APPEAL TO THE LEAGUE OF NATIONS
Haile Selassie
June 1936
"I, Haile Selassie I, Emperor of Ethiopia, am here today to claim that justice which is due to my people, and the assistance promised to it eight months ago, when fifty nations asserted that aggression had been committed in violation of international treaties.
There is no precedent for a Head of State himself speaking in this assembly. But there is also no precedent for a people being victim of such injustice and being at present threatened by abandonment to its aggressor. Also, there has never before been an example of any Government proceeding to the systematic extermination of a nation by barbarous means, in violation of the most solemn promises made by the nations of the earth that there should not be used against innocent human beings the terrible poison of harmful gases. It is to defend a people struggling for its age-old independence that the head of the Ethiopian Empire has come to Geneva to fulfil this supreme duty, after having himself fought at the head of his armies.
I pray to Almighty God that He may spare nations the terrible sufferings that have just been inflicted on my people, and of which the chiefs who accompany me here have been the horrified witnesses.
It is my duty to inform the Governments assembled in Geneva, responsible as they are for the lives of millions of men, women and children, of the deadly peril which threatens them, by describing to them the fate which has been suffered by Ethiopia. It is not only upon warriors that the Italian Government has made war. It has above all attacked populations far removed from hostilities, in order to terrorize and exterminate them.
At the beginning, towards the end of 1935, Italian aircraft hurled upon my armies bombs of tear-gas. Their effects were but slight. The soldiers learned to scatter, waiting until the wind had rapidly dispersed the poisonous gases. The Italian aircraft then resorted to mustard gas. Barrels of liquid were hurled upon armed groups. But this means also was not effective; the liquid affected only a few soldiers, and barrels upon the ground were themselves a warning to troops and to the population of the danger.
It was at the time when the operations for the encircling of Makalle were taking place that the Italian command, fearing a rout, followed the procedure which it is now my duty to denounce to the world. Special sprayers were installed on board aircraft so that they could vaporize, over vast areas of territory, a fine, death-dealing rain. Groups of nine, fifteen, eighteen aircraft followed one another so that the fog issuing from them formed a continuous sheet. It was thus that, as from the end of January, 1936, soldiers, women, children, cattle, rivers, lakes and pastures were drenched continually with this deadly rain. In order to kill off systematically all living creatures, in order to more surely to poison waters and pastures, the Italian command made its aircraft pass over and over again. That was its chief method of warfare.
Ravage and Terror
The very refinement of barbarism consisted in carrying ravage and terror into the most densely populated parts of the territory, the points farthest removed from the scene of hostilities. The object was to scatter fear and death over a great part of the Ethiopian territory. These fearful tactics succeeded. Men and animals succumbed. The deadly rain that fell from the aircraft made all those whom it touched fly shrieking with pain. All those who drank the poisoned water or ate the infected food also succumbed in dreadful suffering. In tens of thousands, the victims of the Italian mustard gas fell. It is in order to denounce to the civilized world the tortures inflicted upon the Ethiopian people that I resolved to come to Geneva. None other than myself and my brave companions in arms could bring the League of Nations the undeniable proof. The appeals of my delegates addressed to the League of Nations had remained without any answer; my delegates had not been witnesses. That is why I decided to come myself to bear witness against the crime perpetrated against my people and give Europe a warning of the doom that awaits it, if it should bow before the accomplished fact.
Is it necessary to remind the Assembly of the various stages of the Ethiopian drama? For 20 years past, either as Heir Apparent, Regent of the Empire, or as Emperor, I have never ceased to use all my efforts to bring my country the benefits of civilization, and in particular to establish relations of good neighbourliness with adjacent powers. In particular I succeeded in concluding with Italy the Treaty of Friendship of 1928, which absolutely prohibited the resort, under any pretext whatsoever, to force of arms, substituting for force and pressure the conciliation and arbitration on which civilized nations have based international order.
Country More United
In its report of October 5th 193S, the Committee of Thirteen recognized my effort and the results that I had achieved. The Governments thought that the entry of Ethiopia into the League, whilst giving that country a new guarantee for the maintenance of her territorial integrity and independence, would help her to reach a higher level of civilization. It does not seem that in Ethiopia today there is more disorder and insecurity than in 1923. On the contrary, the country is more united and the central power is better obeyed.
I should have procured still greater results for my people if obstacles of every kind had not been put in the way by the Italian Government, the Government which stirred up revolt and armed the rebels. Indeed the Rome Government, as it has today openly proclaimed, has never ceased to prepare for the conquest of Ethiopia. The Treaties of Friendship it signed with me were not sincere; their only object was to hide its real intention from me. The Italian Goverment asserts that for 14 years it has been preparing for its present conquest. It therefore recognizes today that when it supported the admission of Ethiopia to the League of Nations in 1923, when it concluded the Treaty of Friendship in 1928, when it signed the Pact of Paris outlawing war, it was deceiving the whole world. The Ethiopian Government was, in these solemn treaties, given additional guarantees of security which would enable it to achieve further progress along the specific path of reform on which it had set its feet, and to which it was devoting all its strength and all its heart.
Wal-Wal Pretext
The Wal-Wal incident, in December, 1934, came as a thunderbolt to me. The Italian provocation was obvious and I did not hesitate to appeal to the League of Nations. I invoked the provisions of the treaty of 1928, the principles of the Covenant; I urged the procedure of conciliation and arbitration. Unhappily for Ethiopia this was the time when a certain Government considered that the European situation made it imperative at all costs to obtain the friendship of Italy. The price paid was the abandonment of Ethiopian independence to the greed of the Italian Government. This secret agreement, contrary to the obligations of the Covenant, has exerted a great influence over the course of events. Ethiopia and the whole world have suffered and are still suffering today its disastrous consequences.
This first violation of the Covenant was followed by many others. Feeling itself encouraged in its policy against Ethiopia, the Rome Government feverishly made war preparations, thinking that the concerted pressure which was beginning to be exerted on the Ethiopian Government, might perhaps not overcome the resistance of my people to Italian domination. The time had to come, thus all sorts of difficulties were placed in the way with a view to breaking up the procedure; of conciliation and arbitration. All kinds of obstacles were placed in the way of that procedure. Governments tried to prevent the Ethiopian Government from finding arbitrators amongst their nationals: when once the arbitral tribunal a was set up pressure was exercised so that an award favourable to Italy should be given.
All this was in vain: the arbitrators, two of whom were Italian officials, were forced to recognize unanimously that in the Wal-Wal incident, as in the subsequent incidents, no international responsibility was to be attributed to Ethiopia.
Peace Efforts
Following on this award. the Ethiopian Government sincerely thought that an era of friendly relations might be opened with Italy. I loyally offered my hand to the Roman Government. The Assembly was informed by the report of the Committee of Thirteen, dated October 5th, 1935, of the details of the events which occurred after the month of December, 1934, and up to October 3rd, 1935.
It will be sufficient if I quote a few of the conclusions of that report Nos. 24, 25 and 26 "The Italian memorandum (containing the complaints made by Italy) was laid on the Council table on September 4th, 1935, whereas Ethiopia's first appeal to the Council had been made on December 14th, 1934. In the interval between these two dates, the Italian Government opposed the consideration of the question by the Council on the ground that the only appropriate procedure was that provided for in the Italo-Ethiopian Treaty of 1928. Throughout the whole of that period, moreover, the despatch of Italian troops to East Africa was proceeding. These shipments of troops were represented to the Council by the Italian Government as necessary for the defense of its colonies menaced by Ethiopia's preparations. Ethiopia, on the contrary, drew attention to the official pronouncements made in Italy which, in its opinion, left no doubt "as to the hostile intentions of the Italian Government."
From the outset of the dispute, the Ethiopian Government has sought a settlement by peaceful means. It has appealed to the procedures of the Covenant. The Italian Government desiring to keep strictly to the procedures of the Italo-Ethiopian Treaty of 1928, the Ethiopian Government assented. It invariably stated that it would faithfully carry out the arbitral award even if the decision went against it. It agreed that the question of the ownership of Wal-Wal should not be dealt with by the arbitrators, because the Italian Government would not agree to such a course. It asked the Council to despatch neutral observers and offered to lend itself to any enquiries upon which the Council might decide.
Once the Wal-Wal dispute had been settled by arbiration, however, the Italian Govemmcnt submitted its detailed memorandum to the Council in support of its claim to liberty of action. It asserted that a case like that of Ethiopia cannot be settled by the means provided by the Covenant. It stated that, "since this question affects vital interest and is of primary importance to Italian security and civilization" it "would be failing in its most elementary duty, did it not cease once and for all to place any confidence in Ethiopia, reserving full liberty to adopt any measures that may become necessary to ensure the safety of its colonies and to safeguard its own interests."
Covenant Violated
Those are the terms of the report of the Committee of Thirteen, The Council and the Assembly unanimously adopted the conclusion that the Italian Government had violated the Covenant and was in a state of aggression. I did not hesitate to declare that I did not wish for war, that it was imposed upon me, and I should struggle solely for the independence and integrity of my people, and that in that struggle I was the defender of the cause of all small States exposed to the greed of a powerful neighbour.
In October, 1935. the 52 nations who are listening to me today gave me an assurance that the aggressor would not triumph, that the resources of the Covenant would be employed in order to ensure the reign of right and the failure of violence.
I ask the fifty-two nations not to forget today the policy upon which they embarked eight months ago, and on faith of which I directed the resistance of my people against the aggressor whom they had denounced to the world. Despite the inferiority of my weapons, the complete lack of aircraft, artillery, munitions, hospital services, my confidence in the League was absolute. I thought it to be impossible that fifty-two nations, including the most powerful in the world, should be successfully opposed by a single aggressor. Counting on the faith due to treaties, I had made no preparation for war, and that is the case with certain small countries in Europe.
When the danger became more urgent, being aware of my responsibilities towards my people, during the first six months of 1935 I tried to acquire armaments. Many Governments proclaimed an embargo to prevent my doing so, whereas the Italian Government through the Suez Canal, was given all facilities for transporting without cessation and without protest, troops, arms, and munitions.
Forced to Mobilize
On October 3rd, 1935, the Italian troops invaded my territory. A few hours later only I decreed general mobilization. In my desire to maintain peace I had, following the example of a great country in Europe on the eve of the Great War, caused my troops to withdraw thirty kilometres so as to remove any pretext of provocation.
War then took place in the atrocious conditions which I have laid before the Assembly. In that unequal struggle between a Government commanding more than forty-two million inhabitants, having at its disposal financial, industrial and technical means which enabled it to create unlimited quantities of the most death-dealing weapons, and, on the other hand, a small people of twelve million inhabitants, without arms, without resources having on its side only the justice of its own cause and the promise of the League of Nations. What real assistance was given to Ethiopia by the fifty two nations who had declared the Rome Government guilty of a breach of the Covenant and had undertaken to prevent the triumph of the aggressor? Has each of the States Members, as it was its duty to do in virtue of its signature appended to Article 15 of the Covenant, considered the aggressor as having committed an act of war personally directed against itself? I had placed all my hopes in the execution of these undertakings. My confidence had been confirmed by the repeated declarations made in the Council to the effect that aggression must not be rewarded, and that force would end by being compelled to bow before right.
In December, 1935, the Council made it quite clear that its feelings were in harmony with those of hundreds of millions of people who, in all parts of the world, had protested against the proposal to dismember Ethiopia. It was constantly repeated that there was not merely a conflict between the Italian Government and the League of Nadons, and that is why I personally refused all proposals to my personal advantage made to me by the Italian Government, if only I would betray my people and the Covenant of the League of Nations. I was defending the cause of all small peoples who are threatened with aggression.
What of Promises?
What have become of the promises made to me as long ago as October, 1935? I noted with grief, but without surprise that three Powers considered their undertakings under the Covenant as absolutely of no value. Their connections with Italy impelled them to refuse to take any measures whatsoever in order to stop Italian aggression. On the contrary, it was a profound disappointment to me to learn the attitude of a certain Government which, whilst ever protesting its scrupulous attachment to the Covenant, has tirelessly used all its efforts to prevent its observance. As soon as any measure which was likely to be rapidly effective was proposed, various pretexts were devised in order to postpone even consideration of the measure. Did the secret agreements of January, 1935, provide for this tireless obstruction?
The Ethiopian Government never expected other Governments to shed their soldiers' blood to defend the Covenant when their own immediately personal interests were not at stake. Ethiopian warriors asked only for means to defend themselves. On many occasions I have asked for financial assistance for the purchase of arms That assistance has been constantly refused me. What, then, in practice, is the meaning of Article 16 of the Covenant and of collective security?
The Ethiopian Government's use of the railway from Djibouti to Addis Ababa was in practice a hazardous regards transport of arms intended for the Ethiopian forces. At the present moment this is the chief, if not the only means of supply of the Italian armies of occupation. The rules of neutrality should have prohibited transports intended for Italian forces, but there is not even neutrality since Article 16 lays upon every State Member of the League the duty not to remain a neutral but to come to the aid not of the aggressor but of the victim of aggression. Has the Covenant been respected? Is it today being respected?
Finally a statement has just been made in their Parliaments by the Governments of certain Powers, amongst them the most influential members of the League of Nations, that since the aggressor has succeeded in occupying a large part of Ethiopian territory they propose not to continue the application of any economic and financial measures that may have been decided upon against the Italian Government. These are the circumstances in which at the request of the Argentine Government, the Assembly of the League of Nations meets to consider the situation created by Italian aggression. I assert that the problem submitted to the Assembly today is a much wider one. It is not merely a question of the settlement of Italian aggression.
League Threatened
It is collective security: it is the very existence of the League of Nations. It is the confidence that each State is to place in international treaties. It is the value of promises made to small States that their integrity and their independence shall be respected and ensured. It is the principle of the equality of States on the one hand, or otherwise the obligation laid upon smail Powers to accept the bonds of vassalship. In a word, it is international morality that is at stake. Have the signatures appended to a Treaty value only in so far as the signatory Powers have a personal, direct and immediate interest involved?
No subtlety can change the problem or shift the grounds of the discussion. It is in all sincerity that I submit these considerations to the Assembly. At a time when my people are threatened with extermination, when the support of the League may ward off the final blow, may I be allowed to speak with complete frankness, without reticence, in all directness such as is demanded by the rule of equality as between all States Members of the League?
Apart from the Kingdom of the Lord there is not on this earth any nation that is superior to any other. Should it happen that a strong Government finds it may with impunity destroy a weak people, then the hour strikes for that weak people to appeal to the League of Nations to give its judgment in all freedom. God and history will remember your judgment.
Assistance Refused
I have heard it asserted that the inadequate sanctions already applied have not achieved their object. At no time, and under no circumstances could sanctions that were intentionally inadequate, intentionally badly applied, stop an aggressor. This is not a case of the impossibility of stopping an aggressor but of the refusal to stop an aggressor. When Ethiopia requested and requests that she should be given financial assistance, was that a measure which it was impossible to apply whereas financial assistance of the League has been granted, even in times of peace, to two countries and exactly to two countries who have refused to apply sanctions against the aggressor?
Faced by numerous violations by the Italian Government of all international treaties that prohibit resort to arms, and the use of barbarous methods of warfare, it is my painful duty to note that the initiative has today been taken with a view to raising sanctions. Does this initiative not mean in practice the abandonment of Ethiopia to the aggressor? On the very eve of the day when I was about to attempt a supreme effort in the defense of my people before this Assembly does not this initiative deprive Ethiopia of one of her last chances to succeed in obtaining the support and guarantee of States Members? Is that the guidance the League of Nations and each of the States Members are entitled to expect from the great Powers when they assert their right and their duty to guide the action of the League? Placed by the aggressor face to face with the accomplished fact, are States going to set up the terrible precendent of bowing before force?
Your Assembly will doubtless have laid before it proposals for the reform of the Covenant and for rendering more effective the guarantee of collective security. Is it the Covenant that needs reform? What undertakings can have any value if the will to keep them is lacking? It is international morality which is at stake and not the Articles of the Covenant. On behalf of the Ethiopian people, a member of the League of Nations, I request the Assembly to take all measures proper to ensure respect for the Covenant. I renew my protest against the violations of treaties of which the Ethiopian people has been the victim. I declare in the face of the whole world that the Emperor, the Government and the people of Ethiopia will not bow before force; that they maintain their claims that they will use all means in their power to ensure the triumph of right and the respect of the Covenant.
I ask the fifty-two nations, who have given the Ethiopian people a promise to help them in their resistance to the aggressor, what are they willing to do for Ethiopia? And the great Powers who have promised the guarantee of collective security to small States on whom weighs the threat that they may one day suffer the fate of Ethiopia, I ask what measures do you intend to take?
Representatives of the World I have come to Geneva to discharge in your midst the most painful of the duties of the head of a State. What reply shall I have to take back to my people?"
Mit MPLS sicher durch den Tunnel
Von Detlef Marten, Köln
Multiprotocol Label Switching (MPLS) verbindet für Virtual Private Networks auf Basis des Internet-Protokolls die Flexibilität von IP mit der Geschwindigkeit geswitchter Weitverkehrsnetze, höchster Sicherheit zu transparenten Kosten und der Möglichkeit definierter Qualitätsstufen.
In den letzten Jahren haben Virtual Private Networks (VPNs) auf Basis des Internet Protocol (IP) als sichere Lösung für komplexe Unternehmensnetzwerke deutlich an Popularität gewonnen. Dieser Trend wird forciert durch die zunehmende Globalisierung zeitkritischer Geschäftsprozesse. Mit der Erfindung des Multiplexers, der die scheinbare Isolation einzelner Kundennetze innerhalb eines Carrier-Netzes ermöglicht, begann auch die Geschichte von managed IP-VPNs.
Während sich für Einwahl-VPNs das Layer-2-Tunneling Protocol (L2TP) durchgesetzt hat, stehen bei IP-VPNs mit Festanschlüssen mehrere Techniken zur Verfügung: Dies sind zum einen OSI-Layer-2-Lösungen wie Frame Relay oder ATM, Tunneling-Lösungen per Generic Routing Encapsulation (GRE) oder IP Security Protocol (IPSec) meist innerhalb öffentlicher Netze oder zum anderen das Multiprotocol Label Switching (MPLS) für abgeschlossene Netzwerke. Ein weiteres Unterscheidungskriterium ist der Backbone: Verfügt der Provider über einen eigenen Backbone oder nutzt er ein durch den Zusammenschluss mehrerer Provider geschaffenes Netzwerk wie das Internet.
Beispielhafter Aufbau eines MPLS-gestützten IP-VPNs
Labels statt IP-Nummern
In MPLS-Netzen erfolgt die Weiterleitung der Datenpakete nicht anhand einer IP-Adresse, sondern mithilfe spezieller Labels, die durch einen Eingangsrouter (Label Edge Router) vergeben und dem Datenpaket hinzugefügt werden. Sie sind nur auf der Verbindung zum nächsten Router (Label Switch Router) gültig. Dieser ermittelt dann aus der Routing-Tabelle die diesem Label zugeordnete Verbindung und ersetzt das ursprüngliche Label durch ein neues. In MPLS-Netzen werden für die Datenpakete so genannte Tunnel aufgebaut. Die Weiterleitung eines Pakets erfolgt dann nur noch durch das vorher zugewiesene Label, der Weg wird quasi "durchgeschaltet". Durch die Definition des gleichen Weges für alle Pakete eines Datenstroms liegt bei MPLS – ähnlich wie beim Asynchronous Transfer Mode (ATM) – eine verbindungsorientierte Übertragung vor, die erforderliche Voraussetzung für ein Verkehrsmanagement mit definierter Quality of Service (QoS) und der Möglichkeit, Bandbreiten zu reservieren.
Ein Label ist ein Wert fester Länge (20 Bit), es hat nur auf einer einzelnen Verbindung zwischen zwei Routern Bedeutung. Der Weg, den ein Datenpaket durch das MPLS-Netz nimmt, wird Label Switched Path (LSP) genannt. LSPs sind unidirektional, die Daten werden nur in eine Richtung transportiert. Für eine bidirektionale Kommunikation zweier Teilnehmer sind daher immer mindestens zwei LSPs notwendig. Der charakteristische Unterschied zwischen MPLS und anderen Routingtechniken ist, dass bei MPLS die Datenpakete anhand verschiedener einstellbarer Kriterien unterschiedliche LSPs durch das Netz verwenden können, selbst wenn die Absender- und Zieladressen identisch sind.
Die verschiedenen Kriterien, anhand derer einzelne Pakete weitergeleitet werden, sind mittels so genannter Forwarding Equivalence Classes (FEC) den jeweiligen Labels zugeordnet. In einer FEC können so unterschiedliche Merkmale wie eine Kombination aus Zielnetz und Anwendung, eine besonders kurze Verbindung zwischen Ziel und Absender, bestimmte Bandbreitenanforderungen oder auch die Zugehörigkeit zu einem VPN definiert werden. Ein einzelnes Label kann dabei immer nur zu einer FEC gehören. Die Datenpakete, für die diese Kriterien zutreffen, werden dann auf den entsprechenden LSPs durch das Netz befördert.
Hohes Maß an Sicherheit
Um mittels MPLS verschiedene virtuelle Netze abzubilden, wird der zu einem bestimmten VPN gehörende Anschluss (Port) am Eingangsrouter zunächst mit einer VPN-ID versehen. Diese bildet dann zusammen mit der IP-Adresse eine VPN-IPv4-Adresse, die die Zugehörigkeit eines Datenpaketes zu einem VPN eindeutig kennzeichnet. Die Verwendung von VPN-IDs ermöglicht es, dass ein MPLS-Netz in unterschiedlichen VPNs gleiche IP-Adressbereiche zulässt. Trifft ein Datenpaket aus einem VPN am Kundenanschluss des Eingangsrouters ein, erhält dieses zunächst ein Label, das den Ausgangsport des entsprechenden Zielrouters kennzeichnet. Anschließend wird ein weiteres Label vergeben, anhand dessen das Paket durch das Netz weitergeleitet wird. Erreicht das Datenpaket den vorletzten Router innerhalb des MPLS-Netzes, entfernt dieser das obere Label und schickt es an den letzten Router. Dieser erkennt anhand des letzten noch vorhandenen Labels, an welchen Ausgangsport, und damit an welchen Teilnehmer, er das Paket weiterleiten muss.
Durch die Verwendung der Labels, die außerhalb eines MPLS-Netzes keinen Sinn ergeben, erreicht man bereits auf der Netzebene eine VPN-Funktionalität. Die Trennung der Daten aus verschiedenen VPNs ist gewährleistet, selbst wenn dieselben LSPs zum Transport durch das Netz verwendet werden. Eine Vortäuschung oder Fälschung der Labels oder VPN-IDs durch einen anderen Teilnehmer ist nicht möglich, da diese Kennungen nur innerhalb des MPLS-Netzes existieren. Die VPN-Funktion wird allein mittels der Zugangsrouter erreicht, nur diese kennen die Teilnehmer eines VPNs und die dorthin führenden Wege durchs Netz. Für die Router im Innern des MPLS-Netzes erscheint ein Datenpaket aus einem VPN wie ein herkömmliches Paket, der Router ersetzt ausschließlich das äußere Label und schickt es weiter an den nächsten Router.
Somit erreicht man ein virtuell abgeschlossenes Netzwerk, das die Funktion einer Standleitung abbildet. Ein zusätzlicher Abhörschutz – wie durch die Chiffrierung in einem IPSec-VPN – ist hiermit nicht verbunden. Innerhalb des Providernetzes ist die Sicherheit der Verbindung von den Maßnahmen des Anbieters abhängig – auf der Zuleitung zum Providernetz, die weder "gelabelt" noch verschlüsselt ist, sind (genau wie im Telefon-Festnetz) ebenfalls Angriffe denkbar. Wer seine Daten auf einer Standardfestverbindung verschlüsselt übertragen würde, sollte dies daher auch in einem MPLS-VPN tun.
Die wesentlichen Vorteile von MPLS-basierten IP-VPN ergeben sich durch geringere Investitionskosten und höhere Flexibilität gegenüber teureren Festverbindungen oder Layer-2-Lösungen. Besonders für dynamisch wachsende Unternehmen sind Anschluss oder Schließung von Netzwerklokationen sowie Veränderungen der Anwendungen ansonsten oft mit einem erheblichem Administrationsaufwand verbunden: Wird zum Beispiel ein öffentliches Netz wie das Internet als Backbone für ein IP-VPN genutzt, müssen die Daten verschlüsselt werden. IPSec-Tunnel müssen zwischen allen Lokationen aufgebaut und gepflegt werden. Schon die kleinste Veränderung könnte eine Neuadressierung aller anderen Lokationen im Netzwerk verursachen. Ein solches Problem existiert bei MPLS-basierten IP-VPN nicht.
Zudem bietet das paketorientierte Internet-Protokoll in der heute verbreiteten Version 4 keine Möglichkeit, Quality of Service zu garantieren. Gleichwohl konnte es sich im IT-Bereich durchsetzen und Technologien zur Bereitstellung von garantierter QoS – wie beispielsweise dem verbindungsorientierten ATM – den Rang ablaufen. Mithilfe von MPLS lassen sich nun jedoch auch in großen Netzen Mechanismen zur Verkehrskontrolle und Sicherung von Dienstqualitäten installieren, obwohl diese per IP arbeiten. Durch diese wichtige Fähigkeit, QoS zu definieren und unterschiedliche Güteklassen für die Sprach-, Daten- oder Videokommunikation anbieten zu können, verbinden MPLS-basierte IP-VPN das Beste beider Technologien: Flexibilität und Geschwindigkeit von IP mit höchster Sicherheit und Skalierbarkeit zu transparenten Kosten.
[Kasten überspringen]
Anwendungsbeispiel iznNet
Bei der Neugestaltung des niedersächsischen Landesdatennetzes iznNet 2000 wurden die zuvor organisatorisch getrennten Infrastrukturen von allgemeiner Verwaltung, Finanzbehörden und Polizei physisch in einem einheitlichen Netz zusammengefasst. Um trotzdem der Anforderung nach geschlossenen Benutzergruppen für einzelne Anwenderkreise Rechnung zu tragen, wurden mehrere Virtual Private Networks eingerichtet. Denn angesichts der sensitiven Daten, die über das iznNet laufen, sollten die einzelnen Bereiche hermetisch voneinander abgeschottet sein.
