Sicherheit im Internet. Praktische Umsetzung von Firewall-Konzepten

Größe: px
Ab Seite anzeigen:

Download "Sicherheit im Internet. Praktische Umsetzung von Firewall-Konzepten"

Transkript

1 ruhr-universität bochum Lehrstuhl für Datenverarbeitung Prof. Dr.-Ing. Dr.E.h. Wolfgang Weber Sicherheit im Internet Praktische Umsetzung von Firewall-Konzepten Seminar Datenverarbeitung WS 1997/98 Referent: Michael Hennecke Betreuer: Thomas Droste SEMINA R DATENVERA RBEITUNG WS 1997/98 URL:

2 Inhalt Inhalt 1 Einführung Gründe für den Einsatz von Firewalls Aufgaben einer Firewall Basis Firewall Konzepte Paketfilterung Proxy Systeme Anforderungen in der Wirtschaft Der Borderware Firewall Server Secure Server Net Java Applet zur Administration Alarmmeldung via Moderne Firewall Konzepte Virtual Private Networking Dynamic Virtual Private Networking Erweiterte Analysemöglichkeiten HTTP Proxy des Gauntlet Firewall Literatur

3 Kapitel 1 Einführung 1 Einführung 1.1 Gründe für den Einsatz von Firewalls Die Bedeutung von Firewalls ist mit dem rasanten Wachstum des Internets eng verbunden. Da dieses weltweit größte Computernetz ein ideales Kommunikationsmedium ist und auch interessante kommerzielle Möglichkeiten bietet, beschließen immer mehr Firmen und Organisationen ihr lokales Computernetz (LAN 1 ) mit dem Internet zu verbinden. Im folgenden wird von lokalen Netzwerken ausgegangen, die bereits als Netzwerkprotokoll das Internet Protokoll (TCP/IP 2 ) einsetzen. Ein solches LAN wird Intranet genannt. Der Zusammenschluß der beiden Netzwerke ist technisch kein Problem, da sie das gleiche Netzwerkprotokoll benutzen. Gegen einen direkten Zusammenschluß sprechen aber schwerwiegende Sicherheitsbedenken. So kann z.b. jeder externe User auf die Daten des lokalen Netzes, das mit dem Zusammenschluß ein Teil des Internet geworden ist, zugreifen und diese ggf. manipulieren (kopieren, löschen, etc.). Um das zu verhindern wird ein Firewall System zwischen dem lokalen Netz und dem Internet geschaltet. Dieses besteht aus Hard- und Softwarekomponenten, die den Datenfluß zwischen den beiden Netzwerken kontrollieren und steuern. Auf die unterschiedlichen Architekturen von Firewall Systemen soll ihr nicht eingegangen werden (vgl. [CHA96]). Bild 1: Dual Homed Firewall 1 LAN local area network 2 TCP/IP Transmission Controll Protocol / Internet Protocol 3

4 Kapitel 1 Einführung Im einfachsten Fall ist die Firewall ein Rechner mit zwei Netzwerkkarten, über die das interne und externe Netzwerke angeschlossen sind. Eine solche Konfiguration wird auch Dual Homed Firewall genannt (vgl. Bild 1). Auf diesem Rechner läuft eine Firewall Software, welche die Kontrolle des Datenflusses übernimmt. Eine Firewall 3 bietet ein relativ hohes Maß an Sicherheit, wobei zu beachten ist, daß es keine absolute Sicherheit gibt. 1.2 Aufgaben einer Firewall Die in Kapitel 1.1 genannte Kontrolle des Datenflusses muß spezifiziert werden. Dazu wird eine Sicherheitspolitik 4 erstellt. Sie enthält ein detailliertes Regelwerk für die Anbindung des Intranets an das Internet: Am Anfang wird die Grundhaltung für die zu erstellenden Regeln festgelegt. Diese kann restriktiv sein, dann sind alle Dienste gesperrt und müssen explizit freigegeben werden oder sie ist liberal, dann sind alle Dienste freigegeben und nur die gefährlichen gesperrt. Der gesamte Datenfluß muß durch die Firewall gehen. Es darf keine weiteren, unkontrollierten Verbindungen zur Außenwelt geben, da sonst die Firewall wirkungslos wäre. Welcher Internet-Dienst darf unter welchen Bedingungen von der Firewall durchgelassen werden? Der Datenverkehr muß protokolliert werden, um später Integritätsverletzungen nachvollziehen zu können. Ein Notfall-Szenario legt fest, welche Maßnahmen nach einem erfolgten Angriff zu leisten sind. Die Erstellung der Sicherheitspolitik ist ein wesentlicher Teil der Planung eines Firewall Systems. Erst wenn sie abgeschlossen ist, erfolgt die eigentliche Beschäftigung mit der Firewall. In Firmen ist die Sicherheitspolitik ein z.t. sehr umfangreich juristisches Dokument. Die wesentliche Aufgabe einer Firewall ist es, die Sicherheitspolitik umzusetzen. 1.3 Basis Firewall Konzepte In diesem Kapitel werden die Basis Konzepte erläutert, mit denen eine Firewall die Sicherheitsanforderungen aus Kapitel 1.2 erfüllt. 3 Firewall Brandschutzmauer 4 Security Policy - Sicherheitspolitik 4

5 Kapitel 1 Einführung Da diese eng mit dem Internetprotokoll TCP/IP verbunden sind, soll hier eine kurze Einführung in die Protokollarchitektur erfolgen. TCP/IP ist das Netzwerkprotokoll des weltweit größten Computernetzes Internet. In diesem Netzwerk werden Internet-Dienste wie z.b. das World Wide Web (WWW 5 ), und 6 angeboten. Diese Dienste werden von Servern 7 bereitgestellt, die jeder Client 8 nutzen kann. Um eine Kommunikation zwischen Client und Server zu ermöglichen, ist eine eindeutige Adressierung nötig. Diese besteht aus einer IP-Adresse und einer TCP- Portnummer. Jeder Internet-Rechner besitzt eine IP-Adresse (z.b ), die für ihn einmalig vergeben wurde. Da auf einem Rechner mehrere Server laufen können, ist zusätzlich die Angabe der TCP-Portnummer nötig, um einen bestimmten Dienst anzusprechen. Möchte ein Client z.b. Informationen von einem WWW-Server abrufen, so schickt er dazu eine Anfrage ins Netz, die als Zieladresse die IP-Nummer des Internet-Rechners beinhaltet, auf dem der WWW-Server läuft. Die TCP Portnummer in dieser Anfrage hat den Wert 80. Statt der IP-Adresse gibt der Benutzer oft einen Textstring ein (z.b. der dann vom Internet-Dienst Domain Name Service (DNS) in die entsprechende IP-Adresse umgewandelt wird (hier ). Auch die TCP Portnummer muß nicht explizit angegeben werden, da sie beim Verbindungsaufbau für den jeweiligen Internet-Dienst immer gleich ist (z.b. WWW Port 80). Die Datenübertragung im Internet erfolgt in Form einzelner Pakete (Datagramme). Diese Pakete sind in einen Header und in einen Datenteil aufgeteilt. Wie diese Pakete gebildet werden, zeigt das Schichtenmodell des Internet-Protokolls (vgl. Bild 2). Die Protokollarchitektur besteht aus vier funktional unabhängigen Schichten: In der obersten Ebene, der Anwendungsschicht, finden sich die Anwendungsprotokolle, die jeweils einen bestimmten Internet-Dienst zugeordnet sind (z.b. HTTP 9 WWW, SMTP 10 ). Die dritte Ebene ist die Transportschicht, die Transport- und Kontrollprotokolle bereitstellt. Hier werden z.b. die TCP Portnummern verarbeitet. 5 WWW - Internet-Informationsdienst 6 - elektronischer Nachrichtendienst 7 Server - Dienstanbieter 8 Client - Dienstnehmer 9 HTTP - Hyper Text Markup Language, Anwendungsprotokoll für WWW 10 SMTP Simple Mail Transfer Protocol, Anwendungsprotokoll für 5

6 Kapitel 1 Einführung Die zweite Ebene ist die Internetschicht. Sie beinhaltet das eigentliche Internet- Protokoll (IP). Hier werden z.b. die IP-Adressen verarbeitet. Die unterste Ebene ist die Netzzugangsschicht. Dort wird das Übertragungsprotokoll (z.b. Ethernet) des jeweiligen Übertragungsmediums (z.b. Unshielded Twisted Pair (UTP)) dargestellt. Zum Vergleich sind auf der rechten Seite (in Bild 2) die jeweiligen Schichten des Open System Interconnection (OSI) Modells angegeben. Dies ist ein standardisiertes Schichtenmodell zur Analyse von Netzwerkprotokollen. Anwendungsschicht (SMTP, Telnet, Ftp, etc.) Daten OSI Layer 7,6,5 Transportschicht (TCP, UDP, IMCP) Header Daten OSI Layer 4 Internetschicht (IP) Header Daten OSI Layer 3 Netzzungangsschicht (Ethernet, FDDI) Header Daten OSI Layer 2,1 Bild 2: Schichtenmodell des Internet Protokolls An einem Beispiel soll nun gezeigt werden, wie die Schichten miteinander kommunizieren und die Pakete gebildet werden. Verschickt ein Anwender eine , so erzeugt sein Programm eine Reihe von Datenpaketen, die jeweils den Inhalt der Mail (z.b. Subject, Body) und Kommandos des entsprechenden Anwendungsprotokolls SMTP (z.b. helo, data) enthalten. Ein solches, in der Anwendungsebene erstelltes, Datenpaket wird nun an die tiefer liegende Transportschicht weitergereicht, in der ein schichtspezifischer Header hinzugefügt wird, der TCP Steuerinformationen wie z.b. die TCP Quell- und Zielportnummer enthält. Das Ganze wird als ein Paket an die tiefer liegende Internetschicht weitergereicht, die das Paket als Datenteil behandelt und ihrerseits einen Header hinzufügt der u.a. die IP Quell- und Zieladresse enthält. Dieser Vorgang wiederholt sich noch einmal beim Übergang zur Netzzungangsschicht. Das so entstandene Paket wird nun über das Netzwerk verschickt. Dieser Vorgang, der an das Prinzip der russischen Puppen erinnert, wird als transparente Kapelung bezeichnet. Mit Transparenz wird der Umstand bezeichnet, daß die tiefer liegende Schicht keine Informationen über den Aufbau des ihr übergebenen Paketes hat. 6

7 Kapitel 1 Einführung Beim Empfänger entfernt jede Schicht ihren Header und reicht die Daten an die nächst höhere Schicht weiter bis schließlich das Datenpaket mit den SMTP Befehlen und dem Inhalt der übrigbleibt. Die Basis Analysekonzepte einer Firewall beruhen darauf, daß sie eingehende Pakete nach obigen Verfahren auspackt und die Header untersucht Paketfilterung Ein Analyeverfahren von Firewalls ist die Paketfilterung. Eingehende Pakete werden bis zur IP-Ebene bzw. Transportebene (TCP) ausgepackt und es wird der jeweilige Header untersucht. Vor dem Hintergrund der implementierten Regeln wird das Paket weitergeleitet oder verworfen. Bei der Auswertung des IP-Headers sind einige Einträge vom besonderen Interesse (vgl. Bild 3): IP-Quelladresse bzw. IP-Ursprungsadresse IP-Zieladresse Protokolltyp (TCP, UDP, ICMP) IP-Option Bild 3: IP-Header Über die IP Adressen kann so z.b. der Datenverkehr für bestimmte Server und Clients gesperrt werden. Treten auf der externen Seite der Firewall Pakete mit IP-Quelladressen aus dem Intranet auf, so können diese sofort verworfen werden. Das Feld IP-Optionen ist in der Regel leer. Es kann aber mißbraucht werden, um die Funktion von Routern 11 außer Kraft zu setzen zu (auch Source Routing genannt). Daher verwerfen Firewalls Pakete mit IP-Option Einträgen. 11 Router Systeme, die durch Auswertung der IP-Zieladresse den Datenfluß steuern 7

8 Kapitel 1 Einführung Die Auswertung des TCP-Headers auf der Transportebene (OSI Layer 4) berücksichtigt im wesentlichen folgende Einträge: TCP-Quellport TCP-Zielport TCP-Flags Über die TCP Portnummern können bestimmte Internet-Dienste (z.b. WWW=Port 80) gesperrt werden. Die Auswertung des Acknowledge (ACK) Flag ermöglicht der Firewall festzustellen, welcher Rechner (intern oder extern) die Verbindung aufbaut (vgl. Bild 4). So können z.b. Telnet Verbindung von Intranet ins Internet zugelassen werden, nicht aber umgekehrt. Client Server ACK=0 ACK=1 Zeit ACK=1 ACK=1 Bild 4: Wertigkeit des ACK Bits beim Verbindungsaufbau Proxy Systeme Ein modernes Sicherheitskonzept von Firewalls ist die Implementation von Proxy Systemen. Diese bauen stellvertretend für den Client die Verbindung zum Internet auf. Die Sicherheit wird somit wesentlich erhöht, da der Intranet-Client keinen direkten Internet Zugriff hat, sondern diesen immer über den Proxy Server realisieren muß. Dabei tauscht der Proxy Server die IP-Quelladresse des Intranet-Clients durch seine eigene, externe IP-Adresse aus, so daß der Internet-Server glaubt, er kommuniziere nur mit dem Proxy System. Moderne Proxy Systeme sind transparent, d.h. der Client bemerkt den Proxy nicht und glaubt direkt mit dem Internet-Server zu kommunizieren (vgl. Bild 5). Daher muß auf dem Client keine modifizierte Software installiert werden bzw. der Benutzer muß sich nicht auf dem Proxy Server einloggen. 8

9 Kapitel 1 Einführung Tatsächliche Verbindung Illusion des Servers Scheinbare Verbindung Proxy System Illusion des Clients Internet Server Intranet Client Bild 5: Transparenter Proxy Server Es gibt zwei Arten von Proxy Systemen, generische und dedizierte Proxy Server Circuit Level Proxy Der Circuit Level Proxy arbeitet auf der Transportebene (OSI Layer 4). Er hat keine Kenntnisse über das von ihm übertragene Anwendungsprotokoll. Da er keinem bestimmten Anwendungsprotokoll zugeordnet ist, wird er auch als generischen Proxy Server bezeichnet. Somit kopiert er nur die Daten von einem Interface der Firewall zum anderen unter Berücksichtigung der Sicherheitspolitik (Paketfilterung auf Transportebene) und tauscht die IP-Quelladresse des Intranet-Clients aus. Der Vorteil des generische Proxy ist, daß er schnell an neue Anwendungsprotokolle angepaßt werden kann. Somit wird die Flexibilität einer Firewall erhöht. Der Nachteil ist relativ Unsicherheit aufgrund seines Arbeitsprinzips. Eine Grundregel ist daher, daß nie ein Verbindungsaufbau vom externen ins interne Netz mit einem Circuit Level Proxy realisiert werden darf. Bild 6: Generischer Proxy 9

10 Kapitel 1 Einführung Application Level Proxy Der Application Level Proxy untersucht die Daten auf der Anwendungsebene (OSI Layer 7) und hat somit Kenntnisse über das Anwendungsprotokoll. Jedem Anwendungsprotokoll ist ein Application Level Proxy zugeordnet, daher wird er auch als dedizierten Proxy Server bezeichnet. Der Application Level Proxy versteht und interpretiert die Befehle seine Anwendungsprotokolls (z.b. SMTP-Befehle: data, helo,...) und bietet damit weitreichende Anaysemöglichkeiten. Die relativ hohe Sicherheit ist sein wesentlicher Vorteil. Ein Nachteil ist, daß dedizierte Proxy Server nicht sofort für neuste oder seltene Anwendungsprotokolle verfügbar sind. Bild 7: Dedizierter Proxy Server Moderne Firewalls sind Kombinationen aus Paketfiltern und Proxy Systemen. Sie untersuchen die Daten auf drei Ebenen des Internet-Schichten-Modells. 10

11 Kapitel 2 Anforderungen in der Wirtschaft 2 Anforderungen in der Wirtschaft In der Industrie bzw. Wirtschaft werden im wesentlichen folgende Anforderungen an ein Firewall System gestellt: 1. Umsetzung der Sicherheitspolitik (Security Policy) 2. Kosten 3. Support 4. Flexibilität 5. Bedienbarkeit 6. Integration in bestehende Hard- und Softwareumgebung 7. Zertifikate, Empfehlungen und Testberichte Zu 1) Umsetzung der Sicherheitspolitik (Security Policy) Das Firewall System muß kompromißlos die Anforderungen der Sicherheitspolitik für die Anbindung des Intranets an das Internet erfüllen. Dies ist das wesentliche Entscheidungskriterium für die Wahl einer bestimmten Firewall. Zu 2) Kosten Ein wesentlicher Gesichtspunkt sind auch die Kosten. Sie liegen für kommerzielle Firewall Systeme zwischen 10 und 60 TDM, Speziallösungen für Hochsicherheitsanforderungen liegen zwischen 300 und 700 TDM. Hinzu kommen ggf. Kosten für Hardware und Software (z.b. Betriebsystem). Desweiteren ist mit Folgekosten für z.b. Support, Schulung zu rechnen (Cost of Ownership). Zu 3) Support In der Wirtschaft ist die Downtime 12 von EDV Systemen ein kritischer Punkt. Fällt ein System aus, so kann dies, abhängig von der Ausfallzeit, viel Geld kosten. Daher ist es wichtig, das Störungen durch den Support schnell behoben werden. Beim Kauf von kommerziellen Firewalls sollte immer ein Supportvertrag mit abgeschlossen werden. Die Supportformen reichen von Hotline über Vor-Ort-Reparaturen bis zu Fernkonfiguration über Secure Telnet Downtime Zeit in der ein EDV System außer Betrieb ist 13 Secure Telnet gesicherte Terminalverbindung 11

12 Kapitel 2 Anforderungen in der Wirtschaft Zu 4) Flexibilität Eine Firewall muß in der Lage sein, neue Anforderungen zu erfüllen. Ein neues Anwendungsprotokoll soll z.b. durch die Firewall durchgelassen werden. Da noch kein Aplication Level Proxy für das Protokoll existiert, muß der Administrator in der Lage sein, statt dessen einen generischen Proxy zu definieren. Zu 5) Bedienbarkeit Firewalls sind sehr komplexe Softwareprodukte. Um die Bedienbarkeit zu erleichtern sind alle kommerziellen Firewalls mit einer graphischen Benutzungsoberfläche (GUI) ausgestattet. Sie bieten eine erhöhte Übersicht und vermeiden damit die Gefahr von Fehlkonigurationen. Zu 6) Integration in bestehende Hard- und Softwareumgebung Moderne lokale Netzwerke sind homogen aufgebaut, d.h. sie benutzen eine einheitliche Hard- und Softwarearchitektur. Eine Firewall sollte sich nahtlos in die Umgebung integrieren lassen. Aus diesem Grund bieten fast alle Hersteller ihre Firewalls auch als MS Windows NT Version an, da dieses Betriebssystem in neuen Intranets verstärkt eingesetzt wird. Das klassische Betriebssystem für Firewalls ist Unix. Zu 7) Zertifikate, Empfehlungen und Testberichte Bei der großen Anzahl an Firewall Produkten ist es schwierig, die Übersicht zu bewahren. Eine Hilfe sind die Firewall Zertifikate der National Computer Security Asscociation (NCSA, vgl. [NCS97]) oder die Empfehlungen der entsprechenden Newsgroup im Internet [NEW97]. 12

13 Kapitel 3 Der Borderware Firewall Server 3 Der Borderware Firewall Server Nachdem in Kapitel 1 und 2 die Anforderungen und grundlegenden Funktionsweisen einer Firewall aufgeführt worden sind, wird nun eine konkrete Firewall vorgestellt. Es handelt sich um den Borderware Firewall Server der Firma SecureComputing. Die besonderen Eigenschaften dieser kommerziellen Firewall werden im folgenden beschrieben: Die Firewall-Funktionalität ist fest im Unix-Betriebssystem integriert. Im Zentrum steht ein hardened kernel. Das ist ein modifizierter Kernel, der speziell den erhöhten Sicherheitsanforderungen angepaßt wurde. Einige Eigenschaften, wie z.b. der Multiuser Betrieb oder das Rechtesystem wurden aus Sicherheitsgründen entfernt. Daher ist ein einloggen auf der Firewall und das Ausführen von Programmen nicht möglich. Da die Firewall ihr eigenes Betriebssystem gleich mitbringt bzw. das Betriebssystem die Firewall ist, entfallen die zusätzlichen Kosten für den Kauf eines Betriebssystems (Unix oder MS Windows NT) auf dem die eigentliche Firewall-Software aufsetzen müßte. Der Borderware Firewall Server ist eine Tri Homed Firewall. Im Vergleich zu den Dual Homed Firewalls ist er mit drei Netzwerken verbunden (physikalisch: 3 Netzwerkkarten). In dem zusätzlichen Netzwerk (Secure Server Net) sind Serverdienste untergebracht (vgl. Kapitel 3.1). In der Firewall selbst sind gesicherte Server für Internet-Dienste (z.b. WWW, ) integriert. Die Administrierung erfolgt über ein Java-Applet, das von einem WWW- Browser geladen wird. Die Sicherheit dieser Remote-Administration wird durch kryptographische Maßnahmen wie z.b. Secure Socket Layer (https://) und KryptoCard gewährleistet. Das Java-Applet wird im Kapitel 3.2 vorgestellt. Die Firewall integriert das Virtual Private Networking (VPN) Konzept. Dieses Verfahren ermöglicht den Aufbau einer sicheren Verbindung zwischen zwei Intranets über das Internet (vgl. Kapitel 4.1). 3.1 Secure Server Net Zu den beiden Netzen Intranet und Internet wird über die Firewall ein drittes Netz, das Secure Server Net (SSN), geschaltet (vgl. Bild 8). Dieses ist für die Aufnahme von Server-Dienste (z.b. WWW, ) konzipiert, welche von Clients aus dem Intranet und dem Internet angesprochen werden können. 13

14 Kapitel 3 Der Borderware Firewall Server Bild 8: Secure Server Net Die drei Netzwerke sind gegeneinander durch jeweils unabhängige Firewalls gesichert. Jeder dieser Firewalls verfügt über eigene Sicherheits-Regeln, dedizierte Proxies, Paketfilter und Protokollmechanismen. Sollte ein überwinden der Firewall vom Internet ins SSN erfolgreich sein, so ist das Intranet immer noch geschützt. Die drei Netze verfügen über unterschiedliche IP-Adressbereiche. Möchte ein Client die Server-Dienste im SSN ansprechen, so sieht er immer nur die externe IP-Adresse der Firewall. Aufrund der TCP Portnummer (vgl. Kapitel 1.3) reicht die Firewall die Anfrage an den entsprechenden Server weiter. Um mehrere Internet-Dienste des gleichen Typs, z.b. 2 WWW-Server im SSN und der integrierte WWW-Server der Firewall, zu nutzten, wird das Mutiple Adress Translation Verfahren genutzt. Damit kann der Firewall mehrere externe IP-Adressen zugewiesen werden. Die Firewall leitet nun Anfragen auf Grund ihrer IP-Zieladresse und TCP Portnummer an den gewünschten Server weiter (mapping). Die Verknüpfungen zwischen externer IP-Adresse und Server können beliebig vorgenommen werden. 14

15 Kapitel 3 Der Borderware Firewall Server 3.2 Java Applet zur Administration Die komplexen Konfigurationsmöglichkeiten kommerzieller Firewalls begründen die Notwendigkeit graphischer Benutzungsoberflächen (GUI) zur Administration, um die Übersicht zu erhöhen und um Fehlkonfigurationen zu vermindern. Der Borderware Firewall Server bietet zudem noch ein hohes Maß an Flexibilität, indem er dieses GUI als Java Applet (vgl. Bild 9) zur Verfügung stellt. Der Administrator kann über das Netz die Firewall konfigurieren und braucht somit nicht "Vor-Ort" zu sein. Bild 9: Java Applet zur Administration des Firewalls Das Applet in Bild 9 wurde mit einem WWW-Browser geladen und zeigt in der unteren Statuszeile werden die CPU- und Netzwerkauslastung angezeigt. In der linken Menüleiste wurde der Eintrag für die Application Level Proxies ausgewählt. Sie realisieren die Verbindungen vom internen ins externe Netz und umgekehrt. Die Liste führt die Internet-Dienste auf, für die ein solcher dedizierter Proxy verfügbar ist. Dabei wird zwischen der Richtung des Verbindungsaufbaus unterschieden (Intern Extern 15

16 Kapitel 3 Der Borderware Firewall Server bzw. Extern Intern). Ist ein Internet-Dienst gesperrt, wird er mit einem X markiert. Andernfalls erfolgt die Freigabe durch das O.K.-Symbol. Die Verfügbarkeit eines bestimmten Internet-Dienstes kann an Zugriffsbeschränkungen (Access Rules) geknüpft werden. Bild 10: Beispiel für die Definition von Zugriffsbeschränkungen Diese Access Rules schränken die Benutzung eines Dienstes derart ein, daß hier z.b. nur der Client mit der IP-Adresse diesen Dienst in einem Zeitfenster (Montag von 01h bis 06h) nutzen kann (vgl. Bild 10). Dabei kann er jedoch auf alle Server dieses Typs zugreifen. 3.3 Alarmmeldung via Im ersten Kapitel wurde auf die Notwendigkeit einer selbständigen Alarmauslösung durch die Firewall hingewiesen, falls es zu Angriffsversuchen kommt. Eine Möglichkeit ist die Absetzung einer Alarmmeldung via an den Administrator, wie in dem folgenden Beispiel dargestellt: 16

17 Kapitel 3 Der Borderware Firewall Server From: PostMaster General To: Subject: Firewall Server ALARM Date: Sun, 11 Jan :04: ******************* ALARM on Rule 'TCP_Extern' ******************* 3 probe(s) under 5 minutes from: on port: 21 at Sun Jan 11 19:04: rule protocol port time (tcp) 21 (? ) Sun Jan 11 19:01: (tcp) 21 (? ) Sun Jan 11 19:03: (tcp) 21 (? ) Sun Jan 11 19:04: In diesem Fall wurde der Alarm durch drei Anfragen innerhalb von 5 Minuten an einen nicht vorhandenen Dienst (hier FTP 14 Port 21) ausgelöst. 14 FTP File Transfer Protocol, Dienst zum Versenden von Dateien 17

18 Kapitel 4 Moderne Firewall Konzepte 4 Moderne Firewall Konzepte Die modernen Eigenschaften von Firewall Systemen sind im wesentlichen: Die Verfügbarkeit von transparenten Application Level Proxies (dedizierten Proxy Servern) für alle Anwendungsprotokolle Administrierung über eine graphische Benutzungsoberfläche (GUI) Die Bereitstellung und Unterstützung von kryptographischen Verfahren Weitreichende Analysemöglichkeiten für die höheren Protokollschichten 4.1 Virtual Private Networking Das Virtual Private Networking (VPN) ermöglicht die Verbindung zweier Intranets durch einen sicheren Tunnel über das Internet. Der Tunnel wird dauerhaft von den Firewalls der beiden Intranets aufgebaut, wobei diese die automatische Verschlüsselung des Datenverkehrs zwischen den beiden Netzen übernehmen. Ein Standard für dieses Kryptographie- bzw. Authentisierungsverfahren ist IPSec (Internet Protocol Security). Das VPN ist transparent für den Anwender. Möchte dieser z.b. eine an das zweite Intranet senden, muß er diese nicht explizit verschlüsseln (z.b. mit PGP) sondern schickt sie einfach ab. Die Firewall erkennt, daß die für das andere Intranet bestimmt ist und leitet sie in den Tunnel, d.h. jedes Paket der wird verschlüsselt und über das Internet zur anderen Firewall geschickt (vgl. Bild 11). Bild 11: VPN Konzept 18

19 Kapitel 4 Moderne Firewall Konzepte Dynamic Virtual Private Networking Im Gegensatz zum VPN besteht beim Dynamic Virtual Private Networking (DVPN) keine dauerhafte Tunnelverbindung. Diese wird vielmehr dynamisch durch einen Client im Internet mit einer speziellen Tunnelsoftware aufgebaut (vgl. Bild 12). Auf diese Weise ist es z.b. möglich, daß ein Mitarbeiter in einem New Yorker Internet- Café sein Notebook an das Internet anschließt und einen gesicherten Tunnel zum Firewall seiner Firma aufbaut. Ab diesem Zeitpunkt ist sein Notebook im Firmennetz integriert. Eine spezielle Client Anwendung, die den Tunnel aufbaut, tauscht auch die aktuelle IP Protokollversion (IPv4.1) auf dem Client durch eine gesicherte Variante (vgl. IPv6) aus. Bild 12: Tunnelsoftware für DVPN 4.2 Erweiterte Analysemöglichkeiten Die bisher weitreichendste Analyseform ist die Auswertung der Befehle eines Anwendungsprotokolls durch den Application Level Proxy (vgl. Kapitel ). Nun sind diese Proxies auch in der Lage, den Inhalt von , FTP und WWW Übertragungen zu untersuchen. In Bezug auf das Beispiel aus Kapitel 1.3, indem der Anwender eine verschickt, bedeutet dies, daß nicht nur die SMTP-Befehle 19

20 Kapitel 4 Moderne Firewall Konzepte untersucht werden sondern auch der Text der . Desweiteren können Attachments 15 dieser auf Viren untersucht werden. Bei komplexen Untersuchungen, wie z.b. der Virenanalyse, leitet die Firewall den Datenstrom an einen speziellen Server weiter, der für sie die Analyse durchführt. Die Kommunikation zwischen der Firewall und dem externen Rechner basiert auf dem Content Vektor Protocol (CVP). Neben der Virenprüfung bieten die erweiterten Anaylseverfahren die Möglichkeit, gefährliche Programme, die das Anwendungsprotokoll HTTP (WWW) überträgt, zu sperren. Zu solchen Programmen gehören z.b. Java, JavaScript und Axtive-X Anwendungen. Desweiteren besteht die Möglichkeit, den einzelnen Befehlen eines Anwendungsprotokolls Regeln zuzuweisen HTTP Proxy des Gauntlet Firewall Diese erweiterten Analysemöglichkeiten aus Kapitel 4.2 werden in der Praxis bereits eingesetzt (vgl. Bild 13, 14, 15). Bild 13: HTTP Proxy Configuration Im Hauptfenster des HTTP Proxy können u.a. Anwendungem, die mit dem WWW- Dienst übertragen werden, gesperrt werden (vgl. Bild 13). 15 Attachment Datei, die mit einer verschickt wird 20

21 Kapitel 4 Moderne Firewall Konzepte Bild 14: Virus Scanning Settings Im ersten Unterfenster (vgl. Bild 14) wird ein externer Server, auf dem der Virenscanner läuft, angegeben und festgelegt, wie mit infizierten Dateien verfahren werden soll. Bild 15: HTTP Advanced Proxy Configuration Im zweiten Unterfenster (vgl. Bild 15) können für die einzelnen Kommandos des HTTP Anwendungsprotokolls Optionen festgelegt werden. 21

22 Kapitel 5 Literatur 5 Literatur [CHA96] Chapman & Zwicky Einrichten von Internet Firewalls ISBN: O Reilly, 1996 [NEW97] Usenetgroup comp.security.firewalls [BOR97] Borderware Firewall Server [TIS97] TIS Gauntlet Firewall [VPN97] VPN [NIS97] Security Policy [NCS97] NCSA Firewall Zertifikate 22

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Einrichten von Internet Firewalls

Einrichten von Internet Firewalls Einrichten von Internet Firewalls Sicherheit im Internet gewährleisten D. Brend Chapman & Elizabeth Zwicky Deutsche Übersetzung von Katja Karsunke & Thomas Merz i O'REILLY Cambridge Köln Paris Sebastopol

Mehr

Client-Server-Prinzip

Client-Server-Prinzip Client-Server-Prinzip Kommunikation im Internet erfolgt nach dem Client-Server-Prinzip: Client sendet eine Anfrage (fordert eine Dienstleistung an) Server sendet die Antwort (bietet eine Dienstleistung

Mehr

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet Jens Döbler 2003 "Computer in der Chemie", WS 2003-04, Humboldt-Universität VL5 Folie 1 Dr. Jens Döbler Internet Grundlagen Zusammenschluß

Mehr

Sicherheitskonzepte für das Internet

Sicherheitskonzepte für das Internet Martin Raepple Sicherheitskonzepte für das Internet Grundlagen, Technologien und Lösungskonzepte für die kommerzielle Nutzung Technische Universität Darmstadt FACHBEREICH INFORMATIK B I B L 1 O T H E K

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier.

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier. Netzwerk-Programmierung Netzwerke Sven Hartmeier shartmei@techfak.uni-bielefeld.de Übersicht Netzwerk-Protokolle Protokollfamilie TCP/IP Transmission Control Protocol (TCP) erste Schritte mit sockets Netzwerk-Programmierung

Mehr

Internet Interconnected Networks - Geschichte -

Internet Interconnected Networks - Geschichte - Internet Interconnected Networks - Geschichte - 1876 Erfindung des Telefons 1941 Erfindung des ersten Computers 60er Jahre ARPA (Advanced Research Projects Agency) ARPANET Ziel: Netz, indem weltweit Rechner

Mehr

IT- und Medientechnik

IT- und Medientechnik IT- und Medientechnik Vorlesung 11: 19.12.2014 Wintersemester 2014/2015 h_da, Lehrbeauftragter Themenübersicht der Vorlesung Hard- und Software Hardware: CPU, Speicher, Bus, I/O,... Software: System-,

Mehr

Einführung in TCP/IP. das Internetprotokoll

Einführung in TCP/IP. das Internetprotokoll Schwarz Einführung in TCP/IP das Internetprotokoll Was ist ein Protokoll? Mensch A Mensch B Englisch Deutsch Spanisch Französisch Englisch Japanisch Was sind die Aufgaben eines Protokolls? Informationen

Mehr

Sicherheitsmanagement in TCP/IP-Netzen

Sicherheitsmanagement in TCP/IP-Netzen Kai Martius Sicherheitsmanagement in TCP/IP-Netzen Aktuelle Protokolle, praktischer Einsatz, neue Entwicklungen vieweg Inhalt Einleitung 1 Was kann man aus diesem Buch erfahren 2 Wegweiser durch das Buch

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Internet und WWW Übungen

Internet und WWW Übungen Internet und WWW Übungen 6 Rechnernetze und Datenübertragung [WEB6] Rolf Dornberger 1 06-11-07 6 Rechnernetze und Datenübertragung Aufgaben: 1. Begriffe 2. IP-Adressen 3. Rechnernetze und Datenübertragung

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.1 Internet Protocol - IP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS \ 1 Ziel dieses Buches 2 Wozu braucht man Firewalls? 2.1 Der Begriff Firewall" 2.2 Was ein Firewall

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

TCP/IP Protokollstapel

TCP/IP Protokollstapel TCP/IP Protokollstapel IP: Hauptaufgabe ist das Routing (Weglenkung) und Adressierung IP ist ein ungesichertes, verbindungsloses Protokoll Arbeitet auf Schicht 3 UDP: User Datagram Protocol UDP ist ein

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel VS3 Slide 1 Verteilte Systeme Vorlesung 3 vom 22.04.2004 Dr. Sebastian Iwanowski FH Wedel Inhaltsverzeichnis für die Vorlesung Zur Motivation: 4 Beispiele aus der Praxis Allgemeine Anforderungen an Verteilte

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Das ISO / OSI -7 Schichten Modell

Das ISO / OSI -7 Schichten Modell Begriffe ISO = Das ISO / OSI -7 Schichten Modell International Standardisation Organisation Dachorganisation der Normungsverbände OSI Model = Open Systems Interconnection Model Modell für die Architektur

Mehr

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v.

12. Kieler OpenSource und Linux Tage. Wie funktioniert eigentlich Mail? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. 12. Kieler OpenSource und Linux Tage Wie funktioniert eigentlich? 20.09.2014, Frank Agerholm, Linux User Group Flensburg e.v. Frank Agerholm Vorstellung Linux System Engineer RZ-Administration Konzeptionierung

Mehr

Zehn SSH Tricks. Julius Plen z

Zehn SSH Tricks. Julius Plen z Zehn SSH Tricks Julius Plenz Interaktive Kommandos Steuerung von ssh direkt, nicht dem darin laufenden Programm Escape Sequenzen beginnen mit einer Tilde (~), sind aber nur nach CR wirksam Mögliche Kommandos:

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1. Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014

IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 IP Integration Sysmess Multi und Compact Firmware 3.6,X, July 2014 Alarm XML CSV Webinterface Internet TCP / RTU Slave IP-Router E-Mail FTP / SFTP UDP RS 232 GLT RS 485 GPRS / EDGE / UMTS SPS S0-Eingänge

Mehr

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains.

Als erstes besuchen wir nun also dyndns.org, das auf dyndns.com umleitet. Dort klicken wir nun oben rechts auf den Reiter: DNS & Domains. Wie bereite ich SmartLaw für die Online-Arbeit Damit Sie SmartLaw aus dem Internet und nicht nur lokal nutzen können muss gewährleistet werden, dass der Datenbankserver vom Internet aus zu erreichen ist.

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke

Netzwerke. NW: Firewall. Vorlesung von Reto Burger. by Reto Burger, dipl. Informatik. Ing. HTL. Netzwerke NW: Firewall Vorlesung von Reto Burger by Reto Burger, dipl. Informatik. Ing. HTL 0 Übersicht Persönliche Kurzvorstellung Ihre Erwartungen Vorstellung des Fachs: Kapitel, Ziele, Prüfungen Allgemeines by

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname

Netzwerk. Um den Hostnamen angezeigt zu bekommen $ hostname $ hostname -f Um den Hostnamen zu ändern $ hostname <neuerhostname> Tutorium Anfänger Übersicht Netzwerk Netzwerk Netzwerk Damit ein Rechner in einem Netzwerk aktiv sein kann, braucht er einen einzigartigen Hostnamen Der Hostname dient zur Identifikation des Rechners Netzwerk

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

1. Interface. Wireshark (Ehtereal)

1. Interface. Wireshark (Ehtereal) Wireshark (Ehtereal) Das Programm Wireshark Network Protocol Analyzer dient dazu, wie der Name schon sagt, ersichtlich zu machen, welche Datenpakete die Netzwerkkarte empfängt bzw. sendet. In Form von

Mehr

Networking - Überblick

Networking - Überblick Networking - Überblick Netzwerkgrundlagen René Pfeiffer Systemadministrator GNU/Linux Manages! lynx@luchs.at rene.pfeiffer@paradigma.net Was uns erwartet... Hardware (Ethernet, Wireless LAN) Internetprotokolle

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr. Gesamtübersicht Server Intranet Wir empfehlen, aus Stabilitäts und Sicherheitsgründen die LAN Anwendungen auf zwei Server aufzuteilen: internetorientierte Anwendungen LAN orientierte Anwendungen. Seite

Mehr

LAN & Internet. Grundlagen Netzwerke LAN-2. Saarpfalz-Gymnasium. Router. Router LAN-3. Router. Kommunikation in Rechnernetzen

LAN & Internet. Grundlagen Netzwerke LAN-2. Saarpfalz-Gymnasium. Router. Router LAN-3. Router. Kommunikation in Rechnernetzen Kommunikation in Rechnernetzen Grundlagen Netzwerke Als Folge des Sputnik-Schocks 1957 wurde Ende der 60er-Jahre von einer Projektgruppe des amerikanischen Verteidigungsministeriums (ARPA) ein Computer-Netz

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.2 Transmission Control Protocol - TCP 2.3 User Datagram Protocol - UDP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik,

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Inhaltsverzeichnis. 1 Einleitung 1

Inhaltsverzeichnis. 1 Einleitung 1 xi 1 Einleitung 1 2 TCP/IP-Grundlagen 11 2.1 TCP/IP... 11 2.1.1 Geschichtliches zu TCP/IP und zum Internet... 11 2.1.2 Internet-Standards und RFCs... 12 2.1.3 Überblick... 14 2.1.4 ARP... 21 2.1.5 Routing...

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Kontrollfragen: Internet

Kontrollfragen: Internet Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.13 File Transfer Protocol - FTP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,

Mehr

2. Architektur von Kommunikationssystemen

2. Architektur von Kommunikationssystemen 2. Architektur von Kommunikationssystemen 2.1 2.2 TCP/IP-basierte Protokollarchitektur Digitale Kommunikationssysteme Prof. Dr. Habermann / Dr. Hischke 12-01 / 1 Das OSI-Referenzmodell wird ausführlich

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Internetprotokoll TCP / IP

Internetprotokoll TCP / IP Internetprotokoll TCP / IP Inhaltsverzeichnis TCP / IP - ALLGEMEIN... 2 TRANSPORTPROTOKOLLE IM VERGLEICH... 2 TCP / IP EIGENSCHAFTEN... 2 DARPA MODELL... 3 DIE AUFGABEN DER EINZELNEN DIENSTE / PROTOKOLLE...

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage Lösungen zu ---- Informations- und Telekommunikationstechnik Arbeitsheft,. Auflage. HANDLUNGSSCHRITT a) Aufgabe Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP-Adressen), die

Mehr

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

ARCHITEKTUR VON INFORMATIONSSYSTEMEN ARCHITEKTUR VON INFORMATIONSSYSTEMEN File Transfer Protocol Einleitung Das World Wide Web war ja ursprünglich als verteiltes Dokumentenverwaltungssystem für die akademische Welt gedacht. Das Protokoll

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press Dirk Becker OpenVPN Das Praxisbuch Galileo Press Vorwort 11 Einführung o 1.1 VPN (Virtual Private Network) 18 1.2 Alternativen zu einem VPN 21 1.2.1 Telnet 22 1.2.2 File Transfer Protocol - FTP 23 1.2.3

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken In diesem Tutorial zeigen wir Ihnen, wie Sie im Mozilla Thunderbird E-Mailclient ein POP3-Konto einrichten. Wir haben bei der Erstellung des Tutorials die Version 2.0.0.6 verwendet. Schritt 1: Auswahl

Mehr

7 TCP/IP-Dienste konfigurieren

7 TCP/IP-Dienste konfigurieren 7 TCP/IP-Dienste konfigurieren In diesem Kapitel lernen Sie die Begriffe Ports,Sockets und Connections kennen (LPI 1: 109.1). den Zusammenhang der Ports von TCP/IP-Diensten mit der Datei /etc/services

Mehr

Datenzugriff über VPN

Datenzugriff über VPN Leitfaden Datenzugriff über VPN Einführung Ab der Version 3.0 besteht bei einer Installation von SPG-Verein die Möglichkeit, den Programmund Datenbereich getrennt abzulegen. Dadurch kann u. a. der Datenbereich

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

Internet, Multimedia und Content Management

Internet, Multimedia und Content Management Mag. Friedrich Wannerer Internet, Multimedia und Content Management Jahrgang 1, 2, 3 (bzw. 4 und 5) 1. Jahrgang Internet Grundbegriffe, Zugang Informationsbeschaffung (Suchmaschinen) Webseitengestaltung

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Andreas Teuchert 18./19. Juli 2012 Netzwerk-Protokolle legen fest, wie Daten zur Übertragung verpackt werden unterteilt in verschiedene Schichten: Anwendungsschicht (HTTP,

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

Vorlesung SS 2001: Sicherheit in offenen Netzen

Vorlesung SS 2001: Sicherheit in offenen Netzen Vorlesung SS 2001: Sicherheit in offenen Netzen 2.10 World Wide Web - WWW Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße

Mehr

Anbindung des eibport an das Internet

Anbindung des eibport an das Internet Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt

Mehr

Einführung in die Firewall - Technologie

Einführung in die Firewall - Technologie Einführung in die Firewall - Technologie??1999 Robert A. Kovacs i Inhaltsverzeichnis 1. WAS IST EIN FIREWALL 1 2. PAKETFILTER 3 3. GATEWAYS 5 3.1 Circuit Level Gateway 5 3.2 Application Level Gateway 6

Mehr

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129

1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) 1.2 Aufzeichnung starten. LAN-Komponenten in Betrieb nehmen Modul 129 1 Wireshark für Protokolle (Verfasst von G. Schneider/TBZ-IT) 1.1 Wireshark Bedienung (Die neuste Wireshark-Version sieht leicht anders aus!) Wireshark ist ein sog. Sniffer. Diese Software dient dazu den

Mehr

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet Aufbau des Internets Nelson & Bruno Quellen: Netplanet Inhaltsverzeichnis Arten von Netzwerken Host-Architekturen Schichtenmodelle TCP/IP - Haussprache des Internet Übertragung im Netz Routing Topologie

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Client-Server mit Socket und API von Berkeley

Client-Server mit Socket und API von Berkeley Client-Server mit Socket und API von Berkeley L A TEX Projektbereich Deutsche Sprache Klasse 3F Schuljahr 2015/2016 Copyleft 3F Inhaltsverzeichnis 1 NETZWERKPROTOKOLLE 3 1.1 TCP/IP..................................................

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Internet. DI (FH) Levent Öztürk

Internet. DI (FH) Levent Öztürk DI (FH) Levent Öztürk Inhaltsverzeichnis Definition Internet Geschichte Technik IP-Adresse Domain Name Internet Dienste Protokolle E-Mail 17.09.2012 DI (DH) Levent Öztürk 2 Definition Internet: Das Internet(von

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server. 1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Client/Server-Systeme

Client/Server-Systeme Frühjahrsemester 2011 CS104 Programmieren II / CS108 Programmier-Projekt Java-Projekt Kapitel 3: /Server-Architekturen H. Schuldt /Server-Systeme Ein zweischichtiges /Server-System ist die einfachste Variante

Mehr