Selbstgebaute IPS Signaturen und Einsatzszenarien
|
|
- Beate Dieter
- vor 6 Jahren
- Abrufe
Transkript
1 und Einsatzszenarien 67. DFN-Betriebstagung Hendrik Walter, avency GmbH
2 September 17 2
3 Was wir machen avency SYSTEMS & SECURITY IT-Consulting Infrastrukturanalyse Audits, Pentests Beratung, Betriebsunterstützung Trainings IT-Security Endpoint-Security (Antivirus etc.) Network-Security (Firewall-Lösungen) Individualentwicklung Schnittstellen & Server- Architekturen Individual Data Automation Managed Services Domain-Management -Management Secure Hosting Secure Cloud
4 Was ist ein IPS? Intrusion Prevention System Zu deutsch: Eindringungsverhinderungssystem Ziel: Aktive Überwachung des Datenverkehrs. Angriffe und Sicherheitsverletzungen erkennen und ggf. blockieren. September 17 4
5 Möglicher IPS Aufbau Intrusion Prevention System Die IPS Nodes erhalten über SPAN/Mirror Ports von den Switchen aus den gesamten Traffic. Im Falle einer positiven Mustererkennung kann ein Reset zum Switch gesendet werden, um TCP Verbindung zu terminieren, bevor die vollständige Payload das Zielsystem erreicht. September 17 5
6 Möglicher IPS Aufbau Intrusion Prevention System Die IPS Nodes sind inline zwischengeschaltet und befinden sich z. B. direkt zwischen Switch und Firewall. Auf diese Weise können ungewünschte Pakete terminiert werden, bevor irgendetwas den Empfänger erreicht. Um die Ausfallsicherheit zu erhöhen, gibt es s.g. Fail-Open Interface. September 17 6
7 IPS Signaturen selber bauen mit der Forcepoint NGFW (auch bekannt als Stonesoft, McAfee, Intel ) September 17 7
8 Was sind IPS Signaturen? Intrusion Prevention System Ähnlich wie klassische Virenscanner arbeiten IPS Systeme mit Mustererkennung. Die Muster werden auch Signaturen genannt. Neben der Mustererkennung verwenden moderne IPS Systeme auch heuristische Methoden sowie maschinelles Lernen um Angriffe zu erkennen. September 17 8
9 Situationen (Reguläre Ausdrücke) Forcepoint/Stonesoft unterscheidet zwischen: Situationen (Signatur/Muster) Korrelationen (Zusammenhängende Situationen) Situationen und Korrelationen lassen sich beliebig verschachteln. September 17 9
10 Situationen (Reguläre Ausdrücke) Situationen Situationen sind Signaturen, welche in der Regel von Forcepoint erstellt und per automatischem Update verteilt werden. (ca 1-2 mal pro Woche) Zum Beispiel Antivirus Signaturen oder IPS Signaturen September 17 10
11 Reguläre Ausdrücke Situationen beruhen auf regulären Ausdrücken. Der reguläre Ausdruck wird mittels deterministischem endlichem Automaten (DEA) ausgewertet. Die Größe des endlichen Automaten ist limitiert (Speicher). September 17 11
12 Reguläre Ausdrücke September 17 12
13 Reguläre Ausdrücke Endlicher Automat für den regulären Ausdruck.*abc September 17 13
14 Reguläre Ausdrücke Dieser Ausdruck würde den DEA sprengen:.*aaaaaa.* bbbbbb.*aaaaaa b{300} cccccc.* oder x{300} am Anfang eines Ausdrucks wird effizient ausgewertet, in der Mitte würde der DEA aber zu groß..* oder {n} mit großem n darf nur am Beginn eines Ausdruck/Zweig verwendet werden. September 17 14
15 Reguläre Ausdrücke Lösung: Unter-Ausdrücke (sub-expression) regex(<sub-expr>) Beispiel: Finde aaa gefolgt von beliebigen 100 Zeichen außer c gefolgt von bbb.*aaa[^c]{100}bbb würde den DEA sprengen. Daher Unter-Ausdruck verwenden:.*aaa(?[regex( [^c]{100}bbb(?[sid(),cancel]) ) ]) September 17 15
16 Einsatzszenarien Beispiel: Anonymous Low Orbit Ion Cannon (LOIC) DDoS Angriff abwehren. Kontext: HTTP Normalized Request Line Aufruf: GET /index.html?id= &msg=we+are+anonymous Regulärer Ausdruck: (?x).*\?id=(?[regex( [\d\.]{6,10}&msg=(?i)we%20are%20anonymous(?-i) (?[sid(),cancel]))]) September 17 16
17 Einsatzszenarien Fertige Forcepoint IPS Signatur: September 17 17
