Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
netsecurity [2009/10/08 10:30] – bush | netsecurity [2009/10/08 10:36] – bush | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Es ist allgemeine Erfahrung, daß es immer wieder zu unerlaubten Zugriffsversuchen auf Rechner kommt, die am Internet angeschlossen sind. Das gilt natürlich auch für die PCs im Universitätsbereich. Die Schäden, die Ihre PCs dabei erleiden können sind | Es ist allgemeine Erfahrung, daß es immer wieder zu unerlaubten Zugriffsversuchen auf Rechner kommt, die am Internet angeschlossen sind. Das gilt natürlich auch für die PCs im Universitätsbereich. Die Schäden, die Ihre PCs dabei erleiden können sind | ||
- | * gelöschte oder veränderte Dateien | + | |
- | * Virusinfektionen | + | * Virusinfektionen |
- | * gefälschte Mails | + | * gefälschte Mails |
- | * Mißbrauch Ihrer Daten | + | * Mißbrauch Ihrer Daten |
Zwei konzeptionelle Mängel im Internet führen zu diesen Sicherheitsproblemen: | Zwei konzeptionelle Mängel im Internet führen zu diesen Sicherheitsproblemen: | ||
- | - Die unverschlüsselte Übertragung der Daten. | + | |
- | - Die fehlende Sicherung von Authentizität und Integrität der Daten. | + | - Die fehlende Sicherung von Authentizität und Integrität der Daten. |
Zeile 20: | Zeile 21: | ||
===== Allgemeines ===== | ===== Allgemeines ===== | ||
- | Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre Zugangsdaten geheimhalten. Ihr personengebundenes (!) Passwort sollte dabei folgende Kriterien erfüllen: | + | Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre **Zugangsdaten geheimhalten**. Ihr personengebundenes (!) Passwort sollte dabei **folgende Kriterien** erfüllen: |
- | | + | * Verwenden Sie mindestens 8 Zeichen |
- | * Setzen Sie keine Worte ein, die in Lexika enthalten sind oder mit Ihrem persönlichen Umfeld zu tun haben (Namen von Freunden oder Verwandten, Geburtsdaten usw.) | + | * Setzen Sie keine Worte ein, die in Lexika enthalten sind oder mit Ihrem persönlichen Umfeld zu tun haben (Namen von Freunden oder Verwandten, Geburtsdaten usw.) |
- | * Fügen Sie Sonderzeichen oder Ziffern ein. Manche Programme wehren sich allerdings z.B. gegen Fragezeichen; | + | * Fügen Sie Sonderzeichen oder Ziffern ein. Manche Programme wehren sich allerdings z.B. gegen Fragezeichen; |
- | * Ändern Sie Ihr Passwort mindestens nach 6 Monaten. | + | * Ändern Sie Ihr Passwort mindestens nach 6 Monaten. |
- | * Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. | + | * Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. |
Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die beim Ändern über myAccount bekanntgegeben werden. | Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die beim Ändern über myAccount bekanntgegeben werden. | ||
Zeile 57: | Zeile 58: | ||
Die Anmeldung geht prinzipiell in folgenden Schritten vonstatten: | Die Anmeldung geht prinzipiell in folgenden Schritten vonstatten: | ||
- | | + | - Das Client-Programm baut die TCP/ |
- | 2. Aushandeln der Protokoll-Versionen. | + | |
- | 3. Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren. | + | |
- | 4. Der Client verifiziert den Public Host Key des Servers. | + | |
- | 5. Der Client generiert zufällig einen Session-Key, | + | |
- | | + | |
- | 6. Der Client authentifiziert sich (s. nächste Liste!). | + | |
- | 7. Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird.. | + | |
Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: | Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: | ||
- | | + | * **Authentifizierung über das Kennwort** (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt. |
Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen. | Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen. | ||
- | + | * **Authentifizierung über RSA-Schlüssel.** Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. | |
- | | + | |
Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. | Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. | ||