Glossar
  • 3DES
    siehe Triple-DES.
  • Access Control List (ACL)
    Regelbasis für Paketfilter, die auf einem Router, beispielsweise 3Com, Bay oder Cisco installiert werden kann, oft auch nur Access List genannt.
  • Accounting Log Entry
    Einträge in eine spezielle Log-Datei, bei denen die Dauer der Verbindung und die Anzahl übertragener Pakete beziehungsweise Bytes erfaßt wird.
  • Account Unit
    auch kurz AU, LDAP-Server zur Authentisierung von Benutzern durch Next Generation.
  • Access-Control Rights
    Bei Next Generation die Definition verschiedener Zugriffsrechte auf den SmartCenter.
  • Access Method
    Zugriffsmethode auf das physikalische Netzwerkmedium (beispielsweise CSMA/CD oder Token Passing).
  • Address-Translation Modes
    Anderer Name für Network Address Translation (NAT) und die Arten, wie sie durchführbar ist.
  • Address-Translation Rulebase
    Regelbasis von Next Generation, in der die Regeln für eine Übersetzung der IP-Adressen eingetragen werden.
  • AES
    Advanced Encryption Standard, der mit dem Rijndal-Algorithmus mit Schlüsseln einer Länge von 128, 192 oder 256 Bit arbeitet, in den USA offizieller Nachfolger von DES und 3DES.
  • Anti-Spoofing
    Mechanismus zur Sicherstellung, daß über ein Netzwerk-Interface nur Pakete mit einer IP-Absenderadresse akzeptiert werden, die nach den internen Routingtabellen auch auf diesem Interface den Rechner verlassen würden (Ausnahme: die eigene IP-Adresse dieses Interfaces).
  • Anti-Virus Inspection
    Komponente von Next Generation, über die externe Anti-Virus-Server angesprochen werden können (siehe auch CVP).
  • Application Level Gateway
    oft auch verallgemeinernd Proxy genannt, Filtermechanismus für übertragene Daten, der auf Schicht 7 arbeitet und daher die eigentlichen Nutzdaten (beispielsweise auch Java oder Skripte) filtern kann.
  • Asymmetrische Verschlüsselung
    Auch Public-Key Verfahren genannt. Verschlüsselungssystem mit einem privaten (geheimen) und einem öffentlichen Schlüssel. Notwendig sind lange Schlüssel, die Geschwindigkeit ist aufgrund des Rechenaufwands gering.
  • Authentisierungs-Schema
    Schema für die Abfrage von Benutzernamen und Paßwort, wodurch sichergestellt wird, daß es sich um einen berechtigten Benutzer handelt.
  • Autoritative Antwort
    Diese liefert ein Nameserver auf eine Anfrage hin, wenn er sie als Master Server gibt. Als Master Server gilt hier sowohl der Master als auch der Slave. Die Antwort kommt direkt aus den Resource-Records (RR), die der Administrator von Hand angelegt hat. Sie ist endgültig und nicht von anderen Nameservern korrigierbar.
  • Blowfish
    Frei verfügbarer, symmetrischer Verschlüsselungsalgorithmus von Bruce Schneier mit einer variablen Schlüssellänge von bis zu 448 Bit.
  • Bypass
    Vorbeileiten von Daten an einem Host in einem Ringsystem.
  • CA
    siehe Certificate Authority
  • Certificate Authority
    Vertrauenswürdige Drittstelle, über die öffentliche Schlüssel sicher bezogen werden können. Die CA zertifiziert einen öffentlichen Schlüssel, in dem sie ihn digital signiert. Damit ist sichergestellt, daß der bezogene Schlüssel der richtigen Person zugeordnet ist. Eine Certificate Authority wird auch Trust Center genannt.
  • Checksum
    Prüfsumme
  • Client
    Computer, der von einem anderen Rechner oder Server Dienste in Anspruch nimmt und Antworten dieser Maschine akzeptiert.
  • Client Authentisierung
    IP-basierte Authentisierung von Benutzern durch Next Generation für alle Dienste. Meist muß hierzu eine eigene Verbindung zum Gateway über 259/tcp oder 900/tcp aufgebaut werden.
