Rechnernetze und verteilte Systeme (BSRvS II)
|
|
- Katja Brinkerhoff
- vor 8 Jahren
- Abrufe
Transkript
1 Rechnernetze und verteilte Systeme (BSRvS II) Prof. Dr. Heiko Krumm FB Informatik, LS IV, AG RvS Universität Dortmund Sicherheitsziele Kryptographie abstrakt Authentifikation Integrität Schlüsselverteilung und Zertifikate Firewalls Angriffe und Gegenmaßnahmen IPsec Computernetze und das Internet Anwendung Transport Vermittlung Verbindung Multimedia Sicherheit Netzmanagement Middleware Verteilte Algorithmen H. Krumm, RvS, Informatik IV, Uni Dortmund 1
2 Kap. 7: Sicherheit im Netz Lernziele: Prinzipien der Sicherheit im Netz Kryptographie und Nutzungen, die über Vertraulichkeitsschutz hinausgehen Authentifikation Nachrichtenintegrität Schlüsselverteilung Sicherheit in der Praxis Firewalls Sicherheitsfunktionen in den Kommunikationsschichten Eigentümer Angreifer hat Interesse an will minimieren weiß u.u. von erwirkt Schutzmaßnahme kann reduziert werden durch Bedrohung erzeugt missbraucht / schädigt reduziert u.u. behaftet mit Schwachstelle nutzt aus erhöht von führt zu Risiko für Wert H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 2
3 Kap. 7: Übersicht 7.1 Sicherheitsziele 7.2 Kryptographie abstrakt 7.3 Authentifikation 7.4 Integrität 7.5 Schlüsselverteilung und Zertifikate 7.6 Firewalls 7.7 Angriffe und Gegenmaßnahmen 7.8 Sicherheit in den verschiedenen Kommunikationsschichten H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 3
4 Sicherheitsziele Vertraulichkeit Integrität Verfügbarkeit Die drei immer genannten Hauptziele Anonymität Es gibt weitere Ziele. Ziele können gegensätzlich sein Nachvollziehbarkeit / Zurechenbarkeit Authentifikation Autorisierung Die beiden grundlegenden Hilfsdienste Im Netz: Nachrichtenvertraulichkeit / Integrität Nachrichten--Absenderauthentifikation, Empfängerauthentifikation H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 4
5 Freunde und Feinde: Alice, Bob, Trudy In der Welt der Netzsicherheit wohlbekannt Bob und Alice (befreundet!) wollen sicher kommunizieren Trudy (der Eindringling) kann Nachrichten abfangen, löschen, verändern, einschleusen Alice Kanal Daten und Kontrollnachrichten Bob data Sicherer Sender Sicherer Empfänger data Trudy H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 5
6 Wer kann Bob und Alice sein? natürlich real-life Bobs und Alices! Web-Browser und Server, die elektronische Transaktionen asusführen (e.g., On-line-Shop Einkauf) On-line Banking-Client und Server DNS-Server Router, die Routingtabellen aktualisieren weitere Beispiele? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 6
7 Es gibt aber überall auch bad Guys (und Girls)! F: Was kann ein bad Guy tun? A: Jede Menge! Abhören aktiv neue Nachirchten einfügen / unterschieben Maskerade: fälschen (spoof) der Quelladresse eines Pakets (oder anderer Kontrollfelder) Sitzungsübernahme (Hijacking) / Verbindungsübernahme Verfügbarkeitsattacke (Denial of Service / DoS-Attacke) darüber später mehr H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 7
8 Kryptographie abstrakt K A Alices Verschlüsselungsschlüssel K B Bobs Entschlüsselungsschlüssel Klartext/Plaintext encryption algorithm ciphertext decryption algorithm Klartext/ Plaintext Symmetrische Verschlüsselung: Beide Schlüssel sind identisch Shared Secret Asymmetrische Verschlüsselung: Paar aus öffentlichem und privatem Schlüssel (Public Key, Private Key), (Privater Schlüssel ist geheim) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 8
9 Symmetrische Verschlüsselung K A-B K A-B plaintext message, m encryption algorithm ciphertext K A-B (m) decryption algorithm plaintext m = K ( K (m) ) A-B A-B Symmetrische Verschlüsselung: Bob and Alice kennen beide gemeinsam denselben Schlüssel: Shared Secret K A-B Problem Das Shared Secret muss irgendwann vorher einmal auf sichere Weise kommuniziert worden sein: Man kann nur dann sicher kommunizieren, wenn man vorher schon einmal sicher kommunizieren konnte! Vorteil Leistungsfähige Algorithmen und Implementierungen verfügbar. Beispiele: DES, TripleDES, AES H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 9
10 Public Key Kryptographie Asymmetrische Verschlüsselung + K B - K B Bob s public key Bob s private key plaintext message, m encryption algorithm ciphertext + K (m) B decryption algorithm plaintext message - + m = K (K (m)) B B Public Key Kryptographie [Diffie-Hellman76, RSA78] Es gibt kein geteiltes Geheimnis Alle kennen den öffentlichen Schlüssel Nur der Empfänger kennt den privaten Entschlüsselungsschlüssel H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 10
11 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 11
12 Authentifikation Bob und Alice kommunizieren per Nachrichtenaustausch. Ziel: Bob möchte, dass Alice ihm beweist, dass sie wirklich Alice ist Protokoll ap1.0: Alice teilt mit Ich bin Alice I am Alice Da Bob Alice nicht sehen kann, kann Trudy einfach behaupten, selbst Alice zu sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 12
13 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Fehlermöglichkeiten?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 13
14 Authentifikation Protokoll ap2.0: Alice teilt per IP-Paket mit ihrer IP-Adresse als Absenderadresse mit Ich bin Alice Alice s IP address I am Alice Trudy can ein IP-Paket mit gefälschter Absenderadresse erzeugen (IP-Spoofing) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 14
15 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 15
16 Authentifikation Protokoll ap3.0: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort als Beweis mit Alice s IP addr Alice s password I m Alice Alice s IP addr OK Alice s IP addr Alice s password I m Alice Wiedereinspiel-Attacke (Playback): Trudy hört Alices Paket mit, kopiert es und sendet es später an Bob H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 16
17 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Schwachstellen?? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 17
18 Authentifikation Protokoll ap3.1: Alice teilt mit Ich bin Alice und sendet ihr geheimes Passwort in verschlüsselter Form als Beweis mit Alice s IP addr encrypted password I m Alice Alice s IP addr OK Alice s IP addr encrypted password I m Alice Wiedereinspiel-Attacke funktioniert immer noch H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 18
19 Authentifikation: Nächster Versuch Ziel: Verhindere erfolgreiche Playback-Attacken Nonce: Zahl, die nicht vorhersagbar ist und nur einmal benutzt wird (N once ) ap4.0: Als Beweis dafür, dass Alices Antwort frisch ist, sendet Bob eine Nonce R an Alice, Alice muss R in verschlüsselter Weise zurücksenden (Challenge-Response-Authentifkation) I am Alice Schwachstellen?? Achtung Alice: Bob hat sich nicht authentifiziert! R K A-B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 19 (R) Die Antwort ist frisch, und sie kommt von Alice, da nur sie (außer Bob) K A-B kennt und R verschlüsseln konnte.
20 Authentifikation mit Public Key Kryptographie ap4.0 benötigt ein Shared Secret K A-B, das initial beiden bekannt sein muss Geht es auch mit Public-Key-Verschlüsselung? ap5.0: Nonce und Signatur R I am Alice - K A (R) send me your public key + K A K A Bob berechnet + - (K (R)) = R A und weiß, dass nur Alice ihren privaten Schlüssel kennt, so dass nur sie die Nachricht erzeugen konnte H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 20
21 ap5.0: Schwachstelle Man in the Middle Angriff Man (woman) in the middle attack: Trudy gibt sich bei Bob als Alice und bei Alice als Bob aus - + m = K (K (m)) A A I am Alice R - K (R) A Send me your public key K + A + K (m) A Trudy gets - + m = K (K (m)) sends T m to T Alice encrypted with Alice s public key I am Alice R - K (R) T Send me your public key K + T + K (m) T Problem: Zuordnung K Alice + A sollte für Bob prüfbar sein H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 21
22 Digitale Unterschrift (Digital Signature) Kryptographische Technik, welche die Funktion handschriftlicher Unterschriften erfüllen soll Sender (Bob) signiert ein Dokument digital und bestätigt damit, dass er das Dokument so erzeugt hat verifizierbar, fälschungssicher: Empfänger (Alice) kann Dritten gegenüber beweisen, dass Bob, und niemand anders (auch Alice nicht), das Doklument signiert haben muss ABER: Kryptoalgorithmen sind nicht ewig sicher: Digitale Unterschriften müssen alle paar Jahre aufgefrischt werden Private Schlüssel können korrumpiert werden: Rückrufe H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 22
23 Digitale Signatur Einfache digitale Signatur für eine Nachricht m: Bob signiert m dadurch, dass er m mit seinem privaten Schlüssel K B - verschlüsselt: K B - (m) Bob s message, m Dear Alice Oh, how I have missed you. I think of you all the time! (blah blah blah) Bob - K B Public key encryption algorithm Bob s private key - K B (m) Bob s message, m, signed (encrypted) with his private key Wenn Alice diese Nachricht empfängt, den öffentlichen Schlüssel von Bob kennt und davon ausgehen kann, dass Bobs privater Schlüssel nur Bob bekannt ist: Bob und kein anderer hat diese Nachricht so signiert Bob kann nicht abstreiten, dass er die Nachricht signiert hat Probleme: Asymmetrische Verschlüsselung ist rechenaufwendig Wie erfährt Alice den öffentlichen Schlüssel K B + von Bob? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 23
24 Message Digest Kryptographische Hashfunktion Das direkte Signieren langer Nachrichten kostet viel Rechenzeit Ziel: effizient berechenbarer Fingerabdruck einer Nachricht m: Message Digest H(m) H ist kryptographische Hashfunktion Beispiele MD5 (RFC 1321) computes 128-bit message digest in 4- step process. arbitrary 128-bit string x, appears difficult to construct msg m whose MD5 hash is equal to x. SHA-1 (NIST Standard) large message m H: Hash Function H(m) Eigenschaften kryptographischer Hashfunktionen: Abbildung langer Bytefolgen auf kürzere Folge Nicht umkehrbar: Gegeben x = H(m), so ist es allzu aufwendig daraus m zu berechnen Gegeben m und x=h(m), so ist es allzu aufwendig ein m m zu finden, so dass x=h(m ) gilt. Es ist allzu aufwendig, überhaupt zwei m, m zu finden, so dass H(m)=H(m ) gilt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 24
25 Internet Checksum: Zu schwach um Kryptohashfunktion zu sein Internet Checksum hat einige Hashfunktionseigenschaften: Abbildung auf kurze Bytefolge Streuung Aber, es ist sehr leicht, zu einer Nachricht m eine andere Nachricht m zu finden, welche denselben Funktionswert hat: message ASCII format message ASCII format I O U B O B 49 4F E D2 42 I O U B O B 49 4F E D2 42 B2 C1 D2 AC B2 C1 D2 AC Verschiedene Nachrichten aber gleiche Prüfsummen! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 25
26 Digitale Signatur = Signierter Message Digest Bob sendet digital signierte Nachricht Alice verifiziert die Signatur und die Integrität der signierten Nachricht large message m + H: Hash function Bob s private key - K B H(m) digital signature (encrypt) encrypted msg digest - K B (H(m)) large message m H: Hash function H(m) Bob s public key + K B equal? encrypted msg digest - K B (H(m)) digital signature (decrypt) H(m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 26
27 Vertrauenswürdige dritte Parteien Verwaltung symmetrischer Schlüssel: Wie können 2 Parteien im Netz ein Shared Secret etablieren? Lösung: Key Distribution Center (KDC) wirkt als Mittler zwischen den Parteien statt n 2 Shared Secrets zwischen allen Paaren sind initial nur n Shared Secrets zwischen KDC und den Parteien einzurichten KDC generiert bei Bedarf Sitzungsschlüssel für 2 Parteien Public Key Zertifizierung: Wenn Alice den öffentlichen Schlüssel von Bob erfährt, wie kann sie sicher sein, dass das wirklich Bobs öffentlicher Schlüssel ist Lösung: Zertifizierungsstelle (Certification Authority CA) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 27
28 Key Distribution Center (KDC) Alice, Bob brauchen ein Shared Secret zur effizienten sicheren Kommunikation KDC: Server verwaltet je Partei einen geheimen Schlüssel Alice und Bob kennen jeweils ihre eigenen geheimen Schlüssel, K A-KDC K B-KDC, mit deren Hilfe sie mit dem KDC authentifiziert kommunizieren können. Wenn Alice eine Sitzung mit Bob durchführen will, lassen sie sich vom KDC einen Sitzungsschlüssel als Shared Secret zwischen Alice und Bob erzeugen K Bauzi- KDC K A-KDC K B-KDC K A-KDC K B-KDC K Bauzi- KDC K X-KDC K Y-KDC K Z-KDC KDC H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 28
29 Key Distribution Center (KDC) Wie erfährt Bob den Sitzungsschlüssel R1? KDC erzeugt Ticket, das von Alice unveränderbar an Bob weitergegeben wird K A-KDC (A,B) KDC generates R1 Alice knows R1 K A-KDC (R1, K B-KDC (A,R1) ) K B-KDC (A,R1) Bob knows to use R1 to communicate with Alice Alice und Bob kommunizieren effizient: Sie nutzen R1 als Session Key für die symmetrische Verschlüsselung H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 29
30 Zertifizierungsstellen (Certification Authorities CAs) Certification Authority (CA): Verwalte die Bindung eines öffentlichen Schlüssels an Person / Partei E. E registriert seinen öffentlichen Schlüssel bei CA. E weist sich bei CA aus (z.b. mit dem Personalausweis) CA erzeugt einen Datensatz, das Zertifikat, das die Bindung von K E + an E dokumentiert Zertifikat: K E + ist öffentlicher Schlüssel von E digital signiert von CA Bob s identifying information Bob s public + key K B digital signature (encrypt) CA private key K - CA + K B certificate for Bob s public key, signed by CA H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 30
31 Inhalt eines Zertifikats Seriennummer (eindeutig für alle Zertifikate derselben CA) Information zur Partei: Name, Art auch (hier nicht sichtbar) öffentlicher Schlüssel sowie Angaben zu unterstützten Kryptoalgorithmen Info zu CA Gültigkeitszeitdauer Signatur der CA Weitere Aufgaben einer CA Zeitstempel Rückruf-Listen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 31
32 Firewalls Firewall Verkehrskontrolleinrichtung an Grenze eines Firmennetzes zum öffentlichen Netz hin (auch an Innennetzgrenzen zu sensiblen Subnetzen): Lässt manche Kommunikation zu, manche nicht. administered network public Internet firewall H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 32
33 Firewalls: Motivation Eigentlich sind Firewalls nicht nötig, weil alle Hosts und Router nur vorgesehene Dienste an vorgesehene Nutzer erbringen sollen und dies durch die Autorisierungs- und Authentifikationsdienste der Rechner kontrolliert wird. Aber es gibt immer wieder unvorhergesehene Schwachstellen, die aus Programmierund Administrationsfehlern resultieren. Deshalb sollen Firewalls zusätzlich unabhängig von den anderen Diensten unerwünschten Verkehr abblocken und damit die Angriffsfläche verkleinern. Ferner Abwehr von Verfügbarkeitsangriffen auf das Innennetz Abwehr von IP-Spoofing-Angriffen Oft in Verbindung mit NAT Oft in Verbindung mit VPN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 33
34 Firewalls: Architektur Drei Aspekte Netztopologie Innennetz Außennetz, Firewall an Verbindungswegen Filterfunktion 3 Filtertypen Applikationsfilter Verbindungsfilter Paketfilter (statisch / dynamisch) Filteranordnung nur ein Router mit Paketfilter mehrere zusammenwirkende Filter und Knoten» Dual homed Bastion Host» Screened Subnet administered network public Internet H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 34
35 Paket-Filter Router, der Innen- und Außennetz verbindet, hat Paketfilterfunktion Liste aus Filterregeln der Form Interface, Bedingung über Paket-Header, Aktion Bedingung: source IP address, destination IP address, TCP/UDP source and destination port numbers ICMP message type, TCP SYN and ACK bits Aktion: Paket durchlassen, verwerfen (mit / ohne Alarm) Statische und dynamische Filter Filterlisten Aufbau Should arriving packet be allowed in? Departing packet let out? Vorne: Anti-Spoofing Regeln verbieten, dass von außen Pakete mit Innenadressen durchkommen Mitte: Nur positive Regeln für den notwendigen Verkehr Hinten: Negative Regeln, die den ganzen Rest verbieten. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 35
36 Verbindungsfilter Realisierung durch einen Prozess Verbindungs-Gateway auf einem Firewall-Host Es werden keine direkten Transportverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die TCP-Nutzdaten aus und verpackt sie selbst wieder Prüfung der TCP-Adressen und Formate, Erschweren von Formatfehler- und Segmentierungsattacken Die eigentlichen Anwendungsdaten können nicht untersucht werden, weil das Verbindungsgateway das Anwendungsprotokoll nicht kennt TCP-Verbindung Host -- Gateway Verbindungs- Gateway TCP-Verbindung Gateway -- Server H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 36
37 Applikationsfilter Realisierung durch einen Prozess Applikationsgateway auf einem Firewall-Host, z.b. Telnet-Gateway Es werden keine direkten Anwendungsverbindungen mehr zwischen Außen- und Innennetz zugelassen: Stattdessen 2 Verbindungen: Client Gateway und Gateway Server Gateway packt die Anwendungsnutzdaten aus und verpackt sie selbst wieder Gateway kann Anwendungsdaten interpretieren, da speziell für bestimmten Anwendungstyp erzeugt: Nutzerkennungen, Authentifikation und Autorisierung Zusatzdaten (z.b. Mail-Anhänge, Active X, Applets) host-to-gateway telnet session application gateway gateway-to-remote host telnet session Ein Applikationsgateway wird oft auch Applikations-Proxy oder Applikationsfilter genannt H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 37
38 Firewall Filteranordnung Screening Router Innennetz Router mit Paketfilterfunktion Außennetz Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern Außennetz Dual Homed Bastion Host Innennetz Host mit Anwendungs- oder Verbindungsfiltern und 2 Netzinterfaces Außennetz H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 38
39 Firewall Filteranordnung Innennetz Screened Subnet Firewall Screened Subnet Außennetz Interior Screening Router Bastion Hosts Exterior Screening Router Firewall besteht aus 2 Paketfiltern und einigen Bastion Hosts Paketfilter schützen die Bastion Hosts und erzwingen, dass Verkehr nur über die Gateways der Bastion Hosts stattfindet Bastion Hosts tragen die Anwendungsgateways z.b. auch -Proxy mit Virenscanner H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 39
40 Firewall Filteranordnung Innennetz Firewall DMZ Exterior Screening Router Außennetz Bastion- Hosts Demilitarisierte Zone (DMZ) Niemandsland enthält Server, die von außen zugänglich sein sollen, z.b.: WWW-Server FTP-Server Server-Hosts DMZ Firewall: Separate Firewalls zum Schutz der DMZ und des Innennetzes nötig Wenn ein Angreifer einen Server-Host übernehmen konnte, versucht er von dort aus, das Innennetz anzugreifen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 40
41 Typische Bedrohungen im Internet (Internet Security Threats) Mapping und Scanning: Vor dem eigentlichen Angriff: Erkunde das Netz, finde heraus, welche Hosts, Dienste, Betriebssysteme vorhanden sind ping kann zeigen, welche Host-Adressen vergeben sind (auch Verzeichnisse sind nützlich) Port-Scanning: Versuch, zu jedem TCP Port eine Verbindung aufzubauen bzw. jeden UDP-Port anzusprechen Kommt eine Reaktion, welche? Bekannte Schwachstellen und Angriffsmuster durchspielen.» nmap ( mapper: network exploration and security auditing Ferner: Versuch, sich einzuloggen, Versuch FTP-Server-Account anzusprechen. Nutzernamen und Passwörter raten. Defaultmäßig eingerichete Accounts antesten. Schutzmaßnahmen? H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 41
42 Internet Security Threats: Schutzmaßnahmen Verkleinere Angriffsfläche Firewalls Auf Desktop-PC: Personal Firewall Gehärtete Konfiguration Bemerke Besonderheiten Log-Erzeugung und Prüfung (Logging and Audit) Verkehrsstatistiken führen und überwachen Systemkonfiguration und Dateien überwachen (Tripwire) IDS Automatische Angriffserkennunng (Intrusion Detection Systeme) Entferne Schwachstellen Aktualisiere Systeme, wenn Patches verfügbar Scanne selbst, um Schwachstellen zu finden Wehre bösartigen Code ab Virenscanner, Firewall, gehärtete Konfiguration, eingeschränkte Nutzeraccounts H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 42
43 Internet Security Threats Auch das Innennetz ist nicht sicher: Packet Sniffing Ethernet hat Broadcast-Segmente Angreifer kann seinen NIC so einstellen, dass er jedes Paket mitliest (promiscuous Mode) nicht-verschlüsselte Daten können gelesen werden (e.g. Passwörter) verschlüsselte Pakete können wieder eingespielt werden e.g.: C snifft Bs Pakete A C Schutzmaßnahmen? 1 Host per Segment (Switches) geschützte VPN-Verbindungen src:b dest:a payload B H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 43
44 Internet Security Threats IP-Spoofing: Der Sender eines IP-Pakets fälscht die Absender-Adresse Der Empfänger kann nie sicher sein, dass die Absender-Adresse stimmt e.g.: C pretends to be B A C src:b dest:a payload B Schutzmaßnahmen? Paketfilter enthalten Anti-Spoofing Regel (Grober Schutz gegen Adressbereichs-übergreifendes Spoofing) authentifizierte VPN-Verbindungen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 44
45 Internet Security Threats Verfügbarkeitsangriffe (Denial of Service Attacken DoS): Flut böswillig generierter Pakete überlastet den Empfänger Distributed DoS (DDoS): koordinierte Angriffe vieler Sender (z.b. durch von Trojanern verseuchten Internet-User-PCs aus) e.g., SYN-Angriff (führt zu halboffenen TCP-Verbindungen) A C SYN SYN Schutzmaßnahmen? SYN SYN SYN SYN H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 45 SYN Herausfiltern (Firewall) - Problem: Wie trennt man Gute von Schlechten? Rückverfolgen B
46 Sichere Vertraulichkeit Alice will vertrauliche Mail m an Bob senden Bob hat zertifizierten öffentlichen Schlüssel K S m. K S ( ) K S (m ) K S (m ). K S ( ) m K S +. K B ( ) + K B + K B (K S ) + - Internet + K B (K S ) Alice: Prüft Bobs Zertifikat: Gültig? Generiert per Zufallsgenerator symmetrischen Secret Key K S Verschlüsellt Nachricht mit K S (Effizienz) verschlüsselt K S mit Bobs öffentlichem Schlüssel sendet beides, K S (m) und K B (K S ), in an Bob Bob entschlüsselt erst K B (K S ), dann K S (m) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 46 - K B K S -. K B ( )
47 Sichere Integrität und Authentizität Alice möchte, dass Bob von der Authentizität und Integrität der Mail ausgehen kann m - K A. H( ) K A ( ) -. - K A (H(m)) + - Internet - K A (H(m)) + K A +. K A ( ) H(m ) compare m m. H( ) H(m ) Alice signiert ihre Nachricht digital sie sendet Klartextnachricht, Signatur und Zertifikat H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 47
48 Sichere Vertraulichkeit, Integrität und Authentizität Alice möchte Vertraulichkeit, Integrität und Authentizität gewährleisten. m m - K A. H( ) K A ( ) -. - K A (H(m)) Alice benutzt drei Schlüssel: Ihren eigenen privaten Schlüssel, Bobs öffentlichen Schlüssel und einen zufällig erzeugten symmetrischen Schlüssel + K S. K S ( ) +. K B ( ) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 48 + K B K S + + K B (K S ) Internet
49 Sichere Problem PKI PKI: Public Key Infrastructure 1. anerkannte Certification Authorities (CAs) 2. Nutzer müssen dort auch ein Zertifikat haben Kosten der Zertifikate Interessant Billige Lösungen z.b. PGP Web of Trust: Nutzer zertifizieren sich gegenseitig H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 49
50 TLS / SSL: Transport Layer Security / Secure Socket Layer Aufsatz auf TCP-Verbindungen: (optionale) Authentifikation der Partnerprozesse Vertraulichkeit, Integrität und Authentizität der Nachrichten per Verschlüsselung in Anwendungsprozessen zu implementieren, z.b. im Web- Browser und im Web-Server (shttp) Betrieb in 2 Phasen 1. Vorbereitung Authentifikation, Kryptoparameterabstimmung, Sitzungsschlüsselaustausch 2. Kommunikation Wie TCP über Sockets Server Authentifikation: SSL-Enabled Browser enthält Zertifikate vertrauenswürdiger CAs. Browser fordert von einem kontaktierten Server dessen Zertifikat an, das von einer dieser CAs ausgestellt sein muss Browser prüft mit dem CA-Zertifikat, ob das Server-Zertifikat gültig ist (Problem: Rückrufe) Schauen Sie mal in die Einstellungen Ihres Browsers um die CA-Liste einzusehen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 50
51 IPsec: Network Layer Security IPsec ist im Protokoll IP V6 enthalten Es kann auch in IP V4 eingesetzt werden IPsec sichert den IP- Paketaustausch zwischen Netzknoten IPsec wird als Aufsatz auf IP im Kern des Host-Betriebssystems implementiert und durch Administrationsparameter aktiviert Vorteil: Keine Änderungen oder Ergänzungen der Anwendungsprozesse nötig Nachteil: Knoten und nicht individuelle Anwendungsprozesse bilden die Endpunkte der gesicherten Kommunikation Problem: IP ist verbindungslos/sitzungslos Effiziente Kommunikation verlangt Sitzungsschlüssel als Shared Secret Lösung: Konzept der Security Association SA Je Paar aus Quelle und Ziel (also auch je Richtung) wird SA definiert Alle passenden IP-Pakete gehören zur SA, solange SA existiert Betrieb ähnlich SSL: 2 Phasen SA Aufbau Paketaustausch SA-Aufbau wird durch Knotenadministration gesteuert: Security Policy Definition (SPD) legt für Quelle Ziel fest, ob und mit welchen Parametern eine SA einzurichten ist, so dass die IP-Pakete, die diesem Muster folgen, nur innerhalb einer solchen SA ausgetauscht werden. H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 51
52 IPsec: Network Layer Security statisch Administration Security Policy Definition zur Laufzeit IP-Paket (soll gesendet werden) Schreibt ein SPD- Eintrag eine SA vor? Wenn ja: Erzeuge zunächst SA und sende Paket danach entsprechend Gibt es schon passende SA? Wenn ja: Sende Paket entsprechend IP-Paket (kommt an) Security Association Database Paket enthält SA-Verweis: Behandle entsprechend H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 52
53 IPsec: Network Layer Security Es gibt zwei Betriebsarten Transportmodus gesicherte Kommunikation zwischen Anwendungsprozessen (fast wie SSL, aber nicht durch Anwendungsprozess selbst, sondern durch Knotenadministrator eingerichtet) Tunnelmodus gesicherte Kommunikation zwischen Knoten insgesamt Nutzung zur Bildung Virtueller Privater Netze (VPNs) VPN-Bildung Firmennetz besteht aus Filialnetzen Sie werden über das öffentliche Internet verbunden Die Grenzrouter der Filialnetze richten dazu zueinander IPsec Tunnel ein TCP/UDP-PDU wird als IP-Paket-Nutzdatum geschützt Innennetz 1 IP- Paket Grenzrouter 1 Internet IP- Paket IP- Paket IP-Paket wird in neues IP-Paket als Nutzdatum verpackt und geschützt Grenzrouter 2 Tunnel Innennetz 2 IP- Paket H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 53
54 IPsec: Network Layer Security Es gibt zwei Schutzfunktionen, jede entspricht einem Zusatzheader des IP-Pakets Authentication Header (AH) IP header AH header data (e.g., TCP, UDP segment) Authentifikation von Absender und Empfänger Integrität keine Vertraulichkeit Encapsulated Security Payload (ESP) IP header ESP header authenticated encrypted TCP/UDP segment ESP trailer ESP authent. Authentifikation, Integrität und Vertraulichkeit Die Art der Schutzfunktion und die Parameter werden durch die SA bestimmt (die ihrerseits wieder durch einen SPD-Eintrag bestimmt wird) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 54
55 IEEE Wireless LAN Security WLAN-Frames können leicht abgehört werden Funkwellen halten sich nicht an die Grundstücksgrenzen es gibt Richtantennen Sicherheitsfunktionen Authentifikation und Verschlüsselung Wired Equivalent Privacy (WEP): Ein schwacher Versuch Authentifikation a la ap4.0, Shared Secret und Challenge Response basiert» Host sendet Request an Access Point, der antwortet mit 128-Bit Nonce» Host sendet verschlüsselte Nonce zurück Keine dynamische Schlüsselverteilung Es gibt für Access Point und alle Hosts ein Gruppen- Shared Secret Daraus werden alle benötigten Schlüssel abgeleitet. Verschlüsselung ist relativ leicht zu brechen H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 55
56 WEP Verschlüsselung Host/AP share 40 bit symmetric key Host appends 24-bit initialization vector (IV) to create 64-bit key IV 64 bit key used to generate stream of keys, k i IV IV k i used to encrypt ith byte, d i, in frame: c i = d i XOR k i IV and encrypted bytes, c i sent in frame IV (p e r fra m e ) K S : 40-b it se c re t s y m m e tr ic k e y p la in te x t fra m e d a ta p lu s C R C IV IV IV k 1 k 2 k 3 k e y se q u e n c e g e n e ra to r ( fo r g iv e n K S, IV ) IV k N k IV IV N + 1 k N + 1 d 1 d 2 d 3 d N C R C 1 C R C h ea d er IV W E P -e n c ryp ted d a ta p lu s C R C c 1 c 2 c 3 c N c N + 1 c N + 4 F ig u r e 7.8 -n e w 1 : W E P p ro to co l H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 56
57 Brechen der WEP Verschlüsselung Schwachstelle: 24-bit IV, one IV per frame, IV s eventually reused IV transmitted in plaintext IV reuse detected Angriff: Trudy causes Alice to encrypt known plaintext d 1 d 2 d 3 d 4 Trudy sees: c i = d i XOR k i IV Trudy knows c i d i, so can compute k i IV Trudy knows encrypting key sequence k 1 IV k 2 IV k 3 IV Next time IV is used, Trudy can decrypt! H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 57
58 802.11i: Verbesserte Sicherheit im WLAN man kann deutlich stärker verschlüsseln dynamische Schlüsselverteilung wird unterstützt bindet einen separaten Authentifikationsserver ein, der nicht mit dem Access Point zusammenfällt (z.b. Kerberos, RADIUS) H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 58
59 802.11i: Vier Phasen des Betriebs STA: client station AP: access point wired network AS: Authentication server 1 Discovery of security capabilities 2 STA and AS mutually authenticate, together generate Master Key (MK). AP servers as pass through 3 STA derives Pairwise Master Key (PMK) 3 AS derives same PMK, sends to AP 4 STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 59
60 EAP: Extensible Authentication Protocol EAP: Protokoll zwischen mobilem Client und dem Authentifikationsserver Ist erweiterbar, d.h. kann verschiedene Authentifikationsverfahren einbetten, z.b. RADIUS Authentifikation über verschiedene Teilstrecken abgewickelt mobiler Client Access Point (EAP over LAN) Access Point Authentifikationsserver (RADIUS over UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE RADIUS UDP/IP H. Krumm, RvS, Informatik IV, Uni Dortmund mit Material von J.F Kurose and K.W. Ross (copyright ) 60
Informatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrBernd Blümel. Verschlüsselung. Prof. Dr. Blümel
Bernd Blümel 2001 Verschlüsselung Gliederung 1. Symetrische Verschlüsselung 2. Asymetrische Verschlüsselung 3. Hybride Verfahren 4. SSL 5. pgp Verschlüsselung 111101111100001110000111000011 1100110 111101111100001110000111000011
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
Mehr10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen
10.6 Authentizität Zur Erinnerung: Geheimhaltung: nur der Empfänger kann die Nachricht lesen Integrität: Nachricht erreicht den Empfänger so, wie sie abgeschickt wurde Authentizität: es ist sichergestellt,
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrCryptoCampagne. Thomas Funke Fachbereich Informatik Universität Hamburg
CryptoCampagne Thomas Funke Fachbereich Informatik Universität Hamburg Die Tour Intro & Motivation Public Key Encryption Alice and Bob Web of Trust OpenPGP Motivation or why the hell bother Kommunikation
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrVerteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrVerteilte Systeme. Übung 10. Jens Müller-Iden
Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten
MehrSecurity Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis
Wie Interoperabel ist IPsec? Ein Erfahrungsbericht Arturo Lopez Senior Consultant März 2003 Agenda Internet Protokoll Security (IPsec) implementiert Sicherheit auf Layer 3 in OSI Modell Application Presentation
MehrÜbersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software
FTP Übersicht Was ist FTP? Übertragungsmodi Sicherheit Öffentliche FTP-Server FTP-Software Was ist FTP? Protokoll zur Dateiübertragung Auf Schicht 7 Verwendet TCP, meist Port 21, 20 1972 spezifiziert Übertragungsmodi
MehrSecure Sockets Layer (SSL) Prof. Dr. P. Trommler
Secure Sockets Layer (SSL) Prof. Dr. P. Trommler Übersicht Internetsicherheit Protokoll Sitzungen Schlüssel und Algorithmen vereinbaren Exportversionen Public Keys Protokollnachrichten 29.10.2003 Prof.
MehrKonfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0.
Konfigurationsanleitung Access Control Lists (ACL) Funkwerk Copyright Stefan Dahler - www.neo-one.de 13. Oktober 2008 Version 1.0 Seite - 1 - 1. Konfiguration der Access Listen 1.1 Einleitung Im Folgenden
MehrSeminar: Konzepte von Betriebssytem- Komponenten
Seminar: Konzepte von Betriebssytem- Komponenten Denial of Service-Attacken, Firewalltechniken Frank Enser frank.enser@web.de Gliederung Was sind DoS Attacken Verschiedene Arten von DoS Attacken Was ist
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "ZyXEL Remote Security Client" Die
MehrBeispielkonfiguration eines IPSec VPN Servers mit dem NCP Client
(Für DFL-160) Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client Zur Konfiguration eines IPSec VPN Servers gehen bitte folgendermaßen vor. Konfiguration des IPSec VPN Servers in der DFL-160:
MehrBetriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail
Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key
MehrSSL-Protokoll und Internet-Sicherheit
SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP
MehrVirtual Private Network
Virtual Private Network Allgemeines zu VPN-Verbindungen WLAN und VPN-TUNNEL Der VPN-Tunnel ist ein Programm, das eine sichere Verbindung zur Universität herstellt. Dabei übernimmt der eigene Rechner eine
MehrTCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen
TCP SYN Flood - Attack Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen TCP SYN Flood - Beschreibung TCP SYN Flood Denial of Service Attacke Attacke nutzt
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
MehrNAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner
Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network
MehrIst das so mit HTTPS wirklich eine gute Lösung?
SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen
MehrE-Mail-Verschlüsselung
E-Mail-Verschlüsselung German Privacy Foundation e.v. Schulungsreihe»Digitales Aikido«Workshop am 15.04.2009 Jan-Kaspar Münnich (jan.muennich@dotplex.de) Übertragung von E-Mails Jede E-Mail passiert mindestens
MehrHow-to: Webserver NAT. Securepoint Security System Version 2007nx
Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver
MehrWLAN Konfiguration. Michael Bukreus 2014. Seite 1
WLAN Konfiguration Michael Bukreus 2014 Seite 1 Inhalt Begriffe...3 Was braucht man für PureContest...4 Netzwerkkonfiguration...5 Sicherheit...6 Beispielkonfiguration...7 Screenshots Master Accesspoint...8
MehrICMP Internet Control Message Protocol. Michael Ziegler
ICMP Situation: Komplexe Rechnernetze (Internet, Firmennetze) Netze sind fehlerbehaftet Viele verschiedene Fehlerursachen Administrator müsste zu viele Fehlerquellen prüfen Lösung: (ICMP) Teil des Internet
MehrWindows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden.
Windows Server 2008 R2 und Windows 7 Stand-Alone Arbeitsplatz per VPN mit L2TP/IPSec und Zertifikaten verbinden. Inhalt Voraussetzungen in diesem Beispiel... 1 Sicherstellen dass der Domänenbenutzer sich
MehrPrimzahlen und RSA-Verschlüsselung
Primzahlen und RSA-Verschlüsselung Michael Fütterer und Jonathan Zachhuber 1 Einiges zu Primzahlen Ein paar Definitionen: Wir bezeichnen mit Z die Menge der positiven und negativen ganzen Zahlen, also
MehrAuthentikation und digitale Signatur
TU Graz 23. Jänner 2009 Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Überblick: Begriffe Authentikation Digitale Signatur Begriffe Alice und
MehrIRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken
Version 2.0 1 Original-Application Note ads-tec GmbH IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken Stand: 27.10.2014 ads-tec GmbH 2014 IRF2000 2 Inhaltsverzeichnis
MehrPKI (public key infrastructure)
PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
MehrSSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November 2009. ETH Zürich. SSL-Zertifikate.
SSL-Zertifikate ausgestellt bzw. bezogen von den Informatikdiensten ETH Zürich 25. November 2009 Was ist eigentlich ein Zertifikat? Was ist eigentlich ein Zertifikat? Abbildung: Das Zertifikat c nicht
Mehr9 Schlüsseleinigung, Schlüsselaustausch
9 Schlüsseleinigung, Schlüsselaustausch Ziel: Sicherer Austausch von Schlüsseln über einen unsicheren Kanal initiale Schlüsseleinigung für erste sichere Kommunikation Schlüsselerneuerung für weitere Kommunikation
MehrSicherheit in Netzwerken. Leonard Claus, WS 2012 / 2013
Sicherheit in Netzwerken Leonard Claus, WS 2012 / 2013 Inhalt 1 Definition eines Sicherheitsbegriffs 2 Einführung in die Kryptografie 3 Netzwerksicherheit 3.1 E-Mail-Sicherheit 3.2 Sicherheit im Web 4
MehrFachbereich Medienproduktion
Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo
MehrKonfigurationsbeispiel
ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
Mehr12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW...
12 Kryptologie... immer wichtiger Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce WWW... Kryptologie = Kryptographie + Kryptoanalyse 12.1 Grundlagen 12-2 es gibt keine einfachen Verfahren,
MehrHow to install freesshd
Enthaltene Funktionen - Installation - Benutzer anlegen - Verbindung testen How to install freesshd 1. Installation von freesshd - Falls noch nicht vorhanden, können Sie das Freeware Programm unter folgendem
MehrWorkshop: IPSec. 20. Chaos Communication Congress
Cryx (cryx at h3q dot com), v1.1 Workshop: IPSec 20. Chaos Communication Congress In diesem Workshop soll ein kurzer Überblick über IPSec, seine Funktionsweise und Einsatzmöglichkeiten gegeben werden.
MehrEine Praxis-orientierte Einführung in die Kryptographie
Eine Praxis-orientierte Einführung in die Kryptographie Mag. Lukas Feiler, SSCP lukas.feiler@lukasfeiler.com http://www.lukasfeiler.com/lectures_brg9 Verschlüsselung & Entschlüsselung Kryptographie & Informationssicherheit
Mehr10. Kryptographie. Was ist Kryptographie?
Chr.Nelius: Zahlentheorie (SoSe 2015) 39 10. Kryptographie Was ist Kryptographie? Die Kryptographie handelt von der Verschlüsselung (Chiffrierung) von Nachrichten zum Zwecke der Geheimhaltung und von dem
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version 7.4.4. - Optional einen DHCP Server.
1. Dynamic Host Configuration Protocol 1.1 Einleitung Im Folgenden wird die Konfiguration von DHCP beschrieben. Sie setzen den Bintec Router entweder als DHCP Server, DHCP Client oder als DHCP Relay Agent
MehrNationale Initiative für Internet- und Informations-Sicherheit
Sichere Kommunikation im Zeitalter von PRISM? Nationale Initiative für Internet- und Informations-Sicherheit Mathias Gärtner, NIFIS e.v. zweiter Vorstand Öffentlich bestellter und vereidigter Sachverständiger
MehrKonfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)
Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier) Firewall über Seriellen Anschluss mit Computer verbinden und Netzteil anschliessen. Programm Hyper Terminal (Windows unter Start Programme
MehrAllgemeine Erläuterungen zu
en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate
MehrVorlesung Rechnernetze II Sommersemester 2007
Vorlesung Rechnernetze II Sommersemester 2007 Netzsicherheit (2) Christoph Lindemann Kurose/Ross Buch, Kapitel 8 Fahrplan Nr. 01 02 03 04 05 06 07 08 09 10 11 12 Datum 06.06. 06.06. 13.06. 13.06. 20.06.
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrDynamisches VPN mit FW V3.64
Dieses Konfigurationsbeispiel zeigt die Definition einer dynamischen VPN-Verbindung von der ZyWALL 5/35/70 mit der aktuellen Firmware Version 3.64 und der VPN-Software "TheGreenBow". Die VPN-Definitionen
MehrAnleitung Thunderbird Email Verschlu sselung
Anleitung Thunderbird Email Verschlu sselung Christoph Weinandt, Darmstadt Vorbemerkung Diese Anleitung beschreibt die Einrichtung des AddOn s Enigmail für den Mailclient Thunderbird. Diese Anleitung gilt
MehrDatensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter
Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.
MehrImport des persönlichen Zertifikats in Outlook Express
Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen
MehrDatenempfang von crossinx
Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über
MehrErste Vorlesung Kryptographie
Erste Vorlesung Kryptographie Andre Chatzistamatiou October 14, 2013 Anwendungen der Kryptographie: geheime Datenübertragung Authentifizierung (für uns = Authentisierung) Daten Authentifizierung/Integritätsprüfung
Mehr11. Das RSA Verfahren und andere Verfahren
Chr.Nelius: Kryptographie (SS 2011) 31 11. Das RSA Verfahren und andere Verfahren Eine konkrete Realisierung eines Public Key Kryptosystems ist das sog. RSA Verfahren, das im Jahre 1978 von den drei Wissenschaftlern
MehrDiffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am 28.05.2002
Diffie-Hellman, ElGamal und DSS Vortrag von David Gümbel am 28.05.2002 Übersicht Prinzipielle Probleme der sicheren Nachrichtenübermittlung 'Diskreter Logarithmus'-Problem Diffie-Hellman ElGamal DSS /
MehrVPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+
VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+ Schritt für Schritt Anleitung DI-804HV Firmwarestand 1.41b03 DI-824VUP+ Firmwarestand 1.04b02 Seite 1: Netz 192.168.0.0 / 24 Seite 2: Netz 192.168.1.0
MehrAnleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)
Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N) Einrichtung des DI-804HV (Einrichtung des DSR ab Seite
MehrAsymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau
Asymmetrische Verschlü erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau Gliederung 1) Prinzip der asymmetrischen Verschlü 2) Vergleich mit den symmetrischen Verschlü (Vor- und Nachteile)
MehrMH3 D2/3 DB/4. Name: Matr.-Nr. Seite: 3. Aufgabe 1. (6 Punkte) a) Gegeben sei eine kryptographische Hashfunktion h^o,!}* mit Hashwert h^mo) = 4.
Aufgabe 1 a) Gegeben sei eine kryptographische Hashfunktion h^o,!} mit Hashwert h^mo) = 4. (14 Punkte) {0,2,4} sowie eine Nachricht M 0 Wie hoch ist die Wahrscheinlichkeit, dass bei einerweiteren Nachricht
MehrCollax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper
Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).
MehrAnbindung des eibport an das Internet
Anbindung des eibport an das Internet Ein eibport wird mit einem lokalen Router mit dem Internet verbunden. Um den eibport über diesen Router zu erreichen, muss die externe IP-Adresse des Routers bekannt
MehrVIRTUAL PRIVATE NETWORKS
VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro
MehrSeite - 1 - 3. Wireless Distribution System (Routing / Bridging) 3.1 Einleitung
3. Wireless Distribution System (Routing / ) 3.1 Einleitung Im Folgenden wird die Konfiguration des Wireless Distribution Modus gezeigt. Sie nutzen zwei Access Points um eine größere Strecke über Funk
MehrVerschlüsselte E-Mails: Wie sicher ist sicher?
Verschlüsselte E-Mails: Wie sicher ist sicher? Mein Name ist Jörg Reinhardt Linux-Administrator und Support-Mitarbeiter bei der JPBerlin JPBerlin ist ein alteingesessener Provider mit zwei Dutzend Mitarbeitern
MehrMerkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH
Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen
MehrProf. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC
Modul 5: IPSEC Teil 1: Transport- und Tunnelmode / Authentication Header / Encapsulating Security Payload Security Association (SAD, SPD), IPsec-Assoziationsmanagements Teil 2: Das IKE-Protokoll Folie
MehrRechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.
Rechnernetzwerke Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können. Im Gegensatz zu klassischen Methoden des Datenaustauschs (Diskette,
MehrAuthentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof
Authentifizierung Benutzerverwaltung mit Kerberos Referent: Jochen Merhof Überblick über Kerberos Entwickelt seit Mitte der 80er Jahre am MIT Netzwerk-Authentifikations-Protokoll (Needham-Schroeder) Open-Source
MehrIEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015
Version 2.0.1 Deutsch 14.01.2015 Dieses HOWTO beschreibt die Konfiguration und Anwendung der IEEE 802.1x Authentifizierung in Kombination mit der IAC-BOX. TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrE-Mail-Verschlüsselung mit S/MIME
E-Mail-Verschlüsselung mit S/MIME 17. November 2015 Inhaltsverzeichnis 1 Zertifikat erstellen 1 2 Zertifikat speichern 4 3 Zertifikat in Thunderbird importieren 6 4 Verschlüsselte Mail senden 8 5 Verschlüsselte
MehrSicherer Netzzugang im Wlan
PEAP Sicherer Netzzugang im Wlan Motivation Im Wohnheimnetzwerk des Studentenwerks erfolgt die Zugangskontrolle via 802.1X. Als Methode wurde MD5 eingesetzt. Dies wurde in Microsoft Vista nicht unterstützt.
Mehr(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)
T-Sinus 154 DSL/DSL Basic (SE)/Komfort Portweiterleitung (Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch) Wenn Sie auf Ihrem PC
MehrDas Kerberos-Protokoll
Konzepte von Betriebssystemkomponenten Schwerpunkt Authentifizierung Das Kerberos-Protokoll Referent: Guido Söldner Überblick über Kerberos Network Authentication Protocol Am MIT Mitte der 80er Jahre entwickelt
MehrLinux User Group Tübingen
theoretische Grundlagen und praktische Anwendung mit GNU Privacy Guard und KDE Übersicht Authentizität öffentlicher GNU Privacy Guard unter KDE graphische Userinterfaces:, Die dahinter
MehrGrundfach Informatik in der Sek II
Grundfach Informatik in der Sek II Kryptologie 2 3 Konkrete Anwendung E-Mail- Verschlüsselung From: To: Subject: Unterschrift Date: Sat,
MehrZahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009)
Zahlen und das Hüten von Geheimnissen (G. Wiese, 23. April 2009) Probleme unseres Alltags E-Mails lesen: Niemand außer mir soll meine Mails lesen! Geld abheben mit der EC-Karte: Niemand außer mir soll
MehrIT-Sicherheit Kapitel 11 SSL/TLS
IT-Sicherheit Kapitel 11 SSL/TLS Dr. Christian Rathgeb Sommersemester 2014 1 Einführung SSL/TLS im TCP/IP-Stack: SSL/TLS bietet (1) Server-Authentifizierung oder Server und Client- Authentifizierung (2)
MehrKryptographie oder Verschlüsselungstechniken
Kryptographie oder Verschlüsselungstechniken Dortmund, Dezember 1999 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX:
MehrDigital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen. Public-Key-Kryptographie (2 Termine)
Digital Rights Management (DRM) Verfahren, die helfen Rechte an virtuellen Waren durchzusetzen Vorlesung im Sommersemester 2010 an der Technischen Universität Ilmenau von Privatdozent Dr.-Ing. habil. Jürgen
MehrÖffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:
Schritt 1: Verbinden Sie Ihr wireless-fähiges Gerät (Notebook, Smartphone, ipad u. ä.) mit dem Wireless-Netzwerk WiFree_1. Die meisten Geräte zeigen Wireless-Netzwerke, die in Reichweite sind, automatisch
MehrMail encryption Gateway
Mail encryption Gateway Anwenderdokumentation Copyright 06/2015 by arvato IT Support All rights reserved. No part of this document may be reproduced or transmitted in any form or by any means, electronic
MehrVirtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH
Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrFreie Zertifikate für Schulen und Hochschulen
Freie Zertifikate für Schulen und Hochschulen Dr. Thomas Bremer CAcert Inc. Public Key Kryptographie Zwei Schlüssel: ein Öffentlicher und ein Privater Damit kann man Daten verschlüsseln und digital signieren
MehrÜbung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen
Übung zu Verteilte Betriebssysteme (WS 2003) Übung 6 Lösungsskizze Kryptographie, Sicherheit in verteilten Dateisystemen Andreas I. Schmied Verteilte Systeme Universität Ulm Mail zur Übung an vbs@vs.informatik.uni-ulm.de
MehrVerwendung des IDS Backup Systems unter Windows 2000
Verwendung des IDS Backup Systems unter Windows 2000 1. Download der Software Netbackup2000 Unter der Adresse http://www.ids-mannheim.de/zdv/lokal/dienste/backup finden Sie die Software Netbackup2000.
MehrKonfigurationsbeispiel USG
ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des
MehrFirewall oder Router mit statischer IP
Firewall oder Router mit statischer IP Dieses Konfigurationsbeispiel zeigt das Einrichten einer VPN-Verbindung zu einer ZyXEL ZyWALL oder einem Prestige ADSL Router. Das Beispiel ist für einen Rechner
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrRegistrierung am Elterninformationssysytem: ClaXss Infoline
elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung
MehrCommunity Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate
Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und
MehrVirtual Private Network. David Greber und Michael Wäger
Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2
MehrHow-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx
Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security
MehrPKI Was soll das? LugBE. Public Key Infrastructures - PKI
Key Infrastructures - PKI PKI Was soll das? K ennt jemand eine nette G rafik z u PKI s? LugBE 23. März 2006 Markus Wernig Einleitung Symmetrisch vs. asymmetrisch Trusted Third Party Hierarchisches Modell
Mehr