Man-in-the-middle: Angriff und Abwehr

Größe: px
Ab Seite anzeigen:

Download "Man-in-the-middle: Angriff und Abwehr"

Transkript

1 Man-in-the-middle: Angriff und Abwehr Felix Knapp Mat.Nr.: Seminar Auswahl Themen der Informatik Prof. Dr. Frank Dopatka Medien- und Kommunikationsinformatik Hochschule Reutlingen Lindengasse Wendlingen am Neckar Abstract: In der heutigen Welt sind Computer und ihre weltweite Vernetzung nicht mehr wegzudenken. Tag täglich werden Millionen von Daten über Computernetzwerke übertragen. Hierbei sind besonders die Aspekte der Sicherheit wichtig, welche Datenmanipulation und Datendiebstahl ausschließen sollten. In dieser Arbeit wird die spezielle Angriffsform man-in-the-middle dargestellt und verschiedene Angriff- und Abwehrmethoden diskutiert sowie gegenübergestellt. Am Ende soll die zentrale Frage beantwortet werden, ob ein man-in-the-middle- Angriff sicher abgewehrt werden kann.

2 1 Einleitung In dieser wissenschaftlichen Arbeit, geht es um die Angriffsform man in the middle abgekürzt MITM - um Daten, bei der Übertragung von A nach B, abzufangen oder zu manipulieren. Welche Angriffe und Abwehrmethoden gibt es und kann man sich wirkungsvoll vor MITM-Attacken schützen? Bei MITM Attacken auch bucket-bridge attack oder Janus attack (vgl. [STH10]) genannt, handelt es sich um eine Angriffsart bei der sich der Angreifer zwischen zwei kommunizierende Systeme schaltet und vorgibt jeweils das Zielsystem zu sein. Diese Angriffsart gibt es seit der Einführung der vernetzten Computer. Früher hatte sie allerdings nur eine geringe Bedeutung, weil ein Angreifer sich physikalisch zwischen die beiden Zielsysteme bringen musste. Er musste also die Kabelverbindung zwischen den beiden Teilnehmern unterbrechen und sich an dieser Stelle einklinken. Heute, im Zeitalter des Internet und W-Lan ist diese Angriffsform viel präsenter geworden. Meistens gibt es mehrere Wege zum Zielsystem und der Weg wird durch Wegweiser, sogenannte Protokolle, gefunden. Im Prinzip müssen hierbei nur die Wegweiser umgestellt werden, sodass die Informationen über den Angriffsrechner laufen und schon können die Daten gelesen oder manipuliert werden. Laut Chris Voice dem Chief Technology Officer von Entrust sind man-in-the-middle Attacken der Kryptographischen Gemeinschaft schon länger bekannt und gelten bei Sicherheitsexperten als potentielle Bedrohung für Web-Basierte Transaktionen (vgl. [Vo07]). Im Sommer 2006 wurde diese Angriffsart sehr viel stärker als Bedrohung wahrgenommen, als Kunden eines großen Finanzunternehmens zum Ziel von MITM Angriffen wurden (vgl. [Vo07]). Der Artikel beschreibt das 2004 die erste MITM Phishing 1.0 Welle ahnungslose Kunden austrickste und diese auf gefälschte Bankseiten geleitetet wurden (vgl. [BC06]), um dort sensible Daten einzugeben. Auch dieser Artikel berichtet von einem Großangriff auf ein Finanzunternehmen im Jahre 2006, wobei hier die Angriffsmethode mit MITM Phishing 2.0 [BC06] betitelt wurde. Der bedeutende Unterschied zwischen diesen beiden Methoden ist, dass bei MITM Phishing 2.0 auf keine gefälschte Seite verlinkt wird, sondern das Opfer wird über den Angreifer-PC auf die Originalseite umgeleitet (vgl. [BC06]). 2

3 2 Was ist ein MITM Angriff? Bei einem Man-in-the-middle-Angriff sitzt der Angreifer zwischen zwei kommunizierenden Parteien, und beide Parteien glauben, mit der jeweils anderen Partei einen Dialog zu führen, während sie in Wirklichkeit mit dem Angreifer kommunizieren. Will nun System A eine verschlüsselte Verbindung zu System B aufbauen, wird Tatsächlich eine Verbindung von System A zum Angreifer C aufgebaut und von Angreifer C zu System B. Der Angreifer kann mit Hilfe der öffentlichen Schlüssel die Leitung zu A und B mit seiner eigenen Verschlüsselung codieren und so den gesamten Datenverkehr zwischen A und B abhören oder manipulieren (vgl. [Er09] S.443). Es gibt mehrere Techniken um solche Angriffe durchzuführen. Angriffe über DHCP, DNS, ARP, Proxy und Man-in-the Browser laufen weitestgehend ohne menschliches Zutun ab. Dazu kommen sogenannte Human Assisted Angriffe bei denen der Angreifer in Echtzeit vor dem System sitzt und bestimmte Manipulationen ausführt. Diese Human Assisted Angriffe werden hauptsächlich in Länder mit Billig- Arbeitskräften ausgelagert. Wo werden MITM-Angriffe angewendet? Mit MITM-Angriffe wird nicht versucht sich zu einem PC Zugang zu verschaffen, sondern es wird die Kommunikation zwischen zwei oder mehreren Systemen abgehört bzw. manipuliert. Ziel ist die Informationsgewinnung über militärische oder terroristische Vorhaben, Ermittlung von sensiblen Kundendaten, sowie Zugriffsdaten für Onlinesysteme wie Mail Accounts, Onlinebanking, Onlineshopping und andere Daten die dem Angreifer nützen könnten. Vor allem im Online Banking Bereich wird dieser Angriff zunehmend häufiger. Immer mehr Kunden sparen sich den Weg zu ihrer Bankfiliale und überweisen das Geld bequem, über Online-Banking, von zu Hause. Ein MITM-Angreifer kann sich zwischen Kunde und Bank schalten und die Daten so verändern, dass er die Überweisung beliebig manipulieren kann. Meistens wird dann ein höherer Betrag auf ein Auslandskonto überwiesen, ohne dass der Kunde etwas davon merkt. Im folgenden Kapitel wird nun erklärt mit welchen Angriffstechniken sich eine dritte Person zwischen zwei Systeme hacken kann. 3

4 3 Angriffsmethoden In diesem Kapitel werden die meisten MITM-Angriffsmethoden beschrieben. Sie können auch in Kombination vorkommen um dem Angreifer noch mehr Möglichkeiten zu bieten. 3.1 DHCP basierende Angriffe Das Dynamik Host Configuration Protokoll (DHCP) ist ein Dienst, um in einem Netzwerk IP Adressen zu vergeben und diese zu verwalten. Dafür gibt es in jedem Netz einen DHCP-Server, der entscheidet welcher Client welche IP-Adresse bekommt. So werden doppelte Adressen vermieden und Adressen gespart, da in großen Netzen selten alle Clients auf einmal im Netzwerk sind. Beim Aufbau der Netzwerkverbindung fragt der DHCP-Client des Rechners in einer Broadcastnachricht nach einer eindeutigen IP-Adresse (vgl. [Ec08] S. 101). Alle DHCP- Server, die diese Nachrichten empfangen, antworten mit einem IP-Adressen-Angebot (vgl. [Ec08] S. 101). Der Client nimmt das erste Angebot das er empfängt und fordert über eine Request Nachricht diese IP-Adresse vom Anbieter an (vgl. [Ec08] S. 101). Genau in dieser ersten Antwort liegt die Schwachstelle für den Angreifer. Ist das ersteintreffende Angebot das, welches der Angreifer schickt, so kann der Angreifer dem Client eine beliebige Adresse zukommen lassen. Ebenso kann dieser einen beliebigen Standartgateway beim Client eintragen und somit laufen alle Anfragen des Netzes, über die eventuell falsche Standartgateway-Adresse. Somit kann der Angreifer sämtlichen Datenverkehr abhören und gegebenenfalls modifizieren. Ebenso kann auch eine falsche DNS-Server-Adresse an den User übermittelt werden, die auf einen Server verweist, den der Angreifer unter Kontrolle gebracht oder selbst aufgesetzt hat. Dadurch kann das Zielsystem auf jegliche Seite umgeleitet werden, selbst wenn die richtige Adresse eingegeben wurde. Da heutzutage das DHCP-Protokoll oft eingesetzt wird, kann der User sich nur sehr schlecht dagegen schützen. Zum Beispiel sollten öffentliche, unsichere und unbekannte Netze vermieden oder mit großer Sorgfalt verwendet werden. Sicherheitskritische Anwendungen wie Onlinebanking, Internetshopping, etc. sollten nur in einem bekannten und sicheren Netz benutzt werden. Die Gefahr, dass sich in einem öffentlichen Netz mit unübersichtlicher Architektur ein Angreifer versteckt, ist wesentlich höher als im privaten Heimnetzbereich. 3.2 DNS basierende Angriffe Der Domain Name Service (DNS) ist ein Dienst, der eine menschenlesbare Adresse in eine vom Computer interpretierbare IP auflöst. Dafür gibt es eine Zuweisungstabelle im DNS-Server. Jede Adresse bekommt genau eine IP-Adresse zugewiesen. Große Tabellen benötigen viel Zeit um durchsucht zu werden, daher kann ein DNS-Server nicht alle Adressen kennen. Wenn die angefragte Adresse nicht in der Tabelle vorhanden ist, wird die Anfrage an den nächst höheren DNS Server weitergeleitet. 4

