Kryptografie Angriffe auf Protokolle Ausarbeitung. Johannes Denck Dirk Rachholz Christian Thorentz MM Januar 2005

Größe: px
Ab Seite anzeigen:

Download "Kryptografie Angriffe auf Protokolle Ausarbeitung. Johannes Denck Dirk Rachholz Christian Thorentz MM 2001 03. Januar 2005"

Transkript

1 Kryptografie Angriffe auf Protokolle Ausarbeitung Johannes Denck Dirk Rachholz Christian Thorentz MM Januar

2 INHALTSVERZEICHNIS 2 Inhaltsverzeichnis 1 Einleitung Definition Protokolle Angriffsarten Grundlagen der Netzwerktechnik OSI - Referenzmodell Netzwerk - Topologien Angriffe durch Abhören von Datenübertragungen Informationsgewinnung durch Sniffen Nutzen der erhaltenen Informationen Rückrechnung von Schlüsseln am Beispiel von WEP Lösungsansätze Allgemeine (VLAN, SSL, HTTPS,...) Spezielle (SSH, SFTP, IPSec) Beispielszenarien FTP- Sniffen Man in the middle Literaturverzeichnis 21

3 EINLEITUNG 3 1 Einleitung 1.1 Definition Protokolle allgemein: Im Allgemeinen wird ein Protokoll als eine Vereinbarung über den geordneten Ablauf einer Kommunikation (vgl. o.v.: Duden, 1993, S. 555) definiert. Auch die Kommunikation von Agenten mit Servern bzw. Agenten untereinander wird durch Protokolle geregelt. Diese geben z.b. vor, dass einige Aktionen nur in Kombination mit anderen Aktionen oder evtl. gar nicht ausgeführt werden dürfen (vgl. Dr. Iwanowski, Sebastian: Verteilte Systeme, 2004, S. 24). Die Aufgabe eines Protokolls ist es nun bestimmte Aktionen zu Transaktionen zusammen zu fassen, um so die Interaktion von Agenten zu regeln. Alle Aktionen besitzen eine Transaktions- und Ausführungsnummer. Die Transaktionsnummer wird auch Conversation-ID genannt. Zur fehlerfreien Identifikation von Aktionen handelt es sich bei der Transaktionsnummer um eine eindeutige Identifikationsnummer. Die Ausführungsnummer hingegen stellt die Stellung einer Aktion innerhalb des Protokolls dar. Wird nun eine Transaktion entgegengesetzt der Protokolldefinition nicht fehlerfrei beendet, werden alle bis zu dem Zeitpunkt vorgenommenen Aktionen wieder aufgehoben. Die Transaktion wird also rückgängig gemacht. Ziel ist es also Regeln bzw. Abläufe zu definieren, nach denen die Interaktion zwischen Agenten abläuft. Die Menge der möglichen Nachrichten, als auch deren syntaktischer Aufbau, die bei der Kommunikation ausgetauscht werden, sind als Sprechakttypen bzw. Communication-Acts definiert. Eine weitere Aufgabe von Protokollen besteht in der Gewährleistung von Kohärenz. Unter Kohärenz versteht man, wie gut Agenten zusammen arbeiten. Ziel eines Protokolls ist es also auch einen möglichst hohen Grad an Kohärenz zu erreichen. Netzwerkprotokoll: Ein Netzwerkprotokoll ist eine exakte Vereinbarung, nach der Daten über ein Computernetzwerk ausgetauscht werden. Eine solche Vereinbarung kann z.b. lauten: Zunächst schickt Computer 1 die Zeichenfolge HELLO, anschließend schickt Computer 2 seine Adresse zurück, darauf sendet Computer 1 ein bestimmtes Kommando etc. Mit Hilfe solcher Protokolle können Computer oder andere digitale Geräte zahlreiche Funktionen ausführen, z.b. Daten fehlerfrei zu einem anderen Computer befördern, s verschicken, Web-Seiten laden, etc. Diese Funktionen bauen zum Teil aufeinander auf. So löst beispielsweise das Protokoll TCP das Problem einer fehlerfreien Datenübertragung zu einem anderen Rechner. Das Protokoll SMTP zum Übermitteln von s benötigt selbst wiederum die Funktion, ein paar Zeichen zum anderen Rechner zu schicken und verwendet hierzu TCP. Diese Schichtung der Protokolle wird mit Hilfe des OSI-Modells dargestellt. Beispiele für Netzwerkprotokolle sind die Internet-Protokolle (siehe auch TCP/IP-Referenzmodell) oder die Protokolle der AppleTalk-Familie. In der Computertechnik gibt es noch eine Vielzahl anderer Protokolle (hier muss es sich nicht immer um Netzwerkprotokolle handeln). Auch der Austausch von Daten zwischen CPU und RAM oder zwischen verschiedenen Peripheriegeräten wird durch Protokolle geregelt. Kryptographische Protokolle sind Protokolle, bei denen kryptographische Transformationen der Nachrichten ausgeführt werden. Sie kommen in Betracht, sobald in einem offenen System eine der Grundforderungen der Verlässlichkeit verlangt wird: Echtheit Verbindlichkeit Vertraulichkeit Einmaligkeit. Kryptographische Protokolle können bekanntlich nicht die Verfügbarkeit schützen.

4 EINLEITUNG Angriffsarten Im Allgemeinen unterscheiden wir zwei verschiedene Arten von Angriffen, zum Einen den passiven, zum Anderen den aktiven Angriff. Der passive Angriff, der schwer zu entdecken ist, dient dem Angreifer zur Informationsbeschaffung. Es handelt sich hierbei um eine Observierung. Im Kommunikationsbeispiel ist ein solcher Angriff durch das Abhören der Kommunikation gegeben. Beim aktiven Angriff macht sich der Angreifer wirklich am Protokoll zu schaffen, indem er versucht, es zu seinen Gunsten zu verändern. Hierzu stehen dem Angreifer eine ganze Reihe von Möglichkeiten zur Verfügung, Informationen abändern, löschen, veraltete wieder in Umlauf bringen usw.. Aktive Angriffe könnten aber auch den Zusammenbruch des gesamten Protokolls zum Ziel haben. Es ist zwar schwer die Protokolle so abzusichern, dass keinerlei Angriffe Aussichten auf Erfolg haben, aber dieses Ziel sollte man sich immer wieder vor Augen halten, um den erreichten suboptimalen Zustand weiter ans Optimum zu verschieben. 1.2 Grundlagen der Netzwerktechnik OSI - Referenzmodell Das OSI-7-Schichtenmodell ist ein Referenzmodell für herstellerunabhängige Kommunikationssysteme. OSI bedeutet Open System Interconnection (Offenes System für Kommunikationsverbindungen). Die Schichteneinteilung erfolgt mit definierten Schnittstellen. Einzelne Schichten können angepasst oder ausgetauscht werden. Die Schichten 1..4 sind transportorientierte Schichten. Die Schichten 5..7 sind anwendungsorientierte Schichten. Das Übertragungsmedium ist nicht festgelegt. Die verschiedenen Schichten 1- Die Bitübertragungsschicht Die Bitübertragungsschicht (engl. Physical Layer) löst die Probleme der Übertragung von Datenbits über physikalische Medien. Dies beginnt bei den Spezifikationen bestimmter Übertragungsmedien (Kupferkabel, Lichtwellenleiter, Stromnetz, Luft etc.), der Definition von Steckverbindungen u.s.w. Darüber hinaus muss auf dieser Ebene gelöst werden, auf welche Art und Weise überhaupt ein einzelnes Bit übertragen werden soll. Was ist damit gemeint? Nun, wie wir wissen, baut die Informatik auf dem alles entscheidenden Unterschied zwischen 0 und 1, zwischen wahr und falsch auf. Diese Informationseinheit nennen wir Bit, und es steht ausser Frage, dass wir nichts Sinnvolles übertragen könnten, wenn wir nicht die Möglichkeit hätten, 0 und 1 zu übertragen. Selbstverständlich sind dem Übertragungsmedium selbst, z.b. einem Kupferkabel im Falle elektrischer Übertragung, oder auch der Luft im Falle von Funkübertragung, die Werte 0 und 1 unbekannt. Für jedes Medium muss daher eine Codierung dieser Werte gefunden werden, beispielsweise ein Stromimpuls von bestimmter Spannung oder eine Funkwelle mit bestimmter Frequenz, jeweils bezogen auf eine bestimmte Dauer. Insgesamt können wir sagen, dass die Bitübertragungsschicht zu großen Teilen mechanische und elektrotechnische Probleme löst. Dies bedeutet jedoch nicht, dass wir keine weiteren Kenntnisse über diese Schicht zu haben brauchen. Durch die Wahl einer bestimmten hardwaretechnischen Lösung werden häufig bereits viele Eigenschaften und Einschränkungen des Netzwerkes festgelegt, die sich später nicht mehr ändern lassen. Falsche Entscheidungen können hier Unsummen

5 EINLEITUNG 5 von Geld verschlingen, weil häufig ein gro ser Teil der Hardware durch anderes Material ersetzt werden muss. Verschiedene Netztypen wie Ethernet, Token Ring und andere haben ihre Wurzeln meist tief in Schicht 1 und sind eng mit bestimmten hardwaremässigen Entscheidungen verbunden. 2- Die Sicherungsschicht Während Schicht 1 lediglich einen rohen Strom an Bits kennt, werden die Daten in der Sicherungsschicht (engl. Data-Link Layer) zu sogenannten Frames (Datenrahmen) zusammengefasst. Dabei steht jeweils eine bestimmte Bitfolge für den Beginn eines Frames, eine andere für dessen Ende. Innerhalb eines Frames können weitere Steuerinformationen abgelegt werden. Ein Frame umfasst typischerweise einige hundert bis einige tausend Bytes. Auf das Senden eines Frames folgt die Bestätigung des Empfängers durch einen Bestätigungsrahmen (Acknowledgement Frame), welcher den korrekten Empfang eines Datenrahmens quittiert. Sowohl beim Senden eines Frames als auch beim Senden der Bestätigung kann es zu Fehlern kommen. Es kann auch geschehen, dass der Empfänger vom Sender (oder von mehreren Sendern) mit Daten überflutet wird, so dass er die Menge der gesendeten Pakete nicht mehr ordnungsgemäss empfangen und quittieren kann. Auch diesem Problem, bekannt unter dem Stichwort Flusskontrolle, wird bereits auf der Sicherungschicht begegnet. Im Vergleich mit der unstrukturierten Bitübertragungsschicht ist damit bereits ein erhebliches Mass an Übertragungssicherheit gegeben, das übrigens häufig auch von erfahrenen Administratoren und Entwicklern unterschätzt wird. Der Grund für diese Unterschätzung ist vermutlich darin zu suchen, dass auch in höheren Schichten häufig noch Sicherheitsmechanismen verwendet werden, was der Sicherungsschicht in gewisser Weise das Misstrauen ausspricht. Nichtsdestotrotz kommt man für viele Anwendungen auch ohne weitere Sicherungsmechanismen aus, was dafür spricht, dass die Sicherungsschicht durchaus bereits hervorragende Arbeit leistet. 3- Die Vermittlungsschicht Bislang haben wir den Horizont unseres Nachbarrechners nicht überschritten. Dieser Schritt wird erst ab der Vermittlungsschicht vollzogen. In den seltensten Fällen wollen wir in einem Netzwerk tatsächlich nur mit unserem physischen Nachbarrechner kommunizieren. Um genau zu sein, wissen wir häufig garnicht, wo der Rechner, auf dem unsere Nachricht landen wird oder von dem wir unsere Daten beziehen, überhaupt lokalisiert ist. Automatisch stellt sich die Frage, wie unser Datenpaket seinen Weg zum eigentlichen Bestimmungsort finden soll. Die Problematik wird nicht einfacher, wenn wir uns vergegenwärtigen, dass ein Paket auf seinem Weg womöglich durch viele verschiedene Teilnetze hindurchgeleitet werden muss. Diese Netze gehören uns nicht, und wir können auch nicht ahnen, ob es gerade Sinn macht, das eine oder das andere Teilnetz zu bevorzugen, weil dort vielleicht gerade weniger Verkehr ist. Probleme dieser Art, die man unter dem Stichwort Routing zusammenfassen kann, werden in der Vermittlungsschicht (engl. Network Layer) gelöst. Beim Durchqueren von fremden Teilnetzen können vielerlei Aufgaben und Probleme entstehen. Ein wichtiger Faktor ist sicher das Finden der richtigen Route in Fällen, in denen die Route dynamisch ermittelt wird. Bei Datenübertragungen über das Internet ist dies eher die Regel als die Ausnahme. Man kann davon ausgehen, dass beispielsweise im Verlaufe eines Downloads ein Teil der übertragenen Daten eine ganz andere Route genommen hat als ein anderer Teil. Die Wahl der Route obliegt sogenannten Routern, die man sich - einfach gesagt - wie Lotsen zwischen den unzähligen Teilnetzen vorstellen kann. Auch Linux-Rechner können als Router eingesetzt werden. 4- Die Transportschicht Auch wenn Schicht 3 bereits dafür sorgt, dass Daten den eigentlichen Zielrechner erreichen, können wir noch nicht wirklich von einer Kommunikation zwischen den Rechnern reden. Was bisher geschehen ist, können wir mit dem Landen eines Briefes im Briefkasten vergleichen: Der Brief hat sein Ziel erreicht, doch die eigentliche Information will noch gelesen und möglichst auch beantwor-

6 EINLEITUNG 6 tet werden. Eine echte sogenannte Ende-zu-Ende-Kommunikation beginnt erst ab Schicht 4, der Transportschicht (engl. Transport Layer). Kommunikation muss zwischen Partnern stattfinden, die sich verstehen können. Nun hausen in einem Rechner üblicherweise Unmengen von Applikationen und Prozessen, und es stellt sich automatisch die Frage, für wen die empfangene Nachricht eigentlich bestimmt ist. Möglicherweise ist auch der adressierte Partner augenblicklich gar nicht verfügbar - sei es, weil der Prozess gerade anderweitig beschäftigt ist, weil er hängt oder gar nicht gestartet wurde. In jedem Fall muss die Kommunikation an einen bestimmten Dienst gekoppelt werden, wenn sie erfolgreich sein soll. Irgendjemand muss das Gespräch entgegennehmen. Es wäre freilich auch sinnvoll, wenn der Sender über den Empfang der Daten eine Rückmeldung erhielte - insbesondere dann, wenn es sich um wichtige Daten handelt. Schicht 4 bietet diese Möglichkeit an und stellt somit gewissermassen einen weiteren Sicherheitsmechanismus gegenüber der Low-Level-Sicherung der Schicht 2 zur Verfügung. Der Preis für diese Sicherheit wird in jedem Fall eine langsamere Kommunikation sein, denn auch das Versenden und der Erhalt von Bestätigungen will besorgt sein. Wenn es auf schnelle Verbindungen ankommt, kann das Versenden von Bestätigungen auch eher unerwünscht sein und muss daher nicht erfolgen. Stellen wir also nochmals in den Vordergrund, was die Transportschicht im Wesentlichen erreicht: Sie stellt eine Ende-zu-Ende-Verbindung her und ermöglicht damit erst die eigentliche Kommunikation zwischen zwei Partnerprogrammen auf 2 verschiedenen Rechnern. Das Öffnen einer solchen Verbindung ermöglicht nun beispielsweise eine sogenannte Sitzung Die Sitzungsschicht Eine Sitzung lebt von geordnetem Dialog. Wenn alle gleichzeitig reden, kann der Erfolg einer Sitzung fraglich sein. Tatsächlich haben viele Netzverbindungen Sitzungscharakter, d.h. die Kommunikation verläuft nicht nur in eine Richtung, sondern muss geregelt werden, da es sonst zu Konfusionen kommen kann. Eine solche Dialogsteuerung wird auf der Sitzungsschicht (engl. Session Layer) bereitgestellt. Zu den Aufgaben, die dabei anfallen, gehören der Auf- und Abbau von Sitzungen, Vereinbarungen über den Sitzungsverlauf, das Setzen von Sicherungspunkten bei Datenübertragungen (um bei Störungen die Übertragung an einem solchen Sicherungspunkt wieder aufnehmen zu können) usw. 6- Die Darstellungsschicht Verschiedene Endsysteme stellen bestimmte häufig verwendete Elemente auf verschiedene Weise dar. Die Darstellung von Datentypen wie Zeichenketten oder Ganzzahlen, von Dateien, von Steuerzeichen für den Drucker und vieles andere variieren von System zu System, und da Anwendungen meist mit solchen Codierungen (und nicht etwa mit reinen Bitfolgen) kommunizieren, ist es gerechtfertigt, eine Standardcodierung für das Netz zu verwenden. Diese Standardcodierung wird von der Darstellungsschicht (engl. Presentation Layer) erzeugt bzw. beim Empfang in die interne Darstellungsform des Computers konvertiert. Zu den Aufgaben, die dabei anfallen, gehört auch die Komprimierung oder Verschlüsselung von Daten, die im heutigen Datenverkehr eine wichtige Rolle spielt. 7- Die Anwendungsschicht Schicht 1 ist von der Hardware nicht zu trennen, obwohl ihr die Hardware selbst nicht angehört. Ebenso, nur mit Perspektive auf die Anwendungsprogramme, verhält es sich mit Schicht 7. Die Aufgabe dieser Schicht lässt sich nicht wirklich auf den Punkt bringen, da für verschiedene häufige Anwendungsfälle auch ganz verschiedene Funktionen bereitgestellt werden. Die Anwendungsschicht (engl. Application Layer) stellt Protokolle für häufige Anwendungsfälle zur Verfügung, und gewährleistet, dass sich die Anwendungen auch auf unterschiedlichen Endsystemen erwartungsgemä s verhalten. Besinnen wir uns auf den Begriff Protokoll: Das Protokoll eines Staatsbesuches beispielsweise legt exakt fest, in welcher Reihenfolge welche Handlungen voll-

7 EINLEITUNG 7 zogen werden, vom ersten Empfang am Morgen bis zum abendlichen Dinner. Solchen Protokollen sind wir bereits in niedrigeren Schichten begegnet, doch dort dienten sie nahezu ausschließlich der zuverlässigen Übertragung der Datenpakete. Auf Anwendungsebene interessieren uns nicht mehr die einzelnen Pakete, sondern grössere inhaltliche Einheiten, die je nach Anwendung variieren können. Bleiben wir einmal bei dem Vergleich mit einem Staatsbesuch: Dem hohen Regierungsvertreter werden beim Empfang die Hände geschüttelt, und die Fahnen der Nationen wehen einmütig im Wind. Schön wäre es doch auch, wenn wir zum Empfang auf einem anderen Rechner eine Willkommensmeldung erhielten, in netten und informativen Worten auf unser Terminal geschrieben. Doch selbstverständlich kann sich das fremde System nicht darum kümmern, welchen Terminaltyp wir gerade benutzen - und davon gibt es Hunderte! Und jedes Terminal benutzt seinen eigenen Satz von Steuerzeichen. Die Willkommensmeldung würde ein unverständliches Chaos auf unserem Bildschirm auslösen, wenn sie nicht speziell für unser verwendetes Terminal umgesetzt würde. Auch dies gehört zu den Aufgaben der Anwendungsschicht. Im Verlaufe des Staatsbesuches müssen wichtige Dinge besprochen werden. Bestimmte Informationen müssen erfragt, andere sollen vermittelt werden. So gehören beispielsweise auch zu einer ganz bestimmte Informationen, ohne die eine nicht vollständig ist: wie z.b. ein Subject, eine Absenderadresse, eine Zieladresse und auch ein Endezeichen, um zu ermitteln, wann der Textkörper beendet ist. Solche Teile eines Protokolls, die freilich von Anwendung zu Anwendung stark variieren können (je nachdem, welche Information gerade erfragt bzw. vermittelt werden soll) werden für häufige Anwendungen auf Schicht 7 festgelegt Netzwerk - Topologien Die Struktur des Zusammenschlusses mehrere Stationen (Nodes) zu einem Netz wird als Topologie des Netzes bezeichnet. Diese lässt sich durch die Graphentheorie beschreiben. Hierbei stellen die Stationen die Knoten sowie die Verbindungen unter ihnen die Kanten dar. Obwohl der Begriff Topologie abstrahiert von der verwendeten Leitungs- und Verbindungstechnik zu sehen ist, wird durch die Wahl der Leiter die Topologie des Netzes meistens schon implizit festgelegt. Aus der Netztopologie lassen sich bereits Leistungs- und Stabilitätsparameter des Netzes ableiten: Möglichkeiten und Verhalten zur bzw. bei Skalierung des Netzes sowie die hierbei anfallenden Kosten. Reaktion des Netzes auf den Ausfall einer Station oder Leitung. Anzahl der Leitungen, die Ausfallen dürfen, ohne das eine Station von der Kommunikation abgeschlossen wird (Zusammenhangsgrad). Einsetzbare Methoden zur Wegefindung (Routing). Zur fehlerfreien Kommunikation notwendiger Protokolloverhead. Die Bus-Topologie: Das Bussystem besteht aus einem durchgängigen Kabel, dessen Enden von Widerständen terminiert sind. Alle angeschlossenen Rechner sind über dieses Kabel ver- bunden und haben somit auf jede Nachricht auf dem Bus direkten Zugriff. Die Erweiterung des Busses um weitere Stationen sowie seine maximale Länge werden durch die verwendeten Zugriffsprotokolle und Kabel begrenzt. Zudem ist eine Erweiterung des Busses bzw. das Zuschalten weiterer Stationen mit einem kurzzeitigen Ausfall des Netzes verbunden. Der Ausfall einzelner Stationen beeinträchtigt die Funktion des Netzes nur in sofern, als die betroffene Station nicht mehr erreichbar ist. Eine Beschädigung des Busses, egal an welcher Stelle, oder der Ausfall der Terminierung an einem Bus-Ende, bedeutet jedoch den Abbruch der gesamten Kommunikation unter den angeschlossenen Stationen.

8 EINLEITUNG 8 Abbildung 1: Bustopologie Die Stern-Topologie: Bei einem Stern-System sind die einzelnen Rechner mit einem zentralen Server verbunden. Dadurch steht den einzelnen PC s die Gesamtleistung des ganzen Busses zur Verfügung. Durch unterschiedliche Schaltungsarten des zentralen Knotens (z.b. Switch(SW)), können andere Topologien nachgebildet werden. Hierbei wird der Bus oder Ring innerhalb des zentralen Knotens konzentriert. Die Vorteile dieser Konzentration liegen in der einfachen Erweiterbarkeit des LANs sowie seiner Stabilität in Hinblick auf den Ausfall einzelner Segmente. So wird bei Beschädigung einzelner Leiter allein die über diese verbundene Station gestört, jedoch nicht das gesamte LAN. Wie die Vorteile der Stern-Topologie liegt jedoch auch ihr fundamentaler Nachteil in der Zentralisierung. Ein Ausfall des zentralen Knotens bedeutet den Zusammenbruch der gesamten Kommunikation auf dem Netz. Abbildung 2: Sterntopologie Die Ring-Topologie: Bei der Ring-Topologie ist jede Station mit ihren beiden Nachbarstationen verbunden. Eine Station empfängt die im Ring übertragenen Nachrichten und reicht sie an den Nachbarn weiter. Der Nachrichtenumlauf im Ring ist dabei gerichtet.da der Ausfall eines Segmentes den Ausfall des gesamten Netzes bedeuten würde, wird der Ring meistens doppelt ausgelegt und unterteilt sich damit in einen primären und einen sekundären Ring. Bei Ausfall eines Segmentes kommt es zu einer Rekonfigurierung. Die beiden offenen Ringe werden zu einem primiären Ring zusammengeschlossen. Das Netz bleibt, wenn auch nur mit halber Bandbreite, aktiv. Ein weiterer Segmentausfall führt zum Zerfall des Ringes in zwei funktionsfähige Teile. Wie beim Ethernet mit einer Bus-Verkabelung nach 10Base2 bedeutet das Einbringen einer weiteren Station eine kurzzeitige Netzunterbrechung.Der typische Vertreter für eine Doppelring Technologie ist

9 EINLEITUNG 9 FDDI (Fiber Distributed Data Interface). Der von IBM spezifizierte Token Ring folgt physikalisch gesehen hingegen der Stern-Topologie. Der eigentliche Ring wird in einem zentralisierten Verteiler nachgebildet. Abbildung 3: Ringtopologie Die Baum-Topologie: Das Baumsystem ist sozusagen die Summe verschiedener Bussysteme, die miteinander in Verbindung stehen. Es ist sowohl möglich, die Verbindungen der Busse als Rechner (Gateways) zu realisieren, als auch direkte Kabelverbindungen zu nutzen (Nicht bei Thin- Ethernet). Abbildung 4: Baumtopologie Gemischte Topologien: In der Praxis wohl am meisten anzutreffen, sind die meisten großen Netzwerke gemischte Topologien. So sind etwa die Büros mit Bussystemen vernetzt, hängen aber Ihrerseits wieder gemeinsam an einem Ring. Die Knotenpunkte einer solchen Struktur nennt man Bridges oder Gateways. Vorsicht: Nicht alle Kabel sind für alle Systeme brauchbar.

10 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 10 2 Angriffe durch Abhören von Datenübertragungen 2.1 Informationsgewinnung durch Sniffen Das Ethernet, und somit auch große Teile des Internets, arbeiten nach dem CSMA/CD-Prinzip. Das heißt, dass jeder Rechner im Netzsegment alle Daten hört, auch die, die garnicht für ihn bestimmt sind. So wird grundsätzlich und konzeptbedingt das Abhören ( Sniffen ) von Paketen sehr leicht gemacht. Es gibt eine Reihe von Tools, die dieses ermöglichen. Um das Sniffen in Netzwerken zu erschweren ist es zum Beispiel möglich das Netzwerk auf ein geswitchtes Netzwerk umzustellen. In diesem Netzwerk befinden sich also nur noch Switches, anstatt Hubs. Vorteil ist, dass jetzt die Daten nur noch direkt zwischen dem Quell- u Zielrechner abgehört werden können. 2.2 Nutzen der erhaltenen Informationen Die beim Sniffen erhaltenen Daten sind für den Angreifer nur dann von Nutzen, wenn er leicht Informationen aus diesen Daten entschlüsseln kann, zum Beispiel Passwörter, -Adressen oder persönliche Daten. Um die übers Netzwerk verschickten Informationen vor Angreifern zu schützen, werden diese heutzutage meistens verschlüsselt gesendet. Die verwendeten Verschlüsselungsalgorithmen sind meist Teil der Sitzungsprotokolle. Ein Beispiel: Anstatt über telnet Remoteverbindungen zu anderen Rechnern zu halten, nutzt man heute für diesen Zweck ssh. 2.3 Rückrechnung von Schlüsseln am Beispiel von WEP Wired Equivalent Privacy (WEP) definiert im Rahmen des Standards IEEE eine Verschlüsselung für Funknetze, die eine ähnliche Abhörsicherheit wie bei kabelgebundenen Netzen sicherstellen soll. Die Standardangriffe auf verschlüsselte Funknetze nutzen einen Fehler im Design der WLAN- Verschlüsselung WEP aus und sammeln sogenannte schwache Initialisierungsvektoren, um damit den WEP-Schlüssel zu knacken. Für einen 104 Bit langen Schlüssel braucht man in der Praxis, bei spärlichem Netzwerkverkehr, Tage oder sogar Wochen. Im Detail: Abbildung 5: Erstellung eines verschlüsselten WLAN-Pakets Das Grundprinzip der WEP-Verschlüsselung zeigt das obenstehende Bild. Die Verschlüsselung erfolgt standardmässig mit dem RC4-Algorithmus der Firma RSA Security. RC4 ist ein sogenannter Stromverschlüselungsalgorithmus, der den Klartext über XOR (exklusives oder) mit einer Folge

11 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 11 von Pseudo-Zufallszahlen verknüpft. Zur Entschlüsselung genügt es, den Chiffretext mit denselben Pseudo-Zufallszahlen erneut über XOR zu verknüpfen. Den Zahlenstrom für die XOR-Verknüpfung liefert ein Pseudo-Zufallszahlengenerator, der mit dem RC4-Schlüssel initialisiert wird. Da der gleiche Schlüssel immer die gleiche Zahlenfolge liefert, kann der Empfänger damit die Pseudo-Zufallszahlen reproduzieren und das Paket entschlüsseln. Der Generator liefert zwar einen beliebig langen Datenstrom, mit dem man auch beliebig viele Pakete verschlüsseln könnte. Über die unzuverlässige Funkstrecke können jedoch Pakete verloren gehen, was zur Folge hätte, dass Sender und Empfänger aus dem Rhythmus geraten. Sie also plötzlich unterschiedliche Sequenzen aus dem Zahlenstrom verwenden. Deshalb muss WEP den Generator für jedes Paket neu initialisieren. Da aber die Verschlüsselung nicht jedesmal mit denselben Pseudozufallszahlen erfolgen darf, genügt der WEP-Schlüssel für diese Initialisierung nicht. Aus diesem Grund enthält jedes Paket einen eigenen, 24-Bit-langen Initialisierungsvektor (IV). Die Initialisierung des Generators erfolgt dann mit einer Kombination aus IV und WEP-Schlüssel. Damit der Empfänger seinen Generator gleich initialisieren kann, muss der IV in jedem Paket im Klartext enthalten sein. Der Angriff beruht darauf, dass manche IVs Rückschlüsse auf den verwendeten WEP-Schlüssel erlauben. Diese bezeichnet man als schwache IVs. Mit einer ausreichenden Zahl schwacher IVs lässt sich der WEP-Key ermitteln. Man benötigt für einen 104-Bit-Schlüssel typischerweise 3000 bis 5000 solcher IVs, die man auf voll ausgelasteten Netzen meist nach drei bis fünf Stunden gefunden hat. 2.4 Lösungsansätze Allgemeine (VLAN, SSL, HTTP,...) Virtual LAN In einem normalen LAN ist es schwer, den Datenstrom zwischen Hosts zu beschränken, da prinzipiell jeder Host mit jedem anderen kommunizieren kann. Dieses Problem wird akut, sobald Netzwerk Administratoren nicht mehr die absolute Kontrolle über alle Hosts in Ihrem Netz haben. Wenn z.b. Mitarbeiter Ihre eigenen Rechner im Firmennetz nutzen, ist es dringend erforderlich sicherheitsrelevante Bereiche des Netzwerkes logisch abzugrenzen, und damit die Unterteilung des LANs in Domänen voranzutreiben und diese mit verschiedenen Sicherheitsstufen zu versehen. Definition: Ein VLAN ist eine Gruppe von Netzknoten, die in einer autonomen, sicheren Domäne zusammengefasst sind. Kein Multicast- oder Broadcastverkehr ist in das VLAN hinein oder heraus möglich. Die Zugehörigkeit zu einem VLAN hängt nicht von der geografischen Lage des Netzknoten ab. Sie ist ausschliesslich durch Softwarekonfiguration bestimmt und kann sehr schnell geändert werden, wenn ein Knoten einer neuen Arbeitsgruppe zugeordnet werden soll. Statische VLANs (OSI Layer 1): Beim Layer 1 VLAN basieren die VLAN Zuordnungen auf dem Anschluss(Port) am Switch. Je nach Eingangsport des Frames gehört dieser Frame in das für den Switchport konfigurierte VLAN. Diese VLAN Variante ist am wenigsten rechenintensiv für den Switch,aber auf der anderen Seite sicher die verwaltungsaufwändigste für den Administrator. Bei einem Umzug müssen an 2 verschiedenen Orten Änderungen vorgenommen werden. Es ist jedoch nicht möglich, mehrere Clients die am selben Port eingesteckt sind, in verschiedene VLANs zu stecken. Eine Verbindung zwischen 2 VLANs ist mit einem Crossover-Kabel einfach möglich. Jedoch sind bei dieser Konfiguration keinerlei Schutzmechanismen möglich. VLAN X + Y sind dann verbunden. Es könnte also einfach ein grosses VLAN konfiguriert werden. Dynamische VLANs (OSI Layer 2): Die Zuordnung der Host zum VLAN in einem Layer 2 VLAN, orientiert sich am Layer 2,

12 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 12 also den MAC Adressen der Hosts. Dies ermöglicht eine Unternehmensweite VLAN Konfiguration, bei der die absolute Mobilität garantiert werden kann. Ein Layer 2 VLAN braucht jedoch schon einiges an Rechenkapazität. Die Liste welche MAC Adresse und VLAN gegenüberstellt, ist Unternehmensweit mindestens so gross wie Anzahl angeschlossene Geräte. Diese Tabelle zu durchsuchen kann recht lange dauern. Durch ein Zentrales Management kann hier der Verwaltungsaufwand um einiges gekürzt werden. Bei einem Umzug muss allerdings nichts geändert werden und es ist möglich eine MAC Adresse in mehrere VLANs zu tun. Jedoch gibt es auch hier Probleme bei der Verbindung unter verschiedenen VLANs. Dynamische VLANs (weitere Varianten): Es gibt auch VLANS bei denen die Zuordnung auf den IP-Adresses der Hosts, also auf OSI-Layer 3, basiert. Bei dieser Art von VLAN müssen Layer 3 Switches, welche man auch als multi-port Router bezeichnet, genutzt werden. Ebenso gibt es Weiterentwicklungen der VLAN Technologie, die auf OSI-Layer 4,5,6,7 beruhen. Diese werden softwareseitig realisiert und sollen in diesem Zusammenhang nicht weiter ausgeführt werden. Kommunikation zwischen VLANs: Für eine sinnvolle, geregelte und sichere Kommunikation zwischen VLANs muss ein Router eingesetzt werden. Nur mit einem Router ist es möglich Access-Listen zu nutzen, um spezielle Zugriffe zu erlauben bzw. zu verbieten SSL (HTTPS) Der Einsatz des Secure Socket Layer (SSL) Protokolls ermöglicht es, den Datenverkehr zwischen einem WWW-Server und dem WWW-Browser zu verschlüsseln. Die URL eines SSLfähigen WWW-Server ist an dem Präfix https:// zu erkennen. Der WWW-Server weist sich gegenüber dem WWW-Browser durch ein digitales Zertifikat aus. Der Benutzer kann anhand dieses Zertifikates entscheiden, ob er der Identität des WWW-Servers vertraut und sensitive Daten übertragen möchte. Auch Server für andere Internet-Dienste (z.b. IMAP bzw. POP -server) können die verschlüsselte SSL-Übertragung mit entsprechenden digitalen Zertifikaten nutzen. Es gibt verschiedene SSL-Varianten, die zum Teil auch mit TLS (Transport Layer Security) bezeichnet werden. Zur Verschlüsselung der Daten bei einer SSL-Verbindung kommt meist das Verschlüsselungs- Verfahren RC4 zum Einsatz. Die kryptografische Sicherheit dieses Algorithmus ist abhängig von der Länge des Schlüssels, der zur Verschlüsselung eingesetzt wird. Aufgrund der USamerikanischen Exportbeschränkungen für kryptografische Software erlaubten früher die Standard-Browser i.a. nur Schlüssellängen von 40 Bit RC4. Aktuelle Browser ermöglichen die Verschlüsselung mit 128 Bit RC4, was bei den derzeitigen technischen Möglichkeiten als unangreifbar gilt. Beim Aufbau einer SSL-Verbindung generiert der WWW-Browser einen zufälligen Schlüssel (Session Key), der für die Dauer der Verbindung zur Verschlüsselung genutzt wird. Damit die SSL-Verbindung nicht abgehört werden kann, muss zunächst dieser Session Key auf einem sicheren Weg zum WWW-Server übertragen werden. Um dies zu gewährleisten, wird der Session Key seinerseits mit einem Public Key Verfahren, meist RSA, verschlüsselt. Dazu präsentiert der WWW-Server seinen öffentlichen RSA-Schlüssel; der WWW-Browser verschlüsselt damit den Session Key und übermittelt das Ergebnis wieder dem WWW-Server. Erst danach wird die eigentliche Datenkommunikation aufgenommen. Wesentlich für die Sicherheit des beschriebenen Verfahrens ist natürlich die Authentizität des öffentlichen Schlüssels des WWW-Servers. Ein potenzieller Angreifer könnte in einem Täuschungsversuch einen fiktiven öffentlichen RSA-Schlüssel darbieten und auch im weiteren die Rolle des echten WWW-Servers übernehmen. Die Kommunikation würde dann zwar verschlüsselt stattfinden, der Angreifer könnte aber trotzdem mit Hilfe des ihm bekannten Session Key den Klartext ermitteln. Um derartige Täuschungsversuche zu erschweren, trägt der öffentliche Schlüssel des WWW-Servers zusätzliche Informationen, die seine

13 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 13 Identität (Name des Servers, Organisation, die den Server betreibt,...) beschreiben. Die Integrität dieser Informationen ist durch eine digitale Signatur geschützt; alles zusammen wird als X.509-Zertifikat bezeichnet. Dieses Zertifikat wird von einer Certificate Authority (CA), einer Zertifizierungsstelle, nach der Prüfung der Identität des Server-Betreibers ausgestellt. Ein WWW-Browser kann also den öffentlichen Schlüssel eines ihm unbekannten WWW- Servers als authentisch erkennen, wenn er die digitale Signatur der CA überprüfen kann. Dazu benötigt er den öffentlichen Schlüssel der CA. Die öffentlichen Schlüssel einiger kommerzieller CAs sind den Standard-Browsern bereits bekannt; Zertifikate von WWW-Servern, die von diesen CAs signiert sind, werden daher unmittelbar akzeptiert. Dies ist besonders bequem für die Benutzer, und die CAs müssen daher für die Aufnahme ihrer Zertifikate in die Standard-Browser viel Geld bezahlen. Es gibt jedoch zusätzlich die Möglichkeit, dem Browser die öffentlichen Schlüssel weiterer CAs bekanntzumachen, so dass auch deren Zertifikate überprüft werden können Spezielle (SSH, SFTP, IPSec) Telnet und SSH Telnet ist dazu gedacht, einen fernen Rechner im Internet so zu bedienen, als säße man direkt davor. Telnet ist damit eine einfache Lösung für Teleworker. Und diese Lösung ist schon wesentlich älter als der Begriff des Teleworkings. Telnet ist vor allem für Unix-Systeme gedacht. Es erlaubt das betriebssystemeigene login (Anmelden) eines Benutzers an einem ans Internet angeschlossenen Host-Rechner in Form eines rlogin (remote login). Das Anmelden ist nur möglich, wenn Sie Username und Passwort kennen, d.h. auf dem angewählten Host-Rechner als Benutzer eingetragen sind. Nach dem Einwählen erhalten Sie eine Unix-Shell (Eingabeaufforderung) und können auf dem entfernten Rechner Betriebssystembefehle eingeben, Programme starten usw. PC-Anwender, die nicht direkt mit der Verwaltung von Server-Rechnern im Internet zu tun haben, werden mit Telnet kaum in Berührung kommen. Es gibt jedoch auch für PC-Benutzer von Systemen wie MS Windows oder Macintosh Telnet-Clients. Diese Programme erlauben es, vom eigenen PC aus auf einem entfernten Host-Rechner zu arbeiten. Ohne Kenntnis der Befehle des Hostrechner-Betriebssystems ist ein solches Programm allerdings zwecklos. SSH (Secure Shell) ist eine Variante von Telnet - die bessere Variante, wie allmählich erkannt wird. Der Unterschied zu Telnet ist, dass bei SSH die Daten beim Arbeiten verschlüsselt übertragen werden. Das ist durchaus wichtig, da gerade beim Arbeiten auf einem entfernten Rechner häufig sensible Daten editiert werden, wie Konfigurationsdateien oder Passwörter. All diese Daten werden - auch wenn es einem beim Arbeiten kaum bewusst ist - über viele Rechner im Internet bis zum Zielrechner übertragen und können auf den Zwischenstationen mit etwas bösem Willen abgefangen werden. Manche modernere Telnet-Clients bieten mittlerweile auch das SSH-Protokoll an. Im Detail: Das bei SSH eingesetzte Verschlüsselungsverfahren ist ein so genanntes Public-Key-Verfahren. Hierbei werden zwei Paare von Schlüsseln verwendet. Der eine öffentliche Schlüssel dient zur Chiffrierung der Nachricht und nur mit dem zugehörigen privaten Schlüssel lässt sich aus der Nachricht wieder der Klartext gewinnen. Alle Verfahren nach diesem Schema werden als asymmetrisch bezeichnet. Das Prinzip der Public-Key-Verfahren beruht auf mathematische Einwegfunktionen. Ein oft bemütes Beispiel ist die Faktorisierung. Angenommen, Sie multiplizierten zwei relativ große Primzahlen miteinander. Die Rechnung dürfte relativ schnell vonstatten gehen. Nehmen Sie jetzt jedoch ein beliebiges Resultat eines Primzahlenmultiplikation her und versuchten ohne Kenntnis der beiden Faktoren dieselbigen zu berechnen, dann müssten Sie trotz

14 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 14 Computerhilfe vermutlich recht viel Zeit investieren. Sind die Faktoren groß genug, würden Sie an der Faktorisierung letztlich scheitern. Und genau solche Berechnungsvorschriften, wo die Hinrechnung einfach, die Rückrechnung allerdings schier unmöglich ist, werden zur Schlüsselerzeugung für asymmetrische Verfahren eingesetzt. Das von Rivest, Shamir und Adleman entwickelte RSA-Verfahren ist wohl der bekannteste Vertreter asymmetrischer Verfahren und ein Beispiel der Anwendung der Faktorierung zur Erzeugung der Schlüssel. Vorab wird die Schlüssellänge festgelegt. Je länger dieser ist, desto sicherer ist das Verfahren. Allerdings wird es auch langsamer, weshalb bspw. SSH 1024 Bit als Voreinstellung vorschlägt (ssh-keygen). Dieser Wert gilt als sicher und stellt bei heutiger Rechengeschwindigkeit keine Bremse dar. Die gewählte Schlüssellänge beeinflusst die Länge der beiden zu erzeugenden Primzahlen p und q. Jede muss mindestens halb so lang wie die Schlüssellänge sein. Die Erzeugung solcher Primzahlen wird per Zufallsgenerator mit anschließendem Primzahltest vorgenommen. Eine weitere kleine Primzahl größer 1, an die als einzige Bedingung gestellt wird, dass sie zu p 1 und q 1 teilerfremd ist, dient als Exponent e. Der private Schlüssel d berechnet sich aus d = 1mod(p 1)(q 1) Der öffentliche Schlüssel besteht aus dem Exponenten e und dem Produkt der beiden Primzahlen p q Zur Verschlüsselung wird der Klartext in Abschnitte unterteilt, die um eins kürzer sind als die Schlüssellänge. Ggf. muss der letzte Block aufgefüllt werden. Die Bitfolge eines Blocks wird als Zahl k interpretiert. Der Geheimtextblock ist der Rest der Teilung von k e durch p q. Die Rückgewinnung des Klartextes erfolgt über die blockweise Zerlegung des Geheimtextes. Der Klartextblock ist der Rest der Teilung von c d durch p q (c bezeichnet den Geheimtextblock). Hier lässt sich ein entscheidender Nachteil der Public-Key-Verfahren erahnen. Diese sind im Vergleich zu dem symmetrischen Verfahren sehr langsam. In der Praxis wird daher häufig mit einer Kombination aus beiden Verfahren gearbeitet. Der Sitzungsschlüssel wird hierzu per asymmetrischen Verfahren chiffriert und zwischen den Partnern ausgetauscht. Anschließend erfolgt die Verschlüsselung nach einem symmetrischen Verfahren mit dem zuvor getauschten Schlüssel. Genau dieses Vorgehen realisiert SSH. FTP und SFTP FTP basiert auf dem Client-Server-Modell für die Kommunikation zwischen Computern und steht für File Transfer Protocol. Es ist ein Internet-Dienst, welcher speziell dazu dient Daten zu bewegen, d.h.: sich auf einem bestimmten Server-Rechner im Internet einzuwählen, um von dort aus Dateien auf den eigenen Rechner zu übertragen (Download) oder eigene Dateien auf den Server-Rechner zu übertragen (Upload). Ferner bietet das FTP-Protokoll Befehle an, um auf einem entfernten Rechner Operationen durchzuführen, wie z. B. Verzeichnisinhalte anzeigen, Verzeichnisse wechseln, Verzeichnisse anlegen oder Dateien löschen. Bei der Anmeldung werden Benutzername und Kennwort im Klartext übertragen und können somit auf einfache Art und Weise erkannt werden. Bei einer FTP-Verbindung können die gesendeten Daten auf einen fremden Rechner entführt werden, so dass sie nicht an dem gewünschten Zielrechner ankommen. Von dem fremden Rechner können somit Daten auf den eigentlichen Rechner übertragen werden oder es können bereits vorhandene Daten eingesehen und bearbeitet werden. Dies stellt vor allem für die Übertragung firmeninterner Daten eine große Gefahr dar! Um sichere Verbindungen zu gewährleisten, ist die Verwendung von SFTP-Verbindungen ratsam. Bei diesen Dateiübertragungsprotokollen wird die Verbindung von Ihrem Rechner

15 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 15 zu dem FTP-Server verschlüsselt. Ihre Daten werden nun über diese verschlüsselte Verbindung (SSH-Tunnel) von und zu Ihrem Rechner transportiert. SFTP steht für Secure File Transfer Protocol. Das Secure File Transfer Protocol ist eine Verbesserung des FTP und sorgt für eine sichere Dateiübertragung über einen vertraulichen Datenstrom. Es ist das Standard-Dateiübertragungsprotokoll für die Verwendung mit den SSH Spezifikationen. Das SFTP-Protokoll dient in erster Linie zur Dateiübertragung, aber auch zum allgemeinen Zugang auf das Dateisystem des FTP-Servers. Das SFTP-Protokoll läuft über einen sicheren Kanal, so dass keine Kennwörter oder Datei Informationen im Klartext übertragen werden. Um sicher zu gehen, dass bei einer SFTP-Verbindung mit dem richtigen Server Daten ausgetauscht werden, übermittelt der SFTP-Server vor dem Aufbau der Verbindung einen kryptografischen Fingerprint seines öffentlichen Host Keys. Beim ersten Verbindungsaufbau ist dieser Key dem Client-Programm noch nicht bekannt und muss daher vor dem ersten Datenaustausch vom Benutzer bestätigt werden. Wenn Sie sich einmal mit einem FTP-Server verbunden haben und Sie sich sicher sind, dass dies wirklich der richtige Server ist, sollten Sie die Fingerprint-Informationen lokal speichern. So können Sie bei jeder neuen Verbindung testen, ob die Fingerprint-Informationen mit den gespeicherten übereinstimmen um sicher zu sein, dass niemand dazwischen ist. Fingerprints kommen bei verschiedenen Servern nur einmal vor und werden aus dem privaten Schlüssel des Servers generiert. IP und IPSec Das Internet Protokoll ist das weltweit meist genutzte Netzwerk Protokoll (OSI Layer 3). Es ermöglicht hierarchische Adressierung und dadurch überhaupt erst das Internet. Beim Entwurf des Standards wurden nicht alle Gesichtspunkte ausreichend berücksichtigt. Die Addressgröße von 4 Byte (IPv4) und die Sicherheitsaspekte sind heute nur noch knapp ausreichend. Wenn in Zukunft die Vernetzung weiter ansteigt, und irgendwann jedes technische Gerät eine Adresse benötigt, dann sind die folgenden Erweiterungen unverzichtbar. Um das Addressgrößeproblem zu lösen, wurde eine weitere IP Version (IPv6), mit 6 Adressbytes, entworfen. Im Rahmen des IPv6 Entwurfes wurde ebenfalls das IP Security Protocol Suite (IPSec) entwickelt und auch an IPv4 angepasst IPSec stellt also eine Erweiterung zum IP Protokoll dar und bietet grundlegenden Sicherheitsdienste, darunter Schutz und Vertraulichkeit, Authentifizierung, Integrität und Verschlüsselung der Daten. Diese Dienste werden in IP Authentication Header (AH) und Encapsulation Security Payload (ESP) zur Verfügung gestellt. IP Authentication Header wird für die Überprüfung der Integrität und Authentifizierung des Datenstromes von IP Paketen verwendet und kann auf zwei Arten eingesetzt werden: Im Transportmodus: Es werden nur die Daten der Transportschicht geschützt und nicht die IP Header. Das Orginal Datagramm wird aufgespalten und der AH eingefügt. Im Tunnelmodus: Der innere IP Header transportiert die tatsächlichen Quell- und Zieladressen, während der äußere IP Header die Adressen von Gateways enthält. Im Tunnelmodus schützt AH den gesamten inneren Bereich des Packets, also das gesamte Orginal einschließlich der IP Adressen, da ein neuer IP Header vor AH existiert. Encapsulation Security Payload wird eingesetzt, um Vertraulichkeit, Authentifizierung, und Datenintegrität zu ermöglichen. Im Transportmodus baut der Sender nur die Protokollinformationen der höheren Protokolle in den ESP-Bereich ein Im Tunnelmodus wird das komplette alte Packet inklusive Header in die ESP-Daten eingepackt und ein neuer IP-Header mit der Zieladresse generiert.

16 ANGRIFFE DURCH ABHÖREN VON DATENÜBERTRAGUNGEN 16 AH und ESP können getrennt und jeweils im Transport- und/oder Tunnelmodus gemeinsam genutzt werden. Beide Header bieten für sich einen gewissen Schutz. Am effektivsten sind sie jedoch nur zusammen.

17 BEISPIELSZENARIEN 17 3 Beispielszenarien 3.1 FTP- Sniffen Im folgendem Beispiel wird beschrieben wie Host1 mit Host2 eine Verbindung via FTP eingeht, die von Host3 an einem Punkt abgehört wird an dem alle Verbindungsdaten erreichbar sind. Abbildung 6: Netzwerkschema des Szenarios Dazu wird bei Host3 eine Sniffsoftware benötigt die ihm die abgehörten Protokolle dekodiert. In diesem Fall wurde das Tool Ethereal benutzt. Der Angreifer startet nun sein Sniffertool und wartet auf einen entsprechenden Mitschnitt der Netzwerkkommunkation. Host2 hat einen verfügbaren FTP-Server im Netz bereitgestellt. Host1 nimmt nun eine FTP-Verbindung mit Host2 auf(a), Host2 erfragt dann den Usernamen(b) und das Passwort(c), die ihm dann von Host1 mitgeteilt werden. Der Angreifer konnte alles Mitschneiden was er zum Eindringen auf den FTP-Server benötigt, da die Daten ungeschützt versendet wurden. Abbildung 7: FTP Verbindungsaufbau und Einloggen von Host1 auf Host2

18 BEISPIELSZENARIEN 18 Abbildung 8: Ansicht der mitgesnifften Daten einer FTP-Übertragung

19 BEISPIELSZENARIEN 19 Hier nun die mitgeschnittenen Ergebnisse einer SFTP- Verbindung. Alle wichtigen Daten wurden vor dem Versenden mit SSHv2 (d) kodiert und somit unkenntlich für den Angreifer. Abbildung 9: Ansicht der mitgesnifften Daten einer SFTP- Übertragung

20 BEISPIELSZENARIEN Man in the middle Hier ein Beispiel für einen aktiven Angriff. Beim Man in the middle - Angriff kann der Angreifer (Eve) das Programm SMBRelay benutzen, das ihm im Prinziep alle komplizierteren Schritte abnimmt. Bei diesem Szenario setzt sich der Angreifer grob betrachtet zwischen die beiden Kommunikationspartner (Alice und Bob) und gibt sich jeweils für den anderen aus (siehe abb. Man in the middle Schema). Damit die beiden Kommunikationspartner ihm das auch glauben Manipuliert der Angreifer z.b. die ARP- Tabelle. Eve Richtet nun einen manipulierten Server mit SMBRelay ein, der die IP-Adr. des originalen Servers simuliert. Nun versucht ein Client (Alice) auf den Ursprunsserver (Bob) zu zugreifen, nimmt aber mit Eve s manipulierten Server den Kontakt auf. Der Ursprüngliche Server ist so konfiguriert das er digital signierte SMB(Server Massage Block)-Kommunikation empfängt, das aber das von Eve benutzte Programm ausser Kraft setzt. Die LM bzw. NTLM-Hashs (Passwörter) werden aus der Kommunikation abgegriffen, und jetzt kann Eve eine Verbindung zur Relay-Adr. aufbauen und hat somit Zugriff auf die Ressourcen des Ursprungsservers (Bob). Der Angreifer hat bei dieser Methode mit seinem System die komplette Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Abbildung 10: Man in the middle Schema

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

TCP/IP-Protokollfamilie

TCP/IP-Protokollfamilie TCP/IP-Protokollfamilie Internet-Protokolle Mit den Internet-Protokollen kann man via LAN- oder WAN kommunizieren. Die bekanntesten Internet-Protokolle sind das Transmission Control Protokoll (TCP) und

Mehr

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes

Wie organisiert ihr Euer menschliches «Netzwerk» für folgende Aufgaben? an alle an ein bestimmtes an ein bestimmtes an alle an ein bestimmtes Computernetzwerke Praxis - Welche Geräte braucht man für ein Computernetzwerk und wie funktionieren sie? - Protokolle? - Wie baue/organisiere ich ein eigenes Netzwerk? - Hacking und rechtliche Aspekte.

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Internet - Grundzüge der Funktionsweise. Kira Duwe

Internet - Grundzüge der Funktionsweise. Kira Duwe Internet - Grundzüge der Funktionsweise Kira Duwe Gliederung Historische Entwicklung Funktionsweise: -Anwendungen -Rechnernetze -Netzwerkschichten -Datenkapselung -RFC -Verschiedene Protokolle (Ethernet,

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

SSL Algorithmen und Anwendung

SSL Algorithmen und Anwendung SSL Algorithmen und Anwendung Stefan Pfab sisspfab@stud.uni-erlangen.de Abstract Viele Anwendungen erfordern nicht nur eine eindeutige und zuverlässige Identifizierung der an einer Kommunikation beteiligten

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Sicherheit in Wireless LANs

Sicherheit in Wireless LANs Sicherheit in Wireless LANs VS-Seminar Wintersemester 2002/2003 Betreuer: Stefan Schmidt Übersicht Funktion und Aufbau von Infrastruktur Wireless LAN Sicherheit in Wireless LANs Sicherungsmechanismen in

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Verschlüsselung eines drahtlosen Netzwerkes

Verschlüsselung eines drahtlosen Netzwerkes Verschlüsselung eines drahtlosen Netzwerkes Die größte Sicherheitsgefahr eines drahtlosen Netzwerkes besteht darin, dass jeder, der sich innerhalb der Funkreichweite des Routers aufhält einen Zugriff auf

Mehr

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie

IT-Sicherheit: Kryptographie. Asymmetrische Kryptographie IT-Sicherheit: Kryptographie Asymmetrische Kryptographie Fragen zur Übung 5 C oder Java? Ja (gerne auch Python); Tips waren allerdings nur für C Wie ist das mit der nonce? Genau! (Die Erkennung und geeignete

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo

Kryptographische Verfahren. zur Datenübertragung im Internet. Patrick Schmid, Martin Sommer, Elvis Corbo Kryptographische Verfahren zur Datenübertragung im Internet Patrick Schmid, Martin Sommer, Elvis Corbo 1. Einführung Übersicht Grundlagen Verschlüsselungsarten Symmetrisch DES, AES Asymmetrisch RSA Hybrid

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013 Workshop Sicherheit im Netz KZO Wetzikon Peter Skrotzky, 4. Dezember 2013 Zentrale Fragen! Wie kann sich jemand zu meinem Computer Zugriff verschaffen?! Wie kann jemand meine Daten abhören oder manipulieren?!

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

RSA Verfahren. Kapitel 7 p. 103

RSA Verfahren. Kapitel 7 p. 103 RSA Verfahren RSA benannt nach den Erfindern Ron Rivest, Adi Shamir und Leonard Adleman war das erste Public-Key Verschlüsselungsverfahren. Sicherheit hängt eng mit der Schwierigkeit zusammen, große Zahlen

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

1. Asymmetrische Verschlüsselung einfach erklärt

1. Asymmetrische Verschlüsselung einfach erklärt 1. Asymmetrische Verschlüsselung einfach erklärt Das Prinzip der asymmetrischen Verschlüsselung beruht im Wesentlichen darauf, dass sich jeder Kommunikationspartner jeweils ein Schlüsselpaar (bestehend

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Gefahren aus dem Internet 1 Grundwissen April 2010

Gefahren aus dem Internet 1 Grundwissen April 2010 1 Grundwissen Voraussetzungen Sie haben das Internet bereits zuhause oder an der Schule genutzt. Sie wissen, was ein Provider ist. Sie wissen, was eine URL ist. Lernziele Sie wissen, was es braucht, damit

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I USB Universal serial bus (USB) Serielle Datenübertragung Punkt-zu-Punkt Verbindungen Daten und

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

Gefahren aus dem Internet 6 Aktive Angriffe April 2010

Gefahren aus dem Internet 6 Aktive Angriffe April 2010 6 Aktive Angriffe Lernziele Sie können grob erklären, wie ein Angreifer in Ihren Computer eindringen kann. Sie können herausfinden, welche Ports auf Ihrem Computer offen sind. Sie wissen, warum der Einsatz

Mehr

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail

Vorwort. Sichere E-Mail bietet. Kundenleitfaden Sichere E-Mail Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

netzwerke TECHNISCHE KAUFLEUTE UND HWD

netzwerke TECHNISCHE KAUFLEUTE UND HWD netzwerke TECHNISCHE KAUFLEUTE UND HWD Was ist ein Netzwerk? Zweck? N. stellen innerbetriebliche, zwischenbetriebliche und überbetriebliche Datenverbindungen zwischen mehreren IT- Systemen her. Es werden

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR

Sicherheitskonzept und Sicherheitspru fung. Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Sicherheitskonzept und Sicherheitspru fung Internetanbindung Befundserver MVZ Labor PD Dr. Volkmann und Kollegen GbR Einführung Die Firma MVZ Labor PD Dr. Volkmann und Kollegen GbR, nachstehend als Labor

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen

Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Grundbegriffe der Kryptographie II Technisches Seminar SS 2012 Deniz Bilen Agenda 1. Kerckhoff sches Prinzip 2. Kommunikationsszenario 3. Wichtige Begriffe 4. Sicherheitsmechanismen 1. Symmetrische Verschlüsselung

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Client Server -Anwendungen mit UML und Java

Client Server -Anwendungen mit UML und Java 3. Informatiktag NRW Client-Server mit UML und Java - 1/40 29.3.2004 Client Server -Anwendungen mit UML und Java 3. Informatiktag NRW 29.3.04 Barbara Leipholz-Schumacher Euregio-Kolleg, Würselen 3. Informatiktag

Mehr

Netzwerke für Einsteiger

Netzwerke für Einsteiger Grundlagen der Datenkommunikation Netzwerkverteiler Namen und Adressen Kontakt: frank.hofmann@efho.de 5. November 2006 Grundlagen der Datenkommunikation Netzwerkverteiler Namen und Adressen Zielsetzung

Mehr

Kapitel 6 Internet 1

Kapitel 6 Internet 1 Kapitel 6 Internet 1 Kapitel 6 Internet 1. Geschichte des Internets 2. Datenübertragung mit TCP/IP 3. Internetadressen 4. Dynamische Zuteilung von Internetadressen 5. Domain-Namen 6. Internetdienste 2

Mehr

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke

Internetworking. Motivation für Internetworking. Übersicht. Situation: viele heterogene Netzwerke Internetworking Motivation für Internetworking Übersicht Repeater Bridge (Brücke) Verbindung zwischen zwei gleichen LANs Verbindung zwischen zwei LANs nach IEEE 802.x Verbindung zwischen mehreren LANs

Mehr

Datensicherheit durch Kryptographie

Datensicherheit durch Kryptographie Datensicherheit durch Kryptographie Dr. Michael Hortmann Fachbereich Mathematik, Universität Bremen T-Systems Michael.Hortmann@gmx.de 1 Kryptographie: Klassisch: Wissenschaft und Praxis der Datenverschlüsselung

Mehr

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut

E-Mails versenden aber sicher! Secure E-Mail. Kundenleitfaden. Sparkasse Landshut E-Mails versenden aber sicher! Secure E-Mail Kundenleitfaden S Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

KN 20.04.2015. Das Internet

KN 20.04.2015. Das Internet Das Internet Internet = Weltweiter Verbund von Rechnernetzen Das " Netz der Netze " Prinzipien des Internet: Jeder Rechner kann Information bereitstellen. Client / Server Architektur: Server bietet Dienste

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen Gliederung 1. Was ist Wireshark? 2. Wie arbeitet Wireshark? 3. User Interface 4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen 1 1. Was

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen IP-Adresse 4x8 = 32 Bit Unterteilung des Adressraumes in Subnetze (Uni: 129.69.0.0/16) 129.69.212.19

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

Einführung in TCP/IP. das Internetprotokoll

Einführung in TCP/IP. das Internetprotokoll Schwarz Einführung in TCP/IP das Internetprotokoll Was ist ein Protokoll? Mensch A Mensch B Englisch Deutsch Spanisch Französisch Englisch Japanisch Was sind die Aufgaben eines Protokolls? Informationen

Mehr

Schichtenmodell. Informatik Fortbildung Kommunikation in Rechnernetzen. IFB Speyer 14.-16. November 2011. Dr. Michael Schlemmer

Schichtenmodell. Informatik Fortbildung Kommunikation in Rechnernetzen. IFB Speyer 14.-16. November 2011. Dr. Michael Schlemmer Schichtenmodell Informatik Fortbildung Kommunikation in Rechnernetzen IFB Speyer 14.-16. November 2011 Dr. Michael Schlemmer ISO-OSI Schichtenmodell Moderne Kommunikationssysteme sind komplex: Gestalt

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Verschlüsselung und Signatur

Verschlüsselung und Signatur Verschlüsselung und Signatur 1 Inhalt Warum Verschlüsseln Anforderungen und Lösungen Grundlagen zum Verschlüsseln Beispiele Fragwürdiges rund um das Verschlüsseln Fazit Warum verschlüsseln? Sichere Nachrichtenübertragung

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien.

Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Vorwort Der Austausch von Informationen erfolgt zunehmend über elektronische Medien. Neben den großen Vorteilen, welche uns diese Medien bieten, bergen Sie aber auch zunehmend Gefahren. Vorgetäuschte E-Mail-Identitäten,

Mehr

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur.

Problem: keine sichere Verbindung zwischen öffentlichen Schlüssel und der tatsächlichen Identität des Erstellers der Signatur. Referat im Proseminar Electronic Commerce Thema: Anwendungen von Kryptographie für E-Commerce Betreuer: Michael Galler Stoffsammlung/Grobgliederung Problem der Sicherheit des E-Commerce - nötig für Sicherheitsgarantie:

Mehr

Grundlagen der Kryptographie

Grundlagen der Kryptographie Grundlagen der Kryptographie Seminar zur Diskreten Mathematik SS2005 André Latour a.latour@fz-juelich.de 1 Inhalt Kryptographische Begriffe Primzahlen Sätze von Euler und Fermat RSA 2 Was ist Kryptographie?

Mehr

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004.

Sniffer. Electronic Commerce und Digitale Unterschriften. Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004. Sniffer Proseminar: Electronic Commerce und Digitale Unterschriften Proseminar Leiter: Dr. Ulrich Tamm Vortragender: Stefan Raue Datum: 29.06.2004 Gliederung Was sind Sniffer? Einführung Ethernet Grundlagen

Mehr

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Modul 123 Unit 6 (V1.1) E-Mail und FTP Zielsetzung: E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Technische Berufschule Zürich IT Seite 1 Grundlagen : Das Store-and-Forward

Mehr

All People Seem To Need Data Processing: Application Presentation - Session Transport Network Data-Link - Physical

All People Seem To Need Data Processing: Application Presentation - Session Transport Network Data-Link - Physical OSI-Schichtenmodell (OSI = Open System Interconnection) Bitubertragungsschicht (Physical Layer L1): Bitübertragung Sicherungsschicht (Data-Link Layer L2): Gruppierung des Bitstroms in Frames Netzwerkschicht

Mehr

Netzwerke. Inhalt. Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05

Netzwerke. Inhalt. Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05 1 Netzwerke Nicola Kaiser / Gruppe Technik Lehrstuhl für Computerlinguistik, Ruprecht-Karls-Universität Heidelberg, WS 04/05 2 Inhalt Hardware Kommunikation Internetworking Praxis 3 Rechner (Knoten) Rechner

Mehr

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation

Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Digitale Signaturen für Ï Signaturzertifikate für geschützte email-kommunikation Ein Großteil der heutigen Kommunikation geschieht per email. Kaum ein anderes Medium ist schneller und effizienter. Allerdings

Mehr

WEP and WPA: Lessons learned in WLAN-Security Vortrag im Rahmen des Seminars Kryptographie und Sicherheit am 31. Mai 2006 Von Tina Scherer Gliederung WEP WPA Aufbau Schwächen Cracking WEP Angriffe Behobene

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr

VPN Gateway (Cisco Router)

VPN Gateway (Cisco Router) VPN Gateway (Cisco Router) Mario Weber INF 03 Inhalt Inhalt... 2 1 VPN... 3 1.1 Virtual Private Network... 3 1.1.1 Allgemein... 3 1.1.2 Begriffsklärung... 4 1.2 Tunneling... 4 1.3 Tunnelprotkolle... 5

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Teil VIII. Rechnernetze

Teil VIII. Rechnernetze Teil VIII Rechnernetze Überblick 1 Einführung 2 3 TCP/IP und das Internet Eike Schallehn Grundlagen der Informatik für Ingenieure 2008/2009 8 1 Einführung Rechnernetze Definition (Rechnernetz) Ein Rechnernetz

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr