Einleitung. IP Security Policy Oliver Spata
|
|
- Nelly Becke
- vor 8 Jahren
- Abrufe
Transkript
1 Einleitung In Zeiten ständig wachsender und komplexer werdender Computer-Vernetzung stellt sich auch die Frage nach einer entsprechenden Netzwerk-Sicherheit. Die Frage nach der Wahl der Sicherheitsmittel geht einher mit der Frage, wann diese Mittel worauf angewendet werden sollen. Es sind also entsprechende Regelungen zur Festlegung der Netzwerksicherheit notwendig. Dabei gibt es verschiedenste Anwendungsbeispiele: Für Firmen, die über das Internet e- commerce betreiben ist Sicherheit ebenso wichtig wie für solche Firmen, die sensible austauschen wollen, ob über eigene interne Netze oder im Austausch mit Geschäftspartnern über öffentliche (und damit prinzipiell unsichere) Netze. Ein weiteres Beispiel ist ein Mitarbeiter, der sich von seinem Notebook über remote login auf ein Firmennetz einwählen möchte. Ein klassisches Mittel zur Sicherung von Netzen ist eine Firewall, allerdings zeigen Statistiken, dass heutzutage mehr Sicherheitsverstöße von innerhalb eines lokalen Netzwerkes begangen werden als von außerhalb. Daher kann es notwendig werden, möglichst direkt am Ursprung, also beim Versender zu sichern, was entsprechende Protokolle notwendig macht. In heutigen Netzwerken ist TCP/IP vorherrschend, und diese Protokolle besitzen von sich aus keine besonderen Schutzmechanismen. Die Angriffsmöglichkeiten sind vielfältig: - einfaches Abhören, gerne auch von Passwörtern (Sniffing bzw. Password- Snooping) - unerlaubt Zugang zu geschützten Netzen verschaffen mit Hilfe von gefälschten Identitäten (IP-Maskierung bzw. IP-Spoofing) - Einfügen eigener Pakete in eine bestehende Verbindung (Hijacking) - Missbräuchliche ICMP-Kommandos: Destination Unreachable (bewirkt Abbruch der Verbindung), Fragmentation Needed (Erhöhung der Netzlast), Source Quench (starke Verbindungs-Verzögerung), Redirect (Umleiten von Verbindungen) - Erzwingung eines gewissen Kommunikationsweges, z.b. über den Angreifer selbst (Source Routing) - Überlasten eines Rechners durch übermäßig viele Anfragen (Denial of Service, Flooding) Für Sicherheitslösungen gibt es drei Hauptziele, die es zu erreichen gilt: - Vertraulichkeit der, damit Dritte nicht mitlesen können. Dies wird durch Verschlüsselung erreicht. - integrität, also die Sicherheit vor Veränderung der übertragenen auf dem Übertragungsweg. Hierfür kann man z.b. Checksummen oder Hash- Verfahren einsetzen. - Authentifizierung des Kommunikationspartners mit Hilfe von Signaturen Zur Erhöhung der Sicherheit gibt es verschiedene Lösungen, die auf unterschiedlichen Ebenen des Netzwerk-Schichtenmodells arbeiten: - Es gibt verschiedene Ansätze, die auf der Anwendungsebene und damit oberhalb von TCP agieren: Zur sicheren Mailübertragung in Form von Pretty Good Privacy (PGP), Privacy Enhanced Mail (PEM) oder S/MIME als Erweiterung von Multipurpose Internet Mail Extensions (MIME), als HTTP-kompatibler Standard mit zusätzlichen Sicherheitsfunktionen SHTTP, oder als telnet-ersatz Secure Shell 1
2 (SSH). Diese Verfahren sind nur nutzbar, wenn sie von der gebrauchten Anwendung auch unterstützt werden. - Ebenfalls oberhalb der Transport-, aber gleichzeitig unterhalb der Anwendungsebene arbeitet SSL (Secure Sockets Layer), welches damit einen anderen Ansatz verfolgt als die vorherigen Methoden. SSL wurde ursprünglich von Netscape entwickelt und später als TLS (Transport Layer Security) standardisiert. TLS arbeitet in beide Richtungen transparent, d.h. für Anwendungen wirkt es wie das Transportprotokoll und für das Protokoll wie eine Anwendung. - Auch auf der IP-Ebene und damit unterhalb von TCP gibt es Sicherheitsansätze: Hier sei zunächst das Simple Key Management for Internet Protocols (SKIP) genannt, welches ein von Sun entwickeltes einfaches Verfahren zur Verschlüsselung von IP-Paketen darstellt. Im folgenden soll aber vor allem auf das IP Security Protocol (IPSec) eingegangen werden. Anwendungsebene PGP, SHTTP, SSH, HTTP, FTP,... SSL/TLS HTTP, FTP, SMTP,... Transportebene TCP TCP TCP IP-Ebene IP IP SKIP, IPSec Innerhalb der Anwendungsebene Oberhalb der Transportebene Innerhalb der IP-Ebene Abb. 1: Vergleich der unterschiedlichen Sicherheitsansätze IPSec Im November 1998 wurde von der IETF durch den RFC 2401 IPSec als Standard festgelegt. Dass es auf der IP-Ebene arbeitet ist insofern von Vorteil, weil es dadurch ohne Umstellung der eingesetzten Anwendungen eingesetzt werden kann. Das bedeutet, bestehende Software kann weiterhin genutzt werden, Personal muss nicht umgeschult werden usw., was auch ein wichtiger wirtschaftlicher Grund ist. IPSec ist z.b. die Grundlage für den Aufbau von virtuellen privaten Netzen (VPN). Ursprünglich wurde IPSec für IPv6 entwickelt, dann aber wegen der Verzögerungen bei dessen Einführung auch für IPv4 umgesetzt. IPSec wird von Hosts an den Endpunkten einer Verbindung ebenso eingesetzt wie von Security-Gateways an Teilstrecken entlang einer Verbindung und schützt den IP-Verkehr von und zu diesen Knoten. Hierfür gibt es zwei Arbeitsweisen von IPSec, den Transport- und den Tunnelmodus. Der Transportmodus wird zwischen zwei Hosts eingesetzt, während man den Tunnelmodus zwischen Host und Gateway oder aber zwischen zwei Gateways verwendet. 2
3 Der Unterschied besteht darin, dass im Transportmodus das vorhandene IP-Paket gesichert wird, während im Tunnelmodus ein neues, gesichertes IP-Paket erzeugt wird, welches das alte Paket als Nutzdaten enthält (das alte Paket wird somit in ein neues eingepackt). Dieses neue Paket bekommt neue Absender- und Zieladressen, nämlich die Adressen von Start- und Zielpunkt des neu eingerichteten Tunnels. Am Ende des Sicherheitstunnels wird das ursprüngliche Paket wieder entpackt und an den anfänglichen Empfänger weiterversendet. Wer also eine Leitung abhört, über die getunnelte IPSec-Pakete laufen, kann keine Rückschlüsse mehr über die ursprüngliche Kommunikation ziehen. IPSec bietet zwei Sicherungsarten an, den Authentication Header (AH) und die Encapsulated Security Payload (ESP). Durch AH wird die Unversehrtheit der per Hashing und die Echtheit des Absenders sichergestellt, jedoch keine verschlüsselung benutzt. Will man auch diese, so verwendet man ESP. Im Transportmodus wird bei beiden Verfahren hinter dem ursprünglichen IP-Header und vor den Nutzdaten des Paketes ein zusätzlicher Sicherungsheader eingefügt. Im Falle von ESP folgt nach den Nutzdaten noch ein ESP-trailer (daher die Bezeichnung encapsulated). Im Tunnelmodus werden die Sicherungsheader hinter den neuen IP-Header und vor das alte, verpackte Paket eingefügt. Der Tunnelmodus kann auch mehrfach in Folge genutzt werden (vernestete Tunnel), dementsprechend wird das bestehende Paket einfach immer wieder neu verpackt. AH sichert das komplette Paket inklusive des vorangehenden IP-Headers (mit Ausnahme der sich während der Übertragung verändernden Headereinträge) und seines eigenen Headers. ESP hingegen verschlüsselt nur die Nutzdaten, also damit ausschließlich das Paket des eingesetzten Transportprotokolls (meist TCP). Es ist auch möglich beide Sicherungsarten zugleich einzusetzen, dann wird der AH-Header zuletzt ermittelt und vor den ESP-Header gesetzt, da er auch diesen mitsichern muss. IP-Header IP-Header AH Header authentifiziert AH im Transportmodus IP-Header IP-Header ESP Header ESP Trailer verschlüsselt ESP im Transportmodus Abb.2: IPSec im Transportmodus 3
4 IP-Header Neuer Header AH Header Alter Header authentifiziert AH im Tunnelmodus IP-Header Neuer Header ESP Header Alter Header ESP Trailer verschlüsselt ESP im Tunnelmodus Abb.3: IPSec im Tunnelmodus Bevor IPSec genutzt werden kann, muss erst zwischen den Verbindungspartnern eine Einigung über die Einzelheiten der sicheren Verbindung erzielt werden. Hierfür wird das Internet Key Exchange (IKE) Protokoll verwendet. Es setzt sich zusammen aus dem Internet Security Association and Key Management Protocol (ISAKMP), welches den Rahmen für Authentifizierung und Schlüsselaustausch setzt ohne sie wirklich festzulegen, und Oakley, welches die Verfahren genauer beschreibt. IKE ist dafür zuständig, dass auf einem IPSec verwendenden Rechner die benötigten Security Associations (SA) eingerichtet werden. Eine SA ist eine Sammlung von Schlüsseln und Regeln und definiert für einen Rechner, wie mit ankommenden und ausgehenden IPSec- Paketen umgegangen werden soll. Für jede neue Verbindung mit einem anderen Kommunikationspartner müssen neue, passende SA eingerichtet werden. Der Verbindungsaufbau mittels IKE verläuft in zwei Phasen: In Phase 1 wird zunächst ein SA für IKE selber angelegt. Die IKE-SA ist bidirektional, das heißt werden in beide Richtungen verschickt. Die Phase 1 wird entweder im Main oder im Agressive Mode ausgeführt, wobei der Unterschied darin liegt, dass im Agressive Mode schneller eine Einigung erzielt wird, weil mehr Parameter gleichzeitig ausgetauscht werden. IKE handelt folgende Parameter aus: - Art der Verschlüsselung, z.b. Data Encryption Standard (DES) - Wahl des Hash-Verfahrens, normalerweise entweder Message Digest 5 (MD5) oder SHA (Secure Hash Algorithm) - Wahl der Authentifizierungsmethode entweder über pre-shared keys (Schlüssel, die vorher abseits des Internets verteilt wurden), Digital Signature Standard (DSS) 4
5 oder public keys mit RSA (benannt nach den Entwicklern Rivest, Shamir, Adleman) Nachdem ein IKE-SA eingerichtet wurde, erstellt IKE die SAs für IPSec selber. Diese sind unidirektional, es müssen also für eingehende und herausgehende eigene SAs eingerichtet werden, außerdem jeweils eigene für AH und ESP. Für eine bidirektionale Verbindung zwischen zwei Knoten, die sowohl AH als auch ESP benutzt, müssen damit auf beiden Seiten vier IPSec-SA eingerichtet werden. In einer IPSec-SA sind alle für IPSec relevanten Parameter enthalten, also die Parameter für die AH- bzw. ESP-Sicherung (Verschlüsselungsart, Hash-Methode etc. ähnlich zu IKE), aber auch Adressierung oder die Lebensdauer der Verbindung (in Übertragungszeit oder Menge der übertragenen ) und die Zeitintervalle, in denen Keepalive durchgeführt werden muss. Sämtliche SAs eines Systems werden in der Security Association Database (SADB) abgespeichert. Dabei wird ein SA-Eintrag eindeutig durch den Security Parameter Index (SPI) festgelegt, der in jedem IPSec-Header (ob AH oder ESP) eingetragen ist, sowie durch die IP-Zieladresse sowie die eingesetzte Sicherungsart (AH oder ESP). Wenn also beispielsweise ein Host ein IPSec-Paket empfängt, sucht er anhand des SPI und der Zieladresse des Pakets die passende SA aus der SADB und verarbeitet das Paket so, wie es die Parameter dort vorschreiben. Bevor die Gültigkeit einer SA abgelaufen ist, sollte sie natürlich rechtzeitig erneuert werden. Die SA legen somit die Art und Weise fest, wie mit einem Paket umgegangen wird, auf das IPSec angewendet werden soll. Doch was passiert, falls ein ungesichertes IP-Paket eintrifft oder es für ein abzuschickendes Paket gar keine entsprechende SA gibt? Hierfür muss es auf jedem System noch eine allgemeinere Sammlung von Regeln geben, und dazu gibt es die Security Policy Database (SPD). In ihr werden policies, also Bedingungen und dazugehörige Aktionen zum Umgang mit ankommenden oder herausgehenden Paketen festgelegt. Auf diese Weise lassen sich Regelungen festlegen, die spezielle Quell- oder Zieladressen betreffen, spezielle Transportprotokolle oder auch gewisse Ports. In einer SPD lassen sich drei grundlegende Aktionen festlegen, die bei Erfüllung einer Bedingung ausgeführt werden sollen: - Discard: Das fragliche IP-Paket wird verworfen. - Bypass: Das Paket wird ohne Anwendung von IPSec weitergeleitet. - Apply: Das Paket soll mittels IPSec behandelt werden und wird an die entsprechende Security Association verwiesen, in der die genauere Vorgehensweise spezifiziert ist. Auf diese Weise kann man z.b. erreichen, dass in ein gewisses Subnetz nur IPSec-geschützte für genau festgelegte Ports zugelassen werden, und alle sonstigen Pakete werden vor dem Versenden in dieses Subnetz verworfen. Sobald ein System IPSec einsetzt, muss also jedes dort ankommende oder abgehende Paket anhand der SPD überprüft werden. Mittels Policy Management fügt man neue policies hinzu oder ändert bzw. löscht bereits bestehende. 5
6 IP Security Policy Mit Hilfe von IKE lassen sich die benötigten Informationen zur Erstellung einer Verbindung zwischen zwei Endpunkten einer Security Association austauschen. Entlang des Kommunikationsweges kann es aber Knotenpunkte wie Security-Gateways oder Router mit Filtern geben, die gewisse einschränkende Policies durchsetzen. Es wäre also für die Endpunkte einer Verbindung nötig, Informationen über diese Policy Enforcement Points (PEP) zu gewinnen und mit ihnen über Zugangsmöglichkeiten zu verhandeln. Allgemein bedeutet dies den Bedarf an Mitteln zur Darstellung von geltenden Policies auf einem Knoten, zur Feststellung derselben auf einem entfernten Knoten, zum Policy-Austausch zwischen solchen Knoten und zu deren Verwaltung, soweit es sich um Policies handelt, die den Zugang zu Netzwerkressourcen kontrollieren. Daher hat sich die IP security policy working group (ipsp WG) der Internet Engineering Task Force (IETF) gebildet, um entsprechende Lösungen auszuarbeiten. Zielsetzungen der Working Group sind: - Spezifizierung eines plattform-unabhängigen Informationsmodells zur Darstellung von IP Security Policies, nach Möglichkeit soll das Modell sich von dem existierenden Modell der Policy Framework Working Group ableiten. - Entwicklung oder Anpassung einer erweiterbaren Sprache zur Policy- Spezifizierung. Die Sprache muss vor allem die benötigten Mechanismen von IPSec unterstützen, soll aber auch auf Policies anderer Protokolle anwendbar sein. - Richtlinien zur Unterstützung von IPSec Policies mit existierenden Policy Distribution-Protokollen wie Lightweight Directory Access Protocol (LDAP), Common Object Policy Service (COPS) und Simple Network Management Protocol (SNMP) - Anpassung oder Entwicklung eines Protokolls für den Austausch und die Verhandlung von Policies. Das Protokoll muss in der Lage sein, Policy Server festzustellen, Security Policies zu verteilen und auszuhandeln und Policy- Konflikte innerhalb oder zwischen Domänen zu lösen. Das Protokoll muss unabhängig vom eingesetzten Sicherheitsprotokoll und der Schlüsselverwaltung sein. - Vereinbarung einer festen Terminologie für Dokumente im Bereich des Policybasierten Netzwerkmanagements Das erste Internet-Draft veröffentlichte die ipsp-wg im Januar 2000, seitdem folgten verschiedene weitere. Request For Comments (RFC) gibt es bislang noch keine, die Standardisierungen sind also noch in Arbeit. Im folgenden sollen auf das geplante Informationsmodell und das Policy-Protokoll näher eingegangen werden. 6
7 IPSec Configuration Policy Model Es existiert ein Internet-Draft mit obigem Titel (mittlerweile in der Version 04 vom November 2001), welches ein objekt-orientiertes Modell zur Repräsentation von IPSec Policy beschreibt. Es basiert auf dem Policy Core Information Model (PCIM), welches im RFC 3060 von der Policy Framework WG standardisiert wurde, und den dazugehörenden Extensions (PCIMe), welche bislang nur als Internet-Draft existieren. In dem Modell werden die Objekte ebenso wie die meisten Verbindungen zwischen ihnen durch Klassen dargestellt. Nähere Informationen über die einzelnen Objekte (z.b. Angaben über Adressen, Lebensdauer etc.) lassen sich über die Properties dieser Klassen angeben. Pfeile symbolisieren Vererbung, wobei der Pfeil zur Ursprungsklasse zeigt. IPsecPolicyGroup RuleForIKENegotiation RuleForIPsecNegotiation PolicyTimePeriodCondition PolicyRuleValidityPeriod SAConditionInRule PolicyActionInSARule SACondition SARule PolicyAction IKERule IPsecRule Abb.4: Grundsätzlicher Aufbau: Die IPSec Policy-Klassen In dem Modell repräsentiert IPSecPolicyGroup die Menge von Policies, die auf einem Interface verwendet werden. Zentraler Punkt ist hierbei die SARule-Klasse, welche lediglich eine Basisklasse für IKERule und IPSecRule ist (sie darf nicht instanziert werden). Durch sie wird ein einheitlicher Verbindungspunkt für die Bedingungen und die Aktionen definiert, die zur Regel gehören. IKERule und IPSecRule leiten sich davon ab und stellen die Verbindung zwischen den Condition- und den Action-Klassen her. Hierbei steht IKERule für Phase 1 der IKE- Verhandlungen und IPSecRule respektive für Phase 2. Die beiden Regeln werden durch die Verbindungen RuleForIKENegotiation bzw. RuleForIPsecNegotiation in die IPSecPolicyGroup hinzugefügt. PolicyTimePeriodCondition entstammt dem PCIM und repräsentiert die Zeiten, zu denen eine Regel gültig ist. Befindet sich das System momentan außerhalb einer Gültigkeitsphase, gilt die Regel nicht. Verbunden wird eine Regel über SAConditionInRule mit einer Bedingung, repräsentiert durch SACondition (Einzelheiten weiter unten), und über PolicyActionInSARule mit PolicyAction, die ebenfalls aus dem PCIM entstammt. Im Grunde ist PolicyAction lediglich ein Platzhalter für die SAAction-Klasse (die weiter unten folgt). Sie wird an dieser Stelle 7
8 verwendet, weil sie auch durch einen Verbund von mehreren Aktionen ersetzt werden kann (welches sich dann CompoundPolicyAction nennt), somit können also auch mehrere Aktionen hintereinander ausgeführt werden. Diese Verbundklasse stammt wiederum aus der PCIM. Bedingungen und Filter SACondition FilterOfSACondition FilterList EntriesInFilterList FilterEntryBase IPHeaderFilter CredentialFilterEntry IPSOFilterEntry PeerIDPayloadFilterEntry Abb.5: Bedingungen- und Filterklassen Eine SACondition erhält über die FilterOfSACondition-Verbindung eine Liste von Filtern, die wiederum aus einzelnen Filter-Einträgen besteht. Diese Filter-Einträge definieren genau den Bedingungsteil einer Regel. Die FilterEntryBase-Klasse entstammt dem Network Model der Distributed Management Task Force (DMTF), von ihr leiten sich vier Filterarten ab: - Der IPHeaderFilter hat ebenfalls seinen Ursprung in dem DMTF Network Model und definiert einen klassischen IP-Paketfilter, der auf Informationen wie Quellund Zieladresse oder Ports arbeitet. Diese Informationen werden in den Properties der Klasse abgelegt. - IPSOFilterEntry wird für Übertragungen benutzt, die die IP Security Options Header verwenden (ClassificationLevel und ProtectionAuthority). Diese Art von Filter wird verwendet, um unterschiedliche IPSec-Sicherheitslevel entsprechend der IPSO-Klassifikation der Übertragung auszuwählen. - CredentialFilterEntry wird genutzt, um Vergleiche basierend auf Credentials wie X.509 Zertifikate oder Kerberos-Tickets (unter Windows 2000) durchzuführen - PeerIDPayloadFilterEntry definiert Filter, um für IKERules gewisse ID payload Werte wie z.b. in der Form *@company.com mit der ID payload von IKE- vergleichen zu können. 8
9 Aktionen SAAction SAStaticAction SANegotiationAction IPsecBypassAction IPsecAction IKEAction IPsecDiscardAction IPsecTransportAction IKERejectAction IPsecTunnelAction PeerGateway PeerGatewayForTunnel Abb.6: Aktionsklassen SAAction (abgeleitet von der PCIM-Klasse Policy Action) steht ganz allgemein für eine Aktion, die infolge einer erfüllten Bedingung ausgeführt werden soll und ist die Oberklasse, von der sich zwei grundlegende Aktionsarten ableiten, SAStaticAction und SANegotiationAction. Diese zwei Arten teilen die Aktionen in solche auf, die sofort ausgeführt werden können, und solche, für die noch Verhandlungen notwendig sind. Für beide Arten kann man durch eine Klassen-Property festlegen, ob bei ausgeführten Aktionen Log-Nachrichten erstellt werden sollen. Von SAStaticAction leiten sich die IPsecBypassAction (erlaubt Weiterleitung eines Paketes ohne Sicherung), IPsecDiscardAction (Paket wird verworfen) und IKERejectAction (verhindert eine IKE-Verhandlung mit einem Knoten, wird zur Abwehr gewisser Denial of Service-Attacken verwendet). SANegotiationAction ist die Basisklasse für Aktionen, die in einer IKE-Verhandlung resultieren. IKEAction leitet sich von ihr ab und beinhaltet die nötigen Parameter für eine IKE Phase 1-Verhandlung, z.b. wann der Refresh für eine SA stattfindet oder welcher Modus (Main/Aggressive) verwendet wird. Von IPsecAction wiederum leiten sich IPsecTransportund IPsecTunnelAction ab, sie enthalten die Parameter für eine IKE Phase 2-Verhandlung. Die für die Einrichtung eines Tunnels benötigten Informationen über das Security Gateway (Adresse oder String für den Namen) werden in der PeerGateway-Klasse gespeichert, welche mit IPsecTunnelAction verbunden ist. 9
10 Dies stellt lediglich einen Teil des Policy Models dar. Es gibt z.b. noch eine Reihe von Proposal-Klassen, welche genauer die Verhandlungen bei Verbindungsaufnahme beschreiben. Aber an dieser Stelle soll nur ein Überblick über dieses Modell gewährt werden. Das IPsec Policy Protokoll Ein Vorteil von IPSec sind die verschiedenen Sicherungsmechanismen, die angeboten werden und entsprechend den Sicherheitsanforderungen ausgewählt werden können, außerdem kann IPSec sowohl an den Endpunkten wie auch an Gateways entlang einer Verbindung eingesetzt werden. Durch das Wachstum des Internet werden separate Netze miteinander verbunden, die eine eigene Verwaltung besitzen und Security Policies für gewünschten oder nicht gewünschten Netzwerkverkehr definieren. An Firewalls und Gateways werden diese Policies dann durchgesetzt. Wenn zwei Hosts über die Grenzen von Netzwerken mit unterschiedlichsten Policies hinweg kommunizieren wollen, dann muss eine Verbindung eingerichtet werden, die nicht nur die Policies der beiden Endpunkte berücksichtigt, sondern die von allen Beteiligten. Aufgabe des IPSec Policy Protokolls ist die Feststellung und Verwaltung von Policies auf einem Knoten sowie die Aushandlung und Verteilung zwischen mehreren Knoten. Bei heterogenen Netzen stellen sich hier verschiedene Probleme: Bei den Knoten kann es sich um Einzelrechner, Gateways, Firewalls oder Server handeln. Auch wenn für zwei Hosts unterschiedliche Security Policies gelten und zunächst nichts über die des jeweils anderen bekannt ist, sollte nach Möglichkeit eine Verbindung zustande kommen. Falls auf einem Rechner Policies nicht über die IPSP-Sprache spezifiziert werden, sondern z.b. auf eine spezielle vom Hersteller definierte Weise, dann müssen die geltenden Policies, soweit sie die Kommunikation betreffen, IPSP-konform übersetzt werden. Bei Netzwerken ab einer bestimmten Größe ist es üblich, dass die Administration von verschiedenen Stellen aus geleistet wird. IPSP muss zur Vermeidung von Konflikten Mechanismen haben, um ausgewählte Stellen mit bestimmten Arten von Autorität auszustatten. Die IETF hat eine Reihe von Anforderungen aufgestellt, die das IPsec Policy Protokoll erfüllen muss: - Keine Änderungen an bestehenden Standards wie AH, ESP und IKE erforderlich. - Ein wohldefiniertes Policy Model zur eindeutigen Darstellung von Policies. - Ein Gateway Discovery-Mechanismus, der von jedem Host oder Gateway ausgeführt werden kann, um Informationen über IPSec-Gateways zu gewinnen, die zwischen Start- und Zielknoten einer gewünschten Verbindung liegen. - Eine einheitliche Sprache zur Beschreibung von IPSP, die von Hosts benötigt wird, um ihre geltenden Policies ausdrücken zu können. Die Sprache ist die Grundlage für die Feststellung von Policies auf anderen Systemen und deren Prüfung auf Verträglichkeit mit den eigenen Policies. - Remote Management von Policies auf entfernten Systemen, möglicherweise auch von mehr als einer administrativen Stelle aus. - Ein Mechanismus zur Policy Discovery, mit dem zwei Hosts feststellen können, welche möglichen Security Associations zwischen ihnen möglich sind. Dies ist vor allem wichtig für Hosts, die unterschiedlichen Domänen angehören und daher 10
11 unter Umständen keinerlei Informationen über einander haben. Daran anschließend soll eine entsprechende SA auf den Hosts eingerichtet werden. - Eine Prüfung auf Verträglichkeit der ermittelten SA mit den lokalen Policies, damit ein Fehler während der Ermittlung nicht die lokale Sicherheit verletzt. Eine Veröffentlichung mit genaueren Angaben das IPSP Protokoll betreffend bleibt noch abzuwarten. Es gibt allerdings schon einen Ansatz, der über den Umgang mit IPsec Policy hinausgeht, welcher im folgenden erläutert wird. Multidimensional Security Management and Enforcement Seit kurzer Zeit ist ein Internet Draft über die Anforderungen und den Aufbau des Multidimensional Security Management and Enforcement (MSME) Systems veröffentlicht. Im Zusammenhang mit MSME versteht man unter einer Koalition eine Gruppierung von Partnern (z.b. Firmen) mit eigener Administration, die sich aufgrund einer bestimmten Aufgabe zusammengeschlossen haben. Der Zweck des Systems ist es, einer Koalition zu ermöglichen, sich auf für alle Seiten akzeptable Policies zu einigen, damit Kommunikation zwischen den Partnern ermöglicht wird. Ziel ist es also, durch Austausch und Verhandlungen der Partner eine Lösung zu ermitteln, aber gleichzeitig soll jedes Mitglied der Koalition seine eigenen Policies aufrecht erhalten können. Policy Management in einer Koalition ist eine deutlich komplexere Aufgabe als für zwei Hosts an den Endpunkten einer Verbindung. In einer dynamischen Koalition können neue Mitglieder hinzukommen oder bestehende ausscheiden, und zwischen den Partnern muss nicht unbedingt ein gewisses Maß an Vertrauen bestehen. Außerdem benutzen die verschiedenen Mitglieder vermutlich sehr unterschiedliche Mittel wie z.b. Sicherheitsprotokolle, um ihre Regelungen durchzusetzen. Trotz dieser Schwierigkeiten ist es notwendig zu bestimmen, ob die Koalition ihre Aufgabe erfüllen kann. Dafür ist es erforderlich, dass Policies zwischen den Teilnehmern ausgetauscht werden können, damit danach eine annehmbare Lösung für alle ermittelt wird. Können auf einer Seite die Bedingungen für eine Lösung nicht erfüllt werden, so muss dies der entsprechenden Administration gemeldet werden. Darüber hinaus muss es auch eine Möglichkeit der Kontrolle darüber geben, ob alle Beteiligten auch tatsächlich die ausgehandelten Policies bei sich durchsetzen. Allerdings wird die Möglichkeit der Überwachung durch die Bereitschaft der Partner, diese auch zuzulassen, und darüber hinaus durch den Gebrauch von verschlüsselung eingeschränkt. Die Architektur von MSME besteht aus einer Sprache zur Beschreibung von Policies, Protokollen zum Austausch derselben, und den nötigen Verfahren zur Ermittlung von Policies, die für alle annehmbar sind. Falls sich eine Koalition neu bildet, sich deren Mitgliedschaft verändert oder die Policies von beteiligten Partner wechseln, dann erstellt jeder Teilnehmer ein Policy Level Agreement (PLA), welche die Anforderungen des Partners an eine gemeinsame Policy beschreibt. Dann werden die PLA entweder untereinander oder mit einem zentralen Punkt ausgetauscht. Danach beginnt der sogenannte Resolution-Prozess, bei dem eine für alle akzeptable Lösung ermittelt wird, die Resolved Policy Level Agreement (RPLA). Diese muss danach auf alle Teilnehmer verteilt werden, damit diese die RPLA mit ihren eigenen Anforderungen vergleichen können. Falls sie feststellen, dass die erarbeitete Lösung keine Verletzung ihrer 11
12 Policies darstellt, wird die einheitliche Policy bei den Partnern angewendet und kontrolliert, ob alle Beteiligten auch die richtige Policy verwenden und diese auch tatsächlich durchsetzen. Es gelten daher folgende Anforderungen an ein MSME-System: - Es muss den einzelnen Partnern erlaubt sein, intern eine eigene Policy-Sprache und eigene Methoden für den Umgang mit Policies zu verwenden, allerdings stellt MSME an diese eventuell gewisse Anforderungen. - Es muss ein einheitlicher Mechanismus zur Übertragung von Policies geben, und diese Übertragungen müssen gesichert erfolgen, was also Authentifizierung oder Integrität der nötig macht. - Es soll auch möglich sein, Teilkoalitionen zu bilden, um unter ihnen Policy- Informationen auszutauschen. - MSME muss vor einer Verbindungsaufnahme feststellen können, ob die gewünschte Verbindung vom aktuellen Policy Agreement zugelassen wird. - Zu jeder Zeit muss es möglich sein, die Menge von autorisierten Koalitionspartnern festzustellen. - Es muss ein Überwachungsmechanismus vorhanden sein, um sicherzustellen dass auch die richtigen Policies an den Enforcement Points gelten, und dass diese auch richtig durchgesetzt werden. - Allgemein soll MSME unterschiedliche Sicherheitsstandards unterstützen, es gibt also keine Einschränkung auf IPSec. Partner-abhängig MSME Intra-Partner PMT/ Administrator Policy Compilation Resolution Policy Language Policy Level Agreement Exchange Protocol Local Policy Repositories Reconciliation PEPs Monitoring Abb.7: Die MSME Architektur 12
13 Abb.7 illustriert den Aufbau von MSME. Die Partner-abhängigen Komponenten werden nicht als ein Teil von MSME definiert, aber MSME muss mit ihnen interagieren und stellt daher gewisse Anforderungen an sie. Die Intra-Partner Komponenten sind vollständig in einem Partner enthalten. Das System besteht aus folgenden Komponenten: - PLA sind die Mittel zur Formulierung und zum Austausch der Policy eines Partners. Eine PLA enthält verschiedene Informationen, z.b. über die Teilnehmer einer Koalition, das Mitglied welches die PLA versendet hat oder eine Versionsnummer - Policy Compilation ist der Vorgang, in dem jeder Partner sein PLA anhand der für ihn geltenden Regelungen erzeugt. - Resolution bezeichnet die Ermittlung einer RPLA, welche die Bedingungen sämtlicher PLAs erfüllt. Es wird angezeigt falls dies nicht möglich ist, damit die Administratoren (wo es nötig ist) ihre lokale Policy entsprechend ändern. Die Resolution wird entweder von einem zentralen Punkt aus oder auf dezentrale Weise ausgeführt. - Das Exchange Protocol ist das Transportmittel für die PLAs und RPLAs. Darüber hinaus ist es für die Synchronisation des Resolution-Prozesses zwischen den einzelnen Partnern zuständig. Dabei ist für den austausch Authentifizierung und optional Sicherung der integrität erforderlich. - Reconciliation wird nach dem Erzeugen einer RPLA von jedem Partner ausgeführt, um sicherzustellen, dass die eigenen Regeln in der RPLA auch entsprechend berücksichtigt bzw. nicht von ihr verletzt werden. - Monitoring ist die Überwachung darüber, dass die RPLAs von den Partnern richtig eingesetzt werden, dies schließt z.b. auch die Versionsüberprüfung von RPLAs mit ein. - Das Policy Management Tool (PMT) repräsentiert ein Hilfsmittel zur Darstellung und Verwaltung der lokalen Sicherheitsregeln, es ist das erste der Partnerabhängigen Komponenten - Die Policy Sprache ist die Sprache, welche der Partner in seiner Domäne einsetzt. Sie kann vom Partner gewählt werden, allerdings muss es Mittel zur Übersetzung in die PLA-Darstellung geben. - Auch die Local Policy Repositories sind sehr partnerspezifisch, sie repräsentieren die Mittel, mit denen die Informationen über die lokalen Sicherheitsregeln gespeichert werden. - Die Policy Enforcement Points schließlich sind die Stellen, an denen ein Koalitionsmitglied eine neue erhaltene RPLA durchsetzen muss, dort müssen also eventuell Änderungen der lokalen Policies vorgenommen werden. Die folgende Abbildung stellt noch einmal den Ablauf der einzelnen Schritte dar, ausgehend von der Erzeugung einer PLA anhand der geltenden lokalen Policy über die Ermittlung einer RPLA anhand aller eingegangenen PLAs bis zur Umsetzung der neuen lokalen Policy: 13
14 Lokale Policies Policy Compilation PLA PLA PLA Policy Resolution RPLA Reconciliation Anwendung Abb.8: Die Schritte bei der Erzeugung einer neuen RPLA Die Aufgabenstellungen von MSME unterscheidet sich zwar von IPSP, allerdings überschneiden sie sich auch. Eine Idee von MSME ist es, das Regelwerk von IPSP zu verallgemeinern, um es auch unter anderen Protokollen einsetzen zu können. Die Idee hierzu ist die Nutzung von Bezeichnern, die entsprechend dem Kontext der eingesetzten Sicherung unterschiedlich aufgelöst werden, anstatt in einer Regel explizite Angaben zu machen. Fazit Wie man anhand der fehlenden RFCs sehen kann, gibt es bislang noch keine fertigen Standards und erst recht keine tatsächlich anwendbaren Lösungen. Über nähere Einzelheiten oder den praktischen Gebrauch lässt sich daher momentan kaum etwas sagen. Da IPSec aber als kommender Sicherheitsstandard von einschlägigen Unternehmen der Computer- und Netzwerkbranche gefördert wird, kann man wohl davon ausgehen, dass auch die Fragestellung nach der Behandlung von IPSec Policies in Zukunft eher bedeutender wird. Da im Dezember 2001 diverse Internet Drafts der ipsp Arbeitsgruppe auslaufen, darf man also gespannt sein. 14
15 Quellen IPSP Requirements (Internet Draft), IPsec Configuration Policy Model (Internet Draft), Mutlidimensional Security Policy Management and Enhancements for IP Security Policy (Internet Draft), IPSec Policy Model (DMTF White Paper), Internet Protocol Security Revealed, An Introduction to IP Security (IPSec) Encryption, IP Security: Building Block of the Trusted Virtual Network, Firewall-Systeme, Norbert Pohlmann, MITP-Verlag 15
Multicast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrVIRTUAL PRIVATE NETWORKS
VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro
MehrProf. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC
Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrSecurity Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis
Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrHow-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx
und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrRoot-Server für anspruchsvolle Lösungen
Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig
MehrRechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.
Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrSystemvoraussetzungen Hosting
Hosting OCLC GmbH Betriebsstätte Böhl-Iggelheim Am Bahnhofsplatz 1 E-Mail: 67459 Böhl-Iggelheim bibliotheca@oclc.org Tel. +49-(0)6324-9612-0 Internet: Fax +49-(0)6324-9612-4005 www.oclc.org Impressum Titel
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrDieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.
LCS Support KnowledgeBase - Support Information Dokument-Nr. 0812.2309.5321.LFRA VPN-Verbindung zwischen LANCOM Router und Apple iphone Beschreibung: Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung
MehrKonfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrIRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken
Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis
MehrSchritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken
In diesem Tutorial zeigen wir Ihnen, wie Sie im Mozilla Thunderbird E-Mailclient ein POP3-Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 2.0.0.6 verwendet. Schritt 1: Auswahl
MehrUrlaubsregel in David
Urlaubsregel in David Inhaltsverzeichnis KlickDown Beitrag von Tobit...3 Präambel...3 Benachrichtigung externer Absender...3 Erstellen oder Anpassen des Anworttextes...3 Erstellen oder Anpassen der Auto-Reply-Regel...5
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
MehrFragen und Antworten zu Secure E-Mail
Fragen und Antworten zu Secure E-Mail Inhalt Secure E-Mail Sinn und Zweck Was ist Secure E-Mail? Warum führt die Suva Secure E-Mail ein? Welche E-Mails sollten verschlüsselt gesendet werden? Wie grenzt
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrKonfigurationsbeispiel USG
ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des
Mehrvorab noch ein paar allgemeine informationen zur de-mail verschlüsselung:
Kurzanleitung De-Mail Verschlüsselung so nutzen sie die verschlüsselung von de-mail in vier schritten Schritt 1: Browser-Erweiterung installieren Schritt 2: Schlüsselpaar erstellen Schritt 3: Schlüsselaustausch
MehrAbgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN
Abgesetzte Nebenstelle VPN Nachfolgend wird beschrieben, wie vier Standorte mit COMfortel 2500 VoIP Systemtelefonen an eine COMpact 5020 VoIP Telefonanlage als abgesetzte Nebenstelle angeschlossen werden.
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.
1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrSecurity + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario
3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrWorkshop: IPSec. 20. Chaos Communication Congress
Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrTechnical Note 32. 2 ewon über DSL & VPN mit einander verbinden
Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...
MehrVirtual Private Network. David Greber und Michael Wäger
Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrTask: Nmap Skripte ausführen
Task: Nmap Skripte ausführen Inhalt Einfache Netzwerkscans mit NSE Ausführen des Scans Anpassung der Parameter Einleitung Copyright 2009-2015 Greenbone Networks GmbH Herkunft und aktuellste Version dieses
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrBeispielkonfiguration eines IPSec VPN Servers mit dem NCP Client
(Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:
MehrMemeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein
Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo
MehrPrinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:
Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die
MehrHow-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...
MehrISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote
Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen
MehrSichere E-Mails. Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank
Sichere E-Mails Kundeninformation zur Verschlüsselung von E-Mails in der L-Bank Version: 2.1 Stand: 18.07.2014 Inhaltsverzeichnis II Inhaltsverzeichnis 1 Einleitung... 1 1.1 Überblick... 1 1.2 Allgemeine
MehrMSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003
Page 1 of 8 SMTP Konfiguration von Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 25.02.2005 SMTP steht für Simple Mail Transport Protocol, welches ein Protokoll ist, womit
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrExkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005
Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header
MehrD-Link VPN-IPSEC Test Aufbau
D-Link VPN-IPSEC Test Aufbau VPN - CLient Router oder NAT GW IPSEC GW (z.b 804 HV) Remote Netzwerk Konfigurationsbeispiel für einen 804-HV: Konfiguration der IPSEC Einstellungen für das Gateway: - Wählen
MehrAnleitung zur Installation von Thunderbird
Anleitung zur Installation von Thunderbird Download und Installation 1. Dieses Dokument behandelt die Installation von PGP mit Thunderbird unter Windows 7. Im Allgemeinen ist diese Dokumentation überall
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrHow-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security
MehrHinweise zur E-Mail-Nutzung für Studierende
Hinweise zur E-Mail-Nutzung für Studierende Änderung des E-Mail-Passworts 1. Öffnen Sie die Internetseite https://studmail.uni-speyer.de/owa und melden Sie sich mit Ihrem Benutzernamen, das heißt Ihrer
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrE-Mail-Verschlüsselung viel einfacher als Sie denken!
