieren zu können um sie in ihrer Gesamtheit auszuwerten. Gerade in komplexeren Umgebungen wird die Firewall-Administration oft von mehreren Personen durchgeführt, die ihrerseits jeweils nur einen Teilaspekt bearbeiten. So kann es auftreten, dass ein Administrator lediglich die Verwaltung eines Proxys übernimmt, um z. B. einzelnen Anwendern eines Unternehmens oder einer Behörde Zugang zu Diensten wie FTP oder Telnet zu ermöglichen. Unter solchen Gesichtspunkten ist es wünschenswert, wenn ein Firewall-Produkt es ermöglicht, unterschiedliche administrative Rollen mit den entsprechenden Zugriffsrechten zu definieren und zuzuordnen. Insbesondere ist die Schaffung einer von der Administration unabhängigen Rolle zur Revision der Firewall-Aktivitäten wichtig (siehe auch Abschnitt 4.6, Revision ). Weitere Möglichkeiten bieten sich beim Management durch die Realisierung eines SNMP-Agenten an. Hier ist insbesondere Vorsicht bei der Absicherung gegenüber unberechtigten Zugriff auf den SNMP-Agenten geboten. Der ursprüngliche SNMP-Standard bietet keine starke Authentisierung des Managers und verfügt auch über keine Mechanismen zum Schutz der übertragenen Daten. 4.5 Zusatzsoftware für GUI Aus sicherheitstechnischer Sicht ist zu beachten, dass eine zur Unterstützung des GUI für die Administration notwendige zusätzliche Software (z. B. X11 oder Java) ungewollt zusätzliche Schwachstellen auf dem Firewall- Server verursachen kann. Hier kann eine Verlagerung des GUI auf eine zentrale Managementstation Abhilfe schaffen. Die Administrationsbeziehung sollte durch netzwerktechnische Mechanismen zusätzlich gesichert werden. So kann z. B. die Administration über ein eigenes Netzwerksegment durchgeführt werden, für das die entsprechenden Dienste eigens freigeschaltet wurden. 4.6 Revision Die Revision stellt einen organisatorischen Kontrollmechanismus dar, mit dem eine regelmäßige Prüfung des ordnungsgemäßen Betriebs und dessen Nachvollziehbarkeit ermöglicht werden soll. Die Revision ist eine von der Administration getrennte Rolle. Revisoren haben ausschließlich lesenden Zugriff auf alle betriebsrelevanten Daten der Firewall. Hierzu zählen Konfigurations- ebenso wie Protokolldaten. Zum Zweck der Nachvollziehbarkeit ist es wichtig, dass für jede relevante Aktion festgehalten ist, von wem sie zu welchem Zeitpunkt und auf Grund welchen Anlasses durchgeführt wurde. Die Verlässlichkeit der in diesem Zusammenhang verwendeten Daten, wie Authentisierungsinformationen, Zeitstempel und sonstige Informationen, sowie deren Vollständigkeit sind ein Maß für die Revisionstauglichkeit eines Systems. Insbesondere ist es wichtig, dass die für die Revision notwendigen Daten nicht unbemerkt manipuliert werden können. Die Protokolldaten sind darüber hinaus von erheblichem Nutzen, wenn es gilt, zu bestimmten Vorfällen Nachforschungen anzustellen. Sie können z. B. bei Rechtsstreitigkeiten als Beweismittel herangezogen werden. 4.7 Authentifizierung Aufgrund von Unzulänglichkeiten (z. B. den Problemen bei der Zuordnung zwischen IP-Adresse und Benutzer) bei der auf den Informationen der Standardprotokolle basierenden Zugriffskontrolle ist die Verwendung erweiterter Authentifizierungsmethoden auf der Firewall sinnvoll. Einerseits besteht oft der Wunsch, den lokalen Benutzern bei der Verwendung des Internets unterschiedliche Rechte zuzuordnen. An dieser Stelle kann die Integration der Firewall in die Rechteverwaltung des internen Netzes vorteilhaft sein. Andererseits besteht die Möglichkeit, den Zugang externer Nutzer zum lokalen Netz durch starke Authentifizierungsmethoden, wie SecurID oder S/Key zu regeln. Verschiedene Firewall Produkte bieten in diesem Zusammenhang eine out-of-band Authentifizierung von Benutzern an. Diese erlaubt nach einer erfolgreichen starken Authentifizierung eines externen Benutzers, z. B. via telnet, eine Freischaltung von TCP- und UDP-Diensten. Dies ist für die Unterstützung bestimmter Anwendungen von Nutzen, die keine eigene starke Authentifizierung anbieten. 6

