Thomas Macht Security VU WS 10/11
|
|
- Frauke Fried
- vor 8 Jahren
- Abrufe
Transkript
1 1. Einführung Angriffe: Betrug destruktive Angriffe Diebstahl geistigen Eigentums Identitätsdiebstahl Markendiebstahl Computer Security/Network Security: Automatisierung entfernte Angriffe Verbreitung von Angriffstechniken vermeintliche Anonymität Komplexität Herausforderungen: Funktionalität wichtig, nicht Security Sicherheitsgruppe sagt immer nein Sicherheit oft schwer greifbar, unverständlich Programmierung ist Fokus der Lehre Programmieren ist einfach Projektumfeld: Termindruck, Funktionalität Test von Software auf spezifizierte Funktionalität Security Usability jede Software potentiell betroffen Komplexität der Software, Zusammenspiel vieler Komponenten Systeme wachsen Mitarbeiter: Know-how, Spezialisierung Fülle an Sicherheitslücken hoher Zeitaufwand Vernetzung kabellose Übertragung, Mobilität Kreativität der Angreifer Zero-Day-Attacken Weakest Link Definitionen nach DIN: Sicherheit: Risiko < Grenzrisiko, Absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands Risiko: Schaden * Eintrittswahrscheinlichkeit Seite 1 von 32
2 Sicherheitsziele: Vertraulichkeit Integrität Verfügbarkeit Authentizität Nichtabstreitbarkeit Bedrohungs-, Risikoanalyse: Typisierung von Bedrohungen Zielobjekt Urheber Motivation/Absicht Wahrscheinlichkeit Auswirkungen/Kosten Auflistung der Bedrohungen Risikoanalyse, Risikobewertung Maßnahmen Restrisikoabschätzung Kosten-/Nutzenanalyse: Investitionen für Management sichtbar, Ergebnisse bei guter Arbeit nicht (Return of Investment) Aufwand/Nutzen schwer meßbar Erfahrungswerte für Kosten, Auftrittswahrscheinlichkeit von Angriffen Angriffsphasen: Sammeln von Daten (Systeme, User-Kennungen) Ausnutzen gefundener Sicherheitsprobleme (Zugriff, Ausweiten der Rechte): zb SQL Injection auf eine Datenbank Aufrechterhaltung des Zugriffs: zb Anlegen eines eigenen Benutzer-Accounts Verwischen von Spuren (zb Löschen von Logfiles) Designprinzipien: Security bereits beim Design berücksichtigen genau definierte Aufgaben genau definierte Schnittstellen Verwendung von Standards Testen auf Sicherheit Seite 2 von 32
3 2. Kryptografie Kerckhoffs Prinzip: Sicherheit darf nur von Geheimhaltung des Schlüssels, nicht des Algorithmus abhängen Symmetrische asymmetrische Kryptografie Schutzziele: Vertraulichkeit Verschlüsselung Integrität Prüfsumme Authentizität Signatur Hash-Verfahren: eindeutiger Fingerprint eines Dokuments, 2 mit verschiedenem Inhalt dürfen nicht selben erhalten Einwegfunktionen, mit wenig Aufwand zu berechnen, nicht/schwer umkehrbar MD5, SHA-1 (gelten als unsicher), SHA-2 Symmetrische Kryptografie: Verschlüsselung und Entschlüsselung mit selbem Schlüssel Problem: Schlüsseltausch bei großer Teilnehmeranzahl Asymmetrische Kryptografie: Verschlüsselung: o Verschlüsselung mit Public Key o Entschlüsselung mit Private Key Signieren: o Signieren mit Private Key o Signatur prüfen mit Public Key Hybridverschlüsselung: Kombination symmetrische asymmetrische Verschlüsselung Asymmetrische Verschlüsselung: rechenintensiv Symmetrische Verschlüsselung: Schlüsselaustausch Ablauf: o Verschlüsseln mit symmetrischem Schlüssel o Verschlüsseln des symmetrischen Schlüssels mit öffentlichem Schlüssel o Verschlüsselten symmetrischen Schlüssen an Dokument anhängen Seite 3 von 32
4 Probleme: komplexe kryptografische Verfahren: Implementierungsfehler (Zufallszahlen) Alterung von Algorithmen/Schlüssellängen (Brute Force) regelmäßige Umschlüsselung von Daten Verlust des privaten Schlüssels Verlust der verschlüsselten Daten: Backup erforderlich (nicht wenn nur für Signaturen) Schlüssel enthält keine Informationen zum Besitzer Verwendung von Zertifikaten Integritätsschutz für Schlüssel: Angreifer kann Schlüssel manipulieren (Man in the Middle) Zertifikate erhalten digitale Signatur Sicherung des privaten Schlüssels: sicherer Schlüsselspeicher: Chipkarte, Hardware Security Module PKI-Bestandteile Registration Authority (RA) Certification Authority (CA) Verzeichnisdienst (DIR) Time Stamping Authority (TSA) Sperrinformationen (CRL/OCSP) Anwenderkomponenten Zertifikate Organisatorische Festlegungen Seite 4 von 32
5 Registration Authority (RA): Registrierung neuer Anwender: Prüfung der Identität, Weiterleitung an CA zur Ausstellung von Zertifikaten Sperren von Zertifikaten/Benutzern definierte Protokolle für Zertifikatsantrag und Austausch Certification Authority (CA): Ausstellung und Verwaltung der Zertifikate optional: Schlüsselerzeugung für Endbenutzer Personalisierung von Chipkarten Versenden der Infos an Endbenutzer (PIN-Brief, Chipkarte) Endbenutzer-Zertifikate durch CA-Zertifikat signiert Erstellen/Signieren von Sperrinfos besondere Anforderungen für sichere Betriebsumgebung: Speicherung, Zugriff auf private Schlüssel Kompromittierung des privaten Schlüssels einer CA alle ausgestellten Zertifikate und damit signierte Dokumente unsicher Verzeichnisdienst (DIR): Zugang zu öffentlichen Zertifikaten (zur Prüfung von Signaturen erforderlich) beliebige Schnittstellen Zugriff auf Zertifikat muss eindeutig sein (Name oft nicht eindeutig) Sperrinformationen: Vertraulichkeit des privaten Schlüssels erforderlich (ansonsten Sperre erforderlich) Anwendung muss Sperrstatus empfangener Zertifikate prüfen Protokolle zum Verteilen von Sperrinformationen Certificate Revocation Lists (CRL) Online Certificate Status Protocol (OCSP) Zeitstempeldienste (TSA): stellt signierte Zeitstempel aus (Nachweis, dass Daten zu diesem Zeitpunkt existierten) Ablauf: Client sendet Hash-Wert des Dokuments an TSA TSA fügt Zeitstempel ein und signiert Kombination Client fügt diese Information zum Dokument hinzu Integrität der zeitlichen Information kann durch Signatur des TSA sichergestellt werden Seite 5 von 32
6 Anwenderkomponenten: Verwenden von PKI-Funktionalitäten: Abfragen von Zertifikaten aus Verzeichnisdienst Signatur- und Pfadvalidierung Signaturerstellungseinheit kryptografische Algorithmen Anwendungen: Mail Client Application XML- oder Web Service Client Application VPN, TLS/SSL Zertifikate: als Entität für Vertrauensstellung Zuordenbarkeit Public Key Identität Bestätigung durch Zertifizierungsstelle (CA) im Rahmen der PKI öffentlich zusätzliche Angaben vorhanden: zeitliche Gültigkeit Informationen zum Aussteller (CA) vorgesehener Einsatzzweck (KeyUsage, ExtendedKeyUsage) Zertifikatskette: Root CA Certificate: Benutzer vertraut direkt signiert CA Certificate: Benutzer vertraut indirekt signiert End User Certificate: Benutzer vertraut indirekt signiert Dokument: Benutzer vertraut indirekt Vertrauensmodell Hierarchische Struktur: Vertrauensstellung über Root-CA, ermöglicht Verwaltung großer Infrastrukturen Vertrauensmodell Web of Trust: direkte Vertrauensstellung, zb Pretty Good Privacy (PGP) Kommunikationsteilnehmer muss Zugehörigkeit Schlüssel Identität des Kommunikationspartners prüfen: indirekte Vertrauensstellung möglich Seite 6 von 32
7 Pretty Good Privacy (PGP): als Freeware erhältlich GNU Privacy Guard (GPG): Open Source-Variante Chipkarten: Speicherkarten: keine Sicherheitsmerkmale für Zugriffskontrolle Prozessorkarten: Betriebssystem der Karte regelt Datenzugriff ermöglicht, Zugriff über PINs zu regeln Anwendung zb mit kryptografischen Schlüsseln privater Schlüssel verläßt Chipkarte nicht Einsatzgebiete: Gesundheitskarte, Bankomatkarte Angriffe: Side Channel-Attacken: Stromverbrauch, Rechenzeit physikalisch: Temperatur, Spannung Man in the Middle: zb Kartenterminal Social Engineering: Diebstahl, Ausspionieren der PIN Kartenleser: Lesen/Schreiben von Daten Sicherheitsklassen: 1: keine besonderen Sicherheitsmerkmale 2: enthält PIN-Pad 3: PIN-Pad und Display 4: PIN-Pad, Display und eigenes Sicherheitsmodul zur Authentisierung des Geräts physikalische Schutzmaßnahmen gegen Manipulation erforderlich Seite 7 von 32
8 Transport Layer Security (TLS): Nachfolger von Secure Sockets Layer (SSL) oberhalb von TCP HTTPS HTTP over TLS Verwendung für: o Authentifizierung (einseitig beidseitig) o Verschlüsselung der Kommunikation o Verschlüsselung nur zwischen zwei Komponenten auf Layer 4 möglich: Vertraulichkeit für End-zu-End-Verbindungen über mehrere Stationen muss auf höheren Ebenen sichergestellt werden Cipher-Suiten: o legen kryptografische Methoden für Kommunikation fest (Kommunikationspartner handeln eine gemeinsame aus) o Schlüsselaustausch (RSA, ) o Authentifizierung (RSA, ) o Verschlüsselung o Hashfunktion (MD5, SHA) Kommunikationsablauf: Seite 8 von 32
9 3. Netzwerksicherheit Probleme: Anzahl und Komplexität beteiligter Systeme Attacken über das Netzwerk sind einfach. Nachvollziehbarkeit von Angriffen schwierig (Vermeintliche) Anonymität Angriffsmethoden leicht und schnell verfügbar Angriffe im Netzwerkbereich oft Basis für weitere Angriffe ISO (International Organization for Standardization) OSI (Open Systems Interconnection)-Modell: OSI TCP/IP Anwendungsschicht Application Layer Application Layer HTTP Darstellungssicht Presentation Layer Sitzungsschicht Session Layer Transport Layer TCP, UDP Transportschicht Transport Layer Vermittlungsschicht Network Layer Network Layer IP, ARP Sicherungsschicht Data Link Layer Data Link Layer Ethernet Bitübertragungsschicht Physical Layer Physical Layer LAN Bei sehr vielen Transvestiten stinkt der Arsch. All people seem to need data processing. Angriffe/Bedrohungen in Netzwerken: technisch und nicht technisch Vertraulichkeit: Google Hacking, Covert Channels, Sniffing Integrität, Authentizität, Nichtabstreitbarkeit: Spoofing Verfügbarkeit: Session Hijacking, DoS, DDoS (Distributed Denial of Service) ARP: Address Resolution Protocol: Umwandlung IP-Adresse Hardware-Adresse (Ethernet: MAC-Adresse) Reverse ARP TCP/IP: Network Layer ARP-Cache: Speichern eigener und fremder Anfragen ARP Poisoning/Spoofing: Senden gefälschter ARP-Pakete Black Hole Man in the Middle IP: Internet Protocol: unzuverlässig, verbindungslos logische Adressen: Netzwerk, Host, Broadcast, spezielle Adressen Routing Address Spoofing: gefälschter Absender, DoS-Attacken: Land-Attacke: Source Address == Destination Address, an freien Port gesendet Seite 9 von 32
10 ICMP: Fehlermeldungen: Port Unreachable Host Unreachable Time Exceeded Andere Informationen: Subnetzmaske Uhrzeit Echo Request/Reply traceroute Smurf-Attacke: Angreifer spooft die IP-Adresse des Opfers und schickt große Zahl an IP echo requests an die Broadcast-Adresse eines dazwischen liegenden Netzwerks, diese Hosts antworten mit einem ICMP reply request an das Opfer TCP: Transmission Control Protocol: verbindungsorientiert (Three-Way-Handshake), verlässlich Flow Control Zustände: LISTEN, ESTABLISHED, CLOSED keine Broadcasts möglich (im Gegensatz zu UDP) WWW, SSH, s, SYN Flooding: halb offene Verbindung belegt Ressourcen Vorbereitungen für Angriffe auf Computersysteme: Host Scan Port Scan OS Detection Vulnerability Scan Scanning: oft auffällig Slow Scan, Ablenkung Sniffing: Mitlesen des Netzwerkverkehrs Seite 10 von 32 kabelgebunden WLAN root-rechte Netzwerkinterface im Promiscous Mode Programme: tcpdump Wireshark Lösungsansätze Absicherung der Clients, Server Separation von Netzwerksegmenten (physisch, logisch) Sicherung des Übertragungswegs (VPN, SSL/TLS) Sicherung des Netzwerkzugangs: Firewall Sicherung der Nutzdaten ( -Verschlüsselung)
11 Intrusion Detection Systems Intrusion Detection Systems Honeypot Firewall: Unterbindung unerlaubter Zugriffe Positionierung ia an der Grenze zwischen zwei Netzwerkzonen (DMZ) Arten: Paketfilter: einfache Filterung anhand von Zielport, Quell-, Zieladresse (Headerinformationen auf OSI-Layer 2 4) Stateful Inspection: erweiterte Paketfilterung, kurze Headeranalyse auf OSI-Schichten 2 4 um Statustabelle aller Netzwerkverbindungen zu erstellen (zb nur angeforderte Daten zulassen) Proxy Firewall: betrachtet zusätzlich Inhalt der OSI-Schicht 7 (Malwarescan) Intrusion Detection Systems: Signatur Anomalie-Erkennung Senden eines Alarms host-, netzwerkbasiert oder hybrid zb Snort, Prelude Intrusion Prevention Systems: zusätzlich Ergreifen von Maßnahmen Honeypot: soll Angreifer von eigentlichem Ziel ablenken Server/Computerprogramm simuliert Netzwerkdienste eines Computers/Netzwerks, Verhalten eines Anwenders (nutzen Browser, besuchen Websites um Angriffe auf Browser festzustellen) kein Produktionssystem, kein legitimer Zugriff leichte Trafficanalyse, Alarm auslösen reales Netzwerk bleibt von Angriffen möglichst verschont (besser gesichert) Arten: Simulation: mit geringer Interaktivität Reale Systeme: mit hoher Interaktivität Honeynet: Netzwerk mehrerer Honeypots Honeywall: Firewall/Gateway Data Control, Data Capture, Automatische Alarmierung Layer-2 Bridge Anforderungen: Sicherheit, schwer erkennbar, Last Nutzen: Traffic per Definition bösartig leichtere Analyse frühzeitige Erkennung von Angriffen Erkennung/Analyse neuer Angriffe Forschung Umleitung von verdächtigem Traffic: Produktionsnetz Honeynet Seite 11 von 32
12 Aufwand: Überwachung, Analyse 2. Netz Wahrscheinlichkeit für Angriffe Honeynet/Produktionsnetz Honeytoken: einzelne eindeutige fingierte Datensätze, Dateien, s in Produktionsumgebungen hineinmischen Interesse wecken bei Zugriff auf Honeytokens alarmieren zb Kundendatenbank, unverschlüsselte s mit Login-Informationen Vorteile: keine aufwendigen Honeypots/Honeynets direkt in Produktionssystem integriert geringer Kostenaufwand Nachteile: nur Zugriff auf Honeytoken feststellbar wahrscheinlich keine sophisticated -Angriffe Seite 12 von 32
13 4. Identität, Authentifizierung, Zugriffskontrolle Identität: wer jemand ist Authentisierung: Vorlage eines Nachweises zur Identifikation (Benutzername, Passwort) Autentifizierung: Überprüfung eines Nachweises zur Identifikation Autorisierung: Überprüfung, ob Person/IT-Komponente/Anwendung zur Durchführung einer Aktion berechtigt Zutritt: Betreten abgegrenzter Bereiche (zb Räume) oder geschützter Areale in einem Gelände Zugang: Nutzung von IT-Systemen, System-Komponenten und Netzen Zugriff: Nutzung von Informationen, Daten Gründe für Authentifizierung: Nachweis der Identität Kontrolle des Zutritts, Zugangs Voraussetzung zur Zugriffskontrolle Nachweis Zurechenbarkeit/Verantwortlichkeit Herausforderungen bei Authentisierung: einfacher Zugang Unberechtigte zuverlässig vom Zugang abgehalten Angreifern reicht ein einzelner Account Vor-, Nachteile unterschiedlicher Authentisierungsmethoden kein bester Weg, je nach Einsatzzweck geeignetes Verfahren Kombination von Methoden: 2-Faktor-Authentifizierung Methoden der Authentisierung: Wissen: zb Passwörter, PINs Besitz: zb Token, Chipkarten, Abzeichen, Dienstmarken Verlust besser erkennbar als bei Passwörtern Erzeugung von Einmal-Passwörtern (aktuelle Zeit, Counter) Schutz durch PIN/Passwort (Bankomatkarte) physischer Schutz erforderlich höhere Kosten als bei Passwörtern Biometrisches Merkmal: o zb Iris, Fingerabdruck, Stimme, Tippverhalten o zwischenmenschlicher Alltag o schwer/nicht zu ersetzen o Identifikation Validierung o Weitergabe schwer/nicht möglich o Fehlerrate, Ausprägung nicht bei allen Menschen gleich Alternativen, Ausnahmen erforderlich o mangelnde Akzeptanz, hohe Kosten Seite 13 von 32
14 Passwörter: Klein-, Großbuchstaben, Ziffern, Sonderzeichen graphische Passwörter (Bildfolge, Punkte auf Bildern, Gesichter): leicht zu merken schwierig zu erraten Anzahl der Passwörter steigt Wechsel in bestimmten Abständen, Passworthistorie Mindestlänge, Mindestvorkommen bestimmter Zeichenklassen keine Default-Passwörter nicht aufschreiben vom Benutzer änderbar Anzahl der Versuche zur Eingabe beschränken (DoS) Prozess zur Änderung vergessener Passwörter Angriffe: o Raten o Social Engineering o Brute Force (lokal, remote) o Wörterbuch-Attacken o Script Files, Trojaner, Default-Passwörter o Passwortdateien/Passwörter in Swap-Files o Über die Schulter schauen o Sniffing (Verschlüsselung in Netzwerken) o Elektromagnetische Strahlung o Wireless-Tastaturen o Preisgabe von Information: Username/Passwort falsch Chipkarten: Anwendung zb mit kryptografischen Schlüsseln (sollte Karte nicht verlassen) evtl. Schutz durch PIN gesamter Lebenszyklus relevant Banken, Gesundheitswesen Angriffe: Side Channel (Stromverbrauch, Rechenzeit) Physikalisch (Temperatur, Spannung) Man in the Middle Social Engineering Angriffe bei biometrischen Daten: nicht zu 100 % sicher Stärken/Schwächen oft vernachlässigt Spoofing (Fotos, Modellierung gefundener Fingerabdrücke) Replay Attacken Umgehen der Sensoren Brute Force Seite 14 von 32
15 Zugriffskontrolle: Zugang nun kontrolliert Zugriff sollen nur berechtigte Akteure erhalten Unberechtiger Zugriff soll verhindert oder zumindest erkannt werden Zugriffskontrolle bedeutet Auditierung Angriffe: o Angreifer hat Zugriff auf Binärdaten kryptografische Methoden erforderlich o es existiert eine Schicht zwischen Angreifer und Binärdaten Zugriffskontrolle Umsetzung einer Sicherheitsstrategie (Security Policy) Verwendung von Zugriffskontrollmechanismen, zb in Betriebssystem, Datenbanken, Webserver Kernfrage: Wer darf auf was wie zugreifen? Zugriffskontrollstrategie: Regelwerk, Was ist erlaubt/nicht erlaubt? Zugriffskontrollmodell: o Formalismus, beschreibt Zugriffskontrollstrategie o verschiedene Zugriffskontrollmodelle für unterschiedliche Zugriffskontrollstrategien o Modell soll einfach, ausdruckstark, intuitiv, wartbar, umsetzbar sein Begriffe: o Objekt: passiver, zu schützender Informationsträger o Subjekt: aktive Elemente, die im Auftrag von Anwendern Zugriffe auf Informationen ausführen o Zugriffsoperation: Art, auf ein Objekt zuzugreifen (read, write, execute) o Zugriffsrecht: Recht für Zugriffe auf Dateien, Datenträger, Prozesse o Schutzdomäne: Gruppierung identischer Zugriffsrechte o Zugriffsmonitor: setzt Zugriffskontrollstrategie durch Grundmodell der Autorisierung: o Ob für ein Subjekt s der Zugriff der Art a auf ein Objekt o zulässig ist, ergibt sich aus einer Funktion f, die das Ergebnis des 3-Tupels (s; o; a), das wahr oder falsch sein kann, auswertet. o s = Subjekt, o = Objekt, a = Zugriffsart Zugriffsmatrix: definiert Zugriffsrechte Beispiel für Klassifikation von Subjekten: o Eigentümer: uneingeschränkte Zugriffsrechte o Gruppe: alle innerhalb einer speziellen Gruppe haben selbe Rechte o Jeder: Allen Usern können bestimmte Rechte gegeben werden Seite 15 von 32
16 Discretionary (uneingeschränkt) Access Control (DAC): Ziel: zentrale Festlegung maximaler Zugriffsrechte von Benutzern Kontrolle des Informationsflusses Weitergabe von Rechten eingeschränkt möglich Objekte und Benutzer kategorisiert (zb öffentlich, vertraulich, streng geheim) Benutzer können nur auf ein Objekt zugreifen, wenn ihre Kategorisierung mindestens der des Objekts entspricht Objekte können nur mit Kategorien, die gleich- oder höherwertig der Kategorie des Benutzers ist, geschrieben werden hauptsächlich im militärischen Bereich Herausforderungen: Umsetzung tatsächlicher Berechtigungen Concept of Least Privilege Security behindert Single Sign On Wie wird Zugriffskontrolle administriert? Wo wird Zugriff kontrolliert? Seite 16 von 32
