Synopsis:Um ein IT-System vor einem Angreifer schützen zu können, reicht die Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des Benutzers ab. So nützt beispielsweise eine verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst innerhalb eines IT-Systems beobachtet und ausprobiert werden können. Um ein IT-System "verteidigen" zu können, muss der Verteidiger in der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff IT-Security praxisnah und möglichst vielseitig zu erläutern und die Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster und Möglichkeiten zu vermitteln.
Program: Es gibt eine bestimmte Auswahl an Themen, die auf verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem Beginn des Seminars, ihre Themen wählen und dementsprechend Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann in den zwei Seminarwochen).
Die teilnehmenden Studenten müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche vormittags in einer Präsentation vorstellen und erörtern, zusätzlich wird eine kurze Themenzusammenfassung in Form eines Handouts in englischer Sprache erwartet. Das Handout soll eine Checkliste enthalten, die auch fachlich unerfahrenen Personen ein schnelles und strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes Teammitglied einen Beitrag leisten. Die Präsentation muss den anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie und die allgemeinen Funktionsabläufe des bearbeiteten Themas verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden Auditorium in einer Fragerunde Rede und Antwort stehen.
Place: Humboldt-Universität zu Berlin - Institut für Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin - In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage, Poolraum rechts hinter der Glastür). Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits: - Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte, Grundlagen) ... theoretisch
- Vorführung der praktischen Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewrtung ergibt sich auch aus dem rhetorischen Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die stellvertretend für alle anwesenden Studenten eine Gewichtung der vorgetragenen Leistung erstellen. Siehe dazu: Bewertungskriterien-Seminarvortrag.pdf
Prerequisites: - Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System- und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich und Dr. Müller ist eine gute Voraussetzung.
Wiki:
Assignments (Themenvergabe):
Erste Seminar-Woche | | Zeit/Tag | Montag
(15.9.) | Dienstag
(16.9.) | Mittwoch
(17.9.) | Donnerstag (18.9.) | Freitag
(19.9.) | Vormittag
(9:00-12:00) | Themenvergabe,
Setup | Labor | Labor | Labor | Labor | Mittag
(12:00-13:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag
(13:00-16:00) | Setup,
Labor | Labor | Labor | Labor | Labor | Zweite Seminar-Woche | | Zeit/Tag | Montag
(22.9.) | Dienstag
(23.9.) | Mittwoch
(24.9.) | Donnerstag (25.9.) | Freitag
(26.9.) | Vormittag
(9:00-12:00) | Labor | Labor | Labor | Labor | Labor | Mittag
(12:30-14:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | - | - | Nachmittag
(13:00-16:00) | Labor | Labor | Labor | Labor | Labor |
Vorträge Montag 29.9.2008 Raum 3'328: 10:00 TPM- Trusted Boot (Stephan Otto, Tobias Heintz)
11:00 Cryptohardware unter Solaris (Robert Schrade)
12:00 Essenpause
13:00 AJAX-Sicherheit
14:00 (vielleicht) Vortrag Blowfish mit CUDA (Dominik Oepen) Die Bearbeitung eines Themas umfasst den Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit Disskussion) sowie eine Demonstration (30 min) im Pool. In dem Vortrag sollten eine Motivation (Welches Problem wird gelöst? Warum ist das wichtig?), eine kurze Einführung in das Thema und die Darstellung der gefundenen Lösung, sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich dargestellt werden. Alle Teilnehmer sind aufgefordert mit Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben. Syllabus (Themenvorschläge): - Einsatz von Cryptohardware unter Solaris
In einigen Sun Maschinen ist bereits ein Crypto-Koprozessor vorhanden. Versuchen sie diesen viel eingesetzten Protokollen wie OpenVPN oder IMAPS zugänglich zu machen und stellen Sie einen Performancevergleich an. - GPU als Cryptosupport für OpenVPN unter Linux
Aktuelle Grafikkarten sind sehr geeignet für massivparalleles Rechnen mit einfacher Genauigkeit. Wie kann eine Grafikkarte helfen, um einen OpenVPN-Server performanter zu machen, indem die symmetrische Verschlüsselung in die Grafikkarte verlagert wird. Die Hersteller stellen verschiedene Frameworks dafür bereit:
Nvidia: CUDA , AMD/ATI: Streamcomputing SDK (Leider verfügen wir bisher noch nicht über diese geeignete Hardware.)
Source Code für Blowfish mit CUDA von Dominik Oepen - ActiveDirectory durch Samba3
In Erweiterung von Thema 1 kann darüber nachgedacht werden einen Directory Server auf Basis der in Samba3 bereitgestellten Werkzeuge zu realisieren. - Wireless Risk Potential Scenario
Neue Funkbasierte Protokolle (zB. 802.11x, IrDA, Bluetooth, UMTS) bieten viele neue Möglichkeiten ... und neue Gefahrenpotentiale, da nun ein möglicher Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren Sie diese neue mögliche Gefahrenquelle und versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential zu erstellen und wie kann die Vorteile dieser neuen Technologie maximieren und gleichzeitig das Risiko minimieren.
Z.B. http://tapir.cs.ucl.ac.uk/bittau-wep.pdf - ePass: Data
Studieren Sie die Sicherheitsarchitektur des elektronischen Reisepasse. Stellen Sie Schutzziele und Lösungen gegenüber. Versuchen Sie, die mit Basic Access Control zugänglichen Datenfelder (inklusive des elektronischen Passbildes) auszulesen und zu kopieren. Kann mit diesen Daten dann ein ePass-Emulator entworfen werden, der diese Daten über RFID ebenfalls bereithält? - ePass: Privacy
Untersuchen Sie, welche Möglichkeiten es für Angreifer gibt, um einen elektronischen Reisepass für das Erstellen von z.B. Bewegungsprofilen zu nutzen. Wie verhält sich dies mit dem geplanten elektronischen Personalausweis. Wie anonym kann ein Zigarettenkauf mit Altersverifikation sein? Welche Konzepte werden verwendet? - OpenMoko: Zfone
OpenMoko ist ein Open Source Projekt, das ein freies Betriebssystem für Mobiltelefone bereitstellt. Realisieren Sie ein Zfone für SIP Telefonate über das zukünftige WLAN Interface. Es kann der Emulator oder die dann hoffentlich verfügbare Hardware verwendet werden. Bei Nutzung von WLAN ist die benötigte Bandbreite vorhanden, so dass eine End-to-End Verschlüsselung mit mehreren Codecs realisierbar ist. - Wireless (RFID) Authentification Risk Scenario
Funkbasierte Systeme zur Authentifizierung (RFID) finden weite Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren Sie die möglichen Gefahrenquellen und versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential zu erstellen. - Single Singn On Scenario
Shibboleth ist eine auf dem SAML-Standard basierende Open-Source-Middleware, die Single-Sign-On (SSO) für Webseiten/Dienste innerhalb einer Organisation, sowie auch organisationsübergreifend zur Verfügung stellt. Es ermöglicht einem Dienst, Authentisierungsentscheidungen unter der Wahrung der Privatsphäre zu treffen.
http://shibboleth.internet2.edu/ - Migration vo Nagios2 --> Nagios3
Nagios ist ein weitverbreitetes Framework zur Überwachung von Komponenten und bereitgestellten Diensten. Derzeit ist die Version 2 in unserem Institut im Einsatz. Untersuchen Sie die Änderungen in Version 3 und entwickeln Sie einen Pfad für dir Migration. http://www.nagios.org/
Suggested Readings (Books): | |
