DNSSEC im (Münchner) Wissenschaftsnetz

Größe: px
Ab Seite anzeigen:

Download "DNSSEC im (Münchner) Wissenschaftsnetz"

Transkript

1 DNSSEC im (Münchner) Wissenschaftsnetz Bernhard Schmidt 3. März 2015 Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

2 Agenda Einleitung Motivation, was ist DNS-Spoofing? DNSSEC Rekursive Seite Authoritative Seite Monitoring Goodies SSHFP TLSA/DANE Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

3 Einleitung Eigenvorstellung wir sind nicht die Einzigen, wir sind nicht die Ersten, wir sind vielleicht die größten (Hochschulen mit DNSSEC) keine Erklärung der technischen Details LRZ-interne Präsentation unter Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

4 Motivation DNS Spoofing DNS Spoofing - wie? DNS hauptsächlich über (verbindungsloses) UDP Zuordnung von Anfrage und Antwort über Matching verschiedener Protokollfelder IP-Adresse beider Seiten (2-3 Bit Zufall) Quellport Anfrage bzw. Zielport Antwort (15-16 Bit Zufall) Anfrage (kein Zufall) DNS Transaction-ID (16 Bit Zufall) im besten Fall etwa 2 34 Möglichkeiten mit heutigen Bandbreiten ist Brute-Force Spoofing realistisch Implementierungs- und Konfigurationsfehler reduzieren Zufall oder ermöglichen neue Angriffe (Kaminsky-Attacke, out-of-bailiwick) wenn ein Angreifer Anfragen (passiv) mithört kann er fast immer schneller antworten als der richtige Server Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

5 Motivation DNS Spoofing DNS Spoofing - warum? Platzieren falscher Einträge in Resolvercache, zum Teil für ganze TLDs kein Selbstzweck, sondern Vorbereitung für Man-in-the-Middle Angriffen (Lenovo Superfish, älter: Apple Updates) Advertisement Fraud Drive-by Angriffe von Malware Hijacking von SMTP, dann Abgreifen von Passwortresetmails... schwer zu erkennen, noch schwerer zu verhindern (BCP-38?) betrifft unter Umständen tausende von Nutzern auf einen Schlag Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

6 Technik DNSSEC DNSSEC DNSSEC signiert DNS-Inhalte durch Public/Private-Keyverfahren DNSSEC bietet dadurch Authentizität und Integrität DNSSEC bietet keine Vertraulichkeit! neue RTYPEs im DNS DNSKEY - Public Key RRSIG - Signatur NSEC - Verkettung für Beweis der (Nicht-)Existenz NSEC3 - Verkettung für Beweis der (Nicht-)Existenz DS - Sichere Delegation Vertrauen in einen einzigen Schlüssel (Root-Zone), der Rest wird durch sichere Delegationen abgesichert (vgl. Root-CA, Intermediate-CA,...) Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

7 Technik Rekursive Seite Rekursive Seite relativ trivial in modernen Versionen von BIND und Unbound standardmäßig aktiv DNSSEC wird validiert, Domains mit DNSSEC-Fehlern können nicht aufgelöst werden (SERVFAIL) Resolver gibt Validierungsstatus im ad-flag zurück Zwei Probleme BIND validiert keine Slave-Zonen keine Authentifizierung zwischen Client und Resolver, Spoofing möglich Client Stub-Resolver 1 6 rekursiv validierender Resolver iterativ 3 Nameserver. Nameserver de. Authoritativ unsicher sicher Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

8 sicher Technik Rekursive Seite Rekursive Seite Lösung: lokal validierende Resolver (z.b. Unbound) 8 Client, validierender "Stub"-Resolver rekursiv 1 Client Stub-Resolver 2 7 validierender Resolver iterativ Nameserver. Nameserver de. Authoritativ sicher am LRZ im Aufbau (Mailsystem, ausgewählte Mitarbeiter,...) Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

9 Technik Rekursive Seite Rekursive Seite resolver1.lrz.de validierend seit 2008 Teilnahme am DENIC-DNSSEC-Testbed, DLV, IANA ITAR resolver2.lrz.de validierend seit März 2014 seitdem keine Auflösung von Domains mit kaputtem DNSSEC mehr! <5 Incidents die periphär durch DNSSEC hervorgerufen wurden weltweit etwa 12% der DNS-Anfragen mit DNSSEC gesichert 1 Comcast (größter Privatkundenprovider der Welt) seit Anfang Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

10 Technik Authoritative Seite Authoritative Seite stellt signierte Zone für eigene Domains bereit grober Ablauf: Generieren von Key-Signing-Key (KSK) und Zone-Signing-Key (ZSK) Signieren der Zone mit dem ZSK Signieren des ZSK mit dem KSK Einfügen des Hashs des KSK in die Parent-Zone (DS-Record) Signieren muss bei jeder Änderung der Zone gemacht werden manueller Aufruf von dnssec-signzone fehleranfällig! muss auch ohne Änderung der Zone periodisch durchgeführt werden (RRSIG Validity Period) Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

11 Technik Authoritative Seite Authoritative Seite BIND auto-dnssec maintain Feature Key in Key-Directory anlegen BIND kümmert sich automatisch um Resigning Änderungen an der Zone mit rndc freeze/thaw oder nsupdate BIND inline-signing Feature siehe oben Input nicht mehr Zonenfile, sondern AXFR ermöglicht die Einrichtung eines Signing Proxies OpenDNSSEC automatisiert mehr (z.b. Keyrollover) komplexere Installation (benötigt MySQL und SoftHSM) unterstützt ebenfalls Inline Signing Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

12 Technik Authoritative Seite Authoritative Seite am LRZ Weboberfläche für Kunden (Nixu Namesurfer) kann prinzipiell DNSSEC, aber ein paar dubiose Probleme in den Anfängen wir wollen evtl. auch in der Lage sein <hipster>signing-as-a-service</hipster> anzubieten Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

13 Technik Authoritative Seite Authoritative Seite am LRZ CMDB dns1 dns2 WebDNS HTTP dns3 resolver1 resolver2 BIND Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

14 Technik Authoritative Seite Authoritative Seite am LRZ CMDB dns1 DNSSEC Proxy dns2 WebDNS HTTP dns3 resolver1 resolver2 BIND Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

15 Technik Authoritative Seite Authoritative Seite Große Hauptdomains mit Infrastruktur signiert (wenn s kracht dann richtig) lrz.de tum.de lmu.de einige kleinere Domains ebenfalls, zum Teil schon länger badw-muenchen.de - Dezember 2010 Weitere DNSSEC-Nutzer: bund.de, bayern.de ruhr-uni-bochum.de, tuhh.de, uni-kl.de, hs-owl.de, uni-rostock.de, uni-stuttgart.de > in.com/.net/.edu 2 Pflicht für US Regierungsstellen (.gov) 2 Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

16 Technik Authoritative Seite Monitoring DNSSEC-Signierungsfehler sind tödlich fallen je nach lokaler Resolverstruktur gar nicht auf Tägliche Prüfung am LRZ für jede DNSSEC-Zone Prüfen der signierten Zone durch ldns-verify-zone (ldns 3 ) prüft NSEC-Chaining, Keys, RRSIG-Validity (>30 Tage) Prüfen der signierten Zone durch dnssec-verify (BIND) prüft NSEC-Chaining, Keys Abfrage des SOA-Records bei Google DNS, DNS-OARC ODVR 4 prüft sichere Delegation (ad-flag) prüft Funktionsfähigkeit aus Nutzersicht Nutzung lokaler validierender Resolver auf wichtigen Servern 3 4 https://www.dns-oarc.net/oarc/services/odvr Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

17 Goodies DNSSEC Goodies DNSSEC verhindert zuverlässig Spoofing aber: die Wenigsten von uns haben DNS-Spoofingprobleme DNSSEC ermöglicht Authentifikation von allen DNS-Inhalten einer signierten Domain, nicht nur der bekannten A/AAAA/MX/...-Records) zusätzliche RTYPEs mit Zusatznutzen durch DNSSEC erinnert sich jemand an opportunistisches IPsec (IPSECKEY RR)? Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

18 Goodies SSHFP SSHFP (RFC 4255) wer prüft SSH Fingerprint bei Connect? Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

19 Goodies SSHFP SSHFP (RFC 4255) wer prüft SSH Fingerprint bei Connect? Fingerprint des Hostkeys kann in SSHFP RR hinterlegt werden Client kann Key via DNSSEC-gesichertem DNS verifizieren ideal für Gateways, Supercomputing, git,... $ ssh -v -o UserKnownHostsFile=/dev/null [...] debug1: Server host key: ECDSA cf:39:97:8e:60:18:ce:45:3f:7e:86:91:76:39:4a:ba debug1: found 6 secure fingerprints in DNS debug1: matching host key fingerprint found in DNS Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

20 Goodies SSHFP SSHFP (RFC 4255) wer prüft SSH Fingerprint bei Connect? Fingerprint des Hostkeys kann in SSHFP RR hinterlegt werden Client kann Key via DNSSEC-gesichertem DNS verifizieren ideal für Gateways, Supercomputing, git,... $ ssh -v -o UserKnownHostsFile=/dev/null [...] debug1: Server host key: ECDSA cf:39:97:8e:60:18:ce:45:3f:7e:86:91:76:39:4a:ba debug1: found 6 secure fingerprints in DNS debug1: matching host key fingerprint found in DNS funktioniert auch ohne DNSSEC, dann aber immer mit Nachfrage $ ssh -v -o UserKnownHostsFile=/dev/null [...] debug1: Server host key: ECDSA cf:39:97:8e:60:18:ce:45:3f:7e:86:91:76:39:4a:ba debug1: found 6 insecure fingerprints in DNS debug1: matching host key fingerprint found in DNS The authenticity of host 'gitlab.lrz.de (2001:4ca0:0:103::81bb:fe47)' can't be established. ECDSA key fingerprint is cf:39:97:8e:60:18:ce:45:3f:7e:86:91:76:39:4a:ba. Matching host key fingerprint found in DNS. Are you sure you want to continue connecting (yes/no)? Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

21 Goodies TLSA DANE TLSA/DANE (RFC 6698) DNS-Based Authentication of Named Entities veröffentlicht Zertifikatsinformationen für Verbindung zu Dienst (Hostname + Port) kann zu benutzende CA (Trust-Anchor) oder End-Entity (Serverzertifikat) vorgeben... dabei auch Validierung über PKIX übergehen... der Todeskuss für die etablierte SSL-CA Infrastruktur? _443._tcp.www.bund.de. 900 IN TLSA A1CDA213DA1124EA1AB461DC9F99A0F4A4C4A37DE B00E2330 Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

22 Goodies TLSA DANE TLSA/DANE im Web TLSA hätte das Potential, SSL-CAs überflüssig zu machen Validatorplugins für alle gängigen Browser und Plattformen unter https://www.dnssec-validator.cz aber: kein großes Interesse der Browserhersteller Mozilla: Bug (kaum Aktivität seit 2013) Chromium: Issue (WONTFIX) Chrome und Mozilla setzen auf Zertifikatspinning im Browserbundle Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

23 Goodies TLSA DANE TLSA/DANE bei Transportverschlüsselung über (STARTTLS) nachträglich auf SMTP aufgesetzt Verschlüsselung nicht erzwungen, Signalisierung über Plaintext (Downgrade-Attacke) Validierung des Peer-Zertifikats nicht praktikabel 50% der Serverzertifikate validieren nicht einmal ohne Checks des CN (Self-Signed, Expired,...) kein Administratorprompt möglich Lösung : Marketing Schengen-Routing Made in Germany 5 5 https://mailbox.org/ -made-in-germany-verhindert-systematisch-teilnahme-anderer-provider/ Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

24 Goodies TLSA DANE TLSA/DANE bei Echte Lösung: Zieldomain signieren (Domain -> Mailserver) TLSA-Record für Mailserver (Mailserver -> Zertifikat) beides in DNSSEC-signierten Zonen TLSA-Lookup beim Versand, implizites Zertifikatspinning Verschlüsselung muss erfolgen (kein Downgrade) DNSSEC-verifiziertes Zertifikat muss präsentiert werden Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

25 Goodies TLSA DANE TLSA/DANE bei Outbound: DNSSEC-validierender Resolver Postfix >= 2.11 smtp_tls_security_level = dane smtp_dns_support_level = dnssec Exim?? Verified TLS connection established to mx2.uni-kl.de[2001:638:208:120::209]:25: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Statistik am LRZ ( ): 2% der ausgehenden TLS-Verbindungen mit DANE gesichert unter anderem zu bund.de, bayern.de, uni-kl.de, med.uni-rostock.de, posteo.de, mailbox.org,... Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

26 Goodies TLSA DANE TLSA/DANE bei Inbound: kein Support des lokalen MTA nötig, STARTTLS genügt Zonen DNSSEC-signieren und Zertifikat im TLSA-Record hinterlegen keine Signalisierung der TLSA-Nutzung durch den Sender -> keine Statistik Statistik am LRZ ( ): <1% der Zonen signiert >50% des Mailverkehrs über DANE abgesichert Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

27 Status und Ausblick Langsame Zunahme von DNSSEC-Zonen am LRZ wir arbeiten noch an Automatisierung, Dokumentation, Erfahrung,... Wünsche an andere Mitglieder/DFN DNSSEC-Validierung auf Resolvern DNSSEC-Signierung von eigenen Zonen DANE/TLSA für ausgehenden Mailverkehr DANE/TLSA für eingehenden Mailverkehr (DFN-Mailsupport!) Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

28 Status und Ausblick Vielen Dank! Bernhard Schmidt Bernhard Schmidt DNSSEC im (Münchner) Wissenschaftsnetz 3. März / 26

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann DA(e)NEn lügen nicht Patrick Ben Koetter Carsten Strotmann TLS und SMTP 2 TLS und SMTP STARTTLS? 3 TLS und SMTP STARTTLS! STARTTLS? 4 TLS und SMTP STARTTLS? STARTTLS! Fälschung 5 TLS und SMTP STARTTLS?

Mehr

Lightning Talk: Kurzvorstellung DNSSEC

Lightning Talk: Kurzvorstellung DNSSEC Lightning Talk: Kurzvorstellung DNSSEC Seite: 1 / 21 Über mich Stefan Neufeind Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration) Individuelle Software-Entwicklungen, z.b.

Mehr

DNSSec-Workshop. Chemnitzer Linux-Tage 2010. Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik

DNSSec-Workshop. Chemnitzer Linux-Tage 2010. Marcus Obst Heiko Schlittermann. schlittermann. Professur für Nachrichtentechnik Marcus Obst Heiko Schlittermann Professur für Nachrichtentechnik schlittermann Inhalt Warum DNSSec / Motivation Bisherige Mechanismen (TSIG) DNSSec Grundlagen DNSSec-Server Setup (neue Zone) DNSSec-Resolver

Mehr

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern

Externer DNS. Technologien und Herausforderungen. Amanox Solutions AG Speichergasse 39 CH-3008 Bern Externer DNS Technologien und Herausforderungen Amanox Solutions AG Speichergasse 39 CH-3008 Bern Wieso brauchen wir externen DNS Alle Internetservices nutzen DNS E-Mail Geschäftskritische Business Applikationen

Mehr

SMTP Sicherheit mit DANE sys4.de

SMTP Sicherheit mit DANE sys4.de SMTP Sicherheit mit DANE sys4.de EMiG :-) > STARTTLS für Kunden verbindend > STARTTLS zwischen EMiG-Teilnehmern > Die EMiG-Teilnehmer decken einen grossen Anteil an deutschen Mailnutzern ab EMiG :-( >

Mehr

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr.

DNSSEC und DANE. Dimitar Dimitrov. Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr. DNSSEC und DANE Dimitar Dimitrov Institut für Informatik Humboldt-Universität zu Berlin Seminar Electronic Identity Dr. Wolf Müller 17. November 2014 Inhaltsverzeichnis 1 Motivation 2 DNS 3 DNSSEC 4 DANE

Mehr

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen

von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen DNSSEC und seine Auswirkungen auf DNS-Dienste Dienste in der MPG von Holger Beck Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg 11, 37077 Göttingen Fon: 0551 201-1510 Fax:

Mehr

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1

Eco DNSSEC Workshop. DNSSEC Vertrauen ins DNS. Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1 Eco DNSSEC Workshop DNSSEC Vertrauen ins DNS Lutz Donnerhacke dig NAPTR 1.6.5.3.7.5.1.4.6.3.9.4.e164.arpa. +dnssec DNSSEC/1 DNS Security Klassische Public-Key Signaturen: RRSIG Signaturen der Nichtexistenz:

Mehr

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis 27.12.

DNSSEC. Überblick. ISPA Academy. ISPA Academy. Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at. in der Praxis 27.12. DNSSEC in der Praxis Datum: 21.11.2012 Michael Braunöder R&D Überblick Lessons learned Wie kann ich DNSSEC verwenden? DNSSEC in.at 2 1 Lessons learned Software: möglichst aktuelle Versionen benutzen Weniger

Mehr

Secure Domain Name System DNSSEC

Secure Domain Name System DNSSEC Secure Domain Name System DNSSEC Einführ ung und Überblick in die Funktionsweise Secure Linux Administration Conference Ber lin 2. Dezember 2011 Holger.Zuleger@hznet.de 02. Dez 2011 1/19 > c DNS / DNSSEC

Mehr

Sichere Wegweiser im Internet: DNSSEC im praktischen Einsatz

Sichere Wegweiser im Internet: DNSSEC im praktischen Einsatz Sichere Wegweiser im Internet: Seite: 1 / 32 Inhalte Einführung/Überblick DNSSEC Tools Mögliche Einsatzszenarien Stolpersteine / Praxis Links / Hilfen Seite: 2 / 32 Über mich Stefan Neufeind Aus Neuss

Mehr

DNSSEC. Zonen Verwaltung. mit ZKT

DNSSEC. Zonen Verwaltung. mit ZKT DNSSEC Zonen Verwaltung mit ZKT 53. DFN Betriebstagung Ber lin 26. Oktober 2010 Holger.Zuleger@hznet.de 26. Okt 2010 Holger Zuleger 1/12 > c Secure DNS Erweiter ung des DNS Protokoll (EDNS0 DO flag) Er

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Sichere Namensauflösung mit DNSSec

Sichere Namensauflösung mit DNSSec Sichere Namensauflösung mit DNSSec Chemnitzer Linux Tage 2010 Heiko Schlittermann Marcus Obst http://www./doc/clt2010/ Inhalt Stand der Technik Motivation zum DNSSEC-Einsatz Sicherung mit TSIG Sicherung

Mehr

DNSSEC für Internet Service Provider. Ralf Weber (rw@colt.net)

DNSSEC für Internet Service Provider. Ralf Weber (rw@colt.net) DNSSEC für Internet Service Provider Ralf Weber (rw@colt.net) 1 Was für DNS Dienste bietet ein ISP an > Autoritative Zonen für Kunden und > Rekursive Resolver Dienste für Kunden Client 213.86.182.108!

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

DNSSEC. Domain Name System Security Extension. Referent: Matthias Lohr

DNSSEC. Domain Name System Security Extension. Referent: Matthias Lohr <lohr@uni-trier.de> DNSSEC Domain Name System Security Extension Referent: Matthias Lohr DNS - Geschichte Früher: Master-Text-Datei Abgleich über Download Jetzt: Verteilte Datenbank Abgleich über sog.

Mehr

DynDNS für Strato Domains im Eigenbau

DynDNS für Strato Domains im Eigenbau home.meinedomain.de DynDNS für Strato Domains im Eigenbau Hubert Feyrer Hubert Feyrer 1 Intro homerouter$ ifconfig pppoe0 pppoe0: flags=8851...

Mehr

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009

DNS-Baustein. Thomas Ledermüller, BSc Grundschutztag Bochum 19. November 2009 DNS-Baustein, BSc Grundschutztag Bochum 19. November 2009 2 Zu meiner Person Thomas Ledermueller, BSc Masterstudium Sichere Informationssysteme (FHOOE/Campus Hagenberg) KPMG Financial Advisory Services

Mehr

Frankfurt, 26. Januar 2010

Frankfurt, 26. Januar 2010 Das DNSSEC-Testbed - 21 Tage und ein bißchen weiser - Peter Koch, Marcos Sanz Frankfurt, 26. Januar 2010 Agenda DNSSEC-Testbed - Überblick und Infrastruktur Krypto- und andere Parameter Erste Zahlen Nächste

Mehr

SSH. Die Secure Shell am Beispiel von OpenSSH. Dirk Geschke. Linux User Group Erding. 26. Oktober 2011

SSH. Die Secure Shell am Beispiel von OpenSSH. Dirk Geschke. Linux User Group Erding. 26. Oktober 2011 SSH Die Secure Shell am Beispiel von OpenSSH Dirk Geschke Linux User Group Erding 26. Oktober 2011 Dirk Geschke (LUG-Erding) SSH 26. Oktober 2011 1 / 18 Gliederung 1 Historisches 2 Details 3 Keys 4 SSH-Optionen

Mehr

Hacken von implementierungsspezifischen! SSL-Schwachstellen

Hacken von implementierungsspezifischen! SSL-Schwachstellen Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security, is072033@fhstp.ac.at Wozu SSL? Authentizität

Mehr

SSL-Absicherung mittels DANE. und. Sicheres DNSSEC mit Bind 9.x

SSL-Absicherung mittels DANE. und. Sicheres DNSSEC mit Bind 9.x SSL-Absicherung mittels DANE und Sicheres DNSSEC mit Bind 9.x Heinlein Support IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern Eigener Betrieb eines ISPs seit 1992 Täglich tiefe Einblicke in

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

SSL/TLS: Ein Überblick

SSL/TLS: Ein Überblick SSL/TLS: Ein Überblick Wie funktioniert das sichere Internet? Dirk Geschke Linux User Group Erding 28. März 2012 Dirk Geschke (LUG-Erding) SSL/TLS 28. März 2012 1 / 26 Gliederung 1 Einleitunng 2 Verschlüsselung

Mehr

Die Dinge beim Namen nennen...

Die Dinge beim Namen nennen... Die Dinge beim Namen nennen... D N S G r u n d l a g e n, M ö g l i c h k e i t e n u n d A t t a c k e n 13.08.08 / Seite 1 Über mich Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration)

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Dynamisches DNSSEC mit Bind 9.7 Linux höchstpersönlich.

Dynamisches DNSSEC mit Bind 9.7 Linux höchstpersönlich. Dynamisches DNSSEC mit Bind 9.7 Heinlein Support IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern Eigener Betrieb eines ISPs seit 1992 Täglich tiefe Einblicke in die Herzen der IT aller Unternehmensgrößen

Mehr

Sicherheitserweiterungen im DNS nach RFC 2535

Sicherheitserweiterungen im DNS nach RFC 2535 Sicherheitserweiterungen im DNS nach RFC 2535 Referentin: Ursula Loch 11.05.2004 Sicherheit im Internet, Prof. Dr. P. Trommler, SS 2004 2 Gliederung 1) Einordnung des DNS in das OSI-Schichtenmodell Schichtenmodell

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

DNSsec HOWTO. Secure the Domain Name System. DENIC Technisches Meeting 28./29. September 2004. Holger.Zuleger@hznet.de

DNSsec HOWTO. Secure the Domain Name System. DENIC Technisches Meeting 28./29. September 2004. Holger.Zuleger@hznet.de HOWTO Secure the Domain Name System DENIC Technisches Meeting 28./29. September 2004 Holger.Zuleger@hznet.de 29. Sep 2004 Holger Zuleger 1/29 > c Agenda Einführ ung Secure DNS Anwendungen Histor ie Resource

Mehr

Security - oder auch nicht. Das schwächste Glied der Kette. Ein Probevortrag eines Vortrags für den Linuxday 2008

Security - oder auch nicht. Das schwächste Glied der Kette. Ein Probevortrag eines Vortrags für den Linuxday 2008 Security - oder auch nicht. Das schwächste Glied der Kette. Ein Probevortrag eines Vortrags für den Linuxday 2008 Wolfgang Dautermann FH JOANNEUM FH Joanneum, 24.11.2008 1 Netzwerkprotokolle 2 Verschlüsselung

Mehr

Ist das so mit HTTPS wirklich eine gute Lösung?

Ist das so mit HTTPS wirklich eine gute Lösung? SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 20.06.2003 Internet Security:

Mehr

Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl

Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl <lendl@cert.at> Was Sie nie über DNSSEC wissen wollten, aber herauszufinden gezwungen sein werden. Otmar Lendl Programm Warum DNSSEC Wie funktioniert DNSSEC Internationaler Stand der Dinge Technische Probleme

Mehr

Security - oder auch nicht. Das schwächste Glied der Kette.

Security - oder auch nicht. Das schwächste Glied der Kette. Security - oder auch nicht. Das schwächste Glied der Kette. Wolfgang Dautermann FH JOANNEUM Chemnitzer Linuxtage 2009 1 Netzwerkprotokolle 2 Verschlüsselung mit SSL 3 Gegenseitige Authentifizierung 4 Arten

Mehr

BSI TR-03108. Sicherer E-Mail-Transport. Anforderungen an E-Mail-Diensteanbieter für einen sicheren Transport von E-Mails

BSI TR-03108. Sicherer E-Mail-Transport. Anforderungen an E-Mail-Diensteanbieter für einen sicheren Transport von E-Mails BSI TR-03108 Sicherer E-Mail-Transport Anforderungen an E-Mail-Diensteanbieter für einen sicheren Transport von E-Mails Version: 0.9 Entwurf Datum: 20.08.15 Änderungshistorie Version Datum Name Beschreibung

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec

Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec DNS Überblick Domain Name System (DNS) (RFC 1034 / 1035) Namensauflösung von Domainnamen nach IP Adresse Verteilter hierarchischer Verzeichnisdienst

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Verteilte Systeme - 2. Übung

Verteilte Systeme - 2. Übung Verteilte Systeme - 2. Übung Dr. Jens Brandt Sommersemester 2011 1. Server-Entwurf a) Beschreiben Sie was sich hinter den Begriffen statusloser bzw. statusbehafteter Server verbirgt. Statusloser Server

Mehr

DNSsec. Sichere Namensauflösung im Internet. IT-Fachtage Nordhessen 24./25. September 2004. Holger.Zuleger@hznet.de

DNSsec. Sichere Namensauflösung im Internet. IT-Fachtage Nordhessen 24./25. September 2004. Holger.Zuleger@hznet.de Sichere Namensauflösung im Internet IT-Fachtage Nordhessen 24./25. September 2004 Holger.Zuleger@hznet.de 25. September 2004 Holger Zuleger 1/30 > c Agenda Einführ ung in das Domain Name System (DNS) Anwendungsgebiete

Mehr

The Cable Guy März 2004

The Cable Guy März 2004 The Cable Guy März 2004 Local Server-Less DNS-Namensauflösung für IPv6 von The Cable Guy Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/ms/technetdatenbank/ergebnis.asp?themen=&timearea=3j&prod=

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

www.immobilienscout24.de Automatische Rotation von DKIM- Schlüsseln

www.immobilienscout24.de Automatische Rotation von DKIM- Schlüsseln www.immobilienscout24.de Automatische Rotation von DKIM- Schlüsseln Berlin 10.05.2014 Stefan Neben System Engineer, stefan.neben@immobilienscout24.de Immobilien Scout GmbH Angefangen hat es vor 15 Jahren

Mehr

DNSSEC vs. DNSCurve for Securing the Net

DNSSEC vs. DNSCurve for Securing the Net DNSSEC vs. DNSCurve for Securing the Net Daniel Raumer Betreuer: Ralph Holz Seminar Future Internet SS2011 Lehrstuhl Netzarchitekturen und Netzdienste Fakultät für Informatik, Technische Universität München

Mehr

Spam und SPIT. Moritz Mertinkat mmertinkat AT rapidsoft DOT de. Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen 06.07.2007 1

Spam und SPIT. Moritz Mertinkat mmertinkat AT rapidsoft DOT de. Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen 06.07.2007 1 06.07.2007 1 Spam und SPIT Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen Moritz Mertinkat mmertinkat AT rapidsoft DOT de 06.07.2007 Einleitung // Worum geht s? Spam Architektur Schutzmöglichkeiten Gegenmaßnahmen

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Infrastruktur: Vertrauen herstellen, Zertifikate finden TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

SSH und VNC unter Raspbian

SSH und VNC unter Raspbian SSH und VNC unter Raspbian Michael Kofler Oktober 2015 SSH und VNC unter Raspbian 1 SSH und VNC SSH SSH mit Schlüssel VNC VNC-Server automatisch starten VNC mit SSH SSH und VNC unter Raspbian 2 SSH SSH

Mehr

Informationsveranstaltung für Netzverantwortliche im Münchner Wissenschaftsnetz (MWN)

Informationsveranstaltung für Netzverantwortliche im Münchner Wissenschaftsnetz (MWN) Informationsveranstaltung für Netzverantwortliche im Münchner Wissenschaftsnetz (MWN) Folien: www.lrz.de/services/schulung/unterlagen/netzverantwortliche/ München, 11. Oktober 2010 W. Beyer, Dr. W. Hommel,

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Entwurf und Implementierung eines Authentifikations-Proxys für das WWW

Entwurf und Implementierung eines Authentifikations-Proxys für das WWW Entwurf und Implementierung eines Authentifikations-Proxys für das WWW Thilo-Alexander Ginkel thilo@ginkel.com Betreuer: Tobias Straub Oberseminar Theoretische Informatik, 20. Juli 2004 Technische Universität

Mehr

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client

Teldat Secure IPSec Client - für professionellen Einsatz Teldat IPSec Client Teldat Secure IPSec Client - für professionellen Einsatz Unterstützt Windows 8 Beta, 7, XP (32-/64-Bit) und Vista IKEv1, IKEv2, IKE Config Mode, XAuth, Zertifikate (X.509) Integrierte Personal Firewall

Mehr

Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2.

Netzsicherheit Architekturen und Protokolle DNS Security. Netzsicherheit Architekturen und Protokolle DNS Security. 1. Einführung DNS 2. 1. Einführung DNS 2. DNSsec 1. Einführung DNS 2. DNSsec DNS Überblick DNS Namensraum Domain Name System (DNS) (RFC 1034 / 1035) Namensauflösung von Domainnamen nach IP Adresse Verteilter hierarchischer

Mehr

SSL-Zertifikate. Dr. Christopher Kunz

SSL-Zertifikate. Dr. Christopher Kunz SSL-Zertifikate Dr. Christopher Kunz Ihr Referent _ Dr. Christopher Kunz _ CEO Hosting filoo GmbH / TK AG _ Promotion IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC 2012: SSL-Hacks _ OSDC

Mehr

Secure Shell (ssh) Thorsten Bormer 27.01.2006

Secure Shell (ssh) Thorsten Bormer 27.01.2006 27.01.2006 1 Einführung 2 Theoretischer Hintergrund Verschlüsselung Authentifizierung Datenintegrität 3 Funktionsweise von ssh 4 ssh in der Praxis Syntax der Clients Anwendungsbeispiele Was ist SSH? ssh

Mehr

Datenübertragungsportal

Datenübertragungsportal Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden

Mehr

Ich schreibe meinen eigenen SSL/TLS-Checker. Ist doch ganz einfach, oder??

Ich schreibe meinen eigenen SSL/TLS-Checker. Ist doch ganz einfach, oder?? Ich schreibe meinen eigenen SSL/TLS-Checker. Ist doch ganz einfach, oder?? Dirk Wetter @drwetter Licence: http://creativecommons.org/licenses/by-nc-sa/4.0/ 0. Wer bin ich? Einzelunternehmer Sicherheit

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

SSH - Secure Shell. TechTalk. Theresa Enghardt. http://wiki.freitagsrunde.org/techtalks. 13. April 2012

SSH - Secure Shell. TechTalk. Theresa Enghardt. http://wiki.freitagsrunde.org/techtalks. 13. April 2012 SSH - Secure Shell TechTalk Theresa Enghardt http://wiki.freitagsrunde.org/techtalks 13. April 2012 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 License. 1 / 20 SSH - Was

Mehr

DNS Das Domain Name System

DNS Das Domain Name System Björn Wontora 2001-04-24 DNS Das Domain Name System Inhalt 1. Kurzeinführung 2. Warum DNS? - Geschichtliches 3. Aufbau und Konventionen 4. DNS Client Konfiguration 5. Eine beispielhafte Anfrage 6. DNS

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

EgoSecure Mail Encryption Quick Setup Guide

EgoSecure Mail Encryption Quick Setup Guide EgoSecure Mail Encryption Quick Setup Guide Inhalt 1 Einleitung... 2 2 Vorbereitung... 3 2.1 Firewall... 3 3 Inbetriebnahme... 3 3.1 Einschalten und anschließen... 3 3.2 Erstes Login... 3 3.3 Admin-Passwort

Mehr

IPv6 in der Realwelt

IPv6 in der Realwelt IPv6 in der Realwelt Welche Rolle spielt das DNS? Peter Koch Frankfurt, 20. Mai 2010 Heute in Stichworten IPv6 im DNS: AAAA Records, Zahlen und Bilder IPv6 und Glue-Records Reverse Mapping

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Domain Name System (DNS)

Domain Name System (DNS) Domain Name System (DNS) Motivation: E-mail-Infrastruktur des Internet Absender Empfänger SMTP server DNS server Adressabfrage E-mail client Mail-exchangeabfrage Internet SMTP E-mail client POP DNS server

Mehr

Verschlüsselte Mailverbindungen verwenden

Verschlüsselte Mailverbindungen verwenden Verschlüsselte Mailverbindungen verwenden Neu können Sie ohne lästige Zertifikatswarnungen unterwegs sicher mailen. Dies ist wichtig, um Passwortklau zu verhindern (vor allem unterwegs auf offenen WLANs

Mehr

DNSSEC. ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl

DNSSEC. ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl <lendl@nic.at> DNSSEC ISPA Academy, DNSSEC Workshop, 21.11.2012 Otmar Lendl Programm Warum DNSSEC Wie funktioniert DNSSEC Internationaler Stand der Dinge Technische Probleme Policy Implikationen Danke

Mehr

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 12 (8. Juli 12. Juli 2013)

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 12 (8. Juli 12. Juli 2013) Technische Universität München Lehrstuhl Informatik VIII Prof. Dr.-Ing. Georg Carle Dipl.-Ing. Stephan Günther, M.Sc. Nadine Herold, M.Sc. Dipl.-Inf. Stephan Posselt Tutorübung zur Vorlesung Grundlagen

Mehr

Überblick. kurze Einführung in SSL Stand der Unterstützung von SSL in Perl

Überblick. kurze Einführung in SSL Stand der Unterstützung von SSL in Perl SSL und Perl Überblick kurze Einführung in SSL Stand der Unterstützung von SSL in Perl was ist überhaupt SSL? "Secure Socket Layer", Nachfolger TLS (Transport Layer Security), welches fast das gleiche

Mehr

Sicherheit bei VoIP - Ein Überblick

Sicherheit bei VoIP - Ein Überblick - Ein Überblick Christian Louis christian@kuechenserver.org 29. Dezember 2004 Überblick Grundlagen von IP-Telefonie Gefahren bei IP-Telefonie Standards VoIP-Sicherheit Status Quo Ausblick 29. Dezember

Mehr

Einführung in die symmetrische und asymmetrische Verschlüsselung

Einführung in die symmetrische und asymmetrische Verschlüsselung Einführung in die symmetrische und asymmetrische Verschlüsselung Enigmail Andreas Grupp grupp@elektronikschule.de Download der Präsentation unter http://grupp-web.de by A. Grupp, 2007-2010. Dieses Werk

Mehr

Web of Trust in der Praxis

Web of Trust in der Praxis gpg: 0x1C246E3B 12. April 2014 about: about Begriffe Felix Krohn damals: Computer Networking jetzt: sysadmin @ OVH shameless plug: OVH dedizierte server, IaaS webhosting, domains hubic,... Übersicht about

Mehr

SSL TLS Erweiterte Einführung Deutscher Perl Workshop 2015 Steffen Ullrich Slides: http://noxxi.de/talks.html

SSL TLS Erweiterte Einführung Deutscher Perl Workshop 2015 Steffen Ullrich Slides: http://noxxi.de/talks.html SSL TLS Erweiterte Einführung Deutscher Perl Workshop 2015 Steffen Ullrich Slides: http://noxxi.de/talks.html about:me Perl seit 1997 genua mbh seit 2001 https://genua.de Application Level Firewalls Forschung

Mehr

Kerberos. Markus Schade

Kerberos. Markus Schade Kerberos Markus Schade Agenda Einleitung Authentifizierung Protokoll Implementierungen Anwendungen Vertraust Du mir? Oder mir? Historie 1988 am MIT im Rahmen des Athena Projekts entwickelt Client/Server-Architektur

Mehr

Die Idee des Jahres 2013: Kommunikation verschlüsseln

Die Idee des Jahres 2013: Kommunikation verschlüsseln Die Idee des Jahres 2013: Kommunikation verschlüsseln Kommunikationsschema bei Email MailServer MailServer Internet PC PC Sender Empfänger Verschlüsselung ist... immer eine Vereinbarung zwischen zwei Kommunikationspartnern:

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur

Stephan Groth (Bereichsleiter IT-Security) 03.05.2007. CIO Solutions. Zentrale E-Mail-Verschlüsselung und Signatur Stephan Groth (Bereichsleiter IT-Security) 03.05.2007 CIO Solutions Zentrale E-Mail-Verschlüsselung und Signatur 2 Wir stellen uns vor Gegründet 2002 Sitz in Berlin und Frankfurt a. M. Beratung, Entwicklung

Mehr

Systemsicherheit 15: DNSSEC

Systemsicherheit 15: DNSSEC Systemsicherheit 15: DNSSEC Gliederung Einführung Domain Name System Domainnamen und die DNS-Hierarchie Delegation und Zonen Ressource Records (RR) DNS-Server und DNS-Resolver Auflösung von Domainnamen

Mehr

Sicheres Anwendungs-Monitoring mit SNMP Gerrit Beine

Sicheres Anwendungs-Monitoring mit SNMP Gerrit Beine <gerrit.beine@adesso.de> SNMP Applied Sicheres Anwendungs-Monitoring mit SNMP Gerrit Beine 09.05.2014 Short run Konfiguration und Anwendung von Net-SNMP SNMPv3 mit Net-SNMP TLS/DTLS mit Net-SNMP 09.05.2014

Mehr

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3.

1 Einleitung. 2 Vorbereitung 2.1 Firewall. 3.1 Einschalten und Anschliessen. 3.2 Erstes Login. 3.3 Admin-Passwort ändern. 3. Version 5.2.0 1 Einleitung Wir gratulieren Ihnen zum Kauf Ihrer SEPPmail Appliance. Dieser Quick Setup Guide soll Ihnen helfen, die Appliance ohne Komplikationen in Betrieb zu nehmen. In diesem Quick Setup

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23.

Rechnernetze I SS 2012. Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404. Stand: 23. echnernetze I SS 2012 Universität Siegen rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 23. März 2012 Betriebssysteme / verteilte Systeme echnernetze I (1/12) i echnernetze

Mehr

Shibboleth Infrastruktur an der RWTH Aachen

Shibboleth Infrastruktur an der RWTH Aachen Shibboleth Infrastruktur an der RWTH Aachen Aspekte eines redundanten und sicheren Betriebs Kohler IT Center der RWTH Aachen University Übersicht Ausgangspunkt Ziele Infrastruktur Redundante IdP/DS Server

Mehr

DNSSEC bei Netzzugangsgeräten

DNSSEC bei Netzzugangsgeräten DNSSEC bei Netzzugangsgeräten Thorsten Dietrich Bundesamt für Sicherheit in der Informationstechnik DNSSEC-Testbed für Deutschland / 02. Juli 2009 Motivation / Anforderungen Zunächst: DNSSEC-Validierung

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Angriffe auf Zertifizierungsdiensteanbieter und Auswirkungen

Angriffe auf Zertifizierungsdiensteanbieter und Auswirkungen Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI www.melani.admin.ch Technologiebetrachtung Angriffe auf Zertifizierungsdiensteanbieter

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern

Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern Datensicherheit in Zeiten von Würmern, Viren und Nutzerfehlern IKS GmbH Jena Information Kommunikation - Systeme Leutragraben 1 D-07743 Jena Telefon: +49-3641-460850 Fax: +49-3641-460855 email: L.Donnerhacke@iks-jena.de

Mehr

Identity Management und 2FA mit (Free)IPA

Identity Management und 2FA mit (Free)IPA Identity Management und 2FA mit (Free)IPA @Chemitzer Linuxtage 2015 Senior Linux Consultant 1 Agenda Wieso eigenlich IdM einsetzen? Authentifizierung und Autorisierung Lokales Usermanagement Zentrales

Mehr