IT-Forensik und Incident Response
|
|
- Gert Boer
- vor 8 Jahren
- Abrufe
Transkript
1 IT-Forensik und Incident Response Hochschule Luzern (HSLU) Departement Technik & Architektur Betreuer: Prof. Dr. Bernhard Hämmerli Autoren: Bruno Leupi, Silvan Rösli Version: 1.0 Datum: 11. Februar 2015
2 Abstract Das folgende Termpaper befasst sich mit dem Thema IT-Forensik und Incident-Response. Es beinhaltet das Vorgehen bei einem Angriff durch Hacker und zeigt hauptsächlich die Spurensuche auf. Es wird zudem beantwortet wie ein möglicher Incident-Response-Plan aussehen könnte. Dazu wurden drei verschieden Laborversuche und einiges an Internetrecherche durchgeführt. Es zeigte sich, dass sich jede Firma auf einen Angriff vorbereiten kann und trotz Verschleierung des Angriffs, vielfach doch Spuren gefunden werden können. Jedoch sollte man den Fokus klar auf präventive Massnahmen legen.
3 Inhaltsverzeichnis 1 Einleitung 1 2 Zielsetzung 2 3 Ausgangslage 2 4 Labordurchführung Versuch 1: Spurensuche auf Linux-System Einleitung Aufbau Erwartete Resultate Durchführung Eingetroffene Resultate Versuch 2: Spurensuche auf Windows-System Einleitung Aufbau Erwartete Resultate Durchführung Eingetroffene Resultate Versuch 3: Intrusion Detection mit Zyxel IDP Einleitung Aufbau Erwartete Resultate Durchführung Eingetroffene Resultate Incident Response Plan Einleitung Vorbereitung Entdeckung Analyse Eindämmung Kontrolle gewinnen Nachbearbeitung Lessons-Learned 16 7 Schlusswort 17 Literatur 18 1
4 1 Einleitung Internet der Nerv der Zeit. Das Internet ist allgegenwärtig, ständig tauchen neue Schreckensmeldungen auf. Sony: Kreditkartendaten gestohlen oder Nintendo: Server gehackt. Solche Meldungen sind an der Tagesordnung. Die Kriminalstatistik zeigt eine erschreckende Entwicklung auf (Allen, 2011). Das Ziel der Computersicherheit ist es, dieser Entwicklung entgegenzuwirken. Dazu gehört es, richtig zu reagieren, falls ein solcher Angriff ausgeführt wird. Im Fachjargon wird dies Incident Response genannt. Aber auch das Entdecken (Intrusion Detection, IT-Forensik) sowie die Prävention (Intrusion Prevention) dürfen nicht vernachlässigt werden. Diese Arbeit befasst sich hauptsächlich mit IT-Forensik auf Computerebene (siehe Kapitel 4), sowie mit dem Erstellen eines Incident-Response Planes (IRP) (siehe Kapitel 5). 2 Zielsetzung Eine spannende Sache, einen Hackerangriff zu simulieren. Daraus die richtigen Schlüsse zu ziehen und das System vor Angriffen zu schützen, will gelernt sein. Es erscheint wichtiger denn je, sein System abzusichern. Was ist heutzutage nicht von einem Netzwerk abhängig? Die totale Vernetzung macht uns verletzlich. Dieses Themenpapier zeigt auf, mit welchen einfachen Mitteln ein Grossteil der Verletzlichkeit eines Netzwerksystems verhindert werden kann. Denn mit ein wenig Recherche im Internet und den richtigen Tools, kann auch ein Laie zum Hacker werden. Die Möglichkeiten in ein System einzudringen und Sicherheitslücken auszunutzen sind vielfältig. Die Palette an Tools ebenso, diese reicht von Adware, Spyware, Viren und Würmern bis hin zu Trojanern. Jede dieser Malware hat nur das eine Ziel: Schaden anzurichten. Um für etwaige Angriffe gerüstet zu sein, wird ein IRP benötigt. Ein mögliches Vorgehen wird erarbeitet und vorgestellt. Klar gibt es nicht den einen richtigen Plan, es ist nur eine von vielen Varianten. Um bereits bei ersten Anzeichen von Ungereimtheiten zu reagieren, gibt es das Intrusion Detection System (IDS). Ein solches wird ebenfalls in einem abgeschlossenem Netzwerk ausprobiert und auf Tauglichkeit geprüft. 2
5 3 Ausgangslage Als Grundlage für diese Arbeit dient ein fiktives Szenario: Als Administrator eines KMU wird vermutet, dass ein Hacker auf ein System mit Customer Relationship Management (CRM) Daten eingedrungen ist. Nun gilt es einerseits Spuren zu diesem Angriff zu suchen und andererseits einen Plan zu erstellen, wie ein solcher Fall behandelt werden soll. Welche gerichtsverwertbaren Beweise lassen sich sammeln und welche Unterstützung seitens der Behörden gibt es. In einem ersten Versuch, wird mithilfe der Linux-Distribution Back Track 5 1 versucht in einem Metasploitable Linux eine Sicherheitslücke so auszunutzen, dass ein Root Access erreicht wird. Das heisst, es wird die gesamte Systemkontrolle übernommen. Während und auch nach dem Zugriff auf das System wird nach hinterlassenen Spuren gesucht. Es wird versucht, möglichst viel über den Angreifer und die getätigten Aktivitäten herauszufinden. Ähnlich wie im ersten Versuch, wird in einem weiteren Versuch ein Angriff auf ein Windowssystem simuliert. Auch hier wird versucht möglichst viele Spuren des Eindringlings zu eruieren. Bestenfalls wird der Eindringling in flagranti erwischt. In diesem Fall kann sofort reagiert werden, um weitere Schäden zu verhindern. Intrusion Prevention heisst das Thema des dritten Versuchs. Dazu wird eine IDP-10 von Zyxel verwendet. Das IDS überwacht den Netzwerktraffic in Echtzeit. So kann bei Alarm innerhalb kürzester Zeit reagiert werden und im schlimmsten Fall sogar das Netzwerk nach aussen hin getrennt werden. 1 Back Track 5 speziell für Penetrationstests aufgesetztes Linux. Es verfügt über eine grosse Anzahl von Tools um Sicherheitslücken zu finden und auszunutzen. 3
6 4 Labordurchführung 4.1 Versuch 1: Spurensuche auf Linux-System Einleitung Im Versuch 1 wird ein Einbruch auf ein Linux-System durchgeführt. Anschliessend wird mit Hilfe von Bordmitteln versucht diesen Einbruch zu entdecken. Es wird ebenfalls versucht, so genau wie möglich, zu ermitteln welche Daten entwendet wurden. Als Leitstruktur wird eine Anleitung des Deutschen Forschungsnetz vom Computer Emergency Response Team (DFN CERT, o. J.-b) verwendet Aufbau Das zu attakierende System (Alice) ist in diesem Versuch ein Metasploitable Linux 1. Der Hacker (Mallory) bricht mit einem Back Track 5 in das System ein und versucht Daten zu lesen. Dabei soll er das Netzwerk scannen, um sein Ziel zu finden. Das Netzwerk ist in diesem Fall ein privates Klasse C Netzwerk. Einfachheitshalber wird im Versuch auf einen DHCP-Server verzichtet. Alice erhält die IP-Adresse /24, Mallory / Erwartete Resultate Man kann erwarten, dass man Mallory während des Einbruchs als aktiven Benutzer sieht. Folglich sollte der Benutzerzugriff auch anschliessend geloggt sein. Die aktuellen Tätigkeiten von Mallory sollten während des Versuchs ebenfalls in der Prozesstabelle ersichtlich sein. Schlussendlich sollte man alle ausgeführten Befehle im Log nachschauen können, um Rückschlüsse auf die gelesenen Daten zu erhalten. Es ist allerdings nicht ausgeschlossen, dass Mallory die Spuren verwischt und sich die Suche nach Hinweisen schwieriger gestaltet Durchführung Der Ablauf von Mallory wird Anhand eines Tutorials von Dieterle (2012) durchgeführt. 1 VMWare Appliance verfügbar unter 4
7 Mit einem Script wird eine Logdatei erstellt (siehe Abbildung 1). Der gesamte Versuchsablauf wird auf dem Metasploitable Linux in diese Datei geschrieben. So lässt sich das ganze Experiment aufzeichnen und auch später noch Schritt für Schritt durchgehen. Der erste Eintrag in diese Datei beinhaltet den Benutzernamen und das Datum. Abbildung 1: Aufzeichnung starten mit script <filename> Der erste Befehl who sollte die aktiven Benutzer anzeigen. Auf dem Metasploitable Linux wird aber kein einziger aktiver Benutzer aufgeführt. Wird der Befehl allerdings von Mallory auf dem Back Track-System ausgeführt, wird Admin als aktiver Benutzer angezeigt. Admin ist der Benutzer des Metasploitable Linux. last -10 ist der Befehl um die letzten zehn Benutzer aufzuführen. Auch hier werden wir nicht fündig und sehen den fremden Systemzugriff nicht. Mit dem Befehl cat /etc/passwd werden die User-IDs aufgelistet (siehe Abbildung 2). Eine 0 sollte nur der root-eintrag enthalten. Hier sind ebenfalls keine verdächtigen Einträge festzustellen. Der nächste Befehl, ps -a, listet die aktuellen Prozesse auf. Ein auffälliger Eintrag wäre beispielsweise, wenn ein Prozess aussergewöhnlich viel Rechenzeit verbrauchen würde. Ausserdem deutet eine sehr hohe Prozess-ID obwohl der Prozess seit Systemstart laufen sollte auf eine Ungereimtheit hin. Allerdings fällt hier kein Prozess negativ auf. Zum ersten Mal fündig werden wir beim Auflisten der Netzwerkverbindungen. Angezeigt werden diese, wie Abbildung 3 zeigt, mit dem Befehl netstat -tupan. Hier gibt es zwei Einträge mit der IP-Adresse , die hohe Ports benutzen. Der Default-Port für TCP wäre 443. Hier werden aber die beiden Ports und verwendet. Bei dieser Entdeckung müsste in der Praxis sofort reagiert werden. Um den Stand so einzufrieren, sollte (falls möglich) direkt die Stromversorgung des Rechners gekappt werden. Mit der 5
8 Abbildung 2: Ausgabe von cat /etc/passwd und ps bzw. ps -a IP-Adresse und somit auch MAC-Adress hat man nun weitere Anhaltspunkte, um den Eindringling zu finden. Führt man den Befehl lsof -i aus, werden alle geöffneten Internet-Sockets aufgelistet. Einmal mehr kann nichts Aussergewöhnliches gefunden werden. Das gleiche Bild, wenn die Shell-History, die File System Disk Space Usage und das Dateiverzeichnis in temp angesehen werden. Keine Einträge, die auffallen würden. File /core zeigt die Coredumps an, also alle abgestürzten Prozesse. Ein Angriff ist selten beim ersten Mal erfolgreich, so könnten hier verdächtige Prozesse ersichtlich sein. Als nächstes werden bestehende Konfigurationsdateien inspiziert. Hier können unauffällige Hintertüren geöffnet worden sein. Dies ist allerdings nicht der Fall Eingetroffene Resultate Bei diesem Versuch wurden sehr wenige Anhaltspunkte entdeckt. Einzig mit dem Befehl netstat -tupan konnte erfolgreich die IP des Eindringlings festgestellt werden. Mit der IP kann jedoch nicht zielgenau ermittelt werden, von welchem Computer aus, der Angriff durchgeführt wurde. Auch die MAC-Adresse die mit der IP gemappt werden kann, kann gefälscht sein und bietet ebenfalls keine grosse Hilfe. Nur ein Teilerfolg. 6
9 Abbildung 3: Ausgabe von netstat -tupan 4.2 Versuch 2: Spurensuche auf Windows-System Einleitung Versuch 2 läuft ähnlich wie Versuch 1 (siehe 4.1) ab. Da Windowssysteme nur über begrenzte Bordmittel verfügen, werden in diesem Versuch vielfach zusätzliche Programme von Sysinternals 1 benutzt. Wie auch im Versuch 1 dient hier eine Anleitung vom DFN CERT (o. J.-c) als Leitfaden Aufbau Der Aufbau von Versuch 2 ist nahezu identisch wie bei Versuch 1. Anstelle des Metasploitable Linux wird hier ein Windows XP SP2 verwendet. Es ist weder ein Virenschutz installiert, noch die Firewall aktiviert. Mallory soll in diesem Versuch die Datei C: Dokumente und Einstellungen Administrator crm.bin herunterladen. Auch hier wird einfachheitshalber auf ein komplettes Netzwerk verzichtet und dieselben IP-Adressen vergeben
10 4.2.3 Erwartete Resultate Wie auch im vorangegangenen Versuch wird hier erwartet Mallory in flagranti zu erwischen. Auch anschliessend sollte der Benutzerzugriff sowie die ausgeführten Befehle noch ersichtlich sein. Zusätzlich sollte man Hinweise auf den Download der Datei (siehe 4.2.2) finden. Wie auch im Versuch 1 kann es auch hier sein, dass Mallory viele Spuren wieder verwischt Durchführung Der Ablauf von Mallory wird anhand eines Videotutorials von Lirio (2012) durchgeführt. Nachdem die Verbindung erfolgreich aufgebaut wurde, kann nun mit der Suche nach der Datei crm.bin gestartet werden. Dazu wird search -f crm.bin verwendet. Nach wenigen Sekunden wird die Datei lokalisiert. Der Adresspfad lautet: C: Dokumente und Einstellungen Administrator crm.bin und die Datei ist 100 Megabyte gross. Um die Datei herunterzuladen, wird download <path> verwendet. Bereits nach zwei Minuten ist die 100 Megabyte grosse Datei kopiert. Nun geht es auf auf dem Windows-System auf Spurensuche. Wiederum wird der gesamte Versuchsablauf in eine Logdatei geschrieben. Abbildung 4: psloggedon von Sysinternals Als erstes Datum und Zeit. date /t >> log.txt für das Datum und time /t >> log.txt 8
11 für die Uhrzeit. Für die Suche wird das Windows-Toolkit SysinternalsSuite verwendet, beginnend mit psloggedon (siehe Abbildung 4). Dies zeigt die zuletzt angemeldeten Benutzer an. In unserem Fall lässt sich jedoch kein fremder Benutzer feststellen. Ebenfalls anzeigen lassen sich Failed Remote Logins mit ntlast -f -r. Auch hier ist kein fremder Benutzer aufgeführt. Nun wird eine Detailanzeige des lokalen Logins aufgerufen: ntlast -v. Diese zeigt keine Auffälligkeiten. Hier ist zu beachten, dass diese Aufzeichnung manuell gestartet werden muss. Diese Einstellung lässt sich im Group Policy Editor bewerkstelligen. Die laufenden Prozesse lassen sich mit pslist überprüfen. Auffälligkeiten sind ungewöhnlich viel Rechenzeit, eine falsche Benutzerkennung oder läuft ein Prozess mit einer ungewöhnlichen Shared-Library. All dies ist hier nicht der Fall. Die ungewöhnliche elapsed time kommt daher, dass das Windows-System aus einem Snapshot wiederhergestellt wurde. Die offenen Netzwerkverbindungen werden mit tcpvcon -anc überprüft. Hier lässt sich der Einbruch von Mallory feststellen (siehe Abbildung 5). Die IP-Adresse Abbildung 5: TCP/UDP endpoint viewer ist eindeutig ein Eindringling. Spätestens jetzt muss sofort die Notbremse gezogen werden. Nachdem das System gesichert wurde, kann mit der Spurensuche weitergefahren werden. nbtstat -c zeigt die Bereichskennung an. Jetzt wird überprüft, ob eine Umleitung von einem Hostnamen zu einer IP-Adresse installiert wurde. C: WINDOWS system32 9
12 drivers etc > type hosts listet diese auf. Der nächste Schritt führt zu den Windows Eventlog. Diese können mit dem dumpel Tool überprüft werden. Als nächstes sollte die lokale Firewall angesehen werden. In diesem Versuch wurde sie allerdings ausgeschaltet. Der Befehl dazu lautet regedit /s firewall.reg. Besondere Bedeutung hat die Überprüfung der sogenannten Autorun Keys. autorunsc führt das Toll von Sysinternals aus. Mit psinfo -d lassen sich eingehängte Platten überprüfen. Diese können als Verteilstation illegaler Raubkopien missbraucht werden. Dies führt zur weiteren Spurensuche im Dateisystem. Beispielsweise werden ähnlich klingende Dateien in versteckten Ordnern deponiert. Dies kann ein Rootkit oder auch ein Virus sein Eingetroffene Resultate Wie erwartet, konnte Mallory in flagranti erwischt werden. Mit der IP-Adresse hat man einen wichtigen Anhaltspunkt, um den Angriff rückverfolgen zu können. Nicht eruiert werden konnte, was der Eindringling angestellt hat. Wider Erwarten gab es keine Hinweise auf die kopierte Datei crm.bin. Allerdings können schon die minimalsten Sicherheitseinstellungen die meisten Angriffe vereiteln. Der Angriff hier wäre bei eingeschalteter Windows-Firewall nicht möglich gewesen. 4.3 Versuch 3: Intrusion Detection mit Zyxel IDP Einleitung Dieser Versuch befasst sich mit dem IDS ZyXEL IDP-10. In einem abgesicherten Netzwerk wird die IDP-10 eingebaut. Es werden verschiedene Angriffe auf das Netzwerk simuliert. Dazu wird protokolliert, ob und wie weit die IDP-10 in das Geschehen eingreifen kann Aufbau Für das gesicherte Netzwerk werden ein Host und die IDP-10 von ZyXEL verwendet. Der Host, Alice, bekommt bei diesem Versuch die IP-Adresse und ist am LAN- Port der IDP-10 angeschlossen. Auf dem WAN-Port ist Mallory mit der IP verbunden. 10
13 4.3.3 Erwartete Resultate Es kann erwartet werden, dass die IDP-10 die netzwerkbasierten Angriffe erkennen und blockieren kann. Zudem wird alles in einem Protokoll festgehalten. Das Protokoll lässt sich auswerten und als Beweismittel sichern Durchführung Die Einrichtung der IDP-10 stellt sich als Hürde heraus. Die erste Schwierigkeit ist, auf das Webinterface der IDP-10 zu gelangen. Nach einigen Neustarts und umkonfigurieren der Interfaces klappt der Zugriff über den LAN-Port. So weit ist der Versuchsaufbau gelungen. Danach wird in der Pre-defined Policy überprüft, wie die Einstellungen bezüglich der Ping-Anfragen sind. Die Action bezüglich ICMP PING *NIX ist Log + Drop Packet + Block Connection. So weit so gut, jedoch werden die Ping-Packete immer noch weitergeleitet. Also geht die Fehlersuche weiter. Die entscheidende Einstellung befindet sich unter General - State. Hier muss unter dem Reiter Device Operation State Setup vom Modus Monitor in den Inline-Modus gewechselt werden. Ansonsten werden die Datenströme zwar analysiert und auch protokolliert, aber nicht blockiert. Nach dem diese Einstellung geändert ist, werden alle Ping-Anfragen zuverlässig geblockt (Abbildung 6). Ein IDS untersucht im Gegensatz zur Firewall nicht nur die Signatur, sondern scannt den ganzen Inhalt eines jeden Paketes. Abbildung 6: Geblocktes ping 11
14 Mallory führt ein netdiscover durch. Gefunden werden Alice mit der IP und Zweitere ist die IP-Adresse des verwendeten Notebooks. Das System von Mallory wird auf einer virtuellen Maschine mit einer eigenen IP ( ) ausgeführt (siehe Abbildung 7). Anschliessend wird das Protokoll der IDP-10 überprüft. Dieses hat allerdings keine Aufzeichnungen über einen Portscan. Erklären lässt sich dies nur damit, dass dieser netdiscover keinen aktiven Scan, sondern nur einen passiven Scan durchführt. Also keine eigenen Pakete versendet, sondern nur Pakete empfängt. So ist es unmöglich, für die IDP-10 diesen Scan zu erkennen und zu verhindern. Abbildung 7: Netdiscover funktioniert trotzdem noch Eingetroffene Resultate Wie erwartet, kann die IDP-10 die Ping-Pakete blockieren. Zudem wird alles im Protokoll mit Datum und genauer Uhrzeit aufgezeichnet. Es benötigt jedoch genauer Begutachtung, welche Regeln protokolliert und geblockt werden sollen, welche nur protokolliert und welche einfach ignoriert werden sollen. Bei rund 1700 erkennbaren Signaturen keine einfache Aufgabe. Bei passiven Aktivitäten, also das reine Aushorchen des Netzwerkverkehrs, kann auch die IDP-10 nichts ausrichten. Da die durchgeführten Scans solche waren, konnte Mallory ungehindert das Netzwerk aushorchen. 12
15 5 Incident Response Plan 5.1 Einleitung Jede Firma, die beschliesst die IT selbst zu erledigen, sollte sich einen Incident-Response- Plan aufstellen. Dieser Plan zeigt auf, welche Schritte während oder nach einem Hackerangriff ausgeführt werden. Ziel eines solchen Planes ist es, den Schaden gering zu halten, Informationen über den Angreifer zu erhalten, sowie bestehende Lücken zu schliessen. Dabei reicht es nicht, sich irgendwo einen Plan herunterzuladen und diesen wenn nötigt zu zücken. Vielmehr sollte sich die Firma auf solche Vorfälle vorbereiten. 5.2 Vorbereitung Bevor überhaupt ein Vorfall passiert, sollte sich die Firma darauf vorbereiten. Dazu muss als erstes ein Computer-Security-Incident-Response-Team (CSIRT) gebildet werden. Wie dieses Team gebildet wird, bzw. wer alles dazugehören soll oder muss ist ein eigenes Thema. Darauf möchte in diesem Artikel nicht weiter eingegangen werden. Informationen dazu finden sich im Artikel zum Kreieren eines CSIRT s der Carnegie Mellon University (2006) bzw. im Handbuch für CSIRT s von West-Brown et al. (2003). Dieses Team sollte gemäss DFN CERT (o. J.-a) folgende Punkte vorbereiten: Kontaktliste mit Ansprechpartnern, sowie der Meldestelle für Cyberkriminalität in der Schweiz MELANI 1 Möglichst komplette Dokumentation der betreuten Systeme Pläne für verschiedene Szenarien Alle erwähnten Punkte sind idealerweise in Papierform vorhanden, aktuell gehalten sowie vom Team einstudiert. Jeder der Szenariopläne sollte als Checkliste gehalten werden, damit keine Punkte vergessen werden (DFN CERT, o. J.-a). 5.3 Entdeckung Vielfach stellt sich die Frage, ob überhaupt ein Vorfall vorliegt. In einigen Fällen, beispielsweise bei einem Defacement 2 oder bei einem Denial of Service (DoS) Angriff, ist 1 Webseite der Melde- und Analysestelle Informationssicherung verfügbar unter 2 Umgestaltung der Webseite 13
16 es offensichtlich (DFN CERT, o. J.-a). Bei Wirtschaftsspionagen versucht der Angreifer jedoch unerkannt zu bleiben. Solche Eindringlinge entdeckt man am besten mit angepassten Routineuntersuchungen bei denen man gezielt nach Anomalien sucht. Eine solche Routineuntersuchung diente in diesem Themenpapier als Vorlage für den Laborversuch Spurensuche auf Linux-System (siehe 4.1) sowie sowie den Versuch Spurensuche auf Windows-System (siehe 4.2). 5.4 Analyse Wird festgestellt, dass tatsächlich ein Vorfall vorliegt, [... ] sollte das weitere Vorgehen mit allen Beteiligten abgesprochen werden (DFN CERT, o. J.-a). Hier zahlt es sich nun aus, gut vorbereitet zu sein und eine Liste mit allen betroffenen Personen und Behörden bereit zu haben. Nun gilt es ersteinmal die näheren Umstände des Vorfalls aufzuklären (DFN CERT, o. J.-a). Falls möglich, sollte als Erstes ein forensisch korrektes Abbild erstellt werden (Fischer, 2012). Auf gut Deutsch heisst dies, Stecker raus und 1:1 Kopie der Harddisk(s) erstellen. Anschliessen kann mit der Kopie fortgefahren werden. Somit bleibt das Original unangetastet und ist vor Gericht verwendbar. Nun geht es darum folgende Fragen zu klären: Wann und wo ist der Vorfall passiert? Was genau ist passiert? Wer ist beteiligt und wer ist der Angreifer? Wie ging er vor? Welche Schwachstelle wurde ausgenutzt? Welcher Schaden ist bisher entstanden? Welcher weitere Schaden droht? (DFN CERT, o. J.-a) Damit diese Fragen geklärt werden können, ist ein gut geschultes CSIRT, sowie eine gute Zusammenarbeit mit den Behörden nötig. Parallel zur Informationssuche kann bereits der nächste Schritt vorbereitet werden (DFN CERT, o. J.-a). 5.5 Eindämmung In manchen Fällen ist es nicht möglich oder gar nicht erlaubt (Service Level Agreement (SLA)) das befallene System offline zu nehmen und/oder zu patchen. Vielleicht möchte man auch laufende Jobs nicht unterbrechen. Dennoch gilt es, weiteren Schaden [... ] zu verhindern (DFN CERT, o. J.-a). 14
17 Grundsätzlich steht hinter Eindämmungsmassnahmen die Abwägung zwischen dem eigenen Schaden durch die Massnahmen (z.b. durch Abschaltung von Diensten) und dem [... ] Schaden anderer durch Untätigkeit (DFN CERT, o. J.-a). Die Eindämmungsmassnahmen können in zwei Gruppen unterteilt werden, lokale Massnahmen und Netzwerkmassnahmen. (DFN CERT, o. J.-a) Lokale Massnahmen befassen sich lediglich mit dem Säubern des betroffenen Systems und können wie folgt aussehen: Entfernen gehosteter Daten (Malware, Warez) Sperren kompromittierter Accounts Abschalten angegriffener / gefährdeter Dienste Oberflächliches Säubern des Systems mit Virenscannern, Anti-Spyware und Ähnlichem Entfernen erkannter Hintertüren im System. (DFN CERT, o. J.-a) Netzwerkmassnahmen hingegen schotten das befallene System vom rest des Netzwerkes ab, oder beschränken dessen Zugriff darauf. Dies umfasst: Beschränken des betroffenen Systems auf ein Quarantänenetz Sperren bestimmter Dienste oder Protokolle Einsetzen eines Rate Limit für bestimmte IP-Adressen oder Protokolle (lokal oder beim ISP) Sperren ausgewählter eigener IP-Adressen beim ISF oder Upstream- ISF (DFN CERT, o. J.-a) 5.6 Kontrolle gewinnen Will man die Kontrolle wiedergewinnen, kann das in einigen fällen Neuinstallation bedeuten. Dies insbesondere beim Befall durch Viren und Würmer, die beim Einbruch ins System gelangten. Alle vorhin erwähnten Schritte (siehe 5.5) waren bisher nur Symptombekämpfung und haben nich die Ursache des Problems beseitigt. (DFN CERT, o. J.-a) Die Neuinstallation sollte am besten offline, zumindest ohne Verbindung zum Internet durchgeführt werden. Das Risiko, dass das System schon während der Installation erneut angegriffen wird, ist zu gross. Auch sollte keine Upgrade-Installation durchgeführt werden, da evtl. Dateien des Angreifers 15
18 erhalten bleiben. Die Partitionen sollten formatiert und anschliessend von Grund auf neu installiert werden. Man sollte sich versichert haben, dass ein funktionsfähiges Backup des Systems existiert [... ] und nicht vom Angreifer zerstört wurde. (DFN CERT, o. J.-a) Anschliessend an die Neuinstallation sollte ein Hardening durchgeführt werden. Dazu zählt unter anderem das Einspielen von Sicherheitspatches, eventuelles Umkonfigurieren von Diensten sowie das Schliessen entdeckter Lücken falls nicht bereits mit einem Patch behoben. Zudem sollten alle Passwörter geändert werden. Ebenfalls sollte man die Zertifikate neu erstellen sowie ihre Vorgänger sperren lassen. Andernfalls kann es sein, dass der Angreifer immer noch Zugriff via Virtual Private Network (VPN) hat. (DFN CERT, o. J.-a) 5.7 Nachbearbeitung Rückblickend sollte man eine Nachbearbeitung machen und das Geschehene mit den betroffenen Personen besprechen. Dazu gehört es, aufzuzeigen welche Massnahmen nicht funktioniert haben bzw. welche verbessert werden können. Was musste auf Grund des Angriffs geändert werden? Welche Pläne, Dokumentationen müssen erneuert werden? (DFN CERT, o. J.-a) Anschliessend an diese Nachbearbeitung sollte man aktualisierte Notfallpläne und Dokumentationen haben. Denn: Nach dem Vorfall ist vor dem Vorfall! (DFN CERT, o. J.-a) 6 Lessons-Learned Die Laborversuche zeigen dass ein Hacken von Windows-Systemen sowie Linux-Systemen, mehr oder weniger einfach und schnell zu bewerkstelligen ist. Im Internet findet man relativ schnell Anleitungen, die das Vorgehen aufzeigen. Zwei dieser Anleitungen wurden auch in diesem Themenpapier benutzt. Es zeigte sich jedoch auch, dass wenn man nur minimale Präventionsmassnahmen (z.b. Firewall) einsetzt, diese Anleitungen kaum mehr etwas taugen. Nichtsdestotrotz sollte sich eine Firma bewusst sein, dass es Personen gibt, die etwas mehr drauf haben als unser Zweierteam. Die Forensik gestaltete sich besonders interessant. Befehle, die man in der Regel einfach so eingibt, um einfachere Sachen nachzuschauen, wurden auseinandergenommen und 16
19 die Bedeutung von jeder Ausgabe analysiert. Dies nicht nur beim Linux-System, sondern auch unter Windows. Obwohl hier zusätzliche Werkzeuge organisiert werden mussten, trafen ähnliche Resultate ein. Eher ernüchternd war die Tatsache, dass man, trotz aktivem Hacker, kaum Hinweise gefunden hat. Einzig und allein Befehle, die Netzwerkverbindungen aufzeigen, waren erfolgreich. Deshalb empiehlt es sich, starke präventive Massnahmen einzusetzen. Es sollten auch alle Systeme aktuell gehalten werden, da viele Patches auch Sicherheitslücken beheben. Und was natürlich auch nie schadet, ist die Ausbildung der Fachleute aktuell zu halten. 7 Schlusswort Spannende Themen, die IT-Forensik und Incident Response. Mit der Wichtigkei, welche das Internet und die Vernetzung inne haben, wird die Sicherheit wichtiger denn je. Wir konnten aufzeigen, dass schon minimalste Sicherheitsvorkehrungen, wie eine Windows- Firewall, ein Grundmass an Sicherheit bieten kann. Zudem zeigen die Erfahrungen mit einem Incident-Response-Plan, dass auch hier gilt Vorsicht ist besser als Nachsicht. Die Laborversuche waren teilweise stressig, haben aber auch einen Riesenspass gemacht. Das Themengebiet ist jedoch sehr gross. Es ist kaum möglich in so kurzer Zeit in alle Ecken zu schauen. Hinzu kam, dass es bei unserem Termpaper nicht reichte, uns nur auf unser Gebiet zu beschränken. Es musste auch auf die Seite des Gegners geschaut werden, um erfolgreiche Hacks durchzuführen. Alles in allem, haben wir viel dazugelernt, können aber auch Folgendem zustimmen: Je mehr ich weiss, desto mehr erkenne ich, dass ich nichts weiss. (Albert Einstein) 17
20 Literatur Allen, M. (2011). Growing cybercrime menace hits unwary firms. swissinfo.ch. Zugriff am auf cybercrime menace hits unwary firms.html?cid= Carnegie Mellon University. (2006). Creating a Computer Security Incident Response Team: A Process for Getting Started. Zugriff am auf DFN CERT. (o. J.-a). Grundlegende Schritte zur Vorfallsbearbeitung. Zugriff am auf -response-informationen/grundlegende-schritt-zur-vorfallsbearbeitung.html DFN CERT. (o. J.-b). Hinweise auf Kompromitierung (UNIX / Linux). Zugriff am auf -response-informationen/nachsehen-linux.html DFN CERT. (o. J.-c). Hinweise auf Kompromittierung (Windows). Zugriff am auf -response-informationen/nachsehen-windows.html Dieterle, D. (2012). Metasploitable Gaining Root on a Vulnerable Linux System. Zugriff am auf metasploitable-gaining-root-on-linux-system/ Fischer, R. (2012). Netzwerk Forensik. IT - Security Forum #5. Lirio, P. (2012). Hack Windows XP SP2 (with Backtrack 5). Zugriff am auf West-Brown, M. J., Stikvoort, D., Kossakowski, K.-P., Killcrece, G., Ruefle, R. & Zajicek, M. (2003). Handbook for Computer Security Incident Response Teams (CSIRTs) (2. Aufl.). Pittsburgh: Carnegie Mellon Software Engineering Institutes. 18
IT-Forensik und Incident Response
Bruno Leupi Silvan Rösli Hochschule Luzern (HSLU) Departement Technik & Architektur 20. Dezember 2012 Inhalt 1 Einleitung 2 Vorbereitung 3 Entdeckung 4 Analyse 5 Eindämmung 6 Kontrolle gewinnen 7 Nachbearbeitung
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrPC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren
PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren Eine weitere Möglichkeit, das ein PC mit einem Trojaner infiziert sein kann, ist z.b., wenn ein Backdoor Listener wie Netcat auf dem infiltriertem
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrShellfire L2TP-IPSec Setup Windows XP
Shellfire L2TP-IPSec Setup Windows XP Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ L2TP-IPSec unter Windows XP konfiguriert wird. Inhaltsverzeichnis 1. Benötigte
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrTutorial - www.root13.de
Tutorial - www.root13.de Netzwerk unter Linux einrichten (SuSE 7.0 oder höher) Inhaltsverzeichnis: - Netzwerk einrichten - Apache einrichten - einfaches FTP einrichten - GRUB einrichten Seite 1 Netzwerk
MehrAnti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern
Windows XP in fünf Schritten absichern Inhalt: 1. Firewall Aktivierung 2. Anwendung eines Anti-Virus Scanner 3. Aktivierung der automatischen Updates 4. Erstellen eines Backup 5. Setzen von sicheren Passwörtern
MehrNetzwerk einrichten unter Windows
Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine
MehrKonfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme
MehrAnleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung
Anleitung zur Daten zur Datensicherung und Datenrücksicherung Datensicherung Es gibt drei Möglichkeiten der Datensicherung. Zwei davon sind in Ges eingebaut, die dritte ist eine manuelle Möglichkeit. In
MehrKurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11
Kurzanleitung MEYTON Aufbau einer Internetverbindung 1 Von 11 Inhaltsverzeichnis Installation eines Internetzugangs...3 Ist mein Router bereits im MEYTON Netzwerk?...3 Start des YAST Programms...4 Auswahl
Mehrmysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank
mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank In den ersten beiden Abschnitten (rbanken1.pdf und rbanken2.pdf) haben wir uns mit am Ende mysql beschäftigt und kennengelernt, wie man
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrTapps mit XP-Mode unter Windows 7 64 bit (V2.0)
Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...
MehrSFTP SCP - Synology Wiki
1 of 6 25.07.2009 07:43 SFTP SCP Aus Synology Wiki Inhaltsverzeichnis 1 Einleitung 1.1 Grundsätzliches 2 Voraussetzungen 2.1 Allgemein 2.2 für SFTP und SCP 3 Installation 3.1 Welche openssl Version 3.2
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrPraktikum IT-Sicherheit
IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Angriffstechniken In diesem Versuch werden verschiedene Angriffstechniken anhand von Beispielen vorgestellt. Die Ausarbeitung der Übungen
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrShellfire L2TP-IPSec Setup Windows 7
Shellfire L2TP-IPSec Setup Windows 7 Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ L2TP-IPSec unter Windows 7 konfiguriert wird. Inhaltsverzeichnis 1. Benötigte
MehrAbgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN
Abgesetzte Nebenstelle VPN Nachfolgend wird beschrieben, wie vier Standorte mit COMfortel 2500 VoIP Systemtelefonen an eine COMpact 5020 VoIP Telefonanlage als abgesetzte Nebenstelle angeschlossen werden.
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrInstallation/Einrichtung einer Datenbank für smalldms
Einleitung In den folgenden Seiten werden wir uns damit beschäftigen eine lokale Installation einer MySQL- Datenbank vorzunehmen, um auf dieser Datenbank smalldms aktivieren zu können. Wir werden das XAMPP-Paket
MehrMit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)
Das tgm steigt von Novell Group Wise auf Microsoft Exchange um. Sie können auf ihre neue Exchange Mailbox wie folgt zugreifen: Mit Microsoft Outlook Web Access (https://owa.tgm.ac.at) Mit Microsoft Outlook
MehrNovell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar 2015. ZID Dezentrale Systeme
Novell Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Februar 2015 Seite 2 von 8 Mit der Einführung von Windows 7 hat sich die Novell-Anmeldung sehr stark verändert. Der Novell Client
MehrANLEITUNG. Firmware Flash. Seite 1 von 7
ANLEITUNG Firmware Flash chiligreen LANDISK Seite 1 von 7 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2 2 Problembeschreibung... 3 3 Ursache... 3 4 Lösung... 3 5 Werkseinstellungen der LANDISK wiederherstellen...
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrPraktikum IT- Sicherheit
Praktikum IT- Sicherheit - Versuchshandbuch - Durchführung Honeypot Ein Honeypot stellt ein System dar, um Angriffe, das Verhalten von Malware und weitere Angriffsaktivitäten aufzuzeichnen zu können. Die
MehrWissenswertes über LiveUpdate
Wissenswertes über LiveUpdate 1.1 LiveUpdate «LiveUpdate» ermöglicht den einfachen und sicheren Download der neuesten Hotfixes und Patches auf Ihren PC. Bei einer Netzinstallation muss das LiveUpdate immer
MehrMicrosoft Update Windows Update
Microsoft bietet mehrere Möglichkeit, Updates durchzuführen, dies reicht von vollkommen automatisch bis zu gar nicht. Auf Rechnern unserer Kunden stellen wir seit September 2006 grundsätzlich die Option
MehrInstallation SQL- Server 2012 Single Node
Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit
Mehr2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:
2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Configuring Terminal Services o Configure Windows Server 2008 Terminal Services RemoteApp (TS RemoteApp) o Configure Terminal Services Gateway
MehrVerwendung von USB-Datenträger in der VDI unter Mac OSX
Frequently Asked Questions (FAQs) Verwendung von USB-Datenträger in der VDI unter Mac OSX... 2 Verwendung von USB-Datenträger in der VDI unter Windows... 4 Zugriff auf lokale Festplatte... 5 Installation
MehrInstallationsleitfaden kabelsafe backup home unter MS Windows
Installationsleitfaden kabelsafe backup home unter MS Windows Installationsanleitung und Schnelleinstieg kabelsafe backup home (kabelnet-acb) unter MS Windows Als PDF herunterladen Diese Anleitung können
MehrAnleitung über den Umgang mit Schildern
Anleitung über den Umgang mit Schildern -Vorwort -Wo bekommt man Schilder? -Wo und wie speichert man die Schilder? -Wie füge ich die Schilder in meinen Track ein? -Welche Bauteile kann man noch für Schilder
MehrAnleitung zur Installation des Printservers
Anleitung zur Installation des Printservers 1. Greifen Sie per Webbrowser auf die Konfiguration des DIR-320 zu. Die Standard Adresse ist http://192.168.0.1. 2. Im Auslieferungszustand ist auf die Konfiguration
MehrStundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten
Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten 2008 netcadservice GmbH netcadservice GmbH Augustinerstraße 3 D-83395 Freilassing Dieses Programm ist urheberrechtlich geschützt. Eine Weitergabe
MehrWindows Vista Security
Marcel Zehner Windows Vista Security ISBN-10: 3-446-41356-1 ISBN-13: 978-3-446-41356-6 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-41356-6 sowie im Buchhandel
MehrKonfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden
Mehrwww.las-webservice.com Achtung bitte beachten! Die Anleitung bezieht sich auf WINDOWS XP.
LAS-Webservice Aalstrasse 9 D-82266 Inning a.a. Achtung bitte beachten! Die Anleitung bezieht sich auf WINDOWS XP. Inzwischen sind neuere Varianten aufgetreten die wir selbst noch nicht "live" erlebt haben
Mehr- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen
walker radio tv + pc GmbH Flüelerstr. 42 6460 Altdorf Tel 041 870 55 77 Fax 041 870 55 83 E-Mail info@walkerpc.ch Wichtige Informationen Hier erhalten sie einige wichtige Informationen wie sie ihren Computer
MehrEasyWk DAS Schwimmwettkampfprogramm
EasyWk DAS Schwimmwettkampfprogramm Arbeiten mit OMEGA ARES 21 EasyWk - DAS Schwimmwettkampfprogramm 1 Einleitung Diese Präsentation dient zur Darstellung der Zusammenarbeit zwischen EasyWk und der Zeitmessanlage
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. MANUELLER DOWNLOAD 1 2. ALLGEMEIN 1 3. EINSTELLUNGEN 1 4. BITDEFENDER VERSION 10 2 5. GDATA INTERNET SECURITY 2007 4 6. ZONE ALARM
MehrEinstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG
Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG Um mit IOS2000/DIALOG arbeiten zu können, benötigen Sie einen Webbrowser. Zurzeit unterstützen wir ausschließlich
MehrTeamSpeak3 Einrichten
TeamSpeak3 Einrichten Version 1.0.3 24. April 2012 StreamPlus UG Es ist untersagt dieses Dokument ohne eine schriftliche Genehmigung der StreamPlus UG vollständig oder auszugsweise zu reproduzieren, vervielfältigen
MehrAnleitung Captain Logfex 2013
Anleitung Captain Logfex 2013 Inhalt: 1. Installationshinweise 2. Erste Schritte 3. Client-Installation 4. Arbeiten mit Logfex 5. Gruppenrichtlinien-Einstellungen für die Windows-Firewall 1. Installationshinweis:
MehrFirewalls für Lexware Info Service konfigurieren
Firewalls für Lexware Info Service konfigurieren Inhaltsverzeichnis: 1. Manueller Download... 2 2. Allgemein... 2 3. Einstellungen... 2 4. Bitdefender Version 10... 3 5. GDATA Internet Security 2007...
MehrEinrichtung eines VPN-Zugangs
Einrichtung eines VPN-Zugangs Einleitung Die nachfolgende Anleitung zeigt die Einrichtung eines VPN-Zugangs zum Netzwerk des Unternehmensverbundes Evangelisches Johannesstift. Diese Anleitung ist auf Basis
Mehr2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein
Einrichtung von orgamax-mobil Um die App orgamax Heute auf Ihrem Smartphone nutzen zu können, ist eine einmalige Einrichtung auf Ihrem orgamax Rechner (bei Einzelplatz) oder Ihrem orgamax Server (Mehrplatz)
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrKurzanleitung zur Softwareverteilung von BitDefender Produkten...2
Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste
MehrAnwenderhandbuch. ipoint - Server
Anwenderhandbuch ipoint - Server Inhaltsverzeichnis 1 ÜBERWACHUNG DES SERVERPROZESSES... 3 1.1 DEN SERVER STARTEN... 3 1.2 DEN SERVER ANHALTEN/BEENDEN... 6 2 DEN SERVER KONFIGURIEREN... 8 3 FIREWALL...11
Mehrterra CLOUD IaaS Handbuch Stand: 02/2015
terra CLOUD IaaS Handbuch Stand: 02/2015 Inhaltsverzeichnis 1 Einleitung... 3 2 Voraussetzungen für den Zugriff... 3 3 VPN-Daten herunterladen... 4 4 Verbindung zur IaaS Firewall herstellen... 4 4.1 Ersteinrichtung
MehrAnleitung Selbststudium
Grundlagenmodule Detailhandelsmanager/in HFP Anleitung Selbststudium Vorgehen im Überblick 6. Absolvieren Sie den Online-Test erneut um zu sehen, ob Sie sich verbessern konnten 7. Füllen Sie den Evaluationsbogen
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
Mehrwww.flatbooster.com FILEZILLA HANDBUCH
www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................
MehrNetzlaufwerke verbinden
Netzlaufwerke verbinden Mögliche Anwendungen für Netzlaufwerke: - Bequem per Windows-Explorer oder ähnlichen Programmen Daten kopieren - Ein Netzlaufwerk ist im Windows-Explorer als Festplatte (als Laufwerksbuchstabe,
MehrDiese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.
Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343. Benutzte Hardware: Router DGL-4100 mit der IP Adresse 192.168.0.1 Rechner mit Betriebssystem Windows Server 2000 und Active
MehrASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel
ENDIAN DISTRIBUTOR ASA Schnittstelle zu Endian Firewall Hotspot aktivieren Konfiguration ASA jhotel ASA jhotel öffnen Unter den Menüpunkt Einrichtung System System Dort auf Betrieb Kommunikation Internet-Zugang
MehrVirtual Channel installieren
Virtual Channel installieren Inhaltsverzeichnis 1. Voreinstellungen... 3 2. Virtual Channel herunterladen... 3 3. Virtual Channel konfigurieren... 4 4. Ausdruck... 6 5. Tipps und Tricks... 7 Sorba EDV
Mehr1. Schritt: Benutzerkontensteuerung aktivieren
Inhalt: 1. Schritt: Benutzerkontensteuerung aktivieren 2. Schritt: Firewall aktivieren 3. Schritt: Virenscanner einsetzen 4. Schritt: Automatische Updates aktivieren 5. Schritt: Sicherungskopien anlegen
MehrAblaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole
Lavid-F.I.S. Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der Lavid Software GmbH Dauner Straße 12, D-41236 Mönchengladbach http://www.lavid-software.net Support:
MehrEinrichten einer VPN-Verbindung zum Netzwerk des BBZ Solothurn-Grenchen
Einrichten einer VPN-Verbindung zum Netzwerk des BBZ Solothurn-Grenchen Dokumentname: Anleitung_VPN.doc Version: 1.0 Klassifizierung: Autor: für internen Gebrauch (BBZ-intern) Barbara Rutsch; Bruno Peyer
MehrUm dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:
Einleitung Unter MacOS X hat Apple die Freigabe standardmäßig auf den "Public" Ordner eines Benutzers beschränkt. Mit SharePoints wird diese Beschränkung beseitigt. SharePoints erlaubt auch die Kontrolle
MehrInstallation OMNIKEY 3121 USB
Installation OMNIKEY 3121 USB Vorbereitungen Installation PC/SC Treiber CT-API Treiber Einstellungen in Starke Praxis Testen des Kartenlesegeräts Vorbereitungen Bevor Sie Änderungen am System vornehmen,
MehrWindows Server 2012 RC2 konfigurieren
Windows Server 2012 RC2 konfigurieren Kurzanleitung um einen Windows Server 2012 als Primären Domänencontroller einzurichten. Vorbereitung und Voraussetzungen In NT 4 Zeiten, konnte man bei der Installation
MehrSwisscom TV Medien Assistent
Swisscom TV Medien Assistent Mithilfe dieses Assistenten können Sie Fotos und Musik, die Sie auf Ihrem Computer freigegeben haben, auf Swisscom TV geniessen. Diese Bedienungsanleitung richtet sich an die
MehrFreigabe der Windows-Firewall und Verknüpfung der Pfade für die Druckvorlagen
Freigabe der Windows-Firewall und Verknüpfung der Pfade für die Druckvorlagen Diese Dokumentation beschäftigt sich mit folgenden Themen: 1. Firewall-Freigabe auf dem Server (falls keine Datenbankverbindung
MehrMSDE 2000 mit Service Pack 3a
MSDE 2000 mit Service Pack 3a Neues MSDE im WINLine-Setup: Seit der WINLine 8.2 Build 972 wird auf der WINLine-CD ein neues Setup der Microsoft MSDE mit ausgeliefert. Mit dieser neuen Version MSDE 2000
Mehrmeine-homematic.de Benutzerhandbuch
meine-homematic.de Benutzerhandbuch Version 3.0 Inhalt Installation des meine-homematic.de Zugangs... 2 Installation für HomeMatic CCU vor Version 1.502... 2 Installation für HomeMatic CCU ab Version 1.502...
MehrPatch Management mit
Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch
MehrPunkt 1 bis 11: -Anmeldung bei Schlecker und 1-8 -Herunterladen der Software
Wie erzeugt man ein Fotobuch im Internet bei Schlecker Seite Punkt 1 bis 11: -Anmeldung bei Schlecker und 1-8 -Herunterladen der Software Punkt 12 bis 24: -Wir arbeiten mit der Software 8-16 -Erstellung
MehrMeldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung
Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung Nach dem Update auf die Version 1.70 bekommen Sie eine Fehlermeldung,
MehrEASYINSTALLER Ⅲ SuSE Linux Installation
EASYINSTALLER Ⅲ SuSE Linux Installation Seite 1/17 Neuinstallation/Update von Meytonsystemen!!! Die Neuinstallation von MEYTON Software ist relativ einfach durchzuführen. Anhand dieser Beschreibung werden
MehrDrägerware.ZMS/FLORIX Hessen
Erneuerung des ZMS Nutzungs-Zertifikats Lübeck, 11.03.2010 Zum Ende des Monats März 2010 werden die Zugriffszertifikate von Drägerware.ZMS/FLORIX Hessen ungültig. Damit die Anwendung weiter genutzt werden
MehrDiese Anleitung beschreibt das Vorgehen mit dem Browser Internet Explorer. Das Herunterladen des Programms funktioniert in anderen Browsern ähnlich.
Die Lernsoftware Revoca Das Sekundarschulzentrum Weitsicht verfügt über eine Lizenz bei der Lernsoftware «Revoca». Damit können die Schülerinnen und Schüler auch zu Hause mit den Inhalten von Revoca arbeiten.
MehrInstallation / Aktualisierung von Druckertreibern unter Windows 7
Rechenzentrum Installation / Aktualisierung von Druckertreibern unter Windows 7 Es gibt drei verschiedene Wege, um HP-Druckertreiber unter Windows7 zu installieren: (Seite) 1. Automatische Installation...
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
MehrDienstleistungen Zentrum Medienbildung. Anleitung für das Überspielen von Videomaterial einer SD- und HDD-Kamera via USB
Dienstleistungen Zentrum Medienbildung Anleitung für das Überspielen von Videomaterial einer SD- und HDD-Kamera via USB Systemvoraussetzungen - Windows Vista oder Windows 7 - USB-Anschluss Um von einer
MehrInternationales Altkatholisches Laienforum
Internationales Altkatholisches Laienforum Schritt für Schritt Anleitung für die Einrichtung eines Accounts auf admin.laienforum.info Hier erklären wir, wie ein Account im registrierten Bereich eingerichtet
MehrInformation zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)
Information zum SQL Server: Installieren und deinstallieren (Stand: September 2012) Um pulsmagic nutzen zu können, wird eine SQL-Server-Datenbank benötigt. Im Rahmen der Installation von pulsmagic wird
MehrANLEITUNG NETZEWERK INSTALATION
ANLEITUNG NETZEWERK INSTALATION Sehr geehrter Kunde, vielen Dank, dass Sie sich für RED CAD entschieden haben. Mit dieser Anleitung möchten wir Sie bei der Installation unterstützen. Die Netzwerkinstallation
MehrAnleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1
Anleitung: WLAN-Zugang unter Windows 8 - eduroam Von Tobias Neumayer (tobias.neumayer@haw-ingolstadt.de) Hinweis Hier wird die Einrichtung der WLAN-Verbindung mit den Windows-Bordmitteln beschrieben. Die
MehrAnleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren
Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen
MehrLeitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)
Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0) Peter Koos 03. Dezember 2015 0 Inhaltsverzeichnis 1 Voraussetzung... 3 2 Hintergrundinformationen... 3 2.1 Installationsarten...
Mehr2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)
1. Einführung: Über den ODBC-Zugriff können Sie bestimmte Daten aus Ihren orgamax-mandanten in anderen Anwendungen (beispielsweise Microsoft Excel oder Microsoft Access) einlesen. Dies bietet sich beispielsweise
MehrAnbindung des eibport an das Internet
Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt
MehrUserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014
UserManual Handbuch zur Konfiguration einer FRITZ!Box Autor: Version: Hansruedi Steiner 2.0, November 2014 (CHF 2.50/Min) Administration Phone Fax Webseite +41 56 470 46 26 +41 56 470 46 27 www.winet.ch
MehrHANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG
it4sport GmbH HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG Stand 10.07.2014 Version 2.0 1. INHALTSVERZEICHNIS 2. Abbildungsverzeichnis... 3 3. Dokumentenumfang... 4 4. Dokumente anzeigen... 5 4.1 Dokumente
MehrIBM Software Demos Tivoli Provisioning Manager for OS Deployment
Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,
MehrSharePoint Workspace 2010 Installieren & Konfigurieren
[Geben Sie Text ein] SharePoint Workspace 2010 Installieren & Konfigurieren SharePoint Workspace 2010 Installieren & Konfigurieren Inhalt SharePoint Workspace 2010 Installieren... 2 SharePoint Workspace
MehrSicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2
Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen Inhaltsverzeichnis Möglichkeiten zum Datenaustausch... 2 Möglichkeit 1: Datenaustausch mit Ihrem Webbrowser (HTTPS):... 3 Disclaimer...
MehrPrintserver und die Einrichtung von TCP/IP oder LPR Ports
Printserver und die Einrichtung von TCP/IP oder LPR Ports In der Windowswelt werden Drucker auf Printservern mit 2 Arten von Ports eingerichtet. LPR-Ports (Port 515) oder Standard TCP/IP (Port 9100, 9101,9102)
MehrHTBVIEWER INBETRIEBNAHME
HTBVIEWER INBETRIEBNAHME Vorbereitungen und Systemvoraussetzungen... 1 Systemvoraussetzungen... 1 Betriebssystem... 1 Vorbereitungen... 1 Installation und Inbetriebnahme... 1 Installation... 1 Assistenten
MehrFuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7
FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7 Die Installation der FuxMedia Software erfolgt erst NACH Einrichtung des Netzlaufwerks! Menüleiste einblenden, falls nicht vorhanden Die
MehrShellfire PPTP Setup Windows 7
Shellfire PPTP Setup Windows 7 Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ PPTP unter Windows 7 konfiguriert wird. Inhaltsverzeichnis 1. Benötigte Daten... 2 2.
MehrHandbuch ECDL 2003 Professional Modul 2: Tabellenkalkulation Vorlagen benutzen und ändern
Handbuch ECDL 2003 Professional Modul 2: Tabellenkalkulation Vorlagen benutzen und ändern Dateiname: ecdl_p2_02_03_documentation.doc Speicherdatum: 08.12.2004 ECDL 2003 Professional Modul 2 Tabellenkalkulation
Mehr