Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
netsecurity [2009/10/08 10:36] bushnetsecurity [2009/10/08 10:50] bush
Zeile 23: Zeile 23:
 Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre **Zugangsdaten geheimhalten**. Ihr personengebundenes (!) Passwort sollte dabei **folgende Kriterien** erfüllen: Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre **Zugangsdaten geheimhalten**. Ihr personengebundenes (!) Passwort sollte dabei **folgende Kriterien** erfüllen:
  
- * Verwenden Sie mindestens 8 Zeichen +  * Verwenden Sie mindestens 8 Zeichen 
- * Setzen Sie keine Worte ein, die in Lexika enthalten sind oder mit Ihrem persönlichen Umfeld zu tun haben (Namen von Freunden oder Verwandten, Geburtsdaten usw.) +  * Setzen Sie keine Worte ein, die in Lexika enthalten sind oder mit Ihrem persönlichen Umfeld zu tun haben (Namen von Freunden oder Verwandten, Geburtsdaten usw.) 
- * Fügen Sie Sonderzeichen oder Ziffern ein. Manche Programme wehren sich allerdings z.B. gegen Fragezeichen; das Paragraphenzeichen sollten Sie auf dem PC meiden. +  * Fügen Sie Sonderzeichen oder Ziffern ein. Manche Programme wehren sich allerdings z.B. gegen Fragezeichen; das Paragraphenzeichen sollten Sie auf dem PC meiden. 
- * Ändern Sie Ihr Passwort mindestens nach 6 Monaten. +  * Ändern Sie Ihr Passwort mindestens nach 6 Monaten. 
- * Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. +  * Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. 
  
-Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die beim Ändern über myAccount bekanntgegeben werden.+Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die Ihnen in myAccount auf den Passwort-Seiten bekanntgegeben werden.
  
 Vergessen Sie nie, sich auch wieder abzumelden, wenn Sie an einem öffentlich zugänglichen Terminal eine Sitzung beenden, damit nicht nachfolgende Nutzer Ihren Zugang offen vorfinden. Besser noch, Sie schließen zusätzlich die verwendete Netzwerk-Anwendung (dies gilt besonders für die Web-Browser), damit nachfolgende Nutzer nicht durch einfaches Rückwärts-Navigieren Seiten angezeigt bekommen, die Sie zuvor besucht haben. Vergessen Sie nie, sich auch wieder abzumelden, wenn Sie an einem öffentlich zugänglichen Terminal eine Sitzung beenden, damit nicht nachfolgende Nutzer Ihren Zugang offen vorfinden. Besser noch, Sie schließen zusätzlich die verwendete Netzwerk-Anwendung (dies gilt besonders für die Web-Browser), damit nachfolgende Nutzer nicht durch einfaches Rückwärts-Navigieren Seiten angezeigt bekommen, die Sie zuvor besucht haben.
Zeile 52: Zeile 52:
 ===== Secure Shell (SSH) ===== ===== Secure Shell (SSH) =====
  
-Secure Shell (SSH) ist ein Verfahren, das die Dialogprotokolle Telnet, rsh (remote shell), rlogin (remote login) und rcp (remote copy) frei von den oben genannten Mängeln ersetzen soll. Dabei wird in der Einleitungsphase das sog. Public Key Verfahren angewendet, bei dem ein öffentlicher Schlüssel zum Verschlüsseln und ein dazugehöriger geheimer (privater) Schlüssel zum Entschlüsseln verwendet wird. Während dieser sehr gut abgesicherten Phase handeln die Kommunikationspartner einen gemeinsamen (symmetrischen) Schlüssel für die spätere Datenübertragungsphase aus, der nur für diese Sitzung oder einen Teil davon gilt.+**Secure Shell** (SSH) ist ein Verfahren, das die Dialogprotokolle Telnet, rsh (remote shell), rlogin (remote login) und rcp (remote copy) frei von den oben genannten Mängeln ersetzen soll. Dabei wird in der Einleitungsphase das sog. Public Key Verfahren angewendet, bei dem ein öffentlicher Schlüssel zum Verschlüsseln und ein dazugehöriger geheimer (privater) Schlüssel zum Entschlüsseln verwendet wird. Während dieser sehr gut abgesicherten Phase handeln die Kommunikationspartner einen gemeinsamen (symmetrischen) Schlüssel für die spätere Datenübertragungsphase aus, der nur für diese Sitzung oder einen Teil davon gilt.
  
 Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wird im folgenden Abschnitt zum Download angeboten. Daneben finden Sie dort auch einen Verweis auf die Installationsanleitung. Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wird im folgenden Abschnitt zum Download angeboten. Daneben finden Sie dort auch einen Verweis auf die Installationsanleitung.
Zeile 62: Zeile 62:
   - Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren.   - Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren.
   - Der Client verifiziert den Public Host Key des Servers.   - Der Client verifiziert den Public Host Key des Servers.
-  - Der Client generiert zufällig einen Session-Key, verschlüsselt ihn mit den beiden RSA-Keys und sendet ihn zusammen mit dem ausgewählten symmetrischen Verfahren an den Server. Ab jetzt läuft die Kommunikation verschlüsselt ab.+  - Der Client generiert zufällig einen Session-Key, verschlüsselt ihn mit den beiden RSA-Keys und sendet ihn zusammen mit dem ausgewählten symmetrischen Verfahren an den Server. **Ab jetzt läuft die Kommunikation verschlüsselt ab.**
   - Der Client authentifiziert sich (s. nächste Liste!).   - Der Client authentifiziert sich (s. nächste Liste!).
   - Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird.   - Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird.
Zeile 69: Zeile 69:
 Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind:
  
-  * **Authentifizierung über das Kennwort** (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt. +  * **Authentifizierung über das Kennwort** (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt. Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen. 
-      Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen. +  * **Authentifizierung über RSA-Schlüssel.** Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. 
-  * **Authentifizierung über RSA-Schlüssel.** Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. +
-      Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. +
  
-Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das Port Forwarding.+Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das **Port Forwarding**.
  
 Man versteht darunter die Fähigkeit der SSH-Verbindung, die Daten anderer Internet-Dienste wie FTP, X11, POP oder HTTP durch die verschlüsselte Strecke zu "tunneln". Dadurch profitieren diese unsicheren Protokolle vom Verschlüsselungsmechanismus der SSH-Verbindung und können auch dann weiter verwendet werden, wenn die unverschlüsselten Zugänge geschlossen sind. Man versteht darunter die Fähigkeit der SSH-Verbindung, die Daten anderer Internet-Dienste wie FTP, X11, POP oder HTTP durch die verschlüsselte Strecke zu "tunneln". Dadurch profitieren diese unsicheren Protokolle vom Verschlüsselungsmechanismus der SSH-Verbindung und können auch dann weiter verwendet werden, wenn die unverschlüsselten Zugänge geschlossen sind.
 Diesen Vorteil erkauft man sich allerdings mit einer umständlicheren Handhabung: Bevor Sie die unverschlüsselte Verbindung eröffnen können, müssen Sie zuvor natürlich eine SSH-Verbindung zum entsprechenden Rechner aufgebaut haben. Außerdem müssen Sie Änderungen an der Konfiguration der nicht verschlüsselnden Clients vornehmen. Diesen Vorteil erkauft man sich allerdings mit einer umständlicheren Handhabung: Bevor Sie die unverschlüsselte Verbindung eröffnen können, müssen Sie zuvor natürlich eine SSH-Verbindung zum entsprechenden Rechner aufgebaut haben. Außerdem müssen Sie Änderungen an der Konfiguration der nicht verschlüsselnden Clients vornehmen.
-Bei FTP kommt noch hinzu, daß der Client in der Lage sein muß, die Sitzung im passiven Modus (PASV-Mode) zu betreiben.+Bei **FTP** kommt noch hinzu, daß der Client in der Lage sein muß, die Sitzung **im passiven Modus** (PASV-Mode) zu betreiben. 
 + 
 +Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente **Secure FTP** die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, äußerst flexibles Datei-Explorer-Fenster die in **SSL Version 2** enthaltene Dateiübertragungsmethode zur Verfügung gestellt. 
 + 
 + 
 + 
 + 
 +===== Secure Socket Layer (SSL) ===== 
 + 
 +**Secure Socket Layer** ist ein von Netscape entwickeltes Verfahren, um Daten über verschlüsselte Strecken zu transportieren. Dieser Standard erfordert kein benutzerseitiges Kennwort. Lediglich der Server identifiziert sich dem Benutzer gegenüber mit Hilfe eines [[zertifikate|digitalen Zertifikates]]. Sobald der Benutzer das Zertifikat des Servers akzeptiert, wird eine verschlüsselte Verbindung aufgebaut. 
 + 
 +Alle modernen Webclients verwenden heutzutage die Verschlüsselungsmethode **SSL** verwenden und können im obigen Sinne als sicher eingestuft werden. 
 + 
 +Das Produkt **[[http://www.rz.uni-freiburg.de/pc/app/stunnel/index.php|Stunnel]]** (SSL-Tunnel) für 32-bit Windows (95/98/XP) erlaubt die Errichtung von port forwarding - Strecken mit Hilfe des SSL-Verfahrens. Wenn Sie z.B. nicht auf ein Kommunikationsprogramm verzichten können oder wollen, das von sich aus keine verschlüsselte Verbindung unterstützt, ist der Einsatz von Stunnel die Methode der Wahl, sich eine solche zu verschaffen.  
 + 
 + 
 +===== Download ===== 
 + 
 + 
 +===== Verschlüsselung sensibler Daten ===== 
 + 
 + 
 + 
  
-Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente Secure FTP die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, äußerst flexibles Datei-Explorer-Fenster die in SSL Version 2 enthaltene Dateiübertragungsmethode zur Verfügung gestellt. 
  
  

Zuletzt angesehen:

QR-Code
QR-Code Sicherheit im Netz (erstellt für aktuelle Seite)