Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13 48149 Münster
Tel.: +49 251 83-31600
Fax: +49 251 83-31555
ziv@uni-muenster.de

Sicher ins Internet

Stichwortliste zur Lehrveranstaltung

Veranstaltungsdaten

Technische Daten

  • VMware-Konfiguration der Maschinen 18 bis 48
    • MAC-Adressen: 00:50:56:01:00:18 bis ...:48
    • Rechnernamen: ZIV01018VM bis ZIV01048VM.uni-muenster.de
    • Zugeordnet den realen Rechnern: ZIV01018 bis ZIV01048.uni-muenster.de gemäß Aufkleber
  • Vorbereitung der virtuellen Maschine
    • Konfigurationsdateien: Netzwerklaufwerke \\zivpool1\kurs05 (oder \\wwuserv4\perske_kurs) in Zugriff nehmen
    • Falls nicht schon vorhanden, vom Netzwerklaufwerk die Dateien ZIV010NN.vmx und NVRAM nach D:\ZIV010NN.vmx kopieren (für NN die richtige Nummer einsetzen, siehe Aufkleber am Rechner)
    • Falls nicht schon vorhanden, vom Netzwerklaufwerk die Datei XP-N.vmdk nach D:\XP.vmdk kopieren (für N die richtige Nummer einsetzen)
    • Starten durch Doppelklick auf die .vmx-Datei
    • Nach dem Start der virtuellen Maschine: Unter Start | Systemsteuerung | Leistung und Wartung | System | Computername | Ändern | Computername: ZIV010NNVM (statt VMPERSKE2) eintragen (für NN die richtige Nummer einsetzen)
  • Kursnutzerkennungen für E-Mail-Übungen werden bei Bedarf vergeben

Motivation

  • Wiedergewinnung von etwas Privatsphäre und Anonymität
  • Wiedergewinnung von etwas vertraulichem Gedankenaustausch
  • Schutz eigener Daten und Interessen
    Beispiele: Siemens verlor 1993/94 4-Mrd.-ICE-Südkorea-Auftrag: DGSE las Angebotfax, Alstom bot TGV günstiger; eigene Verbeamtung
  • Aufrechterhaltung der Nutzbarkeit des Rechners
  • Vermeidung der Beihilfe zu Kriminalität und Terrorismus
  • Vermeidung, das Ziel polizeilicher Ermittlungen zu werden

Erste Woche: Sicher ins Internet

Montag und Dienstag: Notwendige Schutzmaßnahmen und World Wide Web

Einführung in Struktur des Internet. Fehlersuche. Absicherung des eigenen Rechners (Update, Einstellungen, Virenschutz, Paketfilter, Softwareauswahl, Browsercheck, Backup). Nutzung des WWW. Nutzung von Suchmaschinen.

  • Theorie: Was ist das Internet
    • Internet = Weltweites Netz von Computernetzen, die über das Protokoll (definierte Sprache) TCP/IP miteinander kommunizieren
    • Protokolle öffentlich und auf nahezu sämtlichen Systemen implementiert (= in Programmform vorhanden)
    • Der Name Internet bezeichnet jetzt alle miteinander vernetzten Rechner, die sich auf Basis des IP (Internet Protocols) unterhalten; es gibt keine Institution namens Internet und niemanden, der für »das Internet« verantwortlich ist, immer nur Einrichtungen, die für Teilbereiche verantwortlich sind
    • Das Internet gibt es seit 1969, das WWW erst seit 1991
    • Viele Internetcafés bieten keinen Internet-, sondern nur WWW-Zugang
    • Internet-Protokoll = Grundsprache; darauf aufbauend viele Protokolle für Anwendungen: HTTP, SMTP, Telnet, FTP, IRC, ICQ, NNTP, ...
    • IP-Adressen = Adressen von Rechnern (Hausnummern)
    • Portnummern = Nummern von Diensten auf Rechnern (Zimmernummern)
    • IP-Pakete = Datenpakete von Hausnummer an Hausnummer
    • darin häufig enthalten: TCP/IP-Pakete = Datenpakete von Hausnummer, Zimmernummer an Hausnummer, Zimmernummer
    • IP-Adressen schwer merkbar, Rechnernamen besser
    • Nameserver nennt IP-Adresse 128.176.188.115 zu Rechnername www (Nicht jeder WWW-Server heißt www!)
    • Domains gliedern Rechnernamen www.uni-muenster.de, www.mozilla.org, www.washington.edu
    • Internet nicht kostenlos: WWU+UKM+FH bezahlen über 500.000 Euro/Jahr Anschlusskosten
  • Praxis: Elementare Fehlersuche mit Ping
    • Unter Start | Programme | (Zubehör) | Eingabeaufforderung:
    • ping ip-adresse
    • ping rechnername
    • ipconfig (ohne /all) - habe ich eine IP-Adresse?
    • Fehler provozieren (falsche IP-Adresse, unbekannter Rechnername, ausgeschalteter Rechner)
  • Theorie: Angriffswege und Sicherungsmaßnahmen
    • Böse konstruierte IP-Pakete (WinNuke, Ping O'Death) - Nur fehlerkorrigiertes Betriebssystem hilft, kein Antivirenprogramm, keine Desktop Firewall
    • Bootsektorviren - niemals von unbekannten Medien booten; vorsichtshalber Boot-Reihenfolge im BIOS ändern
    • Programmviren - keine fremde Software ausführen; Antivirensoftware
    • (Antivirensoftware hilft nur bei bekannten Viren, nicht bei neuen Viren!)
    • Makro-Viren - keine fremden Word- oder Excel-Dateien öffnen; Software aktuell halten; Antivirensoftware
    • E-Mail-Viren - keine unerwarteten E-Mail-Anlagen öffnen; sorgfältige Konfiguration der E-Mail-Software; fehlerkorrigierte E-Mail-Software; Vollständige Anzeige der Dateinamen; Antivirensoftware
    • Dialer - keine unerwarteten E-Mail-Anlagen öffnen; keine Software-Installation über das WWW erlauben; Anti-Dialer-Software (Antivirensoftware hilft oft nicht)
    • E.T.-Software (nach Hause telefonieren) - nur seriöse Softwarequellen nutzen (Antivirensoftware hilft oft nicht)
    • Trojanische Pferde - (wie verschiedene Virentypen)
    • Würmer (verbreiten sich selbständig) - keine Serverdienste laufen lassen; Desktop Firewall
    • Phishing (Verweisen auf nachgemachte WWW-Seiten zur Gewinnung von PINs, TANs, Passwörter usw.) - WWW-Adressen und Zertifikate buchstabengenau prüfen
    • Dateimaskierung (täuschende Dateiname wie Iloveyou.bmp.exe, die als Iloveyou.bmp angezeigt werden) - Vollständige Dateinamen anzeigen lassen
    • Denial of Service (DoS) Attack = Sammelbezeichnung für alles, was die Benutzbarkeit einschränkt
    • Distributed DoS Attack = Atombombe des Internets: viele Rechner greifen gleichzeitig einen an; dieser oder sein Internetanschluss brechen unter der Flut zusammen - kein Schutz möglich
    • Bedienungsfehler (häufigste Ursache für Datenverlust) - als eingeschränkter Nutzer arbeiten, regelmäßiges Backup
  • Theorie: Bewertung von Sicherungsmaßnahmen
    • Betriebssystem- und Softwareaktualisierung - das Fundament der ganzen Burg, extrem wichtig
    • Vernünftige Softwarekonfiguration, welche ungewolltes Aktivieren von Schadprogrammen erschwert - die Burgmauer, extrem wichtig
    • Nicht als Administrator, sondern als eingeschränkter Nutzer arbeiten - Schießpulver wegschließen, extrem wichtig
    • Unangenehmen Hintergrund für Verwalterkonten einrichten - das Warnschild an der Pulverkammertür, wichtig
    • Gehirn und gesunden Menschenverstand einschalten und nicht auf alles doppelklicken - die Wachen am Burgtor, extrem wichtig
    • Dateinamen vollständig anzeigen - Maskierungsverbot, damit die Burgtorwachen nicht getäuscht werden
    • Antiviren-Software - sehr wichtig, Wachsoldaten im Inneren der Burg gegen Feinde, die die Mauer bereits überwunden habe, aber nur gegen bekannte Feinde
    • Datenausführungsverhinderung - wichtig, verstärkt das Fundament durch Leimmatten, an denen Durchbuddler hängen bleiben, aber nur bei einer bestimmten Klasse von Löchern
    • Desktop Firewall / Paketfilter (eingehend) - versperrt versehentlich geöffnete Türen, aber nur diese - als Zusatzschutz sinnvoll
    • Desktop Firewall / Paketfilter (ausgehend) - versperrt dummen Halungen den Weg ins Internet (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
    • Anti-Dialer-Software - versperrt dummen Halunken den Weg ins Telefonnetz (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
    • Portscans, Security Scans (Nessus usw.) - Überprüfung der Sicherungsmaßnahmen, sehr sinnvoll
    • Richtige Firewall = sehr komplexes Sicherungssytem im Netz (nicht auf zu schützendem Rechner)
    • Regelmäßiges vernünftig organisiertes Backup = Bergfried, letzter Rückzug im Katastrophenfall (meist durch Bedienungsfehler, bisweilen durch Hardwarefehler, nur selten durch Angriff) - extrem wichtig
    • Deinstallation nicht benötigter Software - was nicht da ist, kann auch keine Löcher haben
    • (Nach Ende 1. Woche Neu-Bewertung)
  • Theorie: Rechtliches
    • Strafbarkeit: § 202 a StGB Ausspähen von Daten (bis 3 Jahre), § 303 a StGB Datenveränderung (bis 2 Jahre, Versuch strafbar), § 303 b StGB Computersabotage (bis 5 Jahre, Versuch strafbar)
    • Haftpflicht: § 823 BGB (Schadensersatzpflicht bei unerlaubter Handlung, auch bei Fahrlässigkeit) - z. B. bei Virenverbreitung
    • TKG, TDG+MDStV, TDDSG, Fernmeldegeheimnis GG vs. Auskunftsverpflichtung §§ 100 g+h StPO, TKG, Aufbewahrungsverbot vs. -verpflichtung TDDSG
    • Geheimhaltungsverpflichtung bei Rechtsanwälten, Ärzten usw.
  • Praxis: Anfälliger Internet Explorer
  • Praxis: Absicherung des eigenen Rechners
    • Gegeben: Virtuelle Maschine XP-1 mit frisch installiertem Windows XP nach Anleitung
    • Aktivierung Paketfilter (Reserve-Schutz da Betriebssystem nicht aktuell) überprüfen wie in Anleitung beschrieben
    • Fundament Betriebssystemaktualisierung: Windows Update manuell ausführen (Start | Programme | Windows Update), dabei ausnahmsweise alle von Microsoft gewünschten Aktionen erlauben
    • Achtung: Mit nur einem Mausklick wurde eine Softwareinstallation erlaubt! Das System kann also noch nicht sicher sein.
    • Fundament Betriebssystemaktualisierung: Windows Update automatisieren (Sicherheitscenter)
    • Zusatzschutz Windows-Firewall: Aktivieren (Sicherheitscenter)
    • (Nicht in Anleitung:)
    • Leimteppich Datenausführungsverhinderung: Start | Systemsteuerung | Leistung und Wartung | System | Erweitert | Systemleistung | Einstellungen | Datenausführungsverhinderung | für alle aktivieren
    • Schießpulver wegschließen: Benutzer einrichten: Start | Systemsteuerung | Benutzerkonten
      • Neues Konto erstellen | Verwalter | Weiter | Computeradministrator | Konto erstellen
      • Neues Konto erstellen | Nutzer | Weiter | Eingeschränkt | Konto erstellen
      • Konto ändern | Verwalter | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Bild ändern | Gummi-Frosch | Bild ändern | Startseite
      • Konto ändern | Nutzer | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Bild ändern | Gummi-Ente | Bild ändern | Startseite
    • Warnschild aufhängen: Bildschirmhintergrund auf Knallrot ändern
    • Administratorkennung wird nicht mehr benötigt: Start | Abmelden | Abmelden
    • Ab jetzt nur noch als Nutzer arbeiten, falls wirklich notwendig als Verwalter
    • Warnschild aufhängen: Anmelden als Verwalter, Bildschirmhintergrund auf knallrot ändern
    • Stand hier: Virtuelle Maschine XP-2
    • Als Verwalter Einrichten der Antivirensoftware
    • Stand hier: Virtuelle Maschine XP-3
    • Test der Antivirensoftware
    • Maskierungsverbot: Dateinamen vollständig anzeigen
      • Sowohl als Verwalter als auch als Nutzer: Start | Systemsteuerung | Darstellung und Designs | Ordneroptionen | Ansicht | Erweiterte Einstellungen | Erweiterungen bei bekannten Dateitypen ausblenden: AUS | Übernehmen | Alle zurücksetzen | Ja | OK
      • Zusätzlich als Verwalter: Start | Ausführen | regedit | Bearbeiten | Suchen | NeverShowExt | Weitersuchen
      • Bei jedem Treffer: Entf-Taste zum Löschen, Enter-Taste zum Bestätigen, F3-Taste zum Weitersuchen
      • Fenster schließen
    • Stand hier: Virtuelle Maschine XP-4
  • Theorie: Backup
    • Image-Backup: Komplette Platte »von außen« abschreiben - Betriebssystem darf nicht laufen, z. B. mit Knoppicillin
      • am billigsten auf frei gehaltene Partition, besser auf zweite Platte
      • gzip </dev/hda1 >/backup/hda1-von-datum.gz
      • gunzip </backup/hda1-von-datum.gz >/dev/hda1
      • Besser verschlüsseln
      • gpg -c </dev/hda1 >/backup/hda1-von-datum.gpg
      • gpg </backup/hda1-von-datum.gpg >/dev/hda1
    • System-Backup: Besser neu installieren oder Image-Backup (Die allermeisten Backup-Programme arbeiten fehlerhaft oder unvollständig)
    • User-Daten-Backup: Angewöhnen, Eigene Dateien auf USB-Stick o. ä. zu kopieren
    • User-Einstellungen-Backup: Sehr schwierig da quer über System verteilt
    • Backups wegschließen (Schutz gegen Diebstahl, Kenntnisnahme und evtl. Feuer)
    • Backups an mehreren Orten aufbewahren (Schutz gegen Feuer)
    • Backups verschlüsseln (Schutz gegen Kenntnisnahme)
    • Mehrere Backup-Generationen unterschiedlich lange aufbewahren: Gestern, Ende letzter Woche, Ende letzten Monats (Schutz gegen spät entdeckte Fehler)
    • Verwendbarkeit von Backups überprüfen - testweise restaurieren
    • Nicht auf Systemwiederherstellung verlassen
    • Empfehlung: Rechner installieren und Software fertig konfigurieren, dann Image-Backup, danach systematische User-Daten-Backups, nach wesentlichen Nachinstallationen neues Image-Backup
    • NB: Knoppicillin kann auch ein System »von außen« auf Viren checken und reparieren
  • Praxis: Absicherung des eigenen Rechners
    • Softwareauswahl: Internet Explorer nur zum zielgerichteten Download nutzen, niemals zum Surfen
      • Einstellung Internetoptionen zur Absicherung Internet Explorer ist Fortgeschrittenenthema
    • Installation Firefox
      • Als Verwalter: Download Mozilla Firefox, neueste deutsche Version, nach Eigene Dateien
      • Firefox installieren: Standardinstallation, beim Erststart nichts importieren, als Standardbrowser festlegen
      • Als Nutzer: Konfiguration von Mozilla Firefox nach Anleitung
      • (Als Verwalter schenken wir uns, ist im nächsten Stand)
    • Als Verwalter: Unerwünschte Software entfernen: Start | Programmzugriff und -standards | Windows-Komponenten hinzufügen/entfernen
      • MSN Explorer AUS (löscht wirklich)
      • Windows Messenger AUS, Outlook Express AUS, Internet Explorer AUS (löscht nur im Startmenü und auf Desktop)
    • Stand hier: Virtuelle Maschine XP-5
    • (Fortsetzung mit Thunderbird am Mittwoch)
  • Ausführliche Praxis: Surfen - Browserbedienung - Suchmaschinenbedienung
    • Vor/Zurück, Home, (Shift-) Aktualisieren
    • WWW-Adressen: Methode : // Username : Passwort @ Rechnerangabe : Portnummer / Pfad / Datei
    • Bookmarks
    • Suchstrategien
      • Durchhangeln von bekannten Seiten zu ähnlichen Themen
      • Domainraten: www.firmenname.de/.com/.net
      • Suchmaschinen: Google, Altavista usw. - geschicktes Kombinieren von Suchwörtern, Erweiterte Suche
      • Metasuchmaschinen: MetaGer usw.
      • Verzeichnisdienste: Dino-Online usw.
      • Sammlung: CUSI
    • Suchaufgaben
      • Die Frage aus der Feuerzangenbowle: Wer sagt zu wem in welchem Stück: Ich kenne meine Pappenheimer
      • Aktuelle Beachvolleyball-Spielregeln
      • Bruttosozialprodukt von Ghana
      • Nördlichste Universität der Welt
      • Adresse der American Mathematical Society
      • Aktuelles Meteosat-Wetterbild (mind. 1024 Pixel breit)
      • Beginn Schulferien Sommer 2008 in Hessen
      • Offizieller Name von Neuseeland - in beiden Landessprachen
      • Amtierender König von Finnland
      • Datum der Stromnetzumstellung von 220 V auf 230 V
      • Name der Krankheit, die das Erkennen von Gesichtern verhindert
      • Auto-Fahrstrecke Seattle - Cape Canaveral
      • Geburtsname der 4. Frau von Humphrey Bogart
      • Wie hieß der sagenumwobene Mann mit der eisernen Maske wirklich? Weshalb wurde er verhaftet? Wer brachte die Wahrheit wie an das Licht?

Mittwoch und Donnerstag: E-Mail und andere Kommunikationsformen

Intensive Einführung in E-Mail (perMail, Thunderbird) und NetNews (Thunderbird). E-Mail-Kopfzeilen. Netiquette. SPAM-Filterung. Dateienversand. Mailinglisten. Chatten (IRC, ICQ).

  • Theorie: E-Mails
    • Aufbau von E-Mail-Adressen
    • Aliasnamen
    • Standard-Kopfzeilen: From, Sender, To, Cc, Bcc, Reply-To, Date, Subject
    • Abschicken: gelber Postbriefkasten (SMTP-Server)
    • Transport per Store-and-Forward (ebenfalls SMTP) mit Poststempeln
    • Zustellung in Postfach
    • Fehlermeldungen per Mail von Mailer-Daemon
    • Aktionen: Reply/Antworten, Forward/Weiterleiten, Bounce/Resend/Nachsenden
  • Praxis: E-Mails mit perMail
    • Ausführliches Ausprobieren, Erklären aller Funktionen
  • Theorie: Webmail vs. POP3/IMAP
    • Unterschied Postfach / Posteingang
    • Webmail arbeitet direkt auf Postfach
    • POP3 holt in Posteingang
    • IMAP kann beides
  • Praxis: Auswahl eines E-Mail-Programms
    • Softwareauswahl: Outlook Express hat zahlreiche gravierende Mängel
      • Sicherheitsmängel - größtes Einfallstor für E-Mail-Viren
      • Programmiermängel - Falsche Wiedergabe von Inhalten (begin_..._)
      • Designmängel - Umständliche Anzeige von Kopfzeilen, Falsche Wiedergabe beim Weiterleiten u. v. a. m.
      • Netiquettemängel - Netiquette-widriges Verhalten ist voreingestellt (AW: statt Re:, falsches Zitieren u. v. a. m.)
      • Abhilfe teilweise durch Einstellungen, teilweise durch Zusatzprogramme, teilweise gar nicht möglich.
      • Daher rät das ZIV offiziell von Outlook Express ab!
    • Gegeben: Virtuelle Maschine XP-5 mit gepflegtem Windows und Mozilla Firefox
    • Installation Thunderbird
      • Als Verwalter: Download Mozilla Thunderbird, neueste deutsche Version, nach Eigene Dateien
      • Thunderbird installieren: Benutzerdefinierte Installation, alles außer Quality Feedback Agent, beim Erststart nichts importieren, als Standard-E-Mail-Programm festlegen
      • Als Nutzer: Konfiguration von und Kontoeinrichtung mit Mozilla Thunderbird nach Anleitung
      • (Als Verwalter schenken wir uns, ist im nächsten Stand)
    • Stand hier (ohne Konten): Virtuelle Maschine XP-6
  • Praxis: E-Mail mit Thunderbird
    • Ausführliches Ausprobieren, Erklären aller Funktionen
    • Reply, Forward, Bounce
    • Fehlermeldungen provozieren und verstehen
  • Theorie: Netiquette
    • Allgemein: Umgangsformen
    • E-Mail-spezifisch: Sinnvolle Betreffzeile. Richtiges Zitieren. Zeilenlänge. Kein HTML.
  • Praxis: Netiquette
    • Antworten auf E-Mails unter Beachtung der Zitierregeln
    • Weiterleiten von E-Mails unter Bewahrung der Kopfzeilen
    • Weiterleiten von E-Mail-Fragmenten (= Antworten, aber Adressaten ändern)
  • Praxis: Anlagen
    • Versenden von Anlagen
    • Eigentlich schlechte Versandform: ASCII-Codierung bläht um 4/3 auf
    • Versenden von vielen oder sehr großen Anlagen - zippen, hinterlegen (Bigmail)
    • Falls nicht an der Uni: Billigen Webspace besorgen
  • Theorie: E-Mail-Kopfzeilen
    • Absender- und Adressatenangaben unzuverlässig
    • Poststempelzeilen (Received:) teilweise aussagekräftiger
    • Ausführliche Erläuterung der Received-Zeile
  • Praxis: E-Mail-Kopfzeilen
    • Untersuchen verschiedener E-Mails
  • Theorie und Praxis: SPAM-Filterung
    • Unbeauftragte SPAM-Filterung durch Provider strafbar: § 206 (2) StGB
    • SPAM-Filterung mit perMail nach Artikel
    • Junk-Filter von Thunderbird
  • Theorie: Mailinglisten
    • Einfache Verteiler
    • Listserver
  • Praxis: Listserver
    • Anmelden auf https://listserv.uni-muenster.de/mailman/listinfo/sicher-ins-internet-kurs
  • Theorie: NetNews
    • Äußerlich ähnlich zu Mail, aber Prinzip verbundener Röhren: Jeder bekommt alle Inhalte
    • Jeder bekommt alle Inhalte
  • Praxis: NetNews
    • Spiel-Newsgroup wwu.test
    • Stöbern in de.* u. a.
  • Theorie: NetNews-Netiquette
    • NetNews = Öffentlichkeit
    • Keinerlei HTML. Keinerlei Anlagen. Transportmenge niedrig halten.
  • Theorie: Internet Relay Chat (IRC)
    • (Selbst früher gelegentlich genutzt)
    • Textzeilen-Live-Kommunikation
    • Netz von Relay-Servern
    • Kanäle werden durch Betreten angelegt
    • Netiquette! Operator-Status, usw.
    • Keinerlei Sicherheit! Keinerlei Privatsphäre!
    • Gefahr bei Filetransfer (unsichere Software-Quelle)
  • Praxis: IRC mit Chatzilla
    • Als Verwalter: McAfee-Port-Blockierung für IRC aufheben
      • VirusScan-Konsole: | Extras | Sperrung der Benutzeroberfläche aufheben | Passwort eintippen | OK
      • Zugriffsschutz | Task-Eigenschaften | Port-Blockierung | IRC-Kommunikation verhindern 6666-6669 Ausgehend: AUS | OK
      • Extras | Benutzeroberfläche sperren
    • Als Nutzer: Installation Chatzilla
      • Firefox starten | Extras | Erweiterungen | Erweiterungen herunterladen
      • Auf der WWW-Seite: XUL Applications | (Unter ChatZilla 0.9.68.5:) Install
      • In Dialogbox: Jetzt installieren
      • Nach Abschluss: Alle Firefox-Fenster schließen
    • Konfiguration Chatzilla
      • Firefox starten | Extras | ChatZilla | Tools | Options
      • General | Description: Eigener Vor- und Nachname
      • General | Nickname: Eigener Spitzname
      • General | Username: Nutzerkennung auf eigenem Rechner
    • Stand hier: Virtuelle Maschine XP-7
    • Verbindungsaufbau: /server irc.fu-berlin.de
    • Eigener Spitzname: /nick neuernickname
    • Kanal betreten: /join #s-i-i-kurs
    • Viel Spaß!
    • (DCC-Funktionen (Direkt Client-Client) erfordern Öffnung des Paketfilters)
  • Theorie: ICQ = I Seek You
    • (Selbst keine Erfahrung)
    • Keinerlei Sicherheit! Keinerlei Privatsphäre!
    • Gefahr bei Filetransfer (unsichere Software-Quelle)
    • Äußerst fragliche Nutzungsbedingungen: ICQ behält sich vor, auf dem PC installierte Software zu ändern, alle persönlichen Daten zu veröffentlichen und Nutzungsprofile für kommerzielle Zwecke zu verwenden. Ausblenden von Werbung verboten.
  • Praxis: ICQ
    • ...
    • ...
    • ICQ Infosrv #337549538
    • ...
    • ...

Freitag: Schutz der Privatspäre

Sicherer Zugriff auf WWW- und andere Server (HTTPS, SSL/TLS, Zertifikatkontrolle, Homebanking). Verschlüsselte E-Mail mit perMail. Verschiedenes.

  • Praxis: WWW-Seiten über HTTPS (SSL)
    • HTTPS = Identitätskontrolle des Servers + verschlüsselte Datenübertragung
    • Technische Qualität Verschlüsselung (sehr pauschal): Kleine Zahlen: 40...56...64 schlecht, 112...128...192...256 gut
    • Technische Qualität Identitätskontrolle (sehr pauschal): Große Zahlen: 512...768 schlecht, 1024...1536...2048 gut
  • Theorie: Identitätskontrolle mit Zertifikaten
    • Gefahr: Verbindung mit falschem (echt aussehenden) Server - PIN und TAN in fremde Hände usw.
    • Angriffsweg: Phishing-E-Mails, Nameserver-Vergiftung u. a. m.
    • Gegenmaßnahme Zertifikatkontrolle
    • Zertifikat = elektronisch unterschriebene Beglaubigung, wem ein öffentlicher Schlüssel gehört
    • Kontrollverfahren Vergleich des Fingerabdrucks (manuell)
    • Kontrollverfahren Prüfung der elektronischen Unterschrift (automatisch, falls Zertifizierungsinstanz bekannt)
    • Vertrauen in Zertifizierungsinstanzen in Browser vorgegeben aber einstellbar
  • Praxis: Zertifikatkontrolle
    • Vergleich des Fingerabdrucks üben - perMail-Server und WWUCA-Webseiten
    • Fehlersituationen prüfen: zivbc0101, zivbc0105, fastfix
    • Bekannte Zertifizierungsinstanzen nachschauen
    • Fingerprints von Zertifizierungsinstanzen prüfen - WWUCA, DFN-PCA
    • Vertrauenseinstellungen für Zertifizierungsinstanzen
    • Zertifizierungsinstanzen nachladen - dabei Vertrauenseinstellungen nicht vergessen
    • Fehlersituationen erneut prüfen: zivbc0101, zivbc0105, fastfix
  • Theorie: (Nicht nur) E-Mails: Gefahren und Schutzmaßnahmen
    • Nachricht fangen Nachricht ab - Kein Schutz möglich
    • Ungefugte lesen Nachricht - Verschlüsseln hilft
    • Unbefugte senden falsche Nachricht - Signieren hilft
    • Unbefugte verfälschen Nachricht - Signieren hilft
    • Aktuelle Kryptographie verwenden Schlüsselpaare aus geheimem und öffentlichem Schlüssel (Falltür-Tresor)
    • Signieren mit geheimem Schlüssel des Senders - nur Sender kann signieren, aber jeder kann verifizieren
    • Verschlüsseln mit öffentlichem Schlüssel des Empfängers - jeder kann verschlüsseln, aber nur Empfänger kann entschlüsseln
  • Praxis: GnuPG mit perMail
    • Aufruf von perMail (ohne VMware, eigene oder Kurs-Nutzerkennung)
    • Wahl einer Passphrase (Informationsgehalt Text = 1,3 Bit/Buchstabe, Schlüssellänge = 128 Bit, also gute Passphrase = 100 Zeichen, also Kompromiss nötig)
    • Schlüsselgenerierung mit GnuPG - mit ausführlicher Erläuterung
    • Ausführlich: Signieren, Verifizieren, Verschlüsseln, Entschlüsseln für sich selbst
    • Wann Passphrase nötig?
    • Übermittlung des eigenen öffentlichen Schlüssels an andere Kursteilnehmer
    • Ausführlich: Signieren, Verifizieren, Verschlüsseln, Entschlüsseln mit anderen Kursteilnehmern
    • GnuPG-Warnmeldungen beachten (ungeprüfte Identität)
    • Identitätskontrolle durch Fingerprintvergleich (mündlich)
    • Signieren (= Zertifizieren) überprüfter Identitäten zur Beseitigung der Warnung
    • Erneut: Signieren, Verifizieren, Verschlüsseln, Entschlüsseln mit anderen Kursteilnehmern: "nur vertrauenswürdige Schlüssel"
  • Theorie (Wiederholung): Bewertung von Sicherungsmaßnahmen
    • Betriebssystem- und Softwareaktualisierung - das Fundament der ganzen Burg, extrem wichtig
    • Vernünftige Softwarekonfiguration, welche ungewolltes Aktivieren von Schadprogrammen erschwert - die Burgmauer, extrem wichtig
    • Gehirn und gesunden Menschenverstand einschalten und nicht auf alles doppelklicken - die Wachen am Burgtor, extrem wichtig
    • Antiviren-Software - sehr wichtig, schützt im Inneren der Burg gegen Feinde, die die Mauer bereits überwunden habe, aber nur gegen bekannte Feinde
    • Desktop Firewall / Paketfilter (eingehend) - versperrt versehentlich geöffnete Türen, aber nur diese - als Zusatzschutz sinnvoll
    • Desktop Firewall / Paketfilter (ausgehend) - versperrt dummen Halungen den Weg ins Internet (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
    • Anti-Dialer-Software - versperrt dummen Halunken den Weg ins Telefonnetz (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
    • Portscans, Security Scans (Nessus usw.) - Überprüfung der Sicherungsmaßnahmen, sehr sinnvoll
    • Richtige Firewall = sehr komplexes Sicherungssytem im Netz (nicht auf zu schützendem Rechner)
    • Vor allem aber Respekt: Keine Leichtsinnigkeiten, aber auch keine Panik! (Keine Schutzprogramme oder sonstigen Aktionen aus unseriösen Quellen!)

Zweite Woche: Sicher ins Internet für Fortgeschrittene

Montag und Dienstag: Fortgeschritte Sicherungsmaßnahmen

Geschichte des Internet. Aufbau des Internet. Fehlersuche. Absicherung des eigenen Rechners (Internetoptionen, Anpassung von Desktop-Firewalls z. B. an Peer-to-peer-Dienste, Portscans, Penetrationstests usw.)

  • Theorie: Geschichte des Internet
    • 1957: Gründung ARPA (Advanced Research Projects Argency) im DoD (Department of Defense)
    • 1961: Erste Theorien zu Paketorientierten Netzen
    • 1966: Erste Planungen zum ARPANET
    • 29.10.1969 22:30 Uhr PST (30.10. 7:30 MEZ) Erste Verbindung im ARPANET (Los Angeles - Menlo Park, knapp 600 km) vgl. http://www.zakon.org/robert/internet/timeline/)
    • 1969 4 Rechner
    • 1971 23 Rechner in 15 Universitäten
    • 1973 Erste internationale Verbindungen
    • 1982 Festlegung von TCP/IP: Transmission Control Protocol/Internet Protocol
    • 1984 1000 Rechner überschritten; Einführung des Domain Name System
    • 1987 10.000 Rechner überschritten
    • 1989 100.000 Rechner überschritten; Erstes Paper zur Verwendung von Hypertext in Informationssystemen
    • Weihnachten 1990 Geburt des World Wide Web beim CERN (vgl. http://www.w3.org/History/)
    • 1991 Entwicklung von PGP durch Phil Zimmerman (vgl http://www.philzimmermann.com/)
    • 1992 1.000.000 Rechner überschritten
    • 1994 (Oktober) 3,5 Mio. Rechner, 13,5 Mio. Internet-Nutzer, 27,5 Mio. E-Mail-Nutzer
    • 1995 World Wide Web übernimmt die Spitzenposition bzgl. übertragener Datenmenge
    • Anfang 1996 10 Mio. Rechner überschritten; über 100.000 Netze, über 500.000 Domains
    • 1996 Öffentliches Aufsehen erregt durch staatliche Zensurmaßnahmen in China (nur polizeilich registrierte Nutzung), Deutschland (Zensur von NetNews-Foren), Saudi-Arabien (Zugang nur für Universitäten und Krankenhäuser), Singapur (nur polizeilich registrierte politische und religiöse Internetseiten) - heute ist Mitlesen und Zensur durch Regierungen omnipräsent (Echelon usw.)
    • Ende 2000 100 Mio. Rechner überschritten
    • Mitte 2002 Über 160 Mio. Rechner, etwa 600 Mio. Internet-Nutzer
    • Anfang 2005 Über 300 Mio. Rechner in 3 Mio Second-Level-Domains (vgl. http://www.isc.org)
  • Theorie: Aufbau des Internet
    • Internet = Netz von Netzen, die gleiche Sprache sprechen
      • Unabhängig vom Transportmedium: Kupferleitungen, Glasfasern, Funkstrecken, Laserstrecken usw.
      • Sogar Brieftauben können genutzt werden, siehe RFCs 1149, 2549
      • Standards werden in RFCs (Requests for Comment) niedergelegt (http://de.wikipedia.org/wiki/Request_for_Comments)
    • Sehr gute Beschreibungen nachfolgender Protokolle in Wikipedia: http://de.wikipedia.org
    • IP-Pakete (Internet Protocol)
      • IP-Adressen = Adressen von Rechnern (Hausnummern), vier Ziffern aus 0...255
      • Jeder Rechner kennt mindestens: eigene IP-Adresse (evtl. beim Rechnerstart per Rundruf "Wer bin ich?" erfragt)
      • Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse
      • Paketinhalte können unterschiedlich interpretiert werden: Protokollnummer im Paketkopf: 1=ICMP, 6=TCP, 17=UDP, 47=GRE
      • Verknüpfung von lokalen Netzen via Router (von Microsoft Gateway genannt) (Haus mit Türen an verschiedenen Straßen)
      • Lokale IP-Pakete direkt adressieren, Non-lokale IP-Pakete an Router
      • Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask
      • Falls eigene IP-Adresse und Ziel-Adresse, durch Netmask betrachtet, gleich sind, lokal adressieren, sonst an Default-Router
      • Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse, via IP-Adresse
      • Router nimmt Pakete, ersetzt Via-Adresse durch nächste Via-Adresse gemäß vorhandener Tabellen
      • Jeder Netzanschluss hat eigene IP-Adresse - ein Rechner kann mehrere IP-Adressen haben
      • Router können Tabelleninhalte über das Internet (BGP über TCP oder eigene Protokolle 89=OSPF usw.), über statische Einträge usw. erhalten
      • Pakete durch fehlerhafte Tabellen im Kreis? Schutz durch TTL-Angabe (Time To Live)
      • Absender setzt TTL, jeder Router verringert TTL um eins, bei Null wird verworfen und Absender benachrichtigt (wird von Traceroute ausgenutzt)
      • Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse, via IP-Adresse, Time to live (dazu Länge, Fragmentnummer u. a. m.)
      • ICMP-Pakete (Internet Control Message Protocol) für Tests und Fehlermeldungen: Echo request (= Ping), Destination unreachable, Time exceeded usw.
      • IP-Adressen werden von den zentralen Internet-Registraren (RIPE, ARIN, APNIC, AfriNIC, LACNIC) über lokale Internet-Registrare blockweise vergeben: Uni Münster hat 128.176.0.0 bis 128.176.255.255
    • UDP/IP-Pakete (User Datagram Protocol)
      • Ein Rechner kann mehrere Dienste beherbergen: Jeder Dienst hat eindeutige Portnummer (Zimmernummer) aus 1...65535
      • Mehrere Programme können gleichzeitig auf das Internet zugreifen: Zum Zuordnen der Antwortpakete ebenfalls Portnummern nötig
      • Adressierung UDP/IP-Pakete: von IP-Adresse, von Port, an IP-Adresse, an Port, via IP-Adresse, Time to live, Protokolltyp UDP (und mehr)
      • Gut für Audio+Video, wo einzelne Paketverluste nicht schaden
      • Well-known port numbers: Üblicherweise benutzen bestimmte Dienste bestimmte Portnummern, Liste bei IANA
    • TCP/IP-Pakete (Transmission Control Protocol)
      • IP-/ICMP-/UDP-Datenpakete können verloren gehen, keine überwachte Verbindung, nur kleine Datenmengen pro Paket
      • TCP/IP sorgt für Eingangsbestätigungen und bei deren Ausbleiben für Retransmission von Paketen: virtuelle Verbindungen möglich.
      • Portnummern wie bei UDP (aber eigenes Protokoll, daher eigener Nummernsatz)
      • Sequenznummern zur Paketsortierung (Pakete können sich überholen)
      • Flaggen SYN, ACK, FIN (und mehr) für Pakettyp: Daten, Datenbestätigung, Verbindungsaufbau, Verbindungsaufbaubestätigung, Verbindungsabbau, Verbindungsabbaubestätigung
      • Verbindungsaufbau (3-Way-Handshake): Hin: SYN-Paket, Rück: SYN+ACK-Paket, Hin: ACK-Paket
      • Paketfilter (Desktop Firewalls) können Verbindungen verhindern, indem sie das entsprechende SYN-Paket unterdrücken.
      • Verbindungsabbau analog mit FIN statt SYN; gewaltsam mit RST
      • Flusssteuerung: Datenpakete werden mit ACK-Paketen bestätigt, sonst erfolgt Retransmission
      • TCP-Window: Wie viele noch unbestätigte Daten (-pakete) maximal unterwegs sein dürfen
      • TCP/IP-Verbindungen werden eindeutig erkannt an Kombination: Client-IP-Adresse, Client-Port, Server-IP-Adresse, Server-Port
    • Rechnernamen, Nameserver
      • IP-Adressen nicht nutzerfreundlich, Namen besser
      • Nameserver (meist über UDP) wandeln Namen in IP-Adressen um
      • Mehrere Namen für einen Rechner möglich: Kanonischer Name, Aliasname (Beispiel: news und sagnix), häufig für dienstbezogene Namen genutzt
      • Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask, Nameserver
    • Domains, Domain Name Server (DNS)
      • Verschiedene Einrichtungen möchten gleichen Namen vergeben: Welcher Asterix ist gemeint?
      • Abhilfe Domains: www.jura.uni-muenster.de = Rechner www in 3rd-Level-Domain jura in 2nd-Level-Domain uni-muenster in Toplevel-Domain de
      • Rechnernamen ohne Domainangabe werden in eigener Domain gesucht
      • Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask, Nameserver, eigene Domain
      • Domain-Struktur (-Hierarchie) unabhängig von Netz-Topologie: Rechner völlig unterschiedlicher Adressen können in einer Domain zusammengefasst werden
      • Jede Domain hat einen/mehrere Nameserver
      • Jeder Nameserver kennt die Rechner seiner Domains und die Nameserver unter- und übergeordneter Domains
      • Alle Toplevel-Nameserver kennen sich gegenseitig
      • Toplevel-Domains: anfangs: net, org, com, edu, gov, mil; später 2-Buchstabige Länderdomains (de, at, ch usw.), neu: info, biz, u. a.
      • Rechner fragen eigenen Nameserver, diese leiten die Frage ggf. nach durch den "Baum" weiter und die Antwort zurück
      • Ein Rechner kann in mehreren Domains sein (Beispiel: www.mhs-muenster.de = www.zsb-in-nrw.de = geophysik.uni-muenster.de)
      • Nameserver können auch IP-Adressen in Namen umwandeln, dann wird der kanonische Name (und ggf. Domain) geliefert
      • Subdomains werden vom Network Information Center (NIC) der übergeordneten Domain über die jeweiligen Internetprovider vergeben (DENIC für .de, unser NIC für uni-muenster.de)
    • Mail-Exchanger (MX-Einträge im DNS)
      • Ein A-Record im Nameserver liefert die IP-Adresse zu einem Rechnernamen
      • Bei MX-Record liefert den Rechnernamen zu einer Maildomain (dem rechten Teil einer E-Mail-Adresse)
      • Zu einer Maildomain kann es mehrere MX-Einträge mit gleicher oder unterschiedlicher Präferenz geben
      • Falls kein MX-Record, gilt der A-Record
  • Praxis: Aufbau des Internet
    • Gegeben: Virtuelle Maschine XP-7 (abgesichert; mit Firefox, Thunderbird, Chatzilla; ohne Konto- oder Zertifikat-Einstellungen; ohne IRC)
    • Eigene Konfiguration: ipconfig /all
    • Aktuelle Internetverbindungen: netstat -a (falls netstat nicht durch trojanisches Pferd ersetzt)
    • Für unterschiedliche IP-Adressen, Rechnernamen ohne/mit Domain, Maildomains folgende Befehle ausprobieren und Ausgaben interpretieren
    • ping Rechnerangabe
    • tracert/traceroute Rechnerangabe (Nicht jeder Router sendet Sterbenachrichten)
    • nslookup [-q=any / -q=mx] Rechnerangabe bzw. Domainangabe bzw. Maildomain
    • Auch nicht existierende oder unerreichbare Angaben ausprobieren
  • Praxis: Absicherung des eigenen Rechners
    • Internet Explorer und andere Windows-Komponenten benutzen die Internetoptionen
    • Einstellen der Internetoptionen nach Anleitung
    • Von der Beschreibung abweichend:
      • Karteikarte Sicherheit | Vertrauenswürdige Sites: Zusätzlich http://update.microsoft.com (neues Windows-Update)
      • Karteikarte Inhalte | Zertifikate: Deaktivieren sehr umständlich und versteckt, daher sämtliche Zertifikate komplett löschen
      • Karteikarte Programme: Da Outlook Express schon deaktiviert und Thunderbird schon installiert, entfällt das pfui
    • Stand hier: Virtuelle Maschine XP-8
    • Eigentlich nötig: Voreingestellte Zertifikate deaktiveren (nicht durchführen)
      • Über Internetoptionen zu umständlich
      • Einfacher (immer noch umständlich): Start | Ausführen | certmgr.msc
      • Leider reicht Verschieben in andere Zertifikatspeicher nicht aus
      • Rechtsklick | Eigenschaften | Deaktivieren für jedes Zertifikat extrem mühsam, daher löschen
      • Auch wenn alles gelöscht scheint, selbst aus den archivierten Zertifikaten, gibt es noch immer irgendwo im System Kopien: Ich habe es nicht geschafft, dass nach Rechnerneustart bestimmte Zertifikate (https://www.trustcenter.de/) nicht mehr ohne Rückfrage akzeptiert werden.
  • Praxis: Unerwünschte Serverdienste suchen
    • Von innen: netstat -a / netstat -an / netstat -anbvo
    • (Habe bei Kursvorbereitung Phantome gejagt: WWW-Verbindungen zu IP-Adressen von Hotmail, SpeedEra, Akamai - alles nur Streamer für Windows Update)
    • Programme innen können natürlich durch trojanisches Pferd modifiziert worden sein, sehen aber hinter die Firewall
    • Von außen: Portscan: nmap -sT -sU -p1-65535 -P0 -v -v -n Rechnername (Vorführung mit Knoppix-System)
    • ...
    • ...
    • Von außen (Nessus-Server): Penetrationstest
    • ...
    • ...
  • Theorie: Funktionsweise von Paketfiltern
    • Einzelne Pakete werden untersucht
    • Mögliche Entscheidungskriterien:
      • Richtung (vom Modem / zum Modem)
      • Quell-IP-Adresse, Ziel-IP-Adresse
      • Protokollnummer (1=ICMP, 6=TCP, 17=UDP, 47=GRE)
      • Bei ICMP: Pakettyp (Echo Request, Echo Reply, Host Unreachable, ...)
      • Bei TCP und UDP: Quell-Portnummer, Ziel-Portnummer
      • Bei TCP: Flags (SYN, ACK, FIN)
      • Weitere Eigenschaften wie Länge, Fragmentierung, Seriennummer
      • Bei Portnummer auf eigenem Rechner: Welches Programm den Port geöffnet hat
      • Aber nicht: Wer diesem Programm den Auftrag gegeben hat, den Port zu öffnen: Ob das ein troj. Pferd oder der Nutzer war)
    • Inhalte schlechtes Kriterium, da über beliebig viele Pakete verteilt
      • Kein Virenschutz - Virenscanner bleibt unverzichtbar
      • Kein E-Mail- oder Webseitenfilter - dafür wären Application Firewalls nötig
    • Beispiel: Eingehende WWW-Abfrage filtern: Paket vom Modem / Protokoll TCP / Ziel-Portnummer 80 / SYN=1 / ACK=0 / FIN=0
    • Reaktionsmöglichkeiten: Paket wegwerfen, durchlassen, Antwortpaket (meist RST=Reset) generieren
    • Stateful Packet Filter: Ändert Regeln abhängig von durchlaufenden Paketen
      • erlaubt beispielsweise bestimmte eingehende Pakete nur, wenn vorher durch ein ausgehendes Paket angefordert und Zeitfenster nicht überschritten usw.
  • Praxis: Paketfilter
    • TCP/IP-Filterung mit neuem Wissen betrachten
      • Warum welche Einstellung?
      • Vergleich Ausgaben netstat -an / Portscan
      • Paketfilter deaktivieren und erneuter Vergleich
      • Paketfilter wieder aktivieren
    • McAfee-Portfilter mit neuem Wissen betrachten
      • McAfee-Portfilter kümmert sich nur um TCP-Verbindungen
      • Probeweise ausgehende HTTP-Verbindungen verbieten, HTTPS-Verbindungen erlaubt lassen
      • Beispiel neue Regel: Regelname: Kein normales HTTP, Erster Port: 80; Ausgehend
      • http://user.uni-muenster.de geht nicht mehr, wohl aber https://user.uni-muenster.de; und sogar auch http://user.uni-muenster.de:8480
      • Also nicht HTTP/HTTPS, sondern Portnummer entscheidend - keine Protokoll- oder gar Inhaltsfilterung
      • In der neuen Regel unter ausgeschlossene Prozesse firefox.exe eintragen: Firefox kann wieder, aber Windows Update (Internet Explorer) geht immer noch nicht
      • Was wäre, wenn ein Virus sich jetzt firefox.exe nennt?
      • Proberegeln wieder deaktivieren
    • Für Desktop Firewall und später PGP: Client für Microsoft-Netzwerke nachinstallieren, aber nicht aktivieren:
      • Start | Systemsteuerung | Netzwerk- und Internetverbindungen | Netzwerkverbindungen
      • LAN-Verbindung auswählen (oder welche Verbindung auch immer für Sie zutrifft) | Einstellung dieser Verbindung ändern
      • Karteikarte Allgemein | Installieren
      • Client | Hinzufügen | Client für Microsoft-Netzwerke | OK
      • (Nicht aktivieren, daher) Häkchen vor Client für Microsoft-Netzwerke wegnehmen | Schließen
      • Fenster Netzwerkverbindungen schließen
    • Windows-Firewall anpassen
      • Start | Systemsteuerung | Sicherheitscenter | (unten) Windows-Firewall
      • Unter Allgemein: Keine Ausnahmen zulassen: EIN (Nachschauen: was sind denn die Ausnahmen)
      • Unter Erweitert | ICMP | Einstellungen: Eingehende Echoanforderung zulassen hilft Netzprobleme analysieren
      • Unter Erweitert | Netzwerkverbindungseinstellungen | (aktuelle Verbindung) | Einstellungen | ICMP: dito
      • Unter (dito) | Dienste: Für lokale Server wäre hier zu öffnen
    • McAfee Desktop Firewall installieren
      • Download https://winkiosk.uni-muenster.de/VirScan/Firewall/MDF800/MDF800DE/Products/Desktop%20Firewall/Setup.exe nach Eigene Dateien
      • Setup.exe starten, Zweijahresabonnement akzeptieren, sonst Voreinstellungen übernehmen, inkl. Neustart am Ende
      • Schon beim Neustart: Erster Zugriff auf 239.255.255.250 UDP Port 1900 ausgehend: Was ist das?
        • Wem gehört die IP-Adresse: whois -h whois.thur.de 239.255.255.250 (oder telnet whois.thur.de 43 und 239.255.255.250 eintippen)
        • Antwort: This block is reserved for special purposes. Please see RFC 3171 for additional information.
        • Lesen: http://www.rfc-editor.org/rfc/rfc3171.txt
        • Antwort: 224.0.0.0 bis 239.255.255.255 sind Multicast-Adressen (Rundruf-Adressen)
        • Antwort: Addresses in the Administratively Scoped Address block are for local use within a domain and are described in [RFC2365].
        • Lesen: http://www.rfc-editor.org/rfc/rfc2365.txt
        • Antwort: 239.255.0.0 bis 239.255.255.255 ist lokaler IPv4-Rundruf, sollte lokales Netz nicht verlassen
        • Google UDP port 1900
        • Antwort nach kurzem Stöbern: UPnP (Universal Plug aNd Play) Simple Service Discovery Protocol, siehe http://grc.com/port_1900.htm
        • Ausgehende Pakete zwar schadlos, aber wir wollen keine fremden Geräte nutzen, also: Verweigern.
      • Bei bei den ersten WWW-Zugriffen von Firefox auf Port 80 (HTTP) bzw. Port 443 (HTTPS): Zulassen
      • Konfigurieren: Taskleistensymbol | AutoUpdate-Eigenschaften | Plan | Planung | Beim Einwählen (VMware: Beim Systemstart) | OK | Jetzt aktualisieren | (Wenn fertig) Schließen | OK
      • Regelsätze anschauen/bearbeiten: Taskleistensymbol | Ansicht | Firewall-Richtlinie
      • Bei neu gelernter Regel zum Generic Host Process ... die UDP-Zielportnummern auf 1900 einschränken; Beide Richtungen beibehalten; Nur zur Kontrolle: Übereinstimmenden Datenverkehr protokollieren
      • Andere Regeln anschauen und (teilweise) verstehen
      • Windows Update aufrufen und notwendige Zugriffe zulassen
      • Wieder mit ausgehenden HTTP/HTTPS-Verbindungen experimentieren
    • Zukünftige Alarme/Rückfragen: Zum Lernen benutzen
    • Unterschiede der Firewalls:
      • TCP/IP-Paketfilterung: Nur eingehend. TCP und UDP portweise, andere Pakete protokollweise
      • Windows-Firewall: Eingehend TCP, UDP, ICMP port/typweise. Ausgehend einzelne Programme nach Zieladressen blockierbar.
      • McAfee-Portfilter: Beide Richtungen. Nur TCP portweise. Ausgehend einzelne Programmnamen freigebbar.
      • McAfee Desktop Firewall: Beide Richtungen. Alle IP-Protokolle, auch Nicht-IP-Protokolle. Alle obigen Kriterien (TCP-Flags nur implizit).
      • Fazit für Normalnutzer: Als Schutzmaßnahme TCP/IP-Paketfilterung gemäß Anleitung aktiviert reicht aus; was da durch kommt, muss auf Anwendungsebene (Virenscanner usw.) behandelt werden; weitere Firewalls bringen wenig zusätzlichen Schutz, wohl aber evtl. Schadensbegrenzung
      • McAfee Desktop Firewall sinnvoll bei zentral von Fachleuten verwalteten Systemen
    • Stand hier: Virtuelle Maschine XP-9
    • ...
    • ...
    • ... ICQ erneut installieren
    • ... Nur das nötigste öffnen
    • ...
    • ...
  • Praxis: Weitere Sicherungsmaßnahmen
    • Dateizugriffsrechteverwaltung aktivieren: Start | Systemsteuerung | Darstellung und Designs | Ordneroptionen | Ansicht | Erweiterte Einstellungen | Einfache Dateifreigabe verwenden (empfohlen): AUS (wirkt auch für Nutzer)
    • Remoteunterstützung vollkommen deaktivieren: Start | Systemsteuerung | Leistung und Wartung | System | Remote | Alles: AUS
  • Theorie (evtl. teilw. Praxis): Weitere Sicherungsmaßnahmen (sofern nicht schon in 1. Woche genannt)
    • Intrusion Detection: Daten-Änderungs-Detektor
      • tripwire unter Unix (leider nicht in Knoppicillin; via Knoppix auch für Windows)
      • (Unbekannt, Vorsicht:) Prevx, WinPatrol, ...
      • Vergleicht Prüfsummen, Timestamps, Zugriffsrechte usw. mit früheren Werten
    • Lokaler WWW-Proxy-Server/Dienst als Filter
      • gegen Werbebanner usw. (Junkbuster usw.)
      • gegen Webbugs, Cookies usw.
      • gegen Browser-Datenlecks (WWW-Kopfzeilen: User-Agent, Referer usw)
    • Analoge Proxy-Server/Dienste für andere Protokolle
    • Ausführlich: Projekt AN.ON (Datenschutzbeauftragter Schleswig-Holstein u. a.) http://www.datenschutzzentrum.de/projekte/anon/
  • Theorie: Weitere Informationsquellen

Mittwoch und Donnerstag: Vertrauenswürdige Kommunikation

Einführung in Kryptographie (Verschlüsselung, elektronische Unterschriften). Vertrauenswürdige E-Mail (perMail, PGP/GnuPG, S/MIME). Gesicherter Zugriff auf WWW- und andere Server (HTTPS, SSL/TLS). Zertifikate. PKIs.

  • Theorie: Funktionsweise der Public-Key-Kryptographie
  • Praxis: Einrichtung PGP unter Windows
    • Installation und Konfiguration von PGP nach Anleitung
    • Von der Beschreibung abweichend:
      • Download PGP 8.1.0 DE von hier
      • (Vorbereitung für PGP 9.0.2 DE war aus Zeitgründen nicht mehr möglich)
      • (PGP Volume Security u. a. würden sich mit McAfee Desktop Firewall beißen, die Freeware-Komponenten gehen)
      • Kein automatisches Entfernen beim Löschen - wegen VMware
      • Voreingestellte Schlüsselringdateien beibehalten - wir testen nur
      • Kein Synchronisieren mit Keyservern - wegen Test-Schlüsseln
      • Schlüsselbund-Backup im Schlüsselbund-Verzeichnis - wir testen nur
      • Noch keine Schlüsselgenerierung
    • (Erläuterung Angabe Additional Decryption Key - für Firmen sinnvoll)
    • Stand hier: Virtuelle Maschine XP-A
    • Erläuterung: Wahl einer Passphrase (Informationsgehalt Text = 1,3 Bit/Buchstabe, Schlüssellänge = 128 Bit, also gute Passphrase = 100 Zeichen, also Kompromiss nötig)
    • Schlüsselgenerierung mit PGP
  • Praxis: Erste Schlüsselbenutzung mit PGP
    • Signieren, Verschlüsseln, Entschlüsseln, Verifizieren für sich selbst
    • Es ist egal, ob Fenster zu Editor, Mailprogramm oder perMail gehört
    • Hotkeys: S-ign E-ncrypt C-rypt D-ecrypt/verify
    • PGPtray-Funktionen
    • Secure Viewer
    • Achtung, dass kein automatischer Zeilenumbruch nach Signieren
    • Wann Passphrase nötig?
  • Theorie: Schlüsselaustausch
    • Sichere Schlüssel-/Passphrase-Hinterlegung (Key Splitting)
    • Austausch von Schlüsseln direkt oder über Keyserver
    • Auf Keyserver wwwkeys.de.pgp.net nach Perske suchen; E-Mail-Schlüssel und (alten) Zertifizierungsschlüssel übernehmen
    • Unterschieben falsch deklarierter Schlüssel
    • Abwehr durch sichere Übergabe: persönliche Übergabe oder Fingerprintkontrolle
  • Praxis: Schlüsselaustausch mit PGP
    • Für Backup: Exportieren des kompletten Schlüsselpaares
    • Für Weitergabe: Exportieren, Versenden und Importieren öffentlicher Schlüssel
    • Suchen und Importieren von Schlüsseln vom Keyserver
  • Praxis: E-Mail mit PGP
    • E-Mails mit anderen: Signieren, Verschlüsseln, Entschlüsseln, Verifizieren
    • Warnmeldung Identität unsicher beachten
    • Lokales (nicht exportierbares) Signieren nach Fingerprintkontrolle (hexadezimalen Fingerprint verwenden) - Warnmeldung verschwindet
    • Ausführlich: E-Mails mit verschiedenen anderen Kursteilnehmern: Signieren, Verschlüsseln, Entschlüsseln, Verifizieren
    • Auch Anlagen verschlüsseln: Bereits vor dem Einfügen mit PGPmail
    • (Alternative: Konventionelle Verschlüsselung, evtl. selbstdechiffrierendes Archiv; Geht aber nicht durch unsere Mailserver)
    • Anlagen entschlüsseln/verifizieren mit PGPmail
    • (PGPmail kann auch richtig löschen)
  • Theorie: Zertifikate
  • Theorie: Web of Trust
    • In PGP ist man selbst Anfang der Zertifizierungskette
    • Durch Signieren bestätigt man Identitäten
    • Aufbau der Schlüsselringe: Schlüssel, mehrere Userids, jeweils mehrere Signaturen
    • Signaturen von anderen nur beachten, wenn Aussteller vertrauenswürdig: persönliche Entscheidung
    • Vertrauenseinstellungen, Gültigkeitsberechnung, Web of Trust
  • Praxis: Web of Trust mit PGP
    • Vertrauenseinstellungen (beispielsweise mein alter Certification Key) ändern, Gültigkeiten beobachten (siehe Anleitung ganz unten)
    • Exportierbares Signieren anderer Schlüssel (nach Fingerprintkontrolle) und diese Schlüssel an die Eigentümer zurücksenden
    • Ggf. muss nicht-exportierbare Signatur gelöscht werden, bevor exportierbare Signatur erstellt werden kann
  • Theorie: Schlüssel-Widerruf
    • Schlüsselwiderruf = Signatur: Diesen Schlüssel nicht mehr verwenden
  • Praxis: Schlüssel-Widerruf mit PGP
    • Zuerst Backups aller Schlüsselringe anlegen
    • Schlüsselwiderruf erzeugen und exportieren (eigentlich in Bankschließfach)
    • Schlüsselringe aus Backup wiederherstellen
    • Exportierten Widerruf austauschen / importieren und Folgen beobachten
  • Theorie: Zertifizierungshierarchien
    • Pragmatisch: Organisierte Zertifizierungsinstanzen hierarchisch angeordnet
    • Kreuzzertifizierungen
    • In PGP: Nur oberste Instanz der Zertifizierungshierarchie lokal signieren, aber allen Instanzen das Vertrauen aussprechen (in perMail voreingestellt)
  • Praxis: Zertifizierungshierarchien mit PGP
    • Import ZIV-Schlüsselring mit DFN-PCA-Hierarchie-Schlüsseln: https://www.uni-muenster.de/ZIV/Mitarbeiter/zivring.asc
    • Bei nachfolgenden Aktionen Gültigkeiten beobachten (ZIV-Mitarbeiter, Zertifizierungsstelle Universität Münster)
    • DFN-PCA Certification Keys non-exportable signieren (verstecken sich teilweise unter No Longer in Use)
    • DFN-PCA Certification Keys vertrauen
    • Den mit diesen Keys zertifizierten Keys vertrauen (Tipp: Nach Gültigkeit sortieren)
    • Jetzt ist der Stand erreicht, der von perMail automatisch eingerichtet wird
    • Auf perMail-Schlüsselseite die Hierarchien nachvollziehen
    • Eigenen Schlüssel zum Zertifizieren exportieren
  • Theorie: X.509-Zertifikate
  • Theorie: SSL/TLS-Verbindungsaufbau
  • Praxis: Zertifikatkontrolle
    • Vergleich des Fingerabdrucks üben - perMail-Server und WWUCA-Webseiten
    • Fehlersituationen prüfen: zivbc0101, zivbc0105, fastfix
    • Bekannte Zertifizierungsinstanzen nachschauen
    • Fingerprints von Zertifizierungsinstanzen prüfen - WWUCA, DFN-PCA
    • Vertrauenseinstellungen für Zertifizierungsinstanzen
    • Zertifizierungsinstanzen nachladen - dabei Vertrauenseinstellungen nicht vergessen
    • Fehlersituationen erneut prüfen: zivbc0101, zivbc0105, fastfix
    • Vorinstallierte Zertifizierungsinstanzen deaktiveren
    • CRLs downloaden, installieren, überprüfen
  • Praxis: S/MIME-Schlüsselpaar erzeugen
    • (Diese Methode geht nur mit Mozilla, Netscape, Opera; andere Browser benötigen externe Programme)
    • Mit Firefox zur Test-Zertifizierungsstelle https://www.uni-muenster.de/ZIV/anw/testca.htm
    • Auf Knopfdruck werden Schlüsselpaar erzeugt und Zertifizierungsrequest übermittelt
    • CA-Zertifikat importieren | Schlüsselpaar erzeugen | Eigenes Zertifikat importieren
    • (Folgende Schritte waren mit der Mozilla-Suite unnötig)
    • Eigenen Schlüssel in PKCS12-Datei exportieren
    • PKCS12-Datei in Thunderbird importieren
    • Vorhandene Zertifikate in Thunderbird untersuchen
    • Zertifizierungsinstanz in Thunderbird auf vertrauenswürdig schalten
  • Praxis: E-Mail mit S/MIME
    • S/MIME-Signieren, -Verifizieren, -Schlüsselimport, -Verschlüsseln, -Entschlüsseln
    • Signierte E-Mails enthalten Zertifikat = Schlüsselaustausch
    • Verschlüsselung möglich, sobald eine signierte E-Mail vom gewünschten Empfänger erhalten oder wenn dessen Schlüssel importiert
  • Theorie (evtl. Praxis): Eigene CA
    • Nichts geheimnisvolles: Einfach OpenSSL-Software benutzen
    • Mühsam: Konfigurationsdatei passend parametrisieren
    • Wurzelzertifikat erstellen: openssl req -new -x509 -out cert.pem -keyout key.pem -days 730
    • (cert.pem und key.pem nach private/, cert.pem nach certs/, c_rehash)
    • In Importformat umwandeln: openssl x509 -in cert.pem -inform pem -outform der -out cert.der (Vom WWW-Server mit MIME-Typ application/x-x509-ca-cert ausliefern lassen)
    • Request erstellen: openssl req -new -out req.pem -keyout key.pem
    • Request signieren: openssl ca -name KonfigAbschnitt -in req.pem -out cert.pem -days 365
    • Komplette WWUCA-Installation: https://www.uni-muenster.de/WWUCA/install-x509-ca.html
    • Neue Linux-Distributionen haben tinyca; roCA benutzt tinyca auf Knoppix
    • Weitere Informationen: http://www.dfn-pca.de
  • Theorie: Public Key Infrastructure (PKI)
    • Aktuell ein großes Schlagwort
    • De facto aber nur eine Bezeichnung für das Organisieren von Schlüsselverteilung und -kontrolle
    • Unabhängig vom Verteilungsmechanismus bleibt immer das Problem, das/die Wurzelzertifikate in die verwendete Software zu integrieren
  • Praxis (falls noch Zeit): Installation von GnuPG und Enigmail für Thunderbird
    • Als Verwalter
    • Download GnuPG 1.4.2 für Windows von ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.2.exe nach Eigene Dateien
    • In Eigene Dateien: Doppelklick auf gnupg-w32cli-1.4.2.exe
    • Im Dialogfenster Installer Language: Sprache Deutsch auswählen
    • Im Installationsfenster GNU Privacy Guard Installation: fünfmal Weiter | Installieren | Weiter | Fertigstellen
    • Download IDEA-Verschlüsselung von ftp://ftp.gnupg.dk/pub/contrib-dk/ideadll.zip nach Eigene Dateien
    • In Eigene Dateien: Doppelklick auf ideadll.zip
    • In ideadll.zip: Datei idea.dll markieren | Datei kopieren | neu anzulegender Zielordner C:\lib\gnupg
    • Unter Start | Systemsteuerung | Leistung und Wartung | System | Erweitert | Umgebungsvariablen | Systemvariablen | Path auswählen | Bearbeiten: An den vorhandenen Inhalt anhängen: ;C:\Programme\GNU\GnuPG | Alles mit OK bestätigen und Fenster schließen
    • Test: Unter Start | Alle Programme | Zubehör | Eingabeaufforderung: Eintippen: gpg --version | Eintippen: gpg --load idea --version
    • Als Nutzer
    • Test: Unter Start | Alle Programme | Zubehör | Eingabeaufforderung: Eintippen: gpg --version | Eintippen: gpg --load idea --version
    • Falls gpg von Eingabeaufforderung nutzbar sein soll, konfigurieren: edit "C:\Dateien und Einstellungen\Nutzer\Anwendungsdaten\gnupg\gpg.conf" load-extension idea
      default-recipient-self
      keyserver hkp://pgpkeys.pca.dfn.de
      keyserver-options auto-key-retrieve include-revoked include-subkeys
      no-secmem-warning
      no-mangle-dos-filenames
      default-cert-check-level 3
      (Zur Verwendung von Notepad müsste man vorher versteckte Dateien in Ordneroptionen sichtbar machen)
    • Test: gpg --version sollte jetzt auch IDEA enthalten
    • Als Nutzer
    • Download (Rechtsklick | Ziel speichern unter) Enigmail 0.92.0 für Thunderbird von http://www.mozilla-enigmail.org/downloads/enigmail-0.92.0-tb-win32.xpi nach Eigene Dateien
    • Download (Rechtsklick | Ziel speichern unter) deutsches Sprachpaket von http://www.mozilla-enigmail.org/downloads/lang/0.9x/enigmail-de-0.9x.xpi nach Eigene Dateien
    • In Thunderbird: Extras | Erweiterungen
      • Installieren | enigmail-0.92.0-tb-win32.xpi | Öffnen | Jetzt installieren
      • Installieren | enigmail-de-0.9x.xpi | Öffnen | Jetzt installieren
      • Installationsfenster schließen
    • Thunderbird beenden und neu starten
    • (Installation auch als Administrator für alle Nutzer möglich, aber Besonderheiten beachten; Vorteil: Executable geschützt)
    • In Thunderbird: Enigmail | Einstellungen ... (Der Leser sollte gelernt haben, worauf er jetzt achten soll)
    • Stand hier: Virtuelle Maschine XP-B

Freitag: Weitere Kommunikationsformen und Möglichkeiten

Sichere Verbindungen (SSH, SFTP). Abschirmung unsicherer Verbindungen (SSH-Tunnel, STunnel). Dateisystemverschlüsselung. Firewall-Konzepte. Verschiedenes.

  • Theorie: SSH
    • Funktionsweise von SSH
    • Schwachpunkt erste Verbindung
    • Tunnels durch ausgehendes/eingehendes Port-Forwarding (ausführliche Skizze)
  • Praxis: Sichere Dialog-/Datenverbindungen mit SSH
    • Installation von PuTTY (Google putty | PuTTY Download Page)
    • Keine Administratorrechte nötig
    • SSH-Verbindung mit ZIVUNIX - Dialogsitzung
    • Port-Forwarding: Local 110 nach pop:110 - Test mit telnet localhost 110
    • Ausprobieren mit IMAP- und/oder NNTP-Server (zusätzliche Thunderbird-Konten)
    • Port-Forwarding: Remote 1111 nach pop:110 - Test mit telnet zivunix 1111
    • psftp und pscp in Eingabeaufforderung
    • Installation for FileZilla (Google filezilla | FileZilla Homepage)
    • Keine Administratorrechte nötig
    • Verbindung mit sftp://zivunix.uni-muenster.de - Mailboxfiles in Mail
    • Unterschied Binär/ASCII/Auto-Transfer
  • Praxis: Datei(system)verschlüsselung
    • Manuelle (konventionelle) Dateiverschlüsselung mit PGPmail
    • Verschlüsselte Verzeichnisse von Windows XP
    • (Sicherung des EFS-Schlüssels mit MMC und Wiederherstellungsagenten zu kompliziert, selbst nicht geschafft)
    • (Kryptofilesysteme unter Linux)
    • PGP-Volume-Verschlüsselung in PGP 9 - Testversion
  • Praxis: VPN-Verbindung
    • (Wird verwendet bei FunkLAN, pLANet, Teleport, sonstige VPN)
    • VPN-Verbindung mit vpn-internet.uni-muenster.de einrichten; Optionen beachten und verstehen
    • TCP/IP-Filterung und andere Firewalls: Protokoll 47 (Generic Routing Encapsulation) zulassen
    • Uni Münster leider noch: Eigenschaften | Sicherheit: Keine Verschlüsselung (Erweitert: nur CHAP zulassen)
    • (Daher ungeschützte Verbindungen per SSH tunneln)
  • Theorie: Vernünftige Firewall-Konzepte
    • Demilitarisierte Zonen
    • Private IP-Adressbereiche
    • Application Proxies in DMZ
    • 80 % aller Angriffe kommen von »innen«: Internet, Intranet(s), DMZ, Sicherheitsbereiche voneinander trennen
  • Theorie: Steganographie
  • Theorie, evtl. Praxis: Verschiedenes
    • Quantenkryptographie (über 60 km erfolgreich getestet)
    • ...
    • ...

© 2005 Rainer Perske


Impressum | © 2012 Universität Münster
Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13
· 48149 Münster
Tel.: +49 251 83-31600 · Fax: +49 251 83-31555
E-Mail: ziv@uni-muenster.de