Synopsis:Um ein IT-System vor einem Angreifer schützen zu können, reicht die Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des Benutzers ab. So nützt beispielsweise eine verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst innerhalb eines IT-Systems beobachtet und ausprobiert werden können. Um ein IT-System "verteidigen" zu können, muss der Verteidiger in der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff IT-Security praxisnah und möglichst vielseitig zu erläutern und die Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster und Möglichkeiten zu vermitteln.
Programm: Es gibt eine bestimmte Auswahl an Themen, die auf verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem Beginn des Seminars, ihre Themen wählen und dementsprechend Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann in den zwei Seminarwochen).
Die teilnehmenden Studenten müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche vormittags in einer Präsentation vorstellen und erörtern, zusätzlich wird eine kurze Themenzusammenfassung in Form eines Handouts in englischer Sprache erwartet. Das Handout soll eine Checkliste enthalten, die auch fachlich unerfahrenen Personen ein schnelles und strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes Teammitglied einen Beitrag leisten. Die Präsentation muss den anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie und die allgemeinen Funktionsabläufe des bearbeiteten Themas verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden Auditorium in einer Fragerunde Rede und Antwort stehen.
Place: Humboldt-Universität zu Berlin - Institut für Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin - In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage, Poolraum rechts hinter der Glastür). Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits: - Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte, Grundlagen) ... theoretisch
- Vorführung der praktischen Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewertung ergibt sich auch aus dem rhetorischen Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die stellvertretend für alle anwesenden Studenten eine Gewichtung der vorgetragenen Leistung erstellen. Siehe dazu: Bewertungskriterien-Seminarvortrag.pdf
Prerequisites: - Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System- und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich und Dr. Müller ist eine gute Voraussetzung.
Wiki: Erste Seminar-Woche | | Zeit/Tag | Montag
(20.9.) | Dienstag
(21.9.) | Mittwoch
(22.9.) | Donnerstag (23.9.) | Freitag
(24.9.) | Vormittag
(9:00-12:00) | Themenvergabe,
Setup | Labor | Labor | Labor | Labor | Mittag
(12:00-13:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag
(13:00-16:00) | Setup,
Labor | Labor | Diskussion R.3'201 13:00 | Labor | Labor | Zweite Seminar-Woche | | Zeit/Tag | Montag
(27.9.) | Dienstag
(28.9.) | Mittwoch
(29.9.) | Donnerstag
(30.9.) | Freitag
(1.10.) | Vormittag
(9:00-12:00) | Labor | Labor | Labor | Labor | Vortrag | Mittag
(12:30-14:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag
(13:00-16:00) | Labor | Meeting 13:00 | Labor | Labor | Vortrag |
Vorträge
Freitag 01.10. 2010 10:00-14:00 Uhr Raum 3'328 | 10:00-10:45 | D. Sander, P. Rezmer | nPA: AusweisApp | [pdf] | | 10:45:11:30 | M. Gehring, T. Stracke, J. Birkholz | nPA: Fuzzing AusweisAPP | [pdf] | | | | Mittagspause | | | 12:15-13:00 | M. Grunewald | nPA: eSIGN-Funktion | [pdf] | | 13:00-13:45 | C. Krüger | Active Directory | [pdf][pptx] | | 13:45-14:00 | Dr. Wolf Müller | Feedback, Ausblick | |
Alle Teilnehmer sind aufgefordert mit Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben. Syllabus (Themenvorschläge):  In diesem Jahr können wir besonders interessante Themen rund um den neuen elektronischen Personalausweis (nPA) anbieten, der ab dem 1. November eingeführt wird. So haben wir einen relativ großen Satz von Testausweisen, Lesegeräten bis hin zu einem Testgerät mit Komfortlesereigenschaften, sowie Zugriff auf relevante offizielle Software (AusweisAPP, Treiber für Lesegeräte) und auch hier entwickelte Software (VSmartcard, OpenPACE).
Aber auch klassische Themen sind dabei.
- nPA: AusweisApp
Untersuchen Sie, welche Kommunikation gemäß der eCard-API der Bürgerclient mit dem Dienstanbieter (TLS/PSK, PAOS) führt, welche Daten werden an den nPA (zum Abhören der AusweisApp-Smartcard-Schnittstelle den ccid-emulator aus unserem Projekt vsmartcard http://sourceforge.net/projects/vsmartcard/ ) übermittelt. Was könnte ein Angreifer lernen, welche Angriffe sind denkbar (abhängig vom verwendeten Lesegerät). - nPA: eSIGN-Funktion
Untersuchen Sie die Funktion des nPA zur Erstellung einer QES. Welcher rechtlichen Rahmenbedingungen gibt es? Wie kann ein Zertifikat für die QES beantragt werden? Welche kritischen Punkte sehen Sie? - nPA: eID-Funktion
Testen Sie, ob ein entfernter Zugriff auf den elektronischen Personalausweis möglich ist (Wormhole attack), welche Bausteine benötigen Sie? (Hardware Omnikey 6321, TouchaTag, ..?) - nPA: Fuzzing AusweisAPP
Fuzzing hat sich in den letzten Jahren zu einer der populärsten Testmethoden zum Auffinden von Schwachstellen in Software entwickelt. Dabei werden automatisiert ungültige, (semi-)zufällige Eingaben an das
zu testende Programm übergeben und die Reaktion des Programms ausgewertet. Auch im Bereich der Smartcards wurde das Fuzzing bereits erfolgreich eingesetzt (siehe http://www.heise.de/security/meldung/Vista-mit-Smartcard-gehackt-190862.html). Im Rahmen dieses Projektes soll ein Testaufbau zum Fuzzing der AusweisApp (der Anwendungssoftware zum Zugriff auf den neuen Personalausweis) entwickelt werden. Dazu gilt es zum einen, sich in die Methodik und die existierenden Werkzeuge und Frameworks einzuarbeiten, zum anderen die Besonderheiten des Prüfgegenstandes zu erkennen und die gängigen Verfahren daraufhin anzupassen. - Migration vo Nagios2 --> Nagios3
Nagios ist ein weitverbreitetes Framework zur Überwachung von Komponenten und bereitgestellten Diensten. Derzeit ist die Version 2 in unserem Institut im Einsatz. Untersuchen Sie die Änderungen in Version 3 und entwickeln Sie einen Pfad für dir Migration. http://www.nagios.org/
(Das Thema wird zusammen mit Dr. Bell bearbeitet, es gibt also kompetente Unterstützung) - Migration auf IPv6
IPv6 klopft ja schon lange an die Tür, aber wer verwendet es bisher schon? Wie kann eine Migration erfolgen?
Setzen Sie ein Testsystem auf und lokalisieren sie Stolperstellen. - DNSSec
Testen der Integration von DNSSec, wie erstellt man korrekt eine Zone? Wie erfolgt eine Migration? - Authentisierung mit Clientzertifikaten
Häufig werden heutzutage (auch an unserem Institut) Passwörter zur Authentisierung zu (Web)Diensten verwendet. Da diese aber an Prominenter Stelle stehen, können diese z.B. mittels Wörterbuchattacken angegriffen werden. Abhilfe könnten hier Clientzertifikate schaffen. Entwerfen Sie Lösungen hierzu. Ausgangspunkte können stunnel und openCA sein. - Smartcard Login mit OpenPGP Card
http://www.g10code.com/p-poldi.html
Lösung für single user Umgebung:
http://wiki.ubuntuusers.de/Authentifizierung_OpenPGP_SmartCard
LDAP Lösung für multi User Szenario scheint möglich zu sein (siehe doc in SVN) wenn man X509 Zertifikate nutzt. Integration in das Virtual Smartcard Konzept (http://sourceforge.net/projects/vsmartcard/) wäre denkbar. - ActiveDirectory
Integration der Accounts an der HU: Active Directory User Manager (ADUM). Wie können Passwort-Hashes zwischen verschiedenen trusted Domains ausgetauscht oder syncronisiert werden? - Windows / UNIX Fileserver auf Basis von OpenSolaris und ZFS
Nach wie vor trifft man häufig auf gemischte IT-Umgebungen aus Windows-, UNIX/Linux-basierten Systemen. Ziel ist es, einen Fileserver zu bekommen, der diese gemischten Umgebungen besonders gut unterstützt. Dazu zählen unter anderem:
- NFS, SMB/CIFS
- UNIX: permissions, user, groups
- Windows: Streams, ACLs
- Upper/lower case ...
Qualitätskreterien der Lösung: Kompatibilität, Performance
Startpunkt:http://www.heise.de/open/artikel/print/119995,
http://dlc.sun.com/osol/docs/content/SSMBAG/smboverview.html - Weitere Themenvorschläge sind willkommen.
Suggested Readings (Books): | |
