W2017-ITS: Difference between revisions
m (Created page with "Demnächst an dieser Stelle ...") |
mNo edit summary |
||
| Line 1: | Line 1: | ||
=Themen für [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/ IT-Security Workshop] 2. bis 13. Oktober [https://sar.informatik.hu-berlin.de/teaching/2017-w/2017w_ITSecurityWorkshop/ 2017]= |
|||
Demnächst an dieser Stelle ... |
|||
==Sichere SSL/TLS-Konfiguration im Allgemeinen== |
|||
Nach den Enthüllungen von Edward Snowden haben wir verstanden, warum authentische und vertrauliche Kommunikation wichtig ist. Naiv betrachtet, könnte man denken, es ist ausreichend "s"-Protokolle wie https, imaps, pops ... zu verwenden und alles ist gut. Es ist in Praxis jedoch wesentlich komplexer eine unter dem gegenwärtigen Angreifermodell hinreichend starke SSL/TLS-Verbindung zu erzwingen. |
|||
In der Vergangenheit wurden zahlreiche teils sehr originelle Angriffe auf SSL/TLS entwickelt, die Seitenkanäle oder auch Probleme im Protokollentwurf oder der Implementierung adressieren. Weiterhin ist es wünschenswert, "forward secureness" zu nutzen, da auch nicht für jeden Server der private Schlüssel immer privat bleiben muss. |
|||
Versuchen Sie für einen aktuellen SSL/TLS-Server (z.B. Apache oder NGINX) eine möglichst sichere Konfiguration zu erstellen und behalten Sie dabei auch die Performance im Auge. Könnte die Nutzung von ECC hier weiter helfen? |
|||
Wenn noch Zeit ist stellen Sie ggf. "handshake"-Zeiten gegenüber. |
|||
Links: |
|||
* [https://en.wikipedia.org/wiki/Transport_Layer_Security#Attacks_against_TLS.2FSSL Angriffe auf SSL/TLS] |
|||
* [https://www.ssllabs.com/ssltest/ (Web-)Server Test] |
|||
* [https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)#Testing_for_Weak_SSL.2FTLS_Ciphers.2FProtocols.2FKeys_vulnerabilities Generic SSL/TLS Server Testing] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Sicheres SSL/TLS für Legacy== |
|||
Während bei aktueller Software die Chancen recht gut sind, dass noch starke Ciphersuites zur Verfügung stehen, ist es mit Altanwendungen ungleich schwerer, diese zu ertüchtigen. Versuchen Sie beispielsweise für einen Microsoft IIS 6.0 nach außen eine starke Verschlüsselung nachzurüsten. |
|||
Links: |
|||
* [https://www.stunnel.org/ Stunnel] |
|||
* [https://github.com/openssl/openssl/tree/OpenSSL_1_1_0-stable OpenSSL 1.1.0] |
|||
* [https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html Apache Reverse Proxy] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Die Zukunft TLS 1.3== |
|||
Wo geht die Reise in der Standardisierung hin? Weniger Optionen, schnellerer Handshake, schneller Transport. |
|||
Gibt es bereits erste Implementierungen des neuen Standards? Was gibt OpenSSL 1.1.* her. |
|||
Links: |
|||
* [https://blog.cloudflare.com/introducing-tls-1-3/ Blog] |
|||
* [https://tools.ietf.org/html/draft-rescorla-tls13-new-flows-00 Idee: Zero Round Trip] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Post Quantum Crypto== |
|||
Praktische Implementierungen --> Google, Chrome |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Sicheres OpenVPN== |
|||
OpenVPN ist eine gute Möglichkeit, seine Kommunikation durch öffentliche Netze abzusichern oder sich logisch in die HU oder in das Institut für Informatik zu begeben. Untersuchen Sie, wie diese Verbindungen ([https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn/hu-berlin-win.ovpn hu-berlin.ovpn] und [https://www2.informatik.hu-berlin.de/rbg/Openvpn_SSL/ am Institut]) konfiguriert sind, und welche Verbindungen zwischen Server und Client ausgehandelt werden. Hierbei gibt es zu beachten, dass es OpenVPN eine Kontrollverbindung zur Authentisierung und Schlüsselvereinbarung und eine Datenverbindung zum sicheren Transport der eigentlichen Daten nutzt. Für einen aktuellen OpenVPN-Clienten kann man die die Möglichkeiten für eine TLS-Absicherung der Kontrollverbindung mit [[openvpn--show-tls-win|<code>openvpn --show-tls</code>]] und die Absicherungsmöglichkeiten der Datenverbindung mit [[openvpn--show-cipher-win|<code>openvpn --show-cipher</code>]] einsehen. Versuchen Sie eine effiziente, starke und auch möglichst interoperable Konfiguration zu erstellen, die mit aktueller Software den Zugriff unter Linux, Mac, Windows, iOS und Android gestattet. Verschaffen Sie sich einen Überblick. Welche Vor- / Nachteile haben die Modi CBC, CFB, CFB1, CFB8, OFB und was bewirken diese überhaupt? |
|||
Links: |
|||
* [https://openvpn.net/index.php/open-source.html OpenVPN] |
|||
* [https://www.wireshark.org/ Wireshark] |
|||
* [https://wiki.wireshark.org/OpenVPN Wireshark OpenVPN] |
|||
* [http://blog.dornea.nu/2015/11/17/openvpn-for-paranoids/ Blog] |
|||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
|||
==Privacy@Home== |
|||
Das IoT steht vor der Tür. Zunehmend begehren technische Geräte (Fernseher, DVD-Player, Heizung, ...) Zugang zu unserem Heimnetzwerk. Auf der einen Seite lassen sich natürlich neue gewollte Komfortfunktionen realisieren auf der anderen Seite stellen diese Geräte aber eine potenzielle Bedrohung für unser Heimnetz und unsere Privatsphäre da. |
|||
Wie kann man diese Geräte in dem was sie tun können begrenzen. Versuchen Sie den Zugriff auf das Heimnetz von diesen Geräten aus und den Zugriff auf und aus dem Internet unter Beteiligung dieser zu limitieren. |
|||
Exemplarisch soll dazu eine Fritz!Box 7390 Verwendung finden. Sichworte: Gastnetz, Filter, .... Wie authentifizieren Sich Geräte gegenüber ihrem Netzwerk und wie verlässlich ist diese Information? |
|||
Welche URLs nutzen Ihre Heimgeräte legitim, welche waren unerwartet? |
|||
Links: |
|||
* [https://avm.de/service/fritzbox/fritzbox-7390/uebersicht/ 7390] |
|||
* [http://www.gtkdb.de/index_15_1760.html IP-Capture] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==<span style="background:greenyellow">[[Location Sharing]]</span>== |
|||
[Andreas, Fabio, Simon] |
|||
Die Möglichkeit seinen eigenen Standort mit anderen zu teilen ist in einigen Szenarien praktisch, erfordert allerdings einen guten Schutz der sensiblen Daten vor Dritten. Dieses Thema beschäftigt sich mit dem Entwurf eines Systems, das zunächst die durch mobile Clients auf der Plattform iOS ermittelten Standortdaten ohne notwendiges Vertrauen an einen Server übermittelt. Der Server übernimmt die Weiterleitung dieser Daten an den Anfragenden. |
|||
Interessant ist dabei die Sicherheit des Systems, insbesondere die durch Verschlüsselung erreichte Ende-zu-Ende-Vertraulichkeit der Übertragung. Ein weiterer Fokus wird darauf gelegt, keine identifizierende Daten erheben zu müssen, um eine Pseudonymität der Nutzer sicherzustellen und gleichzeitig die gewünschte Funktionalität zu gewährleisten. |
|||
'''''Ausblick''''' |
|||
Zur Erzielung einer weitgehenden Plattformunabhängigkeit wäre eine Implementation unter Android wünschenswert. |
|||
Interessant wäre eine Untersuchung, inwieweit das Kommunikationsprotokoll so modifiziert werden kann, dass eine Auswertung der Standortinformationen in gewissem Maße für den Server möglich wird, ohne jedoch die angestrebten Schutzziele abschwächen zu müssen. Auf diese Weise wäre es beispielsweise möglich, Standortdaten von sich nah beieinander befindlichen Nutzern serverseitig proaktiv an die entsprechenden Clients zu pushen. |
|||
==FIDO UAF|U2F (reloaded)== |
|||
Im letzen Jahren haben wir uns bereits mit der 2-Faktorauthentisierung gemäß [[U2F FIDO]] beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, GIT, ...) zu nutzen. |
|||
Versuchen Sie einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren. |
|||
Wie funktioniert UAF? Gibt es schon frei verfügbare Demo(apps)? |
|||
Links: |
|||
* [https://fidoalliance.org/specifications/download/ Specifications] |
|||
* [https://github.com/Yubico/pam-u2f pam-u2f] |
|||
* [https://github.com/bluecmd/openssh-u2f openssh-u2f] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==Sichere Wiki-Konfiguration / Migration == |
|||
Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM. |
|||
Versuchen Sie eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein. |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://sar.informatik.hu-berlin.de/people/wolfgang_gandre.htm Wolfgang Gandre] |
|||
==Absicherung NFS== |
|||
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Addresse, die in der /etc/exports angegeben ist. |
|||
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden. |
|||
Links: |
|||
* [https://de.wikipedia.org/wiki/IEEE_802.1X 802.1X] |
|||
* [https://www.stunnel.org/index.html stunnel] |
|||
Mentoren: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller], [https://www.informatik.hu-berlin.de/de/forschung/gebiete/sar/people/sombrutz Robert Sombrutzki] |
|||
==BSI TR-03108 Sicherer E-Mail-Transport== |
|||
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports. |
|||
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr [[DANE für unseren Mail-Server]]. |
|||
Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist. |
|||
Links: |
|||
* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03108/index_htm.html TR-03108] |
|||
* [http://www.heise.de/ct/heft/2014-11-DANE-verbessert-sicheren-Transport-zwischen-Mailservern-2228494.html C't 11/14 Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern] |
|||
* [http://tools.ietf.org/html/rfc6698 RFC 6698 DANE] |
|||
* [http://www.ietf.org/rfc/rfc4033.txt RFC 4033 DNSsec] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
==[[Email-Push-Notifikation]]== |
|||
Zunehmend wird Email auch von unterwegs auf mobilen Geräten gelesen. Dabei ist es sicherlich interessant, wie ein Smartphone mitbekommt, dass es für seinen Besitzer eine oder mehrere neue Emails gibt. Die naive Lösung ist das über einen "pull"-Zugriff zu lösen. Das Smartphone würde also in regelmäßigen Abständen sich über SSL/TLS bei unserem Institutsserver mit dem Nutzeraccount einloggen und schauen, ob es für den Nutzer neue Email gibt. |
|||
Möchte ein Nutzer schnell erfahren, dass neue Email da sind, wir das Verfahren recht schnell aufwendig und nimmt die Batterie recht in Anspruch. |
|||
Etwas moderner ist sicherlich die Verwendung von imap-idle. Jedoch muss auch hier die Mail-App auf dem Telefon laufen und die TCP-Verbindung offen halten. Allerdings können mehrfache SSL/TLS-Handshakes vermieden werden. Schöner wäre es, wenn der Mailserver die Benachrichtigung via push-Nachricht über ein Gateway (Apple|Google) dem Betriebssystem des Smartphones mitteilt, dass neue Email da ist, also den für das jeweilige Mobile-OS gedachten Standardweg nutzt. |
|||
Wäre imap-notify eine Alternative? |
|||
Untersuchen sie die Möglichkeiten für die Umsetzung mit IMAP (dovecot) für iOS oder ggf. auch Android. |
|||
Links: |
|||
* [https://github.com/st3fan/dovecot-xaps-daemon xaps-daemon] |
|||
* [http://www.dovecot.org/ dovecot] |
|||
* Pushbullet |
|||
Anleitung: |
|||
* [[PushNotification]] |
|||
Mentor: [https://sar.informatik.hu-berlin.de/people/wolf_mueller.htm Wolf Müller] |
|||
Revision as of 09:52, 25 September 2017
Themen für IT-Security Workshop 2. bis 13. Oktober 2017
Sichere SSL/TLS-Konfiguration im Allgemeinen
Nach den Enthüllungen von Edward Snowden haben wir verstanden, warum authentische und vertrauliche Kommunikation wichtig ist. Naiv betrachtet, könnte man denken, es ist ausreichend "s"-Protokolle wie https, imaps, pops ... zu verwenden und alles ist gut. Es ist in Praxis jedoch wesentlich komplexer eine unter dem gegenwärtigen Angreifermodell hinreichend starke SSL/TLS-Verbindung zu erzwingen.
In der Vergangenheit wurden zahlreiche teils sehr originelle Angriffe auf SSL/TLS entwickelt, die Seitenkanäle oder auch Probleme im Protokollentwurf oder der Implementierung adressieren. Weiterhin ist es wünschenswert, "forward secureness" zu nutzen, da auch nicht für jeden Server der private Schlüssel immer privat bleiben muss.
Versuchen Sie für einen aktuellen SSL/TLS-Server (z.B. Apache oder NGINX) eine möglichst sichere Konfiguration zu erstellen und behalten Sie dabei auch die Performance im Auge. Könnte die Nutzung von ECC hier weiter helfen? Wenn noch Zeit ist stellen Sie ggf. "handshake"-Zeiten gegenüber.
Links:
Mentor: Wolf Müller
Sicheres SSL/TLS für Legacy
Während bei aktueller Software die Chancen recht gut sind, dass noch starke Ciphersuites zur Verfügung stehen, ist es mit Altanwendungen ungleich schwerer, diese zu ertüchtigen. Versuchen Sie beispielsweise für einen Microsoft IIS 6.0 nach außen eine starke Verschlüsselung nachzurüsten.
Links:
Mentor: Wolf Müller
Die Zukunft TLS 1.3
Wo geht die Reise in der Standardisierung hin? Weniger Optionen, schnellerer Handshake, schneller Transport. Gibt es bereits erste Implementierungen des neuen Standards? Was gibt OpenSSL 1.1.* her.
Links:
Mentor: Wolf Müller
Post Quantum Crypto
Praktische Implementierungen --> Google, Chrome
Mentor: Wolf Müller
Sicheres OpenVPN
OpenVPN ist eine gute Möglichkeit, seine Kommunikation durch öffentliche Netze abzusichern oder sich logisch in die HU oder in das Institut für Informatik zu begeben. Untersuchen Sie, wie diese Verbindungen (hu-berlin.ovpn und am Institut) konfiguriert sind, und welche Verbindungen zwischen Server und Client ausgehandelt werden. Hierbei gibt es zu beachten, dass es OpenVPN eine Kontrollverbindung zur Authentisierung und Schlüsselvereinbarung und eine Datenverbindung zum sicheren Transport der eigentlichen Daten nutzt. Für einen aktuellen OpenVPN-Clienten kann man die die Möglichkeiten für eine TLS-Absicherung der Kontrollverbindung mit openvpn --show-tls und die Absicherungsmöglichkeiten der Datenverbindung mit openvpn --show-cipher einsehen. Versuchen Sie eine effiziente, starke und auch möglichst interoperable Konfiguration zu erstellen, die mit aktueller Software den Zugriff unter Linux, Mac, Windows, iOS und Android gestattet. Verschaffen Sie sich einen Überblick. Welche Vor- / Nachteile haben die Modi CBC, CFB, CFB1, CFB8, OFB und was bewirken diese überhaupt?
Links:
Mentoren: Wolf Müller, Robert Sombrutzki
Privacy@Home
Das IoT steht vor der Tür. Zunehmend begehren technische Geräte (Fernseher, DVD-Player, Heizung, ...) Zugang zu unserem Heimnetzwerk. Auf der einen Seite lassen sich natürlich neue gewollte Komfortfunktionen realisieren auf der anderen Seite stellen diese Geräte aber eine potenzielle Bedrohung für unser Heimnetz und unsere Privatsphäre da. Wie kann man diese Geräte in dem was sie tun können begrenzen. Versuchen Sie den Zugriff auf das Heimnetz von diesen Geräten aus und den Zugriff auf und aus dem Internet unter Beteiligung dieser zu limitieren. Exemplarisch soll dazu eine Fritz!Box 7390 Verwendung finden. Sichworte: Gastnetz, Filter, .... Wie authentifizieren Sich Geräte gegenüber ihrem Netzwerk und wie verlässlich ist diese Information? Welche URLs nutzen Ihre Heimgeräte legitim, welche waren unerwartet?
Links:
Mentor: Wolf Müller
Location Sharing
[Andreas, Fabio, Simon]
Die Möglichkeit seinen eigenen Standort mit anderen zu teilen ist in einigen Szenarien praktisch, erfordert allerdings einen guten Schutz der sensiblen Daten vor Dritten. Dieses Thema beschäftigt sich mit dem Entwurf eines Systems, das zunächst die durch mobile Clients auf der Plattform iOS ermittelten Standortdaten ohne notwendiges Vertrauen an einen Server übermittelt. Der Server übernimmt die Weiterleitung dieser Daten an den Anfragenden.
Interessant ist dabei die Sicherheit des Systems, insbesondere die durch Verschlüsselung erreichte Ende-zu-Ende-Vertraulichkeit der Übertragung. Ein weiterer Fokus wird darauf gelegt, keine identifizierende Daten erheben zu müssen, um eine Pseudonymität der Nutzer sicherzustellen und gleichzeitig die gewünschte Funktionalität zu gewährleisten.
Ausblick
Zur Erzielung einer weitgehenden Plattformunabhängigkeit wäre eine Implementation unter Android wünschenswert.
Interessant wäre eine Untersuchung, inwieweit das Kommunikationsprotokoll so modifiziert werden kann, dass eine Auswertung der Standortinformationen in gewissem Maße für den Server möglich wird, ohne jedoch die angestrebten Schutzziele abschwächen zu müssen. Auf diese Weise wäre es beispielsweise möglich, Standortdaten von sich nah beieinander befindlichen Nutzern serverseitig proaktiv an die entsprechenden Clients zu pushen.
FIDO UAF|U2F (reloaded)
Im letzen Jahren haben wir uns bereits mit der 2-Faktorauthentisierung gemäß U2F FIDO beschäftigt. Diese ist aus unserer Sicht eine sehr interessante Authentisierungstechnik, die ein hohes Maß an Anonymität, Sicherheit und Komfort miteinander verbinden kann. Der ursprüngliche Fokus von U2F lag in der Authentisierung gegenüber Webdiensten. Aber natürlich ist es auch denkbar U2F-Token zur Authentisierung in anderen Kontexten (PAM, SSH, GIT, ...) zu nutzen. Versuchen Sie einen Überblick zu gewinnen, für welche Protokolle oder Szenarien U2F genutzt werden können sollte und versuchen sie dies auch als "proof of concept" auch auszuprobieren. Wie funktioniert UAF? Gibt es schon frei verfügbare Demo(apps)?
Links:
Mentor: Wolf Müller
Sichere Wiki-Konfiguration / Migration
Ein Wiki ist seiner Natur nach ein offenes System, in welchem der "Mitmachgedanke" weit vorne steht. Leider gibt es dann doch häufig automatisierte Angriffe, die diese Eigenschaft ausnutzen. So fand sich auch in unserm Wiki viel SPAM.
Versuchen Sie eine Kopie unseres Wikis auf eine aktuelle Codebasis zu heben. Dokumentieren Sie Ihre einzelnen Schritte. Treffen Sie eine begründete Auswahl an Zusatzpaketen zur Integration von Formeln, Bildern, ... und versuchen Sie eine möglichst sichere Konfiguration zu erreichen. Ansatzpunkte könnten die Verwendung von Captchas, sowie Beschränkungen zum anlegen von Nutzeraccounts sein.
Mentor: Wolf Müller, Wolfgang Gandre
Absicherung NFS
Bei NFS-Freigaben sind hohe Anforderungen an die Integrität des NFS-Clienten gestellt, da allein dieser über die Einhaltung der im exportierten Dateisystem gesetzten Rechte entscheidet. Daher ist es es essenziell, dass sich bei dem mountenden Clienten wirklich um den beabsichtigten legitimen Rechner handelt. Der Normalfall ist eine simple Überprüfung der IP-Addresse, die in der /etc/exports angegeben ist.
Untersuchen Sie, welche Verbesserungen hier möglich sind und welchen Aufwand, welche Komplexität die von Ihnen erarbeitenden Lösungen haben. Die verlässlichere Prüfung könnte auf verschiedenen Schichten angesetzt werden.
Links:
Mentoren: Wolf Müller, Robert Sombrutzki
BSI TR-03108 Sicherer E-Mail-Transport
Die Technische Richtlinie "Sicherer E-Mail-Transport" (BSI TR-03108) definiert konkrete Anforderungen an einen E-Mail-Diensteanbieter (EMDA). Ziel der Technischen Richtlinie ist die Erhöhung der Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation. Ziel bei diesem Thema ist es zu schauen, welche Schutzmaßnahmen für unseren Informatik-Mail-Server umgesetzt werden können. Hierbei geht es vor allem um technische Maßnahmen zur Absicherung eines authentischen und vertraulichen E-Mail-Transports.
Die im RFC 6698 beschriebene "DNS-Based Authentication of Named Entities (DANE)" scheint ein gutes Mittel zu sein, um jenseits von bestehenden PKI-Mechanismen eine starke Authentisierung eines Servers und spätere Absicherung der Verbindung über SSL/TLS ausgehend von dessen DNS-Namen zu erreichen. Versuchen Sie dieses Konzept für unseren Institutsmailserver umzusetzen. Bezüglich DANE gibt es bereits Vorarbeiten aus dem letzten Jahr DANE für unseren Mail-Server.
Hinsichtlich der umsetzbaren organisatorischen und physischen Sicherheitsmaßnahmen wird es sicherlich Unterschiede zu gewerblichen E-Mail-Dienste-Anbietern geben, jedoch ist es sicherlich interessant, was sich an technischen Schutzmechanismen am Institut umsetzen lässt oder schon so in Betrieb ist.
Links:
- TR-03108
- C't 11/14 Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern
- RFC 6698 DANE
- RFC 4033 DNSsec
Mentor: Wolf Müller
Email-Push-Notifikation
Zunehmend wird Email auch von unterwegs auf mobilen Geräten gelesen. Dabei ist es sicherlich interessant, wie ein Smartphone mitbekommt, dass es für seinen Besitzer eine oder mehrere neue Emails gibt. Die naive Lösung ist das über einen "pull"-Zugriff zu lösen. Das Smartphone würde also in regelmäßigen Abständen sich über SSL/TLS bei unserem Institutsserver mit dem Nutzeraccount einloggen und schauen, ob es für den Nutzer neue Email gibt. Möchte ein Nutzer schnell erfahren, dass neue Email da sind, wir das Verfahren recht schnell aufwendig und nimmt die Batterie recht in Anspruch. Etwas moderner ist sicherlich die Verwendung von imap-idle. Jedoch muss auch hier die Mail-App auf dem Telefon laufen und die TCP-Verbindung offen halten. Allerdings können mehrfache SSL/TLS-Handshakes vermieden werden. Schöner wäre es, wenn der Mailserver die Benachrichtigung via push-Nachricht über ein Gateway (Apple|Google) dem Betriebssystem des Smartphones mitteilt, dass neue Email da ist, also den für das jeweilige Mobile-OS gedachten Standardweg nutzt.
Wäre imap-notify eine Alternative?
Untersuchen sie die Möglichkeiten für die Umsetzung mit IMAP (dovecot) für iOS oder ggf. auch Android.
Links:
- xaps-daemon
- dovecot
- Pushbullet
Anleitung:
Mentor: Wolf Müller