E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
Mehriphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange
iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange Die Verwendung der E-Mail- und Kalenderdienste des Exchange Servers über das iphone kann auf zwei unterschiedlichen
MehrHow to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3
Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
Mehr5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert
PW0029/ Stand: 11/2014 Windows-Systemeinstellungen für die ELSTER-Aktualisierung und Bewerber-Online PW0029_SSL_TLS_poodle_Sicherheitsluecke.pdf Ein Fehler im Protokoll-Design von SSLv3 kann dazu genutzt
MehrAnwendungsbeispiele Sign Live! Secure Mail Gateway
Anwendungsbeispiele Sign Live! Secure Mail Gateway Kritik, Kommentare & Korrekturen Wir sind ständig bemüht, unsere Dokumentation zu optimieren und Ihren Bedürfnissen anzupassen. Ihre Anregungen sind uns
MehrWie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?
Port Forwarding Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar? Server im lokalen Netzwerk können für das Internet durch das Weiterleiten des entsprechenden Datenverkehrs
MehrNetzwerk einrichten unter Windows
Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine
MehrGEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT
Seite 1/7 GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT ZENTRAL LOKALE MANAGEMENT-PLATTFORM FÜR EINE W ELTWEIT SICHERE INDUSTRIELLE KOMMUNIKATION. Seite 2/7 Auf den folgenden Seiten
MehrAbruf und Versand von Mails mit Verschlüsselung
Bedienungstip: Verschlüsselung Seite 1 Abruf und Versand von Mails mit Verschlüsselung Die folgende Beschreibung erklärt, wie man mit den üblichen Mailprogrammen die E- Mailabfrage und den E-Mail-Versand
MehrMSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003
Page 1 of 11 Konfiguration NNTP unter Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 14.03.2005 Das Network News Transfer Protocol (NNTP) wird durch die Request for Comments
MehrHandbuch Groupware - Mailserver
Handbuch Inhaltsverzeichnis 1. Einführung...3 2. Ordnerliste...3 2.1 E-Mail...3 2.2 Kalender...3 2.3 Kontakte...3 2.4 Dokumente...3 2.5 Aufgaben...3 2.6 Notizen...3 2.7 Gelöschte Objekte...3 3. Menüleiste...4
MehrVPN Virtual Private Network
VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10
Mehr1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen
1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.
MehrScharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?
Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,
MehrNovell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar 2015. ZID Dezentrale Systeme
Novell Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Februar 2015 Seite 2 von 8 Mit der Einführung von Windows 7 hat sich die Novell-Anmeldung sehr stark verändert. Der Novell Client
MehrUmgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.
ewon - Technical Note Nr. 001 Version 1.3 Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten. 19.10.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten
MehrProfessionelle Seminare im Bereich MS-Office
Der Name BEREICH.VERSCHIEBEN() ist etwas unglücklich gewählt. Man kann mit der Funktion Bereiche zwar verschieben, man kann Bereiche aber auch verkleinern oder vergrößern. Besser wäre es, die Funktion
MehrInhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...
MehrProxy. Krishna Tateneni Übersetzer: Stefan Winter
Krishna Tateneni Übersetzer: Stefan Winter 2 Inhaltsverzeichnis 1 Proxy-Server 4 1.1 Einführung.......................................... 4 1.2 Benutzung.......................................... 4 3 1
MehrInfinigate (Schweiz) AG. Secure Guest Access. - Handout -
Infinigate (Schweiz) AG Secure Guest Access - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Secure Guest Access... 2 2.1 Gäste Accounts
MehrHow-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003
MehrHochschulrechenzentrum. chschulrechenzentrum #96. Freie Universität Berlin
#96 Version 1 Konfiguration von Outlook 2010 Um Ihre E-Mails über den Mailserver der ZEDAT herunterzuladen oder zu versenden, können Sie das Programm Outlook 2010 verwenden. Die folgende Anleitung demonstriert
MehrGEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY
GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY Vorteile der Verwendung eines ACTIVE-DIRECTORY Automatische GEORG Anmeldung über bereits erfolgte Anmeldung am Betriebssystem o Sie können sich jederzeit als
MehrBenutzerkonto unter Windows 2000
Jeder Benutzer, der an einem Windows 2000 PC arbeiten möchte, braucht dazu ein Benutzerkonto. Je nach Organisation des Netzwerkes, existiert dieses Benutzerkonto auf der lokalen Workstation oder im Active
MehrKundeninformationen zur Sicheren E-Mail
S Sparkasse der Stadt Iserlohn Kundeninformationen zur Sicheren E-Mail Informationen zur Sicheren E-Mail erhalten Sie bei Ihrem Berater, oder bei den Mitarbeiter aus dem Team ElectronicBanking unter der
MehrCookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel
Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel 2 Inhaltsverzeichnis 1 Cookies 4 1.1 Regelungen......................................... 4 1.2 Verwaltung..........................................
MehrWindows Server 2008 für die RADIUS-Authentisierung einrichten
Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung
MehrEinrichtung von VPN für Mac Clients bei Nortel VPN Router
Einrichtung von VPN für Mac Clients bei Nortel VPN Router 2009 DeTeWe Communications GmbH! Seite 1 von 13 Einrichtung des Nortel VPN Routers (Contivity)! 3 Konfigurieren der globalen IPSec Einstellungen!
MehrSecurity. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung
4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
Mehr(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)
T-Sinus 154 DSL/DSL Basic (SE)/Komfort Portweiterleitung (Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) Wenn Sie auf Ihrem PC
MehrEasyWk DAS Schwimmwettkampfprogramm
EasyWk DAS Schwimmwettkampfprogramm Arbeiten mit OMEGA ARES 21 EasyWk - DAS Schwimmwettkampfprogramm 1 Einleitung Diese Präsentation dient zur Darstellung der Zusammenarbeit zwischen EasyWk und der Zeitmessanlage
Mehr