Erweiterungskonzept_Android.odt

Größe: px
Ab Seite anzeigen:

Download "Erweiterungskonzept_Android.odt"

Transkript

1 Android Security Projektbezeichnung Android Security Verantwortlich AG Oliver Zendel Verantwortlich AN Sebastian Mancke, Stefan Walenda Autor Christian Küster, Robert Schuster, Stefan Walenda Erstellt am Status in Bearbeitung ( ) vorgelegt () abgenommen (x) Zuletzt geändert Dokumentablage _Android.odt Version Lizenz tarent GmbH 1-39

2 Inhaltsverzeichnis 1 Einleitung Dateisystemverschlüsselung Ist-Analyse Einhängpunkte der Android Plattform Technische Evaluation und Detaillierung einzelner Implementierungen DM-Crypt Loop-AES Technische Evaluation CryptoLoop ecryptfs Unlock Policy Analyse des Life-Cycles der /data Partition Analyse des Life-Cycles der sql journaling Partition Analyse des Life-Cycles der /cache Partition Forcierung der Nutzung von Verschlüsselung SCM Linux-Utils losetup GnuPG Version Linux Goldfish Branch mit Loop-AES-Patch libgpg-error Einschränkungen Externe Massenspeicher Transparenz für Plattform Erweiterung Algorithmen SmartCard als Vertrauensanker Performanz-Messungen Fazit Virtual Private Network Ist-Analyse tarent GmbH 2-39

3 3.2 Umsetzbarkeit einer VPN-Lösung Technologieevaluation OpenVPN Abhängigkeiten Remote Management Verwendung von Schlüsseln L2TP und IPSec StrongSWAN Durchstich mit OpenVPN Einschränkungen Aufbau des Tunnels Forcierung der Nutzung des Tunnels Transparenz des Tunnels für Anwendungen für Benutzer und Anwendungen SCM OpenVPN mit Android Makefile OpenVPN Starter und Service Performanz-Messung SmartCard-Integration Ist-Analyse CertGate Aladdin SmartCard over PAN Technische Evalutation certgate-karte SmartCard Integration von Dateiverschlüsselung SmartCard Integration mit VPN Literatur PCSC-Lite Userland API Performanz-Messung Betrieb der SmartCard Dualverwendung der SmartCard tarent GmbH 3-39

4 5 Messverfahren und Lasterzeugung Buildsystem Technische Beschreibung Checkout Konfiguration des Builds System-Image System-Image für (z.b.) das G1 erstellen: Extraktion und Aufspielen binärer Einschlüsse Compilen: Der Buildprozess Kernel Produkt Emulator Produkt G Konfiguration Kompilierung Module Wireless-LAN beim G Software Configuration Management Repo Neues Projekt hinzufügen Flexibilität des Software Configuration Managements Zusammenfassung und Fazit tarent GmbH 4-39

5 1 Einleitung Das vorliegende Dokument im Rahmen des Projektes "Synchronisation Kolab mit mobilen Geräten" beschreibt ein Konzept zur Erweiterung der Android-Plattform um Sicherheitsfunktionen. Android ist eine von Google, Inc. entwickelte Betriebssystemplattform für mobile Geräte (Telefone, PDAs oder Netbooks). Sie wird hauptsächlich von Google weiterentwickelt. Aufgrund ihres Open Source-Lizenzmodells kann sie von Herstellern mobiler Geräte auf ihre Bedürfnisse hin erweitert oder verändert werden. Die Lizenzierung unter Verwendung der Apache 2.0- Lizenz für die Android-Kernkomponenten, lässt dem Hersteller eines mobilen Gerätes jedoch offen, ob er den Quellcode seinerseits offen legt. Der Fokus des Dokuments liegt auf der Darstellung wie Android, um Sicherheitsfunktionalität erweitert werden könnte. Dabei wird im Detail darauf eingegangen, wie die Android-Plattform um VPN-Funktionalität Dateiverschlüsselung SmartCard-Unterstützung erweitert werden könnte. Ebenfalls wird beschrieben, wie das Buildsystem von Android arbeitet und wie Erweiterungen in dieses integriert werden können. Ein weiterer Punkt beschreibt, wie neue Komponenten und Änderungen an bestehenden Komponenten im Software Configuraton Management (SCM) verwaltet werden können, so dass eine Integration in das öffentliche SCM von Google effizient gestaltet werden kann. 2 Dateisystemverschlüsselung Dieser Abschnitt beschreibt wie ein Dateiverschlüsselungsverfahren in Android integriert werden könnte. Zu diesem Zweck wird zunächst darauf eingegangen welche aktuelle Unterstützung für Dateiverschlüsselung vorliegt und welche technischen Konfigurationen existieren. Im Anschluss wird auf verschiedene Open Source-Dateiverschlüsselungsverfahren eingegangen und evaluiert, wie die technische Komplexität einer Integration ihrer Abhängigkeiten in Android ist. Es wird ebenfalls vorgestellt, wie eines der Verfahren erfolgreich auf Android portiert werden konnte und welche Schwierigkeiten sich dabei ergaben tarent GmbH 5-39

6 2.1 Ist-Analyse Die Android-Plattform bietet derzeit keine Unterstützung für eine Verschlüsselung auf Dateisystemebene. Der Quellcode des von Android verwendeten Kernels enthalten Unterstützung für die Verfahren: CryptoLoop ecryptfs In den auf den Geräten ausgelieferten Kernels ist diese Unterstützung jedoch deaktiviert und somit für den Benutzer nicht vorhanden. Die DeviceMapper-Unterstützung, der für dm-crypt verwendet werden kann, befindet sich dagegen in der Konfiguration des distributierten Kernels. Entsprechende Terminal-basierte Werkzeuge finden sich nur teilweise in der Distribution und können lassen sich ohne Änderungen und Portierungen weiterer Bibliotheken und Werkzeuge nicht verwenden. Des weiteren gibt es das Loop-AES-Projekt, dass einen Patch für den Loop-Treiber des Mainline- Kernels bereitstellt, um verschlüsselte Container mittels einer Loopback-Schleife zu ermöglichen. Dies ist ebenfalls nicht in der Android-Plattform enthalten Einhängpunkte der Android Plattform Die aktuelle Version der Plattform wird mit folgenden Einhängpunkten ausgestattet. # mount rootfs / rootfs ro 0 0 tmpfs /dev tmpfs rw,mode= devpts /dev/pts devpts rw,mode= proc /proc proc rw 0 0 sysfs /sys sysfs rw 0 0 tmpfs /sqlite_stmt_journals tmpfs rw,size=4096k 0 0 /dev/block/mtdblock0 /system yaffs2 ro 0 0 /dev/block/mtdblock1 /data yaffs2 rw,nosuid,nodev 0 0 /dev/block/mtdblock2 /cache yaffs2 rw,nosuid,nodev 0 0 Sämtliche Benutzer und Applikationsdaten werden in /data abgelegt. Das Root-Verzeichnis und die Systempartition sind nur-lesbar eingehängt. Zusätzlich wird /sqlite_stmt_journals als temporäres Journals für SQLite-Datenbanken verwendet. Ebenfalls zu erkennen ist, dass die Datei sqlite_stmt_journals als schreibbar eingehangen wird. In ihr werden temporäre Journalinformationen der SQLite-Datenbanken abgelegt. An dieser Stelle können auch sensible Informationen der Plattform nach außen dringen. SQLite wird beispielsweise von Content-Providern verwendet, die Daten für andere Applikationen zur Verfügung stellen. Ein Beispiel sind Kontaktdaten. Sie sind sensibler Natur tarent GmbH 6-39

7 2.1.2 Technische Evaluation und Detaillierung einzelner Implementierungen Dieser Abschnitt beleuchtet einzelne Implementierungen von Open Source-CFS für Linux näher. Es wird dabei fokussiert, welche Abhängigkeiten die Implementierungen mitbringen und welchen Einfluss dies auf eine mögliche Portierung und Verwendung in Android hat. Dabei wird auf Kernel-Ebene und Userland-Werkzeug-Ebene eingegangen. Ein geeignetes Dateiverschlüsselungsverfahren muss für Android zwei Probleme lösen: 1. Dateiverschlüsselung mit einem spezifizierten Schlüssel (für die /data Partition) 2. Dateiverschlüsselung mit einem zufälligen Schlüssel (für den /cache Einhängpunkt und das SQLite Journal) Operationsmodi: Name CBC w/ predictable IVs CBC w/ secret IVs CBC w/ random persector keys LRW XTS cryptoloop Ja Nein Nein Nein Nein dm-crypt Ja Ja Nein Ja, unter Verwendung von *-lrwbenbi ecryptfs Nein Ja Unbekannt Ja Ja loop-aes Name CBC w/ predictable IVs Legende: Ja,single-key, Ja, multi-key-neiv3 Nein Nein mode multi-key-v2 modes CBC w/ secret IVs CBC w/ random persector keys LRW Ja, unter Verwendung und *-xtsplain CBC with predictable IVs: The CBC (cipher block chaining) mode where initialization vectors are statically derived from the sector number and are not secret; this means that IVs are re-used when overwriting a sector and the vectors can easily be guessed by an attacker, leading to watermarking attacks. CBC with secret IVs: The CBC mode where initialization vectors are statically derived from the encryption key and sector number. The IVs are secret, but they are re-used with overwrites. Methods for this include ESSIV and encrypted sector numbers (CGD). CBC with random per-sector keys: The CBC mode where random keys are generated for each sector when it is written to, thus does not exhibit the typical weaknesses of CBC with re- XTS 2009 tarent GmbH 7-39