18 Einsatzszenarien IPS Regel (Beispiel): Wenn LOIC Situation von der Quell Zone Extern auf die Gruppe Webserver zutrifft dann terminiere die Verbindung und setze die Source IP für eine Stunde auf einer oder mehreren Firewalls auf die Blacklist. September 17 18
19 Situationen Situationen werden generell von Forcepoint erstellt/gepflegt und per automatischem Update verteilt (in der Regel ca. 1-2 mal pro Woche). September 17 10
20 Einsatzszenarien Beispiel: Abwehr von WordPress Brute-Force Angriffen (Viele bekannte CMS Systeme (z.b. Wordpress, Joomla, Typo3 etc.) werden häufig aufgrund schwacher Passwörter und nicht nur aufgrund von Exploits gehackt!) Apache Log: xxx.xxx.xxx [22/Sep/2017:18:36: ] "POST /wp-login.php HTTP/1.0" "-" "-" xxx.xxx.xxx [22/Sep/2017:18:36: ] "POST /wp-login.php HTTP/1.0" "-" "-" xxx.xxx.xxx [22/Sep/2017:18:36: ] "POST /wp-login.php HTTP/1.0" "-" "-" xxx.xxx.xxx [22/Sep/2017:18:36: ] "POST /wp-login.php HTTP/1.0" "-" "-" xxx.xxx.xxx [22/Sep/2017:18:36: ] "POST /wp-login.php HTTP/1.0" "-" "-" Kontext: HTTP Normalized Request Line Regulärer Ausdruck für die Erkennung eines Loginseiten-Aufrufs:.*wp-login\.php September 17 20
21 Einsatzszenarien Situation zum Erkennen eines WordPress Loginseiten-Aufrufs September 17 21
22 Einsatzszenarien Korrelierte Situation zum Erkennen eines Brute-Force-Angriffs September 17 22
23 Einsatzszenarien IPS Regel Beispiel: Wenn die Analyzer_Wordpress Situation von der Quell Zone Extern auf die Gruppe Webserver zutrifft, dann terminiere die Verbindung und setze die Source IP für die Destination IP auf einer oder mehreren Firewalls auf die Blacklist und antworte mit einer HTTP Seite. September 17 23
24 Einsatzszenarien Blacklist-Einstellungen September 17 24
25 Einsatzszenarien HTTP Antwortseite bei Terminierung (einfache Nachricht oder individuelles HTML) September 17 25
26 Einsatzszenarien Und was ist mit HTTPS? Möglich via TLS Inspection! Nachteile: Alle Zertifikate inkl. privatem Schlüssel müssen auf dem SMC Server unverschlüsselt abgelegt werden. Bei hunderten bis tausenden Zertifikaten ist das schwer zu verwalten. TLS Inspection ist nur im Inline IPS Mode möglich. (Kein Capture Interface!) Lösungsansatz: Vorgeschalteter Reverse Proxy z.b. nginx September 17 26
27 Einsatzszenarien Komplexeres Signatur Beispiel, IPS als WAF Anwendung: Webservice liest Input aus XML File: POST /register_delegate.php HTTP/1.1 Host: Content-Type: text/xml; charset=utf-8 Content-Length: 100 <?xml version="1.0" encoding="utf-8"?> <user> <name>martin Schulz</name> <title> </title> <location_id>007</location_id> </user>... Annahme: Verwundbarkeit bei Verarbeitung des location_id Parameters, Werte > 256 erzeugen einen Buffer Overflow. Lösung: Variablen im IPS validieren: (?x).*<user>(?[user_tag_seen=1]).*</user>(?[user_tag_seen=0]).*<location_id>(?[user_tag_seen == 1 -> ( parse_dec(3)>256 -> sid() ) ]) September 17 27
28 Anwendungsbeispiele Uni Münster Einsatzszenarien Westfälische Wilhelms-Universität Münster WS 2016/17: Studierende, Mitarbeiter, 238 Gebäude Stonesoft IPS seit 2013 Im IPS im Wesentlichen die vom Hersteller empfohlenen High-Secure Grundschutzregeln False-Positives selten, Regelwerk leicht anpassbar Wenig Aufwand im Tagesgeschäft Im Tagesverlauf ca. 50M FW-Discards und 100k IPS-Terminates September 17 28
29 Anwendungsbeispiel Uni Münster Einsatzszenarien Szenario: RDP- und SSH Server sind oft in der Whiteliste -> Dienste offen im Internet Trotz IPS melden Nutzer immer wieder häufige Attacken insb. gegen RDP und SSH Ports. Verteilte Angriffe sind schwer zu erkennen, vor allem wenn sie mit geringer Bandbreite/Versuchen stattfinden. Auch kann das IPS nicht in den Verkehr hineinsehen, da verschlüsselt. Kann das ZIV nicht was dagegen machen, ihr habt doch ein IPS? September 17 29
30 Anwendungsbeispiel Uni Münster Einsatzszenarien Annahme: Ein normaler menschlicher User macht einen oder höchstens wenige Loginversuche. Angreifer machen das i.d.r. häufig bis super-häufig (mehrere tausend Versuche pro Minute). An dieser Stelle haben wir angesetzt. September 17 30
31 Anwendungsbeispiel Uni Münster Einsatzszenarien 1. Werden innerhalb von 30 Sekunden 4 SSH-Verbindungen von einer Source-IP aus dem Internet (nicht Uni-intern!) zu einer Destination-IP in der Uni versucht, matched die IPS-Situation "SSH-Brute-Force". Es passiert noch nichts (nur Logging). 2. Tritt "SSH-Brute-Force" selber nochmals 3 mal in einem Zeitfenster von max. 10 Minuten auf, so kommt die externe Source-IP für 1 Stunde auf die Firewall-Blacklist. Diese IPS Situation nennt sich dann "SSH-Brute-Force-2". 3. Tritt "SSH-Brute-Force-2" selber nochmals 3 mal in einem Zeitfenster von max. 60 Minuten auf, so kommt die externe Source-IP für 1 Tag auf die Firewall-Blacklist. Diese Situation nennt sich dann "SSH-Brute-Force-3". September 17 31
32 Weitere Anwendungen Einsatzszenarien Schonmal gesehen? (Dank an If eval() is the answer, you're almost certainly asking the wrong question. eval(base64_decode( )) ist zu 99,999% Schadcode! Bei nahezu jeder Kompromittierung PHP-basierter Webanwendungen wird diese Art der code obfuscation verwendet! September 17 32
33 Weitere Anwendungen Einsatzszenarien Können wir Requests/Uploads verhindern, welche diesen String enthalten? Ja! IPS Situation mit regulärem Ausdruck:.*eval\(base64_decode\( Kontext Suche in request line, client stream und text files. Blacklist und Tschüss Last but not least: Tipp für das Säubern der Webserver: $ find. -name "*.php" -print xargs sed -i 's@eval(base64_decode( JGE9y.."));@@g' September 17 33
34 Vielen Dank für Ihre/Eure Aufmerksamkeit! 34
35 Disclaimer Die Nutzung jeglicher Vorschläge (Reguläre Ausdrücke, Regeln, Befehle) erfolgt auf eigene Gefahr! Die Situationen sind nicht von Forcepoint getestet/freigegeben. Jegliche Haftung ist ausgeschlossen. September 17 35
Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung
6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder
MehrCheck Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September 2014. «Eine Firewall ohne IPS ist keine Firewall»
Check Point IPS «Eine Firewall ohne IPS ist keine Firewall» Andreas Leuthold, Security Engineer leuthold@avantec.ch Agenda Warum IPS? Wie funktioniert IPS? Ablauf eines IPS Projekts IPS Warum IPS? Source
MehrIntrusion Detection and Prevention
Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,
MehrGehackte Webapplikationen und Malware
2014-04-11 Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000
MehrOpen Source und Sicherheit
Open Source und Sicherheit Jochen Bauer Inside Security IT Consulting GmbH Nobelstraße 15 70569 Stuttgart info@inside-security.de Open Source und Sicherheit 1 Passive und aktive Sicherheit oder: Sicherheit
MehrFachbereich Medienproduktion
Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo
MehrIntegriertes Management von Sicherheitsvorfällen
Integriertes Management von Sicherheitsvorfällen Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser 18. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 15./16. Februar 2011 Leibniz-Rechenzentrum
MehrIntrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec 2007. Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1
Intrusion Prevention mit IPTables Secure Linux Administration Conference, 6. / 7. Dec 2007 Dr. Michael Schwartzkopff iptables_recent, SLAC 2007 / 1 Übersicht Grundlagen Linux Firewalls: iptables Das recent
MehrIst meine WebSite noch sicher?
Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service
MehrVerteidigungsmaßnahmen gegen SQL Injection
16. Cyber-Sicherheits-Tag, 21. Februar 2017, Hamburg Verteidigungsmaßnahmen gegen SQL Injection CAITA Sachverständigenbüro für IT Infrastruktur und IT Security, Lüneburg Master IT Architect, CISSP und
MehrIntrusion Detection Systeme. Definition (BSI) Alternative Definition IDS
Intrusion Detection Systeme IDS 1 Definition (BSI) Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrHeartbleed Bug (OpenSSL)
Wichtige Informationen Heartbleed Bug (OpenSSL) Ein Angreifen kann durch manipulierte "Heartbeat" Pakete bis zu 16KB des Hauptspeichers des Servers auslesen. Da der Angriffspunkt in der Open SSL Library
MehrNETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,
NETWORK AS A SENSOR AND ENFORCER Christian Besselmann, Brühl, 22.09.2016 1 AXIANS EINE MARKE VON VINCI ENERGIES 1,7 Mrd. Umsatz (2015) 200 Business Units 8.000 Mitarbeiter Vertreten in 15 Ländern Deutschland
MehrAndroid VPN. Am Beispiel eines Netzwerktunnels für das Domain Name System (DNS) 1 Andiodine - Android DNS-VPN
Android VPN Am Beispiel eines Netzwerktunnels für das Domain Name System () 1 Inhalt VPN Framework in Android Übersicht zu Iodine Funktionsweise Demonstration 2 VPN und Android Verfügbar seit Android 4.0
MehrIst meine Website noch sicher?
Ist meine Website noch sicher? Massive Angriffe gegen Joomla, Wordpress,Typo3 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer Straße 8a 50321 Brühl information (at) pallas.de http://www.pallas.de
MehrJUNIPER DATACENTER-LÖSUNGEN NUR FÜR DATACENTER-BETREIBER?
JUNIPER DATACENTER-LÖSUNGEN NUR FÜR DATACENTER-BETREIBER? ZUKÜNFTIGE HERAUSFORDERUNGEN FÜR DC-BETREIBER UND DEREN KUNDEN KARL-HEINZ LUTZ PARTNER DEVELOPMENT DACH 1 Copyright 2014 2013 Juniper Networks,
MehrDas Open Source CMS. Gregor Walter. gw@madgeniuses.net info@i-working.de
Das Open Source CMS Gregor Walter gw@madgeniuses.net info@i-working.de Übersicht Einführung und Geschichte von TYPO3 TYPO3 Features Für Webdesigner Für Redakteure TYPO3 Live - am Beispiel fiwm.de Seite
MehrRadware revolutioniert den DDOS Schutz. Markus Spahn: markuss@radware.com (Sales Manager)
Radware revolutioniert den DDOS Schutz Markus Spahn: markuss@radware.com (Sales Manager) Über Radware Über 10000 Kunden Stetiges Wachstum 144 167 189 193 5 14 38 43 44 55 68 78 81 89 95 109 98 99 00 01
MehrSicherheitsdienste für große Firmen => Teil 2: Firewalls
Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste
MehrProtokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL
TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst
MehrSecurity-Webinar. Jahresrückblick. Dr. Christopher Kunz, filoo GmbH
Security-Webinar Jahresrückblick Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC
MehrReverse Cloud. Michael Weisgerber. Channel Systems Engineer DACH September 2013
Reverse Cloud Michael Weisgerber Channel Systems Engineer DACH September 2013 Öffentliche Wahrnehmung - heute Flame Duqu Stuxnet Page 2 2011 Palo Alto Networks. Proprietary and Confidential. Öffentliche
MehrWas eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009
Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:
MehrSZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit
SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID
Mehr(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12
(Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale
MehrAgieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag
Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo
Mehrisicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand
isicore IDS/IPS auf Anwendungsebene Public IT Security 2012 Maxemilian Hilbrand Vorstellung isicore isicore GmbH ist ein Softwarehaus mit Sitz in Wipperfürth (NRW) Entwicklung von systemnaher Software
Mehr2. Interaktive Web Seiten. action in Formularen. Formular. Superglobale Variablen $ POST, $ GET und $ REQUEST. GET und POST
2. Interaktive Web Seiten GET und POST Die Übertragungsmethoden GET und POST sind im http Protokoll definiert: POST: gibt an, dass sich weitere Daten im Körper der übertragenen Nachricht befinden: z.b.
MehrHÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014
HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,
MehrSchützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015
Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness
MehrSicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach 263 8488 Turbenthal Schweiz
QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2 Sicherheit 1. Benutzernamen und Passwörter werden weder telefonisch noch per Email bekannt gegeben. Diese werden per normaler Post oder Fax zugestellt. Ebenso ist
MehrARCHITEKTUR VON INFORMATIONSSYSTEMEN
ARCHITEKTUR VON INFORMATIONSSYSTEMEN File Transfer Protocol Einleitung Das World Wide Web war ja ursprünglich als verteiltes Dokumentenverwaltungssystem für die akademische Welt gedacht. Das Protokoll
MehrRuby on Rails Sicherheit. Heiko Webers 42@rorsecurity.info
Ruby on Rails Sicherheit Heiko Webers 42@rorsecurity.info Heiko Webers Ruby On Rails Security Project: www.rorsecurity.info E-Book Ruby On Rails Security Ruby On Rails Security Audits Webanwendungen Trends
MehrRed Hat Cluster Suite
Red Hat Cluster Suite Building high-available Applications Thomas Grazer Linuxtage 2008 Outline 1 Clusterarten 2 3 Architektur Konfiguration 4 Clusterarten Was ist eigentlich ein Cluster? Wozu braucht
MehrBreaking the Kill Chain
Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved. Typischer Ablauf eines zielgerichteten
MehrSicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation
Sicherung unternehmenskritischer Werte mit Intrusion Prevention der nächsten Generation Volker Marschner CISSP, Security Consultant Sourcefire GmbH, now part of Cisco Alle waren wurden smart sicher gehackt
MehrWebapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum
Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites
MehrTechnische Anforderungen. zum Empfang. von XML-Nachrichten
Technische Anforderungen zum Empfang von XML-Nachrichten 25.11.2004 Peer Uwe Peters 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ZIEL DIESES DOKUMENTS... 3 3 KONTEXT... 3 4 SENDEWEG... 4 5 ERREICHBARKEIT...
MehrTimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München
Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar
MehrMobilkommunikation. REST-basierte Dienste für verteilte, mobile Anwendungen. A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt
Mobilkommunikation REST-basierte Dienste für verteilte, mobile Anwendungen A. Gillert, A. Grebe, M. Hüffmeyer, C. Vogt Fachhochschule Köln, Institut für Nachrichtentechnik Fachhochschule Köln Anton Gillert,
MehrBest Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /
Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security
MehrTowards Dynamic Attack Recognition for SIEM. Stefan Langeder
Towards Dynamic Attack Recognition for SIEM Stefan Langeder Stefan Langeder 2009-2012: IT Security FH St. Pölten 2012-2014: Information Security FH St. Pölten Seit 2013: Security Consultant ANLX Überblick
MehrWhen your browser turns against you Stealing local files
Information Security When your browser turns against you Stealing local files Eine Präsentation von Alexander Inführ whoami Alexander Inführ Information Security FH. St Pölten Internet Explorer Tester
MehrSolarWinds Engineer s Toolset
SolarWinds Engineer s Toolset Diagnostic Tools Das Engineer s Toolset ist eine Sammlung von 49 wertvoller und sinnvoller Netzwerktools. Die Nr. 1 Suite für jeden Administrator! Die Schwerpunkte liegen
MehrOpenWAF Web Application Firewall
OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang
MehrThe Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer
The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet
MehrELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen
ELIT2012: Security Security: Potentielle Gefahren und Gegenmaßnahmen Gefahrenquellen Brute-Force-Logins Scans Exploits Malware: Viren, Würmer, Trojaner Website-Hijacking DOS, DDOS Gefahrenquellen Internet
MehrAdressauflösung. IP Adresse Physikalische Adresse 128.96.34.1 57:FF:AA:36:AB:11 128.96.34.16 85:48:A4:28:AA:18
Adressauflösung IP Adresse Physikalische Adresse 128.96.34.1 57:FF:AA:36:AB:11 128.96.34.16 85:48:A4:28:AA:18 IP Adresse Physikalische Adresse 128.96.34.15??? 128.96.34.16 85:48:A4:28:AA:18 128.96.34.15
MehrAttachmate Luminet Enterprise Fraud Management
See it, record it, analyse it! Effiziente Fraud Prävention und Erfüllung von Compliance Richtlinien Attachmate Luminet Enterprise Fraud Management Nürnberg, 18.10.2012 Joachim Stampfl Director Technical
MehrInternet Security 2009W Protokoll WLAN Relay
Internet Security 2009W Protokoll WLAN Relay Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 23. Dezember 2009 1 Inhaltsverzeichnis
MehrAnlegen von Entwicklungsumgebungen per Vagrant & Chef
13. August 2015 Inhalt 1 Überblick Vagrant 2 Vagrant Download unter https://www.vagrantup.com/ Konguration per Vagrantle Listing 1: Vagrantle Vagrant. configure ("2") do config config. vm. box = " vivid64
MehrZielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)
Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques) Intrusion Detection und Prevention Systeme IT-Sicherheitssysteme wie ein Intrusion Detection System bzw. Intrusion Prevention System
MehrACCOUNTINFO 1.01 VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010
VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010 VERTRIEBLICHE FRAGEN ZUM FITSMS-GATEWAY mpc networks GmbH Abteilung FitSMS Vertrieb tel +49 (0) 7154-17
MehrSecureMail End2End. State of the Art der E-Mail-Verschlüsselung und -Signatur in Unternehmen mit Organizational & Personal End2End
State of the Art der E-Mail-Verschlüsselung und -Signatur in Unternehmen mit Organizational & Personal Sicher und Bewährt Serverbasierte E-Mail-Verschlüsselung PKI S/MIME PGP Content Filter DLP, AS /AV
MehrNext Generation Firewall: Security & Operation Intelligence
Next Generation Firewall: Security & Operation Intelligence Umfassend über unterschiedliche Infrastrukturbereiche (P, DC, RA) Flexible Umsetzung: unterschiedliche Topologien & Plattformen Eine Richtlinie:
Mehrsecunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.
secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien
MehrPHP-Security. Aleksander Paravac. watz@lug-bamberg.de http://www.lug-bamberg.de. Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27
PHP-Security Aleksander Paravac watz@lug-bamberg.de http://www.lug-bamberg.de Aleksander Paravac (GNU/Linux User Group Bamberg/Forchheim) 1 / 27 Übersicht 1 Motivation 2 Einsatz von PHP auf dem Webserver
MehrRealisierung eines Honeypot-Netzes. Pascal Brückner, Thorsten Strufe Technische Universität Dresden
Realisierung eines Honeypot-Netzes Pascal Brückner, Thorsten Strufe Technische Universität Dresden 1 Motivation 2 Motivation Zielstellung Detektion von Angriffen aus dem Inneren eines Netzwerks, bspw.
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
Mehr1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten,
OUTDOOR webservices 1. Einführung... 1 2. Eigenschaften... 2 2.1. Einsatzszenarien... 2 2.1.1. Externes Benutzer-Management... 2 2.1.2. Synchronisation von Konten, Kostenstellen oder Kostenträgern... 2
MehrCisco Connected Grid Lösung konkreter
Cisco Connected Grid Lösung konkreter René Frank CCIE #6743 Senior Network Engineer Agenda Cisco Connected Grid Produkte Portfolio Cisco Connected Grid Router CGR2010 und CGR1120 Cisco Connected Grid Swiches
MehrWeb Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security
mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der
MehrFree IPA (Identity Policy - Audit)
Free IPA (Identity Policy - Audit) OSDCM: User Management Jürgen Brunk München, 06.05.2014 Agenda 1. Was ist Free IPA? 2. Übersicht 3. CLI und Web-GUI 4. Windows AD Anbindung 5. Framework 6. Umgebung 7.
MehrWelcome to Sicherheit in virtuellen Umgebungen
Welcome to Sicherheit in virtuellen Umgebungen Copyright Infinigate 1 Inhalt Sicherheit in virtuellen Umgebungen Was bedeutet Virtualisierung für die IT Sicherheit Neue Möglichkeiten APT Agentless Security
MehrEmail: Systeme und Möglichkeiten an der Universität Bayreuth. Jour fixe für IT Verantwortliche SS 2012
Email: Systeme und Möglichkeiten an der Universität Bayreuth Jour fixe für IT Verantwortliche SS 2012 1 Übersicht: Emailvolumen Zwei getrennte Mailsysteme für Studenten und Mitarbeiter Mailbenutzer mit
MehrOpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen. Das Projekt Das Produkt
OpenSecurity @ OPEN COMMONS_KONGRESS 2014 OpenSecurity Open Source Sicherheitslösungen schützen Angestellte und Daten in öffentlichen Institutionen Das Projekt Das Produkt Nikolaus Dürk, MAS X-Net Services
MehrAuthentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen
IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:
MehrPalo Alto Networks Innovative vs. Tradition. Matthias Canisius Country Manager DACH
Palo Alto Networks Innovative vs. Tradition Matthias Canisius Country Manager DACH Agenda Grundidee & Architektur Was ist das Besondere und wie funktioniert es? Positionierung In welchen Bereichen kann
MehrSSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd
SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen
MehrSicherheit von Open Source Software
Sicherheit von Open Source Software Wie sicher ist Open Source Software? Lukas Kairies Gliederung 1. Begriffseinführung 1. Freie Software 2. Open Source Software 2. Sicherheitsphilosophien 1. Open Source
MehrVisualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität?
Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten Operations Intelligence mit der Next Generation Firewall Achim Kraus Palo Alto Networks Inc. 11.2013 Sichtbarkeit & Transparenz: Entscheidungsqualität?
MehrAufgaben einer Firewall. Firewalls. Firewall-Arten. Hardwarebasierte Firewalls. Eine Firewall überwacht den sie durchquerenden Datenverkehr.
Aufgaben einer Firewall Eine Firewall überwacht den sie durchquerenden Datenverkehr. Firewalls Dabei entscheidet die Firewall anhand vorher festgelegter Regeln, ob bestimmte Datenpakete durchgelassen werden
MehrDestructive AJAX. Stefan Proksch Christoph Kirchmayr
Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell
MehrWildFly Application Server Administration
WildFly Application Server Administration Seminarunterlage Version: 1.04 Version 1.04 vom 18. Januar 2017 Dieses Dokument wird durch die veröffentlicht.. Alle Rechte vorbehalten. Alle Produkt- und Dienstleistungs-Bezeichnungen
Mehrmva internet services
SICHERHEITSRICHTLINIEN UND -SERVICES SOWIE SERVICE LEVEL AGREEMENT MvA Managed Server / MvA Server / MvA Serverhousing / MvA Cloud Services / MvA VirtualServer Stand: Ende September 2016 v0.4. Sicherheitsrichtlinien
MehrRemote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de
Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene
MehrDeep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon
Deep Security Die optimale Sicherheitsplattform für VMware Umgebungen Thomas Enns -Westcon Agenda Platformen Module Aufbau Funktion der einzelnen Komponenten Policy 2 Platformen Physisch Virtuell Cloud
MehrMarc Skupin Werner Petri. Security Appliances
There s s a new kid in town! Marc Skupin Werner Petri Security Appliances tuxgate Ein Saarländischer Hersteller Wer ist? Sicherheit, warum? Wieviel Sicherheit? tuxgate Security Appliances tuxgate 1998
MehrNext Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH
Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte
MehrKurzeinführung VPN. Veranstaltung. Rechnernetze II
Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes
MehrLive Hacking: : So brechen Hacker in Ihre Netze ein
Live Hacking: : So brechen Hacker in Ihre Netze ein Security Consultant Micha Borrmann SySS GmbH Friedrich-Dannenmann-Str. 2 D-72070 Tübingen Agenda 1. Einleitung 2. Netbios-Angriffe
MehrSicherheit im Internet - Datenschutz als Standortvorteil im E-Business -
Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:
MehrDefinition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten
Definition (BSI) Intrusion Detection Systeme IDS Aktive Überwachung von Systemen und Netzen mit dem Ziel der Erkennung von Angriffen und Missbrauch. Aus allen im Überwachungsbereich stattfindenen Ereignissen
MehrDie Herausforderungen in der Logfileanalyse zur Angriffserkennung
Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den
MehrIntrusion Detection Basics
Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:
Mehr1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.
Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie
Mehrestos XMPP Proxy 5.1.30.33611
estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7
MehrSkalierbarer ILIAS Betrieb auf OpenStack OpenNebula Cloud. (Unter Nutzung günstiger Off-the-shelf-Hardware )
Skalierbarer ILIAS Betrieb auf OpenStack OpenNebula Cloud (Unter Nutzung günstiger Off-the-shelf-Hardware ) Vorstellung des Unternehmens Gründung im Juni 2000 Bereits zuvor Kooperation der drei Gründer
MehrÜbung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen
Übung zu Verteilte Betriebssysteme (WS 2003) Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Andreas I. Schmied Verteilte Systeme Universität Ulm Mail zur Übung an vbs@vs.informatik.uni-ulm.de
MehrSchwachstellenanalyse 2013
Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrIntrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit
Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen
MehrVarnish + TYPO3. CH-TUG Varnish + TYPO3
Varnish + TYPO3 1 Agenda Über Varnish Varnish + TYPO3 Case Studies 2 Varnish Software AS die Firma 2005: Idee bei Verdens Gang AS Poul-Henning Kamp Redpill Linpro / Varnish Software AS BSD License 2006:
MehrAnleitung REST API Schneelast-Messsystem SMS
Anleitung REST API Schneelast-Messsystem SMS Version 2.01 REST API Schneelast-Messsystem SMS Die API (Schnittstelle) ist als sogenannter RESTful Webservice angelegt, bei dem jede Funktion über eine eindeutige
MehrNetwork Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)
Network Intrusion Detection mit Snort (Nachtrag zu 9.2.2, Seite 33) www.snort.org www.snort.org/docs/snort_htmanuals/htmanual_280/ ITS-9.2.snort 1 snort ist das Standard-Werkzeug für ID, vielseitig einsetzbar
MehrHeaders, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014
Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014 Markus Manzke SLAC 2014 / Berlin 13.03.2014 "If you spend more on coffee than on IT security, then you will be hacked." -- Richard
MehrWeb-Anwendungsentwicklung mit dem Delivery Server
Web-Anwendungsentwicklung mit dem Delivery Server Java-Framework auf Basis der Open API Bernfried Howe, Webertise Consulting GmbH WEBertise Consulting Dipl. Informatiker (Wirtschaftsinformatik) 2001-2010
MehrBalaBit Shell Control Box Revisionssicheres Monitoring von IT-Infrastrukturen
BalaBit Shell Control Box Revisionssicheres Monitoring von IT-Infrastrukturen Security Lunch terreactive AG, 25.09.2012 - Restaurant Metropol, Zürich Martin Grauel martin.grauel@balabit.com +49 170 8067
Mehr