Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Program:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewrtung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Assignments (Themenvergabe):
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(15.9.) |
Dienstag
(16.9.) |
Mittwoch
(17.9.) |
Donnerstag
(18.9.) |
Freitag
(19.9.) |
Vormittag
(9:00-12:00) |
Themenvergabe,
Setup |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Setup,
Labor |
Labor |
Labor |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(22.9.) |
Dienstag
(23.9.) |
Mittwoch
(24.9.) |
Donnerstag
(25.9.) |
Freitag
(26.9.) |
Vormittag
(9:00-12:00) |
Labor |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
- |
- |
Nachmittag
(13:00-16:00) |
Labor |
Labor |
Labor |
Labor |
Labor |
Vorträge Montag 29.9.2008 Raum 3'328:
10:00 TPM- Trusted Boot (Stephan Otto, Tobias
Heintz)
11:00 Cryptohardware unter Solaris (Robert Schrade)
12:00 Essenpause
13:00 AJAX-Sicherheit
14:00 (vielleicht) Vortrag Blowfish mit CUDA (Dominik Oepen)
Die Bearbeitung eines Themas umfasst den
Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die
Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit
Disskussion) sowie eine Demonstration (30 min) im Pool. In dem
Vortrag sollten eine Motivation (Welches
Problem wird gelöst? Warum ist das wichtig?), eine kurze
Einführung in das Thema und die Darstellung der gefundenen Lösung,
sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich
dargestellt werden.
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
Syllabus (Themenvorschläge):
- Einsatz von
Cryptohardware unter Solaris
In einigen Sun
Maschinen ist bereits ein Crypto-Koprozessor vorhanden.
Versuchen sie diesen viel eingesetzten Protokollen wie OpenVPN
oder IMAPS zugänglich zu machen und stellen Sie einen
Performancevergleich an.
- GPU als Cryptosupport
für OpenVPN unter Linux
Aktuelle Grafikkarten sind sehr geeignet für
massivparalleles Rechnen mit einfacher Genauigkeit. Wie kann
eine Grafikkarte helfen, um einen OpenVPN-Server performanter zu
machen, indem die symmetrische Verschlüsselung in die
Grafikkarte verlagert wird. Die Hersteller stellen verschiedene
Frameworks dafür bereit:
Nvidia: CUDA , AMD/ATI:
Streamcomputing SDK (Leider verfügen wir bisher noch
nicht über diese geeignete Hardware.)
Source Code für Blowfish mit
CUDA von Dominik Oepen
- ActiveDirectory durch Samba3
In Erweiterung von Thema 1 kann darüber nachgedacht werden einen
Directory Server auf Basis der in Samba3 bereitgestellten Werkzeuge
zu realisieren.
- Wireless Risk Potential Scenario
Neue Funkbasierte Protokolle (zB. 802.11x, IrDA, Bluetooth, UMTS)
bieten viele neue Möglichkeiten ... und neue Gefahrenpotentiale, da
nun ein möglicher Eindringling keinen physikalischen Zugang mehr
benötigt. Analysieren Sie diese neue mögliche Gefahrenquelle und
versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential
zu erstellen und wie kann die Vorteile dieser neuen Technologie
maximieren und gleichzeitig das Risiko minimieren.
Z.B.
http://tapir.cs.ucl.ac.uk/bittau-wep.pdf
- ePass: Data
Studieren Sie die
Sicherheitsarchitektur des elektronischen Reisepasse. Stellen
Sie Schutzziele und Lösungen gegenüber. Versuchen Sie, die mit
Basic Access Control zugänglichen Datenfelder (inklusive des
elektronischen Passbildes) auszulesen und zu kopieren. Kann mit
diesen Daten dann ein ePass-Emulator entworfen werden, der diese
Daten über RFID ebenfalls bereithält?
- ePass: Privacy
Untersuchen Sie, welche
Möglichkeiten es für Angreifer gibt, um einen elektronischen
Reisepass für das Erstellen von z.B. Bewegungsprofilen zu
nutzen. Wie verhält sich dies mit dem geplanten elektronischen
Personalausweis. Wie anonym kann ein Zigarettenkauf mit
Altersverifikation sein? Welche Konzepte werden verwendet?
- OpenMoko: Zfone
OpenMoko ist ein Open
Source Projekt, das ein freies Betriebssystem für Mobiltelefone
bereitstellt. Realisieren Sie ein
Zfone für SIP
Telefonate über das zukünftige WLAN Interface. Es kann der Emulator
oder die dann hoffentlich verfügbare Hardware verwendet werden. Bei
Nutzung von WLAN ist die benötigte Bandbreite vorhanden, so dass
eine End-to-End Verschlüsselung mit mehreren Codecs realisierbar
ist.
- Wireless
(RFID) Authentification Risk
Scenario
Funkbasierte Systeme zur Authentifizierung (RFID) finden weite
Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher
Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren
Sie die möglichen Gefahrenquellen und versuchen Sie eine
realistische Bewertung zu dem Gefahrenpotential zu erstellen.
- Single Singn On Scenario
Shibboleth ist eine auf dem SAML-Standard basierende
Open-Source-Middleware, die Single-Sign-On (SSO) für
Webseiten/Dienste innerhalb einer Organisation, sowie auch
organisationsübergreifend zur Verfügung stellt. Es ermöglicht einem
Dienst, Authentisierungsentscheidungen unter der Wahrung der
Privatsphäre zu treffen.
http://shibboleth.internet2.edu/
- Migration vo
Nagios2 --> Nagios3
Nagios ist ein
weitverbreitetes Framework zur Überwachung von Komponenten und
bereitgestellten Diensten. Derzeit ist die Version 2 in unserem
Institut im Einsatz. Untersuchen Sie die Änderungen in Version 3
und entwickeln Sie einen Pfad für dir Migration.
http://www.nagios.org/
Suggested Readings (Books):
|
|
