I nformationsleitfaden Sicherer LAN-Zugang

Größe: px
Ab Seite anzeigen:

Download "I nformationsleitfaden Sicherer LAN-Zugang"

Transkript

1 B G N W I nformationsleitfaden Sicherer LAN-Zugang BGNW Positionspapier 01/2007 B G N W

2 Informationsleitfaden Positionspapier Sicherer LAN-Zugang 01/2007 Die Arbeitsgruppen der BGNW diskutieren aktuelle Themen und fassen die Diskussionser - gebnisse in Positionspapiere zusammen. Die Papiere werden unregelmäßig publiziert und der Öffentlichkeit zugänglich gemacht. Die Zie le sind: Anwenderunterstützung Herstellerneutrale Bewertung Stellungnahme zu Technologietrends Die Themen der bisherigen Positionspapiere: IEEE 802.1X Leitfaden Netzdokumentation Virtual Private Network (VPN) Voi ce over IP (VoIP) Virtual LAN (VLAN) Gigabit Ethernet Migrationskonzept zu High Speed LAN Diese Positionspapiere sind jedermann als PDF Dokument zugänglich (siehe Die BGNW be dankt sich bei den Au to ren für Ihre aus ge zeich ne te Ar beit und wünscht al len Lesern eine informative und hilfreiche Broschüre. Klaus Be cker Vorsitzender der BGNW Über die BGNW Die Be nut zer grup pe Netz wer ke (BGNW) be steht seit 1990 und hat mehr als 100 Mit glie der im deutschsprachigen Raum. Sie ist eine Interessenvertretung von Netzwerkanwendern und ist ein herstellerneutrales und unabhängiges Forum zum Thema Netzwerke. Sie bietet eine Kommunikationsplattform zur Fortbildung und den Erfahrungsaustausch ihrer Mitglieder. Sie publiziert Stellungnahmen zu aktuellen Themen (Positionspapiere), die Anwender von Netz - werken bei ihrer Praxisarbeit unterstützen. Experten erarbeiten Empfehlungen für die Planung, Installation und den Betrieb von Netzwerken. Zusätzliche Informationen finden Sie unter Be nut zer grup pe Netz wer ke (BGNW) Frö belstr. 1, Me ring /Fax +49-(0) alle Rech te vor be hal ten ( pp01/2007)

3 Informationsleitfaden Sicherer LAN-Zugang Version 1.0, 05. Februar 2007 BGNW Arbeitskreis Security Seite 1

4 Das vorliegende Dokument wurde erarbeitet von: Klaus Becker, Becker Training & Consulting Dr. Simon Hoff, ComConsult Beratung und Planung Ralf Kaptur, Hirschmann Automation and Control Matthias Müller, Universität Karlsruhe Hubert Theißen, Nexans Norbert Vogel, Klinikum Nürnberg Oliver Walter, Innovation Networks BGNW Arbeitskreis Security Seite 2

5 Inhalt 1. Vorbemerkungen Schwachstellen- und Bedrohungsanalyse Spezielle Bedrohungen durch Mechanismen in LAN-Protokollen Angriff auf Netzressourcen Mangelhafte Erkennung von Schwachstellen Techniken zur Kontrolle des LAN-Zugangs Rangieren und Aktivieren auf Anforderung DHCP-basierte Zugangskontrolle Access Control Lists auf MAC Layer IEEE 802.1X Techniken zur Verkehrskontrolle innerhalb des LAN Firewall-Techniken VPN-Techniken Terminal-Server Hotspot-Techniken Auswahl von Maßnahmen Zusammenfassung Abkürzungen Literatur BGNW Arbeitskreis Security Seite 3

6 1. Vorbemerkungen Unabhängig welchen Statistiken man traut, die Anzahl der Sicherheitsvorfälle, die durch einen internen Angriff verursacht werden, bleibt erstaunlich hoch. Umso überraschender ist es, dass der LAN-Zugang oft nicht weiter abgesichert ist. Wir (der Arbeitskreis Security der Benutzergruppe Netzwerke) haben dies zum Anlass genommen, die Gefährdungslage genauer zu betrachten (Kapitel 2) und einen Katalog möglicher Sicherheitsmaßnahmen aufzustellen. Basis ist hierzu die Betrachtung in Kapitel 3 von Techniken zur Kontrolle des unmittelbaren LAN-Zugangs an einem Port eines Switches oder eines WLAN-Access-Points. Hier wird beispielsweise auch die Anwendung von IEEE 802.1X untersucht. Anschließend werden im Kapitel 4 die Einsatzmöglichkeiten von Firewall- und VPN-Techniken bewertet. Eine Hilfestellung zur Auswahl von Maßnahmen abgestimmt auf konkrete Bedrohungen liefert Kapitel Schwachstellen- und Bedrohungsanalyse Basis ist die Betrachtung der technischen Möglichkeiten über einen LAN-Zugang Informationen über das Netz selbst, über am Netz angeschlossene Geräte und über den Inhalt der Kommunikation zu erhalten (Kapitel 2.1). Aus dem Blickwinkel des Angreifers ist dies oft die Grundlage zu weitreichenden Angriffen auf Server und andere Clients, meist verbunden mit dem Ziel der Übernahme des Geräts bzw. des Einspielens schadenstiftender Software (Kapitel 2.2). 2.1 Spezielle Bedrohungen durch Mechanismen in LAN-Protokollen Dieses Kapitel soll insbesondere mögliche Bedrohungen auf Schicht 2 des OSI- Referenzmodells aufzeigen. Das Angriffspotential für Layer-2-Attacken ist enorm hoch, da die verwendeten Protokolle auf dieser Ebene nahezu alle ohne Sicherheitsmechanismen ausgestattet sind. Es ist daher notwendig durch Zusatzfunktionen die betroffen Schwachstellen zu eliminieren. Bei Attacken auf Layer 2 Protokolle sind automatisch alle Protokolle höherer Schichten miteinbezogen. Sicherheitslösungen auf höheren Schichten sind daher immer abhängig von den verwendeten Maßnahmen auf Layer 2. Die Sicherheit kann nur so stark sein wie ihr schwächstes Glied. BGNW Arbeitskreis Security Seite 4

7 2.1.1 MAC-Attacken MAC Flooding L2-Switches lernen die Quell-MAC-Adressen von Sendern an den entsprechenden Ports der angeschlossenen Geräte. Die Adressen werden in die L2 Forwarding Tabelle eingetragen. Ankommende Frames werden anhand dieser Tabelle weitergeleitet. Gibt es keinen Eintrag für die Ziel-MAC-Adresse des ankommenden Frames wird dieses an alle Ports geflutet. Mit einer MAC-Flooding-Attacke bringt der Angreifer die L2 Forwarding Tabelle zum Überlauf. Dies wird erreicht indem an den Switch innerhalb einer kurzen Zeit Frames mit permanent wechselnder Quell-MAC-Adresse gesendet werden. Die hohe Anzahl an neu zu lernenden MAC-Adressen bringt die L2 Forwarding Tabelle zum Überlauf. In diesem Zustand ist es dem Switch nicht mehr möglich Adressen von regulären LAN- Verbindungen zu lernen. Der Switch verhält sich ab diesem Zeitpunkt wie ein Repeater. Benutzerkommunikation wird in Folge dessen an allen Ports des Switches ausgegeben. Es können nun an allen Ports Kommunikationsbeziehungen anderer Ports mitgelesen werden. Je nach Switch-Typ können auch die Ressourcen von L2-Forwarding-Tabellen von anderen VLANs betroffen sein. MAC-Flooding flutet nur die Frames des lokalen VLANs, der Angreifer kann daher nur Frames aus dem VLAN mitlesen dem er selbst angehört. Tools die diese Attacke ermöglichen: macof (Bestandteil von dsniff) verschiedene L2 Paketgeneratoren DHCP Attacken DHCP Starvation Ein Client fordert bei dieser Attacke beliebig viele IP-Adressen vom DHCP-Server des Netzbetreibers an. Nachdem alle IP-Adressen aufgebraucht sind steht der Dienst für reguläre Clients nicht mehr zur Verfügung. Die Attacke kann in 2 Arten erfolgen: Der Client benutzt für jeden DHCP-Request eine andere Quell-MAC-Adresse. Der Client verwendet für jeden DHCP-Request die gleiche Quell-MAC-Adresse, die Quelladressen im DHCP-Feld sind jedoch verschieden Tools, die diese Attacke ermöglichen: Gobbler BGNW Arbeitskreis Security Seite 5

8 Rogue DHCP Server Bei einem Rogue-DHCP-Server-Angriff 1 gibt der Angreifer selbst vor, DHCP Server zu sein. Wenn es ihm gelingt, DHCP Requests von regulären Benutzern vor den DHCP Servern des Netzbetreibers zu beantworten, kann er durch Vergabe von falschen Informationen (Default Gateway, Name Server) die Kommunikation über sich selbst umleiten. Ist der Datenstrom zum Angreifer umgeleitet, lassen sich Man-in-the-Middle-Attacken ausführen, um beispielsweise an Passwort-Informationen zu gelangen. Tools, die diese Attacke ermöglichen: beliebige DHCP-Server Software ARP Attacken ARP Poisoning Vor der Kommunikation mit einem IP-Partner muss die MAC-Adresse des Ziels mit Hilfe des ARP-Protokolls ermittelt werden. Der ARP RFC sieht dabei auch unaufgeforderte ARP Replies (Gratuitous ARPs) vor. Der Angreifer kann mit einem solchen ARP-Reply die ARP-Tabellen aller Teilnehmer verändern. Er kann die Adressen so manipulieren, dass die Kommunikation zwischen einem Client und einem Server über die Adresse des Angreifers läuft. Sind die ARP-Tabellen so verändert, ist der Angreifer in einer Man-in-the-Middle-Position, die unmittelbar weitere Attacken gestattet. Tools, die diese Attacke ermöglichen: dsniff ettercap Spoofing Attacken MAC Spoofing Der Angreifer stellt eine MAC-Adresse ein, die bereits von einem anderen Benutzer im Netz verwendet wird. Switches im Netz lernen die gleiche Quell-MAC-Adresse innerhalb kürzester Zeit an verschiedenen physikalischen Ports. Dies führt zu Unterbrechungen der Kommunikation. Weiterhin erhält der Angreifer Informationen, die für andere Benutzer bestimmt sind. 1 Rogue bedeutet übersetzt Schurke. Im Zusammenhang mit Angriffstechniken in Netzen wird ein Gerät als Rogue bezeichnet (z.b. Rogue Server oder Rogue Access Point), um anzuzeigen dass es sich um ein Fremdgerät handelt, dass unautorisiert ggf. mit bösartiger Absicht an ein Netz angeschlossen wird. BGNW Arbeitskreis Security Seite 6

9 Tools, die diese Attacke ermöglichen: NICs, die eine Änderung der Quell-MAC-Adresse erlauben IP Spoofing Der Angreifer stellt eine IP-Adresse ein, die bereits von einem anderen Benutzer im Netz verwendet wird oder er verwendet Angriffstools, die automatisch eine falsche IP-Adresse verwenden. Doppelte IP-Adressen im Netz sorgen für Funktionsstörungen im Netz durch falsche ARP-Auflösung. Ein Beispiel für IP-Spoofing ist die Verwendung der Default Gateway IP Adresse durch den Angreifer. Viele Tools verwenden falsche Quell-IP-Adressen um den Sender der Attacke zu verschleiern. IP-Spoofing kann mit MAC-Spoofing kombiniert werden. Mit dieser Kombination sieht das Netz zwei identische Komponenten. Tools, die diese Attacke ermöglichen: Änderung der IP-Adresse im Betriebssystem Ping of Death SYN Flood DNS Spoofing DNS Spoofing bezeichnet eine Angriffsmethode, bei welcher der Angreifer auf die DNS- Anfrage des Clients nach der IP-Adresse eines Servers ein gefälschtes DNS-Paket mit seiner eigenen IP-Adresse liefert. Falls er dies schneller tut, als der eigentliche DNS Server, wird der Client dieser Fehlinformation folgen und die Sitzung zur IP-Adresse des Angreifers aufbauen Spanning Tree Attacken Root Bridge Spoofing Der Angreifer gibt über das Versenden von BPDUs am Access-Port vor, die Root Brücke des L2-Netzes zu sein. Dies wird erreicht durch eine entsprechend niedrig eingestellte BID (Bridge-ID, Priorität + MAC-Adresse). Die Attacke sorgt für eine Neuberechnung des Spanning Tree und damit zu Netzstörungen. Gelingt es dem Angreifer die Attacke an zwei verschiedenen Access-Ports durchzuführen, besteht die Gefahr wichtige Verbindungen im Netz zu blockieren. Der Datenverkehr wird dann komplett über die Root-Brücke umgeleitet. BGNW Arbeitskreis Security Seite 7

10 2.1.6 VLAN Attacken Switch Spoofing Viele Switches besitzen die Möglichkeit 802.1Q Tagging (VLAN-Transport über einzelne Links) an einem Port dynamisch auszuhandeln (z.b. Cisco Dynamic Trunking Protocol, DTP). Wird an diese Ports ein weiterer Switch angeschlossen, der ebenfalls über diese Funktion verfügt, kann ein 802.1Q-Link ohne Konfiguration ausgehandelt werden. Wird an einem Access-Port diese Funktion nicht explizit deaktiviert, kann ein Angreifer die Funktion der dynamischen Verhandlung simulieren. Ist dieser Austausch erfolgreich, kann der Angreifer Frames von allen VLANs empfangen, die sich auf dem 802.1Q Link befinden. Dies bedeutet dass er Zugriff auf andere VLANs besitzt obwohl der Port an dem er angeschlossen ist nur an ein VLAN gekoppelt ist Double Tagging (VLAN Hopping) Bei einer VLAN Hopping Attacke versucht der Angreifer ein Ziel in einem VLAN außerhalb seines eigenen VLAN zu attackieren. Die Attacke erfolgt ohne jegliche Einbindung von L3- Instanzen. Der Angriff kann nur gelingen, wenn das VLAN, in dem sich der Angreifer befindet, gleich dem Native VLAN eines 802.1Q Links ist 2. Der Angreifer sendet nun ein Frame mit doppeltem 802.1Q-Tag. Das erste Tag wird am Access-Port entfernt und das Paket über das Native VLAN zum nächsten Switch übertragen. Dort wird das innere zweite 802.1Q Tag ausgewertet und das Frame in ein anderes VLAN übergeben Private VLAN Attacke Ein Private VLAN ist ein Cisco-spezifischer Mechanismus um die Kommunikationsbeziehung eines IP-Subnetzes, welches auf ein VLAN abgebildet ist, einzuschränken. Ein Private VLAN Szenario wäre zum Beispiel ein VLAN in dem alle Komponenten nur mit dem Default Gateway und umgekehrt kommunizieren dürfen. Eine Kommunikation zwischen den Komponenten untereinander ist jedoch nicht gestattet. Die Private VLAN Attacke umgeht diese Festlegung indem sie Frames an die Ziel-MAC- Adresse des Default Gateways addressiert, diese Frames jedoch die Ziel-IP-Adresse einer anderen Komponente im Private VLAN enthalten. Der Router nimmt in diesem Fall das Frame entgegen und sendet es ordnungsgemäß über das gleiche Interface wieder zurück. Der Schutzmechanismus des Private VLAN ist damit umgangen. 2.2 Angriff auf Netzressourcen Die im vorangegangenen Kapitel beschriebenen Attacken dienen oft nur als Vorbereitung für den eigentlichen Angriff auf Netzressourcen, der typischerweise in den folgenden Punkten besteht: 2 Das Native VLAN ist das VLAN, welches Frames ohne 802.1Q-Tag überträgt. BGNW Arbeitskreis Security Seite 8

11 Abhören der Leitungen Hacken und Manipulieren von aktiven Komponenten Manipulation und Dateneinsicht bei zugänglichen Client-Server-Systemen Computerviren und Mobile Code, d.h. böswillige Attacken mit Hilfe schadenstiftender Software, die zum Netz- oder Serverausfall führen kann Im Folgenden werden die häufigsten Bedrohungen der allgemeinen Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität aufgezeigt Vertraulichkeit Die Vertraulichkeit der Kommunikation innerhalb eines LAN/WAN-Verbunds wird vor allem durch Mithören und den Zugriff auf (Netz-)Ressourcen unter fremder Identifikation gefährdet. Hier sind die im Kapitel 2.1 genannten Schwachstellen zu berücksichtigen, die einem Angreifer beispielsweise eine Man-in-the-Middle-Position gestatten, über die der Verkehr anderer Clients geleitet wird. Port Scanning und Angriffe auf Server und Clients Neben den bisher in Kapitel 2.1 genannten Angriffen, die es gestatten auf Layer 2 fremden Verkehr aufzuzeichnen bzw. Layer-3-Mechanismen nutzen, gibt es natürlich die Möglichkeit Angriffsflächen auf Transport Layer und darüber hinaus zu nutzen. Diese Angriffsflächen werden durch Port Scans ermittelt. Das Ergebnis ist dann zumindest eine Liste von offenen Ports oft in Verbindung mit einer Beschreibung der mit dem Port verbundenen Schwäche bzw. Angriffstechnik und der zugehörigen Tools. Ziel ist meist die Kompromittierung eines Geräts (Client oder Server) mit der Absicht das Gerät zu übernehmen bzw. schadenstiftende Software auf dem Gerät zu installieren. Schadenstiftende Software Oft ist es nicht ein bewusster Angriff, der zu einem Sicherheitsvorfall führt. Nicht selten wird ein infiziertes Gerät (typischerweise ein Notebook) an das Netz angeschlossen und die schadenstiftende Software tritt in Aktion. Bei diesem infizierten Gerät kann es sich um ein Fremdgerät handeln, das an das LAN angeschlossen wurde. Oft sind aber auch eigene Geräte beteiligt, deren Viren-Pattern nicht mehr aktuell ist und die sich daraufhin unbemerkt eine Infektion zuziehen konnten. Die Konsequenzen der Aktion der schadenstiftenden Software sind mannigfaltig und können durchaus die Vertraulichkeit, die Integrität und die Verfügbarkeit betreffen. In letzter Zeit hat die Verfügbarkeit allerdings am meisten gelitten, was jedoch eher daran liegt, dass die jeweiligen Schadensfunktionen (noch) nicht das technisch Machbare ausgeschöpft haben. BGNW Arbeitskreis Security Seite 9

12 Verfügbarkeit Hier ist primär der Verlust der Verfügbarkeit durch Denial of Service (DoS) zu betrachten. DoS wird oft hervorgerufen durch die Ausnutzung von Softwarefehlern in Netzkomponenten und Servern oder durch die exzessive Nutzung (Überlastung) einer Ressource. Im ersten Fall werden beispielsweise Fehler bei der Implementierung des IP-Stack oder von Zusatzkomponenten für eine einfachere Administration der Netzkomponenten ausgenutzt, um die Komponenten zum Absturz zu bringen. Bei der Überlastung von Ressourcen kann dies sowohl durch Irrtum bzw. Nachlässigkeit (Konfigurationsfehler, z.b. NetBIOS Broadcasts) oder durch eine böswillige Attacke mit Hilfe schadenstiftender Software erfolgen. Würmer Einen besonderen Stellenwert nehmen dabei die sog. Distributed Denial of Service (DDoS) Angriffe ein, da auf diese Art und Weise viele der existierenden Sicherheitsmechanismen umgangen werden können. Im Rahmen eines DDoS werden durch einen oder mehrere Angreifer die Bandbreiten unbeteiligter Dritter (sogenannte sekundäre Opfer) genutzt, um das eigentliche Ziel (primäres Opfer) zu attackieren. Beispiele sind hier der SQL-Wurm Slammer oder der Microsoft-Web-Server-Wurm Code Red. Trojaner Ein Trojanisches Pferd, oft auch (eigentlich fälschlicherweise) kurz Trojaner genannt, ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung [GSHB]. Ein Angriff hat ggf. zunächst das Ziel einen solchen Trojaner auf dem angegriffenen System zu installieren. Der Trojaner kann dann beispielsweise zur Übernahme des angegriffenen Systems dienen und einen verborgenen Kommunikationskanal zum Angreifer etablieren. Die Grenzen zwischen Trojanern und Würmern bzw. Tojanern und Spyware sind fließend. Fehlerhafte Konfigurationen DoS kann auch durch (unbeabsichtigte) Fehlkonfigurationen von Geräten entstehen. Im Folgenden werden hierzu einige Beispiele genannt, die insoweit relevant sind, als dass sie in der Praxis tatsächlich auftreten. Werden von einem Client-Rechner Netz- und Server-Dienste erbracht, kann dies zu massiven Problemen führen. Bei einem sogenannten Man-in-the-Middle-Angriff werden diese Probleme bewusst provoziert. Typische unbeabsichtigte Fehlkonfigurationen sind: Fehlerhafte IP-Konfigurationen, bei denen z.b. ein Client mit der IP-Adresse des Default Gateways konfiguriert ist, führen dazu, dass innerhalb der betroffenen Broadcast-Domäne die Kommunikation auf Layer 3 für die Stationen, die den Client als vermeintliches Default Gateway ansprechen, nicht mehr funktioniert. Auf einem Client wird mit Virtual Machines gearbeitet, die den simultanen Betrieb mehrerer Instanzen (unterschiedlicher) Betriebsysteme gestatten. Je nach Konfigurationen können dabei auch Netz- und Server-Dienste laufen, z.b. DHCP. Im Falle von DHCP be- BGNW Arbeitskreis Security Seite 10

13 antwortet der virtuelle DHCP Server natürlich DHCP-Anfragen, mit der Konsequenz, dass die betroffenen Stationen auf Layer 3 nicht mehr mit ihrer Infrastruktur kommunizieren können. Ein weiterer Problembereich sind fehlerhafte Konfigurationen von Geräten, die mehr als einen Netzanschluss aktiviert haben (z. B. einen Ethernet- und ein WLAN-Adapter) und dabei einen Kurzschluss im LAN verursachen und als Konsequenz den gesamte Verkehr über den Client laufen lassen Integrität In dieses Gebiet fällt die Paketverfälschung und -verstümmelung. Beispiele sind die Modifikation oder das Abfangen von SNMP-Nachrichten oder s (Message Alternation / Message Denial) bis hin zur kompletten Umleitung eines Datenstroms durch die Vortäuschung einer falschen Empfängeradresse (Address Masquerading). 2.3 Mangelhafte Erkennung von Schwachstellen Eine mangelhafte Erkennung von Schwachstellen bzw. Seiteneffekte bei der Erkennung von Schwachstellen stellen eine spezielle Bedrohungssituation dar. Ein Angriff auf das LAN kann nicht bemerkt werden, wenn das Netzmanagement an dieser Stelle blind ist, da ein entsprechendes Monitoring nicht oder nur rudimentär realisiert ist. Dies stellt einen ganz speziellen Bedrohungstyp dar: Man weiß zwar, dass man verwundbar ist, ob ein Angreifer die Verwundbarkeit bereits ausnutzt, weiß man nicht. 3. Techniken zur Kontrolle des LAN-Zugangs In diesem Kapitel werden Maßnahmen vorgestellt, mit deren Hilfe der interne Zugang zum LAN und zu den angeschlossenen Ressourcen kontrolliert und den Zugangsrechten eines Nutzers entsprechend eingeschränkt werden kann. 3.1 Rangieren und Aktivieren auf Anforderung Die sicherste Methode um den Zugang ins Netz über nicht benutzte Datendosen zu verhindern, ist das Deaktivieren solcher Dosen. Das hat neben der gewonnenen Sicherheit noch einen positiven Kosteneffekt. Das Unternehmen kann nämlich die Kosten für die Bereitstellung aktiver Ports einsparen. In großen Unternehmen summiert sich dies sehr schnell zu stattlichen Beträgen. Der Aufwand bei Umsetzung dieser Methode liegt natürlich im Zwang zu einer stets aktuellen Dokumentation des Netzes und seiner sämtlichen aktiven und passiven Komponenten. Auch können Umzüge nicht mehr mal eben schnell bewerkstelligt werden. Es bedarf in der Regel eines eingefahrenen Workflows, um Umzüge oder Neuaufstellungen von Netzendgeräten zu realisieren. BGNW Arbeitskreis Security Seite 11

14 Voraussetzung für das Rangieren und Aktivieren auf Anforderung ist ein vorhandenes und funktionierendes Rangier- und Konfigurations-Management. Grundsätzlich kann jedoch auch eine abgestufte Variante der Dosenaktivierung auf Anforderung betrieben werden. In Bereichen, in denen öffentlich zugängliche Datendosen relativ häufig benötigt werden, ist es oftmals wirtschaftlicher, auf das dezentrale (im betroffenen Verteilerraum) physikalische Zurücknehmen der Rangierung zu verzichten und lediglich den zugehörigen Port der aktiven Komponente zu deaktivieren. Eine notwendige Aktivierung / Deaktivierung des Ports kann hier im Bedarfsfall zentral durch den Netzadministrator durchgeführt werden. Sofern umsetzbar ist trotz des Aufwands zu empfehlen, das Rangieren und Aktivieren der Datendosen auf Anforderung in Betracht zu ziehen, denn der eigentliche Gewinn liegt schon alleine in der lückenlosen Dokumentation. Beachtet muss dabei werden, dass nicht nur neu verwendete Dosen aktiviert, rangiert und dokumentiert werden müssen, sondern das ein ähnlicher Workflow insbesondere auch für das Zurücknehmen nicht mehr verwendeter Netzdosen gilt. Sollten sich in der Dokumentation die ersten Fehler eingeschlichen haben, ist die Akzeptanz der damit arbeitenden Mitarbeiter genauso in Mitleidenschaft gezogen, wie die Sicherheit des Gesamtnetzes wenn eine nicht mehr verwendete Datendose (im öffentlich zugänglichen Bereich) nicht deaktiviert worden ist. Der Workflow für das Aktivieren bzw. Deaktivieren von Datendosen könnte so aussehen, dass der Bedarf eines Netzzuganges vom betroffenen Mitarbeiter an eine zentrale Instanz (z.b. HelpDesk) gemeldet werden muss. Von dort aus wird erfragt, ob es sich um einen Umzug - und falls das der Fall ist, welche Dose deaktiviert werden kann - oder eine Neuaufstellung eines Gerätes handelt. Grundsätzlich kann das Rangieren und Aktivieren von Netzzugängen auf Anforderung ideal über ITIL (Change Management) abgebildet und dokumentiert werden. 3.2 DHCP-basierte Zugangskontrolle Die DHCP-basierte Zugangskontrolle bildet für einen Angreifer nur eine relativ geringe Hürde. Für die Administration des Gesamtnetzes können über das automatische Logging jedoch wertvolle Informationen gesammelt werden. Grundsätzlich basiert die DHCP-basierte Zugangskontrolle auf der MAC-Adresse des Gerätes, das Zugang zum Netz möchte. Sämtliche im Netz zugelassenen MAC-Adressen können in einer zentralen Tabelle dem DHCP-Server zur Verfügung gestellt werden. Kommt eine ihm unbekannte MAC-Adresse und fordert eine IP-Adresse an, so wird der Server diese verweigern. QIP von Lucent ist ein Beispiel für einen DHCP Server, der diesen Mechanismus unterstützt. Vorteil: Keine unbekannte MAC-Adresse erhält eine IP-Adresse zugewiesen und damit Zugang zum Netz. MAC-Adressen können auf bestimmte Subnetze begrenzt werden (Prüfung ob sich der richtige DHCP-Relay-Agent eingetragen hat). Versehentliches Betreiben von Fremdgeräten am Netz oder Betreiben von Geräten im falschen Subnetz wird verhindert. BGNW Arbeitskreis Security Seite 12

15 Nachteil: Über MAC-Adress-Spoofing ist es einfach, sich selber eine im Netz gültige MAC-Adresse zuzuweisen. Die Administration der MAC-Adressen am DHCP-Server ist sehr aufwändig. Gültige IP-Adressen, die fix im Endgerät eingetragen sind, haben unbeschränkten Zugang zum Netz. 3.3 Access Control Lists auf MAC Layer Eine Access Control List auf MAC Layer (kurz: MAC-ACL) enthält eine Liste aller im Netz zulässigen Quell-MAC-Adressen. Da theoretisch jede MAC-Adresse weltweit einmalig ist, kann somit jedes Endgerät eindeutig identifiziert und der Netzzugriff entsprechend gewährt bzw. geblockt werden. Entgegen der DHCP-basierten Zugangskontrolle, wird auch gültigen IP-Adressen, die fix im Endgerät eingetragen sind, jedoch eine unbekannte (nicht gültige) MAC-Adresse besitzen, der Zugang zum Netz verwehrt. Grundprinzip: Über die MAC-ACL ist eine Authentifizierung eines Geräts direkt am Netzzugang, sprich Access Point bzw. Access-Switch, möglich 3. Nach Senden des ersten Datenpaketes vom Client zum Port des Netzzugangs, schaut dieser in seiner lokalen Datenbank nach oder fragt einen zentralen Server (beispielsweise RADIUS-Server), ob die MAC-Adresse des Clients zugelassen ist und schaltet dann den Port frei. Ist die MAC-Adresse nicht bekannt, wird abhängig von der jeweiligen Implementierung des Herstellers, eingeschränkter oder kein Zugriff auf das Netz gewährt. Bei Access Points geschieht dies in der Regel durch Filterung der betreffenden MAC-Adresse. Ist der Client über ein Kabel an den Port eines Access Switches angeschlossen, wäre im Negativfall auch eine komplette Abschaltung des betreffenden Ports denkbar, sofern nur ein einzelner Client pro Access Port angeschlossen ist. Eine weitere Möglichkeit wäre das Verschieben des betreffenden Ports in ein sogenanntes Gast- oder Unsecure- VLAN, das nur bestimmte unkritische Dienste zur Verfügung stellt. Mit entsprechenden Logging-Mechanismen ist ein unberechtigter Zugriffsversuch nach dem Trial-and-Error-Verfahren (z.b. durch Fälschen der MAC-Adresse) zumindest auffällig. Für die Verwaltung der MAC-Adressen kommen verschiedene Methoden zum Einsatz: lokale Speicherung der MAC-Adressen im Access Point bzw. Access-Switch zentraler proprietärer ACL Server zentraler Standard Server (z.b. RADIUS) 3 Eine MAC-ACL kann grundsätzlich auch auf einer nachgelagerten Layer-2-Komponente realisiert werden. Ein Beispiel ist das unter Linux verfügbare Konzept der Ethernet Bridge Tables (ähnlich der IP-Tables) mit dem der Verkehr, ausgehend vom angeschlossenen Endgerät, kanalisiert werden kann; d.h. die möglichen Kommunikationspartner werden über diese Tables vorgegeben. BGNW Arbeitskreis Security Seite 13

16 Lokale Speicherung im Access Point/Switch: Die lokale Speicherung der MAC-Adressen im Access Point/Switch hat den Nachteil, dass nach jeder Ergänzung bzw. Änderung, die neuen Adressen auf dem betroffenen Gerät nachgeführt werden müssen. Abhängig von der Anzahl der installierten Systeme ist dies ein erheblicher Zeitfaktor und relativ fehleranfällig. Für kleine Installationen kann dies aber ein praktikabler Weg sein, da kein zusätzlicher Server betrieben werden muss. Zentrale Speicherung auf einem Server: Hier kommen sowohl proprietäre ACL Server als auch Standard Server, z.b. RADIUS (siehe Abbildung 1), zum Einsatz. Der Vorteil liegt ganz klar in der einfacheren Verwaltung der MAC-Adressen. Eine Änderung bzw. Ergänzung wird sofort für alle Access Points/Switches wirksam. Als wesentlicher Nachteil ist die Abhängigkeit des Gesamtnetzes von der Verfügbarkeit dieses zentralen Servers anzusehen. Es ist daher dringend zu empfehlen, zwei redundante Server im Netz zu installieren. Ferner ist beim Access Point/Switch darauf zu achten, dass dieser über eine entsprechende Fail-Over-Funktion verfügt, die bei Ausfall des primären Servers automatisch auf den redundanten Server wechselt. RADIUS vs. Proprietär: Ein RADIUS-Server hat den großen Vorteil, dass das zugrundeliegende RADIUS-Protokoll mittlerweile von fast allen Herstellern unterstützt wird und diverse Produkte am Markt verfügbar sind (z.t. auch kostenlos; z.b. FreeRadius). Zusätzlich zur Authentifizierung der MAC Adressen kann ein RADIUS-Server für fast alle Authentifizierungsaufgaben eingesetzt werden da RADIUS eine Vielzahl von Authentifizierungsmöglichkeiten unterstützt und durch herstellerspezifische Attribute beliebig erweiterbar ist. Abbildung 1: MAC-Authentifizierung mit RADIUS BGNW Arbeitskreis Security Seite 14

17 Produktsituation: Die Authentifizierung des Clients über die MAC-Adresse ist bei Access Points weit verbreitet und wird von allen namhaften Herstellern unterstützt. Bei Access Switches ist diese Funktion seltener implementiert, da hier eine elementare Notwendigkeit für die Authentifizierung (wie bei WLAN) nicht vorliegt 4. Erst in letzter Zeit werden MAC-ACL auch für Access Switches umgesetzt. Bewertung: Vorteile der MAC-ACL: Es ist keine Software auf dem Client notwendig. MAC-ACL funktionieren auch für dumme Endgeräte wie z.b. Drucker, Kopierer. Der Konfigurationsaufwand ist im Vergleich zu IEEE 802.1X relativ gering. Es besteht ein einfacher Schutz vor nicht-böswilligen Fremdlingen im Netz. Nachteile der MAC-ACL: Es ist eine laufende Pflege der MAC-Adressen erforderlich. Der Adapter wird authentifiziert, nicht das Gerät oder der Benutzer. Es besteht eine Anfälligkeit für MAC Spoofing. Damit der Administrator auf eventuelle Eindringlinge aufmerksam wird, sollte der Access Point/Switch bei Erkennen unzulässiger MAC-Adressen entsprechende Alarmmeldungen verschicken (z.b. SNMP Traps oder Syslog-Meldungen). 3.4 IEEE 802.1X Im Juni 2001 wurde von der IEEE der Standard 802.1X (Port based Network Access Control) verabschiedet. Grundlage bilden das Extensible Authentication Protocol (EAP) nach RFC 3748 und der Remote Authentication Dial-in User Service (RADIUS) gemäß RFC Wie bei der oben beschriebenen MAC-ACL, erfolgt auch hier die Authentifizierung direkt am Netzzugang, allerdings können wesentlich stärkere Authentifizierungsmethoden genutzt werden. Zusätzlich zum Gerät kann bei IEEE 802.1X auch der Nutzer authentifiziert werden. 4 Für WLAN werden mit IEEE i seit geraumer Zeit Sicherheitsmechanismen unterstützt, die eine adäquate Absicherung der Luftschnittstelle durch Authentifizierung, Verschlüsselung und Integritätsschutz gestatten. Daher ist der Einsatz von MAC-ACL in WLAN nicht mehr Stand der Technik. BGNW Arbeitskreis Security Seite 15

18 Grundprinzip: Das Modell von IEEE 802.1X zur Implementierung sieht dabei verschiedene Rollen der beteiligten Netzelemente vor: Der Supplicant ist eine Komponente im Client-System (z.b. PC oder Notebook), welche einen Netzzugang anfordert. Der Authenticator ist das Gerät, welches den Netzzugang versperrt oder frei gibt und eine Schnittstelle für die Authentifizierung anbietet. Normalerweise wird die Rolle des Authenticators von einem Access Point oder Access Switch übernommen. Der Authentication Server ist das Gerät, welches den eigentlichen Authentifizierungsdienst bereitstellt. Der Authenticator ist typischerweise ein RADIUS-Server. Die folgende Abbildung zeigt eine einfache Konfiguration mit den oben genannten Komponenten. Als Trägerprotokoll für EAP-Authentifizierungsnachrichten zwischen Supplicant und Authenticator kommt hierbei das im Standard IEEE 802.1X definierte EAP over LAN (EA- PoL) zum Einsatz. Zwischen Authenticator und Authentication-Server werden die EAP- Nachrichten in entsprechenden RADIUS Attributen transportiert. Abbildung 2: Komponenten bei einer Authentifizierung mit IEEE 802.1X Der grundsätzliche Ablauf der IEEE 802.1X Authentifizierung ist wie folgt: Der Authenticator fordert vom Supplicant seine Identität (EAP: Request Identity). Der Supplicant sendet seine Identität an den Authenticator (EAP: Response Identity). Die Identität leitet der Authenticator, zusammen mit weiteren Informationen, an den RADIUS-Server weiter. BGNW Arbeitskreis Security Seite 16

19 Eine Authentifizierung des Clients wird vom RADIUS-Server gefordert. Diese Anforderung (Challenge) sendet er an den Authenticator. Der Authenticator leitet die Anforderung an den Supplicant weiter. Der Supplicant sendet eine Antwort auf die Anforderung an den Authenticator. Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge. Die Authentifizierungsdaten leitet der Authenticator an den RADIUS-Server weiter. Der RADIUS-Server antwortet mit Access Accept oder Access Reject. Wird ein Access Accept empfangen, so schaltet der Authenticator den betreffenden Port frei und der Supplicant erhält Zugang zum Netz. Wird ein Access Reject empfangen, bleibt der betreffende Port entweder gesperrt oder nimmt eine Default-Einstellung an 5. EAP und 802.1X: Die IETF hat EAP (RFC 3748) ursprünglich für das PPP-Protokoll standardisiert. Um zu verhindern, dass viele verschiedene Authentifizierungsverfahren für PPP separat entwickelt werden und damit eine Unmenge von Protokollnummern verschwendet werden, entschied sich die IETF für die Entwicklung eines einheitlichen Authentifizierungsverfahrens zur Kapselung von beliebigen Authentifizierungsprotokollen. Im Standard IEEE 802.1X wurde EAP als Kernprotokoll für die Authentifizierung zwischen Supplicant und Authentication-Server festgeschrieben. Die zum Einsatz kommenden EAP- Methoden sind allerdings kein Bestandteil des 802.1X Standards. Die Aushandlung der konkret eingesetzten EAP-Methode erfolgt erst während der Authentifizierungsphase. Der Authenticator reicht dabei im Prinzip nur die EAP-Authentifizierungsnachrichten zwischen Supplicant und Authentication Server weiter. D.h., dass lediglich der Supplicant und der Authentication-Server die eingesetzten EAP-Methoden unterstützen müssen. Ein Software- Update des Authenticator aufgrund einer neuen EAP-Methode ist daher nicht erforderlich. EAP und Radius: Mit RFC 3579 wurde im Jahr 2003 die RADIUS-Spezifikation (RFC 2865) auf die Unterstützung von EAP erweitert und definiert, wie EAP-Pakete vom RADIUS-Client an den RADI- US-Server verpackt und versendet werden. RFC 3580 beschreibt zusätzlich den Umgang von RADIUS mit 802.1X. 5 Diese Default-Einstellung wird vom Standard IEEE 802.1X nicht weiter spezifiziert. In der Praxis werden Systeme oft so konfiguriert, dass der Client in der Default-Einstellung einem speziellen VLAN zugeordnet wird, über das er beispielsweise restriktiv nur bestimmte Dienste freigeschaltet bekommt. BGNW Arbeitskreis Security Seite 17

20 Hierfür wurden die beiden Attribute EAP-Message und Message-Authenticator eingeführt. Die EAP-Nachrichten vom Supplicant werden durch den Authenticator gekapselt im EAP- Message-Attribut per Access Request an den RADIUS-Server verschickt. Umgekehrt werden empfangene EAP-Message-Attribute vom Authenticator ausgepackt und an den Supplicant weitergeleitet. Je nach Umfang des EAP-Dialogs werden eine oder mehrere Access-Requestund Access-Challenge-Nachrichten transportiert bevor die Authentifizierung abgeschlossen ist. Der Authenticator wird üblicherweise die EAP-Pakete vom Supplicant unbesehen an den Server durchreichen. Er muss allerdings die EAP-Success und EAP-Failure Pakete erkennen und entsprechend reagieren. Produktsituation: IEEE 802.1X wird von nahezu jedem Hersteller von Switches und RADIUS-Servern unterstützt. Auf Client-Seite sind die meisten modernen Betriebssysteme von Windows XP bis zu Linux kompatibel. Inzwischen wird sogar eine Palette von Mehrwert-Diensten basierend auf IEEE 802.1X von den Herstellern von Sicherheitslösungen angeboten. In WLAN nach IEEE kommt man inzwischen an IEEE 802.1X nicht mehr vorbei. IEEE 802.1X wird in den relevanten Spezifikationen zur WLAN-Sicherheit (WPA, WPA2 bzw. IEEE i) für die Authentifizerung der WLAN-Clients und für das Schlüsselmanagement genutzt. Leider führt IEEE 802.1X im Bereich der kabelbasierten LAN ein Schattendasein und ist in der Praxis (zumindest für größere LAN) noch kaum zu finden. Dies ist umso erstaunlicher, als dass der grundsätzliche Gedanke hinter IEEE 802.1X genauso im kabelbasierten LAN gilt und derzeit keine Alternative existiert. Unterstützung von IEEE 802.1X durch Client-Systeme: Durch die oben beschriebenen Verfahren wird deutlich, dass EAPoL/802.1X nur funktionieren kann, wenn der Supplicant die entsprechenden Verfahren beherrscht. In der Regel ist der Supplicant ein PC, Laptop oder PDA. Daher ist es extrem wichtig, dass das entsprechende Betriebssystem den Standard IEEE 802.1X unterstützt. Die gängigen Betriebssysteme von Microsoft unterstützen EAP entweder direkt oder es gibt Treiber von Unternehmen wie Funk Software oder Meetinghouse Communications / Cisco (www.cisco.com - Meetinghouse wurde zwischenzeitlich von Cisco übernommen). Eine OpenSource Initiative gibt es beispielsweise unter Für PDA-Komponenten ist eine Unterstützung von IEEE 802.1X meist indirekt über eine WLAN- Absicherung gemäß WPA-Enterprise bzw. WPA2-Enterprise gegeben. Bewertung von IEEE 802.1X: Trotz diverser Probleme sollte überlegt werden, den ersten Schritt in Richtung 802.1X zu tun (siehe dazu auch [BGNW05]). Die langfristige Strategie zur Absicherung des lokalen Netzzugangs geht in Richtung IEEE 802.1X. Die Authentifizierung über MAC-Adressen bietet hier jedenfalls keine Alternative. Es sollte auch darüber nachgedacht werden, kurzfristig zumin- BGNW Arbeitskreis Security Seite 18

Arbeitskreis Security

Arbeitskreis Security Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1 Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Enterprise WLANs erfolgreich planen und betreiben

Enterprise WLANs erfolgreich planen und betreiben Enterprise WLANs erfolgreich planen und betreiben Auf dem Weg zum Controller-basierten WLAN-Design von Dr. Simon Hoff Technologie Report: Enterprise WLANs Seite 5-116 5.2 Aufbau eines virtuellen Distribution

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015 Version 2.0.1 Deutsch 14.01.2015 Dieses HOWTO beschreibt die Konfiguration und Anwendung der IEEE 802.1x Authentifizierung in Kombination mit der IAC-BOX. TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen 802.1x in der Praxis Mastervorlage zur Gestaltung von PowerPoint-Präsentationen DI (FH) Michael Perfler DI (FH) Bernhard Mitterer Kapsch BusinessCom AG Kapsch BusinessCom AG 1 Agenda Einleitung Protokolle

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Black Box erklärt: Sicherheit nach IEEE 802.1x? Black Box erklärt: Sicherheit nach IEEE 802.1x? Bei Wireless LAN Netzwerken kennt jeder die Gefahr einer unbefugten Benutzung der Daten im Netzwerk durch Fremde. Aus diesem Grund gibt es in diesem Bereich

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 802.1x Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 1. Einleitung Angriffe auf die IT Sicherheit lassen sich in zwei Kategorien unterteilen: Angriffe von außen, z.b. über das Internet

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2

Whitepaper. Friendly Net Detection. Stand November 2012 Version 1.2 Whitepaper Stand November 2012 Version 1.2 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

VoIP Grundlagen und Risiken

VoIP Grundlagen und Risiken VoIP Grundlagen und Risiken Hochschule Bremen Fakultät Elektrotechnik und Informatik 1 Zu meiner Person Informatik-Professor an der Hochschule Bremen Aktuelle Lehrgebiete: Rechnernetze Informationssicherheit

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist

Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Sicherer mobiler Zugriff in Ihr Unternehmen warum SSL VPN nicht das Allheilmittel ist Ein Vergleich verschiedener VPN-Technologien Seite 1 Überblick Überblick VPN Technologien SSL VPN Sicherheitsrisiken

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Auerswald GmbH & Co. KG 2013

Auerswald GmbH & Co. KG 2013 Angriffsflächen bei Voice over IP (VoIP) im Unternehmen Lauschen und Kapern Was ist schützenswert? Mögliche Angriffsszenarien, Motivation des Bösewichts"? Wie kann man sich schützen? 3 Im System gespeicherte

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

LANCOM Systems LANCOM Software Version 5.20 Dezember 2005

LANCOM Systems LANCOM Software Version 5.20 Dezember 2005 LANCOM Systems LANCOM Software Version 5.20 Dezember 2005 2005, LANCOM Systems GmbH www.lancom.de Highlights LCOS 5.20 LCOS 5.20 und LANtools 5.20 Unterstützte Modelle: LANCOM 800+ LANCOM DSL/I-10+ LANCOM

Mehr

ERHÖHTE SICHERHEIT IM WLAN DURCH WIRELESS SWITCHING

ERHÖHTE SICHERHEIT IM WLAN DURCH WIRELESS SWITCHING ERHÖHTE SICHERHEIT IM WLAN DURCH WIRELESS SWITCHING Wireless Local Area Networks (WLANs) haben in der Vergangenheit nicht nur durch ihre flexiblen Nutzungsmöglichkeiten von sich Reden gemacht, sondern

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Einsatz von Network Access Control als wesentlicher Bestandteil eines Konzeptes zur Netzsicherheit

Einsatz von Network Access Control als wesentlicher Bestandteil eines Konzeptes zur Netzsicherheit Fachbereich Elektrotechnik & Informatik Rechnernetze & Web-Technologien Einsatz von Network Access Control als wesentlicher Bestandteil eines Konzeptes zur Netzsicherheit Dave Lenth, Andreas Hanemann 8.

Mehr

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005 Universität Salzburg, WAP Präsentation, 2005 Gliederung 1 WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken Statistische Untersuchen 2 Gliederung WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken

Mehr

Fortgeschrittene Wireless Sicherheitsmechanismen

Fortgeschrittene Wireless Sicherheitsmechanismen Fortgeschrittene Wireless Sicherheitsmechanismen Was nach WEP kommt Von P. Infanger Inhaltsverzeichnis Wieso WEP so schlecht ist WPA WPA2 802.11i 802.1x Empfehlungen Wieso WEP so schlecht ist Verschlüsselung

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von

Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung. CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Chapter 9 TCP/IP-Protokoll Protokoll und IP-Adressierung CCNA 1 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Daniel Schieber Technical Consultant

Daniel Schieber Technical Consultant Aktueller Status Unternehmensprofil Daniel Schieber Technical Consultant COMCO Fakten: Gründung 1998 als Systemhaus Firmensitz in Dortmund, NRW 42 Mitarbeiter Umsatzerwartung 10 Mio. in 2006 Entwicklung

Mehr

Sicherer Netzzugang im Wlan

Sicherer Netzzugang im Wlan PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Wer drin ist ist drin! -- Netzwerksicherheit -- Martin.Ruoff@asapcom.de -- 24.10.2012

Wer drin ist ist drin! -- Netzwerksicherheit -- Martin.Ruoff@asapcom.de -- 24.10.2012 Wer drin ist ist drin! -- Netzwerksicherheit -- Martin.Ruoff@asapcom.de -- 24.10.2012 Agenda Wer ist ASAPCOM? www.asapcom.de Bedrohungspotential Wer geht bei Ihnen ein und aus? Motivation Positiv oder

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Network Access Control - Layer 2 IPS - Network Management - Endpoint. Schutz vor fremden Geräten und internen Angriffen

Network Access Control - Layer 2 IPS - Network Management - Endpoint. Schutz vor fremden Geräten und internen Angriffen Network Access Control - Layer 2 IPS - Network Management - Endpoint Schutz vor fremden Geräten und internen Angriffen Einleitung Herzlich willkommen! In der Vergangenheit wurde viel Energie in die Erkennung

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

Modul 6 LAN-Komponenten (Repeater, Bridge, Switch)

Modul 6 LAN-Komponenten (Repeater, Bridge, Switch) Lernziele: Nach der Lehrveranstaltung zu Modul 6 sollen Sie in der Lage sein, Modul 6 LAN-Komponenten (, Bridge, Switch) (a) die Grundfunktion eines s darzustellen, (b) die Anforderung, Notwendigkeit,

Mehr

eduroam piger@dfn.de

eduroam piger@dfn.de DFNRoaming/ eduroam St f Pi DFN V i Stefan Piger, DFN-Verein piger@dfn.de Motivation Einrichtungen im DFN-Umfeld betreiben in der Regel eigene WLAN-Infrastrukturen Nutzer dieser Einrichtungen erwarten

Mehr

7 Transportprotokolle

7 Transportprotokolle 7 Transportprotokolle 7.1 Transmission Control Protocol (TCP) 7.2 User Datagram Protocol (UDP) 7.3 Ports 7.1 TCP (1) IP-Pakete (Datagramme) von A nach B transportieren reicht nicht interaktive Verbindungen

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck W-LAN einrichten Access Point Konfiguration Diese Anleitung gilt für den Linksys WAP54G. Übersicht W-LAN einrichten... 1 Access Point Konfiguration... 1 Übersicht... 1 Vorbereitung... 1 Verbindung aufnehmen...

Mehr

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014 Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Sicherheit in drahtlosen Netzwerken

Sicherheit in drahtlosen Netzwerken Sicherheit in drahtlosen Netzwerken Erstellt durch: Benedikt Trefzer Datum: 2.3.2006 Webseite: http://www.a2x.ch Inhalt WLAN Bedrohungen Schutzmöglichkeiten und Wertung MAC/IP Authentifizierung Verstecken

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106 Radius Server Bericht im Studiengang Computerengineering an der HS-Furtwangen Student: Alphonse Nana Hoessi Martikelnr.:227106 Student: Daniel Lukac Martikelnr.: 227244 Student: Dominik Bacher Martikelnr.:

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger. 12.05.2009 by P. Infanger Seite 1. Well-known Facts zu IPv6

IPv6 Sicherheit. Bedrohungen in neuem Gewand. Peter Infanger. 12.05.2009 by P. Infanger Seite 1. Well-known Facts zu IPv6 IPv6 Sicherheit Bedrohungen in neuem Gewand Peter Infanger 12.05.2009 by P. Infanger Seite 1 Well-known Facts zu IPv6 Adressen bis zum Abwinken modularer Header erweiterbar neue Diensttypen (z.b. Anycast)

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Werkzeuge zur Netzwerkdiagnose

Werkzeuge zur Netzwerkdiagnose Werkzeuge zur Netzwerkdiagnose Markus Dahms BraLUG e.v. 16. Januar 2008 Überblick 1 Einführung 2 Netzzugangsschicht Ethernet 3 Vermittlungsschicht Internet Protocol 4 Namensauflösung 5 Firewall-Troubleshooting

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

LANCOM Advanced VPN Client:

LANCOM Advanced VPN Client: LANCOM Advanced VPN Client: Eine ganze Reihe von LANCOM-Modellen verfügt über VPN-Funktionalität und damit über die Möglichkeit, entfernten Rechnern einen Einwahlzugang (RAS) über eine gesicherte, verschlüsselte

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

Halle 2007-05-08 Oliver Göbel

Halle 2007-05-08 Oliver Göbel RUS CERT Sicherheit und Sprach-dienste (VoIP) 8. Tagung der DFN-Nutzergruppe Hochschulverwaltung Halle 2007-05-08 http://cert.uni-stuttgart.de/ Das RUS-CERT Folie: 2 Stabsstelle DV-Sicherheit der Universität

Mehr

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner

Verlässliche Verteilte Systeme 1. Prof. Dr. Felix Gärtner Verlässliche Verteilte Systeme 1 Angewandte IT-Robustheit und IT-Sicherheit Vorlesung im Wintersemester 2004/2005 Prof. Dr. Felix Gärtner Teil 14: Schwächen von und Angriffe auf die Internet-Protokolle

Mehr

Werner Anrath. Inhalt

Werner Anrath. Inhalt Vortrag 2G01 L2TP over IPSEC Remote Access VPN Werner Anrath Forschungszentrum Jülich Zentralinstitut für Angewandte Mathematik IT Symposium 2004 in Bonn 21.04.2004 Inhalt Definition VPN und Überblick

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Anschluss von Laptops im Lehrenetz der BA Stuttgart

Anschluss von Laptops im Lehrenetz der BA Stuttgart Anschluss von Laptops im Lehrenetz der BA Stuttgart Studenten können private oder vom Ausbildungsbetrieb gestellte Laptops unter folgenden Voraussetzungen an das Notebook Access Control System (NACS) der

Mehr

Ingentive Fall Studie. LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve. Februar 2009. ingentive.networks

Ingentive Fall Studie. LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve. Februar 2009. ingentive.networks Ingentive Fall Studie LAN Netzwerkdesign eines mittelständischen Unternehmens mit HP ProCurve Februar 2009 Kundenprofil - Mittelständisches Beratungsunternehmen - Schwerpunkt in der betriebswirtschaftlichen

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Grundlagen Firewall und NAT

Grundlagen Firewall und NAT Grundlagen Firewall und NAT Was sind die Aufgaben einer Firewall? Welche Anforderungen sind zu definieren? Grundlegende Funktionsweise Technische Varianten NA[P]T Portmapping Übungsaufgabe Quellen im WWW

Mehr

eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack

eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack eduroam und dessen sichere Nutzung Timo Bernard, Karsten Honsack Agenda eduroam Infrastruktur Sichere Nutzung Sicherheitstest (Android-)Probleme Fazit 2 2002 durch TERENA in Europa gestartet 3 Verfügbar

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client

bintec Secure IPSec Client - für professionellen Einsatz bintec IPSec Client bintec Secure IPSec Client - für professionellen Einsatz Unterstützt 32- und 64-Bit Betriebssysteme Windows 7, Vista, Windows XP Integrierte Personal Firewall Einfache Installation über Wizard und Assistent

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr