Stand: $Date: 2008/04/15 15:24:23 $
Simulina GmbH| Term: | Bedeutung: | Sicherheitsaspekte: | Links: |
|---|---|---|---|
| Cluster |
Es gibt zwei ganz unterschiedliche Arten von
Cluster. 1 - Hochverfügbarkeit, HA ( High Availability ),
durch hot stand by. 2 - Parallelrechner, die die Aufgaben teilen. |
Bei der Ausfallsicherheit ist es wichtig, sich nicht nur auf die Server zu konzentrieren. Um wirkliche HA zu erreichen, müssen alle Teile der Kette genau so verfügbar sein: Netzwerk, Stromversorgung... |
Hochverfügbarkeit, z.B.:
Linux-HA Project DRBD - Disk Spiegelung LinuxHA.net Kimberlite Parallelrechner, z.B.: Beowulf OpenSSI OpenMosix LVS Relatiert: VRRP, Virtual Router Redundancy Protocol. Festplattenspiegelung über Netzwerk, DRBD. Lastverteilung |
| DHCP | Dynamic Host Configuration Protocol | ||
| DKIM | DomainKeys Identified Mail |
Der sendende Mail Server unterschriebt einige
Headersin ausgehende Mails. Der Public Keyist im DNS, der Domain veröffentlicht. Damit ist die Quelle eines Mails überprüfbar. DKIM ist in RFC 4871 beschrieben. |
DKIM, Rfc 4871 |
| DNS | Domain Name Server |
Der DNS bietet die Übersetzung von Internet Namen, z.B. www.simulina.se zu Internet ( IP ) Nummern an. Eine Grundsäule des Internets! Der DNS ist u.U. manipulierbar. Es gibt Ansätze bei denen die Ausgaben vom DNS digital unterschrieben werden und damit vertrauenswürdig. S.u. - DNSSec |
BIND |
| DNSSec | DNS Secure - sicherer Domain Name Server. | DNS hat, so wie viele andere Internetprotokolle eine Schwäche. Es ist nicht möglich sicher festzustellen wer auf einem Anfrage antwortet. Mit Siegeltechnik ist es mittelst DNSSec aber möglich zu beweisen, daß die Daten unverändert von einen bestimmten Server kommen. Diese Protokollerweiterung ist aber noch nicht weit verbreitet. | DNSSec |
| DynDNS | Dynamischer DNS | Ein Server, der keine feste IP-Adresse hat, z.B. bei einer DSL-Verbindung, kann nicht per DNS gefunden werden. Dafür kann man einen Dynamischen DNS einrichten, der immer die aktuelle IP-Nummer zurückgibt. | |
| Firewall/Paketfilter | Bilden die Grenze zwischen Zonen mit unterschiedlichen Aufgaben und Sicherheitsbedürfnissen. Ein Firewall lässt nur zugelassenen Verkehr in eine Zone hinein. | Eine Firewall kann ein einfacher Paketfilter sein, z.B. in einem Router. Dabei werden Pakete auf der Netz- und Transport- Ebene geprüft. Um eine bessere Kontrolle zu erreichen, müssen die Daten auch auf der Applikationsebene inspiziert werden. Die Pakete werden dabei durch einen Proxy geleitet. Gewisse Protokolle sind komplexer und lassen sich nicht einfach durch ein Paketfilter effektiv leiten, z.B. ftp oder RealAudio. Hier ist ein Proxy notwendig. | IP-Filter, Netfilter |
| Greylisting | Ein Art von SPAM-Begrenzung. | Es gibt zwei Ebene auf denen man SPAM bekämpfen kann. Entweder filtriert man die Inhalte des Mails nach unerwünschte Begriffe, oder man greift das SMTP Protokoll an. Im ersten Fall ist man gezwungen das unerwünschte Mail entgegenzunehmen aber man muß es nicht anschauen. Ein Spammer will nicht erkannt werden und damit macht er sein Versand und ist danach schnell weg, wird nie mehr seine sendende Mail Server benützen. Hier greift Greylisting an, da ein normaler Mailserver versucht ein Mail mehrmals zuzustellen. | SPAM SPF DKIM Greylisting |
| Intrusion detection | Wenn ein Versuch gemacht wird, die Sicherheitsbarrieren zu durchbrechen, ist es gut, daß dieser abgewehrt wird, aber es ist auch hilfreich einen Warnhinweis darüber zu bekommen. | Snort | |
| iSCSI | Internet SCSI (Small Computer System Interface). Ein Protokoll womit Festplatten und Storagesysteme über das Internet angebunden werden kann. | Mit iSCSI ist es möglich die Festplatten irgendwo im Internet zu verbreiten, nicht nur in lokalen geschützte Netze. Dabei treten die gewöhnliche Probleme mit Zugangskontrolle, die ausschließlich mit starken Verschlüsselung zu lösen ist auf. | Die Linux-Implementation |
| Kerberos | Ein zentralisierten Authentizierungsdienst. |
Die ursprüngliche Implementierung:
MIT
Eine neuere Implementierung: Heimdal |
|
| LDAP | Lightweight Data Access Protocol |
Ein Art Datenbank mit hierarchischer Datenorganisation.
Optimiert für read mostly. |
Eine offene Implementierung: OpenLDAP |
| Netzwerkanalyse | Ein sehr gutes Tool ist Wireshark, früher Etherreal, das auch einem etwas unerfahrenen Benutzer sehr viel Hilfe bieten kann. | ||
| FAI | Fully Automatic Installtion | Um mehrere Rechner automatisch aufsetzen zu können kann man ein Installserver einsetzen. Mit FAI hat man ein sehr generelles Tool geschaffen, der mehrere Plattformen bedienen kann. FAI ist ähnlich im Konzept aber genereller als Suns Jumpstart, Red Hats Kickstart oder YaST und Alice für SuSE. FAI war geschaffen um Beowulf Clusters mit Debian Linux aufzusetzen, aber kann für viele Betriebssysteme und unterschiedliche Hardware eingesetzt werden. | FAI |
| FIS | Führungssystem für Informations-Sicherheit | Zertifizierung nach ISO/IEC 17799. | PAPAI |
| NTP | Network Time Protocol. Über NTP können Uhren auf Rechnern und Netzausrüstung miteinander ausgeglichen werden. | Eine einheitliche Zeit ist sehr wichtig, um gleichzeitige Ereignisse im Netz verfolgen und verstehen zu können. | Das NTP Projekt. Zeitserver mit Atomuhren: Physikalisch-Technische Bundesanstalt. |
| OpenID | Ein Art Single Sign On Lösung. | Das OpenID Projekt. Ein Open Source Implementierung: JanRain. | |
| Penetrationstest | Ein sehr gutes Tool dafür: Backtrack | ||
| PGP / OpenPGP / GPG | Pretty Good Privacy / GNU Privacy Guard. Verschlüsselung von E-Mails oder anderen Daten. Aber noch wichtiger - sie bieten elektronische Unterschriften mittels einem öffentlichen/geheimen Schlüsselpaar. | Die Authentizität eines unterschriebenen Textes ist beweisbar. Der Text ist seit der Unterschrift nicht geändert worden. Es ist auch beweisbar, daß die Unterschrift mit dem geheimen Gegenpart des Öffentlichen Schlüssel geleistet wurde. Es ist aber nicht sicher beweisbar, im Unterschied zu einer handgeschriebenen Unterschrift, daß die Unterschrift von einer bestimmten Person geleistet wurde. Die Sicherheit hängt davon ab, wie gut der geheime Schlüssel auf einem Rechner geschützt ist. | GnuPG, OpenPGP, The OpenPGP standard: Rfc 4880 |
| PKI | Public Key Infrastructure - PKI ist ein genereller Begriff. Um öffentliche Schlüssel zu administrieren, ist es notwendig, Mechanismen dafür zu haben. Das Problem ist dasselbe für SSH, OpenPGP, IP-Sec und X509 - Webzertifikate/SSL/TLS.... Der Begriff PKI wird aber sehr häufig fehlerhaft, gerade nur mit X509 in Verbindung gebracht. | Bei OpenPGP und X509 sind zwei gegensätzliche Modelle gewählt - ein sehr distribuiertes und ein sehr zentralisiertes Modell. Bei SSH und IP-Sec ist das Problem im Grunde dem Benutzer oder Administrator überlassen. Die Kombination der Modelle wäre die beste Lösung. Es sollte zentralisierte Stellen geben, mit dem die Benutzer häufig im Kontakt stehen - Banken, Rathäuser... - die aber die Gegensätzlichkeit von OpenPGP implementiert. Bei X509 wird angenommen, daß irgendwelche Zertifizierungsstellen als amtlich akzeptiert werden sollten, ohne Hinweis, wer sie eigentlich sind. | |
| Proxy | Ein Paketfilter arbeitet auf Netzwerk- und Transport- (Verbindungs-)Ebene. Ein Proxy arbeitet auf der Applikationsebene. Eingesetzt in einem Firewall kann man auch die Applikationsprotokolle überprüfen. | Squid | |
| RFID | Radio Frequency IDentificatio | RFID | |
| Servervirtualisierung | Auf einem Hardware können mehrere Betriebsysteme nebeneinander völlig isoliert als virtuelle Servers laufen. | Die virtuellen Rechnern sind vollständig von einander getrennt. Statt mehrere Applikationen auf einem Rechner zu fahren kann man jeden ein eigenes virtuellen Rechner geben. Sollte ein Applikation von einem Sicherheitsproblem betroffen sein werden die anderen nicht in direktem Gefahr gesetzt, trotz daß sie auf dem selben physischen Rechner laufen. | XEN, VmWare, Solaris Zoning |
| SFS | Secure File System. SFS ist ein neues Protokoll. Es gibt auch andere, wie AFS und CODA, sie haben aber eine zentralisierte und komplizierte Verwaltung. SFS kann distribuiert und einfach eingesetzt werden. Es bietet verschlüsselte Übertragung und gegenseitige Authentisierung. | SFS | |
| SNMP | Simple Network Management Protocol. Ein bequemes und effizientes Protokoll für vor allem Netzwerkverwaltung, aber auch für Server und sogar Software. | SNMP galt immer als unsicher, da Zugangsberechtigung über offen transportierte Passwords stattfand. Erst mit Protokollversion 3 ist starke Authentisierung und Verschlüsselung Teil des Protokolles. | NetSNMP |
| SPF | Sender Policy Framework | SPF ist ein Protokoll, das es für den Sender unmöglich macht sein Mail im Name einer Bekanter Mailserver zu schicken. Der Sender kann kaum anonym auftreten. | SPAM DKIM Greylisting SPF |
| Software Switching / Level 3/4+ Switching |
Switches, Brücken oder Hubs sind Netzwerkkomponenten,
die auf Ethernetebene arbeiten und keine IP-Adressen
benützen. Normalerweise sind sie als Hardware gebaut,
aber man kann auf einigen Betriebssystemen auch
softwarebasierte Switches bauen. Das interessante
dabei ist, daß man Switching mit anderen Funktionen des
Betriebssystems kombinieren kann. Man kann die Pakete
anhand ihrer IP-Nummern transparent routen. Damit hat
man einen so genannten Level 3 Switch gebaut. Man kann
auch einen Lastverteiler - Load balancer, wie z.B. einen Level 4 Switch bauen. Zusammen mit den Firewallfunktionen wird eine transparente Firewall realisiert. |
Die ganze Bandbreite von Sicherheitskomponenten sind einsetzbar, von Paketfiltern auf mehreren Ebenen bis hin zu Proxies. | Für Linux gibt es Lösungen bei Bridge-nf und Etables. Für Solaris und die BSD-Varianten kann man den IP-Filter einsetzen. Das LVS-Projekt - Linux Virtual Server - ist hier von Interesse LVS |
| Spam | Unerwünschte E-Mails. | Ein zunehmendes Problem. | Es gibt einige Konzepte gegen Spam: Greylisting, SPF, DKIM. |
| SSH | Secure Shell |
SSH ersetzt die traditionellen Unix r-Kommandos, rsh, rlogh und rcp. Sichere gegenseitige Authentisierung mittelst Public Key Signaturen und Verschlüsselung der Verbindung sind dazu gefügt. |
OpenSSH, SSH |
| Sicherheitsüberprüfung | Auch Audit genannt. | Tools zum Empfehlen sind Nessus und Nmap | |
| SyncML | Protokoll für Datensynchronisation, vor allem zwischen mobilen Geräten. | SyncML, | |
| Syslog | Das System zum Loggen von Ereignissen in Computern und Netzausrüstungen. Die Mitteilungen können auch über das Netz zu einem Logserver verschickt werden. | Das traditionelle Syslog-System gilt als sehr unsicher. Mitteilungen werden offen und veränderbar über das Netzwerk geschickt. Ein neues Programm - Syslog NG, für Next Generation - schafft Abhilfe. Außer sicheren Verbindungen gibt es mehr Möglichkeiten, eine Mitteilung zu unterschiedlichen Alarmsystemen weiterzuleiten. | Syslog NG |
| TLS/SSL |
Transport Layer Security / Secure Socket
Layer. Verschlüsselung für TCP Verbindungen.
TLS/SSL wird vor allem im Web als https:, aber zunehmend auch in andere Protokolle, wie z.B. IMAP und POP eingesetzt. Bei der Authentisierung werden X.509 Zertifikate eingesetzt. |
Die Implementation OpenSSL hat eine Geschichte wo viele Schwachstellen nach und nach gefunden worden. Daher soll ausschließlich die neuste Versionen benutzt werden | OpenSSL |
| VPN | Virtual Private Networks - Am bekanntesten ist IP-Sec, ein Standard, der direkt in IPv6 integriert ist. IP-Sec ist auch in IPv4 als Zusatzprotokoll zugänglich. |
Die Verbindung ist verschlüsselt. Die Netzknoten an
beiden Enden der Verbindung ( Rechner, Router... )
wurden gegenseitig authentisiert und bilden
eine trusted domain. Eine Userauthentisierung findet aber nicht statt! Woher ein übertragenes Paket stammt, wird auch nicht mit dem Protokoll geprüft. Also ist ein VPN wie jedes andere Netzsegement zu betrachten, nur verschlüsselt. Die Verkehrskontrolle muß mit Paketfiltern ausgeübt werden, und die Benutzerkontrolle muß auch hier auf der Applikationsebene erfolgen. |
Eine bekannte Implementierung ist FreeS/WAN |
| VRRP | Virtual Router Redundancy Protocol. Ein proprietären Vorgänger ist Ciscos HSRP, Hot Standby Router Protocol VRRP ist auch für z.B. Webservers einsetzbar. | In sicheren Netzen sind Router strategische Komponenten. VRRP erlaubt Ausfallsicherheit - die Funktionen eines ausgefallenen Routers werden schnell und transparent von einem anderen übernommen. Die VRRP/HSRP-Kommunikation sollte ausschließlich in geschützte Netze vorgehen, da keine Authentisierung stattfindet. | VRRP |
| VoIP | Voice Over Internet Protocol - IP-Telefonie | SIP, IAX2, H.323 und SCCP sind einige Standards, die zum Übertragung das Telefongespräch dienen. | VoIP Wiki Asterisk |
| WiMAX, 803.16 | Die nächste Generation von Wireless LAN Protokolle. Höherer Durchsatz und längere Reichweite sind versprochen. | WiMAX-Forum | |
| WLAN, 803.11 | Wireless Local Area Network | ||
| Zertifizierungsstelle - CA - Certifying Agency | Ein Begriff, der nahe an PKI und X509 liegt. | Wenn man an die Echtheit eines CA glauben soll, sollte man auch Beweise dafür haben. Dies ist aber bei X509-Zertifikaten nicht gegeben. | CAcert |
| ZigBee, 803.15 |
Selbstorganisiertes Funknetzwerk. Mesh Network |
ZigBee,
Vergleiche: Z-Wave |
|
| Z-Wave |
Selbstorganisiertes Funknetzwerk. Mesh Network |
Besonderes für Steuerung von Hauselektronik gedacht. |
Z-Wave,
Vergleiche: ZigBee |