Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen



Ähnliche Dokumente
Resolver! DNS: Liefert Resolver cached Antwort (mit Flag Time To Life, TTL)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Fachbereich Medienproduktion

VIRTUAL PRIVATE NETWORKS

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Connectivity Everywhere

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Technische Grundlagen von Internetzugängen

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Telekommunikationsmanagement

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

TCP/IP-Protokollfamilie

Firewalls für Lexware Info Service konfigurieren

Aufgabe 12.1b: Mobilfunknetzwerke

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Aufbau und Funktion eines VPN- Netzwerkes

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Daten Monitoring und VPN Fernwartung

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Firewalls für Lexware Info Service konfigurieren

Collax PPTP-VPN. Howto

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Verteilte Systeme Unsicherheit in Verteilten Systemen

Verteilte Systeme. Übung 10. Jens Müller-Iden

Seminar: Konzepte von Betriebssytem- Komponenten

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

VPN Virtual Private Network

Idee des Paket-Filters

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Einführung. zum Thema. Firewalls

Einleitung Sniffing, Analyzing, Scanning Scanning. Netzwerke. Bierfert, Feresst, Günther, Schuster. 21. März 2006

Beschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x)

Zehn SSH Tricks. Julius Plen z

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

NAS 224 Externer Zugang manuelle Konfiguration

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Virtual Private Network

Workshop: IPSec. 20. Chaos Communication Congress

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

1. Konfiguration Outlook 2007 MAPI (mit Autodiscover).

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Grundkurs Routing im Internet mit Übungen

VPN/WLAN an der Universität Freiburg

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Das Kerberos-Protokoll

Anbindung des eibport an das Internet

D-Link VPN-IPSEC Test Aufbau

THUNDERBIRD. 1 Was ist sigmail.de? 2 Warum sigmail.de? UP ESUTB.8-1-2

Internetzugang Modul 129 Netzwerk Grundlagen

VPN Gateway (Cisco Router)

9 Schlüsseleinigung, Schlüsselaustausch

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Comtarsia SignOn Familie

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

Internet LUFA. Topologiebeschreibung LUFA Speyer Gesamtübersicht. Co Location in einem RZ. LUFA Speyer Topologiebeschreibung Projekt Nr.

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Client/Server-Systeme

Einführung in die. Netzwerktecknik

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von Simon Knierim & Benjamin Skirlo.

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client

Guide DynDNS und Portforwarding

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Multimedia und Datenkommunikation

Benutzerhandbuch - Anbindung

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Sorgfalt im Umgang mit Identitätskennungen (fürs Zertifikat)

VPN: Virtual-Private-Networks

Kontrollfragen Firewalltypen

PCs fernsteuern mit Teamviewer

HBF IT-Systeme. BBU-BSK Übung 2 Stand:

17 Ein Beispiel aus der realen Welt: Google Wallet

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Transkript:

IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll: Schlüsselaustausch Mit und ohne Instanzauthentisierung (über Zertifikate oder Pre Master Keys (vorab ausgetauscht)) Generierung von Security Associations (SA) Für Kommunikation A! B und B! A Inhalt SA: Schlüssel (für Versch. + Auth.), IV, Algoritm Identifier SAs sind identifiziert über Security Parameter Index (SPI, 32 Bit) ESP: Verschlüsselung und Datenauthentisierung (zwei Modi) Transportmodus: Direkte Verbindung von Host zu Host IP- authentisiert! TCP- Nutzlast (+ Padding) verschlüsselt! Authentisierung Tunnelmodus: Verbindung zwischen Security Gateways (z.b. für VPN) Neuer IP- authentisiert! Org. IP- TCP- Nutzlast (+ Padding) verschlüsselt! Auth. Inhalte im : SPI, Sequenznummer 98

19.2 Angreifertyp 2: Netzwerksicherheit Erinnerung: Angri e auf lokales Netzwerk Angreifer ist ein bösartiger Knoten außerhalb des lok. Netzes Beispiel. Mit Remote Login (rlogin) host-based Autentisierung möglich. Nutzer ist bereits in einem vertrauenswürdigen Rechner eingeloggt Einloggen ohne Passwort (unter selbem Nutzer) möglich Festlegung in der Datei /etc/hosts.equiv (root) oder rhosts (Nutzer) Verbindung zwischen beiden Rechnern (C und S) über TCP Verbindungsaufbau (TCP-Handshake): C! S : SYN, ISS C (32 Bit Seq.-Nummer) S! C : SYN ACK, ISS S, ACK(ISS C ):=ISS C +1 C! S : ACK, ISS C +1,ACK(ISS S ) SYN (Synchronize), ACK (Acknowledgment): Flags im TCP- Verbindung: ISS C, ISS S sind Paketnummern, Empfänger quittiert (ACK) Verbindungsabbau: C oder S sended FIN-Flag Ziel des Angreifers A außerhalb des lok. Netzes (TCP Session Hijacking): Senden eines Befehls über rlogin auf S mit Privilegien eines Nutzer U Nebenbedingung: U ist bereits auf C eingeloggt Vorgehen: Angreifer A beginnt Handshack (mit Adresse von C): A(C)! S : ISS A Problem 1: Antwort wird von S zu C geschickt (A kennt ISS S nicht) 99

Lösung: ISS ist i.a. nicht zufällig (wird einfach hochgezählt) Bsp. Berkley Unix: Jede Sekunde um 128, für jeden Versuch um 64 Angreifer baut zunächst reguläre Verbindung zu S auf A! S : ISS A ; S! A : ISS S, ACK(ISS A ) Danach sofort A(C)! S :ISS A(C) ; S! A : ISS 0 S, ACK(ISS A(C)) A kann ISS 0 S mit hoher Wkeit erraten (über Kenntnis von ISS S) Problem 2: C erhält Antwort auf ein Paket (und sendet FIN-Flag) S akz. damit keine auf ISS 0 S basierenden Pakete mehr) Lösung: TCP Syn Flooding (typische DoS-Attacke) A sendet SYN-Anfragen an C ohne auf Cs ACKzuantworten A hält alle Verbindungsanfragen o en (bis Maximum erreicht ist) ACKs von Ss werden nicht mehr verarbeitet (kein senden der FIN) Verhinderung des Angri s: Keine Verwendung von host-based Authentisierung Krypt. Vernetzung auch im lok. Netz (Kerberos) Firewalls: IP-Pakete von außen mit int. Adressen blockieren Intrusion Detection: Erkennen von Anomalien Firewall-Technolgien Grundidee: Gesamter Datenverkehr zw. innen (lok. Netz) und außen (Internet) läuft über eine Firewall Zugri e können kontrolliert werden (Sicherheitsstrategie) Zugri e können protokoliert werden Wir unterscheiden (werden häufig kombiniert): Paketfilter, Zustandsgesteuerte Filter, Proxiy-Filter, Applikationsfilter 100

Paketfilter: Angesiedelt auf IP- und Transportlayer Entscheidung an Hand der IP- und TCP-: Absender (Adresse, Port), Empfänger (Adresse, Port), Protokoll (http, smtp,...) Sicherheitsstrategie: Festlegung über Tabelle: Beispiel. Auszug aus einer Sicherheitstabelle Aktionen IP-Adr. Abs. Port Abs. IP-Adr. Empf. Port Empf. Protokoll Appl.-Layer Bedeutung blockieren intern? intern?? Bsp. oben PC Kein Zugri blockieren???? Pool nach außen intern erlauben 80? 80 http auth. (? =alle) Vorteil: Einfach umsetzbar (auch in Routern mit beschr. Ressourcen) Nachteil: statische Tabelle, Nutzlast wird nicht analysiert Zustandsgesteuerte Filter: Angesiedelt auf IP- und Transportlayer Beispiel. Client C möchte via http auf Server S zugreifen Zulassen von Paketen S http! C nur, wenn vorab C http! S Proxy-Filter (Stellvertreter): Angesiedelt auf Transport Layer Beispiel. Client C will Server S kontaktieren Proxy P tritt gegenüber S als Client C auf und gegenüber C als Server S Vorteil: Client muss keine Sicherheitstrategie umsetzen (erlaubt nur interne Kommunikation) 101

Umfangreiche Regeln umsetzbar (auch Analyse Nutzlast) Nachteile: Komplex und damit selbst Ziel von Angri en Application-Filter: Angesiedelt auf Schicht 7 (Application Layer) Analyse der Nutzlast nach bekannten Angri en (Viren, Würmer,...) lokales Netz Application Filter Client http-proxy smtp-proxy Router Vorteil: Deutlich bessere Analyse möglich Nachteil: Komplex, daher selbst eine potentielle Schwachstelle Lösung: Analyse der Nutzlast in gesicherter Umgebung (Sandbox) Absicherung des Appl.-Filters durch andere Firewalls Entmilitarisierte Zone (Demilitarized Zone, DMZ) 102

Sandbox lokales Netz Client Application- Filter Paket- Filter Router entmilitarisierte Zone 103

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback