Rechnernetze und verteilte Systeme (BSRvS II)

Größe: px
Ab Seite anzeigen:

Download "Rechnernetze und verteilte Systeme (BSRvS II)"

Transkript

1 Rechnernetze und verteilte Systeme (BSRvS II) Prof. Dr. Heiko Krumm FB Informatik, LS IV, AG RvS Universität Dortmund Sicherheitsziele Kryptographie abstrakt Authentifikation Integrität Schlüsselverteilung und Zertifikate Firewalls Angriffe und Gegenmaßnahmen IPsec Computernetze und das Internet Anwendung Transport Vermittlung Verbindung Multimedia Sicherheit Netzmanagement Middleware Verteilte Algorithmen H. Krumm, RvS, Informatik IV, Uni Dortmund 1

2 Kap. 7: Sicherheit im Netz Lernziele: Prinzipien der Sicherheit im Netz Kryptographie und Nutzungen, die über Vertraulichkeitsschutz hinausgehen Authentifikation Nachrichtenintegrität Schlüsselverteilung Sicherheit in der Praxis Firewalls Sicherheitsfunktionen in den Kommunikationsschichten Eigentümer Angreifer hat Interesse an will minimieren weiß u.u. von erwirkt Schutzmaßnahme kann reduziert werden durch Bedrohung erzeugt missbraucht / schädigt reduziert u.u. behaftet mit Schwachstelle nutzt aus erhöht von führt zu Risiko für Wert H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 2

3 Kap. 7: Übersicht 7.1 Sicherheitsziele 7.2 Kryptographie abstrakt 7.3 Authentifikation 7.4 Integrität 7.5 Schlüsselverteilung und Zertifikate 7.6 Firewalls 7.7 Angriffe und Gegenmaßnahmen 7.8 Sicherheit in den verschiedenen Kommunikationsschichten H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 3

4 Sicherheitsziele Vertraulichkeit Integrität Verfügbarkeit Die drei immer genannten Hauptziele Anonymität Es gibt weitere Ziele. Ziele können gegensätzlich sein Nachvollziehbarkeit / Zurechenbarkeit Authentifikation Autorisierung Die beiden grundlegenden Hilfsdienste Im Netz: Nachrichtenvertraulichkeit / Integrität Nachrichten--Absenderauthentifikation, Empfängerauthentifikation H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 4

5 Freunde und Feinde: Alice, Bob, Trudy In der Welt der Netzsicherheit wohlbekannt Bob und Alice (befreundet!) wollen sicher kommunizieren Trudy (der Eindringling) kann Nachrichten abfangen, löschen, verändern, einschleusen Alice Kanal Daten und Kontrollnachrichten Bob data Sicherer Sender Sicherer Empfänger data Trudy H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 5

6 Wer kann Bob und Alice sein? natürlich real-life Bobs und Alices! Web-Browser und Server, die elektronische Transaktionen asusführen (e.g., On-line-Shop Einkauf) On-line Banking-Client und Server DNS-Server Router, die Routingtabellen aktualisieren weitere Beispiele? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 6

7 Es gibt aber überall auch bad Guys (und Girls)! F: Was kann ein bad Guy tun? A: Jede Menge! Abhören aktiv neue Nachirchten einfügen / unterschieben Maskerade: fälschen (spoof) der Quelladresse eines Pakets (oder anderer Kontrollfelder) Sitzungsübernahme (Hijacking) / Verbindungsübernahme Verfügbarkeitsattacke (Denial of Service / DoS-Attacke) darüber später mehr H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 7

8 Kryptographie abstrakt K A Alices Verschlüsselungsschlüssel K B Bobs Entschlüsselungsschlüssel Klartext/Plaintext encryption algorithm ciphertext decryption algorithm Klartext/ Plaintext Symmetrische Verschlüsselung: Beide Schlüssel sind identisch Shared Secret Asymmetrische Verschlüsselung: Paar aus öffentlichem und privatem Schlüssel (Public Key, Private Key), (Privater Schlüssel ist geheim) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 8

9 Symmetrische Verschlüsselung K A-B K A-B plaintext message, m encryption algorithm ciphertext K A-B (m) decryption algorithm plaintext m = K ( K (m) ) A-B A-B Symmetrische Verschlüsselung: Bob and Alice kennen beide gemeinsam denselben Schlüssel: Shared Secret K A-B Problem Das Shared Secret muss irgendwann vorher einmal auf sichere Weise kommuniziert worden sein: Man kann nur dann sicher kommunizieren, wenn man vorher schon einmal sicher kommunizieren konnte! Vorteil Leistungsfähige Algorithmen und Implementierungen verfügbar. Beispiele: DES, TripleDES, AES H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 9

10 Public Key Kryptographie Asymmetrische Verschlüsselung + K B - K B Bob s public key Bob s private key plaintext message, m encryption algorithm ciphertext + K (m) B decryption algorithm plaintext message - + m = K (K (m)) B B Public Key Kryptographie [Diffie-Hellman76, RSA78] Es gibt kein geteiltes Geheimnis Alle kennen den öffentlichen Schlüssel Nur der Empfänger kennt den privaten Entschlüsselungsschlüssel H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 10

11 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 11

12 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Da Bob Alice nicht sehen kann, kann Trudy einfach behaupten, selbst Alice zu sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 12

13 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 13

14 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Trudy can ein IP-Paket mit gefälschter Absenderadresse erzeugen (IP-Spoofing) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 14

15 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 15

16 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Alice s IP addr Alice s password I m Alice Wiedereinspiel-Attacke (Playback): Trudy hört Alices Paket mit, kopiert es und sendet es später an Bob H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 16

17 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 17

18 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Alice s IP addr encrypted password I m Alice Wiedereinspiel-Attacke funktioniert immer noch H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 18

19 Authentifikation: Nächster Versuch Ziel: Verhindere erfolgreiche Playback-Attacken Nonce: Zahl, die nicht vorhersagbar ist und nur einmal benutzt wird (N once ) ap4.0: Als Beweis dafür, dass Alices Antwort frisch ist, sendet Bob eine Nonce R an Alice, Alice muss R in verschlüsselter Weise zurücksenden (Challenge-Response-Authentifkation) I am Alice Schwachstellen?? Achtung Alice: Bob hat sich nicht authentifiziert! R K A-B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 19 (R) Die Antwort ist frisch, und sie kommt von Alice, da nur sie (außer Bob) K A-B kennt und R verschlüsseln konnte.

20 Authentifikation mit Public Key Kryptographie ap4.0 benötigt ein Shared Secret K A-B, das initial beiden bekannt sein muss Geht es auch mit Public-Key-Verschlüsselung? ap5.0: Nonce und Signatur R I am Alice - K A (R) send me your public key + K A K A Bob berechnet + - (K (R)) = R A und weiß, dass nur Alice ihren privaten Schlüssel kennt, so dass nur sie die Nachricht erzeugen konnte H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 20

21 ap5.0: Schwachstelle Man in the Middle Angriff Man (woman) in the middle attack: Trudy gibt sich bei Bob als Alice und bei Alice als Bob aus - + m = K (K (m)) A A I am Alice R - K (R) A Send me your public key K + A + K (m) A Trudy gets - + m = K (K (m)) sends T m to T Alice encrypted with Alice s public key I am Alice R - K (R) T Send me your public key K + T + K (m) T Problem: Zuordnung K Alice + A sollte für Bob prüfbar sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 21

22 Digitale Unterschrift (Digital Signature) Kryptographische Technik, welche die Funktion handschriftlicher Unterschriften erfüllen soll Sender (Bob) signiert ein Dokument digital und bestätigt damit, dass er das Dokument so erzeugt hat verifizierbar, fälschungssicher: Empfänger (Alice) kann Dritten gegenüber beweisen, dass Bob, und niemand anders (auch Alice nicht), das Doklument signiert haben muss ABER: Kryptoalgorithmen sind nicht ewig sicher: Digitale Unterschriften müssen alle paar Jahre aufgefrischt werden Private Schlüssel können korrumpiert werden: Rückrufe H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 22

23 Digitale Signatur Einfache digitale Signatur für eine Nachricht m: Bob signiert m dadurch, dass er m mit seinem privaten Schlüssel K B - verschlüsselt: K B - (m) Bob s message, m Dear Alice Oh, how I have missed you. I think of you all the time! (blah blah blah) Bob - K B Public key encryption algorithm Bob s private key - K B (m) Bob s message, m, signed (encrypted) with his private key Wenn Alice diese Nachricht empfängt, den öffentlichen Schlüssel von Bob kennt und davon ausgehen kann, dass Bobs privater Schlüssel nur Bob bekannt ist: Bob und kein anderer hat diese Nachricht so signiert Bob kann nicht abstreiten, dass er die Nachricht signiert hat Probleme: Asymmetrische Verschlüsselung ist rechenaufwendig Wie erfährt Alice den öffentlichen Schlüssel K B + von Bob? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 23

24 Message Digest Kryptographische Hashfunktion Das direkte Signieren langer Nachrichten kostet viel Rechenzeit Ziel: effizient berechenbarer Fingerabdruck einer Nachricht m: Message Digest H(m) H ist kryptographische Hashfunktion Beispiele MD5 (RFC 1321) computes 128-bit message digest in 4- step process. arbitrary 128-bit string x, appears difficult to construct msg m whose MD5 hash is equal to x. SHA-1 (NIST Standard) large message m H: Hash Function H(m) Eigenschaften kryptographischer Hashfunktionen: Abbildung langer Bytefolgen auf kürzere Folge Nicht umkehrbar: Gegeben x = H(m), so ist es allzu aufwendig daraus m zu berechnen Gegeben m und x=h(m), so ist es allzu aufwendig ein m m zu finden, so dass x=h(m ) gilt. Es ist allzu aufwendig, überhaupt zwei m, m zu finden, so dass H(m)=H(m ) gilt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 24

25 Internet Checksum: Zu schwach um Kryptohashfunktion zu sein Internet Checksum hat einige Hashfunktionseigenschaften: Abbildung auf kurze Bytefolge Streuung Aber, es ist sehr leicht, zu einer Nachricht m eine andere Nachricht m zu finden, welche denselben Funktionswert hat: message ASCII format message ASCII format I O U B O B 49 4F E D2 42 I O U B O B 49 4F E D2 42 B2 C1 D2 AC B2 C1 D2 AC Verschiedene Nachrichten aber gleiche Prüfsummen! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 25

26 Digitale Signatur = Signierter Message Digest Bob sendet digital signierte Nachricht Alice verifiziert die Signatur und die Integrität der signierten Nachricht large message m + H: Hash function Bob s private key - K B H(m) digital signature (encrypt) encrypted msg digest - K B (H(m)) large message m H: Hash function H(m) Bob s public key + K B equal? encrypted msg digest - K B (H(m)) digital signature (decrypt) H(m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 26

27 Vertrauenswürdige dritte Parteien Verwaltung symmetrischer Schlüssel: Wie können 2 Parteien im Netz ein Shared Secret etablieren? Lösung: Key Distribution Center (KDC) wirkt als Mittler zwischen den Parteien statt n 2 Shared Secrets zwischen allen Paaren sind initial nur n Shared Secrets zwischen KDC und den Parteien einzurichten KDC generiert bei Bedarf Sitzungsschlüssel für 2 Parteien Public Key Zertifizierung: Wenn Alice den öffentlichen Schlüssel von Bob erfährt, wie kann sie sicher sein, dass das wirklich Bobs öffentlicher Schlüssel ist Lösung: Zertifizierungsstelle (Certification Authority CA) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 27

28 Key Distribution Center (KDC) Alice, Bob brauchen ein Shared Secret zur effizienten sicheren Kommunikation KDC: Server verwaltet je Partei einen geheimen Schlüssel Alice und Bob kennen jeweils ihre eigenen geheimen Schlüssel, K A-KDC K B-KDC, mit deren Hilfe sie mit dem KDC authentifiziert kommunizieren können. Wenn Alice eine Sitzung mit Bob durchführen will, lassen sie sich vom KDC einen Sitzungsschlüssel als Shared Secret zwischen Alice und Bob erzeugen K Bauzi- KDC K A-KDC K B-KDC K A-KDC K B-KDC K Bauzi- KDC K X-KDC K Y-KDC K Z-KDC KDC H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 28

29 Key Distribution Center (KDC) Wie erfährt Bob den Sitzungsschlüssel R1? KDC erzeugt Ticket, das von Alice unveränderbar an Bob weitergegeben wird K A-KDC (A,B) KDC generates R1 Alice knows R1 K A-KDC (R1, K B-KDC (A,R1) ) K B-KDC (A,R1) Bob knows to use R1 to communicate with Alice Alice und Bob kommunizieren effizient: Sie nutzen R1 als Session Key für die symmetrische Verschlüsselung H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 29

30 Zertifizierungsstellen (Certification Authorities CAs) Certification Authority (CA): Verwalte die Bindung eines öffentlichen Schlüssels an Person / Partei E. E registriert seinen öffentlichen Schlüssel bei CA. E weist sich bei CA aus (z.b. mit dem Personalausweis) CA erzeugt einen Datensatz, das Zertifikat, das die Bindung von K E + an E dokumentiert Zertifikat: K E + ist öffentlicher Schlüssel von E digital signiert von CA Bob s identifying information Bob s public + key K B digital signature (encrypt) CA private key K - CA + K B certificate for Bob s public key, signed by CA H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 30

31 Inhalt eines Zertifikats Seriennummer (eindeutig für alle Zertifikate derselben CA) Information zur Partei: Name, Art auch (hier nicht sichtbar) öffentlicher Schlüssel sowie Angaben zu unterstützten Kryptoalgorithmen Info zu CA Gültigkeitszeitdauer Signatur der CA Weitere Aufgaben einer CA Zeitstempel Rückruf-Listen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 31

32 Firewalls Firewall Verkehrskontrolleinrichtung an Grenze eines Firmennetzes zum öffentlichen Netz hin (auch an Innennetzgrenzen zu sensiblen Subnetzen): Lässt manche Kommunikation zu, manche nicht. administered network public Internet firewall H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 32

33 Firewalls: Motivation Eigentlich sind Firewalls nicht nötig, weil alle Hosts und Router nur vorgesehene Dienste an vorgesehene Nutzer erbringen sollen und dies durch die Autorisierungs- und Authentifikationsdienste der Rechner kontrolliert wird. Aber es gibt immer wieder unvorhergesehene Schwachstellen, die aus Programmierund Administrationsfehlern resultieren. Deshalb sollen Firewalls zusätzlich unabhängig von den anderen Diensten unerwünschten Verkehr abblocken und damit die Angriffsfläche verkleinern. Ferner Abwehr von Verfügbarkeitsangriffen auf das Innennetz Abwehr von IP-Spoofing-Angriffen Oft in Verbindung mit NAT Oft in Verbindung mit VPN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 33

34 Firewalls: Architektur Drei Aspekte Netztopologie Innennetz Außennetz, Firewall an Verbindungswegen Filterfunktion 3 Filtertypen Applikationsfilter Verbindungsfilter Paketfilter (statisch / dynamisch) Filteranordnung nur ein Router mit Paketfilter mehrere zusammenwirkende Filter und Knoten» Dual homed Bastion Host» Screened Subnet administered network public Internet H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 34

35 Paket-Filter Router, der Innen- und Außennetz verbindet, hat Paketfilterfunktion Liste aus Filterregeln der Form Interface, Bedingung über Paket-Header, Aktion Bedingung: source IP address, destination IP address, TCP/UDP source and destination port numbers ICMP message type, TCP SYN and ACK bits Aktion: Paket durchlassen, verwerfen (mit / ohne Alarm) Statische und dynamische Filter Filterlisten Aufbau Should arriving packet be allowed in? Departing packet let out? Vorne: Anti-Spoofing Regeln verbieten, dass von außen Pakete mit Innenadressen durchkommen Mitte: Nur positive Regeln für den notwendigen Verkehr Hinten: Negative Regeln, die den ganzen Rest verbieten. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 35

36 Verbindungsfilter Realisierung durch einen Prozess Verbindungs-Gateway auf einem Firewall-Host Es werden keine direkten Transportverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die TCP-Nutzdaten aus und verpackt sie selbst wieder Prüfung der TCP-Adressen und Formate, Erschweren von Formatfehler- und Segmentierungsattacken Die eigentlichen Anwendungsdaten können nicht untersucht werden, weil das Verbindungsgateway das Anwendungsprotokoll nicht kennt TCP-Verbindung Host -- Gateway Verbindungs- Gateway TCP-Verbindung Gateway -- Server H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 36

37 Applikationsfilter Realisierung durch einen Prozess Applikationsgateway auf einem Firewall-Host, z.b. Telnet-Gateway Es werden keine direkten Anwendungsverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die Anwendungsnutzdaten aus und verpackt sie selbst wieder Gateway kann Anwendungsdaten interpretieren, da speziell für bestimmten Anwendungstyp erzeugt: Nutzerkennungen, Authentifikation und Autorisierung Zusatzdaten (z.b. Mail-Anhänge, Active X, Applets) host-to-gateway telnet session application gateway gateway-to-remote host telnet session Ein Applikationsgateway wird oft auch Applikations-Proxy oder Applikationsfilter genannt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 37

38 Firewall Filteranordnung Screening Router Innennetz Router mit Paketfilterfunktion Außennetz Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern Außennetz Dual Homed Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern und 2 Netzinterfaces Außennetz H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 38

39 Firewall Filteranordnung Innennetz Screened Subnet Firewall Screened Subnet Außennetz Interior Screening Router Bastion Hosts Exterior Screening Router Firewall besteht aus 2 Paketfiltern und einigen Bastion Hosts Paketfilter schützen die Bastion Hosts und erzwingen, dass Verkehr nur über die Gateways der Bastion Hosts stattfindet Bastion Hosts tragen die Anwendungsgateways z.b. auch -Proxy mit Virenscanner H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 39

40 Firewall Filteranordnung Innennetz Firewall DMZ Exterior Screening Router Außennetz Bastion- Hosts Demilitarisierte Zone (DMZ) Niemandsland enthält Server, die von außen zugänglich sein sollen, z.b.: WWW-Server FTP-Server Server-Hosts DMZ Firewall: Separate Firewalls zum Schutz der DMZ und des Innennetzes nötig Wenn ein Angreifer einen Server-Host übernehmen konnte, versucht er von dort aus, das Innennetz anzugreifen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 40

41 Typische Bedrohungen im Internet (Internet Security Threats) Mapping und Scanning: Vor dem eigentlichen Angriff: Erkunde das Netz, finde heraus, welche Hosts, Dienste, Betriebssysteme vorhanden sind ping kann zeigen, welche Host-Adressen vergeben sind (auch Verzeichnisse sind nützlich) Port-Scanning: Versuch, zu jedem TCP Port eine Verbindung aufzubauen bzw. jeden UDP-Port anzusprechen Kommt eine Reaktion, welche? Bekannte Schwachstellen und Angriffsmuster durchspielen.» nmap (http://www.insecure.orig/nmap/) mapper: network exploration and security auditing Ferner: Versuch, sich einzuloggen, Versuch FTP-Server-Account anzusprechen. Nutzernamen und Passwörter raten. Defaultmäßig eingerichete Accounts antesten. Schutzmaßnahmen? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 41

42 Internet Security Threats: Schutzmaßnahmen Verkleinere Angriffsfläche Firewalls Auf Desktop-PC: Personal Firewall Gehärtete Konfiguration Bemerke Besonderheiten Log-Erzeugung und Prüfung (Logging and Audit) Verkehrsstatistiken führen und überwachen Systemkonfiguration und Dateien überwachen (Tripwire) IDS Automatische Angriffserkennunng (Intrusion Detection Systeme) Entferne Schwachstellen Aktualisiere Systeme, wenn Patches verfügbar Scanne selbst, um Schwachstellen zu finden Wehre bösartigen Code ab Virenscanner, Firewall, gehärtete Konfiguration, eingeschränkte Nutzeraccounts H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 42

43 Internet Security Threats Auch das Innennetz ist nicht sicher: Packet Sniffing Ethernet hat Broadcast-Segmente Angreifer kann seinen NIC so einstellen, dass er jedes Paket mitliest (promiscuous Mode) nicht-verschlüsselte Daten können gelesen werden (e.g. Passwörter) verschlüsselte Pakete können wieder eingespielt werden e.g.: C snifft Bs Pakete A C Schutzmaßnahmen? 1 Host per Segment (Switches) geschützte VPN-Verbindungen src:b dest:a payload B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 43

44 Internet Security Threats IP-Spoofing: Der Sender eines IP-Pakets fälscht die Absender-Adresse Der Empfänger kann nie sicher sein, dass die Absender-Adresse stimmt e.g.: C pretends to be B A C src:b dest:a payload B Schutzmaßnahmen? Paketfilter enthalten Anti-Spoofing Regel (Grober Schutz gegen Adressbereichs-übergreifendes Spoofing) authentifizierte VPN-Verbindungen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 44

45 Internet Security Threats Verfügbarkeitsangriffe (Denial of Service Attacken DoS): Flut böswillig generierter Pakete überlastet den Empfänger Distributed DoS (DDoS): koordinierte Angriffe vieler Sender (z.b. durch von Trojanern verseuchten Internet-User-PCs aus) e.g., SYN-Angriff (führt zu halboffenen TCP-Verbindungen) A C SYN SYN Schutzmaßnahmen? SYN SYN SYN SYN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 45 SYN Herausfiltern (Firewall) - Problem: Wie trennt man Gute von Schlechten? Rückverfolgen B

46 Sichere Vertraulichkeit Alice will vertrauliche Mail m an Bob senden Bob hat zertifizierten öffentlichen Schlüssel K S m. K S ( ) K S (m ) K S (m ). K S ( ) m K S +. K B ( ) + K B + K B (K S ) + - Internet + K B (K S ) Alice: Prüft Bobs Zertifikat: Gültig? Generiert per Zufallsgenerator symmetrischen Secret Key K S Verschlüsellt Nachricht mit K S (Effizienz) verschlüsselt K S mit Bobs öffentlichem Schlüssel sendet beides, K S (m) und K B (K S ), in an Bob Bob entschlüsselt erst K B (K S ), dann K S (m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 46 - K B K S -. K B ( )

47 Sichere Integrität und Authentizität Alice möchte, dass Bob von der Authentizität und Integrität der Mail ausgehen kann m - K A. H( ) K A ( ) -. - K A (H(m)) + - Internet - K A (H(m)) + K A +. K A ( ) H(m ) compare m m. H( ) H(m ) Alice signiert ihre Nachricht digital sie sendet Klartextnachricht, Signatur und Zertifikat H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 47

48 Sichere Vertraulichkeit, Integrität und Authentizität Alice möchte Vertraulichkeit, Integrität und Authentizität gewährleisten. m m - K A. H( ) K A ( ) -. - K A (H(m)) Alice benutzt drei Schlüssel: Ihren eigenen privaten Schlüssel, Bobs öffentlichen Schlüssel und einen zufällig erzeugten symmetrischen Schlüssel + K S. K S ( ) +. K B ( ) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 48 + K B K S + + K B (K S ) Internet

49 Sichere Problem PKI PKI: Public Key Infrastructure 1. anerkannte Certification Authorities (CAs) 2. Nutzer müssen dort auch ein Zertifikat haben Kosten der Zertifikate Interessant Billige Lösungen z.b. PGP Web of Trust: Nutzer zertifizieren sich gegenseitig H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 49

50 TLS / SSL: Transport Layer Security / Secure Socket Layer Aufsatz auf TCP-Verbindungen: (optionale) Authentifikation der Partnerprozesse Vertraulichkeit, Integrität und Authentizität der Nachrichten per Verschlüsselung in Anwendungsprozessen zu implementieren, z.b. im Web- Browser und im Web-Server (shttp) Betrieb in 2 Phasen 1. Vorbereitung Authentifikation, Kryptoparameterabstimmung, Sitzungsschlüsselaustausch 2. Kommunikation Wie TCP über Sockets Server Authentifikation: SSL-Enabled Browser enthält Zertifikate vertrauenswürdiger CAs. Browser fordert von einem kontaktierten Server dessen Zertifikat an, das von einer dieser CAs ausgestellt sein muss Browser prüft mit dem CA-Zertifikat, ob das Server-Zertifikat gültig ist (Problem: Rückrufe) Schauen Sie mal in die Einstellungen Ihres Browsers um die CA-Liste einzusehen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 50

51 IPsec: Network Layer Security IPsec ist im Protokoll IP V6 enthalten Es kann auch in IP V4 eingesetzt werden IPsec sichert den IP- Paketaustausch zwischen Netzknoten IPsec wird als Aufsatz auf IP im Kern des Host-Betriebssystems implementiert und durch Administrationsparameter aktiviert Vorteil: Keine Änderungen oder Ergänzungen der Anwendungsprozesse nötig Nachteil: Knoten und nicht individuelle Anwendungsprozesse bilden die Endpunkte der gesicherten Kommunikation Problem: IP ist verbindungslos/sitzungslos Effiziente Kommunikation verlangt Sitzungsschlüssel als Shared Secret Lösung: Konzept der Security Association SA Je Paar aus Quelle und Ziel (also auch je Richtung) wird SA definiert Alle passenden IP-Pakete gehören zur SA, solange SA existiert Betrieb ähnlich SSL: 2 Phasen SA Aufbau Paketaustausch SA-Aufbau wird durch Knotenadministration gesteuert: Security Policy Definition (SPD) legt für Quelle Ziel fest, ob und mit welchen Parametern eine SA einzurichten ist, so dass die IP-Pakete, die diesem Muster folgen, nur innerhalb einer solchen SA ausgetauscht werden. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 51

52 IPsec: Network Layer Security statisch Administration Security Policy Definition zur Laufzeit IP-Paket (soll gesendet werden) Schreibt ein SPD- Eintrag eine SA vor? Wenn ja: Erzeuge zunächst SA und sende Paket danach entsprechend Gibt es schon passende SA? Wenn ja: Sende Paket entsprechend IP-Paket (kommt an) Security Association Database Paket enthält SA-Verweis: Behandle entsprechend H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 52

53 IPsec: Network Layer Security Es gibt zwei Betriebsarten Transportmodus gesicherte Kommunikation zwischen Anwendungsprozessen (fast wie SSL, aber nicht durch Anwendungsprozess selbst, sondern durch Knotenadministrator eingerichtet) Tunnelmodus gesicherte Kommunikation zwischen Knoten insgesamt Nutzung zur Bildung Virtueller Privater Netze (VPNs) VPN-Bildung Firmennetz besteht aus Filialnetzen Sie werden über das öffentliche Internet verbunden Die Grenzrouter der Filialnetze richten dazu zueinander IPsec Tunnel ein TCP/UDP-PDU wird als IP-Paket-Nutzdatum geschützt Innennetz 1 IP- Paket Grenzrouter 1 Internet IP- Paket IP- Paket IP-Paket wird in neues IP-Paket als Nutzdatum verpackt und geschützt Grenzrouter 2 Tunnel Innennetz 2 IP- Paket H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 53

54 IPsec: Network Layer Security Es gibt zwei Schutzfunktionen, jede entspricht einem Zusatzheader des IP-Pakets Authentication Header (AH) IP header AH header data (e.g., TCP, UDP segment) Authentifikation von Absender und Empfänger Integrität keine Vertraulichkeit Encapsulated Security Payload (ESP) IP header ESP header authenticated encrypted TCP/UDP segment ESP trailer ESP authent. Authentifikation, Integrität und Vertraulichkeit Die Art der Schutzfunktion und die Parameter werden durch die SA bestimmt (die ihrerseits wieder durch einen SPD-Eintrag bestimmt wird) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 54

55 IEEE Wireless LAN Security WLAN-Frames können leicht abgehört werden Funkwellen halten sich nicht an die Grundstücksgrenzen es gibt Richtantennen Sicherheitsfunktionen Authentifikation und Verschlüsselung Wired Equivalent Privacy (WEP): Ein schwacher Versuch Authentifikation a la ap4.0, Shared Secret und Challenge Response basiert» Host sendet Request an Access Point, der antwortet mit 128-Bit Nonce» Host sendet verschlüsselte Nonce zurück Keine dynamische Schlüsselverteilung Es gibt für Access Point und alle Hosts ein Gruppen- Shared Secret Daraus werden alle benötigten Schlüssel abgeleitet. Verschlüsselung ist relativ leicht zu brechen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 55

56 WEP Verschlüsselung Host/AP share 40 bit symmetric key Host appends 24-bit initialization vector (IV) to create 64-bit key IV 64 bit key used to generate stream of keys, k i IV IV k i used to encrypt ith byte, d i, in frame: c i = d i XOR k i IV and encrypted bytes, c i sent in frame IV (p e r fra m e ) K S : 40-b it se c re t s y m m e tr ic k e y p la in te x t fra m e d a ta p lu s C R C IV IV IV k 1 k 2 k 3 k e y se q u e n c e g e n e ra to r ( fo r g iv e n K S, IV ) IV k N k IV IV N + 1 k N + 1 d 1 d 2 d 3 d N C R C 1 C R C h ea d er IV W E P -e n c ryp ted d a ta p lu s C R C c 1 c 2 c 3 c N c N + 1 c N + 4 F ig u r e 7.8 -n e w 1 : W E P p ro to co l H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 56

57 Brechen der WEP Verschlüsselung Schwachstelle: 24-bit IV, one IV per frame, IV s eventually reused IV transmitted in plaintext IV reuse detected Angriff: Trudy causes Alice to encrypt known plaintext d 1 d 2 d 3 d 4 Trudy sees: c i = d i XOR k i IV Trudy knows c i d i, so can compute k i IV Trudy knows encrypting key sequence k 1 IV k 2 IV k 3 IV Next time IV is used, Trudy can decrypt! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 57

58 802.11i: Verbesserte Sicherheit im WLAN man kann deutlich stärker verschlüsseln dynamische Schlüsselverteilung wird unterstützt bindet einen separaten Authentifikationsserver ein, der nicht mit dem Access Point zusammenfällt (z.b. Kerberos, RADIUS) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 58

59 802.11i: Vier Phasen des Betriebs STA: client station AP: access point wired network AS: Authentication server 1 Discovery of security capabilities 2 STA and AS mutually authenticate, together generate Master Key (MK). AP servers as pass through 3 STA derives Pairwise Master Key (PMK) 3 AS derives same PMK, sends to AP 4 STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 59

60 EAP: Extensible Authentication Protocol EAP: Protokoll zwischen mobilem Client und dem Authentifikationsserver Ist erweiterbar, d.h. kann verschiedene Authentifikationsverfahren einbetten, z.b. RADIUS Authentifikation über verschiedene Teilstrecken abgewickelt mobiler Client Access Point (EAP over LAN) Access Point Authentifikationsserver (RADIUS over UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE RADIUS UDP/IP H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 60

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation

Mehr

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.

Mehr

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase

Verteilte Systeme. Sicherheit. Prof. Dr. Oliver Haase Verteilte Systeme Sicherheit Prof. Dr. Oliver Haase 1 Einführung weitere Anforderung neben Verlässlichkeit (zur Erinnerung: Verfügbarkeit, Zuverlässigkeit, Funktionssicherheit (Safety) und Wartbarkeit)

Mehr

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005 Universität Salzburg, WAP Präsentation, 2005 Gliederung 1 WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken Statistische Untersuchen 2 Gliederung WLAN die neue drahtlose Welt Gefahren in WLAN Netzwerken

Mehr

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen

Authentication Header: Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen IP Security Zwei Mechanismen: Authentication : Nur Datenauth. (Exportbeschränkungen) Empfehlung: Nicht mehr umsetzen Encapsulating Security Payloads (ESP): Verschl., Datenauth. Internet Key Exchange Protokoll:

Mehr

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie

Mehr

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch IPSec Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch Motivation Anwendung auf Anwendungsebene Anwendung Netzwerk- Stack Netzwerk- Stack Anwendung Netzwerk- Stack Netz

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404

Rechnernetze II SS 2015. Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Rechnernetze II SS 2015 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. Juli 2015 Betriebssysteme / verteilte Systeme Rechnernetze

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G

Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Site2Site VPN S T E F A N K U S I E K B F W L E I P Z I G Übersicht Einleitung IPSec SSL RED Gegenüberstellung Site-to-Site VPN Internet LAN LAN VPN Gateway VPN Gateway Encrypted VPN - Technologien Remote

Mehr

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc. Remote Access Virtual Private Networks 2000, Cisco Systems, Inc. 1 Remote Access Telefon/Fax WWW Banking E-mail Analog (?) ISDN xdsl... 2 VPNs... Strong encryption, authentication Router, Firewalls, Endsysteme

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Sichere Netzwerke mit IPSec. Christian Bockermann

Sichere Netzwerke mit IPSec. Christian Bockermann <christian@ping.de> Sichere Netzwerke mit IPSec Christian Bockermann Überblick Gefahren, Ziele - Verschlüsselung im OSI-Modell IPSec - Architektur - Schlüssel-Management - Beispiele Unsichere Kommunikation

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien IPsec Vortrag im Rahmen des Seminars Neue Internet Technologien Friedrich Schiller Universität Jena Wintersemester 2003/2004 Thomas Heinze, Matrikel xxxxx Gliederung IPsec? - Motivation, Grundbegriffe,

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet. 1. VPN Virtual Private Network Ein VPN wird eingesetzt, um eine teure dedizierte WAN Leitung (z.b. T1, E1) zu ersetzen. Die WAN Leitungen sind nicht nur teuer, sondern auch unflexibel, da eine Leitung

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Sicherheit in Wireless LANs

Sicherheit in Wireless LANs Sicherheit in Wireless LANs VS-Seminar Wintersemester 2002/2003 Betreuer: Stefan Schmidt Übersicht Funktion und Aufbau von Infrastruktur Wireless LAN Sicherheit in Wireless LANs Sicherungsmechanismen in

Mehr

Sicherheitsdienste in IPv6

Sicherheitsdienste in IPv6 Sicherheitsdienste in IPv6 Dr. Hannes P. Lubich Bank Julius Bär Zürich IP Next Generation - Sicherheitsdienste in IPv6 (1) Motivation Die neuen Benutzungsformen des Internet für Electronic Commerce und

Mehr

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de Nutzerauthentifizierung mit 802.1X Torsten Kersting kersting@dfn.de Inhalt EAP Protokoll EAP Methoden 802.1X Netzwerk Port Auth. 802.1X in WLAN s 802.11i (TKIP, CCMP, RSN) Einführung Design Fehler in statischem

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003 IPSec Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler Jänner 2003 Gschwandtner/Hofstätter/Likar/Stadler - IPsec 1 Einleitung (1) Ziele des Datenverkehrs Geschwindigkeit Verlässlichkeit

Mehr

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda WLAN,Netzwerk Monitoring & Filtering SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda Überblick Wireless und Netzwerk Protokoll Was ist Netzwerk Monitoring? Was ist Netzwerk Filtering?

Mehr

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein

im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein VoIP-Verschlüsselung Verschlüsselung im DFN Berlin 18.10.2011 Renate Schroeder, DFN-Verein Einordnung VoIP in DFNFernsprechen VoIP seit 5 Jahren im DFN verfügbar VoIP ist Teil des Fernsprechdienstes DFNFernsprechen

Mehr

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS Digitale Signatur Digitale Signatur kombiniert Hash Funktion und Signatur M, SIGK(HASH(M)) wichtige Frage: Wie wird der Bithaufen M interpretiert Struktur von M muss klar definiert sein Wie weiss ich,

Mehr

Modul 3: IPSEC Teil 2 IKEv2

Modul 3: IPSEC Teil 2 IKEv2 Modul 3: IPSEC Teil 2 IKEv2 Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Design-Elemente

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) Aufgabe: den numerischen IP-Adressen werden symbolische Namen zugeordnet Beispiel: 194.94.127.196 = www.w-hs.de Spezielle Server (Name-Server, DNS) für Listen mit IP-Adressen

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie

IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie IT-Sicherheitsmanagement Teil 8: Einführung in die Kryptographie 28.04.15 1 Literatur I mit ein paar Kommentaren [8-1] Burnett, Steve; Paine, Spephen: Kryptographie. RSA Security s Official Guide. RSA

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten

7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten 7. Sicherheit (Security) 7.1 Bedrohungen & Angriffsarten Bedrohungen (Threats): - unbefugter Zugriff auf Informationen und Dienste (Interception), - Beeinflussung der Leistungsfähigkeit eines Systems (Interruption):

Mehr

Seminar: Konzepte von Betriebssytem- Komponenten

Seminar: Konzepte von Betriebssytem- Komponenten Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist

Mehr

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

Exkurs: IPSec. <muehlber@fh-brandenburg.de> Brandenburg an der Havel, den 5. Juni 2005 Exkurs: IPSec Brandenburg an der Havel, den 5. Juni 2005 1 Gliederung 1. IPSec: Problem und Lösung 2. Übertragungsmodi 3. Encapsulating Security Payload 4. Authentication Header

Mehr

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann

Keynote. SSL verstehen. Prof. Dr. Peter Heinzmann ASec IT Solutions AG "Secure SSL" Tagung 9. September 2005, Hotel Mövenpick Glattbrugg Keynote SSL verstehen Prof. Dr. Peter Heinzmann Institut für Internet-Technologien und Anwendungen, HSR Hochschule

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

Wireless LAN (WLAN) Security

Wireless LAN (WLAN) Security Fraunhofer SIT Wireless LAN (WLAN) Security Gefahren erkennen Risiken minimieren Michael Epah Agenda - Ziel: Versachlichung der Diskussion! Ursprüngliche IEEE 802.11 Security Wired Equivalent Privacy (WEP)!

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

IT-Sicherheit Kapitel 3 Public Key Kryptographie

IT-Sicherheit Kapitel 3 Public Key Kryptographie IT-Sicherheit Kapitel 3 Public Key Kryptographie Dr. Christian Rathgeb Sommersemester 2013 1 Einführung In der symmetrischen Kryptographie verwenden Sender und Empfänger den selben Schlüssel die Teilnehmer

Mehr

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen Immo FaUl Wehrenberg immo@ctdo.de Chaostreff Dortmund 16. Juli 2009 Immo FaUl Wehrenberg immo@ctdo.de (CTDO) SSL/TLS Sicherheit

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem VPN: SSL vs. IPSec erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank Präsentation auf dem IT Security Forum 9. November 2005, Frankfurt erfrakon Erlewein, Frank, Konold & Partner

Mehr

Digital Signature and Public Key Infrastructure

Digital Signature and Public Key Infrastructure E-Governement-Seminar am Institut für Informatik an der Universität Freiburg (CH) Unter der Leitung von Prof. Dr. Andreas Meier Digital Signature and Public Key Infrastructure Von Düdingen, im Januar 2004

Mehr

Virtual Private Networks mit OpenVPN. Matthias Schmidt Chaostreff Giessen/Marburg

Virtual Private Networks mit OpenVPN. Matthias Schmidt <xhr@giessen.ccc.de> Chaostreff Giessen/Marburg Virtual Private Networks mit OpenVPN Matthias Schmidt Agenda Einführung Szenarien Protokolle Transport Layer Security v1 pre-shared keys Installation Konfiguration Wichtige Parameter

Mehr

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken

Sicherheit in Netzen und verteilten Systemen Prof. Dr. Stefan Fischer. Überblick. Anordnung der Techniken TU Braunschweig Institut für Betriebssysteme und Rechnerverbund Sicherheit in Netzen und verteilten Systemen Kapitel 6: Protokolle und Anwendungen Wintersemester 2002/2003 Überblick sec Authentisierungsanwendungen

Mehr

Ein Überblick über Security-Setups von E-Banking Websites

Ein Überblick über Security-Setups von E-Banking Websites Ein Überblick über Security-Setups von E-Banking Websites Stefan Huber www.sthu.org Linuxwochen Linz 2015 31. Mai 2015 Basierend auf Testergebnissen vom 28.03.2015 aus https://www.sthu.org/blog/11-tls-dnssec-ebanking/

Mehr

Andreas Dittrich dittrich@informatik.hu-berlin.de. 10. Januar 2006

Andreas Dittrich dittrich@informatik.hu-berlin.de. 10. Januar 2006 mit (2) mit (2) 2 (802.11i) Andreas Dittrich dittrich@informatik.hu-berlin.de Institut für Informatik Humboldt-Universität zu Berlin 10. Januar 2006 (1/27) 2006-01-10 mit (2) 2 (802.11i) 2 (802.11i) (2/27)

Mehr

Verteilte Systeme, Wintersemester 1999/2000 Michael Weber

Verteilte Systeme, Wintersemester 1999/2000 Michael Weber ÿÿþýüûúùø öùõôõ óúöòüñõùüð óùõïõîíù ö 1 øúù ü óü ó ö óúöòü ü ôôíò ü õò ôù digest ÿþýüûúýüù Message Digest Eine Art Prüfsumme der Dokuments Kein Rückschluß auf die Nachricht möglich Es ist praktisch unmöglich

Mehr

Seminar Neue Techologien in Internet und WWW

Seminar Neue Techologien in Internet und WWW Seminar Neue Techologien in Internet und WWW Sicherheit auf der Anwendungsschicht: HTTP mit SSL, TLS und dabei verwendete Verfahren Christian Raschka chrisra@informatik.uni-jena.de Seminar Neue Internettechnologien

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement

Modul 2: Zusammenspiel der Verfahren: Authentisierung, Verschlüsselung und Schlüsselmanagement Modul 2: Zusammenspiel der Verfahren: Authentisierung, und Schlüsselmanagement M. Leischner nsysteme II Folie 1 Gegenseitige, symmetrische, dynamische Authentisierung und Authentisierung rnd-c A RANDOM

Mehr

Methoden der Kryptographie

Methoden der Kryptographie Methoden der Kryptographie!!Geheime Schlüssel sind die sgrundlage Folien und Inhalte aus II - Der Algorithmus ist bekannt 6. Die - Computer Networking: A Top außer bei security by obscurity Down Approach

Mehr

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät

NAT und Firewalls. Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de. Universität Bielefeld Technische Fakultät NAT und Firewalls Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April 2005

Mehr

Workshop: IPSec. 20. Chaos Communication Congress

Workshop: IPSec. 20. Chaos Communication Congress Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.

Mehr

Virtuelle Private Netze

Virtuelle Private Netze Virtuelle Private Netze VPN mit openvpn und openssl michael dienert, peter maaß Walther-Rathenau-Gewerbeschule Freiburg 30. April 2012 Inhalt Was ist ein VPN Rahmen, Pakete, virtuelle Verbindungen Die

Mehr

Seminar Internet-Technologie

Seminar Internet-Technologie Seminar Internet-Technologie Zertifikate, SSL, SSH, HTTPS Christian Kothe Wintersemester 2008 / 2009 Inhalt Asymmetrisches Kryptosystem Digitale Zertifikate Zertifikatsformat X.509 Extended-Validation-Zertifikat

Mehr

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten

Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten Versuch: Eigenschaften einer Unterhaltung Instant Messaging Unterhalten Sie sich leise mit Ihrem Nachbarn über ein aktuelles Thema. Dauer ca. 2 Minuten welche Rollen gibt es in einem IM-System? Analysieren

Mehr

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1 Vortrag Rechnernetze Thema: Arp Spoofing Von: Stev Eisenhardt / Inf04 Seite 1 Übersicht: Definitionen Seite 3 Arten von Spoofing Seite 4 Praktische Beispiele.. Seite 7 Spoofing von SSL Verbindungen.. Seite

Mehr

Einführung in Netzwerksicherheit

Einführung in Netzwerksicherheit Einführung in Netzwerksicherheit Zielstellungen Grundlagen der Verschlüsselung Sichere Kommunikationsdienste Sicherheit auf dem Internet Layer IPSec PGP SSL/TLS Untere Schichten 1 Prof. Dr. Thomas Schmidt

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

IP Adressen & Subnetzmasken

IP Adressen & Subnetzmasken IP Adressen & Subnetzmasken Jörn Stuphorn stuphorn@rvs.uni-bielefeld.de Universität Bielefeld Technische Fakultät Stand der Veranstaltung 13. April 2005 Unix-Umgebung 20. April 2005 Unix-Umgebung 27. April

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Sicherheit in mobiler Kommunikation

Sicherheit in mobiler Kommunikation Sicherheit in mobiler Kommunikation Sabine Keuser ETH Zürich Seminar Mobile Computing Professor: F. Mattern Betreuerin: M. Moschgath 1 Sicherheitsprobleme mobiler Netze In verkabelten Netzen bieten die

Mehr

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand

LAN-Sicherheit. Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches. von Andreas Aurand LAN-Sicherheit Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches von Andreas Aurand 1. Auflage LAN-Sicherheit Aurand schnell und portofrei erhältlich

Mehr

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 11 SSL/TLS IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

TCP/UDP. Transport Layer

TCP/UDP. Transport Layer TCP/UDP Transport Layer Lernziele 1. Wozu dient die Transportschicht? 2. Was passiert in der Transportschicht? 3. Was sind die wichtigsten Protkolle der Transportschicht? 4. Wofür wird TCP eingesetzt?

Mehr

Sicherer Netzzugang im Wlan

Sicherer Netzzugang im Wlan PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.

Mehr

SSL/TLS: Ein Überblick

SSL/TLS: Ein Überblick SSL/TLS: Ein Überblick Wie funktioniert das sichere Internet? Dirk Geschke Linux User Group Erding 28. März 2012 Dirk Geschke (LUG-Erding) SSL/TLS 28. März 2012 1 / 26 Gliederung 1 Einleitunng 2 Verschlüsselung

Mehr

Sicherheit in WLAN. Sämi Förstler Michael Müller

Sicherheit in WLAN. Sämi Förstler Michael Müller Sicherheit in WLAN Sämi Förstler Michael Müller 2.6.2005 Inhalt WLAN-Einführung Sicherheit: Eine Definition Sicherheitsmassnahmen Aktueller Stand / Fazit Ausblicke Fragen und Diskussion WLAN-Einführung

Mehr

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage Internet-Sicherheit Browser, Firewalls und Verschlüsselung von Kai Fuhrberg 2. Auflage Internet-Sicherheit Fuhrberg schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Hanser München

Mehr

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.

Wireless Security. IT Security Workshop 2006. Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin. Wireless Security IT Security Workshop 2006 Moritz Grauel grauel@informatik.hu-berlin.de Matthias Naber naber@informatik.hu-berlin.de HU-Berlin - Institut für Informatik 29.09.2006 (HU-Berlin - Institut

Mehr

ICMP Internet Control Message Protocol. Michael Ziegler

ICMP Internet Control Message Protocol. Michael Ziegler ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet

Mehr

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014

IT-Sicherheit WS 2013/14. Übung 11. zum 30. Januar 2014 Prof. Dr. C. Eckert Thomas Kittel IT-Sicherheit WS 2013/14 Übung 11 zum 30. Januar 2014 Institut für Informatik Lehrstuhl für Sicherheit in der Informatik 1 SSL/TLS in VoIP In Voice-over-IP (VoIP) Kommunikation

Mehr

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells.

1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. Übung 7 1.) Nennen Sie Aufgaben und mögliche Dienste der Transportschicht (Transport Layer) des ISO/OSI-Schichtenmodells. 2.) Charakterisieren Sie kurz das User Datagram Protokoll (UDP) aus der Internetprotokollfamilie

Mehr

Netze und Protokolle für das Internet

Netze und Protokolle für das Internet Inhalt Netze und Protokolle für das Internet 8. Virtuelle Private Netze Virtuelle Private Netze Layer- 2-und Layer- 3- VPNs Virtuelle Private Netze mit MPLS Entfernter VPN- Zugriff L2TP und RADIUS IP Security

Mehr

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer

The Second Generation Onion Router. Stefan Hasenauer, Christof Kauba, Stefan Mayer The Second Generation Onion Router Übersicht Einleitung Verfahren zur Anonymisierung Allgemeines über Tor Funktionsweise von Tor Hidden Services Mögliche Angriffe 2 Einleitung Identifizierung im Internet

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Dokumentation über IPSec

Dokumentation über IPSec Dokumentation über IPSec von Joana Schweizer und Stefan Schindler Inhaltsverzeichnis 1 Einleitung...3 1.1 Warum Sicherheit?...3 1.2 Datenschutz allgemein...3 1.3 Datenschutz für eine Firma...3 1.4 Eine

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

IT-Sicherheit: Übung 6

IT-Sicherheit: Übung 6 IT-Sicherheit: Übung 6 Zertifikate, Kryptographie (Diffie-Hellman), Sicherheitsprotokolle (SSL/TLS) Zertifikate! Problem: Woher weiß Bob, dass K E Alice zu Alice gehört?! Persönlicher Austausch des öffentlichen

Mehr

Vertrauenswürdige Kommunikation in verteilten Systemen

Vertrauenswürdige Kommunikation in verteilten Systemen Vertrauenswürdige Kommunikation in verteilten Systemen Teil I Kryptographische Grundlagen Vertrauensmodelle Kerberos Teil II IPSec AH/ESP IKE Szenario Alice möchte Bob vertraulich eine Nachricht (typischerweise

Mehr

Sicherheitsaspekte im Internet

Sicherheitsaspekte im Internet Kryptographie im Internet Sicherheitsaspekte im Internet Helmut Tessarek, 9427105, E881 Einleitung / Motivation Das Internet ist in den letzten Jahren explosionsartig gewachsen. Das Protokoll, daß im Internet

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 20.06.2003 Internet Security:

Mehr

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep-2011. Tatjana Heuser: Systemverwaltung Systemverwaltung Tatjana Heuser Sep-2011 Anmeldung über Netz Secure Socket Layer Secure Shell Intro Client-Server SSH 1 Verbindungsaufbau SSH 2 Verbindungsaufbau Konfiguration Serverseite ssh Configuration

Mehr

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt

Mehr

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012

> Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 > Verteilte Systeme Übung 10 Deadlocks, Fehler, Security Philipp Kegel Sommersemester 2012 Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster

Mehr

Grundkurs Routing im Internet mit Übungen

Grundkurs Routing im Internet mit Übungen Grundkurs Routing im Internet mit Übungen Falko Dressler, Ursula Hilgers {Dressler,Hilgers}@rrze.uni-erlangen.de Regionales Rechenzentrum der FAU 1 Tag 4 Router & Firewalls IP-Verbindungen Aufbau von IP

Mehr

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat?

Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? 1 / 32 Veranstaltungsreihe Ich hab doch nichts zu verbergen... Der gläserne Bürger: Wieviel Daten braucht der Staat? Veranstalter sind: 15. Mai bis 3. Juli 2008 der Arbeitskreis Vorratsdatenspeicherung

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Martin Vorländer PDV-SYSTEME GmbH

Martin Vorländer PDV-SYSTEME GmbH SSH - eine Einführung Martin Vorländer PDV-SYSTEME GmbH Das Problem TCP/IP-Dienste (z.b. Telnet, FTP, POP3, SMTP, r Services, X Windows) übertragen alle Daten im Klartext - auch Passwörter! Es existieren

Mehr