Synopsis:
Um ein IT-System vor einem Angreifer schützen zu können, reicht
die Kenntnis der theoretischen Grundlagen der einzelnen
IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.)
allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel
der einzelnen Sicherheitskomponenten untereinander erkannt und
verstanden wird. Die Sicherheit einer Komponente hängt meist direkt
von der Verwendung bzw. Sicherheit einer oder mehrer anderer
Komponenten und nicht zuletzt auch von der Erfahrung und dem
Verständnis des Benutzers ab. So nützt beispielsweise eine
verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur
dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder
Manipulation geschützt sind und eine Authentifizierung untereinander
möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und
abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die
Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst
innerhalb eines IT-Systems beobachtet und ausprobiert werden können.
Um ein IT-System "verteidigen" zu können, muss der Verteidiger in
der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen
und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff
IT-Security praxisnah und möglichst vielseitig zu erläutern und die
Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle
eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster
und Möglichkeiten zu vermitteln.
Program:
Es gibt eine bestimmte Auswahl an Themen, die auf
verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer
werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem
Beginn des Seminars, ihre Themen wählen und dementsprechend
Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann
in den zwei Seminarwochen).
Die teilnehmenden Studenten
müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche
vormittags in einer Präsentation vorstellen und erörtern, zusätzlich
wird eine kurze Themenzusammenfassung in Form eines Handouts in
englischer Sprache erwartet. Das Handout soll eine Checkliste
enthalten, die auch fachlich unerfahrenen Personen ein schnelles und
strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes
Teammitglied einen Beitrag leisten. Die Präsentation muss den
anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie
und die allgemeinen Funktionsabläufe des bearbeiteten Themas
verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden
Auditorium in einer Fragerunde Rede und Antwort stehen.
Place:
Humboldt-Universität zu Berlin - Institut für
Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin -
In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage,
Poolraum rechts hinter der Glastür).
Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei
Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits:
- Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte,
Grundlagen) ... theoretisch
- Vorführung der praktischen
Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewrtung ergibt sich auch aus dem rhetorischen
Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die
stellvertretend für alle anwesenden Studenten eine Gewichtung der
vorgetragenen Leistung erstellen. Siehe dazu:
Bewertungskriterien-Seminarvortrag.pdf
Prerequisites:
- Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System-
und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit
fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich
und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Assignments (Themenvergabe):
Erste
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(10.9.) |
Dienstag
(11.9.) |
Mittwoch
(12.9.) |
Donnerstag
(13.9.) |
Freitag
(14.9.) |
Vormittag
(9:00-12:00) |
Themenvergabe,
Setup |
Labor |
Labor |
Meeting
9:15 |
Labor |
Mittag
(12:00-13:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
Nachmittag
(13:00-16:00) |
Setup,
Labor |
Labor |
Labor |
Labor |
Labor |
Zweite
Seminar-Woche
|
|
Zeit/Tag
|
Montag
(17.9.) |
Dienstag
(18.9.) |
Mittwoch
(19.9.) |
Donnerstag
(20.9.) |
Freitag
(21.9.) |
Vormittag
(9:00-12:00) |
Labor |
Labor |
Labor |
Labor |
Vortrag & Demo |
Mittag
(12:30-14:00) |
Mahlzeit! |
Mahlzeit! |
Mahlzeit! |
- |
- |
Nachmittag
(13:00-16:00) |
Labor |
Labor |
Labor |
Labor |
Vortrag & Demo |
Vorträge und Demos 21.09.07 Raum 3'328
10:00 Uhr
Https Interface für LDAP-Passworte
Christopher Rudolf, Philipp Stockschläder und David Pincus [pdf]
[ppt]
11:00 Uhr
Samba3 mit LDAP Dario Sait und Tobias Mühl
13:00 Uhr
milter-Filter nach Empfänger für sendmail Oliver Welter
14:00 Uhr Diskussion und Auswertung Dr. Bell, Dr. Müller
Die Bearbeitung eines Themas umfasst den
Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die
Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit
Disskussion) sowie eine Demonstration (30 min) im Pool. In dem
Vortrag sollten eine Motivation (Welches
Problem wird gelöst? Warum ist das wichtig?), eine kurze
Einführung in das Thema und die Darstellung der gefundenen Lösung,
sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich
dargestellt werden.
Syllabus (Themenvorschläge):
Alle Teilnehmer sind aufgefordert mit
Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben
werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
1. milter-Filter nach Empfänger für sendmail
Leider nehmen bösartige Emails heute bereits einen beträchtlichen
Teil vor IT-Ressourcen in Anspruch. Um der Flut Herr zu werden, ist
dem sendmail unseres Hauses bereits ein Virenfilter sowie ein
SPAM-Filter vorgeschaltet. Diese beanspruchen beachtliche
Rechenleistung. Oftmals könnte eine Email aber bereits vorher
aussortiert werden, da der Adressat nicht in der Maildomaine
existiert. Schreiben Sie einen Filter entsprechend der milter API
http://www.sendmail.org/doc/sendmail-current/libmilter/docs/ ,
der bereits an vorderster Front die Existenz der Zieladresse
verifiziert. Wichtige Kriterien Ihrer Lösung sind Performace,
Wartbarkeit und Verfügbarkeit. Die Lösung ist für den operativen
Einsatz in unserem Hause und darüber hinaus gedacht.
2. Samba3 mit LDAP
In Unternehmen ist eine gemischte UNIX-Windows häufig Realität. Als
Fileserver bietet sich eine UNIX-Machine mit Samba3 an. Sie
unterstützt für UNIX-Clients die UXIX-Extensions. In der einfachsten
Variante wird ein separates Passwortfile für den Sambaserver
verwendet. Dies ist im Unternehmenseinsatz nicht praktikabel.
Realisieren Sie eine Lösung, die eine Authentifizierung gegen einen
oft bereits bestehenden LDAP-Server gestattet.
3.
ActiveDirectory durch Samba3
In Erweiterung von Thema 1 kann darüber nachgedacht werden einen
Directory Server auf Basis der in Samba3 bereitgestellten Werkzeuge
zu realisieren.
4.
Https Interface für LDAP-Passworte
Die benutzerseitige Authentifizierung gegenüber anderen Diensten
erfolgt oft über Passworte. Systeme speichern und übertragen heute
(hoffentlich) keine Passworte im Klartext sonder als Hash. Erstellen
Sie ein sicheres Web-Interface, das bei Passwortänderung alle
Hashwerte, die für verschiedene Systeme (Windows/Unix) benötigt
werden, in eine Ldapdatenbank einträgt. Das System sollte modular
und erweiterbar sein.
5. Secure Authentication Scenario
In einer größeren Organisation wird zur zentralen Authentifizierung
NIS verwendet. Leider ist es somit möglich, mit 'ypcat passwd' eine
Liste der Nutzer sowie deren mit DES- oder MD5-crypt verschlüsseltes
Passwort zu erhalten. Zeigen Sie sicherere Alternativen auf.
Skizzieren Sie einen Migrationsweg von NIS -> LDAP!
Programme: LDAP
6.
VPN Scenario getunnelt über HTTP(S)
Eine Organisation mit weltweit verteilten Außenstellen (z.B. in
Berlin, Washington, Tokio) und Außendienstmitarbeitern wünscht, dass
diese auf sichere Weise über das Internet auf Ressourcen im
Firmen-Netzwerk zugreifen können.
Programme: openvpn, tinc, vtun, (IPSec). Oft lassen
Unternehmensfirewalls nur gewisse Ports zu. Will man sich aus einer
solchen Umgebung mittels VPN mit seinem Heimatnetzwerk verbinden,
7. Wireless Risk Potential Scenario
Neue Funkbasierte Protokolle (zB. 802.11x, IrDA, Bluetooth, UMTS)
bieten viele neue Möglichkeiten ... und neue Gefahrenpotentiale, da
nun ein möglicher Eindringling keinen physikalischen Zugang mehr
benötigt. Analysieren Sie diese neue mögliche Gefahrenquelle und
versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential
zu erstellen und wie kann die Vorteile dieser neuen Technologie
maximieren und gleichzeitig das Risiko minimieren.
Z.B.
http://tapir.cs.ucl.ac.uk/bittau-wep.pdf
8.
Nagios-Erweiterung
Der Status der IT einer Organisation mit 50 Rechnern (auf denen
verschiedene Betriebssysteme verwendet werden) soll visualisiert und
überwacht werden. Nagios unterstützt nur relativ einfache
Testscripts und Reports. Erweitern Sie dies auf ausführlichere
Statusreports.
9. OpenMoko: Zfone
OpenMoko ist ein Open
Source Projekt, das ein freies Betriebssystem für Mobiltelefone
bereitstellt. Realisieren Sie ein
Zfone für SIP
Telefonate über das zukünftige WLAN Interface. Es kann der Emulator
oder die dann hoffentlich verfügbare Hardware verwendet werden. Bei
Nutzung von WLAN ist die benötigte Bandbreite vorhanden, so dass
eine End-to-End Verschlüsselung mit mehreren Codecs realisierbar
ist.
10.
OpenMoko: Cryptophone
Ziel ist wie in 9. eine Ende zu Ende Verschlüsselung in der mobilen
Telefonie. Allerdings soll dazu der GSM-Kanal mit geringerer
Bandbreite verwendet werden. Hier geht es eher um eine Recherche
/Machbarkeitsstudie, das die Anforderungen an einen geeigneten Codec
hoch sind. Interessant wäre auch, ob der Hersteller
http://www.cryptophone.de/
Interesse an der Produktion von GSMK-Linux-Softphones hätte.
11. eMail Server Scenario
Sie beaufsichtigen in einem mittelständigen Unternehmen einen
eMail-Server mit einem hohen eMail-Aufkommen. Das hohe
eMail-Aufkommen besteht hauptsächlich aus Spam. Da sie nicht einfach
ihre virenverseuchten Kunden blockieren können, verlangt ihr
Abteilungsleiter einen Lösungsvorschlag gegen Spam und außerdem ein
Konzept um SMTP über SSL zu realisieren. Aufgrund dieser neuen
Sicherheitsmassnahmen wird auch erwogen PKI zu implementieren.
Entwerfen sie ein Konzept, sie haben 1-2 Wochen.
12. Wireless
(RFID) Authentification Risk
Scenario
Funkbasierte Systeme zur Authentifizierung (RFID) finden weite
Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher
Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren
Sie die möglichen Gefahrenquellen und versuchen Sie eine
realistische Bewertung zu dem Gefahrenpotential zu erstellen.
13. Single Singn On Scenario
Shibboleth ist eine auf dem SAML-Standard basierende
Open-Source-Middleware, die Single-Sign-On (SSO) für
Webseiten/Dienste innerhalb einer Organisation, sowie auch
organisationsübergreifend zur Verfügung stellt. Es ermöglicht einem
Dienst, Authentisierungsentscheidungen unter der Wahrung der
Privatsphäre zu treffen.
http://shibboleth.internet2.edu/
Suggested Readings (Books):
|
|