12 Kapitel: 4 Überblick über den Stand der Technik Die Hersteller von Firewall-Produkten integrieren zum Teil Fremdprodukte für die Realisierung von Authentifizierungsfunktionen. 4.8 Virtuelle Private Netze Virtuelle private Netze stellen die Kopplung mehrerer zentraler und dezentraler Lokationen über ein öffentliches Netz dar. Ein Spezialfall eines VPN ist der remote Zugriff externer Nutzer über die Firewall auf interne Ressourcen. An dieser Stelle ist die Unterstützung von Standards wie X.509 und IPSec bedeutend, um beim Einsatz des Remote Systems nicht auf ein proprietäres Produkt angewiesen zu sein. Auch an dieser Stelle setzen die Hersteller vermehrt auf die Integration oder Anbindung von Fremdprodukten, sowohl für die Bereitstellung der Verschlüsselungsoperationen für den Datenverkehr, wie auch für den Aufbau und den Betrieb einer Schlüsselinfrastruktur (z. B. PKI). 4.9 Verhalten bei Ausfall oder Störungen Die Firewall stellt einen wichtigen Mechanismus zum Schutz sensibler Ressourcen einer Organisation vor unberechtigtem Zugriff dar. Aus diesem Grund ist es wichtig, dass vorab Klarheit besteht, welchen Risiken eine Organisation bei einem Ausfall von Teilen oder des gesamten Firewall-Systems ausgesetzt ist. Das Verhalten der Firewall bei solchen Geschehnissen sollte vorab festliegen, bzw. konfigurierbar sein. Einerseits sollte die Möglichkeit eines administrativen Zugriffs zum Zweck der Fehlererkennung und evtl. auch der Fehlerbehebung bei partiellen Ausfällen aufrechterhalten bleiben. Während andererseits eine Konfigurationsmöglichkeit bestehen sollte, bei erkannten Ausfällen zunächst jeglichen Verkehr zu unterbinden. Auf diese Weise kann der Administrator zunächst versuchen, die möglichen Fehlerursachen zu eruieren, und gegebenenfalls erfolgte Eindringversuche abwehren, bevor weiterer Verkehr über die Firewall geleitet wird Virenscanner und Content Checking Seit längerem ist bekannt, dass über Mail oder andere Protokolle Schadprogramme, wie etwa Viren in das interne Netz eingeschleust werden können. Gleiches gilt für Applikationen wie solche auf der Basis von Java, JavaScript oder Active X, die über HTTP übertragen werden können. Während die meisten Hersteller gegenwärtig Virenscanner als Plug-ins für ihre Firewalls anbieten, sind derzeit content-checking-module für Java, etc. noch selten, wie aus Kapitel 8 zu ersehen ist. Ein zufrieden stellendes Maß an Sicherheit kann hier nach wie vor nur durch das generelle Sperren dieser Dienste oder durch den Einsatz zusätzlicher Sicherheitsmechanismen auf den Clients erreicht werden Intrusion Detection Systeme IDS nutzen neben selbst erhobenen Daten auch die Betriebssystem- und Protokolldaten verschiedener Systeme, um unberechtigten Aktionen oder Eindringversuchen auf die Spur zu kommen. Im Rahmen einer mehrstufigen Absicherung gegenüber Gefahren aus dem Internet ist deren Einsatz durchaus empfehlenswert. Es ist naheliegend, bei der Auswahl eines IDS darauf zu achten, dass die Protokolldaten, die an der Firewall anfallen, in das IDS integriert werden können. In diesem Zusammenhang werden von verschiedenen Herstellern Schnittstellen zur Verfügung gestellt Softwareanbindungen Die Unterstützung offener Standards ist von Nutzen, um ein Firewall-Produkt in die IT-Landschaft einer Organisation einbinden zu können. In vorangegangenen Abschnitten wurde die Unterstützung solcher Standards für den Bereich VPN (siehe Abschnitt 4.8) oder auch bei der Anbindung von ID-Systemen (siehe Abschnitt 4.11) erwähnt. Auch für die Virusprüfung und das Content Checking ist das Anbieten von Softwareschnittstellen sinnvoll. Ein weiterer Standard, SNMP, kann im Rahmen der Administration Anwendung finden. Hier ist insbesondere Vorsicht bei der Absicherung gegenüber unberechtigtem Zugriff auf den SNMP-Agenten geboten (siehe in diesem Zusammenhang auch Abschnitt 4.4) URL-Blocking In vielen Anwendungsfällen kann die Einschränkung der Nutzung des Internets sinnvoll sein. An dieser Stelle sind Firewall-Zusätze gefragt, die die Internet Anfragen der Benutzer kategorisieren und gegebenenfalls blocken. Als Beispiel sei hier das Sperren von URLs mit vorwiegend pornographischen Inhalten genannt, das aus Gründen des Jugendschutzes erforderlich sein kann. 7

13 Kapitel: 4 Überblick über den Stand der Technik Für URL-Blocking stellen mittlerweile Drittanbieter Lösungen zur Verfügung, die von Firewall-Herstellern unterstützt werden. Eine weitere geeignete Stelle für die Implementierung eines URL-Filters ist der HTTP-Proxy. Es sei ohne ausführliche Erläuterungen an dieser Stelle darauf hingewiesen, dass derzeit erhältliche Produkte im Bereich URL-Blocking Unzulänglichkeiten bei der Zuordnung von IP-Adressen zu Firmen, Organisationen oder Personen aufweisen. Der Grund dafür ist zu einem großen Teil in der fehlenden Reglementierung bei der Nutzung von IP-Adressen begründet. Ein Überblick über aktuelle Produkte und deren Leistungsfähigkeit ist in [secorvo99] zu finden. Jüngste Produktansätze basieren nicht mehr auf der URL-basierten Filterung sondern typisieren Web-Inhalte mit der Hilfe von Techniken aus dem Bereich der künstlichen Intelligenz. Diese Ansätze werden durch die Hypothese begründet, dass Web-Seiten, die einem bestimmten Thema zugeordnet werden können, auch über einen typischen Aufbau verfügen. Laut Herstellerangaben können so die Fehlerraten bei der Typisierung von Web-Seiten stark reduziert werden. Bisher wurden jedoch keine methodischen Untersuchungen zu diesem Thema veröffentlicht Hochverfügbarkeit, Bandbreitenmanagement und Lastverteilung Der steigenden Nachfrage nach Hochverfügbarkeits- und Hochleistungslösungen tragen die Hersteller durch Cluster-Konzepte Rechnung. Wesentliche Bestandteile solcher Lösungen sind der Einsatz von load-balancing- Systemen und die Möglichkeit der zentralen Administrierbarkeit der einzelnen Firewalls. Die Hersteller binden an dieser Stelle in der Regel Produkte von Drittanbietern ein. Aus funktionaler Sicht ist zu beachten, dass kontextabhängige Information für dynamische Filter oder auch Proxies über das gesamte Firewall-Cluster hinweg verfügbar ist. Auch ohne Clustering können durch ein Bandbreitenmanagement gewisse Benutzergruppen bevorzugt, bzw. sogar bestimmte Bandbreiten für einzelne Benutzergruppen oder Applikationen garantiert werden. Derartige Funktionen werden von verschiedenen Firewall-Produkten durch ein integriertes Quality-of-Service Management erbracht. Zugleich bieten diese QoS-Managementsysteme oft den Kern für Abwehrmechanismen gegen DoS-Attacken Verteilte Firewalls und die Abwehr von DoS-Attacken Gegen DoS-Attacken ist das in [Bell99] vorgestellte Prinzip der Distributed Firewall gerichtet. Eine nach diesem Prinzip aufgebaute verteilte Firewall besteht aus einer Reihe von Systemen, die untereinander über IPSec kommunizieren und von denen ein jedes einen definierten Übergangspunkt zum internen Netz darstellt. Wird eines dieser Systeme Opfer eines DoS Angriffs, so werden die internen Verbindungen zu diesem unterbrochen, während die restlichen Systeme die angebotenen Internet Dienste aufrecht erhalten. Neben der Möglichkeit, Ausweichrouten als Abwehr von DoS-Attacken einzusetzen, bietet es sich auch an, den Datenstrom, der die Attacke verursacht, möglichst frühzeitig, das heißt nahe an der Quelle, einzudämmen bzw. zu unterbinden. Solche Maßnahmen können nur in Übereinkunft mit den Internet-Providern wirksam umgesetzt werden. Ein mögliches Vorgehen ist, beim Erkennen einer Attacke (siehe Abschnitt 4.4) deren Quelle oder Quellen zu identifizieren und diese dem Internet-Provider mitzuteilen. Dieser kann den Datenstrom dann genauer analysieren und eindämmen, wodurch nicht nur der attackierte Server, sondern auch die verwendeten Übertragungsleitungen entlastet werden. Eine Automatisierung dieses Vorgehens ist derzeit bei keinem Hersteller vorgesehen Persönliche Firewalls Die Entwicklung der als persönliche Firewalls bezeichneten Produktlinie ist auf die Absicherung der lokalen Ressourcen eines Clients zugeschnitten. Als alleinige Maßnahme für die Absicherung eines Behörden- oder Unternehmensnetzes gegenüber Angriffen aus dem Internet sind persönliche Firewalls ungenügend. Der Einsatz dieser Firewalls würde bedingen, alle ans Internet angeschlossenen Clients zu härten, d. h., die potenziellen Schwachstellen des Betriebssystems zu beheben. Das Management und die Auswertung der Protokolldaten der einzelnen Firewalls gestaltet sich, wie bei jeder dezentral eingesetzten Software, als aufwendig. Derzeit verfügbare Produkte weisen hier noch einen erheblichen Optimierungsbedarf auf. Vom Hersteller angebotene Sicherheitsprofile bieten hier eine praktikable Konfigurationsmöglichkeit. Als Ergänzung zu einer zentralen Firewall kann der Einsatz persönlicher Firewalls durchaus sinnvoll sein. Prinzipiell ist es z. B. möglich, mit ihnen die Prüfung auf Schadsoftware, die über , Java, ActiveX oder ähnlichen Mechanismen übertragen werden kann, auf den Clients vorzunehmen. Hierfür können Mechanismen, wie sand boxes zum Einsatz kommen, mit denen der Zugriff von Applikationen, die vom Internet auf das lokale 8

14 Kapitel: 4 Überblick über den Stand der Technik System übertragen werden (Java, ActiveX, etc.), eingeschränkt werden kann. Mit ihnen wird die Aufgabe der Prüfung auf Schadsoftware dezentralisiert und damit das Firewall-System entlastet. Ein weiterer Vorteil liegt darin, dass die im Abschnitt 4.2.2, Applikationsfilter geschilderte Problematik der Filterung von verschlüsselten Daten auf der Firewall umgangen werden kann Sicherheitskonzeption In den vorangegangenen Abschnitten wurden technische Leistungen von Firewalls kurz aufgezeigt. Gerade wegen der Vielzahl unterschiedlicher Einsatzszenarien und Zusatzfunktionen ist es notwendig, sich vor dem Einsatz einer Firewall Klarheit über die eigene Zielsetzung (z. B. Security Policy) und die spezifischen Anforderungen zu verschaffen. Insbesondere sollten folgende Punkte in ein Sicherheitskonzept aufgenommen werden: Einsatzzweck (unterstützte Geschäftsprozesse, notwendige Funktionen) Notwendige Schutzwirkung (Identifikation der bedrohten Werte, Bewertung der Risiken, Definition geeigneter Sicherheitsmaßnahmen) Richtlinien für die Definition von Firewall-Regeln und insbesondere für den Nachweis von deren Konsistenz Technische Anforderungen (Abschätzung des zu erwartenden Durchsatzes, Definition von Verfügbarkeitsanforderungen, Integration in die IT-Umgebung) Betriebliche Anforderungen (Anforderungen an die Administration und den Support) Bei der Erstellung eines Firewall-Konzepts ist auf dessen Fortführung und Umsetzung im täglichen Betrieb zu achten. Die Vorgaben für Filterregeln sollten den laufenden organisatorischen Änderungen des IT-Betriebs (Aufnahme neuer Benutzer, Änderung von Benutzerrechten) Rechnung tragen. Effiziente Filterregeln sind gruppenorientiert. Bei der Änderung von Benutzerrechten sind dann lediglich Gruppenzugehörigkeiten zu ändern. Hilfestellung bei der Sicherheitskonzeption bietet hier z. B. das BSI Grundschutzhandbuch [BSI00] Bedeutung der Zertifizierung Um Sicherheitseigenschaften von Produkten nachweisbar und vergleichbar zu machen, wurden standardisierte Kriterienkataloge für die Zertifizierung von Produkten im IT-Umfeld definiert. In diesem Zusammenhang sind der europäische Kriterienkatalog ITSEC (Information Technology Security Evaluation Criteria, [ITSEC91]) und der internationale Kriterienkatalog der Common Criteria [CC99] zu nennen. Verschiedene Firewall-Hersteller haben einzelne Versionen ihrer Produkte nach diesen Kriterien zertifizieren lassen. Nach ITSEC oder CC zertifizierte Produkte können in ihren Konfigurationsmöglichkeiten stark eingeschränkt sein, zumindest wenn das Produkt so betrieben werden soll, wie es zertifiziert wurde. Die Tatsache, dass ein Hersteller ein zertifiziertes Produkt führt, lässt darauf schließen, dass speziell bei der Produktentwicklung und dokumentation bestimmte Mindestanforderungen erfüllt sind, sofern höhere Zertifizierungsstufen wie etwa ITSEC E3 oder CC EAL4 erreicht werden. In diesem Zusammenhang ist auch auf [Co00] hinzuweisen. Neben den o. g. Standards werden von weiteren Organisationen, wie etwa ICSA [ICSA], Produktzertifizierungen angeboten. 9

15 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Neben den sicherheitstechnischen Eigenschaften einer Firewall ist ebenso die Unterstützung durch den Hersteller für den Anwender von Wert. Im Verlauf der Studie wurden allgemeine Angaben über die zu untersuchenden Produkte und die Hersteller, bzw. Vertriebspartner aufgenommen. Diese Informationen werden nicht für die Bewertung der einzelnen Produkte herangezogen. Sie können jedoch ebenfalls zu einer Kaufentscheidung beitragen und sind im Anhang A zu finden. Die folgende Tabelle gibt die Art der aufgenommenen Informationen wieder. Information A Produktumfeld A.1 Adressen A.1.1 Adresse (Headquarter) Firma Adresse Adresse Ort PLZ Staat Land Produkt-Support Telefon Fax Web-URL A.1.2 Adresse (Deutschland) Firma Straße PLZ Ort Produkt-Support Telefon Fax Web-URL A.2 Hardware / Software / Betriebssystem A.2.1 Hardwarelösung Hardwarelösung Mitgeliefertes Betriebssystem Hardening des Betriebssystems Erläuterung Wird eine komplette Hardware mit geliefert? Wenn ein Betriebssystem mitgeliefert wird, welches? Wenn ein Betriebssystem mitgeliefert wird, wurde dieses 10

16 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information A.2.2 Mitgeliefertes Betriebssystem in einer Minimalinstallation Unterstützte CPU Architektur Softwarelösung Softwarelösung Unterstütze Betriebssysteme Unterstützte CPU Architektur Hardening des Betriebssystems A.3 Releases / Updates / Patches / Konfigurationsmanagement A.3.1 A.3.2 A.3.3 Releases Datum des ersten Releases Datum der neuesten Releases Neuestes Release für z. B. NT Neuestes Release für z. B. AIX Neuestes Release für Betriebssystem XY Neueste Release Version Getestete Version Notifikation neuer Releases Patches Notifikation Updates Notifikation Schwachstellen Anzahl der veröffentlichten Patches in 1999 Anzahl der veröffentlichten Patches im Zeitraum von Januar bis Juli 2000 Konfigurationsmanagement Derzeit im Einsatz befindliche Produktversionen Versionspflege und Konfigurationsmanagement Fehlermanagement Vorgehen bei Mitteilungen über Fehler aus externen Quellen Zuordnung von Schwachstellen zu Patches Erläuterung sicherheitstechnisch gestärkt? Wenn ein Betriebssystem mitgeliefert wird, wurde dies auf seine Minimalfunktionen reduziert? Welche CPU Architekturen werden unterstützt? Sind die angebotenen Firewalls reine Softwarelösungen? Welche Betriebssysteme werden von den Firewalls unterstützt? Welche CPU Architekturen werden unterstützt? Wird bei der Installation das Betriebssystem sicherheitstechnisch gestärkt? Mitteilungsweg für neu erschienene Releases Mitteilungsweg für neu erschienene Updates / Patches Mitteilungsweg für neu entdeckte Schwachstellen im Produkt und unterstütztem Betriebssystem Sind beim Kunden installierte Produktstände mit einer eindeutigen Versionsnummer versehen? Lassen sich ausgelieferte Produktstände beim Hersteller rekonstruieren? Generelle Vorgehensweise bei der Aufnahme von Fehlermeldungen, der Fehlerbehebung und -dokumentation Wie werden Fehlermeldungen aus externen Quellen aufgenommen und weiter verfolgt? Ist eine Zuordnung von Fehlermeldungen zu Releaseständen möglich? Wichtig ist das Wissen darüber, welche Versionen welche Fehler aufweisen und mit welchen Patches diese gegebe- 11

17 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information A.4 Preisstruktur A.4.1 A.4.2 A.4.3 Basisprodukt Eingangspreis Limitationen bei Einstiegsprodukt Im Eingangsprodukt enthaltene Features Preisstruktur Preisstruktur Zusatzprodukte Zusätzlich angebotene Features Z. B. Verschlüsselung Z. B. Authentisierung Z. B. Content Inspection Erläuterung nenfalls behoben werden können. Preis des Einstiegsproduktes Bspw. limitierte Anzahl der möglichen Benutzer beim Einstiegsprodukt Bspw. spezielle Verschlüsselungsalgorithmen Sofern unterschiedliche Produktversionen angeboten werden Angaben zur Staffelung der Produkte, Lizensierungsmodelle (Anzahl Clients, etc.), Bekanntgabe der Preise (z. B. auch online) Zusätzliche Kosten für weitere Features, z. B. Verschlüsselung A.4.4 Beispielszenarien Die im Anhang A an dieser Stelle erfolgenden Ausführungen stellen reine Herstellerempfehlungen dar. Kleines Unternehmen / Behörde (50 Pers., 128 Kbit Anschluss) Mittelgroßes Unternehmen / Behörde (300 Pers., 2 Mbit Anschluss) Großes Unternehmen / Behörde (1000 Pers., 4 Mbit Anschluss) A.5 Dokumentation A.5.1 Allgemein Sprachen Medien Inhaltsverzeichnis Index FAQ Liste In der Produktlieferung enthaltene Dokumentation Dokumentation zum Hardening des Betriebssystems Aktualisierung der Dokumentation Englisch, Deutsch, etc. Papier, PDF, HTML, Postscript, sonstige Ausführlichkeit Ausführlichkeit Z. B. aufgrund neu bekannt gewordener Schwachstellen A.5.2 Inhalt An dieser Stelle wurden auch Erfahrungen, die im Verlauf der für die Durchführung der Performancetests erforderlichen Installations- und Konfigurationstätigkeiten gesammelt wurden, berücksichtigt. Gliederung Qualität des Aufbaus der Dokumentation 12

18 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Information Beschreibung der Systemvoraussetzungen Unterschiede zu älteren Software- Versionen Firewall Theorie Erläuterung Für Solaris und Windows; Aussagen zu notwendigen Patches für die verschiedenen Plattformen Beschreibung der Unterschiede für Solaris und Windows Allgemeine Einführung; Definition der Erwartungshaltung (der Einsatz einer Firewall löst nicht alle Sicherheitsprobleme, vielmehr ist eine Firewall in ein Gesamtsicherheitskonzept einzuordnen); Erläuterung möglicher Einsatzszenarien und -architekturen. A.5.3 Praxis An dieser Stelle wurden auch Erfahrungen, die im Verlauf der für die Durchführung der Performancetests erforderlichen Installations- und Konfigurationstätigkeiten gesammelt wurden, berücksichtigt. Anleitung zur Definition von Regeln Troubleshooting Literaturliste, Quellenangaben Angabe von Quellen für Fehler und Updates Verweis auf Support A.6 Support / Schulung A.6.1 A.6.2 Support Kostenloser Support Zeitraum des kostenlosen Supports Kostenpflichtiger Support Art der enthaltenen Supportleistungen Schulung Schulungsangebot A.7 Verbreitung A.7.1 A.7.2 Anzahl der Installationen Anzahl der Installationen weltweit Anzahl der Installationen in Deutschland Kommentar des Herstellers Herstellerkommentar Tabelle 1: Allgemeine Kriterien an das Produkt. Art des Supports, z. B. Telefon, Internet, Persönlich Kostenloser Support im Grundpreis eingeschlossen? Z. B. Updates, Patches, etc. Die Aussagen zur Anzahl der Installationen basieren auf Herstellerangaben Die Aussagen zur Anzahl der Installationen basieren auf Herstellerangaben Evtl. Referenzen, Aussagen zur weiteren Produktplanung, Vermarktungsstrategien, etc. Im Kapitel 4, Überblick über den Stand der Technik wurden die derzeit von Firewall Produkten angebotenen funktionalen Leistungen und generelle Anforderungen an Firewalls kurz vorgestellt. Auf Basis dieser Ausführungen werden in diesem Kapitel Kriterien vorgestellt, nach denen die Beurteilung der Sicherheit der zu untersuchenden Firewall Produkte durchgeführt werden soll. Im Rahmen der Beurteilung sind die einzelnen Sicherheitskriterien unterschiedlich gewichtet. Solche Kriterien, deren Erfüllung für die Sicherheitsfunktionalität einer Firewall entscheidend sind, sind fett gekennzeichnet. Der Grad der Erfüllung wird durch die Symbole, und angegeben. Die Bedeutung dieser Symbolik ist in Tabelle 2 erläutert. 13

19 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Der Erfüllungsgrad eines Produkts wurde mit abnehmender Gewichtung auf Grund der Erfahrungen und Ergebnisse aus der Installation, Konfiguration und der Durchführung der Performance-Tests, auf Basis der zur Verfügung stehenden Produktinformation und anhand von Fragebögen, die an die Hersteller verschickt wurden, bestimmt. Die durch den Projektrahmen vorgegebenen Limitationen erlaubten nicht in jedem Fall eine Prüfung der von den Herstellern gemachten Aussagen. Symbol Erfüllungsgrad Die geforderten Kriterien werden nicht in zufriedenstellender Weise erfüllt. Die geforderten Kriterien werden in zufriedenstellender Weise erfüllt. Das Produkt bietet in dem genannten Bereich entweder eine äußerst zufriedenstellende Lösung oder erheblich mehr Funktionalität als gefordert. Tabelle 2: Erläuterung der bei der Beurteilung verwendeten Symbole. Die folgende Tabelle gibt einen Überblick über die im Rahmen der Studie angewendeten Sicherheitskriterien: B Sicherheitskriterium Bezug bzw. Erläuterung B.1 Administration Siehe Abschnitt 4.4, Administration, Überwachung, Protokollierung und Alarmierung. B.1.1 B.1.2 Layout Unterstützte Layouts: Grafische Oberfläche Command line Konfigurationsdatei Zusätzlich für das GUI notwendig Software Fernadministration Zentrale Administrationskonsole für mehrere Firewalls Authentifizierungsmechanismen die Administration für Ist für ein GUI Zusatzsoftware erforderlich, so sollte die in diesem Zusammenhang zu installierende Software oder die in diesem Zusammenhang anzubietenden Dienste miminal gehalten werden. Es sollte also möglich sein, z. B. entweder Java oder X11 nicht aber beide Softwarepakete auf der Firewall für das GUI einzusetzen. Außerdem sollte im Rahmen der Installation der Firewall die Möglichkeit bestehen, das Produkt auch ohne GUI und der dazu notwendigen Software zu installieren. Wird z. B. ein SNMP-Agent unterstützt? Entscheidend sind Art und Stärke der verwendeten Verfahren und die Unterstützung von Standards. Wichtig ist die Unterstützung starker Authentifizierungsverfahren (Begriffsverwendung nach ITU X.509). So ist z. B. beim Einsatz eines auf Passwortverschlüsselung basierenden Authentifizierungsmechanismus eine Verschlüsselung mit Schlüssellängen von 56 Bit (DES) nicht länger als stark zu bewerten. Gefordert wird in diesem Fall der Einsatz von Triple-DES. Nach Möglichkeit sollten starke Authentisierungsmechanismen für die Administration im Standardprodukt enthalten sein und nicht den Zukauf zusätzlicher Pakete erfordern. 14

20 Kapitel: 5 Generelle Angaben zum Produkt und Kriterien zur Bewertung der Funktionalität Verschlüsselungsalgorithmen B.1.3 Definition unterschiedlicher administrativer Rollen Möglichkeit der Definition unterschiedlicher administrativer Rollen Bezug bzw. Erläuterung Entscheidend sind Art und Stärke der verwendeten Verfahren und die Unterstützung von Standards. Von Vorteil ist auch die Berücksichtigung der Exportkontrolle, d. h. das Anbieten länderspezifischer Produktkonfigurationen. B.2 Revision Siehe Abschnitt 4.6, Revision. B.2.1 B.2.2 Revisionsfähigkeit Revisionsfähigkeit hinsichtlich: Nachvollzug von Änderungen am Regelwerk Nachvollzug von Änderungen an den Protokollierungseinstellungen Nachvollzug von Änderungen an den Protokolldaten Fernrevision B.3 Filterung Zentrale Station für die Revision mehrerer Firewalls Authentifizierungsmechanismen Verschlüsselungsmechanismen Für die Revisionsfähigkeit ist einerseits die Möglichkeit des lückenlosen Nachvollzugs der Konfiguration und des Betriebs der Firewall und andererseits die strikte Trennung zwischen Administration und Revision erforderlich. Hier sind die gleichen Anforderungen zu stellen wie unter dem Stichwort Authentifizierungsmechanismen in B.1.2, Fernadministration. Hier sind die gleichen Anforderungen zu stellen wie unter dem Stichwort Verschlüsselungsalgorithmen in B.1.2, Fernadministration. B.3.1 Paketfilter Siehe Abschnitt 4.2.1, Paketfilter. Paketfilter Stateful Packet Inspection Filterung der Pakete nach Outbound Inbound Filterung der Pakete generell getrennt nach den einzelnen Netzwerkschnittstellen Filterung getrennt nach TCP-Flags SYN ACK FIN Ist ein Paketfilter enthalten? Arbeitet der Paketfilter mit Stateful Packet Inspection? Können für inbound und outbound Traffic unterschiedliche Regeln definiert werden? Können für unterschiedliche Netzwerkschnittstellen verschiedene Regeln definiert werden? Ist es möglich, im Rahmen der Definition von Regeln, einzelne TCP-Flags zu filtern? Wenn ja, welche? 15

BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien

BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien BSI Firewall Studie II Anhang A Prüfung nach Sicherheitskriterien 1 Einleitung...2 2 Bull (Evidian) AccessMaster Netwall...3 3 CheckPoint FireWall-1...17 4 GeNUA GeNUGate...30 5 NAI Gauntlet Firewall...44

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

HOB Remote Desktop VPN

HOB Remote Desktop VPN HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Tel: 09103 / 715-0 Fax: 09103 / 715-271 E-Mail: support@hob.de Internet: www.hob.de HOB Remote Desktop VPN Sicherer Zugang mobiler Anwender und Geschäftspartner

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen

Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Verbindung von Intra- und Internet - Firewalls in Unternehmensnetzen Mit dem Aufbau des Internet zum weltweiten Informationssystem werden neue Möglichkeiten der kooprativen Zusammenarbeit geboten, die

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

VPN (Virtual Private Network) an der BOKU

VPN (Virtual Private Network) an der BOKU VPN (Virtual Private Network) an der BOKU Diese Dokumentation beschreibt Einsatzmöglichkeiten von VPN an BOKU sowie Anleitungen zur Installation von VPN-Clients. Zielgruppe der Dokumentation: Anfragen

Mehr

LEISTUNGSBESCHREIBUNG QSC -Firewall

LEISTUNGSBESCHREIBUNG QSC -Firewall Die QSC AG bietet Unternehmen und professionellen Anwendern mit dem Produkt eine netzbasierte Firewall-Lösung, die eine funktionale Erweiterung zu Q-DSL -Internetzugängen darstellt. Mit wird die Internetanbindung

Mehr

TECHNISCHE PRODUKTINFORMATION CARUSO

TECHNISCHE PRODUKTINFORMATION CARUSO 1111 TECHNISCHE PRODUKTINFORMATION CARUSO TECHNISCHE PRODUKTINFORMATION Seite 0/7 Inhalt 1 Systemdefinition............2 2 Technische Details für den Betrieb von CARUSO......2 2.1 Webserver... 2 2.2 Java

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

1 Einleitung... 1 1.1 Produkt Information... 2. 2 Funktionen... 3 2.1 Übersicht Basisfunktionen... 3 2.2 Add-in s... 3

1 Einleitung... 1 1.1 Produkt Information... 2. 2 Funktionen... 3 2.1 Übersicht Basisfunktionen... 3 2.2 Add-in s... 3 Betrifft Autoren Art der Info Quelle Microsoft Internet Security & Acceleration Server Stephan Hurni (stephan.hurni@trivadis.com) Thomas Hasen (thomas.hasen@trivadis.com) Technische Information, Positionierung

Mehr

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1 HOB RD VPN HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime Joachim Gietl Vertriebsleiter Central Europe 6/9/2008 1 HOB RD VPN Eine branchenunabhängige Lösung für alle Unternehmen die Ihren Außendienst

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell

Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell Remote-Administration von eingebetteten Systemen mit einem Java-basierten Add-On-Modell F. Burchert, C. Hochberger, U. Kleinau, D. Tavangarian Universität Rostock Fachbereich Informatik Institut für Technische

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

OpenSource Firewall Lösungen

OpenSource Firewall Lösungen Ein Vergleich OpenSource Training Webereistr. 1 48565 Steinfurt DFN-CERT Workshop 2006 OpenSource Training UNIX/Linux Systemadministration seit 1989 Freiberuflicher Dozent und Berater seit 1998 Autor mehrere

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

CosmosMonitoring Server von CosmosNet

CosmosMonitoring Server von CosmosNet Network Services without limitation. Cosmos Server von CosmosNet Cosmos Cosmos Server [CMS] Der Cosmos Server, erhältlich als zertifizierte Hardware Box, virtuelle Maschine oder Softwarelösung, ist eine

Mehr

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS

WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS WINDOWS APPLIKATIONEN UNTER LINUX/UNIX SECURE REMOTE ACCESS Dipl.-Ing. Swen Baumann Produktmanager, HOB GmbH & Co. KG April 2005 Historie 2004 40 Jahre HOB Es begann mit Mainframes dann kamen die PCs das

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel

12. Firewall 12-1. Inhaltsverzeichnis. 12.1. Skalierbarkeit. Stand: Dez. 2007. 12.Firewall...1. paedml 3.0. Firewall. Kapitel . Firewall Autor: Fritz Heckmann Stand: Dez. 2007 Inhaltsverzeichnis.Firewall...1.1.Skalierbarkeit...1.1.1. Ohne dezidierte Firewall...2.1.2. Einsatz einer Appliance...3.2.Konfiguration der Firewall...3.3.Zusammenfassung...5

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

Neueste Entwicklungen in der Firewall- Technologie

Neueste Entwicklungen in der Firewall- Technologie Neueste Entwicklungen in der Firewall- Technologie John Read http:// John.read@de.balabit.com 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

BETRIEBS- & SERVICE-VEREINBARUNGEN DER LEW TELNET GMBH FÜR MANAGED SERVER

BETRIEBS- & SERVICE-VEREINBARUNGEN DER LEW TELNET GMBH FÜR MANAGED SERVER BETRIEBS- & SERVICE-VEREINBARUNGEN DER LEW TELNET GMBH FÜR MANAGED SERVER 1 ALLGEMEIN 1.1 Die Kundenstandorte müssen im Netzgebiet der LEW TelNet liegen. Einen Wechsel des Standortes der Hardware hat der

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Check Point FireWall-1 /VPN-1

Check Point FireWall-1 /VPN-1 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Uwe Ullmann Check Point FireWall-1 /VPN-1 I Für wen ist das Buch

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

Construct IT Servermonitoring

Construct IT Servermonitoring Construct IT Servermonitoring für Ihr Unternehmensnetzwerk Die Echtzeitüberwachung Ihrer EDV ermöglicht eine frühzeitige Fehlererkennung und erspart Ihnen kostenintensive Nacharbeiten. v 2.1-25.09.2009

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

ITdesign ProtectIT Paket

ITdesign ProtectIT Paket ITdesign ProtectIT Paket Version 1.0 Konzeption und Inhalt: ITdesign Nutzung durch Dritte nur mit schriftlicher Genehmigung von ITdesign INHALTSVERZEICHNIS 1 ITDESIGN PROTECTIT... 3 1.1 BETRIEBSSYSTEME

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Systemvoraussetzungen 13.3

Systemvoraussetzungen 13.3 Systemvoraussetzungen 13.3 CMIAXIOMA - CMIKONSUL - CMISTAR August 2013 Systemvoraussetzungen 13.3 Seite 2 / 9 1 Allgemeines Der Support der CMI-Produkte richtet sich nach der Microsoft Support Lifecycle

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Managed Security. Entgeltbestimmungen und Leistungsbeschreibung. UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien

Managed Security. Entgeltbestimmungen und Leistungsbeschreibung. UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien Managed Security Entgeltbestimmungen und Leistungsbeschreibung UPC Austria GmbH Wolfganggasse 58-60, 1120 Wien Inhaltsverzeichnis 1 EINLEITUNG... 3 2 BESCHREIBUNG... 3 2.1 Zentrales Management:... 3 2.2

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Der Netzwerkanalysebogen

Der Netzwerkanalysebogen Der Netzwerkanalysebogen Dieser Netzwerkanalysebogen beschreibt den Lieferumfang, die vereinbarte Integration in die Kundenumgebung und den zugesicherten Funktionsumfang des Copy- und Printsystems, bezogen

Mehr

Technischer Überblick Projekt "Schulen ans Internet" (SAI)

Technischer Überblick Projekt Schulen ans Internet (SAI) Technischer Überblick (SAI) 3 INHALT 1 Zweck... 2 2 Grundsätze... 3 3 Zusammenfassung der Lösung... 4 4 IP-Adressierung... 4 5 Security Policy... 4 6 Inhouse LAN-Vernetzung... 4 7 Organisation und Betrieb...

Mehr

Check_MK. 11. Juni 2013

Check_MK. 11. Juni 2013 Check_MK 11. Juni 2013 Unsere Vision IT-Monitoring muss werden: 1. einfach 2. performant 2 / 25 Was macht IT-Monitoring? IT-Monitoring: Aktives Überwachen von Zuständen Verarbeiten von Fehlermeldungen

Mehr

VPN- Konzept Landkreis Schwandorf. Referent: Thomas Feige Tech. Leiter Kommunales Behördennetz

VPN- Konzept Landkreis Schwandorf. Referent: Thomas Feige Tech. Leiter Kommunales Behördennetz Referent: Thomas Feige Tech. Leiter Kommunales Behördennetz Wie alles begann. Vorüberlegungen Erstellung eines Pflichtenheftes Von der Theorie zur Praxis Geschichte des KomBN im Landkreis Schwandorf Aufbau

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Systemvoraussetzungen CMIAXIOMA Release 15.0

Systemvoraussetzungen CMIAXIOMA Release 15.0 Systemvoraussetzungen CMIAXIOMA Release 15.0 CMIAXIOMA Release 15.0 Seite 2/12 Inhaltsverzeichnis 1 Allgemeines... 4 1.1 Support Lifecycle Policy... 4 1.2 Test Policy... 4 1.3 Systemübersicht... 5 2 Softwarevoraussetzungen...

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Marc Skupin Werner Petri. Security Appliances

Marc Skupin Werner Petri. Security Appliances There s s a new kid in town! Marc Skupin Werner Petri Security Appliances tuxgate Ein Saarländischer Hersteller Wer ist? Sicherheit, warum? Wieviel Sicherheit? tuxgate Security Appliances tuxgate 1998

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall

IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall IT-Sicherheit / Smartcards und Verschlüsselung DFL-2500 Enterprise Business Firewall Seite 1 / 5 DFL-2500 Enterprise Business Firewall Die Network Security VPN Firewall DFL-2500 ist für den zuverlässigen

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der Microsoft ISA Server 2004 bietet sehr umfangreiche Monitoring Möglichkeiten um den Status der Firewall und

Mehr

IDS Intrusion Detection Systems

IDS Intrusion Detection Systems IDS Intrusion Detection Systems Arne Brutschy Problemseminar Mobilität und Sicherheit im Internet SS 2003 Prof. Dr. K. Irmscher Institut für Informatik Universität Leipzig Einführung Was ist ein Intrusion

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Systemvoraussetzungen 14.0

Systemvoraussetzungen 14.0 Systemvoraussetzungen 14.0 CMIAXIOMA - CMISTAR 29. Oktober 2014 Systemvoraussetzungen 14.0 Seite 2 / 12 Inhaltsverzeichnis 1 Allgemeines... 3 1.1 Support Lifecycle Policy... 3 1.2 Test Policy... 3 1.3

Mehr

AnyVizor. IT Service Management.

AnyVizor. IT Service Management. AnyVizor. IT Service Management. IT Service Management. AnyVizor ist eine auf Open Source Software basierende Lösung für IT Management Aufgaben. AnyVizor wurde von AnyWeb speziell für kleinere Systemumgebungen,

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz datenschutz nord GmbH, August 2006 1. Zeitpunkt der Prüfung Die Begutachtung zur Rezertifizierung der Firewall

Mehr

Checkliste. Installation NCP Secure Enterprise Management

Checkliste. Installation NCP Secure Enterprise Management Checkliste Installation NCP Secure Enterprise Management Bitte lesen Sie vor der (Test-)Installation dieses Dokument aufmerksam durch und stellen es unserem Servicetechniker / SE komplett ausgefüllt zur

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Universal Mobile Gateway V4

Universal Mobile Gateway V4 PV-Electronic, Lyss Universal Mobile Gateway V4 Autor: P.Groner Inhaltsverzeichnis Allgemeine Informationen... 3 Copyrightvermerk... 3 Support Informationen... 3 Produkte Support... 3 Allgemein... 4 Definition

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Anleitung zur Nutzung des SharePort Utility

Anleitung zur Nutzung des SharePort Utility Anleitung zur Nutzung des SharePort Utility Um die am USB Port des Routers angeschlossenen Geräte wie Drucker, Speicherstick oder Festplatte am Rechner zu nutzen, muss das SharePort Utility auf jedem Rechner

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.

1KONFIGURATION ADDRESS TRANSLATION VON NETWORK. Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0. 1KONFIGURATION VON NETWORK ADDRESS TRANSLATION Copyright 24. Juni 2005 Funkwerk Enterprise Communications GmbH Bintec Workshop Version 0.9 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig

Sophos Complete Security. Trainer und IT-Academy Manager BFW Leipzig Sophos Complete Trainer und IT-Academy Manager BFW Leipzig Mitbewerber Cisco GeNUA Sonicwall Gateprotect Checkpoint Symantec Warum habe ICH Astaro gewählt? Deutscher Hersteller Deutscher Support Schulungsunterlagen

Mehr

DynFire. An Architecture for Dynamic Firewalling. Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011

DynFire. An Architecture for Dynamic Firewalling. Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011 DynFire An Architecture for Dynamic Firewalling Alexander Vensmer Alexander.Vensmer@ikr.uni-stuttgart.de 28.11.2011 Universität Stuttgart Institut für Kommunikationsnetze und Rechnersysteme (IKR) Prof.

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr