Man-in-the-middle: Angriff und Abwehr

Größe: px
Ab Seite anzeigen:

Download "Man-in-the-middle: Angriff und Abwehr"

Transkript

1 Man-in-the-middle: Angriff und Abwehr Felix Knapp Mat.Nr.: Seminar Auswahl Themen der Informatik Prof. Dr. Frank Dopatka Medien- und Kommunikationsinformatik Hochschule Reutlingen Lindengasse Wendlingen am Neckar Abstract: In der heutigen Welt sind Computer und ihre weltweite Vernetzung nicht mehr wegzudenken. Tag täglich werden Millionen von Daten über Computernetzwerke übertragen. Hierbei sind besonders die Aspekte der Sicherheit wichtig, welche Datenmanipulation und Datendiebstahl ausschließen sollten. In dieser Arbeit wird die spezielle Angriffsform man-in-the-middle dargestellt und verschiedene Angriff- und Abwehrmethoden diskutiert sowie gegenübergestellt. Am Ende soll die zentrale Frage beantwortet werden, ob ein man-in-the-middle- Angriff sicher abgewehrt werden kann.

2 1 Einleitung In dieser wissenschaftlichen Arbeit, geht es um die Angriffsform man in the middle abgekürzt MITM - um Daten, bei der Übertragung von A nach B, abzufangen oder zu manipulieren. Welche Angriffe und Abwehrmethoden gibt es und kann man sich wirkungsvoll vor MITM-Attacken schützen? Bei MITM Attacken auch bucket-bridge attack oder Janus attack (vgl. [STH10]) genannt, handelt es sich um eine Angriffsart bei der sich der Angreifer zwischen zwei kommunizierende Systeme schaltet und vorgibt jeweils das Zielsystem zu sein. Diese Angriffsart gibt es seit der Einführung der vernetzten Computer. Früher hatte sie allerdings nur eine geringe Bedeutung, weil ein Angreifer sich physikalisch zwischen die beiden Zielsysteme bringen musste. Er musste also die Kabelverbindung zwischen den beiden Teilnehmern unterbrechen und sich an dieser Stelle einklinken. Heute, im Zeitalter des Internet und W-Lan ist diese Angriffsform viel präsenter geworden. Meistens gibt es mehrere Wege zum Zielsystem und der Weg wird durch Wegweiser, sogenannte Protokolle, gefunden. Im Prinzip müssen hierbei nur die Wegweiser umgestellt werden, sodass die Informationen über den Angriffsrechner laufen und schon können die Daten gelesen oder manipuliert werden. Laut Chris Voice dem Chief Technology Officer von Entrust sind man-in-the-middle Attacken der Kryptographischen Gemeinschaft schon länger bekannt und gelten bei Sicherheitsexperten als potentielle Bedrohung für Web-Basierte Transaktionen (vgl. [Vo07]). Im Sommer 2006 wurde diese Angriffsart sehr viel stärker als Bedrohung wahrgenommen, als Kunden eines großen Finanzunternehmens zum Ziel von MITM Angriffen wurden (vgl. [Vo07]). Der Artikel beschreibt das 2004 die erste MITM Phishing 1.0 Welle ahnungslose Kunden austrickste und diese auf gefälschte Bankseiten geleitetet wurden (vgl. [BC06]), um dort sensible Daten einzugeben. Auch dieser Artikel berichtet von einem Großangriff auf ein Finanzunternehmen im Jahre 2006, wobei hier die Angriffsmethode mit MITM Phishing 2.0 [BC06] betitelt wurde. Der bedeutende Unterschied zwischen diesen beiden Methoden ist, dass bei MITM Phishing 2.0 auf keine gefälschte Seite verlinkt wird, sondern das Opfer wird über den Angreifer-PC auf die Originalseite umgeleitet (vgl. [BC06]). 2

3 2 Was ist ein MITM Angriff? Bei einem Man-in-the-middle-Angriff sitzt der Angreifer zwischen zwei kommunizierenden Parteien, und beide Parteien glauben, mit der jeweils anderen Partei einen Dialog zu führen, während sie in Wirklichkeit mit dem Angreifer kommunizieren. Will nun System A eine verschlüsselte Verbindung zu System B aufbauen, wird Tatsächlich eine Verbindung von System A zum Angreifer C aufgebaut und von Angreifer C zu System B. Der Angreifer kann mit Hilfe der öffentlichen Schlüssel die Leitung zu A und B mit seiner eigenen Verschlüsselung codieren und so den gesamten Datenverkehr zwischen A und B abhören oder manipulieren (vgl. [Er09] S.443). Es gibt mehrere Techniken um solche Angriffe durchzuführen. Angriffe über DHCP, DNS, ARP, Proxy und Man-in-the Browser laufen weitestgehend ohne menschliches Zutun ab. Dazu kommen sogenannte Human Assisted Angriffe bei denen der Angreifer in Echtzeit vor dem System sitzt und bestimmte Manipulationen ausführt. Diese Human Assisted Angriffe werden hauptsächlich in Länder mit Billig- Arbeitskräften ausgelagert. Wo werden MITM-Angriffe angewendet? Mit MITM-Angriffe wird nicht versucht sich zu einem PC Zugang zu verschaffen, sondern es wird die Kommunikation zwischen zwei oder mehreren Systemen abgehört bzw. manipuliert. Ziel ist die Informationsgewinnung über militärische oder terroristische Vorhaben, Ermittlung von sensiblen Kundendaten, sowie Zugriffsdaten für Onlinesysteme wie Mail Accounts, Onlinebanking, Onlineshopping und andere Daten die dem Angreifer nützen könnten. Vor allem im Online Banking Bereich wird dieser Angriff zunehmend häufiger. Immer mehr Kunden sparen sich den Weg zu ihrer Bankfiliale und überweisen das Geld bequem, über Online-Banking, von zu Hause. Ein MITM-Angreifer kann sich zwischen Kunde und Bank schalten und die Daten so verändern, dass er die Überweisung beliebig manipulieren kann. Meistens wird dann ein höherer Betrag auf ein Auslandskonto überwiesen, ohne dass der Kunde etwas davon merkt. Im folgenden Kapitel wird nun erklärt mit welchen Angriffstechniken sich eine dritte Person zwischen zwei Systeme hacken kann. 3

4 3 Angriffsmethoden In diesem Kapitel werden die meisten MITM-Angriffsmethoden beschrieben. Sie können auch in Kombination vorkommen um dem Angreifer noch mehr Möglichkeiten zu bieten. 3.1 DHCP basierende Angriffe Das Dynamik Host Configuration Protokoll (DHCP) ist ein Dienst, um in einem Netzwerk IP Adressen zu vergeben und diese zu verwalten. Dafür gibt es in jedem Netz einen DHCP-Server, der entscheidet welcher Client welche IP-Adresse bekommt. So werden doppelte Adressen vermieden und Adressen gespart, da in großen Netzen selten alle Clients auf einmal im Netzwerk sind. Beim Aufbau der Netzwerkverbindung fragt der DHCP-Client des Rechners in einer Broadcastnachricht nach einer eindeutigen IP-Adresse (vgl. [Ec08] S. 101). Alle DHCP- Server, die diese Nachrichten empfangen, antworten mit einem IP-Adressen-Angebot (vgl. [Ec08] S. 101). Der Client nimmt das erste Angebot das er empfängt und fordert über eine Request Nachricht diese IP-Adresse vom Anbieter an (vgl. [Ec08] S. 101). Genau in dieser ersten Antwort liegt die Schwachstelle für den Angreifer. Ist das ersteintreffende Angebot das, welches der Angreifer schickt, so kann der Angreifer dem Client eine beliebige Adresse zukommen lassen. Ebenso kann dieser einen beliebigen Standartgateway beim Client eintragen und somit laufen alle Anfragen des Netzes, über die eventuell falsche Standartgateway-Adresse. Somit kann der Angreifer sämtlichen Datenverkehr abhören und gegebenenfalls modifizieren. Ebenso kann auch eine falsche DNS-Server-Adresse an den User übermittelt werden, die auf einen Server verweist, den der Angreifer unter Kontrolle gebracht oder selbst aufgesetzt hat. Dadurch kann das Zielsystem auf jegliche Seite umgeleitet werden, selbst wenn die richtige Adresse eingegeben wurde. Da heutzutage das DHCP-Protokoll oft eingesetzt wird, kann der User sich nur sehr schlecht dagegen schützen. Zum Beispiel sollten öffentliche, unsichere und unbekannte Netze vermieden oder mit großer Sorgfalt verwendet werden. Sicherheitskritische Anwendungen wie Onlinebanking, Internetshopping, etc. sollten nur in einem bekannten und sicheren Netz benutzt werden. Die Gefahr, dass sich in einem öffentlichen Netz mit unübersichtlicher Architektur ein Angreifer versteckt, ist wesentlich höher als im privaten Heimnetzbereich. 3.2 DNS basierende Angriffe Der Domain Name Service (DNS) ist ein Dienst, der eine menschenlesbare Adresse in eine vom Computer interpretierbare IP auflöst. Dafür gibt es eine Zuweisungstabelle im DNS-Server. Jede Adresse bekommt genau eine IP-Adresse zugewiesen. Große Tabellen benötigen viel Zeit um durchsucht zu werden, daher kann ein DNS-Server nicht alle Adressen kennen. Wenn die angefragte Adresse nicht in der Tabelle vorhanden ist, wird die Anfrage an den nächst höheren DNS Server weitergeleitet. 4

5 Um diese Anfragen schnell bewältigen zu können, werden DNS-Server Caches verwendet (vgl. [Ec08] S.120). Ältere Versionen der DNS-Software akzeptieren auch Daten, die gar nicht von ihnen angefordert wurden, und tragen diese in ihren Cache ein. Auf diesem Weg ist es einem Angreifer möglich, einem DNS Server einen falschen Namen unterzuschieben ([Ec08] S.120). Es können aber auch mehrere Einträge oder ganze Top-Level-Domains manipuliert werden. Ebenso kann eine Umleitung auf einen eigenen DNS-Server eingerichtet werden, auf dem der Angreifer dann die völlige Kontrolle besitzt. Wenn nun der Benutzer eine Seite aufruft, werden die manipulierten Einträge als Antwort zurückgegeben und der Benutzer baut eine Verbindung auf, die auf eine manipulierte Webseite führen kann. Das Ziel hierbei ist der Gewinn sensibler Daten wie Kundendaten und Passwörter (vgl. [Ec08] S.121) die dann später weiterverwendet werden können. Um solch einem Angriff Abhilfe zu verschaffen, könnten zusätzliche Authentifizierungsmechanismen wie zum Beispiel signierte Antwortnachrichten eingesetzt werden (vgl. [Ec08] S.122). Ferner könnten die Server Informationen über die von ihnen gesendeten Anfragen speichern, d.h. Zustandsinformationen führen, um bei ankommenden Antworten zu prüfen, ob es sich nun um genau die Antwort auf eine aktuell gestellte Anfrage handelt ([Ec08] S.122). An derartigen Sicherheits- Erweiterungen wird bereits seit 1999 (vgl. [RFC2535]) unter dem Namen DNSSec (Domain Name System Security) gearbeitet ([Ec08] S.122). Mittlerweile ist der RFC 2535 durch eine Reihe weiterer RFCs aktualisiert und ersetzt worden (vgl. [Ec08] S.122). Zu den vorgeschlagenen Sicherheitsdiensten gehört die Verwendung digitaler Signaturen, die sichere Verwaltung authentifizierter öffentlicher Schlüssel, die Speicherung von Diffie-Hellmann Schlüssel im DNS System oder auch Authentifizierungs- und Integritäts-Protokolle auf der Basis von vorab zwischen DNS- Server und Client ausgetauschten geheimen Schlüsseln und unter Verwendung kryptografischer Hashfunktionen (vgl. [Ec08] S.122). Der Benutzer kann sich gegen diesen Angriff also kaum selber schützen, da der Angriff in der Infrastruktur des Internets stattfindet. Hier müssen die Betreiber der DNS-Server in die Pflicht genommen werden. Diese sollten ihre Server richtig schützen und auf dem neusten Stand halten. Leider passiert dies viel zu selten, wie im Buch der IT-Sicherheit beschrieben wird: Die Sicherheits-Erweiterungen von DNS haben aber noch nicht die Verbreitung gefunden, wie es wünschenswert wäre ([Ec08] S.122). 3.3 ARP Cache Vergiftung Jede netzwerkfähige Hardware besitzt eine sogenannte MAC-Adresse die vom Hersteller vorgegeben ist. Diese Adresse gibt es nur ein einziges Mal, wie bei einer Postanschrift. Dies ermöglicht einen gezielten Datenaustausch zwischen zwei Geräten. Das Address Resolution Protocol (ARP) speichert in einer Tabelle zu einer IP-Adresse die MAC-Adresse der Netzwerkhardware und kann somit eine IP Adresse in eine eindeutige Hardwareadresse auflösen. Anschließend können die Daten dann an die entsprechende Hardware weitergeleitet werden. 5

6 Diese Angriffsart wird auf der Layer 2 Schicht durchgeführt. Für den Angreifer befinden sich hier zwei interessante Details. Erstens überschreibt das empfangene System die alten Daten (wenn der ARP-Cache nicht explizit als permanent gekennzeichnet ist), wenn ein ARP-Reply mit einer IP-Adresse ankommt, die bereits im ARP-Cache existiert. Zweitens werden keine Zustandsinformationen über den ARP-Traffic festgehalten, weil das zusätzlichen Speicher verlangen würde und ein einfach zu haltendes Protokoll weiter verkomplizieren würde. Das bedeutet, dass Systeme einen ARP-Reply auch dann zu akzeptieren, wenn sie gar keinen Request gesendet haben ([Er09] S 262). Als ARP-Cache Vergiftung wird nun der Vorgang bezeichnet, bei dem der Angreifer über gefälschte ARP-Replies versendet und damit die Zuordnungstabelle so modifiziert, dass System A zur IP-Adresse von B, die MAC-Adresse des Angreifers zuordnet. Dieser Angriff muss natürlich auch auf System B gemacht werden um die Kommunikation zwischen beiden Systemen zu kontrollieren. Weil A und B ihre Ethernet-Header auf den entsprechenden ARP-Caches aufbauen, wird As IP-Traffic (der eigentlich für B bestimmt ist) in Wirklichkeit an die MAC-Adresse des Angreifers gesendet und umgekehrt. Der Switch filtert den Traffic nur anhand der MAC-Adresse aus, sodass er so funktioniert, wie er soll. Dabei sendet er As und Bs Traffic an die MAC-Adresse und den Port des Angreifers ([Er09] S ). Der Angreifer kann nun die Daten lesen manipulieren und mit dem richtigen Header versehen, an den Switch zurücksenden. Um den Angriff aufrecht zu erhalten müssen die gefälschten ARP-Replys in regelmäßigen Intervallen an A und B gesendet werden beispielsweise alle 10 Sekunden (vgl. [Er09]S.263) sonst werden aufgrund des Timeouts die gefälschten Einträge von den realen wieder überschrieben. ARP Redirection ist besonders interessant, wenn eine der angegriffenen Maschinen ein Standard-Gateway ist, da zwischen diesem Standard-Gateway und einem anderen System der Internet-Traffic des Systems stattfindet (vgl. [Er09] S.263). So kann der Angreifer den kompletten Internetzugriff auf jede Seite protokollieren, manipulieren und/oder speichern. Bei diesem Angriff zählt für den User das gleiche Prinzip wie beim Abwehren von DHCP Attacken. Generell unsichere und öffentliche Netze vermeiden. Falls dies nicht möglich ist, entsprechende Sorgfalt walten lassen, da solch eine ARP-Attacke in der Regel nicht bemerkt wird. 3.4 Vorspielen eines WLAN Access Points Immer mehr Leute verbinden sich über WLAN ins Internet. Egal ob zu Hause oder über öffentliche Hotspots. Dabei ist gerade diese WLAN Verbindung oft nicht richtig gesichert, wie aus einer Umfrage von 2010 aus der Communications oft he ACM hervorgeht. Hier heißt es, dass 60% aller WLANs keine Verschlüsselung verwenden und selbst wenn, ist es zu 75% die veraltete WEB-Verschlüsselung, die gut dokumentierte Defizite aufweist (vgl. [CMT10] S.134). Dies ist oft auf die offene Grundeinstellung eines Access Points zurückzuführen, die viele Administratoren einfach übernehmen (vgl. [Ec08] S.821). 6

7 Wenn der Angreifer sich nun zu einem Netzwerk verbindet, hat er die Möglichkeit als zusätzlicher Access Point zu fungieren. Dabei verwendet er eine gefälschte ID und verspricht bessere Signalqualität. Da mobile Endgeräte meist auf das stärkste Signal reagieren und zu dem sendenden Access Point eine Verbindung aufzubauen versuchen, ist es einfach, einen gefälschten AP zu installieren. Ein solcher Access Point besitzt die vollständige Kontrolle über die Kommunikationsverbindungen und es ist ihm ein leichtes, Daten abzuhören, Daten einzuschleusen, zu modifizieren oder auch DNSbasierte Angriffe durchzuführen ([Ec08] S.824). 3.5 Man-in-the-Browser Der Internetbrowser ist bekanntlich die Schnittstelle zwischen PC und Internet. Mittels Browsers können WWW-Objekte von einem Server abgerufen, aber auch interaktive Benutzereingaben an den Server weitergeleitet werden ([Ec08] S.130). Der hier wichtigste Aspekt für den Angriff wird so beschrieben. Aufgrund der Zustandslosigkeit des http-protokolls muss bei jedem Zugriff auf ein WWW-Objekt eine TCP-Verbindung zwischen Client und Server aufgebaut werden [Ec08] S.130). Bei einem Man-in-the-Browser-Angriff wird der Browser selber so manipuliert, dass die Informationen anstatt dem richtigen Server, einfach an den Angreifer übermittelt werden. Dies geschieht noch bevor irgendeine Verschlüsselung den Inhalt schützen könnte. Allerdings setzt diese Angriffsart voraus, dass der Angreifer sich vorher schon Zugriff auf das System verschafft hat, um den Browser entsprechend zu manipulieren. Um diesem Angriff vorzubeugen, muss ein Benutzer, sein System von Anfang an gegen Angriffe von außen schützen. Hat der Angreifer es geschafft den Browser zu infizieren, wird die korrupte Verbindung als gewünscht angesehen und demnach von keinem Sicherheitssystem verhindert. 3.6 Human Assisted Angriffe Bei solch einem Angriff wird eine der vorherigen Angriffsmethoden genannten Techniken zugrunde gelegt und erweitert. Sobald sich das Opfer zum Beispiel auf einer Bankseite einloggt, wird ein Signal an den Angreifer gesendet. Dieser kann sich nun den Cookie mit der Session ID holen und den Zugang des Kunden unterbrechen. So führt der Angreifer die alte Session weiter und der Kunde bekommt eine neue. Der Angreifer kann jetzt über verschiedene Tricks mehrere Tans vom Kunden als Eingabe verlangen und diese anschließend selbst benutzen, um das Konto leerzuräumen. Natürlich kann diese Angriffsart auch bei sämtlichen anderen Online Anwendungen durchgeführt werden. Der Benutzer merkt dies meistens erst, wenn es zu spät ist. Als Abwehrstrategie muss der User hier die Voraussetzungen bekämpfen, da dieser Angriff den Man-in-the-middle-Angriff voraussetzt. Ebenso sollte der User bei der Eingabe von sensiblen Daten sich immer vergewissern, dass er auf der richtigen Seite ist und über den Sinn der Eingabe nachdenken. Zum Beispiel wird keine Bank die Eingabe von mehreren Tans verlangen. Im Zweifelsfall sollte der entsprechende Anbieter Kontaktiert werden. 7

8 4 Verschlüsselung als Schutz gegen MITM Attacken? 4.1 Was ist Verschlüsselung? Verschlüsselung ist die Kodierung einer Nachricht, sodass diese für dritte nicht lesbar ist. Die Verschlüsselung ist Teil der Kryptologie die schon auf eine lange Geschichte zurückblicken kann. Kryptologie ist als die Lehre der Kryptografie (Geheimcodes) oder Kryptanalyse definiert. Dabei ist Kryptografie einfach der Prozess der verschlüsselten Kommunikation über geheime Codes (Cipher), und unter Kryptanalyse versteht man den Prozess des Knackens oder Entschlüsselns einer auf diese Weise verschlüsselten Kommunikation. ([Er09] S.429) 4.2 Verschlüsselungsarten Es gibt verschiedene Arten von Verschlüsselungen. Im Groben kann man zwischen solchen Protokollen unterscheiden, die als reine Kommunikationsprotokolle dienen und einen Nachrichtenstrom zwischen Kommunikationspartnern absichern, und solchen, die auf der Anwendungsebene dezidiert Anwendungsdaten absichern ([Ec08] S.689). Da MITM-Angriffe auf die Verbindung zweier Systeme abzielen, konzentriert sich dieses Kapitel auf Kommunikationsprotokolle. Klassische Vertreter solcher Protokolle sind IPSec, SSL/TLS oder auch SSH (vgl. [Ec08] S.689). 4.3 Verschlüsselung auf Netzzugriffschicht (Schicht 1 und 2) Sichere Kommunikationsprotokolle sind dadurch charakterisiert, dass eine Interaktion zwischen den beteiligten Kommunikationspartnern stattfindet, während der sich die Partner authentifizieren und sich auf die zu verwendenden Verfahren einigen, sowie gemeinsame Kommunikations- und falls erforderlich auch MAC-Schlüssel austauschen. Gängige Protokolle zur Etablierung eines sicheren Kommunikationskanals zwischen Partnern gewährleisten in der Regel die Schutzziele der Authentizität, Integrität und Vertraulichkeit, wobei sich die Authentizität auf den Datenursprung und die Integrität sich auf einzelne Datenpakete und nicht auf eine ganze Transaktion bezieht. ([Ec08] S.689) Bei der Verbindungsverschlüsselung (engl. Link encryption) werden die Daten unmittelbar vor ihrer Übertragung, also auf den Schichten 1 oder 2, verschlüsselt ([Ec08] S.690). Da bei der Verbindungsverschlüsselung die Nutzdaten der Schicht 2 verschlüsselt werden, sind auch IP-Adressen ein Bestandteil des Kryptotextes. Somit müssen Router jedes Paket zunächst entschlüsseln, um an die für das Routing benötigten Informationen zu gelangen ([Ec08] S.691). Die Konsequenz daraus ist, dass die Daten nur bei der Übermittlung verschlüsselt sind, aber den jeweiligen Vermittlungsrechnern im Klartext vorliegen (vgl. [Ec08] S.691). Dies ist natürlich sehr problematisch da die Benutzer den Vermittlungsstellen vertrauen müssen. Nun können im Internet aber unzählige Wege zu einem Zielsystem genommen werden. Dabei kann der Benutzer die Vermittlungsstellen unmöglich kennen und sollte ihnen demnach nicht einfach vertrauen. Daher birgt die Verschlüsselung, auf dieser niedrigen Schicht, ein hohes Risiko bzw. für den Angreifer ein großes Angriffspotential. 8

9 Nun besitzt die Schicht 2 keine Kenntnisse über die spezifischen Anforderungen höherer Schichten, so dass die Sicherheitsdienste auf alle Datenpakete in uniformer Weise angewandt werden (vgl. [Ec08] S. 692). Eine gezielte Verstärkung oder Abschwächung ist daher nicht möglich. Es wird im Prinzip alles identisch Verschlüsselt, egal wie Sicherheitskritisch die darüberlegende Anwendung auch sein mag. Diesen ganzen Einschränkungen steht als Hauptvorteil die einfache und vollständige transparente Handhabung der Sicherheitsprotokolle durch die Protokolle höherer Schichten gegenüber. Diese können auf den Schicht 2 Protokollen aufsetzten, wodurch sie zumindest deren einfache sicherheitssteigernde Eigenschaften übernehmen. ([Ec08] S.692) 4.4 Verschlüsselung auf Vermittlungsschicht (Schicht 3) Höhere Verschlüsselungsprotokolle die auf Schicht 3 oder höher arbeiten werden als Ende-zu-Ende-Verschlüsselung (engl. End-to-end encryption) bezeichnet (vgl. [Ec08] S693). Hier werden Die Daten vom Sender verschlüsselt aber erst beim Empfänger wieder entschlüsselt. Dabei werden aber nur die Nutzdaten verschlüsselt. Die Steuerdaten werden als Klartext übertragen. Dadurch können wieder aber bestimmte Verkehrsdaten über sogenannte Verkehrsflussanalysen ermittelt werden (vgl. [Ec08] S.693). Allerdings kann dieses Problem durch die zusätzliche Verschlüsselung auf Ebene 2 schnell behoben werden. Sicherheitsprotokolle auf der Netzwerkebene (Schicht 3) können zwar eine sichere Ende-zu-Ende-Verbindung zwischen verschiedenen, nicht notwendig physisch benachbarten Endsystemen realisieren, aber eine weitergehende Differenzierung ist nicht möglich. Dazu sind Informationen über Prozesse und/oder über die einzelnen Benutzer erforderlich. ([Ec08] S.694,695) 4.5 Verschlüsselung auf Transport- und Anwendungsschicht (Schicht 4,5 und 6) Sicherheitsprotokolle auf der Transportebene (Schicht 4) und auf Ebenen zwischen der Transport- und der Anwendungsebene (Schicht 5 und 6) bieten Ende-zu-Ende- Verschlüsselung zwischen Prozessen als Kommunikationspartnern ([Ec08] S.694). Diese Protokolle haben leider einen speziellen Nachteil der die Funktionen einer Firewall betrifft. Die Firewall kann den Inhalt des Datenstroms nicht lesen und dadurch schädliche Daten nicht erkennen. Das Problem ergibt sich daraus, dass die dedizierten Proxies der Applikationsfilter von den Protokollen der Schicht 4 als mögliche Mittelsmänner eines Man-in-the-Middle-Angriffs betrachtet werden. Zur Problemlösung sind entweder Tunnelungs-Techniken einzusetzen oder man muss sich mit Firewall- Konfigurationen mit geringeren Filterungsfähigkeiten, wie Paketfiltern, zufrieden geben ([Ec08] S.695). 9

10 Ein Proxy ist ein Vermittler bei der Kommunikation zweier Systeme. Ein Proxy benutzt seine eigene Adresse um die Anfrage eines Systems zu senden. Somit bleibt die Adresse des Quellsystems verborgen. Hinter einem Proxy kann sich auch ein ganzes Netz verbergen und jeder in diesem Netz hat die Möglichkeit Anfragen zu senden. Daher wird oftmals auch die Firewall auf dem Proxy installiert um möglichst einfach ganze Netze abzusichern. Beim Angefragten System sieht es jedoch so aus, als würden alle vom gleichen System kommen. Mit den Vorteilen kommen aber auch Nachteile. Laufen alle Anfragen über ein Proxy, so ist dieser Proxy ein beliebtes Ziel für Angreifer. 4.6 Verschlüsselung gegen MITM-Attacken? Wie sicher sind jetzt diese alltägliche Verschlüsselungen mit IPSec, SSL/TLS und SSH? John Erickson beschreibt es in seinem Buch wie folgt. Absolut sichere Kryptosysteme sind heutzutage für den praktischen Einsatz viel zu unhandlich. Anstelle eines mathematisch bewiesenen sicheren Systems werden daher Kryptosysteme verwendet, die praktisch gesehen sicher sind. Das bedeutet, dass es durchaus möglich sein kann, die Verschlüsslung zu knacken, dass es bisher aber niemanden gelungen ist. ([Er09] S.429). Zu diesen praktisch sicheren Verschlüsselungen gehören die oben genannten Verschlüsselungstechniken. Diese könnten zwar theoretisch Entschlüsselt werden, praktisch ist es aber noch niemand gelungen, dies durchzuführen. Das Problem liegt hier auch nicht nur bei der Verschlüsselung sondern vielmehr bei der Authentifizierung. Bei einem MITM-Angriff spielt der Angreifer dem Opfer den Kommunikationspartner vor. Das Opfer denkt nun das der Angreifer der gewünschte Zielpartner ist und möchte natürlich, dass dieser Zielpartner die Nachricht auch entschlüsseln kann. Der Angreifer braucht nichts weiter zu tun, als mit seinem eigenen Schlüssel eine sichere Verbindung zum Opfer aufzubauen und schon kann er als authentifizierte Gegenstelle alle Daten lesen und manipulieren. Danach baut er auch zum richtigen Empfänger eine sichere Verbindung auf und übersendet diesem die manipulierten Daten. Aus diesem einfachen Grund bietet jede noch so gute Verschlüsselung keinen wirksamen Schutz gegen MITM Angriffe. Es gibt aber auch Verschlüsselungssysteme die sowohl theoretisch als auch praktisch nur vom rechtmäßigen Empfänger entschlüsselt werden können. Diese werden als unbedingt sicher ([Er09] S.430) betrachtet. Ein kryptografisches System wird als unbedingt sicher betrachtet, wenn es (selbst mit unendlichen Rechnerkapazitäten) nicht zu knacken ist. Damit ist eine Kryptanalyse unmöglich, und selbst durch das Ausprobieren aller möglichen Schlüssel kann nicht festgestellt werden, welcher Schlüssel der richtige ist. ([Er09] S.430) 10

11 Ein Beispiel für ist ein unbedingt sicheres Kryptosystem ist das One-Time-Pad. Ein One-Time-Pad ist ein sehr einfaches Kryptosystem, das mit Blöcken zufälliger Daten, sogenannten Pads, arbeitet. ([Er09] S.430). Es werden genau zwei identische Pads erzeugt, wobei diese mindestens die Länge des zu verschlüsselten Klartexts besitzen müssen. Ein Pad wird vom Sender für die Verschlüsselung genutzt, das andere vom Empfänger für die Entschlüsselung. Nachdem die Nachricht codiert ist, wird das Pad zerstört, um sicherzustellen, dass es nur einmal verwendet wird ([Er09] S ). Nun kann die verschlüsselte Nachricht nur vom Empfänger entschlüsselt werden. Obwohl es theoretisch unmöglich ist, das One-Time-Pad zu knacken, ist es in der Praxis nicht so einfach zu nutzen. Die Sicherheit des One-Time-Pads hängt von der Sicherheit des Pads ab. ([Er09] S.431). Das heißt die Sicherheit dieses System hängt davon ab wie das Pad ausgetauscht wird. Werden die Pads an Sender und Empfänger verteilt, wird davon ausgegangen, dass der Pad-Übertragungskanal sicher ist ([Er09] S.431). Ein persönlicher, direkter Austausch der Pads wäre die sicherste Variante, allerdings ist dies im Alltag nahezu unmöglich. Daher wird der bequemlichkeitshalber die Pad-Übertragung über einen weiteren Schlüssel durchgeführt (vgl. [Er09] S.431). Das Problem dabei ist, dass nun die ganze Übertragung von der Verschlüsselung des Pads abhängig ist. Daher lohnt sich meistens der Aufwand nicht solche Pads zu erzeugen, weil die Sicherheit letztendlich nicht höher ist, als wenn die Übertagung direkt Verschlüsselt wird. Da die Verschlüsselung alleine offensichtlich nicht ausreicht um Daten gegen einen MITM-Angriff zu schützen gibt es noch weitere Verfahren die eingesetzt werden können um die Angreifer abzuwehren. 5 Abwehrmechanismen 5.1 One time password Bei dem One time Password verfahren (OTP) darf jedes Passwort nur genau einmal verwendet werden (vgl. [Sc10] S.20). Dafür können Hardwaregeräte eingesetzt werden die beim Login einen Schlüssel erzeugen. Ebenso können Rubbelkarten, Zugangskarten oder einfach eine Liste mit Passwörter verwendet werden. Ein Hardwaregerät kann das Passwort auch alle Sekunden ändern (vgl. [BC06]). Diese One Time Password (OTP) -Verfahren werden z.b. beim Homebanking eingesetzt, wo für jeden Buchungsvorgang eine nur einmalig verwendbare Transaktionsnummer (TAN) eingegeben werden muss, oder z.b. auch beim Aufladen von Handys mit vorausbezahlten Karten. [BC06]. Bei Onlinebanking gab es früher diese sogenannten Tan-Listen die an die hundert TANs beinhalteten. Diese werden aktuell bei den meisten Banken auf Mobil-TAN oder Smart-Tan umgestellt. Für Smart Tan wird eine Hardware benötigt die aus optischen Signalen am Bildschirm eine Tan generiert. Bei Mobile-Tan kommt die Tan als SMS auf das Handy. 11

12 Wichtig hierbei ist, dass die OTP-Listen, Geräte oder Karten vom Partner und nicht vom Angreifer kommen. Schafft ein Angreifer selbst diese Informationen zu erzeugen oder die Vorhandenen Informationen zu kopieren, so wird das ganze OTP-Verfahren wirkungslos. Daher sollten diese Informationen über einen anderen Kommunikationskanal z.b. Post zugesendet, oder direkt beim Partner abgeholt werden. Laut TriCipher, Inc. kann aber auch diese Methode nicht wirkungsvoll gegen MITM- Attacken abwehren, da ein Angreifer sämtliche Eingaben entschlüsseln kann und somit auch das gerade eingegebene Passwort entziffern kann (vgl. [BC06] S.20). Allerdings wird der Aufwand deutlich größer wenn ein System alle 30 Sekunden das Passwort ändert. Zudem werden bei Mobile-Tan die Überweisungsdaten wie Betrag und Empfänger in der SMS mitgeteilt, sodass ein Benutzer diese nochmals kontrollieren kann ob das Geld auch wirklich an den richtigen Empfänger geht. 5.2 IP Standortbestimmung (IP Geolocation) Anhand einer IP-Adresse kann eine ungefähre geografische Zuordnung des Systems gemacht werden (vgl. [BC06] S.20). Diese Information kann ebenso als Absicherung dienen. Ist die Geografische Lage der Zieladresse weit von dem eigentlichen Kommunikationspartner entfernt, so kann davon ausgegangen werden das sich jemand in die Kommunikation eingeklinkt hat und diese abhört. Diese Abwehrtechnik sollte mit Vorsicht und nur als Zusatz eingesetzt werden, da sie nicht in jedem Fall schützt und leicht umgangen werden kann. Zuerst kann ein Angreifer sich zufällig auch in der Nähe des Zielsystem befinden, ebenso ist es heutzutage auch kein Problem mehr den Angreifer Proxy-Server zu einem lokalen Botnet-Computer zu routen, der sich dann in der Nähe des Zielsystems befindet (vgl. [BC06] S.20). Hinzu kommt das einem Benutzer der sich im Ausland aufhält, möglicherweise der Zugang verwehrt wird, weil er sich mit seinem Laptop in einem anderen Adressbereich findet. Daher wird durch diese Maßnahme auch die Benutzbarkeit eingeschränkt. 5.3 Eindeutiger Fingerabdruck (Device Fingerprint) In dieser Abwehrmethode steckt die Idee das bereits bekannte System von dem Angreifer aufgrund der im Browser verfügbaren Informationen, zu unterscheiden. Dazu erstellt die Gegenstelle einen sogenannten, digitalen Fingerabdruck des Systems wenn dieses sich verbindet (vgl. [BC06] S.20). Will nun der Angreifer mit der Gegenstelle kommunizieren, braucht er erst diesen entsprechenden Fingerabdruck. Doch auch diese Methode hat gewisse Schwachstellen. Die Browserinformationen werden unverändert vom Original-User übertragen und so kann der Angreifer leicht die gewünschten Informationen abfangen (vgl. [BC06] S.20). Ebenso ist ein Wechsel auf ein anderes Kundengerät nicht so einfach möglich, da dort die Informationen nicht vorhanden sind. 12

13 5.4 Bilder oder Text auf der Webseite Diese Methode versucht dem Benutzer, durch die Personalisierung der Webseite, eine Möglichkeit zu geben, diese eindeutig zu Identifizieren. Dies geschieht durch Signieren mit einem persönlichen Bild oder einer einzigartigen Textphrase die es nur einmal pro Benutzer gibt. Dieses Bild erscheint nun jedes Mal wenn dieser Benutzer sich einloggt. So können Benutzer sicher sein das es keine gefälschte Internetseite ist und sie gerade gefischt werden (vgl. [BC06] S.20). Kann der Angreifer über einen Lauschangriff die Anmeldedaten herausfinden und anschließend den Cookie zurücksetzen, so kennt auch er nun das geheime Bild oder den einzigartigen Text und kann diesen auch auf seiner Phishing-Seite implementieren (vgl. [BC06] S.20). Ein weiteres Problem ist bei dieser Methode, dass diese nur einen Schutz gegen Phishing-Seiten liefert. Hört der Angreifer aber nur die Kommunikation ab und leitet die Informationen zu und von der Originalseite weiter, so wird auch dieses personalisierte Bilder oder Text angezeigt, weil es sich um die originale Seite handelt. Der Angreifer kann die Daten trotzdem manipulieren und sich daraus einen Vorteil verschaffen. 5.5 Virtuelle Tastatur (Virtual Keyboard) Ein weiterer Versuch unautorisierten Zugriff zu verhindern ist die Eingabe des Passwortes über eine virtuelle Tastatur die auf dem Bildschirm eingegeben wird. Der Benutzer verwendet also eine Grafische Schnittstelle anstatt seiner Tastatur und glaubt dadurch vor Angriffen sicher zu sein. Das Problem dabei ist, dass der Angreifer zwischen den beiden Kommunikationspartnern sitzt und den Datenverkehr abhören kann. Das Passwort wird nach der Eingabe durch die Web-basierte virtuelle Tastatur gestohlen (vgl. [BC06] S.20). 5.6 Out of Band Authentication Bei der Out of Band Authentication wird die Authentifizierung über einen zweiten unabhängigen Kanal abgewickelt. Zum Beispiel wird bei einer Onlineüberweisung oft der letzte Schritt durch Mobile-Tan bestätigt, bei der die Tan als SMS auf das Handy geschickt wird. Kontrolliert der Angreifer nur einen Weg, so kann er die SMS, die an das Handy geschickt wird, nicht abfangen. Bei anderen Anwendungen kommen auch Post, und viele andere Wege als Authentifizierung zum Einsatz. 13

14 Das Problem ist, dass der Benutzer die empfangene Tan dann in das System eingibt und dort kann es vom Angreifer abgefangen werden. Der Angreifer lässt die Tan passieren ändert aber mit einem Skript die Transaktion, die mit der Tan freigegeben wurde, ohne das der Benutzer dieses merkt (vgl. [BC06] S.20). Immerhin ist das ändern per Skript nach der Eingabe der Tan in diesem Fall nicht so einfach, da diese aus denen vom Benutzer eingegebenen Daten wie Kontonummer, Betrag, etc. errechnet wird. Ändert nun der Angreifer die Transaktion vor der Bestätigung, so könnte er die Tan vom Kunden direkt verwenden. Allerdings würde der Kunde in der SMS sehen, dass die Überweisung manipuliert wurde und den Vorgang abbrechen. Übersieht dies der Kunde, wie es leider häufig der Fall ist, kann der Angreifer mit dem Tan die gewünschte Transaktion durchführen. 5.7 Knowledge-Based Authentication Das ist der Versuch den Benutzer, durch Beantwortung von mehreren persönlichen Fragen, zu identifizieren (vgl. [BC06] S.20). Diese Methode ist gegen einen MITM- Angriff eher ungeeignet, da der Angreifer die Fragen einfach an den User weitergibt und die Antworten, nachdem sie gestohlen sind, an den Server weiterleitet (vgl. [BC08] S.20). 6 Sicherheit gegen MITM-Angriffe? In den letzten Kapiteln wurde nun ausführlich über die Angriffsformen und die Abwehrmechanismen geschrieben. Nun bleibt dennoch die Frage ob man MITM- Attacken mit einem System unterbinden kann. Diese Frage kann theoretisch mit Ja beantwortet werden. Das One-Time-Pad ist in der Lage die Daten sicher vor einem Angreifer zu schützen, allerdings gibt es bei der Umsetzung Probleme, weil die Schlüssel getauscht werden müssen. Daher ist praktisch gesehen kein Mittel Vorhanden um einen MITM-Angriff komplett auszuschließen. Die Frage hierbei ist natürlich auch, wie sicher ein System sein muss. Es gibt genügend Abwehrmechanismen mit denen der Aufwand eines MITM-Angriffs so gesteigert werden kann, dass dieser kaum durchzuführen oder extrem Aufwendig ist. Dauert es zu lang einen Angriff durchzuführen oder ist der Aufwand zu hoch, wird der Angreifer sich eher ein neues, schlechter geschütztes System aussuchen. Leider kann sich der einzelne, egal ob Anbieter, Vermittler oder Kunde, alleine kaum dagegen schützen. Zuerst müssen die Benutzer ihrerseits ein Teil dazu beitragen. Oft werden Sicherheitshinweise ignoriert, sensible Daten ohne nachzudenken auf Webseiten eingetragen oder der eigene PC nicht richtig abgesichert. Ein aufmerksamer Benutzer hat daher viel mehr Chancen Attacken zu erkennen oder gar nicht erst solchen Angegriffen ausgesetzt zu werden. 14

15 Ebenso müssen die Betreiber der Vermittlungsserver wie DHCP oder DNS ihre Systeme wirkungsvoll absichern. Dazu gehört nicht nur das schützen gegen unautorisierten Zugriff, sondern auch das Updaten der Server. Manche Anbieter halten ihre Systeme nicht auf dem neuesten Stand, um Fehler zu vermeiden. Da das Internet aber dezentralisiert ist, reicht teilweise schon die Schwachstelle bei nur einem Server aus, um sich in das Netzt zu begeben. Aber auch die Anbieter müssen ihrer Pflicht nachkommen und ihre Dienste und Anwendungen gegen diese Angriffe schützen. Diese haben aber leider das zusätzliche Problem, dass bei vielen Sicherheitsmechanismen die Benutzbarkeit darunter leidet. Umso mehr Passwörter, Geräte und Sicherheitszertifikate beachtet werden müssen, desto weniger werden diese Systeme von den Benutzern akzeptiert. Daher müssen Anbieter, die sich gegen MITM-Angriffe schützen wollen, auf eine Gradwanderung zwischen Benutzbarkeit, Sicherheit, Kosten und Aufwand begeben. Ist das System weitestgehend sicher, so ist es teuer, aufwendig und leider wenig benutzerfreundlich. Nur wenn alle beteiligten sich der Gefahr bewusst sind und ihre Systeme entsprechend absichern, können Angriffe weitestgehend unterbunden werden. 7 Fazit Die Sicherheitssysteme sind entweder sicher, dann aber im Alltag unbrauchbar. Oder sie sind nur zum Teil sicher, werden eingesetzt und akzeptiert, aber vom User als komplett sicher angesehen. Den Anbietern bleibt also weiterhin nicht viel übrig als die Benutzbarkeit gegen die Sicherheit abzuwägen und ihre Server gegen einen direkten Angriff zu schützen. Auch die Vermittlungsserver haben zwar ihre Pflichten, aber da es Millionen von Netzknoten im Internet gibt, werden sich darunter auch immer wieder schwarze Schafe befinden, die entweder direkt vom Angreifer kontrolliert oder aber leicht gehackt werden können. Meiner Meinung nach, steht daher der Benutzer im Mittelpunkt. Es sind seine persönliche Daten und deshalb sollte sich der auch dieser Gedanken machen, wo er diese eingibt. Ist dieser Aufmerksam und entsprechend Vorsichtig können viele Angriffe nicht durchgeführt werden oder werden rechtzeitig bemerkt. Da aber viele Benutzer leichtsinnig mit ihren vertraulichen Daten umgehen und sich auch nicht so gut mit den Computersystemen auskennen, wird es weiterhin diese Angriffe geben. 15

16 Literaturverzeichnis [SPS11] Stephan Spitz, Michael Pramateftakis, Joachim Swoboda: Kryptographie und IT- Sicherheit Grundlagen und Anwendungen; 2. Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2011; ISBN [CMT10] Tim Chenoweth, Robert Minch, Sharon Tabor; Wireless Insecurity: Examing User Security Behavior on Public Networks; Communications of the ACM; Februar 2010; Vol. 53; No 2; Seite [STH10] Lambert M. Surhone, Mariam T. Tennoe, Susan F. Henssow: Man-in-the-middle Attack Browser Exploit, Clickjacking, Cookie Stuffing ; 1. Auflage; VDM Publishing House Ltd.; Mauritius; 2010; ISBN [Sc10] Jörg Schwenk: Sicherheit und Kryptographie im Internet Von sicherer bis zu IP-Verschlüsselung; 3.Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2010; ISBN [Er09] Jon Erickson: Hacking Die Kunst des Exploits; 2. Auflage; dpunkt.verlag GmbH; Heidelberg, 2009; ISBN [Ec08] Claudia Eckert: IT-Sicherheit Konzepte-Verfahren-Protokolle; 5.Auflage; Oldenburg Wissenschaftsverlag GmbH; München; 2008; ISBN [Vo07] Chris Voice; Man-in-the-Middle Attacks: Helping to eliminate the threat without impacting the business; ABA Banking Journal; Februar 2007; Vol. 99; Seite 67 [BC06] Man-In-The-Middle Phishing Attack Successful Against Citibank's Two-Factor Token Authentication. Business Credit; Oktober 2006; Vol. 108(9); Seite [Lo04] Andrew Lockhart: Netzwerk-Sicherheit Hacks 100 Insider-Tricks Tools; 1. Auflage; O Reilly Verlag; Köln; 2004; ISBN [Wä04] Dietmar Wätjen: Kryptographie Grundlagen, Algorithmen, Protokolle; 1. Auflage; Spektrum Akademischer Verlag GmbH Heidelberg; Berlin; 2004; ISBN [RFC2535] D. Eastlake; RFC 2535; IBM; März 1999; 16

Seminar: Sicheres Online Banking Teil 1

Seminar: Sicheres Online Banking Teil 1 Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Seminar: Sicheres Online Banking Teil 1 WS 2008/2009 Hung Truong manhhung@mytum.de Betreuer: Heiko Niedermayer

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Verschlüsselung eines drahtlosen Netzwerkes

Verschlüsselung eines drahtlosen Netzwerkes Verschlüsselung eines drahtlosen Netzwerkes Die größte Sicherheitsgefahr eines drahtlosen Netzwerkes besteht darin, dass jeder, der sich innerhalb der Funkreichweite des Routers aufhält einen Zugriff auf

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

SSL Sicherheit. Hinweise zur Sicherheit der SSLverschlüsselten. 2014-04-04 Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch.

SSL Sicherheit. Hinweise zur Sicherheit der SSLverschlüsselten. 2014-04-04 Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch. SSL Sicherheit Hinweise zur Sicherheit der SSLverschlüsselten Datenübermittlung Meier Informatik Rainer Meier Mühlistr. 4 6288 Schongau skybeam@skybeam.ch by Rainer Meier Sicherheitshinweise Seite 2 1.

Mehr

Exkurs Kryptographie

Exkurs Kryptographie Exkurs Kryptographie Am Anfang Konventionelle Krytographie Julius Cäsar mißtraute seinen Boten Ersetzen der Buchstaben einer Nachricht durch den dritten folgenden im Alphabet z. B. ABCDEFGHIJKLMNOPQRSTUVWXYZ

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner 2014 1 / 27

W-LAN - Sicherheit. Cornelia Mayer Andreas Pollhammer Stefan Schwarz. 31. Jänner 2014 1 / 27 Cornelia Mayer Andreas Pollhammer Stefan Schwarz 31. Jänner 2014 1 / 27 Gliederung 1 W-LAN - Sicherheit Angriffe in Hotspots WEP WPA/WPA2 2 / 27 Angriffe in Hotspots Angriffe in Hotspots Angriffsarten:

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

News: Aktuelles aus Politik, Wirtschaft und Recht

News: Aktuelles aus Politik, Wirtschaft und Recht News: Aktuelles aus Politik, Wirtschaft und Recht Januar/2013 Internet-Sicherheitsexperten führten auf drei Testpersonen einen gezielten Angriff durch. Das beunruhigende Fazit des Tests im Auftrag von

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Vortrag Keysigning Party

Vortrag Keysigning Party Vortrag Keysigning Party Benjamin Bratkus Fingerprint: 3F67 365D EA64 7774 EA09 245B 53E8 534B 0BEA 0A13 (Certifcation Key) Fingerprint: A7C3 5294 E25B B860 DD3A B65A DE85 E555 101F 5FB6 (Working Key)

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Technical Note 30 Endian4eWON einrichten für VPN Verbindung Technical Note 30 Endian4eWON einrichten für VPN Verbindung TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 1 von 21 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES.

IZ SICHERHEIT. Sicherheitsforum Online-Banking. Matthias Stoffel. Dietzenbach, 28. April 2015 INFORMATIK ZENTRALE SERVICES. SICHERHEIT INFORMATIK ZENTRALE SERVICES Sicherheitsforum Online-Banking Matthias Stoffel Dietzenbach, 28. April 2015 Finanzgruppe S GmbH 2015 SICHERHEIT INFORMATIK ZENTRALE SERVICES 1. Sicherheitsmerkmale

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

E-Mails versenden aber sicher! Secure E-Mail

E-Mails versenden aber sicher! Secure E-Mail E-Mails versenden aber sicher! Secure E-Mail Leitfaden S Kreisparkasse Verden 1 Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

Auerswald GmbH & Co. KG 2013

Auerswald GmbH & Co. KG 2013 Angriffsflächen bei Voice over IP (VoIP) im Unternehmen Lauschen und Kapern Was ist schützenswert? Mögliche Angriffsszenarien, Motivation des Bösewichts"? Wie kann man sich schützen? 3 Im System gespeicherte

Mehr

2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot

2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot 2010 PROVISIO GmbH - http://www.provisio.com/ MyPublicHotSpot Wofür steht MyPublicHotSpot? Mit der Software MyPublicHotSpot können Sie Kunden gegen Entgelt oder aber auch unentgeltlich die sichere Nutzung

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen

Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Content-Verwertungsmodelle und ihre Umsetzung in mobilen Systemen Digital Rights Management 4FriendsOnly.com Internet Technologies AG Vorlesung im Sommersemester an der Technischen Universität Ilmenau

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

E-Mails versenden aber sicher!

E-Mails versenden aber sicher! E-Mails versenden aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Vorwort Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Neben den großen Vorteilen, welche uns diese Medien bieten, bergen Sie aber auch zunehmend Gefahren. Vorgetäuschte E-Mail-Identitäten,

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014 Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Netzwerk Linux-Kurs der Unix-AG

Netzwerk Linux-Kurs der Unix-AG Netzwerk Linux-Kurs der Unix-AG Benjamin Eberle 5. Februar 2015 Netzwerke mehrere miteinander verbundene Geräte (z. B. Computer) bilden ein Netzwerk Verbindung üblicherweise über einen Switch (Ethernet)

Mehr

Abruf und Versand von Mails mit Verschlüsselung

Abruf und Versand von Mails mit Verschlüsselung Bedienungstip: Verschlüsselung Seite 1 Abruf und Versand von Mails mit Verschlüsselung Die folgende Beschreibung erklärt, wie man mit den üblichen Mailprogrammen die E- Mailabfrage und den E-Mail-Versand

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

Wirelss LAN, alle wissen, dass es nicht sicher ist, alle wollen es, was nun?

Wirelss LAN, alle wissen, dass es nicht sicher ist, alle wollen es, was nun? Wirelss LAN, alle wissen, dass es nicht sicher ist, alle wollen es, was nun? Dipl.-Math. Wilfried Gericke IT-Verantwortlicher Wireless LAN, alle wissen, dass es nicht sicher ist, alle wollen es, was nun?

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck W-LAN einrichten Access Point Konfiguration Diese Anleitung gilt für den Linksys WAP54G. Übersicht W-LAN einrichten... 1 Access Point Konfiguration... 1 Übersicht... 1 Vorbereitung... 1 Verbindung aufnehmen...

Mehr

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2 WLAN an der TUC eduroam mit Windows 7 (Education Roaming, http://www.eduroam.org ) ist eine internationale RADIUS basierte Infrastruktur, die 802.1X Sicherheitstechnologie für das Roaming von Nutzer zwischen

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage. RAM empfohlen. RAM maximal 1. HANDLUNGSSCHRITT Aufgabe 13 Betriebssystem Prozessortakt RAM empfohlen RAM maximal Installationsgröße SMP Anzahl Prozessoren Windows 7 Ultimate 2008 Web 2008 Standard 2008 Enterprise 2008 Datacenter

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Das Netzwerk einrichten

Das Netzwerk einrichten Das Netzwerk einrichten Für viele Dienste auf dem ipad wird eine Internet-Verbindung benötigt. Um diese nutzen zu können, müssen Sie je nach Modell des ipads die Verbindung über ein lokales Wi-Fi-Netzwerk

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch 26. November 2012 Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch Big-Data-Analyse erkennt Angriffe verursacht durch mehr als 30 Millionen Schadprogramme

Mehr

Fragen und Antworten zu Secure E-Mail

Fragen und Antworten zu Secure E-Mail Fragen und Antworten zu Secure E-Mail Inhalt Secure E-Mail Sinn und Zweck Was ist Secure E-Mail? Warum führt die Suva Secure E-Mail ein? Welche E-Mails sollten verschlüsselt gesendet werden? Wie grenzt

Mehr

Kundeninformationen zu Secure-E-Mail

Kundeninformationen zu Secure-E-Mail Kreissparkasse Saalfeld-Rudolstadt Kundeninformationen zu Secure-E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste

Mehr

Kundeninformation zu Secure Email. Secure Email Notwendigkeit?

Kundeninformation zu Secure Email. Secure Email Notwendigkeit? Kundeninformation zu Secure Email Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Sucuri Websiteschutz von

Sucuri Websiteschutz von Sucuri Websiteschutz von HostPapa Beugen Sie Malware, schwarzen Listen, falscher SEO und anderen Bedrohungen Ihrer Website vor. HostPapa, Inc. 1 888 959 PAPA [7272] +1 905 315 3455 www.hostpapa.com Malware

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr