Mit ‘SSL’ getaggte Beiträge

◾Man fällt nicht über seine Fehler. Man fällt über seine Feinde, die diese Fehler ausnutzen!„- Kurt Tucholsky

heartbleed

Nachrichten über den Heartbleed-Bug, oder sollte ich sagen „Exploit“ haben wir nun wohl alle zur Genüge durch Zeitung, Radio oder Fernsehen zur Kenntnis genommen. Allerdings haben wohl die wenigsten Menschen verstanden wie dieser Bug ausgenutzt werden kann, oder wie dies konkret aussieht.

Das nachstehende Bild soll es auch dem nicht IT-Affinen Leser etwas näher bringen ;-)

Heartbleed erklärt

Zwischenzeitlich gibt es auch sehr gute Module für des Pentester oder Hackers liebstes Werkzeug.
Ausgerüstet mit selbigem ist man dann nicht nur in der Lage verwundbare Seiten/Geräte (die OpenSSL nutzen) zu finden, sondern auch ganz aktiv Daten von den betreffenden Seiten abzufishen! Wen oder was man damit generell ausspioniert sei mal dahingestellt….

Nehmen wir z.B. eine beliebige Seite die Verwundbar ist und wenden den Heartbleed-Bug darauf an.
Zu meiner Sicherheit sei hier nicht erwähnt, um welche Seite genau es sich dabei handelt.

 

Auch hier gilt natürlich wieder: nicht nachmachen, da strafbar!

 

 

 

 

 

 

 

 

 

Nachstehend das Ergebnis, wenn der Server seine Antwort zurück schickt. Man fordert lediglich mehr Daten an, als man ursprünglich an den Server als Request gesendet hat. Mehr steckt nicht dahinter! Wer es perfektionieren möchte kann sich natürlich seine Scripts so programmieren, dass nach speziellen Werten bzw. z.B. Informationen zu Userdaten (Passwort) oder gar Server-Schlüsseln geschaut wird. Dann ist der Bug/Exploit etwas gezielter anwendbar ;-)

[zum Vergrößern das Bild bitte anklicken]

Heartbleed-Bug

 

 

 

Advertisements

VPN – aber sicher!

Veröffentlicht: 11. September 2012 in IT-Security, Netzwerke
Schlagwörter:, , ,

Um insbesondere entfernte Rechnernetze miteinander zu verbinden und zu einem Netz zusammenzufassen
wird VPN (Virtual Private Networking) verwendet. Dabei kann man grob zwischen Verfahren basierend auf
IPSEC, SSL/TLS und Protokollen wie PPTP oder L2TP unterscheiden.

Neben Host zu Host und Host zu Netz Verbindungen, sind Netz zu Netzverbindungen weit verbreitet.
Da bei IPSEC die Verschlüsselung im OSI-Modell auf der Netzwerkschicht durchgeführt wird und nicht
auf Anwendungsebene, gilt es u.a. als relativ sicher. Zudem müssen Anwendungen nicht IPSEC-tauglich sein,
wie es z.B. bei SSL der Fall wäre.

IPSEC ist genau genommen eine Protokollfamilie (ähnlich wie TCP/IP). IPSEC benötigt allerdings entweder ein
darauf abgestimmtes OS, oder eine entsprechende Clientanwendung! Bei IPSEC empfiehlt sich das ESP-Protokoll,
da es außer den im Authentication Header enthaltenen Funktionalitäten wie Replay-Schutz auch die Daten-
verschlüsselung beherrscht.

IPSEC sollte im Tunnel-Mode betrieben werden, da dieser die Daten der Netzwerkschicht verkapselt.
Das IP-Paket wird wird also in ein IPSEC-Paket verpackt und ein neuer IP-Header vorangestellt.
Der neue IPSEC-Header adressiert die Verschlüsselungspartner. der eigentliche original IP-Header benennt
die Kommunikatiosnpartner (einzelne Hostrechner).

OpenVPN bietet meiner Meinung nach einen einfacheren Wege in VPN aufzusetzen und verwalten zu können.
Und das bei dennoch hoher Sicherheit in der Datenübertragung.

OpenVPN verwendet SSL/TLS (auf Ebene der Transportschicht) SSL kann also auch Protokollen ohne
eigene Sicherheitsmechanismen abgesicherte Verbindungen zur Verfügung stellen.
Bei OpenVPN werden Zertzifikatsdateien zur Authentifikation verwendet (ähnlich wie z.B. es beim
Internetbanking verwendet werden kann). der große Vorteil gegenüber IPSEC ist, dass keine Clientsoftware
zwingend erforderlich ist.

Die Konfiguration von OpenVPN und die Verschlüsselungstiefe kann bei der Konfiguration manuell
festgelegt werden. Die Konfigurationsdatei von OpenVPN lässt dem geneigten Administrator genügend
Freiraum, um eigene Ports und Sicherheitseinstellungen anzugeben.