Erweiterungskonzept_Android.odt

Größe: px
Ab Seite anzeigen:

Download "Erweiterungskonzept_Android.odt"

Transkript

1 Android Security Projektbezeichnung Android Security Verantwortlich AG Oliver Zendel Verantwortlich AN Sebastian Mancke, Stefan Walenda Autor Christian Küster, Robert Schuster, Stefan Walenda Erstellt am Status in Bearbeitung ( ) vorgelegt () abgenommen (x) Zuletzt geändert Dokumentablage _Android.odt Version Lizenz tarent GmbH 1-39

2 Inhaltsverzeichnis 1 Einleitung Dateisystemverschlüsselung Ist-Analyse Einhängpunkte der Android Plattform Technische Evaluation und Detaillierung einzelner Implementierungen DM-Crypt Loop-AES Technische Evaluation CryptoLoop ecryptfs Unlock Policy Analyse des Life-Cycles der /data Partition Analyse des Life-Cycles der sql journaling Partition Analyse des Life-Cycles der /cache Partition Forcierung der Nutzung von Verschlüsselung SCM Linux-Utils losetup GnuPG Version Linux Goldfish Branch mit Loop-AES-Patch libgpg-error Einschränkungen Externe Massenspeicher Transparenz für Plattform Erweiterung Algorithmen SmartCard als Vertrauensanker Performanz-Messungen Fazit Virtual Private Network Ist-Analyse tarent GmbH 2-39

3 3.2 Umsetzbarkeit einer VPN-Lösung Technologieevaluation OpenVPN Abhängigkeiten Remote Management Verwendung von Schlüsseln L2TP und IPSec StrongSWAN Durchstich mit OpenVPN Einschränkungen Aufbau des Tunnels Forcierung der Nutzung des Tunnels Transparenz des Tunnels für Anwendungen für Benutzer und Anwendungen SCM OpenVPN mit Android Makefile OpenVPN Starter und Service Performanz-Messung SmartCard-Integration Ist-Analyse CertGate Aladdin SmartCard over PAN Technische Evalutation certgate-karte SmartCard Integration von Dateiverschlüsselung SmartCard Integration mit VPN Literatur PCSC-Lite Userland API Performanz-Messung Betrieb der SmartCard Dualverwendung der SmartCard tarent GmbH 3-39

4 5 Messverfahren und Lasterzeugung Buildsystem Technische Beschreibung Checkout Konfiguration des Builds System-Image System-Image für (z.b.) das G1 erstellen: Extraktion und Aufspielen binärer Einschlüsse Compilen: Der Buildprozess Kernel Produkt Emulator Produkt G Konfiguration Kompilierung Module Wireless-LAN beim G Software Configuration Management Repo Neues Projekt hinzufügen Flexibilität des Software Configuration Managements Zusammenfassung und Fazit tarent GmbH 4-39

5 1 Einleitung Das vorliegende Dokument im Rahmen des Projektes "Synchronisation Kolab mit mobilen Geräten" beschreibt ein Konzept zur Erweiterung der Android-Plattform um Sicherheitsfunktionen. Android ist eine von Google, Inc. entwickelte Betriebssystemplattform für mobile Geräte (Telefone, PDAs oder Netbooks). Sie wird hauptsächlich von Google weiterentwickelt. Aufgrund ihres Open Source-Lizenzmodells kann sie von Herstellern mobiler Geräte auf ihre Bedürfnisse hin erweitert oder verändert werden. Die Lizenzierung unter Verwendung der Apache 2.0- Lizenz für die Android-Kernkomponenten, lässt dem Hersteller eines mobilen Gerätes jedoch offen, ob er den Quellcode seinerseits offen legt. Der Fokus des Dokuments liegt auf der Darstellung wie Android, um Sicherheitsfunktionalität erweitert werden könnte. Dabei wird im Detail darauf eingegangen, wie die Android-Plattform um VPN-Funktionalität Dateiverschlüsselung SmartCard-Unterstützung erweitert werden könnte. Ebenfalls wird beschrieben, wie das Buildsystem von Android arbeitet und wie Erweiterungen in dieses integriert werden können. Ein weiterer Punkt beschreibt, wie neue Komponenten und Änderungen an bestehenden Komponenten im Software Configuraton Management (SCM) verwaltet werden können, so dass eine Integration in das öffentliche SCM von Google effizient gestaltet werden kann. 2 Dateisystemverschlüsselung Dieser Abschnitt beschreibt wie ein Dateiverschlüsselungsverfahren in Android integriert werden könnte. Zu diesem Zweck wird zunächst darauf eingegangen welche aktuelle Unterstützung für Dateiverschlüsselung vorliegt und welche technischen Konfigurationen existieren. Im Anschluss wird auf verschiedene Open Source-Dateiverschlüsselungsverfahren eingegangen und evaluiert, wie die technische Komplexität einer Integration ihrer Abhängigkeiten in Android ist. Es wird ebenfalls vorgestellt, wie eines der Verfahren erfolgreich auf Android portiert werden konnte und welche Schwierigkeiten sich dabei ergaben tarent GmbH 5-39

6 2.1 Ist-Analyse Die Android-Plattform bietet derzeit keine Unterstützung für eine Verschlüsselung auf Dateisystemebene. Der Quellcode des von Android verwendeten Kernels enthalten Unterstützung für die Verfahren: CryptoLoop ecryptfs In den auf den Geräten ausgelieferten Kernels ist diese Unterstützung jedoch deaktiviert und somit für den Benutzer nicht vorhanden. Die DeviceMapper-Unterstützung, der für dm-crypt verwendet werden kann, befindet sich dagegen in der Konfiguration des distributierten Kernels. Entsprechende Terminal-basierte Werkzeuge finden sich nur teilweise in der Distribution und können lassen sich ohne Änderungen und Portierungen weiterer Bibliotheken und Werkzeuge nicht verwenden. Des weiteren gibt es das Loop-AES-Projekt, dass einen Patch für den Loop-Treiber des Mainline- Kernels bereitstellt, um verschlüsselte Container mittels einer Loopback-Schleife zu ermöglichen. Dies ist ebenfalls nicht in der Android-Plattform enthalten Einhängpunkte der Android Plattform Die aktuelle Version der Plattform wird mit folgenden Einhängpunkten ausgestattet. # mount rootfs / rootfs ro 0 0 tmpfs /dev tmpfs rw,mode= devpts /dev/pts devpts rw,mode= proc /proc proc rw 0 0 sysfs /sys sysfs rw 0 0 tmpfs /sqlite_stmt_journals tmpfs rw,size=4096k 0 0 /dev/block/mtdblock0 /system yaffs2 ro 0 0 /dev/block/mtdblock1 /data yaffs2 rw,nosuid,nodev 0 0 /dev/block/mtdblock2 /cache yaffs2 rw,nosuid,nodev 0 0 Sämtliche Benutzer und Applikationsdaten werden in /data abgelegt. Das Root-Verzeichnis und die Systempartition sind nur-lesbar eingehängt. Zusätzlich wird /sqlite_stmt_journals als temporäres Journals für SQLite-Datenbanken verwendet. Ebenfalls zu erkennen ist, dass die Datei sqlite_stmt_journals als schreibbar eingehangen wird. In ihr werden temporäre Journalinformationen der SQLite-Datenbanken abgelegt. An dieser Stelle können auch sensible Informationen der Plattform nach außen dringen. SQLite wird beispielsweise von Content-Providern verwendet, die Daten für andere Applikationen zur Verfügung stellen. Ein Beispiel sind Kontaktdaten. Sie sind sensibler Natur tarent GmbH 6-39

7 2.1.2 Technische Evaluation und Detaillierung einzelner Implementierungen Dieser Abschnitt beleuchtet einzelne Implementierungen von Open Source-CFS für Linux näher. Es wird dabei fokussiert, welche Abhängigkeiten die Implementierungen mitbringen und welchen Einfluss dies auf eine mögliche Portierung und Verwendung in Android hat. Dabei wird auf Kernel-Ebene und Userland-Werkzeug-Ebene eingegangen. Ein geeignetes Dateiverschlüsselungsverfahren muss für Android zwei Probleme lösen: 1. Dateiverschlüsselung mit einem spezifizierten Schlüssel (für die /data Partition) 2. Dateiverschlüsselung mit einem zufälligen Schlüssel (für den /cache Einhängpunkt und das SQLite Journal) Operationsmodi: Name CBC w/ predictable IVs CBC w/ secret IVs CBC w/ random persector keys LRW XTS cryptoloop Ja Nein Nein Nein Nein dm-crypt Ja Ja Nein Ja, unter Verwendung von *-lrwbenbi ecryptfs Nein Ja Unbekannt Ja Ja loop-aes Name CBC w/ predictable IVs Legende: Ja,single-key, Ja, multi-key-neiv3 Nein Nein mode multi-key-v2 modes CBC w/ secret IVs CBC w/ random persector keys LRW Ja, unter Verwendung und *-xtsplain CBC with predictable IVs: The CBC (cipher block chaining) mode where initialization vectors are statically derived from the sector number and are not secret; this means that IVs are re-used when overwriting a sector and the vectors can easily be guessed by an attacker, leading to watermarking attacks. CBC with secret IVs: The CBC mode where initialization vectors are statically derived from the encryption key and sector number. The IVs are secret, but they are re-used with overwrites. Methods for this include ESSIV and encrypted sector numbers (CGD). CBC with random per-sector keys: The CBC mode where random keys are generated for each sector when it is written to, thus does not exhibit the typical weaknesses of CBC with re- XTS 2009 tarent GmbH 7-39

8 used initialization vectors. The individual sector keys are stored on disk and encrypted with a master key. (See GBDE for details) LRW: The Liskov-Rivest-Wagner tweakable narrow-block mode, a mode of operation specifically designed for disk encryption. Superseded by the more secure XTS mode due to security concerns. XTS: XEX-based Tweaked CodeBook mode (TCB) with CipherText Stealing (CTS), the SISWG (IEEE P1619) standard for disk encryption DM-Crypt DM-Crypt ist der Nachfolger von cryptoloop und verwendet das Logical-Volume-Management in Linux, um verschlüsselte Partitionen und Container zu ermöglichen. Zu diesem Zweck existieren konkurrierende terminal-basierte Userspace-Werkzeuge, die es ermöglichen verschlüsselte Volumes in das Dateisystem einzubinden: cryptmount cryptsetup Die Abhängigkeiten des Userspace-Werkzeuges cryptsetup als auch von cryptmount sind: Die aus GnuPG entstandenen Bibliotheken: 1. libgpg-error 2. libgcrypt und: libpopt libdevmapper Die Bibliotheken wurden nicht sämtlich auf Android portiert. Es kann nach jetzigen Einschätzungen jedoch davon ausgegangen werden, dass es möglich ist diese unter Android zu verwenden. Die Bibliothek libdevmapper befindet sich in einer angepassten Variante schon in Android, da das Einhängen von externen Massenspeichern durch das Devicer-Mapper-Konzept gelöst ist. Es ist bisher nicht bekannt, ob die in Android integrierte Variante für dm-crypt ausreicht. Es ist aber wahrscheinlich, dass eine angepasste Version in den Buildprozess integriert werden muss, damit die entsprechenden dm-crypt-userspace-werkzeuge auf Android laufen können. Die Bibliothek befindet sich in Android im external/-verzeichnis. Es ist ebenfalls möglich dm-crypt mit SmartCards zu verwenden (vgl tarent GmbH 8-39

9 DM-Crypt ist in bestimmten Konfigurationen anfällig für Watermark-Angriffe, so dass die Existenz von Dateien in einem verschlüsselten Volume nachgewiesen werden kann. Es ist möglich dm-crypt auch mit zufällig erstellen Schlüsseln zu betreiben, was im Falle der /cache Partition nötig werden kann Loop-AES Loop-AES verwendet wie die meisten CFS-Implementierungen ein Konzept, welches auf verschlüsselteten Container beruht, in denen ein eigenes Dateisystem untergebracht ist. Dazu verwendet Loop-AES den Loop-Treiber des Linux-Kernels. Es werden dabei die Blockorientierten Geräte als sogenannte Schleifen bekannt gemacht, die wiederum wie ein Blockorientiertes Gerät ins Dateisystem eingebunden werden. Ursprünglich diente dieses Konzept dazu, Dateisystem-Abbilder in das Dateisystem einzuhängen. Ein Beispiel ist das Einhängen eines ISO9660-CD-ROM-Abbildes. Loop-AES verwendet dagegen aber verschlüsselte Schleifen, so dass beim Einhängen nicht das verschlüsselte Block-orientierte Gerät angegeben wird, sondern die Schleife selbst, in der intern die Verschlüsselung aufgehoben wird, damit der Zugriff transparent ist. Loop-AES hat den Vorteil, dass es wenige Abhängigkeiten hat. Nachteil ist, dass es nicht im Mainline-Linux-Kernel integriert ist. Loop-AES besteht aus folgenden Komponenten: Kernel-Modul: Das Modul ist nicht im Mainline-Kernel integriert und muss als Quelldistribution heruntergeladen werden. Userspace-Werkzeuge: 1. Um verschlüsselte Loop-AES Container in das Dateisystem einzuhängen, werden die Werkzeuge losetup (und mount, es kann aber auch ein busybox mount verwendet werden. Das in Android vorhandende mount unterstützt kein Durchschleifen mit Hilfe des loop.ko Kernelmoduls. Für diese genannten Werkzeuge stehen in der Loop- AES Distribution Patches bereit. 2. GnuPG: Wird verwendet um die eigentlichen Schlüssel für das Dateisystem zu verschlüsseln. Der Benutzer wird nach dem Passwort des GPG-Containers gefragt, in dem die Schlüssel zur Container-Entschlüsselung abgelegt sind. Es ist möglich Loop-AES auch mit zufällig erstellen Schlüsseln zu betreiben, was im Falle der /cache Partition nötig werden kann. Es ist zu beachten, dass trotz des Namens Loop-AES, dieser nur die Vorgabchiffrierung bezeichnet. Eine Integration und Nutzung von anderen Algorithmen, wie z.b. Serpent oder Twofish, ist ebenfalls möglich tarent GmbH 9-39

10 Technische Evaluation Loop-AES verwendet einen modifizierten Loopback-Treiber von Linux. Zu diesem Zweck kann ein der Patch entweder gegen eine Kernelversion eingebracht werden oder ein modifiziertes Loop-Kernelmodul in das System geladen werden. Zur Zeit wurde der Patch gegen eine aktuelle Kernelversion eingespielt und diese im Emulator geladen. Vom System werden die Blockgeräte-Schleifen unterhalb von /dev dem System verfügbar gemacht. Entgegen anderen Linux-Systemem befinden sich die Loop-Device-Dateien nicht direkt in /dev sondern sind unter /dev/block zu finden. Die entsprechenden Gerätedateien werden vom init- Prozess erzeugt. Um die Erzeugung der Gerätedateien durch den init-vorgang zu forcieren, müssen diese im Quellcode des Systems eingefügt werden. Das entsprechende Verzeichnis ist system/core/init. Relevant sind hierbei die Dateien devices.h und devices.c. Bei der Evaluation wurde eine entsprechende Änderung dieser Dateien entwickelt. Der Schlüssel zum Entschlüsseln des Dateisystems wird mit GnuPG verwaltet. Diese Abhängigkeit konnte ebenfalls portiert werden. Des weiteren benötigt Loop-AES eine veränderte Variante des Werkzeuges losetup aus dem Projekt linux-utils. Dies ermöglicht auch verschlüsselte Loop-Schleifen im System zu verwenden. losetup verwendet einen GPG-Aufruf um den entsprechenden Master-Schlüssel zu entschlüsseln mit dem dann das Dateisystem entschlüsselt wird. Es mussten jedoch einige Anpassungen am losetup-werkzeug vorgenommen, werden damit sie unter Android lauffähig sind. lock() relevanter Code aus dem Werkzeug entfernt, da diese nicht in der Bionic genannten C-Laufzeitbibliothek implementiert sind. Die mlock-funktionsfamilie verhindert, dass der angegebene Speicherbereich in den Auslagerungsspeicher (Swap) gelangt. Ein solcher Speicher ist in Android jedoch nicht vorgesehen, daher kann auf die Funktionsaufrufe verzichtet werden. Desweiteren fehlt die getpass-funktion in der Bionic, mit der Passworteingaben auf der Kommandozeile durchgeführt werden und die Eingabe verdeckt ist. Es wurde daher die Datei getpass.c aus der NetBSD C-Laufzeitbibliothek nach losetup portiert und durch einen Funktions-Stub ersetzt, der das Passwort von der Console liest aber nicht ausblendet. Das von Android bereitgestellte mount-kommando unterstützt ebenfalls keine Loop-Schleifen. Jedoch reicht es aus, ein Busybox mount im System mitzuliefern, dass diese Fähigkeit bereits integriert hat. Bei GnuPG mussten einige include-anweisungen umgestellt werden, damit GnuPG gegen die libresolv der Bionic kompiliert und gebunden werden kann. Weiterhin fehlten einige Typ- Definitionen für DNS-relevante Funktionsaurufe. Es konnte mit der Portierung erfolgreich ein verschlüsselter Dateikontainer angelegt und in das Dateisystem eingehängt werden tarent GmbH

