Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
netsecurity [2009/10/08 11:20] – bush | netsecurity [2013/05/31 09:08] (aktuell) – [Kommunikation] bush | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Sicherheit im Netz ====== | ====== Sicherheit im Netz ====== | ||
- | Es ist allgemeine Erfahrung, | + | Es ist allgemeine Erfahrung, |
* gelöschte oder veränderte Dateien | * gelöschte oder veränderte Dateien | ||
* Virusinfektionen | * Virusinfektionen | ||
* gefälschte Mails | * gefälschte Mails | ||
- | * Mißbrauch | + | * Missbrauch |
Zeile 18: | Zeile 18: | ||
Ein großer Teil der von den Server-Administratoren des Rechenzentrums geleisteten Arbeit wird in die Verhinderung solcher Angriffe bzw. deren Folgen investiert. | Ein großer Teil der von den Server-Administratoren des Rechenzentrums geleisteten Arbeit wird in die Verhinderung solcher Angriffe bzw. deren Folgen investiert. | ||
+ | \\ | ||
===== Allgemeines ===== | ===== Allgemeines ===== | ||
+ | |||
+ | ==== Passwörter und Login ==== | ||
Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre **Zugangsdaten geheimhalten**. Ihr personengebundenes (!) Passwort sollte dabei **folgende Kriterien** erfüllen: | Sie selbst können einen wichtigen Beitrag zur Verbesserung der Sicherheit im Internet leisten, wenn sie Ihre **Zugangsdaten geheimhalten**. Ihr personengebundenes (!) Passwort sollte dabei **folgende Kriterien** erfüllen: | ||
Zeile 29: | Zeile 31: | ||
* Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. | * Schreiben Sie Ihr Passwort niemals auf und teilen Sie es niemandem mit. | ||
- | Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die Ihnen in myAccount | + | Das Rechenzentrum gibt genaue Kriterien für die Passwörter vor, die Ihnen in [[https:// |
Vergessen Sie nie, sich auch wieder abzumelden, wenn Sie an einem öffentlich zugänglichen Terminal eine Sitzung beenden, damit nicht nachfolgende Nutzer Ihren Zugang offen vorfinden. Besser noch, Sie schließen zusätzlich die verwendete Netzwerk-Anwendung (dies gilt besonders für die Web-Browser), | Vergessen Sie nie, sich auch wieder abzumelden, wenn Sie an einem öffentlich zugänglichen Terminal eine Sitzung beenden, damit nicht nachfolgende Nutzer Ihren Zugang offen vorfinden. Besser noch, Sie schließen zusätzlich die verwendete Netzwerk-Anwendung (dies gilt besonders für die Web-Browser), | ||
- | Weiterhin haben sie die Möglichkeit, | + | |
+ | ==== Verschlüsselung und digitale Unterschrift ==== | ||
+ | |||
+ | Weiterhin haben sie die Möglichkeit, | ||
+ | |||
+ | |||
+ | ==== Schutz des eigenen PC ==== | ||
Schützen Sie Ihren PC zu Hause mit einer Firewall-Software (wird z.B. bei Windows XP, Vista oder Windows 7 mitgeliefert) gegen mögliche Eindringlinge von außen, indem Sie möglichst viele Zugänge (Ports) schließen. Ein DSL-Router/ | Schützen Sie Ihren PC zu Hause mit einer Firewall-Software (wird z.B. bei Windows XP, Vista oder Windows 7 mitgeliefert) gegen mögliche Eindringlinge von außen, indem Sie möglichst viele Zugänge (Ports) schließen. Ein DSL-Router/ | ||
+ | |||
+ | |||
+ | ==== Kommunikation ==== | ||
Die im Internet üblicherweise verwendeten Protokolle wie Telnet, Filetransfer (FTP), World Wide Web (WWW), Post Office (POP), Simple Mail Transfer (SMTP) usw. übertragen ihre Daten alle unverschlüsselt. Das gilt auch für die Loginphase der passwortgeschützten Zugänge, wie Telnet, FTP oder POP. | Die im Internet üblicherweise verwendeten Protokolle wie Telnet, Filetransfer (FTP), World Wide Web (WWW), Post Office (POP), Simple Mail Transfer (SMTP) usw. übertragen ihre Daten alle unverschlüsselt. Das gilt auch für die Loginphase der passwortgeschützten Zugänge, wie Telnet, FTP oder POP. | ||
Zeile 47: | Zeile 58: | ||
Aus diesem Grund gelten im Rechenzentrum schon seit einiger Zeit Einschränkungen bei den oben erwähnten Protokollen: | Aus diesem Grund gelten im Rechenzentrum schon seit einiger Zeit Einschränkungen bei den oben erwähnten Protokollen: | ||
- | <note important> | + | <note important> |
+ | ==== Sensible Daten ==== | ||
+ | |||
+ | Im Abschnitt " | ||
+ | die Übertragung einer E-Mail dem Transport einer Postkarte recht nahe kommt, was die Lesbarkeit für Unbefugte anbelangt, | ||
+ | sollten Sie sich vor dem Versand sensibler Daten überlegen, ob Sie Ihre Mail bzw. die Mail-Anhänge tatsächlich ohne | ||
+ | Schutzmaßnahmen (s. oben) versenden wollen oder dürfen. | ||
+ | |||
+ | Wenn Sie Ihre Daten innerhalb einer geschlossenen Personengruppe teilen wollen, ist es durchaus überlegenswert, | ||
+ | welchem Server Sie den Speicherbereich reservieren. Bei kommerziellen Speicher-Anbietern, | ||
+ | eventuell auch kostenlos zur Verfügung stellen (Stichwort: [[http:// | ||
+ | Sie in der Regel keine Informationen darüber, wer ggf. zusätzlich Zugriff auf Ihre Daten bekommen kann. Wesentlich | ||
+ | transparenter ist dagegen die Situation, wenn Sie die Daten z.B. auf einem Speicherbereich des Rechenzentrums oder | ||
+ | des eigenen Instituts Ihrer Heimat-Universität hinterlegen.\\ Die Ideale Situation ist in der Cloud dann gegeben, wenn | ||
+ | Sie über ein geeignetes, lokal installiertes Programm die Daten **vor dem Upload** auf unbekannte Server | ||
+ | verschlüsseln und erst **nach dem Download** wieder entschlüsseln können. Ein Beispiel dafür ist der | ||
+ | Cloud-Speicher **[[http:// | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | \\ | ||
===== Secure Shell (SSH) ===== | ===== Secure Shell (SSH) ===== | ||
- | **Secure Shell** (SSH) ist ein Verfahren, das die Dialogprotokolle Telnet, rsh (remote shell), rlogin (remote login) und rcp (remote copy) frei von den oben genannten Mängeln ersetzen soll. Dabei wird in der Einleitungsphase das sog. Public Key Verfahren angewendet, bei dem ein öffentlicher Schlüssel zum Verschlüsseln und ein dazugehöriger geheimer (privater) Schlüssel zum Entschlüsseln verwendet wird. Während dieser sehr gut abgesicherten Phase handeln die Kommunikationspartner einen gemeinsamen (symmetrischen) Schlüssel für die spätere Datenübertragungsphase aus, der nur für diese Sitzung oder einen Teil davon gilt. | + | **[[ssh|Secure Shell]]** (SSH) ist ein Verfahren, das die Dialogprotokolle Telnet, rsh (remote shell), rlogin (remote login) und rcp (remote copy) frei von den oben genannten Mängeln ersetzen soll. Dabei wird in der Einleitungsphase das sog. Public Key Verfahren angewendet, bei dem ein öffentlicher Schlüssel zum Verschlüsseln und ein dazugehöriger geheimer (privater) Schlüssel zum Entschlüsseln verwendet wird. Während dieser sehr gut abgesicherten Phase handeln die Kommunikationspartner einen gemeinsamen (symmetrischen) Schlüssel für die spätere Datenübertragungsphase aus, der nur für diese Sitzung oder einen Teil davon gilt. |
Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wird im folgenden Abschnitt zum Download angeboten. Daneben finden Sie dort auch einen Verweis auf die Installationsanleitung. | Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wird im folgenden Abschnitt zum Download angeboten. Daneben finden Sie dort auch einen Verweis auf die Installationsanleitung. | ||
Zeile 62: | Zeile 94: | ||
- Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren. | - Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren. | ||
- Der Client verifiziert den Public Host Key des Servers. | - Der Client verifiziert den Public Host Key des Servers. | ||
- | - Der Client generiert zufällig einen Session-Key, | + | - Der Client generiert zufällig einen Session-Key, |
- Der Client authentifiziert sich (s. nächste Liste!). | - Der Client authentifiziert sich (s. nächste Liste!). | ||
- Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird. | - Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird. | ||
Zeile 69: | Zeile 101: | ||
Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: | Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind: | ||
- | * **Authentifizierung über das Kennwort** (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt. Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von uns empfohlen. | + | * **Authentifizierung über das Kennwort** (Password) des Benutzers.\\ Die Übermittlung erfolgt bereits verschlüsselt. Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von uns empfohlen. |
- | * **Authentifizierung über RSA-Schlüssel.** Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. | + | * **Authentifizierung über RSA-Schlüssel.\\ ** Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird. Falls Sie mehrere Verbindungen mit unterschiedlichen Schlüsseln verwalten, können Sie durch die einmalige Angabe der Passphrase beim Start des Kommunikationsprogrammes den Zugriff auf alle Schlüssel öffnen, so lange die Anwendung läuft. Weitere Passwortangaben sind in dieser Zeit dann nicht mehr nötig. |
Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das **Port Forwarding**. | Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das **Port Forwarding**. | ||
Zeile 80: | Zeile 112: | ||
Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente **Secure FTP** die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, | Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente **Secure FTP** die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, | ||
+ | \\ | ||
+ | ===== Secure Socket Layer (SSL) ===== | ||
+ | **Secure Socket Layer** ist ein von Netscape entwickeltes Verfahren, um Daten über verschlüsselte Strecken zu transportieren. Dieser Standard erfordert kein benutzerseitiges Kennwort. Lediglich der Server identifiziert sich dem Benutzer gegenüber mit Hilfe eines **[[http:// | ||
+ | Alle modernen Webclients verwenden heutzutage die Verschlüsselungsmethode **SSL** (dabei kommt das Protokoll HTTPS zum Einsatz) und können im obigen Sinne als sicher eingestuft werden. | ||
- | ===== Secure Socket Layer (SSL) ===== | + | Eine schöne, leicht verständliche Übersicht über den Aufbau einer SSL-Verbindung wird vom Oberstufenzentrum Handel in Berlin ins Netz gestellt: |
- | + | ||
- | **Secure Socket Layer** ist ein von Netscape entwickeltes Verfahren, um Daten über verschlüsselte Strecken zu transportieren. Dieser Standard erfordert kein benutzerseitiges Kennwort. Lediglich der Server identifiziert sich dem Benutzer gegenüber mit Hilfe eines **[[zertifikate|digitalen Zertifikates]]**. Sobald der Benutzer das Zertifikat des Servers akzeptiert, wird eine verschlüsselte Verbindung aufgebaut. | + | |
- | + | ||
- | Alle modernen Webclients verwenden heutzutage die Verschlüsselungsmethode | + | |
- | Das Produkt | + | Das Produkt [[Stunnel]] (SSL-Tunnel) für 32-bit Windows (95/98/XP) erlaubt die Errichtung von port forwarding - Strecken mit Hilfe des SSL-Verfahrens. Wenn Sie z.B. nicht auf ein Kommunikationsprogramm verzichten können oder wollen, das von sich aus keine verschlüsselte Verbindung unterstützt, |
Da die meisten Kommunikationsprogramme heutzutage SSL beherrschen, | Da die meisten Kommunikationsprogramme heutzutage SSL beherrschen, | ||
+ | \\ | ||
===== Download ===== | ===== Download ===== | ||
- | | {{: | + | | {{: |
- | | {{: | + | | {{: |
- | + | ||
- | ===== Verschlüsselung sensibler Daten ===== | + | |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
+ | \\ | ||
+ | \\ | ||
- | {{tag> | + | {{tag> |