Firewalls - Aufgaben · 2003. 1. 13. · Firewalls • Vergleich mit Burgtor / Burggraben einer...
10
TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer Kapitel 7: Verfügbarkeit und Zugangskontrolle Wintersemester 2002/2003 Prof. Dr. Stefan Fischer IBR, TU Braunschweig Sicherheit in Netzen u. verteilten Systemen Kapitel 7: Verfügbarkeit und Zugriffskontrolle 7-2 Überblick • Firewalls – Zweck – Komponenten – Konfigurationen • Andere Zugriffschutzmechanismen – Intrusion Detection Systems • Lösungen für Telearbeitsplatze – Virtual Private Networks – Datensicherheit bei mobilen Geräten Prof. Dr. Stefan Fischer IBR, TU Braunschweig Sicherheit in Netzen u. verteilten Systemen Kapitel 7: Verfügbarkeit und Zugriffskontrolle 7-3 Firewalls • Vergleich mit Burgtor / Burggraben einer mittelalterlichen Burg: – Erlaubt Eintritt nur an bestimmter Stelle – Verhindert, dass Angreifer an weitere Verteidigungsanlagen herankommt – Sorgt dafür, dass System nur an einem bewachten Punkt verlassen werden kann • Grenze zwischen unsicherem und vertrauenswürdigem Netz • Meist: zwischen Internet und Intranet Prof. Dr. Stefan Fischer IBR, TU Braunschweig Sicherheit in Netzen u. verteilten Systemen Kapitel 7: Verfügbarkeit und Zugriffskontrolle 7-4 Firewalls - Aufgaben • Durchlass von akzeptablem Netzverkehr • Verkehr ist akzeptabel, wenn er der Sicherheitspolitik des Betreibers genügt • Die Sicherheitspolitik ist eine Menge von Filterregeln • Je mehr Möglichkeiten die Angabe von Filterregeln bietet, desto feiner kann Netzverkehr beschrieben und unterschieden werden • Aber: desto schwieriger wird es auch, unerwünschten Verkehr garantiert zu beschränken
Transcript of Firewalls - Aufgaben · 2003. 1. 13. · Firewalls • Vergleich mit Burgtor / Burggraben einer...
TU
Bra
unsc
hwei
gIn
stitu
t für
Bet
riebs
syst
eme
und
Rec
hner
verb
und
Sic
herh
eit i
n N
etze
n un
d ve
rtei
lten
Sys
tem
enP
rof.
Dr.
Ste
fan
Fis
cher
Kap
itel
7:
Ver
füg
bar
keit
un
d
Zu
gan
gsk
on
tro
lleW
inte
rsem
este
r 20
02/2
003
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
2
Übe
rblic
k
•F
irew
alls
–Z
wec
k–
Kom
pone
nten
–K
onfig
urat
ione
n
•A
nder
e Z
ugrif
fsch
utzm
echa
nism
en–
Intr
usio
nD
etec
tion
Sys
tem
s
•Lö
sung
en fü
r T
elea
rbei
tspl
atze
–V
irtua
lPriv
ate
Net
wor
ks–
Dat
ensi
cher
heit
bei m
obile
n G
erät
en
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
3
Fire
wal
ls
•V
ergl
eich
mit
Bur
gtor
/ B
urgg
rabe
n ei
ner
mitt
elal
terli
chen
Bur
g:–
Erla
ubt E
intr
itt n
ur a
n be
stim
mte
r S
telle
–V
erhi
nder
t, da
ss A
ngre
ifer
an w
eite
re
Ver
teid
igun
gsan
lage
n he
rank
omm
t–
Sor
gt d
afür
, das
s S
yste
m n
ur a
n ei
nem
be
wac
hten
Pun
kt v
erla
ssen
wer
den
kann
•G
renz
e zw
isch
en u
nsic
here
m u
nd
vert
raue
nsw
ürdi
gem
Net
z•
Mei
st: z
wis
chen
Inte
rnet
und
Intr
anet
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
4
Fire
wal
ls-
Auf
gabe
n
•D
urch
lass
von
akz
epta
blem
Net
zver
kehr
•V
erke
hr is
t akz
epta
bel,
wen
n er
der
Sic
herh
eits
polit
ik
des
Bet
reib
ers
genü
gt•
Die
Sic
herh
eits
polit
ik is
t ein
e M
enge
von
Filt
erre
geln
•Je
meh
r M
öglic
hkei
ten
die
Ang
abe
von
Filt
erre
geln
bi
etet
, des
to fe
iner
kan
n N
etzv
erke
hr b
esch
riebe
n un
d un
ters
chie
den
wer
den
•A
ber:
des
to s
chw
ierig
er w
ird e
s au
ch, u
nerw
ünsc
hten
V
erke
hr g
aran
tiert
zu
besc
hrän
ken
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
5
Was
ein
Fire
wal
lkan
n...
•D
en D
aten
verk
ehr
anal
ysie
ren,
z.B
.–
Filt
erre
geln
bas
iere
nd a
uf IP
-Adr
esse
und
/ode
r P
ortn
umm
er–
Filt
erre
geln
bas
iere
nd a
uf d
en In
halte
n de
r P
aket
e (a
lso
Aus
wer
tung
höh
erer
Sch
icht
en)
•N
icht
akz
epta
blen
Ver
kehr
bes
chrä
nken
(=
verw
erfe
n)•
Den
Net
zver
kehr
pro
toko
llier
en•
Zus
ätzl
ich
evtl.
Ana
lyse
und
Intr
usio
nD
etec
tion
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
6
Was
ein
Fire
wal
lnic
ht k
ann.
..
•K
ein
Sch
utz
gege
n bö
sart
ige
„Ins
ider
“•
Kei
n S
chut
z ge
gen
Ver
kehr
, der
gar
nic
ht d
urch
F
irew
allg
eht (
z.B
. Mod
emzu
gang
)–
Zus
ätzl
iche
Net
zzug
änge
sol
lten
dahe
r ve
rmie
den
wer
den
oder
ebe
nfal
ls ü
ber
Fire
wal
lger
oute
tsei
n–
Spe
iche
rmed
ien
(CD
-RO
M, D
iske
tten,
...)
sin
d w
ahrs
chei
nlic
he M
ittel
, um
rel
evan
te In
form
atio
nen
zu
tran
spor
tiere
n
•K
ein
Sch
utz
gege
n un
beka
nnte
Bed
rohu
ngen
•K
ein
wirk
liche
r S
chut
z ge
gen
Vire
n / W
ürm
er /
Tro
jani
sche
Pfe
rde
–D
enn
dies
e st
elle
n „r
egul
äre“
Dat
en d
ar, d
ie ü
bert
rage
n w
erde
n
•F
irew
alls
könn
en n
ur fu
nktio
nier
en, w
enn
sie
Tei
l ei
ner
betr
eibe
rwei
ten
Sic
herh
eits
arch
itekt
ur s
ind!
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
7
Arc
hite
ktur
von
Fire
wal
ls
•E
in F
irew
allk
ann
aus
vers
chie
dene
n lo
gisc
hen
Kom
pone
nten
bes
tehe
n:–
Pak
etfil
ter
–C
ircui
tLev
el G
atew
ay–
App
licat
ion
Gat
eway
(Pro
xy S
erve
r)
•R
ealis
ieru
ng in
–R
oute
rn–
Bas
tion
Hos
ts
•D
ie e
inze
lnen
Kom
pone
nten
müs
sen
jedo
ch
nich
t unb
edin
gt p
hysi
kalis
ch a
uf
vers
chie
dene
n R
echn
ern
lauf
en
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
8
Pak
etfil
ter
•A
naly
sier
en N
etzv
erke
hr
auf d
er T
rans
port
-un
d N
etzw
erks
chic
ht–
Filt
erun
g an
hand
IP-
Adr
esse
, Por
tnum
mer
und
P
roto
koll
•A
ls P
aket
filte
r w
erde
n m
eist
Rou
ter
verw
ende
t•
Pak
etfil
ter
arbe
iten
sehr
sc
hnel
l•
Pak
etfil
ter
sind
tran
spar
ent
für
den
Ben
utze
r
Pake
tfilte
r
Intra
net
Inte
rne
t
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
9
Vor
-/ N
acht
eile
von
Pak
etfil
tern
•V
orte
ile–
Zug
riff a
uf N
etzd
iens
te g
esch
ieht
völ
lig
tran
spar
ent
–D
ie m
eist
en R
oute
run
ters
tütz
en d
ie A
ngab
e vo
n F
ilter
rege
ln, s
odas
s ke
ine
teur
e Z
usat
zhar
dwar
e nö
tig is
t
•N
acht
eile
–K
onfig
urat
ion
sehr
sch
wie
rig–
Nac
hwei
s, o
b da
s S
yste
m w
irklic
h nu
r ge
wün
scht
en V
erke
hr d
urch
läss
t, is
t oft
schw
er z
u er
brin
gen
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
10
Pro
xy S
erve
r
•=
App
licat
ion
Gat
eway
s•
Erla
uben
Zug
riff a
uf D
iens
te d
es In
tern
et•
Zug
riffe
lauf
en n
icht
dire
kt, s
onde
rn m
it de
m P
roxy
S
erve
r al
s „M
ittel
sman
n“ a
b•
Kon
trol
le k
ann
auf d
er A
nwen
dung
sebe
nest
attfi
nden
; d.
h., e
vtl.
könn
en e
inze
lne
Anw
endu
ngsk
omm
ando
sve
rbot
en w
erde
n
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
11
War
um P
roxy
Ser
ver?
•D
irekt
er Z
ugan
g zu
Die
nste
n im
Inte
rnet
be
denk
lich
•E
infa
che
Lösu
ng: n
ur e
in g
esic
hert
er
Rec
hner
/ B
astio
n H
ost w
ird a
ns In
tern
et
ange
schl
osse
n•
Abe
r: a
lle B
enut
zer
müs
sten
sic
h au
f die
sem
R
echn
er e
inlo
ggen
, um
die
Die
nste
zu
nutz
en•
Pro
xy S
erve
r er
mög
licht
die
Ben
utzu
ng
dies
es g
esic
hert
en R
echn
ers,
abe
r is
t tr
ansp
aren
t für
den
Ben
utze
r
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
12
Vor
-/ N
acht
eile
von
Pro
xy S
erve
rn
•V
orte
ile–
Tra
nspa
rent
er Z
ugrif
f auf
vie
le D
iens
te–
Erla
uben
/Ver
biet
en b
estim
mte
r A
ktio
nen
kann
auf
A
nwen
dung
sebe
ne g
esch
ehen
–P
roto
kolli
erun
g w
ird e
infa
cher
•N
acht
eile
–F
ür v
iele
Die
nste
ist k
eine
Pro
xy-F
unkt
iona
lität
vor
hand
en–
Inst
alla
tion
von
Pro
xy-M
odul
en fü
r D
iens
te k
ann
Sic
herh
eits
lück
en ö
ffnen
–Z
.T. m
üsse
n di
e A
nwen
dung
en P
roxy
-Fun
ktio
nalit
ät
besi
tzen
, um
übe
rhau
pt e
inen
Pro
xy-D
iens
t zu
nutz
en (
also
si
nd n
icht
alle
Die
nste
tran
spar
ent)
–P
roxy
Ser
ver
könn
en e
benf
alls
nic
ht (
oder
nur
teilw
eise
) fe
stst
elle
n, o
b di
e üb
ertr
agen
en N
utzd
aten
„bö
se“
sind
(al
so
Vire
n, W
ürm
er o
der
troj
anis
che
Pfe
rde
bein
halte
n)
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
13
Circ
uitL
evel
Gat
eway
•E
s w
erde
n zw
ei T
CP
-Ver
bind
unge
nau
fgeb
aut.
•T
CP
-Seg
men
tew
erde
n vo
n ei
ner
zur
ande
ren
über
gebe
n.
•E
s fin
det k
eine
Kon
trol
le a
uf A
nwen
dung
sebe
nest
att.
•S
iche
rhei
t bes
teht
in d
er A
usw
ahl d
er z
uzul
asse
nden
V
erbi
ndun
gen.
•A
nwen
dung
: für
sic
here
Ver
bind
unge
n na
ch d
rauß
en,
gerin
gere
r O
verh
ead
als
beim
App
licat
ion
Gat
ewa
y
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
14
Bas
tion
Hos
t
•B
astio
n H
ost r
eprä
sent
iert
das
Intr
anet
nac
h au
ßen
•B
astio
n H
ost i
st d
en A
ngrif
fen
aus
dem
Inte
rnet
au
sges
etzt
•S
iche
rhei
t äuß
erst
wic
htig
–K
onfig
urat
ion
sollt
e m
öglic
hst e
infa
ch u
nd ü
bers
icht
lich
sein
–Je
der
unnö
tige
Die
nst s
ollte
ent
fern
t wer
den
–E
s m
uss
mit
Ang
riffe
n ge
rech
net w
erde
n–
Reg
elm
äßig
er T
est a
uf S
iche
rhei
tslö
cher
mit
ents
pr.
Wer
kzeu
gen
(etw
a S
AIN
T, N
essu
s, u
.a.)
–E
ntfe
rnun
g al
ler
Ent
wic
klun
gs-
und
Inst
alla
tions
wer
kzeu
ge
(Com
pile
r, M
ake-
Too
ls, e
tc.)
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
15
Fire
wal
l-Kon
figur
atio
nen
•O
ftmal
s be
steh
en F
irew
alls
aus
Kom
bina
tione
n di
eser
Kom
pone
nten
, die
auf
ve
rsch
iede
ne A
rt u
nd W
eise
ang
eord
net
wer
den
•B
ekan
nte
Kon
figur
atio
nen:
–D
ual-H
omed
Fire
wal
l–
Scr
eene
d-H
ostF
irew
all
–S
cree
ned-
Sub
netF
irew
all
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
16
Dua
l-Hom
edH
ost F
irew
all
•D
ual-H
omed
Hos
t =
Rec
hner
, der
mit
zwei
N
etzw
erke
n ve
rbun
den
ist
•H
ier:
Inte
rnet
und
Intr
anet
•K
eine
dire
kte
Ver
bind
ung
zw. I
nter
-un
d In
tran
et•
Kom
mun
ikat
ion
nur
von
/ zu
Bas
tion
Hos
t mög
lich
•O
ft in
ein
em R
echn
er
vere
int
•P
roxy
-Fun
ktio
nalit
ät•
Abe
r: „
Sin
gle
Poi
nt o
f F
ailu
re“
Inte
rne
t
Pake
tfilte
rBa
stio
nH
ost
Intra
net
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
17
Scr
eene
dH
ost F
irew
all
•B
astio
n H
ost h
at n
ur n
och
Ver
bind
ung
zum
Intr
anet
–Is
t als
o ke
in D
ual-H
omed
Hos
t m
ehr
•Z
usät
zlic
her
Rou
ter
als
Pak
etfil
ter
am Ü
berg
ang
Inte
rnet
/ In
tran
et•
Wird
der
Pak
etfil
ter
über
liste
t, is
t der
Ang
reife
r im
Intr
anet
•„S
ingl
e P
oint
of F
ailu
re“
Pake
tfilte
r
Bast
ion
Ho
st
Intra
net
Inte
rne
t
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
18
Scr
eene
dS
ubne
t Fire
wal
l
•Z
wei
Pak
etfil
ter/
Rou
ter,
da
zwis
chen
lieg
t die
D
eMili
taris
iert
eZ
one
(DM
Z)
= P
erim
eter
Net
wor
k•
Bas
tion
Hos
t lie
gt in
der
D
MZ
•A
ngre
ifer
müs
sen
nun
also
D
RE
I Sys
tem
e üb
erw
inde
n,
um Z
ugrif
f auf
das
Intr
anet
zu
bek
omm
en•
Lösu
ng d
es „
Sin
gle
Poi
nt o
f Fai
lure
“-P
robl
ems
Inte
rior R
out
er
Bast
ion
Ho
stEx
terio
rRo
ute
r
Intra
net
Perim
ete
r Ne
two
rk
Inte
rne
t
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
19
Intr
usio
nD
etec
tion
Sys
tem
e (I
DS
)
•N
etw
ork
IDS
(N
IDS
)–
eige
nstä
ndig
es S
yste
m m
it sp
ezie
llem
TC
P/IP
Sta
ck–
über
prüf
t alle
Pak
ete/
Dat
enst
röm
e au
f ver
däch
tige
Sig
natu
ren
oder
ille
gale
Pak
etpa
ram
eter
(zu
lang
e P
aket
e, u
nsin
nige
Wer
te
in P
aket
köpf
en, e
tc.)
•H
ost I
DS
(H
IDS
)–
Inst
allie
rt a
uf e
iner
Mas
chin
e–
Übe
rprü
ft V
erän
deru
ngen
von
Dat
eien
und
Rec
hten
•M
öglic
he M
aßna
hmen
bei
Ein
bruc
hsve
rdac
ht:
–R
ekon
figur
atio
nvo
n F
irew
all/R
oute
r–
NT
Eve
nt/s
yslo
g: E
reig
nis
in (
zent
rale
r) L
ogda
tei
–E
-Mai
l/SM
S a
n zu
stän
dige
Per
son
–S
NM
P-E
vent
s an
Man
agem
ent A
pplik
atio
n
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
20
Hon
eypo
ts u
nd H
oney
nets
•H
onig
töpf
e:
–S
yste
me
mit
absi
chtli
ch g
eöffn
eten
Sch
wac
hste
llen
und
Die
nste
n, G
efah
r: Ü
bern
ahm
e di
eser
Sys
tem
e di
ent a
ls
Pla
ttfor
m z
um A
ngrif
f der
Pro
dukt
ivsy
stem
e–
And
erer
Ans
atz:
Sim
ulie
rte
Die
nste
und
Sys
tem
e
•H
oney
nets
: gan
zes
Net
zwer
k vo
n H
oney
pot
Sys
tem
en (
real
istis
cher
es S
zena
rio fü
r A
ngre
ifer)
•S
olle
n vo
n P
rodu
ktiv
syst
emen
abl
enke
n•
Da
wen
ig V
erke
hrsa
ufko
mm
en a
uf H
oney
pots
he
rrsc
ht is
t Ana
lyse
von
Ang
riffe
n ei
nfac
her
–Lo
gdat
eien
sind
kür
zer
und
über
sich
tlich
er
•W
isse
nsbe
scha
ffung
übe
r ne
ue A
ngrif
fsm
etho
den
und
Wer
kzeu
ge: L
erne
den
Fei
nd k
enne
n!
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
21
Hon
eypo
ts u
nd H
oney
nets
•O
pen
Sou
rce:
–S
nort
(ww
w.s
nort
.org
)–
Arg
us
•K
omm
erzi
elle
Pro
dukt
e:–
Net
wor
k A
ssoc
iate
s, C
yber
cop
Stin
g –
Trip
wire
, Trip
wire
–
Fre
d C
ohen
and
Ass
ocia
tes,
Dec
eptio
n T
oolk
it –
Rec
ours
e T
echn
olog
ies,
Man
Tra
p
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
22
Sic
herh
eits
scan
ner
•W
erkz
euge
zur
Übe
rprü
fung
der
S
iche
rhei
tsei
nste
llung
en b
ei F
irew
alls
und
IDS
•P
orts
cann
er•
Bsp
:–
Nes
sus
(ww
w.n
essu
s.or
g)–
Sai
nt–
ISS
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
23
Rem
ote
Acc
ess
Sol
utio
ns
•W
elch
e A
pplik
atio
nen
solle
n be
nutz
t wer
den?
•W
elch
e A
rt v
on B
enut
zer?
Wie
viel
eB
enut
zer?
•W
elch
e A
rt d
er V
erbi
ndun
g so
ll ge
nutz
t w
erde
n?–
Poi
nt-t
o-P
oint
(M
odem
/ISD
N-E
inw
ahl i
ns
Firm
enne
tz),
übe
r da
s öf
fent
liche
Tel
efon
netz
–V
PN
(V
irtua
lPriv
ate
Net
wor
k), E
inw
ahl ü
ber
eine
n be
liebi
gen
Inte
rnet
prov
ider
•S
iche
rhei
t–
Wor
auf i
st z
u ac
hten
, wel
che
Mög
lichk
eite
n gi
bt e
s
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
24
Aut
hent
ifizi
erun
g de
r B
enut
zer
•Lo
kale
Aut
hent
ifizi
erun
g: P
AP
(P
assw
ord
Aut
hent
ifica
tion
Pro
toco
l) od
er C
HA
P (
Cha
lleng
eA
uthe
ntifi
catio
nP
roto
col)
bei P
PP
/ P
PT
P•
Ext
erne
RA
DIU
S A
uthe
ntifi
zier
ung
(Rem
ote
Acc
ess
DIa
l-up
Use
r S
erve
r)–
Zen
tral
e B
enut
zera
dmin
istr
atio
n au
f RA
DIU
S S
erve
r
•E
xter
ne W
indo
ws
NT
od.
Nov
ellB
enut
zer
Aut
hent
ifizi
erun
g–
Zen
tral
e B
enut
zer/
Rec
htea
dmin
istr
atio
nau
f NT
/200
0 od
er
Nov
ell
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
25
Poi
nt-t
o-P
oint
•D
irekt
e V
erbi
ndun
g üb
er T
elef
onle
itung
zum
S
erve
r (M
odem
-od
er IS
DN
-Ver
bind
ung)
•P
oint
-to-
Poi
nt P
roto
col(
PP
P, R
FC
166
1)•
Aut
hent
ifizi
erun
g üb
er P
AP
(P
assw
ord
Aut
hent
ifica
tion
Pro
toco
l) od
er C
HA
P
(Cha
lleng
eA
uthe
ntifi
catio
nP
roto
col)
Intra
net
Tele
fonn
etz
Mo
de
mM
od
em
Clie
nt
VPN
Se
rve
r
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
26
Poi
nt-t
o-P
oint
•P
AP
sen
det u
nver
schl
üsse
lte P
assw
örte
r un
d so
llte
dahe
r N
ICH
T b
enut
zt w
erde
n•
CH
AP
sen
det K
ey C
halle
nge
Nac
hric
hten
, die
mit
MD
5 ve
rsch
lüss
elt w
urde
n•
Dat
enve
rsch
lüss
elun
g m
öglic
h (s
ollte
gen
utzt
w
erde
n)–
PP
P E
ncry
ptio
nC
ontr
olP
roto
col(
EC
P, R
FC
196
2)–
Der
Ser
ver
sollt
e ke
ine
unve
rsch
lüss
elte
n V
erbi
ndun
gen
zula
ssen
•O
ptio
nal D
aten
kom
pres
sion
–P
PP
Com
pres
sion
Con
trol
Pro
toco
l(C
CP
, RF
C 1
968)
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
27
Virt
ualP
rivat
e N
etw
ork
•V
erbi
ndun
g üb
er In
tern
et (
Dia
l-Up
oder
de
dizi
ert)
–be
liebi
ge
Inte
rnet
-ve
rbin
dung
, et
wa
über
M
odem
/ISD
N-
Ein
wah
l, od
er
DS
L; k
eine
de
dizi
erte
Lei
tung
not
wen
dig
güns
tiger
•V
ersc
hlüs
selte
r V
PN
-Tun
nel z
wis
chen
VP
N-
Clie
nt u
nd S
erve
r
Intra
net
Inte
rne
t
Clie
nt
VPN
Se
rve
r
VPN
Tun
nel
VPN
Co
nne
ctio
n
ISP
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
28
IPS
ecfü
r V
PN
•IP
sec
(sec
ure
Inte
rnet
Pro
toco
l) w
ird a
ls T
unne
ling-
Pro
toko
llve
rwen
det
•O
ptio
nal i
n IP
v4, i
nteg
riert
in IP
v6•
Sch
lüss
elau
stau
sch
über
Inte
rnet
Key
Exc
hang
e (I
KE
)•
Aut
hent
ifizi
erun
g üb
er A
uthe
ntifi
catio
nH
eade
r(A
H)
Pak
et–
MD
5 od
er S
HA
-1
•V
ersc
hlüs
selte
IP-P
aket
e in
Enc
apsu
latin
gS
ecur
ityP
aylo
ad(E
SP
) P
aket
en–
DE
S o
der
3DE
S–
IP-H
eade
run
d IP
-Dat
en v
ersc
hlüs
selt;
Spä
her
könn
en a
lso
kein
erle
i Inf
orm
atio
n üb
er d
ie in
tern
e N
etzs
truk
tur
des
VP
N
erke
nnen
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
29
PP
TP
für
VP
N
•P
oint
-to-
Poi
nt T
unne
ling
Pro
toco
l(P
PT
P):
M
icro
softs
Äqu
ival
ent z
u IP
sec
–A
uthe
ntifi
zier
ung
(PA
P/C
HA
P)
–D
aten
vers
chlü
ssel
ung
(RS
A R
C4
Cip
her)
–O
ptio
nal D
aten
kom
pres
sion
–P
PT
P tu
nnel
tein
e P
PP
-Ver
bind
ung
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
30
Wei
tere
VP
N-P
roto
kolle
•T
rans
port
Lay
erS
ecur
ity(T
LS, R
FC
2246
)–
Urs
prun
g in
SS
L (S
ecur
eS
ocke
tLay
er)
–V
ersc
hlüs
selt
TC
P-V
erbi
ndun
gen
•La
yer
2 T
unne
ling
Pro
toco
l(L2
TP
, RF
C26
61)
–T
unne
ltP
PP
übe
r U
DP
(od
er a
nder
e ni
cht-
IP
Pro
toko
lle)
–D
aher
alle
Pro
toko
lle m
öglic
h, d
ie ü
ber
PP
P
über
trag
en w
erde
n kö
nnen
–S
ecur
ity: L
2TP
mit
IPse
cm
öglic
h (I
nter
net D
raft)
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
31
VP
N-S
erve
r in
der
DM
Z
Inte
rior R
out
er
VPN
Serv
er
Exte
rior
Rout
er
Intra
net
Perim
ete
r Ne
two
rk
Inte
rne
t
VPN
Tun
nel
VPN
Co
nne
ctio
n
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
32
Sic
here
Dat
en a
uf m
obile
n G
erät
en
•T
elea
rbei
tspl
ätze
ode
r La
ptop
s, d
ie ü
ber
VP
N
oder
RA
S a
uf d
as In
tran
et z
ugre
ifen,
sp
eich
ern
oftm
als
sens
ible
U
nter
nehm
ensd
aten
–N
euen
twic
klun
gen
–S
tudi
en–
Inte
rne
Dat
en ü
ber
Per
sona
l ode
r U
nter
nehm
enss
truk
ture
n
•D
aher
sol
lten
dies
e D
aten
mög
lichs
t so
abge
legt
wer
den,
das
s de
r Z
ugrif
f für
Spä
her
sehr
sch
wer
ode
r ga
r un
mög
lich
ist
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
33
Pas
swor
t = S
iche
rhei
t?
•B
ei a
llein
iger
Ver
wen
dung
von
pas
swor
tges
chüt
zten
A
nmel
dung
en in
s B
etrie
bssy
stem
bes
teht
KE
IN
DA
TE
NS
CH
UT
Z!
•B
sp: d
urch
Hoc
hfah
ren
von
Dis
kette
kan
n m
an a
uf
Dat
eien
and
erer
zug
reife
n –
Mit
spez
ielle
m L
inux
auf D
iske
tte k
ann
man
etw
a au
f NT
FS
, F
AT
ode
r E
XT
2 P
artit
ione
n zu
grei
fen
–M
it N
TF
SD
OS
kan
n m
an v
on D
OS
aus
NT
FS
-Par
titio
nen
lese
n
•D
aher
: ver
trau
liche
Dat
en s
ollte
n ve
rsch
lüss
elt a
uf
der
Pla
tte a
bgel
egt s
ein,
dan
n ka
nn z
war
noc
h au
f di
e P
artit
ion
zuge
griff
en, a
ber
die
Inha
lte s
ind
unle
sbar
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
34
Kat
egor
ien
von
vers
chlü
ssel
ten
Dat
eisy
stem
en•
Ins
Bet
riebs
syst
em /
Dat
eisy
stem
inte
grie
rt–
Ein
zeln
e D
atei
en /
Ord
ner
könn
en v
ersc
hlüs
selt
wer
den
•A
dd-O
nst
ellt
Ver
schl
üsse
lung
sfun
ktio
n fü
r D
atei
en
bere
it–
Art
Arc
hivi
erun
gspr
ogra
mm
mit
Ver
schl
üsse
lung
sfun
ktio
nalit
ät
•A
dd-O
nst
ellt
Par
titio
n be
reit
–E
ine
kom
plet
te P
artit
ion
wird
ver
schl
üsse
lt un
d de
m S
yste
m
bere
itges
tellt
–P
artit
ion
wird
ent
wed
er in
ein
er D
atei
im u
nver
schl
üsse
lten
Dat
eisy
stem
abg
eleg
t ode
r
–A
ls e
igen
e P
artit
ion
auf d
er F
estp
latte
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
35
Bei
spie
le
•E
ncry
ptin
gF
ile S
yste
m (
EF
S),
Win
2K–
Im B
etrie
bssy
stem
inte
grie
rt–
Sys
tem
erz
eugt
File
Enc
rypt
ion
Ke
y (F
EK
, P
seud
ozuf
alls
zahl
)–
Jede
Ben
utze
r ha
t ein
Pub
lic/P
rivat
e K
ey
Pai
r–
Dat
eiin
halte
wer
den
mit
FE
K v
ersc
hlüs
selt
(DE
SX
), F
EK
w
ird m
it P
ublic
Key
ver
schl
üsse
lt an
Dat
eien
de a
bgel
egt
–P
ublic
/Priv
ate
Ke
ysde
r B
enut
zer
wer
den
im D
omai
n C
ontr
olle
r od
er a
uf d
er lo
kale
n M
asch
ine
abge
legt
–D
atei
en k
önne
n nu
r vo
m B
enut
zer
OD
ER
vom
sog
. „R
ecov
ery
Age
nt“
(Dom
ain-
Adm
inis
trat
or o
der
loka
ler
Adm
inis
trat
or)
deko
dier
t wer
den
•F
EK
wird
dah
er im
mer
als
Kop
ie v
ersc
hlüs
selt
mit
dem
Pub
lic
Key
des
Rec
over
yA
gent
abg
eleg
t•
Rec
over
yA
gent
s so
llten
ihre
n P
rivat
e K
ey a
uf e
iner
Dis
kette
(o
.ä.)
spe
iche
rn u
nd v
om S
yste
m lö
sche
nP
rof.
Dr.
Ste
fan
Fis
cher
IBR
, TU
Bra
unsc
hwei
gS
iche
rhei
t in
Net
zen
u. v
erte
ilten
Sys
tem
enK
apite
l 7: V
erfü
gbar
keit
und
Zug
riffs
kont
rolle
7-36
Bei
spie
le
•S
cram
disk
(scr
amdi
sk.c
lara
.net
)–
Fre
ie S
oftw
are
für
Win
-Pla
ttfor
m–
Sou
rce-
Cod
eve
rfüg
bar
–A
uf S
ekto
rebe
ne v
ersc
hlüs
selte
Dat
en•
Ste
gano
grap
hisc
heO
ptio
n: A
blag
e de
r D
aten
in W
AV
-Dat
ei
–A
us P
assp
hras
e de
s B
enut
zers
(w
ähre
nd d
es H
ochf
ahre
ns
des
Sys
tem
s ei
nzug
eben
) w
ird ü
ber
MD
5 S
chlü
ssel
be
rech
net
–M
ehre
re A
lgor
ithm
en z
ur A
usw
ahl:
•3D
ES,
DES64
•Blo
wfish
•ID
EA64
•M
ISTY
•TEA
Pro
f. D
r. S
tefa
n F
isch
erIB
R, T
U B
raun
schw
eig
Sic
herh
eit i
n N
etze
n u.
ver
teilt
en S
yste
men
Kap
itel 7
: Ver
fügb
arke
it un
d Z
ugrif
fsko
ntro
lle7-
37
Bei
spie
le
•Lo
opba
ckE
ncry
pted
File
syst
em–
Linu
x–
Ver
schl
üsse
ltes
Dat
eisy
stem
(üb
er /d
ev/lo
op*
ange
spro
chen
, dah
er d
er N
ame)
•G
espe
iche
rt in
ein
er e
inze
lnen
Dat
ei im
„no
rmal
en“
Dat
eisy
stem
–M
ehre
re V
ersc
hlüs
selu
ngsv
erfa
hren
mög
lich:
•X
OR
, DE
S, t
wof
ish,
blo
wfis
h, c
ast1
28, s
erpe
nt, M
AR
S,
RC
6, D
FC
, ID
EA
![Vergleich Mini -Beams · Optibeam OBW10 -5 Seite 10.2 mechanisch sehr sauber aufgebaut, aber auch sehr teuer Echter Moxon -Beam Anzahl der Elemente Gewinn [dBd] Vor-Rück-Verhältnis](https://static.fdocuments.nl/doc/165x107/5e9e7fd43bdec759c928695f/vergleich-mini-optibeam-obw10-5-seite-102-mechanisch-sehr-sauber-aufgebaut.jpg)
