JINI Security & Scalability. JINI Security



Ähnliche Dokumente
Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Aufgabe 12.1b: Mobilfunknetzwerke

Schwachstellenanalyse 2012

Informatik für Ökonomen II HS 09

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Virtual Private Network

Sicherheit in Rich Internet Applications

Connectivity Everywhere

Programmiertechnik II

Sicherheit in Webanwendungen CrossSite, Session und SQL

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Aufbau und Funktion eines VPN- Netzwerkes

Infrastruktur: Vertrauen herstellen, Zertifikate finden

FL1 Hosting Technische Informationen

ANYWHERE Zugriff von externen Arbeitsplätzen

Verteilte Systeme Unsicherheit in Verteilten Systemen

Verteilte Systeme. Übung 10. Jens Müller-Iden

NTR-Support Die neue Fernwartung

Verwaltung von Java-2-Zugriffspolitiken. Rainer Falk Lehrstuhl für Datenverarbeitung TU München

Ist das so mit HTTPS wirklich eine gute Lösung?

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Softwaretechnologie -Wintersemester 2013/ Dr. Günter Kniesel

Applets I. Grundlagen der g Applet-Programmierung

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Collax -Archivierung

Firewalls für Lexware Info Service konfigurieren

Cryptoparty: Einführung

:: Anleitung Hosting Server 1cloud.ch ::

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Java RMI Remote Method Invocation

Lizenzen auschecken. Was ist zu tun?

4D Server v12 64-bit Version BETA VERSION

sslstrip und HSTS Sven Schleier OWASP Stammtisch München, 18. Februar 2014 sslstrip und HSTS sslstrip und HSTS Sven Schleier Der Angriff

Firewalls für Lexware Info Service konfigurieren

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

Wie funktioniert das WWW? Sicher im WWW

Mail encryption Gateway

Dezentrale Verschlüsselung. Lumension Device Control Version 4.4

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

managed PGP Gateway Anwenderdokumentation

DCOM??? Seite 1

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Grundsätzliche Regeln

Sparkasse Duisburg. versenden aber sicher! Sichere . Anwendungsleitfaden für Kunden

Exchange Verbund WOLFGANG FECKE

Auerswald GmbH & Co. KG 2013

-Verschlüsselung viel einfacher als Sie denken!

Teamviewer - Bildschirmpräsentation via Internet

HOB WebSecureProxy Universal Client

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

SSL-Zertifikate. ausgestellt bzw. bezogen von den Informatikdiensten. Dieter Hennig. 25. November ETH Zürich. SSL-Zertifikate.

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

SolarWinds Engineer s Toolset

Kooperativer Speicher: Schwächen und Gegenmaßnahmen

Collax Archive Howto

Kundenleitfaden zur Sicheren per WebMail

Installationsanleitung WibuKey Treiber

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Guide DynDNS und Portforwarding

Kommunikation. Sitzung /11. Dezember 2015

Identity & Access Management in der Cloud

BFV Widget Kurzdokumentation

MESONIC WINLine Jahreswechsel. Umstellung des Wirtschaftsjahres SMC IT AG

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Smartphone-Sicherheit

Formular»Fragenkatalog BIM-Server«

Grundsätzliche Regeln

P793H PPP/ACT LAN 4 PRESTIGE P793H

ASV-Betrieb für die Coburger Schulen. Einbindung externer Schulen via RemoteApp

Aufbau eines virtuellen privaten Netzes mit Peer-to-Peer-Technologie

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

Web Services und Sicherheit

Freifunk Sundern. Ein freies WLAN Netz

Verschlüsselte s: Wie sicher ist sicher?

Kundeninformationen zur Sicheren

Erste Vorlesung Kryptographie

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Web Sockets mit HTML5. Quelle:

QTS. Qualitätssicherungs-Teileverfolgungs- System online. Benutzung der grafischen Oberfläche via Internetbrowser

HOB WebSecureProxy als SSL-Gegenstelle für Clients

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Howto. Konfiguration eines Adobe Document Services

ezustellung in Microsoft Office

Verwendung des Terminalservers der MUG

Kreissparkasse Heinsberg. versenden - aber sicher! Sichere . Anwendungsleitfaden für Kunden

CAcert Was ist das? Michael Kohlert Erlanger Linuxtag 2015

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

OpenChaos-Reihe Digitale VerhütungTeil 2: Sichere Kommunikation

Peer-to-Peer Internet Telephony using the Session Initiation Protocol (SIP)