5 Um diese Anfragen schnell bewältigen zu können, werden DNS-Server Caches verwendet (vgl. [Ec08] S.120). Ältere Versionen der DNS-Software akzeptieren auch Daten, die gar nicht von ihnen angefordert wurden, und tragen diese in ihren Cache ein. Auf diesem Weg ist es einem Angreifer möglich, einem DNS Server einen falschen Namen unterzuschieben ([Ec08] S.120). Es können aber auch mehrere Einträge oder ganze Top-Level-Domains manipuliert werden. Ebenso kann eine Umleitung auf einen eigenen DNS-Server eingerichtet werden, auf dem der Angreifer dann die völlige Kontrolle besitzt. Wenn nun der Benutzer eine Seite aufruft, werden die manipulierten Einträge als Antwort zurückgegeben und der Benutzer baut eine Verbindung auf, die auf eine manipulierte Webseite führen kann. Das Ziel hierbei ist der Gewinn sensibler Daten wie Kundendaten und Passwörter (vgl. [Ec08] S.121) die dann später weiterverwendet werden können. Um solch einem Angriff Abhilfe zu verschaffen, könnten zusätzliche Authentifizierungsmechanismen wie zum Beispiel signierte Antwortnachrichten eingesetzt werden (vgl. [Ec08] S.122). Ferner könnten die Server Informationen über die von ihnen gesendeten Anfragen speichern, d.h. Zustandsinformationen führen, um bei ankommenden Antworten zu prüfen, ob es sich nun um genau die Antwort auf eine aktuell gestellte Anfrage handelt ([Ec08] S.122). An derartigen Sicherheits- Erweiterungen wird bereits seit 1999 (vgl. [RFC2535]) unter dem Namen DNSSec (Domain Name System Security) gearbeitet ([Ec08] S.122). Mittlerweile ist der RFC 2535 durch eine Reihe weiterer RFCs aktualisiert und ersetzt worden (vgl. [Ec08] S.122). Zu den vorgeschlagenen Sicherheitsdiensten gehört die Verwendung digitaler Signaturen, die sichere Verwaltung authentifizierter öffentlicher Schlüssel, die Speicherung von Diffie-Hellmann Schlüssel im DNS System oder auch Authentifizierungs- und Integritäts-Protokolle auf der Basis von vorab zwischen DNS- Server und Client ausgetauschten geheimen Schlüsseln und unter Verwendung kryptografischer Hashfunktionen (vgl. [Ec08] S.122). Der Benutzer kann sich gegen diesen Angriff also kaum selber schützen, da der Angriff in der Infrastruktur des Internets stattfindet. Hier müssen die Betreiber der DNS-Server in die Pflicht genommen werden. Diese sollten ihre Server richtig schützen und auf dem neusten Stand halten. Leider passiert dies viel zu selten, wie im Buch der IT-Sicherheit beschrieben wird: Die Sicherheits-Erweiterungen von DNS haben aber noch nicht die Verbreitung gefunden, wie es wünschenswert wäre ([Ec08] S.122). 3.3 ARP Cache Vergiftung Jede netzwerkfähige Hardware besitzt eine sogenannte MAC-Adresse die vom Hersteller vorgegeben ist. Diese Adresse gibt es nur ein einziges Mal, wie bei einer Postanschrift. Dies ermöglicht einen gezielten Datenaustausch zwischen zwei Geräten. Das Address Resolution Protocol (ARP) speichert in einer Tabelle zu einer IP-Adresse die MAC-Adresse der Netzwerkhardware und kann somit eine IP Adresse in eine eindeutige Hardwareadresse auflösen. Anschließend können die Daten dann an die entsprechende Hardware weitergeleitet werden. 5

6 Diese Angriffsart wird auf der Layer 2 Schicht durchgeführt. Für den Angreifer befinden sich hier zwei interessante Details. Erstens überschreibt das empfangene System die alten Daten (wenn der ARP-Cache nicht explizit als permanent gekennzeichnet ist), wenn ein ARP-Reply mit einer IP-Adresse ankommt, die bereits im ARP-Cache existiert. Zweitens werden keine Zustandsinformationen über den ARP-Traffic festgehalten, weil das zusätzlichen Speicher verlangen würde und ein einfach zu haltendes Protokoll weiter verkomplizieren würde. Das bedeutet, dass Systeme einen ARP-Reply auch dann zu akzeptieren, wenn sie gar keinen Request gesendet haben ([Er09] S 262). Als ARP-Cache Vergiftung wird nun der Vorgang bezeichnet, bei dem der Angreifer über gefälschte ARP-Replies versendet und damit die Zuordnungstabelle so modifiziert, dass System A zur IP-Adresse von B, die MAC-Adresse des Angreifers zuordnet. Dieser Angriff muss natürlich auch auf System B gemacht werden um die Kommunikation zwischen beiden Systemen zu kontrollieren. Weil A und B ihre Ethernet-Header auf den entsprechenden ARP-Caches aufbauen, wird As IP-Traffic (der eigentlich für B bestimmt ist) in Wirklichkeit an die MAC-Adresse des Angreifers gesendet und umgekehrt. Der Switch filtert den Traffic nur anhand der MAC-Adresse aus, sodass er so funktioniert, wie er soll. Dabei sendet er As und Bs Traffic an die MAC-Adresse und den Port des Angreifers ([Er09] S ). Der Angreifer kann nun die Daten lesen manipulieren und mit dem richtigen Header versehen, an den Switch zurücksenden. Um den Angriff aufrecht zu erhalten müssen die gefälschten ARP-Replys in regelmäßigen Intervallen an A und B gesendet werden beispielsweise alle 10 Sekunden (vgl. [Er09]S.263) sonst werden aufgrund des Timeouts die gefälschten Einträge von den realen wieder überschrieben. ARP Redirection ist besonders interessant, wenn eine der angegriffenen Maschinen ein Standard-Gateway ist, da zwischen diesem Standard-Gateway und einem anderen System der Internet-Traffic des Systems stattfindet (vgl. [Er09] S.263). So kann der Angreifer den kompletten Internetzugriff auf jede Seite protokollieren, manipulieren und/oder speichern. Bei diesem Angriff zählt für den User das gleiche Prinzip wie beim Abwehren von DHCP Attacken. Generell unsichere und öffentliche Netze vermeiden. Falls dies nicht möglich ist, entsprechende Sorgfalt walten lassen, da solch eine ARP-Attacke in der Regel nicht bemerkt wird. 3.4 Vorspielen eines WLAN Access Points Immer mehr Leute verbinden sich über WLAN ins Internet. Egal ob zu Hause oder über öffentliche Hotspots. Dabei ist gerade diese WLAN Verbindung oft nicht richtig gesichert, wie aus einer Umfrage von 2010 aus der Communications oft he ACM hervorgeht. Hier heißt es, dass 60% aller WLANs keine Verschlüsselung verwenden und selbst wenn, ist es zu 75% die veraltete WEB-Verschlüsselung, die gut dokumentierte Defizite aufweist (vgl. [CMT10] S.134). Dies ist oft auf die offene Grundeinstellung eines Access Points zurückzuführen, die viele Administratoren einfach übernehmen (vgl. [Ec08] S.821). 6

7 Wenn der Angreifer sich nun zu einem Netzwerk verbindet, hat er die Möglichkeit als zusätzlicher Access Point zu fungieren. Dabei verwendet er eine gefälschte ID und verspricht bessere Signalqualität. Da mobile Endgeräte meist auf das stärkste Signal reagieren und zu dem sendenden Access Point eine Verbindung aufzubauen versuchen, ist es einfach, einen gefälschten AP zu installieren. Ein solcher Access Point besitzt die vollständige Kontrolle über die Kommunikationsverbindungen und es ist ihm ein leichtes, Daten abzuhören, Daten einzuschleusen, zu modifizieren oder auch DNSbasierte Angriffe durchzuführen ([Ec08] S.824). 3.5 Man-in-the-Browser Der Internetbrowser ist bekanntlich die Schnittstelle zwischen PC und Internet. Mittels Browsers können WWW-Objekte von einem Server abgerufen, aber auch interaktive Benutzereingaben an den Server weitergeleitet werden ([Ec08] S.130). Der hier wichtigste Aspekt für den Angriff wird so beschrieben. Aufgrund der Zustandslosigkeit des http-protokolls muss bei jedem Zugriff auf ein WWW-Objekt eine TCP-Verbindung zwischen Client und Server aufgebaut werden [Ec08] S.130). Bei einem Man-in-the-Browser-Angriff wird der Browser selber so manipuliert, dass die Informationen anstatt dem richtigen Server, einfach an den Angreifer übermittelt werden. Dies geschieht noch bevor irgendeine Verschlüsselung den Inhalt schützen könnte. Allerdings setzt diese Angriffsart voraus, dass der Angreifer sich vorher schon Zugriff auf das System verschafft hat, um den Browser entsprechend zu manipulieren. Um diesem Angriff vorzubeugen, muss ein Benutzer, sein System von Anfang an gegen Angriffe von außen schützen. Hat der Angreifer es geschafft den Browser zu infizieren, wird die korrupte Verbindung als gewünscht angesehen und demnach von keinem Sicherheitssystem verhindert. 3.6 Human Assisted Angriffe Bei solch einem Angriff wird eine der vorherigen Angriffsmethoden genannten Techniken zugrunde gelegt und erweitert. Sobald sich das Opfer zum Beispiel auf einer Bankseite einloggt, wird ein Signal an den Angreifer gesendet. Dieser kann sich nun den Cookie mit der Session ID holen und den Zugang des Kunden unterbrechen. So führt der Angreifer die alte Session weiter und der Kunde bekommt eine neue. Der Angreifer kann jetzt über verschiedene Tricks mehrere Tans vom Kunden als Eingabe verlangen und diese anschließend selbst benutzen, um das Konto leerzuräumen. Natürlich kann diese Angriffsart auch bei sämtlichen anderen Online Anwendungen durchgeführt werden. Der Benutzer merkt dies meistens erst, wenn es zu spät ist. Als Abwehrstrategie muss der User hier die Voraussetzungen bekämpfen, da dieser Angriff den Man-in-the-middle-Angriff voraussetzt. Ebenso sollte der User bei der Eingabe von sensiblen Daten sich immer vergewissern, dass er auf der richtigen Seite ist und über den Sinn der Eingabe nachdenken. Zum Beispiel wird keine Bank die Eingabe von mehreren Tans verlangen. Im Zweifelsfall sollte der entsprechende Anbieter Kontaktiert werden. 7

8 4 Verschlüsselung als Schutz gegen MITM Attacken? 4.1 Was ist Verschlüsselung? Verschlüsselung ist die Kodierung einer Nachricht, sodass diese für dritte nicht lesbar ist. Die Verschlüsselung ist Teil der Kryptologie die schon auf eine lange Geschichte zurückblicken kann. Kryptologie ist als die Lehre der Kryptografie (Geheimcodes) oder Kryptanalyse definiert. Dabei ist Kryptografie einfach der Prozess der verschlüsselten Kommunikation über geheime Codes (Cipher), und unter Kryptanalyse versteht man den Prozess des Knackens oder Entschlüsselns einer auf diese Weise verschlüsselten Kommunikation. ([Er09] S.429) 4.2 Verschlüsselungsarten Es gibt verschiedene Arten von Verschlüsselungen. Im Groben kann man zwischen solchen Protokollen unterscheiden, die als reine Kommunikationsprotokolle dienen und einen Nachrichtenstrom zwischen Kommunikationspartnern absichern, und solchen, die auf der Anwendungsebene dezidiert Anwendungsdaten absichern ([Ec08] S.689). Da MITM-Angriffe auf die Verbindung zweier Systeme abzielen, konzentriert sich dieses Kapitel auf Kommunikationsprotokolle. Klassische Vertreter solcher Protokolle sind IPSec, SSL/TLS oder auch SSH (vgl. [Ec08] S.689). 4.3 Verschlüsselung auf Netzzugriffschicht (Schicht 1 und 2) Sichere Kommunikationsprotokolle sind dadurch charakterisiert, dass eine Interaktion zwischen den beteiligten Kommunikationspartnern stattfindet, während der sich die Partner authentifizieren und sich auf die zu verwendenden Verfahren einigen, sowie gemeinsame Kommunikations- und falls erforderlich auch MAC-Schlüssel austauschen. Gängige Protokolle zur Etablierung eines sicheren Kommunikationskanals zwischen Partnern gewährleisten in der Regel die Schutzziele der Authentizität, Integrität und Vertraulichkeit, wobei sich die Authentizität auf den Datenursprung und die Integrität sich auf einzelne Datenpakete und nicht auf eine ganze Transaktion bezieht. ([Ec08] S.689) Bei der Verbindungsverschlüsselung (engl. Link encryption) werden die Daten unmittelbar vor ihrer Übertragung, also auf den Schichten 1 oder 2, verschlüsselt ([Ec08] S.690). Da bei der Verbindungsverschlüsselung die Nutzdaten der Schicht 2 verschlüsselt werden, sind auch IP-Adressen ein Bestandteil des Kryptotextes. Somit müssen Router jedes Paket zunächst entschlüsseln, um an die für das Routing benötigten Informationen zu gelangen ([Ec08] S.691). Die Konsequenz daraus ist, dass die Daten nur bei der Übermittlung verschlüsselt sind, aber den jeweiligen Vermittlungsrechnern im Klartext vorliegen (vgl. [Ec08] S.691). Dies ist natürlich sehr problematisch da die Benutzer den Vermittlungsstellen vertrauen müssen. Nun können im Internet aber unzählige Wege zu einem Zielsystem genommen werden. Dabei kann der Benutzer die Vermittlungsstellen unmöglich kennen und sollte ihnen demnach nicht einfach vertrauen. Daher birgt die Verschlüsselung, auf dieser niedrigen Schicht, ein hohes Risiko bzw. für den Angreifer ein großes Angriffspotential. 8

9 Nun besitzt die Schicht 2 keine Kenntnisse über die spezifischen Anforderungen höherer Schichten, so dass die Sicherheitsdienste auf alle Datenpakete in uniformer Weise angewandt werden (vgl. [Ec08] S. 692). Eine gezielte Verstärkung oder Abschwächung ist daher nicht möglich. Es wird im Prinzip alles identisch Verschlüsselt, egal wie Sicherheitskritisch die darüberlegende Anwendung auch sein mag. Diesen ganzen Einschränkungen steht als Hauptvorteil die einfache und vollständige transparente Handhabung der Sicherheitsprotokolle durch die Protokolle höherer Schichten gegenüber. Diese können auf den Schicht 2 Protokollen aufsetzten, wodurch sie zumindest deren einfache sicherheitssteigernde Eigenschaften übernehmen. ([Ec08] S.692) 4.4 Verschlüsselung auf Vermittlungsschicht (Schicht 3) Höhere Verschlüsselungsprotokolle die auf Schicht 3 oder höher arbeiten werden als Ende-zu-Ende-Verschlüsselung (engl. End-to-end encryption) bezeichnet (vgl. [Ec08] S693). Hier werden Die Daten vom Sender verschlüsselt aber erst beim Empfänger wieder entschlüsselt. Dabei werden aber nur die Nutzdaten verschlüsselt. Die Steuerdaten werden als Klartext übertragen. Dadurch können wieder aber bestimmte Verkehrsdaten über sogenannte Verkehrsflussanalysen ermittelt werden (vgl. [Ec08] S.693). Allerdings kann dieses Problem durch die zusätzliche Verschlüsselung auf Ebene 2 schnell behoben werden. Sicherheitsprotokolle auf der Netzwerkebene (Schicht 3) können zwar eine sichere Ende-zu-Ende-Verbindung zwischen verschiedenen, nicht notwendig physisch benachbarten Endsystemen realisieren, aber eine weitergehende Differenzierung ist nicht möglich. Dazu sind Informationen über Prozesse und/oder über die einzelnen Benutzer erforderlich. ([Ec08] S.694,695) 4.5 Verschlüsselung auf Transport- und Anwendungsschicht (Schicht 4,5 und 6) Sicherheitsprotokolle auf der Transportebene (Schicht 4) und auf Ebenen zwischen der Transport- und der Anwendungsebene (Schicht 5 und 6) bieten Ende-zu-Ende- Verschlüsselung zwischen Prozessen als Kommunikationspartnern ([Ec08] S.694). Diese Protokolle haben leider einen speziellen Nachteil der die Funktionen einer Firewall betrifft. Die Firewall kann den Inhalt des Datenstroms nicht lesen und dadurch schädliche Daten nicht erkennen. Das Problem ergibt sich daraus, dass die dedizierten Proxies der Applikationsfilter von den Protokollen der Schicht 4 als mögliche Mittelsmänner eines Man-in-the-Middle-Angriffs betrachtet werden. Zur Problemlösung sind entweder Tunnelungs-Techniken einzusetzen oder man muss sich mit Firewall- Konfigurationen mit geringeren Filterungsfähigkeiten, wie Paketfiltern, zufrieden geben ([Ec08] S.695). 9

10 Ein Proxy ist ein Vermittler bei der Kommunikation zweier Systeme. Ein Proxy benutzt seine eigene Adresse um die Anfrage eines Systems zu senden. Somit bleibt die Adresse des Quellsystems verborgen. Hinter einem Proxy kann sich auch ein ganzes Netz verbergen und jeder in diesem Netz hat die Möglichkeit Anfragen zu senden. Daher wird oftmals auch die Firewall auf dem Proxy installiert um möglichst einfach ganze Netze abzusichern. Beim Angefragten System sieht es jedoch so aus, als würden alle vom gleichen System kommen. Mit den Vorteilen kommen aber auch Nachteile. Laufen alle Anfragen über ein Proxy, so ist dieser Proxy ein beliebtes Ziel für Angreifer. 4.6 Verschlüsselung gegen MITM-Attacken? Wie sicher sind jetzt diese alltägliche Verschlüsselungen mit IPSec, SSL/TLS und SSH? John Erickson beschreibt es in seinem Buch wie folgt. Absolut sichere Kryptosysteme sind heutzutage für den praktischen Einsatz viel zu unhandlich. Anstelle eines mathematisch bewiesenen sicheren Systems werden daher Kryptosysteme verwendet, die praktisch gesehen sicher sind. Das bedeutet, dass es durchaus möglich sein kann, die Verschlüsslung zu knacken, dass es bisher aber niemanden gelungen ist. ([Er09] S.429). Zu diesen praktisch sicheren Verschlüsselungen gehören die oben genannten Verschlüsselungstechniken. Diese könnten zwar theoretisch Entschlüsselt werden, praktisch ist es aber noch niemand gelungen, dies durchzuführen. Das Problem liegt hier auch nicht nur bei der Verschlüsselung sondern vielmehr bei der Authentifizierung. Bei einem MITM-Angriff spielt der Angreifer dem Opfer den Kommunikationspartner vor. Das Opfer denkt nun das der Angreifer der gewünschte Zielpartner ist und möchte natürlich, dass dieser Zielpartner die Nachricht auch entschlüsseln kann. Der Angreifer braucht nichts weiter zu tun, als mit seinem eigenen Schlüssel eine sichere Verbindung zum Opfer aufzubauen und schon kann er als authentifizierte Gegenstelle alle Daten lesen und manipulieren. Danach baut er auch zum richtigen Empfänger eine sichere Verbindung auf und übersendet diesem die manipulierten Daten. Aus diesem einfachen Grund bietet jede noch so gute Verschlüsselung keinen wirksamen Schutz gegen MITM Angriffe. Es gibt aber auch Verschlüsselungssysteme die sowohl theoretisch als auch praktisch nur vom rechtmäßigen Empfänger entschlüsselt werden können. Diese werden als unbedingt sicher ([Er09] S.430) betrachtet. Ein kryptografisches System wird als unbedingt sicher betrachtet, wenn es (selbst mit unendlichen Rechnerkapazitäten) nicht zu knacken ist. Damit ist eine Kryptanalyse unmöglich, und selbst durch das Ausprobieren aller möglichen Schlüssel kann nicht festgestellt werden, welcher Schlüssel der richtige ist. ([Er09] S.430) 10

11 Ein Beispiel für ist ein unbedingt sicheres Kryptosystem ist das One-Time-Pad. Ein One-Time-Pad ist ein sehr einfaches Kryptosystem, das mit Blöcken zufälliger Daten, sogenannten Pads, arbeitet. ([Er09] S.430). Es werden genau zwei identische Pads erzeugt, wobei diese mindestens die Länge des zu verschlüsselten Klartexts besitzen müssen. Ein Pad wird vom Sender für die Verschlüsselung genutzt, das andere vom Empfänger für die Entschlüsselung. Nachdem die Nachricht codiert ist, wird das Pad zerstört, um sicherzustellen, dass es nur einmal verwendet wird ([Er09] S ). Nun kann die verschlüsselte Nachricht nur vom Empfänger entschlüsselt werden. Obwohl es theoretisch unmöglich ist, das One-Time-Pad zu knacken, ist es in der Praxis nicht so einfach zu nutzen. Die Sicherheit des One-Time-Pads hängt von der Sicherheit des Pads ab. ([Er09] S.431). Das heißt die Sicherheit dieses System hängt davon ab wie das Pad ausgetauscht wird. Werden die Pads an Sender und Empfänger verteilt, wird davon ausgegangen, dass der Pad-Übertragungskanal sicher ist ([Er09] S.431). Ein persönlicher, direkter Austausch der Pads wäre die sicherste Variante, allerdings ist dies im Alltag nahezu unmöglich. Daher wird der bequemlichkeitshalber die Pad-Übertragung über einen weiteren Schlüssel durchgeführt (vgl. [Er09] S.431). Das Problem dabei ist, dass nun die ganze Übertragung von der Verschlüsselung des Pads abhängig ist. Daher lohnt sich meistens der Aufwand nicht solche Pads zu erzeugen, weil die Sicherheit letztendlich nicht höher ist, als wenn die Übertagung direkt Verschlüsselt wird. Da die Verschlüsselung alleine offensichtlich nicht ausreicht um Daten gegen einen MITM-Angriff zu schützen gibt es noch weitere Verfahren die eingesetzt werden können um die Angreifer abzuwehren. 5 Abwehrmechanismen 5.1 One time password Bei dem One time Password verfahren (OTP) darf jedes Passwort nur genau einmal verwendet werden (vgl. [Sc10] S.20). Dafür können Hardwaregeräte eingesetzt werden die beim Login einen Schlüssel erzeugen. Ebenso können Rubbelkarten, Zugangskarten oder einfach eine Liste mit Passwörter verwendet werden. Ein Hardwaregerät kann das Passwort auch alle Sekunden ändern (vgl. [BC06]). Diese One Time Password (OTP) -Verfahren werden z.b. beim Homebanking eingesetzt, wo für jeden Buchungsvorgang eine nur einmalig verwendbare Transaktionsnummer (TAN) eingegeben werden muss, oder z.b. auch beim Aufladen von Handys mit vorausbezahlten Karten. [BC06]. Bei Onlinebanking gab es früher diese sogenannten Tan-Listen die an die hundert TANs beinhalteten. Diese werden aktuell bei den meisten Banken auf Mobil-TAN oder Smart-Tan umgestellt. Für Smart Tan wird eine Hardware benötigt die aus optischen Signalen am Bildschirm eine Tan generiert. Bei Mobile-Tan kommt die Tan als SMS auf das Handy. 11

12 Wichtig hierbei ist, dass die OTP-Listen, Geräte oder Karten vom Partner und nicht vom Angreifer kommen. Schafft ein Angreifer selbst diese Informationen zu erzeugen oder die Vorhandenen Informationen zu kopieren, so wird das ganze OTP-Verfahren wirkungslos. Daher sollten diese Informationen über einen anderen Kommunikationskanal z.b. Post zugesendet, oder direkt beim Partner abgeholt werden. Laut TriCipher, Inc. kann aber auch diese Methode nicht wirkungsvoll gegen MITM- Attacken abwehren, da ein Angreifer sämtliche Eingaben entschlüsseln kann und somit auch das gerade eingegebene Passwort entziffern kann (vgl. [BC06] S.20). Allerdings wird der Aufwand deutlich größer wenn ein System alle 30 Sekunden das Passwort ändert. Zudem werden bei Mobile-Tan die Überweisungsdaten wie Betrag und Empfänger in der SMS mitgeteilt, sodass ein Benutzer diese nochmals kontrollieren kann ob das Geld auch wirklich an den richtigen Empfänger geht. 5.2 IP Standortbestimmung (IP Geolocation) Anhand einer IP-Adresse kann eine ungefähre geografische Zuordnung des Systems gemacht werden (vgl. [BC06] S.20). Diese Information kann ebenso als Absicherung dienen. Ist die Geografische Lage der Zieladresse weit von dem eigentlichen Kommunikationspartner entfernt, so kann davon ausgegangen werden das sich jemand in die Kommunikation eingeklinkt hat und diese abhört. Diese Abwehrtechnik sollte mit Vorsicht und nur als Zusatz eingesetzt werden, da sie nicht in jedem Fall schützt und leicht umgangen werden kann. Zuerst kann ein Angreifer sich zufällig auch in der Nähe des Zielsystem befinden, ebenso ist es heutzutage auch kein Problem mehr den Angreifer Proxy-Server zu einem lokalen Botnet-Computer zu routen, der sich dann in der Nähe des Zielsystems befindet (vgl. [BC06] S.20). Hinzu kommt das einem Benutzer der sich im Ausland aufhält, möglicherweise der Zugang verwehrt wird, weil er sich mit seinem Laptop in einem anderen Adressbereich findet. Daher wird durch diese Maßnahme auch die Benutzbarkeit eingeschränkt. 5.3 Eindeutiger Fingerabdruck (Device Fingerprint) In dieser Abwehrmethode steckt die Idee das bereits bekannte System von dem Angreifer aufgrund der im Browser verfügbaren Informationen, zu unterscheiden. Dazu erstellt die Gegenstelle einen sogenannten, digitalen Fingerabdruck des Systems wenn dieses sich verbindet (vgl. [BC06] S.20). Will nun der Angreifer mit der Gegenstelle kommunizieren, braucht er erst diesen entsprechenden Fingerabdruck. Doch auch diese Methode hat gewisse Schwachstellen. Die Browserinformationen werden unverändert vom Original-User übertragen und so kann der Angreifer leicht die gewünschten Informationen abfangen (vgl. [BC06] S.20). Ebenso ist ein Wechsel auf ein anderes Kundengerät nicht so einfach möglich, da dort die Informationen nicht vorhanden sind. 12

13 5.4 Bilder oder Text auf der Webseite Diese Methode versucht dem Benutzer, durch die Personalisierung der Webseite, eine Möglichkeit zu geben, diese eindeutig zu Identifizieren. Dies geschieht durch Signieren mit einem persönlichen Bild oder einer einzigartigen Textphrase die es nur einmal pro Benutzer gibt. Dieses Bild erscheint nun jedes Mal wenn dieser Benutzer sich einloggt. So können Benutzer sicher sein das es keine gefälschte Internetseite ist und sie gerade gefischt werden (vgl. [BC06] S.20). Kann der Angreifer über einen Lauschangriff die Anmeldedaten herausfinden und anschließend den Cookie zurücksetzen, so kennt auch er nun das geheime Bild oder den einzigartigen Text und kann diesen auch auf seiner Phishing-Seite implementieren (vgl. [BC06] S.20). Ein weiteres Problem ist bei dieser Methode, dass diese nur einen Schutz gegen Phishing-Seiten liefert. Hört der Angreifer aber nur die Kommunikation ab und leitet die Informationen zu und von der Originalseite weiter, so wird auch dieses personalisierte Bilder oder Text angezeigt, weil es sich um die originale Seite handelt. Der Angreifer kann die Daten trotzdem manipulieren und sich daraus einen Vorteil verschaffen. 5.5 Virtuelle Tastatur (Virtual Keyboard) Ein weiterer Versuch unautorisierten Zugriff zu verhindern ist die Eingabe des Passwortes über eine virtuelle Tastatur die auf dem Bildschirm eingegeben wird. Der Benutzer verwendet also eine Grafische Schnittstelle anstatt seiner Tastatur und glaubt dadurch vor Angriffen sicher zu sein. Das Problem dabei ist, dass der Angreifer zwischen den beiden Kommunikationspartnern sitzt und den Datenverkehr abhören kann. Das Passwort wird nach der Eingabe durch die Web-basierte virtuelle Tastatur gestohlen (vgl. [BC06] S.20). 5.6 Out of Band Authentication Bei der Out of Band Authentication wird die Authentifizierung über einen zweiten unabhängigen Kanal abgewickelt. Zum Beispiel wird bei einer Onlineüberweisung oft der letzte Schritt durch Mobile-Tan bestätigt, bei der die Tan als SMS auf das Handy geschickt wird. Kontrolliert der Angreifer nur einen Weg, so kann er die SMS, die an das Handy geschickt wird, nicht abfangen. Bei anderen Anwendungen kommen auch Post, und viele andere Wege als Authentifizierung zum Einsatz. 13

14 Das Problem ist, dass der Benutzer die empfangene Tan dann in das System eingibt und dort kann es vom Angreifer abgefangen werden. Der Angreifer lässt die Tan passieren ändert aber mit einem Skript die Transaktion, die mit der Tan freigegeben wurde, ohne das der Benutzer dieses merkt (vgl. [BC06] S.20). Immerhin ist das ändern per Skript nach der Eingabe der Tan in diesem Fall nicht so einfach, da diese aus denen vom Benutzer eingegebenen Daten wie Kontonummer, Betrag, etc. errechnet wird. Ändert nun der Angreifer die Transaktion vor der Bestätigung, so könnte er die Tan vom Kunden direkt verwenden. Allerdings würde der Kunde in der SMS sehen, dass die Überweisung manipuliert wurde und den Vorgang abbrechen. Übersieht dies der Kunde, wie es leider häufig der Fall ist, kann der Angreifer mit dem Tan die gewünschte Transaktion durchführen. 5.7 Knowledge-Based Authentication Das ist der Versuch den Benutzer, durch Beantwortung von mehreren persönlichen Fragen, zu identifizieren (vgl. [BC06] S.20). Diese Methode ist gegen einen MITM- Angriff eher ungeeignet, da der Angreifer die Fragen einfach an den User weitergibt und die Antworten, nachdem sie gestohlen sind, an den Server weiterleitet (vgl. [BC08] S.20). 6 Sicherheit gegen MITM-Angriffe? In den letzten Kapiteln wurde nun ausführlich über die Angriffsformen und die Abwehrmechanismen geschrieben. Nun bleibt dennoch die Frage ob man MITM- Attacken mit einem System unterbinden kann. Diese Frage kann theoretisch mit Ja beantwortet werden. Das One-Time-Pad ist in der Lage die Daten sicher vor einem Angreifer zu schützen, allerdings gibt es bei der Umsetzung Probleme, weil die Schlüssel getauscht werden müssen. Daher ist praktisch gesehen kein Mittel Vorhanden um einen MITM-Angriff komplett auszuschließen. Die Frage hierbei ist natürlich auch, wie sicher ein System sein muss. Es gibt genügend Abwehrmechanismen mit denen der Aufwand eines MITM-Angriffs so gesteigert werden kann, dass dieser kaum durchzuführen oder extrem Aufwendig ist. Dauert es zu lang einen Angriff durchzuführen oder ist der Aufwand zu hoch, wird der Angreifer sich eher ein neues, schlechter geschütztes System aussuchen. Leider kann sich der einzelne, egal ob Anbieter, Vermittler oder Kunde, alleine kaum dagegen schützen. Zuerst müssen die Benutzer ihrerseits ein Teil dazu beitragen. Oft werden Sicherheitshinweise ignoriert, sensible Daten ohne nachzudenken auf Webseiten eingetragen oder der eigene PC nicht richtig abgesichert. Ein aufmerksamer Benutzer hat daher viel mehr Chancen Attacken zu erkennen oder gar nicht erst solchen Angegriffen ausgesetzt zu werden. 14

15 Ebenso müssen die Betreiber der Vermittlungsserver wie DHCP oder DNS ihre Systeme wirkungsvoll absichern. Dazu gehört nicht nur das schützen gegen unautorisierten Zugriff, sondern auch das Updaten der Server. Manche Anbieter halten ihre Systeme nicht auf dem neuesten Stand, um Fehler zu vermeiden. Da das Internet aber dezentralisiert ist, reicht teilweise schon die Schwachstelle bei nur einem Server aus, um sich in das Netzt zu begeben. Aber auch die Anbieter müssen ihrer Pflicht nachkommen und ihre Dienste und Anwendungen gegen diese Angriffe schützen. Diese haben aber leider das zusätzliche Problem, dass bei vielen Sicherheitsmechanismen die Benutzbarkeit darunter leidet. Umso mehr Passwörter, Geräte und Sicherheitszertifikate beachtet werden müssen, desto weniger werden diese Systeme von den Benutzern akzeptiert. Daher müssen Anbieter, die sich gegen MITM-Angriffe schützen wollen, auf eine Gradwanderung zwischen Benutzbarkeit, Sicherheit, Kosten und Aufwand begeben. Ist das System weitestgehend sicher, so ist es teuer, aufwendig und leider wenig benutzerfreundlich. Nur wenn alle beteiligten sich der Gefahr bewusst sind und ihre Systeme entsprechend absichern, können Angriffe weitestgehend unterbunden werden. 7 Fazit Die Sicherheitssysteme sind entweder sicher, dann aber im Alltag unbrauchbar. Oder sie sind nur zum Teil sicher, werden eingesetzt und akzeptiert, aber vom User als komplett sicher angesehen. Den Anbietern bleibt also weiterhin nicht viel übrig als die Benutzbarkeit gegen die Sicherheit abzuwägen und ihre Server gegen einen direkten Angriff zu schützen. Auch die Vermittlungsserver haben zwar ihre Pflichten, aber da es Millionen von Netzknoten im Internet gibt, werden sich darunter auch immer wieder schwarze Schafe befinden, die entweder direkt vom Angreifer kontrolliert oder aber leicht gehackt werden können. Meiner Meinung nach, steht daher der Benutzer im Mittelpunkt. Es sind seine persönliche Daten und deshalb sollte sich der auch dieser Gedanken machen, wo er diese eingibt. Ist dieser Aufmerksam und entsprechend Vorsichtig können viele Angriffe nicht durchgeführt werden oder werden rechtzeitig bemerkt. Da aber viele Benutzer leichtsinnig mit ihren vertraulichen Daten umgehen und sich auch nicht so gut mit den Computersystemen auskennen, wird es weiterhin diese Angriffe geben. 15

16 Literaturverzeichnis [SPS11] Stephan Spitz, Michael Pramateftakis, Joachim Swoboda: Kryptographie und IT- Sicherheit Grundlagen und Anwendungen; 2. Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2011; ISBN [CMT10] Tim Chenoweth, Robert Minch, Sharon Tabor; Wireless Insecurity: Examing User Security Behavior on Public Networks; Communications of the ACM; Februar 2010; Vol. 53; No 2; Seite [STH10] Lambert M. Surhone, Mariam T. Tennoe, Susan F. Henssow: Man-in-the-middle Attack Browser Exploit, Clickjacking, Cookie Stuffing ; 1. Auflage; VDM Publishing House Ltd.; Mauritius; 2010; ISBN [Sc10] Jörg Schwenk: Sicherheit und Kryptographie im Internet Von sicherer bis zu IP-Verschlüsselung; 3.Auflage; Vieweg + Teubner Verlag, Springer Fachmedien Wiesbaden GmbH; Wiesbaden; 2010; ISBN [Er09] Jon Erickson: Hacking Die Kunst des Exploits; 2. Auflage; dpunkt.verlag GmbH; Heidelberg, 2009; ISBN [Ec08] Claudia Eckert: IT-Sicherheit Konzepte-Verfahren-Protokolle; 5.Auflage; Oldenburg Wissenschaftsverlag GmbH; München; 2008; ISBN [Vo07] Chris Voice; Man-in-the-Middle Attacks: Helping to eliminate the threat without impacting the business; ABA Banking Journal; Februar 2007; Vol. 99; Seite 67 [BC06] Man-In-The-Middle Phishing Attack Successful Against Citibank's Two-Factor Token Authentication. Business Credit; Oktober 2006; Vol. 108(9); Seite [Lo04] Andrew Lockhart: Netzwerk-Sicherheit Hacks 100 Insider-Tricks Tools; 1. Auflage; O Reilly Verlag; Köln; 2004; ISBN [Wä04] Dietmar Wätjen: Kryptographie Grundlagen, Algorithmen, Protokolle; 1. Auflage; Spektrum Akademischer Verlag GmbH Heidelberg; Berlin; 2004; ISBN [RFC2535] D. Eastlake; RFC 2535; IBM; März 1999; 16

Seminar: Sicheres Online Banking Teil 1

Seminar: Sicheres Online Banking Teil 1 Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Seminar: Sicheres Online Banking Teil 1 WS 2008/2009 Hung Truong manhhung@mytum.de Betreuer: Heiko Niedermayer

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013

Sicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013 Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4

Mehr

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking

Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking Man-in-the-Middle-Angriffe auf das chiptan comfort-verfahren im Online-Banking RedTeam Pentesting GmbH 23. November 2009 ChipTAN comfort ist ein neues Verfahren, welches mit Hilfe eines vertrauenswürdigen

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol

CCNA Exploration Network Fundamentals. ARP Address Resolution Protocol CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Informatik für Ökonomen II HS 09

Informatik für Ökonomen II HS 09 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und

Mehr

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen

Grundlagen Funktionsweise Anhang Begriffserklärungen. DHCP Grundlagen. Andreas Hoster. 9. Februar 2008. Vortrag für den PC-Treff Böblingen 9. Februar 2008 Vortrag für den PC-Treff Böblingen Agenda 1 Einleitung Netzwerkeinstellungen 2 Feste Zuordnung Lease 3 4 Einleitung Einleitung Netzwerkeinstellungen DHCP, das Dynamic Host Configuration

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

IT Sicherheit: Authentisierung

IT Sicherheit: Authentisierung Dr. Christian Rathgeb IT-Sicherheit, Kapitel 4 / 18.11.2015 1/21 IT Sicherheit: Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.11.2015 Dr. Christian Rathgeb IT-Sicherheit,

Mehr

Sicherheit beim Online-Banking. Neuester Stand.

Sicherheit beim Online-Banking. Neuester Stand. Sicherheit Online-Banking Sicherheit beim Online-Banking. Neuester Stand. Gut geschützt. Unsere hohen Sicherheitsstandards bei der Übermittlung von Daten sorgen dafür, dass Ihre Aufträge bestmöglich vor

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

E-Mail-Verschlüsselung

E-Mail-Verschlüsselung E-Mail-Verschlüsselung In der Böllhoff Gruppe Informationen für unsere Geschäftspartner Inhaltsverzeichnis 1 E-Mail-Verschlüsselung generell... 1 1.1 S/MIME... 1 1.2 PGP... 1 2 Korrespondenz mit Böllhoff...

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Verschlüsselung eines drahtlosen Netzwerkes

Verschlüsselung eines drahtlosen Netzwerkes Verschlüsselung eines drahtlosen Netzwerkes Die größte Sicherheitsgefahr eines drahtlosen Netzwerkes besteht darin, dass jeder, der sich innerhalb der Funkreichweite des Routers aufhält einen Zugriff auf

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Thomas Schön Albert-Ludwigs-Universität Freiburg

Thomas Schön Albert-Ludwigs-Universität Freiburg Thomas Schön Albert-Ludwigs-Universität Freiburg Address Resolution Protocol 1) Funktionsweise a) Der ARP Cache b) Paketformat 2) Spezielle Formen a) Proxy ARP b) Gratuitous ARP c) Reverse ARP (RARP) 3)

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Seminar zur Kryptologie

Seminar zur Kryptologie Seminar zur Kryptologie Practical Key Recovery Schemes Basierend auf einer Veröffentlichung von Sung-Ming Yen Torsten Behnke Technische Universität Braunschweig t.behnke@tu-bs.de Einführung Einführung

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg

Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Secure E-Mail S Kundeninformation für den sicheren E-Mail-Verkehr mit Ihrer Sparkasse Grünberg Einleitung Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau

Grundlagen Vernetzung am Beispiel WLAN 1 / 6. Aufbau Grundlagen Vernetzung am Beispiel WLAN 1 / 6 Peer-to Peer-Netz oder Aufbau Serverlösung: Ein Rechner (Server) übernimmt Aufgaben für alle am Netz angeschlossenen Rechner (Clients) z.b. Daten bereitstellen

Mehr

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr.

SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY. Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. SICHERE DATENHALTUNG IN DER CLOUD VIA HANDY 1 Tuba Yapinti Abschlussvortrag der Bachelorarbeit Betreuer: Prof. Reinhardt, Dr. Bernd Borchert GLIEDERUNG 1. Motivation Gründe für die Entwicklung Ideen für

Mehr

E-Mail-Verschlüsselung mit S/MIME

E-Mail-Verschlüsselung mit S/MIME E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Stand Juli 2015 Seite 2

Stand Juli 2015 Seite 2 1. Einführung Die E-Mail ist heute sowohl im privaten als auch geschäftlichen Alltag eines der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs hat das Thema "Sichere

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

Internet Security 2009W Protokoll WLAN Relay

Internet Security 2009W Protokoll WLAN Relay Internet Security 2009W Protokoll WLAN Relay Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 23. Dezember 2009 1 Inhaltsverzeichnis

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben PGP In diesem Versuch lernen Sie die Sicherheitsmechanismen kennen, die 'Pretty Good Privacy' (PGP) zur Verfügung stellt, um u. a. Vertrauliche

Mehr

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet

Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Phishing und Pharming - Abwehrmaßnahmen gegen Datendiebstahl im Internet Beispiel für eine gefälschte Ebay-Mail Unterschiede zu einer echten Ebay-Mail sind nicht zu erkennen. Quelle: www.fraudwatchinternational.com

Mehr

Einrichtung der sicheren TAN-Verfahren in moneyplex

Einrichtung der sicheren TAN-Verfahren in moneyplex 1 Einrichtung der sicheren TAN-Verfahren in moneyplex Um Ihnen beim Homebanking mit PIN und TAN mehr Sicherheit zu geben, bieten viele Banken besondere TAN-Verfahren an. Beim mobiletan- oder smstan-verfahren

Mehr

ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch

ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch ARP-Spoofing & Man in the Middle Angriff erkennen - ARP-Cache auslesen mit Netzwerkprotokoll ARP & ArpWatch Mit ARP-Spoofing (ARP Request Poisoning) werden gefälschte ARP-Pakete zu einem oder mehreren

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Sichere E-Mail für Rechtsanwälte & Notare

Sichere E-Mail für Rechtsanwälte & Notare Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator

Mehr

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung)

Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) Was bisher geschah Sicherheitsziele: Verfügbarkeit (Schutz vor Verlust) Vertraulichkeit (Schutz vor unbefugtem Lesen) Authentizität (Schutz vor Veränderung, Fälschung) von Information beim Speichern und

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll

Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung. Das Kerberos-Protokoll Konzepte von Betriebssystem-Komponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Guido Söldner guido@netlogix.de. Überblick über das Kerberos-Protokoll Ein Standardvorgang in der Computersicherheit

Mehr

Aktuelle Bedrohungsszenarien für mobile Endgeräte

Aktuelle Bedrohungsszenarien für mobile Endgeräte Wir stehen für Wettbewerb und Medienvielfalt. Aktuelle Bedrohungsszenarien für mobile Endgeräte Ulrich Latzenhofer RTR-GmbH Inhalt Allgemeines Gefährdungen, Schwachstellen und Bedrohungen mobiler Endgeräte

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

vorab noch ein paar allgemeine informationen zur de-mail verschlüsselung:

vorab noch ein paar allgemeine informationen zur de-mail verschlüsselung: Kurzanleitung De-Mail Verschlüsselung so nutzen sie die verschlüsselung von de-mail in vier schritten Schritt 1: Browser-Erweiterung installieren Schritt 2: Schlüsselpaar erstellen Schritt 3: Schlüsselaustausch

Mehr

Netzwerksicherheit mit Hilfe von IPSec

Netzwerksicherheit mit Hilfe von IPSec Unterrichtseinheit 6: Netzwerksicherheit mit Hilfe von IPSec Bei IPSec (Internet Protocol Security) handelt es sich um ein Gerüst offener Standards, um eine sichere, private Kommunikation über IP-Netzwerke

Mehr

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt. Netzwerk Ein Netzwerk wird gebildet, wenn mehrere Geräte an einem Switch mit Netzwerkkabeln angeschlossen werden. Dabei können die einzelnen Geräte miteinander kommunizieren und über ein Netzwerkprotokoll

Mehr

Wiederholung: Informationssicherheit Ziele

Wiederholung: Informationssicherheit Ziele Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Vorwort Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Neben den großen Vorteilen, welche uns diese Medien bieten, bergen Sie aber auch zunehmend Gefahren. Vorgetäuschte E-Mail-Identitäten,

Mehr

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG

ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Schutz vor ARP-Spoofing Gereon Rütten und Oliver Stutzke Hamburg, 04.02.2004 ITELLIUM Systems & Services GmbH der IT Dienstleister der KarstadtQuelle AG Agenda Einleitung ARP-Spoofing Erkennung von ARP-Spoofing

Mehr

Sicherheitshinweise zum Online-Banking

Sicherheitshinweise zum Online-Banking Sicherheitshinweise zum Online-Banking Damit Sie Ihre Bankgeschäfte nicht nur bequem, sondern auch sicher erledigen können, haben wir für Sie einige Sicherheitshinweise zusammengestellt. Bitte berücksichtigen

Mehr

Wie funktioniert das WWW? Sicher im WWW

Wie funktioniert das WWW? Sicher im WWW Wie funktioniert das WWW? Sicher im WWW Der normale Aufruf 1. Browserprogramm starten 2. Adresse eintippen, z.b. : ich-hab-doch-nichts-zu-verbergen.de 3. Der Browser ändert die Adresse auf: http://ich-hab-doch-nichts-zu-verbergen.de/

Mehr

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen

Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen Kryptographie Motivation Schutz von Informationen bei Übertragung über unsichere Kanäle Beispiele für zu schützende Informationen Geheimzahlen (Geldkarten, Mobiltelefon) Zugriffsdaten (Login-Daten, Passwörter)

Mehr

Abruf und Versand von Mails mit Verschlüsselung

Abruf und Versand von Mails mit Verschlüsselung Bedienungstip: Verschlüsselung Seite 1 Abruf und Versand von Mails mit Verschlüsselung Die folgende Beschreibung erklärt, wie man mit den üblichen Mailprogrammen die E- Mailabfrage und den E-Mail-Versand

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0

IPv6. Autor Valentin Lätt Datum 09.07.2010 Thema IPv6 Version V 1.0 Autor Datum 09.07.2010 Thema Version V 1.0 Inhaltsverzeichnis Inhaltsverzeichnis... - 2-1 Das ISO/OSI Modell... - 3-1.1 Internet Protocol Grundlagen... - 3-1.2 Transmission Control Protocol Grundlagen...

Mehr

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Vorwort E-Mail ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird. Auch die Unternehmensgruppe ALDI Nord steht mit einer Vielzahl

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Schlüsselpärchen. Digitale Signaturen und Sicherheit

Schlüsselpärchen. Digitale Signaturen und Sicherheit Schlüsselpärchen Digitale Signaturen und Sicherheit Dr. Rudolf Gardill, Universität Bamberg, Rechenzentrum MS Wissenschaft, 10. September 2006 Eine seltsame Mail From: Maiser@listserv.uni-bamberg.de [mailto:maiser@listserv.uni-bamberg.de]

Mehr

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Technical Note 30 Endian4eWON einrichten für VPN Verbindung Technical Note 30 Endian4eWON einrichten für VPN Verbindung TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 1 von 21 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2

Mehr

Man liest sich: POP3/IMAP

Man liest sich: POP3/IMAP Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und

Mehr

Kundeninformationen zu Secure-E-Mail

Kundeninformationen zu Secure-E-Mail Kreissparkasse Saalfeld-Rudolstadt Kundeninformationen zu Secure-E-Mail,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste

Mehr

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik

Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Facharbeit Informatik Public Key Verschlüsselung Speziell: PGP Ole Mallow Basiskurs Informatik Seite 1 von 9 Inhaltsverzeichnis Inhaltsverzeichnis...2 1. Allgemein...3 1.1 Was ist Public Key Verschlüsselung?...3

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen:

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen: Default Gateway: 172.16.22.254 Ein häufiger Fehler in den Konfigurationen liegt darin, dass der Netzanteil des Default Gateway nicht mit dem Netzanteil der IP-Adresse des Rechners übereinstimmt. 4.4 DHCP-Service

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

Kundeninformation zur Sicheren E-Mail

Kundeninformation zur Sicheren E-Mail Kreissparkasse Saarpfalz Kundeninformation zur Sicheren E-Mail Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

S Sparkasse Markgräflerland. Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation. Sparkassen-Finanzgruppe

S Sparkasse Markgräflerland. Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation. Sparkassen-Finanzgruppe S Sparkasse Markgräflerland Secure E-Mail: Sicher kommunizieren per E-Mail. Kundeninformation Sparkassen-Finanzgruppe Gute Gründe für Secure E-Mail Mit Secure E-Mail reagiert die Sparkasse Markgräflerland

Mehr

Kundeninformation zur Sicheren E-Mail

Kundeninformation zur Sicheren E-Mail Kundeninformation zur Sicheren E-Mail Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen" der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter The Bat!

Konfigurationsanleitung E-Mail Konfiguration unter The Bat! Konfigurationsanleitung E-Mail Konfiguration unter The Bat! E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen um Ihren Mailclient zu konfigurieren damit

Mehr

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM MailSealer Light Stand 10.04.2013 WWW.REDDOXX.COM Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: sales@reddoxx.com

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Kryptographie und Fehlertoleranz für Digitale Magazine

Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Kryptographie und Fehlertoleranz für digitale Magazine 1 Kryptographie und Fehlertoleranz für Digitale Magazine Stefan Lucks Professur für Mediensicherheit 13. März 2013 Stefan Lucks Kryptographie

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter The Bat!

Konfigurationsanleitung E-Mail Konfiguration unter The Bat! Konfigurationsanleitung E-Mail Konfiguration unter The Bat! - 1 - - Inhaltsverzeichnis - E-Mail Einstellungen für alle Programme...3 Zugangsdaten...4 The Bat! Neues E-Mail Konto einrichten...5 The Bat!

Mehr

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014 Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit?

S Sparkasse. UnnaKamen. Secure Mail Notwendigkeit? S Sparkasse UnnaKamen Secure Mail Notwendigkeit? Das sogenannte Sniffen, Ausspähen von E-Mailinhalten und Authentifizierungsdateien sowie das E-Mail Spoofing, das Erstellen einer E-Mail mit gefälschtem

Mehr

Fragen und Antworten zum Zwei-Schritt-TAN-Verfahren (FAQ)

Fragen und Antworten zum Zwei-Schritt-TAN-Verfahren (FAQ) A) Allgemein 1. Was ist das Zwei-Schritt-TAN-Verfahren? 2. Welche Kosten entstehen beim zweistufigen TAN-Verfahren? 3. Wie lange ist eine TAN gültig? 4. Was passiert wenn ich dreimal eine falsche TAN eingebe?

Mehr

Kundeninformation zu Secure Email. Secure Email Notwendigkeit?

Kundeninformation zu Secure Email. Secure Email Notwendigkeit? Kundeninformation zu Secure Email Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität. Selbst modernste Sicherheitstechnologie bietet dagegen

Mehr

Einführung. zum Thema. Firewalls

Einführung. zum Thema. Firewalls Einführung zum Thema Firewalls 1. Einführung 2. Firewall-Typen 3. Praktischer Einsatz 4. Linux-Firewall 5. Grenzen 6. Trends 7. Fazit 1. Einführung 1.Einführung Die Nutzung des Internets bringt viele neue

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Konfiguration von email Konten

Konfiguration von email Konten Konfiguration von email Konten Dieses Dokument beschreibt alle grundlegenden Informationen und Konfigurationen die Sie zur Nutzung unseres email Dienstes benötigen. Des Weiteren erklärt es kurz die verschiedenen

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Grundlagen DNS 1/5. DNS (Domain Name System)

Grundlagen DNS 1/5. DNS (Domain Name System) Grundlagen DNS 1/5 DNS (Domain Name System) Weltweit gibt es 13 zentrale DNS-Server (Root-Nameserver), auf denen die verschiedenen Domains abgelegt sind. Der Domönennamensraum bzw. das Domain Name Space

Mehr

DynDNS Router Betrieb

DynDNS Router Betrieb 1. Einleitung Die in dieser Information beschriebene Methode ermöglicht es, mit beliebige Objekte zentral über das Internet zu überwachen. Es ist dabei auf Seite des zu überwachenden Objektes kein PC und/oder

Mehr