Problem

Ich habe in den letzten 6 Jahren in vielen Perspektiven kommen, die nur versuchen, eine SIEM-Lösung zu erwerben, eine Compliance-Anforderung gerecht zu werden, oder das, was wir in der Branche nennen, "Check-Box Einkauf" - sie ein Minimum an Anforderungen, spezifische nur auf eine Geschäftseinheit oder Compliance-Mandat, das vom Rest der Organisation vollständig Silos untergebracht ist.

Hier ist, wie dieses Gespräch in der Regel geht:

Kunde: "würden wir ein SIEM-Tool wie das uns unsere 200+ Windows-Server für PCI-DSS-Compliance zu überwachen helfen"

Ich: "Was andere Ereignisquellen werden Sie mit der Lösung die Überwachung werden?"

Auftraggeber: (Fassungslos Blick): "Wir brauchen nur unsere Server zu überwachen."

Ich: "PCI-DSS-Anforderung 10 Staaten müssen Sie überwachen die Protokolle von allen Ihren Sicherheitsgeräten und Servern, die kritischen Ressourcen erachtet werden."

Kunde: "Unsere Abteilung ist nur verantwortlich für die Server wir aufgeführt."

Ich: "Um Wert aus einer SIEM-Lösung erhalten und überwachen alle 12 PCI-Anforderungen müssen Sie Audit-Protokolle von allen Geräten und Kontextinformationen über das Netzwerk, Asset und Vulnerability-Daten - und das wird nur erhalten Sie begonnen haben."

Kunde: "Vielleicht müssen wir den Umfang zu erhöhen - wir werden auf Sie zurückkommen."

Während die zentrale Log Management (CLM) und Security Information und Event Management (SIEM) Anbieter werden sich um den Block zu beeinflussen, den Verkauf ausgekleidet werden, sollte der Verkäufer Sie wählen ein vertrauenswürdiger Berater sein. Sie werden bei der Bereitstellung von Ihnen den größten Nutzen aus Ihrer Investition und unterstützen Sie bei der Gestaltung einer Lösung interessiert sein, viele Unternehmen Probleme erfüllen, die über eine herkömmliche Sicherheits-centric SIEM geht. Aus diesem Grund müssen Sie Schlüssel Gerätetypen und den Wert zu identifizieren, die durch Kreuzkorrelation der Protokolldaten mit Business-Kontext abgeleitet werden kann die Überwachung mit Governance, Sicherheit und Compliance-Initiativen auszurichten.

Der SIEM Wert von heterogenen Geräte Logging Abgeleitet

Während jede der Ereignisquellen sammeln Sie Ereignisse aus verschiedenen Reporting und Alerting Wert bieten wird, wird sofort ableiten Intelligenz viele verschiedene "Typen" von Ereignisquellen kombiniert über das Geschäft und helfen Analysten Basislinien von Bedrohungsaktivitäten etablieren. Einer der anderen Vorteile ist, dass Vorfälle von Geschäftswert, Bedrohung Einstufung und der zusätzlichen Kontext priorisiert werden können, können die Fülle von falsch-positive oder falsch-negative reduzieren, die jede CLM Lösung plagt.

Darüber hinaus haben die Vielzahl der verschiedenen Technologien, um ihre eigenen Management und Reporting-Lösungen, die "Informationssilos" zu werden, dass nur die schwarz-Gürtel verantwortlich für jede der Gerätetypen der Lage sind, zu entschlüsseln. Dies macht Security Intelligence und Untersuchungen in der Nähe unmöglich, wenn ein Analyst Protokolldaten von den Eigentümern zu beantragen hat oder melden Sie sich an, um viele verschiedene Systeme, die Beweise zu finden, um ihre Sache zu unterstützen. Im Wesentlichen würden, müssen sie nach Hinweisen, und normalisieren die Daten manuell eine Technik "Kalkulationstabelle Kung Fu" genannt verwenden, die mit Annahmen und Inferenz behaftet wäre.

Im Folgenden finden Sie eine Liste der verschiedenen Gerätetypen und der Wert, der von jedem, wenn sie zusammen korreliert abgeleitet werden können. Die Liste ist nicht erschöpfend, und ich behaupte nicht, dass Sie alle müssen erfolgreich erwähnt, um eine SIEM bereitstellen, aber je mehr Daten-Feeds Sie korrelieren können, desto mehr Intelligenz Sie in Zukunft zur Verfügung stehen werden, um mit Ihrem Geschäft zu erweitern und wachsen (Klick "mehr ..." für die komplette Artikel):

Vulnerability Management / Asset Inventory: Vulnerability-Daten ist wichtig, dass es hilft, die SIEM-Tool zu identifizieren und "Modell" der Kontext über das, was das Unternehmen hält kritischer Infrastrukturen. Oft wird das SIEM-Tool Kunden ermöglichen, automatisch Daten Verwundbarkeit oder Code-Level-Stift-Test zu importieren und ein Asset-und Netzwerk-Inventar zu füllen, die Kunden können dann logisch Gruppe und Tag mit Gewichtungen Geschäft oder Compliance, so dass die Korrelations-Engine Bedrohung heben oder senken Prioritäten und nur Alarm auf Vorfälle, die für das Unternehmen wichtig ist. Diese kritische Komponente unterscheidet SIEM von einer einfachen CLM-Lösung. Während Sie einen Angriff auf einen PCI-Asset-Reporting eine CLM aufmerksam zu machen auf Schwellen wie ein IPS konfigurieren können, hat es kein Konzept der Zielvermögensanfälligkeit und damit auch ein SQL ein System ohne Datenbank-Injection-Angriff Targeting wird ein erhöhen Alarm. Ohne Geschäftskontext wird jeder Vorfall eine Feuerübung!

NMS / ITSM / Change Management: Dies ist ein weiteres Beispiel für wertvolle Geschäftskontext, Systeme Network Management aggregiert Daten aus mehreren Ereignisquellen, während auch wichtige Details in Bezug auf IP-Adresszuweisung, Netzwerk-Gerätekonfigurationen und Netzwerkprobleme schaffen, die Kontinuität Geschäft auswirken können oder die haben Ursprünge zu einem Angriff auf einen anderen Teil der Infrastruktur zusammen. IT-System-Management-Lösungen gehören in der Regel Asset Vorräte, Patchen Geschichte, Key Performance Indicators (KPIs), Service-Level-Agreements (SLAs) und andere wertvolle Meta-Daten, die in den Korrelationsprozess eingespritzt werden kann, wie jedes Ereignis inspiziert wird. Change Management-Systeme sind von entscheidender Bedeutung Echtzeit-Intelligenz Quellen, die Systeme für Änderungen geplant, in Bezug auf Korrelationslogik zur Verfügung stellen kann und bieten Deltas für diese Systeme, die außerhalb einer Änderung Fenster geändert wurden. Betrachten Sie das folgende: Wenn Sie Daten von einem Change-Management-System extrahieren, die Ihnen eine Liste aller PCI Vermögenswerte gab(Gespeichert im Speicher auf dem Korrelations-Engine), die geändert oder vielleicht während der nächtlichen Änderung Fenster neu gestartet werden, dann gäbe es keine Notwendigkeit für die SIEM Sie diese Vermögenswerte in Bezug auf zu alarmieren, wenn sie neu gestartet wurden. Dadurch wird die Priorität erhöhen und fügen Sicherheit für die Warnungen, die ohne dokumentierte Ausnahmen andere PCI Vermögenswerte angeben, die auch modifiziert oder neu gestartet wurden.

Betriebssysteme: Korrelieren Protokolle von * nix, Windows Mainframe- und Midrange-Systeme werden einige sehr wichtige Fragen über die generelle Einhaltung Ihrer Systeme und wertvolle Erkenntnisse über helfen beantworten, was Ihre Benutzer tun. Das Verwalten der Profile auf die Ereigniserfassung über einen Querschnitt von unterschiedlichen Betriebssystemen wird eine Herausforderung sein, da jeder Anbieter eine andere Logging-Mechanismus hat (und in einigen Fällen mehrere Mechanismen wie AIX syslog und AIX PR Flat-File), aber die Vorteile sind endlos, insbesondere die Einhaltung oder Governance Mandate zu erfüllen. Insider Threat, Login Erfolg / Misserfolg, Privileged User Überwachung, Benutzer-Attribution, Session Korrelation, Sensitive Data Monitoring, Allgemein Konto Überwachung, Malware / Rootkit-Infektionen, Lokale Kontoerstellung, Systemänderungen, Anwendungsprotokollierung, Verletzlichkeit Berichterstattung und viele andere Anwendungsfälle können sein zufrieden nur durch ausführliche Protokolle von allen Betriebssystemen Streaming zu haben. Ohne OS-Protokolle werden Sie nicht viele antworten könnenCompliance-Fragen wie "die neue Benutzer hinzugefügt?", "hat meine Host-basierte Sicherheit deaktiviert wurde?" oder "hat jemand meine Sicherheitsprotokolle gelöscht?", um nur einige zu nennen.

Authentisierungs-Devices: Unternehmensverzeichnisse, Identity und Access Management (IAM), Zwei-Faktor-Authentifizierung und lokalen Host-Authentifizierung sind alle wertvollen Feeds, die wichtige Hinweise in Bezug auf Benutzer und IP-Adresse Zuschreibung liefern. Sagen Sie zum Beispiel Ich habe einen User, der in die Windows-Domäne anmeldet als "John.Doe", der dann eine Secure Shell auf einem Unix-System öffnet und meldet sich als "root" und von dort aus der Anmeldung in eine spezielle interne Web-Anwendung als " GenericUser_1 "- die Protokollereignisse aus allen drei Systemen wird nur das Zielbenutzernamen enthalten, die zu zuschreiben unmöglich ist zurück" John.Doe ". Der gemeinsame Nenner in allen drei Protokolleinträge ist die Tatsache, dass der Benutzer in der Domäne angemeldet erste und es sollte eine Sitzung Geschichte für jeden Eintrag sein, dass die Korrelationsengine dann interpretieren würde als "John.Doe in UNIX als Root angemeldet" und "John .Doe angemeldet in eine benutzerdefinierte Anwendung als GenericUser_1 ". Die Logik ist wesentlich komplexer als das Beispiel I gegeben, und das Problem ist größer,vor allem, wenn Sie die meisten Anwender haben viele Aliase bedenken, die mit ihrer tatsächlichen menschlichen Identität in Verbindung gebracht werden kann. Durch alle Benutzeridentitäten und Attribute als Kontext in die Korrelations-Engine enthalten, mit einer viele Aliase des Benutzers würde dann wieder zu einer eindeutigen Kennung, ähnlich wie IdM / IAM-Lösungen arbeiten abgebildet werden. Die offensichtlichen Vorteile dieses Ansatzes sind die Anzahl der Arbeitsstunden, die gespeichert werden, wenn Analysten oder forensischer Ermittler versuchen, einen Bericht über alle Aktivitäten mit einem bestimmten Benutzer zugeordnet zu generieren. Dadurch entfällt die Notwendigkeit, einen anderen Bericht für jede Permutation eines Benutzers Aliase zu generieren oder die Aktivitäten eines Benutzers fehlen, wenn sie mit generischen Kontonamen wurden angemeldet.

L3 Services (DNS / DHCP / WINS): Eine falsch konfigurierte Domain Name System (DNS) sensible Informationen über Ihre Hosts und IP-Adresszuweisungen für Angreifer Durchführung recon Angriffe offenbaren könnte. Der Wert dieser Informationen in eine Korrelations-Engine gebunden hat, ist die Fähigkeit Angriff Geschichte durchzuführen. Wenn beispielsweise eine externe IP eine recon Scan gegen Ihre DNS und eine Woche später durchführt, werden sie versuchen, wieder das System eindringen, wird der SIEM an sie erinnern und die Priorität einer Alarm auslösen. Dynamic Host Configuration Protocol (DHCP) unterstützt auch mit historischen Untersuchungen und Berichterstattung als Benutzer und Host-Namen würden zu unterschiedlichen IP-Adressen in den verschiedenen Teilen der Infrastruktur (LAN / VPN / Wi-Fi) und Korrelation müssen die Namen zuordnen können abgebildet werden, IP-Adressen. Diese Informationen sollten beide Daten und Zeiten sind so, dass ein Analytiker nur für einen Hostnamen suchen müssen und die SIEM sollte Abfrageergebnisse liefern können, die die IP-Adresse anzeigen, die als Host hattean verschiedenen Tagen und Zeiten. Dies ist besonders wichtig in Fällen, in denen der Mitarbeiter in einem Callcenter untersucht werden, wo sie einer anderen Workstation täglich gegeben werden oder wenn sie Tele sind und eine Verbindung über VPN mehrmals täglich.

Netzwerk-Router / Switches: Diese wesentlichen Netzwerkgeräte können wichtige Statistiken für Sicherheitsvorfall Korrelation liefern. Layer2 / 3-Switches können als leichte Anomalie-Erkennung für Abweichungen in "normalen" Basislinien über Stunden- oder Tagesmittelwerte unterstützen. Darüber hinaus erfordert die Überwachung kritischer Anwendungen und Server ein Verständnis des gesamten zugrunde liegenden Layer2 / 3-Infrastruktur - ein richtig modelliert Asset Inventory Sicherheitsteams mit Sicht in allen Ebenen und Abhängigkeiten der Anwendung / Dienststapel helfen. Zusätzlich wird, wenn die Einhaltung Reporting Standards bieten diese Geräte einen Audit-Trail für die Konfiguration des Netzwerks, Netzwerkfehler (das heißt Spanning-Tree-Loops, flattern Schnittstellen) und auch kritische Ereignisse wie Router / Routing-Protokoll-Attacken und Port-Spiegelung (von Sniffer verwendet). Schließlich schlecht ohne AAA oder Passwörter konfigurierten Geräte konfiguriert VTY Ports werden in den Netzgeräteprotokolle offensichtlich.

Netzwerk-Flow-Aggregation: IP-Flow-Daten (NetFlow, J-Flow, sFlow) bietet unidirektionale (one-way) Meta-Daten in Bezug auf alle Hosts Kommunikation in Ihrem Netzwerk, Session-Handshakes, Netzwerk-Statistiken, die Bandbreitennutzung, Routing-Informationen und vieles mehr. Allerdings ist die IP-Flow-Daten in der Regel unidirektional (one-way) und kann eine Netzwerke mit den umfangreichen Strömungs Exporte zu sättigen. Viele Kunden ein Fluss-Zusammenfassungs-Tool verwenden, die alle Strömungsdaten werden dann erfassen, aggregieren sie in bidirektionale Gespräche und sind Details wie die Menge an Daten, die während einer Netzwerksitzung übertragen, das Geschwätz herauszufiltern und fügen Kontext in Bezug auf Zonen, Subnetze und andere wichtige Daten. Das SIEM-Tool kann dann diese Informationen verwenden, um Bandbreite Schwellenwerte überwachen, Netzwerk-Protokoll-Anomalien, Profil und Baseline "normalen" Anwendungsverhalten und erkennen Zero-Day-Malware, Botnets und Insider-Bedrohungen zu erkennen. Flow-Daten korreliert mit Authentifizierung Attributdaten können viele lösenProbleme mit der zum Zeitpunkt eines Angriffs auf das Netzwerk war.

VPN (Remote Access / SSL / Site-to-Site): Eine Mehrheit der Unternehmen ermöglichen ihren Mitarbeitern das Firmen-Intranet und Anwendungen von zu Hause aus zugreifen und haben teure Frame-Relay oder ATM-Verbindungen zu ihren entfernten Standorten mit Internetverbindung und VPN ersetzt. Zusätzlich Out-Sourcing und VPN-Konnektivität für solche Zwecke wie Managed Services, Call Center, Finanzdienstleistungen für Partner bietet, etc. hinzugefügt zusätzliche Komplexität zu dem, was in Betracht gezogen werden "private" Netzwerke und Compliance-Anforderungen diktieren Sie jeden Eintrittspunkt beobachten müssen in Ihre Umgebung. Einige der Wert, der SIEM auf diese zunehmend komplexen Beziehungen bringt, ist die Fähigkeit, DHCP-Adressen (privat) an Internet-Adressen, um den Nutzern Aliase und Business "Zone" Informationen zu Unternehmensrichtlinien abzubilden. Füllen der SIEM mit einem Verständnis dessen, was Netzwerke gelten als "Partner" oder "Remote-Zugriff" Durchsetzung von Richtlinien für kritische Bedrohungen wie "etablieren helfen kann, warum ist mein Lieferant versucht, meine zugreifenPCI Vermögen? "Oder" Warum ist meine Remote-Standort IPSEC-Authentifizierung Fehler, während von der falschen öffentlichen IP-Ursprung? ". Wenn Sie darüber hinaus von HR gefragt werden, einen Mitarbeiter zu setzen, die gerade ihren Rücktritt eingereicht, auf eine Überwachungsliste und berichten über alle ihre Tätigkeit, müssen Sie alles, was sie aus dem Netz tun, um zu überwachen, als auch, was durch Remote getan Zugriff.

Firewalls / Proxies: Diese Ereignisquellen bieten die "niedrig hängenden Früchte" für die Sicherheitsüberwachung. Firewalls und Proxies bieten eine Vielzahl von Informationen in Bezug auf Verkehr und Bandbreitenverbrauch, die (Ingress) oder verlassen (Austritt) Ihr Netzwerk eingeben. In vielen Fällen werden diese Quelldaten Malware Baken oder APT-Bots zeigen versuchen, C & C-Netze zu nennen, Netznutzer Nichteinhaltung (P2P, IM, schlechte Seiten, etc.) oder große Anhänge an Wettbewerber oder die Länder der Sorge gesendet werden. Doch ein Teil des Problems mit Firewall und Proxy-Daten (wie bei den meisten Netzwerkgeräte) ist, dass es keinen Zusammenhang hat die Umwelt es schützt wie Benutzername (es sei denn, Sie NTLM transparent Auth auf Ihrem Proxy haben), Anfälligkeit der Ziel Vermögenswerte, die Geschichte des Angriffs oder der IP / Domain Ruf der Quell- oder Zieladressen. SIEM kann die Firewall und Proxy-Daten mit Kontext über das Unternehmen, Anwender und ihre Rollen, Asset Kritikalität, falsch-positive Reduktion für Top "N" bereichern Berichterstattungund helfen bei der Entstehung des Angriffs oder Fehlkonfigurationen ausfindig. Zusätzlich wird, wenn kritische Server überwachen, kann Ihr Wirtschaftsprüfer wollen wissen, welche direkt mit dem Internet kommunizieren oder die Administratoren das Herunterladen ruchlosen Inhalte auf Produktionsservern wurden - all diese Antworten leicht verfügbar sein können Ad-hoc mit einer SIEM-Tool.

Anti-Virus / Anti-Spam / Anti-Malware: diese Werkzeuge im Wesentlichen verwendet werden, aus der Organisation schlechten Sachen zu halten und helfen bei der unabhängig von Fingerabdrücken, die Identifizierung und die Drohungen gegen Ihre Benutzer und Systeme unter Quarantäne zu stellen. Zurück in den frühen Tagen des IT-Sicherheits Evolution, war Anti-Viren in den meisten Fällen die einzige Verteidigungslinie, die ein Unternehmen auf Station der Angriffsvektoren beschäftigen würde, weil es wenig über Netzwerk-Sicherheit bekannt war. Während alle drei dieser Technologien haben ihre eigenen zentralen Management- und Reporting-Systeme, die Warnungen generieren können, um diese Ereignisse in einem Silo wenig Wertüberwachung, insbesondere mit gemischten oder Multi-Vektor-Angriffe bieten die Organisation plagen. Korrelieren diese Ereignisse mit anderen Netzwerk- und Systemaktivitäten ermöglicht eine SIEM zu lokalisieren, wo Angriffe während einer post-mortem entstanden und Schwere eskalieren, wenn ein High-Profil Asset seine Anti-Virus (als ein Beispiel) deaktiviert hatte. Ein weiteres wichtiges Element ist, dass die SIEM lieferteine erweiterte Reporting-Engine, wieder, denn es stellt einen Zusammenhang zu den Benutzern, Systeme und Compliance-Anforderungen, die Ihre Sicherheit Geräte nicht. Wenn ein Analyst in den letzten 6 Monaten sieht, dass der gleiche Mitarbeiter seine Endpunktschutz oder AV deaktiviert hat, so dass sie Software installieren können, dann kann ich leicht einen Bericht zu erstellen, um ihre Manager zu präsentieren.

Data Leak / Loss Prevention (DLP): eine Tatsache, die DLP geplagt hat, ist die hohe Zahl der falsch-positive / falsch-Negative, die durch ein schlecht abgestimmtes System erzeugt werden. Viele der Tools bieten die Möglichkeit, auf "auto-magisch" entdecken und sensible Daten zu klassifizieren, aber in Wirklichkeit, Kunden diese Modellierung muss tun, um sicher und genau, ihr geistiges Eigentum zu schützen. Als solches ist das SIEM ein großes Werkzeug nur Benutzerberechtigungen mit Ereignissen und heben oder senken Schwere basierend auf die Rolle eines Benutzers, aber es bietet eine große Reporting-Tool zu verstehen, wie gut die DLP-Lösung arbeitet und verfolgen sensible Daten korreliert nicht korrelieren gegen Kontext wie "Länder zur Sorge", "große E-Mail-Anhänge" und "After-Stunden Zugriff auf sensible Daten". In diesem Zusammenhang können alle auf das größere Bild hinzugefügt werden, wenn Datenverlust nur ein kleiner Teil der gesamten Untersuchung. Die SIEM würde identifizieren ", die" die Daten durchgesickert, aus ", was" kritische Asset ", wenn" es begann zu kommen und "wie" sie zugegriffendie Daten in erster Linie - eine komplette Post-Mortem und Beweisspur.

End-Punkt-Schutz / HIDS / NAC: während Endpunktschutz im Allgemeinen ein begleitendes Management-Server verfügt, die alle die Aktualisierung und Verletzung Ereignisse speichert und dynamisch Durchsetzung zurück an die Kunden weitergeben kann, wieder, wird dies als eine autonome "Insel gemacht von Verteidigung "- nur bekannt, Durchsetzung und Überwachung der für genau definierte Richtlinien. Der Wert, den ein SIEM zu diesem Punkt Lösung bringt, ist Kunde Verletzung Geschichte, Durchsetzung Berichterstattung, die mit anderen Ereignissen korreliert werden können, um den Benutzer oder einer Workstation verbunden sind, sowie eine Einzelglasscheibe hartnäckigen Bedrohungen über mehrere Geschäftseinheiten zu erfassen. Als zusätzlichen Vorteil, erlauben einige SIEM-Tools bidirektionale Integration mit Endpunktschutz-Technologien, die das Security Operations Center (SOC) erlauben kann manuell zu erzwingen, "on-demand" Quarantäne Aktionen und dann Aktionen Korrelationsregel könnte die Geschäftspolitik Durchsetzung automatisieren. Wenn zum Beispiel nicht die Rolle des Benutzers in AD nicht bieten ihnen das Privileg,Zugriff auf eine medizinische Anwendung, sondern der Benutzer (in der Domäne angemeldet) hat generische Anmeldeinformationen erhalten und versucht, auf die Anwendung zuzugreifen. Die Korrelation wird die Geschäftsregeln gegen die Rolle des Benutzers zu vergleichen, und wenn der Benutzer nicht über die erforderlichen Berechtigungen hat, SIEM könnte automatisch Quarantäne Durchsetzung durch die Endpunktschutz Manager und blockieren den Host-Sitzung aufrufen.

Network Intrusion Detection / Network Intrusion Prevention (NIDS / NIPS): Während der IDS und IPS-Technologie ein langer Weg, jetzt mit einem ganz neuen "Next Generation" Kategorie auf Gartners Magic Quadrant gekommen ist, ein Problem, das immer noch mit dieser Technologie Plagen ist ihr Verständnis von die Anfälligkeit des Ziel eines Angriffs. Die meisten IDS / IPS (einschließlich WAF) Anbieter behaupten fast 80-100% falsch-positive Reduktion als Teil ihrer Marketing-Metriken und dies bezieht sich in der Regel auf ihre Signaturen und ihre Genauigkeit in der Angriffsvektor während der Remontage von Paketkettendaten zu erfassen. Die Falsch-Positiven ich mich beziehe, sind auf der IDS / IPS-Reporting / Alarmierungen Schicht und das Verständnis der Manager des Zielhosts. die NIDS / NIPS Nachdem auf eine SIEM-Reporting-Tool wird die notwendige Intelligenz überlagern, die von den meisten NIDS fehlt / NIPS-Anbieter. Bedenken Sie: Ein Angreifer über das Internet nutzt Nessus mit 10.000+ Angriffsvektoren auf einen Host in der DMZ zu recon scannen. nur 10 von ihnen von den 10.000 Angriffe, passen

• IT-Betriebsüberwachung von Lastenausgleich Wirksamkeit

• PCI / SOX Compliance-Überwachung (z App-Server ist jetzt akzeptieren ungesicherte Telnet-Sitzungen)