Transkript:

JINI Security & Scalability JINI Security Hans-Peter Rötheli & Christian Gloor Inhalt JINI-Beispielumgebung Kommunikation Was darf fremder Code? Exploits Folgerungen 1

Seminarraum mit Printer Lookup Service Http Server 2 1 5 3 4 Printer sucht Lookupservice, discovery (1) Lookup Service sendet Referenz auf http-server (2) Printer lädt lookup.jar (3,4) und registriert sich damit, join (5) kommt hinzu 1 2 Lookup Service 3 4 5 Pda: discovey, join Pda fragt nach Printer (1) Lookup Service gibt Referenz (2) Pda lädt Code aus Printer (3,4) Kommunikation direkt (5) 2

RMI call data resultat cpu ruft remote procedure auf Parameter gehen übers Netz Service verarbeitet Resultat geht übers Netz Serialization, Code Base call data code base parent cpu Objekt wird serialisiert und übertragen Parentobjekte werden aus Code Base geladen 3

Überblick Discovery mittels Broadcast Parameter gehen ungeschützt übers Netz Resultat geht ungeschützt übers Netz Auf Codebase wird via ungeschütztem http zugegriffen Verschlüsselung einsetzen Was darf fremder Code? Auf das Netz zugreiffen? Portscans Interne Angriffe Daten weitersenden Auf die HD zugreiffen? User-Rechte Daten manipulieren Daten weitersenden 4

Security Manager java -Djava.security.policy= policy grant { permission java.security.allpermission, ; } Nur bestimmte Aktivitäten grant { permission java.net.socketpermission 129.132.200.35, connect,accept ; } 5

Von bestimmter Herkunft grant codebase http://www.ethz.ch/ { permission java.security.allpermission, ; } Basierend auf Signatur grant signedby chgloor { permission java.security.allpermission, ; } 6

Überblick Geladener Code kann Böses anrichten Aktionen einschränken Herkunftabhängige Erlaubnis Signaturabhängige Erlaubnis Denial of Service Device kann sich mehrmals anmelden 1000 Printer im Büro? Client kann nichtexistente Devices anmelden Welches ist das richtige? SYN-Flood Lookup Service überlastet 7

Falscher http-server code base call Netzwerk data code base cpu http-server ist gefälscht DNS Router Switch beliebiger Code wird geladen und ausgeführt Server-Zertifikat Fake Service Lookup Service LAN Boshafter Printer Load Balancing Neuer Service mit identischer ID Loadbalancing Codebase identisch und signiert Serialisiertes Objekt verschieden Signatur der Serialisierten Objekte 8

Fremder Lookup-Service Boshafter Printer Boshafter Lookup Service LAN Load Balancing Lookup Service Zusätzlicher Lookup- Service im Netz Loadbalancing Neue, eigene Services werden angeboten Neuer Printer sendet Daten über Internet Nur bekannte Lookup Services benutzen Netzwerkzugriff Device hat keine Permissions, Daten zu senden. Device generiert Objekt, gibt in Codebase gefälschten URL an: http://fremdedomain.ch/chgloor/s!ch3r3$pw RMI Class Loader versucht Code zu laden und sendet somit Daten an Server 9

Probleme mit Signatur Client ist in fremdem Netz und kennt keine Signaturen Printer im Hotel, Seminarraum etc. CAs belegen nur Herkunft, nicht Inhalt der Codestücke Jeder kann ein Zertifikat lösen bei Verisign Lange Vertrauensketten funktionieren nicht Überblick Denial of Service möglich Code Base nicht authentiziert Lookup Service nicht authentiziert Probleme mit Signaturen Grundlegende Designfehler 10

Folgerungen URL-Basierende Permissions unsicher, daher nur signierten Code ausführen http durch https (SSL) ersetzen Serialisierte Objekte müssen signiert und verschlüsselt werden Aktuelle Implementation von JINI nicht geeignet für Real World Anwendungen Referenzen Scott Oaks & Henry Wong, JINI in an nutshell, O REILLY 2000 Crichton, Davis, Woodcock, When to trust mobile objects, Oxford University 1999 Hasselmeyer, Kehr, Voss, Trade-offs in an Secure JINI Service Architecture, TU Darmstadt 2000 11

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback