Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
| netsecurity [2009/10/08 10:27] – bush | netsecurity [2009/10/08 10:31] – bush | ||
|---|---|---|---|
| Zeile 3: | Zeile 3: | ||
| Es ist allgemeine Erfahrung, daß es immer wieder zu unerlaubten Zugriffsversuchen auf Rechner kommt, die am Internet angeschlossen sind. Das gilt natürlich auch für die PCs im Universitätsbereich. Die Schäden, die Ihre PCs dabei erleiden können sind | Es ist allgemeine Erfahrung, daß es immer wieder zu unerlaubten Zugriffsversuchen auf Rechner kommt, die am Internet angeschlossen sind. Das gilt natürlich auch für die PCs im Universitätsbereich. Die Schäden, die Ihre PCs dabei erleiden können sind | ||
| - | | + | |
| - | * Virusinfektionen | + | * Virusinfektionen |
| - | * gefälschte Mails | + | * gefälschte Mails |
| - | * Mißbrauch Ihrer Daten | + | * Mißbrauch Ihrer Daten |
| Zwei konzeptionelle Mängel im Internet führen zu diesen Sicherheitsproblemen: | Zwei konzeptionelle Mängel im Internet führen zu diesen Sicherheitsproblemen: | ||
| - | | + | - Die unverschlüsselte Übertragung der Daten. |
| - | 2. Die fehlende Sicherung von Authentizität und Integrität der Daten. | + | |
| Ein großer Teil der von den Server-Administratoren des Rechenzentrums geleisteten Arbeit wird in die Verhinderung solcher Angriffe bzw. deren Folgen investiert. | Ein großer Teil der von den Server-Administratoren des Rechenzentrums geleisteten Arbeit wird in die Verhinderung solcher Angriffe bzw. deren Folgen investiert. | ||
| Zeile 46: | Zeile 48: | ||
| <note important> | <note important> | ||
| + | |||
| + | |||
| + | ===== Secure Shell (SSH) ===== | ||
| + | |||
| + | Secure Shell (SSH) ist ein Verfahren, das die Dialogprotokolle Telnet, rsh (remote shell), rlogin (remote login) und rcp (remote copy) frei von den oben genannten Mängeln ersetzen soll. Dabei wird in der Einleitungsphase das sog. Public Key Verfahren angewendet, bei dem ein öffentlicher Schlüssel zum Verschlüsseln und ein dazugehöriger geheimer (privater) Schlüssel zum Entschlüsseln verwendet wird. Während dieser sehr gut abgesicherten Phase handeln die Kommunikationspartner einen gemeinsamen (symmetrischen) Schlüssel für die spätere Datenübertragungsphase aus, der nur für diese Sitzung oder einen Teil davon gilt. | ||
| + | |||
| + | Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wird im folgenden Abschnitt zum Download angeboten. Daneben finden Sie dort auch einen Verweis auf die Installationsanleitung. | ||
| + | |||
| + | Die Anmeldung geht prinzipiell in folgenden Schritten vonstatten: | ||
| + | |||
| + | 1. Das Client-Programm baut die TCP/ | ||
| + | 2. Aushandeln der Protokoll-Versionen. | ||
| + | 3. Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren. | ||
| + | 4. Der Client verifiziert den Public Host Key des Servers. | ||
| + | 5. Der Client generiert zufällig einen Session-Key, | ||
| + | Ab jetzt läuft die Kommunikation verschlüsselt ab. | ||
| + | 6. Der Client authentifiziert sich (s. nächste Liste!). | ||
| + | 7. Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird.. | ||
| + | |||
| + | Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: | ||
| + | |||
| + | * Authentifizierung über das Kennwort (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt. | ||
| + | Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen. | ||
| + | |||
| + | * Authentifizierung über RSA-Schlüssel. Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. | ||
| + | Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. | ||
| + | |||
| + | Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das Port Forwarding. | ||
| + | |||
| + | Man versteht darunter die Fähigkeit der SSH-Verbindung, | ||
| + | Diesen Vorteil erkauft man sich allerdings mit einer umständlicheren Handhabung: Bevor Sie die unverschlüsselte Verbindung eröffnen können, müssen Sie zuvor natürlich eine SSH-Verbindung zum entsprechenden Rechner aufgebaut haben. Außerdem müssen Sie Änderungen an der Konfiguration der nicht verschlüsselnden Clients vornehmen. | ||
| + | Bei FTP kommt noch hinzu, daß der Client in der Lage sein muß, die Sitzung im passiven Modus (PASV-Mode) zu betreiben. | ||
| + | |||
| + | Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente Secure FTP die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, | ||
| + | |||
| + | |||
| {{tag> | {{tag> | ||
