Sicherheit im Internet. Praktische Umsetzung von Firewall-Konzepten

Größe: px
Ab Seite anzeigen:

Download "Sicherheit im Internet. Praktische Umsetzung von Firewall-Konzepten"

Transkript

1 ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Sicherheit im Internet Praktische Umsetzung von Firewall-Konzepten Seminar Datenverarbeitung WS 1997/98 Referent: Michael Hennecke Betreuer: Thomas Droste SEMINA R DATENVERA RBEITUNG WS 1997/98 URL:

2 Inhalt Inhalt 1 Einführung Gründe für den Einsatz von Firewalls Aufgaben einer Firewall Basis Firewall Konzepte Paketfilterung Proxy Systeme Anforderungen in der Wirtschaft Der Borderware Firewall Server Secure Server Net Java Applet zur Administration Alarmmeldung via Moderne Firewall Konzepte Virtual Private Networking Dynamic Virtual Private Networking Erweiterte Analysemöglichkeiten HTTP Proxy des Gauntlet Firewall Literatur

3 Kapitel 1 Einführung 1 Einführung 1.1 Gründe für den Einsatz von Firewalls Die Bedeutung von Firewalls ist mit dem rasanten Wachstum des Internets eng verbunden. Da dieses weltweit größte Computernetz ein ideales Kommunikationsmedium ist und auch interessante kommerzielle Möglichkeiten bietet, beschließen immer mehr Firmen und Organisationen ihr lokales Computernetz (LAN 1 ) mit dem Internet zu verbinden. Im folgenden wird von lokalen Netzwerken ausgegangen, die bereits als Netzwerkprotokoll das Internet Protokoll (TCP/IP 2 ) einsetzen. Ein solches LAN wird Intranet genannt. Der Zusammenschluß der beiden Netzwerke ist technisch kein Problem, da sie das gleiche Netzwerkprotokoll benutzen. Gegen einen direkten Zusammenschluß sprechen aber schwerwiegende Sicherheitsbedenken. So kann z.b. jeder externe User auf die Daten des lokalen Netzes, das mit dem Zusammenschluß ein Teil des Internet geworden ist, zugreifen und diese ggf. manipulieren (kopieren, löschen, etc.). Um das zu verhindern wird ein Firewall System zwischen dem lokalen Netz und dem Internet geschaltet. Dieses besteht aus Hard- und Softwarekomponenten, die den Datenfluß zwischen den beiden Netzwerken kontrollieren und steuern. Auf die unterschiedlichen Architekturen von Firewall Systemen soll ihr nicht eingegangen werden (vgl. [CHA96]). Bild 1: Dual Homed Firewall 1 LAN local area network 2 TCP/IP Transmission Controll Protocol / Internet Protocol 3

4 Kapitel 1 Einführung Im einfachsten Fall ist die Firewall ein Rechner mit zwei Netzwerkkarten, über die das interne und externe Netzwerke angeschlossen sind. Eine solche Konfiguration wird auch Dual Homed Firewall genannt (vgl. Bild 1). Auf diesem Rechner läuft eine Firewall Software, welche die Kontrolle des Datenflusses übernimmt. Eine Firewall 3 bietet ein relativ hohes Maß an Sicherheit, wobei zu beachten ist, daß es keine absolute Sicherheit gibt. 1.2 Aufgaben einer Firewall Die in Kapitel 1.1 genannte Kontrolle des Datenflusses muß spezifiziert werden. Dazu wird eine Sicherheitspolitik 4 erstellt. Sie enthält ein detailliertes Regelwerk für die Anbindung des Intranets an das Internet: Am Anfang wird die Grundhaltung für die zu erstellenden Regeln festgelegt. Diese kann restriktiv sein, dann sind alle Dienste gesperrt und müssen explizit freigegeben werden oder sie ist liberal, dann sind alle Dienste freigegeben und nur die gefährlichen gesperrt. Der gesamte Datenfluß muß durch die Firewall gehen. Es darf keine weiteren, unkontrollierten Verbindungen zur Außenwelt geben, da sonst die Firewall wirkungslos wäre. Welcher Internet-Dienst darf unter welchen Bedingungen von der Firewall durchgelassen werden? Der Datenverkehr muß protokolliert werden, um später Integritätsverletzungen nachvollziehen zu können. Ein Notfall-Szenario legt fest, welche Maßnahmen nach einem erfolgten Angriff zu leisten sind. Die Erstellung der Sicherheitspolitik ist ein wesentlicher Teil der Planung eines Firewall Systems. Erst wenn sie abgeschlossen ist, erfolgt die eigentliche Beschäftigung mit der Firewall. In Firmen ist die Sicherheitspolitik ein z.t. sehr umfangreich juristisches Dokument. Die wesentliche Aufgabe einer Firewall ist es, die Sicherheitspolitik umzusetzen. 1.3 Basis Firewall Konzepte In diesem Kapitel werden die Basis Konzepte erläutert, mit denen eine Firewall die Sicherheitsanforderungen aus Kapitel 1.2 erfüllt. 3 Firewall Brandschutzmauer 4 Security Policy - Sicherheitspolitik 4

