Thomas Macht Internet Security SS 10

Größe: px
Ab Seite anzeigen:

Download "Thomas Macht Internet Security SS 10"

Transkript

1 1 Einführung Definitionen nach DIN: Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands Risiko: Schaden * Eintrittswahrscheinlichkeit Sicherheitsziele: Vertraulichkeit Integrität Verfügbarkeit Authentizität Nichtabstreitbarkeit Bedrohungs- und Risikoanalyse: Typisierung von Bedrohungen o Zielobjekt o Urheber o Motivation/Absicht o Wahrscheinlichkeit o Auswirkungen/Kosten Auflistung der Bedrohungen Risikoanalyse/-bewertung Maßnahmen Restrisikoabschätzung Kosten-/Nutzenanalyse: o Investitionen für Management sichtbar, Ergebnisse bei guter Arbeit nicht o Aufwand/Nutzen schwer zu messen o Erfahrungswerte für Kosten/Wahrscheinlichkeit von Angriffen Herausforderungen: für Anwender Funktionalität wichtig, nicht Sicherheit Sicherheitsgruppe sagt immer nein Termindruck Komplexität (Zusammenspiel vieler Komponenten, Systeme wachsen) Security Usability Know-how jede Software prinzipiell betroffen Vernetzung, kabellose Übertragung, Mobilität Kreativität der Angreifer Weakest Link (Mistkübel schützen) Seite 1 von 22

2 Top Cyber Secruity Risks 2009: nicht gepatchte Client-Software angreifbare Websites Betriebssysteme haben weniger remote ausnutzbare Sicherheitslücken (Computerwurm: Programm/Skript kann sich nach Ausführung selbst vervielfältigen, infiziert im Gegensatz zum Virus keine fremden Dateien) mehr Zero-Day-Exploits: andere Personen erfahren davon vor dem Hersteller (hat 0 Tage um sie zu schließen) Angriffsphasen: 1. Sammeln von Daten (zb verwendete Systeme, User-Kennungen) 2. Ausnutzen gefundener Sicherheitslücken (Zugriff, Ausweiten der Rechte, zb SQL Injection) 3. Aufrechterhaltung des Zugriffs (zb Anlegen eines Benutzer-Accounts) 4. Verwischen von Spuren (zb Logfiles) Angriffe über das Internet: Automatisierung kann entfernt stattfinden Verbreitung von Angriffstechniken (vermeintliche) Anonymität unterschiedliche Rechtssysteme Offline-Angriffe: Social Engineering: Ausnutzen zwischenmenschlicher Beeinflussungen (zb sich als Administrator ausgeben und Passwort verlangen, Phishing: über gefälschte Websites an Nutzerdaten gelangen) Dumpster Diving (Containern) Designprinzipien: Security bereits beim Design berücksichtigen genau definierte Aufgaben genau definierte Schnittstellen Verwendung von Standards Technische Lösungen: Zugriffskontrolle Verschlüsselung Signaturen Eingabeüberprüfung Sicherheitstests Härtung von Systemen Seite 2 von 22

3 Sichere Passwörter: Klein- und Großbuchstaben, Ziffern, Sonderzeichen, Mindestlänge grafische Passwörter (etwas Zeichnen auf einem Touchscreen) leichter zu merken, aber schwieriger zu erraten Wechsel in bestimmten Abständen Organisatorische Lösungen: Management: Wichtigkeit der IT-Sicherheit begreifen Security Policy Best Practice-Lösungen Aufbau von Know-how, Fortbildungen Mitarbeiter-Sensibilisierung Seite 3 von 22

4 2 Public Key Infrastructure Kerckhoff s Prinzip: Sicherheit darf nur von Geheimhaltung des Schlüssels, nicht des Algorithmus abhängen Schutzziele: Vertraulichkeit Verschlüsselung Integrität Prüfsumme Authentizität Signatur Hash-Verfahren: Hash = eindeutiger Fingerabdruck des Dokuments Einwegfunktion (mit wenig Aufwand zu berechnen, Umkehrfunktion nicht/schwer anwendbar) MD5, SHA-1 (bereits unsicher), SHA-2 Kryptographie: symmetrisch: o Verschlüsselung und Entschlüsselung mit selbem Schlüssel o Problem: Schlüsselaustausch (insbesondere bei vielen Teilnehmern) asymmetrisch: o Verschlüsselung mit Public Key, Entschlüsselung mit Private Key o Signieren mit Private Key, Signatur prüfen mit Public Key o Problem: rechenintensiv Hybridverschlüsselung: o Verschlüsseln mit symmetrischem Schlüssel o symmetrischen Schlüssel mit öffentlichem Schlüssel verschlüsseln und an Dokument anhängen Probleme: Komplexität (Implementierungsfehler) Alterung von Algorithmen/Schlüssellängen (Brute-Force: Ausprobieren aller möglichen Fälle) regelmäßig neue Algorithmen/längere Schlüssel Verlust des privaten Schlüssels Verlust der verschlüsselten Daten (Backup) Schlüssel enthält keine Informationen zum Besitzer Verwendung von Zertifikaten mit zusätzlichen Informationen Integritätsschutz für Schlüssel (Man in the Middle kann Schlüssel manipulieren) Zertifikate enthalten digitale Signatur Sicherung des privaten Schlüssels: Chipkarte, Hardware Security Module Seite 4 von 22

5 2.1 Public Key Infrastructure Registration Authority (RA): Registrierung neuer Anwender (Überprüfung der Identität), Weiterleitung an Certification Authority zur Ausstellung von Zertifikaten Sperren von Zertifikaten/Benutzern definiert Protokolle für Zertifikatsantrag/-austausch Certification Authority (CA): Ausstellung und Verwaltung der Zertifikate (optional auch Schlüsselerzeugung für Endbenutzer, Personalisierung von Chipkarten, Versenden der Infos an Endbenutzer) Endbenutzer-Zertifikate durch CA-Zertifikat signiert Erstellung/Signieren von Sperrinformationen sichere Betriebsumgebung erforderlich (Speicherung und Zugriff auf private Schlüssel) Kompromittierung (Daten evtl. manipuliert) des privaten Schlüssel einer CA alle ausgestellten Zertifikate und damit signierte Dokumente unsicher Verzeichnisdienst (DIR): Zugriff zu öffentlichen Zertifikaten (zur Prüfung von Signaturen) beliebige Schnittstellen möglich Festlegung eindeutiger Identifizierungsmerkmale, um Zertifikate zu finden Sperrinformationen: wenn Vertraulichkeit des privaten Schlüssels nicht mehr gegeben Sperre des Zertifikats erforderlich Anwendung muss Sperrstatus eines empfangen Zertifikats prüfen Protokolle zum Verteilen von Sperrinfos: o Certificate Revocation Lists (CRL): ungültige in Liste eingetragen (Zeitstempel, signiert) nur Aussage über Vergangenheit, keine Aussage über Gültigkeit o Online Certificate Status Protocol (OCSP): Weiterentwicklung liefert Status des Zertifikats (Antwort signiert) nicht nur ob ungültig aktueller falls aktuelle Datenbasis verwendet Seite 5 von 22

6 Zertifikate: Zuordenbarkeit Public Key Identität Bestätigung durch Zertifizierungsstelle öffentlich Zertifikatskette Zertifikatserweiterungen: Flexibilität Erweiterung kritisch? Key Usage: Einsatzzweck des Zertifikats: o digitalsignature (0) o nonrepudiation = Nichtabstreitbarkeit (1) o keyencipherment (2) o dataencipherment (3) o keyagreement (4) o keycertsign (5) o crlsign (6) o encipheronly (7) o decipheronly (8) Extended Key Usage: o ip-kp-serverauth: für TLS-Server zur Authentifikation o ip-kp-clientauth: für TLS-Clients zur Authentifikation o ip-kp-codesigning: Signieren von Applikationen Object Identifier: o IDs für Objekte wie Algorithmen, Extensions o hierarchische Struktur, Registrierung bei Gremien o zb (Key Usage-Extension) Vertrauensmodell Web of Trust: direkte Vertrauensstellung (zb Pretty Good Privacy) Kommunikationsteilnehmer muss Zugehörigkeit des Schlüssels zur Identität des Kommunikationspartners überprüfen (Key Signing) bei vielen Partnern nicht praktikabel Seite 6 von 22

7 Vertrauensmodell Hierarchische Struktur: Vertrauensstellung über Root-CA Cross-Zertifizierung zwischen zwei CAs möglich Vertrauensmodell Bridge CA: zb Trusted-service Status List (TSL) Integration von Root-CAs in eine (TSL) Vertrauensstellung über Root-CA TSL wird signiert Pfadvalidierung: Überprüfung der Gültigkeit eines Zertifikats Verwendung eines Zertifikats Überprüfen der Vertrauensstellung Ermittlung des gesamten Pfads/der gesamten Pfade zum Root-Zertifikat Überprüfung des Sperrstatus, Gültigkeit der Zertifikate, Auswertung kritischer Zertifikatserweiterungen Gültigkeitsmodelle: Regeln für Signaturüberprüfung Integrieren des gesamten Zertifikatspfads Schalenmodell: zum Prüfungszeitpunkt alle Zertifikate im Pfad gültig Kettenmodell: zum Erstellungszeitpunkt jeweils signierendes Zertifikat gültig Hybridmodell: zum Erstellungszeitpunkt der zu prüfenden Signatur alle Zertifikate im Pfad gültig Rechtsverbindlichkeit von Signaturen: Elektronische Signatur: keine besonderen Anforderungen, auch Absenderangabe ohne digitale Signatur Fortgeschrittene elektronische Signatur: zb PGP-Signatur mit Web of Trust Qualifizierte elektronische Signatur: ersetzt Unterschrift Seite 7 von 22

8 3 Web Application Security Kategorien von Bedrohungen: Spoofing: Identitätsdiebstahl Tampering: Datenmanipulation Repudiation: Ablehnung Information Disclosure: Offenlegung von Informationen Denial of Service (DoS): Dienstverweigerung Evelation of Privilege / Authorisation Bypassing: Erweiterung der Berechtigung OWAP (Open Web Application Security Project) Top , RC 1: Injection Cross Site Scripting Broken Authentication and Session Management Insecure Direct Object Reference Cross Site Request Forgery = Fälschung (CSRF) Security Misconfiguration Failure to Restrict URL Access Unvalidated Redirects and Forwards Insecure Cryptographic Storage Insufficient Transport Layer Protection 3.1 Injection Flaws (Fehler) unvertrauenswürdige Daten an Interpreter gesendet und ausgeführt Einschleusen von Befehlen über Anwendung Beeinflussung ausgeführter Befehle durch interpretierte Sonderzeichen SQL Injection: Ausnutzen von Sicherheitslücken direkter Datenbankzugang Einschleusen eigener Datenbankbefehle Zeichen, die für SQL-Interpreter Sonderfunktion besitzen (\, ", ', ;) Suche nach Schwachstellen aufgrund von Fehlermeldungen (außer bei Blind SQL Injection) Ziel: Daten verändern, Kontrolle über Server erhalten Ändern vorhandener Daten (INSERT, DELETE, UPDATE) Ändern der Datenbankstruktur, Löschen der DB (ALTER TABLE, DROP TABLE, CREATE PROCEDURE) ausführen von Systembefehlen durch spezielle Datenbank-Funktionen (zb SQLServer exec()) Ausführen beliebiger Programme über DB Schreiben von Dateien durch Datenbankbefehle ermöglicht Datenexport, wird Datei in Web-Freigabe erstellt, kann sie über Web-Server vom Angreifer abgefragt werden Seite 8 von 22

9 Blind SQL-Injection: fehlende Fehlermeldungen Generierung durch Web-Server: typischer weise 500: Internal Server Error aufgrund falscher SQL-Syntax Generierung durch Applikation: Indikator für bessere Programmierung, angepasste Fehlermeldungen (zb no such product) 1. Fehler erkennen: Senden einiger invalider Requests, um herauszufinden, wie Applikation mit Fehlern umgeht 2. Fehler lokalisieren: o Verwenden von Key-Wörtern (zb OR, AND) und Meta-Zeichen o individuelles Testen jedes Parameters (restlicher Teil des Request muss gültig sein) o Identifizierung von Redirects und anderen vermutlich versteckten Fehlern mittels Intercepting Proxy o jeder Parameter, der Error zurückgibt könnte durch SQL- Injection angreifbar sein 3. Angreifbare Parameter identifizieren: o Number String Date o SELECT * FROM Products WHERE ProdID = chaira // ein Ergebnis o SELECT * FROM Products WHERE ProdID = chaira and a = a // selbes Ergebnis 4. Angriff durchführen: o Generieren einer syntax-validen Anfrage (AND, OR, 1 = 2, 1 = 1, ) o Datenbankserver (Oracle, MSSql, MySql) identifizieren (+ vs., sysdate vs. getdate()) o Exploit zusammenstellen Extended Stored Procedures: o MS-SQL-Server, Implementierung als DLLs o xp_cmdshell Ausführen von Befehlen auf OS-Ebene o xp_servicecontrol Starten/Stoppen von Diensten o zb EXEC master.xp_servicecontrol stop, schedule SQL Injection-Gegenmaßnahmen: Prepared Statements verwenden (Parameterized Queries) Stored Procedures verwenden Escapen von User-Eingaben Principle of least privilege Whitelist benutzen (Eingabenvalidierung) Seite 9 von 22

10 3.2 Cross Site Scripting, XSS Ausführung beliebigen Codes (meist JavaScript) im Browserkontext kann zu totaler Systemübernahme führen Angriff auf Benutzersystem, nicht Anwendung selbst (als Träger missbraucht) bösartiger Skriptcode von vertrauenswürdiger Seite geladen fundamentale Fehler, die XSS erlauben: fehlende Eingabeüberprüfung, nicht-encodete Ausgabe Ziel: sensible Benutzerdaten Identitätsdiebstahl, Entführung von User-Sessions, Phishing Stored XSS: injezierter Code dauerhaft gespeichert (DB, XML), Opfer lädt bösartigen Code beim Abfragen dieses Codes zb Foren, Kommentare, Besucher-Logs Reflected XSS: unvalidierte Eingabe in Response an Browser zurückgeschickt Angreifer können bösartige URLs erstellen und verschicken, mailen, auf anderen Websites zur Verfügung stellen XSS-Gegenmaßnahmen: gesamten Input filtern/validieren Escapen von Output Whitelist-Filterung anstelle von Blacklist-Filterung Verwenden von in der Praxis bewährten Lösungen an Namenskonventionen halten (zb $clean für gefilterten Input) Seite 10 von 22

11 3.3 Broken Authentication and Session Management oft unzureichender Schutz von Zugangsdaten oder Session-Tokens Angreifer kompromittieren Passwörter, Keys, Autorisierungstoken um User-Identität zu übernehmen große Angriffsfläche: Passwort vergessen, Passwort ändern, Account-Update, Session- Fixation Gegenmaßnahmen: Proper Design Anzahl falscher Logins begrenzen Passwortstärke SessionID schützen (SSL/TLS für gesamte Session) Passwörter mit angemessenem Verfahren verschlüsseln SessionID sollte nie clientseitig änderbar sein immer altes Passwort bei Passwortänderungen verlangen SessionIDs nie über URL übertragen User Enumeration unterbinden 3.4 Insecure Direct Object Reference Entwickler stellen direkte Referenz eines Objekts bereit (zb File, Directory, Datenbankeintrag, ID) Angreifer können Referenzen manipulieren, unautorisiert auf andere Objekte zugreifen Gegenmaßnahmen: Vermeiden direkter Objektreferenzen (Indizes) Validieren privater Objektreferenzen (Whitelist-Validierung) Autorisation checken und bestätigen Seite 11 von 22

12 3.5 Cross-Site Request Forgery = Fälschung CSRF/XSRF umgekehrte Angriffsart gegenüber XSS o XSS: Missbrauch des Vertrauens des Users gegenüber Applikation o CSRF: Missbrauch des Vertrauens der Anwendung gegenüber dem User verwendet kompromittiertes HTTP-Request Gegenmaßnahmen: Benutzen eines Anti-CSRF-Token (Shared Secret) Applikation darf nicht für XSS angreifbar sein, sonst könnte Shared Secret wieder ausgelesen werden Verifizierung einer Aktion anfordern erschwert nur Angriff nur POST-Anfragen akzeptieren erschwert nur Angriff Referrer überprüfen oft nicht möglich (zb Filterung des Referrer Head durch Proxys) Seite 12 von 22

13 4 The other side 4.1 PC-Überwachung Rechtliche Grundlage: präventiv anlassbezogen Schwere des vermuteten Delikts konkrete Hinweise auf mögliche Verdächtige Interessensabwägung, berechtigtes Interesse, Notwehr Betriebsrat, MA-Vereinbarungen Möglichkeiten: serverbasiert (Logfiles) Hardware-Keylogger: o einfach installierbar o nur Tastatureingaben o mühsam auszuwerten o typischerweise nur für erste Phase o Miniaturversion verfügbar o mit GSM-Abfrage für Behörden o Erkennung: in Tastaturkabel eingeschleift Software-Keylogger: o Zugang zum Rechner erforderlich (Hardware-Keylogger) o alternativ Trojanisches Pferd o automatischer -Versand, Screenshots o teilweise Fernsteuerung o sehr gut auswertbar o eventuell Probleme mit Antivirensoftware o Erkennung: Softwarestart, Ports/Connections (W-)LAN-Sniffer: o Standard-PC oder Hardware-Lösungen o trivial bei nicht/schwach verschlüsselten Funk-LANs o extrem große Datenmengen o schwer zu erkennen Videoaufzeichnung Abstrahlung optisch/elektromagnetisch Trojaner: verpackter Software-Keylogger Seite 13 von 22

14 5 Network Security Angriffe/Bedrohungen: technisch nicht-technisch Vertraulichkeit: o Google Hacking o Covert Channels: parasitärer Kommunikationskanal, benutzt Bandbreite von einem legitimierten um Infos zu übermitteln (zb Pixel in Bildern, Datei öffnen/schließen) o Sniffing Integrität, Authentizität, Nichtabstreitbarkeit (Spoofing) Verfügbarkeit (Session Hijacking, Denial of Service, Distributed Denial of Service) Google Hacking: Google liest für Suche gesamte Websites ein Suche zb nach o Passwörtern von Web- oder FTP-Servern o privaten Webcams, Netzwerkdruckern o -Adressen o webbasierten Terminal Service-Zugängen o VPN-Gateways o anfälligen Dateien Recherchetechniken in Netzwerken: Firmenwebsites und Stellenausschreibungen Social Websites Usenet Foren, Support-Foren Suchmaschinen Caching-Funktionen Physical Layer: Sniffing Werkzeug zur Netzwerkanalyse mitlesen des gesamten Traffics (Kollisionsdomäne), einfacher in WLANs Programme: o Wireshark/tshark o tcpdump o airodump/airhack Interface im Promiscuous Mode: liest gesamten Datenverkehr mit Seite 14 von 22

15 ARP Address Resolution Protocol: Umwandlung IP-Adressen MAC-Adressen (nur Ethernet mit IPv4) Reverse ARP TCP/IP: Network Layer ARP-Cache: Speichern eigener und fremder Anfragen ARP Poisoning/ Spoofing: Senden gefälschter ARP-Pakete o Black Hole o Man in the Middle IPv4: unzuverlässig, verbindungslos IP-Adressen für Routing TCP/IP: Internet Layer Address Spoofing: gefälschter Absender, DoS-Attacken Fragmentation: o Fragment Overlap Attack (falscher Offset, 1. Fragment teilweise/gänzlich von 2. überschrieben oft Fehler im System, Teardrop DoS-Attacken) o Tiny Fragment Attack: anderes als letztes Paket < 400 Bytes, DoS-Attacken, Erkennung/Sicherheitsmaßnahmen überwinden o Ping of Death: zusammengesetztes IP-Paket zu groß (> Bytes, Offset und Fragmentgröße beim letzten Paket entsprechend manipuliert, beim Empfänger evtl. interne Variable überschrieben, System zum Absturz gebracht) Internet Control Message Protocol (ICMP): Fehlermeldungen: Port/Host Unreachable diverse andere Infos: Subnetzmaske, Uhrzeit Angriffe: o ICMP echo request/reply o Inverse Mapping: interne Geräte herausfinden, die normal nicht erreichbar wären (an vermutete IPs, interner Router gibt für alle, die es nicht gibt Host unavailable zurück) o Destination Unreachable, TTL Exceeded o Source Quench: Empfänger ausgelastet, langsamer senden o Route Redirect: Gateway empfängt IP-Paket von einem Host und nächster Gateway auf der Route ist im selben Netzwerk wie der Host, Man in the Middle o lt. Spezifikation zu große Pakete (zb mit ping Ping of Death) o ICMP Flood: DoS, evtl. kombiniert mit Spoofing o Smurf-Attacke: Angreifer spooft die IP-Adresse des Opfers und schickt große Zahl an IP echo requests an die Broadcast-Adresse eines dazwischen liegenden Netzwerks, diese Hosts antworten mit einem ICMP reply request an das Opfer Seite 15 von 22

16 User Datagram Protocol (UDP): verbindungslos, schnell Broadcast-Empfänger möglich zb DNS, Multimedia Angriffe (DoS): o UDP Packet Storm: unter Umständen an Broadcast-Adresse, möglich weil kein Verbindungsaufbau wie bei TCP erforderlich o UDP Flood Attack: an zufällige Ports (schauen welche Anwendung an diesem Port horcht keine ICMP Destination Unreachable senden) Transmission Control Protocol (TCP): Transport Layer verbindungsorientiert (Three-Way-Handshake) verläßlich (Timeout, Retransmission) Flow Control Zustände: listen, established, closed keine Broadcast-Empfänger möglich Angriffe: o SYN-Flooding: halb offene Verbindung belegt Ressourcen o Low-Rate DoS o ACK senden bevor Daten empfangen o TCP Session Poisoning: Opfer baut TCP-Verbindung mittels Three Way Handshake auf, Angreifer versucht nach Authentifizierung zu übernehmen, indem er Antwort- Pakete ACK manipuliert und schneller sendet als das Opfer o Land-Attacke: Source Adress/Port = Destination Adress/Port o Christmas Tree Packet: jede mögliche Option für jedes benutzte Protokoll gesetzt o TCP Sequence Number Prediction: durchnummeriert um sie wieder zusammensetzen zu können, Angreifer muss Nummer erraten, die noch nicht empfangen wurde, daraufhin dann echte Pakete verworfen o TCP Session Hijack: Sniffing + Spoofing Seite 16 von 22

17 Vorbereitungen für Angriffe auf Computersysteme: Host Scan Port Scan OS Detection Vulnerability Scan Scanning: oft auffällig, daher Slow Scan, Ablenkung Netzwerk-Scans: nmap o Portscans o Fingerprinting (OS) o Services o man nmap Lösungsansätze: Absicherung der Clients/Server Separation von Netzwerksegmenten (physisch/logisch) o VLAN: Virtual Local Area Network, innerhalb eines Switches (keine Weiterleitung an andere) o Firewalls o DMZ: Demilitarized Zone sicherheitstechnisch kontrollierte Zugriffsmöglichkeiten auf daran angeschlossene Server durch Firewalls gegen andere Netze abgeschirmt (ein- oder zweistufig) Zugriff auf öffentlich erreichbare Dienste gestattet, internes LAN vor unberechtigten Zugriffen geschützt o NAT: Network Address Translation Sicherung des Übertragungsweges (Internet, WLAN), zb via VPN, SSL/TLS Sicherung des Netzwerkzugangs (Firewalls) Sicherung der Nutzdaten (zb -Verschlüsselung) zusätzliche Maßnahmen wie Intrusion Detection Systems, Intrusion Prevention Systems WLAN: potentiell unsicher (Angreifer haben Zugriff auf Übertragungsmedium) War Driving, öffentliche Orte, Nachbarn Angriffe: o Sniffing o Angreifer spooft einen AP, Client o Denial of Service Absicherung: o WEP (unsicher) o WPA, WPA2 o VPNs: Verschlüsselung auf Applikationsebene o sicherer Schlüssel (Wechsel) o AP abschalten, wenn nicht verwendet o Standard-Passwörter ändern Seite 17 von 22

18 Firewalls: Unterbindung unerlaubter Zugriffe Arten: o Paketfilter: einfache Filterung anhand von Zielport, Quell-, Zieladresse (Headerinformationen auf OSI-Layer 2 4) o Stateful Inspection: erweiterte Paketfilterung, kurze Headeranalyse auf OSI- Schichten 2 4 um Statustabelle aller Netzwerkverbindungen zu erstellen (zb nur angeforderte Daten zulassen) o Proxy Firewall: betrachtet zusätzlich Inhalt der OSI-Schicht 7 (Malwarescan) Positionierung ia an der Grenze zwischen zwei Netzwerkzonen (DMZ) Intrusion Detection System (IDS): Signatur Anomalie-Erkennung Senden eines Alarms host-, netzwerkbasiert oder hybrid zb Snort, Prelude Intrusion Prevention System (IPS): zusätzlich Ergreifen von Maßnahmen Seite 18 von 22

19 6 Hardening Systems Sicherstellung von: o Vertraulichkeit o Integrität o Verfügbarkeit Gefährdungen durch: o Sicherheitslücken o falsche Konfiguration o unsichere Konfiguration 6.1 Härtung von Systemen Entfernung von zur Erfüllung der vorgesehenen Aufgabe nicht zwingend nötigen Softwarebestandteilen und Funktionen Verringerung der Angriffsmöglichkeiten prinzipiell auf allen Systemen möglich zusätzliche Maßnahme, kein Ersatz für andere Grundgedanken: nicht installiertes Service nicht angreifbar nicht vorhandenes Tool nicht für Angriff verwendbar nicht vorhandenes Recht kann nicht mißbraucht werden Methoden zur Minimierung der Anzahl von Angriffsvektoren: nur erforderliche Services installieren nur erforderliche Tools installieren nur erforderliche Benutzer anlegen Rechte restriktiv vergeben Positive Effekte: Beschäftigung mit installierter Software Lernen des Verhaltens der Software Doku lesen Logfiles lesen Informationen über Updates Steigerung der IT-Sicherheit Begleitende Sicherheitsmaßnahmen: Boot Settings, BIOS-Passwort Seite 19 von 22 Autorun Windows Direct Memory Access (Firewire, PCMIA, USB) organisatorische Maßnahmen Server-Schrank (versperrt) Lockpicking (ohne Schlüssel und Beschädigung öffnen) Server-Raum (Zugriffskontrolle, Doku)

20 Ideal Erstellung eines Minimal-Systems: sichere Hardware Services Admin Utilities Support Librarys Betriebsystem System Monitoring zb Linux From Scratch (LFS) Einschränkungen: fehlendes Know-how Budget Zeit 3 rd Party Software proprietäre Systeme Praxis: erforderliche Funktionen festlegen System installieren, updaten nicht erforderliche Software entfernen nicht erforderliche Dienste deaktivieren Zugriffsrechte strenger setzen Default-Passwörter ändern Dokumentation Backups Firewalls Testen umgesetzter Härtungsmaßnahmen Unix Security Concepts: Berechtigungen (ls, chmod, chown, chgrp) Chroot/Jailroot suid/sgid weitere Konzepte o erweiterte Berechtigungen (lsattr, chattr) o ACL granulare Berechtigungen o SELinux/AppArmor alle Benutzer sind diesen unterworfen, ia ausgenommen root Berechtigungen: Principle of Least Privilege mindestens nicht privilegierte User-Accounts, privilegierter Admin (root in Linux) Seite 20 von 22

21 Berechtigungen von root: Wechsel der UID Prozesssteuerung Änderung von Systemparametern (Limits für Prozesse, Filesysteme) User-Management System-Management (Shutdown, Reboot) Filesysteme (un)mounten chroot Linux-Berechtigungen: d: Directory u (User): rwx g (Group): rwx o (Others): rwx Shell Injection: Eingabeparameter von Programm nicht kontrolliert Angreifer versuchen Befehl mit ; abzuschließen und anderen auszuführen Pseudocode: o read(eingabe) o exec( cat +eingabe) Angriff: eingabe = /etc/fstab; rm -rf / suid: mit Rechten des Besitzers, nicht des aktuellen Users ausgeführt von vielen Systemprogrammen genutzt praktisch oft fehlerhaft implementiert (Buffer Overflows, keine Eingabeüberprüfung) suid oft nicht erforderlich -rws--x--x chroot: change root: / wird geändert (nur für aktuellen Prozess und Kindprozesse) kein Zugriff auf Dateien außerhalb des Verzeichnisses Anwendungen in ein Jail sperren Linux: Paketverwaltung: viele Varianten einfache (De-)Installation von Softwarepaketen verwaltet Abhängigkeiten Windows 2003: Updates, Entfernen nicht erforderlicher Software Access Control List-Rechte-Konzept einsetzen Seite 21 von 22

22 Anwendungen: Deaktivieren nicht erforderliche Funktionalität Löschen nicht erforderlicher und Default-Dateien/Verzeichnisse in Freigaben (HTTP; FTP) chroot aktivieren Benutzer für Applikation anlegen, Applikation unter dieser Benutzerkennung laufen lassen herausgegebene Informationen minimieren/abändern (System, Kernel, Applikationsname, Versionsnummer) erforderliche Ports nur auf erforderliche Interfaces binden unsichere Protokolle, Verschlüsselungs- und Hash-Algorithmen deaktivieren (zb Webserver) Sicherheitstests: nach Umsetzung der Härtungsmaßnahmen Überprüfung: o wirksam? o auch nach Neustart? o funktionieren Services weiterhin? o werden bei Netzwerk-Scans weiterhin Zugriffe zugelassen? (Firewall) Penetrationstest (Phasen 1, 2 evtl. auch 3) Praxis: Systeme sind grundgehärtet bei funktionalen Problemen prinzipiell immer Härtungsmaßnahmen Schuld Seite 22 von 22

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

Thomas Macht Ausarbeitung Security-Test WS 09

Thomas Macht Ausarbeitung Security-Test WS 09 Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Introduction to Security VO 02: Netzwerksicherheit

Introduction to Security VO 02: Netzwerksicherheit Introduction to Security VO 02: Netzwerksicherheit Florian Fankhauser, Sebastian Simon INSO Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik Technische Universität Wien

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

UDP-, MTU- und IP- Fragmentierung

UDP-, MTU- und IP- Fragmentierung UDP-, MTU- und IP- Fragmentierung Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung

Mehr

Thomas Macht Ausarbeitung Security-Test WS 10

Thomas Macht Ausarbeitung Security-Test WS 10 Sicherheit definieren mit Grenzrisiko und Grenzrisiko definieren. Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands

Mehr

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm sven@elektro-klemm.de Grundlagen TCP/IP C3D2 Chaostreff Dresden Sven Klemm sven@elektro-klemm.de Gliederung TCP/IP Schichtenmodell / Kapselung ARP Spoofing Relaying IP ICMP Redirection UDP TCP Schichtenmodell Protokolle der

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

IT-Sicherheit im Fakultätsnetz

IT-Sicherheit im Fakultätsnetz IT-Sicherheit im Fakultätsnetz 16.12.2013 Falk Husemann, IRB -1- IT-Sicherheit im Fakultätsnetz Sicherheitsmaßnahmen seit Existenz Seit 2011 eigenes Projekt Secops Unterstützung des operativen Betriebs

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich

Hacking. InfoPoint 07.12.2005. Jörg Wüthrich Hacking InfoPoint 07.12.2005 Jörg Wüthrich Inhalte Rund um das Thema Hacking Angriffs-Techniken Session Handling Cross Site Scripting (XSS) SQL-Injection Buffer Overflow 07.12.2005 Infopoint - Hacking

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools

Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Typische Regellücken bei Firewalls,, Testtools jochen.schlichting@secorvo.de Seite 1 Inhalt Einführung: Typische Angriffe

Mehr

3 Analyse der Informationen und Auswertung von Schwachstellen

3 Analyse der Informationen und Auswertung von Schwachstellen 3 Analyse der Informationen und Auswertung von Schwachstellen Webquellen: http://www.packetstormsecurity.org http://www.2600.com http://www.theregister.co.uk/content/55/16725.html Nessus, ISS Scanner Empfehlenswerte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de

Advanced Web Hacking. Matthias Luft Security Research mluft@ernw.de Advanced Web Hacking Matthias Luft Security Research mluft@ernw.de ERNW GmbH. Breslauer Str. 28. D-69124 Heidelberg. www.ernw.de 6/23/2010 1 ERNW GmbH Sicherheitsdienstleister im Beratungs- und Prüfungsumfeld

Mehr

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12 (Distributed) Denial-of-Service Attack Network & Services Inhalt 2 Was ist ein DDoS Angriff? Verschiedene Angriffsmethoden Mögliche Angriffs-Strategien Abwehrmassnahmen Historische DDoS-Attacken Nationale

Mehr

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen

Mehr

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002

X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org. 18. November 2002 X.509-Zertifikate mit OpenSSL Mario Lorenz mailto:ml@vdazone.org 18. November 2002 1 Grundlagen Wir nehmen an, dass mathematische Algorithmen zur sicheren Verschlüsselung und zur Signatur verfügbar seien

Mehr

Intrusion Detection Basics

Intrusion Detection Basics Intrusion Detection Basics Ziele von Angriffen Formen von Angriffen Vorgehensweise von Eindringlingen Überwachungsmöglichkeiten Tools: tripwire, iptraf, tcpdump, snort Ziele von Angriffen (Auswahl) Sport:

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Emailverschlüsselung mit Thunderbird

Emailverschlüsselung mit Thunderbird Emailverschlüsselung mit Thunderbird mit einer kurzen Einführung zu PGP und S/MIME Helmut Schweinzer 3.11.12 6. Erlanger Linuxtag Übersicht Warum Signieren/Verschlüsseln Email-Transport Verschlüsselung

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie

Mehr

Denial of Service-Attacken, Firewalltechniken

Denial of Service-Attacken, Firewalltechniken Konzepte von Betriebssystem-Komponenten: Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de 08.07.2002 1. (D)DoS Attacken 1.1.DoS Attacken DoS steht für Denial of Service und

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Sinn und Unsinn von Desktop-Firewalls

Sinn und Unsinn von Desktop-Firewalls CLT 2005 Sinn und Unsinn von Desktop-Firewalls Wilhelm Dolle, Director Information Technology interactive Systems GmbH 5. und 6. März 2005 1 Agenda Was ist eine (Desktop-)Firewall? Netzwerk Grundlagen

Mehr

Konsistenz, Replikation und Fehlertoleranz

Konsistenz, Replikation und Fehlertoleranz Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 7. Intrusion Prevention System 7.1 Einleitung Sie konfigurieren das Intrusion Prevention System um das Netzwerk vor Angriffen zu schützen. Grundsätzlich soll nicht jeder TFTP Datenverkehr blockiert werden,

Mehr

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung 4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Netzwerk Teil 2 Linux-Kurs der Unix-AG Netzwerk Teil 2 Linux-Kurs der Unix-AG Zinching Dang 17. Juni 2015 Unterschied Host Router Standardverhalten eines Linux-Rechners: Host nur IP-Pakete mit Zieladressen, die dem Rechner zugeordnet sind,

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Inhaltsverzeichnis. Web Hacking

Inhaltsverzeichnis. Web Hacking Inhaltsverzeichnis zu Web Hacking von Manuel Ziegler ISBN (Buch): 978-3-446-44017-3 ISBN (E-Book): 978-3-446-44112-5 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-44017-3

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

Phion Netfence Firewall Mag. Dr. Klaus Coufal

Phion Netfence Firewall Mag. Dr. Klaus Coufal Phion Netfence Firewall Mag. Dr. Klaus Coufal Übersicht I. Konzepte II. Installation und Konfiguration III. High Availability IV. Firewall V. VPN Server VI. Management Center VII. Addons Mag. Dr. Klaus

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Konzeption von Sicherheitsgateways

Konzeption von Sicherheitsgateways Konzeption von Sicherheitsgateways Der richtige Aufbau und die passenden Module für ein sicheres Netz 1. Auflage Konzeption von Sicherheitsgateways schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH

Next Generation Firewalls. Markus Kohlmeier DTS Systeme GmbH Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

P106: Hacking IP-Telefonie

P106: Hacking IP-Telefonie P106: Hacking IP-Telefonie Referent: Christoph Bronold BKM Dienstleistungs GmbH 2005 BKM Dienstleistungs GmbH Angriffe auf ein IP-Telefonie Netzwerk Vorgehensweise eines Voice Hackers Best-Practices Designrichtlinien

Mehr

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler.

Labor Netzwerktechnik. Cisco Router. Version 1.1 22.03.2005. Cisco 1710. Prof. Dr. Alfons Eizenhöfer. Dipl.-Inf. (FH) Daniel Beuchler. Fachbereich Informatik Fachbereich efi Labor Netzwerktechnik Version 1.1 22.03.2005 Cisco 1710 Prof. Dr. Alfons Eizenhöfer Dipl.-Inf. (FH) Daniel Beuchler Oliver Reiche Fachhochschule Nürnberg 2005 Verbindung

Mehr

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press Dirk Becker OpenVPN Das Praxisbuch Galileo Press Vorwort 11 Einführung o 1.1 VPN (Virtual Private Network) 18 1.2 Alternativen zu einem VPN 21 1.2.1 Telnet 22 1.2.2 File Transfer Protocol - FTP 23 1.2.3

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Scan-Techniken Ein Überblick

Scan-Techniken Ein Überblick Scan-Techniken Ein Überblick Klaus Möller DFN-CERT GmbH Februar 2002 Agenda Was sind Scans? Scan-Techniken ICMP Scans TCP Scans UDP Scans Weitere Scan-Techniken Umgang mit Scans Was sind Scans? Einbruchszyklus:

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr