Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Program:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewrtung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Assignments (Themenvergabe):
Setup /
Themenvergabe
Freitag
15.9. 10:00 Uhr JvN-Haus Raum
3.328
|
| |
|
|
|
|
Freitag
(15.9.) |
Vormittag
(-12:00) |
|
|
|
|
Setup |
Mittag
(12:00-13:00) |
|
|
|
|
Mahlzeit! |
Nachmittag
(13:00-16:00) |
|
|
|
|
Themen-
vergabe |
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(18.9.) |
Dienstag
(19.9.) |
Mittwoch
(10.9.) |
Donnerstag
(21.9.) |
Freitag
(22.9.) |
Vormittag
(9:00-12:00) |
Setup |
Labor |
Labor |
Labor |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Labor |
Labor |
Labor |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(25.9.) |
Dienstag
(26.9.) |
Mittwoch
(27.9.) |
Donnerstag
(28.9.) |
Freitag
(29.9.) |
Vormittag
Vortrag : 09:00-09:45
Demo: 09:50-10:20
Vortrag : 11:00-11:45
Demo:
11:50-12:20 |
Labor |
Labor |
Vorbereitung
Vortrag & Demo |
OpenVPN
(Morgner,Weise)
Smartcard
(Bechstein,Mauter)
[
pdf ] |
WEP
(Grauel,Naber)
[pdf]
NX Bit
(Kunze,Otto) |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
- |
- |
Nachmittag
Vortrag: 13:30-14:15
Demo: 14:50-12:20 |
Labor |
Labor |
Vorbereitung
Vortrag & Demo |
Reverse Proxy
(Hilbrich)
[
pdf ] |
operativ |
Die Bearbeitung eines Themas umfasst den
Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die
Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit
Disskussion) sowie eine Demonstration (30 min) im Pool. In dem
Vortrag sollten eine Motivation (Welches
Problem wird gelöst? Warum ist das wichtig?), eine kurze
Einführung in das Thema und die Darstellung der gefundenen Lösung,
sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich
dargestellt werden.
Syllabus (Themenvorschläge):
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
1. Biometrie-Szenario
Als Ersatz für das herkömmliche Passwort findet Biometrie immer
häufiger Einsatz in Sicherheitsgebieten. Unterschiedlichste
Verfahren werden sowohl am heimischen Rechner als auch am zum
Beispiel zukünftig am Grenzübergang eingesetzt und nicht selten
beteuern die Hersteller, ihr System sei absolut sicher und
unüberwindbar. Was steckt dahinter? Wie fehleranfällig sind
die Systeme? Welche datenschutzrechtlichen Regelungen gilt es zu
beachten? 2.
Smartcard basiertes login unter Linux + Windows
Die benutzerseitige Authentifizierung gegenüber einem IT-System
erfolgt oft über Passworte. Dieses Verfahren weist jedoch
Schwachstellen auf (Bruteforce, Wörterbuchangriffe, schwache
Passworte). Wünschenswert ist ein stärkeres Verfahren.
Programme: openSC, pam
Erwartungen: Erstellen von Nutzerzertifikat, Initialisierung der
Smartcard, Login auf Linuxmaschine mittels RSA Key auf Smartcard +
PIN
Beratung durch
Michael Bell, CMS, HUB
3.
Smartcard basierte Authentifizierung gegenüber Dritten
Die benutzerseitige Authentifizierung gegenüber anderen Diensten
erfolgt oft über Passworte. Dieses Verfahren weist jedoch
Schwachstellen auf (Bruteforce, Wörterbuchangriffe, schwache
Passworte). Wünschenswert ist ein stärkeres Verfahren.
Programme: openSC, apache2, (open)vpn
Erwartungen: Erstellen von Nutzerzertifikat, Initialisierung der
Smartcard, Authentifizierung gegenüber Webserver (https) und
gegenüber VPN-Gateway mittels RSA Key auf Smartcard + PIN
4. Secure Authentication Scenario
In einer größeren Organisation wird zur zentralen Authentifizierung
NIS verwendet. Leider ist es somit möglich, mit 'ypcat passwd' eine
Liste der Nutzer sowie deren mit DES- oder MD5-crypt verschlüsseltes
Passwort zu erhalten. Zeigen Sie sicherere Alternativen auf.
Skizzieren Sie einen Migrationsweg von NIS -> LDAP!
Programme: LDAP
5.
VPN Scenario
Eine Organisation mit weltweit verteilten Außenstellen (z.B. in
Berlin, Washington, Tokio) und Außendienstmitarbeitern wünscht, dass
diese auf sichere Weise über das Internet auf Ressourcen im
Firmen-Netzwerk zugreifen können.
Programme: openvpn, tinc, vtun, (IPSec)
6. Wireless Risk Potential Scenario
Neue Funkbasierte Protokolle (zB. 802.11x, IrDA, Bluetooth, UMTS)
bieten viele neue Möglichkeiten ... und neue Gefahrenpotentiale, da
nun ein möglicher Eindringling keinen physikalischen Zugang mehr
benötigt. Analysieren Sie diese neue mögliche Gefahrenquelle und
versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential
zu erstellen und wie kann die Vorteile dieser neuen Technologie
maximieren und gleichzeitig das Risiko minimieren.
Z.B.
http://tapir.cs.ucl.ac.uk/bittau-wep.pdf
7. Wireless
(RFID) Authentification Risk
Scenario
Funkbasierte Systeme zur Authentifizierung (RFID) finden weite
Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher
Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren
Sie die möglichen Gefahrenquellen und versuchen Sie eine
realistische Bewertung zu dem Gefahrenpotential zu erstellen.
8. Firewall+Proxy Scenario
Eine Organisation mit 50 Rechnern (auf denen verschiedene
Betriebssysteme verwendet werden) ist über eine Standleitung mit dem
Internet verbunden. Jeder Rechner hat dabei eine weltweit eindeutige
IP-Adresse. Entwerfen Sie eine Lösung, welche die Firma möglichst
weitgehend vor Angriffen aus dem Internet schützt, ohne jedoch
großen Umstellungsaufwand zu verursachen. Nur www, ftp und e-mail
(für Kundenkontakte) werden wirklich dringend benötigt.
Programme: iptables, squid
Erwartungen: transparentes Proxying, restriktives Firewalling,
Mail-Forwarding, DMZ (Demilitarised Zone)
9. Intrusion Detection Scenario (Erkennung von Einbrüchen)
Eine Organisation will möglichst schnell, zuverlässig und umfassend
von Einbrüchen (und eventuellen Versuchen) auf kritischen Rechnern
(z.B. www-Server) erfahren, um entsprechend reagieren zu können.
Bearbeitung durch 2 Teilgruppen möglich.
1.) integrity check, logfile analysis
2.) NIDS, honeypot
Programme:
1.) AIDE/tripwire, rpm --verify, debsums, chkrootkit
2.) snort, portscand, honeyd
10. Testing of Network and System
Security Scenario
Sie arbeiten für eine Sicherheitsfirma mit Spezialisierung für
Netzwerkinfrastrukturen. Sie haben von einem Kunden den Auftrag
erhalten sein Netzwerk und seine Systeme auf Zugriffssicherheit zu
überprüfen. Probieren sie alles um über Netzwerk Zugriff auf eines
oder alle der Systeme zu erhalten. Zerstören Sie dabei auf keinen
Fall sensitive Datenbestände. Höchste Feinfühligkeit ist gefragt.
11. eMail Server Scenario
Sie beaufsichtigen in einem mittelständigen Unternehmen einen
eMail-Server mit einem hohen eMail-Aufkommen. Das hohe
eMail-Aufkommen besteht hauptsächlich aus Spam. Da sie nicht einfach
ihre virenverseuchten Kunden blockieren können, verlangt ihr
Abteilungsleiter einen Lösungsvorschlag gegen Spam und außerdem ein
Konzept um SMTP über SSL zu realisieren. Aufgrund dieser neuen
Sicherheitsmassnahmen wird auch erwogen PKI zu implementieren.
Entwerfen sie ein Konzept, sie haben 1-2 Wochen.
12. Zentrales
Verschlüsselungssystem Scenario
Möglichkeiten und Lösungen in kleinen Unternehmen automatisch (über
einen zentralen Server) eMails zu signieren und/oder zu
verschlüsseln + Mails automatisch ENTSCHLÜSSELN damit diese nicht im
Mailprogramm verschlüsselt vorliegen und in 10 Jahren unlesbar sind.
13. Single Singn On Scenario
Shibboleth ist eine auf dem SAML-Standard basierende
Open-Source-Middleware, die Single-Sign-On (SSO) für
Webseiten/Dienste innerhalb einer Organisation, sowie auch
organisationsübergreifend zur Verfügung stellt. Es ermöglicht einem
Dienst, Authentisierungsentscheidungen unter der Wahrung der
Privatsphäre zu treffen.
http://shibboleth.internet2.edu/
14. Bufferoverflows auf CPUs mit NX Bit
Wie kann trotz bei neuren CPUs vorhandenen NX Bit ein Bufferoverflow
ausgenutzte werden. Demonstartion + Kit, Dokumentation der Funktion.
Suggested Readings (Books):
|
|