17 5. IT-Grundschutz Aufbau der IT-Grundschutz-Kataloge: Bausteine Gefährdungskataloge Maßnahmenkataloge IT-Strukturanalyse: Erfassung der Bestandteile (Informationen, Anwendungen, IT-Systeme, Räume, Kommunikationsnetze), die zur Erfüllung der Geschäftsprozesse benötigt werden Komplexitätsreduktion durch Gruppenbildung (zb alle Windows-Clients) gleicher Typ ähnlich konfiguriert in selbes Netz eingebunden unterliegen ähnlichen administrativen, infrastrukturellen Rahmenbedingungen ähnliche Anwendungen gleicher Schutzbedarf Erfassung der Anwendungen und zugehörigen Infos (zb Personaldatenverarbeitung) Netzplanerhebung (zb Router, Switches) Erhebung der IT-Systeme (zb Server für Personalverwaltung) Erfassung der Räume (zb Serverraum) Schutzbedarfsfeststellung: Definition der Schutzbedarfskategorien Anwendungen: Was wäre wenn? IT-Systeme: o Maximumprinzip: schwerwiegendste Auswirkung o Beachtung von Abhängigkeiten o Kumulationseffekt: mehrere kleine Schäden führen zu einem Großen o Verteilungseffekt: zb Redundanzen Räume Kommunikationsverbindungen o Außenverbindungen o hochschutzbedürftige Infos übertragen? Schlussfolgerungen Abbildung des IT-Verbunds: Sicherheitsaspekte nach bestimmten Themen betrachtet B 1: übergreifende Aspekte (zb Datensicherungskonzept) B 2: Infrastruktur (zb Serverraum) B 3: IT-Systeme (zb Laptop) B 4: Netze (zb WLAN) B 5: Anwendungen (zb Webserver, Datenbanken) Zuordnung Bausteine Zielobjekte Seite 17 von 32
18 Basis-Sicherheitscheck: Soll-Ist-Vergleich von Maßnahmen Auswahl der Ansprechpartner Interviews, stichprobenartige Kontrolle Dokumentieren der Ergebnisse inkl. Begründungen Maßnahmenplanung: Sichtung der Untersuchungsergebnisse Konsolidierung der Maßnahmen Kosten-, Aufwandsschätzung Festlegung der Umsetzungsreihenfolge Festlegung der Aufgaben und Verantwortung Realisierungsbegleitende Maßnahmen Informationssicherheitsprozess: PDCA-Modell: Plan: Planung und Konzeption Do: Umsetzung der Planung Check: Erfolgskontrolle, Überwachung der Zielerreichung Act: Optimierung, Verbesserung Seite 18 von 32
19 6. Sicherheit in der Softwareentwicklung Markt für Malware wächst früher: Angreifer wollten Bekanntheit heute: Angreifer wollen unbemerkt bleiben Vermieten von Bot-Netzen Verkaufen von Wissen (Schwarzmarkt) Ausnutzen von Ressourcen (Bandbreite, Rechenleistung) Zero Day-Attacken Unternehmen bezahlen für gemeldete Sicherheitsfehler Softwareentwicklungsprozess (Software Development Lifecycle): Analyse Entwurf Implementierung Test Betrieb Sicherheit ist ein Prozess: nicht ausreichend, Sicherheit nur in einem der Schritte zu betrachten Penetrate and Patch: für sichere Software nicht ausreichend Sicherheitsfehler nur im Betrieb gefunden, mit Patches behoben nicht gemeldete Schwachstellen nicht behoben Patches beheben oft nicht eigentliche Ursache, nur Symptome Zeitfenster für Angriffe, bis alle Systeme gepatcht (manche nie) Aus Patches können Angreifer Details über Schwachstelle ableiten Softwareentwicklungs-Modelle für sichere Software: definieren Aktivitäten und Verantwortlichkeiten Integration in vorhandene Vorgehensmodelle erforderlich zb Microsoft Security Development Lifecycle (SDL) Sicherheit in der Analysephase Analyse: Erhebung, Aufbereitung der Sicherheitsanforderungen für zu entwickelndes System funktionale, nicht-funktionale Sicherheitsanforderungen unterschiedliche/widersprüchliche Anforderungen von Stakeholdern (am System beteiligte Personen) weitere Anforderungen durch Normen, Gesetze, Standards bei sicherheitskritischen Systemen oft Evaluierungen: zb anhand von Protection Profiles Sicherheit als selbstverständlich angesehen, von Stakeholdern nicht explizit gefordert Seite 19 von 32
20 Durchführung der Analyse: Ermittlung der Bedrohungen und Risiken Vollständige Erfassung der Angriffsoberfläche Festlegung der Schutzziele für die verarbeiten Daten Systematisches Vorgehen zur vollständigen Erfassung erforderlich Werkzeuge zur Durchführung vorhanden, zb Angriffsbäume oder Thread Modelling Angriffsbäume (Attack Trees): Technik zum Dokumentieren von Bedrohungen Identifizieren möglicher Bedrohungen mit iterativer Detaillierung Baumstruktur Knoten/Kanten zur Bewertung der Eintrittswahrscheinlichkeit einer Bedrohung bei größeren Systemen schnell unübersichtlich Threat Modelling: Methode von Microsoft zur Modellierung von Bedrohungen in Software frühzeitige Beschäftigung mit möglichen Bedrohungen schrittweise Modellierung und Detaillierung Teil des Secure Development Lifecycle (SDL) Schritte: Festlegen von Anwendungsszenarien Externe Abhängigkeiten festlegen Sicherheitsannahmen festlegen Erstellung von Sicherheitshinweisen Erstellung von Datenflussdiagrammen Bedrohungstypen festlegen Bedrohungen im System identifizieren Risiko der Bedrohung Gegenmaßnahmen planen Seite 20 von 32
21 Sicherheit in der Entwurfsphase Abbilden der Sicherheitsanforderungen durch den Entwurf Robuste Architektur bildet Basis für sicheres System Best Practices: Sicherheitsmuster (Security Patterns) Angriffsmuster (Attack Patterns): Beschreibung inklusive Vorbedingungen, Ableitung von Sicherheitsaspekten für eigenes System Design Principles: Einfachheit der Schutzmechanismen (Economy of Mechanism) je komplexer, desto fehleranfälliger (aufwendigere Testverfahren) Minimale Berechtigungsvergabe (Fail-Safe Defaults) Zugriff standardmäßig ablehnen Input-Validierung durch White Lists Vollständige Berechtigungsprüfung (Complete Mediation) sämtliche Zugriffe über Mediator prüfen Java Security Manager prüft sämtliche Zugriffe auf potentiell gefährliche Funktionen (zb Dateizugriffe) offenes Design (Open Design) Sicherheit darf nicht auf Geheimhaltung des Designs oder der Implementierung beruhen Kerkhoffs Prinzip: Sicherheit kryptografischer Verfahren basiert nur auf Geheimhaltung des Schlüssels Vier-Augen-Prinzip (Separation of Privilege) Mehrere Schichten einfügen Angriff einer Schicht bietet keinen Zugriff auf weitere Beispiel: Applikation läuft in abgesicherter Umgebung (Sandbox, chroot: ändert root- Verzeichnis für Prozess) Minimum an Rechten (Least Privilege) nur notwendige Rechte verwenden (Windows: oft Administratorrechte vorausgesetzt) Kompromittierung ermöglicht keinen Zugriff auf weitere Systemteile Minimum an gemeinsamen Mechanismen (Least Common Mechanism) Abhängigkeiten minimieren gemeinsame Variable, Daten vermeiden Psychologische Akzeptanz (Psychological Acceptability) Usability Einsatz von Sicherheitsmechanismen durch einfach bedienbare Benutzerschnittstellen begünstigt Reduzierung der Sicherheit wenn nicht benutzbar (Aufschreiben von PINs) Seite 21 von 32
22 Sichere Programmierung Sichere Architektur: kann durch Programmierfehler unsicher werden (zb fehlerhafte Prüfung von Zertifikaten) Sichere Programmierung: Software ohne Schwachstellen durch Programmierfehler kann Schwächen durch Architektur aufweisen (zb fehlerfreie telnet-implementierung durch unverschlüsselte Kommunikation angreifbar) häufigste Sicherheitsfehler: o OWASP: Top Ten Web Vulnerabilites o CWE und SANS: TOP 25 Most Dangerous Programming Errors Programmierrichtlinien: o CERT Secure Coding Standards o Secure Coding Guidelines for the Java Programming Language Sicherheitskonzepte von Programmiersprachen: automatische Längenprüfung und Speicherverwaltung SQL Injection: Ablauf: Test mit einfachem Hochkomma: Schwachstelle erkennbar Verwenden von Tautologien Auslesen weiterer Tabellen mittels Union, Sub Queries Maßnahmen: alle Eingaben Validieren (nicht nur Formularfelder) Ausfiltern spezieller Datenbankzeichen Blacklist Filtering Whitelist Filtering: zu bevorzugen, Prüfung auf gültige Zeichen Precompiled Statements verwenden: in Datenbank mit Platzhaltern kompiliert, spätere Manipulation nicht möglich Principle of Least Privilege: Minimierung der notwendigen rechte in der Datenbank, verkleinert nur möglichen Schaden Command Injection: Eingabe ohne ausreichende Validierung für System Call verwendet Maßnahmen: Eingabevalidierung Verwenden der Funktionen von Programmiersprachen zum Lesen von Dateien Beschränkung der Zugriffsrechte auf Dateien durch Rechtevergabe oder chroot Minimieren der ausführbaren Dateien Berücksichtigung der System-Konfiguration (zb PHP) Seite 22 von 32
23 Cross Site Scripting (XSS): unvalidierte Benutzereingaben Ausführung des Codes durch vertrauenswürdigen Server, Zertifikate und Verschlüsselung der Client-Server-Kommunikation bieten keinen Schutz ausgeführter Code direkt von vertrauter Domäne ausgeführt zb Versand präparierter URLs über s Arten: o Reflected: Servier liefert Seite mit präpariertem Inhalt, Browser wertet sie aus o Stored: persistente Speicherung des präparierten Inhalts durch Server Maßnahmen: o Benutzereingaben validieren o Kodieren (HTML, URL) von Benutzereingaben und gespeicherten Inhalten vor Ausgabe o Clientseitige Verhinderung durch Browser oder Client-Firewalls (Antworten nur an ursprüngliche Domäne erlauben) Cross Site Request Forgery = Fälschung (CSRF): Angreifer kann Benutzer durch untergeschobenen präparierte URL zu Aktion am Server missbrauchen Aktionen wie Logout, Einträge erstellen, Passwort ändern durch vorhandenes Authentifizierungs-Cookie beim Benutzer kein Login erforderlich Angreifer kann Änderungen über IP-Adresse des Benutzers durchführen (Verschleierung) Maßnahmen: Shared Secret zu jeder internen URL und Formularen hinzufügen: geheimer Token, den nur Server und Client kennen, bei jeder Anfrage vom Client übermittelt, bereits in einigen Web- Frameworks enthalten, bei unverschlüsselter Kommunikation Diebstahl durch Angreifer möglich Verifizierung der Aktion durch Benutzer anfordern Seite 23 von 32
24 Buffer Overflows: Programmierfehler, keine oder falsche Längenüberprüfung beim Schreiben in Buffer Low-Level-Programiersprachen ohne automatisches Bounds Checking überschreibt nachfolgende Speicherbereiche Mögliche Auswirkungen: o Absturz der Applikation mittels Exception/Segfault o ungewöhnliches Systemverhalten o keine Auswirkungen wenn überschriebener Speicher nicht mehr verwendet o Ausführen von eingeschleustem Code Maßnahmen: o Eingabevalidierung, Längenüberprüfung o Programmiersprachen mit automatischer Längenüberprüfung o Testmethoden zum Finden von Buffer Overflows im Quellcode (Statische Codeanalyse, Fuzzing, ) o gefährdete Funktionen vermeiden (zb strcpy() strncpy()) o Betriebssysteme mit nonexecutable Stacks o Verwendung von canary zur Erkennung von Buffer Overflows (Compiler-Optionen) o Adressräume im System zufällig vergeben Seite 24 von 32
25 7. Testing Vergleich aktueller Zustand geplanter Zustand Validierung: richtiges Produkt? (Kundenwünsche Applikation) Verifikation: Produkt richtig erzeugt? (Anforderungen Applikation) Test: erfolgreich, wenn Fehler gefunden Testziele: Funktionalität, Sicherheit, Usability Security Features (Sicherheitsrelevante Funktionalitäten): Anforderungen mit sicherheitskritischen Aspekten Funktionale Fehler haben Auswirkung auf Sicherheit Durchführung funktionaler Tests zb: Authentifizierung, Public Key Infrastructure Secure Features (Sichere Funktionen): Sicherheitsfehler können in jeder Funktionalität auftreten Testen der Robustheit gegen Angriffe zb Fehlende Eingabevalidierung Sicherheitstests: 1000 Codezeilen: 5 15 Bugs (nach dem Testen) bleiben oft unentdeckt haben keine Auswirkung auf restliche Funktionalität stellen mögliche Sicherheitsfehler dar gezielte Suche erforderlich Test: Momentaufnahme, zeitlich beschränkt Angreifer hat beliebig Zeit Testen allein nicht ausreichend für sicheres System, aber Teil der Erstellung Testabdeckung: Wieviele Teile eines Systems getestet? Berechnung nach Zeilen, Anweisungen, Datenvariablen Wer kann Sicherheitstests durchführen? Entwickler/Tester: fehlendes Wissen über Sicherheit und aktuelle Schwachstellen oft übersehen Augenmerk auf Funktionalität und testen dieser Verwendung des Systems aus Benutzersicht Funktionen Sicherheitsexperte: fehlendes Wissen über Domäne und Implementierungsdetails Wissen über Schwachstellen und aktuelle Entwicklungen im Sicherheitsbereich (zb Testtools) Verwendung des Systems aus Angreifersicht Schwachstellen Sicherheitstests im Lebenszyklus: White-Box-Tests: Seite 25 von 32
26 Wissen über Systemdetails für Tests herangezogen (Source Code, Dokumentationen, Ableiten von Ein- und Ausgabewerten) Testtechniken: Statische Analyse, Code Reviews Black-Box-Tests: Umsetzungsdetails nicht für Tests herangezogen Übergeben der Eingabedaten, Betrachtung der Ausgabe (Vergleich mit erwarteter) nicht alle Datenvarianten möglich (zb Verwendung eines Vertreters aus Menge der positiven und negativen Integer) Gay-Box-Testing: Kombination, bevorzugtes Verfahren: Optimierung der Tests durch Informationen, Ermittlung der Testabdeckung erleichtert Datenvarianten anhand interner Details identifizieren (White-Box-Tests) Tests mit ermittelten Datenvarianten durchführen (Black-Box-Tests) Seite 26 von 32
27 Secure Code Review: kostenintensiv, aber sehr effektiv Top-Down-Ansatz: Wissen über Schwachstellen, erforderliches Detailwissen über Code gering Bottom-Up-Ansatz: Wissen über Code, höherer Aufwand als bei Top-Down Walkthrough: Testfälle am Papier durchführen Inspection: Überprüfung anhand von Checklisten/Coding Standards Einfaches Design: vereinfacht Review Statische Codeanalyse: Untersuchung des Codes ohne Ausführung bei Compilern und in IDEs verwendet: Type Check Style Check (zb Verwendung von Codierrichtlinien) Bug Finding (zb Ermittlung der Verwendung nicht initialisierter Variablen) zur Unterstützung von Secure Code Reviews unterschiedliche Algorithmen Problem: hohe false-positiv-rate Varianten: Signaturbasiert: Suche nach definierten Mustern wie strcpy Kontrollfluss-Analyse: Kontrollfluss = Ausführungsreihenfolge der einzelnen Instruktionen Intra-Prozedural vs. Inter-Prozedural (Call Graph) Datenfluss-Analyse: Zusammenhang Erzeuger Verbraucher von Daten Vertrauenswürdigkeit der Quellen Vulnerability Scanning: Suche nach Schwachstellen ohne weitere Ausnutzung dieser regelmäßige Wiederholung erster Schritt möglicher Angreifer automatisierbar Seite 27 von 32
28 Penetration Testing: Sicherheitsüberprüfung: o Schwachstellen finden o Ausnutzbarkeit zeigen (Kunde, Management) o Durchführung im Betrieb o Überprüfen unterschiedlicher Systemebenen (organisatorische Sicherheit durch Social Engineering) o je später, desto teurer o Berücksichtigung des gesamten Systems (OS, Datenbanken, ) o teilweise automatisierbar (Vulnerability Scanner) o wichtig: rechtliche Aspekte Testabdeckung: schwierig zu ermitteln (laufende Teilsysteme, Ports, Applikationen) methodische Vorgehensweisen Prozess: o Vorbereitung: Zielvereinbarung, Vertrag o Informationsbeschaffung o Testdurchführung o Dokumentation Seite 28 von 32
29 Fuzzing: Random Testing Automatisiertes Ausführen mit zufällig generierten oder vordefinierten Werten Testen der Datenfelder, Struktur und Ablauf Fuzzer für unterschiedliche Eingabeformate/Protokolle vorhanden Dateien: Bilder, HTML, XML, DOC, SWF, Netzwerkprotokolle: TCP/IP, RTP, Arten: Template/Block Fuzzer: einfache Protokolle, Berücksichtigung der Prüfmechanismen eines Protokolls (zb Checksummen, Schemavalides XML) Mutation Based Fuzzer: Verwendung bestehender Daten, Abwandlung Generation Based Fuzzer: spezielle Implementierung pro Format/Protokoll, aufwendiger bei Erstellung Model Based Fuzzer: Umsetzung eines komplexeren Ablaufs, zb Handshake Eingabedatengenerierung: zufällig generierte Daten: kein Wissen über spezielles Format erforderlich Ableitung der Werte von typischen Angriffswerten Fuzz-Vektor: XSS, SQL Injection, Erzeugung und Ausführung automatisierbar, große Anzahl von Datenvarianten möglich/erforderlich Fehlererkennung: Veränderungen eines Systems: Prozessorleistung, Einträge in Log-Dateien Überwachen des Prozesses durch Debugger Fehler der Applikation beobachten segfault Fehlerlokalisierung: Durch welchen Testfall verursacht? Seite 29 von 32
30 10. Chipkarten und RFID RFID = Radio Frequency Identification: RFID ist Übertragungsmedium (Alternative zu Bluetooth, Infrarot) keine Sichtverbindung erforderlich, zuverlässig, schnell bestimmte Materialien, andere Wellen können Funktionalität beeinträchtigen Systeme bestehen aus Reader + Tags/Chipkarten Reader immer aktiv, Tags meist passiv (keine eigene Stromquelle) RFID Setup: Reader Tagged Items im Feld des Readers Verbindung Reader (zum Teil offline) Server Herausforderungen: Echtzeit (zb U-Bahn Tokyo) Zuverlässigkeit (zb Logistik) Security (zb Payment) Tags: 1-Bit-Transponder (Diebstahlsicherung) ID-Tags (64 Bit) & Speicherkarten (ab 1 KB) Prozessorkarten (Crypto-Chip, Standard: ab 64 KB) Übertragungsverfahren: Vollduplex (FDX) Halbduplex (HDX) Sequentielle Verfahren (SEQ) Seite 30 von 32
31 Middleware: anwendungsneutrale Programme, die so zwischen Anwendungen vermitteln, dass die Komplexität dieser Applikationen und ihrer Infrastruktur verborgen bleibt Datenmanagement: Welche Daten wie oft an wen und wann? Lesegeräte-Management: Welcher Leser?, Authentifizierung Routing und Integration (Welche Datensenke bekommt welche Daten?) Segmentierung: Edge Tier: Reader Operational Tier: Aggregation, Routing Enterprise Tier: Prozesse, Kontext Warum RFID-System angreifen? WM-Tickets Oyster Card (London) Reisepass kontaktlose Zahlung Zutrittssysteme Besitz (Tier-Kennzeichnung) Gefahren der Übertragung über Luftweg: Abhören Stören/Blockieren (DoS) Verändern Zerstörung/Vandalismus (Privatsphäre) Angriffe: Tags: am ehesten für Angreifer zugänglich Zerstörung: Hammer, Säure, starkes Feld Abschirmen des Transponders (zb Folie) Klonen/Emulieren von Tags (einfach nur über Hardware) Angriffe gegenüber Transpondern Man in the Middle: Abhören der Kommunikation Störsender: Angriff auf Antikollision = Blocker-Tag: simuliert unterschiedlichste IDs Maßnahmen: kryptografische Sicherung des Kanals: gegenseitige symmetrische Authentifizierung Authentifizierung des Lesergeräts/Tags (Reisepass) Zugriffsrechte-Management auf Speicher im Chip Kostendruck sehr hoch Chipkarten: beliebtes Angriffsziel Smartcards: CPU, Crypto Engine Einsatz: Reisepass, Kreditkarten, Bankomatkarten (Magnetstreifen) Seite 31 von 32
32 Magnetstreifen: Daten von jedem lesbar (Reader: 60 Euro, Schreibgerät: 500 Euro) Daten teilweise als Hash oder verschlüsselt (PIN bei Bankomatkarten) Kreditkarten: Nummer im Klartext auf Karte 11. Social Hacking Social Engineer: hohe soziale Fähigkeiten hohe Selbstkontrolle kann spontan auf veränderte Situationen reagieren selbstbewusst, willensstark perfektionistisch Ablehnung von Tradition und Routine schnell gelangweilt Verlangen, sich mit Neuem zu beschäftigen Menschliche Faktoren von Social Engineering: Verhalten Beschreibung Beispiel Reziprozität Man fühlt sich verpflichtet, Gefall Kauf nach Gratisprobe zurückzuzahlen Konsistenz Übereinstimmung mit früherem Verhalten Zusage kann nur schwer gebrochen werden. Soziale Bewährtheit Orientierung an anderen Produkte als Top Seller beworben Symphatie Sympathischen Menschen hilft man lieber. attraktive Models in der Werbung Autorität Anweisungen von Autoritäten weniger in Arzt Frage gestellt Knappheit Knappe Ressourcen haben höheren Wert. nur mehr ein Stück auf Lager Social Engineering-Angriff: Angriffsziele: Geld Informationsbeschaffung Beziehungen aufbauen Beziehungen ausnutzen Ausführung Ego Unterhaltung Streitsachen (zb politische Auffassungen, Rache) Zugehörigkeit Status Seite 32 von 32
Thomas Macht Ausarbeitung Security-Test WS 10
Sicherheit definieren mit Grenzrisiko und Grenzrisiko definieren. Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbares Risiko eines technischen Vorgangs/Zustands
MehrThomas Macht Ausarbeitung Security-Test WS 09
Sicherheit und Grenzrisiko definieren Sicherheit: Risiko < Grenzrisiko, absolute Sicherheit gibt es nicht Grenzrisiko: größtes noch vertretbare Risiko eines technischen Vorgangs/Zustands Risiko definieren
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrDatensicherheit. Vorlesung 7: 29.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 7: 29.5.2015 Sommersemester 2015 h_da Heiko Weber, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrWiederholung: Informationssicherheit Ziele
Wiederholung: Informationssicherheit Ziele Vertraulichkeit: Schutz der Information vor unberechtigtem Zugriff bei Speicherung, Verarbeitung und Übertragung Integrität: Garantie der Korrektheit (unverändert,
MehrKryptographische Anonymisierung bei Verkehrsflussanalysen
Kryptographische Anonymisierung bei Verkehrsflussanalysen Autor: Andreas Grinschgl copyright c.c.com GmbH 2010 Das System besteht aus folgenden Hauptkomponenten: Sensorstationen Datenbankserver Anonymisierungsserver
MehrSession Management und Cookies
LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss
Mehr17 Ein Beispiel aus der realen Welt: Google Wallet
17 Ein Beispiel aus der realen Welt: Google Wallet Google Wallet (seit 2011): Kontaktlose Bezahlen am Point of Sale Kreditkarten werden im Sicherheitselement des Smartphone abgelegt Kommunikation über
MehrCommunity Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate
Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrSo gelingt die sichere Kommunikation mit jedem Empfänger. E-Mail-Verschlüsselung ist kein Hexenwerk
So gelingt die sichere Kommunikation mit jedem Empfänger Andreas Richter EVP Marketing & Product Management GROUP Business Software AG E-Mail-Verschlüsselung ist kein Hexenwerk Datenschutz im Fokus der
MehrE-Mail-Verschlüsselung viel einfacher als Sie denken!
E-Mail-Verschlüsselung viel einfacher als Sie denken! Stefan Cink Produktmanager stefan.cink@netatwork.de Seite 1 Welche Anforderungen haben Sie an eine E-Mail? Seite 2 Anforderungen an die E-Mail Datenschutz
MehrBetriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail
Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key
MehrKombinierte Attacke auf Mobile Geräte
Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
MehrSecurity Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung
Security Scan Wireless-LAN Zielsetzung & Leistungsbeschreibung Ausgangssituation : Ihr Internet Firewall Secure LAN Hacker Hacker und Cracker Erkennen die Konfigurationen! Sniffen die übertragenen Daten!
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
MehrE-Mail-Verschlüsselung mit Geschäftspartnern
E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3
MehrUni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)
Uni-Firewall Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina) Was ist eine Firewall? oder 2 Was ist eine Firewall? Eine Firewall muss ein Tor besitzen Schutz vor Angriffen
MehrSenden von strukturierten Berichten über das SFTP Häufig gestellte Fragen
Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrE-Mail-Verschlüsselung mit S/MIME
E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrIT-Security Herausforderung für KMU s
unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/
MehrNAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner
Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrDaten Monitoring und VPN Fernwartung
Daten Monitoring und VPN Fernwartung Ethernet - MODBUS Alarme Sensoren RS 232 / 485 VPN Daten Monitoring + VPN VPN optional UMTS Server Web Portal Fernwartung Daten Monitoring Alarme Daten Agent Sendet
MehrTCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen
TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrKonsistenz, Replikation und Fehlertoleranz
Konsistenz, Replikation und Fehlertoleranz Zugangssicherheit Kaufmann Daniel, Kranister Jürgen, Stundner Lukas Allgemeines Zugangssicherheit = Absicherung, dass nur berechtigte User/Geräte bestimmte Aktionen
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
MehrGrundlagen der Verschlüsselung
(Email & Festplatten & Kurznachrichten) 8 Mai 2015 base on: https://githubcom/kaimi/cryptoparty-vortrag/ Übersicht 1 2 3 4 5 1 2 3 4 5 Verlust des Geräts / der Festplatte Notebook verloren Einbruch alle
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrMan liest sich: POP3/IMAP
Man liest sich: POP3/IMAP Gliederung 1. Einführung 1.1 Allgemeiner Nachrichtenfluss beim Versenden von E-Mails 1.2 Client und Server 1.2.1 Client 1.2.2 Server 2. POP3 2.1 Definition 2.2 Geschichte und
MehrWeb 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte
Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript
MehrZeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI
Zeitstempel für digitale Dokumente Ein neuer Dienst in der DFN-PKI DFN-Betriebstagung 26. Februar 2008 Gerti Foest (pki@dfn.de) Was ist ein Zeitstempel? Zeitstempel sind gemäß [ISO18014-1] digitale Daten,
MehrSSL Secure Socket Layer Algorithmen und Anwendung
SSL Secure Socket Layer Algorithmen und Anwendung Präsentation vom 03.06.2002 Stefan Pfab 2002 Stefan Pfab 1 Überblick Motivation SSL-Architektur Verbindungsaufbau Zertifikate, Certification Authorities
MehrCCNA Exploration Network Fundamentals. ARP Address Resolution Protocol
CCNA Exploration Network Fundamentals ARP Address Resolution Protocol ARP: Address resolution protocol 1. Eigenschaften ARP-Cache Aufbau 2. Ablauf Beispiel Flussschema 3. ARP-Arten 4. Sicherheit Man-In-The-Middle-Attacke
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrMarcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch
Unified Communications Security Marcel Oberli Head of Confidence CASSARiUS AG 031 384 05 11 marcel.oberli@cassarius.ch 2 Geschäftseinheiten CASSARiUS Fortune Business und Informatik im Einklang. CASSARiUS
MehrSparkasse Duisburg. E-Mail versenden aber sicher! Sichere E-Mail. Anwendungsleitfaden für Kunden
Sparkasse Duisburg E-Mail versenden aber sicher! Sichere E-Mail Anwendungsleitfaden für Kunden ,,Digitale Raubzüge und Spionageangriffe gehören aktuell zu den Wachstumsbranchen der organisierten Kriminalität.
MehrPort-Weiterleitung einrichten
Port-Weiterleitung einrichten Dokument-ID Port-Weiterleitung einrichten Version 1.5 Status Endfassung Ausgabedatum 13.03.2015 Centro Business Inhalt 1.1 Bedürfnis 3 1.2 Beschreibung 3 1.3 Voraussetzungen/Einschränkungen
MehrSparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1
Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrU3L Ffm Verfahren zur Datenverschlüsselung
U3L Ffm Verfahren zur Datenverschlüsselung Definition 2-5 Symmetrische Verschlüsselung 6-7 asymmetrischer Verschlüsselung (Public-Key Verschlüsselung) 8-10 Hybride Verschlüsselung 11-12 Hashfunktion/Digitale
MehrSSL-Protokoll und Internet-Sicherheit
SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP
MehrInhaltsverzeichnis. Vorwort... 13. Einleitung... 15
Vorwort.................................................. 13 Einleitung................................................ 15 1 Aufwand versus Sicherheit was ist angemessen?.............. 17 1.1 Warum ist
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrSecurity. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung
4. Internet Verbindung 4.1 Einleitung Im Folgenden wird die Konfiguration der DFL-800 Firewall gezeigt. Sie konfigurieren einen Internet Zugang zum Provider mit dem Protokoll PPPoE. In der Firewallrichtlinie
MehrSicherheit in Webanwendungen CrossSite, Session und SQL
Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery
MehrEinführung in die Netzwerktechnik
Ich Falk Schönfeld Seit 8 Jahren bei eurogard GmbH Entwickler für Remoteserviceprodukte Kernkompetenz Linux Mail: schoenfeld@eurogard.de Telefon: +49/2407/9516-15 Ablauf: Was bedeutet Netzwerktechnik?
MehrIT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.
IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit
MehrEndgeräteunabhängige Schlüsselmedien
Endgeräteunabhängige Schlüsselmedien Seminarvortrag Caroline Schüller 864128 19-01-2015 Inhalt Motivation Grundlagen Schlüsselmedien Evaluation der Schlüsselmedien Fazit 2 Motivation CIRRUS 3 Grundlagen
MehrUmstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)
Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit) 1. Einleitung Die Elektronische Unterschrift (EU) dient zur Autorisierung und Integritätsprüfung von
MehrIst das so mit HTTPS wirklich eine gute Lösung?
SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen
MehrErstellen sicherer ASP.NET- Anwendungen
Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
MehrBedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien
Sie haben von der VR DISKONTBANK GmbH ein signiertes PDF-Dokument (i.d.r. eine Zentralregulierungsliste mit dem Status einer offiziellen Rechnung) erhalten und möchten nun die Signatur verifizieren, um
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrE-Mail Adressen der BA Leipzig
E-Mail Adressen der BA Jeder Student der BA bekommt mit Beginn des Studiums eine E-Mail Adresse zugeteilt. Diese wird zur internen Kommunikation im Kurs, von der Akademie und deren Dozenten zur Verteilung
MehrEine Praxis-orientierte Einführung in die Kryptographie
Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit
MehrSicherheitszertifikat überprüfen. 128-Bit-Verschlüsselung. Passwort und PIN-Code für den Kartenleser. Schutz vor Manipulationen
Verbindung zur Bank Rufen Sie für die E-Banking-Loginseite ausschliesslich über unsere Webseite http://www.zugerkb.ch oder via Direktlink https://wwwsec.ebanking.zugerkb.ch auf. Sollten Sie per E-Mail
Mehrestos UCServer Multiline TAPI Driver 5.1.30.33611
estos UCServer Multiline TAPI Driver 5.1.30.33611 1 estos UCServer Multiline TAPI Driver... 4 1.1 Verbindung zum Server... 4 1.2 Anmeldung... 4 1.3 Leitungskonfiguration... 5 1.4 Abschluss... 5 1.5 Verbindung...
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrEinführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen
Einführung in die Informationstechnik VII Handyviren Anonym im Netz surfen 2 Handyschadsoftware erster Handyvirus: 2004 für SymbianOS: Cabir Verbreitung über Bluetooth Ab Herbst 2004 Trojaner Mosquit.a:
MehrAudit von Authentifizierungsverfahren
Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrT.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten
T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Bewertung von Cloud-Angeboten Tobias Hahn Fraunhofer Institut für sichere Informationstechnologie (SIT) Vorstellung Tobias Hahn Wissenschaftlicher
MehrAdministrator Handbuch
SPTools Extension Keys: sptools_fal_base sptools_fal_driver SPTools Version: 1 Extension Version: 1.0.2 Inhaltsverzeichnis... 1 1. Einleitung... 2 2. Systemanforderungen... 3 3. SPTools FAL Installation...
MehrTechnische Grundlagen von Internetzugängen
Technische Grundlagen von Internetzugängen 2 Was ist das Internet? Ein weltumspannendes Peer-to-Peer-Netzwerk von Servern und Clients mit TCP/IP als Netzwerk-Protokoll Server stellen Dienste zur Verfügung
MehrISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote
Seite 1 von 7 ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung In größeren Firmenumgebungen
MehrVirtual Private Network. David Greber und Michael Wäger
Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrWireless & Management
4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung
MehrHandbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil D2:
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 02.05.2007 1 1 Nutzung Sicherer E-Mail...
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrFachbereich Medienproduktion
Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo
MehrMöglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015
Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Stand: 11/2015 Möglichkeiten der verschlüsselten E-Mail-Kommunikation mit der AUDI AG Vertrauliche Informationen dürfen von und zur
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrRechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen
Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Ziel Kennenlernen des Netzwerkprotokolls Http mit unterschiedlichen Formen der Authentifizierung sowie Absicherung des Netzwerkverkehrs
MehrSeminar: Konzepte von Betriebssytem- Komponenten
Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist
Mehrcrm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe
crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe crm-now/ps Webforms: Webdesigner Handbuch Copyright 2006 crm-now Versionsgeschichte Version 01 2006-08-21 Release Version crm-now c/o im-netz Neue
MehrWeb Application Security
Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung
MehrZertifikatssperrliste(n) in Active Directory veröffentlichen
[Geben Sie Text ein] Zertifikatssperrliste(n) in Active Directory veröffentlichen Zertifikatssperrliste(n) in Active Directory veröffentlichen Inhalt Zertifikatssperrliste(n) in Active Directory veröffentlichen...
MehrDatenübertragungsportal
Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu
MehrHowTo: Einrichtung & Management von APs mittels des DWC-1000
HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
Mehr