Vorlesung. Rechnernetze I Teil 13. Wintersemester 2005/2006
|
|
- Carl Langenberg
- vor 8 Jahren
- Abrufe
Transkript
1 Vorlesung Rechnernetze I Teil 13 Wintersemester 2005/2006 Christian Grimm Fachgebiet Distributed Virtual Reality (DVR) Lehrgebiet Rechnernetze C. Grimm 25. Januar 2006
2 TERMINE Klausur Rechnernetze I schriftlich (90 Minuten) am Montag, 20. Februar 2006 um 9:00 Uhr im Kesselhaus (Gebäude 1208) Klausur Rechnernetze II schriftlich (90 Minuten) am Dienstag, 21. Februar 2006 um 9:00 Uhr im Kesselhaus (Gebäude 1208) C. Grimm 25. Januar 2006 Folie 2
3 Rückblick Teil 12 Protokolle für zufälligen Mehrfachzugriff auf einen Übertragungskanal Pure ALOHA Slotted ALOHA CSMA CSMA/CD Ethernet (Ethernet II und IEEE 802.3) Eigenschaften Manchester Codierung Binary Exponential Backoff Rahmenlänge und geografische Ausdehnung Bewertung der Auslastung und Performance Broadcast Domain und Collision Domain Erweiterungen des klassischen Ethernet Switching Fast Ethernet (IEEE 802.3u) Gigabit Ethernet (IEEE 802.3ae) C. Grimm 25. Januar 2006 Folie 3
4 Übersicht Teil 13 Angriffe ARP-Spoofing Kombination von TCP-Scanning und IP-Spoofing DoS mit TCP three-way-handshake Firewalls Eigenschaften Typen von Firewalls Regeln in Firewalls Beispiel für Gesamtkonfiguration von Firewalls Security Flag im IP-Header C. Grimm 25. Januar 2006 Folie 4
5 Definition Angriff Angriffe verletzen explizite oder implizite Sicherheitsregeln Sicherheitsregeln werden im Allgemeinen als Policies bezeichnet Angriffe richten sich gegen Vertraulichkeit (Confidentiality) von Informationen Schutz sensitiver Informationen vor nicht autorisierten Zugriffen und Offenlegung Unversehrtheit (Integrity) von Informationen Sicherung der Authentizität von Informationen Verlässlichkeit (Dependability) von Informationen Nichtabstreitbarkeit / Unleugbarkeit von Informationen Verfügbarkeit (Availability) von Informationen und Ressourcen Angriffe können aus dem gesamten Internet kommen für Angriffe gibt es keine zeitliche Begrenzung Dauer von Angriffen Zeitpunkt des Auftretens C. Grimm 25. Januar 2006 Folie 5
6 Typische Arten von Angriffen Sniffing: Mitlauschen von Datenverkehr im Netzwerk Ermittlung von Username und Password aus unverschlüsselten Diensten (Telnet, FTP) Scanning: Suche nach offenen Ports Aufdecken und nachfolgendes Ausnutzen sicherheitsrelevanter Schwächen (Exploits) Spoofing: fälschen von Adressen IP-Spoofing: IP-Adressen fälschen Vortäuschen falscher, in der Regel vertrauenswürdiger IP-Adressen Verschleiern der eigenen IP-Adresse ARP-Spoofing: MAC-Adressen fälschen Umleitung von Rahmen in geswitchten Netzen Denial of Service: Hosts, Dienste oder Netze außer Betrieb setzen durch provozierte Überlast oder Zusammenbruch von Ressourcen zielt auf wirtschaftlichen Schaden des Betreibers typisch sind Kombinationen der vier genannten Angriffe C. Grimm 25. Januar 2006 Folie 6
7 Angriffe im TCP/IP-Schichtenmodell Application TCP / UDP IP Data Link Physical Viren Buffer overflow SYN Flooding illegale Kombination von TCP-Flags (Nastygram) Spoofing indirektes Scanning überlappende Fragmente ( Teardrop -Angriff) ARP Spoofing ARP Flooding von Switches C. Grimm 25. Januar 2006 Folie 7
8 Herkömmlicher Ablauf ARP A sendet in einem klassischen Ethernet Daten an B (Shared Media, vgl. Teil 11) IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP MAC CC-49-DE-D0-AB-7D B IP MAC 49-BD-D2-C7-56-2A 1. Knoten A sendet Ethernet-Frame mit ARP-Request (Type = ) MAC-Adresse des Absenders ist 1A-23-F9-CD-06-9B MAC-Adresse des Ziels ist Broadcast-Adresse, d. h. FF-FF-FF-FF-FF-FF Payload enthält IP-Adresse alle Knoten in Broadcast Domain erhalten ARP-Request Knoten B stellt fest, dass ARP-Request die IP-Adresse seines Netzwerk-Interface enthält 3. Knoten B sendet Ethernet-Frame mit ARP-Reply MAC-Adresse des Absenders ist 49-BD-D2-C7-56-2A MAC-Adresse des Ziels ist 1A-23-F9-CD-06-9B Payload enthält IP-Adresse Knoten A erhält ARP-Reply und kann vollständigen Ethernet-Frame erstellen C. Grimm 25. Januar 2006 Folie 8
9 Herkömmlicher Ablauf ARP A sendet in einem geswitchten Ethernet Daten an B IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP MAC CC-49-DE-D0-AB-7D Switch B IP MAC 49-BD-D2-C7-56-2A Ablauf wie in einem ungeswitchten Netz, s. o. d.h. es werden nur die MAC-Adressen der Stationen verwendet, nicht die des Switch Besonderheit in geswitchten Netzen Switch merkt sich, an welchen Ports welche MAC-Adressen angeschlossen sind Broadcast-Frames sind weiterhin im gesamten Netz sichtbar Switch leitet Broadcast-Frames an alle angeschlossenen Knoten weiter gerichtete Frames werden direkt an das Ziel vermittelt diese Frames sind für alle anderen Stationen nicht mehr sichtbar unbemerktes Mithören (Sniffing) ist nicht mehr einfach möglich Lösung für Angreifer: ARP-Spoofing C. Grimm 25. Januar 2006 Folie 9
10 ARP-Spoofing typischer Man-in-the-Middle Angriff Angreifer versucht, unbemerkt Daten mitzuhören und ggf. zu manipulieren Angreifer gibt sich gegenüber Sender als Empfänger aus Angreifer empfängt Daten vom Sender und leitet Sie an das eigentliche Ziel weiter Ansatz: Angreifer verbreitet gefälschte ARP-Replies im Netz ARP-Replies enthalten MAC-Adresse des Angreifers und IP-Adresse des Empfängers Station nehmen Informationen aus dieser ARP-Reply in ihre ARP-Tabelle auf Pakete an IP-Adresse des Empfängers werden somit tatsächlich an MAC-Adresse des Angreifers gesendet Angreifer liest Daten aus und leitet ursprünglichen Rahmen an korrekte MAC-Adresse Schutz gegen ARP-Spoofing ist (ohne Erweiterung des Protokolls) schwierig erfordert Prüfung der Integrität von ARP-Replies Opfer hat keine Möglichkeit, sich gegen gefälschte ARP-Nachrichten zu wehren geeignete Zustandsprüfung von ARP im Prinzip nur auf Switch möglich ARP-Replies sollten nur bei vorliegenden zugehörigen ARP-Requests weitergleitet werden Verdacht, wenn für eine IP-Adresse ARP-Replies mit verschiedenen MAC-Adressen vorliegen C. Grimm 25. Januar 2006 Folie 10
11 ARP-Spoofing Situation: Z will durch ARP-Spoofing Datenverkehr zwischen A und B mithören IP MAC C-E8-FF-55 A IP MAC 88-B2-2F-54-1A-0F IP Z MAC CC-49-DE-D0-AB-7D Switch B IP MAC 49-BD-D2-C7-56-2A 1. Knoten Z sendet Frame mit ARP-Reply an A MAC-Adressen: Absender ist CC-49-DE-D0-AB-7D, Empfänger ist C-E8-FF-55 Payload enthält die IP-Adresse richtig wäre Knoten Z sendet Frame mit ARP-Reply an B MAC-Adressen: Absender ist CC-49-DE-D0-AB-7D, Empfänger ist 49-BD-D2-C7-56-2A Payload enthält die IP-Adresse richtig wäre Knoten A sendet nun IP-Pakete an B in Rahmen an die MAC-Adresse von Z 4. Knoten B sendet nun IP-Pakete an A in Rahmen an die MAC-Adresse von Z wichtig: Z leitet Rahmen an A bzw. B weiter, d. h. A und B bemerken nichts! C. Grimm 25. Januar 2006 Folie 11
12 Aufbau von IP-Paketen (vgl. Teil 9) der IP-Header umfasst mindestens 20 Byte Version des IP-Protokolls (4 Bit) Länge des Headers (4 Bit) in 32-Bit Worten enthält typisch Wert 5 Type of Service (ToS) für QoS (8 Bit) Länge des gesamten IP-Pakets (16 Bit) Angabe in Byte inklusive des IP-Headers 16 Bit maximale Länge von Byte Identifier, Flags und Fragment Offset dienen der Fragmentierung von IP-Paketen Time to Live,TTL (8 Bit) Sender setzt TTL per Default auf 255 jeder Router verringert TTL um Wert 1 bei Erreichen von 0 wird Paket verworfen Upper Layer Protocol (8 Bit) gibt ID des Transportprotokolls an Checksum (16 Bit) Berechnung wie Internet-Checksum wg. TTL auf jedem Router neue Berechnung Options werden auf 32-Bit Werte aufgefüllt Ver. Hdr. Len. Time to Live Identifier Type of Service Upper Lay. Protocol 32 Bit Flags Source IP Address Destination IP Address Options Nutzdaten (maximale Länge?) Length Fragment Offset Checksum C. Grimm 25. Januar 2006 Folie 12
13 Kombination von TCP-Scanning und IP-Spoofing Ziel ist Scanning von TCP-Ports des Opfers unter Ausnutzung eines Stellvertreters Ablauf Voraussetzung: Stellvertreter hat während des Scannens keine weiteren Verbindungen 1. Angreifer sendet SYN-Segment an einen nicht benutzten Port des Stellvertreters 2. Stellvertreter antwortet mit RST-ACK-Segment, Angreifer erhält IP-ID Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 4321 IP-ID beliebig TCP SYN 1. Angreifer C. Grimm 25. Januar 2006 Folie 13 Src , 4321 Dst , 1234 IP-ID IP-ID TCP RST, ACK 2. Stellvertreter
14 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 3. Angreifer sendet SYN-Segment mit IP-Adresse des Stellvertreters an Opfer 4. Opfer antwortet mit SYN-ACK-Segment an den Stellvertreter 5. Stellvertreter setzt die Verbindung mit RST-ACK-Segment zurück, IP-ID ist um 1 erhöht Src , 1234 Dst , 80 IP-ID beliebig TCP SYN 3. Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 80 IP-ID IP-ID + 1 TCP RST, ACK 5. Src , 80 Dst , 1234 IP-ID beliebig TCP SYN, ACK 4. Angreifer Stellvertreter C. Grimm 25. Januar 2006 Folie 14
15 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 6. Angreifer sendet erneut SYN-Segment an Stellvertreter 7. Stellvertreter antwortet mit RST-ACK-Segment, IP-ID ist wiederum um 1 erhöht Angreifer erhält IP-ID + 2 auf Opfer ist TCP-Port 80 aktiv, d. h. Dienst läuft zu keinem Zeitpunkt hat Opfer die IP-Adresse des Angreifers gesehen Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1234 Dst , 4321 IP-ID beliebig TCP SYN 6. Angreifer C. Grimm 25. Januar 2006 Folie 15 Src , 4321 Dst , 1234 IP-ID IP-ID + 2 TCP RST, ACK 7. Stellvertreter
16 Kombination von TCP-Scanning und IP-Spoofing jetzt TCP-Scanning von Port 25 (SMTP, Mailserver) Ablauf auf Opfer ist der gescannte Port nicht aktiv 1. Angreifer sendet SYN-Segment an einen nicht benutzten Port des Stellvertreters 2. Stellvertreter antwortet mit RST-ACK-Segment, Angreifer erhält IP-ID Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1236 Dst , 4321 IP-ID beliebig TCP SYN 1. Angreifer C. Grimm 25. Januar 2006 Folie 16 Src , 4321 Dst , 1236 IP-ID IP-ID TCP RST, ACK 2. Stellvertreter
17 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 3. Angreifer sendet SYN-Segment mit IP-Adresse des Stellvertreters an Opfer 4. Opfer antwortet mit RST-ACK-Segment an den Stellvertreter 5. keine Reaktion des Stellvertreters, d. h. IP-ID wird nicht erhöht Src , 1234 Dst , 25 IP-ID beliebig TCP SYN 3. Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 25 Dst , 1234 IP-ID beliebig TCP RST, ACK Angreifer Stellvertreter C. Grimm 25. Januar 2006 Folie 17
18 Kombination von TCP-Scanning und IP-Spoofing Ablauf (Fortsetzung) 6. Angreifer sendet erneut SYN-Paket an Stellvertreter 7. Stellvertreter antwortet mit RST-ACK-Paket, IP-ID wird um 1 erhöht Angreifer erhält IP-ID + 1 auf Opfer ist TCP-Port 25 nicht aktiv, d. h. kein Dienst auch hier gilt: zu keinem Zeitpunkt hat Opfer die IP-Adresse des Angreifers gesehen Opfer Webserver (Port 80 ist belegt) kein Mailserver (Port 25 ist nicht belegt) Src , 1235 Dst , 4321 IP-ID beliebig TCP SYN 6. Angreifer C. Grimm 25. Januar 2006 Folie 18 Src , 4321 Dst , 1235 IP-ID IP-ID + 1 TCP RST, ACK 7. Stellvertreter
19 Denial of Service Angriffe (DoS) DoS-Angriffe richten sich typisch gegen Server erschöpfen die vorhandene Bandbreite der Server-Anbindung Beispiel smurf -Angriff (ICMP, vgl. Teil 9) ICMP echo request von gefälschtem Absender (Opfer) an Broadcast-Adresse eines Netzes alle erreichbare Hosts im Netz senden ICMP echo reply an Opfer erschöpfen die Ressourcen eines Systems z. B. wird maximale Anzahl Netzwerkverbindungen eines Betriebssystems erreicht Beispiel SYN-Flooding (Beispiel siehe unten) Angreifer sendet SYN-Segmente IP-Adresse des Absenders ist aus Private Internet (vgl. Teil 9) Opfer sendet SYN-ACK-Segmente Opfer bekommt keine Antwort, sendet Retransmits der SYN-ACK-Segmente Auswahl typischer Gegenmaßnahmen Egress Filtering: Router sortieren offensichtlich gespoofte ausgehende Pakete aus Dienste haben eine maximale Anzahl an möglichen Verbindungen Router leiten Datenpakete an Broadcast-Adressen nicht weiter C. Grimm 25. Januar 2006 Folie 19
20 DoS durch TCP three-way-handshake (vgl. Teil 5) Sender Empfänger CLOSED CLOSED connect () listen () LISTEN SYN_SENT SYN=1 ACK=0 seq=client_isn regulärer Verlauf auf Sender SYN=1 ACK=1 seq=server_isn, ack=client_isn+1 accept () SYN_RCVD regulärer Verlauf auf Empfänger SYN=0 ACK=1 seq=client_isn+1, ESTABLISHED ack=server_isn+1 t t ESTABLISHED C. Grimm 25. Januar 2006 Folie 20
21 DoS durch TCP three-way-handshake Sender Empfänger CLOSED CLOSED connect () SYN_SENT SYN=1 ACK=0 seq=client_isn RST=1 ACK=1 seq=0 ack=client_isn+1 kein entsprechender Dienst auf Empfänger aktiv Empfänger sendet RST CLOSED t t C. Grimm 25. Januar 2006 Folie 21
22 DoS durch TCP three-way-handshake Sender Empfänger CLOSED CLOSED listen () LISTEN TCP-Segment in IP-Paket mit gefälschter Absenderadresse (d. h. von anderem Sender) SYN=1 ACK=0 seq=client_isn SYN=1 ACK=1 seq=server_isn ack=client_isn+1 accept () SYN_RCVD Sender kann SYN-ACK nicht zuordnen, deshalb RST RST=1 ACK=1 seq=0 ack=server_isn+1 t t LISTEN C. Grimm 25. Januar 2006 Folie 22
23 DoS durch TCP three-way-handshake Empfänger CLOSED listen () LISTEN TCP-Segment in IP-Paket mit gefälschter Absenderadresse (d. h. von anderem Sender) SYN=1 ACK=0 seq=client_isn Sender ist jedoch gar nicht aktiv, Three-way-Handshake wird nicht abgeschlossen SYN=1 ACK=1 seq=server_isn ack=client_isn+1 SYN=1 ACK=1 seq=server_isn ack=client_isn+1 SYN=1 ACK=1 seq=server_isn ack=client_isn+1 accept () t SYN_RCVD d. h. Timeouts und Retransmissions auf Empfänger führt bei vielen SYN zu DoS! LISTEN C. Grimm 25. Januar 2006 Folie 23
24 Distributed Denial of Service Angriffe (DDoS) Eigenschaften richten sich gegen die verfügbare Bandbreite einer Serveranbindung erfordert größere Vorbereitung als DoS Vorgehen Angreifer installiert Agenten auf kompromittierten Rechnern häufig über P2P oder IRC Angreifer sendet initiale Datenpakete an Agenten Agenten greifen Opfer an mehrstufige Hierarchie durch Einsatz von Handlern (alt)bekannte DDoS-Tools Trinoo, TFN, Stacheldraht, Shaft Angreifer Handler Agenten mögliche Gegenmaßnahme Zombie Zapper von BindView ( versucht Agenten zu stoppen gelingt allerdings nur, wenn auf Agenten noch Default-Password für Stop gesetzt ist Opfer Anmerkung: alternative Form von DDoS Virus MyDoom verbreitete sich als Mail-Attachment (Opfer z. B. C. Grimm 25. Januar 2006 Folie 24
25 Distributed Denial of Service Angriffe (DDoS) Verteiltheit und Größe von DDoS-Angriffen im Zentrum (= Ziel des Angriffs) wurden die IP-Adressen der Agenten gesammelt dargestellt sind die traceroutes vom Zentrum zu den gesammelten IP-Adressen United States China Germany United Kingdom France Brazil Japan Philippines Russian Federation Malaysia Hong Kong Quelle: The Prolexic Zombie Report ( C. Grimm 25. Januar 2006 Folie 25
26 Firewalls Aufgabe einer Firewall Rechner im internen Netz vor Angriffen aus äußerem Netz schützen das äußere Netz ist in der Regel das Internet oder allgemein: Datenverkehr zwischen zwei Netzen reglementieren innere Topologie von Netzen verschleiern Internet internes Netz Firewall äußeres Netz C. Grimm 25. Januar 2006 Folie 26
27 Gründe für den Einsatz von Firewalls zentrale Verwaltung der Sicherheitsrichtlinien Regeln definieren die verfügbare Dienste d. h. welcher Dienst für wen erreichbar ist unerwünschter Verkehr wird blockiert verwundbare interne Rechner werden nach außen abgeschirmt Protokollierung des Verkehrs Umleitung eingehenden Verkehrs an bestimmte interne Systeme Zugang ins äußere Netz nur nach Authentifizierung des Nutzers freigeben Schutz vor DoS, DDoS, z. B. SYN-Flooding IP-Spoofing interner Adressen Einbruch in Systeme im inneren Netz Buffer Overflows auf Rechnern im inneren Netz durch Angriffe aus dem Internet unbemerkte Nutzung eigener Ressourcen durch fremde Nutzer Integration eines zentralen Virenfilters für z. B. oder WWW wegen notwendiger Performance ist jedoch Auslagerung auf dediziertes System sinnvoll ersetzt nicht herkömmliche Virenfilter, sondern bietet nur einen zusätzlichen Schutz C. Grimm 25. Januar 2006 Folie 27
28 Was eine Firewall kann eine Firewall trennt verschiedene Netze voneinander unterschiedlicher Anspruch an Sicherheit in den verschiedenen Netzen Einschränkung der möglichen Dienste über die Firewall z. B. nur WWW- und FTP- Verkehr vom inneren Netz ins Internet und nur WWW-Verkehr aus dem Internet auf einen bestimmten WWW-Server Überwachung der erlaubten Dienste Einschränkung der Rechner, die das Internet nutzen dürfen Protokollierung der Verkehrsströme eingeschränkte Steuerung der Verkehrsströme möglich Drosselung der Datenrate (Traffic Shaping) Umsetzung von IP-Adressen (Network Address Translation) zeitabhängige Zugänge C. Grimm 25. Januar 2006 Folie 28
29 Was eine Firewall nicht kann keinen Schutz vor Angriffen von innen keinen Schutz vor Einschleusung von Viren und Würmern durch mitgebrachte Notebooks durch Herunterladen aus dem Internet an einem Virenfilter vorbei keinen Schutz vor Zugang über ungeschützte oder schlecht geschütze Zugänge z. B. Zugang über Telefonnetz (Modem, ISDN) oder WLAN Access Points keinen Schutz vor Angriffen über getunnelten oder verschlüsselten Zugänge eine Firewall kann verschlüsselte Daten nicht prüfen kein Zugriff auf Daten über VPN- bzw. ssh-tunnel oder mit PGP verschlüsselte s keinen Schutz vor Angriffen durch aktive Inhalte (Flash, ActiveX, Java) Firewall kann Übertragung aktiver Inhalte nur generell erlauben oder blockieren keine inhaltliche Überprüfung möglich aktive Inhalte können unerwünschte / schädliche Aktionen durchführen C. Grimm 25. Januar 2006 Folie 29
30 Absicherung von Firewalls Firewalls sind exponiert gegenüber dem Internet d. h. Firewalls sind häufig direkte Angriffspunkte eine kompromittierte Firewall ist häufig der worst case Firewall als Bastion Host betreiben, d. h. als besonders gesichertes System keine Compiler installiert keine unnötigen Dienste installiert kein X-Windows keine Benutzerkonten spezielle root Umgebung nutzen schränkt die Rechte der aktiven Programme zusätzlich ein Firewall im Stealth Mode betreiben, d. h. unsichtbar aus Sicht von IP keines der Interface hat eine IP Adresse dadurch nicht direkt über IP ansprechbar Realisierung auf Data Link Layer und Proxy-ARP im Prinzip ähnlich zu ARP-Spoofing, vgl. Folie 10 C. Grimm 25. Januar 2006 Folie 30
31 Typen von Firewalls Firewalls werden unterschieden in Personal Firewall Paketfilter statische Paketfilter dynamische Paketfilter Circuit-Level Gateway derzeit nur akademisch interessant, wird nicht weiter erläutert Application-Level Gateway Anmerkung kommerzielle Produkte sind meist eine Kombination aus den verschiedenen Typen aktuelle Firewalls enthalten Funktionen für Intrusion Detection und Intrusion Prevention deep packet inspection: Firewalls versuchen, Angriffe zu erkennen Erkennung anhand Signaturen von Viren und Trojanern oder einfach SYN-Flooding, DDoS, bei erkannten Angriffen werden eigene Regeln aktiv geändert C. Grimm 25. Januar 2006 Folie 31
32 Personal Firewall Personal Firewalls werden auf Endgeräten (Hosts) installiert die meisten Personal Firewalls existieren für Windows Systeme prinzipiell ein Paketfilter Sperrung gewisser Ports, IP-Adressen, ICMP Typen, usw. Einschränkung der Internetnutzung für einzelne Programme möglich Unterbindung von Ping- / Traceroute-Antworten möglich begrenztes Logging möglich Gefahren von Personal Firewalls Malware (Würmer, Trojaner, Spam Mailer, etc.) wird u. U. nicht erkannt zusätzlicher Virenscanner unbedingt nötig, schützt nur vor Würmern Firewall kann von Programmen ausgeschaltet werden User fühlt sich sicher und wird unvorsichtiger C. Grimm 25. Januar 2006 Folie 32
33 Statische Paketfilter arbeiten auf Network und Transport Layer Integration in Routern möglich typisch für kleinere Netze geringer Datenrate (Anbindung an Provider < Fast Ethernet) Firewall/Router vergleicht empfangene Pakete mit konfigurierten Screening-Regeln Selektionskriterien beziehen sich auf fast alle Felder im IP- und TCP-/UDP-Header Regeln legen fest ob Paket weitergeleitet, verworfen oder eine Nachricht an den Absender gesendet wird zweiteilige Screening-Regeln bestimmen Behandlung für jedes Paket 1. anhand Selektionskriterien wird true oder false berechnet Selektionskriterien sind z. B. IP-Adressen, Portnummern, Protokoll-IDs oder SYN-/ACK-Flag bei erstem true wird angegebene Aktion durchgeführt 2. Aktion gibt generelle Vorgehensweise nach Ergebnis true vor mit Gebotsregel darf Paket passieren (Allow) mit Verbotsregeln wird Paket verworfen (Deny) oder ICMP-Fehler an Quelle gesendet (Reject) Achtung: Screening-Regeln werden bis zu erstem true sequentiell abgearbeitet nach erstem true werden weitere Regeln werden nicht mehr beachtet! typische Fehlerquelle bei umfangreichen Listen von Regeln, s. Beispiel C. Grimm 25. Januar 2006 Folie 33
34 Beispiel Screening-Regeln Beispiel für Firewall zwischen dem Subnetz /24 und dem Internet 1. interner oder gespoofter Verkehr wird generell nicht durchgelassen (d. h. verworfen) 2. eingehendes Telnet (Port 23) wird ohne Rückmeldung an Sender verworfen 3. eingehendes HTTP wird erlaubt (von Port 80, typisch Responses von WWW-Servern) 4. ausgehendes HTTP wird erlaubt (an Port 80, typisch Requests an WWW-Server) 5. SSH (Port 22) von an ist erlaubt 6. SSH (Port 22) von an ist erlaubt 7. ausgehendes HTTP von Host ist verboten greift aber wg. Regel 4 nicht! 8. alle übrigen Pakete werden mit einer Rückmeldung an Sender abgelehnt Nr Typ Quell-Adresse Ziel-Adresse Quell-Port Ziel-Port Aktion 1 * / /24 * * Deny 2 TCP * /24 * 23 Deny 3 TCP * /24 80 * Allow 4 TCP /24 * * 80 Allow 5 TCP / /32 22 * Allow 6 TCP / /32 * 22 Allow 7 TCP /32 * * 80 Deny 8 * * * * * Reject C. Grimm 25. Januar 2006 Folie 34
35 Dynamische Paketfilter arbeiten auf Network, Transport und (rudimentär) Application Layer Eigenschaften speichern Kontext-Informationen zu einzelnen Datenflüssen für jeden neuen Datenfluss (Flow) wird ein Eintrag in einer Tabelle generiert Zeile enthält u. a. das Tupel { { IP, Port } Sender, { IP, Port } Empfänger, Transportprotokoll } weitere Pakete werden genau dann durchgelassen, wenn ein Tupel passt dabei werden Statusinformationen der jeweiligen Protokolle beachtet Datensegmente in TCP werden z. B. genau dann durchgelassen, wenn vorher SYN- und SYN-ACK-Segmente zwischen den entsprechenden Hosts ausgetauscht wurden zulässiges Vertauschen der beiden Tupel { IP, Port } ergibt Unabhängigkeit von Richtung Entfernung des Eintrages nach Abbau der Verbindung bzw. Ablauf eines Idle-Timers besonders geeignet für TCP Problem bei UDP kein Verbindungsauf- oder Abbau keine Informationen über Status der Datenflusses im Protokoll enthalten somit kann Beginn und Ende eines Datenflusses über UDP nicht eindeutig bestimmt werden ggf. werden weitere Informationen in Protokoll auf Application Layer ausgewertet C. Grimm 25. Januar 2006 Folie 35
36 Stärken und Schwächen von Paketfiltern Stärken kostengünstig auf fast allen Routern implementiert Regeln sind leicht erweiterbar Schwächen bei großen Netzen werden Regeln schnell umfangreich und schwer überschaubar umfangreiche Regeln beeinträchtigen Durchsatz komplexe Protokolle sind auch mit dynamischen Paketfiltern nicht handhabbar z. B. H.323 keine umfassende semantische Kontrolle über Inhalte der Pakete kein Schutz vor Missbrauch von well known Ports Inhalte auf Application Layer werden nicht geprüft C. Grimm 25. Januar 2006 Folie 36
37 Application-Level Gateway (ALG) arbeiten auf Network, Transport und Application Layer Eigenschaften Entkopplung der Netze Verbindungen zwischen Quelle und Ziel werden von ALG unterbrochen Quelle muss explizit Verbindung zum ALG aufbauen, ALG baut Verbindung zum Ziel auf Nutzdaten sind online analysierbar und manipulierbar der komplette Verkehr einer Anwendung kann überwacht und protokolliert werden suche nach Schlüsselwörtern in Nutzdaten möglich z. B. Entfernung von allen Java-Applets aus Webseiten oder Virenfilterung von Einschränkungen von Dienstmerkmalen konfigurierbar z. B. Unterbindung von PUT in FTP: kein Upload möglich Authentisierung des Nutzers möglich Dienste können benutzerabhängig erlaubt werden Nachteile für jeden Dienst ist ein spezielles Proxy-Programm auf dem ALG notwendig Nutzung des ALG erfordert Anpassung der Applikationen hoher Rechenaufwand, d. h. schlecht skalierbar C. Grimm 25. Januar 2006 Folie 37
38 Beispiel für Gesamtkonfiguration von Firewalls standalone Firewall nach außen sichtbare Server werden in so genannter Demilitarized Zone (DMZ) platziert Zugriffe von außen in inneres Netz sind generell nicht gestattet Zugriffe von außen in DMZ nur auf bestimmte Dienste und Hosts gestattet Zugriffe von DMZ in inneres Netz sind generell nicht gestattet Zugriffe von DMZ nach außen sind generell nicht gestattet Zugriffe von innerem Netz in DMZ nur auf bestimmte Dienste und Hosts gestattet Zugriffe von innerem Netz nach außen sind generell gestattet Internet inneres Netz DMZ Firewall äußeres Netz C. Grimm 25. Januar 2006 Folie 38
39 Beispiel für Gesamtkonfiguration von Firewalls Firewall und Paketfilter zusätzlicher Schutz der Firewall vor innerem und äußerem Netz durch Paketfilter einfache Regeln auf Paketfiltern Entlastung der Firewall mehrfacher Schutz des inneren Netzes diese Konfiguration ist state-of-the-art! verschiedene Dienste (z.b. Webserver und SAP) ggf. in getrennte DMZ legen! Internet inneres Netz Paketfilter DMZ Firewall Paketfilter äußeres Netz C. Grimm 25. Januar 2006 Folie 39
40 Security Flag im IP-Header Spezifikation S. Bellovin. The Security Flag in the IPv4 Header. RFC 3514, IETF, April 2003 noch kein Internet Standard Ansatz markiere Bit im IP-Header, um gutartige von bösartigen IP-Paketen zu unterscheiden dieses Bit wird auch als Evil Bit bezeichnet verwendet wird das höchstwertige Bit im IP Fragment Offset genauer: 1. April 2003 Setzen des Evil Bit durch (Auswahl) Applikationen, mit denen Angriffe ausgeübt werden können (setzen API voraus!) TCP/IP-Stacks auf unsicheren Betriebssystemen Router bei fragmentierten IP-Paketen Verarbeitung des Evil Bit (vereinfachte Darstellung) Beachtung nur auf Endsystemen, Firewalls und IDS nicht auf Routern! auf 0: keine Aktion, bereits in den meisten Betriebssystemen implementiert auf 1: verwerfen bzw.... hosts MUST react approppriately according to their nature. C. Grimm 25. Januar 2006 Folie 40
41 Übersicht Teil 13 Angriffe ARP-Spoofing Kombination von TCP-Scanning und IP-Spoofing DoS mit TCP three-way-handshake Firewalls Eigenschaften Typen von Firewalls Regeln in Firewalls Beispiel für Gesamtkonfiguration von Firewalls Security Flag im IP-Header C. Grimm 25. Januar 2006 Folie 41
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden
MehrSeminar: Konzepte von Betriebssytem- Komponenten
Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist
MehrInternetzugang Modul 129 Netzwerk Grundlagen
Netzwerk Grundlagen Technische Berufsschule Zürich IT Seite 1 TCP-IP-Stack Aus M117 bekannt! ISO-OSI-Referenzmodell International Standard Organization Open Systems Interconnection 4 FTP, POP, HTTP, SMTP,
MehrCCNA Exploration Network Fundamentals. ARP Address Resolution Protocol
CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke
MehrICMP Internet Control Message Protocol. Michael Ziegler
ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrFachbereich Medienproduktion
Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo
MehrEinführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer
Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o
MehrAnbindung des eibport an das Internet
Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt
MehrUni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)
Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen
MehrGrundkurs Routing im Internet mit Übungen
Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.
1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent
MehrSicherheit in Netzen- Tiny-Fragment
Bonn-Rhein Rhein-Sieg Thema: Bearbeiter: - Tiny-Fragment Fragment-Attacke Distributed Denial of Service (DDoS( DDoS) Veranstaltung Dozent Inhalt Tiny-Fragment-Attacke Funktionsweise Protokolltechnische
MehrTCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen
TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrTechnische Grundlagen von Internetzugängen
Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung
MehrRechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.
Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,
MehrKontrollfragen: Internet
Kontrollfragen: Internet 1. Zählen Sie mindestens 5 Internet-Dienste auf. 2. Was ist eine virtuelle Verbindung? Vergleichen Sie eine virtuelle TCP/IP-Verbindung mit der Leitungsvermittlung (analoge Telefonverbindung).
Mehr4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen
Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was
MehrStefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung
1. Remote ISDN Einwahl 1.1 Einleitung Im Folgenden wird die Konfiguration einer Dialup ISDN Verbindungen beschrieben. Sie wählen sich über ISDN von einem Windows Rechner aus in das Firmennetzwerk ein und
MehrAufgabe 12.1b: Mobilfunknetzwerke
Aufgabe 12.1b: Mobilfunknetzwerke b) Welche Konsequenzen ergeben sich aus der Wahl einer bestimmten Zellgröße? für eine bestimmte Technologie ist die Anzahl der verfügbaren Kanäle pro Funkzelle begrenzt
MehrSecurity. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung
4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrFirewall Implementierung unter Mac OS X
Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-
MehrGrundlagen der Rechnernetze. Internetworking
Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012
Mehr8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung
8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung Im Folgenden wird die Konfiguration von BRRP gezeigt. Beide Router sind jeweils über Ihr Ethernet 1 Interface am LAN angeschlossen. Das Ethernet
MehrSicherheitsdienste für große Firmen => Teil 2: Firewalls
Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste
MehrHow-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx
und Spam Filter Securepoint Security System Inhaltsverzeichnis 1 Konfigurierung eines Mailrelays... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 5 2 Einrichten von SMTP
Mehr9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),
9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet
MehrKonfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite - 1 - Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.
Konfigurationsanleitung Network Address Translation (NAT) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.1 Seite - 1 - 1. Konfiguration von Network Address Translation 1.1
MehrLexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver
Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrAnleitung Grundsetup C3 Mail & SMS Gateway V02-0314
Anleitung Grundsetup C3 Mail & SMS Gateway V02-0314 Kontakt & Support Brielgasse 27. A-6900 Bregenz. TEL +43 (5574) 61040-0. MAIL info@c3online.at loxone.c3online.at Liebe Kundin, lieber Kunde Sie haben
MehrPort-Weiterleitung einrichten
Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen
MehrScharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?
Port Forwarding via PuTTY und SSH Was ist Port forwarding? Eine Portweiterleitung (englisch Port Forwarding) ist die Weiterleitung einer Verbindung, die über ein Rechnernetz auf einen bestimmten Port eingeht,
MehrMSXFORUM - Exchange Server 2003 > Konfiguration Sender ID (Absendererkennu...
Page 1 of 7 Konfiguration Sender ID (Absendererkennung) Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 07.03.2006 Mit der Einführung von Exchange 2003 Service Pack 2 wurden mehrere neue
MehrIntrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1
Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent
MehrEinführung in die. Netzwerktecknik
Netzwerktecknik 2 Inhalt ARP-Prozeß Bridging Routing Switching L3 Switching VLAN Firewall 3 Datenaustausch zwischen 2 Rechnern 0003BF447A01 Rechner A 01B765A933EE Rechner B Daten Daten 0003BF447A01 Quelle
MehrThema: VLAN. Virtual Local Area Network
Thema: VLAN Virtual Local Area Network Überblick Wie kam man auf VLAN? Wozu VLAN? Ansätze zu VLAN Wie funktioniert VLAN Wie setzt man VLAN ein Wie kam man auf VLAN? Ursprünglich: flaches Netz ein Switch
MehrKontrollfragen Firewalltypen
Kontrollfragen Firewalltypen Paketlter Die vier Grundaktionen des Paketlters Ein Paketfilter repräsentiert das Urgestein der Firewallthematik. Er arbeitet mit so genannten Regelketten, welche sequentiell
MehrModul 13: DHCP (Dynamic Host Configuration Protocol)
Modul 13: DHCP (Dynamic Host Configuration Protocol) klausurrelevant = rote Schrift M. Leischner Netze, BCS, 2. Semester Folie 1 Aufgabenstellung DHCP DHCP ist eine netznahe Anwendung (umfasst also OSI-Schicht
MehrReale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools
IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe
MehrAngriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden
1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten
MehrEinleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006
Sniffing, Analyzing, 21. März 2006 Sniffing, Analyzing, Sniffing, Analyzing, Transmission Control Protocol (RFC 793) Zwei Endpunkte, bezeichnet mit Server und Client Server und Client aus je einem geordneten
Mehr1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet
1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet Diese Anleitung zeigt wie mit einem Draytek Vigor 2600x Router eine Convision V600 über DSL oder ISDN über Internet zugreifbar wird.
MehrDOSNET SMURF ATTACK EVIL TWIN
DOSNET SMURF ATTACK EVIL TWIN Michael Armstorfer Roland Eisenhuber Mathias Fink ITS2005 / FH-Salzburg / 2007-01-14 DOSNET Gefahrenkategorie Störung Attackenkategorie Art: aktiv Ausgangspunkt: von außen
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrCCNA Exploration Network Fundamentals. Chapter 6 Subnetze
CCNA Exploration Network Fundamentals Chapter 6 Subnetze Chapter 6: Zu erwerbende Kenntnisse Wissen über: Rechnen / Umrechnen im binären Zahlensystem Strukturteile einer IP-Adresse Spezielle IPv4-Adressen
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrFirewalling. Michael Mayer IAV0608 Seite 1 von 6
Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk
MehrStefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung
1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr
MehrIdee des Paket-Filters
Idee des Paket-Filters Informationen (Pakete) nur zum Empfänger übertragen und nicht überallhin Filtern größere Effizienz Netzwerk größer ausbaubar Filtern ist die Voraussetzung für Effizienz und Ausbaubarkeit
MehrIAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014
IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis
MehrHowTo: Einrichtung & Management von APs mittels des DWC-1000
HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,
MehrDer Landesbeauftragte für den Datenschutz Rheinland-Pfalz
Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet
MehrVorlesung SS 2001: Sicherheit in offenen Netzen
Vorlesung SS 2001: Sicherheit in offenen Netzen 2.1 Internet Protocol - IP Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel,
MehrRoot-Server für anspruchsvolle Lösungen
Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig
MehrRemote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de
Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19
MehrThe Cable Guy März 2004
The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=
MehrAnleitung zur Nutzung des SharePort Utility
Anleitung zur Nutzung des SharePort Utility Um die am USB Port des Routers angeschlossenen Geräte wie Drucker, Speicherstick oder Festplatte am Rechner zu nutzen, muss das SharePort Utility auf jedem Rechner
MehrBitte beachten Sie. Nur für Kabelmodem! - 1 -
Erste Seite! Bitte beachten Sie Nur für Kabelmodem! - 1 - Inhaltsverzeichnis Inhaltsverzeichnis... 2 Internetprotokoll-Konfiguration (TCP/IPv4)... 3 Internet Explorer konfigurieren... 5 Windows Mail konfigurieren...
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrBitte beachten Sie. Nur für Kabelmodem! - 1 -
Erste Seite! Bitte beachten Sie Nur für Kabelmodem! - 1 - Inhaltsverzeichnis Inhaltsverzeichnis... 2 Internetprotokoll-Konfiguration (TCP/IPv4)... 3 Internet Explorer konfigurieren... 6 Windows Live Mail
Mehra.i.o. control AIO GATEWAY Einrichtung
a.i.o. control AIO GATEWAY Einrichtung Die folgende Anleitung beschreibt die Vorgehensweise bei der Einrichtung des mediola a.i.o. gateways Voraussetzung: Für die Einrichtung des a.i.o. gateway von mediola
MehrEinführung. zum Thema. Firewalls
Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrÜbung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz
Übung 6 Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz Fakultät für Informatik 03.06.2015 / FEIERTAG 1/1 IPv6 Routing Routing Table 172.16.0.254/24
MehrVoraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)
Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting) Firma: Seite 1 von 6 1 Ansprechpartner 1.1 Ansprechpartner EDV: Name: Name: Tel: Tel: E-Mail: E-Mail: 1.2 Ansprechpartner fachlich
MehrWLAN Konfiguration. Michael Bukreus 2014. Seite 1
WLAN Konfiguration Michael Bukreus 2014 Seite 1 Inhalt Begriffe...3 Was braucht man für PureContest...4 Netzwerkkonfiguration...5 Sicherheit...6 Beispielkonfiguration...7 Screenshots Master Accesspoint...8
MehrDNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur
Probeklausur Diese Probeklausur ist auf eine Bearbeitungsdauer von 90 Minuten (= 90 maximal erreichbare Punkte) angelegt. Beachten Sie, dass die echte Klausur 120 Minuten dauern wird und entsprechend mehr
MehrRouting im Internet Wie findet ein IP Paket den Weg zum Zielrechner?
Wie findet ein IP Paket den Weg zum Zielrechner? Bildung von Subnetzen, welche über miteinander verbunden sind. Innerhalb einer Collision Domain (eigenes Subnet): Rechner startet eine ARP (Address Resolution
MehrISA Server 2004 Einzelner Netzwerkadapater
Seite 1 von 8 ISA Server 2004 - Konfiguration mit nur einer Netzwerkkarte Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 In diesem Artikel wird auf die Konfiguration von
MehrVIRTUAL PRIVATE NETWORKS
VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro
MehrUm DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:
1. Konfiguration von DynDNS 1.1 Einleitung Im Folgenden wird die Konfiguration von DynDNS beschrieben. Sie erstellen einen Eintrag für den DynDNS Provider no-ip und konfigurieren Ihren DynDNS Namen bintec.no-ip.com.
MehrNetzwerk Teil 2 Linux-Kurs der Unix-AG
Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,
MehrNetzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version 2.0.1 Deutsch 16.05.2014
Version 2.0.1 Deutsch 16.05.2014 In diesem HOWTO wird beschrieben wie Sie nach einem Update auf die IAC-BOX Version 3.12.4930 oder höher die neuen Netzwerk-Funktionen aktivieren. TITEL Inhaltsverzeichnis
MehrEther S-Net Diagnostik
Control Systems and Components 4 Ether S-Net Diagnostik Ether S-Net Diagnostik 4-2 S-Net EtherDiagnostik.PPT -1/12- Inhalt - Kurzbeschreibung einiger Test- und Diagnosebefehle unter DOS - PING-Befehl -
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
MehrEinrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000
Folgende Anleitung beschreibt, wie Sie ein bestehendes Postfach in Outlook Express, bzw. Microsoft Outlook bis Version 2000 einrichten können. 1. Öffnen Sie im Menü die Punkte Extras und anschließend Konten
MehrVirtual Private Network
Virtual Private Network Unter einem Virtual Private Network (VPN) versteht man eine durch geeignete Verschlüsselungs- und Authentifizierungsmechanismen geschützte Verbindung zwischen 2 Rechnern ( und VPN-Gateway)
MehrTutorial - www.root13.de
Tutorial - www.root13.de Netzwerk unter Linux einrichten (SuSE 7.0 oder höher) Inhaltsverzeichnis: - Netzwerk einrichten - Apache einrichten - einfaches FTP einrichten - GRUB einrichten Seite 1 Netzwerk
MehrA585 Mailserver. IKT-Standard. Ausgabedatum: 2015-02-04. Version: 2.03. Ersetzt: 2.02. Genehmigt durch: Informatiksteuerungsorgan Bund, am 2005-12-05
Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB A585 Mailserver Klassifizierung: Typ: Nicht klassifiziert IKT-Standard Ausgabedatum: 2015-02-04 Version: 2.03 Status: Genehmigt
MehrSolarWinds Engineer s Toolset
SolarWinds Engineer s Toolset Monitoring Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen
MehrAnleitung zur Anmeldung mittels VPN
We keep IT moving Anleitung zur Anmeldung mittels VPN Version 4.3 Datum: 04.04.2014 WienIT EDV Dienstleistungsgesellschaft mbh & Co KG Thomas-Klestil-Platz 6 A-1030 Wien Telefon: +43 (0)1 904 05-0 Fax:
MehrCSMA/CD: - keine Fehlerkorrektur, nur Fehlererkennung - Fehlererkennung durch CRC, (Jabber) Oversized/Undersized
1.1.: MAC-Adressen für CSMA/CD und TokenRing bestehen jeweils aus 48 Bits (6 Bytes). Warum betrachtet man diese Adressräume als ausreichend? (im Gegensatz zu IP) - größer als IP-Adressen (48 Bits 32 Bits)
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrDaten Monitoring und VPN Fernwartung
Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet
MehrSwisscom TV Medien Assistent
Swisscom TV Medien Assistent Mithilfe dieses Assistenten können Sie Fotos und Musik, die Sie auf Ihrem Computer freigegeben haben, auf Swisscom TV geniessen. Diese Bedienungsanleitung richtet sich an die
MehrEinrichtung einer Weiterleitung auf eine private E-Mail Adresse in der Hochschule
Einrichtung einer Weiterleitung auf eine private E-Mail Adresse in der Hochschule Dokumententitel: E-Mail Weiterleitung FH Dokumentennummer: its-00009 Version: 1.0 Bearbeitungsstatus: In Bearbeitung Letztes
MehrEinrichtungsanleitung Router MX200
Einrichtungsanleitung Router MX200 (Stand: 30. Januar 2015) Zur Inbetriebnahme des MX200 ist zusätzlich die beiliegende Einrichtungsanleitung LTE- Paket erforderlich. Diese steht alternativ auch auf der
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrEinführung in die Netzwerktechnik
Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?
MehrEchoLink und Windows XP SP2
EchoLink und Windows XP SP2 Hintergrund Für Computer auf denen Windows XP läuft, bietet Microsoft seit kurzem einen Update, in der Form des Service Pack 2 oder auch SP2 genannt, an. SP2 hat einige neue
MehrIEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015
Version 2.0.1 Deutsch 14.01.2015 Dieses HOWTO beschreibt die Konfiguration und Anwendung der IEEE 802.1x Authentifizierung in Kombination mit der IAC-BOX. TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrTelekommunikationsmanagement
slide 1 Vorlesung Telekommunikationsmanagement I Prof. Dr. Ulrich Ultes-Nitsche Research Group Department of Informatics, University of Fribourg slide 2 Inhalt Diese Woche: VITELS Firewall Modul slide
MehrSeite - 1 - 8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung
8. Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung Sie konfigurieren den OOBA, um die Webzugriffe mit HTTP ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten Benutzern
MehrISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote
Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen
MehrInhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter
Dieses Dokument beschreibt die notwendigen Einstellungen, um ein VPN-Gateway hinter einer Genexis OCG-218M/OCG-2018M und HRG1000 LIVE! TITANIUM trotz NAT-Funktion erreichbar zu machen. Inhalt 1 OCG-218M/OCG-2018M...
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
Mehr