Zugangskontrolle Bis hierher und nicht weiter!

Größe: px
Ab Seite anzeigen:

Download "Zugangskontrolle Bis hierher und nicht weiter!"

Transkript

1 Zugangskontrolle Bis hierher und nicht weiter! Kerberos Firewalls Applikationsgateways Firewall-Architekturen Installation eines Firewall Intrusion Detection Zugangskontrolle Zutritts/Zugriffskontrolle (Anlage zu 9 BDSG, Pkt. 5) Benutzerverifikation: login-protokolle, Smart Cards (Chipkarten), USB-Stick (Logon Key: nur in eingestecktem Zustand ist Zugang möglich, nach Abziehen ist der Rechner gesperrt), dial-back-systeme mit zusätzlichem Modem Sicherheitsprotokolle Secure Gateways mit differenzierten Zugriffsrechten und Autentikationsmögkichktn. Kinderschutzsysteme, z. B. Cyberpatrol, Netnanny, PICS Kerberos Sicherheitssystem von Athena (MIT 1983) zunächst, später DEC DCE; basiert auf BSD-UNIX; Kerberos 4 und 5 (RFC 1510, für RN: zusätzliche Parameter, die das kryptographische Verfahren und die Form der Netzadresse [nicht notwendig IP-Form] bezeichnen), auch in Windows Grundgedanke: in Client-Server-Systemen wollen die Clients nicht bei jedem FileServer neu ihre Berechtigung nachweisen zentraler Authentikationsserver a) Teilnehmerauthentikation (mit Austausch des Sitzungsschlüssels) mittels KDC (key distribution center, Authentikationsserver; der kennt die [geheimen] Schlüssel aller Teilnehmer, erzeugt und versendet Sitzungsschlüssel, auch für Kommunikation A B ): (1) A KDC : Anforderung eines Sitzungsschlüssels für B (2) KDC A : E(K AB E(K AB)ù K B)ù K A (3) A B : E(K AB)ù K B (4) A B : Kommunikation b) Zugang zum File-Server über Kerberos-Server (TGS = ticket granting server) mit fein granulierten ACLs (4) Kopie des Sitzungsschlüssels (5) Server-Ticket in Nutzer-Ticket (6) Paßwort dient als Schlüssel für Nutzer (7) Ergebnis: mit Serverschlüssel verschlüsseltes Ticket + Sitzungsschlüssel (8) Auch Workstation-Name im Authentikator (9) Auch Ticket wird an File-Server geschickt (10) - (12) Entscheidende Prüfung: Funktioniert nur, wenn die Sitzungsschlüssel des File-Servers von (2) und (4) übereinstimmen (13) Daten werden mit session key verschlüsselt TGS günstig, damit nicht für jede Daten-Übertragung neu eingelogt werden muß:ticket für TGS gilt z. B. 24 h. Kerberos leistet "nur" Nutzer-Authentikation, Autorisierung der File-Server-Zugriffsrechte weiterhin bei diesem. Auch für mehrere File-Server geeignet (DCE!). Besonderheiten von Kerberos: kein Schlüssel wird im Klartext übertragen (vgl. z.b. Schritt 6), symmetrische Chiffrierverfahren (alle Schlüssel hierfür! Vom Terminal zum Rechner wird Paßwort im Klartext übertragen) komplizierte Schlüsselverwaltung. Firewalls Schutzwall (eigentlich Brandmauer) / Schutzschild: Isolationstechnik Werden heute in 76 % der Unternehmen eingesetzt (Dtschl. 69, USA 83) Ziel: Nutzung der erforderlichen Netzdienste + gleichzeitig hohe Sicherheit, wichtig auch zur Gewährleistung des Datenschutzes. Def.: Ein oder mehrere Rechner/Router/Subnetze, die den Datenfluß zwischen Internet und einem lokalen Netz auf der Basis vorgegebener Regeln kontrollieren/einschränken. (die Regeln definieren Benutzerprivilegien für das RN, legen heute auch inhaltl. Prüfungen fest und definieren Angriffssignaturen bzw. -muster

2 Muß einzige Schnittstelle geschütztes internes - externes Netz (Internet) sein! (Interface wird aufgeschnitten): Filter! Wichtiger ist Schutz von außen nach innen als umgekehrt (zugelassen sollte sein: ftp-server, X11, telnet), aber auch Schutz gegen andere Subnetze wichtig (auch entfernte wie Wohnheime, 60 % der Angriffe kommen von innen, auch gegen unerwünschte Dienste): interne Firewalls, ggf. mehrschichtige Architekturen oder Opferhost Wehren i. allg. Penetrationsversuche ab, sollten aber auch Trojaner am Ausbrechen hindern (Leak-Test!) Meist auf spez. Rechnern/Gateways, aber auch Personal Firewall für Home-PCs Stateless-Firewall kontrollieren IP-Adressen u. Protokollnummern, Stateful-Firewall prüft, ob die Datenpakete von einer Anwendung angefordert wurden, inspizieren auch Dateninhalte (deep packet inspection) Protokollzustände (content security / content-filter), z. B. Authentikationen, Virensuchprogramme (erlaubte Daten werden nur über sie weitergegeben); content-filter blockieren bestimmte Anwendungen (z. B. ActiveX, Java-Skript): Webshield / Web application Firewall ); zusätzlich zu den Datenpaketen wird der Status der Verbindung geprüft: SPI (stateful packet inspection) Besonders wichtig für VPN (oft in Hardware-Firewalls enthalten) Zunehmend mit Vorfahrtsregeln kombiniert Nicht absolut sicher (vor allem, wenn auf gleichem Rechner): Mauerspechte Paketfilter (packet screen): Datenpakete werden geprüft a) als Router in OSI-Vermittlungs(3 - IP/Internet)schicht): filtert durch Auswertung des IP-Headers IP-Adressen (Quelle und Ziel) und z. T. Inhalte nach innen und außen transparent (auch in Cisco-Routern, z. T. fehlerhaft!) b) als Circuit-Level-Gateway (oder generische Proxy-Server) in Transport(4 - TCP/UDP)-Ebene (TCP/UDP-Relay): filtert Portnrn. und damit Dienste, lizensiert Zugriffe auf das jeweils andere Netz (abh. von Anw.) mittels proxy-dämons für die Netzdienste, leiten im Prinzip nur Anfragen weiter; spezielle Portnrn. statt well-known-ports: Clients dürfen nur auf Proxy zugreifen!), untersuchen alle Zugriffsanfragen und entscheiden (Filterregeln auf ACL-Basis, können auch Zeiten enthalten), bekanntestes Beispiel: SOCKS (umstritten!). unerlaubte Kommunikationsversuche werden markiert und blockiert. Paketfilter erkennen nur Dienste, die eindeutig Portnummern zugeordnet sind, z. B. nicht RPC und r-kommandos (die Portnrn. reichen für die vielen Dienste nicht aus), nicht Nutzer/Dateinamen (nur im Header oberhalb der Transportsch. verfügbar); RPC-Dienste nur zu filtern, wenn Verbindung zu einem Portmapper besteht, aber Portmapper-Angriff probiert alle Ports durch (also filtern!) Zugriffe außen innen möglichst vermeiden (IP-Spoofing-Gefahr!) Dynamische Paketfilter (stateful inspection): speichern und berücksichtigen die Vorgeschichte der Verbindung (Sockets), lassen nur erwartete Antworten zu (wichtig bei verbindungslosem UDP ohne ACK-Bit wie NFS oder RPC) Wichtig sind zusätzliche Protokollierungen im Filter! Paketfilter unterbrechen die Verbindung nicht, d. h. IP-Angriffe weiter möglich! Circuit-Relays prüfen die Endeinrichtungen, z. B. auch Zeiten und Parameter der Kommunikation. Eine deep packet inspection ermöglicht das Blockieren unerwünschter Informationen [praktiziert z. B. von China] Applikationsgateways (application layer gateway) application level proxy in Anwendungsschicht in Form von (dedizierten) Proxy-Servern (Stellvertreter / Bevollmächtigter / Entkoppler) im Gateway bzw. Bastion- oder Dual-Homed-Host: vertreten die Dienste der Internet-Server, sind Server für interne Clients und Clients für externe Server. Keine direkte Verbindung zwischen den Netzen! Für jede Anwendung ein spezieller Proxy, z. B. ftp-, SMTP-, HTTP-Server (kein Filter); prüfen Inhalte aller Datenpakete (dadurch langsam), unterbrechen die Verbindung. Toolkits verfügbar, müssen sorgfältig konfiguriert werden (über Sockets). Aktuelle HTTP-Proxies sperren externe URLs, filtern Java, ActiveX und/oder Javascript heraus. Nicht für alle Dienste Proxies verfügbar (z. B. NFS wegen Verlangsamung, NIS wegen Unzulässigkeit, talk wegen Kompliziertheit und Portnummern ab 1023 [X11!]) 2 Realisierungsformen für Client: 1) Client-Benutzer spricht Proxy an und teilt ihm den gewünschten echten Server mit (erfordert Belehrung) 2) Client-Software wird so modifiziert, daß sie nur den Proxy anspricht (spezielle Portnummern statt well-known-ports (evtl. ACL), oft bei generischen Proxy-Servern: proxy-dämons für die Netzdienste lizensieren Zugriffe auf das jeweils andere Netz, Modifikationen ggf. nur bei externen Diensten. Teilweise werden die Serverdienste selbst auf dem Firewall installiert (dadurch besser unter Kontrolle, aber hoher Administrations- und Ressourcenaufwand). Kombinationen (meistens) mit Paketfiltern (screened Gateways), um Unterlaufen der Pakete auf IP-Ebene zu verhindern; oft kompliziertere Strukturen (einstufige Firewalls sind nur Pseudo-Firewalls!). Spezielle Form: Statefull Inspection (jede Verbindung wird nur einmal geprüft (dadurch schneller). [anderes Proxy-Beispiel: Caching-Proxies, speichern Kopien aller Informationen, die sie weitergegeben haben]

3 Firewall-Architekturen - klassische Form als 3-Box-Firewall (3-stufig) mit 2 Routern (nur Paketfilter) + Software-Lösungen in Gateways (Minimum: 2-stufig) - Bastion Host / Firebox / Firewall-Box: vollständiger, besonders abgesicherter Rechner statt Gateway, einfachste Lösung: Benutzer erhält Internet-Dienste durch Einloggen auf diesem Host; besser: reduzierte Funktionalität, z. B. keine Benutzerkennungen, mindestens zusätzlich Authentikation, logisch vom Netz entkoppelt, Paketfilter sorgt dafür, daß nur die Bastion mit dem Internet und dem internen Netz kommunizieren kann. - Dual- oder Multi-Homed-Host (multi: Abschirmung mehrerer verschiedener Netze) zwischen den Netzen (analog routing, aber routing-funktion deaktiviert, um zu trennen: alle Verbindungen zwischen innen und außen nur über Host, Filter und Proxies im Host, einfachste Architektur). Sicher und aufwändig. Nachteile: Nutzer muß sich dort umständlich einloggen, Host braucht Benutzverwaltung, Host ist nicht durch Filterrouter geschützt. Modifikation: Filterrouter nach außen (überwachter Host). - DMZ / überwachtes Grenznetz: im Firewall 3 Netzkarten: innen, außen, DMZ (Zwischennetz, völlig geschützt gegen Zugriffe von außen: nicht manipulierbar, für jeden Internetdienst ein Rechner dieses Netzes: übersichtlich), evtl. mit Opferhost für nicht verfügbare/erwünschte Proxies Varianten: mehrere DMZ-Schichten, Anschluß mehrerer interner Netze (bei unterschiedlichen Schutzbedürfnissen) - Desktop-Firewall auf dem zu schützenden PC (spezielle Form des application layer gateways), z. B. Sygate (free): Software regelt den Zugriff, bildet Checksummen und fragt den Nutzer (bei weiteren Zugriffen wird mit der Checksumme verglichen) evtl. Simulation mehrerer virtueller PC auf einem Prozessor; dann quasi Firewall-Box! - SPI-Firewall (stateful pocket inspection) - high level firewalls mit vielen zusätzlichen Sicherheitsmechanismen: Zugangskontrolle auf Netz- und Benutzerebene (nur erlaubte Verbindungen, nur berechtigte Benutzer) Spam-Protection intrusion detection; content security zusätzlich zur access security: Sweeper (mit Viren-Scannern/Wächtern), bei Protokollen in Proxies Rechteverwaltung (für Protokolle, Dienste, Anwendungen, Zeiträume, evtl. unterschiedlich nach innen und außen) Entkopplung von unsicheren Diensten (z. B. nur erwünschte sendmail zulassen) Sandbox-Technik: Programme laufen in einer geschützten (abgeschotteten) Umgebung Beweissicherung und Protokollauswertung Verbergen der Netzstruktur (z. B. durch IP-Maskerade: sämtliche internen Rechner werden über die Firewall-IP-Adresse angesprochen) Konzelation aller Nachrichten stateful-funktionen; accounting reports syn defender (Abwehr von Syn-Attacken) URL-Blocker für bis zu Webseiten Informationsserver (für öffentlich zugängliche Informationen, steht vor Bastion), Security Management Station (für ACL, Logbücher, Schlüssel; unabhig von Bastion). - interne Firewalls zur Isolation von Subnetzen, Subnetz ggf. aufsplitten in einen freizügigen und einen restriktiven Bereich; verschiedene Sicherheitszonen (innen meist "secure server net") u. a. Varianten: o physikalische Trennung von Internet und Intranet (andere Netzteile zusätzlich durch Firewall geschützt) o AFZ (aktorenfreie Zone mit semant. Filtern, stärker als DMZ) o Firewall in a box (Zugriffe nur über Konfigurations-Tools) o geschlossene / offene Systeme: Minimal-Betriebssystem (meist UNIX, WindowsNT) mit selbst installierter Software o DSL-Router mit Firewall (einfach, aber oft nicht wirksam) o Diadem-Firewall der Universität Tübingen trennt verdächtige PCs, die verdächtig viele Übertragungen machen und zu DoS führen könnten, vom Rechnernetz ab (Software/Hardware- Kombination) Dedizierte Server-Segmente Stealth-Architektur: Firewall ohne IP-Adresse (speziell gegen IP-Spoofing, größte Gefährdung von Firewalls) ggf. zusätzlich ein stand-by-firewall; ggf. werden alle Anfragen an ungenutzte Ports blockiert (deny Mode). Sicherheitsboxen PC-Hardware-Firewalls ab ca. 150

4 Installation eines Firewalls: Vorher Sicherheitspolicy festlegen! Firewall ist Teil der Gesamtlösung 1) Bedürfnisse ermitteln (RN-Topologie [meist heterogen!], Anwendgn., erforderl. Dienste, Risiko-Analyse) 2) Vertrauensverhältnisse in Fa. analysieren (wer arbeitet mit wem zusammen?): Behutsam auf Einschränkungen vorbereiten. 3) Richtlinien entwickeln (security policy): am besten einschränkende Grundhaltung (was nicht erlaubt ist, ist verboten), gewünscht wird meist freizügige. Firewalls schützen nicht gegen falsche Autorisierung! 4) Architektur festlegen (Hintertüren / backdoors / Bypässe verhindern, z. B. durch Modem-Anschluss!), Firewall- Hard/Software auswählen, evtl. Betriebssystem-Hardening (überflüssige Komponenten entfernen, neueste Patches einspielen) 5) Firewall installieren, Filterregeln (z. T. kompliziert, meist bidirektional, man darf nichts vergessen!) und Proxy-Zugangsregeln formulieren (Besonderheiten der Dienste beachten) Beispiel für Paketfilterregeln (verallgemeinert): Ablehnung, wenn keine gültige Regel gefunden wird, vgl. jeweils letzte Zeile; oben IP, unten TCP: außer Telnet kein Dienst zugelassen, A/B nach außen gerichtet, C/D nach innen, ACK verhindert Hijacking) Beispiele für Zugangsregeln zum HTTP-Proxy (TIS): http-gw: userid root http-gw: directory somewhere http-gw: timeout 90 http-gw: default-httpd http-gw: hosts * -log read write ftp Moderne Firewalls lernen selbst während der Installation 6) Firewall testen (ausgiebig, vor und auch noch nach Inbetriebnahme; alle Kommunikationswege beachten, bei Rechnernetz-Änderungen neu testen!), evtl. Iteration ab 3 (meist wegen der internen Einschränkungen und wegen Änderungen). (Test-Tools und -Strategien!), Nur zertifizierte und interoperable Firewalls benutzen (z. B. Firewall Evaluation Report 1999 der META Group)! Keinesfalls auf Hersteller-Standard-Installationen verlassen! Aufwand beachten (bei Proxies mit Caches wird evtl. die Internet-Performance sogar gesteigert). Ständige Überwachung und Wartung (ggf. remote)! Administration nur über vertrauenswürdigen Pfad! Es gibt keine Marktführer mit Kochrezepten. Bekannte Software-Produkte zum Generieren/Managen von Firewalls (meist Kombinationen der Grundtypen): + Fa. Checkpoint (Israel, Firewall-1, Marktführer), anfangs weiterentwickelte dynam. Paketfilter), dann stateful inspection (ständige Auswertung von Status- und Kontext-Infos. in den Proxies), content-security-filter, durch Kombination mehrerer Firewalls und Verschl. auch für VPN (VPN-1) geeignet, Alarm u. a. + Axent: Raptor Firewall (Platz 2 am Markt) + Sun: SunScreen EFS, proprietärer Server + Solstice FireWall 1 (Sun) für SunOS / Solaris / Windows NT, jetzt auch mit content security check für HTTP/SMTP/FTP und content vectory protocol zur Prüfung von über FTP/ bezogener Software + CyberGuard (Distributor: BDG, umfassend, E3(B1)-Zertifikat, WinNT und UnixWare, SSL-Proxies mit Authent., Alarm, Report-Generator, DMZ für von außen [Kunden, Lieferanten] zugängl. Server, NAT oder DNS zum Verbergen der int. Adrn., auch Grundlage für Solstice?) [ ] + SOCKS (Linux, Freeware, Quasistandard zur Realisierung generischer Proxies, aktuell Version 5) [www.socks.nec.com] + Netguard: Guardian mit stateful inspection für WinNT + IBM: enetwork Firewall (AIX / WinNT) + Cisco: Centri (Paketfilter) und PIX (Paketfilter + Proxy für Ethernet und Tokenring), proprietär + Watchguard: LiveSecurity System (proprietär) und Firebox (Linux) + KryptoKom (Utimaco): KryptoWall, Application Gateway aus Hard- und Software mit Manager und Informationsserver (Unix-basiert) + TIS (Trusted Information Systems / Network Associates): Gauntlet, für Hochschulen kostenlos mit Quellcodes) mit Proxies für telnet, ftp, rlogin, sendmail, HTTP, X (in UNIX / C): Regel-Installation in /etc/services, /etc/inet.conf, /usr/local/etc/netperm-table (TIS-spezifisch) + AltaVista Firewall 98 (DEC, UNIX / WinNT) + Raptor Eagle (versch. UNIX und Win NT) + Genua: Genugate (BSD), sehr günstig + Biodata: Bigfire + Novell: Bordermanager (NetWare, mit Gateway IPX - IP) [ ] + Ukiah Netroad Firewall (, WinNT) + Sonic: Sonic-Wall (für kleinere Netze) + Secure Computing: SideWinder + Viru Safe (Eli Shim) u. a. Auch Personal Firewalls : + Aladdin esafe Protect 2.2 (kostenlos) + Norton Personal Firewall von Symantec

5 + ZoneAlarm (einfach, kostenlos) warnt bei kritischen Anfragen (kommerziell: ZoneAlarmPro) + Outpost (einfach, kostenlos) + Symantec Personal Firewall 2003 (50, für Fortgeschrittene) + McAfee Firewall 4.0 (45, einfach) + Kerio Personal Firewall (kostenlos) Teilweise unter Betriebssystem-Steuerung (UNIX, WinNT, NetWare), z. T. in System-Management integriert, z. T. komplette Hard/Software-Lösgn. mit eingeschränktem Funktionsumfang Verschiedene Angebote für Outbound- oder Inbound-Zugriffe (Outbound: Intra- zum Internet, Einfache Möglichkeiten schon in Betriebssystemen, z. B. Paketfilter unter Linux (Kommandos ipchains, tcpdump) Virenschutz / Zugangskontrolle / Verschlüsseln trotzdem nötig! Stealth-Scanner können auch Ports hinter dem Firewall abfragen. Auch Angriffe von innen können durch Firewalls nicht abgewehrt werden. Erster Test in der HTW Dresden 1996: Dual-Homed-Host mit Paketfilter (Regeln mit freiem Linux-Programm ipfwadm) und generischen Proxies mittels SOCKS. Intrusion Detection Grundlagen: content security, security policy. Erkennt im Gegensatz zu Firewalls auch Angriffe von innen! Ergänzung zu Firewalls ( Feuermelder, prüft was? ; Firewall prüft wer? ). Meist mit Protokollführung kombiniert. IDRS (intrusion detection and response system): mehr als Netzwerkscanner. Heute erst in 15 % der deutschen Unternehmen (USA: 46) Netz- oder Host-basiert Meist 3 Komponenten: 1) Recognition-Engine erkennt und meldet Attacken, hat Bibliothek von Angriffsmustern, die laufend ergänzt werden muß, und wertet statistisch (Abweichung von Durchschnittsverhalten = Normalfall: lernfähiges Expertensystem) oder regelbasiert (z. B. login-wiederholungen, Port-Scan-Aufrufe, Recherchen in sensiblen Dateien) und alle von Betriebssystemen / Datenbanken / Anwendungen erzeugten Log-Files aus und erzeugt Verhaltensmuster (Aufzeichnung von Personenprofilen: brisant! Betriebsrat einbeziehen), d. h. 1- bis 3-monatige Einlaufphase, Festlegen von Schwellenwerten. 2) Response-Engine mit Reaktionsmöglichkeiten: Protokollierung (Logging), Alarmierung des Personals, Abbruch der Verbindung, Aufruf eines benutzerdefinierten Skripts. 3) Administrator zur Konfigurierung. Zusätzlich evtl. noch Filter, um unnötige Tests auszuschließen. Engines ggf. mehrfach installieren (z. B. vor Subnetzen). Beispiele: TEIRESEIAS registriert unbekannte Ereignisse RealSecure von Internet Security Systems Netranger von Cisco Netprowler + Intruder Alert von Axent Entrax Security Suite von Centrax Mantrap überlässt Hackern Nonsense-Daten und beobachtet/protokolliert den Angriff Shadow (US-Militär, open source): Mehrrechnersystem aus Sensor (mit Span- oder Test Access Ports und tcpdump- Filtern, ohne IP-Adresse!, am besten in DMZ) und Analyzer (geschützt im LAN), die über SSH kommunizieren (Sensor darf selbst keine Verbindung aufbauen!) Windows Defender (2006) Intrusion Prevention Systeme: protokollieren den Netzwerkverkehr und melden bzw. unterbrechen/blockieren verdächtige Aktivitäten mit Rootkit-Techniken (fangen alle Windows-API-Aufrufe ab und protolollieren/analysieren/bewerten sie [Rating durch Vergleich mit Schwellenwerten des Regelwerks]), enthalten Rollback-Funktion, um Schaden rückgängig machen zu können. Intelligente (neuronale) Software-Agents zur Unterstützung des Sicherheitsmanagements: 1) Monitoring der Hitraten (besonders aktiver Zugriffe: DoS), evtl. auch von mehreren Rechnern aus 2) Monitoring des Zugriffsverhaltens, auch der eigenen Mitarbeiter auf Objekte außerhalb ihres Arbeitsbereichs 3) Monitoring der Daten-Kommunikation 4) Monitoring der Unternehmens- und Sicherheitsrichtlinien Perzeptronen empfangen die Eingangssignale, die gewichtet werden; Vergleich mit Schwellenwerten; die Gewichte können lernend variiert werden. Die Neuronen werden je nach Anwendung miteinander verknüpft. Eingangssignale sind Log-Dateien, fehlgeschlagene Authentikationen, Verletzungen der Zugriffsrechte, Transferraten und volumen, Zugriffsraten. Sweeper ("Feger"): content security (statt access security) in Mail- und Web-Servern: Alarm bei Viren, Cookies (Session-ID-Cookies, um mehrere gleichzeitig zugreifende Clients auseinanderzuhalten: müssen für verschl. und unverschl. Seiten unterschiedl. sein), Java-Scripts,

6 ActiveX-Applets (zugelassene können definiert werden), Abwehr von URLs / Absendern / Mail-Spoofing / Spamming, zeitweiliges Zurückhalten (Parken) großer Mails. Verdächtiges kommt in Quarantäne. Bei Mails werden speziell Betreffs und Anhänge (z. B. auf.vbs) geprüft. Bei Websites Prüfung oft in Proxy-Servern. Webwasher bzw. -filter mit URL- oder besser Media-Type-Blockern (früher Mime Types genannt): neben audio und video wird ggf. auch http wegen Scripts untersucht; es wird das Feld content type im HTTP-Header abgefragt. Filtern auch Verstöße gegen Security Policy, gegen Netiquette (Pornos, Lizenzverletzungen) und Embedded Objects (anhand der Tags <object> und <embed>). Clean-Software verwischt Surf-Spuren beim Client. Zukünftiger Bestandteil von IDRS: Pseudonymisierungssysteme (pseudonymisieren personenbezogene Audit-Daten vor der Analyse, aber Aufdeckung bei begründetem Angriffsverdacht) Anti-Spyware: Gute Software erkennt mehr als Muster, verhindert und beseitigt Spyware-Installationen, muss über Updates ständig aktualisiert werden. Beispiele: Pest Patrol (USA, 40 ), Spybot Search & Destroy, Ad-aware SE Personal Edition (gratis), Windows Defender, Antispion (Data Becker, 20 ), Spy Sweeper (30 ), AntiSpyware (Mc Afee), Anti-Spyware-Defender (Microsoft) mit Microsoft Spynet (jeder Nutzer gehört automatisch zum Spynet, meldet bei Spyware-Alarm die IP-Adresse sowie die Betriebssystemund Browser-Version an Microsoft). Z. T. mit Immunisierung (verhindert erneutes Eindringen). Gratis-Virenscanner kümmern sich i. a. nicht um Spyware (um zum Kauf von Anti-Spyware zu zwingen). kd rieck febr. 2015

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Gerd Armbruster Gerd.Armbruster@GMX.De

Gerd Armbruster Gerd.Armbruster@GMX.De Viren, Trojaner & Hacker - so schützen Sie Ihren PC Gerd Armbruster Gerd.Armbruster@GMX.De 100 Mio Sony Kunden gehackt Aktuell Alles 2011 Immer noch 2011 Geschäftsmodell Agenda! Sicherheit im Internet!

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko

Grundlagen und Konzepte. dziadzka@gmx.net http://www.dziadzka.de/mirko )LUHZDOOV Grundlagen und Konzepte 0LUNR']LDG]ND dziadzka@gmx.net http://www.dziadzka.de/mirko ,QKDOW Definition, Sinn und Zweck Architekturen Realisierung mit OpenSource Missverständnisse Diskussion 6.12.2000

Mehr

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007

Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Vorlesung IT-Sicherheit FH Frankfurt Sommersemester 2007 Dr. Volker Scheidemann Zugangsschutz für Netzwerke Firewall-Systeme Typologie der Angreifer White-Hat Hat-HackerHacker großes Know-How spürt Sicherheitslücken

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld.

Der Endnutzer benötigt kaum noch Fachwissen zum Benutzen des Internet. Die Nutzung des Internet ist fast obligatorisch; auch im privaten Umfeld. Die perfekte Personal Firewall, gibt es sie? Wilfried Gericke Dr.Phil(USA) Dipl.-Math IT-Sicherheitsbeauftragter Inhalt: Motivation Grundlagen Firewall Grundlagen Personal Firewall Beispiele von Personal

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

AltaVista Internet Software - Internet Security

AltaVista Internet Software - Internet Security AltaVista Software - Security sichere Anbindung an das vertrauliche Kommunikation über das Mathias Schmitz AltaVista Software mathias.schmitz@altavista.digital.com Die Risiken des sind real! Jede 5. Anschluß

Mehr

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk Rene Straube Internetworking Consultant Cisco Systems Agenda Einführung Intrusion Detection IDS Bestandteil der Infrastruktur IDS Trends

Mehr

5 Firewall und Masquerading

5 Firewall und Masquerading 5 Firewall und Masquerading In diesem Kapitel lernen Sie verschiedene Firewall-Architekturen kennen (LPI 1: 110.1). den Paketfilter ipchains kennen. den Paketfilter iptables kennen. eine Beispiel-Firewall-Konfiguration

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

Firewalls. Inhalt. 1. Firewall-Grundlagen. 2. Elemente von Firewalls. 3. Architektur von Firewall-Systemen 4. Firewalls im E-Learning

Firewalls. Inhalt. 1. Firewall-Grundlagen. 2. Elemente von Firewalls. 3. Architektur von Firewall-Systemen 4. Firewalls im E-Learning Firewalls Inhalt 1. Firewall-Grundlagen - Begriff Firewall - Ziele und Möglichkeiten 2. Elemente von Firewalls - Packet Filter - Stateful Packet Filter - Application Level Gateways und Proxies 3. Architektur

Mehr

Neueste Entwicklungen in der Firewall- Technologie

Neueste Entwicklungen in der Firewall- Technologie Neueste Entwicklungen in der Firewall- Technologie John Read http:// John.read@de.balabit.com 1 Agenda Einführung in Firewall-Technologien Vorstellung der Zorp Professional Firewall-Lösung Balabit Fragen

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Das Kerberos-Protokoll

Das Kerberos-Protokoll Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Konzepte zum Aufbau von Firewalls

Konzepte zum Aufbau von Firewalls Konzepte von Betr iebssystem -Kom pon en ten Konzepte zum Aufbau von Firewalls Christian Schromm (christian@schromm-net.de) 1 Über sicht Motivation zum Betreiben von Firewalls Mögliche Angriffsarten auf

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

safe Global Security for iseries

safe Global Security for iseries safe Global Security for iseries Komplette Security Suite für Ihre iseries (AS/400) TCP/IP und SNA Verbindungen Jemand versucht in Ihr System einzubrechen Ist es gesichert? Immer wenn Ihre iseries (AS/400)

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1

Sicherheit. Bedeutung Gefahren. Mag. Friedrich Wannerer 1 Sicherheit Bedeutung Gefahren Mag. Friedrich Wannerer 1 Sicherheitsbegriff Unversehrtheit und Vertraulichkeit persönlicher Daten Datenschutzgesetz 2000 Bedrohungen q Dialer, Spam, Spyware, Viren, Würmer,

Mehr

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten

BSI Firewall Studie II Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Anhang G Sicherheitsanforderungen an einzelne Firewall- Komponenten Inhalt 1 Grundanforderungen... 1 2 Anforderungen an ein Application-Gateway... 2 3 Anforderungen an einen Paket-Filter... 3 4 Anforderungen

Mehr

I Grundlegende Internetdienste einrichten 9

I Grundlegende Internetdienste einrichten 9 Inhaltsverzeichnis I Grundlegende Internetdienste einrichten 9 1 DHCP Netzwerkkonfiguration zentral 10 1.1 Das DHCP-Protokoll und seine Einsatzmöglichkeiten......... 10 1.1.1 Einsatzmöglichkeiten......................

Mehr

Demilitarisierte Zonen und Firewalls

Demilitarisierte Zonen und Firewalls Demilitarisierte Zonen und Firewalls Kars Ohrenberg IT Gliederung IP-Adressen, Netze, Ports, etc. IT-Sicherheit Warum Packetfilter/Firewalls? Packtfilter/Firewalls im DESY Netzwerk Konzept einer Demilitarisierten

Mehr

Verteilte Dateisysteme

Verteilte Dateisysteme Verteilte Dateisysteme Proseminar: Speicher und Dateisysteme Hauke Holstein Gliederung 1/23 - Einleitung - NFS - AFS - SMB Einleitung Was sind Verteilte Dateisysteme? 2/23 - Zugriff über ein Netzwerk -

Mehr

Einrichten von Internet Firewalls

Einrichten von Internet Firewalls Einrichten von Internet Firewalls Zweite Auflage Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman Deutsche Übersetzung von Kathrin Lichtenberg & Conny Espig O'REILLY* Beijing Cambridge Farnham Köln

Mehr

Lektion V Datensicherheit im Unternehmen

Lektion V Datensicherheit im Unternehmen Lektion V Datensicherheit im Unternehmen Schutzmechanismen zur Datensicherheit Inhalt Lektion V n Datenschutz im Unternehmen n Zugangskontrollen n Datenzugriffsrechte n Network Security n Firewall & DMZ

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Quelle: www.roewplan.de. Stand März 2004

Quelle: www.roewplan.de. Stand März 2004 Quelle: www.roewplan.de Stand März 2004 1 RÖWAPLAN Ingenieurbüro - Unternehmensberatung Datennetze und Kommunikationsnetze 73453 Abtsgmünd Brahmsweg 4 Tel.: 07366 9626 0 Fax: 07366 9626 26 Email: info@roewaplan.de

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Open Source und Sicherheit

Open Source und Sicherheit Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Integrierte Sicherheitslösungen

Integrierte Sicherheitslösungen Integrierte Sicherheitslösungen Alexander Austein Senior Systems Engineer Alexander_Austein@symantec.com IT heute: Kunstwerk ohne Einschränkung IT ermöglicht unendlich viel - Kommunikation ohne Grenzen

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Untangle - Das Netzwerk Gateway

Untangle - Das Netzwerk Gateway Untangle - Das Netzwerk Gateway 1. Was ist ein Gateway? Vom PC erreicht man das Internet über ein sogenanntes Gateway, meist den Router oder ein Modem. Schaut man sich die IP-Konfiguration des Rechners

Mehr

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund

Schutz kleiner Netze mit einer virtuellen DMZ. Tillmann Werner, CERT-Bund Schutz kleiner Netze mit einer virtuellen DMZ Tillmann Werner, CERT-Bund Agenda Das BSI - Kurzvorstellung Demilitarisierte Zonen Virtuelle Maschinen Aufbau einer virtuellen DMZ Beispielkonfiguration Das

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL)

Resolver! DNS: Liefert 173.194.112.111 Resolver cached Antwort (mit Flag Time To Life, TTL) Domain Name System (DNS) Hauptfunktion Namensauflösung: google.de! 173.194.112.111 Beispiel (Auflösung von google.de). Client! Resolver: Auflösung google.de Resolver! Rootserver: Liefert Toplevel Domain

Mehr

Installieren von GFI EventsManager

Installieren von GFI EventsManager Installieren von GFI EventsManager Einführung Wo kann GFI EventsManager im Netzwerk installiert werden? GFI EventsManager kann ungeachtet des Standorts auf allen Computern im Netzwerk installiert werden,

Mehr

Erkennung und Verhinderung von Netzangriffen

Erkennung und Verhinderung von Netzangriffen Erkennung und Verhinderung von Netzangriffen 1. Firewall 2. IDS 3. AAA-Dienste Labor MMV+RN 1 1. Firewall Analogie: elektronischer Pförtner + elektr. Brandschutzmauer Sicherung u. Kontrolle zw. zu schützendem

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Karl Martin Kern. IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls

Karl Martin Kern. IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls Karl Martin Kern IT-Sicherheit Netzwerksicherheit Teil 2: Firewalls Sicherheit in Netzwerken Überblick Filtertechnologien Firewall-Architekturen 2 Netzwerksicherheit Standard-Netzwerkprotokolle bieten

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1

IT-Symposium 2008 04.06.2008. HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime 6/9/2008 1 HOB RD VPN HOB Remote Desktop VPN Your Desktop-Anywhere-Anytime Joachim Gietl Vertriebsleiter Central Europe 6/9/2008 1 HOB RD VPN Eine branchenunabhängige Lösung für alle Unternehmen die Ihren Außendienst

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25

TCP/IP im Überblick... 16 IP... 18 ARP... 20 ICMP... 21 TCP... 21 UDP... 24 DNS... 25 Inhalt Einleitung.................................................................... XIII 1 Wer braucht eine Firewall?............................................... 1 2 Was ist eine Firewall?....................................................

Mehr

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur

MSXFORUM - Exchange Server 2007 > Exchange 2007 - Architektur Page 1 of 5 Exchange 2007 - Architektur Kategorie : Exchange Server 2007 Veröffentlicht von webmaster am 18.03.2007 Warum wurde die Architektur in der Exchange 2007 Version so überarbeitet? Der Grund liegt

Mehr

Was ist eine Firewall? Bitdefender E-Guide

Was ist eine Firewall? Bitdefender E-Guide Was ist eine Firewall? Bitdefender E-Guide 2 Inhalt Was ist eine Firewall?... 3 Wie eine Firewall arbeitet... 3 Welche Funktionen eine Firewall bieten sollte... 4 Einsatz von mehreren Firewalls... 4 Fazit...

Mehr

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand

isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software

Mehr

1 Einleitung... 1 1.1 Produkt Information... 2. 2 Funktionen... 3 2.1 Übersicht Basisfunktionen... 3 2.2 Add-in s... 3

1 Einleitung... 1 1.1 Produkt Information... 2. 2 Funktionen... 3 2.1 Übersicht Basisfunktionen... 3 2.2 Add-in s... 3 Betrifft Autoren Art der Info Quelle Microsoft Internet Security & Acceleration Server Stephan Hurni (stephan.hurni@trivadis.com) Thomas Hasen (thomas.hasen@trivadis.com) Technische Information, Positionierung

Mehr

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006

Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Intelligent Application Gateway 2007 Abgrenzung und Mehrwert zum Internet Security Acceleration Server 2006 Kai Wilke Consultant - IT Security Microsoft MVP a. D. mailto:kw@itacs.de Agenda Microsoft Forefront

Mehr

Checkliste. Installation NCP Secure Enterprise Solution

Checkliste. Installation NCP Secure Enterprise Solution Checkliste Installation NCP Secure Enterprise Solution Bitte vor der (Test-)Installation komplett durchlesen, ausfüllen und dem Servicetechniker / SE zur Verfügung stellen. Verzögerungen während der Installation,

Mehr

Daten Monitoring und VPN Fernwartung

Daten Monitoring und VPN Fernwartung Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet

Mehr

Jugendschutz und Sicherheit am PC und im World Wide Web

Jugendschutz und Sicherheit am PC und im World Wide Web Jugendschutz und Sicherheit am PC und im World Wide Web In der Schule, im Büro oder in der Freizeit, längst sind das Internet und der PC für viele von uns ein fester Bestandteil unseres täglichen Lebens.

Mehr

Secure Authentication for System & Network Administration

Secure Authentication for System & Network Administration Secure Authentication for System & Network Administration Erol Längle, Security Consultant Patrik Di Lena, Systems & Network Engineer Inter-Networking AG (Switzerland) Agenda! Ausgangslage! Komplexität!

Mehr

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K.

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. ESET Technologien und Produkte Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. Wer ist ESET? ESET, spol. s r.o. & Patrick Karacic DATSEC Data Security e. K. ESET, spol. s

Mehr

Desktop Personal Firewall und Virenscanner

Desktop Personal Firewall und Virenscanner Desktop Personal Firewall und Virenscanner Desktop Personal Firewall Was ist eine Firewall und wie kann diese unterschieden werden? Wie funktioniert eine Firewall? Was ist zu beachten? Virenscanner Was

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1 Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent

Mehr

Linux-Firewalls Ein praktischer Einstieg

Linux-Firewalls Ein praktischer Einstieg 2. Auflage Linux-Firewalls Ein praktischer Einstieg Andreas Lessing O'REILLY 0 Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo Inhalt Einleitung XIII 1 Wer braucht eine Firewall? 1 2 Was ist

Mehr

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Lange Nacht der Wissenschaften 2007. Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Lange Nacht der Wissenschaften 2007 Gefahr aus dem Internet Wie kann ich mein Windows System schützen? Manuel Selling Humboldt Universität zu Berlin ZE Computer und Medienservice Abt. Systemsoftware und

Mehr

NET 4: Firewalls. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004

NET 4: Firewalls. Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs. Bioinformatik, in Hagenberg Sommersemester 2004 NET 4: Firewalls Begleitmaterial zur Vorlesung NET 4 des FH-Studiengangs Bioinformatik, in Hagenberg Sommersemester 2004 FH-Prof. Dipl.-Ing. Dr. Gerhard Jahn email: Gerhard.Jahn@fh-hagenberg.at 19. Mai

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

When your browser turns against you Stealing local files

When your browser turns against you Stealing local files Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...

Mehr

DNS, FTP, TLD Wie kommt meine Website ins Internet?

DNS, FTP, TLD Wie kommt meine Website ins Internet? DNS, FTP, TLD Wie kommt meine Website ins Internet? Ein Blick hinter die Kulissen Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe Mitarbeiter bei verschiedenen Internetprovidern

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Intrusion Detection & Intrusion Prevention Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005 Inhalt Begriffsdefinitionen Aufgaben eines Intrusion Detection Systems Architektur eines Intrusion

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Firma und Internet-Server Projekt

Firma und Internet-Server Projekt Privates Netzwerk Client (Host 1) Firma und Internet-Server Projekt Internes Netzwerk (LAN) 192.168.x.0/2 HUB/Switch INTERNET (Simulation) 172.16.0.0/16 172.16.0.5 STD Gateway Desktop PC mit VMWARE: -

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr