Peer-to-Peer NAT Traversal for IPsec

Größe: px
Ab Seite anzeigen:

Download "Peer-to-Peer NAT Traversal for IPsec"

Transkript

1 Diplomarbeit Informatik Peer-to-Peer NAT Traversal for IPsec Tobias Brunner Daniel Röthlisberger Wintersemester 2006/ Dezember 2006 Betreut durch: Prof. Dr. Andreas Steffen Martin Willi HSR HOCHSCHULE FÜR TECHNIK RAPPERSWIL INFORMATIK Institute for Internet Technologies and Applications

2 Copyright c 2006, Tobias Brunner (tbrunner), Daniel Röthlisberger (droethli)

3 Some of us feel NAT boxes are sort of an abomination because they really do mess about with the basic protocol architecture of the Internet. Vint Cerf.

4 iv

5 Abstract Internet Protocol Security (IPsec) ist ein Standard für Virtual Private Networks (VPNs) auf IP- Basis. Internet Key Exchange, Version 2 (IKEv2) ist die neue Generation des verwendeten Schlüsselaustausch-Protokolls. Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. Im heutigen Internet ist NAT weit verbreitet. Lokale Netzwerke sind häufig über eine einzige öffentliche IP- Adresse eines NAT-Routers mit dem Internet verbunden. Verbindungen sind im Allgemeinen nur von innen nach aussen möglich. Die Traversierung von NAT ist insbesondere für verschlüsselte Protokolle problematisch. IPsec erlaubt mit NAT Traversal zwar das Überqueren von einfachen NAT von innen nach aussen, nicht aber Direktverbindungen in Situationen, in denen sich beide Peers je hinter NAT befinden. Hole Punching ist eine Technik für die direkte UDP/TCP- Kommunikation in solchen Double-NAT-Situationen. Im Rahmen dieser Diplomarbeit war das Ziel, mit Hilfe von Hole Punching auf der Basis von IPsec und IKEv2 VPN-Direktverbindungen zwischen Hosts herzustellen, welche sich beide hinter NAT befinden, ohne dazu die NAT-Router speziell konfigurieren zu müssen. Zusätzlich war eine Proof-of-Concept-Implementation zu entwickeln. Als Resultat unserer Arbeit ist mit Peer-to-Peer NAT Traversal (P2P-NAT-T) eine Erweiterung von IPsec entstanden, welche es ermöglicht, Verbindungen auch in Double-NAT-Situationen direkt End-zu-End aufzubauen. Wir definieren zu diesem Zweck ein auf IKEv2 basierendes Protokoll zur Kommunikation der Peers mit einem Mediation Server. Je nach Verhalten der NAT-Router ist es möglich, dass keine Direktverbindung zustande kommen kann. Für diesen Fall definieren wir zusätzlich eine Relay-Erweiterung, welche es erlaubt, IPsec-Verbindungen unter Beibehaltung der vollen End-zu-End-Sicherheit über den Mediation Server umzuleiten. Als Proof-of-Concept-Implementation haben wir die freie, linuxbasierte IPsec-Lösung strong- Swan mit P2P-NAT-T-Unterstützung (ohne Relay) ausgestattet. Unsere Arbeit ist in Form eines Branches bereits in das strongswan-projekt eingeflossen und wird dort von Martin Willi und Prof. Dr. Andreas Steffen weiterentwickelt werden. Es ist geplant, unsere Protokollerweiterung als Internet Draft zu publizieren, um allenfalls eine Standardisierung in Form eines RFC anzustreben. Zielsetzung Ergebnis Ausblick v

6 vi

7 Inhaltsverzeichnis Abstract v 1. Aufgabenstellung 1 2. Management Summary 3 3. Einleitung Problemstellung Mediation-Protokoll strongswan Gliederung der Dokumentation Danksagung Grundlagen Network Address Translation (NAT) Entstehungsgeschichte Beispiel Masquerading/NAPT Andere Formen von NAT Probleme für Protokolle und Anwendungen Klassifizierung von NAT-Varianten UDP Hole Punching Simple Traversal of UDP through NATs (STUN) Shared Secret Requests Binding Requests Ablauf Traversal Using Relay NAT (TURN) Interactive Connectivity Establishment (ICE) Internet Protocol Security (IPsec) AH, ESP, Tunnel und Transport Mode Security Associations, Policies, SPI Internet Key Exchange Version 2 (IKEv2) NAT Traversal (NAT-T) vii

8 Inhaltsverzeichnis Dead Peer Detection (DPD) Analyse STUN in Ruby Protokoll Ablauf Verhalten von NAT-Implementationen Hole Punching Kompatibilität Protokoll-Prototyp in Ruby Peer-to-Peer NAT Traversal for IPsec Begriffsdefinitionen Protokollablauf Mediation Server und Identity Management Mediation Connection Mediated Connection P2P Relay Extension Neue Protokoll-Elemente Vendor-ID Exchange Type P2P_IKE_AUTH Exchange Type P2P_PEERS Exchange Type P2P_CONNECT Exchange Type P2P_RELAY Payload Type Peer-ID IDp Notify Type P2P_CONNECT_FAILED Notify Type P2P_RELAY_FAILED Notify Type WANT_P2P Notify Type P2P_IPV4_ADDR Notify Type P2P_IPV6_ADDR Notify Type WANT_P2P_RELAY Design-Entscheide Mediation via Drittprotokolle oder IKEv Identity Management Protokolldesign P2P Relay Implementation Methodik Programmierrichtlinien viii Peer-to-Peer NAT Traversal for IPsec

9 Inhaltsverzeichnis Source Code Management Architektur im Überblick Grundsätzliches Bedienung Rollen Klassendokumentation Konfiguration Datenstrukturen Stroke Interface Transaktionen Jobs IKE-SA IKE-SA-Manager Socket Limitationen Sonstige Resultate Angeregte Verbesserungen Tests Methodik Reale Tests UML Tests Testfälle Mediation Connection (p2p-mediation) Mediated Connection (p2p-mediated) Rekey (p2p-rekey) DPD (p2p-dpd-mn) DPD (p2p-dpd-md) Roadwarrior (p2p-dpd-rw) Erweiterte Tests Konfiguration Konfigurationsparameter Globale Konfiguration Verbindungsspezifische Konfiguration Beispielkonfiguration Peer-to-Peer NAT Traversal for IPsec ix

10 Inhaltsverzeichnis 10. Projektstand Zukunftsvisionen Publikation als Internet Draft im Rahmen der IETF Netzwerktopologie im UML Test Framework STUN als optionale Komponente miteinbeziehen Mediation über Gruppen-ID/Passwort A. NAT-Konfigurationen 105 A.1. Linux Netfilter A.1.1. MASQUERADE A.1.2. SNAT A.2. OpenBSD/FreeBSD PF A.3. Cisco IOS A.4. Cisco PIX B. Projektmanagement 109 B.1. Projektplan B.2. Zeitabrechnung B.3. Qualitätssicherung B.3.1. Massnahmen B.3.2. Effektivität B.4. Protokolle B.4.1. Kick Off Meeting B.4.2. Sitzung Woche B.4.3. Sitzung Woche B.4.4. Sitzung Woche B.4.5. Sitzung Woche B.4.6. Sitzung Woche B.4.7. Sitzung Woche B.4.8. Sitzung Woche B.4.9. Sitzung Woche C. Erfahrungsberichte 127 C.1. Tobias Brunner C.2. Daniel Röthlisberger Abkürzungsverzeichnis 129 x Peer-to-Peer NAT Traversal for IPsec

11 1. Aufgabenstellung Einführung Häufig wollen Unternehmen netzwerkfähige Geräte und Systeme sicher via Internet der Fernwartung zugänglich machen. Dazu werden heute meistens Accounts auf einem VPN Gateway eingerichtet oder aber Löcher in die Firewalls konfiguriert, um von Aussen auf einzelne Systeme zu gelangen. Beide Methoden bergen aber beträchtliche Sicherheitsrisiken. Deshalb wird eine Hard- und Software basierte Lösung gesucht, die, in einem privaten Firmennetz platziert, vom Internet her via IPsec erreichbar sein soll, ohne dass die firmeninterne Firewall speziell konfiguriert werden muss. Es soll einzig vorausgesetzt werden, dass eine IPsec Verbindung von Innen über einen NAT Router nach Aussen aufgebaut werden kann. Da der Fernzugriff auch von einer privaten IP Adresse aus möglich sein soll, die sich ebenfalls hinter einem NAT Router befindet, muss die zu entwickelnde IPsec Box eine Double NAT Fähigkeit besitzen. Um unter diesen Umständen mittels IKE eine Verbindung aufbauen zu können, kann falls notwendig, die Dienste eines Mediation Servers in Anspruch genommen werden. Verschlüsselte ESP Pakete sollen aber direkt End-to-End transportiert werden. Aufgabenstellung Erarbeitung eines Grundkonzepts für die Double-NAT IPsec Funktionalität. Anleihen können z.b. bei den STUN und ICE Mechanismen gemacht werden, die im Umfeld des Session Initiation Protocols (SIP) zur Überwindung von Double NAT Situationen eingesetzt werden. Falls technisch möglich, sollte auch eine Linux Netfilter Firewall durchquert werden können. Implementierung der Double NAT IPsec Funktionalität auf der Basis der Linux strongswan- 4.x Distribution. Dabei kann vom Standard NAT-Traversal Floating Port 4500 abgewichen werden, wie er durch den IKEv2 RFC 4306 definiert wird. Proof-of-Concept mittels eines Double NAT IPsec Prototypen, lauffähig auf einem Standard PC unter dem Linux Betriebsystem. 1

12 1. Aufgabenstellung Links strongswan Projekt: Internet Key Exchange (IKEv2) Protocol: STUN - Simple Traversal of UDP through NAT ICE - Interactive Connectivity Establishment Rapperswil, 23. Oktober 2006 Prof. Dr. Andreas Steffen 2 Peer-to-Peer NAT Traversal for IPsec

13 2. Management Summary Internet Protocol Security (IPsec) ist ein Standard für Virtual Private Networks (VPNs) auf IP- Basis. Internet Key Exchange, Version 2 (IKEv2) ist die neue Generation des verwendeten Schlüsselaustausch-Protokolls. Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. Im heutigen Internet ist NAT weit verbreitet. Lokale Netzwerke sind häufig über eine einzige öffentliche IP- Adresse eines NAT-Routers mit dem Internet verbunden. Verbindungen sind im Allgemeinen nur von innen nach aussen möglich. Die Traversierung von NAT ist insbesondere für verschlüsselte Protokolle problematisch. IPsec erlaubt mit NAT Traversal zwar das Überqueren von einfachen NAT von innen nach aussen, nicht aber Direktverbindungen in Situationen, in denen sich beide Peers je hinter NAT befinden. Hole Punching ist eine Technik für die direkte UDP/TCP- Kommunikation in solchen Double-NAT-Situationen. Im Rahmen dieser Diplomarbeit war das Ziel, mit Hilfe von Hole Punching auf der Basis von IPsec und IKEv2 VPN-Direktverbindungen zwischen Hosts herzustellen, welche sich beide hinter NAT befinden, ohne dazu die NAT-Router speziell konfigurieren zu müssen. Zusätzlich war eine Proof-of-Concept-Implementation zu entwickeln. Als Resultat unserer Arbeit ist mit Peer-to-Peer NAT Traversal (P2P-NAT-T) eine Erweiterung von IPsec entstanden, welche es ermöglicht, Verbindungen auch in Double-NAT-Situationen direkt End-zu-End aufzubauen. Wir definieren zu diesem Zweck ein auf IKEv2 basierendes Protokoll zur Kommunikation der Peers mit einem Mediation Server. Je nach Verhalten der NAT-Router ist es möglich, dass keine Direktverbindung zustande kommen kann. Für diesen Fall definieren wir zusätzlich eine Relay-Erweiterung, welche es erlaubt, IPsec-Verbindungen unter Beibehaltung der vollen End-zu-End-Sicherheit über den Mediation Server umzuleiten. Als Proof-of-Concept-Implementation haben wir die freie, linuxbasierte IPsec-Lösung strong- Swan mit P2P-NAT-T-Unterstützung (ohne Relay) ausgestattet. Im Zusammenhang mit Hole Punching unterscheidet man zwischen den vier folgenden Typen von NAT-Implementationen: Projektauftrag Das Ergebnis NAT-Verhalten Full Cone NAT, Restricted Cone NAT, 3

14 2. Management Summary Port Restricted Cone NAT, Symmetric NAT. P2P-NAT-T Davon sind die ersten drei Hole Punching freundlich, während symmetrisches NAT Hole Punching im Allgemeinen verunmöglicht. Es existieren auch unterschiedliche Mischformen. Wir haben diverse NAT-Implementationen in Soft- und Hardware nach diesen und weiteren für Hole Punching relevanten Kriterien untersucht und analysiert, unter welchen Bedingungen Hole Punching erfolgreich sein kann. Basierend auf diesen Resultaten haben wir Peer-to-Peer NAT Traversal entwickelt. P2P-NAT- T definiert die folgenden Rollen: Clients (Peers), welche direkte Verbindungen mittels Hole Punching erstellen möchten und zu diesem Zweck die Dienste eines Mediation Servers in Anspruch nehmen, und Mediation Server, welche Direktverbindungen zwischen Clients vermitteln und als Outof-Band-Kommunikationskanal zwischen den Clients dienen, bis diese eine Direktverbindung aufgebaut haben. Im Relay-Fall werden UDP-Pakete der Direktverbindungen über den Mediation Server geleitet, ohne die End-zu-En d-sicherheit aufzugeben. Proof of Concept Ausblick Zur Kommunikation der Peers mit einem Mediation Server haben wir Protokoll-Elemente für den Austausch von Adress/Port-Tupeln und die Identifikation der Peers entwickelt. Zusätzlich haben wir Methoden entwickelt, um Hole Punching effizienter und auch in ungünstigen NAT- Situationen einsetzbar zu machen. Die Vermittlung der Verbindungen findet unter dem Schutz von IKEv2 statt, wodurch ein bestehendes Sicherheitsframework genutzt werden kann. Identity Management geschieht auf Basis der normalen IDs von IKEv2, was eine optimale Integration in die IPsec-Welt ermöglicht. Um die Praxistauglichkeit unseres Protokolls unter Beweis zu stellen, haben wir P2P-NAT- T im Rahmen von strongswan erfolgreich implementiert. strongswan ist nun in der Lage, als Mediation Server zu fungieren oder als Client Direktverbindungen auch in Double-NAT-Situationen über Hole Punching herzustellen. Wenn eine derart vermittelte Verbindung gestartet wird, so initiiert strongswan automatisch eine Verbindung mit dem entsprechenden Mediation Server und startet die Vermittlung mittels P2P-NAT-T. Die Verbindung zum Mediation Server wird nur so lange aufrecht erhalten, wie sie für die Vermittlung benötigt wird. Unsere Arbeit ist in Form eines Branches bereits in das strongswan-projekt eingeflossen und wird dort von Martin Willi und Prof. Dr. Andreas Steffen weiterentwickelt werden. Es ist geplant, unsere Protokollerweiterung als Internet Draft zu publizieren, um allenfalls eine Standardisierung in Form eines RFC anzustreben. 4 Peer-to-Peer NAT Traversal for IPsec

15 3. Einleitung 3.1. Problemstellung Die Zielsetzung dieser Diplomarbeit war im Wesentlichen die Entwicklung einer Protokollerweiterung zu IKEv2, welche das Betreiben von IPsec-Direktverbindungen zwischen zwei Clients erlaubt, welche sich beide hinter Network Address Translation befinden, was herkömmliche Direktverbindungen verunmöglicht. Hierbei war davon auszugehen, dass man keinerlei Kontrolle über die NAT-Konfiguration hat, diese also über Hole Punching Techniken traversieren muss. Im heutigen Internet ist ein grosser Anteil der Benutzer über NAT in irgend einer Ausprägung angeschlossen. Die Fähigkeit, ungeachtet der NAT-Situation IPsec-Direktverbindungen erzeugen zu können, wird deshalb immer wichtiger. Bisher war dies nur möglich, wenn man die Kontrolle über die NAT-Router-Konfiguration hatte und so mittels statischen Weiterleitungen Direktverbindungen ermöglichen konnte.???? / Verbindung zu B Verbindung zu A Client A Client B Abbildung 3.1.: Double NAT Problematik Wie in Abbildung 3.1 illustriert, existiert noch ein viel grundsätzlicheres Problem. Da die beiden Clients nicht wissen, über welche Endpunkte sie nach aussen hin sichtbar sind, gibt es auch keine IP-Adressen, zu welchen hin sie eine Direktverbindung initiieren könnten. Somit ist mit Sicherheit externe Hilfe irgend einer Art und Weise notwendig. 5

16 3. Einleitung Natürlich liegt der naive Lösungsansatz nahe, einfach zwei herkömmliche IPsec-Tunnels mit Hilfe von NAT Traversal (NAT-T) zu einem Drittserver aufzubauen, und den Nutzverkehr einfach über diesen Drittserver zu routen. Nur ist es aus Sicherheitsgründen unerwünscht, die Daten auf einem Drittserver zu entschlüsseln, weil damit die End-zu-End-Sicherheit aufgegeben würde. Abgesehen davon ist dies auch aus Performance-Gründen nicht sinnvoll. Zusätzlich zum Protokolldesign war eine Proof-of-Concept-Implementation im Rahmen von strongswan zu realisieren. Als Resultat unserer Studienarbeit [BR06] war Unterstützung für herkömmliches NAT-T bereits vorhanden. Für erfolgreiche Direktverbindungen von Peer zu Peer in Double-NAT-Situationen hingegen ist NAT-T aber natürlich ebenfalls Voraussetzung Mediation-Protokoll Von dieser Ausgangslage ausgehend, lag es auf der Hand, einen Mediation Server zu Hilfe zu nehmen, über welchen die beiden Peers hinter NAT die für eine Direktverbindung vorgängig nötige Kommunikation abwickeln. Die aus dem VoIP-Umfeld entstandenen Protokolle STUN, TURN respektive ICE verwenden zu diesem Zweck SIP/SDP. Diese haben wir in Kapitel 4 erläutert. Es ging also darum, nach einer Lösung zu suchen, welche die Ideen aus diesen Protokollen auf unsere Situation bei IPsec anwenden lässt. Insbesondere war die Möglichkeit von Erweiterungen zum Schlüsselaustauschprotokoll IKEv2 zu untersuchen, um diesen Out-of-Band-Kommunikationskanal zu schaffen strongswan strongswan II ist der interne Projektname der IKEv2-Implementation von strongswan. Diese ist im Rahmen der Diplomarbeit [HW05] von Jan Hutter und Martin Willi entstanden. strongswan ist eine Open Source, auf IPsec basierende VPN-Lösung mit Fokus auf X.509-Zertifikaten. Entstanden ist strongswan als Fork von FreeS/WAN sowie dem von Prof. Dr. Andreas Steffen entwickelten X.509 Patch. FreeS/WAN war die erste komplette Implementation von IPsec für Linux, ursprünglich auf die Initiative von John Gilmore hin entstanden. Die Entwicklung von FreeS/WAN wurde 2003 eingestellt. Neben dem ebenfalls von FreeS/WAN abstammenden Openswan ist strongswan heute eine der zwei bedeutendsten IPsec-Lösungen für Linux. strongswan besteht aus folgenden Komponenten: Der Daemon pluto implementiert IKEv1, während charon IKEv2 in einem separaten Daemon implementiert. whack ist das Kontrolltool zu pluto, und stroke das Pendant bei charon. 6 Peer-to-Peer NAT Traversal for IPsec

17 3.4. Gliederung der Dokumentation Der starter startet, konfiguriert und überwacht die Daemons, und mit KLIPS ist der IPsec Kernel-Patch zu Linux 2.4 weiterhin verfügbar. Ein Teil der gemeinsamen Funktionalität ist dabei in shared Libraries ausgelagert. Für weitergehende Informationen zum Kernel und seiner Schnittstelle zu Userland-Daemons wie pluto und charon verweisen wir auf unsere Studienarbeit [BR06] Gliederung der Dokumentation Die Dokumentation unserer Diplomarbeit ist in folgende Teile gegliedert: Im Kapitel Grundlagen erläutern wir technische Grundlagen, welche für das Verständnis der Arbeit relevant sind. Im Kapitel Analyse halten wir unser Vorgehen bei der Analyse der NAT-Verhalten und Hole-Punching-Problematik fest und zeigen Resultate auf. Im Kapitel Peer-to-Peer NAT Traversal for IPsec definieren wir die von uns entwickelte Protokollerweiterung und erläutern Designentscheide. Im Kapitel Implementation befassen wir uns mit unserer Proof-of-Concept-Implementation im Rahmen von strongswan. Im Kapitel Tests zeigen wir auf, wie wir unsere Proof-of-Concept-Implementation getestet haben, sowohl im Labor-Setup mit physikalischer Hardware als auch im virtuellen UML- Testing-Framework. Im Kapitel Konfiguration haben wir die Konfiguration unserer Implementation dokumentiert und Beispielkonfigurationen dargestellt. Im Kapitel Projektstand analysieren wir das Resultat und zeigen Möglichkeiten der Weiterentwicklung auf. Weitere Unterlagen wie die Konfigurationen der von uns getesteten NAT-Router, das Projektund Qualitätsmanagement oder die persönlichen Berichte haben wir im Anhang gesammelt Danksagung Wir möchten uns an dieser Stelle bei all jenen bedanken, welche uns im Rahmen unserer Diplomarbeit unterstützt haben. Insbesondere danken wir Prof. Dr. Andreas Steffen und Martin Willi für die souveräne Betreuung und die konstruktiven Inputs. Ebenfalls gebührt unser Dank der Peer-to-Peer NAT Traversal for IPsec 7

18 3. Einleitung suxessnet AG, Thalwil, welche uns grosszügigerweise eine nach unseren Wünschen vorkonfigurierte SonicWALL für Testzwecke zu Verfügung gestellt hat. Ferner danken wir dem Institut für vernetzte Systeme (INS) und dem Institut für Internet-Technologien und Anwendungen (ITA) für die uns als Leihgabe überlassene Cisco-Hardware. 8 Peer-to-Peer NAT Traversal for IPsec

19 4. Grundlagen In diesem Kapitel beschreiben wir die wichtigsten technischen Grundlagen, welche für das Verständnis der folgenden Kapitel notwendig sind. Wir beschränken uns hierbei auf das Notwendige und verweisen für eine weitergehende Beschreibung auf die jeweiligen Standards oder Originaldokumente. Dieses Kapitel kann bei entsprechendem Vorwissen auch gut übersprungen werden, um später bei Bedarf auf einzelne Abschnitte zurückzukommen. Wir empfehlen aber die Lektüre des Abschnittes über die NAT-Verhalten sowie dem Abschnitt 4.2 zu Hole Punching, da diese essentiell für das Verständnis der weiteren Teile der Arbeit sind. Teile dieses Kapitels basieren auf unserer Studienarbeit [BR06]. Der Abschnitt zu NAT (4.1) ist eine überarbeitete und erweiterte Fassung des gleichnamigen Abschnitts der Studienarbeit, und die Kurzeinführung zu IPsec (4.6) haben wir in einer leicht überarbeiteten Version vollständig übernommen. Alle anderen Teile dieses Kapitels sind komplett im Rahmen der Diplomarbeit entstanden Network Address Translation (NAT) Unter dem Sammelbegriff Network Address Translation (NAT) versteht man Verfahren, welche die Sender- und/oder Empfängeradressen von IP-Paketen unterwegs verändern. In der häufigsten Anwendungsform wird NAT verwendet, um Client-Rechner in einem lokalen Netzwerk über eine oder mehrere öffentliche IP-Adresse(n) mit einem externen Netz zu verbinden in der Regel mit dem Internet. Andere Anwendungsformen machen eine 1:1 Zuordnung von Adressen aus einem Adressblock auf Adressen in einem anderen Adressblock oder machen einen Server in einem internen Netzwerk unter einer externen IP-Adresse sichtbar. Man unterscheidet grundsätzlich zwischen einfacher Network Address Translation, auch Basic NAT genannt, wo nur die IP-Adressen modifiziert werden, und Network Address/Port Translation (NAPT), auch Hiding NAT, IP Masquerading (Linux), Port Address Translation (PAT) (Cisco) oder NAT Overloading (Cisco IOS) genannt, wo auch die Ports verändert werden, damit mehrere interne Adressen auf die gleiche externe Adresse gemappt werden können. 9

20 4. Grundlagen Entstehungsgeschichte Entwickelt wurde NAT ursprünglich infolge der Adressknappheit des Internet Protocol, Version 4 (IPv4). IP-Adressen sind 32 Bit gross, somit gäbe es theoretisch Mia. mögliche Adressen. In den Anfängen des Internet wurden IP-Adressen jedoch regelrecht verschwendet. Ursprünglich wurden die ersten 8 Bit als Netzwerknummer verwendet, der Rest zur Identifikation des Hosts. Um eine grössere Anzahl von Netzen zu ermöglichen, hat man später mit Classful Addressing [RFC791] die Länge der Netznummer abhängig gemacht vom Wert der ersten 1 4 Bit: je nach Wert dieser Bits wurden die Adressen in die Klassen A (8 Bit Netznummer), B (16 Bit Netznummer) und C (24 Bit Netznummer) eingeteilt (und einige Adressen für spezielle Zwecke wie Multicast reserviert). Doch auch dies reichte nicht aus, weshalb man mit Classless Inter-Domain Routing (CIDR) [RFC1518; RFC1519] schliesslich die Länge der Netzwerknummer komplett variabel gemacht hat, indem neben den Adressen immer eine sogenannte Netzmaske angegeben wird, welche spezifiziert, welche Bits der Adresse die Netzwerkidentifikation repräsentieren. Doch mit der explosionsartigen Verbreitung des Internet stiess man auch hier bald an Grenzen. Heute weist man schon lange nicht mehr jedem ans Internet angeschlossenen Rechner eine eigene Adresse fix zu. Stattdessen werden z.b. den Kunden eines Internet Service Providers (ISPs) Adressen aus einem kleinen Pool von öffentlichen IP-Adressen dynamisch zugewiesen. Während CIDR als kurzfristige Lösung für die Probleme von IPv4 angesehen wurde und mit Internet Protocol, Version 6 (IPv6) gleichzeitig an der langfristigen Lösung gearbeitet wurde, hat man als weitere kurzfristige Überbrückungslösung Network Address Translation entwickelt [RFC1631; RFC3022], um lokale Netze unter einer oder mehrerer öffentlichen IP-Adressen ans Internet anzuschliessen, ohne für das lokale Netz einen eigenen öffentlichen Adressblock und somit viele öffentliche Adressen zu verbrauchen Beispiel Masquerading/NAPT Am Beispiel des häufigsten Falles möchten wir die Funktionsweise von NAT im Detail aufzeigen. In dieser Anwendungsform wird ein internes Netzwerk über einen NAT-Router mit einer einzigen vom ISP zugewiesenen öffentlichen IP-Adresse mit dem Internet verbunden. Diese Ausgangslage ist in Abbildung 4.1 dargestellt. Diese Form von NAT wird auch PAT, NAPT, Hiding NAT und NAT Overloading genannt. Anstelle des Internets könnte das interne Netz natürlich analog zu der hier dargestellten Situation auch mit einem anderen Wide Area Network (WAN) verbunden werden. Der Gateway (NAT-Router) schreibt hierzu die Source-Adressen von Paketen, welche das lokale Netz verlassen, auf die externe IP-Adresse um. Nach aussen hin ist also nur die externe IP- Adresse des NAT-Routers sichtbar. Wenn der Client von seiner lokalen Adresse aus eine HTTP-Verbindung zum Server startet, so sieht der Server eine eingehende Verbindung von der Adresse , also der externen IP-Adresse des NAT-Routers. Der Source-Port wurde vom NAT-Router auf eine eindeutige Port-Nummer umgeschrieben, so dass 10 Peer-to-Peer NAT Traversal for IPsec

21 4.1. Network Address Translation (NAT) / Internet Client A NAT Router Server Client B Abbildung 4.1.: NAT in der Übersicht er die Antwortpakete des Servers wieder dem richtigen internen Host zuordnen kann. Zu diesem Zweck führt der NAT-Router eine Tabelle, in der er sich die Source-Adress und -Port Tupel aller laufenden Verbindungen 1 speichert. Der Vorgang ist in Abbildung 4.2 nochmals genauer dargestellt. src: :1078 dst: :80 src: :53263 dst: : Internet Client A Client B src: :80 dst: :1078 inside src outside src src: :80 dst: :53263 Abbildung 4.2.: NAT: Beispiel Masquerading/NAPT als Sicherheitsfeature? Aufgrund der Tatsache, dass Hosts im lokalen Netz hinter dem NAT-Router nicht direkt von aussen erreichbar sind, gelten NAT dieser Art heute auch als Sicherheitsfeature. Auch wenn die Aussage berechtigt ist, dass ein Client hinter einem solchen NAT-Router vor vielen aktiven Angriffen aus dem Internet geschützt ist, so muss man sich aber vor Augen halten, dass NAT nicht primär der Sicherheit dient, und den Client sowieso nur vor einer eingeschränkten Angriffsklasse schützt. Angriffe z.b. über den Web-Browser oder via können damit nicht verhindert werden und sind wesentlich gefährlicher, als nur von der eigenen Personal Firewall geschützt di- 1 Eine Verbindung ist in diesem Zusammenhang nicht auf verbindungsorientierte Protokolle wie TCP beschränkt, sondern bezieht sich auch auf verbindungslose Protokolle wie UDP und ICMP. Als UDP-Verbindung bezeichnet man hier alle Datagramme, welche zwischen zwei konkreten Host:Port-Kombinationen ausgetauscht werden. ICMP-Pakete werden je nach Typ der zugehörigen UDP- oder TCP-Verbindung zugeordnet (z.b. Host / Port Unreachable, Source Quench), oder als eigene Verbindung behandelt (z.b. Echo / Echo Reply). Peer-to-Peer NAT Traversal for IPsec 11

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver

Mehr

Guide DynDNS und Portforwarding

Guide DynDNS und Portforwarding Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch

Mehr

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

WLAN Konfiguration. Michael Bukreus 2014. Seite 1

WLAN Konfiguration. Michael Bukreus 2014. Seite 1 WLAN Konfiguration Michael Bukreus 2014 Seite 1 Inhalt Begriffe...3 Was braucht man für PureContest...4 Netzwerkkonfiguration...5 Sicherheit...6 Beispielkonfiguration...7 Screenshots Master Accesspoint...8

Mehr

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden

Technical Note 32. 2 ewon über DSL & VPN mit einander verbinden Technical Note 32 2 ewon über DSL & VPN mit einander verbinden TN_032_2_eWON_über_VPN_verbinden_DSL Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. 1 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis...

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server. 1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding? Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Anbindung des eibport an das Internet

Anbindung des eibport an das Internet Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt

Mehr

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN) Definition Was ist Talk2M? Talk2M ist eine kostenlose Software welche eine Verbindung zu Ihren Anlagen

Mehr

Primzahlen und RSA-Verschlüsselung

Primzahlen und RSA-Verschlüsselung Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

D-Link VPN-IPSEC Test Aufbau

D-Link VPN-IPSEC Test Aufbau D-Link VPN-IPSEC Test Aufbau VPN - CLient Router oder NAT GW IPSEC GW (z.b 804 HV) Remote Netzwerk Konfigurationsbeispiel für einen 804-HV: Konfiguration der IPSEC Einstellungen für das Gateway: - Wählen

Mehr

How to install freesshd

How to install freesshd Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem

Mehr

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security

Mehr

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client. LCS Support KnowledgeBase - Support Information Dokument-Nr. 0812.2309.5321.LFRA VPN-Verbindung zwischen LANCOM Router und Apple iphone Beschreibung: Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung

Mehr

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003 Page 1 of 8 SMTP Konfiguration von Exchange 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 25.02.2005 SMTP steht für Simple Mail Transport Protocol, welches ein Protokoll ist, womit

Mehr

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung 8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet

Mehr

Kommunikations-Parameter

Kommunikations-Parameter KNX App knxpresso für Android Tablets/Phones Kommunikations-Parameter Ausgabe Dokumentation: Mai. 2015 Doku Version V1.0.0 - Seite 1/8 Inhaltsverzeichnis 1.1 Nützliche Links... 3 1.2 Beschreibung der Kommunikations-Datei...

Mehr

Implementierung einer GUI für ANTS

Implementierung einer GUI für ANTS Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Implementierung einer GUI für ANTS Florian Wohlfart Abschlusspräsentation Bachelorarbeit Überblick Einleitung:

Mehr

HTBVIEWER INBETRIEBNAHME

HTBVIEWER INBETRIEBNAHME HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten

Mehr

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme

Mehr

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client (Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Kontrollfragen: Internet

Kontrollfragen: Internet Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales. ALL500VDSL2 Rev.B & ALL02400N Zugriff aus dem Internet / Portweiterleitung / Fernwartung LAN WAN WWW Router Endgeräte lokales Netzwerkgerät Hilfestellung Im Folgenden wird hier Schritt für Schritt erklärt

Mehr

Machen Sie Ihr Zuhause fit für die

Machen Sie Ihr Zuhause fit für die Machen Sie Ihr Zuhause fit für die Energiezukunft Technisches Handbuch illwerke vkw SmartHome-Starterpaket Stand: April 2011, Alle Rechte vorbehalten. 1 Anbindung illwerke vkw HomeServer ins Heimnetzwerk

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN Abgesetzte Nebenstelle VPN Nachfolgend wird beschrieben, wie vier Standorte mit COMfortel 2500 VoIP Systemtelefonen an eine COMpact 5020 VoIP Telefonanlage als abgesetzte Nebenstelle angeschlossen werden.

Mehr

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse 1. Netzwerkinfrastuktur 2. Warum DynDNS? 3. Erstellen eines DynDNS Hosteintrages 4. Beispeil-Konfiguration eines

Mehr

Tutorial - www.root13.de

Tutorial - www.root13.de Tutorial - www.root13.de Netzwerk unter Linux einrichten (SuSE 7.0 oder höher) Inhaltsverzeichnis: - Netzwerk einrichten - Apache einrichten - einfaches FTP einrichten - GRUB einrichten Seite 1 Netzwerk

Mehr

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster. ADSL INSTALLATION WINDOWS 2000 Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren

Mehr

Netzwerkeinstellungen unter Mac OS X

Netzwerkeinstellungen unter Mac OS X Netzwerkeinstellungen unter Mac OS X Dieses Dokument bezieht sich auf das D-Link Dokument Apple Kompatibilität und Problemlösungen und erklärt, wie Sie schnell und einfach ein Netzwerkprofil unter Mac

Mehr

DynDNS Router Betrieb

DynDNS Router Betrieb 1. Einleitung Die in dieser Information beschriebene Methode ermöglicht es, mit beliebige Objekte zentral über das Internet zu überwachen. Es ist dabei auf Seite des zu überwachenden Objektes kein PC und/oder

Mehr

Netzwerk einrichten unter Windows

Netzwerk einrichten unter Windows Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet 1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet Diese Anleitung zeigt wie mit einem Draytek Vigor 2600x Router eine Convision V600 über DSL oder ISDN über Internet zugreifbar wird.

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Firewalls für Lexware Info Service konfigurieren

Firewalls für Lexware Info Service konfigurieren Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM

Mehr

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014 Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPsec Verbindung mit dynamischen IP-Adressen auf beiden Seiten beschrieben.

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...

Mehr

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Windows Server 2008 für die RADIUS-Authentisierung einrichten Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung

Mehr

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen

Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Analyse und Darstellung der Protokollabläufe in IPv6-basierten Rechnernetzen Diplomarbeit Harald Schwier Vortragsthema: Integration von IPv6 in IPv4-basierte Netze Harald Schwier 26.05.2005 Themen der

Mehr

Step by Step VPN unter Windows Server 2003. von Christian Bartl

Step by Step VPN unter Windows Server 2003. von Christian Bartl Step by Step VPN unter Windows Server 2003 von VPN unter Windows Server 2003 Einrichten des Servers 1. Um die VPN-Funktion des Windows 2003 Servers zu nutzen muss der Routing- und RAS-Serverdienst installiert

Mehr

Technische Grundlagen von Internetzugängen

Technische Grundlagen von Internetzugängen Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung

Mehr

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung Variante 1 Swisscom-Router direkt ans Netzwerk angeschlossen fixe IP-Adressen (kein DHCP) 1. Aufrufen des «Netz- und Freigabecenters». 2. Doppelklick auf «LAN-Verbindung» 3. Klick auf «Eigenschaften» 4.

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008

Migration IPv4 auf IPv6. Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 Migration IPv4 auf IPv6 Untersuchung verschiedener Methoden für die Migration von IPv4 auf Ipv6 Tobias Brunner, 9.7.2008 1 Agenda Kurzer Überblick über das Protokoll IPv6 Vorstellung Migrationsmethoden

Mehr

ICS-Addin. Benutzerhandbuch. Version: 1.0

ICS-Addin. Benutzerhandbuch. Version: 1.0 ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...

Mehr

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster

Stellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster Es gibt in Excel unter anderem die so genannten Suchfunktionen / Matrixfunktionen Damit können Sie Werte innerhalb eines bestimmten Bereichs suchen. Als Beispiel möchte ich die Funktion Sverweis zeigen.

Mehr

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster: Schritt 1: Verbinden Sie Ihr wireless-fähiges Gerät (Notebook, Smartphone, ipad u. ä.) mit dem Wireless-Netzwerk WiFree_1. Die meisten Geräte zeigen Wireless-Netzwerke, die in Reichweite sind, automatisch

Mehr

Virtual Private Network

Virtual Private Network Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine

Mehr

Network Address Translation (NAT) Prof. B. Plattner

Network Address Translation (NAT) Prof. B. Plattner Network Address Translation (NAT) Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Netzwerke 3 Praktikum

Netzwerke 3 Praktikum Netzwerke 3 Praktikum Aufgaben: Routing unter Linux Dozent: E-Mail: Prof. Dr. Ch. Reich rch@fh-furtwangen.de Semester: CN 4 Fach: Netzwerke 3 Datum: 24. September 2003 Einführung Routing wird als Prozess

Mehr

http://www.hoststar.ch

http://www.hoststar.ch Kapitel 16 Seite 1 Die eigene Homepage Im Internet finden Sie viele Anbieter, die Ihnen rasch und zuverlässig einen Webhost für die eigene Homepage einrichten. Je nach Speicherplatz und Technologie (E-Mail,

Mehr

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx How-to: VPN mit PPTP und dem Windows VPN-Client Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit PPTP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen

Mehr

Routing und DHCP-Relayagent

Routing und DHCP-Relayagent 16.12.2013 Routing und DHCP-Relayagent Daniel Pasch FiSi_FQ_32_33_34 Inhalt 1 Aufgabenstellung... 3 2 Umsetzung... 3 3 Computer und Netzwerkkonfiguration... 3 3.1 DHCP-Server berlin... 4 3.2 Router-Berlin...

Mehr

Einführung in die Netzwerktechnik

Einführung in die Netzwerktechnik Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?

Mehr

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE Seite 1 von 7 ISA Server 2004 Microsoft Windows 2003 Terminal Server Veröffentlichung - Von Marc Grote -------------------------------------------------------------------------------- Die Informationen

Mehr

Version 2.0.1 Deutsch 03.06.2014. In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Version 2.0.1 Deutsch 03.06.2014. In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen. Version 2.0.1 Deutsch 03.06.2014 In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen. Inhaltsverzeichnis... 1 1. Hinweise... 2 2. Konfiguration... 3 2.1. Generische

Mehr

Sichere E-Mail für Rechtsanwälte & Notare

Sichere E-Mail für Rechtsanwälte & Notare Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung VERSION 8.0 FEBRUAR 2013 Logics Software GmbH Schwanthalerstr. 9 80336 München Tel.: +49 (89) 55 24 04-0 Fax +49 (89) 55

Mehr

Local Control Network Technische Dokumentation

Local Control Network Technische Dokumentation Steuerung von Hifi-Anlagen mit der LCN-GVS Häufig wird der Wunsch geäußert, eine Hi-Fi-Anlage in die Steuerung der LCN-GVS einzubinden. Auch das ist realisierbar. Für die hier gezeigte Lösung müssen wenige

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH Benutzerhandbuch Benutzerhandbuch Workshops Copyright Version 1.0, 2015 1 Benutzerhandbuch Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. gibt keinerlei Gewährleistung

Mehr

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o

Mehr

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man

Mehr

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung 1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und

Mehr

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

ADSL-Verbindungen über PPtP (Mac OS X 10.1) ADSL-Verbindungen über PPtP (Mac OS X 10.1) Wenn Sie einen ADSL-Anschluß haben und so eine Verbindung ins Internet herstellen wollen, dann gibt es dafür zwei Protokolle: PPP over Ethernet (PPoE) und das

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen

Mehr

Applikationsbeispiel für VPN Verbindung mit dem ZR150G und Net-Net Router

Applikationsbeispiel für VPN Verbindung mit dem ZR150G und Net-Net Router Applikationsbeispiel für VPN Verbindung mit dem ZR150G und Net-Net Router Seite 1 von 16 Inhaltsverzeichnis Einleitung...3 Aufbau...4 Einstellungen Vigor Router...5 Einstellung ADSL-Modem Netopia...6 PC

Mehr

Network Address Translation (NAT) Warum eine Übersetzung von Adressen?

Network Address Translation (NAT) Warum eine Übersetzung von Adressen? Network Address Translation () Prof. B. Plattner Warum eine Übersetzung von Adressen? Adressknappheit im Internet Lösungen langfristig: IPv6 mit 128-bit Adressen einsetzen kurzfristig (und implementiert):

Mehr

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems Hier die notwendigen Einstellungen in der Administratorkonsole des Exchange 2000 Zuerst müssen

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP

Mehr

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) T-Sinus 154 DSL/DSL Basic (SE)/Komfort Portweiterleitung (Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) Wenn Sie auf Ihrem PC

Mehr

Client-Server mit Socket und API von Berkeley

Client-Server mit Socket und API von Berkeley Client-Server mit Socket und API von Berkeley L A TEX Projektbereich Deutsche Sprache Klasse 3F Schuljahr 2015/2016 Copyleft 3F Inhaltsverzeichnis 1 NETZWERKPROTOKOLLE 3 1.1 TCP/IP..................................................

Mehr

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo virtuelle Maschinen mit VMware und Virtual PC Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo virtuelle DMZ mit IPCop und Webserver unter

Mehr