Client/Server-Systeme

Größe: px
Ab Seite anzeigen:

Download "Client/Server-Systeme"

Transkript

1 Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2008/2009 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98

2 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische Authentifizierung OSI Schicht 6 SSL PGP SSH Web, SHTML Mail Telnet, rlogin, FTP IPSec Aussenstellen PPTP Schicht 2,3 von Unternehmen L2TP cs 0574 ww6 wgs 12-03

3 Secure Socket Layer - SSL Schicht 5-7 Anwendungen 4 Socket Schnittst Intranet Internet An Stelle der regulären Socket Schnittstelle wird die sehr ähnliche SSL Schnittstelle eingesetzt. SSL bewirkt zuätzlich zur normalen Socket Funktionalität eine Verschlüssselung beim Senden und eine Entschlüsselung beim Empfangen von Nachrichten. css06117 ww6 wgs 01-98

4 Secure Socket Layer Secure Socket Layer is a client-server communication protocol developed by Netscape for securing communications that use TCP/IP sockets. It uses asymmetric (public key) and symmetric key cryptography: For server authentication To provide data privacy and integrity For optional client authentication via digital certificate The SSL protocol is executed at the application level and therefore an application has to be designed to support SSL in order to benefit from the SSL protection. Although SSL is very well known as a way to secure http communications, any kind of TCP/IP socket communication is a candidate for SSL protection, with proper code support. However, SSL is also known to be a very demanding protocol in terms of computing resources in the session initialization phase known as the handshake. These resources are needed to support the heavy calculation required by the asymmetric (that is, public key) cryptography that the handshake uses. The handshake is followed by a data transfer phase, also called the SSL record protocol, which uses symmetric cryptography.

5 Secure Socket Layer (SSL) Transport Layer Security (TLS) Schicht Das SSL Protokoll wird in der Schicht 5 ausgeführt. Anwendungen müssen deshalb angepasst werden, dass sie für SSL vorgesehene Ports an Stelle der für Sockets vorgesehenen Ports benutzen. Beim Übergang von SSL 3.0 auf SSL3.1 wurde SSL offiziell in TLS 1.0 (Transport Layer Security) umbenannt. Heute werden beide Bezeichnungen austauschbar verwendet.

6 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public Key 5 Nachricht 1. Sender erstellt Nachricht 2. Sender generiert Session Key (symmetrisch, DES, IDEA, RC4, AES Algorithmus) 3. Nachricht wird mit dem Session Key verschlüsselt 4. Sender holt Public Key von Empfänger (asymetrisch, RSA Algorithmus) 5. Sender verschlüsselt Session Key mit dem Public Key des Empfängers cs 0651 ww6 wgs 12-03

7 SSL Protocol: Handshaking für eine SSL Sitzung Das SSL Protokoll liefert Verbindungssicherheit über unsichere Kommunikationswege. Es hat die folgenden Merkmale: Datenverschlüsselung. Die Verbindung kann durch Verschlüsseln der zwischen Client und Server auszutauschenden Daten sicher gemacht werden. Dies ermöglicht den sicheren Transfer von privater Information wie Kreditkartennummern. Kommunikationsintegrität. Die Verbindung ist zuverlässig. Der Nachrichtentransport schließt einen Nachrichtenintegritätsprüfung ein, die auf einer sicheren Hashfunktion beruht. Authentifizierung. Der Client kann den Server authentifizieren, und ein authentifizierter Server kann den Clienten authentifizieren. Damit wird sichergestellt, daß Information nur zwischen den gewünschten Partnern ausgetauscht wird. Der Authentifizierungmechanismus basiert auf dem Austausch von digitalen Zertifikaten (X.509v3 Zertifikate). cs 0647 ww6 wgs 11-00

8 SSL Protokoll Generisches Protokoll, ursprünglich von Netscape für den Browser entwickelt. Von den meisten Web Servern unterstützt. Stream Protokoll: Handshake eröffnet Verbindung verschlüsselter Datenaustausch (opaque Data Mode) Handshake schließt Verbindung Beim Start einer Verbindung tauschen Klient und Server Hello Nachrichten aus. Einigung auf: Version des SSL Protokolls Definition der Verschlüsselungsalgorithmen Austausch der Schlüssel Datenkompressionsparameter Daten werden in verschlüsselten Blöcken ausgetauscht; jeder Block wird durch eine verschlüsselte Prüfsumme verifiziert. 4 Schlüssel, je 1 Paar für Klient- Server und Server-Klient Kommunikation. Unterschiedliche Verschlüsselungsalgorithmen können eingesetzt werden, darunter DES und RC4. Klient und Server können X.509 Certificate anfordern. Vorgesehen ist die SSL integration in Winsock 2.0. Transparent für existierende Winsock Anwendungen. cs0536 ww6 wgs 09-98

9 Web Server Application Code Secure Socket Layer Public key Symmetric Hashing Cryptographic encryption algorithms functions to keep data to ensure for user confidential message authentification integrity reliable communication protocol e.g. TCP/IP Secure Socket Layer Componenten TLS 1.0, 1.1 und 1.2 sind die standardisierten Weiterentwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1). Heute unterstützen alle gängigen Browser TLS cs 0634 x ww6 wgs 11-99

10

11 1. The client connects to the server indicating that it wants to perform SSL ( hello SSL message). Note that the client hello message also conveys a sessionid. 2. The server agrees to carry on an SSL conversation ( server hello ). The handshake begins. 3. The client and server agree on a common symmetric algorithm to be used for the data transfer that follows the handshake. The server imposes the list of possible algorithms and its order of preference in this list, which is compared to the client s own list. 4. The server provides its public key in its certificate to the client this is also called server authentication, and is a mandatory step of the SSL handshake. 5. The client verifies the integrity of the server s certificate, using the certificate of the Certification Authority that signed the server s certificate. Depending on the client design, if this certificate is not available due to an incomplete setup of the client s system or because the server s Certification Authority is not known from the end user, the client may ask the end user to agree on pursuing the communication or to abort it. 6. The client now has the server s public key and uses it to encrypt a random number, which is then sent to the server. The server retrieves the value of this random number using its private key. Note that it is the decryption of the secret random number using the server s private key that costs so much computing resource during the SSL handshake. This operation can be avoided, as explained below, by re-using the so-called session ID. 7. At this point only the client and server know this secret random number (the pre master secret), which can then be used to generate the keys to encrypt and decrypt the data, using the symmetric algorithm previously selected. The client and the server then close the handshake phase and enter the data transfer phase (also called SSL record protocol).

12 The pre-master secret value is actually used to derive the values of several different symmetric keys on each side: Keys for data encryption and decryption in each direction and keys for data integrity checking. It is important to understand when an SSL handshake is actually to occur and how one can reduce the amount of these costly handshakes. A handshake has to occur every time a TCP connection is initiated by the client, which means that SSL protected protocols that are keeping the connection open for a long time, such as TN3270 does, are executing handshakes very seldom. On the other hand, protocols that are closing the connection frequently, as http should do after each html page, are then very costly in handshakes. The use of persistent sessions with http 1.1 is then reducing the number of handshakes. The SSL protocol has a built-in mechanism to reduce the number of handshakes: The sessionid re-use. Actually, the SSL server can be set up to remember the pre-master secret previously established with the client and the corresponding sessionid. When a client re-establishes a TCP connection to resume an SSL conversation with a server, it actually presents the previous sessionid that was established with this server in the client hello message. If the server remembers the pre-master secret linked to this sessionid, it then signals the client that a new handshake is not needed; they will re-use the previous pre-master secret value. They then directly enter the data transfer phase. The server is set up to remember the sessionid with the SSLtimeOut parameter, which tells for how long the server keeps the previous premaster secret in its memory. The duration of the SSLtimeOut, commonly in the order of several minutes or hours, is an installation trade-off between security and performance, as the longer the timeout the longer the time left to an attacker to discover the value of the symmetric keys. Even if the pre-master secret value is reused, the derived keys are different every time from the keys actually used in the previous session, which reduces the exposure to a key discovery attack.

13 PGP - Pretty Good Privacy Phil Zimmermann, 1991 PGP ist ein über das Internet frei verfügbares Software Paket mit den folgenden Funktionen: Verschlüsselung von Dateien und von Electronic Mail Authentifizierung Digitale Unterschrift Verwendet unterschiedliche Verschlüsselungsalgorithmen: IDEA ( 128 Bit asymmetrisches Schlüsselverfahren, entwickelt in Zürich) RSA cs0505 ww6 wgs 05-97

14 PGP, S/Mime, GnuPG S/MIME ist die sichere Version von MIME (Multipurpose Internet Mail Extension. Die meisten Klienten unterstützen auch MIME. S/MIME benutzt X.509 Zertifikat, PGP benutzt Web of Trust 30 % vs 70 % Marktanteil Nur Mail vs. Mail + andere Anwendungen Zertifizierung durch CA kostet etwa 50 Euro/Jahr GnuPG (Gnu Privacy Guard) ist eine GNU General Public License Alternative zu PGP. Verwendet nicht den patentierten IDEA Algorithmus. cs 0665 wgs 12-03

15 SSH - Secure Shell de facto Standard für remote computer login. Verhindert Diebstahl von Passworten wenn diese im Internet übertragen werden. Typische Anwendungen: remote access auf Computer Ressourcen über das Internet, secure file transfer remote system administration. Suite von drei Utilities - slogin, ssh, and scp - (Sichere Versionen der UNIX Utilities rlogin, rsh, and rcp). Ersatz für telnet. SSH benutzt RSA für die Server Authentifizierung. Mehrere Optionen für die Client Authentifizierung, darunter Kerberos. IDEA ist das Default Verfahrung für die Verschlüsselung. Alternativen sind DES, 3DES, und Blowfish. Klient generiert symmetrischen Schlüssel und sendet ihn zum Server verschschlüsselt mit dessen öffentlchen Schlüssel. Die Verschlüsselung started unmittelbar nach der Server Authentifizierung, aber vor der Client Authentifizierung. Passwort des Benutzers wird über einen sicheren Kanal übertragen. PuTTY freier SSH- und Telnet-Client für Microsoft Windows, Unix und MacOS WinSCP ist ein Freeware SCP (Secure CoPy) Programm für Windows. cs 0677 ww6 wgs 12-03

16 Leistungsabfall beim Einsatz von SSL Einsatz von Krypto-Koprozessoren Bei den modernen z9 Mainframe Rechnern ist die Kryptofunktion in das CPU Chip integriert. Es existieren Funktionen wie DES oder SHA-1, die als Maschinenbefehle direkt ausgeführt werden. es 1312 ww6 wgs 11-00

17 Intel Intel Micro Gleitkomma Prozessor Koprozessor Ohne verursacht die Ausführung eines Gleitkomma- Maschinenbefehls eine Programmunterbrechung. Die Unterbrechungsroutine führt die Gleitkommaoperation aus. Intel Micro-Prozessor traditionelle CPU Funktion Gleitkomma Koprozessor Beim Intel und Pentium/AMD ist die Gleitkommafunktion in das Micro-Prozessor Chip integriert IBM z990 Micro-Prozessor traditionelle CPU Funktion Krypto Koprozessor Bei den IBM z990 und 890 Micro-Prozessoren ist die Krypto- Koprozessor Funktion in das CPU Chip integriert. Dies beinhaltet z.b. Maschinenbefehle, die einen Puffer mit einer Klartext Nachricht direkt mit DES nach dem Electronic Code Block Mode (ECB) oder dem Cipher Block Chaining (CBC) umwandeln oder alternativ ein SHA-1 Digest erzeugen.

18

19

20 Homebanking Computer Interface (HBCI) Financial Transaction Services (FinTS) Offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Von den deutschen Banken entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen. Kunden-Authentifizierung und Nachrichtenverschlüsselung mit einer Chip Karte. Erfordert Chip Karten Leser, der an den PC angeschlossen wird. Enthält 112 Bit 3DES- Schlüssel. Alle sensitiven kryptographischen Prozesse laufen im Chip ab. Ein Beispiel ist die WebSign-HBCI Banking der Deutschen Bank. cs 0682 ww6 cs\pubs\finztran.pdf wgs 10-05

21 Externe Anbindung Anschluß von Außenstellen eines Unternehmens über das Internet Außendienstmitarbeiter, Laptop über ISDN Leitungen Heimarbeitsplätze, PPP Protokoll Kombination von Verschlüsselung und Packet Filter: IP Pakete werden verschlüsselt über das unsichere Netz übertragen und vom Packet Filter Firewall entschlüsselt. Durch Verschüsselung wird ein kryptographisches Virtual Private Network (VPN) in einem unsicheren Netz, z.b. über das Internet, gebildet. cs 0612 ww6 wgs 11-98

22 Ver/Entschlüsselung Ver/Entschlüsselung Betriebsgelände A Internet Betriebsgelände B Virtual Private Network (VPN) Die Intranets auf 2 Betriebsgeländen werden über das (unsichere) Internet miteinander verbunden. Basis ist TCP/IP Die Abschirmung erfolgt über Tunneling (Verpacken aller Pakete) sowie Verschlüsselung der IP-Pakete IPsec ist der Standard für die Verschlüsselung IKE ist der Standard für den Schlüsselaustausch mittels öffentlicher Schlüssel cs0619 ww6 wgs 09-98

23 Sicherheitsprotokoll IPsec Transport Mode vs Tunnel Mode TCP Kopf TCP Daten IP Kopf IP Daten IPsec Protokoll Authentication Header (AH) verschlüsselte Daten ursprünglicher IP Kopf (verschlüsselt) IPsec Kopf, dupliziert unkritische Felder des IP Kopfes Probleme Layer-4-Switching ermöglicht Prioritätensteuerung, indem z.b. FTP (Port Nr. 20) mit höherer Priorität weitergegeben wird als (Port Nr. 25). Die Port Nr. steht im TCP Kopf und kann, da verschlüsselt, nicht genutzt werden. Der zusätzliche IPsec Kopf vergrößert die Paketlänge. Die Überschreitung einer MTU (Maximum Transfer Unit) Grenze erzeugt zusätzliche Fragmentierung. cs0620 ww6 wgs 09-98

24 SSL versus IPSec SSL für Remote Access höhere Sicherheitsprobleme im Vergleich zu Standortverbindungen, z.b. zentraler Virenscanner erfordert zwischenzeitliches Entschlüsseln durch Proxy Server Verlangsamung der Verarbeitung > 90 % IPSec für Standortverbindungen Firewall blockiert evtl. IPSec bessere Eignung für VoIP Beide Verfahren verwenden DES, 3DES und AES, SSL auch RC4

25 Point-Point Tunneling Protocol (PPTP) Virtual Private Network, erlaubt getunnelte Point-to- Point Protocol (PPP) Verbindungen über ein IP Nettwerk. Benutzer können sich über Telefon und das Internet in ein Corporate Network einwählen (Road Warrior Protokoll). In RFC2637 beschrieben. Wurde von Microsoft mit einer kleinen Gruppe anderer Unternehmen entwickelt. PPTP ist ein OSI Schicht Schicht 2 Protokoll, kann damit auch andere Schicht 3 Protokolle nutzen. IETF entwickelt derzeitig L2TP Standard als Nachfolger für PPTP cs0614 ww6 wgs 12-03

26 Homebanking Computer Interface (HBCI) Financial Transaction Services (FinTS) Offener Standard für den Bereich Electronic Banking und Kundenselbstbedienung. Von den deutschen Banken entwickelt und vom Zentralen Kreditausschuss (ZKA) beschlossen. Kunden-Authentifizierung und Nachrichtenverschlüsselung mit einer Chip Karte. Erfordert Chip Karten Leser, der an den PC angeschlossen wird. Enthält 112 Bit 3DES- Schlüssel. Alle sensitiven kryptographischen Prozesse laufen im Chip ab. Ein Beispiel ist die WebSign-HBCI Banking der Deutschen Bank. cs 0682 ww6 cs\pubs\finztran.pdf wgs 10-05

27 TrueCrypt Free open-source disk encryption software for Windows Vista/XP, Mac OS X, and Linux Main Features: * Creates a virtual encrypted disk within a file and mounts it as a real disk. Encrypts an entire hard disk partition or a storage device such as USB flash drive. Encryption is automatic, real-time (on-the-fly) and transparent. Provides two levels of plausible deniability, in case an adversary forces you to reveal the password: 1) Hidden volume (steganography more information may be found here). 2) No TrueCrypt volume can be identified (volumes cannot be distinguished from random data). Encryption algorithms: AES-256, Serpent, and Twofish. Mode of operation: XTS. A keyring stores known encryption keys.

28 Zugriffsberechtigung Eine Vielzahl von Subjekten hat unterschiedliche Zugriffsberechtigungen (z.b. Read, Write, Execute) auf eine Vielzahl unterschiedlicher Objekte (Dateien, Directories, ausführbare Programme, usw.). Für jedes Paar {Prozessi, Objektj} kann es eine unterschiedliche Zugriffsberechtigung Aij geben. A A A A A Subjekte (Klienten, Prozesse) Objekte Dateien, Programme cs 0626u ww6 wgs 05-99

29 Objekte, z.b. Dateien, Programme n 0 A 0,0 A 0,1 A 0,2 A 0,n 1 A 1,0 A 1,n Subjekte 2 A 2,0 A 2,n z.b. : Personen, 3 Capability Klienten, List Prozesse.... m A m,0 A m,1 A m,2 A m,n ACL, Access Control List Zugriffskontrolliste Zugriffsmatrix Capabilities werden mit den Subjekten gespeichert. ACLs werden mit den Objekten gespeichert. Beispiel: Directory Eintrag einer Datei speichert ACLs. Benutzer Authorisierungs-Record speichert Capabilities. vs1507 ww6 wgs 05-96

30 ACL Datei 1 Datei 2 Datei 3 Meier r/w x - Müller - - r/w Schulze r r r Capabilities Bauer r r/w - Access Control Lists und Capabilities cs 0627u ww6 wgs 05-99

31 Benutzer 2 Benutzer 4 x x x x x x x x x x x x x x Benutzer 1 x x x x x x x Benutzer 3 Benutzer 5 Group others Zusammenfassung von Prozessen in Klassen, und Verwendung vereinfachter ACL ( r, w, x,.. ), aufgeteilt nach "owner", "group", und "others". Problem: Aufteilung der Zugriffsberechtigung von einem Objekt auf mehrere Gruppen. Unter Unix existiert hierfür eine erweiterte ACL Funktion. vs1508 ww6 wgs 05-96

32 Rollenbasierte Zugriffssteuerung. Role Based Access Control (RBAC) Separate Zugriffssteuerungen für die Systemanmeldung und den Zugriff auf Objekte, Ressourcen, Programme, Dateien, Prozesse bzw. Daemons, Dienste und Anwendungen. Profile für die Zuordnung von Subjekten und Objekten zu vordefinierten Gruppen mit voreingestellten Zugriffsrechten. Profile werden in einer speziellen Datenbank gespeichert und bei jeder sicherheitsrelevanten Aktion mittels einer Scriptsprache interpretiert ( if then else ). Zugriffssteuerung ist in das Betriebssystem integriert. Protokolliert alle Benutzeraktionen und -zugriffe. Aktivitäten können verfolgt und dem ursprünglich authentifizierten Benutzer zugeordnet werden. Implementierungsbeispiele: Computer Associates ACF2 (z/os) Computer Associates etrust Access Control (Linux, Unix, Windows) IBM RACF (z/os) Security Enhanced Linux (SE-Linux) cs 0576 ww6 wgs 01-05

33 z/os Security Server Resource Access Control Facility RACF (Resource Access Control Facility) bewirkt Identifizierung und Authentifizierung von Benutzern Benutzer Authorisierung für Zugriff auf geschützte Resourcen Logging und Berichte über unauthorisierte Zugriffe Überwacht die Art, wie auf Resourcen zugegriffen wird Anwendungen können RACF Macros benutzen Literatur : IBM GC es 0426 ww6 wgs 08-00

34 RACF RACF benutzt das Konzept von zu schützenden Resourcen. Resourcen werden in Klassen aufgeteilt. Beispiele für Klassen sind: Benutzer Dateien CICS Transaktionen Datenbank Rechte Terminals Jedem Element einer Klasse wird ein Profil zugeordnet. Das Profil besagt, welche sicherheitsrelevanten Berechtigingen vorhanden sind. Die Profile werden in einer Systemdatenbank, der RACF Profildatenbank, abgespeichert. Beispiel: Ein interaktiver Benutzer logged sich ein. Der Login Prozess überprüft, ob die Login Berechtigung besteht. Er überprüft weiterhin, ob das Terminal, von dem der Benutzer sich einwählt, eine Zugangsberechtigung hat. Hierzu ruft der Login Prozess RACF auf, welches die entsprechenden Profile in seiner Datenbank konsultiert. Anschließend ruft der Benutzer ein Programm auf, welches auf eine Datei zugreift. Die OPEN Routine ruft RACF auf, welches das Profil der Datei bezüglich der Zugriffsrechte befragt. Benutzer Profile enthalten Capabilities. Datei Profile enthalten Access Control Listen. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. Problem: Wartung der Profile. cs 0653 ww6 wgs 10-01

35 RACF Datenbank Resource Profile 5 Resource Resource 1 Manager Manager RACF z.b. TSO z.b. CICS (oder ACF2) 2 RACROUTE 3 RACROUTE 4 SAF z/os Kernel RACF Arbeitsweise 1. Ein Benutzer greift auf eine Resource über einen Resource Manager zu, z.b. TSO 2. Der Resource Manager benutzt einen System Call RACROUTE um auf die Security Access Facility (SAF) des z/os Kernels zuzugreifen. present. SAF ist eine zentrale Anlaufstelle für alle sicherheitsrelevanten Aufgaben. 3. SAF ruft ein Zugriffskontrolle Subsystem auf. Dies ist normalerweise RACF. (Eine Alternative ist die Access Control Facility der Fa. Computer Associates, die ähnlich arbeitet). 4. RACF greift auf einen Profile Datensatz in seiner eigenen RACF Datenbank zu und überprüft die Zugangsberechtigungen 5. Das Ergebnis teilt RACF dem anfragenden Resource Manager mit. es0436 ww6 wgs 09-01

36 RACF Remote Access Control Facility z/os spezifiziert kritische Events innerhalb des Betriebssystems als sicherheitssensitive Verzweigungen. Die z/os Security Authorisation Facility (SAF) bewirkt an diesen Stellen den Aufruf einer externen Security Engine. In z/os ist dies häufig RACF; alternative z/os Security Engines sind ACF/2 oder TopSecret. Neben einer Kontrolle von Events (ehe sie wirksam werden) wird ein umfassender Audit Trail erzeugt. Zugriffsrechte können von spezifischen granularen Bedingungen abhängig gemacht werden; z.b. der Zugriff auf eine Datenbank kann von der Nutzung eines spezifischen Anwendungsprogramms abhängig gemacht werden, oder auf bestimmte Tageszeiten begrenzt sein. SAF übergibt der externen Security Engine die pertinente Information. Die Security Engine kann dann auf der Basis von Access Control List (ACL) Strukturen über die Zugriffsrechte entscheiden. Problem: Maintenance der ACL s css 0630 ww6 wgs 01-98

37

38

39 Security Enhanced Linux (SELinux) Discretionary Access Control (DAC) ist der Standard Linux Ansatz. Der Besitzer einer File kann Read-, Write- und Executerechte setzen. Mandatory Access Control (MAC) bedeutet, der Systemadministrator bestimmt die Sicherheitsstrategie. Benutzer können nicht dagegen verstoßen. SELinux ist Teil des Linux Security Servers und ist Bestandteil des 2.6 Kernels. SELinux implementiert MAC durch die Benutzung von Type Enforcement (TE) und von Role Based Access Controls (RBAC). Type Enforcement bedeutet, jedem Objekt des Systems ist ein Type zugeordnet. Der Sicherheitsadministrator definiert ein Regelwerk, welches die Zugriffsrechte zwischen Paaren von Types definiert. Role Based Access Controls ordnet dem Benutzer eine Reihe von Rollen zu, die Zugriffe und andere aktionen erlauben oder einschränken. Z.B kann ein Benutzer begrenzte Root-Rechte erhalten um den Mail Server zu verwalten, ohne Root-Rechte auf den Rest des Systems. cs 0680 ww6 wgs 07-05

40 intern Sicheres Netz z.b. LAN sicherer Netzadapter Firewall nicht sicherer Netzadapter extern Internet Überwacht Nachrichtenfluss auf der Ebene der Netzwerkschicht (Packet Filtering Firewall) oder der Ebene der Anwendungsschicht (Application Level Firewall) cs 0661 ww6 wgs 11-02

41 cs 0640 wgs 09-00

42 Packet Filtering Firewall Zugriff gestattet Zugriff Verweigert Firewall Rechner Firewall ist gleichzeitig Schicht 3 Router. Firewall entscheidet auf der Basis von Filter Regeln IP Filter auf der Basis von Quell- oder Zieladresse Quell- oder Ziel- Port Nummer Protokoll ( tcp, udp, icmp... ) Richtung Regeln werden von oben nach unten ausgewertet erste Übereinstimmung: angegebene Aktion durchführen keine Übereinstimmung: Paket ablehnen cs 0662 ww6 wgs 11-02

43 Filter Rule Example: Permit packets from the Internet to our Local Network if and only if they are destined for the Mail Gateway machine Local Area Netzwerk Port Filtering Port IP Adresse # 2 Router # Internet Our Filtering router must permit only following packets: coming from the Internet to port 25 on the Mail Gateway Machine; coming from the the Local Network and destined to any port 25. Access Control Liste für Filtering Router Port Nr. 1 Eintrag Source Source Destination Destination Action IP Adr. Port IP Adr. Port 1 any any permit 2 any any any any block Access Control Liste für Filtering Router Port Nr. 2 Eintrag Source Source Destination Destination Action IP Adr. Port IP Adr. Port any any 25 permit 2 any any any any block cs 0658 ww6 wgs 09-01

44 Application Firewall Proxy Server Application Firewall Software, die Nachrichtenübertragung auf der Anwendungsschicht (Schicht 7) nur nur für jeweils einen spezifischen Dienst zuläßt, wird als Proxy bezeichnet. Für jeden Dienst muß auf dem Application Firewallrechner ein eigener Proxy errichtet werden. Der Proxy überprüft für jede Anwendung getrennt, ob der Zugriff erlaubt ist. Aus der Sicht des Anwenders sieht es so aus als würde der Klient direkt mit dem eigentlichen Server Prozeß kommunizieren. cs 0608 ww6 wgs 11-98

45 cs 0641 wgs 09-00

46 Zwei Arten von Application Firewalls (Proxy Server) Circuit Level Firewall Zwischenstufe für alle TCP/IP Verbindungen 2 Verbindungen (Sessions) zwischen local Host und Proxy, und zwischen Proxy und remote Host Inhalt der übertragenen Nachricht wird nicht untersucht Stateful Inspection Firewall Untersuchen des Inhalts der übertragenen Nachricht Authentifizierung Virenscanner für SSL Nachrichten Logging cs 0679 ww6 wgs 12-03

47 cs 0642 wgs 09-00

48 Demilitarzed Zone DMZ Überwachtes Grenznetz Der äußere Firewall schützt das DMZ Netz. Er bestimmt, wer aus dem Internet auf Rechner zugreifen darf, die an das DMZ Netz angeschlossen sind. Filter Regeln sind einfacher zu definieren. Der äußere Firewall ist häufig als Router Firewall implementiert. An das DMZ Netz sind weniger kritische Server angeschlossen. Die kritischen Server werden zusätzlich durch den inneren Firewall geschützt. Dieser ist häufig als Application Firewall implementiert. Intranet DMZ Internet Innerer Firewall Äußerer Firewall Name Server WEB Server css0621 ww6 wgs 01-98

49 Never install a Firewall Sie haben nicht das erforderliche Fachwissen Dipl.-Inf. Sebastian Schreiber SySS GmbH Friedrich-Dannenmann-Str Tübingen

50 Netzwerk Address Translation Internet von von nach nach Intern NAT Table extern Firewall Router von nach von nach cs 0663 ww6 wgs 01-04

51

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2005/2006 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2006/2007 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 Sicherheitsprotokolle voll symmetrisch Kerberos unternehmensintern asymmetrische

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2003/04 Teil 6 Firewalls css 0633 ww6 wgs 01-98 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public Key 5 Nachricht

Mehr

Client/Server-Systeme

Client/Server-Systeme Client/Server-Systeme Prof. Dr.-Ing. Wilhelm G. Spruth WS 2004 / 2005 Teil 6 Sicherheitsprotokolle css 0633 ww6 wgs 01-98 SSL, PGP, S-Mime Sender Empfänger 1. Nachricht 2. Session Key 3 Nachricht 4. Public

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann ASec IT Solutions AG "Secure SSL" Tagung 9. September 2005, Hotel Mövenpick Glattbrugg Keynote SSL verstehen Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und Anwendungen, HSR Hochschule

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Instruktionen Mozilla Thunderbird Seite 1

Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Seite 1 Instruktionen Mozilla Thunderbird Dieses Handbuch wird für Benutzer geschrieben, die bereits ein E-Mail-Konto zusammenbauen lassen im Mozilla Thunderbird und wird

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) basierend auf Linux (Debian) Server Praktikum Protokolle Bei Prof. Dr. Gilbert Brands Gliederung Gliederung 1. Was ist VPN 2. VPN-Implementierungen 3. Funktionsweise von OpenVPN

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Virtual Private Networks Hohe Sicherheit wird bezahlbar Virtual Private Networks Hohe Sicherheit wird bezahlbar Paul Schöbi, cnlab AG paul.schoebi@cnlab.ch www.cnlab.ch Präsentation unter repertoire verfügbar 27.10.99 1 : Internet Engineering Dr. Paul Schöbi

Mehr

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der

RACFBroker/z. Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP. RACFBroker/z ist ein Produkt der RACFBroker/z Entfernter Zugriff auf das RACF Sicherheitssystem auf IBM Mainframes über TCP/IP RACFBroker/z ist ein Produkt der XPS Software GmbH Eching RACFBroker/z XPS Software GmbH Untere Hauptstr. 2

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 20.06.2003 Internet Security:

Mehr

HTWK Leipzig. Matthias Jauernig. Die Secure Shell

HTWK Leipzig. Matthias Jauernig. Die Secure Shell LV Kryptologie WS06/07, HTWK Leipzig Matthias Jauernig 12.12.06 SSH Die Secure Shell Inhalt 1. Motivation 2. Historie 3. Funktionsweise von SSH-2 4. Das OpenSSH Programmpaket 5. Schlussbemerkungen, Links

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3 User Manual for Marketing Authorisation and Lifecycle Management of Medicines Inhalt: User Manual for Marketing Authorisation and Lifecycle Management of Medicines... 1 1. General information... 2 2. Login...

Mehr

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen

Rainbow Technologies GmbH. Bedeutung von SSL in Ihrem Unternehmen Rainbow Technologies GmbH Markus Kahmen Bedeutung von SSL in Ihrem Unternehmen Thursday, April 19, 2001 http://europe.rainbow.com 1 Das Internet Die Internet-Ära verspricht für die nächsten 10 Jahre mehr

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

VPN VPN requirements Encryption

VPN VPN requirements Encryption Overview VPN VPN requirements Encryption VPN-Types Protocols VPN and Firewalls Joachim Zumbrägel 1 VPN - Definition VPNs (Virtual Private Networks) allow secure data transmission i over insecure connections.

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten

VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten VPN-Technologien gestern und heute Entwicklungen, Tendenzen und Fakten Dr. Matthias Rosche Manager Security Consulting 1 Agenda VPN-Technologien Kundenwünsche und Praxis Neue Lösungsansätze Empfehlungen

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

1.1 Media Gateway - SIP-Sicherheit verbessert

1.1 Media Gateway - SIP-Sicherheit verbessert Deutsch Read Me System Software 7.10.6 PATCH 2 Diese Version unserer Systemsoftware ist für die Gateways der Rxxx2- und der RTxxx2-Serie verfügbar. Beachten Sie, dass ggf. nicht alle hier beschriebenen

Mehr

Klausur Verteilte Systeme

Klausur Verteilte Systeme Klausur Verteilte Systeme SS 2005 by Prof. Walter Kriha Klausur Verteilte Systeme: SS 2005 by Prof. Walter Kriha Note Bitte ausfüllen (Fill in please): Vorname: Nachname: Matrikelnummer: Studiengang: Table

Mehr

Inhalt Sicherheit im Internet Grundlagen und Methoden

Inhalt Sicherheit im Internet Grundlagen und Methoden ix 1 Sicherheit im Internet Grundlagen und Methoden 1 1.1 Einführung...................................... 1 1.2 Sicherheit....................................... 3 1.2.1 Sicherheitsdienste...........................

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit?

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit? Cryx (cryx at h3q dot com), v1.1 Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts - Aufbau der Netze und testen der Funktion ohne

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. WebSphere Application Server Teil 4 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 WebSphere Application Server Teil 4 Leistungsverhalten el0100 copyright W. G. Spruth,

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario 3.0 IPsec Client Einwahl 3.1 Szenario In dem folgenden Szenario werden Sie eine IPsec Verbindung zwischen einem IPsec Gateway und dem IPsec Client konfigurieren. Die Zentrale hat eine feste IP-Adresse

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

IDS Lizenzierung für IDS und HDR. Primärserver IDS Lizenz HDR Lizenz

IDS Lizenzierung für IDS und HDR. Primärserver IDS Lizenz HDR Lizenz IDS Lizenzierung für IDS und HDR Primärserver IDS Lizenz HDR Lizenz Workgroup V7.3x oder V9.x Required Not Available Primärserver Express V10.0 Workgroup V10.0 Enterprise V7.3x, V9.x or V10.0 IDS Lizenz

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

BLK-2000. Quick Installation Guide. English. Deutsch

BLK-2000. Quick Installation Guide. English. Deutsch BLK-2000 Quick Installation Guide English Deutsch This guide covers only the most common situations. All detail information is described in the user s manual. English BLK-2000 Quick Installation Guide

Mehr

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 6: Protokolle und Anwendungen Wintersemester 2002/2003 Überblick sec Authentisierungsanwendungen

Mehr

Perinorm Systemvoraussetzungen ab Version Release 2010

Perinorm Systemvoraussetzungen ab Version Release 2010 Perinorm Systemvoraussetzungen ab Version Release 2010 1. DVD Version - Einzelplatzversion Betriebssystem Unterstützte Betriebssysteme Windows XP, Windows Vista Windows 7 (falls bereits verfügbar) Auf

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 12: Netzsicherheit - Schicht 4: Transport Layer / TLS 1 Inhalt Transport Layer Funktionen Secure Socket Layer (); Transport Layer Security (TLS)

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

Group and Session Management for Collaborative Applications

Group and Session Management for Collaborative Applications Diss. ETH No. 12075 Group and Session Management for Collaborative Applications A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZÜRICH for the degree of Doctor of Technical Seiences

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Verschlüsselungs. sselungs- verfahren. Mario Leimgruber. AMREIN EN GIN EERIN G Messaging & Gr oupwar e Solutions

Verschlüsselungs. sselungs- verfahren. Mario Leimgruber. AMREIN EN GIN EERIN G Messaging & Gr oupwar e Solutions Verschlüsselungs sselungs- verfahren Mario Leimgruber AMREIN EN GIN EERIN G Messaging & Gr oupwar e Solutions Varianten - Symetrisches Verfahren - Asymetrische Verfahren - Hybrid Verfahren Symmetrische

Mehr

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0. Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Secure Shell (ssh) Thorsten Bormer 27.01.2006

Secure Shell (ssh) Thorsten Bormer 27.01.2006 27.01.2006 1 Einführung 2 Theoretischer Hintergrund Verschlüsselung Authentifizierung Datenintegrität 3 Funktionsweise von ssh 4 ssh in der Praxis Syntax der Clients Anwendungsbeispiele Was ist SSH? ssh

Mehr

SSH. Die Secure Shell am Beispiel von OpenSSH. Dirk Geschke. Linux User Group Erding. 26. Oktober 2011

SSH. Die Secure Shell am Beispiel von OpenSSH. Dirk Geschke. Linux User Group Erding. 26. Oktober 2011 SSH Die Secure Shell am Beispiel von OpenSSH Dirk Geschke Linux User Group Erding 26. Oktober 2011 Dirk Geschke (LUG-Erding) SSH 26. Oktober 2011 1 / 18 Gliederung 1 Historisches 2 Details 3 Keys 4 SSH-Optionen

Mehr

(Prüfungs-)Aufgaben zum Thema Scheduling

(Prüfungs-)Aufgaben zum Thema Scheduling (Prüfungs-)Aufgaben zum Thema Scheduling 1) Geben Sie die beiden wichtigsten Kriterien bei der Wahl der Größe des Quantums beim Round-Robin-Scheduling an. 2) In welchen Situationen und von welchen (Betriebssystem-)Routinen

Mehr

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen

Linux & Security. Andreas Haumer xs+s. Einsatz von Linux in sicherheitsrelevanten Umgebungen Linux & Security Andreas Haumer xs+s Einsatz von Linux in sicherheitsrelevanten Umgebungen Einführung Netzwerksicherheit wichtiger denn je Unternehmenskritische IT Infrastruktur Abhängigkeit von E Services

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

IP Telefonie Sicherheit mit Cisco Unified Communications Manager

IP Telefonie Sicherheit mit Cisco Unified Communications Manager IP Telefonie Sicherheit mit Cisco Unified Communications Manager Dipl. Ing. (FH) Thomas Ströhm Friday, November 09, 2007 Überblick Security Herausforderungen der IP-Telefonie Einsatz von Secure RTP mit

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Sicherer Netzzugang im Wlan

Sicherer Netzzugang im Wlan PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.

Mehr

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL

Protokolle. Konrad Rosenbaum, 2006/7 protected under the GNU GPL & FDL TCP/IP: Standard Protokolle Konrad Rosenbaum, 2006/7 DNS - Domain Name System hierarchische, global verteilte Datenbank löst Namen in IP-Adressen auf Host hat einen primären Nameserver, der Fragen selbst

Mehr

HOBLink VPN 2.1 Gateway

HOBLink VPN 2.1 Gateway Secure Business Connectivity HOBLink VPN 2.1 Gateway die VPN-Lösung für mehr Sicherheit und mehr Flexibilität Stand 02 15 Mehr Sicherheit für Unternehmen Mit HOBLink VPN 2.1 Gateway steigern Unternehmen

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de

Rosa Freund SSL/TLS 26.10.2005 SSL/TLS 26.10.2005. Institut für Mathematik, TU Berlin. Rosa Freund -- rosa@pool.math.tu-berlin.de 1 SSL/TLS 26.10.2005 Institut für Mathematik, TU Berlin Rosa Freund -- rosa@pool.math.tu-berlin.de 2 Übersicht Einführung SSL vs. TLS SSL: Anwendung und PKI SSL Protokoll: Record Protocol und Handshake

Mehr

Sichere Anbindung von beliebigen Standorten

Sichere Anbindung von beliebigen Standorten Sichere Anbindung von beliebigen Standorten Vortrag im Rahmen der Veranstaltung: Erfolgsfaktor IT-Sicherheit - Wer will erst aus Schaden klug werden? Veranstalter: IHK-Potsdam 16. 08.2006 Christian Schubert

Mehr

NCP Secure Enterprise SSL- VPN

NCP Secure Enterprise SSL- VPN Infoblatt NCP Secure Enterprise SSL-VPN-Lösung NCP Secure Enterprise SSL- VPN Die Lösung Unter dem Anspruch Secure Communications bietet NCP mit der Secure Enterprise Solution eine ganzheitliche VPN-Softwarelösung

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

VPN Client installieren und starten

VPN Client installieren und starten Netzzugang VPN steht für Virtual Private Network und ist für all diejenigen gedacht, die mit ihren Rechnern über einen beliebigen Internet-Zugang von ausserhalb auf spezielle Dienste der Universität Bielefeld

Mehr

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3

Mainframe Internet Integration. Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013. Java Connection Architecture Teil 3 UNIVERSITÄT LEIPZIG Mainframe Internet Integration Prof. Dr. Martin Bogdan Prof. Dr.-Ing. Wilhelm G. Spruth SS2013 Java Connection Architecture Teil 3 CICS Transaction Gateway el0100 copyright W. G. Spruth,

Mehr