8 used initialization vectors. The individual sector keys are stored on disk and encrypted with a master key. (See GBDE for details) LRW: The Liskov-Rivest-Wagner tweakable narrow-block mode, a mode of operation specifically designed for disk encryption. Superseded by the more secure XTS mode due to security concerns. XTS: XEX-based Tweaked CodeBook mode (TCB) with CipherText Stealing (CTS), the SISWG (IEEE P1619) standard for disk encryption DM-Crypt DM-Crypt ist der Nachfolger von cryptoloop und verwendet das Logical-Volume-Management in Linux, um verschlüsselte Partitionen und Container zu ermöglichen. Zu diesem Zweck existieren konkurrierende terminal-basierte Userspace-Werkzeuge, die es ermöglichen verschlüsselte Volumes in das Dateisystem einzubinden: cryptmount cryptsetup Die Abhängigkeiten des Userspace-Werkzeuges cryptsetup als auch von cryptmount sind: Die aus GnuPG entstandenen Bibliotheken: 1. libgpg-error 2. libgcrypt und: libpopt libdevmapper Die Bibliotheken wurden nicht sämtlich auf Android portiert. Es kann nach jetzigen Einschätzungen jedoch davon ausgegangen werden, dass es möglich ist diese unter Android zu verwenden. Die Bibliothek libdevmapper befindet sich in einer angepassten Variante schon in Android, da das Einhängen von externen Massenspeichern durch das Devicer-Mapper-Konzept gelöst ist. Es ist bisher nicht bekannt, ob die in Android integrierte Variante für dm-crypt ausreicht. Es ist aber wahrscheinlich, dass eine angepasste Version in den Buildprozess integriert werden muss, damit die entsprechenden dm-crypt-userspace-werkzeuge auf Android laufen können. Die Bibliothek befindet sich in Android im external/-verzeichnis. Es ist ebenfalls möglich dm-crypt mit SmartCards zu verwenden (vgl tarent GmbH 8-39

9 DM-Crypt ist in bestimmten Konfigurationen anfällig für Watermark-Angriffe, so dass die Existenz von Dateien in einem verschlüsselten Volume nachgewiesen werden kann. Es ist möglich dm-crypt auch mit zufällig erstellen Schlüsseln zu betreiben, was im Falle der /cache Partition nötig werden kann Loop-AES Loop-AES verwendet wie die meisten CFS-Implementierungen ein Konzept, welches auf verschlüsselteten Container beruht, in denen ein eigenes Dateisystem untergebracht ist. Dazu verwendet Loop-AES den Loop-Treiber des Linux-Kernels. Es werden dabei die Blockorientierten Geräte als sogenannte Schleifen bekannt gemacht, die wiederum wie ein Blockorientiertes Gerät ins Dateisystem eingebunden werden. Ursprünglich diente dieses Konzept dazu, Dateisystem-Abbilder in das Dateisystem einzuhängen. Ein Beispiel ist das Einhängen eines ISO9660-CD-ROM-Abbildes. Loop-AES verwendet dagegen aber verschlüsselte Schleifen, so dass beim Einhängen nicht das verschlüsselte Block-orientierte Gerät angegeben wird, sondern die Schleife selbst, in der intern die Verschlüsselung aufgehoben wird, damit der Zugriff transparent ist. Loop-AES hat den Vorteil, dass es wenige Abhängigkeiten hat. Nachteil ist, dass es nicht im Mainline-Linux-Kernel integriert ist. Loop-AES besteht aus folgenden Komponenten: Kernel-Modul: Das Modul ist nicht im Mainline-Kernel integriert und muss als Quelldistribution heruntergeladen werden. Userspace-Werkzeuge: 1. Um verschlüsselte Loop-AES Container in das Dateisystem einzuhängen, werden die Werkzeuge losetup (und mount, es kann aber auch ein busybox mount verwendet werden. Das in Android vorhandende mount unterstützt kein Durchschleifen mit Hilfe des loop.ko Kernelmoduls. Für diese genannten Werkzeuge stehen in der Loop- AES Distribution Patches bereit. 2. GnuPG: Wird verwendet um die eigentlichen Schlüssel für das Dateisystem zu verschlüsseln. Der Benutzer wird nach dem Passwort des GPG-Containers gefragt, in dem die Schlüssel zur Container-Entschlüsselung abgelegt sind. Es ist möglich Loop-AES auch mit zufällig erstellen Schlüsseln zu betreiben, was im Falle der /cache Partition nötig werden kann. Es ist zu beachten, dass trotz des Namens Loop-AES, dieser nur die Vorgabchiffrierung bezeichnet. Eine Integration und Nutzung von anderen Algorithmen, wie z.b. Serpent oder Twofish, ist ebenfalls möglich tarent GmbH 9-39

10 Technische Evaluation Loop-AES verwendet einen modifizierten Loopback-Treiber von Linux. Zu diesem Zweck kann ein der Patch entweder gegen eine Kernelversion eingebracht werden oder ein modifiziertes Loop-Kernelmodul in das System geladen werden. Zur Zeit wurde der Patch gegen eine aktuelle Kernelversion eingespielt und diese im Emulator geladen. Vom System werden die Blockgeräte-Schleifen unterhalb von /dev dem System verfügbar gemacht. Entgegen anderen Linux-Systemem befinden sich die Loop-Device-Dateien nicht direkt in /dev sondern sind unter /dev/block zu finden. Die entsprechenden Gerätedateien werden vom init- Prozess erzeugt. Um die Erzeugung der Gerätedateien durch den init-vorgang zu forcieren, müssen diese im Quellcode des Systems eingefügt werden. Das entsprechende Verzeichnis ist system/core/init. Relevant sind hierbei die Dateien devices.h und devices.c. Bei der Evaluation wurde eine entsprechende Änderung dieser Dateien entwickelt. Der Schlüssel zum Entschlüsseln des Dateisystems wird mit GnuPG verwaltet. Diese Abhängigkeit konnte ebenfalls portiert werden. Des weiteren benötigt Loop-AES eine veränderte Variante des Werkzeuges losetup aus dem Projekt linux-utils. Dies ermöglicht auch verschlüsselte Loop-Schleifen im System zu verwenden. losetup verwendet einen GPG-Aufruf um den entsprechenden Master-Schlüssel zu entschlüsseln mit dem dann das Dateisystem entschlüsselt wird. Es mussten jedoch einige Anpassungen am losetup-werkzeug vorgenommen, werden damit sie unter Android lauffähig sind. lock() relevanter Code aus dem Werkzeug entfernt, da diese nicht in der Bionic genannten C-Laufzeitbibliothek implementiert sind. Die mlock-funktionsfamilie verhindert, dass der angegebene Speicherbereich in den Auslagerungsspeicher (Swap) gelangt. Ein solcher Speicher ist in Android jedoch nicht vorgesehen, daher kann auf die Funktionsaufrufe verzichtet werden. Desweiteren fehlt die getpass-funktion in der Bionic, mit der Passworteingaben auf der Kommandozeile durchgeführt werden und die Eingabe verdeckt ist. Es wurde daher die Datei getpass.c aus der NetBSD C-Laufzeitbibliothek nach losetup portiert und durch einen Funktions-Stub ersetzt, der das Passwort von der Console liest aber nicht ausblendet. Das von Android bereitgestellte mount-kommando unterstützt ebenfalls keine Loop-Schleifen. Jedoch reicht es aus, ein Busybox mount im System mitzuliefern, dass diese Fähigkeit bereits integriert hat. Bei GnuPG mussten einige include-anweisungen umgestellt werden, damit GnuPG gegen die libresolv der Bionic kompiliert und gebunden werden kann. Weiterhin fehlten einige Typ- Definitionen für DNS-relevante Funktionsaurufe. Es konnte mit der Portierung erfolgreich ein verschlüsselter Dateikontainer angelegt und in das Dateisystem eingehängt werden tarent GmbH

11 CryptoLoop CryptoLoop ist nicht zu empfehlen, da für die gesamte Verschlüsselung nur ein Schlüssel/Passwort verwendet wird. Es ist ebenfalls anfällig für Watermarking-Angriffe. DM- Crypt ist der offizielle Nachfolger von CryptoLoop ecryptfs ecryptfs unterscheidet sich von Blockgeräte-basierter Verschlüsselung und implementiert die sogenannte gestufte Dateisystem-Verschlüsselung, in dem auf einem anderen bereits bestehenden Dateisystem aufgesetzt wird. ecryptfs ist in der Subsystem für virtuelle Dateisystem (VFS) angesiedelt und kann die dort getätigten Aufrufe nach Bedarf umleiten. Auf diese Weise ist eine Verschlüsselung einzelner Verzeichnisse möglich, während die übrigen unangetastet bleiben. Dies hat zur Folge, dass Dateigrößen und Dateinamen im Allgemeinen nicht verborgen werden, wie das bei Blockgeräte-basierter Verschlüsselung der Fall wäre. Die Nutzung von ecryptfs ist auf die Unterstützung von sogenannten erweiterten Attributen (xattr) im Dateisystemtreiber angewiesen um Metadaten hinterlegen zu können (vgl. Im Hinblick auf die Nutzung innerhalb der Android Systemumgebung ist eine Anpassung der Bibliothek libecryptfs vorzunehmen. Dabei muss die Verwendung von Interprozesskommunikation mittels gemeinsam verwaltetem Speicher (SHM/IPC) durch OpenBinder und AshMem ersetzt werden. Zur technischen Evaluation ist es gelungen die zum Betrieb von ecryptfs nötigen Software- Artefakte zu portieren. Dazu gehören die Pakete "ecrypts-utils", welche zum Anlegen eines verschlüsselten Overlay-Dateisystems nötig sind und deren Abhängigkeit "keyutils". Das vollständige Anlegen gelang noch nicht und wird auf die detaillierte Konzeption im nächsten Meilenstein verschoben. 2.2 Unlock Policy Die Android-Plattform kapselt Unlock-spezifischen Code unterhalb von framework/policies/. Dazu gehört der Unlock der SIM-Karte und auch der Screen-Lock, welcher zur Zeit durch ein grafisches Unlock-Muster implementiert ist. Das Muster muss vom Benutzer korrekt mit den Fingern verbunden werden. An dieser Stelle müsste erweiternder Code implementiert werden, der beispielsweise eine SmartCard-PIN abfragt und die Entschlüsselung des Dateisystems unterhalb von /data auslöst. Zusätzlich wäre von Interesse, ob es ermöglicht werden kann die PIN der SIM-Karte als Schlüssel auf der SmartCard zu hinterlegen. Dies böte den Vorteil, dass der Benutzer nur eine PIN eingeben muss, um das Telefon voll zu entsperren. Die SIM-PIN ließe sich dann automatisiert von der SmartCard auslesen und das Entsperren für den Benutzer transparent gestalten. Hier ist zu Beachten, dass es ein sanftes Zurückfallen auf die ursprüngliche Funktionalität geben muss, falls keine SmartCard präsent ist. Hierbei muss auch beachtet werden, dass in 2009 tarent GmbH

12 einem solchen Fall kein Zugriff auf die verschlüsselte Datenpartition möglich ist. Ohne weitere Behandlung von /data könnte dies das Hochfahren installierter Applikationen behindern. Es ist zu evaluieren, in welchem Umfang die /data Partition an dieser Stelle schon verwendet wird. 2.3 Analyse des Life-Cycles der /data Partition Die /data Partition wird während des Hochfahrens des Gerätes eingehangen. Nach einer Analyse durch Entfernen der Inhalte wurde getestet, ob der Bootvorgang noch korrekt durchgeführt werden kann und so ermittelt, ob die Inhalte wie der Dalvik-Cache zum Boot- Zeitpunkt neu angelegt werden. Es konnte ein korrekter Boot durchgeführt werden, so dass die Systeme zur Verfügung stehen. Inhalte wurden neu angelegt. Entsprechend dort installierte Programme bleiben jedoch entfernt. Es sind jedoch nur Programme, die nach dem Boot zur Verfügung stehen (entsprechend als Benutzerapplikationen der Oberfläche). Eine mögliche Entschlüsselung während des Boots durch etwa eine SmartCard oder eine PIN-Abfrage, die in der /system Partition integriert ist (und somit zum Buildzeitpunkt zur Verfügung steht) kann eine Entschlüsselung der /data Partition auslösen. Eine Abhängigkeit des Bootvorganges auf /data ist daher durch diesen Versuch widerlegt. 2.4 Analyse des Life-Cycles der sql journaling Partition Die SQL-Journaling-Partition kann in zur /cache-partition äquvivalenterweise behandelt werden. Daher wird auf die Wiederholung der oben getroffenen Aussagen verzichtet. 2.5 Analyse des Life-Cycles der /cache Partition Die Cache-Partition wird für folgende Funktionen als temporäre Ablage verwendet: GMail Attachment Previews Browser DRM Downloads OTA Updates vom Telefon-Hersteller Die Cache-Partition kann mit einer Technik verschlüsselt werden, die zufällige Schlüssel verwendet. Dies bedeutet, dass bei jedem Start zufällige Schlüssel verwendet werden. Dies ist möglich, da die dort gespeicherten Daten einen Neustart nicht überdauern müssen. 2.6 Forcierung der Nutzung von Verschlüsselung Die Anwendungsdaten aller Android-Applikationen werden wie in der Sicherheitsanalyse beschrieben unterhalb von /data abgelegt. Alle anderen Dateisystempunkte sind nur-lesend eingehangen. Eine Forcierung von Verschlüsselung aller Nutzerdaten, so dass diese transparent verwendet werden kann, muss gewährleisten, dass dieser Einhängpunkt verschlüsselt werden kann. Da auch kein Temporär-Dateisystem eingehängt ist, bleibt /data 2009 tarent GmbH

13 der einzige Ort an der überhaupt neue Dateien abgelegt werden können. So kann auch kein Systemdienst versehentlich Dateien an anderen Orten speichern, da die nur-lesend-eigenschaft des Dateisystems vom Kernel durchgesetzt wird. Es ist zu beachten, dass es eine als /cache eingehängt Partition gibt. Diese könnte Dateien oder Daten enthalten, die sensibler Natur sind. Es muss noch evaluiert werden, ob diese mit einer Swap-Verschlüsselungs-Strategie bei jedem Boot mit einem zufälligen Schlüssel eingehängt werden kann. Dies ist dann möglich, wenn diese Daten nicht persistent sein müssen. 2.7 SCM Die folgenden Artefakte wurden im Evaluationsprozess für Android portiert und in ein SCM eingefügt Linux-Utils losetup losetup dient dem Einrichten von Schleifen über Blockgeräte. So können virtuelle Blockgeräte eingerichtet und wie normale Massenspeicher in das System eingehängt werden. Die Applikation wurde aus dem linux-utils Projekt entnommen und mit dem Loop-AES Patch versehen. Zusätzlich wurde ein Android.mk Makefile angelegt, so dass die Quellen vom Android-Buildprozess übersetzt und entstehende Artefakte in das System-Image eingefügt werden. git clone GnuPG Version 1 GnuPG wird von Loop-AES verwendet, um Schlüssel für das Dateisystem selbst zu verschlüsseln. Es wird dann von losetup selbst aufgerufen, um den Master-Schlüssel zu entschlüsseln. Es wurde Version 1 verwendet, da es als Komplett-Distribution vorliegt und nicht als eine Sammlung von mehreren Bibliotheken. Es ist jedoch zu erwarten, dass eine Verwendung einer aktuellen Version (2.x) ebenfalls möglich ist. Zusätzlich wurde ein Android.mk Makefile angelegt, so dass die Quellen vom Android-Buildprozess übersetzt und entstehende Artefakte in das System-Image eingefügt werden. git clone Linux Goldfish Branch mit Loop-AES-Patch Eine Tracking-Zweig des Android-Goldfish-Kernels wurde erstellt und der Loop-AES Patch darauf angewendet. Die gleiche Strategie kann für andere Produkte (G1, HTC Dream usw.) verwendet werden. git clone 2009 tarent GmbH

14 2.7.4 libgpg-error (für libgcrypt, eine Abhängigkeit von cryptmount/cryptsetup) Die libgpg-error-bibliothek ist eine Teilbibliothek der GnuPG2 Distribution. Sie wird hauptsächlich von libgrypt verwendet und wird für die cryptmount und cryptsetup Werkzeuge benötigt, welche Teil der dm-crypt basierten Verschlüsselungstechnik sind. git clone 2.8 Einschränkungen Die Einschränkungen hängen stark von der eingesetzten Lösung ab und werden daher im späteren Projektverlauf detailliert, wenn eine konkrete Verschlüsselungstechnologie festgelegt wurde. 2.9 Externe Massenspeicher Externe Massenspeicher können theoretisch auch verschlüsselt eingebunden werden, wenn der Automounter dahingehend angepasst wird. In diesem Fall sprechen wir von der eigens für Android entwickelten Applikation "vold" (vgl. Sicherheitsanalyse), die eine Magic-Erkennung der Dateisysteme durchführt. Eine zu detaillierende Frage ist an dieser Stelle, wie passende Schlüssel zu spezifischen Datenträgern zugeordnet werden können Transparenz für Plattform Sobald ein bestimmter Einhängepunkt als verschlüsseltes Medium dem System bekannt gemacht wurde, ist es für Anwendungen transparent, ob diese verschlüsselt sind oder nicht. Ein Zugriff gestaltet sich wie der Zugriff auf ein normales unverschlüsseltes Blockgerät. Daten können auf der Android-Plattform auch nur unterhalb von /data abgelegt werden (/cache und externe Massenspeicher bilden eine Ausnahme). Ist daher unterhalb von /data ein verschlüsselter Einhängepunkt, so wird für jede Anwendung transparent, ob sie auf ein verschlüsseltes Speichermedium zugreift. Der gleiche Umstand gilt für das Einschieben von SD-Karten (oder anderen externen Massenspeichern). Ist ein verschlüsseltes Medium eingehangen wird der Zugriff unterhalb des Einhängepunktes transparent verschlüsselt. In diesem Fall ist jedoch zu Beachten, dass es für die Anwendung nicht feststellbar ist, ob sie auf ein verschlüsseltes oder unverschlüsseltes Medium zugreift Erweiterung Algorithmen Die Integration von neuen Algorithmen zur Laufzeit des Systems ist von keiner Verschlüsselungssoftware vorgesehen. Der übliche Prozess einem System einen neuen Algorithmus bekannt zu machen, läuft über die Integration in den Kernel. Im besten Fall lässt sich der Algorithmus als neues Kernel-Modul bekannt machen. Dies erfordert jedoch immer 2009 tarent GmbH

15 noch einen hohen Arbeitsaufwand und ist ein sehr technischer Prozess SmartCard als Vertrauensanker Generisches Schlüsselmaterial kann auf einer SmartCard abgelegt werden. Daher ist es für die Implementierungen DM-Crypt und Loop-AES möglich die zur Entschlüsselung des Dateisystems nötigen Schlüssel auf einer SmartCard abzulegen. Vgl. für Loop-AES Vgl. für DM-Crypt 2.13 Performanz-Messungen Um einzuschätzen inwieweit die eingebrachte Verschlüsselung den Betrieb des Gerätes beeinflusst, wird folgendes Verfahren vorgeschlagen: Durch Lasterzeugung mittels definierter Schreib- und Leseoperationen auf einem Blockgerät wird auf dem konkreten Endgerät eine Last erzeugt. Die Lasterzeugung wird einmal auf einem unverschlüsselten Blockgerät erzeugt und im einem zweiten Experimentschritt auf einem verschlüsselten. Für beide Schritte kommt das gleiche System-Image zum Einsatz, wodurch sich Hardware als auch Betriebssystemkern nicht unterscheiden. Die Werkzeuge zur Lasterzeugung werden mittels den Programmen systat und time überwacht und die entsprechend verbrauchte CPU-Zeit gemessen. Aus der verbrauchten CPU-Zeit lassen sich im Anschluss Aussagen über die Leistungseinbußen verschlüsselter Blockgeräte in Relation zu unverschlüsselten treffen. Aus den Ergebnissen werden, falls notwendig, konkrete Maßnahmen abgeleitet und erarbeitet, um die Verringerung der Systemleistung zu minimieren. Dies ist vor allem dann der Fall, wenn der reibungslose Betrieb des Gerätes durch die Verwendung von Verschlüsselung nicht mehr gewährleistet ist Fazit Wie bei allen eingebetteten System auf Linux-basis üblich kommt als Dateisystem für die NAND-Flashbausteine ein an diese Speichertechnologie angepasstes Dateisystem zum Einsatz. Im Falle von Android ist dies YAFFS2 (Yet Another Flash Filesystem 2). Im Gegensatz zu anderen Dateisystemen wie EXT2/3/4 oder FAT kann YAFFS2 nur auf sogenannte MTD- Blockgeräte (memory technology device) angewendet werden und verweigert bei normalen Blockgeräten den Dienst. Der Hintergrund für diese Einschränkung ist, dass sich die MTDfähigen Dateisysteme um eine Effiziente Nutzung der Flashspeicherzellen kümmern, wodurch sicher gestellt wird, dass diese eine lange Lebensdauer besitzen. Ein Problem ensteht nun dadurch, dass die Container-basierten Verschlüsselungsverfahren immer ein normales Blockgerät voraussetzen, während YAFFS2 ein MTD-Blockgerät benötigt tarent GmbH

16 Dadurch wird der direkte Einsatz von YAFFS2 mit dm-crypt, Loop-AES und Cryptoloop verhindert. Eine Lösung des Problems besteht darin, die Dateisysteme als Dateien innerhalb einer YAFFS2-Partition anzulegen und mit Hilfe des loop-treibers als Blockgerät zu exportieren. Eine andere Möglichkeit besteht in der Verwendung des gestuften Verschlüsselungsverfahrens ecryptfs. Hier wird die Unterstützung des Dateisystemtreibers für erweiterte Attribute erwartet. Diese Unterstützung ist im derzeitigen Entwicklungsstand von YAFFS2 nicht enthalten und existiert nur in einem frühen Patch (Vgl. Eine Weiterentwicklung desselben ist für eine Nutzung von ecryptfs mit YAFFS2 notwendig. 3 Virtual Private Network Dieser Abschnitt beschreibt wie eine Virtual Private Network (VPN) Unterstützung in Android integriert werden könnte. Zu diesem Zweck wird zunächst analysiert, ob bereits Vorkehrungen zur deren Unterstützung in Android vorfindbar sind. Im Anschluss wird auf die technischen Merkmale der Plattform eingegangen und welche Schwierigkeiten sie für eine Umsetzung einer VPN-Lösung bedeuten. Danach werden zwei mögliche technische Implementierungen vorgestellt, die VPN unter Android ermöglichen könnten. Es wird auf deren Abhängigkeiten eingegangen. Für ein Verfahren wird eine Portierung vorgestellt, die es ermöglicht mit einem implementierten Demonstrator eine VPN-Verbindung innerhalb einer Applikation aufzubauen. Weiterhin wird untersucht, welche Voraussetzungen herrschen müssen, damit Schlüsselmaterial von einer SmartCard gelesen werden kann. 3.1 Ist-Analyse Wie in der Sicherheitsanalyse Android bereits beschrieben, steht keine VPN-Unterstützung in der Android-Plattform zur Verfügung. Durch inhaltlichen Austausch mit Google wurde erfahren, dass eine Integration des L2T-Protokolls geplant ist. Dieses unterstützt jedoch keine Verschlüsselung und wird aus diesem Grund zusammen mit IPSec eingesetzt. Für OpenVPN als VPN-Alternative muss beachtet werden, dass es den TUN/TAP-Treiber aus dem Mainline-Kernel benötigt, der bei der Standard-Konfiguration der Plattform zur Zeit nicht enthalten ist und eine Neuübersetzung des Linux-Kernels erfordert. 3.2 Umsetzbarkeit einer VPN-Lösung Die Umsetzung einer VPN-Lösung bedarf der Portierung einer geeigneten Software. Die Eignung ergibt sich aus den Beschränkungen, die von der Android-Plattform mitgebracht werden. Dazu gehört vor allem die minimale Ausstattung an Systembibliotheken und die minimalisierte C-Standard-Bibliothek. Die minimale Anzahl an Systembibliotheken behindert vor allem eine erleichterte Portierung von Software, die auf mehreren weiteren nicht für Android verfügbaren Bibliotheken aufsetzt. Die minimalisierte C-Standard-Bibliothek behindert vor allem die Nutzung bestimmter Programmfähigkeiten tarent GmbH

17 Eingeschränkt ist daher die Verwendbarkeit aller möglichen Funktionen einer VPN-Software. Ein Beispiel ist das sog. privilege dropping von Software durch die Verwendung von setuid()- Funktionen der Standard-Bibliothek, um Berechtigungen während der Ausführung der Software abzugeben. Im konkreten Fall lässt sich der Benutzer root nach dem Start der Software nicht mehr wechseln. Diese Methodik wird von Linux-Software verwendet, um Privilegien, wie das Anlegen von TCP/IP-Port unterhalb von 1024, nach Erledigung dieser Aufgabe abzulegen tarent GmbH

18 3.3 Technologieevaluation Zur technischen Evaluation wurden zwei VPN-Implementierungen in Betracht gezogen: OpenVPN (Nachfolger des PPT-Protokolls) L2TP mit IPSec Für OpenVPN wurde eine demonstrierende Portierung vorgenommen und Steuerungs- bzw. Integrationsstrategien betrachtet. Dies geschah auch im Zusammenhang mit der Integration einer SmartCard als Vertrauensanker, um beispielsweise Schlüsselmaterial auf einer SmartCard abzulegen. Für L2TP mit IPSec wurde keine Portierung vorgenommen. Es wurden verschiedene Implementierungen und deren Abhängigkeiten sowie deren Eignung zur Portierung auf Android überprüft. Hier wurde zunächst keine Portierung vorgenommen, da von dem Wissen über mögliche Probleme aus der OpenVPN-Analyse zurückgegriffen wurde OpenVPN OpenVPN wurde im Verlauf der technischen Evaluation in den Android-Buildprozess eingefügt, so dass automatisch ein System-Image mit entsprechenden Programmen erzeugt wird. Zu diesem Zweck musste eine entsprechende Konfiguration für Android erstellt werden, die sonst über das Autoconf-Werkzeug automatisch erzeugt wird. In dieser werden bestimmte Fähigkeiten von OpenVPN entweder aktiviert oder deaktiviert, je nachdem welche Möglichkeiten die System-Umgebung bietet. Zusätzlich wurde ein Android.mk Makefile angelegt, welches die Verantwortung trägt, dass die Quellen in richtiger Weise kompiliert und gebunden werden. Beachtenswert ist noch, dass die Kernel-Konfiguration eine Umstellung benötigt. OpenVPN verwendet den TUN/TAP-Treiber des Mainline-Kernels, um Tunnel-Netzwerkschnittstellen zu verwenden. Eine Tunnel-Netzwerkschnittstelle wird wie eine normale TCP/IP-unterstützende Netzwerkschnittstelle verwendet. Sie ist am Präfix "tun" zu erkennen, während beispielsweise Ethernetkarten üblicherweise mit dem Präfix "eth" beginnen. Sämtlicher Traffic, der durch Routing-Logik über diese Schnittstelle hinaus geht (oder hereinkommt), ist VPN-Traffic, also verschlüsselt Abhängigkeiten Um OpenVPN erfolgreich zu übersetzen ist die Bereitstellung folgender Abhängigkeiten zu gewährleisten: TUN/TAP-Treiber: Ist im Mainline-Kernel integriert, muss aber durch entsprechende Konfiguration aktiviert werden. OpenSSL: Ist in Android bereits integriert. Der Versionsstand reicht für die Verwendung mit OpenVPN aus. iproute: iproute dient OpenVPN zum beeinflussen der Routing-Tabelle. Android bietet 2009 tarent GmbH

19 hier kein entsprechendes Programm an, es besteht aber die Möglichkeit iproute aus der Busybox-Distribution zu verwenden. ifconfig: Das von Android bereitgestellte ifconfig reicht nicht aus. Hier kann die Version aus dem Busybox Projekt verwendet werden Remote Management OpenVPN bietet eine Schnittstelle für die Steuerung aus der Ferne (remote management interface, vgl. Diese Schnittstelle erlaubt es eine konkrete Instanz von OpenVPN zu kontrollieren. Dabei ist es nicht möglich eine Verbindung mit einer anderen Gegenstelle aufzubauen. Es kann nur die konkrete Verbindung verwaltet werden. Hierbei ist es von Interesse, dass ermöglicht wird, den Zustand von OpenVPN zu erfragen, z.b. ob zur Zeit eine Verbindung mit der Gegenstelle existiert. Ein Problem mit dieser Steuerungsmöglichkeit ist, dass es zu verhindern gilt, dass sich unberechtigte Prozesse damit verbinden. Eine Lösung bestünde darin das Android-eigene Binder-Interprozesskommunikationssystem zu verwenden. Dies ist jedoch möglicherweise mit größerem Aufwand verbunden, insbesondere wenn das OpenVPN-Projekt sich gegen eine Aufnahme der dazu notwendigen Änderungen ausspricht Verwendung von Schlüsseln Beim Start von OpenVPN muss der Schlüssel zur Verbindung angegeben werden, d.h. es muss ein Dateisystemabbild des Schlüssels an einer definierten Stelle liegen. Das erschwert die Verwendung eines Content-Providers für Schlüsselmaterial, da die Schlüssel nach Extraktion ein Dateisystemabbild haben müssen. OpenVPN müsste daher entweder so erweitert werden, dass es die Schlüssel von einem ContentProvider entgegen nehmen kann, oder es wird eine Hilfsanwendung entwickelt, die die Schlüssel von einem ContentProvider abruft und entsprechend den Anforderungen von OpenVPN als Dateisystemabbild speichert L2TP und IPSec L2TP unter Verwendung von IPSec kann mit mehreren konkurrierenden Verfahren gelöst werden. Technisch ausgereift und weiterhin unter fortlaufender Entwicklung ist jedoch nur die StrongSWAN-Implementierung StrongSWAN Komponenten von StrongSWAN machen Gebrauch von der sogenannten Thread-Cancellation- Technik, welche in der derzeitigen Version der Bionic-Laufzeitbibliothek nicht enthalten und für 2009 tarent GmbH

20 spätere Versionen nicht vorgesehen ist. Ein Teil des StrongSWAN-Systems, der Charon-Keyring- Daemon, konnte als Nutzer des Thread-Cancelling ausgemacht werden. Es besteht die Möglichkeit diesen zum Buildzeitpunkt auszuschalten und auf den Pluto-Keyring-Daemon auszuweichen, welcher auf Threading verzichtet. StrongSWAN benötigt im weiteren IPSec Kernel Module. Der entsprechende xl2tpd Daemon, den man dazu verwenden kann ist eine übersichtliche Anwendung, deren Portierung keine großen Aufwände bedeuten würde. Die Anwendung verwendet das im Kernel enthaltene l2tp Modul, wodurch keine Modifikation der Android-Kernelquellen notwendig ist. StrongSWAN kann ebenfalls mit Schlüsseln von SmartCards umgehen. Dazu ist es nötig die Bibliothek des OpenSC-Projektes zu verwenden, um die Karten bzw. Leser mittels des PKCS11 API anzusprechen. 3.4 Durchstich mit OpenVPN Einschränkungen Derzeit existiert keine Kontrollmöglichkeit welche Applikation die Verbindung nutzen kann. Ist ein VPN-Tunnel aufgebaut, kann jede Applikation mit Internetzugang auf das VPN zugreifen. Es ist möglich den Auf- und Abbau einer Verbindung zu kontrollieren. Welche Anwendung den Tunnel verwendet, kann technisch nicht kontrolliert werden, da das Öffnen von Sockets zwar durch die Android-Erweiterung kontrolliert werden kann, es ist aber keineswegs möglich zu kontrollieren, wohin diese Sockets Netzwerkverkehr schicken oder woher sie ihn empfangen. Dies wäre nötig, um einer Applikation zwar zu erlauben Internet zu verwenden, jedoch nicht über die vom VPN bereitgestellte Verbindung zu kommunizieren Aufbau des Tunnels Der Tunnel kann als Dienst unter Android bereitgestellt werden. Der Dienst bietet nach Außen ein API an, mit dessen Hilfe dieser gestartet werden kann. Ein Dienst ist ein Hintergrundprozess der Android-Plattform. Er bietet weiterhin die Möglichkeit den Benutzer über den Stand der VPN-Verbindung visuell zu benachrichtigen. Es ist ebenfalls möglich den Start eines VPN-Dienstes in die DHCP-Hooks einzubinden, so dass der Tunnel automatisch beim Start einer Konnektivität hochgefahren wird. Es ist dort aber schwieriger für den korrekten Auf- und Abbau Sorge zu tragen, da die Konnektivität oft unterbrochen wird. Es müsste ein zuverlässiges System zum Auf- und Abbau entworfen werden Forcierung der Nutzung des Tunnels Eine Möglichkeit durch Definition einer Systemrichtlinie für den Netzwerkverkehr besteht zur Zeit innerhalb der Androidplattform nicht. Diese Richtlinie wäre nötig, um zu verhindern, dass Applikationen einen unverschlüsselten Kanal verwenden, obwohl das VPN aufgebaut ist. Die Durchsetzung einer solchen Richtlinie kann durch die Verwendung eines Paketfilters erreicht 2009 tarent GmbH

Android Security. Christian Küster LinuxTag 2009. 25.6.2009 Christian Küster

Android Security. Christian Küster <c.kuester@tarent.de> LinuxTag 2009. 25.6.2009 Christian Küster Android Security Christian Küster LinuxTag 2009 Agenda Sicherheitskonzept der Android-Plattform (eine Bestandsanalyse) Einführung - Was ist Android? (Interessante) Komponenten von

Mehr

Android Security. FrOSCon 2009. Christian Küster 22.8.2009 Christian Küster

Android Security. FrOSCon 2009. Christian Küster <c.kuester@tarent.de> 22.8.2009 Christian Küster Android Security Christian Küster FrOSCon 2009 Agenda Sicherheitskonzept der Android-Plattform (eine Bestandsanalyse) Einführung - Was ist Android? (Interessante) Komponenten von

Mehr

Smartphone-Sicherheit

Smartphone-Sicherheit Smartphone-Sicherheit Fokus: Verschlüsselung Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz Peter Teufl Wien, 15.03.2012 Inhalt EGIZ Themen Smartphone

Mehr

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt

LUSC Workshopweekend 2008. Verschlüsselung mit Truecrypt LUSC Workshopweekend 2008 Verschlüsselung mit Truecrypt Zusammenfassung Teil 1 Was ist Truecrypt? Warum Truecrypt? Was macht die Software? Verschiedene Varianten Anwendungsmöglichkeiten Gundlagen 1, 2

Mehr

DDBAC-SDK unter Linux (mit Wine) Installationsanleitung

DDBAC-SDK unter Linux (mit Wine) Installationsanleitung DDBAC-SDK unter Linux (mit Wine) Installationsanleitung Installation von Wine Einleitung Übersicht Titel Thema Datei DDBAC-SDK unter Linux (mit Wine) Installationsanleitung DDBAC_Wine_Installation.doc

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...

Mehr

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch)

Good Dynamics by Good Technology. V1.1 2012 by keyon (www.keyon.ch) Good Dynamics by Good Technology eberhard@keyon.ch brunner@keyon.ch V1.1 2012 by keyon (www.keyon.ch) 1 Über Keyon Experten im Bereich IT-Sicherheit und Software Engineering Als Value added Reseller von

Mehr

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015

VPN Tunnel Konfiguration. VPN Tunnel Konfiguration IACBOX.COM. Version 2.0.2 Deutsch 11.02.2015 VPN Tunnel Konfiguration Version 2.0.2 Deutsch 11.02.2015 Dieses HOWTO beschreibt die Konfiguration eines VPN Tunnels zu einem (zentralisierten) OpenVPN Server. VPN Tunnel Konfiguration TITEL Inhaltsverzeichnis

Mehr

Datenschutzerklärung und Informationen zum Datenschutz

Datenschutzerklärung und Informationen zum Datenschutz Datenschutzerklärung und Informationen zum Datenschutz Informationen zum Datenschutz in den Produkten TAPUCATE WLAN Erweiterung Stand: 04.06.2015 Inhaltsverzeichnis 1) Vorwort 2) Grundlegende Fragen zum

Mehr

How to install ubuntu by crypted file system

How to install ubuntu by crypted file system How to install ubuntu by crypted file system Enthaltene Funktionen: - Installation eines verschlüsselten Ubuntu Systems Voraussetzung: - Internetverbindung - Iso-Image Download unter: http://wiki.ubuntuusers.de/downloads/oneiric_ocelot

Mehr

Wortmann AG. Terra Black Dwraf

Wortmann AG. Terra Black Dwraf Terra Black Dwraf Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel

Mehr

Bei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist:

Bei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist: Selbstdatenschutz Dropbox & Co. sicher nutzen "MEO - My Eyes Only" Um Unbefugten (inklusive dem Betreiber des Dienstes) die Einsicht in Dateien in Clouddiensten zu verwehren, sollte man diese verschlüsseln.

Mehr

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18

etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18 etoken unter Linux Frank Hofmann Berlin 16. April 2009 Frank Hofmann (Berlin) etoken unter Linux 16. April 2009 1 / 18 Inhalt 1 etoken im Überblick 2 Verfügbare Software und Bibliotheken 3 Integration

Mehr

Installationsanleitung OpenVPN

Installationsanleitung OpenVPN Installationsanleitung OpenVPN Einleitung: Über dieses Dokument: Diese Bedienungsanleitung soll Ihnen helfen, OpenVPN als sicheren VPN-Zugang zu benutzen. Beachten Sie bitte, dass diese Anleitung von tops.net

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Leitfaden zur Installation von BitByters.Backup

Leitfaden zur Installation von BitByters.Backup Leitfaden zur Installation von BitByters.Backup Der BitByters.Backup - DASIService ist ein Tool mit dem Sie Ihre Datensicherung organisieren können. Es ist nicht nur ein reines Online- Sicherungstool,

Mehr

SelfLinux-0.12.3. Der Linux-Kernel

SelfLinux-0.12.3. Der Linux-Kernel Der Linux-Kernel Autor: Erwin Dogs (edogs@t-online.de) Formatierung: Matthias Hagedorn (matthias.hagedorn@selflinux.org) Lizenz: GFDL Dieses Kapitel führt in die grundsätzliche Arbeitsweise eines Linux-Systems

Mehr

Detailkonzept. Android Security. Christian Küster. Erstellt am 21.10.09. Status in Bearbeitung ( ) vorgelegt () abgenommen () Version 01.01.00.

Detailkonzept. Android Security. Christian Küster. Erstellt am 21.10.09. Status in Bearbeitung ( ) vorgelegt () abgenommen () Version 01.01.00. Detailkonzept Projektbezeichnung Verantwortlich AG Verantwortlich AN Autor Oliver Zendel, BSI Sebastian Mancke, Stefan Walenda Christian Küster Erstellt am 21.10.09 Status in Bearbeitung ( ) vorgelegt

Mehr

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Wie wird auf Festplatten zugegriffen? Es gibt nur einen Verzeichnisbaum, siehe Verzeichnisse Es gibt

Mehr

ANYWHERE Zugriff von externen Arbeitsplätzen

ANYWHERE Zugriff von externen Arbeitsplätzen ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5

Mehr

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH

Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH Remote Administration von Windows Servern mit Microsoft Terminal Services und OpenSSH von Dominick Baier (dbaier@ernw.de) und Jens Franke (jfranke@ernw.de) 1 Einleitung Dieses Dokument behandelt die flexible

Mehr

PeDaS Personal Data Safe. - Bedienungsanleitung -

PeDaS Personal Data Safe. - Bedienungsanleitung - PeDaS Personal Data Safe - Bedienungsanleitung - PeDaS Bedienungsanleitung v1.0 1/12 OWITA GmbH 2008 1 Initialisierung einer neuen SmartCard Starten Sie die PeDaS-Anwendung, nachdem Sie eine neue noch

Mehr

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing. www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Beschreibung und Bedienungsanleitung Werkzeug für verschlüsselte bpks

Mehr

Anwenderdokumentation PersoSim

Anwenderdokumentation PersoSim Anwenderdokumentation PersoSim Die nachfolgende Anwenderdokumentation soll dem Anwender bei der Installation und den ersten Schritten im Umgang mit PersoSim helfen. Installation Grundvoraussetzung für

Mehr

KEEPASS PLUGIN - BENUTZERHANDBUCH

KEEPASS PLUGIN - BENUTZERHANDBUCH Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center Austria A-1030 Wien, Seidlgasse 22 / 9 Tel.: (+43 1) 503 19 63 0 Fax: (+43 1) 503 19 63 66 A-8010 Graz, Inffeldgasse

Mehr

Handbuch für Android 1.5

Handbuch für Android 1.5 Handbuch für Android 1.5 1 Inhaltsverzeichnis 1 Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 3 2. Installation... 5 3. Grundfunktionen... 5 3.1 Einrichtung von Boxcryptor

Mehr

Verschlüsselte Dateisysteme unter Linux

Verschlüsselte Dateisysteme unter Linux Verschlüsselte Dateisysteme unter Linux Michael Gebetsroither http://einsteinmg.dyndns.org gebi@sbox.tugraz.at Einteilung Theorie Kurze Einführung Verschiedene Möglichkeiten der Verschlüsselung Unsicherheitsfaktoren

Mehr

Dateisysteme mit Plugin-Funktion

Dateisysteme mit Plugin-Funktion Dateisysteme mit Plugin-Funktion Basierend auf Reiser 4 unter Linux http://llugb.amsee.de/logo.gif Ausgearbeitet und vorgetragen von Michael Berger 1/23 Agenda Die Idee Dateisysteme mit Plugin-Funktion

Mehr

Smartcards unter Linux

Smartcards unter Linux Smartcards unter Linux Seminar Betriebssystemdienste und Administration Michael Grünewald Hasso-Plattner-Institut 18. Juni 2008 Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 1 / 17 Agenda

Mehr

Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux

Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux Webbasierte Installation des Cisco AnyConnect VPN-Client 3.1 unter Linux Voraussetzungen: Die Installation des Clients setzt eine graphische Benutzeroberfläche voraus. Der Client selbst sowie die Installation

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Festplattenverschlüsselung

Festplattenverschlüsselung Festplattenverschlüsselung TrueCrypt Sebastian Berschneider sebastian.berschneider@informatik.stud.uni-erlangen.de 1 6. J u n i 2 0 1 0 Motivation Bei physischem Zugang des Angreifers können Schutzsysteme

Mehr

Remaster-Kit Anleitung von Carsten Rohmann und Leszek Lesner

Remaster-Kit Anleitung von Carsten Rohmann und Leszek Lesner Remaster-Kit Anleitung von Carsten Rohmann und Leszek Lesner 1. Was ist Remaster-Kit? Remaster-Kit ist ein Programm, welches das Remastern und Neubauen von ZevenOS-Neptune und anderen Debian- bzw. Ubuntu-basierenden

Mehr

Einrichten eines SSH - Server

Einrichten eines SSH - Server Einrichten eines SSH - Server Um den Server weiter einzurichten bzw. später bequem warten zu können ist es erforderlich, eine Schnittstelle für die Fernwartung / den Fernzugriff zu schaffen. Im Linux -

Mehr

Collax E-Mail-Archivierung

Collax E-Mail-Archivierung Collax E-Mail-Archivierung Howto Diese Howto beschreibt wie die E-Mail-Archivierung auf einem Collax Server installiert und auf die Daten im Archiv zugegriffen wird. Voraussetzungen Collax Business Server

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

Aktuelle Version: 5.1a (17. März 2008) Verfügung, allerdings bisher ohne die Möglichkeit versteckte Container ( hidden volumes ) zu erstellen.

Aktuelle Version: 5.1a (17. März 2008) Verfügung, allerdings bisher ohne die Möglichkeit versteckte Container ( hidden volumes ) zu erstellen. Seite 1 von 6 TrueCrypt aus Wikipedia, der freien Enzyklopädie Gesichtet (+/- ) TrueCrypt ist ein freies Open-Source-Programm zur Verschlüsselung von Festplatten, Teilen davon oder Wechseldatenträgern.

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN 1 1 1 1 2-3 3 4 4 4 5 5 6 Inhaltsverzeichnis. Remote Access mit SSL VPN a. An wen richtet sich das Angebot b. Wie funktioniert es c. Unterstützte Plattform d. Wie kann man darauf zugreifen (Windows, Mac OS X, Linux) 2. Aktive WSAM

Mehr

Collax NCP-VPN. Howto

Collax NCP-VPN. Howto Collax NCP-VPN Howto Dieses Howto beschreibt wie eine VPN-Verbindung zwischen einem Collax Server und dem NCP Secure Entry Client (NCP) eingerichtet werden kann. Der NCP ist ein sehr einfach zu bedienender

Mehr

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Dieses Dokument beschreibt die Konfiguration für den Aufbau einer IPsec-Verbindung von einem PC mit Windows XP Betriebssystem und dem 1. Ethernet-Port

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Benutzerdokumentation Hosted Backup Services Client

Benutzerdokumentation Hosted Backup Services Client Benutzerdokumentation Hosted Backup Services Client Geschäftshaus Pilatushof Grabenhofstrasse 4 6010 Kriens Version 1.1 28.04.2014 Inhaltsverzeichnis 1 Einleitung 4 2 Voraussetzungen 4 3 Installation 5

Mehr

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry.

Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition 2008. FAQ August 2010. Service & Support. Answers for industry. Deckblatt SCALANCE S61x und SOFTNET Security Client Edition 2008 FAQ August 2010 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG,

Mehr

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Verwendung der bereitgestellten Virtuellen Maschinen»Einrichten einer Virtuellen Maschine mittels VirtualBox sowie Zugriff auf

Mehr

bla bla Guard Benutzeranleitung

bla bla Guard Benutzeranleitung bla bla Guard Benutzeranleitung Guard Guard: Benutzeranleitung Veröffentlicht Mittwoch, 03. September 2014 Version 1.0 Copyright 2006-2014 OPEN-XCHANGE Inc. Dieses Werk ist geistiges Eigentum der Open-Xchange

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

Handbuch für ios 1.4 1

Handbuch für ios 1.4 1 Handbuch für ios 1.4 1 Inhaltsverzeichnis 1. Leistungsumfang... 3 1.1 Über Boxcryptor Classic... 3 1.2 Über dieses Handbuch... 4 2. Installation... 5 3. Grundfunktionen... 6 3.1. Einrichtung von Boxcryptor

Mehr

HOWTO TrueCrypt mit Chipkarte

HOWTO TrueCrypt mit Chipkarte HOWTO TrueCrypt mit Chipkarte Erstellt von Silvia Straihammer, BSc silvia.straihammer@cryptas.com Dokument Version Erstellungsdatum v1.0 07/2011 CRYPTAS it-security GmbH Franzosengraben 8 : A-1030 Wien

Mehr

<mail@carstengrohmann.de> Security Enhanced Linux Eine Einführung Tom Vogt Carsten Grohmann Überblick Was ist SELinux? Erweiterung des Kernels Was bietet SELinux? Kapslung von Programmen

Mehr

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

msm net ingenieurbüro meissner kompetent - kreativ - innovativ Das nachfolgende Dokument wird unter der GPL- Lizenz veröffentlicht. - Technical Whitepaper - Konfiguration L2TP-IPSEC VPN Verbindung unter Linux mit KVpnc - VPN Gateway basierend auf strongswan Voraussetzungen

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP

TKI-0397 - Verschlüsselung der Festplattendaten unter Windows XP Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Verschlüsselung der Festplattendaten unter Windows XP Technische Kurzinformation

Mehr

VMware Schutz mit NovaBACKUP BE Virtual

VMware Schutz mit NovaBACKUP BE Virtual VMware Schutz mit NovaBACKUP BE Virtual Anforderungen, Konfiguration und Restore-Anleitung Ein Leitfaden (September 2011) Inhalt Inhalt... 1 Einleitung... 2 Zusammenfassung... 3 Konfiguration von NovaBACKUP...

Mehr

Wissenswertes über LiveUpdate

Wissenswertes über LiveUpdate Wissenswertes über LiveUpdate 1.1 LiveUpdate «LiveUpdate» ermöglicht den einfachen und sicheren Download der neuesten Hotfixes und Patches auf Ihren PC. Bei einer Netzinstallation muss das LiveUpdate immer

Mehr

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko?

Cnlab / CSI 2011. Demo Smart-Phone: Ein tragbares Risiko? Cnlab / CSI 2011 Demo Smart-Phone: Ein tragbares Risiko? Agenda Demo 45 Schutz der Smart-Phones: - Angriffsszenarien - «Jailbreak» - Was nützt die PIN? - Demo: Zugriff auf Passwörter iphone Bekannte Schwachstellen

Mehr

Präsentation. homevisu Familie. Peter Beck. Juni 2011. www.p-b-e.de. 2011 p b e Peter Beck 1

Präsentation. homevisu Familie. Peter Beck. Juni 2011. www.p-b-e.de. 2011 p b e Peter Beck 1 Präsentation homevisu Familie Peter Beck Juni 2011 2011 p b e Peter Beck 1 Funktionensumfang Der Funktionsumfang das provisu Framework. Modular und durch Plug-In erweiterbar / anpassbar. Plug-In Schnittstelle

Mehr

Verschlüsselung von USB Sticks mit TrueCrypt

Verschlüsselung von USB Sticks mit TrueCrypt Verschlüsselung von USB Sticks mit TrueCrypt Martin Bürk m.buerk@realschule-ditzingen.de Hintergrund und Motivation Verwaltungsvorschrift zum Datenschutz an öffentlichen Schulen vom 25.11.2009 Erklärung:

Mehr

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Installation Wawi SQL in Verbindung mit Microsoft SQL Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit

Mehr

Verschlüsselung von Daten mit TrueCrypt

Verschlüsselung von Daten mit TrueCrypt Sicherheitstage SS/09 Verschlüsselung von Daten mit TrueCrypt Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN TrueCrypt - frei verfügbare, quelloffene Verschlüsselungssoftware für Windows und Linux - On-the-fly-Verschlüsselung/Entschlüsselung:

Mehr

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit dem SQL Server Express with Tools 2008 vorgenommen

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Filesystem in Userspace. Jens Spiekermann

Filesystem in Userspace. Jens Spiekermann Filesystem in Userspace Jens Spiekermann Aufbau Was ist FUSE? Grundlagen Wie funktioniert FUSE? Eigenschaften Vorteile Nachteile Wofür kann man FUSE nutzen? Wie wird FUSE benutzt? Abschluss Quellen 2/23

Mehr

EasternGraphics Produktunterlagen Anleitung zur Migration für pcon.update

EasternGraphics Produktunterlagen Anleitung zur Migration für pcon.update 2007-02-13 [BBA] 2007-02-14 [AWI] Hintergrund Zur Nutzung von pcon.update auf Ihrem System sind Anpassungen in Bezug auf Ihre pcon- Applikationen und OFML-Daten erforderlich. Dies trifft insbesondere dann

Mehr

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).

Mehr

Situationsanalyse.doc

Situationsanalyse.doc Hochschule für Technik und Architektur Biel Projekt Polyphemus II Dateiname: Revisionsstatus: Autor:.doc Genehmigt Matthias Germann Änderungskontrolle Version Datum Name Bemerkungen 1 23.04.2002 Matthias

Mehr

Sicherer Datenaustausch mit EurOwiG AG

Sicherer Datenaustausch mit EurOwiG AG Sicherer Datenaustausch mit EurOwiG AG Inhalt AxCrypt... 2 Verschlüsselung mit Passwort... 2 Verschlüsseln mit Schlüsseldatei... 2 Entschlüsselung mit Passwort... 4 Entschlüsseln mit Schlüsseldatei...

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE

OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE OFS: Ein allgemeines Offline-Dateisystem auf Basis von FUSE Tobias Jähnel und Peter Trommler Fakultät Informatik Georg-Simon-Ohm-Hochschule Nürnberg http://offlinefs.sourceforge.net Übersicht Hintergrund

Mehr

Dateisysteme. Lokale Linux Dateisysteme. Michael Kürschner (m i.kuerschner@gmx.de) 22.03.2007

Dateisysteme. Lokale Linux Dateisysteme. Michael Kürschner (m i.kuerschner@gmx.de) 22.03.2007 Dateisysteme Lokale Linux Dateisysteme Michael Kürschner (m i.kuerschner@gmx.de) 22.03.2007 Gliederung Die 4 großen der Szene Unscheinbar und doch Da Teile und Herrsche Was brauche Ich? April 30, 2007

Mehr

Smartphone Entwicklung mit Android und Java

Smartphone Entwicklung mit Android und Java Smartphone Entwicklung mit Android und Java predic8 GmbH Moltkestr. 40 53173 Bonn Tel: (0228)5552576-0 www.predic8.de info@predic8.de Was ist Android Offene Plattform für mobile Geräte Software Kompletter

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Aruba Controller Setup

Aruba Controller Setup Infinigate (Schweiz) AG Aruba Controller Setup - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Controller Basic Setup... 2 2.1 Mobility

Mehr

IPCOP OPENVPN TUTORIAL

IPCOP OPENVPN TUTORIAL IPCOP OPENVPN TUTORIAL von Blue nach Green über VPN mit installiertem BOT Zerina Plugin 0.9.4b und OPENVPN GUI auf IPCOP 1.4.10 http://www.ipcop.org http://www.carinthian-linux.at http://www.openvpn-forum.de

Mehr

Dropbox Verschlüsselung mit TrueCrypt

Dropbox Verschlüsselung mit TrueCrypt 1 von 8 19.04.2013 15:17 Datenbank Dropbox Verschlüsselung mit TrueCrypt http://www.hpier.de/wb» Software» Dropbox Verschlüsselung mit TrueCrypt Daten in der Dropbox Cloud mit TrueCrypt sicher verschlüsseln

Mehr

Das simond Handbuch by Peter H. Grasch. Copyright 2009-2010 Peter Grasch. simond ist die Serverkomponente der simon Spracherkennungslösung.

Das simond Handbuch by Peter H. Grasch. Copyright 2009-2010 Peter Grasch. simond ist die Serverkomponente der simon Spracherkennungslösung. Das simond Handbuch Das simond Handbuch by Peter H. Grasch Copyright 2009-2010 Peter Grasch simond ist die Serverkomponente der simon Spracherkennungslösung. Permission is granted to copy, distribute and/or

Mehr

VPNs mit OpenVPN. von Michael Hartmann

VPNs mit OpenVPN. von Michael Hartmann <michael.hartmann@as netz.de> VPNs mit OpenVPN von Michael Hartmann Allgemeines Was ist ein VPN? VPN: Virtual Privat Network (virtuelles, privates Netzwerk) Tunnel zwischen zwei Rechnern durch ein (unsicheres)

Mehr

Systemvoraussetzungen Hosting

Systemvoraussetzungen Hosting Hosting OCLC GmbH Betriebsstätte Böhl-Iggelheim Am Bahnhofsplatz 1 E-Mail: 67459 Böhl-Iggelheim bibliotheca@oclc.org Tel. +49-(0)6324-9612-0 Internet: Fax +49-(0)6324-9612-4005 www.oclc.org Impressum Titel

Mehr

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework

1. Software-Plattform Android Android. Was ist Android? Bibliotheken, Laufzeitumgebung, Application Framework 1. Software-Plattform Android Android Was ist Android? Plattform und Betriebssystem für mobile Geräte (Smartphones, Mobiltelefone, Netbooks), Open-Source Linux-Kernel 2.6 Managed Code, Angepasste Java

Mehr

Spezifikationen und Voraussetzung

Spezifikationen und Voraussetzung Projekt IGH DataExpert Paynet Adapter Spezifikationen Voraussetzungen Datum : 21.07.08 Version : 1.0.0.2 21.07.2008 Seite 1 von 7 Inhaltsverzeichnis 1 Einleitung... 3 2 Architektur... 3 2.1 Grundsätze

Mehr

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle 1. Funktion und Voreinstellung Der EFB-EXP-72a basiert auf der Funktionsweise des Funkempfängers EFB-RS232 mit dem Unterschied,

Mehr

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter Dr. Kaiser Systemhaus GmbH Köpenicker Straße 325 12555 Berlin Telefon: (0 30) 65 76 22 36 Telefax: (0 30) 65 76 22 38 E-Mail: info@dr-kaiser.de Internet: www.dr-kaiser.de Zielstellung: Installationshinweise

Mehr

TrueCrypt Ein kurzes, anschauliches und verständliches Howto

TrueCrypt Ein kurzes, anschauliches und verständliches Howto TrueCrypt Ein kurzes, anschauliches und verständliches Howto Dieses Howto soll Ihnen auf einfache und anschauliche Weise folgende Aspekte näher bringen: (a) Woher kann TrueCrypt bezogen werden und welche

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Dynamisches VPN mit FW V3.64

Dynamisches VPN mit FW V3.64 Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration Dominik Helleberg inovex GmbH Android-Enterprise- Integration Dominik Helleberg Mobile Development Android HTML5 http://dominik-helleberg.de/+ http://twitter.com/_cirrus_ Agenda Intro Enterprise Apps /

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen Metadaten: Version:

Mehr

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation.

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. Inhalt 1 Übersicht 2 Anwendungsbeispiele 3 Einsatzgebiete 4 Systemanforderungen 5 Lizenzierung 6 Installation 7 Key Features 8 Funktionsübersicht (Auszug) 1 Übersicht MIK.bis.webedition ist die Umsetzung

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

Anwendungen. Tom Vogt.

Anwendungen. Tom Vogt. <tom@lemuria.org> Security Enhanced Linux Einführung Architektur Anwendungen Tom Vogt Der Autor beschäftigt sich seit ca. 10 Jahren mit Linux. hat an verschiedensten Free Software Projekten mitgearbeitet,

Mehr

White Paper. Embedded Treiberframework. Einführung

White Paper. Embedded Treiberframework. Einführung Embedded Treiberframework Einführung White Paper Dieses White Paper beschreibt die Architektur einer Laufzeitumgebung für Gerätetreiber im embedded Umfeld. Dieses Treiberframework ist dabei auf jede embedded

Mehr