zeropage.de | IT | security

zeropage is © by the L13-Crew, all part of TUI-NET

	Firewall-Workshop (inkl. Ergänzungslehrgebiet "IT-Sicherheit und Datenschutz")
	SonicWALL
	more to come ...

misc

Funny's Erweiterung des ISO/OSI-Schichtenmodells
Nachbereitung zum Workshop Webservices
Projekt WHIRL - WLAN Hazards In Real Life
DuD 2003: Fachkonferenz Datenschutz und Datensicherheit in Berlin am 5. und 6. Mai 2003
"Härten"/hardening
Environment
Praktikum
wardriving 2004-06-25

eigene & befreundete externe Links

German SmartCard Hackers Organisation (leider seit längerem nicht updated)
18C3-Workshop: Switched Ethernet
Gastvortrag 2002-11-30 von Achim Friedland
Projekt ethercrypt

"Sicherheit ist [...] eine Frage des Designs"
[Hakin9 2/2007, S. 20]

"In dem gleichen Maße, in dem sich immer mehr Bereiche in Wirtschaft und Gesellschaft auf IT stützen, muss auch das öffentliche Bewusstsein für die damit verbundenen Risiken und für die große Bedeutung der IT-Sicherheit wachsen. [...] Denn um die nationalen Informationsinfrastrukturen langfristig schützen zu können, brauchen wir nicht nur politischen Willen und gute Absichten, sondern vertrauenswürdige IT-Dienstleistungen und Sicherheitsprodukte von zuverlässigen Anbietern."
[Otto Schily auf dem 9. Deutschen IT-Sicherheitskongress im Mai 2005]

Buzzwords, Abkürzungen & Co.

Wer sich für die folgenden Sachen im Zusammenhang mit IT-Sicherheit & Co. interessiert oder nicht so genau etwas damit anfangen kann, ist genau richtig beim Firewall-Workshop.

(siehe auch "Kleines Lexikon IT-security" und Lutz Donnerhacke's "Fachbegriffe der Informatik")
IPsec, DFN, www, irc, VPN, WLAN, FeM, ISP, DSL, ISDN, SSH, IP, Socket, IPv4 / IPv6, DNS, Debian, MAC, Layer (ISO/OSI), Intershop, Attachment, Switch, Peer2Peer, Administrator/root, ARP, ICMP, Trojaner, Ethernet, ATM, (D)DoS, Man-in-the-Middle, Spoofing, Sniffing, SSL, Routing, Internet vs www, Cookies, UDP, TCP, RFC, Paketfilter vs Firewall, stateful, IPX/SPX, Roaming, LDAP, Multicast, Broadcast, *cast, BOOTP / DHCP, VLAN, data mining, GSM / GPRS, social engineering, Modem, TAE, POTS, (De)Modulation, S0-Bus, NTBA, Promiscous, CNAME, QoS, LWL, OPAL, Paket- vs Leitungsvermittlung, Tunnel, Signatur, PKI, TrustCenter, DRM, Fritz-Chip, Token, SmartCard, WEP, Evernet, Filesharing-Tools, SMB (Samba), UMTS, BlueTooth, Kryptographie, XML, NAT, Masquerading, Linux, Java, virtual machine, open source, VoIP, Cyber-Terrorismus, Cyberwarfare, Virus, TLS, IDS, HBCI, TCPA, Steganographie, PGP, X.509, Portscan, snake oil, security by obscurity, KISS-Prinzip, sandbox, Hardware- vs Software-Firewall, Hardware-Logserver, content & application level filtering, DMZ, SOCKS, accounting, TUILAN, TUI-NET, Enigma, Turing, CRAM, ACAP, IMSP, IMAP, MTU, Digitale Forensik, Single Sign-On, van Eck Phreaking, Phone Phreaking, Kevin Mitnick, Härten / hardening, RFID, BackOrifice, Script-Kiddies, SMTP, SNMP, dumpster diving, IKE, One-Way-Authentification, Warchalking, Phishing, IPS (Intrusion Prevention System), "letzte Meile", pharming, RADIUS, WPA, EAP, IEEE 802-Reihe, CHAP/PAP, GPS, Jamming, Satellitenkommunikation, Multiplattformviren, Biometrie, "Internet der Dinge", Phantom-Bugs, "firesale", OTP, Skimming, carving, ScareWare, little sisters, automotive, OBD2/3, Duga-3, footprinting, Encraption, ThingBot/ThingBot army, glitching, ...

... to be continued ...

einige kryptographische Algorithmen

Die folgenden kryptographischen Algorithmen stehen bei der Crypto-API des 2.6er Linux-Kernels zur Verfügung: MD4, MD5, SHA1, SHA2-256, SHA2-384, SHA2-512, DES, 3DES, Blowfish, Twofish, Serpent, AES, CAST-128, CAST-256 und NULL :-).

Themen & Variationen der IT-security

confidentiality, privacy, integrity, availability, accountability/non-repudiation, authentication, access control
privacy: anonymity, pseudonymity, unlinkability, unobservability
security policies
passive und aktive Sicherheit(svorkehrungen)
"analoge" Sicherheitsprobleme
Angriffe "von innen"
sozial vs technisch
Datenkommunismus
Firewall - Konzepte und Realisierungsmöglichkeiten
Firewall - technische Aspekte: Paketfilter, DMZ, ...
Sonderthema "Personal Firewalls"
Kryptographie - Daten verschlüsseln: symmetrische und asymmetrische Verfahren
Steganographie - Daten verbergen
elektronische Signatur
Viren, Würmer, Trojaner, (0190-)Dialer & Co
...
Realismus all dieser Bedrohungen/Angriffsszenarien: allgemein, ehemals, heute und in Zukunft
Bewertung der aktuellen Presseberichte, Zeitschriftenartikel etc.
die letzten beiden Punkte führen dann schliesslich zu der Frage: ist das alles nur ein Hype oder Realität?

weitere Veranstaltungen zum Thema

Microsoft-security: IPsec/VPNs, ActiveDirectory, BackOffice, .NET, Passport, trustworthy computing, shared-source-Initiative, safe harbour (in Vorbereitung)
Kryptographie & Sicherheit in Rechnernetzen: Holger Reif (meistens im Januar)
Netzwerk-Management & HelpDesk: Jörg Benze von der Firma Controlware, Dietzenbach (meistens im Januar)
im Jahr 2003: November Netzwerkdokumentation am Beispiel des zweitgrössten Carriers in der Schweiz

Filme

1984
23 - Nichts ist so wie es scheint. (BRD 1998, mit August Diehl als Karl Koch aka Hagbard Celine)
Antitrust (Startup)
Das Netz (eher unterhaltsamer Natur; Anregung für Diskussionen)
Hackers (eher unterhaltsamer Natur; Anregung für Diskussionen)
Takedown
Wargames

Literaturempfehlungen

Network Intrusion Detection - An Analyst's Handbook (New Riders, ISBN 0-7357-1008-2)
Kryptographie - RSA Security's Official Guide (RSA press, ISBN 3-82660780-5)
Einrichten von Internet-Firewalls - Deutsche Übersetzung von Kathrin Lichtenberg und Conny Espig (O'Reilly, ISBN 3-89721-169-6)
Grimm, Prof. Dr. Rüdiger (u.a.): Schriftenreihe Kommunikation & Recht - Datenschutz im electronic commerce (Verlag Recht und Wirtschaft, ISBN 3-8005-1324-2)
Projektarbeit "Klassifikation und Einsatzmöglichkeiten von Intrusion Detection Systems mit einer prototypischen Umsetzung" von Heiko Steigerwald, TU Ilmenau, 2003-01-15

Mailinglisten

debate@lists.fitug.de

NewsGroups

... im UseNet

comp.security.*
de.comp.security.firewall
de.comp.security.misc
de.org.ccc
de.soc.datenschutz

www-Links

Bundesamt für Sicherheit in der Informationstechnik: http://www.bsi.de
IANA - Internet Assigned Numbers Authority: http://www.iana.org
RFCs - Requests For Comments: http://www.rfc-editor.org
FAQ von Lutz Donnerhacke für de.comp.security.firewall: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
FAQ von Urs Traenkner für de.comp.security.misc: http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm
Paketfilter mit ipchains einrichten: http://www.little-idiot.de/firewall
http://www.securityfocus.com
Datenschutz bei Kundenrabattsystemen (u.a.): Der FoeBuD e.V.
IPsec-HowTo: http://www.ipsec-howto.org
firewalling, NAT and packet mangling for Linux 2.4: netfilter
JAP - anonymity & privacy: JAP ist eine Entwicklung im Projekt Anonymität im Internet, das von der Deutschen Forschungsgemeinschaft und vom Bundesministerium für Wirtschaft und Technologie (BmWi) gefördert wird. Das Projekt arbeitet eng mit dem Unabhängigen Landeszentrum für den Datenschutz Schleswig-Holstein zusammen.

Distribution	Quellen	Bemerkungen
Debian	Infos: http://www.debian.org/security Liste: http://lists.debian.org/debian-security-announce Betreff: DSA-...	Bei Debian sind die aktuellen Security Advisories bereits auf der Homepage zu finden. Die Meldungen sind als HTML-Seiten mit Links zu den Patches realisiert. Die Sicherheitsseite enthält auch Hinweise zur Mailingliste.
gentoo	Forum: http://forums.gentoo.org Liste: http://www.gentoo.org/main/en/lists.xml (gentoo-announce und gentoo-security) Betreff: GLSA: ...	Gentoo bietet leider keine Webseite zu Sicherheitsaktualisierungen und anderen Security-Informationen. Als Ersatz dient das Forum. In dessen Rubrik "News and Announcements" sind dann auch die Advisories zu finden.
Mandrake	Infos: http://www.mandrakesecure.net Liste: http://www.mandrakesecure.net/en/mlist.php (announce) Betreff: MDKSA-...	Mandrakesoft betreibt eine eigene Webseite zu Sicherheitsthemen. Sie enthält unter anderem Security Advisories und Hinweise zu den Mailinglisten. Die Advisories sind zwar HTML-Seiten, die Patches darin aber nicht verlinkt.
Red Hat	Infos: http://www.redhat.com/errata Liste: http://www.redhat.com/mailing-lists (redhat-watch-list) Betreff: [RHSA-...	Red Hat sortiert die Security Advisories bei den sogenannten Errata ein: Zu jeder Red-Hat-Linux-Version sind dort alle bekannt gewordenen Fehler beschrieben. Die Security Advisories liegen als HTML-Seite vor, mit Links zu den Patches.
Slackware	Infos: http://www.slackware.com/security Liste: http://www.slackware.com/lists (slackware-security) Betreff: [slackware-security] ...	Die Startseite verlinkt direkt zum Archiv der Security-Mailingliste. Darüber hinaus sind auf der Homepage jedoch keine Informationen zur Sicherheit von Slackware zu finden.
SuSE	Infos: http://www.suse.de/security Patches: http://www.suse.de/de/support/download/updates Liste: suse-security-announce Betreff: [suse-security-announce] ...	Die Sicherheitsseite ist nach einer Änderung der Homepage nicht mehr direkt verlinkt. Sie enthält Infos zur Mailingliste sowie die Advisories. Die Sicherheitspatches zu den eizelnen SuSE-Linux-Versionen sind in der allgemeinen Updates-Seite rot markiert und mit einer kurzen Beschreibung der geschlossenen Lücke versehen.

(nach Quelle: Linux Magazin)

security is an exercise in applied paranoia