  • Client Encryption
    Aufbau eines VPN mit Authentisierung des Benutzers.
  • CRC
    Cyclic Redundancy Check: Prüfsummenverfahren, das häufig für Dateien auf FTP Servern angewendet wird und nicht kollisionsfrei ist.
  • CVP
    Content Vectoring Protocol, 18181/tcp, genutzt von Next Generation zur Kommunikation mit Anti-Virus-Servern. Wird von allen gängigen AV-Herstellern und inzwischen auch anderen Firewalls unterstützt.
  • DAIP
    Dynamically Assigned IP-Address for Firewall - eine Firewall, die ihre IP-Adresse dynamisch bezieht.
  • Denial-of-Service
    DoS, Sabotieren eines Dienstes, Servers oder eines ganzen Netzwerkes, beispielsweise durch illegale Pakete (beispielsweise Ping Of Death) oder SYN-Flooding.
  • DES
    Data Encryption Standard aus den USA, Verschlüsselungsalgorithmus mit 56 Bit (40 Bit Länge), siehe auch Triple-DES.
  • Distinguished Name
    Vollständiger Name nach X.500, in dem die Hierarchie bis zur Root enthalten ist. Notwendig z.B. bei LDAP.
  • Distributed Denial-of-Service
    DDoS, konzentrierter DoS-Angriff unterschiedlicher Rechner auf ein Ziel.
  • DoS
    siehe Denial-of-Service
  • DDoS
    siehe Distributed Denial-of-Service
  • DSAP
    Destination Service Access Point, im SNAP die Typenbezeichnung der Nutzdaten des verschickten Frames zum De-/Multiplexing im Schichtenmodell.
  • Dynamic NAT
    Sofern viele IP-Adressen auf eine einzige abgebildet werden, handelt es sich um den sog. Hide-Mode, der inzwischen oft auch Dynamic NAT genannt wird.
  • Encryption
    Verschlüsselung von Daten.
  • Encryption Modul
    Modul, mit dem die Verschlüsselung von Daten vorgenommen werden kann.
  • Explizite Regel
    Regel, die in Next Generation explizit über die Regelbasis eingegeben wird.
  • Hide-Mode
    Übersetzung vieler IP-Adressen auf eine einzige (siehe auch NAT, PAT).
  • ICA
    Internal Certificate Authority, seit Next Generation arbeitet das Management-Modul in der SIC grundsätzlich als CA, die entsprechend bezeichnet wird. Sie ist auch für die Authentisierung im IKE einsetzbar.
  • IDEA
    International Data Encryption Algorithm, symmetrischer Verschlüsselungsalgorithmus aus der Schweiz mit 128 Bit Länge.
  • IKE
    Internet Key Exchange, Verschlüsselungsstandard der IETF. Verwendung von IPsec, s.a. ISAKMP/Oakley.
  • Implizite Regel
    Regel der FireWall, die nicht über den Regelbasiseditor, sondern über dessen Grundeinstellungen (Properties) angelegt wird. Auch »Pseudo-Regel« genannt.
  • Implizite Drop-Regel
    Durch diese Regel wird alles, was vorher durch die Regelbasis nicht explizit genannt wurde, fallengelassen.
  • In-Place Verschlüsselung
    Verschlüsselungsmethode, bei der nur der Datenteil der Originalpakete verschlüsselt wird. Die Header der Pakete bleiben original. Siehe auch FWZ.
  • Inbound
    Untersuchung von Paketen am ersten, eingehenden Interface der Firewall oder des Routers.
  • IP Address Translation
    Übersetzung von IP-Adressen, genau genommen der Austausch von Absender- oder Zieladresse im IP-Header, oft auch NAT genannt.
  • IPsec
    Oft auch als IPsec geschrieben. IP Security Protocol, standardisiert von der IETF in den RFCs 2401 und folgenden.
  • ISAKMP
    Internet Security Association and Key Management Protocol, Anwendung dieses Protokolls im Verschlüsselungsstandard IPsec.
  • ISAKMP/Oakley
    Verschlüsselungs-Standard zum Schlüsselmanagement zwischen zwei Servern, die IPsec benutzen. Dieser Standard ist durch die RFCs 2401 ff. standardisiert.
  • L2TP
    Layer 2 Tunneling Protocol, Verschlüsselungsprotokoll für Schicht 2, eingesetzt bei Systemen unter Microsoft Windows.
  • LCP
    Link Control Protocol, Steuerprotokoll des PPP.
  • LDAP
    Lightweight Directory Access Protocol zur zentralen Benutzerverwaltung auf LDAP-Servern, benutzt unverschlüsselt Port 389/tcp, mit SSL-Verschlüsselung Port 636/tcp.
  • LDAP Account Units
    Integration von LDAP-kompatiblen Benutzerdatenbanken zur Authentisierung durch Next Generation.
  • Manual IPsec
    Standardisiertes Verschlüsselungs- und Authentisierungsschema, bei dem feste Schlüssel verwendet werden und die Verwaltung dieser Schlüssel grundsätzlich durch die Administratoren von Hand erfolgt. Dieses Verschlüsselungsprotokoll war bisher oft die Rettung, wenn andere Protokolle zwischen VPN-Endpunkten unterschiedlicher Hersteller nicht funktionierten.
  • MIB
    Management Information Base, für das Netzwerkmanagement genutzte Datenbasis mit den entsprechenden Parametern der überwachten Maschinen.
  • MSS
    Maximum Segment Size, maximale Größe eines Segments.
  • MTU
    Maximum Transfer Unit, maximale Größe eines Pakets, das als ganzes über ein Netzwerk übertragbar ist. Diese Größe ist auch vom Netzwerktyp (beispielsweise Ethernet, Token Ring) abhängig.
  • NACK
    Mitteilung innerhalb des genutzten Protokolls, daß diese Aktion nicht gestattet ist.
  • NAT
    Network Address Translation, Austausch von IP-Adressen (Absender- oder Zieladresse) an einem Gateway oder Router.
  • NCP
    Network Control Protocol, im PPP zwischen Authentisierung und Nutzprotokoll (beispielsweise IP) ansässige Klasse von Enkapsulations- und Steuerprotokollen (beispielsweise IPCP für IP).
  • NFS
    Network File System, hauptsächlich unter Unix verbreitetes Protokoll für den Zugriff auf Laufwerke über das Netzwerk.
  • NMS
    Network Management System, Einsatz für das Management größerer Netzwerke. Beispiele für NMS sind HP OpenView oder Tivoli.
  • Oakley
    Internet-Verschlüsselungsprotokoll, das zwei authentisierten Partnern sichere und geheime Übertragung gestattet. Die Verschlüsselung ist mit ISAKMP kompatibel und nach Hilarie Orman benannt.
  • Octet
    Neben Byte auch oft genutzte Bezeichnung für eine 8-Bit-Einheit.
  • ODI
    Open Datalink Interface, notwendig dann, wenn mehrere Netzwerk-Protokolle auf einem System parallel eingesetzt werden sollen.
  • OOB
    Out of Band, Flag für wichtige Nachrichten an Systeme, auch genutzt für DoS-Angriffe gegen Systeme unter Windows NT, die SP3 nicht installiert haben: Durch den Empfang eines einzigen OOB-Paketes wird diesem die volle »Aufmerksamkeit des NT« geschenkt – und es kommen keine weiteren Informationen. Das Ergebnis: Windows NT ist nicht mehr ansprechbar.
  • Outbound
    Untersuchung von Paketen am letzten, ausgehenden Interface der Firewall.
  • Paketfilter
    Meist auf Routern vorgesehene Filterung der Pakete eines Datenstroms nach IP-Adressen und Ports. Paketfilter arbeiten auf Schicht 3.
  • PAT (Port Address Translation)
    Austausch von Ports in Verbindung mit NAT.
  • Persistent Server Mode
    Beim Einsatz von Load Balancing wird hier nach dem Verbindungsaufbau des Clients zu einem Server innerhalb einer Session immer wieder der gleiche Server angesprochen, ohne weitere Berücksichtigung der Lastverteilungs-Regeln.
  • PFS
    Perfect Forward Secrecy, unter anderem im IKE verwendete Option, daß bei einem Schlüsselwechsel in einem VPN aus der Vergangenheit nicht auf zukünftige Schlüssel geschlossen werden kann – Phase Eins wird immer parallel zu Phase Zwei durchlaufen.
  • Ping Of Death
    Illegale Paketgröße für Ping-Pakete, der Empfang eines PoD kann einen Systemabsturz verursachen, sofern das System die resultierende Paketgröße nicht vor der Annahme überprüft.
  • PKI
    Public-Key Infrastructure.
  • PPP
    Point-to-Point Protocol, speziell für die Einwahl in das Internet von PCs genutzt. Ersetzt SLIP und bietet die Möglichkeit, etliche Kommunikationsprotokolle (beispielsweise IP) zu enkapsulieren.
  • PPTP
    Point-to-Point-Tunneling Protocol, Protokoll zur Verschlüsselung in Schicht 2, zum Teil stark vom Hersteller abhängig.
  • Public-Key Infrastruktur
    System zur Verwaltung und Verteilung digitaler Zertifikate beziehungsweise öffentlicher Schlüssel, das durch Certificate Authorities und Registration Authorities verwaltet wird.
  • Public-Key Verfahren
    Asymmetrische Verschlüsselungsverfahren
  • RADIUS
    Remote Dial-In User Service, standardisiertes Protokoll zur zentralen Authentisierung von Benutzern.
  • RA
    Registration Authority, Stelle, bei der für eine CA die Daten entgegengenommen und überprüft werden, sozusagen Registrierungsstelle für einen Trust Center.
  • Registration Authority
    Registrierungsstelle öffentlicher Schlüssel, die auch Zertifikate ausgeben kann. Sie arbeitet mit Certificate Authorities zusammen.
  • RFC
    Request for Comments, Festlegung der Standards des Internet.
  • SAM
    Suspicious Activity Monitoring, direkte Sperrung bestehender, verdächtiger Verbindungen.
  • SCV
    Secure Configuration Verification, Konfiguration für den SecureClient, durch die neben dem Regelsatz auch Prozesse auf dem Client sowie die Version von Software und Virenmustern zu überwachen ist.
  • SecureServer
    Einsatz eines Inspektions-Moduls, das nur eine einzige Maschine schützt und nicht als Gateway arbeiten kann. Er setzt ein Management-Modul voraus, das in der Enterprise-Version arbeitet.
  • SecureClient
    Bezüglich der VPN-Funktionalität wie SecuRemote, aber mit einer zusätzlichen Firewall auf dem Client, damit dieser nicht für Unbefugte als Gateway in das Unternehmensnetzwerk nutzbar ist.
  • Security Association
    Kurz »SA«. Vollständige Beschreibung der verwendeten Verschlüsselungsparameter bei IPsec und ISAKMP. Diese enthält das Verschlüsselungsverfahren, den eingesetzten Schlüssel, das Hashverfahren und den Hashwert. Ein SPI zeigt jeweils auf eine SA.
  • Security Policy
    Gesamtheit aller Regeln, die Sicherheitsanforderungen einer Institution beschreiben, nicht nur auf die technische Ebene beschränkt.
  • Server
    Maschine, die anderen Rechnern beziehungsweise Clients Dienste zur Verfügung stellt.
  • Session Authentication
    Komfortable Methode zur Benutzerauthentisierung bei Next Generation, die für alle Dienste einsetzbar ist. Sie setzt voraus, daß ein Session Authentication Agent auf dem Client (beispielsweise Arbeitsplatz-PC unter Windows) installiert ist.
  • SIC
    Secure Internal Communication, zertifikatsbasierte Kommunikation der Komponenten von Next Generation über SSL. Die Gesamtheit der Kommunikation wird auch als SVN bezeichnet.
  • SKIP
    Simple Key Management for Internet Protocols, von Sun Microsystems entwickeltes Verschlüsselungsprotokoll, das mit einem Zeitstempel im Paket-Header arbeitet. Dieses Protokoll wird seit Next Generation Feature Pack 1 nicht mehr unterstützt.
  • Sniffing
    Abhören von Datenpaketen innerhalb des gleichen Segments, obwohl sie nicht an die eigene Maschine gerichtet sind.
  • SPI
    Security Parameters Index: Eine 32-Bit-Zahl, die auf eine Security Asscociation (SA) zeigt. Anwendung des SPI bei der Verschlüsselung nach IPsec.
  • Spoofing
    Vortäuschen falscher Tatsachen, die eine Fehlreaktion verursachen sollen. Beispiele: IP-Spoofing (Fälschen der IP-Absenderadresse), DNS Spoofing (Fälschungen im Nameservice), Web Spoofing (Nachbau von Web-Servern), E-Mail Spoofing (Fälschen von E-Mails).
  • SSAP
    Source Service Access Point, im SNAP die Typenbezeichnung der Nutzdaten des verschickten Frames zum De-/Multiplexing im Schichtenmodell.
  • Stateful Inspection
    Eine Firewall-Architektur, die unterhalb der Netzwerkschicht ansetzt. Sie arbeitet als Kernelprozeß direkt zwischen dem Netzwerk-Interface und der Netzwerkschicht. Dadurch kann beispielsweise eine hohe Performance erreicht werden. Zusätzlich erfolgt eine Kontrolle der States, das heißt, auch die Verbindungsparameter sind gespeichert. Die Bewertung der Pakete kann auch in den höheren Schichten erfolgen, wobei die volle Kontrolle aller Protokolle in Schicht 7 allerdings nicht möglich ist.
  • STT
    Secure Transaction Technology, von Visa und Microsoft entwickeltes und verwendetes Protokoll zur sicheren Übertragung von Kreditkartendaten über das Internet.
  • SVN
    Secure Virtual Networking, im Rahmen der SIC die sichere Kommunikation der einzelnen Komponenten von Next Generation untereinander. Hierzu ist die SVN Foundation zuständig.
  • SYN
    Synchronize Sequence Numbers, Flag im TCP-Header, das beim Aufbau einer Verbindung gesetzt ist.
  • SYN Defender
    Applikation einer zum Schutz gegen SYN-Flooding.
  • SYN-Flooding
    Überfluten einer Maschine mit Connect Requests, meist mit gefälschter IP-Absenderadresse. Diese Angriffsart ist ein Denial-of-Service Angriff.
  • TACACS
    Von Cisco entwickeltes Protokoll zur zentralen Authentisierung von Benutzern.
  • Triple-DES, 3DES
    Dreifache Verschlüsselung durch DES mit 2 beziehungsweise 3 verschiedenen Schlüsseln (Summe 112 beziehungsweise 168 Bit Schlüssellänge).
  • Trust Center
    siehe Certificate Authority
  • Tunneling, Tunneln
    Versehen von Paketen mit neuen Headern, die alten Header werden im Datenteil transportiert.
  • Twofish
    Frei verfügbarer, symmetrischer Verschlüsselungsalgorithmus von Bruce Schneier mit einer variablen Schlüssellänge von bis zu 448 Bit.
  • UAS
    UserAuthority Server, in Kombination mit dem WAM u.a. zuständig für die Authentisierung von Benutzern beim Abruf von Dokumenten von einem geschützten Web-Server.
  • VPN
    Virtual Private Network. Über ein sicheres VPN können vertrauliche Daten sicher über nicht vertrauenswürdige Netzwerke wie beispielsweise das Internet transportiert werden. Hierzu sind pro VPN zwei Endpunkte zu definieren, an denen jeweils die Ver- und Entschlüsselung stattfindet.
  • WAM
    WebAccess Modul, Software zur Übergabe von Dokumenten an die UserAuthority, sofern sich der Benutzer hier richtig authentisiert und demnach die entsprechenden Rechte erhalten hat.
  • X.509
    ISO-Standard zur Definition und Verwaltung von Zertifikaten.
  • Zertifikat
    Sichere Zuordnung eines öffentlichen Schlüssels zu einer Person oder Einheit (beispielsweise Server), von der CA meist digital signiert.

nach oben  Zurück nach oben