Synopsis:Um ein IT-System vor einem Angreifer schützen zu können, reicht die Kenntnis der theoretischen Grundlagen der einzelnen IT-Sicherheitskomponenten (Firewalls, Kryptographie, Passwort, etc.) allein nicht aus. Es ist vielmehr notwendig, dass das Zusammenspiel der einzelnen Sicherheitskomponenten untereinander erkannt und verstanden wird. Die Sicherheit einer Komponente hängt meist direkt von der Verwendung bzw. Sicherheit einer oder mehrer anderer Komponenten und nicht zuletzt auch von der Erfahrung und dem Verständnis des Benutzers ab. So nützt beispielsweise eine verschlüsselte Kommunikationsverbindung zwischen zwei Rechnern nur dann etwas, wenn die Endsysteme selbst gegen Missbrauch oder Manipulation geschützt sind und eine Authentifizierung untereinander möglich ist. Diese Abhängigkeiten sind komplex, vielschichtig und abstrakt kaum erfassbar. Nach unseren Auffassungen lassen sich die Zusammenhänge einfacher verstehen und erfassen, wenn sie selbst innerhalb eines IT-Systems beobachtet und ausprobiert werden können. Um ein IT-System "verteidigen" zu können, muss der Verteidiger in der Lage sein, das IT-System aus der Sicht des Angreifers zu sehen und zu verstehen. Ziel ist es deshalb den Teilnehmern den Begriff IT-Security praxisnah und möglichst vielseitig zu erläutern und die Teilnehmer sowohl in die Rolle des Angreifers, als auch in die Rolle eines Verteidigers zu versetzen, um die jeweiligen Verhaltensmuster und Möglichkeiten zu vermitteln.
Program: Es gibt eine bestimmte Auswahl an Themen, die auf verschiedene IT-Security-Bereiche abgestimmt sind. Die Teilnehmer werden in einem kurzen Vorbereitungstreffen, ca. vier Wochen vor dem Beginn des Seminars, ihre Themen wählen und dementsprechend Arbeitsgruppen bilden (die Arbeitsgruppen bearbeiten ihr Thema dann in den zwei Seminarwochen).
Die teilnehmenden Studenten müssen zum Erhalt eines Scheines ihr Thema in der zweiten Woche vormittags in einer Präsentation vorstellen und erörtern, zusätzlich wird eine kurze Themenzusammenfassung in Form eines Handouts in englischer Sprache erwartet. Das Handout soll eine Checkliste enthalten, die auch fachlich unerfahrenen Personen ein schnelles und strukturiertes Vorgehen ermöglicht. Bei der Präsentation muss jedes Teammitglied einen Beitrag leisten. Die Präsentation muss den anwesenden Teilnehmern den Nutzen (Anwendungsgebiet), die Theorie und die allgemeinen Funktionsabläufe des bearbeiteten Themas verdeutlichen. Anschließend muss das jeweilige Team dem anwesenden Auditorium in einer Fragerunde Rede und Antwort stehen.
Place: Humboldt-Universität zu Berlin - Institut für Mathematik - J.v.Neumann-Haus (Rudower Chaussee 25) - 12489 Berlin - In den Poolräumen der Informatik (Treffpunkt: Haus 3, 4. Etage, Poolraum rechts hinter der Glastür). Pro Pool-Raum 4-6 Teilnehmer. Es stehen zwei Pool-Räume zur Verfügung, d.h. es können 8-12 Personen teilnehmen.
Credits: - Seminar-Schein
- Bedingungen für den Schein sind:
- Präsentation des Themas (Konzepte, Grundlagen) ... theoretisch
- Vorführung der praktischen Umsetzung/Anwendung in einer Demonstration ... praktisch
- Die Bewrtung ergibt sich auch aus dem rhetorischen Teil; vor jeder Präsentation werden ZWEI Zuhörer auserkoren, die stellvertretend für alle anwesenden Studenten eine Gewichtung der vorgetragenen Leistung erstellen. Siehe dazu: Bewertungskriterien-Seminarvortrag.pdf
Prerequisites: - Grundlagen der Netzwerktechnik
- Kenntnisse in der Systemadministration
- Grundkenntnisse in der Kryptologie
Der Workshop richtet sich an (werdende) System- und Netzwerkadminstratoren. Er ist stark in Richtung Sicherheit fokussiert. Der Besuch der Vorlesungen von Dr. Bell, Prof. Redlich und Dr. Müller ist eine gute Voraussetzung.
Wiki: Assignments (Themenvergabe):
Setup / Themenvergabe
Freitag 15.9. 10:00 Uhr JvN-Haus Raum 3.328 | | | | | | Freitag (15.9.) | Vormittag (-12:00) | | | | | Setup | Mittag (12:00-13:00) | | | | | Mahlzeit! | Nachmittag (13:00-16:00) | | | | | Themen- vergabe | Erste Seminar-Woche | Zeit/Tag | Montag (18.9.) | Dienstag (19.9.) | Mittwoch (10.9.) | Donnerstag (21.9.) | Freitag (22.9.) | Vormittag (9:00-12:00) | Setup | Labor | Labor | Labor | Labor | Mittag (12:00-13:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Mahlzeit! | Nachmittag (13:00-16:00) | Labor | Labor | Labor | Labor | Labor | Zweite Seminar-Woche | Zeit/Tag | Montag (25.9.) | Dienstag (26.9.) | Mittwoch (27.9.) | Donnerstag (28.9.) | Freitag (29.9.) | Vormittag Vortrag : 09:00-09:45 Demo: 09:50-10:20
Vortrag : 11:00-11:45 Demo: 11:50-12:20 | Labor | Labor | Vorbereitung Vortrag & Demo | OpenVPN (Morgner,Weise)
Smartcard (Bechstein,Mauter) [ pdf ] | WEP (Grauel,Naber) [pdf]
NX Bit (Kunze,Otto) | Mittag (12:30-14:00) | Mahlzeit! | Mahlzeit! | Mahlzeit! | - | - | Nachmittag Vortrag: 13:30-14:15 Demo: 14:50-12:20 | Labor | Labor | Vorbereitung Vortrag & Demo | Reverse Proxy (Hilbrich) [ pdf ] | operativ |
Die Bearbeitung eines Themas umfasst den Wiki-Eintrag, sowie eine Präsentation vor den Teilnehmern. Die Präsentation Ihres Themas beinhaltet einen Vortrag (ca. 45 min, mit Disskussion) sowie eine Demonstration (30 min) im Pool. In dem Vortrag sollten eine Motivation (Welches Problem wird gelöst? Warum ist das wichtig?), eine kurze Einführung in das Thema und die Darstellung der gefundenen Lösung, sowie die Knackpunkte sowie der Erkenntnisgewinn, gut verständlich dargestellt werden. Syllabus (Themenvorschläge): Alle Teilnehmer sind aufgefordert mit Themenvorschlägen zu glänzen. Hier soll die Möglichkeit gegeben werden, schon im Vorfeld des Workshops Themenvorschläge einzureichen und so einen Überblick über die mögliche Vielfalt zu geben.
1. Biometrie-Szenario Als Ersatz für das herkömmliche Passwort findet Biometrie immer häufiger Einsatz in Sicherheitsgebieten. Unterschiedlichste Verfahren werden sowohl am heimischen Rechner als auch am zum Beispiel zukünftig am Grenzübergang eingesetzt und nicht selten beteuern die Hersteller, ihr System sei absolut sicher und unüberwindbar. Was steckt dahinter? Wie fehleranfällig sind die Systeme? Welche datenschutzrechtlichen Regelungen gilt es zu beachten? 2. Smartcard basiertes login unter Linux + Windows Die benutzerseitige Authentifizierung gegenüber einem IT-System erfolgt oft über Passworte. Dieses Verfahren weist jedoch Schwachstellen auf (Bruteforce, Wörterbuchangriffe, schwache Passworte). Wünschenswert ist ein stärkeres Verfahren. Programme: openSC, pam Erwartungen: Erstellen von Nutzerzertifikat, Initialisierung der Smartcard, Login auf Linuxmaschine mittels RSA Key auf Smartcard + PIN Beratung durch Michael Bell, CMS, HUB 3. Smartcard basierte Authentifizierung gegenüber Dritten Die benutzerseitige Authentifizierung gegenüber anderen Diensten erfolgt oft über Passworte. Dieses Verfahren weist jedoch Schwachstellen auf (Bruteforce, Wörterbuchangriffe, schwache Passworte). Wünschenswert ist ein stärkeres Verfahren. Programme: openSC, apache2, (open)vpn Erwartungen: Erstellen von Nutzerzertifikat, Initialisierung der Smartcard, Authentifizierung gegenüber Webserver (https) und gegenüber VPN-Gateway mittels RSA Key auf Smartcard + PIN
4. Secure Authentication Scenario In einer größeren Organisation wird zur zentralen Authentifizierung NIS verwendet. Leider ist es somit möglich, mit 'ypcat passwd' eine Liste der Nutzer sowie deren mit DES- oder MD5-crypt verschlüsseltes Passwort zu erhalten. Zeigen Sie sicherere Alternativen auf. Skizzieren Sie einen Migrationsweg von NIS -> LDAP! Programme: LDAP 5. VPN Scenario Eine Organisation mit weltweit verteilten Außenstellen (z.B. in Berlin, Washington, Tokio) und Außendienstmitarbeitern wünscht, dass diese auf sichere Weise über das Internet auf Ressourcen im Firmen-Netzwerk zugreifen können. Programme: openvpn, tinc, vtun, (IPSec) 6. Wireless Risk Potential Scenario Neue Funkbasierte Protokolle (zB. 802.11x, IrDA, Bluetooth, UMTS) bieten viele neue Möglichkeiten ... und neue Gefahrenpotentiale, da nun ein möglicher Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren Sie diese neue mögliche Gefahrenquelle und versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential zu erstellen und wie kann die Vorteile dieser neuen Technologie maximieren und gleichzeitig das Risiko minimieren. Z.B. http://tapir.cs.ucl.ac.uk/bittau-wep.pdf 7. Wireless (RFID) Authentification Risk Scenario Funkbasierte Systeme zur Authentifizierung (RFID) finden weite Verbreitung und bieten viele Angriffsmöglichkeiten, da ein möglicher Eindringling keinen physikalischen Zugang mehr benötigt. Analysieren Sie die möglichen Gefahrenquellen und versuchen Sie eine realistische Bewertung zu dem Gefahrenpotential zu erstellen. 8. Firewall+Proxy Scenario Eine Organisation mit 50 Rechnern (auf denen verschiedene Betriebssysteme verwendet werden) ist über eine Standleitung mit dem Internet verbunden. Jeder Rechner hat dabei eine weltweit eindeutige IP-Adresse. Entwerfen Sie eine Lösung, welche die Firma möglichst weitgehend vor Angriffen aus dem Internet schützt, ohne jedoch großen Umstellungsaufwand zu verursachen. Nur www, ftp und e-mail (für Kundenkontakte) werden wirklich dringend benötigt. Programme: iptables, squid Erwartungen: transparentes Proxying, restriktives Firewalling, Mail-Forwarding, DMZ (Demilitarised Zone)
9. Intrusion Detection Scenario (Erkennung von Einbrüchen) Eine Organisation will möglichst schnell, zuverlässig und umfassend von Einbrüchen (und eventuellen Versuchen) auf kritischen Rechnern (z.B. www-Server) erfahren, um entsprechend reagieren zu können. Bearbeitung durch 2 Teilgruppen möglich. 1.) integrity check, logfile analysis 2.) NIDS, honeypot Programme: 1.) AIDE/tripwire, rpm --verify, debsums, chkrootkit 2.) snort, portscand, honeyd
10. Testing of Network and System Security Scenario Sie arbeiten für eine Sicherheitsfirma mit Spezialisierung für Netzwerkinfrastrukturen. Sie haben von einem Kunden den Auftrag erhalten sein Netzwerk und seine Systeme auf Zugriffssicherheit zu überprüfen. Probieren sie alles um über Netzwerk Zugriff auf eines oder alle der Systeme zu erhalten. Zerstören Sie dabei auf keinen Fall sensitive Datenbestände. Höchste Feinfühligkeit ist gefragt.
11. eMail Server Scenario Sie beaufsichtigen in einem mittelständigen Unternehmen einen eMail-Server mit einem hohen eMail-Aufkommen. Das hohe eMail-Aufkommen besteht hauptsächlich aus Spam. Da sie nicht einfach ihre virenverseuchten Kunden blockieren können, verlangt ihr Abteilungsleiter einen Lösungsvorschlag gegen Spam und außerdem ein Konzept um SMTP über SSL zu realisieren. Aufgrund dieser neuen Sicherheitsmassnahmen wird auch erwogen PKI zu implementieren. Entwerfen sie ein Konzept, sie haben 1-2 Wochen.
12. Zentrales Verschlüsselungssystem Scenario Möglichkeiten und Lösungen in kleinen Unternehmen automatisch (über einen zentralen Server) eMails zu signieren und/oder zu verschlüsseln + Mails automatisch ENTSCHLÜSSELN damit diese nicht im Mailprogramm verschlüsselt vorliegen und in 10 Jahren unlesbar sind.
13. Single Singn On Scenario Shibboleth ist eine auf dem SAML-Standard basierende Open-Source-Middleware, die Single-Sign-On (SSO) für Webseiten/Dienste innerhalb einer Organisation, sowie auch organisationsübergreifend zur Verfügung stellt. Es ermöglicht einem Dienst, Authentisierungsentscheidungen unter der Wahrung der Privatsphäre zu treffen. http://shibboleth.internet2.edu/ 14. Bufferoverflows auf CPUs mit NX Bit Wie kann trotz bei neuren CPUs vorhandenen NX Bit ein Bufferoverflow ausgenutzte werden. Demonstartion + Kit, Dokumentation der Funktion.
Suggested Readings (Books): | |