Ein weiteres Problem: In sehr großen Netzwerken nimmt die Zeit stark zu, die insbesondere die zentralen Router benötigen, um einen bestimmten Subnetzeintrag zu finden oder ihre Einträge zu aktualisieren. Für das iznNet wirkt sich zusätzlich die IP-Adress-Struktur negativ aus, die nicht geografisch, sondern behördlich ausgerichtet ist. VPNs lassen sich in einem solchen Netz zwar auch mithilfe von Accesslisten, Tunnel-Techniken oder Firewalls realisieren – die Verwaltung der einzelnen virtuellen Netze gestaltet sich jedoch mit zunehmender Teilnehmerzahl aufwändig und fehleranfällig. Deshalb hat sich das Informatikzentrum Niedersachsen (izn) für ein Netzkonzept auf MPLS-Basis entschieden, das durch die NK Networks & Services umgesetzt wurde.
Das iznNet 2000 ist organisatorisch gesehen ein Service-Provider-VPN mit vollständigem VPN-Outsourcing. Die Grenze zum VPN-Netz bildet der so genannte CPE-Router (Customer Premise Equipment) beim Kunden, genauer genommen das LAN-seitige Ethernet-Interface. Technisch betrachtet handelt es sich beim iznNet 2000 um ein hardwarebasiertes IP-VPN mit einem geswitchten WAN-Backbone mit 34 MBit/s im Core-Backbone sowie verschiedenen Regional-Backbones. Eine Besonderheit zum Modell des "vollständigen VPN-Outsourcing" ergibt sich dadurch, dass die Übertragungswege größtenteils durch einen privaten Carrier bereitgestellt werden, während die Übertragungseinrichtungen im IP-Netzwerk des iznNet 2000 Eigentum des Landes sind und vom izn betrieben und überwacht werden.
Der Einsatz von MPLS gewährleistet zunächst vor allem die Bereitstellung von sicheren und managebaren VPNs. Nutzer und Administratoren in den Behörden des Landes selbst sind durch diese Maßnahme nicht betroffen, da der Zugang weiterhin über ein IP-Netz erfolgt. Die weitergehenden Funktionen von MPLS, insbesondere die Möglichkeiten des Traffic-Engineering, können in Zukunft bei Bedarf und nach entsprechender Evaluierung die Effizienz und Leistungsfähigkeit des iznNet 2000 weiter steigern.
Fazit
Virtual Private Networks auf Basis des Internet-Protokolls sind die Garantie für eine effektive und kostengünstige Unternehmenskommunikation. Sie bieten die gleichen Leistungsmerkmale hinsichtlich Sicherheit, Dienstgüte, Wartung und Zuverlässigkeit wie private Netzwerke, die über Standleitungen gebildet werden. Außerdem können Unternehmen durch das Einsparen teurer Mietleitungen ihre Kosten erheblich senken. Die Anforderungen an VPN-Services sind jedoch sehr komplex: Quality of Service und Traffic-Management spielen ebenso eine Rolle wie sichere und verlässliche Kommunikationswege. Multiprotocol Label Switching ermöglicht sichere VPN-Lösungen, die die zentralen Kriterien einer leistungsstarken Kommunikationsstruktur erfüllen. Mit MPLS kann die Komplexität großer IP-basierter Netze drastisch abnehmen und der Datenstrom lässt sich effektiver kontrollieren.
Detlef Marten ist Manager Business Solutions/Marketing bei NK Networks & Services in Köln.
Literatur
Nmap Network Scanning
Chapter 15. Nmap Reference Guide
Service and Version Detection
Prev
Next
Service and Version Detection
Point Nmap at a remote machine and it might tell you that ports 25/tcp, 80/tcp, and 53/udp are open. Using its nmap-services database of about 2,200 well-known services, Nmap would report that those ports probably correspond to a mail server (SMTP), web server (HTTP), and name server (DNS) respectively. This lookup is usually accurate—the vast majority of daemons listening on TCP port 25 are, in fact, mail servers. However, you should not bet your security on this! People can and do run services on strange ports.
Even if Nmap is right, and the hypothetical server above is running SMTP, HTTP, and DNS servers, that is not a lot of information. When doing vulnerability assessments (or even simple network inventories) of your companies or clients, you really want to know which mail and DNS servers and versions are running. Having an accurate version number helps dramatically in determining which exploits a server is vulnerable to. Version detection helps you obtain this information.
After TCP and/or UDP ports are discovered using one of the other scan methods, version detection interrogates those ports to determine more about what is actually running. The nmap-service-probes database contains probes for querying various services and match expressions to recognize and parse responses. Nmap tries to determine the service protocol (e.g. FTP, SSH, Telnet, HTTP), the application name (e.g. ISC BIND, Apache httpd, Solaris telnetd), the version number, hostname, device type (e.g. printer, router), the OS family (e.g. Windows, Linux). When possible, Nmap also gets the Common Platform Enumeration (CPE) representation of this information. Sometimes miscellaneous details like whether an X server is open to connections, the SSH protocol version, or the KaZaA user name, are available. Of course, most services don't provide all of this information. If Nmap was compiled with OpenSSL support, it will connect to SSL servers to deduce the service listening behind that encryption layer. Some UDP ports are left in the open|filtered state after a UDP port scan is unable to determine whether the port is open or filtered. Version detection will try to elicit a response from these ports (just as it does with open ports), and change the state to open if it succeeds. open|filtered TCP ports are treated the same way. Note that the Nmap -A option enables version detection among other things. Version detection is described in detail in Chapter 7, Service and Application Version Detection.
When RPC services are discovered, the Nmap RPC grinder is automatically used to determine the RPC program and version numbers. It takes all the TCP/UDP ports detected as RPC and floods them with SunRPC program NULL commands in an attempt to determine whether they are RPC ports, and if so, what program and version number they serve up. Thus you can effectively obtain the same info as rpcinfo -p even if the target's portmapper is behind a firewall (or protected by TCP wrappers). Decoys do not currently work with RPC scan.
When Nmap receives responses from a service but cannot match them to its database, it prints out a special fingerprint and a URL for you to submit it to if you know for sure what is running on the port. Please take a couple minutes to make the submission so that your find can benefit everyone. Thanks to these submissions, Nmap has about 6,500 pattern matches for more than 650 protocols such as SMTP, FTP, HTTP, etc.
Version detection is enabled and controlled with the following options:
-sV (Version detection)
Enables version detection, as discussed above. Alternatively, you can use -A, which enables version detection among other things.
-sR is an alias for -sV. Prior to March 2011, it was used to active the RPC grinder separately from version detection, but now these options are always combined.
--allports (Don't exclude any ports from version detection)
By default, Nmap version detection skips TCP port 9100 because some printers simply print anything sent to that port, leading to dozens of pages of HTTP GET requests, binary SSL session requests, etc. This behavior can be changed by modifying or removing the Exclude directive in nmap-service-probes, or you can specify --allports to scan all ports regardless of any Exclude directive.
--version-intensity <intensity> (Set version scan intensity)
When performing a version scan (-sV), Nmap sends a series of probes, each of which is assigned a rarity value between one and nine. The lower-numbered probes are effective against a wide variety of common services, while the higher-numbered ones are rarely useful. The intensity level specifies which probes should be applied. The higher the number, the more likely it is the service will be correctly identified. However, high intensity scans take longer. The intensity must be between 0 and 9. The default is 7. When a probe is registered to the target port via the nmap-service-probes ports directive, that probe is tried regardless of intensity level. This ensures that the DNS probes will always be attempted against any open port 53, the SSL probe will be done against 443, etc.
--version-light (Enable light mode)
This is a convenience alias for --version-intensity 2. This light mode makes version scanning much faster, but it is slightly less likely to identify services.
--version-all (Try every single probe)
An alias for --version-intensity 9, ensuring that every single probe is attempted against each port.
--version-trace (Trace version scan activity)
This causes Nmap to print out extensive debugging info about what version scanning is doing. It is a subset of what you get with --packet-trace.
Prev
Port Specification and Scan Order
Up
Chapter 15. Nmap Reference Guide
Home
Next
OS Detection
Alle Sicherheitswerkzeuge sind nur so gut wie die Ausgabe, die sie erzeugen. Komplexe Tests und Algorithmen haben einen geringen Wert, wenn sie nicht auf übersichtliche und verständliche Weise dargestellt werden. Da Nmap auf vielfältige Weise von verschiedenen Leuten und anderer Software benutzt wird, kann kein Format allein es allen recht machen. Daher bietet Nmap mehrere Formate, darunter den interaktiven Modus, den Menschen direkt lesen können, und XML, das von Software leicht geparst werden kann.
Zusätzlich zu verschiedenen Ausgabeformaten bietet Nmap Optionen zur Steuerung der Ausführlichkeit dieser Ausgabe sowie Debugging-Meldungen. Die Ausgaben können an die Standardausgabe oder an benannte Dateien gehen, die Nmap überschreiben bzw. an die es seine Ausgabe anfügen kann. Mit den Ausgabedateien können außerdem abgebrochene Scans fortgesetzt werden.
Nmap erzeugt seine Ausgabe in fünf verschiedenen Formaten. Das Standardformat heißt interaktive Ausgabe und wird an die Standardausgabe (stdout) gesendet. Es gibt auch die normale Ausgabe, die ähnlich zur interaktiven Ausgabe ist, außer dass sie weniger Laufzeitinformation und Warnungen ausgibt, weil man davon ausgeht, dass sie erst nach Abschluss des Scans analysiert wird und nicht, während er noch läuft.
Die XML-Ausgabe ist eines der wichtigsten Ausgabeformate, da sie einfach nach HTML konvertiert, von Programmen wie Nmap-GUIs geparst oder in Datenbanken importiert werden kann.
Die zwei verbleibenden Ausgabeformate sind die einfache grepbare Ausgabe, in der die meiste Information über einen Zielhost in einer einzigen Zeile enthalten ist, und sCRiPt KiDDi3 0utPUt für Benutzer, die sich selbst als |<-r4d sehen.
Die interaktive Ausgabe ist standardmäßig vorgegeben und verfügt über keine eigenen Kommandozeilenoptionen, aber die anderen vier Formate benutzen dieselbe Syntax. Sie erwarten ein Argument, den Namen der Datei, in der die Ergebnisse gespeichert werden sollen. Es können mehrere Formate angegeben werden, aber jedes nur einmal. Vielleicht möchten Sie z.B. eine normale Ausgabe für eine eigene Untersuchung speichern und eine XML-Ausgabe desselben Scans für eine programmbasierte Analyse. Das erreichen Sie mit den Optionen -oX myscan.xml -oN myscan.nmap. Auch wenn in diesem Kapitel der Kürze wegen einfache Namen wie myscan.xml benutzt werden, empfehlen sich im Allgemeinen aussagekräftigere Namen. Welche Namen Sie wählen, ist Geschmackssache, aber ich benutze lange Namen, die das Scandatum und ein oder zwei Worte über den Scan enthalten, in einem Verzeichnis, das den Namen der gescannten Firma enthält.
Auch wenn diese Optionen Ergebnisse in Dateien speichern, gibt Nmap weiterhin die interaktive Ausgabe wie üblich auf die Standardausgabe aus. Zum Beispiel speichert der Befehl nmap -oX myscan.xml target XML in myscan.xml und füllt die Standardausgabe mit demselben interaktiven Ergebnis, wie es auch ohne Angabe von -oX der Fall wäre. Das können Sie ändern, indem Sie ein Minuszeichen als Argument für eines der Formate angeben. Dann schaltet Nmap die interaktive Ausgabe ab und gibt stattdessen Ergebnisse im gewünschten Format auf den Standardausgabestrom aus. Das heißt, der Befehl nmap -oX - target schreibt nur die XML-Ausgabe auf die Standardausgabe. Ernste Fehler werden weiterhin auf den normalen Standardfehlerstrom, stderr, ausgegeben.
Anders als bei anderen Nmap-Argumenten ist das Leerzeichen zwischen dem Options-Flag für eine Ausgabedatei (z.B. -oX) und dem Dateinamen oder Minuszeichen obligatorisch. Falls Sie die Leerzeichen weglassen und Argumente wie z.B. -oG- oder -oXscan.xml angeben, erzeugt Nmap aus Gründen der Rückwärtskompatibilität Ausgabedateien im normalen Format, die jeweils die Namen G- und Xscan.xml haben.
All diese Argumente unterstützen strftime-ähnliche Umwandlungen im Dateinamen. %H, %M, %S, %m, %d, %y und %Y sind alle exakt gleich wie in strftime. %T entspricht %H%M%S, %R entspricht %H%M und %D entspricht %m%d%y. Ein %, dem ein anderes Zeichen folgt, ergibt nur genau dieses Zeichen (%% ergibt ein Prozentzeichen). Also erzeugt -oX 'scan-%T-%D.xml' eine XML-Datei in der Form scan-144840-121307.xml.
Nmap bietet auch Optionen zur Steuerung der Scan-Ausführlichkeit und Optionen, um an Ausgabedateien anzuhängen, statt sie zu überschreiben. All diese Optionen werden unten beschrieben.
Nmap-Ausgabeformate
-oN <filespec> (normale Ausgabe)
Verlangt, dass eine normale Ausgabe in der angegebenen Datei gespeichert wird. Wie oben erwähnt, unterscheidet sich das leicht von der interaktiven Ausgabe.