11 CryptoLoop CryptoLoop ist nicht zu empfehlen, da für die gesamte Verschlüsselung nur ein Schlüssel/Passwort verwendet wird. Es ist ebenfalls anfällig für Watermarking-Angriffe. DM- Crypt ist der offizielle Nachfolger von CryptoLoop ecryptfs ecryptfs unterscheidet sich von Blockgeräte-basierter Verschlüsselung und implementiert die sogenannte gestufte Dateisystem-Verschlüsselung, in dem auf einem anderen bereits bestehenden Dateisystem aufgesetzt wird. ecryptfs ist in der Subsystem für virtuelle Dateisystem (VFS) angesiedelt und kann die dort getätigten Aufrufe nach Bedarf umleiten. Auf diese Weise ist eine Verschlüsselung einzelner Verzeichnisse möglich, während die übrigen unangetastet bleiben. Dies hat zur Folge, dass Dateigrößen und Dateinamen im Allgemeinen nicht verborgen werden, wie das bei Blockgeräte-basierter Verschlüsselung der Fall wäre. Die Nutzung von ecryptfs ist auf die Unterstützung von sogenannten erweiterten Attributen (xattr) im Dateisystemtreiber angewiesen um Metadaten hinterlegen zu können (vgl. Im Hinblick auf die Nutzung innerhalb der Android Systemumgebung ist eine Anpassung der Bibliothek libecryptfs vorzunehmen. Dabei muss die Verwendung von Interprozesskommunikation mittels gemeinsam verwaltetem Speicher (SHM/IPC) durch OpenBinder und AshMem ersetzt werden. Zur technischen Evaluation ist es gelungen die zum Betrieb von ecryptfs nötigen Software- Artefakte zu portieren. Dazu gehören die Pakete "ecrypts-utils", welche zum Anlegen eines verschlüsselten Overlay-Dateisystems nötig sind und deren Abhängigkeit "keyutils". Das vollständige Anlegen gelang noch nicht und wird auf die detaillierte Konzeption im nächsten Meilenstein verschoben. 2.2 Unlock Policy Die Android-Plattform kapselt Unlock-spezifischen Code unterhalb von framework/policies/. Dazu gehört der Unlock der SIM-Karte und auch der Screen-Lock, welcher zur Zeit durch ein grafisches Unlock-Muster implementiert ist. Das Muster muss vom Benutzer korrekt mit den Fingern verbunden werden. An dieser Stelle müsste erweiternder Code implementiert werden, der beispielsweise eine SmartCard-PIN abfragt und die Entschlüsselung des Dateisystems unterhalb von /data auslöst. Zusätzlich wäre von Interesse, ob es ermöglicht werden kann die PIN der SIM-Karte als Schlüssel auf der SmartCard zu hinterlegen. Dies böte den Vorteil, dass der Benutzer nur eine PIN eingeben muss, um das Telefon voll zu entsperren. Die SIM-PIN ließe sich dann automatisiert von der SmartCard auslesen und das Entsperren für den Benutzer transparent gestalten. Hier ist zu Beachten, dass es ein sanftes Zurückfallen auf die ursprüngliche Funktionalität geben muss, falls keine SmartCard präsent ist. Hierbei muss auch beachtet werden, dass in 2009 tarent GmbH

12 einem solchen Fall kein Zugriff auf die verschlüsselte Datenpartition möglich ist. Ohne weitere Behandlung von /data könnte dies das Hochfahren installierter Applikationen behindern. Es ist zu evaluieren, in welchem Umfang die /data Partition an dieser Stelle schon verwendet wird. 2.3 Analyse des Life-Cycles der /data Partition Die /data Partition wird während des Hochfahrens des Gerätes eingehangen. Nach einer Analyse durch Entfernen der Inhalte wurde getestet, ob der Bootvorgang noch korrekt durchgeführt werden kann und so ermittelt, ob die Inhalte wie der Dalvik-Cache zum Boot- Zeitpunkt neu angelegt werden. Es konnte ein korrekter Boot durchgeführt werden, so dass die Systeme zur Verfügung stehen. Inhalte wurden neu angelegt. Entsprechend dort installierte Programme bleiben jedoch entfernt. Es sind jedoch nur Programme, die nach dem Boot zur Verfügung stehen (entsprechend als Benutzerapplikationen der Oberfläche). Eine mögliche Entschlüsselung während des Boots durch etwa eine SmartCard oder eine PIN-Abfrage, die in der /system Partition integriert ist (und somit zum Buildzeitpunkt zur Verfügung steht) kann eine Entschlüsselung der /data Partition auslösen. Eine Abhängigkeit des Bootvorganges auf /data ist daher durch diesen Versuch widerlegt. 2.4 Analyse des Life-Cycles der sql journaling Partition Die SQL-Journaling-Partition kann in zur /cache-partition äquvivalenterweise behandelt werden. Daher wird auf die Wiederholung der oben getroffenen Aussagen verzichtet. 2.5 Analyse des Life-Cycles der /cache Partition Die Cache-Partition wird für folgende Funktionen als temporäre Ablage verwendet: GMail Attachment Previews Browser DRM Downloads OTA Updates vom Telefon-Hersteller Die Cache-Partition kann mit einer Technik verschlüsselt werden, die zufällige Schlüssel verwendet. Dies bedeutet, dass bei jedem Start zufällige Schlüssel verwendet werden. Dies ist möglich, da die dort gespeicherten Daten einen Neustart nicht überdauern müssen. 2.6 Forcierung der Nutzung von Verschlüsselung Die Anwendungsdaten aller Android-Applikationen werden wie in der Sicherheitsanalyse beschrieben unterhalb von /data abgelegt. Alle anderen Dateisystempunkte sind nur-lesend eingehangen. Eine Forcierung von Verschlüsselung aller Nutzerdaten, so dass diese transparent verwendet werden kann, muss gewährleisten, dass dieser Einhängpunkt verschlüsselt werden kann. Da auch kein Temporär-Dateisystem eingehängt ist, bleibt /data 2009 tarent GmbH

13 der einzige Ort an der überhaupt neue Dateien abgelegt werden können. So kann auch kein Systemdienst versehentlich Dateien an anderen Orten speichern, da die nur-lesend-eigenschaft des Dateisystems vom Kernel durchgesetzt wird. Es ist zu beachten, dass es eine als /cache eingehängt Partition gibt. Diese könnte Dateien oder Daten enthalten, die sensibler Natur sind. Es muss noch evaluiert werden, ob diese mit einer Swap-Verschlüsselungs-Strategie bei jedem Boot mit einem zufälligen Schlüssel eingehängt werden kann. Dies ist dann möglich, wenn diese Daten nicht persistent sein müssen. 2.7 SCM Die folgenden Artefakte wurden im Evaluationsprozess für Android portiert und in ein SCM eingefügt Linux-Utils losetup losetup dient dem Einrichten von Schleifen über Blockgeräte. So können virtuelle Blockgeräte eingerichtet und wie normale Massenspeicher in das System eingehängt werden. Die Applikation wurde aus dem linux-utils Projekt entnommen und mit dem Loop-AES Patch versehen. Zusätzlich wurde ein Android.mk Makefile angelegt, so dass die Quellen vom Android-Buildprozess übersetzt und entstehende Artefakte in das System-Image eingefügt werden. git clone GnuPG Version 1 GnuPG wird von Loop-AES verwendet, um Schlüssel für das Dateisystem selbst zu verschlüsseln. Es wird dann von losetup selbst aufgerufen, um den Master-Schlüssel zu entschlüsseln. Es wurde Version 1 verwendet, da es als Komplett-Distribution vorliegt und nicht als eine Sammlung von mehreren Bibliotheken. Es ist jedoch zu erwarten, dass eine Verwendung einer aktuellen Version (2.x) ebenfalls möglich ist. Zusätzlich wurde ein Android.mk Makefile angelegt, so dass die Quellen vom Android-Buildprozess übersetzt und entstehende Artefakte in das System-Image eingefügt werden. git clone Linux Goldfish Branch mit Loop-AES-Patch Eine Tracking-Zweig des Android-Goldfish-Kernels wurde erstellt und der Loop-AES Patch darauf angewendet. Die gleiche Strategie kann für andere Produkte (G1, HTC Dream usw.) verwendet werden. git clone 2009 tarent GmbH

14 2.7.4 libgpg-error (für libgcrypt, eine Abhängigkeit von cryptmount/cryptsetup) Die libgpg-error-bibliothek ist eine Teilbibliothek der GnuPG2 Distribution. Sie wird hauptsächlich von libgrypt verwendet und wird für die cryptmount und cryptsetup Werkzeuge benötigt, welche Teil der dm-crypt basierten Verschlüsselungstechnik sind. git clone 2.8 Einschränkungen Die Einschränkungen hängen stark von der eingesetzten Lösung ab und werden daher im späteren Projektverlauf detailliert, wenn eine konkrete Verschlüsselungstechnologie festgelegt wurde. 2.9 Externe Massenspeicher Externe Massenspeicher können theoretisch auch verschlüsselt eingebunden werden, wenn der Automounter dahingehend angepasst wird. In diesem Fall sprechen wir von der eigens für Android entwickelten Applikation "vold" (vgl. Sicherheitsanalyse), die eine Magic-Erkennung der Dateisysteme durchführt. Eine zu detaillierende Frage ist an dieser Stelle, wie passende Schlüssel zu spezifischen Datenträgern zugeordnet werden können Transparenz für Plattform Sobald ein bestimmter Einhängepunkt als verschlüsseltes Medium dem System bekannt gemacht wurde, ist es für Anwendungen transparent, ob diese verschlüsselt sind oder nicht. Ein Zugriff gestaltet sich wie der Zugriff auf ein normales unverschlüsseltes Blockgerät. Daten können auf der Android-Plattform auch nur unterhalb von /data abgelegt werden (/cache und externe Massenspeicher bilden eine Ausnahme). Ist daher unterhalb von /data ein verschlüsselter Einhängepunkt, so wird für jede Anwendung transparent, ob sie auf ein verschlüsseltes Speichermedium zugreift. Der gleiche Umstand gilt für das Einschieben von SD-Karten (oder anderen externen Massenspeichern). Ist ein verschlüsseltes Medium eingehangen wird der Zugriff unterhalb des Einhängepunktes transparent verschlüsselt. In diesem Fall ist jedoch zu Beachten, dass es für die Anwendung nicht feststellbar ist, ob sie auf ein verschlüsseltes oder unverschlüsseltes Medium zugreift Erweiterung Algorithmen Die Integration von neuen Algorithmen zur Laufzeit des Systems ist von keiner Verschlüsselungssoftware vorgesehen. Der übliche Prozess einem System einen neuen Algorithmus bekannt zu machen, läuft über die Integration in den Kernel. Im besten Fall lässt sich der Algorithmus als neues Kernel-Modul bekannt machen. Dies erfordert jedoch immer 2009 tarent GmbH

15 noch einen hohen Arbeitsaufwand und ist ein sehr technischer Prozess SmartCard als Vertrauensanker Generisches Schlüsselmaterial kann auf einer SmartCard abgelegt werden. Daher ist es für die Implementierungen DM-Crypt und Loop-AES möglich die zur Entschlüsselung des Dateisystems nötigen Schlüssel auf einer SmartCard abzulegen. Vgl. für Loop-AES Vgl. für DM-Crypt 2.13 Performanz-Messungen Um einzuschätzen inwieweit die eingebrachte Verschlüsselung den Betrieb des Gerätes beeinflusst, wird folgendes Verfahren vorgeschlagen: Durch Lasterzeugung mittels definierter Schreib- und Leseoperationen auf einem Blockgerät wird auf dem konkreten Endgerät eine Last erzeugt. Die Lasterzeugung wird einmal auf einem unverschlüsselten Blockgerät erzeugt und im einem zweiten Experimentschritt auf einem verschlüsselten. Für beide Schritte kommt das gleiche System-Image zum Einsatz, wodurch sich Hardware als auch Betriebssystemkern nicht unterscheiden. Die Werkzeuge zur Lasterzeugung werden mittels den Programmen systat und time überwacht und die entsprechend verbrauchte CPU-Zeit gemessen. Aus der verbrauchten CPU-Zeit lassen sich im Anschluss Aussagen über die Leistungseinbußen verschlüsselter Blockgeräte in Relation zu unverschlüsselten treffen. Aus den Ergebnissen werden, falls notwendig, konkrete Maßnahmen abgeleitet und erarbeitet, um die Verringerung der Systemleistung zu minimieren. Dies ist vor allem dann der Fall, wenn der reibungslose Betrieb des Gerätes durch die Verwendung von Verschlüsselung nicht mehr gewährleistet ist Fazit Wie bei allen eingebetteten System auf Linux-basis üblich kommt als Dateisystem für die NAND-Flashbausteine ein an diese Speichertechnologie angepasstes Dateisystem zum Einsatz. Im Falle von Android ist dies YAFFS2 (Yet Another Flash Filesystem 2). Im Gegensatz zu anderen Dateisystemen wie EXT2/3/4 oder FAT kann YAFFS2 nur auf sogenannte MTD- Blockgeräte (memory technology device) angewendet werden und verweigert bei normalen Blockgeräten den Dienst. Der Hintergrund für diese Einschränkung ist, dass sich die MTDfähigen Dateisysteme um eine Effiziente Nutzung der Flashspeicherzellen kümmern, wodurch sicher gestellt wird, dass diese eine lange Lebensdauer besitzen. Ein Problem ensteht nun dadurch, dass die Container-basierten Verschlüsselungsverfahren immer ein normales Blockgerät voraussetzen, während YAFFS2 ein MTD-Blockgerät benötigt tarent GmbH

16 Dadurch wird der direkte Einsatz von YAFFS2 mit dm-crypt, Loop-AES und Cryptoloop verhindert. Eine Lösung des Problems besteht darin, die Dateisysteme als Dateien innerhalb einer YAFFS2-Partition anzulegen und mit Hilfe des loop-treibers als Blockgerät zu exportieren. Eine andere Möglichkeit besteht in der Verwendung des gestuften Verschlüsselungsverfahrens ecryptfs. Hier wird die Unterstützung des Dateisystemtreibers für erweiterte Attribute erwartet. Diese Unterstützung ist im derzeitigen Entwicklungsstand von YAFFS2 nicht enthalten und existiert nur in einem frühen Patch (Vgl. Eine Weiterentwicklung desselben ist für eine Nutzung von ecryptfs mit YAFFS2 notwendig. 3 Virtual Private Network Dieser Abschnitt beschreibt wie eine Virtual Private Network (VPN) Unterstützung in Android integriert werden könnte. Zu diesem Zweck wird zunächst analysiert, ob bereits Vorkehrungen zur deren Unterstützung in Android vorfindbar sind. Im Anschluss wird auf die technischen Merkmale der Plattform eingegangen und welche Schwierigkeiten sie für eine Umsetzung einer VPN-Lösung bedeuten. Danach werden zwei mögliche technische Implementierungen vorgestellt, die VPN unter Android ermöglichen könnten. Es wird auf deren Abhängigkeiten eingegangen. Für ein Verfahren wird eine Portierung vorgestellt, die es ermöglicht mit einem implementierten Demonstrator eine VPN-Verbindung innerhalb einer Applikation aufzubauen. Weiterhin wird untersucht, welche Voraussetzungen herrschen müssen, damit Schlüsselmaterial von einer SmartCard gelesen werden kann. 3.1 Ist-Analyse Wie in der Sicherheitsanalyse Android bereits beschrieben, steht keine VPN-Unterstützung in der Android-Plattform zur Verfügung. Durch inhaltlichen Austausch mit Google wurde erfahren, dass eine Integration des L2T-Protokolls geplant ist. Dieses unterstützt jedoch keine Verschlüsselung und wird aus diesem Grund zusammen mit IPSec eingesetzt. Für OpenVPN als VPN-Alternative muss beachtet werden, dass es den TUN/TAP-Treiber aus dem Mainline-Kernel benötigt, der bei der Standard-Konfiguration der Plattform zur Zeit nicht enthalten ist und eine Neuübersetzung des Linux-Kernels erfordert. 3.2 Umsetzbarkeit einer VPN-Lösung Die Umsetzung einer VPN-Lösung bedarf der Portierung einer geeigneten Software. Die Eignung ergibt sich aus den Beschränkungen, die von der Android-Plattform mitgebracht werden. Dazu gehört vor allem die minimale Ausstattung an Systembibliotheken und die minimalisierte C-Standard-Bibliothek. Die minimale Anzahl an Systembibliotheken behindert vor allem eine erleichterte Portierung von Software, die auf mehreren weiteren nicht für Android verfügbaren Bibliotheken aufsetzt. Die minimalisierte C-Standard-Bibliothek behindert vor allem die Nutzung bestimmter Programmfähigkeiten tarent GmbH

17 Eingeschränkt ist daher die Verwendbarkeit aller möglichen Funktionen einer VPN-Software. Ein Beispiel ist das sog. privilege dropping von Software durch die Verwendung von setuid()- Funktionen der Standard-Bibliothek, um Berechtigungen während der Ausführung der Software abzugeben. Im konkreten Fall lässt sich der Benutzer root nach dem Start der Software nicht mehr wechseln. Diese Methodik wird von Linux-Software verwendet, um Privilegien, wie das Anlegen von TCP/IP-Port unterhalb von 1024, nach Erledigung dieser Aufgabe abzulegen tarent GmbH

18 3.3 Technologieevaluation Zur technischen Evaluation wurden zwei VPN-Implementierungen in Betracht gezogen: OpenVPN (Nachfolger des PPT-Protokolls) L2TP mit IPSec Für OpenVPN wurde eine demonstrierende Portierung vorgenommen und Steuerungs- bzw. Integrationsstrategien betrachtet. Dies geschah auch im Zusammenhang mit der Integration einer SmartCard als Vertrauensanker, um beispielsweise Schlüsselmaterial auf einer SmartCard abzulegen. Für L2TP mit IPSec wurde keine Portierung vorgenommen. Es wurden verschiedene Implementierungen und deren Abhängigkeiten sowie deren Eignung zur Portierung auf Android überprüft. Hier wurde zunächst keine Portierung vorgenommen, da von dem Wissen über mögliche Probleme aus der OpenVPN-Analyse zurückgegriffen wurde OpenVPN OpenVPN wurde im Verlauf der technischen Evaluation in den Android-Buildprozess eingefügt, so dass automatisch ein System-Image mit entsprechenden Programmen erzeugt wird. Zu diesem Zweck musste eine entsprechende Konfiguration für Android erstellt werden, die sonst über das Autoconf-Werkzeug automatisch erzeugt wird. In dieser werden bestimmte Fähigkeiten von OpenVPN entweder aktiviert oder deaktiviert, je nachdem welche Möglichkeiten die System-Umgebung bietet. Zusätzlich wurde ein Android.mk Makefile angelegt, welches die Verantwortung trägt, dass die Quellen in richtiger Weise kompiliert und gebunden werden. Beachtenswert ist noch, dass die Kernel-Konfiguration eine Umstellung benötigt. OpenVPN verwendet den TUN/TAP-Treiber des Mainline-Kernels, um Tunnel-Netzwerkschnittstellen zu verwenden. Eine Tunnel-Netzwerkschnittstelle wird wie eine normale TCP/IP-unterstützende Netzwerkschnittstelle verwendet. Sie ist am Präfix "tun" zu erkennen, während beispielsweise Ethernetkarten üblicherweise mit dem Präfix "eth" beginnen. Sämtlicher Traffic, der durch Routing-Logik über diese Schnittstelle hinaus geht (oder hereinkommt), ist VPN-Traffic, also verschlüsselt Abhängigkeiten Um OpenVPN erfolgreich zu übersetzen ist die Bereitstellung folgender Abhängigkeiten zu gewährleisten: TUN/TAP-Treiber: Ist im Mainline-Kernel integriert, muss aber durch entsprechende Konfiguration aktiviert werden. OpenSSL: Ist in Android bereits integriert. Der Versionsstand reicht für die Verwendung mit OpenVPN aus. iproute: iproute dient OpenVPN zum beeinflussen der Routing-Tabelle. Android bietet 2009 tarent GmbH

19 hier kein entsprechendes Programm an, es besteht aber die Möglichkeit iproute aus der Busybox-Distribution zu verwenden. ifconfig: Das von Android bereitgestellte ifconfig reicht nicht aus. Hier kann die Version aus dem Busybox Projekt verwendet werden Remote Management OpenVPN bietet eine Schnittstelle für die Steuerung aus der Ferne (remote management interface, vgl. Diese Schnittstelle erlaubt es eine konkrete Instanz von OpenVPN zu kontrollieren. Dabei ist es nicht möglich eine Verbindung mit einer anderen Gegenstelle aufzubauen. Es kann nur die konkrete Verbindung verwaltet werden. Hierbei ist es von Interesse, dass ermöglicht wird, den Zustand von OpenVPN zu erfragen, z.b. ob zur Zeit eine Verbindung mit der Gegenstelle existiert. Ein Problem mit dieser Steuerungsmöglichkeit ist, dass es zu verhindern gilt, dass sich unberechtigte Prozesse damit verbinden. Eine Lösung bestünde darin das Android-eigene Binder-Interprozesskommunikationssystem zu verwenden. Dies ist jedoch möglicherweise mit größerem Aufwand verbunden, insbesondere wenn das OpenVPN-Projekt sich gegen eine Aufnahme der dazu notwendigen Änderungen ausspricht Verwendung von Schlüsseln Beim Start von OpenVPN muss der Schlüssel zur Verbindung angegeben werden, d.h. es muss ein Dateisystemabbild des Schlüssels an einer definierten Stelle liegen. Das erschwert die Verwendung eines Content-Providers für Schlüsselmaterial, da die Schlüssel nach Extraktion ein Dateisystemabbild haben müssen. OpenVPN müsste daher entweder so erweitert werden, dass es die Schlüssel von einem ContentProvider entgegen nehmen kann, oder es wird eine Hilfsanwendung entwickelt, die die Schlüssel von einem ContentProvider abruft und entsprechend den Anforderungen von OpenVPN als Dateisystemabbild speichert L2TP und IPSec L2TP unter Verwendung von IPSec kann mit mehreren konkurrierenden Verfahren gelöst werden. Technisch ausgereift und weiterhin unter fortlaufender Entwicklung ist jedoch nur die StrongSWAN-Implementierung StrongSWAN Komponenten von StrongSWAN machen Gebrauch von der sogenannten Thread-Cancellation- Technik, welche in der derzeitigen Version der Bionic-Laufzeitbibliothek nicht enthalten und für 2009 tarent GmbH

20 spätere Versionen nicht vorgesehen ist. Ein Teil des StrongSWAN-Systems, der Charon-Keyring- Daemon, konnte als Nutzer des Thread-Cancelling ausgemacht werden. Es besteht die Möglichkeit diesen zum Buildzeitpunkt auszuschalten und auf den Pluto-Keyring-Daemon auszuweichen, welcher auf Threading verzichtet. StrongSWAN benötigt im weiteren IPSec Kernel Module. Der entsprechende xl2tpd Daemon, den man dazu verwenden kann ist eine übersichtliche Anwendung, deren Portierung keine großen Aufwände bedeuten würde. Die Anwendung verwendet das im Kernel enthaltene l2tp Modul, wodurch keine Modifikation der Android-Kernelquellen notwendig ist. StrongSWAN kann ebenfalls mit Schlüsseln von SmartCards umgehen. Dazu ist es nötig die Bibliothek des OpenSC-Projektes zu verwenden, um die Karten bzw. Leser mittels des PKCS11 API anzusprechen. 3.4 Durchstich mit OpenVPN Einschränkungen Derzeit existiert keine Kontrollmöglichkeit welche Applikation die Verbindung nutzen kann. Ist ein VPN-Tunnel aufgebaut, kann jede Applikation mit Internetzugang auf das VPN zugreifen. Es ist möglich den Auf- und Abbau einer Verbindung zu kontrollieren. Welche Anwendung den Tunnel verwendet, kann technisch nicht kontrolliert werden, da das Öffnen von Sockets zwar durch die Android-Erweiterung kontrolliert werden kann, es ist aber keineswegs möglich zu kontrollieren, wohin diese Sockets Netzwerkverkehr schicken oder woher sie ihn empfangen. Dies wäre nötig, um einer Applikation zwar zu erlauben Internet zu verwenden, jedoch nicht über die vom VPN bereitgestellte Verbindung zu kommunizieren Aufbau des Tunnels Der Tunnel kann als Dienst unter Android bereitgestellt werden. Der Dienst bietet nach Außen ein API an, mit dessen Hilfe dieser gestartet werden kann. Ein Dienst ist ein Hintergrundprozess der Android-Plattform. Er bietet weiterhin die Möglichkeit den Benutzer über den Stand der VPN-Verbindung visuell zu benachrichtigen. Es ist ebenfalls möglich den Start eines VPN-Dienstes in die DHCP-Hooks einzubinden, so dass der Tunnel automatisch beim Start einer Konnektivität hochgefahren wird. Es ist dort aber schwieriger für den korrekten Auf- und Abbau Sorge zu tragen, da die Konnektivität oft unterbrochen wird. Es müsste ein zuverlässiges System zum Auf- und Abbau entworfen werden Forcierung der Nutzung des Tunnels Eine Möglichkeit durch Definition einer Systemrichtlinie für den Netzwerkverkehr besteht zur Zeit innerhalb der Androidplattform nicht. Diese Richtlinie wäre nötig, um zu verhindern, dass Applikationen einen unverschlüsselten Kanal verwenden, obwohl das VPN aufgebaut ist. Die Durchsetzung einer solchen Richtlinie kann durch die Verwendung eines Paketfilters erreicht 2009 tarent GmbH

Android Security. Christian Küster LinuxTag 2009. 25.6.2009 Christian Küster

Android Security. Christian Küster <c.kuester@tarent.de> LinuxTag 2009. 25.6.2009 Christian Küster Android Security Christian Küster LinuxTag 2009 Agenda Sicherheitskonzept der Android-Plattform (eine Bestandsanalyse) Einführung - Was ist Android? (Interessante) Komponenten von

Mehr

Android Security. FrOSCon 2009. Christian Küster 22.8.2009 Christian Küster

Android Security. FrOSCon 2009. Christian Küster <c.kuester@tarent.de> 22.8.2009 Christian Küster Android Security Christian Küster FrOSCon 2009 Agenda Sicherheitskonzept der Android-Plattform (eine Bestandsanalyse) Einführung - Was ist Android? (Interessante) Komponenten von

Mehr

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt LUSC Workshopweekend 2008 Verschlüsselung mit Truecrypt Zusammenfassung Teil 1 Was ist Truecrypt? Warum Truecrypt? Was macht die Software? Verschiedene Varianten Anwendungsmöglichkeiten Gundlagen 1, 2

Mehr

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Wie wird auf Festplatten zugegriffen? Es gibt nur einen Verzeichnisbaum, siehe Verzeichnisse Es gibt

Mehr

Detailkonzept. Android Security. Christian Küster. Erstellt am 21.10.09. Status in Bearbeitung ( ) vorgelegt () abgenommen () Version 01.01.00.

Detailkonzept. Android Security. Christian Küster. Erstellt am 21.10.09. Status in Bearbeitung ( ) vorgelegt () abgenommen () Version 01.01.00. Detailkonzept Projektbezeichnung Verantwortlich AG Verantwortlich AN Autor Oliver Zendel, BSI Sebastian Mancke, Stefan Walenda Christian Küster Erstellt am 21.10.09 Status in Bearbeitung ( ) vorgelegt

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18 etoken unter Linux Frank Hofmann Berlin 16. April 2009 Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18 Inhalt 1 etoken im Überblick 2 Verfügbare Software und Bibliotheken 3 Integration

Mehr

Verschlüsselte Dateisysteme unter Linux

Verschlüsselte Dateisysteme unter Linux Verschlüsselte Dateisysteme unter Linux Michael Gebetsroither http://einsteinmg.dyndns.org gebi@sbox.tugraz.at Einteilung Theorie Kurze Einführung Verschiedene Möglichkeiten der Verschlüsselung Unsicherheitsfaktoren

Mehr

Festplattenverschlüsselung

Festplattenverschlüsselung Festplattenverschlüsselung TrueCrypt Sebastian Berschneider sebastian.berschneider@informatik.stud.uni-erlangen.de 1 6. J u n i 2 0 1 0 Motivation Bei physischem Zugang des Angreifers können Schutzsysteme

Mehr

Dateisysteme mit Plugin-Funktion

Dateisysteme mit Plugin-Funktion Dateisysteme mit Plugin-Funktion Basierend auf Reiser 4 unter Linux http://llugb.amsee.de/logo.gif Ausgearbeitet und vorgetragen von Michael Berger 1/23 Agenda Die Idee Dateisysteme mit Plugin-Funktion

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

Verschlüsselung von Daten mit TrueCrypt

Verschlüsselung von Daten mit TrueCrypt Sicherheitstage SS/09 Verschlüsselung von Daten mit TrueCrypt Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN TrueCrypt - frei verfügbare, quelloffene Verschlüsselungssoftware für Windows und Linux - On-the-fly-Verschlüsselung/Entschlüsselung:

Mehr

Smartcards unter Linux

Smartcards unter Linux Smartcards unter Linux Seminar Betriebssystemdienste und Administration Michael Grünewald Hasso-Plattner-Institut 18. Juni 2008 Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 1 / 17 Agenda

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Filesystem in Userspace. Jens Spiekermann

Filesystem in Userspace. Jens Spiekermann Filesystem in Userspace Jens Spiekermann Aufbau Was ist FUSE? Grundlagen Wie funktioniert FUSE? Eigenschaften Vorteile Nachteile Wofür kann man FUSE nutzen? Wie wird FUSE benutzt? Abschluss Quellen 2/23

Mehr

HOWTO TrueCrypt mit Chipkarte

HOWTO TrueCrypt mit Chipkarte HOWTO TrueCrypt mit Chipkarte Erstellt von Silvia Straihammer, BSc silvia.straihammer@cryptas.com Dokument Version Erstellungsdatum v1.0 07/2011 CRYPTAS it-security GmbH Franzosengraben 8 : A-1030 Wien

Mehr

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework 1. Software-Plattform Android Android Was ist Android? Plattform und Betriebssystem für mobile Geräte (Smartphones, Mobiltelefone, Netbooks), Open-Source Linux-Kernel 2.6 Managed Code, Angepasste Java

Mehr

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Kernel Programmierung unter Linux. Programmierung von Kernelmodulen. Referent Klaus Ruhwinkel

Kernel Programmierung unter Linux. Programmierung von Kernelmodulen. Referent Klaus Ruhwinkel Kernel Programmierung unter Linux Programmierung von Kernelmodulen Referent Klaus Ruhwinkel Das Betriebssystem Aufbau des Betriebssystem: Es besteht aus den Betriebssystemkern und den sonstigen Betriebssystemkomponenten

Mehr

Handbuch für Android 1.5

Handbuch für Android 1.5 Handbuch für Android 1.5 1 Inhaltsverzeichnis 1 Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 3 2. Installation... 5 3. Grundfunktionen... 5 3.1 Einrichtung von Boxcryptor

Mehr

DDBAC-SDK unter Linux (mit Wine) Installationsanleitung

DDBAC-SDK unter Linux (mit Wine) Installationsanleitung DDBAC-SDK unter Linux (mit Wine) Installationsanleitung Installation von Wine Einleitung Übersicht Titel Thema Datei DDBAC-SDK unter Linux (mit Wine) Installationsanleitung DDBAC_Wine_Installation.doc

Mehr

Verschlüsselte Heimatverzeichnisse in Linux

Verschlüsselte Heimatverzeichnisse in Linux Verschlüsselte Heimatverzeichnisse in Linux Konzepte, Wahl der Implementierung, Setup Rainer Poisel (rpoisel) rpoisel@fhstp.ac.at IT-SecX Gliederung I Verschlüsselung Hands On! (1) Pluggable Authentication

Mehr

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch)

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch) Good Dynamics by Good Technology eberhard@keyon.ch brunner@keyon.ch V1.1 2012 by keyon (www.keyon.ch) 1 Über Keyon Experten im Bereich IT-Sicherheit und Software Engineering Als Value added Reseller von

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr

IRF2000, IF1000 Application Note ModbusTCP API

IRF2000, IF1000 Application Note ModbusTCP API Version 2.0 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note ModbusTCP API Version 2.0 Stand: 28.10.2014 ads-tec GmbH 2014 IRF2000 IF1000 2 Inhaltsverzeichnis 1 Einführung... 3 2

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

Leitfaden zur Installation von BitByters.Backup

Leitfaden zur Installation von BitByters.Backup Leitfaden zur Installation von BitByters.Backup Der BitByters.Backup - DASIService ist ein Tool mit dem Sie Ihre Datensicherung organisieren können. Es ist nicht nur ein reines Online- Sicherungstool,

Mehr

Jan Mönnich dfnpca@dfn-cert.de

Jan Mönnich dfnpca@dfn-cert.de Crypto-Token in der Praxis Jan Mönnich dfnpca@dfn-cert.de Warum Crypto-Token? Auf Crypto-Token werden private Schlüssel nicht extrahierbar gespeichert Crypto-Operationen werden direkt auf dem Gerät durchgeführt

Mehr

Benutzerdokumentation Web-Portal

Benutzerdokumentation Web-Portal GRUPP: SWT0822 Benutzerdokumentation Web-Portal Yet Another Reversi Game Martin Gielow, Stephan Mennicke, Daniel Moos, Christine Schröder, Christine Stüve, Christian Sura 05. Mai 2009 Inhalt 1. Einleitung...3

Mehr

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013. Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 2 Aufgabe 1. Wir wissen,

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Handbuch für Mac OS X 1.3

Handbuch für Mac OS X 1.3 Handbuch für Mac OS X 1.3 Inhaltsverzeichnis 1. Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 4 2. Installation... 5 2.1 Installation von Boxcryptor Classic... 5 2.2

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Smartphone Entwicklung mit Android und Java

Smartphone Entwicklung mit Android und Java Smartphone Entwicklung mit Android und Java predic8 GmbH Moltkestr. 40 53173 Bonn Tel: (0228)5552576-0 www.predic8.de info@predic8.de Was ist Android Offene Plattform für mobile Geräte Software Kompletter

Mehr

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der RACFBroker/z Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/z ist ein Produkt der XPS Software GmbH Eching RACFBroker/z XPS Software GmbH Untere Hauptstr. 2

Mehr

Präsentation. homevisu Familie. Peter Beck. Juni 2011. www.p-b-e.de. 2011 p b e Peter Beck 1

Präsentation. homevisu Familie. Peter Beck. Juni 2011. www.p-b-e.de. 2011 p b e Peter Beck 1 Präsentation homevisu Familie Peter Beck Juni 2011 2011 p b e Peter Beck 1 Funktionensumfang Der Funktionsumfang das provisu Framework. Modular und durch Plug-In erweiterbar / anpassbar. Plug-In Schnittstelle

Mehr

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6 Inhaltsverzeichnis. Remote Access mit SSL VPN a. An wen richtet sich das Angebot b. Wie funktioniert es c. Unterstützte Plattform d. Wie kann man darauf zugreifen (Windows, Mac OS X, Linux) 2. Aktive WSAM

Mehr

VPNs mit OpenVPN. von Michael Hartmann

VPNs mit OpenVPN. von Michael Hartmann <michael.hartmann@as netz.de> VPNs mit OpenVPN von Michael Hartmann Allgemeines Was ist ein VPN? VPN: Virtual Privat Network (virtuelles, privates Netzwerk) Tunnel zwischen zwei Rechnern durch ein (unsicheres)

Mehr

PARAGON Encrypted Disk

PARAGON Encrypted Disk PARAGON Encrypted Disk Anwenderhandbuch Paragon Technologie, Systemprogrammierung GmbH Copyright Paragon Technologie GmbH Herausgegeben von Paragon Technologie GmbH, Systemprogrammierung Pearl-Str. 1 D-79426

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

KURZANLEITUNG CLOUD BLOCK STORAGE

KURZANLEITUNG CLOUD BLOCK STORAGE KURZANLEITUNG CLOUD BLOCK STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung......Seite 03 2. Anlegen eines dauerhaften Block Storage...Seite 04 3. Hinzufügen von Block Storage

Mehr

LuksCrypt Grundlagen. Festplatte und USB-Stick verschlüsseln unter GNU/Linux. 2015 etc

LuksCrypt Grundlagen. Festplatte und USB-Stick verschlüsseln unter GNU/Linux. 2015 etc LuksCrypt Grundlagen Festplatte und USB-Stick verschlüsseln unter GNU/Linux 2015 etc Motivation Daten auf mobilen Geräten (Laptop) vor fremden Zugriff sichern Probleme mit einer verschlüsselten Festplatte

Mehr

Laufwerk-Verschlüsselung mit BitLocker

Laufwerk-Verschlüsselung mit BitLocker Laufwerk-Verschlüsselung mit Microsoft BitLocker 1 Allgemeine Informationen... 3 1.1 Informationen zu diesem Dokument... Fehler! Textmarke nicht definiert. 1.1.1. Version und Änderungen... Fehler! Textmarke

Mehr

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777 Fernzugriff mit der ETS Achatz 3 84508 Burgkirchen Tel.: 08677 / 91 636 0 Fax:

Mehr

SCMS Admin-PKI: Checkliste für ServiceDesk

SCMS Admin-PKI: Checkliste für ServiceDesk Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances Wildhainweg 9 Postfach 6935 3001 Bern Telefon 031

Mehr

Virtualisierung mit Virtualbox

Virtualisierung mit Virtualbox Virtualisierung mit Virtualbox Dies ist kein Howto im herkömmlichen Sinne. Genaue Anleitungen für Virtualbox gibt es im Intenet genug. Zu empfehlen ist auch das jeweils aktuelle Handbuch von Virtualbox

Mehr

Mobile Application Development

Mobile Application Development Mobile Application Development Android: Einführung Jürg Luthiger University of Applied Sciences Northwestern Switzerland Institute for Mobile and Distributed Systems Lernziele Der/die Kursbesucher/in kann

Mehr

Sicherheit von Smartphone-Betriebssystemen im Vergleich. Andreas Jansche Gerhard Klostermeier

Sicherheit von Smartphone-Betriebssystemen im Vergleich. Andreas Jansche Gerhard Klostermeier Sicherheit von Smartphone-Betriebssystemen im Vergleich Andreas Jansche Gerhard Klostermeier 1 / 24 Inhalt ios Sicherheitsmechanismen allgemein Sicherheits-APIs weitere Features Probleme Android Architektur

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

CFS und TCFS. Proseminar Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit. 1. Ziele eines verschlüsselten Dateisystems

CFS und TCFS. Proseminar Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit. 1. Ziele eines verschlüsselten Dateisystems Proseminar Konzepte von Betriebssystem-Komponenten Schwerpunkt Sicherheit CFS und TCFS Franz Hirschbeck franz@hirschbeck.net 1. Ziele eines verschlüsselten Dateisystems Seine Dateien vor ungewollten Einblicken

Mehr

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration Dominik Helleberg inovex GmbH Android-Enterprise- Integration Dominik Helleberg Mobile Development Android HTML5 http://dominik-helleberg.de/+ http://twitter.com/_cirrus_ Agenda Intro Enterprise Apps /

Mehr

1. Vorbereiten das Host, folgende Software Pakete müssen installiert werden: gnome-devel bison flex texinfo libncurses5-dev git codeblocks putty

1. Vorbereiten das Host, folgende Software Pakete müssen installiert werden: gnome-devel bison flex texinfo libncurses5-dev git codeblocks putty 1. Vorbereiten das Host, folgende Software Pakete müssen installiert werden: gnome-devel bison flex texinfo libncurses5-dev git codeblocks putty 2. Buildroot installieren Buildroot (www.buildroot.org)

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Univention Corporate Client. Quickstart Guide für Univention Corporate Client

Univention Corporate Client. Quickstart Guide für Univention Corporate Client Univention Corporate Client Quickstart Guide für Univention Corporate Client 2 Inhaltsverzeichnis 1. Einleitung... 4 2. Voraussetzungen... 5 3. Installation des UCS-Systems... 6 4. Inbetriebnahme des Thin

Mehr

Collax NCP-VPN. Howto

Collax NCP-VPN. Howto Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender

Mehr

Picosafe. Open Source USB-Sticks für Sicherheitsanwendungen. Michael Hartmann 17. März 2013

Picosafe. Open Source USB-Sticks für Sicherheitsanwendungen. Michael Hartmann <hartmann@embedded-projects.net> 17. März 2013 Picosafe Open Source USB-Sticks für Sicherheitsanwendungen Michael Hartmann 17. März 2013 Über Referent: - Student an der Universität Augsburg (Physik) - Linux und Open

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux

Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux Voraussetzungen: Die Installation des Clients setzt eine graphische Benutzeroberfläche voraus. Der Client selbst sowie die Installation

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0

SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 SECURE DATA DRIVE CLIENTSEITIGE VERSCHLÜSSELUNG Technical Insight, Oktober 2014 Version 1.0 mit den eingetragenen Materialnummern Inhalt Inhalt... 2 1 Vorwort... 3 2 Allgemeines zur Verschlüsselung...

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

CompuLok Zentrale. Software Interface. Digitalzentrale für DCC und Motorola Format

CompuLok Zentrale. Software Interface. Digitalzentrale für DCC und Motorola Format CompuLok Zentrale Software Interface Digitalzentrale für DCC und Motorola Format Inhalt CompuLok Software Interface... 3 Das Software Interface... 3 Installation... 3 Treiber installieren.... 3 Hinweis

Mehr

ORGA 6000 in Terminalserver Umgebung

ORGA 6000 in Terminalserver Umgebung ORGA 6000 in Terminalserver Umgebung Sie möchten das ORGA 6000 in einer Windows (Terminal) Server Umgebung betreiben. Wie gehen Sie dazu am besten vor? Sie haben drei Möglichkeiten das ORGA 6000 in einer

Mehr

Installation von Typo3 CMS

Installation von Typo3 CMS Installation von Typo3 CMS TYPO3 Version 6.2.x unter Windows Eigenen lokalen Webserver mit XAMPP installieren Für die Installation von Typo3 wird eine passende Systemumgebung benötig. Diese besteht aus

Mehr

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch)

Einfache VPN Theorie. Von Valentin Lätt (www.valentin-laett.ch) Einfache VPN Theorie Von Valentin Lätt (www.valentin-laett.ch) Einführung Der Ausdruck VPN ist fast jedem bekannt, der sich mindestens einmal grob mit der Materie der Netzwerktechnik auseinandergesetzt

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

ReactOS das zu Windows binärkompatible Open-Source- Betriebssystem. Matthias Kupfer (mkupfer@reactos.org) ReactOS Deutschland e.v.

ReactOS das zu Windows binärkompatible Open-Source- Betriebssystem. Matthias Kupfer (mkupfer@reactos.org) ReactOS Deutschland e.v. ReactOS das zu Windows binärkompatible Open-Source- Betriebssystem Matthias Kupfer (mkupfer@reactos.org) ReactOS Deutschland e.v. Überblick Der Build Prozess Einführung Geschichte von ReactOS Windows NT

Mehr

1.5 So schützen Sie Ihre Daten

1.5 So schützen Sie Ihre Daten 1.5 So schützen Sie Ihre Daten Postkarten waren einmal ein probates Mittel, um Nachrichten zu versenden dabei störte es in den damaligen Zeiten kaum jemand, dass wenigstens der Postbote den Inhalt dieses

Mehr

Tutorial. zur Einbindung einer Seafile Bibliothek in das Linux-Dateisystem. (gültig für 'Dual Cubie Homeserver SD-Card Images' V3n u.

Tutorial. zur Einbindung einer Seafile Bibliothek in das Linux-Dateisystem. (gültig für 'Dual Cubie Homeserver SD-Card Images' V3n u. Tutorial zur Einbindung einer Seafile Bibliothek (gültig für 'Dual Cubie Homeserver SD-Card Images' V3n u. V4n) 2015 Stefan W. Lambert kontakt@stefanius.de Copyright-Hinweis Dieses Dokument obliegt den

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Anwenderdokumentation PersoSim

Anwenderdokumentation PersoSim Anwenderdokumentation PersoSim Die nachfolgende Anwenderdokumentation soll dem Anwender bei der Installation und den ersten Schritten im Umgang mit PersoSim helfen. Installation Grundvoraussetzung für

Mehr

Dateisystem 1, Suchpfad, Befehlstypen

Dateisystem 1, Suchpfad, Befehlstypen Dateisystem 1, Suchpfad, Befehlstypen Linux-Kurs der Unix-AG Benjamin Eberle 8. Januar 2015 Was ist ein Dateisystem? Verwaltung von Dateien auf Datenträgern Beispiele: EXT3, EXT4, FAT, NTFS unter Linux

Mehr

IPCOP OPENVPN TUTORIAL

IPCOP OPENVPN TUTORIAL IPCOP OPENVPN TUTORIAL von Blue nach Green über VPN mit installiertem BOT Zerina Plugin 0.9.4b und OPENVPN GUI auf IPCOP 1.4.10 http://www.ipcop.org http://www.carinthian-linux.at http://www.openvpn-forum.de

Mehr

Dateisystem 1, Suchpfad, Befehlstypen

Dateisystem 1, Suchpfad, Befehlstypen Dateisystem 1, Suchpfad, Befehlstypen Linux-Kurs der Unix-AG Andreas Teuchert 17. Juni 2014 Was ist ein Dateisystem? Verwaltung von Dateien auf Datenträgern Beispiele: EXT3, EXT4, FAT, NTFS unter Linux

Mehr

TrueCrypt Ein kurzes, anschauliches und verständliches Howto

TrueCrypt Ein kurzes, anschauliches und verständliches Howto TrueCrypt Ein kurzes, anschauliches und verständliches Howto Dieses Howto soll Ihnen auf einfache und anschauliche Weise folgende Aspekte näher bringen: (a) Woher kann TrueCrypt bezogen werden und welche

Mehr

http://www.digicluster.de

http://www.digicluster.de Remoteservice kaufen oder mieten? Quickguide für Router der Serie ER/UR/LR/XR Konfiguration VPN Serviceportal Der Digicluster ist ein VPN Server Portal in dem komplette Netzwerke, Maschinen, Anlagen und

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE

OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE Tobias Jähnel und Peter Trommler Fakultät Informatik Georg-Simon-Ohm-Hochschule Nürnberg http://offlinefs.sourceforge.net Übersicht Hintergrund

Mehr

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Verschlüsselung der Festplattendaten unter Windows XP Technische Kurzinformation

Mehr

Das Interceptor Muster

Das Interceptor Muster Das Interceptor Muster Implementierung des Interceptor Musters basierend auf OSGi and Friends Benjamin Friedrich Hochschule für Technik und Wirtschaft des Saarlandes Praktische Informatik - Entwurfsmuster

Mehr

AVT Kameras und Linux

AVT Kameras und Linux AVT Kameras und Linux Ulf-Erik Walter Allied Vision Technologies GmbH http://www.alliedvisiontec.com November 2004 INHALTSVERZEICHNIS 1. Vorbemerkung... 2 2. Vorraussetzungen... 2 2.1. Linux-Kernel...

Mehr

Installations-Dokumentation, YALG Team

Installations-Dokumentation, YALG Team Installations-Dokumentation, YALG Team Version 8.1 1 Benötigtes Material 2 Vor der Installation 3 Beginn 4 Installation 4.1 Sicherheit 4.2 Partitionierung 4.3 Paketauswahl 4.4 Paketauswahl (fein) 5 Konfiguration

Mehr

Sicherer Datenaustausch mit EurOwiG AG

Sicherer Datenaustausch mit EurOwiG AG Sicherer Datenaustausch mit EurOwiG AG Inhalt AxCrypt... 2 Verschlüsselung mit Passwort... 2 Verschlüsseln mit Schlüsseldatei... 2 Entschlüsselung mit Passwort... 4 Entschlüsseln mit Schlüsseldatei...

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

PVFS (Parallel Virtual File System)

PVFS (Parallel Virtual File System) Management grosser Datenmengen PVFS (Parallel Virtual File System) Thorsten Schütt thorsten.schuett@zib.de Management grosser Datenmengen p.1/?? Inhalt Einführung in verteilte Dateisysteme Architektur

Mehr

VPN Verbindung mit Linux/Unix. Verwendung des freien VPN-Clients VPNC in der Hochschule Fulda

VPN Verbindung mit Linux/Unix. Verwendung des freien VPN-Clients VPNC in der Hochschule Fulda VPN Verbindung mit Linux/Unix Verwendung des freien VPN-Clients VPNC in der Hochschule Fulda Verfasser: R.Trommer Kontakt: indigo[at]mcl2k.de Datum: 4. Juli 2007 Warum VPNC? Die Nutzung des kompatiblen

Mehr

Handbuch für ios 1.4 1

Handbuch für ios 1.4 1 Handbuch für ios 1.4 1 Inhaltsverzeichnis 1. Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 4 2. Installation... 5 3. Grundfunktionen... 6 3.1. Einrichtung von Boxcryptor

Mehr