5 Kapitel 1 Einführung Da diese eng mit dem Internetprotokoll TCP/IP verbunden sind, soll hier eine kurze Einführung in die Protokollarchitektur erfolgen. TCP/IP ist das Netzwerkprotokoll des weltweit größten Computernetzes Internet. In diesem Netzwerk werden Internet-Dienste wie z.b. das World Wide Web (WWW 5 ), und 6 angeboten. Diese Dienste werden von Servern 7 bereitgestellt, die jeder Client 8 nutzen kann. Um eine Kommunikation zwischen Client und Server zu ermöglichen, ist eine eindeutige Adressierung nötig. Diese besteht aus einer IP-Adresse und einer TCP- Portnummer. Jeder Internet-Rechner besitzt eine IP-Adresse (z.b ), die für ihn einmalig vergeben wurde. Da auf einem Rechner mehrere Server laufen können, ist zusätzlich die Angabe der TCP-Portnummer nötig, um einen bestimmten Dienst anzusprechen. Möchte ein Client z.b. Informationen von einem WWW-Server abrufen, so schickt er dazu eine Anfrage ins Netz, die als Zieladresse die IP-Nummer des Internet-Rechners beinhaltet, auf dem der WWW-Server läuft. Die TCP Portnummer in dieser Anfrage hat den Wert 80. Statt der IP-Adresse gibt der Benutzer oft einen Textstring ein (z.b. der dann vom Internet-Dienst Domain Name Service (DNS) in die entsprechende IP-Adresse umgewandelt wird (hier ). Auch die TCP Portnummer muß nicht explizit angegeben werden, da sie beim Verbindungsaufbau für den jeweiligen Internet-Dienst immer gleich ist (z.b. WWW Port 80). Die Datenübertragung im Internet erfolgt in Form einzelner Pakete (Datagramme). Diese Pakete sind in einen Header und in einen Datenteil aufgeteilt. Wie diese Pakete gebildet werden, zeigt das Schichtenmodell des Internet-Protokolls (vgl. Bild 2). Die Protokollarchitektur besteht aus vier funktional unabhängigen Schichten: In der obersten Ebene, der Anwendungsschicht, finden sich die Anwendungsprotokolle, die jeweils einen bestimmten Internet-Dienst zugeordnet sind (z.b. HTTP 9 WWW, SMTP 10 ). Die dritte Ebene ist die Transportschicht, die Transport- und Kontrollprotokolle bereitstellt. Hier werden z.b. die TCP Portnummern verarbeitet. 5 WWW - Internet-Informationsdienst 6 - elektronischer Nachrichtendienst 7 Server - Dienstanbieter 8 Client - Dienstnehmer 9 HTTP - Hyper Text Markup Language, Anwendungsprotokoll für WWW 10 SMTP Simple Mail Transfer Protocol, Anwendungsprotokoll für 5

6 Kapitel 1 Einführung Die zweite Ebene ist die Internetschicht. Sie beinhaltet das eigentliche Internet- Protokoll (IP). Hier werden z.b. die IP-Adressen verarbeitet. Die unterste Ebene ist die Netzzugangsschicht. Dort wird das Übertragungsprotokoll (z.b. Ethernet) des jeweiligen Übertragungsmediums (z.b. Unshielded Twisted Pair (UTP)) dargestellt. Zum Vergleich sind auf der rechten Seite (in Bild 2) die jeweiligen Schichten des Open System Interconnection (OSI) Modells angegeben. Dies ist ein standardisiertes Schichtenmodell zur Analyse von Netzwerkprotokollen. Anwendungsschicht (SMTP, Telnet, Ftp, etc.) Daten OSI Layer 7,6,5 Transportschicht (TCP, UDP, IMCP) Header Daten OSI Layer 4 Internetschicht (IP) Header Daten OSI Layer 3 Netzzungangsschicht (Ethernet, FDDI) Header Daten OSI Layer 2,1 Bild 2: Schichtenmodell des Internet Protokolls An einem Beispiel soll nun gezeigt werden, wie die Schichten miteinander kommunizieren und die Pakete gebildet werden. Verschickt ein Anwender eine , so erzeugt sein Programm eine Reihe von Datenpaketen, die jeweils den Inhalt der Mail (z.b. Subject, Body) und Kommandos des entsprechenden Anwendungsprotokolls SMTP (z.b. helo, data) enthalten. Ein solches, in der Anwendungsebene erstelltes, Datenpaket wird nun an die tiefer liegende Transportschicht weitergereicht, in der ein schichtspezifischer Header hinzugefügt wird, der TCP Steuerinformationen wie z.b. die TCP Quell- und Zielportnummer enthält. Das Ganze wird als ein Paket an die tiefer liegende Internetschicht weitergereicht, die das Paket als Datenteil behandelt und ihrerseits einen Header hinzufügt der u.a. die IP Quell- und Zieladresse enthält. Dieser Vorgang wiederholt sich noch einmal beim Übergang zur Netzzungangsschicht. Das so entstandene Paket wird nun über das Netzwerk verschickt. Dieser Vorgang, der an das Prinzip der russischen Puppen erinnert, wird als transparente Kapelung bezeichnet. Mit Transparenz wird der Umstand bezeichnet, daß die tiefer liegende Schicht keine Informationen über den Aufbau des ihr übergebenen Paketes hat. 6

7 Kapitel 1 Einführung Beim Empfänger entfernt jede Schicht ihren Header und reicht die Daten an die nächst höhere Schicht weiter bis schließlich das Datenpaket mit den SMTP Befehlen und dem Inhalt der übrigbleibt. Die Basis Analysekonzepte einer Firewall beruhen darauf, daß sie eingehende Pakete nach obigen Verfahren auspackt und die Header untersucht Paketfilterung Ein Analyeverfahren von Firewalls ist die Paketfilterung. Eingehende Pakete werden bis zur IP-Ebene bzw. Transportebene (TCP) ausgepackt und es wird der jeweilige Header untersucht. Vor dem Hintergrund der implementierten Regeln wird das Paket weitergeleitet oder verworfen. Bei der Auswertung des IP-Headers sind einige Einträge vom besonderen Interesse (vgl. Bild 3): IP-Quelladresse bzw. IP-Ursprungsadresse IP-Zieladresse Protokolltyp (TCP, UDP, ICMP) IP-Option Bild 3: IP-Header Über die IP Adressen kann so z.b. der Datenverkehr für bestimmte Server und Clients gesperrt werden. Treten auf der externen Seite der Firewall Pakete mit IP-Quelladressen aus dem Intranet auf, so können diese sofort verworfen werden. Das Feld IP-Optionen ist in der Regel leer. Es kann aber mißbraucht werden, um die Funktion von Routern 11 außer Kraft zu setzen zu (auch Source Routing genannt). Daher verwerfen Firewalls Pakete mit IP-Option Einträgen. 11 Router Systeme, die durch Auswertung der IP-Zieladresse den Datenfluß steuern 7

8 Kapitel 1 Einführung Die Auswertung des TCP-Headers auf der Transportebene (OSI Layer 4) berücksichtigt im wesentlichen folgende Einträge: TCP-Quellport TCP-Zielport TCP-Flags Über die TCP Portnummern können bestimmte Internet-Dienste (z.b. WWW=Port 80) gesperrt werden. Die Auswertung des Acknowledge (ACK) Flag ermöglicht der Firewall festzustellen, welcher Rechner (intern oder extern) die Verbindung aufbaut (vgl. Bild 4). So können z.b. Telnet Verbindung von Intranet ins Internet zugelassen werden, nicht aber umgekehrt. Client Server ACK=0 ACK=1 Zeit ACK=1 ACK=1 Bild 4: Wertigkeit des ACK Bits beim Verbindungsaufbau Proxy Systeme Ein modernes Sicherheitskonzept von Firewalls ist die Implementation von Proxy Systemen. Diese bauen stellvertretend für den Client die Verbindung zum Internet auf. Die Sicherheit wird somit wesentlich erhöht, da der Intranet-Client keinen direkten Internet Zugriff hat, sondern diesen immer über den Proxy Server realisieren muß. Dabei tauscht der Proxy Server die IP-Quelladresse des Intranet-Clients durch seine eigene, externe IP-Adresse aus, so daß der Internet-Server glaubt, er kommuniziere nur mit dem Proxy System. Moderne Proxy Systeme sind transparent, d.h. der Client bemerkt den Proxy nicht und glaubt direkt mit dem Internet-Server zu kommunizieren (vgl. Bild 5). Daher muß auf dem Client keine modifizierte Software installiert werden bzw. der Benutzer muß sich nicht auf dem Proxy Server einloggen. 8

9 Kapitel 1 Einführung Tatsächliche Verbindung Illusion des Servers Scheinbare Verbindung Proxy System Illusion des Clients Internet Server Intranet Client Bild 5: Transparenter Proxy Server Es gibt zwei Arten von Proxy Systemen, generische und dedizierte Proxy Server Circuit Level Proxy Der Circuit Level Proxy arbeitet auf der Transportebene (OSI Layer 4). Er hat keine Kenntnisse über das von ihm übertragene Anwendungsprotokoll. Da er keinem bestimmten Anwendungsprotokoll zugeordnet ist, wird er auch als generischen Proxy Server bezeichnet. Somit kopiert er nur die Daten von einem Interface der Firewall zum anderen unter Berücksichtigung der Sicherheitspolitik (Paketfilterung auf Transportebene) und tauscht die IP-Quelladresse des Intranet-Clients aus. Der Vorteil des generische Proxy ist, daß er schnell an neue Anwendungsprotokolle angepaßt werden kann. Somit wird die Flexibilität einer Firewall erhöht. Der Nachteil ist relativ Unsicherheit aufgrund seines Arbeitsprinzips. Eine Grundregel ist daher, daß nie ein Verbindungsaufbau vom externen ins interne Netz mit einem Circuit Level Proxy realisiert werden darf. Bild 6: Generischer Proxy 9

10 Kapitel 1 Einführung Application Level Proxy Der Application Level Proxy untersucht die Daten auf der Anwendungsebene (OSI Layer 7) und hat somit Kenntnisse über das Anwendungsprotokoll. Jedem Anwendungsprotokoll ist ein Application Level Proxy zugeordnet, daher wird er auch als dedizierten Proxy Server bezeichnet. Der Application Level Proxy versteht und interpretiert die Befehle seine Anwendungsprotokolls (z.b. SMTP-Befehle: data, helo,...) und bietet damit weitreichende Anaysemöglichkeiten. Die relativ hohe Sicherheit ist sein wesentlicher Vorteil. Ein Nachteil ist, daß dedizierte Proxy Server nicht sofort für neuste oder seltene Anwendungsprotokolle verfügbar sind. Bild 7: Dedizierter Proxy Server Moderne Firewalls sind Kombinationen aus Paketfiltern und Proxy Systemen. Sie untersuchen die Daten auf drei Ebenen des Internet-Schichten-Modells. 10

11 Kapitel 2 Anforderungen in der Wirtschaft 2 Anforderungen in der Wirtschaft In der Industrie bzw. Wirtschaft werden im wesentlichen folgende Anforderungen an ein Firewall System gestellt: 1. Umsetzung der Sicherheitspolitik (Security Policy) 2. Kosten 3. Support 4. Flexibilität 5. Bedienbarkeit 6. Integration in bestehende Hard- und Softwareumgebung 7. Zertifikate, Empfehlungen und Testberichte Zu 1) Umsetzung der Sicherheitspolitik (Security Policy) Das Firewall System muß kompromißlos die Anforderungen der Sicherheitspolitik für die Anbindung des Intranets an das Internet erfüllen. Dies ist das wesentliche Entscheidungskriterium für die Wahl einer bestimmten Firewall. Zu 2) Kosten Ein wesentlicher Gesichtspunkt sind auch die Kosten. Sie liegen für kommerzielle Firewall Systeme zwischen 10 und 60 TDM, Speziallösungen für Hochsicherheitsanforderungen liegen zwischen 300 und 700 TDM. Hinzu kommen ggf. Kosten für Hardware und Software (z.b. Betriebsystem). Desweiteren ist mit Folgekosten für z.b. Support, Schulung zu rechnen (Cost of Ownership). Zu 3) Support In der Wirtschaft ist die Downtime 12 von EDV Systemen ein kritischer Punkt. Fällt ein System aus, so kann dies, abhängig von der Ausfallzeit, viel Geld kosten. Daher ist es wichtig, das Störungen durch den Support schnell behoben werden. Beim Kauf von kommerziellen Firewalls sollte immer ein Supportvertrag mit abgeschlossen werden. Die Supportformen reichen von Hotline über Vor-Ort-Reparaturen bis zu Fernkonfiguration über Secure Telnet Downtime Zeit in der ein EDV System außer Betrieb ist 13 Secure Telnet gesicherte Terminalverbindung 11

12 Kapitel 2 Anforderungen in der Wirtschaft Zu 4) Flexibilität Eine Firewall muß in der Lage sein, neue Anforderungen zu erfüllen. Ein neues Anwendungsprotokoll soll z.b. durch die Firewall durchgelassen werden. Da noch kein Aplication Level Proxy für das Protokoll existiert, muß der Administrator in der Lage sein, statt dessen einen generischen Proxy zu definieren. Zu 5) Bedienbarkeit Firewalls sind sehr komplexe Softwareprodukte. Um die Bedienbarkeit zu erleichtern sind alle kommerziellen Firewalls mit einer graphischen Benutzungsoberfläche (GUI) ausgestattet. Sie bieten eine erhöhte Übersicht und vermeiden damit die Gefahr von Fehlkonigurationen. Zu 6) Integration in bestehende Hard- und Softwareumgebung Moderne lokale Netzwerke sind homogen aufgebaut, d.h. sie benutzen eine einheitliche Hard- und Softwarearchitektur. Eine Firewall sollte sich nahtlos in die Umgebung integrieren lassen. Aus diesem Grund bieten fast alle Hersteller ihre Firewalls auch als MS Windows NT Version an, da dieses Betriebssystem in neuen Intranets verstärkt eingesetzt wird. Das klassische Betriebssystem für Firewalls ist Unix. Zu 7) Zertifikate, Empfehlungen und Testberichte Bei der großen Anzahl an Firewall Produkten ist es schwierig, die Übersicht zu bewahren. Eine Hilfe sind die Firewall Zertifikate der National Computer Security Asscociation (NCSA, vgl. [NCS97]) oder die Empfehlungen der entsprechenden Newsgroup im Internet [NEW97]. 12

13 Kapitel 3 Der Borderware Firewall Server 3 Der Borderware Firewall Server Nachdem in Kapitel 1 und 2 die Anforderungen und grundlegenden Funktionsweisen einer Firewall aufgeführt worden sind, wird nun eine konkrete Firewall vorgestellt. Es handelt sich um den Borderware Firewall Server der Firma SecureComputing. Die besonderen Eigenschaften dieser kommerziellen Firewall werden im folgenden beschrieben: Die Firewall-Funktionalität ist fest im Unix-Betriebssystem integriert. Im Zentrum steht ein hardened kernel. Das ist ein modifizierter Kernel, der speziell den erhöhten Sicherheitsanforderungen angepaßt wurde. Einige Eigenschaften, wie z.b. der Multiuser Betrieb oder das Rechtesystem wurden aus Sicherheitsgründen entfernt. Daher ist ein einloggen auf der Firewall und das Ausführen von Programmen nicht möglich. Da die Firewall ihr eigenes Betriebssystem gleich mitbringt bzw. das Betriebssystem die Firewall ist, entfallen die zusätzlichen Kosten für den Kauf eines Betriebssystems (Unix oder MS Windows NT) auf dem die eigentliche Firewall-Software aufsetzen müßte. Der Borderware Firewall Server ist eine Tri Homed Firewall. Im Vergleich zu den Dual Homed Firewalls ist er mit drei Netzwerken verbunden (physikalisch: 3 Netzwerkkarten). In dem zusätzlichen Netzwerk (Secure Server Net) sind Serverdienste untergebracht (vgl. Kapitel 3.1). In der Firewall selbst sind gesicherte Server für Internet-Dienste (z.b. WWW, ) integriert. Die Administrierung erfolgt über ein Java-Applet, das von einem WWW- Browser geladen wird. Die Sicherheit dieser Remote-Administration wird durch kryptographische Maßnahmen wie z.b. Secure Socket Layer (https://) und KryptoCard gewährleistet. Das Java-Applet wird im Kapitel 3.2 vorgestellt. Die Firewall integriert das Virtual Private Networking (VPN) Konzept. Dieses Verfahren ermöglicht den Aufbau einer sicheren Verbindung zwischen zwei Intranets über das Internet (vgl. Kapitel 4.1). 3.1 Secure Server Net Zu den beiden Netzen Intranet und Internet wird über die Firewall ein drittes Netz, das Secure Server Net (SSN), geschaltet (vgl. Bild 8). Dieses ist für die Aufnahme von Server-Dienste (z.b. WWW, ) konzipiert, welche von Clients aus dem Intranet und dem Internet angesprochen werden können. 13

14 Kapitel 3 Der Borderware Firewall Server Bild 8: Secure Server Net Die drei Netzwerke sind gegeneinander durch jeweils unabhängige Firewalls gesichert. Jeder dieser Firewalls verfügt über eigene Sicherheits-Regeln, dedizierte Proxies, Paketfilter und Protokollmechanismen. Sollte ein überwinden der Firewall vom Internet ins SSN erfolgreich sein, so ist das Intranet immer noch geschützt. Die drei Netze verfügen über unterschiedliche IP-Adressbereiche. Möchte ein Client die Server-Dienste im SSN ansprechen, so sieht er immer nur die externe IP-Adresse der Firewall. Aufrund der TCP Portnummer (vgl. Kapitel 1.3) reicht die Firewall die Anfrage an den entsprechenden Server weiter. Um mehrere Internet-Dienste des gleichen Typs, z.b. 2 WWW-Server im SSN und der integrierte WWW-Server der Firewall, zu nutzten, wird das Mutiple Adress Translation Verfahren genutzt. Damit kann der Firewall mehrere externe IP-Adressen zugewiesen werden. Die Firewall leitet nun Anfragen auf Grund ihrer IP-Zieladresse und TCP Portnummer an den gewünschten Server weiter (mapping). Die Verknüpfungen zwischen externer IP-Adresse und Server können beliebig vorgenommen werden. 14

15 Kapitel 3 Der Borderware Firewall Server 3.2 Java Applet zur Administration Die komplexen Konfigurationsmöglichkeiten kommerzieller Firewalls begründen die Notwendigkeit graphischer Benutzungsoberflächen (GUI) zur Administration, um die Übersicht zu erhöhen und um Fehlkonfigurationen zu vermindern. Der Borderware Firewall Server bietet zudem noch ein hohes Maß an Flexibilität, indem er dieses GUI als Java Applet (vgl. Bild 9) zur Verfügung stellt. Der Administrator kann über das Netz die Firewall konfigurieren und braucht somit nicht "Vor-Ort" zu sein. Bild 9: Java Applet zur Administration des Firewalls Das Applet in Bild 9 wurde mit einem WWW-Browser geladen und zeigt in der unteren Statuszeile werden die CPU- und Netzwerkauslastung angezeigt. In der linken Menüleiste wurde der Eintrag für die Application Level Proxies ausgewählt. Sie realisieren die Verbindungen vom internen ins externe Netz und umgekehrt. Die Liste führt die Internet-Dienste auf, für die ein solcher dedizierter Proxy verfügbar ist. Dabei wird zwischen der Richtung des Verbindungsaufbaus unterschieden (Intern Extern 15

16 Kapitel 3 Der Borderware Firewall Server bzw. Extern Intern). Ist ein Internet-Dienst gesperrt, wird er mit einem X markiert. Andernfalls erfolgt die Freigabe durch das O.K.-Symbol. Die Verfügbarkeit eines bestimmten Internet-Dienstes kann an Zugriffsbeschränkungen (Access Rules) geknüpft werden. Bild 10: Beispiel für die Definition von Zugriffsbeschränkungen Diese Access Rules schränken die Benutzung eines Dienstes derart ein, daß hier z.b. nur der Client mit der IP-Adresse diesen Dienst in einem Zeitfenster (Montag von 01h bis 06h) nutzen kann (vgl. Bild 10). Dabei kann er jedoch auf alle Server dieses Typs zugreifen. 3.3 Alarmmeldung via Im ersten Kapitel wurde auf die Notwendigkeit einer selbständigen Alarmauslösung durch die Firewall hingewiesen, falls es zu Angriffsversuchen kommt. Eine Möglichkeit ist die Absetzung einer Alarmmeldung via an den Administrator, wie in dem folgenden Beispiel dargestellt: 16

17 Kapitel 3 Der Borderware Firewall Server From: PostMaster General To: Subject: Firewall Server ALARM Date: Sun, 11 Jan :04: ******************* ALARM on Rule 'TCP_Extern' ******************* 3 probe(s) under 5 minutes from: on port: 21 at Sun Jan 11 19:04: rule protocol port time (tcp) 21 (? ) Sun Jan 11 19:01: (tcp) 21 (? ) Sun Jan 11 19:03: (tcp) 21 (? ) Sun Jan 11 19:04: In diesem Fall wurde der Alarm durch drei Anfragen innerhalb von 5 Minuten an einen nicht vorhandenen Dienst (hier FTP 14 Port 21) ausgelöst. 14 FTP File Transfer Protocol, Dienst zum Versenden von Dateien 17

18 Kapitel 4 Moderne Firewall Konzepte 4 Moderne Firewall Konzepte Die modernen Eigenschaften von Firewall Systemen sind im wesentlichen: Die Verfügbarkeit von transparenten Application Level Proxies (dedizierten Proxy Servern) für alle Anwendungsprotokolle Administrierung über eine graphische Benutzungsoberfläche (GUI) Die Bereitstellung und Unterstützung von kryptographischen Verfahren Weitreichende Analysemöglichkeiten für die höheren Protokollschichten 4.1 Virtual Private Networking Das Virtual Private Networking (VPN) ermöglicht die Verbindung zweier Intranets durch einen sicheren Tunnel über das Internet. Der Tunnel wird dauerhaft von den Firewalls der beiden Intranets aufgebaut, wobei diese die automatische Verschlüsselung des Datenverkehrs zwischen den beiden Netzen übernehmen. Ein Standard für dieses Kryptographie- bzw. Authentisierungsverfahren ist IPSec (Internet Protocol Security). Das VPN ist transparent für den Anwender. Möchte dieser z.b. eine an das zweite Intranet senden, muß er diese nicht explizit verschlüsseln (z.b. mit PGP) sondern schickt sie einfach ab. Die Firewall erkennt, daß die für das andere Intranet bestimmt ist und leitet sie in den Tunnel, d.h. jedes Paket der wird verschlüsselt und über das Internet zur anderen Firewall geschickt (vgl. Bild 11). Bild 11: VPN Konzept 18

19 Kapitel 4 Moderne Firewall Konzepte Dynamic Virtual Private Networking Im Gegensatz zum VPN besteht beim Dynamic Virtual Private Networking (DVPN) keine dauerhafte Tunnelverbindung. Diese wird vielmehr dynamisch durch einen Client im Internet mit einer speziellen Tunnelsoftware aufgebaut (vgl. Bild 12). Auf diese Weise ist es z.b. möglich, daß ein Mitarbeiter in einem New Yorker Internet- Café sein Notebook an das Internet anschließt und einen gesicherten Tunnel zum Firewall seiner Firma aufbaut. Ab diesem Zeitpunkt ist sein Notebook im Firmennetz integriert. Eine spezielle Client Anwendung, die den Tunnel aufbaut, tauscht auch die aktuelle IP Protokollversion (IPv4.1) auf dem Client durch eine gesicherte Variante (vgl. IPv6) aus. Bild 12: Tunnelsoftware für DVPN 4.2 Erweiterte Analysemöglichkeiten Die bisher weitreichendste Analyseform ist die Auswertung der Befehle eines Anwendungsprotokolls durch den Application Level Proxy (vgl. Kapitel ). Nun sind diese Proxies auch in der Lage, den Inhalt von , FTP und WWW Übertragungen zu untersuchen. In Bezug auf das Beispiel aus Kapitel 1.3, indem der Anwender eine verschickt, bedeutet dies, daß nicht nur die SMTP-Befehle 19

20 Kapitel 4 Moderne Firewall Konzepte untersucht werden sondern auch der Text der . Desweiteren können Attachments 15 dieser auf Viren untersucht werden. Bei komplexen Untersuchungen, wie z.b. der Virenanalyse, leitet die Firewall den Datenstrom an einen speziellen Server weiter, der für sie die Analyse durchführt. Die Kommunikation zwischen der Firewall und dem externen Rechner basiert auf dem Content Vektor Protocol (CVP). Neben der Virenprüfung bieten die erweiterten Anaylseverfahren die Möglichkeit, gefährliche Programme, die das Anwendungsprotokoll HTTP (WWW) überträgt, zu sperren. Zu solchen Programmen gehören z.b. Java, JavaScript und Axtive-X Anwendungen. Desweiteren besteht die Möglichkeit, den einzelnen Befehlen eines Anwendungsprotokolls Regeln zuzuweisen HTTP Proxy des Gauntlet Firewall Diese erweiterten Analysemöglichkeiten aus Kapitel 4.2 werden in der Praxis bereits eingesetzt (vgl. Bild 13, 14, 15). Bild 13: HTTP Proxy Configuration Im Hauptfenster des HTTP Proxy können u.a. Anwendungem, die mit dem WWW- Dienst übertragen werden, gesperrt werden (vgl. Bild 13). 15 Attachment Datei, die mit einer verschickt wird 20

21 Kapitel 4 Moderne Firewall Konzepte Bild 14: Virus Scanning Settings Im ersten Unterfenster (vgl. Bild 14) wird ein externer Server, auf dem der Virenscanner läuft, angegeben und festgelegt, wie mit infizierten Dateien verfahren werden soll. Bild 15: HTTP Advanced Proxy Configuration Im zweiten Unterfenster (vgl. Bild 15) können für die einzelnen Kommandos des HTTP Anwendungsprotokolls Optionen festgelegt werden. 21

22 Kapitel 5 Literatur 5 Literatur [CHA96] Chapman & Zwicky Einrichten von Internet Firewalls ISBN: O Reilly, 1996 [NEW97] Usenetgroup comp.security.firewalls [BOR97] Borderware Firewall Server [TIS97] TIS Gauntlet Firewall [VPN97] VPN [NIS97] Security Policy [NCS97] NCSA Firewall Zertifikate 22

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Einrichten von Internet Firewalls

Einrichten von Internet Firewalls Einrichten von Internet Firewalls Sicherheit im Internet gewährleisten D. Brend Chapman & Elizabeth Zwicky Deutsche Übersetzung von Katja Karsunke & Thomas Merz i O'REILLY Cambridge Köln Paris Sebastopol

Mehr

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Jens Döbler 2003 "Computer in der Chemie", WS 2003-04, Humboldt-Universität VL5 Folie 1 Dr. Jens Döbler Internet Grundlagen Zusammenschluß

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Einführung in TCP/IP. das Internetprotokoll

Einführung in TCP/IP. das Internetprotokoll Schwarz Einführung in TCP/IP das Internetprotokoll Was ist ein Protokoll? Mensch A Mensch B Englisch Deutsch Spanisch Französisch Englisch Japanisch Was sind die Aufgaben eines Protokolls? Informationen

Mehr

Sicherheitsmanagement in TCP/IP-Netzen

Sicherheitsmanagement in TCP/IP-Netzen Kai Martius Sicherheitsmanagement in TCP/IP-Netzen Aktuelle Protokolle, praktischer Einsatz, neue Entwicklungen vieweg Inhalt Einleitung 1 Was kann man aus diesem Buch erfahren 2 Wegweiser durch das Buch

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Internet und WWW Übungen

Internet und WWW Übungen Internet und WWW Übungen 6 Rechnernetze und Datenübertragung [WEB6] Rolf Dornberger 1 06-11-07 6 Rechnernetze und Datenübertragung Aufgaben: 1. Begriffe 2. IP-Adressen 3. Rechnernetze und Datenübertragung

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.1 Internet Protocol - IP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Internet Interconnected Networks - Geschichte -

Internet Interconnected Networks - Geschichte - Internet Interconnected Networks - Geschichte - 1876 Erfindung des Telefons 1941 Erfindung des ersten Computers 60er Jahre ARPA (Advanced Research Projects Agency) ARPANET Ziel: Netz, indem weltweit Rechner

Mehr

IT- und Medientechnik

IT- und Medientechnik IT- und Medientechnik Vorlesung 11: 19.12.2014 Wintersemester 2014/2015 h_da, Lehrbeauftragter Themenübersicht der Vorlesung Hard- und Software Hardware: CPU, Speicher, Bus, I/O,... Software: System-,

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel VS3 Slide 1 Verteilte Systeme Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel Inhaltsverzeichnis für die Vorlesung Zur Motivation: 4 Beispiele aus der Praxis Allgemeine Anforderungen an Verteilte

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v.

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. 12. Kieler OpenSource und Linux Tage Wie funktioniert eigentlich? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. Frank Agerholm Vorstellung Linux System Engineer RZ-Administration Konzeptionierung

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Networking - Überblick

Networking - Überblick Networking - Überblick Netzwerkgrundlagen René Pfeiffer Systemadministrator GNU/Linux Manages! lynx@luchs.at rene.pfeiffer@paradigma.net Was uns erwartet... Hardware (Ethernet, Wireless LAN) Internetprotokolle

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

2. Architektur von Kommunikationssystemen

2. Architektur von Kommunikationssystemen 2. Architektur von Kommunikationssystemen 2.1 2.2 TCP/IP-basierte Protokollarchitektur Digitale Kommunikationssysteme Prof. Dr. Habermann / Dr. Hischke 12-01 / 1 Das OSI-Referenzmodell wird ausführlich

Mehr

Zehn SSH Tricks. Julius Plen z

Zehn SSH Tricks. Julius Plen z Zehn SSH Tricks Julius Plenz Interaktive Kommandos Steuerung von ssh direkt, nicht dem darin laufenden Programm Escape Sequenzen beginnen mit einer Tilde (~), sind aber nur nach CR wirksam Mögliche Kommandos:

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.2 Transmission Control Protocol - TCP 2.3 User Datagram Protocol - UDP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik,

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.13 File Transfer Protocol - FTP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet Aufbau des Internets Nelson & Bruno Quellen: Netplanet Inhaltsverzeichnis Arten von Netzwerken Host-Architekturen Schichtenmodelle TCP/IP - Haussprache des Internet Übertragung im Netz Routing Topologie

Mehr

Internetprotokoll TCP / IP

Internetprotokoll TCP / IP Internetprotokoll TCP / IP Inhaltsverzeichnis TCP / IP - ALLGEMEIN... 2 TRANSPORTPROTOKOLLE IM VERGLEICH... 2 TCP / IP EIGENSCHAFTEN... 2 DARPA MODELL... 3 DIE AUFGABEN DER EINZELNEN DIENSTE / PROTOKOLLE...

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.10 World Wide Web - WWW Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Andreas Teuchert 18./19. Juli 2012 Netzwerk-Protokolle legen fest, wie Daten zur Übertragung verpackt werden unterteilt in verschiedene Schichten: Anwendungsschicht (HTTP,

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname <neuerhostname> Tutorium Anfänger Übersicht Netzwerk Netzwerk Netzwerk Damit ein Rechner in einem Netzwerk aktiv sein kann, braucht er einen einzigartigen Hostnamen Der Hostname dient zur Identifikation des Rechners Netzwerk

Mehr

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

ARCHITEKTUR VON INFORMATIONSSYSTEMEN ARCHITEKTUR VON INFORMATIONSSYSTEMEN File Transfer Protocol Einleitung Das World Wide Web war ja ursprünglich als verteiltes Dokumentenverwaltungssystem für die akademische Welt gedacht. Das Protokoll

Mehr

Netzwerke. Inhalt. Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05

Netzwerke. Inhalt. Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05 1 Netzwerke Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05 2 Inhalt Hardware Kommunikation Internetworking Praxis 3 Rechner (Knoten) Rechner

Mehr

Grundlagen zum Internet. Standarddienste der Bürowelt

Grundlagen zum Internet. Standarddienste der Bürowelt Grundlagen zum Internet Grundlagen zum Internet Standarddienste der Bürowelt Lehrstuhl für Automatisierungstechnik Dr.-Ing. A. Braune SS05 - Bra Übersicht Dienste Offene Standards der Bürowelt (z.b. Web,

Mehr

Internet, Multimedia und Content Management

Internet, Multimedia und Content Management Mag. Friedrich Wannerer Internet, Multimedia und Content Management Jahrgang 1, 2, 3 (bzw. 4 und 5) 1. Jahrgang Internet Grundbegriffe, Zugang Informationsbeschaffung (Suchmaschinen) Webseitengestaltung

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Einführung in die Firewall - Technologie

Einführung in die Firewall - Technologie Einführung in die Firewall - Technologie??1999 Robert A. Kovacs i Inhaltsverzeichnis 1. WAS IST EIN FIREWALL 1 2. PAKETFILTER 3 3. GATEWAYS 5 3.1 Circuit Level Gateway 5 3.2 Application Level Gateway 6

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Kontrollfragen: Internet

Kontrollfragen: Internet Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press Dirk Becker OpenVPN Das Praxisbuch Galileo Press Vorwort 11 Einführung o 1.1 VPN (Virtual Private Network) 18 1.2 Alternativen zu einem VPN 21 1.2.1 Telnet 22 1.2.2 File Transfer Protocol - FTP 23 1.2.3

Mehr

Rechnernetze und Organisation

Rechnernetze und Organisation Assignment A3 Präsentation 1 Motivation Übersicht Netzwerke und Protokolle Aufgabenstellung: Netzwerk-Protolkoll-Analysator 2 Protokoll-Analyzer Wireshark (Opensource-Tool) Motivation Sniffen von Netzwerk-Traffic

Mehr

Lösungen zu Kontrollfragen: Internet

Lösungen zu Kontrollfragen: Internet Lösungen zu Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. World Wide Web E-Mail News File Transfer Telnet/Secure Shell Domain Name Service 2. Was ist eine virtuelle Verbindung?

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server. 1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Internet Basics oder Wie funktioniert das Internet? Stefan Sporrer

Internet Basics oder Wie funktioniert das Internet? Stefan Sporrer Internet Basics oder Wie funktioniert das Internet? Stefan Sporrer Geschichte des Internets Geschichte des Internet 1967-1969: Entwicklung der Vernetzung von Computern (Advanced Research Projekt Agency

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

Geschichte des Internets

Geschichte des Internets Geschichte des Internets Schutz eines Netzwerks vor teilweiser atomarer Zerstörung. Ein System ohne zentrale Steuerung. 1962 Erste Überlegung für ein dezentrales Computernetz (P. Baran, RAND Corporation)

Mehr

Java RMI, CORBA und Firewalls

Java RMI, CORBA und Firewalls Java RMI, CORBA und s Lehrstuhl für Datenverarbeitung falk@ei.tum.de Verteilte Objekte s Probleme Lösungsmöglichkeiten Konkrete Lösungen Verteilte Objekte Client mehrere Objekte Methoden-Aufruf Antwort

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

Anwendungsprotokolle: HTTP, POP, SMTP

Anwendungsprotokolle: HTTP, POP, SMTP Anwendungsprotokolle: HTTP, POP, SMTP TCP? UDP? Socket? eingesetzt, um Webseiten zu übertragen Zustandslos Nutzt TCP Client schickt Anfrage ( HTTP-Request ) an Server, Server schickt daraufhin Antwort

Mehr

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry.

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry. Deckblatt SCALANCE S61x und SOFTNET Security Client Edition 2008 FAQ August 2010 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG,

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken In diesem Tutorial zeigen wir Ihnen, wie Sie im Mozilla Thunderbird E-Mailclient ein POP3-Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 2.0.0.6 verwendet. Schritt 1: Auswahl

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

Connectivity Everywhere

Connectivity Everywhere Connectivity Everywhere Ich bin im Netz, aber wie komme ich sicher nach hause? Tricks fuer mobile Internet Nutzer Überblick Sicherheitsprobleme beim mobilen IP-Nutzer Konventionelle Loesung: IP-Tunnel

Mehr