Sicherheit und Schutz im Internet

Stichwortliste zur Lehrveranstaltung

Veranstaltungsdaten

• Blockveranstaltung
• Dozent: Rainer Perske
• Vorlesungsnummer: 260018
• Datum: 28.02.-04.03.2005
• Uhrzeit: 10-12 Uhr + 13-17 Uhr
• Ort: Einsteinstraße 60, ZIV-Pool 3 (Erdgeschoss)
• URL: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/SicherheitUndSchutz.html
• Weiteres Skriptmaterial (Ausdrucken wird empfohlen):
  • Sichere Installation von Windows XP
  • Sichere Internet-Optionen unter Windows XP
  • Installation McAfee VirusScan Enterprise
  • Installation Mozilla Firefox und Thunderbird
  • Vortrag Verschlüsselte Kommunikation im Internet
  • Installation PGP Freeware unter Windows
• Ergänzende Literaturempfehlungen (mündlich erläutert):
  • Clifford Stoll, Kuckucksei, Fischer Taschenbuch, ISBN: 3596139848
  • Simon Singh, Geheime Botschaften, Dtv Taschenbuch, ISBN: 3423330716
  • Bruce Schneier, Applied Cryptography, Second Edition, John Wiley & Sons, ISBN: 0471117099

Technische Daten

• VMware-Konfiguration der Maschinen 18 bis 48
  • MAC-Adressen: 00:50:56:01:00:18 bis ...:48
  • Rechnernamen: ZIV01018VM bis ZIV01048VM.uni-muenster.de
  • Zugeordnet den realen Rechnern: ZIV01018 bis ZIV01048.uni-muenster.de gemäß Aufkleber
• Konfigurationsdateien: Netzwerklaufwerke \\ziv01044\1 und \\ziv01044\2 (oder \\wwuserv4\perske_kurs)
• Vorbereitung der virtuellen Maschine
  • Netzwerklaufwerke \\ziv01044\1 und \\ziv01044\2 (oder \\wwuserv4\perske_kurs) in Zugriff nehmen
  • Falls nicht schon vorhanden, vom Netzwerklaufwerk die Datei Windows XP Professional für ZIV010NN.vmx nach D:\Windows XP Professional für ZIV010NN.vmx kopieren (für NN die richtige Nummer einsetzen, siehe Aufkleber am Rechner)
  • Falls nicht schon vorhanden, vom Netzwerklaufwerk die Datei diskN.vmdk nach D:\Windows XP Professional.vmdk kopieren (für N die richtige Nummer einsetzen)
  • Starten durch Doppelklick auf die .vmx-Datei
  • Nach dem Start der virtuellen Maschine: Unter Start | Systemsteuerung | Leistung und Wartung | System | Computername | Ändern | Computername: ZIV010NNVM (statt VMPERSKE) eintragen (für NN die richtige Nummer einsetzen)
• Kursnutzerkennungen für E-Mail werden bei Bedarf vergeben

---

Hauptstichwortliste

Einzelne Punkte dieser Stichwortliste sind unten weiter unten oder im angegebenen Skriptmaterial weiter aufgeschlüsselt, entsprechende Querverweise sind eingerichtet.

Motivation

Wiedergewinnung von etwas Privatsphäre und Anonymität
Wiedergewinnung von etwas vertraulichem Gedankenaustausch
Schutz eigener Daten und Interessen
Beispiele: Siemens verlor 1993/94 4-Mrd.-ICE-Südkorea-Auftrag: DGSE las Angebotfax, Alstom bot TGV günstiger; eigene Verbeamtung
Aufrechterhaltung der Nutzbarkeit des Rechners
Vermeidung der Beihilfe zu Kriminalität und Terrorismus
Vermeidung, das Ziel polizeilicher Ermittlungen zu werden

Theorie (Absichern eines PC)

Rekapitulation: Funktionsweise von IP (mit ICMP), TCP, UDP, 3-Way-Handshake mit SYN/ACK/RST-Bits, Routern, Routing, Namensauflösung, Domains, Domain-Nameserver-Hierarchie
Funktionsweise von Denial-of-Service, Bootsektor-Viren, Programm-Viren, Makro-Viren, E-Mail-Viren, Würmern, Trojanischen Pferden, Connection Hijacking, Browser Hijacking (per Proxy, JavaScript, Homepage)
Funktionsweise von Backdoors, Spyware, Adware, 0190-/0900-/118xx-Dialern, Agenten (Eggdrop usw.)
Die Atombombe: Distributed Denial of Service (Attacke gegen Anschluss): Hacker wollen häufig keine Daten, sondern Bandbreite
Erkennen von Serverdiensten: Netstat von innen, Portscan von außen, Nessus usw. von außen (gut wie böse nutzbar)
Demonstration Portscan
Firewalls vs. Desktop Firewalls (auch: Paketfilter vs. Applikationsfilter, private IP-Adressen, NAT)
Gläsener Nutzer: »Nach Hause telefonieren«, GUIDs, Online-Registrierung, Webbugs, Spyware, Adware u. v. a. m.
Strafbarkeit: § 202 a StGB Ausspähen von Daten (bis 3 Jahre), § 303 a StGB Datenveränderung (bis 2 Jahre, Versuch strafbar), § 303 b StGB Computersabotage (bis 5 Jahre, Versuch strafbar)
Haftpflicht: § 823 BGB (Schadensersatzpflicht bei unerlaubter Handlung, auch bei Fahrlässigkeit)
TKG, TDG+MDStV, TDDSG, Fernmeldegeheimnis GG vs. Auskunftsverpflichtung §§ 100 g+h StPO, TKG, Aufbewahrungsverbot vs. -verpflichtung TDDSG
Firewalls und Anti-Virus-Software nicht überbewerten, können umgangen/deaktiviert werden, schützen nur bestimmte Angriffswege

Praxis (Absichern eines PC, mit Stichwortliste)

Sichere Installation von Windows XP (TCP/IP-Filterung, Deaktivierung Microsoft-Netzwerk)
Aktualisierung des Systems (Windows Update)
Automatisierung Windows Update
Konfiguration Windows-Firewall
Konfiguration Datenausführungsverhinderung
Einrichten eingeschränkter Nutzer
Schutz gegen versehentliches Handeln als Administrator
Schutz gegen Hereinfallen auf doppelte Dateinamenserweiterungen
Konfiguration Internet Explorer (umfangreich)
Verteufelung Outlook Express
Download Testviren
Einrichten McAfee VirusScan Enterprise (umfangreich)
Erprobung Virenschutz mit Testviren
Einrichten Mozilla Firefox (umfangreich)
Einrichten Mozilla Thunderbird (umfangreich)
Entfernen überflüssiger Windows-Komponenten

Theorie (Sichere E-Mail, Teil 1)

Funktionsweise der Public-Key-Kryptographie
Siehe Vortrag Verschlüsselte Kommunikation im Internet Teil 1
(Texte im WWW, Abbildungen im WWW, Texte als PDF, Abbildungen als PDF)

Praxis (Sichere E-Mail mit PGP und GnuPG in perMail, Teil 1)

Aufruf von perMail (ohne VMware, eigene oder Kurs-Nutzerkennung)
Wahl einer Passphrase (Informationsgehalt Text = 1,3 Bit/Buchstabe, Schlüssellänge = 128 Bit, also gute Passphrase = 100 Zeichen, also Kompromiss nötig)
Schlüsselgenerierung
Signieren, Verschlüsseln, Entschlüsseln, Verifizieren für sich selbst
Wann Passphrase nötig?

Theorie (Sichere E-Mail, Teil 2)

Aufbau der Schlüsselringe: Schlüssel, mehrere Userids, jeweils mehrere Signaturen
Für Big Brother: Additional Decryption Keys
Sichere Schlüsselhinterlegung (Key Splitting)
Widerrufzertifikate
Austausch von Schlüsseln direkt oder über Keyserver
Unterschieben falsch deklarierter Schlüssel
Abwehr durch persönliche Übergabe oder Fingerprintkontrolle

Praxis (Sichere E-Mail mit PGP und GnuPG in perMail, Teil 2)

Versenden und Importieren von Schlüsseln
Fingerprint-Kontrolle
Signieren, Verschlüsseln, Entschlüsseln, Verifizieren mit anderen

Theorie (Sichere E-Mail, Teil 3)

Schlüsselsignaturen
Vertrauensleute, Zertifizierungseinstellungen
Vertrauenseinstellungen, Gültigkeitsberechnung
Zertifizierungsketten, Web of Trust
Siehe Vortrag Verschlüsselte Kommunikation im Internet Teil 3

Praxis (Sichere E-Mail mit PGP und GnuPG in perMail, Teil 3)

Vertrauensstufen einstellen, Gültigkeit neu berechnen

Theorie (Sichere E-Mail, Teil 4)

Zertifizierungshierarchien
PGP möglich (selbst oben) vs. X.509 zwingend (RootCA oben)
Beispiel: DFN-PCA, dann DFN-User-CA, WWUCA, dann Nutzer, Server, SubCAs
Kreuzertifizierungen
Verordnetes Vertrauen bei X.509 vs. Einstellbarkeit bei PGP
Gängige Browser enthalten CA-Zertifikate - voreingestelltes Vertrauen fragwürdig
Sinnvoll für geschlossene Nutzergruppen - einfachere Handhabung
Heutige Programme ungünstig für offene Kommunikation
Schlüsselwiderruf bei Kompromittierung
Bei PGP durch Eigentümer signiert, bei X.509 durch Zertifizierungsstelle
PGP-Widerruffreisetzung vs. Widerruflisten (CRL) vs Online Certificate Status Protocol (OCSP)

Praxis (Sichere E-Mail mit PGP und GnuPG in perMail, Teil 4)

Zertifizierungshierarchie nachvollziehen
Widerrufene Schlüssel suchen
(Eigenen Schlüssel widerrufen durch Freisetzen des Widerrufzertifikats)

Praxis (Sichere E-Mail mit PGP Freeware, mit Stichwortliste)

Installation und Konfiguration PGP Freeware
Schlüsselgenerierung
Signieren, Verschlüsseln, Entschlüsseln, Verifizieren für sich selbst
Durch Hotkeys und PGPmail Einbindung in beliebige Mailprogramme (inkl. Webmailer)
Suchen und Importieren von Schlüsseln vom Keyserver
Signieren eines Schlüssels nach Fingerprintkontrolle
Einstellen von Vertrauen
Erzeugen und Exportieren von (Schlüssel-Sicherung und) Schlüssel-Widerruf
Importieren von Schlüsseln aus Datei
Schlüsselaustausch per Datenträger
Der Alltag: Signieren, Verschlüsseln, Entschlüsseln, Verifizieren mit anderen
Auch Anlagen einbeziehen
Zertifizieren von Schlüsseln
DFN-PCA-Zertifizierungshierarchie akzeptieren

Theorie (Sicheres WWW mit SSL/TLS)

Siehe Vortrag Verschlüsselte Kommunikation im Internet Teil 5 Rest
Verbindungsaufbau bei SSL/TLS (Serverzertifikat zwingend, Clientzertifikat optional)
Verifizieren des Server-Zertifikats
CA-Zertifikate im Browser
Widerruflisten (CRLs), Widerrufkontrolle (OCSP)

Praxis (Sicheres WWW mit SSL/TLS)

Verbindungsaufbau mit HTTPS-Server
Zertifikatkontrolle anhand des Fingerprints
Download eines Root-CA-Zertifikats mit Fingerprintkontrolle (für perMail)
Download eines Sub-CA-Zertifikats mit Fingerprintkontrolle (für perMail)
Download eines Serverzertifikats mit Fingerprintkontrolle (für perMail)
Download von CRLs - regelmäßig widerholen
Verifizieren eines Serverzertifikats
Aktivieren/Deaktivieren von CA-Zertifikaten
(Eigene CAs mit OpenSSL / roCA usw.)

Praxis (Sichere E-Mail mit S/MIME)

Erzeugen eines Certification Request und Zertifizieren durch Test-CA per WWW: https://www.uni-muenster.de/exec/ZIV/testca.htm
Installieren der Zertifikate in Mozilla Firefox
Untersuchen der Zertifikate in Mozilla Firefox (Preferences, Manage Certificates)
Transfer aus Mozilla Firefox in Mozilla Thunderbird (PKCS#12: inkl. Zertifizierungshierarchie)
Signierte E-Mails enthalten Zertifikat = Schlüsselaustausch
S/MIME-Signieren, -Verifizieren, -Schlüsselimport, -Verschlüsseln, -Entschlüsseln

Theorie (Sichere Dialog-/Datenverbindungen mit SSH)

Funktionsweise von SSH
Schwachpunkt erste Verbindung
Tunnels durch ausgehendes/eingehendes Port-Forwarding

Praxis (Sichere Dialog-/Datenverbindungen mit SSH)

Installation von PuTTY (Google putty | PuTTY Download Page)
SSH-Verbindung mit ZIVUNIX - Dialogsitzung
Port-Forwarding: Local 110 nach pop:110 - Test mit telnet localhost 110
Ausprobieren mit IMAP- und/oder NNTP-Server (zusätzliche Thunderbird-Konten)
Port-Forwarding: Remote 1111 nach pop:110 - Test mit telnet zivunix 1111
psftp und pscp in Eingabeaufforderung
Installation for FileZilla (Google filezilla | FileZilla Homepage)
Verbindung mit sftp://zivunix.uni-muenster.de - Mailboxfiles in Mail
Unterschied Binär/ASCII/Auto-Transfer

Praxis (Datei(system)verschlüsselung)

Manuelle (konventionelle) Dateiverschlüsselung mit PGPmail
Verschlüsselte Verzeichnisse von Windows XP
(Sicherung des EFS-Schlüssels mit MMC und Wiederherstellungsagenten zu kompliziert)
(Kryptofilesysteme unter Linux)
(PGPdisk)

Praxis (VPN-Verbindung)

(Wird verwendet bei FunkLAN, pLANet, Teleport, sonstige VPN)
VPN-Verbindung mit vpn-internet.uni-muenster.de einrichten
TCP/IP-Filterung: Protokoll 47 (Generic Routing Encapsulation) zulassen
Uni Münster leider noch: Eigenschaften | Sicherheit: Keine Verschlüsselung (Erweitert: nur CHAP zulassen)
(Daher ungeschützte Verbindungen per SSH tunneln)

Theorie (Firewall-Konzepte)

Demilitarisierte Zonen
Private IP-Adressbereiche
Application Proxies
80 % aller Angriffe kommen von »innen«: Internet, Intranet(s), DMZ, Sicherheitsbereiche voneinander trennen

Theorie (Sonstiges)

Regelmäßige Backups!
Backups verschlüsseln
Regelmäßige Konsistenzprüfungen (Tripwire usw.)
Keine aktiven Dateiformate per E-Mail (Virengefahr in Word, Excel, Access, EXE usw.)
Proxy-Server als Filter für eingehende Viren, Werbung usw.
Proxy-Server als Anonymisierungshilfe
Projekt AN.ON, Onion routing
Smartcard, Cryptocard, Signaturgesetz
IPsec, DNSsec, (auch IPv6)
Auch Fax, Telefon usw. absichern

Theorie (Steganographie)

Verstecken der Kommunikation
Beispiel: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Stegano.txt

Weitere Informationsquellen

www.bsi.de (mit Grundschutzhandbuch),
www.sicherheit-im-internet.de
DFN-PCA - alles rund um Zertifizierung

---

Absichern eines PC

• Nach jedem Start der virtuellen Maschine von einer vorgegebenen VMDK-Datei: Unter Start | Systemsteuerung | Leistung und Wartung | System | Computername | Ändern | Computername: ZIV010NNVM (statt VMPERSKE) eintragen (für NN die richtige Nummer einsetzen)

Installation Basissystem: Windows XP Professional mit Service Pack 2

• Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/WindowsXPInstallation.html

Zustand hier = disk1.vmdk

Kurzkontrolle: Internetanschluss

• Unter Start | Alle Programme | Zubehör | Eingabeaufforderung
  • netstat -r | more illustriert Routing
  • netstat -an | more bzw. netstat -a | more kontrollieren Internetverbindungen und laufende Server (»Abhören«, engl. Listen)
  • nslookup www.berlin.de kontrolliert Namensauflösung
  • ping www.berlin.de kontrolliert Namensauflösung und Leitungsweg
  • nslookup -q=any uni-muenster.de liefert noch viel mehr Infos
  • ipconfig und ipconfig /all | more kontrollieren eigene Netzwerkkonfiguration

Aktualisierung Basissystem: Windows Update

• Start | Alle Programme | Windows Update
• Geöffneten Internet Explorer noch keinesfalls zum Surfen benutzen!
• Möchten Sie diese Software installieren? (Name: Windows Update): Installieren
• Downloaden Sie die aktuelle Software für Windows Update: Jetzt Installieren
• Schnellinstallation (Empfohlen)
• Frage von Internet Explorer: Wenn Sie Informationen an "Internet" senden ... Möchten Sie die Daten senden: Ja
• Gewählte Updates insgesamt: ...: Installieren
• Lesen Sie das folgende EULA ...: Ich stimme zu
• Der Computer wurde erfolgreich aktualisiert ...: Jetzt neu starten
• Nach Neustart solange, bis kein Update mehr installiert wurde (Häufig gibt es wichtige Updates zu den Updates):
  • Start | Alle Programme | Windows Update | Benutzerdefinierte Installation
  • Alle wichtigen Updates auswählen
  • Sinnvolle optionale Updates auswählen (für Kurs nur Outlook Express als Beispiel)
  • Besondere Vorsicht bei:
    • Windows-Media-Player (übermittelt in der Voreinstellung Daten über sämtliche abgespielten Titel/Filme ins Internet!)
    • Windows-Messenger und Microsoft-.NET-Framework, insbesondere der »Passport«-Dienst (Hinterlegen aller Passwörter auf Internet-Servern von Microsoft),
    • Windows-Fehlerberichterstattung usw.
  • Updates installieren ... | Installieren ... | Ggf. Rechnerneustart
• Internet Explorer schließen

Automatisierung Windows Update

• Symbol in Infoleiste (Gelbes Schild »Halten Sie Ihren Computer auf dem neusten Stand«) -oder- Unter Start | Programme | Zubehör | Systemprogramme | Sicherheitscenter | Sicherheitseinstellungen verwalten für automatische Updates:
• Installationszeitpunkt angeben (Kurs: täglich 12:00 Uhr) | OK

Konfiguration Windows-Firewall

• Unter Start | Programme | Zubehör | Systemprogramme | Sicherheitscenter | Sicherheitseinstellungen verwalten für Windows-Firewall:
  • Allgemein | Aktiv (empfohlen): EIN
  • Allgemein | Keine Ausnahmen zulassen: EIN
  • Unter Ausnahmen: Eigene Einstellungen vornehmen, die gelten, falls Ausnahmen wieder zugelassen werden
  • Erweitert | Netzwerkverbindungseinstellungen: Alle aktivieren (im Kurs nur LAN-Verbindung)
  • Erweitert | Sicherheitsprotokollierung | Einstellungen... | Protokollierungsoptionen: Nichts protokollieren
  • Unter Erweitert | ICMP | Einstellungen...: Alles außer »Eingehende Maskenanforderung« und »Eingehende Routeranforderung« ist unkritisch und kann erlaubt werden; zumindest »Eingehende Echoanforderung« sollte erlaubt werden, damit Netzadmins bessere Fehleranalyse vornehmen können werden

Konfiguration Datenausführungsverhinderung

• Start | Systemsteuerung | Leistungs und Wartung | System | Erweitert | Systemleistung | Einstellungen | Datenausführungsverhinderung
• in Kurs-VMware-Disks nur für erforderliche Programme und Dienste aktiviert
• Ausnahmeliste benutzen, falls reguläre Software sonst nicht läuft

Zustand hier = disk2.vmdk

Benutzer einrichten

Unter Start | Systemsteuerung | Benutzerkonten

• Neues Konto erstellen | Verwalter | Weiter | Computeradministrator | Konto erstellen
• Neues Konto erstellen | Nutzer | Weiter | Eingeschränkt | Konto erstellen
• Privatnutzer sollten getrennte eingeschränkte Konten für Internet- und für Office-Aktivitäten einrichten
• Konto ändern | Verwalter | Bild ändern | Gummi-Frosch | Bild ändern | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Startseite
• Konto ändern | Nutzer | Bild ändern | Gummi-Ente | Bild ändern | Kennwort erstellen | Kennwort und Hinweis eingeben | Kennwort erstellen | Startseite

Administrator-Kennung wird nicht mehr benötigt: Start | Abmelden | Abmelden

Ab jetzt nicht mehr als Administrator arbeiten, sondern als Nutzer oder falls notwendig als Verwalter

Schutz gegen Irreführung und Irrtümer

• Sowohl als Nutzer als auch als Verwalter:
  • Unter Rechte Maustaste | Eigenschaften | Desktop | Hintergrund:
    • Anderen Bildschirmhintergrund aussuchen: Angenehmen Hintergrund für Nutzer, grellen Hintergrund für Verwalter (Gegen versehentliches Arbeiten mit Administratorrechten)
• Sowohl als Nutzer als auch als Verwalter:
  • Unter Start | Systemsteuerung | Darstellung und Designs | Ordneroptionen | Ansicht | Erweiterte Einstellungen:
    • Einfache Dateifreigabe verwenden (empfohlen): AUS (Ermöglicht Zugriffsrechte-Verwaltung)
    • Erweiterungen bei bekannten Dateitypen ausblenden: AUS (Gegen Iloveyou.bmp.exe)
    • Übernehmen, dann: Alle zurücksetzen
• Nur als Verwalter, mit besonderer Vorsicht:
  • Unter Start | Ausführen | regedit
    • Bearbeiten | Suchen | NeverShowExt | Weitersuchen
    • Bei jedem Treffer: Entf-Taste zum Löschen, Enter-Taste zum Bestätigen, F3-Taste zum Weitersuchen (Gegen Iloveyou.bmp.cmd usw.)
    • Fenster schließen

Zustand hier = disk3.vmdk

Konfiguration Internet Explorer

• Für Windows Update und andere Systemfunktionen leider benötigt, ansonsten nicht benutzen!
• Voreinstellung enthält ganz erhebliche Sicherheitsrisiken
• Sowohl als Nutzer als auch als Verwalter:
  • Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/WindowsInternetoptionen.html
• Empfehlenswerte Alternativen: Mozilla Firefox und viele andere

Ignorieren Outlook Express

• Nicht benutzen! Unter keinen Umständen! Niemals!
• Zahlreiche massive Sicherheitsprobleme (Vorschau)
• Zahlreiche sonstige Fehler (begin-Bug usw.)
• Erzeugt Netiquette-widrige E-Mails/NetNews-Artikel (Quoting, Forwarding usw.)
• Empfehlenswerte Alternativen: Mozilla Thunderbird und viele andere

Zustand hier = disk4.vmdk

Installation McAfee VirusScan Enterprise

• Nur als Verwalter:
  • Diese Skriptseite (vielleicht unter Extras | Internetoptionen | Allgemein gleich als Startseite einstellen?) im Internet Explorer öffnen, folgende Testvirusdateien downloaden und unter Eigene Dateien speichern (Rückfragen bestätigend beantworten):
    • eicar.com - ausführbares Programm
    • eicar.com.txt - Identische Datei, aber als Plain Text deklariert
    • eicar.eml - Als Anlage einer Mail in einer Mailboxdatei
    • eicar.mai - Identische Datei, nur mit anderem Namen
    • eicar_com.zip - ausführbares Programm in einer ZIP-Datei eingepackt
    • eicar_com_zip.zip - vorherige ZIP-Datei selbst wieder in einer ZIP-Datei eingepackt
    • eicar.tgz - ausführbares Programm und gzip-komprimiertes ausführbares Programm gemeinsam in einem gzip-komprimierten tar-Archiv
  • Mit dem Internet Explorer öffnen: http://www.uni-muenster.de/ZIV/Organisation/SoftwareVerteilungMcAfeeVirusScan.html
  • Downloaden (Anmelden als uni-muenster\nutzerkennung)und unter Eigene Dateien speichern: VSE80iLDE.zip
  • Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/McAfeeInstallation.html
• Sowohl als Nutzer als auch Verwalter:
  • Welche der oben gespeicherten Virendateien werden beim Scannen auf Anforderung gefunden?
  • Welche der oben genannten Testvirusdateien lassen sich erneut herunterladen?

Zustand hier = disk5.vmdk

Installation Mozilla Firefox

• Nur als Verwalter:
  • Auf www.mozilla.org durchklicken bis http://www.mozilla.org/products/firefox/all.html
  • Deutsche Windows-Version nach Eigene Dateien speichern
  • Installation wie gewohnt durchführen, aber benutzerdefinierte Installation wählen und die Developer Tools und den Quality Feedback Agent ausschalten
  • Beim Erststart nichts importieren
  • Beim Erststart Firefox als Standardbrowser festlegen

Konfiguration Mozilla Firefox

• Sowohl als Nutzer als auch als Verwalter:
  • Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/MozillaInstallation.html

Installation Mozilla Thunderbird

• Nur als Verwalter:
  • Auf www.mozilla.org durchklicken bis http://www.mozilla.org/products/thunderbird/all.html
  • Deutsche Windows-Version nach Eigene Dateien speichern
  • Installation wie gewohnt durchführen, aber benutzerdefinierte Installation wählen und den Quality Feedback Agent ausschalten
  • Beim Erststart nichts importieren
  • Beim Erststart noch kein Konto anlegen
  • Beim Erststart Thunderbird als Standard-Mail-Anwendung einstellen

Konfiguration Mozilla Thunderbird

• Der Verwalter arbeitet nicht mit E-Mail oder NetNews!
• Nur als Nutzer:
  • Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/MozillaInstallation.html
• Nur als Verwalter:
  • Nur die Einstellungen vornehmen, inklusive Einstellung als Standard-NetNews-Programm, jedoch keine Konten einrichten

Zustand hier = disk6.vmdk

Überflüssige Windows-Komponenten deinstallieren

• Nur als Verwalter:
  • Unter Start | Systemsteuerung | Software | Windows-Komponenten hinzufügen/entfernen:
    • Achtung: Bei etlichen Häkchen (Outlook Express, Windows Media Player, Windows Messenger) führt das Löschen nur zum Löschen der Startmenü-Einträge
    • MSN Explorer weg
    • Netzwerkdienste | Details | Internet Gateway-Gerätesuche und -Steuerungsclient weg
    • Outlook Express weg
    • Windows Media Player weg
    • Windows Messenger weg
  • Remoteunterstützung vollständig deaktivieren: Unter Start | Systemsteuerung | Leistung und Wartung | System | Remote | Alles: AUS

Ausführungsschutz für heruntergeladene Dateien

• Eigenschaften eines abgespeicherten Setup-Programms öffnen Unter Start | Systemsteuerung | Software | Windows-Komponenten hinzufügen/entfernen:
  • Achtung: Bei etlichen Häkchen (Outlook Express, Windows Media Player, Windows Messenger) führt das Löschen nur zum Löschen der Startmenü-Einträge
  • MSN Explorer weg
  • Netzwerkdienste | Details | Internet Gateway-Gerätesuche und -Steuerungsclient weg
  • Outlook Express weg
  • Windows Media Player weg
  • Windows Messenger weg
• Remoteunterstützung vollständig deaktivieren: Unter Start | Systemsteuerung | Leistung und Wartung | System | Remote | Alles: AUS

---

Sichere E-Mail mit PGP Freeware

Installation und Konfiguration PGP Freeware

• Teilweise als Verwalter, teilweise als Nutzer:
  • Ausführliche Beschreibung: http://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske/Sicherheit/WindowsPGPInstallation.html
  • Von der Beschreibung abweichend:
    • Kein automatisches Entfernen beim Löschen - wegen VMware
    • Voreingestellte Schlüsselringdateien beibehalten - wir testen nur
    • Kein Synchronisieren mit Keyservern - wegen Test-Schlüsseln
    • Schlüsselbund-Backup im Schlüsselbund-Verzeichnis - wir testen nur
    • Noch keine Schlüsselgenerierung
• Alle weiteren PGP-Experimente nur als Nutzer durchführen

Zustand hier = disk7.vmdk

Schlüsselgenerierung

• Siehe obige ausführliche Beschreibung

Erste Benutzung - Beliebige Plaintext-Fenster

• HotKeys verwenden, ersatzweise PGPTray
• Signieren eines Textes im Windows-Editor
• Verifizieren der Signatur
• Verschlüsseln eines Textes im Windows-Editor
• Entschlüsseln des Textes
• Verschiedene Kombinationen
• Secure Viewer ausprobieren
• Achtung, dass kein automatischer Zeilenumbruch nach Signieren
• Es ist egal, ob Fenster zu Editor, Mailprogramm oder perMail gehört!

Schlüssel vom Keyserver holen

• Auf Keyserver wwwkeys.de.pgp.net nach Perske suchen
• E-Mail-Schlüssel und (alten) Zertifizierungsschlüssel übernehmen
• Siehe obige ausführliche Beschreibung

Signieren eines Schlüssels

• (Hexadezimaler) Fingerprint (alter) Zertifizierungsschlüssel mit inforum vergleichen
• (Non-Exportable) Signatur hinzufügen
• Veränderte Gültigkeitsanzeige beachten
• Siehe obige ausführliche Beschreibung

Einstellen von Vertrauen

• Dem Inhaber des (alten) Zertifizierungsschlüssels das (marginale oder volle) Vertrauen aussprechen
• Veränderte Vertrauensanzeige beachten
• Veränderte Gültigkeitsanzeigen beim E-Mail-Schlüssel beachten
• Siehe obige ausführliche Beschreibung

Vorsorgliches Widerrufzertifikat erzeugen

• PGPKeys beenden und Schlüsselringe sichern
• Widerruf durchführen
• Eigenen (widerrufenen) Schlüssel in Datei exportieren
• PGPKeys beenden und gesicherte Schlüsselringe zurückkopieren
• (Exportierte Datei im Bankschließfach aufbewahren)
• (Gesicherte Schlüsselringe als Backup im Bankschließfach aufbewahren)

Importieren von Schlüsseln aus Datei

• http://www.uni-muenster.de/ZIV/Mitarbeiter/zivring.asc unter Eigene Dateien abspeichern
• Datei zivring.asc doppelklicken
• Alternative: Datei zivring.asc mit Import-Funktion von PGPKeys öffnen
• Schlüssel importieren

Schlüsselaustausch per Datenträger, Zertifizieren von Schlüsseln

• Eigenen Schlüssel auf Diskette exportieren
• Schlüssel anderer Kursteilnehmer von Diskette importieren
• Letztere nach Fingerprintvergleich non-exportable signieren

Alltags-Benutzung

• E-Mails signieren und/oder verschlüsseln und versenden
• Dabei korrekte Angabe der Empfänger in PGP beachten
• Empfangene E-Mails entschlüsseln und/oder verifizieren

Auch Anlagen einbeziehen

• Beizufügende Dateien vor dem Beifügen signieren/verschlüsseln: PGPmail
• Alternative: Konventionelle Verschlüsselung, evtl. selbstdechiffrierendes Archiv
• Beigefügte Dateien nach dem Abspeichern entschlüsseln/verifizieren: PGPmail
• PGPmail kann auch richtig löschen

Zertifizieren von Schlüsseln

• Non-exportable durch exportable Signatur ersetzen
• Signierten Schlüssel re-exportieren und per Mail oder Datenträger zurückgeben oder verbreiten

DFN-PCA-Zertifizierungshierarchie akzeptieren

• Tipp: Schlüssel nach Gültigkeit sortieren
• DFN-PCA-Zertifizierungsschlüssel nach Fingerprintkontrolle non-exportable signieren
• DFN-PCA-Zertifizierungsschlüssel als voll vertrauenswürdig einstellen
• Alle von der DFN-PCA zertifizierten Schlüssel als voll vertrauenswürdig einstellen

Rainer Perske

Diese Seite:

• :: Seite empfehlen
• :: Seite kommentieren, Link öffnet neues Fenster