-oX <filespec> (XML-Ausgabe)
Verlangt, dass eine XML-Ausgabe in der angegebenen Datei gespeichert wird. Nmap fügt eine DTD (Document Type Definition) hinzu, mit der XML-Parser Nmaps XML-Ausgabe validieren können. Diese ist vor allem für die Benutzung durch Programme gedacht, kann aber auch Menschen bei der Interpretation von Nmaps XML-Ausgabe helfen. Die DTD definiert die gültigen Elemente des Formats und zählt an vielen Stellen die dafür erlaubten Attribute und Werte auf. Die neueste Version ist immer unter https://nmap.org/data/nmap.dtd verfügbar.
XML bietet ein stabiles Format, das man mit Software leicht parsen kann. Solche XML-Parser sind für alle wichtigen Programmiersprachen wie C/C++, Perl, Python und Java gratis verfügbar. Manche Leute haben sogar Anbindungen für die meisten dieser Sprachen geschrieben, um speziell die Ausgabe und Ausführung von Nmap zu steuern. Beispiele sind Nmap::Scanner und Nmap::Parser für Perl in CPAN. In fast allen Fällen, in denen eine nicht-triviale Anwendung eine Schnittstelle zu Nmap benutzt, ist XML das bevorzugte Format.
Die XML-Ausgabe verweist auf ein XSL-Stylesheet, mit dem man die Ergebnisse als HTML formatieren kann. Am einfachsten benutzt man das, indem man einfach die XML-Ausgabe in einem Webbrowser wie Firefox oder IE lädt. Standardmäßig funktioniert das nur auf dem Rechner, auf dem Sie Nmap ausgeführt haben (oder auf einem, der ähnlich konfiguriert ist), weil der Pfad zu nmap.xsl darin festkodiert ist. Um portable XML-Dateien zu erzeugen, die auf allen mit dem Web verbundenen Rechnern als HTML angezeigt werden, können Sie die Optionen --webxml oder --stylesheet benutzen.
-oS <filespec> (ScRipT KIdd|3-Ausgabe)
Die Script-Kiddie-Ausgabe ist ähnlich zur interaktiven Ausgabe, mit dem Unterschied, dass sie nachbearbeitet ist, um die 'l33t HaXXorZ besser anzusprechen! Vorher haben sie wegen dessen konsistent richtiger Schreibweise und Buchstabierung auf Nmap herabgesehen. Humorlose Menschen sollten wissen, dass diese Option sich über Script Kiddies lustig macht, bevor sie mich dafür angreifen, dass ich „ihnen helfe“.
-oG <filespec> (grepbare Ausgabe)
Dieses Ausgabeformat wird zum Schluss beschrieben, weil es als überholt gilt. Das XML-Ausgabeformat ist wesentlich leistungsstärker und für erfahrene Benutzer fast genauso bequem. XML ist eim Standard, für den Dutzende hervorragender Parser verfügbar sind, während die grepbare Ausgabe nur mein eigener einfacher Hack ist. XML ist erweiterbar und kann neue Nmap-Eigenschaften unterstützen, die ich beim grepbaren Format aus Platzgründen oft weglassen muss.
Dessen ungeachtet ist die grepbare Ausgabe immer noch recht beliebt. Es ist ein einfaches Format, das pro Zeile einen Host auflistet und das mit Unix-Standardwerkzeugen wie grep, awk, cut, sed, diff und auch mit Perl auf triviale Weise durchsucht und geparst werden kann. Selbst ich benutze es für einmalige schnelle Tests in der Kommandozeile. Zum Beispiel kann man alle Hosts, auf denen der SSH-Port offen ist oder auf denen Solaris läuft, auf einfache Weise mit einem grep bestimmen, das die Hosts findet, umgeleitet in einen awk- oder cut-Befehl, der die gewünschten Felder ausgibt.
Die grepbare Ausgabe besteht aus Kommentaren (Zeilen, die mit einem # anfangen) sowie aus Zielzeilen. Eine Zielzeile enthält eine Kombination aus sechs benannten Feldern, durch Tabulatoren getrennt, gefolgt von einem Doppelpunkt. Diese Felder lauten Host, Ports, Protocols, Ignored State, OS, Seq Index, IP ID und Status.
Das wichtigste dieser Felder ist im Allgemeinen Ports, das Details zu einem interessanten Port enthält. Es ist eine mit Kommata getrennte Liste von Port-Einträgen, wobei jeder Eintrag einen interessanten Port darstellt und aus sieben mit Schrägstrichen (/) getrennten Unterfeldern besteht. Diese Unterfelder lauten: Port number, State, Protocol, Owner, Service, SunRPC info und Version info.
Wie bei der XML-Ausgabe kann diese Manpage auch hier nicht das vollständige Format dokumentieren. Eine detailliertere Betrachtung des grepbaren Ausgabeformats in Nmap finden Sie from https://nmap.org/book/output-formats-grepable-output.html.
-oA <basename> (Ausgabe in allen Formaten)
Aus Gründen der Bequemlichkeit können Sie Scan-Ergebnisse mit -oA <basename> gleichzeitig in normalem, in XML- und in grepbarem Format speichern. Sie werden jeweils in <basename>.nmap, <basename>.xml und <basename>.gnmap, gespeichert. Wie in den meisten Programmen können Sie vor den Dateinamen ein Präfix mit einem Verzeichnispfad darin setzen, z.B. ~/nmaplogs/foocorp/ unter Unix oder c:\hacking\sco unter Windows.
Optionen für Ausführlichkeit und Debugging
-v (größere Ausführlichkeit)
Erhöht die Ausführlichkeit, d.h. Nmap gibt mehr Informationen über den laufenden Scan aus. Offene Ports werden angezeigt, direkt nachdem sie gefunden werden, und es werden Schätzungen für die Dauer bis zur Fertigstellung angegeben, falls Nmap meint, dass ein Scan mehr als ein paar Minuten benötigt. Noch mehr Information erhalten Sie, wenn Sie diese Option zweimal oder noch öfter angeben.
Die meisten Änderungen betreffen nur die interaktive Ausgabe, manche betreffen auch die normale und die Script-Kiddie-Ausgabe. Die anderen Ausgabearten sind für die Weiterverarbeitung durch Maschinen gedacht, d.h. Nmap kann in diesen Formaten standardmäßig alle Details angeben, ohne einen menschlichen Leser zu ermüden. Allerdings gibt es in den anderen Modi einige Änderungen, bei denen die Ausgabegröße durch Weglassen einiger Details erheblich reduziert werden kann. Zum Beispiel wird eine Kommentarzeile in der grepbaren Ausgabe, die eine Liste aller gescannten Ports enthält, nur im wortreichen Modus ausgegeben, weil sie ziemlich lang werden kann.
-d [level] (erhöhe oder setze Debugging-Stufe)
Wenn nicht einmal der wortreiche Modus genug Daten für Sie liefert, können Sie beim Debugging noch wesentlich mehr davon bekommen! Wie bei der Ausführlichkeits-Option (-v) wird auch das Debugging mit einem Kommandozeilen-Flag eingeschaltet (-d), und die Debug-Stufe kann durch eine mehrfache Angabe gesteigert werden. Alternativ dazu können Sie eine Debug-Stufe auch als Argument an -d übergeben. So setzt z.B. -d9 die Stufe neun. Das ist die höchste verfügbare Stufe, die Tausende von Zeilen produziert, sofern Sie keinen sehr einfachen Scan mit sehr wenigen Ports und Zielen ausführen.
Eine Debugging-Ausgabe ist sinnvoll, wenn Sie einen Fehler in Nmap vermuten oder wenn Sie einfach verwirrt darüber sind, was und warum Nmap etwas genau macht. Da dieses Merkmal überwiegend für Entwickler gedacht ist, sind Debug-Zeilen nicht immer selbsterklärend. Vielleicht bekommen Sie etwas wie: Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000. Wenn Sie eine Zeile nicht verstehen, ist Ihre einzige Zuflucht, sie zu ignorieren, im Quellcode nachzuschauen oder Hilfe auf der Entwicklerliste (nmap-dev). zu erfragen. Manche Einträge sind selbsterklärend, aber je höher die Debug-Stufe ist, desto obskurer werden die Meldungen.
--reason (Gründe für Host- und Portzustände)
Gibt die Gründe an, warum ein Port auf einen bestimmten Zustand gesetzt wurde und warum ein Host als ein- oder ausgeschaltet betrachtet wird. Diese Option zeigt die Paketart an, die einen Port- oder Hostzustand ermittelt hat, z.B. ein RST-Paket von einem geschlossenen Port oder ein Echo Reply von einem eingeschalteten Host. Die Information, die Nmap angeben kann, hängt von der Art des Scans oder Pings ab. Der SYN-Scan und der SYN-Ping (-sS und -PS) sind sehr detailliert, aber der TCP-Connect-Scan (-sT) wird durch die Implementierung des connect-Systemaufrufs beschränkt. Dieses Merkmal wird automatisch von der Debug-Option (-d) aktiviert, und die Ergebnisse werden auch dann in XML-Protokolldateien gespeichert, wenn diese Option gar nicht angegeben wird.
--stats-every
Gibt periodisch eine Timing-Statusmeldung nach einem Intervall der Länge <time> aus. Dabei kann diese Zeitangabe beschrieben werden, wie in „Timing und Performance“ dargestellt, d.h. Sie können z.B. --stats-every 10s benutzen, um alle 10 Sekunden eine Statusaktualisierung zu erhalten. Diese erscheint in der interaktiven Ausgabe (auf dem Bildschirm) und in der XML-Ausgabe.
--packet-trace (gesendete und empfangene Pakete und Daten mitverfolgen)
Bewirkt, dass Nmap für jedes gesendete oder empfangene Paket eine Zusammenfassung ausgibt. Das wird bei der Fehlersuche oft gemacht, ist aber auch eine willkommene Methode für Neulinge, um genau zu verstehen, was Nmap unter der Oberfläche macht. Um zu verhindern, dass Tausende von Zeilen ausgegeben werden, möchten Sie vielleicht eine beschränkte Anzahl zu scannender Ports angeben, z.B. mit -p20-30. Wenn Sie nur wissen möchten, was im Versionserkennungssubsystem vor sich geht, benutzen Sie stattdessen --version-trace. Wenn Sie nur an einer Script-Mitverfolgung interessiert sind, geben Sie --script-trace an. Mit --packet-trace erhalten Sie all das zusammen.
--open (zeige nur offene (oder möglicherweise offene) Ports an)
Manchmal interessieren Sie sich nur für Ports, mit denen Sie tatsächlich eine Verbindung herstellen können (offene Ports), und wollen Ihre Ergebnisse nicht mit anderen Ports überhäufen, die geschlossen, gefiltert und geschlossen|gefiltert sind. Die Ausgabe wird normalerweise nach dem Scan mit Werkzeugen wie grep, awk und Perl angepasst, aber dieses Merkmal wurde auf überwältigend vielfachen Wunsch hinzugefügt. Geben Sie --open an, um nur offene, offene|gefilterte und ungefilterte Ports zu sehen. Diese drei Ports werden ganz wie gewöhnlich behandelt, d.h. dass offen|gefiltert und ungefiltert in Zählungen zusammengefasst werden, wenn es eine sehr große Anzahl davon gibt.
--iflist (liste Schnittstellen und Routen auf)
Gibt die Liste der Schnittstellen und Systemrouten aus, die Nmap entdeckt hat. Das ist hilfreich bei der Fehlersuche bei Routing-Problemen oder fehlerhaften Gerätebeschreibungen (z.B. wenn Nmap eine PPP-Verbindung als Ethernet behandelt).
--log-errors (protokolliere Fehler/Warnungen in eine Datei im normalen Ausgabeformat)
Von Nmap ausgegebene Warnungen und Fehlermeldungen gehen normalerweise nur auf den Bildschirm (interaktive Ausgabe), was die Ordnung aller Ausgabedateien im normalen Format (üblicherweise mit -oN angegeben) nicht stört. Wenn Sie diese Meldungen in den angegebenen normalen Ausgabedateien wirklich sehen möchten, können Sie diese Option benutzen. Diese ist dann hilfreich, wenn Sie die interaktive Ausgabe nicht übersehen oder wenn Sie Fehler beim Debugging speichern möchten. Die Fehlermeldungen und Warnungen werden auch im interaktiven Modus weiterhin erscheinen. Bei den meisten Fehlern bezüglich schlechter Kommandozeilenargumente wird das nicht funktionieren, da Nmap seine Ausgabedateien eventuell noch nicht initialisiert hat. Außerdem benutzen einige Nmap-Fehlermeldungen und -Warnungen ein anderes System, das diese Option noch nicht unterstützt.
Eine Alternative zu --log-errors ist die Umleitung der interaktiven Ausgabe (inklusive des Standardfehlerstroms) in eine Datei. Die meisten Unix-Shells machen einem diesen Ansatz leicht, aber auf Windows kann er schwierig sein.
Weitere Ausgabeoptionen
--append-output (an Ausgabedateien hinzufügen, statt sie zu überschreiben)
Wenn Sie einen Dateinamen für ein Ausgabeformat wie z.B. -oX oder -oN angeben, wird diese Datei standardmäßig überschrieben. Wenn Sie deren Inhalt lieber behalten und die neuen Ergebnisse anhängen möchten, benutzen Sie die Option --append-output. Dann wird bei allen angegebenen Ausgabedateinamen dieses Nmap-Aufrufs an die Dateien angehängt, statt sie zu überschreiben. Mit XML-Scandaten (-oX) funktioniert das nicht so gut, da die erzeugte Datei im Allgemeinen nicht mehr sauber geparst wird, es sei denn, Sie reparieren sie von Hand.
Manche umfangreichen Nmap-Läufe benötigen sehr viel Zeit – in der Größenordnung von Tagen. Solche Scans laufen nicht immer bis zum Ende. Vielleicht gibt es Beschränkungen, die verhindern, dass man Nmap während der normalen Arbeitszeit ausführen kann, das Netzwerk könnte abstürzen, der Rechner, auf dem Nmap läuft, könnte einen geplanten oder ungeplanten Neustart erleben oder Nmap selbst könnte abstürzen. Der Administrator, der Nmap ausführt, könnte es auch aus irgendeinem anderen Grund abbrechen, indem er ctrl-C eingibt. Und den ganzen Scan von vorne neu zu starten, ist eventuell nicht wünschenswert. Wenn ein normales (-oN) oder ein grepbares (-oG) Protokoll geführt wurde, kann der Benutzer Nmap jedoch bitten, den Scan bei dem Ziel fortzusetzen, an dem es beim Abbruch gearbeitet hat. Geben Sie einfach die Option --resume an und übergeben Sie die normale/grepbare Ausgabedatei als Argument. Andere Argumente sind nicht erlaubt, da Nmap die Ausgabedatei parst, um dieselben Argumente zu benutzen, die zuvor benutzt wurden. Rufen Sie Nmap einfach als nmap --resume <logfilename> auf. Nmap fügt neue Ergebnisse dann an die Datendateien an, die im vorherigen Lauf angegeben wurden. Diese Fortsetzung funktioniert nicht aus XML-Ausgabedateien, weil es schwierig wäre, die zwei Läufe in einer gültigen XML-Datei zu kombinieren.
--stylesheet <path or URL> (setze XSL-Stylesheet, um eine XML-Ausgabe zu transformieren)
Die Nmap-Distribution enthält ein XSL-Stylesheet namens nmap.xsl zum Betrachten oder Übersetzen einer XML-Ausgabe nach HTML. Die XML-Ausgabe enthält eine xml-stylesheet-Anweisung, die auf nmap.xml an der Stelle verweist, wo es von Nmap ursprünglich installiert wurde (oder im aktuellen Arbeitsverzeichnis unter Windows). Laden Sie einfach Nmaps XML-Ausgabe in einem modernen Webbrowser, und er sollte nmap.xsl im Dateisystem finden und benutzen, um die Ergebnisse darzustellen. Wenn Sie ein anderes Stylesheet benutzen möchten, geben Sie es als Argument für --stylesheet an. Dabei müssen Sie den vollständigen Pfadnamen oder die URL angeben. Sehr häufig wird --stylesheet https://nmap.org/data/nmap.xsl benutzt. Das sagt einem Browser, dass er die neueste Version des Stylesheets von Nmap.Org laden soll. Die Option --webxml macht dasselbe, verlangt aber weniger Tipparbeit und Merkfähigkeit. Wenn man das XSL von Nmap.Org lädt, wird es einfacher, die Ergebnisse auf einem Rechner anzuschauen, auf dem kein Nmap (und folglich auch kein nmap.xsl) installiert ist. Daher ist die URL oft nützlicher, doch aus Datenschutzgründen wird standardmäßig das nmap.xsl im lokalen Dateisystem benutzt.
--no-stylesheet (lasse XSL-Stylesheet-Deklaration im XML weg)
Geben Sie diese Option an, wenn Nmap in seiner XML-Ausgabe auf keinerlei XSL-Stylesheet verweisen soll. Die xml-stylesheet-Anweisung wird dann weggelassen.
Zurück
Firewall-/IDS-Umgehung und -Täuschung
Nach oben
Nmap-Referenz-Handbuch (Man Page)
Zum Anfang
Weiter
Verschiedene Optionen
Nmap-Referenz-Handbuch (Man Page)
Firewall-/IDS-Umgehung und -Täuschung
Zurück
Weiter
Firewall-/IDS-Umgehung und -Täuschung
Viele Internet-Pioniere hatten die Vision eines globalen, offenen Netzwerks, in dem ein universeller IP-Adressraum virtuelle Verbindungen zwischen zwei beliebigen Knoten erlaubt. Dadurch können Hosts als echte, gleichberechtigte Partner agieren und Information untereinander senden und empfangen. Die Menschen könnten von ihrer Arbeitsstelle auf all ihre Systeme daheim zugreifen, die Einstellungen der Klimaanlage ändern oder die Türen für verfrühte Gäste aufsperren. Diese Vision einer universellen Konnektivität wurde durch eine Verknappung im Adressraum und Sicherheitsbedenken abgewürgt. In den frühen 1990er Jahren begannen Organisationen mit der Aufstellung von Firewalls mit dem ausdrücklichen Zweck einer Reduktion der Konnektivität. Riesige Netzwerke wurden mit Anwendungs-Proxies, NAT (Network Address Translation)-Geräten und Paketfiltern vom ungefilterten Internet abgeriegelt. Der ungehinderte Fluss von Informationen hat einer strengen Regulierung von zugelassenen Kommunikationskanälen und der darüber ausgetauschten Inhalte Platz gemacht.
Netzwerkhindernisse wie Firewalls können die Analyse eines Netzwerks außerordentlich schwer machen. Und leichter wird es nicht werden, da das Verhindern von Ausspähungen oft ein Schlüsselziel beim Einsatz dieser Geräte ist. Trotzdem bietet Nmap viele Eigenschaften, um beim Verständnis dieser komplexen Netzwerke zu helfen und um zu überprüfen, dass diese Filter arbeiten wie gewünscht. Es bietet sogar Mechanismen zur Umgehung schlechter Abwehrstrategien. Eine der besten Methoden, Ihre Lage in puncto Netzwerksicherheit zu verstehen, ist die, sie anzugreifen. Versetzen Sie sich selbst in die Denkweise eines Angreifers und wenden Sie Verfahren aus diesem Kapitel gegen Ihr Netzwerk an. Starten Sie einen FTP-Bounce-Scan, Idle-Scan, Fragmentierungsangriff, oder versuchen Sie durch einen Ihrer eigenen Proxies zu tunneln.
Zusätzlich zur Beschränkung der Netzwerkaktivität überwachen Firmen ihren Datenverkehr immer mehr mit Intrusion-Detection-Systemen (IDS). Alle wichtigen IDS werden mit Regeln ausgeliefert, die entworfen wurden, um Nmap-Scans zu erkennen, weil Scans manchmal Vorboten von Angriffen sind. Viele dieser Produkte haben sich in Intrusion-Prevention-Systeme (IPS) verwandelt, die für böswillig gehaltenen Datenverkehr aktiv blockieren. Dummerweise ist es für Netzwerkadministratoren und IDS-Hersteller eine sehr schwierige Aufgabe, böswillige Absichten durch die Analyse von Paketdaten zuverlässig zu erkennen. Angreifer mit Geduld, Geschick und der Hilfe bestimmter Nmap-Optionen können meist unerkannt an einem IDS vorbeikommen. Währenddessen müssen Administratoren mit riesigen Mengen falscher positiver Ergebnisse kämpfen, bei denen eine nicht böswillige Aktivität fehldiagnostiziert wird und Alarm schlägt oder blockiert wird.
Ab und zu schlagen Leute vor, dass Nmap keine Eigenschaften für die Umgehung von Firewallregeln oder IDS enthalten sollte. Ihr Argument ist, dass diese Eigenschaften genauso wahrscheinlich von Angreifern missbraucht werden wie von Administratoren, die die Sicherheit verbessern. Das Problem bei dieser Logik ist, dass diese Methoden trotzdem von Angreifern benutzt würden, die einfach andere Werkzeuge finden oder die Funktionalität in Nmap einbauen würden. Zugleich wäre es für Administratoren sehr viel schwerer, ihren Job zu machen. Das Aufstellen nur moderner, gepatchter FTP-Server ist eine wesentlich bessere Verteidigung als der Versuch, die Verbreitung von Werkzeugen zu verhindern, die einen FTP-Bounce-Angriff implementieren.
Es gibt keine Wunderlösung (oder Nmap-Option) zur Erkennung und Umgehung von Firewalls und IDS-Systemen. Es braucht Kompetenz und Erfahrung. Eine Anleitung dazu würde den Rahmen dieses Referenz-Handbuches sprengen, das nur die wichtigsten Optionen auflistet und beschreibt, was sie machen.
Die Option -f bewirkt, dass der gewünschte Scan (inklusive Ping-Scans) winzig fragmentierte IP-Pakete benutzt. Die Idee dabei ist, den TCP-Header über mehrere Pakete aufzuteilen, um es Paketfiltern, Intrusion-Detection-Systemen und anderen Ärgernissen schwerer zu machen, Ihre Aktivitäten zu durchschauen. Seien Sie dabei vorsichtig! Manche Programme haben Mühe, mit diesen winzigen Paketen umzugehen. Ein Sniffer alter Schule namens Sniffit ist beim Erhalt des ersten Fragments sofort mit einem Segmentation-Fault-Fehler abgestürzt. Wenn Sie diese Option einmal angeben, spaltet Nmap die Pakete in acht Bytes oder weniger nach dem IP-Header auf. Das heißt, ein 20 Byte langer TCP-Header würde in drei Pakete aufgeteilt, zwei mit acht Bytes des TCP-Headers und eines mit den restlichen vier. Natürlich hat jedes Fragment auch einen IP-Header. Geben Sie erneut -f an, um 16 Bytes pro Fragment zu benutzen (was die Anzahl der Fragmente verkleinert). Oder Sie geben eine eigene Offset-Größe mit der Option --mtu (für engl. maximum transmission unit) an. Wenn Sie --mtu angeben, sollten Sie nicht auch -f angeben. Das Offset muss ein Vielfaches von acht sein. Zwar kommen fragmentierte Pakete nicht durch Paketfilter und Firewalls durch, die alle IP-Fragmente in eine Warteschlange stellen, wie z.B. die Option CONFIG_IP_ALWAYS_DEFRAG im Linux-Kernel, aber einige Netzwerke können sich den damit verbundenen Performance-Einbruch nicht leisten und lassen sie folglich deaktiviert. Andere können sie nicht aktivieren, weil die Fragmente auf verschiedenen Routen in ihre Netzwerke kommen könnten. Manche Quellsysteme defragmentieren hinausgehende Pakete im Kernel. Ein Beispiel dafür ist Linux mit dem Verbindungsmodul iptables. Führen Sie einen Scan aus, während ein Sniffer wie z.B. Wireshark läuft, um sicherzustellen, dass die gesendeten Pakete fragmentiert sind. Falls Ihr Host-Betriebssystem Probleme macht, probieren Sie die Option --send-eth aus, um die IP-Schicht zu umgehen und rohe Ethernet-Rahmen zu schicken.
Eine Fragmentierung wird von Nmap nur für rohe Pakete unterstützt, die man mit TCP- und UDP-Port-Scans (außer beim Connect-Scan und FTP-Bounce-Scan) und der Betriebssystemerkennung benutzen kann. Merkmale wie die Versionserkennung und die Nmap Scripting Engine unterstützen im Allgemeinen keine Fragmentierung, weil sie sich auf den TCP-Stack Ihres Hosts verlassen, um mit anderen Zielen zu kommunizieren.
-D <decoy1>[,<decoy2>][,ME][,...] (verdeckt einen Scan mit Ködern)
Führt einen Decoy-Scan durch, was für den entfernten Host den Anschein erweckt, dass der oder die Hosts, die Sie als Köder angeben, das Zielnetzwerk ebenfalls scannen. Deren IDS kann also 5–10 Port-Scans von eindeutigen IP-Adressen verzeichnen, aber es weiß nicht, welche IP sie gescannt hat und welche unschuldige Köder waren. Das kann man zwar bekämpfen, indem man Router-Pfade mitverfolgt, Antworten verwirft oder weitere aktive Mechanismen anwendet, aber im Allgemeinen ist es eine wirksame Methode zum Verbergen Ihrer IP-Adresse.
Trennen Sie alle Köder mit Kommata voneinander, wobei Sie optional ME als einen der Köder angeben können, um die Position Ihrer echten IP-Adresse zu bestimmen. Falls Sie ME an sechster Stelle oder später setzen, zeigen einige verbreitete Port-Scan-Detektoren (wie z.B. der hervorragende Scanlogd von Solar Designer) Ihre IP-Adresse wahrscheinlich überhaupt nicht an. Wenn Sie kein ME angeben, setzt es Nmap an eine zufällig gewählte Position. Sie können auch RND benutzen, um eine zufällige, nicht-reservierte IP-Adresse zu erzeugen, oder RND:<number>, um <number> Adressen zu erzeugen.
Beachten Sie, dass die Hosts, die Sie als Köder benutzen, eingeschaltet sein sollten, sonst könnten Sie versehentlich einen SYN-Flood-Angriff auf Ihre Ziele auslösen. Außerdem lässt sich der scannende Host sehr einfach bestimmen, wenn nur einer davon im Netzwerk eingeschaltet ist. Vielleicht möchten Sie IP-Adressen statt -Namen benutzen (damit die Köder-Netzwerke Sie nicht in ihren Nameserver-Protokollen sehen).
Köder werden sowohl im initialen Ping-Scan (mit ICMP, SYN, ACK oder was auch immer) als auch während der eigentlichen Port-Scan-Phase benutzt. Auch bei der Erkennung entfernter Betriebssysteme (-O) werden Köder benutzt. Bei der Versionserkennung oder beim TCP-Connect-Scan funktionieren Köder jedoch nicht. Falls eine Scan-Verzögerung stattfindet, wird sie zwischen zwei Stapeln vorgetäuschter Testpakete erzwungen, nicht zwischen einzelnen Testpaketen. Weil Köder stapelweise auf einmal gesendet werden, können sie vorübergehend die Beschränkungen der Überlastungssteuerung verletzen.
Man sollte hierbei noch erwähnen, dass beim Einsatz von zu vielen Ködern Ihr Scan sich verlangsamen und sogar ungenauer werden kann. Manche ISPs filtern außerdem Ihre vorgetäuschten Pakete, aber viele beschränken solche vorgetäuschten IP-Pakete in keinster Weise.
-S <IP_Address> (Quelladresse vortäuschen)
Unter gewissen Umständen kann Nmap eventuell Ihre Quelladresse nicht bestimmen (wenn dem so ist, dann sagt Ihnen Nmap Bescheid). Benutzen Sie in diesem Fall -S mit der IP-Adresse der Schnittstelle, über die Sie die Pakete senden möchten.
Eine weitere mögliche Anwendung dieses Flags ist eine Vortäuschung des Scans, um die Ziele glauben zu machen, dass jemand anderes sie scannt. Stellen Sie sich eine Firma vor, die wiederholt von einem Mitbewerber gescannt wird! Bei dieser Art von Anwendung werden im Allgemeinen die Optionen -e und -PN benötigt. Beachten Sie, dass Sie normalerweise Antwortpakete zurückbekommen (sie werden an die IP adressiert, die Sie vortäuschen), d.h. Nmap kann keinen sinnvollen Bericht produzieren.
Sagt Nmap, auf welcher Schnittstelle es Pakete senden und empfangen soll. Nmap sollte das automatisch erkennen können, sagt Ihnen aber Bescheid, wenn nicht.
Eine Fehlkonfiguration, die überraschend häufig vorkommt, ist es, dem Netzwerkverkehr allein auf Basis der Quell-Portnummer zu vertrauen. Wie das zustande kommt, kann man leicht verstehen. Ein Administrator setzt eine glänzende neue Firewall auf und wird sofort mit Beschwerden von undankbaren Benutzern überflutet, deren Anwendungen nicht mehr laufen. Vor allem DNS könnte einen Aussetzer haben, weil die UDP-DNS-Antworten von externen Servern nicht länger ins Netzwerk hineinkommen. Ein weiteres häufiges Beispiel ist FTP. Bei aktiven FTP-Übertragungen versucht der entfernte Server, eine Verbindung zurück zum Client herzustellen, um die gewünschte Datei zu übertragen.
Für diese Probleme existieren sichere Lösungen, oftmals in Form von Proxies auf Anwendungsebene oder Protokoll-parsenden Firewall-Modulen. Leider gibt es auch einfachere, unsichere Lösungen. Viele Administratoren haben beobachtet, dass DNS-Antworten von Port 53 und aktive FTP-Antworten von Port 20 kommen, und sind in die Falle getappt, eingehenden Datenverkehr nur von diesen Ports zu erlauben. Oft gehen sie davon aus, dass kein Angreifer solche Firewall-Lecks bemerken und ausbeuten würde. In anderen Fällen betrachten das Administratoren als kurzfristige Überbrückungsmaßnahme, bis sie eine sicherere Lösung implementieren können. Und dann vergessen sie diese Sicherheitsaktualisierung.
Aber nicht nur überarbeitete Netzwerkadministratoren tappen in diese Falle. Zahlreiche Produkte wurden mit diesen unsicheren Regeln ausgeliefert. Sogar Microsoft hat sich schuldig gmacht. Die IPsec-Filter, die mit Windows 2000 und Windows XP ausgeliefert wurden, enthalten eine implizite Regel, die jeden TCP- oder UDP-Datenverkehr von Port 88 (Kerberos) erlaubt. Ein weiterer bekannter Fall sind Versionen der Zone Alarm Personal-Firewall bis 2.1.25, die alle empfangenen UDP-Pakete vom Quell-Port 53 (DNS) oder 67 (DHCP) erlauben.
Nmap bietet die Optionen -g und --source-port (sind äquivalent), um diese Schwächen auszunutzen. Geben Sie einfach eine Portnummer an, und Nmap wird, wenn möglich, Pakete von diesem Port senden. Damit es richtig funktioniert, muss Nmap für bestimmte Betriebssystemerkennungstests verschiedene Portnummern benutzen, und DNS-Anfragen ignorieren das --source-port-Flag, weil Nmap sich bei ihnen auf System-Bibliotheken verlässt. Die meisten TCP-Scans, inklusive dem SYN-Scan, unterstützen die Option vollständig, ebenso wie der UDP-Scan.
--data-length <number> (Zufallsdaten an gesendete Pakete anfügen)
Normalerweise sendet Nmap minimale Pakete, die nur einen Header enthalten. Daher haben seine TCP-Pakete im Allgemeinen nur 40 Bytes und die ICMP Echo-Requests nur 28. Mit dieser Option sagen Sie Nmap, dass es die angegebene Anzahl von zufälligen Bytes an die meisten gesendeten Pakete hinzufügen soll. Pakete für die Betriebssystemerkennung (-O) sind davon nicht betroffen, weil dort aus Genauigkeitsgründen konsistente Pakete verlangt werden, aber die meisten Ping- und Port-Scan-Pakete unterstützen das. Das kann den Scan etwas verlangsamen, aber auch etwas unauffälliger machen.
Laut IP-Protokoll können in den Paket-Headern mehrere Optionen enthalten sein. Anders als die allgegenwärtigen TCP-Optionen sieht man IP-Optionen aus Gründen der praktischen Anwendbarkeit und Sicherheit nur selten. Tatsächlich blockieren die meisten Internet-Router die gefährlichsten Optionen wie Source Routing sogar. Dennoch können diese Optionen in manchen Fällen nützlich sein, um die Netzwerk-Route zu Zielrechnern zu bestimmen und zu manipulieren. Sie können z.B. vielleicht die Option Record Route dazu benutzen, einen Pfad zum Ziel sogar dann zu bestimmen, wenn traditionellere, traceroute-artige Ansätze versagen. Oder wenn Ihre Pakete von einer bestimmten Firewall verworfen werden, können Sie mit den Optionen Strict oder Loose Source Routing möglicherweise eine andere Route angeben.
Die meisten Möglichkeiten bei der Angabe von IP-Optionen hat man, wenn man einfach Werte als Argumente für --ip-options angibt. Stellen Sie vor jede Hex-Zahl ein \x und zwei Ziffern. Einzelne Zeichen können Sie wiederholen, indem Sie ihnen ein Sternchen und dann die Anzahl der Wiederholungen nachstellen. So ist z.B. \x01\x07\x04\x00*36\x01 ein Hex-String mit 36 NUL-Bytes.
Nmap bietet auch einen verkürzten Mechanismus für die Angabe von Optionen. Geben Sie einfach die Buchstaben R, T oder U an, um jeweils Record Route, Record Timestamp oder beide Optionen gemeinsam anzugeben. Loose oder Strict Source Routing kann man mit L bzw. S, gefolgt von einem Leerzeichen und einer mit Leerzeichen getrennten Liste von IP-Adressen angeben.
Wenn Sie die Optionen in den gesendeten und empfangenen Paketen sehen möchten, geben Sie --packet-trace an. Mehr Informationen und Beispiele zum Einsatz von IP-Optionen mit Nmap finden Sie unter https://seclists.org/nmap-dev/2006/q3/0052.html.
--ttl <value> (setzt IP-Time-to-live-Feld)
Setzt bei IPv4 das Time-to-live-Feld in gesendeten Paketen auf den angegebenen Wert.
--randomize-hosts (randomisiert Reihenfolge der Zielhosts)
Verlangt von Nmap, dass es alle Gruppen von bis zu 16.384 Hosts durcheinanderwürfelt, bevor es sie scannt. Das kann den Scan für verschiedene Netzwerk-Überwachungssysteme weniger offensichtlich machen, besonders dann, wenn Sie ihn mit einer langsamen Timing-Option kombinieren. Wenn Sie größere Gruppen randomisieren möchten, müssen Sie PING_GROUP_SZ in nmap.h erhöhen und neu kompilieren. Eine alternative Lösung ist es, die Liste der Ziel-IPs mit einem List-Scan (-sL -n -oN <filename>) zu erzeugen, dann z.B. mit einem Perl-Script zu randomisieren, um sie schließlich als Ganzes mit -iL an Nmap zu übergeben.
--spoof-mac <MAC address, prefix, or vendor name> (MAC-Adresse vortäuschen)
Verlangt von Nmap, dass es in allen gesendeten rohen Ethernet-Rahmen die angegebene MAC-Adresse benutzt. Diese Option impliziert --send-eth, um sicherzustellen, dass Nmap tatsächlich Pakete auf Ethernet-Ebene sendet. Die MAC-Adresse kann in mehreren Formaten angegeben werden. Wenn es einfach die Zahl 0 ist, wählt Nmap eine völlig zufällige MAC-Adresse für diese Sitzung. Falls der angegebene String aus einer geraden Anzahl von Hexadezimalziffern besteht (in dem Paare optional mit Doppelpunkten getrennt sein können), benutzt Nmap diese als MAC. Werden weniger als 12 Hexadezimalziffern angegeben, dann füllt Nmap die restlichen sechs Bytes mit zufälligen Werten. Falls das Argument weder null noch ein Hex-String ist, schaut Nmap in nmap-mac-prefixes nach, um einen Herstellernamen zu finden, der den angegebenen String enthält (unabhängig von der Schreibweise). Wird eine Übereinstimmung gefunden, benutzt Nmap die OUI dieses Herstellers (einen drei Byte langen Präfix) und füllt die verbleibenden drei Bytes mit Zufallswerten. Gültige Beispiele für Argumente von --spoof-mac sind Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2 und Cisco. Diese Option betrifft nur Scans mit rohen Paketen wie den SYN-Scan oder die Betriebssystemerkennung, keine verbindungsorientierten Merkmale wie die Versionserkennung oder die Nmap Scripting Engine.
--badsum (sendet Pakete mit falschen TCP/UDP-Prüfsummen)
Verlangt von Nmap, bei den an Zielhosts gesendeten Paketen ungültige TCP- oder UDP-Prüfsummen zu benutzen. Da so gut wie alle Host-IP-Stacks solche Pakete verwerfen, kommen eventuelle Antworten sehr wahrscheinlich von einer Firewall oder einem IDS, das sich nicht die Mühe macht, die Prüfsumme zu überprüfen. Mehr Details zu dieser Methode finden Sie unter https://nmap.org/p60-12.html.
Zurück
Timing und Performance
Nach oben
Nmap-Referenz-Handbuch (Man Page)
Zum Anfang
Weiter
Ausgabe
Nmap-Referenz-Handbuch (Man Page)
Dienst- und Versionserkennung
Zurück
Weiter
Dienst- und Versionserkennung
Lassen Sie Nmap auf einen entfernten Rechner los, und Sie erfahren z.B. dass die Ports 25/tcp, 80/tcp und 53/udp offen sind. Dank der über 2200 bekannten Dienste in seiner Datenbank in nmap-services würde Nmap noch ausgeben, dass diese Ports wahrscheinlich jeweils zu einem Mailserver (SMTP), Webserver (HTTP) und Nameserver (DNS) gehören. Normalerweise sind diese Angaben genau — die überwiegende Mehrheit an Daemons, die den TCP-Port 25 abhören, sind tatsächlich Mailserver. Allerdings sollten Sie nicht Ihre Sicherheit darauf verwetten! Manche Leute können nicht nur Dienste auf seltsamen Ports betreiben, sondern tun es auch.
Selbst wenn Nmap recht hat und auf dem Server im obigen Beispiel SMTP-, HTTP- und DNS-Server laufen, ist das nicht besonders viel an Information. Bei der Beurteilung der Angreifbarkeit (oder auch nur beim Erstellen einfacher Netzwerkinventare) Ihrer Firmen oder Kunden möchten Sie auch wissen, welche Mail- und DNS-Server und welche Versionen davon laufen. Eine genaue Versionsnummer hilft enorm bei der Bestimmung der Exploits, für die ein Server anfällig ist. Die Versionserkennung hilft Ihnen, an diese Information heranzukommen.
Nachdem TCP- und/oder UDP-Ports mit einer der anderen Scan-Methoden entdeckt wurden, fragt die Versionserkennung diese Ports ab, um mehr darüber zu erfahren, was tatsächlich darauf läuft. Die Datenbank in nmap-service-probes enthält Testpakete für die Abfrage verschiedenster Dienste und Ausdrücke für den Vergleich und das Parsen der Antworten. Nmap versucht, das Dienstprotokoll zu bestimmen (z.B. FTP, SSH, Telnet, HTTP), aber auch Anwendungsnamen (z.B. ISC BIND, Apache httpd, Solaris telnetd), Versionsnummer, Hostnamen, Gerätetyp (z.B. Drucker, Router), die Betriebssystemfamilie (z.B. Windows, Linux) und manchmal verschiedene Details: etwa ob ein X-Server Verbindungen annimmt, die SSH-Protokollversion oder der KaZaA-Benutzername. Natürlich bieten die meisten Dienste nicht all diese Information. Falls Nmap mit OpenSSL-Unterstützung kompiliert wurde, verbindet es sich mit SSL-Servern, um den hinter dieser Verschlüsselungsebene lauschenden Dienst zu ermitteln. Wenn RPC-Dienste erkannt werden, wird automatisch Nmaps RPC-Holzhammer (-sR) benutzt, um die RPC-Programm- und Versionsnummern zu bestimmen. Manche UDP-Ports bleiben im Zustand offen|gefiltert, nachdem ein UDP-Port-Scan nicht bestimmen konnte, ob der Port offen oder gefiltert ist. Die Versionserkennung versucht, diesen Ports eine Antwort zu entlocken (genauso wie bei offenen Ports) und den Zustand auf offen zu ändern, wenn das gelingt. Offene|gefilterte TCP-Ports werden genauso behandelt. Beachten Sie, dass die Nmap-Option -A unter anderem auch die Versionserkennung einschaltet. A paper documenting the workings, usage, and customization of version detection is available at https://nmap.org/book/vscan.html.
Wenn Nmap Antworten von einem Dienst erhält, aber keine Übereinstimmungen dafür in seiner Datenbank finden kann, gibt es einen speziellen Fingerprint und eine URL aus, damit Sie diese Antwort einsenden können, falls Sie genau wissen, was auf diesem Port läuft. Bitte nehmen Sie sich ein paar Minuten Zeit, um sie einzusenden, damit Ihr Fund für alle ein Gewinn sein kann. Dank dieser Beiträge hat Nmap über 3000 Musterübereinstimmungen für über 350 Protokolle wie SMTP, FTP, HTTP usw.
Die Versionserkennung wird mit den folgenden Optionen aktiviert und gesteuert:
-sV (Versionserkennung)
Aktiviert die Versionserkennung wie oben beschrieben. Alternativ dazu können Sie -A benutzen, was unter anderem auch die Versionserkennung aktiviert.
--allports (keine Ports von der Versionserkennung ausschließen)
Standardmäßig schließt Nmaps Versionserkennung den TCP-Port 9100 aus, weil manche Drucker einfach alles ausdrucken, was an diesen Port gesendet wird, was zu Dutzenden von Seiten mit HTTP-GET-Requests, binären SSL-Session-Requests usw. führen würde. Dieses Verhalten kann man ändern, indem man die Exclude-Anweisung in nmap-service-probes verändert oder entfernt, oder Sie geben --allports an, um alle Port zu scannen, unabhängig von einer Exclude-Anweisung.
--version-intensity <intensity> (Intensität des Versions-Scans setzen)
Bei einem Versions-Scan (-sV) sendet Nmap eine Reihe von Testpaketen, die alle über einen zugeordneten Seltenheitswert zwischen eins und neun verfügen. Die Testpakete mit kleineren Werten sind bei einer großen Zahl verbreiteter Dienste wirkungsvoll, während die mit höheren Werten seltener nützlich sind. Die Intensitätsstufe gibt an, welche Testpakete angewendet werden sollten. Je höher die Zahl, desto wahrscheinlicher wird der Dienst richtig identifiziert. Allerdings brauchen Scans mit hoher Intensität mehr Zeit. Diese Intensität muss zwischen 0 und 9 liegen. Die Standardeinstellung ist 7. Wenn ein Testpaket mit der ports-Anweisung in nmap-service-probes für den Zielport registriert ist, wird dieses Testpaket ausprobiert, unabhängig von der Intensitätsstufe. Das garantiert, dass die DNS-Testpakete bei jedem offenen Port 53 immer benutzt werden, das SSL-Testpaket bei Port 443 usw.
--version-light (leichten Modus setzen)
Das ist ein Alias für --version-intensity 2 aus Bequemlichkeitsgründen. Dieser leichte Modus macht die Versionserkennung wesentlich schneller, identifiziert die Dienste aber mit geringerer Wahrscheinlichkeit.
--version-all (benutze alle Testpakete)
Das ist ein Alias für --version-intensity 9, der garantiert, dass jedes einzelne Testpaket bei jedem Port ausprobiert wird.
--version-trace (verfolge Aktivität des Versions-Scans)
Das bewirkt, dass Nmap umfangreiche Debugging-Information darüber ausgibt, was die Versionserkennung gerade macht. Das ist eine Untermenge dessen, was Sie mit --packet-trace erhalten.
-sR (RPC-Scan)
Diese Methode funktioniert zusammen mit den verschiedenen Port-Scan-Methoden von Nmap. Sie nimmt alle offenen TCP-/UDP-Ports und überflutet sie mit NULL-Befehlen für das SunRPC-Programm, in dem Versuch, festzustellen, ob es RPC-Ports sind, und wenn ja, welches Programm und welche Versionsnummer darauf läuft. Dadurch können Sie quasi dieselbe Information herausfinden wie mit rpcinfo -p, selbst wenn der Portmapper des Ziels hinter einer Firewall liegt (oder von TCP-Wrappern geschützt wird). Köder funktionieren im Moment nicht mit dem RPC-Scan. Das wird automatisch als Teil einer Versionserkennung aktiviert (-sV), wenn Sie diese verlangen. Da die Versionserkennung das enthält und wesentlich umfangreicher ist, wird -sR selten benötigt.
Zurück
Port-Angabe und Scan-Reihenfolge
Nach oben
Nmap-Referenz-Handbuch (Man Page)
Zum Anfang
Weiter
Betriebssystem-Erkennung
Math and Music at NSA
News | June 27, 2023
Math and Music at NSA
FORT MEADE, Md. - Cynthia W. was job searching in 2003 when she came across an opening on NSA.gov.
“No specific major is targeted for cryptanalysis,” the site read. “NSA hires people with technical and non-technical degrees, ranging from mathematics to music, engineering to history, and computer programming to chemistry.”
Cynthia always enjoyed and excelled in math and computer science in school. She also happened to have both Bachelor’s and Master’s degrees in music theory and was working toward a doctorate in music theory when the events of 9/11 caused her to rethink her career path.
Cynthia had never heard of NSA, but given her skill with math and computers and her training in musical theory and composition, it appeared the Agency might be a perfect match.
At first glance, it might seem unlikely that someone whose higher education was focused on music theory and composition would have a successful technical career at NSA, but there is a strong connection between music theory, performance, and composition and math comprehension that has been studied by academics for decades.
Like Cynthia, whose most recent role at NSA was as chief operations officer of the Cybersecurity Collaboration Center, employees and leaders with mathematics and computer science backgrounds who also excel in music — many at the professional level — are found across the NSA workforce.
Joseph C., deputy chief of Cryptanalysis and Signals Analysis and a jazz clarinetist, said, “The people we hire for the various development programs supporting cryptanalysis, or for our summer programs, do seem to have more than a random rate of intersection with musical training.”
LeRoy W., program executive of the Cryptologic Mathematician Program, observed that students in the program who excel in both music and math have impressive perseverance skills, particularly in challenging mission areas.
“[Musicians often have] more complex brain patterning, as well as greater organizational and higher-order executive functioning,” said Natalie Sarrazin, author of “Music and the Child.” This includes mathematical comprehension.
Elise F., a development specialist, has two degrees in math and is also a professional musician and vocalist. She explained that her brain is “wired for math.”
“I like and have always been good with puzzles and math. I was drawn to ciphers and codes at an early age,” Elise said, admitting that she connected her love of math to the mathematics inherently found in music. “The concept of the division of time, even pitch, it’s all very mathematical.”
According to Sarrazin, “Performing music involves all regions of the brain. ... It speeds up communication between the hemispheres and affects language and higher-order brain function.”
Michael O., a member of NSA’s mathematical research leadership team, is also a lifelong musician.
“When we listen to music, our brains are processing complex patterns and relationships in real time, with relative ease, whereas patterns of that complexity in any other setting would be difficult to absorb,” he said, explaining his understanding of the connections between math and music.
Joseph concurred from his jazz background: “The presence of improvisation as a fundamental building block opens up this entire other world where you are literally forced to make creative decisions about deployment of that technique on the spot.”
NSA employees are committed to their daily work of defending the nation, and to building their skills to ensure they’re at the forefront of their fields. Given the connections between music and math, then, it’s no surprise that there is a group of mathematician a cappella singers, the Cryptones, who arrange and perform original songs at NSA functions, including math development program graduation ceremonies.
As with any a cappella group, there’s always room for another voice in cryptanalysis at NSA. Learn more about jobs at NSA by visiting NSA.gov/Careers, and apply at intelligencecareers.gov/nsa.
The opinions expressed in this article are those of the authors and do not reflect official positions or policy of the Agency or the Department of Defense.
<center>
Zusätzliche Betreuungsleistungen und Entlastungsleistungen §45b SGB XI</center>
<center>
Geschrieben von am 4. Januar 2021
Kategorie: Pflegegesetze
726
Neben dem Pflegegeld und der Pflegesachleistung stehen ambulant gepflegten Pflegebedürftigen auch zusätzliche Betreuungs- und Entlastungsleistungen nach §45b SGB XI in Höhe von 125€ im Monat zur Verfügung.
Inhalt:
Welche Leistungen kann ich wahrnehmen?
Wie erhalte ich die Gelder?
Wie viel Geld steht mir zudem zu?
Wie hängen die Leistungen mit dem Pflegegrad zusammen?
Was sind zusätzliche Betreuungs- und Entlastungsleistungen?
Zusätzliche Betreuungs- und Entlastungsleistungen (bzw. der Entlastungsbetrag) sind eine finanzielle Hilfe seitens der Pflegekasse, welche sich an alle Pflegebedürftigen richtet und die zusätzlich zu den herkömmlichen Leistungen gezahlt wird.
Diese unter § 45b SGB XI festgelegte Hilfe dient dazu, konkrete Aufwendungen, die Pflegebedürftigen bzw. Angehörigen im Zusammenhang mit gewissen Aktivitäten bzw. Leistungen entstehen, zu decken.
Welche Leistungen kann ich wahrnehmen?
Die zusätzlichen Betreuungs- und Entlastungsleistungen sind nach §45 SGB XI eine Pflegesachleistung. Dabei handelt es sich um zweckgebundene Leistung.
Das heißt, sie werden nur ausgezahlt, wenn sie für einen konkreten Zweck verwendet werden.
Hier finden Sie eine Übersicht über die Angebote, die mit dem Entlastungsbetrag bezahlt werden können.
Pflegeformen
Tages- und Nachtpflege
Kurzzeitpflege
Verhinderungspflege
Die Verhinderungspflege kann allerdings nur mit dem Entlastungsbetrag bezahlt werden, sofern sie von einem professionellen Anbieter ausgeführt wird, der auch eine Rechnung stellen kann.
Darüber hinaus gibt es auch Niedrigschwellige Betreuungs- und Entlastungsangebote, die abrechenbar sind:
Niedrigschwellige Betreuungs- und Entlastungsangebote
Bewältigung von allgemeinen oder pflegebedingten Anforderungen des Alltags
z.B. unterstützende Anleitung für pflegende Angehörige / Nahestehende, Betreuung der Korrespondenz mit Behörden
Organisation von individuell benötigten Hilfeleistungen
z.B. Organisation eines Hausnotrufgeräts, Hilfsmittelbesorgung
Entlastung von pflegenden Angehörigen oder vergleichbar nahestehenden Pflegenden
z.B. Begleitung außerhalb des Hauses, Hilfestellung bei pflegebedingten Umbaumaßnahmen der Wohnung
Unterstützung im Haushalt
z.B. Haushalt reinigen, Zimmerpflanzen bewässern, Versorgung von Haustieren, die eigene Versorgung usw.
Betreuungsleistungen
z.B. Beaufsichtigung (etwa von Menschen mit eingeschränkter Alltagskompetenz) zur Entlastung von pflegenden Angehörigen, Anregung und Unterstützung bei sozialen Kontakten
Der Betrag steht selbstverständlich auch Menschen zur Verfügung, die im Betreuten Wohnen oder in Wohngemeinschaften für Menschen mit Demenz leben.
Das betreute Wohnen der Jedermann Gruppe
In unserem Betreuten Wohnen können die Bewohner ihr Leben ganz normal weiterleben und nur bei Bedarf genau die Pflege in Anspruch nehmen, die sie benötigen.
Betreutes Wohnen bieten wir an 3 Standorten in Brandenburg an der Havel an:
Betreutes Wohnen im Havelkiez
Betreutes Wohnen im Re-Generationenhaus
Betreutes Wohnen im City-Haus
Mehr Infos zum Betreuten Wohnen finden Sie hier.
Wie kann ich diesen Betrag erhalten?
Um die Leistungen dieser Art zu erhalten, muss die betreffende Person einen Pflegegrad haben.
Ist dies noch nicht der Fall, muss ein dahingehender Antrag bei der Pflegeversicherung gestellt werden.
Weitere Informationen zum Thema Pflegebedürftigkeit finden Sie in unserem Ratgeber Alles über die neuen Pflegegrade.
Pflegegrade beantragen
Zusätzliche Betreuungs- und Entlastungsleistungen im Allgemeinen müssen nicht eigens beantragt werden.
Allerdings erfolgt eine Kostenerstattung erst, wenn die Krankenkasse über die Kosten informiert wurde. Dazu ist es auch nötig, die entsprechenden Belege beizulegen.
Dieser Antrag muss von der pflegebedürftigen Person selbst gestellt werden. Man muss ihn – mitsamt einem Nachweis über den Pflegegrad – an die Pflegekasse richten.
Abtretungserklärung für den Entlastungsbetrag
Zusätzliche Betreuungs- und Entlastungsleistungen werden, wie erwähnt, nicht einfach so gezahlt. Bei dem Betrag handelt es sich um eine Kostenerstattung. Deshalb muss man die Kosten in der Regel zunächst vorstrecken und sie dann auch nachweisen.
Dieser Prozess kann vor allem ältere Menschen durchaus überfordern. Eine Alternative dazu ist die Abtretungserklärung.
Der Anspruch auf die Betreuungs- und Entlastungsleistungen wird mit dieser Erklärung an den Pflegedienst oder die Person abgetreten, von dem oder der die Leistungen übernommen werden. Und das wiederum heißt, dass das Geld von 125€ monatlich direkt an diesen Leistungserbringer gezahlt wird.
Der Vorteil der Abtretungserklärung ist, dass pflegebedürftigen Menschen dadurch der Papierkrieg erspart bleibt, den der Nachweis der Ausgaben sonst mit sich bringt. Die Leistungen müssen dann auch nicht im Voraus bezahlt werden, da der Leistungserbringer das Geld direkt erhält.
Darüber hinaus erfahren Sie von der Pflegekasse auch, ob der Leistungserbringer, den Sie sich ausgesucht haben, auch nach geltendem Landesrecht befugt ist, die Aufgaben zu übernehmen.
Der Nachteil einer Abtretungserklärung ist die Kontrolle über die erbrachten Leistungen: Da alle Formalitäten zwischen Pflegedienst und Pflegeversicherung geregelt werden, haben Sie wenige Einblicke in diesen Prozess.
Allerdings können Sie eine derartige Abtretungserklärung auch jederzeit wieder widerrufen.
Wie viel Geld steht mir zu?
Unabhängig vom Pflegegrad stehen jedem Pflegebedürftigen zusätzliche Betreuungsleistungen in Höhe von 125 Euro monatlich von der Pflegeversicherung zur Verfügung.
Diese Leistungen können auch angespart werden, sie verfallen nicht am Monatsende. Die nicht genutzten Gelder eines Kalenderjahres kann man bis zum 30. Juni des nächsten Jahres noch nutzen.
Wer seinen Anspruch auf ambulante Pflegesachleistungen seitens der Pflegekasse zudem nicht voll ausschöpft, kann den Betrag, der nicht für den Bezug von ambulanten Sachleistungen genutzt wurde, bis maximal 40 Prozent für die sogenannten niedrigschwelligen Betreuungs- und Entlastungsangebote verwenden.
Zur Info
Pflegebedürftige, die ihren Alltag in einer stationären Umgebung erleben, können stattdessen vom §43b (vormals §87b SGB XI) profitieren.
Allerdings zahlen die Pflegekassen die Leistungen in diesem Fall an das Heim, das für die Pflege der Pflegebedürftigen zuständig ist.
Wie hängen die Leistungen mit dem Pflegegrad zusammen?
Im Zusammenhang mit den zusätzlichen Betreuungsleistungen und Entlastungsleistungen spielt der Pflegegrad nur eine untergeordnete Rolle. Die Leistungen werden pflegegradunabhängig ausbezahlt. Dennoch muss die Pflegebedürftigkeit der Person natürlich festgestellt werden.
Menschen mit Pflegegrad 1 beziehen an Pflegesachleistungen lediglich die zusätzlichen Betreuungs- und Entlastungsleistungen.
Zur Info
Der Entlastungsbetrag ist nicht das einzige, das pflegebedürftigen Menschen mit Pflegegrad 1 zusteht. Mehr dazu finden Sie in unserem umfassenden Beitrag zum Pflegegrad 1.
Was bedeutet eingeschränkte Alltagskompetenz?
Die Kriterien für die sogenannte eingeschränkte Alltagskompetenz sind im Gesetz festgelegt. Sie sind beispielsweise erfüllt, wenn der oder die Pflegebedürftige die Tendenz dazu aufweist, wegzulaufen, wenn er oder sie gefährliche Situationen verursacht, die eigene Versorgung nicht mehr gewährleisten kann, eine Störung des Tag-Nacht-Rhythmus’ aufweist oder aggressives Verhalten zeigt. Diese Bedingungen für eine entsprechende Einstufung treffen vor allem auf demenzkranke Personen zu. Aber auch bei psychischen Erkrankungen oder einer geistigen Behinderung können diese Kriterien greifen.
Sie wollen die neusten Beiträge zum Thema “Pflege” erhalten? Jetzt anmelden
newsletter-abo
<center>
Nachts im Mondschein lag auf einem Blatt ein kleines Ei
<!DOCTYPE html>
MINT-Bildung und Sprachförderung – eine Verbindung, die in jedem Land funktioniert - ElternbildungZum InhaltZum Menü
MINT-Bildung und Sprachförderung – eine Verbindung, die in jedem Land funktioniert
vonStefanie Thate
„Nachts, im Mondschein, lag auf einem Blatt ein kleines Ei…“. So lautet der erste Satz des Kinderbuchklassikers „Die kleine Raupe Nimmersatt“, den sehr viele kleine und große Bilderbuchfans weltweit auswendig zitieren können. Die Erlebnisse der kleinen hungrigen Raupe, die aus einem Ei schlüpft und sich auf die Suche nach etwas Essbarem macht, werden seit 50 Jahren in mindestens 45 verschiedenen Sprachen immer wieder vorgelesen.
Dem Autor Eric Carle ist es eindrucksvoll gelungen, wenig Text, farbenfrohe Bilder und aktivierende Mitmach- und Lernelemente in Einklang zu bringen. Zahlreiche Wiederholungen und eine fantasievolle Gestaltung animieren (Vor-)leser und Zuhörer gleichermaßen. Während sich die nimmersatte Raupe durch unterschiedliche Lebensmittel futtert, lernen die Kinder spielerisch erste Wörter, Zahlen und Vorgänge aus der Natur kennen. Gemeinsam mit dem Vorleser oder der Vorleserin können sie darüber hinaus überlegen, wovon sich Raupen in der freien Natur ernähren und was passiert, wenn sie dann doch endlich einmal satt sind.
Der Bilderbuch-Klassiker bietet beste Voraussetzungen für lebendiges Vorlesen, Mitlesen, Benennen, Zählen, Wiegen und Nachforschen. Er begeistert Kinder durch das Vorlesen für naturwissenschaftliche Phänomene und fördert die Sprach- und Lesekompetenz.
Genau das ist auch das Ziel von „MINT-Vorlesepaten“, einem Kooperationsprojekt von Deutscher Telekom Stiftung und Stiftung Lesen.
Das Projekt basiert auf wissenschaftlichen Studien, die zeigen, dass sich die Sprach- und Lesekompetenz von Kindern fördern lässt, wenn sie sich mit mathematisch-naturwissenschaftlich-technischen Fragestellungen beschäftigen. Das Forschen führt zu einem großen Interesse an Sprache und Kommunikation, denn die Kinder wollen untersuchte Phänomene benennen, beschreiben, Vermutungen ausdrücken und diskutieren.
Tipps für geeignete Medien-Empfehlungen (Bücher und Vorlese-Apps) und einfach umzusetzende Anschlussaktionen bieten die beiden Stiftungen kostenlos zum Download an. Darüber hinaus stehen Kurzvideos mit weiteren Erläuterungen zu einzelnen Themen zur Verfügung, z. B. Aktionen zum Thema Farben, Naturphänomene oder Riechen und Schmecken. Der oder die Vorleserin muss also kein MINT-Experte sein, sondern sollte einfach nur Freude am (Vor-)Lesen und gemeinsamen Entdecken mitbringen. Bisher haben sich bereits über 2.630 MINT-Vorlesepatinnen und MINT-Vorlesepaten für ein solches Engagement entschieden.
Die Deutsche Telekom Stiftung engagiert sich seit 2016 auch in Mittel-, Ost- und Südosteuropa für gute MINT-Bildung. Im Projekt „MINT-Vorlesepaten“ stehen in verschiedenen Ländern erfahrene Partner für die Umsetzung vor Ort an ihrer Seite.
Seit November 2018 arbeitet die Stiftung mit der rumänischen Progress Foundation zusammen. Gemeinsam schaffen die beiden Partner ein niedrigschwelliges Angebot, um Kinder in Rumänien über das Vorlesen für MINT-Themen zu begeistern.
Die konkrete Umsetzung des Vorhabens „Ora sa STIM“ in Rumänien liegt bei der Progress Foundation. Trainer der Stiftung haben rund 150 Bibliothekare darin geschult, das Vorlesen altersgerechter Kinderbücher mit MINT-Bezug um spannende Anschlussaktionen zu ergänzen. Die Bibliothekare führen wöchentlich MINT-Vorleseaktionen für Kinder zwischen drei und zehn Jahren durch. Hierfür erhalten sie Materialien, Medien- und Aktionstipps und kostenlose Bücherboxen. Die inzwischen 155 Bibliotheken berichten kontinuierlich über ihre Erfahrungen, Erkenntnisse und Herausforderungen bei der Durchführung der MINT-Vorleseaktionen in einer projekteigenen Facebook-Gruppe. Die Vernetzung der Teilnehmer untereinander und die Förderung des Wissens- und Erfahrungsaustauschs sind zentrale Elemente für den Erfolg und die Kontinuität.
In Polen kooperiert die Telekom-Stiftung mit der polnischen Information Society Development Foundation (IFRS). Unter dem Titel „Para – buch! Książka w ruch!“ werden rund 100 Tandems aus Bibliothekaren und Ehrenamtlern gebildet und geschult. Anschließend bieten sie zweiwöchentlich MINT-Vorleseaktionen für Kinder zwischen drei und zehn Jahren in „MINT-Vorlese-Clubs“ in Bibliotheken an. Unterstützt werden sie durch Medien- und Aktionstipps sowie Materialien. Als Freiwillige sollen vor allem Menschen mit einem naturwissenschaftlich-technischen Hintergrund gewonnen werden, z. B. Ingenieure oder Handwerker, die ihr Wissen und ihre Erfahrungen über MINT-Vorleseaktionen an Kinder weitergeben.
Über diese konkreten Kooperationen in Rumänien und Polen hinaus, unterstützt die Deutsche Telekom Stiftung weitere Aktivitäten zur Verbindung von MINT und Sprache in Österreich, der Slowakischen Republik, Spanien, Südtirol und Belgien. Die Ansätze in den jeweiligen Ländern sind unterschiedlich.
In Österreich adressiert das Österreichische Bibliothekswerk über „MINT: lesen – sprechen – tun“ Bibliothekare, Vorlesepaten, Eltern und Pädagogen die kindliche Neugier durch das Vorlesen ausgewählter Medien und leicht zu realisierender Versuche zu wecken. Ergänzend haben Kindergärten und Grundschulen in Salzburg und Wien die Möglichkeit MINT-Themenboxen bestehend aus Büchern, Materialien und Bilderbuchkinos kostenfrei auszuleihen.
Spannende Ansätze naturwissenschaftliche Themen schon ganz früh in Eltern-Kind-Gruppen mitzudenken, hat das Forum Katholischer Erwachsenenbildung in Österreich unter dem Titel „MINI-MINT“ entwickelt. Die Idee dahinter: In und mit den Familien wird der Grundstein für Bildungs-Begeisterung bzw. MINT-Begeisterung gelegt. In zahlreichen Eltern-Kind-Gruppen werden bereits vielfältige MINT-Themen altersgerecht und spielerischer bedient, z. B. mein Körper, Tiere, Farben. Da setzt die Handreichung „MINI-MINT: von Anfang an die Welt entdecken“ an, die zu zehn verschiedenen Themen entwickelt worden ist.
Die gewinnbringende Verbindung von MINT und Sprache wird in der Slowakischen Republik durch das Goethe-Institut Bratislava genutzt, um Kinder, die Deutsch als Fremdsprache lernen, zu unterstützen. Über anregende naturwissenschaftliche und technische Inhalte, die kreativ und spielerisch aufgegriffen werden wird das Interesse an der „neuen“ Sprache gesteigert.
Die Beispiele verdeutlichen, dass die Verbindung von MINT-Themen und Sprachförderung sich gewinnbringend miteinander verbinden lässt:
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Durch die Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Kommentare
Derzeit gibt es noch keine Kommentare zu dieser Stimme