Navigation:

zum Inhalt
zur Hauptnavigation
zur Zielgruppennavigation

Schnellzugriff

Zielgruppennavigation:

Hauptnavigation:

Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13 48149 Münster
Tel.: +49 251 83-31600
Fax: +49 251 83-31555
ziv@uni-muenster.de

Metanavigation:

Sicher ins Internet

Stichwortliste zur Lehrveranstaltung

Veranstaltungsdaten

Dozent: Rainer Perske
Blockveranstaltung Sicher ins Internet
- Vorlesungsnummer: 260011
- Datum: 15.08.-19.08.2005
Blockveranstaltung Sicher ins Internet f�r Fortgeschrittene
- Vorlesungsnummer: 260026
- Datum: 22.08.-26.08.2005
Uhrzeit: 10-12 Uhr + 13-17 Uhr
Ort: Einsteinstra�e 60, ZIV-Pool 3 (Erdgeschoss)
URL: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/SicherInsInternet.html
Weiteres Skriptmaterial (Ausdrucken der PDF-Dateien wird empfohlen)
Erg�nzende Literaturempfehlungen
- F�r Einsteiger und Fortgeschrittene
  - Clifford Stoll, Kuckucksei, Fischer Taschenbuch, ISBN 3596139848
  - Simon Singh, Geheime Botschaften, Dtv Taschenbuch, ISBN 3423330716
  - Zahllose Artikel aus der Zeitschrift c't, Heise-Verlag
  - Wikipedia-Artikel http://de.wikipedia.org zu �Internetprotokoll� und dort verlinkte Artikel
- F�r Fortgeschrittene
  - Bruce Schneier, Applied Cryptography, Second Edition, John Wiley & Sons, ISBN 0471117099
  - David Kahn, The Codebreakers, Scribner Book Company, ISBN 0684831309

Technische Daten

VMware-Konfiguration der Maschinen 18 bis 48
- MAC-Adressen: 00:50:56:01:00:18 bis ...:48
- Rechnernamen: ZIV01018VM bis ZIV01048VM.uni-muenster.de
- Zugeordnet den realen Rechnern: ZIV01018 bis ZIV01048.uni-muenster.de gem�� Aufkleber
Vorbereitung der virtuellen Maschine
- Konfigurationsdateien: Netzwerklaufwerke \\zivpool1\kurs05 (oder \\wwuserv4\perske_kurs) in Zugriff nehmen
- Falls nicht schon vorhanden, vom Netzwerklaufwerk die Dateien ZIV010NN.vmx und NVRAM nach D:\ZIV010NN.vmx kopieren (f�r NN die richtige Nummer einsetzen, siehe Aufkleber am Rechner)
- Falls nicht schon vorhanden, vom Netzwerklaufwerk die Datei XP-N.vmdk nach D:\XP.vmdk kopieren (f�r N die richtige Nummer einsetzen)
- Starten durch Doppelklick auf die .vmx-Datei
- Nach dem Start der virtuellen Maschine: Unter Start | Systemsteuerung | Leistung und Wartung | System | Computername | �ndern | Computername: ZIV010NNVM (statt VMPERSKE2) eintragen (f�r NN die richtige Nummer einsetzen)
Kursnutzerkennungen f�r E-Mail-�bungen werden bei Bedarf vergeben

Motivation

Wiedergewinnung von etwas Privatsph�re und Anonymit�t
Wiedergewinnung von etwas vertraulichem Gedankenaustausch
Schutz eigener Daten und Interessen
Beispiele: Siemens verlor 1993/94 4-Mrd.-ICE-S�dkorea-Auftrag: DGSE las Angebotfax, Alstom bot TGV g�nstiger; eigene Verbeamtung
Aufrechterhaltung der Nutzbarkeit des Rechners
Vermeidung der Beihilfe zu Kriminalit�t und Terrorismus
Vermeidung, das Ziel polizeilicher Ermittlungen zu werden

Erste Woche: Sicher ins Internet

Montag und Dienstag: Notwendige Schutzma�nahmen und World Wide Web

Einf�hrung in Struktur des Internet. Fehlersuche. Absicherung des eigenen Rechners (Update, Einstellungen, Virenschutz, Paketfilter, Softwareauswahl, Browsercheck, Backup). Nutzung des WWW. Nutzung von Suchmaschinen.

Theorie: Was ist das Internet
- Internet = Weltweites Netz von Computernetzen, die �ber das Protokoll (definierte Sprache) TCP/IP miteinander kommunizieren
- Protokolle �ffentlich und auf nahezu s�mtlichen Systemen implementiert (= in Programmform vorhanden)
- Der Name Internet bezeichnet jetzt alle miteinander vernetzten Rechner, die sich auf Basis des IP (Internet Protocols) unterhalten; es gibt keine Institution namens Internet und niemanden, der f�r �das Internet� verantwortlich ist, immer nur Einrichtungen, die f�r Teilbereiche verantwortlich sind
- Das Internet gibt es seit 1969, das WWW erst seit 1991
- Viele Internetcaf�s bieten keinen Internet-, sondern nur WWW-Zugang
- Internet-Protokoll = Grundsprache; darauf aufbauend viele Protokolle f�r Anwendungen: HTTP, SMTP, Telnet, FTP, IRC, ICQ, NNTP, ...
- IP-Adressen = Adressen von Rechnern (Hausnummern)
- Portnummern = Nummern von Diensten auf Rechnern (Zimmernummern)
- IP-Pakete = Datenpakete von Hausnummer an Hausnummer
- darin h�ufig enthalten: TCP/IP-Pakete = Datenpakete von Hausnummer, Zimmernummer an Hausnummer, Zimmernummer
- IP-Adressen schwer merkbar, Rechnernamen besser
- Nameserver nennt IP-Adresse 128.176.188.115 zu Rechnername www (Nicht jeder WWW-Server hei�t www!)
- Domains gliedern Rechnernamen www.uni-muenster.de, www.mozilla.org, www.washington.edu
- Internet nicht kostenlos: WWU+UKM+FH bezahlen �ber 500.000 Euro/Jahr Anschlusskosten
Praxis: Elementare Fehlersuche mit Ping
- Unter Start | Programme | (Zubeh�r) | Eingabeaufforderung:
- ping ip-adresse
- ping rechnername
- ipconfig (ohne /all) - habe ich eine IP-Adresse?
- Fehler provozieren (falsche IP-Adresse, unbekannter Rechnername, ausgeschalteter Rechner)
Theorie: Angriffswege und Sicherungsma�nahmen
- B�se konstruierte IP-Pakete (WinNuke, Ping O'Death) - Nur fehlerkorrigiertes Betriebssystem hilft, kein Antivirenprogramm, keine Desktop Firewall
- Bootsektorviren - niemals von unbekannten Medien booten; vorsichtshalber Boot-Reihenfolge im BIOS �ndern
- Programmviren - keine fremde Software ausf�hren; Antivirensoftware
- (Antivirensoftware hilft nur bei bekannten Viren, nicht bei neuen Viren!)
- Makro-Viren - keine fremden Word- oder Excel-Dateien �ffnen; Software aktuell halten; Antivirensoftware
- E-Mail-Viren - keine unerwarteten E-Mail-Anlagen �ffnen; sorgf�ltige Konfiguration der E-Mail-Software; fehlerkorrigierte E-Mail-Software; Vollst�ndige Anzeige der Dateinamen; Antivirensoftware
- Dialer - keine unerwarteten E-Mail-Anlagen �ffnen; keine Software-Installation �ber das WWW erlauben; Anti-Dialer-Software (Antivirensoftware hilft oft nicht)
- E.T.-Software (nach Hause telefonieren) - nur seri�se Softwarequellen nutzen (Antivirensoftware hilft oft nicht)
- Trojanische Pferde - (wie verschiedene Virentypen)
- W�rmer (verbreiten sich selbst�ndig) - keine Serverdienste laufen lassen; Desktop Firewall
- Phishing (Verweisen auf nachgemachte WWW-Seiten zur Gewinnung von PINs, TANs, Passw�rter usw.) - WWW-Adressen und Zertifikate buchstabengenau pr�fen
- Dateimaskierung (t�uschende Dateiname wie Iloveyou.bmp.exe, die als Iloveyou.bmp angezeigt werden) - Vollst�ndige Dateinamen anzeigen lassen
- Denial of Service (DoS) Attack = Sammelbezeichnung f�r alles, was die Benutzbarkeit einschr�nkt
- Distributed DoS Attack = Atombombe des Internets: viele Rechner greifen gleichzeitig einen an; dieser oder sein Internetanschluss brechen unter der Flut zusammen - kein Schutz m�glich
- Bedienungsfehler (h�ufigste Ursache f�r Datenverlust) - als eingeschr�nkter Nutzer arbeiten, regelm��iges Backup
Theorie: Bewertung von Sicherungsma�nahmen
- Betriebssystem- und Softwareaktualisierung - das Fundament der ganzen Burg, extrem wichtig
- Vern�nftige Softwarekonfiguration, welche ungewolltes Aktivieren von Schadprogrammen erschwert - die Burgmauer, extrem wichtig
- Nicht als Administrator, sondern als eingeschr�nkter Nutzer arbeiten - Schie�pulver wegschlie�en, extrem wichtig
- Unangenehmen Hintergrund f�r Verwalterkonten einrichten - das Warnschild an der Pulverkammert�r, wichtig
- Gehirn und gesunden Menschenverstand einschalten und nicht auf alles doppelklicken - die Wachen am Burgtor, extrem wichtig
- Dateinamen vollst�ndig anzeigen - Maskierungsverbot, damit die Burgtorwachen nicht get�uscht werden
- Antiviren-Software - sehr wichtig, Wachsoldaten im Inneren der Burg gegen Feinde, die die Mauer bereits �berwunden habe, aber nur gegen bekannte Feinde
- Datenausf�hrungsverhinderung - wichtig, verst�rkt das Fundament durch Leimmatten, an denen Durchbuddler h�ngen bleiben, aber nur bei einer bestimmten Klasse von L�chern
- Desktop Firewall / Paketfilter (eingehend) - versperrt versehentlich ge�ffnete T�ren, aber nur diese - als Zusatzschutz sinnvoll
- Desktop Firewall / Paketfilter (ausgehend) - versperrt dummen Halungen den Weg ins Internet (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
- Anti-Dialer-Software - versperrt dummen Halunken den Weg ins Telefonnetz (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
- Portscans, Security Scans (Nessus usw.) - �berpr�fung der Sicherungsma�nahmen, sehr sinnvoll
- Richtige Firewall = sehr komplexes Sicherungssytem im Netz (nicht auf zu sch�tzendem Rechner)
- Regelm��iges vern�nftig organisiertes Backup = Bergfried, letzter R�ckzug im Katastrophenfall (meist durch Bedienungsfehler, bisweilen durch Hardwarefehler, nur selten durch Angriff) - extrem wichtig
- Deinstallation nicht ben�tigter Software - was nicht da ist, kann auch keine L�cher haben
- (Nach Ende 1. Woche Neu-Bewertung)
Theorie: Rechtliches
- Strafbarkeit: � 202 a StGB Aussp�hen von Daten (bis 3 Jahre), � 303 a StGB Datenver�nderung (bis 2 Jahre, Versuch strafbar), � 303 b StGB Computersabotage (bis 5 Jahre, Versuch strafbar)
- Haftpflicht: � 823 BGB (Schadensersatzpflicht bei unerlaubter Handlung, auch bei Fahrl�ssigkeit) - z. B. bei Virenverbreitung
- TKG, TDG+MDStV, TDDSG, Fernmeldegeheimnis GG vs. Auskunftsverpflichtung �� 100 g+h StPO, TKG, Aufbewahrungsverbot vs. -verpflichtung TDDSG
- Geheimhaltungsverpflichtung bei Rechtsanw�lten, �rzten usw.
Praxis: Anf�lliger Internet Explorer
- Gegeben: Virtuelle Maschine XP-1 mit frisch installiertem Windows XP
- c't Browsercheck: http://www.heise.de/security/dienste/browsercheck/
- Demos ausprobieren, ausf�hrlich lesen
- Nach Ende der Spielereien virtuelle Festplatte entsorgen
Praxis: Absicherung des eigenen Rechners
- Gegeben: Virtuelle Maschine XP-1 mit frisch installiertem Windows XP nach Anleitung
- Aktivierung Paketfilter (Reserve-Schutz da Betriebssystem nicht aktuell) �berpr�fen wie in Anleitung beschrieben
- Fundament Betriebssystemaktualisierung: Windows Update manuell ausf�hren (Start | Programme | Windows Update), dabei ausnahmsweise alle von Microsoft gew�nschten Aktionen erlauben
- Achtung: Mit nur einem Mausklick wurde eine Softwareinstallation erlaubt! Das System kann also noch nicht sicher sein.
- Fundament Betriebssystemaktualisierung: Windows Update automatisieren (Sicherheitscenter)
- Zusatzschutz Windows-Firewall: Aktivieren (Sicherheitscenter)
- (Nicht in Anleitung:)
- Leimteppich Datenausf�hrungsverhinderung: Start | Systemsteuerung | Leistung und Wartung | System | Erweitert | Systemleistung | Einstellungen | Datenausf�hrungsverhinderung | f�r alle aktivieren
- Schie�pulver wegschlie�en: Benutzer einrichten: Start | Systemsteuerung | Benutzerkonten
  - Neues Konto erstellen | Verwalter | Weiter | Computeradministrator | Konto erstellen
  - Neues Konto erstellen | Nutzer | Weiter | Eingeschr�nkt | Konto erstellen
  - Konto �ndern | Verwalter | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Bild �ndern | Gummi-Frosch | Bild �ndern | Startseite
  - Konto �ndern | Nutzer | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Bild �ndern | Gummi-Ente | Bild �ndern | Startseite
- Warnschild aufh�ngen: Bildschirmhintergrund auf Knallrot �ndern
- Administratorkennung wird nicht mehr ben�tigt: Start | Abmelden | Abmelden
- Ab jetzt nur noch als Nutzer arbeiten, falls wirklich notwendig als Verwalter
- Warnschild aufh�ngen: Anmelden als Verwalter, Bildschirmhintergrund auf knallrot �ndern
- Stand hier: Virtuelle Maschine XP-2
- Als Verwalter Einrichten der Antivirensoftware
  - Download VSE80iLDE.zip von http://www.uni-muenster.de/ZIV/Organisation/SoftwareVerteilungMcAfeeVirusScan.html nach Eigene Dateien
  - Download Testvirusdateien von http://www.eicar.org/anti_virus_test_file.htm nach Eigene Dateien
  - Installation und Konfiguration nach Anleitung
- Stand hier: Virtuelle Maschine XP-3
- Test der Antivirensoftware
  - Eicar-Dateien �ffnen - was passiert?
  - Scan auf Anforderung durchf�hren
  - Aktualisieren durchf�hren
  - Erneuter Download Testvirusdateien von http://www.eicar.org/anti_virus_test_file.htm
- Maskierungsverbot: Dateinamen vollst�ndig anzeigen
  - Sowohl als Verwalter als auch als Nutzer: Start | Systemsteuerung | Darstellung und Designs | Ordneroptionen | Ansicht | Erweiterte Einstellungen | Erweiterungen bei bekannten Dateitypen ausblenden: AUS | �bernehmen | Alle zur�cksetzen | Ja | OK
  - Zus�tzlich als Verwalter: Start | Ausf�hren | regedit | Bearbeiten | Suchen | NeverShowExt | Weitersuchen
  - Bei jedem Treffer: Entf-Taste zum L�schen, Enter-Taste zum Best�tigen, F3-Taste zum Weitersuchen
  - Fenster schlie�en
- Stand hier: Virtuelle Maschine XP-4
Theorie: Backup
- Image-Backup: Komplette Platte �von au�en� abschreiben - Betriebssystem darf nicht laufen, z. B. mit Knoppicillin
  - am billigsten auf frei gehaltene Partition, besser auf zweite Platte
  - gzip </dev/hda1 >/backup/hda1-von-datum.gz
  - gunzip </backup/hda1-von-datum.gz >/dev/hda1
  - Besser verschl�sseln
  - gpg -c </dev/hda1 >/backup/hda1-von-datum.gpg
  - gpg </backup/hda1-von-datum.gpg >/dev/hda1
- System-Backup: Besser neu installieren oder Image-Backup (Die allermeisten Backup-Programme arbeiten fehlerhaft oder unvollst�ndig)
- User-Daten-Backup: Angew�hnen, Eigene Dateien auf USB-Stick o. �. zu kopieren
- User-Einstellungen-Backup: Sehr schwierig da quer �ber System verteilt
- Backups wegschlie�en (Schutz gegen Diebstahl, Kenntnisnahme und evtl. Feuer)
- Backups an mehreren Orten aufbewahren (Schutz gegen Feuer)
- Backups verschl�sseln (Schutz gegen Kenntnisnahme)
- Mehrere Backup-Generationen unterschiedlich lange aufbewahren: Gestern, Ende letzter Woche, Ende letzten Monats (Schutz gegen sp�t entdeckte Fehler)
- Verwendbarkeit von Backups �berpr�fen - testweise restaurieren
- Nicht auf Systemwiederherstellung verlassen
- Empfehlung: Rechner installieren und Software fertig konfigurieren, dann Image-Backup, danach systematische User-Daten-Backups, nach wesentlichen Nachinstallationen neues Image-Backup
- NB: Knoppicillin kann auch ein System �von au�en� auf Viren checken und reparieren
Praxis: Absicherung des eigenen Rechners
- Softwareauswahl: Internet Explorer nur zum zielgerichteten Download nutzen, niemals zum Surfen
  - Einstellung Internetoptionen zur Absicherung Internet Explorer ist Fortgeschrittenenthema
- Installation Firefox
  - Als Verwalter: Download Mozilla Firefox, neueste deutsche Version, nach Eigene Dateien
  - Firefox installieren: Standardinstallation, beim Erststart nichts importieren, als Standardbrowser festlegen
  - Als Nutzer: Konfiguration von Mozilla Firefox nach Anleitung
  - (Als Verwalter schenken wir uns, ist im n�chsten Stand)
- Als Verwalter: Unerw�nschte Software entfernen: Start | Programmzugriff und -standards | Windows-Komponenten hinzuf�gen/entfernen
  - MSN Explorer AUS (l�scht wirklich)
  - Windows Messenger AUS, Outlook Express AUS, Internet Explorer AUS (l�scht nur im Startmen� und auf Desktop)
- Stand hier: Virtuelle Maschine XP-5
- (Fortsetzung mit Thunderbird am Mittwoch)
Ausf�hrliche Praxis: Surfen - Browserbedienung - Suchmaschinenbedienung
- Vor/Zur�ck, Home, (Shift-) Aktualisieren
- WWW-Adressen: Methode : // Username : Passwort @ Rechnerangabe : Portnummer / Pfad / Datei
- Bookmarks
- Suchstrategien
  - Durchhangeln von bekannten Seiten zu �hnlichen Themen
  - Domainraten: www.firmenname.de/.com/.net
  - Suchmaschinen: Google, Altavista usw. - geschicktes Kombinieren von Suchw�rtern, Erweiterte Suche
  - Metasuchmaschinen: MetaGer usw.
  - Verzeichnisdienste: Dino-Online usw.
  - Sammlung: CUSI
- Suchaufgaben
  - Die Frage aus der Feuerzangenbowle: Wer sagt zu wem in welchem St�ck: Ich kenne meine Pappenheimer
  - Aktuelle Beachvolleyball-Spielregeln
  - Bruttosozialprodukt von Ghana
  - N�rdlichste Universit�t der Welt
  - Adresse der American Mathematical Society
  - Aktuelles Meteosat-Wetterbild (mind. 1024 Pixel breit)
  - Beginn Schulferien Sommer 2008 in Hessen
  - Offizieller Name von Neuseeland - in beiden Landessprachen
  - Amtierender K�nig von Finnland
  - Datum der Stromnetzumstellung von 220 V auf 230 V
  - Name der Krankheit, die das Erkennen von Gesichtern verhindert
  - Auto-Fahrstrecke Seattle - Cape Canaveral
  - Geburtsname der 4. Frau von Humphrey Bogart
  - Wie hie� der sagenumwobene Mann mit der eisernen Maske wirklich? Weshalb wurde er verhaftet? Wer brachte die Wahrheit wie an das Licht?

Mittwoch und Donnerstag: E-Mail und andere Kommunikationsformen

Intensive Einf�hrung in E-Mail (perMail, Thunderbird) und NetNews (Thunderbird). E-Mail-Kopfzeilen. Netiquette. SPAM-Filterung. Dateienversand. Mailinglisten. Chatten (IRC, ICQ).

Theorie: E-Mails
- Aufbau von E-Mail-Adressen
- Aliasnamen
- Standard-Kopfzeilen: From, Sender, To, Cc, Bcc, Reply-To, Date, Subject
- Abschicken: gelber Postbriefkasten (SMTP-Server)
- Transport per Store-and-Forward (ebenfalls SMTP) mit Poststempeln
- Zustellung in Postfach
- Fehlermeldungen per Mail von Mailer-Daemon
- Aktionen: Reply/Antworten, Forward/Weiterleiten, Bounce/Resend/Nachsenden
Praxis: E-Mails mit perMail
- Ausf�hrliches Ausprobieren, Erkl�ren aller Funktionen
Theorie: Webmail vs. POP3/IMAP
- Unterschied Postfach / Posteingang
- Webmail arbeitet direkt auf Postfach
- POP3 holt in Posteingang
- IMAP kann beides
Praxis: Auswahl eines E-Mail-Programms
- Softwareauswahl: Outlook Express hat zahlreiche gravierende M�ngel
  - Sicherheitsm�ngel - gr��tes Einfallstor f�r E-Mail-Viren
  - Programmierm�ngel - Falsche Wiedergabe von Inhalten (begin_..._)
  - Designm�ngel - Umst�ndliche Anzeige von Kopfzeilen, Falsche Wiedergabe beim Weiterleiten u. v. a. m.
  - Netiquettem�ngel - Netiquette-widriges Verhalten ist voreingestellt (AW: statt Re:, falsches Zitieren u. v. a. m.)
  - Abhilfe teilweise durch Einstellungen, teilweise durch Zusatzprogramme, teilweise gar nicht m�glich.
  - Daher r�t das ZIV offiziell von Outlook Express ab!
- Gegeben: Virtuelle Maschine XP-5 mit gepflegtem Windows und Mozilla Firefox
- Installation Thunderbird
  - Als Verwalter: Download Mozilla Thunderbird, neueste deutsche Version, nach Eigene Dateien
  - Thunderbird installieren: Benutzerdefinierte Installation, alles au�er Quality Feedback Agent, beim Erststart nichts importieren, als Standard-E-Mail-Programm festlegen
  - Als Nutzer: Konfiguration von und Kontoeinrichtung mit Mozilla Thunderbird nach Anleitung
  - (Als Verwalter schenken wir uns, ist im n�chsten Stand)
- Stand hier (ohne Konten): Virtuelle Maschine XP-6
Praxis: E-Mail mit Thunderbird
- Ausf�hrliches Ausprobieren, Erkl�ren aller Funktionen
- Reply, Forward, Bounce
- Fehlermeldungen provozieren und verstehen
Theorie: Netiquette
- Allgemein: Umgangsformen
- E-Mail-spezifisch: Sinnvolle Betreffzeile. Richtiges Zitieren. Zeilenl�nge. Kein HTML.
Praxis: Netiquette
- Antworten auf E-Mails unter Beachtung der Zitierregeln
- Weiterleiten von E-Mails unter Bewahrung der Kopfzeilen
- Weiterleiten von E-Mail-Fragmenten (= Antworten, aber Adressaten �ndern)
Praxis: Anlagen
- Versenden von Anlagen
- Eigentlich schlechte Versandform: ASCII-Codierung bl�ht um 4/3 auf
- Versenden von vielen oder sehr gro�en Anlagen - zippen, hinterlegen (Bigmail)
- Falls nicht an der Uni: Billigen Webspace besorgen
Theorie: E-Mail-Kopfzeilen
- Absender- und Adressatenangaben unzuverl�ssig
- Poststempelzeilen (Received:) teilweise aussagekr�ftiger
- Ausf�hrliche Erl�uterung der Received-Zeile
Praxis: E-Mail-Kopfzeilen
- Untersuchen verschiedener E-Mails
Theorie und Praxis: SPAM-Filterung
- Unbeauftragte SPAM-Filterung durch Provider strafbar: � 206 (2) StGB
- SPAM-Filterung mit perMail nach Artikel
- Junk-Filter von Thunderbird
Theorie: Mailinglisten
- Einfache Verteiler
- Listserver
Praxis: Listserver
- Anmelden auf https://listserv.uni-muenster.de/mailman/listinfo/sicher-ins-internet-kurs
Theorie: NetNews
- �u�erlich �hnlich zu Mail, aber Prinzip verbundener R�hren: Jeder bekommt alle Inhalte
- Jeder bekommt alle Inhalte
Praxis: NetNews
- Spiel-Newsgroup wwu.test
- St�bern in de.* u. a.
Theorie: NetNews-Netiquette
- NetNews = �ffentlichkeit
- Keinerlei HTML. Keinerlei Anlagen. Transportmenge niedrig halten.
Theorie: Internet Relay Chat (IRC)
- (Selbst fr�her gelegentlich genutzt)
- Textzeilen-Live-Kommunikation
- Netz von Relay-Servern
- Kan�le werden durch Betreten angelegt
- Netiquette! Operator-Status, usw.
- Keinerlei Sicherheit! Keinerlei Privatsph�re!
- Gefahr bei Filetransfer (unsichere Software-Quelle)
Praxis: IRC mit Chatzilla
- Als Verwalter: McAfee-Port-Blockierung f�r IRC aufheben
  - VirusScan-Konsole: | Extras | Sperrung der Benutzeroberfl�che aufheben | Passwort eintippen | OK
  - Zugriffsschutz | Task-Eigenschaften | Port-Blockierung | IRC-Kommunikation verhindern 6666-6669 Ausgehend: AUS | OK
  - Extras | Benutzeroberfl�che sperren
- Als Nutzer: Installation Chatzilla
  - Firefox starten | Extras | Erweiterungen | Erweiterungen herunterladen
  - Auf der WWW-Seite: XUL Applications | (Unter ChatZilla 0.9.68.5:) Install
  - In Dialogbox: Jetzt installieren
  - Nach Abschluss: Alle Firefox-Fenster schlie�en
- Konfiguration Chatzilla
  - Firefox starten | Extras | ChatZilla | Tools | Options
  - General | Description: Eigener Vor- und Nachname
  - General | Nickname: Eigener Spitzname
  - General | Username: Nutzerkennung auf eigenem Rechner
- Stand hier: Virtuelle Maschine XP-7
- Verbindungsaufbau: /server irc.fu-berlin.de
- Eigener Spitzname: /nick neuernickname
- Kanal betreten: /join #s-i-i-kurs
- Viel Spa�!
- (DCC-Funktionen (Direkt Client-Client) erfordern �ffnung des Paketfilters)
Theorie: ICQ = I Seek You
- (Selbst keine Erfahrung)
- Keinerlei Sicherheit! Keinerlei Privatsph�re!
- Gefahr bei Filetransfer (unsichere Software-Quelle)
- �u�erst fragliche Nutzungsbedingungen: ICQ beh�lt sich vor, auf dem PC installierte Software zu �ndern, alle pers�nlichen Daten zu ver�ffentlichen und Nutzungsprofile f�r kommerzielle Zwecke zu verwenden. Ausblenden von Werbung verboten.
Praxis: ICQ
- ...
- ...
- ICQ Infosrv #337549538
- ...
- ...

Freitag: Schutz der Privatsp�re

Sicherer Zugriff auf WWW- und andere Server (HTTPS, SSL/TLS, Zertifikatkontrolle, Homebanking). Verschl�sselte E-Mail mit perMail. Verschiedenes.

Praxis: WWW-Seiten �ber HTTPS (SSL)
- HTTPS = Identit�tskontrolle des Servers + verschl�sselte Daten�bertragung
- Technische Qualit�t Verschl�sselung (sehr pauschal): Kleine Zahlen: 40...56...64 schlecht, 112...128...192...256 gut
- Technische Qualit�t Identit�tskontrolle (sehr pauschal): Gro�e Zahlen: 512...768 schlecht, 1024...1536...2048 gut
Theorie: Identit�tskontrolle mit Zertifikaten
- Gefahr: Verbindung mit falschem (echt aussehenden) Server - PIN und TAN in fremde H�nde usw.
- Angriffsweg: Phishing-E-Mails, Nameserver-Vergiftung u. a. m.
- Gegenma�nahme Zertifikatkontrolle
- Zertifikat = elektronisch unterschriebene Beglaubigung, wem ein �ffentlicher Schl�ssel geh�rt
- Kontrollverfahren Vergleich des Fingerabdrucks (manuell)
- Kontrollverfahren Pr�fung der elektronischen Unterschrift (automatisch, falls Zertifizierungsinstanz bekannt)
- Vertrauen in Zertifizierungsinstanzen in Browser vorgegeben aber einstellbar
Praxis: Zertifikatkontrolle
- Vergleich des Fingerabdrucks �ben - perMail-Server und WWUCA-Webseiten
- Fehlersituationen pr�fen: zivbc0101, zivbc0105, fastfix
- Bekannte Zertifizierungsinstanzen nachschauen
- Fingerprints von Zertifizierungsinstanzen pr�fen - WWUCA, DFN-PCA
- Vertrauenseinstellungen f�r Zertifizierungsinstanzen
- Zertifizierungsinstanzen nachladen - dabei Vertrauenseinstellungen nicht vergessen
- Fehlersituationen erneut pr�fen: zivbc0101, zivbc0105, fastfix
Theorie: (Nicht nur) E-Mails: Gefahren und Schutzma�nahmen
- Nachricht fangen Nachricht ab - Kein Schutz m�glich
- Ungefugte lesen Nachricht - Verschl�sseln hilft
- Unbefugte senden falsche Nachricht - Signieren hilft
- Unbefugte verf�lschen Nachricht - Signieren hilft
- Aktuelle Kryptographie verwenden Schl�sselpaare aus geheimem und �ffentlichem Schl�ssel (Fallt�r-Tresor)
- Signieren mit geheimem Schl�ssel des Senders - nur Sender kann signieren, aber jeder kann verifizieren
- Verschl�sseln mit �ffentlichem Schl�ssel des Empf�ngers - jeder kann verschl�sseln, aber nur Empf�nger kann entschl�sseln
Praxis: GnuPG mit perMail
- Aufruf von perMail (ohne VMware, eigene oder Kurs-Nutzerkennung)
- Wahl einer Passphrase (Informationsgehalt Text = 1,3 Bit/Buchstabe, Schl�ssell�nge = 128 Bit, also gute Passphrase = 100 Zeichen, also Kompromiss n�tig)
- Schl�sselgenerierung mit GnuPG - mit ausf�hrlicher Erl�uterung
- Ausf�hrlich: Signieren, Verifizieren, Verschl�sseln, Entschl�sseln f�r sich selbst
- Wann Passphrase n�tig?
- �bermittlung des eigenen �ffentlichen Schl�ssels an andere Kursteilnehmer
- Ausf�hrlich: Signieren, Verifizieren, Verschl�sseln, Entschl�sseln mit anderen Kursteilnehmern
- GnuPG-Warnmeldungen beachten (ungepr�fte Identit�t)
- Identit�tskontrolle durch Fingerprintvergleich (m�ndlich)
- Signieren (= Zertifizieren) �berpr�fter Identit�ten zur Beseitigung der Warnung
- Erneut: Signieren, Verifizieren, Verschl�sseln, Entschl�sseln mit anderen Kursteilnehmern: "nur vertrauensw�rdige Schl�ssel"
Theorie (Wiederholung): Bewertung von Sicherungsma�nahmen
- Betriebssystem- und Softwareaktualisierung - das Fundament der ganzen Burg, extrem wichtig
- Vern�nftige Softwarekonfiguration, welche ungewolltes Aktivieren von Schadprogrammen erschwert - die Burgmauer, extrem wichtig
- Gehirn und gesunden Menschenverstand einschalten und nicht auf alles doppelklicken - die Wachen am Burgtor, extrem wichtig
- Antiviren-Software - sehr wichtig, sch�tzt im Inneren der Burg gegen Feinde, die die Mauer bereits �berwunden habe, aber nur gegen bekannte Feinde
- Desktop Firewall / Paketfilter (eingehend) - versperrt versehentlich ge�ffnete T�ren, aber nur diese - als Zusatzschutz sinnvoll
- Desktop Firewall / Paketfilter (ausgehend) - versperrt dummen Halungen den Weg ins Internet (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
- Anti-Dialer-Software - versperrt dummen Halunken den Weg ins Telefonnetz (intelligente Halunken kommen drum herum) - nur Schadensbegrenzung im Katastrophenfall
- Portscans, Security Scans (Nessus usw.) - �berpr�fung der Sicherungsma�nahmen, sehr sinnvoll
- Richtige Firewall = sehr komplexes Sicherungssytem im Netz (nicht auf zu sch�tzendem Rechner)
- Vor allem aber Respekt: Keine Leichtsinnigkeiten, aber auch keine Panik! (Keine Schutzprogramme oder sonstigen Aktionen aus unseri�sen Quellen!)

Zweite Woche: Sicher ins Internet f�r Fortgeschrittene

Montag und Dienstag: Fortgeschritte Sicherungsma�nahmen

Geschichte des Internet. Aufbau des Internet. Fehlersuche. Absicherung des eigenen Rechners (Internetoptionen, Anpassung von Desktop-Firewalls z. B. an Peer-to-peer-Dienste, Portscans, Penetrationstests usw.)

Theorie: Geschichte des Internet
- 1957: Gr�ndung ARPA (Advanced Research Projects Argency) im DoD (Department of Defense)
- 1961: Erste Theorien zu Paketorientierten Netzen
- 1966: Erste Planungen zum ARPANET
- 29.10.1969 22:30 Uhr PST (30.10. 7:30 MEZ) Erste Verbindung im ARPANET (Los Angeles - Menlo Park, knapp 600 km) vgl. http://www.zakon.org/robert/internet/timeline/)
- 1969 4 Rechner
- 1971 23 Rechner in 15 Universit�ten
- 1973 Erste internationale Verbindungen
- 1982 Festlegung von TCP/IP: Transmission Control Protocol/Internet Protocol
- 1984 1000 Rechner �berschritten; Einf�hrung des Domain Name System
- 1987 10.000 Rechner �berschritten
- 1989 100.000 Rechner �berschritten; Erstes Paper zur Verwendung von Hypertext in Informationssystemen
- Weihnachten 1990 Geburt des World Wide Web beim CERN (vgl. http://www.w3.org/History/)
- 1991 Entwicklung von PGP durch Phil Zimmerman (vgl http://www.philzimmermann.com/)
- 1992 1.000.000 Rechner �berschritten
- 1994 (Oktober) 3,5 Mio. Rechner, 13,5 Mio. Internet-Nutzer, 27,5 Mio. E-Mail-Nutzer
- 1995 World Wide Web �bernimmt die Spitzenposition bzgl. �bertragener Datenmenge
- Anfang 1996 10 Mio. Rechner �berschritten; �ber 100.000 Netze, �ber 500.000 Domains
- 1996 �ffentliches Aufsehen erregt durch staatliche Zensurma�nahmen in China (nur polizeilich registrierte Nutzung), Deutschland (Zensur von NetNews-Foren), Saudi-Arabien (Zugang nur f�r Universit�ten und Krankenh�user), Singapur (nur polizeilich registrierte politische und religi�se Internetseiten) - heute ist Mitlesen und Zensur durch Regierungen omnipr�sent (Echelon usw.)
- Ende 2000 100 Mio. Rechner �berschritten
- Mitte 2002 �ber 160 Mio. Rechner, etwa 600 Mio. Internet-Nutzer
- Anfang 2005 �ber 300 Mio. Rechner in 3 Mio Second-Level-Domains (vgl. http://www.isc.org)
Theorie: Aufbau des Internet
- Internet = Netz von Netzen, die gleiche Sprache sprechen
  - Unabh�ngig vom Transportmedium: Kupferleitungen, Glasfasern, Funkstrecken, Laserstrecken usw.
  - Sogar Brieftauben k�nnen genutzt werden, siehe RFCs 1149, 2549
  - Standards werden in RFCs (Requests for Comment) niedergelegt (http://de.wikipedia.org/wiki/Request_for_Comments)
- Sehr gute Beschreibungen nachfolgender Protokolle in Wikipedia: http://de.wikipedia.org
- IP-Pakete (Internet Protocol)
  - IP-Adressen = Adressen von Rechnern (Hausnummern), vier Ziffern aus 0...255
  - Jeder Rechner kennt mindestens: eigene IP-Adresse (evtl. beim Rechnerstart per Rundruf "Wer bin ich?" erfragt)
  - Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse
  - Paketinhalte k�nnen unterschiedlich interpretiert werden: Protokollnummer im Paketkopf: 1=ICMP, 6=TCP, 17=UDP, 47=GRE
  - Verkn�pfung von lokalen Netzen via Router (von Microsoft Gateway genannt) (Haus mit T�ren an verschiedenen Stra�en)
  - Lokale IP-Pakete direkt adressieren, Non-lokale IP-Pakete an Router
  - Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask
  - Falls eigene IP-Adresse und Ziel-Adresse, durch Netmask betrachtet, gleich sind, lokal adressieren, sonst an Default-Router
  - Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse, via IP-Adresse
  - Router nimmt Pakete, ersetzt Via-Adresse durch n�chste Via-Adresse gem�� vorhandener Tabellen
  - Jeder Netzanschluss hat eigene IP-Adresse - ein Rechner kann mehrere IP-Adressen haben
  - Router k�nnen Tabelleninhalte �ber das Internet (BGP �ber TCP oder eigene Protokolle 89=OSPF usw.), �ber statische Eintr�ge usw. erhalten
  - Pakete durch fehlerhafte Tabellen im Kreis? Schutz durch TTL-Angabe (Time To Live)
  - Absender setzt TTL, jeder Router verringert TTL um eins, bei Null wird verworfen und Absender benachrichtigt (wird von Traceroute ausgenutzt)
  - Adressierung IP-Pakete: von IP-Adresse, an IP-Adresse, via IP-Adresse, Time to live (dazu L�nge, Fragmentnummer u. a. m.)
  - ICMP-Pakete (Internet Control Message Protocol) f�r Tests und Fehlermeldungen: Echo request (= Ping), Destination unreachable, Time exceeded usw.
  - IP-Adressen werden von den zentralen Internet-Registraren (RIPE, ARIN, APNIC, AfriNIC, LACNIC) �ber lokale Internet-Registrare blockweise vergeben: Uni M�nster hat 128.176.0.0 bis 128.176.255.255
- UDP/IP-Pakete (User Datagram Protocol)
  - Ein Rechner kann mehrere Dienste beherbergen: Jeder Dienst hat eindeutige Portnummer (Zimmernummer) aus 1...65535
  - Mehrere Programme k�nnen gleichzeitig auf das Internet zugreifen: Zum Zuordnen der Antwortpakete ebenfalls Portnummern n�tig
  - Adressierung UDP/IP-Pakete: von IP-Adresse, von Port, an IP-Adresse, an Port, via IP-Adresse, Time to live, Protokolltyp UDP (und mehr)
  - Gut f�r Audio+Video, wo einzelne Paketverluste nicht schaden
  - Well-known port numbers: �blicherweise benutzen bestimmte Dienste bestimmte Portnummern, Liste bei IANA
- TCP/IP-Pakete (Transmission Control Protocol)
  - IP-/ICMP-/UDP-Datenpakete k�nnen verloren gehen, keine �berwachte Verbindung, nur kleine Datenmengen pro Paket
  - TCP/IP sorgt f�r Eingangsbest�tigungen und bei deren Ausbleiben f�r Retransmission von Paketen: virtuelle Verbindungen m�glich.
  - Portnummern wie bei UDP (aber eigenes Protokoll, daher eigener Nummernsatz)
  - Sequenznummern zur Paketsortierung (Pakete k�nnen sich �berholen)
  - Flaggen SYN, ACK, FIN (und mehr) f�r Pakettyp: Daten, Datenbest�tigung, Verbindungsaufbau, Verbindungsaufbaubest�tigung, Verbindungsabbau, Verbindungsabbaubest�tigung
  - Verbindungsaufbau (3-Way-Handshake): Hin: SYN-Paket, R�ck: SYN+ACK-Paket, Hin: ACK-Paket
  - Paketfilter (Desktop Firewalls) k�nnen Verbindungen verhindern, indem sie das entsprechende SYN-Paket unterdr�cken.
  - Verbindungsabbau analog mit FIN statt SYN; gewaltsam mit RST
  - Flusssteuerung: Datenpakete werden mit ACK-Paketen best�tigt, sonst erfolgt Retransmission
  - TCP-Window: Wie viele noch unbest�tigte Daten (-pakete) maximal unterwegs sein d�rfen
  - TCP/IP-Verbindungen werden eindeutig erkannt an Kombination: Client-IP-Adresse, Client-Port, Server-IP-Adresse, Server-Port
- Rechnernamen, Nameserver
  - IP-Adressen nicht nutzerfreundlich, Namen besser
  - Nameserver (meist �ber UDP) wandeln Namen in IP-Adressen um
  - Mehrere Namen f�r einen Rechner m�glich: Kanonischer Name, Aliasname (Beispiel: news und sagnix), h�ufig f�r dienstbezogene Namen genutzt
  - Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask, Nameserver
- Domains, Domain Name Server (DNS)
  - Verschiedene Einrichtungen m�chten gleichen Namen vergeben: Welcher Asterix ist gemeint?
  - Abhilfe Domains: www.jura.uni-muenster.de = Rechner www in 3rd-Level-Domain jura in 2nd-Level-Domain uni-muenster in Toplevel-Domain de
  - Rechnernamen ohne Domainangabe werden in eigener Domain gesucht
  - Jeder Rechner kennt mindestens: eigene IP-Adresse, Default-Router, Netmask, Nameserver, eigene Domain
  - Domain-Struktur (-Hierarchie) unabh�ngig von Netz-Topologie: Rechner v�llig unterschiedlicher Adressen k�nnen in einer Domain zusammengefasst werden
  - Jede Domain hat einen/mehrere Nameserver
  - Jeder Nameserver kennt die Rechner seiner Domains und die Nameserver unter- und �bergeordneter Domains
  - Alle Toplevel-Nameserver kennen sich gegenseitig
  - Toplevel-Domains: anfangs: net, org, com, edu, gov, mil; sp�ter 2-Buchstabige L�nderdomains (de, at, ch usw.), neu: info, biz, u. a.
  - Rechner fragen eigenen Nameserver, diese leiten die Frage ggf. nach durch den "Baum" weiter und die Antwort zur�ck
  - Ein Rechner kann in mehreren Domains sein (Beispiel: www.mhs-muenster.de = www.zsb-in-nrw.de = geophysik.uni-muenster.de)
  - Nameserver k�nnen auch IP-Adressen in Namen umwandeln, dann wird der kanonische Name (und ggf. Domain) geliefert
  - Subdomains werden vom Network Information Center (NIC) der �bergeordneten Domain �ber die jeweiligen Internetprovider vergeben (DENIC f�r .de, unser NIC f�r uni-muenster.de)
- Mail-Exchanger (MX-Eintr�ge im DNS)
  - Ein A-Record im Nameserver liefert die IP-Adresse zu einem Rechnernamen
  - Bei MX-Record liefert den Rechnernamen zu einer Maildomain (dem rechten Teil einer E-Mail-Adresse)
  - Zu einer Maildomain kann es mehrere MX-Eintr�ge mit gleicher oder unterschiedlicher Pr�ferenz geben
  - Falls kein MX-Record, gilt der A-Record
Praxis: Aufbau des Internet
- Gegeben: Virtuelle Maschine XP-7 (abgesichert; mit Firefox, Thunderbird, Chatzilla; ohne Konto- oder Zertifikat-Einstellungen; ohne IRC)
- Eigene Konfiguration: ipconfig /all
- Aktuelle Internetverbindungen: netstat -a (falls netstat nicht durch trojanisches Pferd ersetzt)
- F�r unterschiedliche IP-Adressen, Rechnernamen ohne/mit Domain, Maildomains folgende Befehle ausprobieren und Ausgaben interpretieren
- ping Rechnerangabe
- tracert/traceroute Rechnerangabe (Nicht jeder Router sendet Sterbenachrichten)
- nslookup [-q=any / -q=mx] Rechnerangabe bzw. Domainangabe bzw. Maildomain
- Auch nicht existierende oder unerreichbare Angaben ausprobieren
Praxis: Absicherung des eigenen Rechners
- Internet Explorer und andere Windows-Komponenten benutzen die Internetoptionen
- Einstellen der Internetoptionen nach Anleitung
- Von der Beschreibung abweichend:
  - Karteikarte Sicherheit | Vertrauensw�rdige Sites: Zus�tzlich http://update.microsoft.com (neues Windows-Update)
  - Karteikarte Inhalte | Zertifikate: Deaktivieren sehr umst�ndlich und versteckt, daher s�mtliche Zertifikate komplett l�schen
  - Karteikarte Programme: Da Outlook Express schon deaktiviert und Thunderbird schon installiert, entf�llt das pfui
- Stand hier: Virtuelle Maschine XP-8
- Eigentlich n�tig: Voreingestellte Zertifikate deaktiveren (nicht durchf�hren)
  - �ber Internetoptionen zu umst�ndlich
  - Einfacher (immer noch umst�ndlich): Start | Ausf�hren | certmgr.msc
  - Leider reicht Verschieben in andere Zertifikatspeicher nicht aus
  - Rechtsklick | Eigenschaften | Deaktivieren f�r jedes Zertifikat extrem m�hsam, daher l�schen
  - Auch wenn alles gel�scht scheint, selbst aus den archivierten Zertifikaten, gibt es noch immer irgendwo im System Kopien: Ich habe es nicht geschafft, dass nach Rechnerneustart bestimmte Zertifikate (https://www.trustcenter.de/) nicht mehr ohne R�ckfrage akzeptiert werden.
Praxis: Unerw�nschte Serverdienste suchen
- Von innen: netstat -a / netstat -an / netstat -anbvo
- (Habe bei Kursvorbereitung Phantome gejagt: WWW-Verbindungen zu IP-Adressen von Hotmail, SpeedEra, Akamai - alles nur Streamer f�r Windows Update)
- Programme innen k�nnen nat�rlich durch trojanisches Pferd modifiziert worden sein, sehen aber hinter die Firewall
- Von au�en: Portscan: nmap -sT -sU -p1-65535 -P0 -v -v -n Rechnername (Vorf�hrung mit Knoppix-System)
- ...
- ...
- Von au�en (Nessus-Server): Penetrationstest
- ...
- ...
Theorie: Funktionsweise von Paketfiltern
- Einzelne Pakete werden untersucht
- M�gliche Entscheidungskriterien:
  - Richtung (vom Modem / zum Modem)
  - Quell-IP-Adresse, Ziel-IP-Adresse
  - Protokollnummer (1=ICMP, 6=TCP, 17=UDP, 47=GRE)
  - Bei ICMP: Pakettyp (Echo Request, Echo Reply, Host Unreachable, ...)
  - Bei TCP und UDP: Quell-Portnummer, Ziel-Portnummer
  - Bei TCP: Flags (SYN, ACK, FIN)
  - Weitere Eigenschaften wie L�nge, Fragmentierung, Seriennummer
  - Bei Portnummer auf eigenem Rechner: Welches Programm den Port ge�ffnet hat
  - Aber nicht: Wer diesem Programm den Auftrag gegeben hat, den Port zu �ffnen: Ob das ein troj. Pferd oder der Nutzer war)
- Inhalte schlechtes Kriterium, da �ber beliebig viele Pakete verteilt
  - Kein Virenschutz - Virenscanner bleibt unverzichtbar
  - Kein E-Mail- oder Webseitenfilter - daf�r w�ren Application Firewalls n�tig
- Beispiel: Eingehende WWW-Abfrage filtern: Paket vom Modem / Protokoll TCP / Ziel-Portnummer 80 / SYN=1 / ACK=0 / FIN=0
- Reaktionsm�glichkeiten: Paket wegwerfen, durchlassen, Antwortpaket (meist RST=Reset) generieren
- Stateful Packet Filter: �ndert Regeln abh�ngig von durchlaufenden Paketen
  - erlaubt beispielsweise bestimmte eingehende Pakete nur, wenn vorher durch ein ausgehendes Paket angefordert und Zeitfenster nicht �berschritten usw.
Praxis: Paketfilter
- TCP/IP-Filterung mit neuem Wissen betrachten
  - Warum welche Einstellung?
  - Vergleich Ausgaben netstat -an / Portscan
  - Paketfilter deaktivieren und erneuter Vergleich
  - Paketfilter wieder aktivieren
- McAfee-Portfilter mit neuem Wissen betrachten
  - McAfee-Portfilter k�mmert sich nur um TCP-Verbindungen
  - Probeweise ausgehende HTTP-Verbindungen verbieten, HTTPS-Verbindungen erlaubt lassen
  - Beispiel neue Regel: Regelname: Kein normales HTTP, Erster Port: 80; Ausgehend
  - http://user.uni-muenster.de geht nicht mehr, wohl aber https://user.uni-muenster.de; und sogar auch http://user.uni-muenster.de:8480
  - Also nicht HTTP/HTTPS, sondern Portnummer entscheidend - keine Protokoll- oder gar Inhaltsfilterung
  - In der neuen Regel unter ausgeschlossene Prozesse firefox.exe eintragen: Firefox kann wieder, aber Windows Update (Internet Explorer) geht immer noch nicht
  - Was w�re, wenn ein Virus sich jetzt firefox.exe nennt?
  - Proberegeln wieder deaktivieren
- F�r Desktop Firewall und sp�ter PGP: Client f�r Microsoft-Netzwerke nachinstallieren, aber nicht aktivieren:
  - Start | Systemsteuerung | Netzwerk- und Internetverbindungen | Netzwerkverbindungen
  - LAN-Verbindung ausw�hlen (oder welche Verbindung auch immer f�r Sie zutrifft) | Einstellung dieser Verbindung �ndern
  - Karteikarte Allgemein | Installieren
  - Client | Hinzuf�gen | Client f�r Microsoft-Netzwerke | OK
  - (Nicht aktivieren, daher) H�kchen vor Client f�r Microsoft-Netzwerke wegnehmen | Schlie�en
  - Fenster Netzwerkverbindungen schlie�en
- Windows-Firewall anpassen
  - Start | Systemsteuerung | Sicherheitscenter | (unten) Windows-Firewall
  - Unter Allgemein: Keine Ausnahmen zulassen: EIN (Nachschauen: was sind denn die Ausnahmen)
  - Unter Erweitert | ICMP | Einstellungen: Eingehende Echoanforderung zulassen hilft Netzprobleme analysieren
  - Unter Erweitert | Netzwerkverbindungseinstellungen | (aktuelle Verbindung) | Einstellungen | ICMP: dito
  - Unter (dito) | Dienste: F�r lokale Server w�re hier zu �ffnen
- McAfee Desktop Firewall installieren
  - Download https://winkiosk.uni-muenster.de/VirScan/Firewall/MDF800/MDF800DE/Products/Desktop%20Firewall/Setup.exe nach Eigene Dateien
  - Setup.exe starten, Zweijahresabonnement akzeptieren, sonst Voreinstellungen �bernehmen, inkl. Neustart am Ende
  - Schon beim Neustart: Erster Zugriff auf 239.255.255.250 UDP Port 1900 ausgehend: Was ist das?
    - Wem geh�rt die IP-Adresse: whois -h whois.thur.de 239.255.255.250 (oder telnet whois.thur.de 43 und 239.255.255.250 eintippen)
    - Antwort: This block is reserved for special purposes. Please see RFC 3171 for additional information.
    - Lesen: http://www.rfc-editor.org/rfc/rfc3171.txt
    - Antwort: 224.0.0.0 bis 239.255.255.255 sind Multicast-Adressen (Rundruf-Adressen)
    - Antwort: Addresses in the Administratively Scoped Address block are for local use within a domain and are described in [RFC2365].
    - Lesen: http://www.rfc-editor.org/rfc/rfc2365.txt
    - Antwort: 239.255.0.0 bis 239.255.255.255 ist lokaler IPv4-Rundruf, sollte lokales Netz nicht verlassen
    - Google UDP port 1900
    - Antwort nach kurzem St�bern: UPnP (Universal Plug aNd Play) Simple Service Discovery Protocol, siehe http://grc.com/port_1900.htm
    - Ausgehende Pakete zwar schadlos, aber wir wollen keine fremden Ger�te nutzen, also: Verweigern.
  - Bei bei den ersten WWW-Zugriffen von Firefox auf Port 80 (HTTP) bzw. Port 443 (HTTPS): Zulassen
  - Konfigurieren: Taskleistensymbol | AutoUpdate-Eigenschaften | Plan | Planung | Beim Einw�hlen (VMware: Beim Systemstart) | OK | Jetzt aktualisieren | (Wenn fertig) Schlie�en | OK
  - Regels�tze anschauen/bearbeiten: Taskleistensymbol | Ansicht | Firewall-Richtlinie
  - Bei neu gelernter Regel zum Generic Host Process ... die UDP-Zielportnummern auf 1900 einschr�nken; Beide Richtungen beibehalten; Nur zur Kontrolle: �bereinstimmenden Datenverkehr protokollieren
  - Andere Regeln anschauen und (teilweise) verstehen
  - Windows Update aufrufen und notwendige Zugriffe zulassen
  - Wieder mit ausgehenden HTTP/HTTPS-Verbindungen experimentieren
- Zuk�nftige Alarme/R�ckfragen: Zum Lernen benutzen
- Unterschiede der Firewalls:
  - TCP/IP-Paketfilterung: Nur eingehend. TCP und UDP portweise, andere Pakete protokollweise
  - Windows-Firewall: Eingehend TCP, UDP, ICMP port/typweise. Ausgehend einzelne Programme nach Zieladressen blockierbar.
  - McAfee-Portfilter: Beide Richtungen. Nur TCP portweise. Ausgehend einzelne Programmnamen freigebbar.
  - McAfee Desktop Firewall: Beide Richtungen. Alle IP-Protokolle, auch Nicht-IP-Protokolle. Alle obigen Kriterien (TCP-Flags nur implizit).
  - Fazit f�r Normalnutzer: Als Schutzma�nahme TCP/IP-Paketfilterung gem�� Anleitung aktiviert reicht aus; was da durch kommt, muss auf Anwendungsebene (Virenscanner usw.) behandelt werden; weitere Firewalls bringen wenig zus�tzlichen Schutz, wohl aber evtl. Schadensbegrenzung
  - McAfee Desktop Firewall sinnvoll bei zentral von Fachleuten verwalteten Systemen
- Stand hier: Virtuelle Maschine XP-9
- ...
- ...
- ... ICQ erneut installieren
- ... Nur das n�tigste �ffnen
- ...
- ...
Praxis: Weitere Sicherungsma�nahmen
- Dateizugriffsrechteverwaltung aktivieren: Start | Systemsteuerung | Darstellung und Designs | Ordneroptionen | Ansicht | Erweiterte Einstellungen | Einfache Dateifreigabe verwenden (empfohlen): AUS (wirkt auch f�r Nutzer)
- Remoteunterst�tzung vollkommen deaktivieren: Start | Systemsteuerung | Leistung und Wartung | System | Remote | Alles: AUS
Theorie (evtl. teilw. Praxis): Weitere Sicherungsma�nahmen (sofern nicht schon in 1. Woche genannt)
- Intrusion Detection: Daten-�nderungs-Detektor
  - tripwire unter Unix (leider nicht in Knoppicillin; via Knoppix auch f�r Windows)
  - (Unbekannt, Vorsicht:) Prevx, WinPatrol, ...
  - Vergleicht Pr�fsummen, Timestamps, Zugriffsrechte usw. mit fr�heren Werten
- Lokaler WWW-Proxy-Server/Dienst als Filter
  - gegen Werbebanner usw. (Junkbuster usw.)
  - gegen Webbugs, Cookies usw.
  - gegen Browser-Datenlecks (WWW-Kopfzeilen: User-Agent, Referer usw)
- Analoge Proxy-Server/Dienste f�r andere Protokolle
- Ausf�hrlich: Projekt AN.ON (Datenschutzbeauftragter Schleswig-Holstein u. a.) http://www.datenschutzzentrum.de/projekte/anon/
  - Funktionsweise via Proxy und Mixe: http://anon.inf.tu-dresden.de/desc/desc_anon.html
  - Zwiebelschalenverschl�sselung: http://anon.inf.tu-dresden.de/desc/desc_anon.html
Theorie: Weitere Informationsquellen
- http://www.sicherheit-im-internet.de (Bundesministerien f�r Wirtschaft und Arbeit, des Inneren)
- http://www.bsi.de/ (Bundesamt f�r Sicherheit in der Informationstechnik): Grundschutzhandbuch usw.
- http://www.dfn-cert.de/ (Computer Emergency Response Team des Deutschen Forschungs-Netzes): Verbreitung von Sicherheitsbulletins usw.

Mittwoch und Donnerstag: Vertrauensw�rdige Kommunikation

Einf�hrung in Kryptographie (Verschl�sselung, elektronische Unterschriften). Vertrauensw�rdige E-Mail (perMail, PGP/GnuPG, S/MIME). Gesicherter Zugriff auf WWW- und andere Server (HTTPS, SSL/TLS). Zertifikate. PKIs.

Theorie: Funktionsweise der Public-Key-Kryptographie
- Siehe Vortrag Verschl�sselte Kommunikation im Internet Teil 1 (Texte im WWW, Abbildungen im WWW, Texte als PDF, Abbildungen als PDF)
Praxis: Einrichtung PGP unter Windows
- Installation und Konfiguration von PGP nach Anleitung
- Von der Beschreibung abweichend:
  - Download PGP 8.1.0 DE von hier
  - (Vorbereitung f�r PGP 9.0.2 DE war aus Zeitgr�nden nicht mehr m�glich)
  - (PGP Volume Security u. a. w�rden sich mit McAfee Desktop Firewall bei�en, die Freeware-Komponenten gehen)
  - Kein automatisches Entfernen beim L�schen - wegen VMware
  - Voreingestellte Schl�sselringdateien beibehalten - wir testen nur
  - Kein Synchronisieren mit Keyservern - wegen Test-Schl�sseln
  - Schl�sselbund-Backup im Schl�sselbund-Verzeichnis - wir testen nur
  - Noch keine Schl�sselgenerierung
- (Erl�uterung Angabe Additional Decryption Key - f�r Firmen sinnvoll)
- Stand hier: Virtuelle Maschine XP-A
- Erl�uterung: Wahl einer Passphrase (Informationsgehalt Text = 1,3 Bit/Buchstabe, Schl�ssell�nge = 128 Bit, also gute Passphrase = 100 Zeichen, also Kompromiss n�tig)
- Schl�sselgenerierung mit PGP
Praxis: Erste Schl�sselbenutzung mit PGP
- Signieren, Verschl�sseln, Entschl�sseln, Verifizieren f�r sich selbst
- Es ist egal, ob Fenster zu Editor, Mailprogramm oder perMail geh�rt
- Hotkeys: S-ign E-ncrypt C-rypt D-ecrypt/verify
- PGPtray-Funktionen
- Secure Viewer
- Achtung, dass kein automatischer Zeilenumbruch nach Signieren
- Wann Passphrase n�tig?
Theorie: Schl�sselaustausch
- Sichere Schl�ssel-/Passphrase-Hinterlegung (Key Splitting)
- Austausch von Schl�sseln direkt oder �ber Keyserver
- Auf Keyserver wwwkeys.de.pgp.net nach Perske suchen; E-Mail-Schl�ssel und (alten) Zertifizierungsschl�ssel �bernehmen
- Unterschieben falsch deklarierter Schl�ssel
- Abwehr durch sichere �bergabe: pers�nliche �bergabe oder Fingerprintkontrolle
Praxis: Schl�sselaustausch mit PGP
- F�r Backup: Exportieren des kompletten Schl�sselpaares
- F�r Weitergabe: Exportieren, Versenden und Importieren �ffentlicher Schl�ssel
- Suchen und Importieren von Schl�sseln vom Keyserver
Praxis: E-Mail mit PGP
- E-Mails mit anderen: Signieren, Verschl�sseln, Entschl�sseln, Verifizieren
- Warnmeldung Identit�t unsicher beachten
- Lokales (nicht exportierbares) Signieren nach Fingerprintkontrolle (hexadezimalen Fingerprint verwenden) - Warnmeldung verschwindet
- Ausf�hrlich: E-Mails mit verschiedenen anderen Kursteilnehmern: Signieren, Verschl�sseln, Entschl�sseln, Verifizieren
- Auch Anlagen verschl�sseln: Bereits vor dem Einf�gen mit PGPmail
- (Alternative: Konventionelle Verschl�sselung, evtl. selbstdechiffrierendes Archiv; Geht aber nicht durch unsere Mailserver)
- Anlagen entschl�sseln/verifizieren mit PGPmail
- (PGPmail kann auch richtig l�schen)
Theorie: Zertifikate
- Siehe Vortrag Verschl�sselte Kommunikation im Internet Teil 3 (Texte im WWW, Abbildungen im WWW, Texte als PDF, Abbildungen als PDF)
Theorie: Web of Trust
- In PGP ist man selbst Anfang der Zertifizierungskette
- Durch Signieren best�tigt man Identit�ten
- Aufbau der Schl�sselringe: Schl�ssel, mehrere Userids, jeweils mehrere Signaturen
- Signaturen von anderen nur beachten, wenn Aussteller vertrauensw�rdig: pers�nliche Entscheidung
- Vertrauenseinstellungen, G�ltigkeitsberechnung, Web of Trust
Praxis: Web of Trust mit PGP
- Vertrauenseinstellungen (beispielsweise mein alter Certification Key) �ndern, G�ltigkeiten beobachten (siehe Anleitung ganz unten)
- Exportierbares Signieren anderer Schl�ssel (nach Fingerprintkontrolle) und diese Schl�ssel an die Eigent�mer zur�cksenden
- Ggf. muss nicht-exportierbare Signatur gel�scht werden, bevor exportierbare Signatur erstellt werden kann
Theorie: Schl�ssel-Widerruf
- Schl�sselwiderruf = Signatur: Diesen Schl�ssel nicht mehr verwenden
Praxis: Schl�ssel-Widerruf mit PGP
- Zuerst Backups aller Schl�sselringe anlegen
- Schl�sselwiderruf erzeugen und exportieren (eigentlich in Bankschlie�fach)
- Schl�sselringe aus Backup wiederherstellen
- Exportierten Widerruf austauschen / importieren und Folgen beobachten
Theorie: Zertifizierungshierarchien
- Pragmatisch: Organisierte Zertifizierungsinstanzen hierarchisch angeordnet
- Kreuzzertifizierungen
- In PGP: Nur oberste Instanz der Zertifizierungshierarchie lokal signieren, aber allen Instanzen das Vertrauen aussprechen (in perMail voreingestellt)
Praxis: Zertifizierungshierarchien mit PGP
- Import ZIV-Schl�sselring mit DFN-PCA-Hierarchie-Schl�sseln: https://www.uni-muenster.de/ZIV/Mitarbeiter/zivring.asc
- Bei nachfolgenden Aktionen G�ltigkeiten beobachten (ZIV-Mitarbeiter, Zertifizierungsstelle Universit�t M�nster)
- DFN-PCA Certification Keys non-exportable signieren (verstecken sich teilweise unter No Longer in Use)
- DFN-PCA Certification Keys vertrauen
- Den mit diesen Keys zertifizierten Keys vertrauen (Tipp: Nach G�ltigkeit sortieren)
- Jetzt ist der Stand erreicht, der von perMail automatisch eingerichtet wird
- Auf perMail-Schl�sselseite die Hierarchien nachvollziehen
- Eigenen Schl�ssel zum Zertifizieren exportieren
Theorie: X.509-Zertifikate
- Siehe Vortrag Verschl�sselte Kommunikation im Internet Teil 5 (1. H�lfte) (Texte im WWW, Abbildungen im WWW, Texte als PDF, Abbildungen als PDF)
- Bei X.509 erg�nze Widerrufabfrage via Online Certificate Status Protocol (OCSP)
Theorie: SSL/TLS-Verbindungsaufbau
- Siehe Vortrag Verschl�sselte Kommunikation im Internet Teil 5 (2. H�lfte) (Texte im WWW, Abbildungen im WWW, Texte als PDF, Abbildungen als PDF)
Praxis: Zertifikatkontrolle
- Vergleich des Fingerabdrucks �ben - perMail-Server und WWUCA-Webseiten
- Fehlersituationen pr�fen: zivbc0101, zivbc0105, fastfix
- Bekannte Zertifizierungsinstanzen nachschauen
- Fingerprints von Zertifizierungsinstanzen pr�fen - WWUCA, DFN-PCA
- Vertrauenseinstellungen f�r Zertifizierungsinstanzen
- Zertifizierungsinstanzen nachladen - dabei Vertrauenseinstellungen nicht vergessen
- Fehlersituationen erneut pr�fen: zivbc0101, zivbc0105, fastfix
- Vorinstallierte Zertifizierungsinstanzen deaktiveren
- CRLs downloaden, installieren, �berpr�fen
Praxis: S/MIME-Schl�sselpaar erzeugen
- (Diese Methode geht nur mit Mozilla, Netscape, Opera; andere Browser ben�tigen externe Programme)
- Mit Firefox zur Test-Zertifizierungsstelle https://www.uni-muenster.de/ZIV/anw/testca.htm
- Auf Knopfdruck werden Schl�sselpaar erzeugt und Zertifizierungsrequest �bermittelt
- CA-Zertifikat importieren | Schl�sselpaar erzeugen | Eigenes Zertifikat importieren
- (Folgende Schritte waren mit der Mozilla-Suite unn�tig)
- Eigenen Schl�ssel in PKCS12-Datei exportieren
- PKCS12-Datei in Thunderbird importieren
- Vorhandene Zertifikate in Thunderbird untersuchen
- Zertifizierungsinstanz in Thunderbird auf vertrauensw�rdig schalten
Praxis: E-Mail mit S/MIME
- S/MIME-Signieren, -Verifizieren, -Schl�sselimport, -Verschl�sseln, -Entschl�sseln
- Signierte E-Mails enthalten Zertifikat = Schl�sselaustausch
- Verschl�sselung m�glich, sobald eine signierte E-Mail vom gew�nschten Empf�nger erhalten oder wenn dessen Schl�ssel importiert
Theorie (evtl. Praxis): Eigene CA
- Nichts geheimnisvolles: Einfach OpenSSL-Software benutzen
- M�hsam: Konfigurationsdatei passend parametrisieren
- Wurzelzertifikat erstellen: openssl req -new -x509 -out cert.pem -keyout key.pem -days 730
- (cert.pem und key.pem nach private/, cert.pem nach certs/, c_rehash)
- In Importformat umwandeln: openssl x509 -in cert.pem -inform pem -outform der -out cert.der (Vom WWW-Server mit MIME-Typ application/x-x509-ca-cert ausliefern lassen)
- Request erstellen: openssl req -new -out req.pem -keyout key.pem
- Request signieren: openssl ca -name KonfigAbschnitt -in req.pem -out cert.pem -days 365
- Komplette WWUCA-Installation: https://www.uni-muenster.de/WWUCA/install-x509-ca.html
- Neue Linux-Distributionen haben tinyca; roCA benutzt tinyca auf Knoppix
- Weitere Informationen: http://www.dfn-pca.de
Theorie: Public Key Infrastructure (PKI)
- Aktuell ein gro�es Schlagwort
- De facto aber nur eine Bezeichnung f�r das Organisieren von Schl�sselverteilung und -kontrolle
- Unabh�ngig vom Verteilungsmechanismus bleibt immer das Problem, das/die Wurzelzertifikate in die verwendete Software zu integrieren
Praxis (falls noch Zeit): Installation von GnuPG und Enigmail f�r Thunderbird
- Als Verwalter
- Download GnuPG 1.4.2 f�r Windows von ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.2.exe nach Eigene Dateien
- In Eigene Dateien: Doppelklick auf gnupg-w32cli-1.4.2.exe
- Im Dialogfenster Installer Language: Sprache Deutsch ausw�hlen
- Im Installationsfenster GNU Privacy Guard Installation: f�nfmal Weiter | Installieren | Weiter | Fertigstellen
- Download IDEA-Verschl�sselung von ftp://ftp.gnupg.dk/pub/contrib-dk/ideadll.zip nach Eigene Dateien
- In Eigene Dateien: Doppelklick auf ideadll.zip
- In ideadll.zip: Datei idea.dll markieren | Datei kopieren | neu anzulegender Zielordner C:\lib\gnupg
- Unter Start | Systemsteuerung | Leistung und Wartung | System | Erweitert | Umgebungsvariablen | Systemvariablen | Path ausw�hlen | Bearbeiten: An den vorhandenen Inhalt anh�ngen: ;C:\Programme\GNU\GnuPG | Alles mit OK best�tigen und Fenster schlie�en
- Test: Unter Start | Alle Programme | Zubeh�r | Eingabeaufforderung: Eintippen: gpg --version | Eintippen: gpg --load idea --version
- Als Nutzer
- Test: Unter Start | Alle Programme | Zubeh�r | Eingabeaufforderung: Eintippen: gpg --version | Eintippen: gpg --load idea --version
- Falls gpg von Eingabeaufforderung nutzbar sein soll, konfigurieren: edit "C:\Dateien und Einstellungen\Nutzer\Anwendungsdaten\gnupg\gpg.conf" load-extension idea
  default-recipient-self
  keyserver hkp://pgpkeys.pca.dfn.de
  keyserver-options auto-key-retrieve include-revoked include-subkeys
  no-secmem-warning
  no-mangle-dos-filenames
  default-cert-check-level 3
  (Zur Verwendung von Notepad m�sste man vorher versteckte Dateien in Ordneroptionen sichtbar machen)
- Test: gpg --version sollte jetzt auch IDEA enthalten
- Als Nutzer
- Download (Rechtsklick | Ziel speichern unter) Enigmail 0.92.0 f�r Thunderbird von http://www.mozilla-enigmail.org/downloads/enigmail-0.92.0-tb-win32.xpi nach Eigene Dateien
- Download (Rechtsklick | Ziel speichern unter) deutsches Sprachpaket von http://www.mozilla-enigmail.org/downloads/lang/0.9x/enigmail-de-0.9x.xpi nach Eigene Dateien
- In Thunderbird: Extras | Erweiterungen
  - Installieren | enigmail-0.92.0-tb-win32.xpi | �ffnen | Jetzt installieren
  - Installieren | enigmail-de-0.9x.xpi | �ffnen | Jetzt installieren
  - Installationsfenster schlie�en
- Thunderbird beenden und neu starten
- (Installation auch als Administrator f�r alle Nutzer m�glich, aber Besonderheiten beachten; Vorteil: Executable gesch�tzt)
- In Thunderbird: Enigmail | Einstellungen ... (Der Leser sollte gelernt haben, worauf er jetzt achten soll)
- Stand hier: Virtuelle Maschine XP-B

Freitag: Weitere Kommunikationsformen und M�glichkeiten

Sichere Verbindungen (SSH, SFTP). Abschirmung unsicherer Verbindungen (SSH-Tunnel, STunnel). Dateisystemverschl�sselung. Firewall-Konzepte. Verschiedenes.

Theorie: SSH
- Funktionsweise von SSH
- Schwachpunkt erste Verbindung
- Tunnels durch ausgehendes/eingehendes Port-Forwarding (ausf�hrliche Skizze)
Praxis: Sichere Dialog-/Datenverbindungen mit SSH
- Installation von PuTTY (Google putty | PuTTY Download Page)
- Keine Administratorrechte n�tig
- SSH-Verbindung mit ZIVUNIX - Dialogsitzung
- Port-Forwarding: Local 110 nach pop:110 - Test mit telnet localhost 110
- Ausprobieren mit IMAP- und/oder NNTP-Server (zus�tzliche Thunderbird-Konten)
- Port-Forwarding: Remote 1111 nach pop:110 - Test mit telnet zivunix 1111
- psftp und pscp in Eingabeaufforderung
- Installation for FileZilla (Google filezilla | FileZilla Homepage)
- Keine Administratorrechte n�tig
- Verbindung mit sftp://zivunix.uni-muenster.de - Mailboxfiles in Mail
- Unterschied Bin�r/ASCII/Auto-Transfer
Praxis: Datei(system)verschl�sselung
- Manuelle (konventionelle) Dateiverschl�sselung mit PGPmail
- Verschl�sselte Verzeichnisse von Windows XP
- (Sicherung des EFS-Schl�ssels mit MMC und Wiederherstellungsagenten zu kompliziert, selbst nicht geschafft)
- (Kryptofilesysteme unter Linux)
- PGP-Volume-Verschl�sselung in PGP 9 - Testversion
Praxis: VPN-Verbindung
- (Wird verwendet bei FunkLAN, pLANet, Teleport, sonstige VPN)
- VPN-Verbindung mit vpn-internet.uni-muenster.de einrichten; Optionen beachten und verstehen
- TCP/IP-Filterung und andere Firewalls: Protokoll 47 (Generic Routing Encapsulation) zulassen
- Uni M�nster leider noch: Eigenschaften | Sicherheit: Keine Verschl�sselung (Erweitert: nur CHAP zulassen)
- (Daher ungesch�tzte Verbindungen per SSH tunneln)
Theorie: Vern�nftige Firewall-Konzepte
- Demilitarisierte Zonen
- Private IP-Adressbereiche
- Application Proxies in DMZ
- 80 % aller Angriffe kommen von �innen�: Internet, Intranet(s), DMZ, Sicherheitsbereiche voneinander trennen
Theorie: Steganographie
- Verstecken der Kommunikation
- http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Stegano.txt
Theorie, evtl. Praxis: Verschiedenes
- Quantenkryptographie (�ber 60 km erfolgreich getestet)
- ...
- ...

Diese Seite: