Blockresistenz unter Benutzung von Skype

Größe: px
Ab Seite anzeigen:

Download "Blockresistenz unter Benutzung von Skype"

Transkript

1 Blockresistenz unter Benutzung von Skype Diplomarbeit an der Technischen Universität Dresden September 2008 Sebastian Dochow Betreuer: Dr. Sebastian Clauß Hochschullehrer: Prof. Dr. A. Pfitzmann Institut: Systemarchitektur Fakultät Informatik

2 JAP over Skype Erklärung Hiermit erkläre ich, Sebastian Dochow, die vorliegende Diplomarbeit zum Thema Blockresistenz unter Benutzung von Skype selbständig und ausschließlich unter Verwendung der im Quellenverzeichnis aufgeführten Literatur- und sonstigen Informationsquellen verfaßt zu haben. Dresden, den Sebastian Dochow Sebastian Dochow ii

3 JAP over Skype Inhaltsverzeichnis Inhaltsverzeichnis 1 Einführung Motivation Problemstellung Überblick Grundlagen Anonymität und Unverkettbarkeit Zensurresistenz und Zensuranfälligkeit Technologien des World Wide Web Anonymität im Kontext des Internet Zensur im Kontext des Internet Zensurresistente und anonymisierende Ansätze Anonymisierter Zugang zum World Wide Web AN.ON Lösungen zur Umgehung von Zensur Serverseitige Maßnahmen Verschleierung der Kommunikation Blockungresistenz Blockungresistenz von AN.ON Blockungresistenz durch tolerierte Dienste Idee Anforderungen Untersuchung möglicher Carrier Service TLS beziehungsweise SSL DNS Instant Messanger Zusammenfassung Skype Funktionalität Technisches Skype Network Skype Protocol Skype Client Skype API Zensurmöglichkeiten Komplettsperrung Einzellsperrung Zusammenfassung Konzeption Initiale Konzeption Forwarding Proxy Sebastian Dochow iii

4 JAP over Skype Inhaltsverzeichnis 6.3 Analyse Konzeption und Integration in JAP Verbindungen und Datenformat Aufbau und erkennen von Verbindungen Adressierung Integration Umsetzung Umsetzung der Konzepte Weiterleiten über IStreamConnection IChunkConnection und Adapter Integration von Skype Auswahl des Transportmediums und des Servers Evaluation Analyse des Skypetransports Beziehung und Inhalt Verzögerung Bewertung Zusammenfassung und Ausblick 50 Abbildungsverzeichnis 51 Tabellenverzeichnis 51 Listingverzeichnis 51 Literatur 52 Sebastian Dochow iv

5 JAP over Skype 1 Einführung 1 Einführung 1.1 Motivation Das Internet hat in unserer heutigen Zeit einen noch nie da gewesenen Stellenwert. 60% der deutschen Haushalte sind mit einen Breitbandzugang ausgestattet ([BT07]), und für unterwegs bieten Telekommunikationsanbieter Lösungen, um mit dem Handy oder dem Laptop von überall zu surfen. Online ist es mittlerweile möglich Waren zu erwerben, mit anderen in Kontakt zu treten oder Informationen zu beinahe beliebigen Themen abzurufen. Renomierte Tageszeitungen stellen ihre Artikel online, private Autoren veröffentlichen ihre eigenen Gedanken auf Blogs und Projekte wie Wikipedia ermöglichen es unentgeltlich auf universelles Wissen zuzugreifen. All diese Angebote benutzen die selben Technologien und sind prinzipiell auf der ganzen Welt abrufbar. Praktisch ist es allerdings nicht möglich die beschriebenen Angebote von überall auf der Welt abzurufen, selbst dann nicht, wenn ein Zugang zum Internet exitiert. Der Grund hierfür liegt in den verschiedenen regionalen Bestimmungen zu verbotenen Inhalten und den als Folge innerstaatlich angewendeten Zensurmechanismen auf den Informationsfluss des Internets. Vom ethischen Standpunkt her, stellt die Bewertung solcher Maßnahmen keine leichte Aufgabe dar und soll in dieser Form auch nicht erfolgen. Allerdings muss festgehalten werden, dass neben einer Vielzahl vertretbarer Gründe (Sichererung der nationalen Sicherheit, Schutz der Kinder vor Ausbeutung, Wahrung kultureller Normen und religöser Werte) die Tatsache bestehen bleibt, dass sie in einigen Staaten dazu genutzt werden, um kritische Meinungen zu unterdrücken oder Menschenrechtsverletzungen zu verschleiern. So gestattet es China beispielsweise seiner Bevölkerung nicht Artikel über Falun Gong abzurufen und Saudi Arabien blockiert Zugriffe auf die Webseite der opositionellen Islah Bewegung 1. In diesem Zusammenhang stellt Zensur ein Instrument zur Meinungsbildung dar und steht im Widerspruch zu der völkerrechtlich anerkannten Freiheit, sich ungehindert über öffentliche Quellen zu informieren Problemstellung Unter diesem Gesichtspunkt ist es als positiv zu bewerten, dass in der Vergangenheit Anonymisierungsdienste wie AN.ON oder TOR dazu verwendet wurden, Zensurmaßnahmen zu umgehen. Dies führte allerdings oftmals zu der Situation, dass in den entsprechenden Ländern die Nutzung dieser Dienste selber unterdrückt wurde. Da hierdurch nicht nur die Rezipientenfreiheit 3 eingeschränkt, sondern zusätzlich noch die Möglichkeit genommen wurde, sich anoym im Internet zu bewegen, ergibt sich der Wunsch nach einem Anonymisierungsdienst, welcher eine gewisse Resistenz gegen Sperrversuche aufweißt. Hierfür soll der Zugang zum Anonymisierungsdienst AN.ON derart gestaltet werden, dass eine Sperrung schwer bis unmöglich wird. Im Ansatz soll dabei nicht versucht werden, dies durch eine reine Erhöhung der Anzahl an Zugangspunkten zu erreichen, sondern stattdessen untersucht werden, in wieweit mit Hilfe etablierter und tolerierter Dienste ein 1 Jeweils aus den entsprechenden Länderreport von OpenNet (http://opennet.net) 2 Vergl. Artikel 19 des Internationalen Pakt über bürgerliche und politische Rechte. Nachzulesen im Bereich der UN-Dokumente des Insituts für Menschenrechte (http://institut-fuer-menschenrechte. de/) 3 Rezipientenfreiheit bezeichnet das Recht, sich über öffentlich zugängliche Quelle ungehindert zu informieren. Sebastian Dochow 1

6 JAP over Skype 1 Einführung Zugang zum Anonymisierungssystem eingerichtet werden kann. Konkret soll dafür Skype Verwendung finden, weshalb der JAP-Client um die Fähigkeit erweitert werden soll, über Skype Verbindungen zu Mixkaskaden aufzubauen. 1.3 Überblick Nach der Einführung im gegenwärtigen Kapitel werden im folgenden Kapitel die begrifflichen Grundlagen geschaffen und die Bedeutung von Anonymität und Zensur im Kontext des Internets geklärt. Im Anschluss werden im 3. Kapitel gegenwärtige Systeme für einen anonymisierten Zugang zum World Wide Web beschrieben und Ansätze beleuchtet, wie bestimmte Formen der Zensur zu umgehen sind. Insbesondere wird dabei auf die Funktionsweise und Antizensurmaßnahmen von AN.ON eingegangen, da dieses System in der späteren Umsetzung Verwendung findet. Der generelle Ansatz, mit Hilfe etablierter Dienste Blockungsresistenz umzusetzen, wird zusammen mit einem entsprechenden Anforderungskatalog im 4. Kapitel erarbeitet. Auf Grundlage dieses Kataloges werden im selben Kapitel einzelne Dienste auf ihre Tauglichkeit in diesem Kontext untersucht. Eine umfassende Analyse des für die Umsetzung gewählten Skype-Systems erfolgt allerdings gesondert folgendem Kapitel, um den verschieden Aspekten dieses Dienstes den nötigen Platz einzuräumen. Auf Basis dieser Analyse soll im 6. Kapitel das grundlegende Vorgehen für die Integration von Skype in das AN.ON -System dargelegt werden. Dieser Konzeption folgend wird im 7. Kapitel beschrieben, welche Veränderungen die Integration konkret mit sich brachte. Eine kritische Auseinandersetzung mit der Lösung wird im 8. Kapitel in Form einer Evaluation zu finden sein, indem auf Grundlage praktischer Analysen eine Bewertung erfolgt. Die Zusammenfassung dieser Arbeit wird zusammen mit einem Ausblicke für zukünftige im 9. und letzten Kapitel gegeben. Sebastian Dochow 2

7 JAP over Skype 2 Grundlagen 2 Grundlagen Um sich einem System zu nähern, welches einen anynomen Zugang zum World Wide Web ermöglicht und gleichzeitig gegen bestimmte Formen der Internetzensur resistent ist, soll zunächst das Verständnis für die theoretischen Grundlagen des eigentlichen Problems geschaffen werden. Dazu gilt es zunächst die Begriffe Anonymität und Zensur anhand eines abstrakten Kommunikationsmodels zu erläutern, um im Anschluss dessen, über die Beschreibung der Technologien des World Wide Web, die konkreten Bedeutung dieser Konzepte im Kontext der Internetkommunikation zu klären. 2.1 Anonymität und Unverkettbarkeit Um den Begriff der Anonymität zu bestimmen, wird auf die von [PH08] vorgeschlagene Terminologie zurückgegriffen, welche den Begriff folgendermaßen definiert: Anonymität... eines Subjektes bedeutet, dass dieses Subjekt innerhalb einer Menge von Subjekten, der Anonymitätsmenge, nicht indentifizierbar ist 4. Um im Folgenden den Begriff der Unverkettbarkeit zu erläutern, soll zunächst das ebenfalls in [PH08] enthaltene Kommunikationsmodell übernommen werden. Dieses geht generell von der Existenz einzelner Stationen aus, welche über Nachrichten miteinander kommunizieren. Jede Station kann dabei, je nachdem ob sie sendend oder empfangend agiert, der Menge der Sender oder der Empfänger zugeordnet werden. In diesem Kontext ergeben sich zwei Spezialisierungen des Anonymitätsbegriffes, da die Anonymitätsmenge einer Station (Subjekt) nur Stationen umfassen kann, welche in der gleichen Rolle (Sender bzw. Empfänger) wie die Station selber auftreten. Dadurch ist es möglich, innerhalb eines Kommunikationnetzwerkes, zwischen Senderanonymität und Empfängeranonymität zu unterscheiden. Schematisch wird dieser Sachverhalt in Abbildung 1 dargestellt. Ausgehend von einem Angreifer, dessen Ziel darin besteht dem Nachrichtenfluss Kommunikationsbeziehungen zuzuordnen, also die Anonymität von Sender oder Empfänger aufzulösen, wird der Begriff der Unverkettbarkeit in [PH08] folgendermaßen bestimmt. Unverkettbarkeit... von 2 oder mehreren interessierenden Dingen (Subjekt, Nachricht, Aktion,... ) aus der Sicht eines Angreifers bedeutet, dass innerhalb des Systems (einschließlich dieser und anderer Dinge), der Angreifer nicht in der Lage ist hinreichend zu unterscheiden, ob diese Dinge miteinander in Beziehung stehen oder nicht. 2.2 Zensurresistenz und Zensuranfälligkeit Unter Zensur wird im Allgemeinen die Unterdrückung unerwünschter Veröffentlichungen seitens staatlicher Stellen verstanden 5. In der Literatur ([DA04],[PRW05],[Küg03]) wird dabei meist von einem Dokument ausgegangen, welches sich auf einer der Stationen befindet und auf die anderen Stationen verteilt werden soll. Das Anliegen eines Zensors besteht wiederum darin, genau diese Verteilung zu verhindern. Unter der Annahme, dass dieser nur Zugriff auf die Funktionalität des Kommunikationsmodells besitzt, also nicht in 4 Übersetzung des Autors mit Hilfe der im Anhang von [PH08] vorgeschlagenen Wortübersetzungen. Dies wurde im Folgende auf alle Definitionen angewandt. 5 Vergl. [Brock06] Stichwort Zensur Sebastian Dochow 3

8 JAP over Skype 2 Grundlagen Senderanonymitätsmenge Empfängeranonymitätsmenge Kommunikationsnetzwerk Sender Empänger Nachricht Abbildung 1: Kommunikationsmodel nach [PH08] der Lage ist das unerwünschte Dokument von der Station zu entfernen, ist davon auszugehen, dass der Zensur gezielt die Kommunikation, welche der Verteilung des Dokumentes dient, unterbinden wird. In diesem Zusammenhang kann Zensur als der Versuch angesehen werden, die Kommunikation zwischen zwei Stationen aktiv zu beeinflussen. Dieser Ansatz erlaubt es Perng et al. [PRW05] im Umkehrschluss den Begriff der Zensurresistenz zu bestimmen. Zensurresistenz... ist die Möglichkeit eine 3. Partei daran zu hindern, die Verbreitung von Dokumenten über ein System zu unterbinden. Dabei wird von einer Verteilung nach dem Client-Server-Modell ausgegangen, in welchem die Übermittlung des jeweiligen Dokumentes durch den Server erst nach einer vorausgehenden Anfrage des Client einsetzt. Zur erfolgreichen Verteilung des Dokumentes müssen demnach mindestens zwei Nachrichten ausgetauscht werden. Zusätzlich führt [PRW05] den Begriff der Zensuranfälligkeit ein, welcher gezielt dem Umstand Rechnung trägt, das Zensur nur eine Teilmenge aller Nachrichten beeinflusst. Zensuranfälligkeit (informell)... drückt die Wahrscheinlichkeit aus, dass eine 3. Partei ein bestimmtes Dokument blockieren kann und dabei zusätzlich noch den Zugang zu mindestens einem weiteren Dokument unbeeinträchtigt lässt. Sebastian Dochow 4

9 JAP over Skype 2 Grundlagen 2.3 Technologien des World Wide Web Das World Wide Web (WWW) in seiner ursprünglichen Idee [BL90] besteht aus einer Menge von Hypertext-Dokumenten, welche sich dadurch auszeichnen, dass sie über Verknüpfungen miteinander in Beziehung stehen. Um diese Idee zu verwirklichen wird auf eine Vielzahl von Technologien zurück gegriffen, welche im wesentlichen zwei Teilbereichen zugeordnet werden können [Sar02] 6. Datenpräsentation Beinhaltet Formate und Standards um die verschiedenen Inhaltstypen (formatierter Text, Grafik, Animation,... ), einheitlich und austauschbar zu präsentieren. Hierzu ist inbesondere HTML und damit verbunden XML zu nennen. Networking Hierunter fallen Techologien, welche dazu dienen die Kommunikation zwischen den einzelnen Endpunkten zu gewährleisten. Insbesondere gehört hierzu das Auffinden von Diensten (DNS), die Adressierung von Ressourcen (URL) sowie die Netzwerk- (TCP/IP) und Dienstkommunikationsprotokolle (HTTP, HTTPS). Im Folgenden sollen nun einige der gängigen Technologien kurz erläutert werden, um die Grundlage dafür zu schaffen, die sich aus ihnen ergebenen Probleme im Bereich der Anonymität und Internetzensur zu verstehen. HTML und XML Unter HTML versteht man das Format, in welchem hauptsächlich Informationen im WWW angebotenen werden. Es handelt sich dabei um eine Auszeichnungssprache, die ausgehend von beliebigen Fließtexten, die Anfangs- und Endpositionen für bestimmte logische oder physische Formatierung des Textes setzt. Die Kodierung erfolgt allein nach internationalen Standardkodierungen für Zeichen (utf8, ansii,... ) wodurch die Daten bereits mit einem Texteditor bearbeitbar sind. Verknüpfungen zu anderen Ressourcen werden als Formatierung umgesetzt, welcher die zu verknüpfende Ressource als URL angefügt wird. 7 URL XML kann man als Verallgemeinerung des HTML Konzeptes verstehen, bei welchem es möglich ist, beliebige strukturierte Inhalte in Form von Textauszeichnungen abzulegen. Auch bei diesem Format erfolgt die Kodierung nur auf Zeichenebene und ist somit ebenfalls mit einem einfachen Texteditor einzusehen. 8 Durch URLs ist es möglich verschiedene elektronische Ressourcen auf einheitliche Art und Weise zu lokalisieren. Dies wird erreicht, indem eine speziell gestaltete Zeichenkette darüber informiert, mit welchem Protokoll, Login, Port und in welchem Verzeichniss eine Ressource (meist eine Datei) auf einem Host zu finden ist. Außerdem ist es noch möglich weitere Parameter anzufügen, um beispielsweise nur 6 [Sar02] selbst beschreibt in seiner Gliederung noch einen zusätzlichen 3. Bereich namens Informationsbeschaffung, welcher aber weniger auf etablierte Standards oder Formate aufbaut, sondern stattdessen Algorhythmen beschreibt, welche allgemein anzuwenden sind, wenn Informationen extrahiert werden müssen. Aus diesem Grund wurde auf diesen Bereich verzichtet. 7 Siehe auch 8 Siehe auch Sebastian Dochow 5

10 JAP over Skype 2 Grundlagen eine bestimmte Stelle innerhalb des Dokumentes zu adressieren oder zusätzliche Parameter zu bestimmen 9. Beispielsweise initiert die untere URL auf dem Host de.wikipedia.org die Suche nach dem Artikel über das Thema Zensur. Der eigentliche Suchstring wird der Ressource (Spezial:Search) dabei als Parameter (search=zensur) angefügt. Beispiel: URL der Wikipedia Suchseite HTTP und HTTPS Bei HTTP handelt es sich um ein zustandsloses Protokoll, welches dazu dient Daten über ein Netzwerk zu übertragen. Als Kommunikationsparadigma wird auf ein Client-Server-Modell zurückgegriffen, bei welchem (in vereinfachter Form) der Client Anfragen (Request) an den Server stellt, auf welche dieser mit einer entsprechenden Antwort (Response) reagiert. Neben Vorgaben für den Ablauf der Kommunikation und dem Verhalten bei Fehlern, wird außerdem das Nachrichtenformat bestimmt. Dieses sieht vor, dass sämtliche Nachrichten aus einem Kopf (Header), mit dem Kontext entsprechende Verwaltungsinformationen, und den eigentlichen Nutzdaten bestehen 10. Die Angabe der jeweiligen Parameter im Header erfolgt dabei zeilenweise im Klartext. Üblicherweise besteht ein Request aus einem GET, an welches die eigentliche URL angefügt wird, sowie zusätzlichen Informationen, um zu bestimmen mit welcher Anwendung die Anfrage erfolgte und in welcher Form Daten verarbeitet werden können. Der entsprechenden Response Nachricht liegen daraufhin, neben dem eigentlichen Inhalt, Informationen über den antwortenden Server sowie Angaben zur Länge und Kodierung der Nutzdaten bei. Um die Sicherheit von HTTP zu erhöhen existiert die Erweiterung HTTPS, welche im wesentlichen aus der Forderung besteht, die komplette HTTP-Kommunikation über SSL/TSL abzuwickeln. Dadurch werden die vormals im Klartext übertragenen HTTP-Nachrichten verschlüsselt und der Server authentifiziert 11. TCP/IP Durch TCP/IP werden zwei einander aufbauende Protokolle zusammengefasst, welche für die Vermittlung und den Transport von Nachrichten innerhalb eines Netzwerkes verantwortlich sind. Dabei kommt IP die Aufgabe zu, die jeweiligen Knotenpunkte des Netzwerkes zu adressieren (IP-Adressen), wohingegen sich TCP um einen verlässlichen Transport der Daten, und die Identifikation der auf den Knotenpunkten laufenden Prozesse (Port-Nummer) bemüht 12. Da für die bekanntesten Dienste bzw. Protokolle bereits Standardports existieren, ist oftmals eine direkte Umsetzung zwischen Port und Protokoll möglich. So ver- 9 Siehe [BL05] 10 Siehe [Fie + 99] 11 Siehe [Res00] 12 Siehe [Bra89] Sebastian Dochow 6

11 JAP over Skype 2 Grundlagen DNS wendet HTTP beispielsweise meistens den Port 80, so dass bei Verwendung des HTTP-Protokolls meist implizit von diesem Port ausgegangen wird 13. Zusätzlich ist noch zu sagen, dass nicht alle Knotenpunkte des Netzwerkes direkt miteinander verbunden sind, weshalb die Übertragung der einzelnen Nachrichtenpakte meist über mehrere Zwischenstationen erfolgt. Sofern keine weiteren Schutzmaßnahmen getroffen wurden, geschieht dies im Klartext. Die Aufgabe von DNS besteht darin, die Adressierung zu erleichtern, indem an Stelle von IP-Adressen hierarchisch geordnete Bezeichner verwendet werden. Die der Umsetzung zugrundeliegende Datenbank ist ebenfalls hierarchisch aufgebaut und über mehrere Server verteilt. Auf Grund dessen erfolgt beispielsweise die Auflösung von inf.tu-dresden.de, indem der Server für de die Anfrage an den Server für tu-dresden delegiert, welcher wiederum die IP-Adresse für die inf-domaine ermittelt 14. Generell ist zu sagen, dass die Protokolle geschachtelt verwendet werden und in ihrer Funktionalität aufeinander aufbauen. So nutzt TCP zur Vermittlung das IP-Protokoll, indem das eigentliche TCP-Paket in den Nutzdatenteil eines IP-Paketes eingebettet wird. Entsprechend wird eine HTTP-Nachricht in ein TCP-Paket eingebettet, um eine gesicherte Verbindung zur Gegenstelle zu gewährleisten. Schematisch ist dieser Prozess in Abbildung 2(a) dargestellt. Außerdem soll noch festgehalten werden, dass IP-Pakete selten direkt ausgetauscht werden, da auf Grund der netzartigen Struktur des Internets nicht alle Stationen direkt miteinander verbunden sind. Stattdessen wird ein Pfad bestimmt, auf welchem ein Paket vom Sender zum Empfänger gelangt und alle sich auf diesem Pfad befindenden Stationen helfen bei der Vermittlung des jeweiligen Paketes mit. Dieses Verhalten wird in Abbildung 2(b) dargestellt, wenn ausgehend von einem Sender (S), über verschiedene Zwischenknoten, ein Pfad zu einem Empänger (E) aufgebaut wird. Protokoll 1 Kopf Daten S Kopf Kopf Daten E Protokoll 2 (a) Geschachtelte Protokolle (b) Kommunikation mit Zwischenknoten Abbildung 2: Netzwerkkommunikation im Internet 13 Umgekehrt lässt sich natürlich auch aus der Verwendung von Port 80 feststellen, dass höchstwahrscheinlich Daten mit Hilfe von HTTP ausgetauscht werden. 14 [Moc87] Sebastian Dochow 7

12 JAP over Skype 2 Grundlagen 2.4 Anonymität im Kontext des Internet Unter Anwendung des in Abschnitt 2.1 eingeführten Modells und der zugehörigen Terminologie, lässt sich feststellen, dass für einen Angreifer, welcher in der Lage ist mindestens einen Vermittlungsknoten oder Teilpfad zu überwachen, die Anonymitätsmenge des Senders, sowie des Empfängers, einer Nachricht auf eine Station reduziert werden kann. Dies ergibt sich aus der Tatsache, dass jede Nachricht, selbst wenn ihr Inhalt durch Verschlüsselung geschützt ist, durch die Verwendung des IP-Protokolls, immer die IP-Adresse des Senders sowie des Empfängers im Klartext enthält 15. Sofern die Zuordnung zwischen IP- Adressen und Stationen konstant bleibt, ist unter diesem Angreifermodell Sender- wie Empfängeranonymität nicht vorhanden. Bei sich ändernder Zuordnung sind Sender und Empfänger mindestens für den Zeitraum zwischen zwei Wechsel deanonymisiert. Sofern die während eines Wechsels stattfindende Neuzuordnung protokolliert wird, auch darüber hinaus. Dieser Angriff stellt nur insofern eine Schwierigkeit dar, als der Pfad, auf welchem Nachrichten zwischen Sender und Empänger ausgetauscht werden, dynamisch bestimmt wird und für jede Nachricht variieren kann. Allerdings werden unter bestimmten Szenarien einige Knoten mit höherer Wahrscheinlichkeit zur Vermittlung herangezogen als Andere. Beispielsweise erfolgt die Anbindung ans Internet, für die meisten Anwender, über einen entsprechenden Dienstanbieter, wodurch der erste Vermittlungsknoten aller Pfade bereits vorgegeben ist. Aus diesem Grund werden dann auch tatsächlich diese Internet Service Provider (ISP) dazu genutzt, um innerstaatliche Maßnahmen zur Überwachung des Internets durchzusetzen. Durch die EU-Richtlinie zur Vorratsdatenspeicherung [ EU06], ist es dadurch möglich, rückwirkend für bis zu 6 Monate, den Sender und Empfänger einer Nachricht (auf IP-Ebene) zu bestimme. Durch die zusätzliche Protokollierung der IP-Adress-Vergabe, ist es damit prinzipiell möglich, die beteiligten Parteien komplett zu deanonymisieren. Ein anderes Szenario stellt die Überwachung des Informationsflusses in eine Region hinein und hinaus dar. Hierfür wäre es nötig, sämtliche Knotenpunkte zu überwachen, welche diese Region mit der Außenwelt verbinden. Diesen Ansatz benutzt beispielsweise China, um den Zugang seiner Bürger zu ausländischen Informationen zu kontrollieren (vergl. [CMW06]) und auch jüngste Bemühungen in Deutschland zur Online- Überwachung fordern die gezielte strategische Überwachung von relevanten Internet- Knoten In dem Bericht auf Heise Online wird vermutet, dass damit wohl die Internet-Exchanges wie das DE-CIX [gemeint sind], durch die der größte Teil des Datenverkehrs zwischen den Internet-Providern fließt. Zusammenfassend lässt sich sagen, dass in dem gegenwärtigen Aufbau des Internet Sender- wie Empfängeranonymität nicht gegeben sind. Einerseits kann aus dem Inhalt der Nachrichten auf Empfänger und Absender geschlossen werden und andererseits existieren genügend Angriffspunkte um den Nachrichtenfluss abzuhören. 15 Ähnliches ergibt sich auch aus den Port-Nummern im eingebetten TCP-Paket. Hierdurch ist es möglich bestimmte Aussagen über die verwendeten Dienste zu machen. Generell lässt sich diese Vorgehen solange auf höher gelegene Protokolle anwenden, bis die jeweiligen Informationen nicht mehr im Klartext vorliegen. Sebastian Dochow 8

13 JAP over Skype 2 Grundlagen 2.5 Zensur im Kontext des Internet In Hinblick auf die Anwendung von Zensur lassen sich aus der Erörterung der Technologien in Abschnitt 2.3 mehrere Ansätze ableiten, die Verteilung der Inhalte des Word Wide Web zielgerichtet zu beeinflussen. Wie bereits in Abschnitt 2.2 erwähnt, sollen dabei Angriffe auf den Inhalt des Servers unberücksichtigt bleiben und nur die Möglichkeiten betrachtet werden, gezielt einzelne Kommunikationsbeziehungen zu stören. Dabei soll aber nicht unerwähnt bleiben, dass es für einen Zensor sehr wohl möglich ist die Löschung bestimmter Dokumente zu erzwingen. Reale Beispiele hierfür sind in [DH07] zu finden, wo beschrieben wird, dass die Suchergebnisse von Google und Yahoo für die chinesische Bevölkerung vorgefiltert werden, und zwar von Google und Yahoo selber. Diese Form des Angriffs steht allerdings außerhalb der Betrachtung dieser Arbeit, da ihr vom technischen Standpunkt her, nur durch präventive Maßnahmen zu begegnen ist. Unter dem Gesichtspunkt, dass der Zensor keine Kontrolle über den Server erlangt und stattdessen beabsichtigt einzelne, ausgewählte Kommunikationsbeziehungen zu kontrollieren, erweisen sich die selben Netzwerkknoten als günstig zur Umsetzung von Zensur, welche schon im vorherigen Abschnitt im Kontext der Anonymität herangezogen wurden. Durch umfassende Überwachung der ISP und Internet-Exchanges kann sichergestellt werden, dass beinahe jede Nachricht für den Zensor einsehbar ist und durch die weitesgehende Übertragung im Klartext können eine Vielzahl von Kriterien bestimmt werden, um präzise über die Anwendung von Zensurmaßnahmen zu entscheiden. Die konkretten Maßnahmen können dann vom simplen blockieren der Kommunikation bis hin zu zielgerichtetem Verändern der Inhalte 16 reichen. Da die Zensurmaßnahmen selber nur schwer zu umgehen sind 17, soll der Schwerpunkt dieser Betrachtung auf die Kriterien gerichtet werden, nach welchem über die Anwendung entschieden wird. Hillig [Hil] gibt hierfür eine umfassende Auflistung von Attributen an, nach welchen gefiltert werden könnte. Diese setzen sich zusammengefasst aus den Daten einzelner Nachrichten, dem Protokollverlauf oder dem Verkehrsverhalten (Traffic Analysis) zusammen. So kann man für die Daten einzelner Nachrichten festhalten, dass jede Protokollebene weitere Attribute hinzufügt, aufgrund denen Filterkriterien gebildet werden können. Auf unterster Ebene sind dabei natürlich die Informationen innerhalb des IP-Headers, allen vorran die IP-Adressen des Absenders, sowie des Empfängers, zu nennen. Davon ausgehend lassen sich über die höheren Protokollebenen Aussagen über den Port (TCP), den Dienst (TCP-Port oder Singnatur), den Dokumenttyp (MimeType oder Dateierweiterung) bis hin zum Dokumentinhalt (Analyse des Inhaltes) machen, solange die Übermittlung im Klartext erfolgt. Allerdings ist dabei zu beachten, dass je nachdem wie umfassend die Anaylse der höheren Protokolle erfolgt, mit Latenzen und einem zusätzlichen Verbrauch an Ressourcen zu rechnen ist, da eventuell Caching- und Dekodierverfahren angewendet werden müssen 18. Kriterien über den Protokollverlauf bedienen sich der Tatsache, dass zum erfolgrei- 16 Tatsächlich wird in den meisten Ländern einfach blockiert [Hil, ZE03]. Allerdings haben D. Espenschied und A. C.H. Freude vom Odem Projekt bewiesen, wie mit relativ einfachen Mitteln die angebotenen Inhalte unbemerkt verändert werden können. 17 [CMW06] beschreibt beispielsweise wie die Blockierungmaßnahme der chinesischen Regierung umgangen werden konnte, weißt aber gleichzeitig darauf hin, dass dies in Zukunft wohl nicht mehr möglich sein wird. 18 Beispielsweise ist es möglich, dass sich eine HTTP-Nachricht über mehrer TCP/IP Pakete erstreckt und der Inhalt komprimiert wurde. Sebastian Dochow 9

14 JAP over Skype 2 Grundlagen chen Versand oder Empfang mehrere Einzelschritte nötig sind, wobei für einige auch die Funktionen zusätzlicher Protokolle herangezogen werden. Dadurch kann unter Umständen bereits die Verwendung eines bestimmten Hilfsprotokolls oder die damit übertragenen Daten als Filterkriterium dienen. Als Beispiel sei hier auf das später in diesem Abschnitt erläuterte DNS poisoning verwiesen. Zur Traffic Analysis ist zu sagen, dass es durch Beobachtung des Nachrichtenverkehrs möglich ist Aussagen über den Inhalt zu machen, selbst wenn dieser nicht einzusehen ist. So existieren Untersuchungen [Hin03, BLJ + 06], die zeigen das es durch Vergleich des beobachteten Nachrichtenaufkommen möglich ist, die besuchte Internetseite zu identifizieren. Die mit dieser Technik verbunden Verfahren sind somit selbst dann in der Lage als Filterkriterium zu agieren, wenn die Nachrichteninhalte, beispielsweise auf Grund von Verschlüsselung, nicht herangezogen werden können. Aus der Menge an möglichen Filterkriterien bestimmt Clayton [CMW06] drei Klassen von System, welche tatsächlich Anwendung finden. Demnach existieren... Packet dropping systems verwerfen auf Grund bestimmter Empfänger-IP-Adressen (und eventuell zusätzlichen Ports) die jeweiligen IP-Pakete. In der Konzeption recht einfach, liegen die Probleme dieses Verfahrens darin, dass eventuell zuviele Inhalte des World Wide Web blockiert werden. So hat Edelman [Ede03] gezeigt, dass über 80% der unter.com,.org oder.net zu findenden Webhosts ihre IP-Adresse mit mindestens einen weiteren Webhost teilen 19 DNS poisoning systems basieren darauf, dass DNS Anfragen für einen zu blockierenden Host mit einer falschen IP-Adresse beantwortet werden. Die Nachteile dieses Verfahrens sind insofern paradox, als es gleichermaßen in der Lage ist zu viele, wie zu wenige, Inhalte zu blockieren. Dies ergibt sich aus dem Umstand, dass eventuell nicht alle Inhalte des Hostes zu blockieren sind, der Filter selbst aber auch relativ einfach umgangen werden kann. Sollte beispielsweise der Zugang zu einem Wikipedia 20 Artikel blockiert werden, wären bei diesem Ansatz sämtliche Artikel nicht zu erreichen. Gleichzeitig könnte man aber durch direktes verwenden der zugehörigen IP-Adresse (http:// ) die Sperrung umgehen. Content Inspection Schemes sind in der Lage, zielgerichtet bestimmte Inhalte zu blockieren, indem die Entscheidung über Anwendung von Zenur vom Inhalt abhängig gemacht wird. In der einfachsten Form wird hierzu nur die URL der jeweiligen Ressource herangezogen und nach Schlüsselwörtern untersucht [Cla06]. Es gibt aber auch Systeme, welche direkt den Nachrichteninhalt nach verbotenem Material durchsuchen und danach über die Blockade entscheiden [CMW06]. Gemeinsam ist beiden Ansätzen, dass sie einerseits sehr präzise arbeiten, andererseits aber auch erhebliche Kosten verursachen. Trotzdem finden solche Systeme, beispielsweise in Saudi Arabien Burma und Norwegen Verwendung. 19 Die Unterteilung erfolgt dabei durch sogenannte virtuelle Host des HTTP-Protokolls. 20 Sebastian Dochow 10

15 JAP over Skype 2 Grundlagen Zusätzlich zu den 3 Klassen von Systemen existieren noch Ansätze, welche auf gestaffelte Anwendung mehrerer Kriterien basieren [Cla06]. Hierbei wird auf Basis weniger präzisen, dafür aber günstigeren Verfahren eine Vorauswahl getroffen, auf welche im Anschluss Elemente der Inhaltsanalyse angewendet werden. Dadurch ist es möglich die Verkehrslast und somit die Kosten für die präziseren Systeme zu senken. durchdringend substantiell vermuted keine Daten Abbildung 3: Anwendung von politischer motivierter Onlinezensur (Quelle: map.opennet.net/filtering-pol.html) Letztendlich soll noch einmal festgehalten werden, dass die besprochenen Verfahren keineswegs theoretischer Natur sind und bereits in weiten Teilen der Welt in unterschiedlichem Ausmaß Anwendung finden. Abbildung 3 demonstriert überblickshaft, wie stark beispielsweise die politischen orientierte Zensurmaßnahmen weltweit vertreten sind. Für aktuelle länder- oder regionsspezifische Informationen, auch über politisch motivierte Zensur hinaus, sei auf die Seite der Open Net Initiative 21 verwiesen. Zusammenfassend kann festgehalten werden, dass sich aus der Topologie des Internet genügend Ansätze und aus den verwendeten Protokollen genügend Kriterien ableiten lassen, um eine fein granulare Filterung des Internet umzusetzen. Das Spektrum der technischen Möglichkeiten reicht dabei von einfachen Blacklist-Verfahren, bei welchem auf das Enthaltensein in entsprechenden Listen hin geprüft wird, bis hin zu dynamischen Ansätzen, welche die Auswahl auf Basis der konkret übertragenen Inhalte fällen. Darauf aufbauend ist die Anwendung gezielter Zensurmaßnahmen ein leichtes, da hierfür im einfachsten Fall, dem Blockieren, lediglich die Weiterleitung der Nachrichten unterbunden werden muss. 21 Sebastian Dochow 11

16 JAP over Skype 3 Zensurresistente und anonymisierende Ansätze 3 Zensurresistente und anonymisierende Ansätze Nach der Beschreibung der Probleme im Zusammenhang mit Anonymität und Zensur im vorherigen Kapitel, soll der Schwerpunkt nun darauf gerichtet werden, bestehende Lösungen vorzustellen, wie diesen im Kontext des Internet zu begegnen ist. Hierzu werden zunächst Verfahren zur Umsetzung von Anonymität beleuchtet, wobei insbesondere eine kurze Darstellung des AN.ON -Systems erfolgt. Im Anschluss dessen werden Ansätze vorgestellt, durch welche Zensurmaßnahmen teilweise umgangen werden können, um am Ende des Kapitels abermals auf das AN.ON -System zurückzukommen, wenn die konkreten Antiblockiermaßnahmen dieses Systems betrachtet werden. 3.1 Anonymisierter Zugang zum World Wide Web Wie in Kapitel 2.4 beschrieben, ist es auf Grund der Verwendung des IP-Protokolles mit relativ einfachen Mitteln möglich, die Anonymitätsmenge von Sender und Empfänger auf eine Station zu reduzieren. Für eine anonymisierte Nutzung des World Wide Web muss entsprechend eine Lösung gefunden werden, den Umfang dieser Menge zu erhöhen. Eine Möglichkeit dies zu erreichen, besteht darin die 1:1 Beziehung von Station und IP-Adresse aufzuspalten, indem sich mehrere Stationen nach außen hin eine IP-Adresse teilen. Anonymisierungs-Proxy Im einfachsten Fall kann dazu ein Anonymisierungs-Proxy [FSC + 02] verwendet werden, welcher den Nachrichtenverkehr mehrerer Stationen bündelt. Dadurch kann ausgehend vom Proxy nicht mehr zwischen den einzelnen Stationen unterschieden werden, da nur noch eine IP-Adresse (die des Proxy) auftritt 22. Weiterhin kommunizieren die Stationen mit dem Proxy selber über eine verschlüsselte Verbindung, sodass es nicht möglich ist, aus abgehörten eingehenden Nachrichten das ursprüngliche Ziel zu extrahieren. Generell ist nur die Nutzung des Proxy erkennbar aber nicht die Intention. Allerdings erfordert dieser Ansatz ein enormes Vertrauen in den Proxy, da dieser von sämtlichen Kommunikationsbeziehungen weiß und als konstanter erster Zugangspunkt für eine Überwachung prädestiniert ist. Außerdem existieren Angriffe, welche durch Korellation der eingehenden und ausgehenden Nachrichten die ursprüngliche Kommunikationsbeziehung aufdecken können [ZFG + 05]. Mixe Um diesen Nachteilen zu begegnen, wurden Systeme entwickelt, die auf dem von Chaum eingeführten Modell der Mixe [Cha81] aufbauen. Ein Mix erfüllt dabei die Aufgabe, die Beziehung zwischen eingehenden und ausgehenden Nachrichten zu verschleiern, indem er diese umsortiert, umkodiert und in Schüben weiterleitet. Dabei existiert eine Vielzahl von Varianten, diese Schübe (engl. batch) zu bilden (vergl. [DS03]). Um nicht auf die Sicherheit eines Mixes zu vertrauen, werden zur Kommunikation mehrere hintereinander genutzt. Aus der Art und Weise, wie diese organisiert sind, lassen sich zwei Varianten ableiten [BDD + 05]: Mix Kaskade Bei M. K. gibt es eine feste Anzahl von Mixe, welche die Nachrichten gleichartig, auf einer vorbestimmten Route weiterleiten. 22 Dies gilt natürlich nur, solgange der Sender nicht auf Grund des Nachrichteninhaltes identifizierbar ist. Hierfür könnte eine konsequente Anwendung von Ende-zu-Ende Verschlüsselung angewendet werden. Sebastian Dochow 12

17 JAP over Skype 3 Zensurresistente und anonymisierende Ansätze Peer-to-Peer (P2P) Systeme... bei welchem eine hohe Anzahl von dynamisch allokierten Mixen die Nachrichten unvorhersehbar über alle möglichen Routen leitet. Für beide Systeme lassen sich Stärken wie Schwächen ausmachen [BDD + 05], sodass in der praktischen Anwendung beide gleichermaßen Beachtung finden. So exitiert beispielsweise mit TOR [Din06] eine Implementierung, welche auf dem Konzept der P2P- Systeme aufbaut. Wohingegen das Konzept der Mix Kaskaden durch das von Berthold et al. [BFK01] vorgestellte System der Web MIXe (gegenwärtig als AN.ON bezeichnet) vertreten sind. Da Letzteres in dieser Arbeit Verwendung findet, soll es im Folgenden kurz erläutert werden AN.ON Bei AN.ON handelt es sich um ein System zur anonymisierten Nutzung von Internet Services, welches sich aus den Komponenten JAP, MIXes, Cache Proxy und Info-Service zusammensetzt. Das Zusammenspiel der einzelnen Komponenten ist dabei in Abbildung 4 dargestellt. Client 1 Mixkaskade Browser JAP MIX MIX MIX Cache Proxy Webserver Client n JAP ermittelt Adresse und Status der Mixe über Infoservice Infoservice Mixe propagieren Verkehrssituation und Anonymitätslevel an Infoservice Browser JAP Anonymitätsgruppe: Jeder Client ist unbeobachtbar in der Gruppe der Clients Webserver Abbildung 4: Schematischer Aufbau von AN.ON nach [BFK01] JAP stellt dabei den Zugangspunkt zur Mix Kaskade dar, indem er periodisch bidirektionale Kanäle über die Mixkaskade einrichtet und, als lokal laufender Prozess, Anfragen des Browsers entgegennimmt, um sie über diese Kanäle anonymisiert an den Cache Proxy zu leiten. Die Anfragen werden hierfür nacheinander mit den öffentlichen Schlüsseln der einzelnen Mixe verschlüsselt, wodurch einerseits die angesprochen Umkodierung auf den Teilpfaden umgesetzt wird und andererseits allen bis auf den letzten Knoten der Kommunikationskette die eigentliche Anfrage verborgen bleibt. Die sich ergebenden Antworten werden entsprechend in umgekehrter Richtung an den Browser gesendet. Aus Sicht des Browser agiert JAP damit in Form eines Proxy. Die Mixe sind wie bereits erwähnt in einer Kaskade angeordnet und verändern für jeden Schub an Nachrichten die Reihenfolge und für jede Nachricht die Kodierung (durch Entschlüsselung) der Selben. Dabei handelt es sich bei den Mixen um einfache, sich im Internet befindenden Computer. Der Cache Proxy führt die eigentlichen Anfragen an den Webserver aus und nimmt die entsprechenden Antworten entgegen. Dabei wendet er caching und prefetching Verfahren an, um die Verkehrslast zu minimieren. Sebastian Dochow 13

18 JAP over Skype 3 Zensurresistente und anonymisierende Ansätze Über den Info-Service werden Verwaltungsinformationen bereitgestellt, um es den JAP zu ermöglichen, die Adressen sowie die öffentlichen Schlüssel der Mixe zu erfahren 23. Generell ist noch zu sagen, dass vom JAP sowie dem Cache Proxy Dummy-Nachrichten produziert werden, um Überlagerungsangriffe (vergl. [BL03]) zu erschweren. 3.2 Lösungen zur Umgehung von Zensur In Kapitel 2.5 wurden zwei grundsätzliche Fälle ausgemacht, nach denen über die Anwendung von Zensurmaßnahmen entschieden wird. Einerseits kann dem Zensor die Menge der verbotenen Ressource bekannt sein und er versucht auf Basis der entsprechenden Adresse bestimmte Kommunikationsbeziehungen zu unterbinden (Blacklist-Verfahren), oder er fällt die Unterteilung zwischen erlaubten und unerlaubten Ressourcen dynamisch auf Grund des Kommunikationsinhaltes (dynamische Verfahren) und blockiert entsprechend. Zur Umgehung von Zensur sind im ersten Fall Ansätze bekannt, welche den Zugang zur Ressource präventiv durch serverseitige Maßnahmen schützen. Im zweiten Fall dagegen muss prinzipiell versucht werden die Inhalte der Kommunikation für den Zensor unkenntlich zu machen. Dabei kann festgehalten werden, dass, sofern es gelingt neben den Inhalten auch die Kommunikationbeziehung (Adressen der Parteien) zu verschleiern, über diesen Ansatz beiden Fällen begegnet werden kann. Wie die Ansätze konkret zu gestalten sind, soll im Folgen geklärt werden Serverseitige Maßnahmen Serverseitig sind zwei Verfahren bekannt, wie eine Ressource vor Zensur zu schützen ist. Einerseits können durch Replikation [CSW + 01] mehrere Zugangspunkte geschaffen werden, von denen nicht alle dem Zensor bekannt sind. Anderseits kann die Verteilung durch Verzahnung [CSW + 01] für den Zensor untrennbar an eine andere Ressource gekoppelt werden, deren Zugriff aus verschienden Gründen gewährt werden muss. Die erwähnten Verfahren erfordern in der Umsetzung allerdings massive Veränderungen an der Art und Weise, wie auf Ressourcen zugegriffen wird, weshalb sie in erster Linie in eigenen Systemen Anwendung finden 24. Aus diesem Grund sind sie eher ungeeignet, wenn nach Lösungen gesucht wird, beliebige Seiten des World Wide Web zensurressistent anzusprechen Verschleierung der Kommunikation Aus diesem Grund werden zur Umgehung von Zensur im Kontext des World Wide Web im Wesentlichen Systeme verwendet, welche dem zweiten Ansatz folgen [Din06, KFH03, NFHB + 02]. Die Kommunikationsinhalte werden dabei generell durch Umkodierung verschleiert, wobei diese für den Zensor entweder nicht erkennbar oder nicht umkehrbar sein darf. Die ersten Forderung kann durch Anwendung von Steganographie erfüllt werden, wohingegen für die zweite kryptographische Primitive prädestiniert sind. 23 Zusätzlich werden noch weitere Informationen, wie beispielsweise die Verkehrslast angeboten. Für die prinzipielle Funktion sind sie aber nicht von Nöten. 24 Tatsächlich werden in [CSW + 01] wie in [CSW + 01] die erwähnten Verfahren im Kontext spezieller Verteilungssysteme dargestellt. Sebastian Dochow 14

19 JAP over Skype 3 Zensurresistente und anonymisierende Ansätze Um auf beliebige Ressourcen des World Wide Web gleichartig zuzugreifen, wird von serverseitigen Änderungen abgesehen, da sonst nur einzelne Ressourcen erreichbar wären 25. Statt dessen wird, wie in Abbildung 5 dargestellt, versucht, die Kommunikation zumindest auf einem Teilpfad entsprechend umzugestalten, indem zwischen Client und Server ein Webproxy (oder ein funktional gleichwärtiges System) geschaltet wird. Dieser hat dabei die Aufgabe, die verschleierten Anfragen des Clients entgegenzunehmen und in üblicher Form an den Server zu senden. Die Antworten des Server werden entsprechend in umgekehrte Art und Weise an den Client zurückgesendet. Der Sonderfall, dass neben den Inhalten auch die Kommunikationsbeziehung von Client und Server zu verschleiern ist, wird hierbei auf dem angesprochenen Teilpfad automatisch mit abgedeckt. verschleierte Kommunikation zwischen Browser und Proxy Proxy reguläre Kommunikation Browser Webserver Browser zwischen Proxy und Webserver Server Abbildung 5: Schutz der Kommunikation durch Verschleierung mittels zwischengeschaltetem Proxy In Hinblick auf konkrete Umsetzungen kann man festhalten, dass sich die genannte Funktionalität bereits aus der Nutzung der beschrieben Anonymisierungsdienste ergibt. Diese stehen als Gesamtsystem zwischen der Kommunikation von Client und Server und verschleiern die Identität und Intention des Absenders, sodass nicht mehr genügend Attribute für die Anwendung der Filterkriterien zur Verfügung stehen. Köpsell [KFH03] weist entsprechend darauf hin, dass AN.ON auch gezielt zur Umgehung von Internetzensur genutzt wird. Allerdings darf in diesem Zusammenhang nicht vergessen werden, dass der erwähnte Aufbau in erster Linie dazu dient die Kommunikation zwischen Client und Proxy zu schützen, und es ausgehend von den Exitnodes 26 der Anoymisierungsdienste möglich ist, Filterkriterien auf Basis des Empfängers oder des Inhaltes anzuwenden. Unter diesem Gesichtspunkt beruht beispielsweise die Umgehung von Zensur seitens AN.ON auch zu einem großen Teil darauf, dass die eigentlichen Anfragen an den Webserver außerhalb des zensierten Bereiches erfolgt. Solche Systeme umgehen Zensur also allenfalls für einen abgesonderten Bereich. Da dieser aber auf Seiten des Client liegt, sind sie als günstig für die Nutzung im World Wide Web zu erachten. 25 Tatsächlich nur jene Ressourcen, auf deren Server die entsprechenden Änderungen angewendet wurden. 26 Exitnodes bezeichnen die aus den Mixnetzwerk herausführenden Knoten. Sebastian Dochow 15

20 JAP over Skype 3 Zensurresistente und anonymisierende Ansätze 3.3 Blockungresistenz Bei der Verwendung von Anonymisierungsdiensten zur Umgehung von Zensur, darf nicht vergessen werden, dass dem Zensor die Verwendung des Dienstes nicht verborgen bleibt. In der Konsequenz ist zu beobachten, dass neben den eigentlichen Ressourcen zusätzlich die Nutzung des Anonymisierungsdienstes blockiert wird. So weist Köpsell [KFH03] ebenfalls darauf hin, dass nachdem AN.ON zur Umgehung von Internetzensur genutzt wurde, die entsprechenden Länder den Zugang zum Dienst blockierten. Die Herausforderung besteht nun darin, den Anonymisierungsdienst selber resistent gegen diese Form der Zensur zu gestalten. Laut [KH04] sind hierzu zwei Teilprobleme zu lösen. Einerseits muss eine zensurresistente Infrastruktur geschaffen werden, welche den Zugang zum Anonymisierungsdienst ermöglicht. Andererseits muss ein Weg gefunden werden, die Informationen über diese Infrastruktur an die entsprechenden Nutzer zu verteilen (Verteilungsservice). Zur Bereitstellung der erwähnten Infrastruktur wird in gegenwärtigen Systemen auf serverseitige Schutzmaßnahmen zurückgegriffen, indem versucht wird, die Anzahl an Zugangspunkten zu erhöhen (vergl. [Din06, KH04]). Da aber mit dem Verteilungsservice eine Datenbank sämtlicher Zugangspunkte existiert, muss diese gleichzeitig vor automatisiertem Auslesen geschützt werden. Ansonsten wäre der Zensor in der Lage über diesen Dienst eine stetig aktuelle Liste der zu blockierenden Zugangspunkte zu führen. Weiterhin muss an den Verteilungsservice selbst die Forderung gestellt werden, resistent gegenüber Blockierung zu sein. Da dieser aber, im Vergleich zum Anonymisierungsdienst, mit geringeren Anforderungen in Bezug auf Bandbreite und Latenz aus kommt, sind wesentlich zensurresistentere Verteilungsformen (Broadcast über Sattelit, versteckte Kanäle oder ähnliches) anwendbar [KH04]. Zusätzlich ist zu beachten, dass die Anfragen an den Anonymisierungsdienst womöglich bestimmte Muster aufweisen 27 und sich dadurch von den üblicherweise im Internet befindenden Nachrichten abgrenzen lassen. Dadurch sind, seitens des Zensors, Filterkriterien denkbar, welche auf Grund dieser Muster die Weiterleitung der Nachrichten unterbinden. Als Gegenmaßnahme wird vorgeschlagen, den Nachrichtenverkehr soweit zu normalisieren, dass er nicht mehr von tolerierten zu unterscheiden ist [Din06] oder, durch die Anwendung von Steganographie, gänzlich zu verschleiern [KH04] Blockungresistenz von AN.ON Für den konkreten Fall der Blockungsresistenz im Anonymisierungsdienst AN.ON wurde ebenfalls versucht, die Anzahl der Zugangsknoten zu erhöhen [KH04]. Die Idee baut dabei im Speziellen auf dem Ansatz von Femster et al. [FBW + 03] auf, der es auch nicht vertrauenswürdigen Knoten gestattet, als Zugangspunkte zu agieren. Die hinzugekommenden Zugangspunkte werden in diesem Fall vor Blockierung schützt, indem der Verteilungsservice immer nur eine Teilmenge dieser offeriert. Die Umsetzung ist schematisch in Abbildung 6 dargestellt und beruht auf der zusätzlichen Fähigkeit des JAP-Clients (JAP R ), Nachrichten von anderen JAP-Clients (JAP B ) weiterzuleiten. Dadurch kann jeder Anwender als potentieler Zugangspunkt agieren. Damit der weiterleitende Knoten nicht in der Lage ist, die Nachrichteninhalte zu lesen, wird 27 Dazu könnte auch zählen, dass gerade kein Muster auszumachen ist. Wie bereits in Kapitel 2.3 erwähnt besitzen übliche Nachrichten im Internet eine Vielzahl von auswertbaren Attributen. Sollten diese fehlen, kann dies unter Umständen bereits verdächtig wirken. Sebastian Dochow 16

Internet-Blocking: Was ist technisch möglich?

Internet-Blocking: Was ist technisch möglich? Fakultät Informatik, Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Internet-Blocking: Was ist technisch möglich? Stefan Köpsell, sk13@inf.tu-dresden.de Das Internet eine historische

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

Der Person: David Chaum

Der Person: David Chaum Chaum Der Person: David Chaum Erfinder einiger krypyographischer Protokoll Fortentwicklung elektronischer Zahlungsmittel Gründer der veröffentlicht Untraceable Electronic Mail, Return Addresses, and Digital

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen 2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen Dienste des Internets Das Internet bietet als riesiges Rechnernetz viele Nutzungsmöglichkeiten, wie etwa das World

Mehr

Java Anon Proxy Hilfe

Java Anon Proxy Hilfe Java Anon Proxy Hilfe Willkommen zur Java Anon Proxy Hilfe. Bitte wählen ein Thema. Benötigen Sie Hilfe für Ihre ersten Konfigurationsschritte, klicken Sie bitte: Erste Schritte Themen Über Java Anon Proxy

Mehr

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse Peter Hillmann Institut für Technische Informatik Fakultät für Informatik Peter.Hillmann@unibw.de Peter Hillmann 1 Gliederung 1. Motivation

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen"

P2P - Sicherheit Georg Lukas 2003-12-03 Seminar Kommunikation in P2P-Netzen P2P - Sicherheit Georg Lukas 2003-12-03 Seminar "Kommunikation in P2P-Netzen" Ziele des Vortrags Sicherheit auf Konzept-Ebene Kommunikationsprotokolle Datenspeicherung Resistenz gegen Störungen, Angriffe,

Mehr

Grundlagen verteilter Systeme

Grundlagen verteilter Systeme Universität Augsburg Insitut für Informatik Prof. Dr. Bernhard Bauer Wolf Fischer Christian Saad Wintersemester 08/09 Übungsblatt 5 26.11.08 Grundlagen verteilter Systeme Lösungsvorschlag Aufgabe 1: Erläutern

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Basisinformationstechnologie I

Basisinformationstechnologie I Basisinformationstechnologie I Sommersemester 2013 24. April 2013 Rechnerkommunikation II Universität zu Köln. Historisch-Kulturwissenschaftliche Informationsverarbeitung Jan G. Wieners // jan.wieners@uni-koeln.de

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Digitale Selbstverteidigung

Digitale Selbstverteidigung Digitale Selbstverteidigung Vorträge & Workshops» Surfen» Mailen» Anonym bleiben Wahl des Browsers Die Qual der Wahl» Es gibt nicht den einzig wahren Browser» Vorteile quelloffener Browser wie z.b. Firefox:

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

DIE GRUNDLAGEN DER FERNÜBERWACHUNG

DIE GRUNDLAGEN DER FERNÜBERWACHUNG DIE GRUNDLAGEN DER FERNÜBERWACHUNG Verbraucherleitfaden Version 1.0 Deutsch Einleitung Derzeit sind am Markt zahlreiche Videoüberwachungssysteme erhältlich, die einen digitalen Zugriff über Netzwerkverbindungen

Mehr

Filtereinsatz bei Internet-Zugriffen

Filtereinsatz bei Internet-Zugriffen Filtereinsatz bei Internet-Zugriffen Markus Hansen ULD markus.hansen@privacyresearch.eu Sommerakademie 2009 Kiel 2009-08-31 Das Internet Unendliche Weiten Heterogene, non-linear vernetzte Systeme => komplexe

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Spurenarm und anonym surfen

Spurenarm und anonym surfen Spurenarm und anonym surfen Kire Swiss Privacy Foundation www.privacyfoundation.ch Digitale Gesellschaft www.digitale-gesellschaft.ch Workshop Spurenarm und anonym surfen Inhaltsverzeichnis Einführung

Mehr

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet SEC Für ein sicheres Internet Was ist SEC? SEC ist eine Erweiterung des Domain Namen Systems (), die dazu dient, die Echtheit (Authentizität) und die Voll ständig keit (Integrität) der Daten von - Antworten

Mehr

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft

Lösungen zu 978-3-8045-5387-3 Informations- und Telekommunikationstechnik - Arbeitsheft Lösungen zu ---- Informations- und Telekommunikationstechnik - Arbeitsheft Handlungsschritt Aufgabe a) Die TCP/IP-Protokollfamilie verwendet logischen Adressen für die Rechner (IP- Adressen), die eine

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT

IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Version 2.1 Original-Application Note ads-tec GmbH IRF2000, IF1000 Application Note Network Mapping mit 1:1 NAT Stand: 28.10.2014 ads-tec GmbH 2014 Big-LinX 2 Inhaltsverzeichnis 1 Einführung... 3 1.1 NAT

Mehr

Umfassender Internetfilter für jede Art und Größe von Netzwerken.

Umfassender Internetfilter für jede Art und Größe von Netzwerken. Umfassender Internetfilter für jede Art und Größe von Netzwerken. UMFASSENDE INTERNETFILTERUNG UserGate Web Filter ist eine Gateway-Lösung für die Steuerung der Internetnutzung aller Geräte in einem lokalen

Mehr

3 Das verbindungslose Vermittlungsprotokoll IP

3 Das verbindungslose Vermittlungsprotokoll IP Das verbindungslose Vermittlungsprotokoll IP 27 3 Das verbindungslose Vermittlungsprotokoll IP In diesem Kapitel lernen Sie das verbindungslose Vermittlungsprotokoll IP näher kennen. Nach dem Durcharbeiten

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg

Scaling IP Addresses. CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg Scaling IP Addresses CCNA 4 version 3.0 Wolfgang Riggert,, FH Flensburg auf der Grundlage von Rick Graziani, Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Lösungsvorschlag. Begründung

Lösungsvorschlag. Begründung RSTR 1619/11 20.7.2012 Lösungsvorschlag Die Rundfunk und Telekom Regulierungs-GmbH erstattet im Schlichtungsfall zwischen XXX und der UPC Austria GmbH auf der Grundlage der beiderseitigen Vorbringen sowie

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

ISA 2004 Netzwerkerstellung von Marc Grote

ISA 2004 Netzwerkerstellung von Marc Grote Seite 1 von 7 ISA Server 2004 Mehrfachnetzwerke - Besonderheiten - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In meinem ersten Artikel habe

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

Ist das Internet unkontrollierbar?

Ist das Internet unkontrollierbar? Ist das Internet unkontrollierbar? Hannes Federrath Technische Universität Dresden, Fakultät Informatik, 01062 Dresden E-Mail: federrath@inf.tu-dresden.de http://www.inf.tu-dresden.de/~hf2 Gliederung des

Mehr

!"# $ % Internet Protokolle: HTTP 1/38

!# $ % Internet Protokolle: HTTP 1/38 !"# $ % Internet Protokolle: HTTP 1/38 1 Themenübersicht Schichtenmodell Gopher /FTP Statistik URL Einleitung Anwendungsablauf Beispiel mit Telnet Request, Response Anfragemethoden header Negotiation Proxyserver

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Netzwerk- Konfiguration. für Anfänger

Netzwerk- Konfiguration. für Anfänger Netzwerk- Konfiguration für Anfänger 1 Vorstellung Christian Bockermann Informatikstudent an der Universität Dortmund Freiberuflich in den Bereichen Software- Entwicklung und Netzwerk-Sicherheit tätig

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Anonymes Kommunizieren mit Mixminion

Anonymes Kommunizieren mit Mixminion Anonymes Kommunizieren mit Mixminion Seminar Peer-to-Peer Netzwerke Claudius Korzen Institut für Informatik Albert-Ludwigs-Universität, Freiburg SS 2009 28. Juli 2009 1/ 35 Überblick 1 Motivation 2 Grundlagen

Mehr

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern),

9.3 Firewalls. HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), 9.3 Firewalls (firewall = Brandmauer) Firewall: HW/SW-System, oft auf separatem Rechner (oder mehreren Rechnern), typischerweise an der Übergangsstelle zwischen einem Teilnetz und dem Rest des Internet

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

Man liest sich: POP3/IMAP

Man liest sich: POP3/IMAP Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und

Mehr

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht

Themen. Anwendungsschicht DNS HTTP. Stefan Szalowski Rechnernetze Anwendungsschicht Themen Anwendungsschicht DNS HTTP Anwendungsschicht OSI-Schicht 7, TCP/IP-Schicht 4 Dienste für den Nutzer/Anwender Unabhängig von den niederen Schichten Verschiedene Dienste bzw. Services DNS HTTP FTP,

Mehr

IT- und Medientechnik

IT- und Medientechnik IT- und Medientechnik Vorlesung 5: 7.11.2014 Wintersemester 2014/2015 h_da, Lehrbeauftragter Themenübersicht der Vorlesung Hard- und Software Hardware: CPU, Speicher, Bus, I/O,... Software: System-, Unterstützungs-,

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de

Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: http://www.mbuth.de mail: michael.buth@mbuth.de Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: http://www.mbuth.de mail: michael.buth@mbuth.de Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und

Mehr

VS7 Slide 1. Verteilte Systeme. Vorlesung 7 vom 27.05.2004 Dr. Sebastian Iwanowski FH Wedel

VS7 Slide 1. Verteilte Systeme. Vorlesung 7 vom 27.05.2004 Dr. Sebastian Iwanowski FH Wedel VS7 Slide 1 Verteilte Systeme Vorlesung 7 vom 27.05.2004 Dr. Sebastian Iwanowski FH Wedel Inhaltsverzeichnis für die Vorlesung Zur Motivation: 4 Beispiele aus der Praxis Allgemeine Anforderungen an Verteilte

Mehr

WIESO IST MEINE WEBSITE IN CHINA SO LANGSAM?

WIESO IST MEINE WEBSITE IN CHINA SO LANGSAM? BROSCHÜRE WIESO IST MEINE WEBSITE IN CHINA SO LANGSAM? Wer an China und Internet denkt, denkt in erster Linie an Zensur. Weniger bekannt ist, dass man in China mit ganz erheblichen Problemen bei der Web-

Mehr

Zugangsschutz: Packet Filter und Firewalls

Zugangsschutz: Packet Filter und Firewalls Zugangsschutz: Packet Filter und Firewalls (1) Motivation Das Internet hat sich von einem rein akademischen Netzverbund zu einer Informationsquelle entwickelt, die auch für kommerzielle Zwecke von Interesse

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius

Exploration des Internets der systemorientierte Ansatz. Aktivierender Unterricht mit der Lernsoftware Filius Exploration des Internets der systemorientierte Ansatz Aktivierender Unterricht mit der Lernsoftware Filius Dr. Stefan Freischlad 26.03.2012 1 Agenda 1.Unterricht zu Internetworking 2.Einführung zur Konzeption

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business -

Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Sicherheit im Internet - Datenschutz als Standortvorteil im E-Business - Dipl.-Inform. Marit Köhntopp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Düsternbrooker Weg 82, 24105 Kiel Tel.:

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation OpenChaos-Reihe Digitale Verhütung Teil 2: Sichere Kommunikation Chaos Computer Club Cologne e.v. http://koeln.ccc.de Köln 25.10.2007 Gliederung 1 Warum Kommunikationsverschlüsselung? 2 Praxis 3 Letzte

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer

Klausur Kommunikation I. Sommersemester 2003. Dipl.-Ing. T. Kloepfer Kommunikation I 1 Klausur Kommunikation I Sommersemester 2003 Dipl.-Ing. T. Kloepfer Bearbeitungsinformationen Aufbau der Klausur Die Klausur ist wie folgt aufgebaut: Die Klausur ist in 18 Aufgaben unterteilt.

Mehr

7. TCP-IP Modell als Rollenspiel

7. TCP-IP Modell als Rollenspiel 7.1 Rollen Mit Hilfe eines Rollenspiels soll der gesamte Ablauf der Anfrage einer Webseite bei einem Web-Server dargestellt werden. An einer Web-Anfrage sind folgende Rollen beteiligt: 1. User 2. Browser

Mehr

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!?

Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch. You are Skyping - But How Does it Work!? Robert Fehrmann Proseminar Technische Informatik Institut für Informatik, Betreuer: Matthias Wählisch You are Skyping - But How Does it Work!? 1 Gliederung You are Skyping - But How Does it Work!? Probleme

Mehr

Hauptdiplomklausur Informatik März 2002: Internet Protokolle

Hauptdiplomklausur Informatik März 2002: Internet Protokolle Universität Mannheim Fakultät für Mathematik und Informatik Lehrstuhl für Praktische Informatik IV Professor Dr. W. Effelsberg Hauptdiplomklausur Informatik März 2002: Internet Protokolle Name:... Vorname:...

Mehr

Digitale Sprache und Video im Internet

Digitale Sprache und Video im Internet Digitale Sprache und Video im Internet Kapitel 6.4 SIP 1 SIP (1) SIP (Session Initiation Protocol), dient als reines Steuerungsprotokoll (RFC 3261-3265) für MM-Kommunikation Weiterentwicklung des MBONE-SIP.

Mehr

Internet Security 2009W Protokoll Firewall

Internet Security 2009W Protokoll Firewall Internet Security 2009W Protokoll Firewall Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 25. November 2009 1 Inhaltsverzeichnis

Mehr

eytron VMS Webanwendung Fehlersuche und -Behebung

eytron VMS Webanwendung Fehlersuche und -Behebung eytron VMS Webanwendung Fehlersuche und -Behebung 2009 ABUS Security-Center GmbH & Co. KG, Alle Rechte vorbehalten Diese Anleitung soll Ihnen Unterstützung für den Fall geben, dass die Webanwendung nach

Mehr

Ich will raus! Tunnel durch die Firewall

Ich will raus! Tunnel durch die Firewall Ich will raus! Tunnel durch die Firewall Konstantin Agouros SLAC 07/Berlin Übersicht Wo ist das Problem? HTTPS SSH OpenVPN Skype/MSN ICMP DNS Alternativen zum Arbeiten draußen Wo ist das Problem? Viele

Mehr

Problembehandlung bei Windows2000- Netzwerkdiensten

Problembehandlung bei Windows2000- Netzwerkdiensten Unterrichtseinheit 15: Problembehandlung bei Windows2000- Netzwerkdiensten Die Windows2000-Netzwerkinfrastruktur besteht aus vielen verschiedenen Komponenten und Verbindungen, in denen Netzwerkprobleme

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Adressumleitung beim Surfen. Allgemeines

Adressumleitung beim Surfen. Allgemeines Block Nr. 001 erstellt am: 17.07.2012 letztes Update: 18.07.2012 Adressumleitung beim Surfen Autor: Joachim Culmann Allgemeines Gibt man in die Adresszeile eines Browsers einen Host- oder Domännmane ein,

Mehr

IP routing und traceroute

IP routing und traceroute IP routing und traceroute Seminar Internet-Protokolle Dezember 2002 Falko Klaaßen fklaasse@techfak.uni-bielefeld.de 1 Übersicht zum Vortrag Was ist ein internet? Was sind Router? IP routing Subnet Routing

Mehr

Identifizierung von Problemen beim Löschen kinderpornografischer Webseiten

Identifizierung von Problemen beim Löschen kinderpornografischer Webseiten Alvar C.H. Freude Ergänzung zur Stellungnahme zum Gespräch mit Sachverständigen zum Thema Kampf gegen Darstellung von Kindesmissbrauch im Internet: technische und organisatorische Fragen Identifizierung

Mehr

ISA Server 2004 HTTP Filter - Von Marc Grote

ISA Server 2004 HTTP Filter - Von Marc Grote Seite 1 von 11 ISA Server 2004 HTTP Filter - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In diesem Artikel erläutere ich die Konfiguration

Mehr

Die folgenden Features gelten für alle isquare Spider Versionen:

Die folgenden Features gelten für alle isquare Spider Versionen: isquare Spider Die folgenden s gelten für alle isquare Spider Versionen: webbasiertes Management (Administratoren) Monitoring Sichten aller gefundenen Beiträge eines Forums Statusüberprüfung Informationen

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

1 Einleitung. 1.1 Unser Ziel

1 Einleitung. 1.1 Unser Ziel 1 Dieses Buch wendet sich an alle, die sich für agile Softwareentwicklung interessieren. Einleitend möchten wir unser mit diesem Buch verbundenes Ziel, unseren Erfahrungshintergrund, das dem Buch zugrunde

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012

IT-Sicherheit WS 2012/13. Übung 5. zum 28. November 2012 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2012/13 Übung 5 zum 28. November 2012 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 X.509-Zertifikate Zertifikate nach dem X.509-Standard

Mehr

Anonymität ist nicht binär. Oder: der Versuch, ein schwer angreifbares Netzwerk zu erstellen. www.i2p2.de

Anonymität ist nicht binär. Oder: der Versuch, ein schwer angreifbares Netzwerk zu erstellen. www.i2p2.de Anonymität ist nicht binär. Oder: der Versuch, ein schwer angreifbares Netzwerk zu erstellen. www.i2p2.de Übersicht I2P ist ein low latency Mix Netzwerk: Geringe Latenz im sec. Bereich, die gering genug

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen 9 3 Web Services 3.1 Überblick Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen mit Hilfe von XML über das Internet ermöglicht (siehe Abb.

Mehr

Alexandru Arion, Benjamin Schöllhorn, Ingo Reese, Jürgen Gebhard, Stefan Patsch, Stephan Frank

Alexandru Arion, Benjamin Schöllhorn, Ingo Reese, Jürgen Gebhard, Stefan Patsch, Stephan Frank Message Broker (MB) Alexandru Arion, Benjamin Schöllhorn, Ingo Reese, Jürgen Gebhard, Stefan Patsch, Stephan Frank Programmierung verteilter Systeme Lab Institut für Informatik Universität Augsburg Universitätsstraße

Mehr

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6

Internetprotokolle: POP3. Peter Karsten Klasse: IT7a. Seite 1 von 6 Internetprotokolle: POP3 Peter Karsten Klasse: IT7a Seite 1 von 6 Alle Nachrichten, die auf elektronischem Weg über lokale oder auch globale Netze wie das Internet verschickt werden, bezeichnet man als

Mehr

Adressierung im Internet

Adressierung im Internet Adressierung im Internet Adressen sind in einem Netz, wie dem Internet, für einen Datenaustausch absolut notwendig. Jede Ressource, jedes Gerät im Netz muss auf diese Weise eindeutig identifiziert werden.

Mehr

Nationale Initiative für Internet- und Informations-Sicherheit

Nationale Initiative für Internet- und Informations-Sicherheit Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr

Microsoft ISA Server 2004 Das Handbuch

Microsoft ISA Server 2004 Das Handbuch 187.book Page 3 Thursday, September 1, 2005 3:33 PM Marc Grote, Christian Gröbner, Dieter Rauscher Microsoft ISA Server 2004 Das Handbuch 187.book Page 360 Thursday, September 1, 2005 3:33 PM Kapitel 15

Mehr

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1)

Netzwerke. Teil 4. Adressierung und. Netzwerkklassen 11.09.2011. BLS Greifswald. Netzwerk-Adressierung (1) Netzwerke Teil 4 Adressierung und Netzwerkklassen 11.09.2011 BLS Greifswald Folie 1/26 Netzwerk-Adressierung (1) Ein Protokoll der Netzwerkschicht muss grundsätzlich gewährleisten, das jeder Knoten mit

Mehr

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2) 14. URIs Uniform Resource Identifier 14-1 14. URIs Uniform Resource Identifier 14-2 Motivation Das WWW ist ein Hypermedia System. Es enthält: Resourcen (Multimedia Dokumente) Verweise (Links) zwischen

Mehr

DNS, FTP, TLD Wie kommt meine Website ins Internet?

DNS, FTP, TLD Wie kommt meine Website ins Internet? DNS, FTP, TLD Wie kommt meine Website ins Internet? Ein Blick hinter die Kulissen Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe Mitarbeiter bei verschiedenen Internetprovidern

Mehr