10.7 Bewertung der Möglichkeiten von Intrusion Detection Sy

Transcription

Praktikum IT-Sicherheit
288
06/30-19:53:49.682603
ls -l 10.50.181.1/
total 12
drwx-----drwxr-xr-x
-rw-------
2 root
4 root
1 root
root
root
root
4096 Jun 30 19:51 .
4096 Jun 30 19:51 ..
339 Jun 30 19:51 TCP:2395-1080
more 10.50.181.1/TCP\:2395-1080
[**] SCAN Proxy attempt [**]
06/30-19:51:53.246758 10.50.181.1:2395 -> 10.50.187.55:1080
TCP TTL:63 TOS:0x0 ID:18765 IpLen:20 DgmLen:60 DF
******S* Seq: 0x1C5C5853 Ack: 0x0 Win: 0x3EBC TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 55651528 0 NOP WS: 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
ls -l 10.50.187.55/
total 20
drwx-----drwxr-xr-x
-rw-------rw-------rw-------
10.7
2
4
1
1
1
root
root
root
root
root
root
root
root
root
root
4096
4096
347
359
339
Jun
Jun
Jun
Jun
Jun
30
30
30
30
30
19:51
19:51
19:51
19:51
19:51
.
..
TCP:3128-1229
TCP:6000-2132
TCP:8080-1255
Bewertung der Möglichkeiten von Intrusion Detection Systemen
IDS stellen eine Ergänzung der vorhandenen Sicherheitsstruktur dar. Sie fügen zusätzliche
Schichten an Sicherheit hinzu und helfen, Angriffe auf die vorhandene Sicherheitsinfrastruktur zu erkennen und diese unter Umständen auch zu verhindern. Mittels der
Protokolldaten eines Intrusion Detection Systems ist ein Administrator im nachhinein in
der Lage, den Vorfall zu rekonstruieren und das Problem in der Sicherheit zu beheben.
Da in ein IDS Protokolldaten von verschiendenen Systemen zusammen geführt werden
können, kann man sich einen Überblick verschaffen, was auf den einzelnen Systemen los
ist. Verteilte Angriffsmuster sind so zu erkennen. Benutzeraktivitäten können komplett
verfolgt werden. Hat sich ein Angreifer durch Erraten eines Passworts Zutritt zu einem
289
System verschafft, so können unerlaubte Aktivitäten auf dem System erkannt werden. Erfolgte der Zugriff von Intern oder über eine unbekannte Hintertür, so ist dieser Angriff am
Firewall nicht erkennbar. Ein entsprechend platziertes IDS sollte die Unregelmäßigkeiten
aber erkennen.
Es ist aber zu bedenken, daß ein IDS nicht das Allheilmittel für alle Sicherheitsprobleme
darstellt. IDS sind nur als Unterstützung der Sicherheitspolitik gedacht. Für die Sicherung der Server, die Sensibilisierung der Mitarbeiter und den Einsatz von geeigneten
Authentisierungsmechanismen ist nach wie vor zu sorgen. Ebenso ersetzt ein IDS niemals
einen qualifizierten Administrator. Nur ein geeigneter Administrator kann das IDS nicht
nur bedienen, sondern auch benötigte Änderungen und Anpassungen vornehmen. Ebenso
kann keine vollständig automatische Bewertung von Vorfällen erfolgen. Auch Intrusion
Detection Systeme haben Schwachstellen, die ausgenutzt werden können.
10.8
Verhalten bei einem erkannten Einbruch
Werden anhand von Protokolldaten Anzeichen für einen Angriff erkannt, so muß man auf
diesen Fall vorbereitet sein. Obwohl die wenigsten Angriffe erfolgreich sind und auch bei
geglückten Angriffen keine übereilten Reaktionen erfolgen sollten, muß eine Verhaltensstrategie festgelegt werden, mithilfe der eine vorgegeben Checkliste abgearbeitet werden
kann. Somit wird der Gefahr von Panikaktionen vorgebeugt.
In [Fuhr 98] wird als Tip zur Erkennung von Angriffen folgendes angegeben:
Um einen Angriff auf einen Rechner zu erkennen, können die folgenden Anzeichen verwendet werden. Wenn diese auf einem Rechner gefunden werden,
sollten auf jeden Fall alle anderen auch kontrolliert werden:
• Verbindungen von und zu ungewöhnlichen Rechnern.
• Ungewöhnliche Login-Zeiten.
• Programme mit unnötigen Rechten (z.B. SUID, SGID-Programme, etc.).
• Intregritätsverletzungen.
• Angriffsprogramme (z.B. Netzwerksniffer wie tcpdump oder Programme
für Wörterbuchangriffe wie z.B. Crack).
• Unnötige Dienste.
• Veränderungen an der Passwortdatei oder den Zugriffsrechten.
• Versteckte Dateien (unter Unix z.B. mit .. , sprich Punkt Punkt Leerzeichen, zu erzeugen).
Die folgenden Punkte sollten vorab geklärt und das daraus resultierende Verhalten geplant
werden:
290
1. Erkennung des Angriffs: Anhand der Art und Weise, wie ein Angriff erkannt wird,
ändert sich das Vorgehen, was passieren soll. Ist ein unerfahrener Administrator mit
der Überwachung der Protokolldaten betraut, so sollte er nicht über mögliche erste
Schritte alleine entscheiden, da es so zu Unverhältnismäßigkeiten in den Reaktionen
kommen kann.
2. Erste Bewertung des Angriffs und Festlegung des Verhaltens: Zuerst muß
die Schwere des Angriffs und somit die Gefährdung des zu schützenden Netzes bewertet werden. Daraus resultieren dann die zu treffenden Maßnahmen, die aber vorab
konsequent beschrieben und in all ihren Folgen abgeschätzt sein müssen. Ist dem Anschein nach nur ein System kompromittiert, so kann es ausreichen, nur dieses System
vom Netz zu trennen. Stellt sich aber heraus, daß mehrere Systeme betroffen sind,
oder sogar die Integrität des Firewallsystems gefährdet ist, so kann es Sinn machen,
den kompletten Internetzugang abzuschalten. Dazu muß bereits in der Planungsund Realisierungsphase eines Internetzugangs und aller anderer Systeme beachtet
werden, daß auch von nicht so hoch qualifiziertem Personal im Notfall die Abschaltung vorgenommen werden kann. D.h. die Beschriftung von Rechnern und Kabeln
muß eindeutig sein. Ebenso muß geplant werden, wie im Falle eines Angriffs kommuniziert wird, um dem Angreifer keinen Hinweis auf seine Entdeckung zu geben.
Es müssen alle Anwender generell darüber informiert sein, daß eine Abschaltung des
Internetzugangs im Notfall erfolgen kann. Dies kann anhand der in Anhang A.6 beschriebenen Benutzerrichtlinie geschehen, um den Unmut von Mitarbeitern möglichst
gering zu halten. Soll ein Angreifer zurückverfolgt und ausgespäht werden, so empfiehlt sich der Einsatz eines sogenannten Quarantänerechners, auch Honeypot
genannt. Auf diesem Rechner werden dem Anschein nach sehr wertvolle Daten und
große Sicherheitslöcher zur Erleichterung des Angriffs bereitgestellt. Während nun
der Angreifer versucht, dieses System zu erstürmen und sich die Daten zieht, kann
durch den Administrator das Ausspähen des Vorgehens und eine Rückverfolgung des
Angreifers erfolgen.
3. Genauere Analyse und Bewertung der Fakten: Bislang wurde die unmittelbare Gefahr verringert, so daß nun eine genauere Analyse vorgenommen werden kann.
Diese Phase kann je nach Schwere des Angriffs einige Stunden bis hin zu Monaten
dauern und sollte nicht alleine von dem zuständigen Systemadministrator vorgenommen werden. Das Hinzuziehen von externem Sachverstand ist ratsam: z.B. Revisor
und andere Administratoren. Auch wird empfohlen, den Hersteller und evtl. auch
Mitarbeiter eines CERTs 52 hinzuzuziehen. War der Angriff so gravierend, daß ei52
Computer Emergency Response Team: Unter diesem Namen existieren weltweit ca. 70 Gruppen, deren Aufgabe es ist, Anwendern bei einem Sicherheitsvorfall zu helfen. Sie werden häufig auch als
Incidence Response Team (IRT) bezeichnet. Eine weitere Aufgabe ist es, Fehler in Programmen und
Betriebssystemen zu analysieren, zusammen mit den Herstellern Lösungen oder Patches zu erarbeiten und
diese zusammen mit den entsprechenden Warnmeldungen zu verteilen. Viele CERTs sind im Forum of
Incidence Response and Security Team (FIRST) (Informationen zu den Mitgliedern finden Sie unter
[fir 02]) zusammengeschlossen.
291
ne Strafanzeige oder personelle Konsequenzen in Betracht gezogen werden, so muß
von Anfang an auf eine genaue und lückenlose Dokumentation der durchgeführten
Aktivitäten Wert gelegt werden. Für diese Aufklärungsphase müssen dem verantwortlichen Administrator genügend Zeit, Hilfsmittel und Personal zur Verfügung stehen,
um falls nötig, alle Protokolldaten des betroffenen Rechners und eventuell auch von
anderen Rechnern einsehen und bewerten zu können. Besteht die Wahrscheinlichkeit,
daß der Angriff von einer anderen Organisation aus erfolgt ist, so sollte Kontakt zu
den verantwortlichen Stellen dort aufgenommen werden, um gemeinsam den Vorfall
zu rekonstruieren. Es ist fraglich, ob der zuständige Administrator des angreifenden
Systems miteingeschaltet werden sollte, da dieser in die Vorfälle verstrickt sein könnte. Gemeinsam kann festgestellt werden, ob das angreifende System nur als Sprungbrett benutzt wurde. D.h. der Angreifer hat zuvor schon diese Systeme eingenommen,
um von ihnen aus weitere Angriffe zu fahren und seine Identität zu verschleiern. Alle
diese Maßnahmen setzen voraus, daß die rechtlichen Grundlagen geschaffen worden
sind, um Protokolldaten auswerten zu dürfen (siehe auch Kapitel 2.5).
4. Sicherstellung von Beweismaterial: Wenn möglich sollte vor einer Veränderung
eine komplette Kopie des Systemzustandes der angegriffenen Maschinen gemacht werden, damit diese später als Beweismittel verwendet werden kann. Mit diesen Backups
können Analysen auch auf anderen Geräten durchgeführt werden, während das betroffene Gerät nach Beseitigung des Schadens wieder eingesetzt werden kann. Es
ist empfehlenswert, die Daten auf ein Read-Only Medium zu speichern, damit kein
Verdacht der Verfälschung aufkommen kann. Die so erzeugten Datenträger müssen
mit Datum, Uhrzeit, Name des betroffenen Systems und Name der Person, die das
Medium erzeugt hat, versehen werden. Ebenso sollten alle Telefongespräche mitprotokolliert werden, die zu diesem Thema geführt wurden. Auch sollte dokumentiert
werden, wie das System wieder in seinen Betriebszustand überführt wurde.
5. Wiederherstellung eines sicheren Zustandes: Oft dienen kompromittierte Systeme nur dazu, einen Ausgangspunkt für weitere Angriffe zu schaffen. Somit werden
meistens Programme auf den Systemen installiert, die ein späteres Zurückkommen
des Angreifers durch einfache Hintertüren erlauben. Ist durch einen Integritätschecker
feststellbar, welche Dateien und Programme verändert oder neu installiert wurden,
kann sich die Wiederherstellung auf die betroffenen Dateien beschränken. Sind keine
Integritätschecker eingesetzt worden, so stellt sich die partielle Wiederherstellung des
Systems als äußers schwierig dar. Oftmals muß in solchen Fällen das System komplett neuinstalliert werden. Das trifft ebenfalls zu, wenn bei den gemachten Backups
nicht klar ersichtlich ist, welches Backup noch sauber und welches schon durch den
Angriff verseucht ist. Grundsätzlich sollten die Backups immer deutlich mit Datum
und Maschinenname gekennzeichnet sein. Ebenso sollten die Datenträger auch leicht
auffindbar sein. Bei der Wiederherstellung von Systemen sollte großer Wert darauf
gelegt werden, daß die Lücken und Fehler, durch die der Angriff ermöglicht wurde,
ausgemerzt werden, da sonst der nächste Angriff nicht lange auf sich warten läßt.
292
Sind die ausgenutzten Schwachstellen erkannt, so sollte eine eindeutige Signatur dieses Angriffs in die Datenbank der automatischen Protokollauswertung aufgenommen
werden.
6. Ausführliche Dokumentation und abschließende Bewertung des Vorfalles: Zusätzlich zur ausführlichen Dokumentation der Tätigleiten und Fakten für die
rechtliche Verfolgung ist eine Dokumentation der verwendeten Schwachstellen unerlässlich. Somit können die Hersteller die entdeckte Schwachstelle durch einen Patch
entschärfen. Mit Hilfe der so erstellten Dokumentation der Vorgehensweise können
im nachhinein Verbesserungen in der Handlungsweise vorgenommen werden.
10.9
Praktische Aufgaben
10.9.1
Tripwire
293
1. Laden Sie sich das RPM Paket für Red Hat 7.x von http://www.tripwire.org/
herunter und installieren Sie es, nachdem Sie überprüft haben, das das Programm
siggen auf Ihrem Rechner existiert.
2. Ändern Sie das mitgelieferte Policyfile so ab, daß
• die Verzeichnisse von Tripwire definiert sind,
• Sie auf Ihrem Rechner nur /etc überwachen
• die Wertigkeiten der zu überwachenden Files und Verzeichnisse festgelegt sind,
• die Tripwire-Binaries überwacht werden,
• die Tripwire-Konfigurationsfiles überwacht werden
und generieren Sie das von Tripwire einzulesende Policyfile.
3. Initialisieren Sie die Datenbank mit dem derzeitig gültigen Stand.
4. Ändern Sie eines der in /etc/ beheimateten Konfigurationsfiles ab, fügen Sie ein
Testfile innerhalb eines Unterverzeichnisses von /etc hinzu. Starten Sie nun einen
Integritätscheck. Was sehen Sie?
5. Der so erzeugte Stand soll anhand des erzeugten Berichtes als Ist-Stand in die Integritätsdatenbank aufgenommen werden.
6. Machen Sie die vorher gemachten Änderungen rückgängig und ändern Sie die Datenbank anhand eines interaktiven Integritätschecks.
10.9.2
Snort
1. Installieren Sie Snort über YaST2.
2. Lassen Sie die Defaultkonfiguration unverändert und starten Sie Snort über das Startskript.
3. Lassen Sie von Ihrem Partnerrechner einen Nmap auf Ihre Maschine laufen. Was
sehen Sie in den Logfiles?
4. Lassen Sie einen Nessusscan auf Ihre Maschine laufen. Was sehen Sie in den Logfiles?
A
294
Anhang
A.1
Boot- und Sicherungskonzept
Jeder Gruppe stehen fünf Speicherplätze(Slots) für Backups zur Verfügung. Die Backups
werden immer inkrementell (level 1) zum Defaultimage erstellt. Im folgenden werden die
mit dem Backup/Restore Vorgang zusammenhängenden Befehle dargestellt. Im Normalfall
sollte ein Aufruf der Befehle ohne Parameter ausreichend sein.
• listbackups
Aufruf:
listbackups [SLOT]
Funktion:
Listet alle bereits erstellten Backups oder deren Inhalt auf.
Parameter:
SLOT Ist eine Ziffer zwischen 1 und 5, die eine Auswahl eines bestimmten Backups ermöglicht. Falls dieser Parameter angegeben ist, wird
der Inhalt (also die Dateien) des in SLOT gesicherten Backups angezeigt. Ein Aufruf ohne Parameter listet die Belegung der Slots.
• dobackup
Aufruf:
dobackup [SLOT]
Funktion:
Sichert die Daten auf dem Server.
Parameter:
SLOT ist eine Ziffer zwischen 1 und 5, die eine Auswahl eines bestimmten Backups ermöglicht. Die bereits vorhandenen Backups mit zugehörigen Slot Ziffern, erhält man über listbackups. Falls der Parameter angegeben ist, wird das Backup in dem gewählten Slot durch
ein neues Backup ersetzt.
Default Wert: nächster freier Slot oder, falls alle Slots belegt sind,
ältester Slot.
• dorestore
Aufruf:
dorestore [EXTMASK [SLOT]]
Funktion:
Stellt Backups wieder her.
295
Parameter:
EXTMASK spezifiziert die zu extrahierenden Dateien.
Default Wert: /
SLOT Ist eine Ziffer zwischen 1 und 5, die eine Auswahl eines bestimmten Backups ermöglicht. Die bereits vorhandenen Backups mit zugehörigen Slot Ziffern, erhält man über listbackups.
Default Wert: letztes gesichertes Backup.
A.1.1
Beispiele
dorestore
stellt die Datei /etc/HOSTNAME aus dem Backup in Slot 3 wieder her.
/etc/HOSTNAME
3
dorestore
stellt die Datei /etc/HOSTNAME aus dem letzen gesicherten Backup wie/etc/HOSTNAME der her.
dorestore
A.1.2
stellt alle Dateien aus dem letzen gesicherten Backup wieder her.
Anmerkungen
Da die Befehle zentral auf dem Server verarbeitet werden und die Verbindung durch ssh
verschlüsselt ist, benötigt man ein Passwort. Dieses Passwort ist gleich dem default rootPasswort auf den Rechnern. Beim ersten Aufruf eines dieser Befehle kann es sein, daß eine
Anfrage kommt, ob man den ssh-Hostkey des Servers cachen möchte. Diese Frage einfach
mit yes beantworten.
Sollte jemand sein System soweit ”zerschießen”, daß die oben genannten Befehle nicht mehr
korrekt ausgeführt werden können, so bitte einfach direkt an einen der Betreuer wenden.
A.2
Kryptographisches Filesystem
Auf allen Rechern befindet sich pro Gruppe ein verschlüsseltes Filesystem. Die Root-(/)Partition kann nur in Abhängigkeit vom richtigen Partitionspasswort erfolgreich gemounted
werden. Standardmäßig ist das Passwort des kryptographischen Filesystems gleich dem
bekannten root-Passwortes. Daher sollte sofort nach dem ersten Booten des Systems das
Passwort sowohl für den root-Account, als auch für das Filesystem unverzüglich geändert
296
werden.
Für das Ändern des Passwortes steht dem Benutzer der Befehl chcryptopw zur Verfügung.
Zuerst wird der Benutzer aufgefordert, sein altes Passwort einzugeben und danach kann er
durch zweimalige Eingabe des gewünschten neuen Passwortes die Änderung vollziehen.
A.3
Rechtliches
Strafgesetzbuch:
• Unbefugte Datenbeschaffung (Art. 143)
• Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis)
• Datenbeschädigung (Art. 144bis)
Zweites Gesetz zur Bekämpfung der Computerkriminalität:
• Paragraph 202a: Ausspähen von Daten
(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten
Zugang besonders gesichert sind, sich oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
• Paragraph 263a: Computerbetrug
(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil
zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms,
durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beinflußt,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
• Paragraph 303a: Datenveränderung
(1) Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft,
• Paragraph 303b: Computersabotage
(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er
1. eine Tat nach Paragraph 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt oder
unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
297
Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 Verordnung zum
Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993
Art. 3 definiert folgende Ausdrücke zum Thema Datenschutz:
• Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare
Person beziehen.
• Betroffene Personen: natürlich oder juristische Personen, über die Daten bearbeitet
werden.
• Besonders schützenswerte Personendaten: Daten über
1. Die religieusen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten.
2. Die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.
3. Massnahmen der sozialen Hilfe.
4. Administrative oder strafrechtliche Verfolgungen und Sanktionen
• Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt
• Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten
Mitteln und Verfahren, insbesondere das Beschaffen, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten
• Bekanntgeben: das Zugänglichmachen von Personendaten wie das Einsichtgewähren,
Weitergeben oder Veröffentlichen
• Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, das die
Daten nach betroffenen Personen erschließbar sind
• Bundesorgane: Behörden und Dienststellen des Bundes sowie Personen, soweit sie
mit öffentlichen Aufgaben des Bundes betraut sind
• Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den
Zweck und Inhalt einer Datensammlung entscheiden
• Formelles Gesetz:
1. Bundesgesetze und referendumsplichtige allgemeinverbindliche Bundesbeschlüsse
2. Für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von
der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt.
298
• Grundsätze
1. Personendaten dürfen nur rechtmäßig beschafft werden.
2. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muß verhältnismäßig sein.
3. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
A.4
Grundlagen von TCP/IP Netzwerken
Bitmaskenlänge
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Dezimalformat
HEX-Format
Bitmaske
0.0.0.0
128.0.0.0
192.0.0.0
224.0.0.0
240.0.0.0
248.0.0.0
252.0.0.0
254.0.0.0
255.0.0.0
255.128.0.0
255.192.0.0
255.224.0.0
255.240.0.0
255.248.0.0
255.252.0.0
255.254.0.0
255.255.0.0
255.255.128.0
255.255.192.0
255.255.224.0
255.255.240.0
255.255.248.0
255.255.252.0
255.255.254.0
255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
255.255.255.254
255.255.255.255
00
80
c0
e0
f0
f8
fc
fe
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
00000000.00000000.00000000.00000000
10000000.00000000.00000000.00000000
11000000.00000000.00000000.00000000
11100000.00000000.00000000.00000000
11110000.00000000.00000000.00000000
11111000.00000000.00000000.00000000
11111100.00000000.00000000.00000000
11111110.00000000.00000000.00000000
11111111.00000000.00000000.00000000
11111111.10000000.00000000.00000000
11111111.11000000.00000000.00000000
11111111.11100000.00000000.00000000
11111111.11110000.00000000.00000000
11111111.11111000.00000000.00000000
11111111.11111100.00000000.00000000
11111111.11111110.00000000.00000000
11111111.11111111.00000000.00000000
11111111.11111111.10000000.00000000
11111111.11111111.11000000.00000000
11111111.11111111.11100000.00000000
11111111.11111111.11110000.00000000
11111111.11111111.11111000.00000000
11111111.11111111.11111100.00000000
11111111.11111111.11111110.00000000
11111111.11111111.11111111.00000000
11111111.11111111.11111111.10000000
11111111.11111111.11111111.11000000
11111111.11111111.11111111.11100000
11111111.11111111.11111111.11110000
11111111.11111111.11111111.11111000
11111111.11111111.11111111.11111100
11111111.11111111.11111111.11111110
11111111.11111111.11111111.11111111
00
00
00
00
00
00
00
00
00
80
c0
e0
f0
f8
fc
fe
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
ff
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
80
c0
e0
f0
f8
fc
fe
ff
ff
ff
ff
ff
ff
ff
ff
ff
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
80
c0
e0
f0
f8
fc
fe
ff
Anzahl
IP-Adressen
16777214
8388606
4194302
2097150
1048574
524286
262142
131070
65534
32766
16382
8190
4094
2046
1022
510
254
126
62
30
14
6
2
-
Tabelle 14: Netzmasken
Tabelle 14 listet alle möglichen Netzmasken in verschiedenen Notationen auf. In der letzten
Spalte ist die maximale Anzahl der im Netz verwendbaren IP-Adressen angegeben.
Zu beachten ist, daß für die Subnetz-Bildung nur Masken mit einer Länge von 8 bis 30
299
Bits möglich sind. Alle anderen Masken (0 bis 7, 31 und 32 Bit) können jedoch für die
Konfiguration der Routen sinnvoll sein, z.B. Maskenlänge 0 für die Default-Route oder
Länge 32 für eine Host-Route (Route zu einer einzelnen IP-Adresse).
A.5
A.5.1
Dienste in TCP/IP Netzwerken
Wissenswertes zum Thema FTP
Der Kommandoaufruf des FTP-Clients lautet
ftp [ -v ] [ -d ] [ -i ] [ -n ] [ -g ] [ host ]
Wird beim Programmaufruf der gewünschte Kommunikationspartner (host) mit angegeben, so wird sofort versucht, eine Verbindung zu diesem Rechensystem aufzubauen.
Ist der Versuch erfolglos, so wird in den Kommandomodus umgeschaltet. Der Prompt
ftp> erscheint immer auf dem Bildschirm, wenn ftp-Kommandos eingegeben werden
können. ftp verfügt über einen help-Mechanismus, über den sämtliche, auf dem jeweiligen
System verfügbare Kommandos mit Kurzerklärungen abfragbar sind.
Nachfolgend werden wesentliche Kommandos, nach Funktionalität gruppiert, vorgestellt.
Kommandos können soweit verkürzt eingegeben werden, als sie noch eindeutig erkennbar
sind. Nicht alle ftp-Implementierungen unterstützen alle ftp-Kommandos.
help [ kommando ]: zeigt kurze Informationen zu dem angegebenen Kommando. Wird
das Kommando weggelassen, zeigt dieser Aufruf eine Liste der zulässigen Kommandos.
open host: öffenen einer Verbindung zu einem fernen Host. Je nach angewähltem System
werden Benutzerkennung und Passwort abgefragt.
user user-name [ password ]: Eingabe von Benutzerkennung und Passwort. Aufruf einer (eingeschränkten) Shell auf dem lokalen System. Für Dateiübertragung relevante
Kommandos wie mkdir, mv, cp, etc sind absetzbar. Verlassen wird diese Shell mit
’exit’.
lcd [directory ]: Wahl des lokalen Directories für die Dateiübertragung.
pwd: Anzeige des aktuellen Directories auf dem entfernten System.
cd: remote-directory Wahl des aktuellen Directories auf dem entfernten System.
cdup: Wechsel in das nächsthöhere Directory auf dem entfernten System.
dir [ remote-directory [ local-file ] ]
und
ls [ remote-directory [
local-file ] ]: Ohne Optionen erfolgt eine Anzeige der Einträge des entfernten aktuellen Directories. Dabei liefert dir ausführliche und ls eine knappe
300
Information bezüglich des Directory-Inhalts. Bei Angabe des remote-directory erfolgt die Anzeige der Einträge des entfernten Directories. Wird local-file angegeben,
erfolgt eine Umlenkung der Directory-Anzeige in die Datei local-file auf dem lokalen
System.
mdir remote-files [ local-file ] und mls remote-files [ local-file ]: Anzeige von Dateien aus dem entfernten aktuellen Directory und Abspeicherung in eine
lokale Datei.
mkdir directory-name: Einrichten eines neuen Directories directory-name auf dem entfernten System.
rmdir directory-name: löscht das Directory directory-name auf dem entfernten System.
rename [ from ] [ to ]: Umbenennen einer Datei auf dem entfernten System von from
nach to.
delete remote-file: löschen der Datei remote-file auf dem entfernten System.
mdelete remote-files: löschen mehrerer Dateien remote-files auf dem entfernten System.
put local-file [ remote-file ] und send local-file [ remote-file ]: Dateiübertragung der Datei local-file vom lokalen zum entfernten System. Wird remotefile nicht angegeben, so wird auch auf dem Zielsystem der Dateiname local-file verwendet.
append local-file [ remote-file ]: überträgt die Datei local-file vom lokalen System
an das entfernte System und hängt diese am Ende der Datei remote-file an. Wurde
remote-file nicht angegeben, wird die Datei ans Ende der Datei local-file auf dem
entfernten System angehängt.
mput local-files: Dateiübertragung einer Dateigruppe namensgleich vom lokalen zum
entfernten System.
get remote-file [ local-file ] und recv remote-file [ local-file ]: Dateiübertragung einer Datei remote-file vom entfernten System zum lokalen System.
Wird local-file nicht mitangegeben, so erhält die Datei auch auf dem lokalen System
den Dateiname remote-file.
mget remote-files: Dateiübertragung einer Dateigruppe namensgleich vom entfernten
zum lokalen System.
ascii und type ascii: Die Dateiübertragung findet im ASCII-Code statt. Gegebenenfalls werden bei Binärdateien Zeichen verändert (z. B. die Zeilenendedarstellung ans
Zielsystem angepaßt) oder Zeichen verfälscht.
301
binary und type image und type binary: Die Dateiübertragung findet transparent
statt.
case: Mit diesem Schalter läßt sich einstellen, ob Dateinamen beim Empfangen (get, recv,
mget) von Großbuchstaben in Kleinbuchstaben übersetzt werden sollen.
glob: Mit diesem Schalter läßt sich einstellen, ob bei den Kommandos mdelete, mget
und mput bei Dateinamen, die Metazeichen enthalten, diese Metazeichen übertragen
werden oder nicht. (’off’ keine Metazeichenbehandlung).
ntrans [ inchars [ outchars ] ]: Definition und Aktivierung einer Übersetzungstabelle für Dateinamen, wenn beim Dateiübertragungsauftrag (Senden und Empfangen) keine Zieldateinamen angegeben werden. Zeichen eines Dateinamens, die in inchars zu finden sind, werden durch das positionsgleiche Zeichen in outchars übersetzt.
Ist inchars länger als outchars, so werden die korrespondenzlosen Zeichen von inchars
aus dem Zieldateinamen entfernt.
prompt: Mit diesem Zeichen wird bei Mehrdateienübertragung gesteuert, ob jede zu übertragende Datei extra quittiert werden muß oder nicht.
verbose: Wenn der ’verbose’-Modus eingeschaltet ist, erhält man für jede übertragene Datei den Dateinamen auf dem lokalen und entfernten Rechner, sowie die Datenmenge
und die dafür benötigte Übertragungszeit angezeigt.
bell: Dieser Schalter bewirkt, daß je nach Stellung am Ende jedes Dateiübertragungsauftrages ein akustisches Signal ertönt oder nicht.
status: Anzeige der aktuellen logischen Schalterstellungen sowie des Verbindungszustandes.
close und disconnect: Beendigung einer aktiven Verbindung.
quit: Beendigung des Programmes ftp.
bye: Beendigung einer aktiven Sitzung und des Programmes ftp.
Die optionalen Parameter beim ftp-Kommando setzen logische Schalter für den ftpProgrammlauf. Im Kommandomodus sind die Einstellungen jederzeit wieder änderbar.
-v verbose-Schalter einschalten.
-d debug-Schalter einschalten.
-i interactive-Modus für Mehrdateiübertragung einschalten.
-n verhindert, daß FTP zum Beginn der Sitzung einen Login-Versuch unternimmt.
-g glob-Schalter einschalten.
302
Die Dateiübertragung wird durch die Terminal ’interrupt’-Taste (üblicherweise Ctrl-C)
abgebrochen, was einen sofortigen Abbruch zur Folge haben soll. Nicht alle Kommunikationspartner verstehen die Abbruchaufforderung und dann wird dennoch die gesamte Datei
übertragen.
Ein kleines Beispiel für eine FTP Verbindung sieht man in Abbildung 76:
A.5.2
Wissenswertes zum Thema SSH
Das Softwarepaket SSH besteht aus mehreren Kommandos und Konfigurations-Dateien,
die im Folgenden näher beschrieben werden.
Übersicht über die Kommandos:
• ssh: Einloggen bzw. Ausführen von Kommandos (Ersatz für telnet, rlogin und rsh)
• slogin: Alias für ein ssh ohne Kommando-Argument
• scp: Kopieren von Dateien (modifiziertes rcp, das ssh für den Daten-Transfer verwendet)
• ssh-keygen: Erzeugen eines Key-Paares (dient zur strengen Authentifizierung)
• ssh-agent: Optionaler Authentifizierungs-Agent zur leichteren Handhabung von individuellen Secret-Keys
• ssh-add: Steuerung des ssh-agent
• make-ssh-known-hosts: Tool zum einfachen Sammeln von Public-Keys
• sshd: Server-Dämon auf dem Remote-Rechner
ssh als Ersatz von telnet und rlogin:
• ssh [User-ID@] Remote-Host
• Die User-ID muß nur dann angegeben werden, wenn die User-IDs auf der ClientWorkstation und dem Zielrechner unterschiedlich sind.
ssh als Ersatz von rexec und rsh:
• ssh [User-ID@] Remote-Host Befehl
• Wenn der Befehl Wildcards (?, * usw.) enthält, muß er in Hochkommata eingeschlossen werden, damit diese auch wirklich erst auf dem Zielrechner aufgelöst werden.
303
ftp ftp.debian.org
Connected to ftp.debian.org.
220 saens.debian.org FTP server (vsftpd)
Name (ftp.debian.org:boadmin): anonymous
331 Please specify the password.
Password:
230 Login successful. Have fun.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
debian
debian-archive
lost+found
226 Directory send OK.
36 bytes received in 0.011 seconds (3.26 Kbytes/s)
ftp> cd debian
250 Directory successfully changed.
ftp> ls
150 Here comes the directory listing.
README
README.CD-manufacture
README.mirrors.html
README.mirrors.txt
README.non-US
README.pgp
dists
doc
indices
ls-lR
ls-lR.gz
ls-lR.patch.gz
pool
project
tools
226 Directory send OK.
ftp> lcd /tmp
Local directory now /tmp
ftp> bi
200 Binary it is, then.
ftp> mget README.pgp
mget README.pgp? y
150 Opening BINARY mode data connection for README.pgp (17180 bytes).
226 File send OK.
local: README.pgp remote: README.pgp
ftp> quit
221 Goodbye.
Abbildung 76: FTP zu ftp.debian.org
304
scp als Ersatz von rcp und ftp:
• Um eine Datei von der lokalen Workstation zu einem entfernten Zielrechner zu übertragen:
scp Datei [User-ID@] Remote-Host: [Datei | Directory]
• Um eine Datei von einem entfernten Rechner auf die lokale Workstation zu kopieren:
scp [User-ID@] Remote-Host: Datei Datei | Directory
Es ist möglich, durch die Angabe von Wildcards (z. B. *.txt) mit einem Befehl mehrere
Dateien zu kopieren. In diesem Fall muß für das Zielsystem ein bereits existierendes Verzeichnis angegeben werden, in das die Dateien kopiert werden sollen. Die Angabe einer
Zieldatei ist dann nicht möglich.
Um ganze Verzeichnisse rekursiv zu kopieren, kann man die Option -r verwenden:
scp -r Directory [User-ID@] Remote-Host: [Directory]
scp -r [User-ID@] Remote-Host: Directory Directory
Gibt man die User-ID nicht explizit an, wird diejenige genommen, unter der das scpKommando auf der lokalen Workstation abgesetzt wird. Alternativ kann in einer lokalen
ssh-Konfigurationsdatei $HOME/.ssh/config für jeden Zielrechner eine User-ID definiert
werden, die defaultmäßig genommen wird.
Fragen und Antworten zur SSH:
• Informationen über den ssh-Verbindungsaufbau: Mit der Option -v wird ssh/scp im
’Verbose Mode’ aufgerufen. Hierdurch werden Informationen ausgegeben, die zur Problemanalyse hilfreich sein können.
• Wieso fragt ssh nach dem Passwort auf dem Zielrechner statt nach der RSAPassphrase? Es gibt drei Gründe:
1. Der öffentliche Schlüssel wurde
$HOME/.ssh/authorized keys bzw.
gelegt.
nicht auf dem Zielrechner in
$HOME/.ssh/authorized keys2 ab-
2. Das Heimatverzeichnis des Benutzers auf dem Zielrechner hat zu viele Rechte.
In der Standardkonfiguration erwartet ssh, daß Schreibrechte nur für den Owner
gesetzt sind. Sobald sie auch für andere gesetzt sind, schaltet ssh auf Validierung
über Passwort zurück.
3. Die Verwaltung der Benutzerdaten auf dem Zielrechner läuft über DCE. In
diesem Fall hat man keine Möglichkeit, die RSA-Authentisierung zu nutzen.
• Man erhält die Warnung ’Host key not found from the list of known hosts’. Man sollte
sicherstellen, daß die Datei /etc/ssh known hosts existiert und auf dem aktuellen
Stand ist. Beim ssh-Zugang zu einem anderen Rechner muß man beim ersten Login
über ssh darauf vertrauen, daß der HostKey, den der Zielrechner anbietet, korrekt
ist. In jedem Fall kann der Login-Prozeß mit yes fortgesetzt werden. Der HostKey
305
wird dann automatisch in die Datei $HOME/.ssh/known hosts eingetragen, und die
Meldung sollte beim nächsten Login über ssh nicht mehr erscheinen. Außerdem sollte
man darauf achten, daß man den Zielrechner immer in derselben Form anspricht, da
der Name zusammen mit dem HostKey in $HOME/_
ssh/known hosts eingetragen wird
und der HostKey anschließend nur für diesen Namen bekannt ist.
• Man erhält die Warnung ’HOST IDENTIFICATION HAS CHANGED! ...’ Man sollte
die Verbindung durch die Eingabe no zunächst einmal abbrechen. Erkundigen Sie
sich bitte beim jeweiligen Administrator, ob der HostKey wirklich geändert wurde.
Ist dies der Fall, sollten Sie den bestehenden Eintrag für die Maschine aus der Datei
$HOME/.ssh/known hosts löschen, damit der aktuelle HostKey beim nächsten Login
an die Datei angefügt werden kann.
Wichtige Informationsquellen zur SSH:
• Manpages zur SSH (ssh, sshd, scp, ssh-key-gen, etc. )
• http://www.lrz-muenchen.de/services/security/ssh/
• http://www.ssh.com/
• http://www.openssh.org/
A.5.3
Wissenswertes zum Thema WWW
WWW Allgemein In diesem Zusammenhang noch ein Hinweis: Alles was man beim
Surfen im WWW auf dem Bildschirm sieht, ist in den lokalen Rechner übertragen worden und kann natürlich auch dauerhaft abgespeichert werden (File-Menü des Browsers,
Menüpunkt ’Save as...’). Ebenso lassen sich die Bilder abspeichern (beim Netscape-Browser
Mauszeiger auf das Bild ziehen, rechte Maustaste drücken).
Wie kommt man zu interessanten Informationen? Es gibt drei Möglichkeiten:
1. Durch Empfehlung von Bekannten (Es können auch Informationen aus den News
sein). Jemand sagt also zu Ihnen: ’Probiere mal: http://www.uni-muenchen.de/’.
Das tippen Sie dann ins Adreßfenster des Browsers und schon landen Sie auf dem
entsprechenden Computer, der Ihnen die gewünschte Information serviert.
2. Durch Netsurfen. Sie starten einfach irgendwo. Klicken Sie auf einen der Links und
Sie werden auf einem Server irgendwo in der großen weiten Welt landen. Die Chance
ist groß, daß diese Web-Seite weitere Links enthält und so werden Sie von Australien
bis Japan springen und dabei ein paar interessante Dinge entdecken.
3. Durch Suchen. Ähnlich wie bei Gopher gibt es etliche Server, die mit Suchmaschinen
einen Index vieler, vieler WWW-Server anlegen. In diesem Index kann man dann
nach Stichworten suchen.
306
Oft hat man schon eine recht große Anzahl an Bildschirmen und WWW-Schritten hinter
sich, bis man an der gewünschten Stelle oder interessanten Information angekommen ist.
Um sich einen relativ langen oder umständlichen Weg bis zu dieser Stelle ein zweites Mal
zu ersparen, kann man solche Stellen im WWW in der persönlichen ’Hotlist’ eintragen.
Ein weiteres Merkmal des WWW ist die Schreiboption. Damit ist es möglich, Formulare,
z. B. Bestellscheine von Bibliotheken oder Anmeldungen für Konferenzen, auszufüllen und
abzuschicken. Diese Formulare werden dann von Programmen auf dem Server-Rechner
bearbeitet. Diese schicken dann die Antwort wieder als WWW-Dokument zurück.
Java Mit Java hat SUN Microsystems etwas Neues geschaffen. Es können nun mit
einer WWW-Seite nicht nur Text, Bilder, Sounds oder Animationen an den eigenen
Rechner geliefert werden, sondern Programme, die lokal ablaufen. Statt beispielsweise
ein Diagramm als Grafik zu senden, wird nun ein Diagramm-Zeichenprogramm mit den
Daten geschickt. Um dann die Änderung der Daten kontinuierlich zu zeigen, müssen
nun nur noch wenige Daten gesendet werden. Java ist eine richtige Programmiersprache, die an die Sprache C++ angelehnt ist. Wenn man im Browser eine Seite mit
einem Java-Programm wählt, wird dieses Programm übertragen und dann von lokalen
Browser ausgeführt. Der Ansatz für Java entstand noch unter der Prämisse, Java auf
intelligenten Peripheriegeräten, z. B. beim interaktiven Fernsehen, einzusetzen. Eine
logische Konsequenz daraus war der Wunsch nach Vereinfachung gegenüber existierenden
Technologien und nach geringem Ressourcenverbrauch. C++ wurde daher schon recht
früh als Programmiersprache verworfen. Um aber den Aufwand des Umstiegs für C-,
Smalltalk- und Eiffel-Programmierer gering zu halten, lehnt sich Java zum Teil deren
Konzepte an und legt die C++-Syntax zugrunde. Wichtige Unterschiede zwischen Java
und C++ sind die Eliminierung der ’herkömmlichen’ Zeiger, der zusammengesetzten und
der vorzeichenlosen Datentypen. Neu (zumindest gegenüber C++) sind ’sichere’ Arrays
und vor allem ein Garbage Collector, der Speicherbereiche, die nicht mehr referenziert
werden, automatisch freigibt. Die Java-Programme werden in ein kompaktes Format
übersetzt, den Bytecode. Das ist an sich nichts neues, prinzipiell gab es das schon seit ca.
20 Jahren bei den BASIC-Interpretern der Heimcomputer. Im Java fähigen Browser ist
dann ein Interpreter für diesen Bytecode enthalten.
Der Interpreter überprüft den Bytecode vor der Ausführung auf unerlaube Zugriffe auf
Ressourcen. Auf diese Weise sind zwei Ausführungsmodi möglich: Einem lokal gestarteten
Java-Applet (so nennt man die Java-Programme) kann der Benutzer den Zugriff auf den
Rechner erlauben. Aus dem Netz geladene Applets behandelt Java dagegen äußerst mißtrauisch. Sie sind quasi in den Interpreter eingesperrt und verwenden genau definierte und
vom Benutzer kontrollierte Möglichkeiten, beispielsweise auf die Festplatte zu schreiben.
Zusätzlich wird jedes Applet vor und während der Ausführung auf korrekte Benutzung
der Methoden und Instanzvariablen, mißbräuchliche Benutzung von Objektreferenzen,
Stack-Überläufe und Zugriffsbeschränkungen getestet. Auch das Überschreiben von als
sicher akzeptierten Klassen aus der lokalen Klassenbibliothek durch potentiell gefährliche
307
Klassen aus dem Netz ist nicht ohne Erlaubnis des Benutzers möglich. Dies kann soweit
gehen, daß der Benutzer jedes Laden einer externen Klasse bestätigen muß.
Für grafische Oberflächen, Ein-/Ausgabe, mathematische Operationen und Netzwerkfunktionen existieren vordefinierte Klassen. Ein Java-Programmierer muß nicht gleich
alles wissen, die Einarbeitungszeit ist unter Java viel kürzer als unter C++. Eine
Beschränkung der Programmiersprache auf spezielle Anwendungsgebiete ist (theoretisch)
nicht vorgegeben. Was die Entwicklung vollwertiger Stand-alone-Programme angeht, gilt
für Java jedoch das gleiche wie für andere plattformübergreifende Bibliotheken: es ist nur
der ’kleinste gemeinsame Nenner’ implementiert.
Für Java-Code, der in einem Web-Browser ablaufen soll, dient die Klasse ’Applet’ als
Ausgangspunkt. Im HTML-Code werden die Java-Klassen durch das <applet>-Tag
eingebettet. ’Applet’ definiert als Superklasse für alle Applikationen, die in Browser
eingebettet werden sollen, auch einen Eventhandler für Benutzereingaben. Die wichtigsten
Methoden für ein Applet sind die Initialisierung, Aktivierung der Anzeige, Deaktivierung
der Anzeige und das Terminieren. Der Programmierer definiert in diesen Methoden
das Verhalten des Applets auf der Seite. Gemäß dem ’Java-Knigge’ sind Applets so
zu programmieren, daß sie nur dann Rechenzeit beanspruchen, wenn die umgebende
HTML-Seite angezeigt wird. Mit Java lassen sich auch komplette Bedienoberflächen
programmieren. Die Möglichkeit, mit einem Mausklick ein Applet zu stoppen und wieder
anzustarten, runden die Vorschriften ab. Um nicht den Browser mit der Interpretation des
Applets zu blockieren und auch mehrere Applets simultan in einer HTML-Seite animieren
zu können, sind Threads bereits Grundausstattung der Java-Laufzeitumgebung. Wer
sich für Java interessiert, findet Java-Seiten mit vielen Demos, den HotJava-Browser
(für SUNs) und Java-Entwicklersoftware auf dem Server von SUN Microsystems unter
http://java.sun.com/. Die Entwicklertools für Java-Applikationen stecken noch in den
Kinderschuhen und sind zwar mächtig in der Leistung, aber noch recht unkomfortabel in
der Bedienung.
In Java wurden zum einen erfolgreiche Konzepte aus bereits bestehenden Sprachen (z.B.
C, C++, Smalltalk, Eiffel, Ada, Objectiv-C) übernommen, zum anderen neue Konzepte
verwirklicht. Java ist eine junge Interpretersprache, die viele mächtige Konzepte in
sinnvoller Weise integriert. Sie ist völlig objektorientiert, interpretiert, einfach, architekturneutral, portabel und sicher. Eine gute Performance kann durch Multithreading
und optionalen Nativecode erreicht werden. Ausgiebige Kompilierzeitüberprüfungen und
strikte Laufzeitckecks garantieren ein robustes und sicheres Verhalten der Applikationen.
Sie kann somit neben der Möglichkeit des schnellen Prototyping als eine stabile Basis für
verteilte und erweiterbare Systeme dienen.
Die wesentlichen Gesichtspunkte sind:
• Objektorientiert
• Architekturunabhängig und portabel
• Robustheit
308
• Multithreading
• Garbage Collection
• Sicherheit
Java ist vollkommen objektorientiert. Jede objektorientierte Sprache sollte ein Minimum
der folgenden Charakteristiken in sich haben:
• Encapsulation: Informationen (bzw. Attribute und Methoden) werden gekapselt, d.h.
konkrete Implementierung und Strukturen sind für den Anwender nicht sichtbar.
Lediglich Funktionalität und Interface eines Objektes werden bekanntgegeben.
• Inheritance: Subklassen ’erben’ Inhalte von Klassen
• Dynamic binding: ermöglicht ein Maximum an Flexibilität zur Laufzeit
All diese Anforderungen werden von Java in hohem Maße erfüllt. Es werden sogar zusätzlich
weitere runtime-features geboten, die die Software-Entwicklung einfacher machen können.
Wichtige Begriffe in diesem Zusammenhang, die auch in Java vorkommen, sind:
Klassen: Definiert Attribute und Methoden
Object : instanzierte Klasse
Message: Aufruf einer Methode eines anderen Objektes
Constructor: Methode, die die Initialisierung eines, einer Klasse instanzierten Objektes,
vornimmt
Destructor: Gegenstück zum Constructor.
Access Control: Bei der Deklarierung einer Klasse können Attribute und Methoden mit
verschiedenen Zugriffsleveln (public, protected, private, friendly) versehen werden.
Abstract Methods: Methoden, die in einer Klasse deklariert werden, deren Implementierung aber erst in einer Subklasse erfolgt.
Packages: Java-Konstrukt, das eine Sammlung von zusammengehörenden Klassen bildet.
Wichtige Eigenschaften von Java
• Objektorientierung
• Multithreading
309
• Robustheit
• Sicherheit
• Erweiterbarkeit
• Plattformunabhängigkeit
Was Java hat:
• import: vergleichbar dem IMPORT von Modula-2.
• interface: ein geschickter Ersatz für die Mehrfachvererbung.
• Garbage Collection
• Verbesserte Ausnahmebehandlung
• Wohldefinierte Klassenhierarchie
Eigenschaften, die nicht von C oder C++ übernommen wurden:
• In Java gibt es keine Präprozessor-Direktiven (wie z.B. #define) mehr.
• Es gibt keine Headerfiles, dafür aber Interfaces, die die Definition anderer Klassen
und deren Methoden beinhalten.
• Multiple Inheritance wurde durch Interfaces ersetzt, die Methodendefinitionen von
Klassen gleich setzt können.
• Kein ’goto’-statement (definiert, aber nicht implementiert).
• Kein Operator-overloading.
• Keine Pointer.
• Keine Typdefinitionen.
• Keine Variante Records (union).
• Keine generische Typen (templates).
• Keine Mehrfachvererbung.
• Keine vorzeichenlose Zahlentypen.
• Keinen direkten Hardwarezugriff.
310
Durch die Verwendung von byte-code im Gegensatz zum Binärcode ist Java völlig architekturneutral. Java-Programme lassen sich auf allen Plattformen ausführen, auf welche die
Virtual Machine portiert wurde. Portierungen werden durch die strikte Sprachspezifikation
unterstützt.
Java ist eine Sprache, die gedacht ist für robuste, zuverlässige und sichere Applikationen. Um dies zu erreiche,n wird ein striktes Compile-Time- Checking durchgeführt, das es
ermöglicht, Syntaxfehler früh zu entdecken. Java ist eine sehr typorientierte Sprache. Viele
C-Freiheiten, wie etwa implizite Deklaration von Funktionen, sind nicht erlaubt. Besondere Stützen der Robustheit sind die Abschaffung von Pointern, die Verwendung von echten
Arrays, ein Speichermodell, das die unerlaubte Überschreibung von Speicherbereichen verhindert und strengere Casting-Regeln.
Bereits bei der Konzeption von Java wurden grundlegende Überlegungen bezüglich der
Sicherheit angestellt. Der Java-Compiler und das Laufzeitsystem integrieren mehrere
Abwehrschichten gegen potentiell gefährlichen Code. Am wichtigsten ist sicherlich das
Speicherallozierungs- und -referenzierungsmodell. Entscheidungen über die Speicherbelegung werden nicht vom Compiler (wie in C oder C++), sondern erst zur Laufzeit vorgenommen. Intern verwendet Java sogenannte ’handles’, die zur Laufzeit in physikalische
Addressen aufgelöst werden. Dies geschieht sehr spät und z. T. auch abhängig von der
Architektur, jedoch völlig transparent für den Programmierer.
Was passiert, wenn gefährlicher Code auf einen Server generiert und zur Laufzeit auf dem
Client ausgeführt wird? Obwohl der Java-Compiler beim Übersetzen das Einhalten von bestimmten Sicherheitsregeln garantiert, bleibt er natürlich machtlos, wenn Code-Fragmente
zur Laufzeit on-the-fly gelinkt werden. Wie kann also das Laufzeitsystem dem hereinkommenden byte-code stream vertrauen, der vielleicht von einem nicht vertrauenswürdigen
Compiler erzeugt wurde? Die Antwort ist einfach: Java traut dem Code nicht und unterwirft
ihn deshalb dem byte-code-Verifizierungsprozeß. Dieser beinhaltet eine Reihe von sinnvollen, restriktiven Maßnahmen. Darunter sind einfache Typüberprüfungen, Ausklammerung
von Pointern, Ausschluß von Stack-Über- und -Unterläufen, strikte Parameterüberprüfung,
strikte Typkonvertierungen, Überprüfung der Speicherzugriffsrestriktionen. Weiter wird getestet, daß Objekte wirklich nur als solche verwendet werden.
Daten- und Kontrollfluß vom Java-Quellcode bis zur Ausführung sieht in Abbildung 77.
Trotz der ausgedehnten Verifizierungsprozeß bleibt Java (laut Sun) immer noch schnell
genug, da der Java-Interpreter von jeder weiteren Überprüfung hinsichtlich der Sicherheit
befreit ist und damit mit voller Geschwindigkeit arbeiten kann.
Weitere Sicherheitsaspekte sind im Java Networking Package implementiert, welches es
erlaubt verschiedene Sicherheitsebenen zu konfigurieren. Diese sind:
• alle Netzwerkzugriffe sind verboten
• Alle Netzwerkzugriffe sind erlaubt
• Netzwerkzugriffe sind nur jenen Hosts erlaubt, von denen der Code importiert wurde
311
Abbildung 77: Dataflow Java
• Netzwerkzugriffe sind auf Zugriffe außerhalb des Firewalls beschränkt, wenn der Code
von dort kommt.
Wer sich für Java interessiert, findet Java-Seiten mit vielen Demos, den HotJava-Browser
(für SUNs) und Java-Entwicklersoftware auf dem Server von SUN Microsystems unter
http://java.sun.com/.
JavaScript JavaScript ist eine Script-Sprache mit begrenzten Fähigkeiten. Sie hat im
Grunde mit Java nur einen Namensteil gemeinsam.
Programmiersprache Java an. JavaScript ist jedoch anspruchsloser im Aufbau als Java,
eingeschränkter in den Möglichkeiten und für andere Zwecke gedacht. JavaScript ist im
312
Gegensatz zu Java eine unmittelbare Ergänzung und Erweiterung zu HTML. JavaScript
bietet sich für folgende Zwecke an:
• Animation (z. B. Marquees = Lauftexte programmieren) und in WWW-Seiten einbinden. Dabei steht Ihnen nicht nur das Anzeigefenster zur Verfügung, sondern auch
Dialogbereiche des WWW-Browsers, etwa die Statuszeile.
• Projektsteuerung: Mit Hilfe von JavaScript lassen sich einige Lücken in HTML umgehen. So ist es mit Hilfe von JavaScript beispielsweise möglich, innerhalb eines FrameSets die Inhalte mehrerer Frame-Fenster gleichzeitig zu aktualisieren.
• Formularüberprüfung: Überprüfen der Anwendereingaben in einem HTML-Formular
während der Eingabe
• Dynamische WWW-Seiten: Mit Hilfe von JavaScript läßt sich erreichen, daß sich
WWW-Seiten während der Anzeige dynamisch verhalten. Beispielsweise: Wechsel
eines Bildmotivs, wenn sich die Maus über das Bild bewegt. Text generieren: Zur
Laufzeit HTML-formatierten Text generieren, z.B. das aktuelle Datum und die aktuelle Uhrzeit anzuzeigen.
• Anwendungen: Mit Hilfe von JavaScript lassen sich einfache Anwendungen programmieren. Das können z.B. wissenschaftliche oder kaufmännische Taschenrechner sein.
Auch einfache Spiele sind denkbar.
JavaScript-Programme werden im Gegensatz zu Java-Programmen direkt in der HTMLDatei notiert. Sie werden auch nicht - wie Java-Programme - compiliert, sondern als
Quelltext zur Laufzeit interpretiert, also ähnlich wie Batchdateien bzw. Shellscripts.
Dadurch bleibt JavaScript unkompliziert für den Programmierer, doch kritisch für den
Anwender. Das Interpretieren von Quellcode ist ungleich langsamer, als das Interpretieren
von compiliertem Code. Deshalb ist JavaScript nur für kleine und einfache Programmabläufe sinnvoll. Da kein Compilierungslauf und somit keine Fehlerprüfung stattfindet, gibt
es bei JavaScript auch keinen Schutz vor schweren Programmfehlern. Kleine Effekte, wie
das bekannte Ändern des Erscheinungsbildes eines grafischen Elements, wenn die Maus
darüber bewegt wird, lassen sich jedoch schnell realisieren.
Wie einfach JavaScript sein kann, sieht man hier.
<FORM>
<INPUT TYPE=BUTTON
VALUE="Klick mich oder ich beiss Dich!"
OnClick="alert(’Ich w"urde sowas an Deiner Stelle nicht machen!
Deine Platte wird jetzt gel"oscht!’)">
</FORM>
313
Satire: Wie selbstdokumentierend und selbsterklärend die Skripte sein können, zeigt
folgendes, einer real existierenden Webseite entnommene, Skript:
<SCRIPT>
var F_A,F_B,F_CH,F_CL,F_DB,F_E,F_F,F_L,F_MT,F_MV,F_R,F_SE,F_SU,F_U,F_HR,F_MU,F_MD;
function F_e(){}
function F_n(){}
function F_on(){}
</SCRIPT>
Beliebt sind auch die animierten Schaltflächen:
<SCRIPT LANGUAGE="JavaScript">

</SCRIPT>
Das oben angeführte Skript ist ’brav’, es könnte aber in der Funktion HiLite beliebig viel
Unsinn enthalten sein.
Weitere Informationen und Beispielsammlungen zu JavaScript finden Sie im WWW:
• JavaScript Authoring Guide: Die offizielle JavaScript-Dokumentation von Netscape
(http://developer.netscape.com/docs/manuals/index.html)
• JavaScript Examples: Interessante Beispielprogramme mit JavaScript (http://)
• JavaScript Pro: Profi-Forum zum Thema JavaScript. Möglichkeit, selbst Fragen zu
stellen. (http://)
• Gamelan: Weltweit größte Sammlung von Java-Appletts und JavaScript-Beispielen
(http://)
314
ActiveX Microsoft will mit eigener Internet-Technologie Standards setzen und hat, gewissermaßen als Konkurrent zu Java, seine Active-X-Technik entwickelt. Active-X ist eine
Microsoft-Technik zur Erzeugung interaktiver Web-Seiten mithilfe von Controls, Skripts
und Softwarepaketen, wie zum Beispiel Textverarbeitungen und Tabellenkalkulationen.
Der Sinn von Active-X ist aus Sicht von Microsoft:
• Applikationen in Web-Browser einzubinden
• Den Web-Browser zur Schaltzentrale für Internet und Intranet zu machen
Ein Active-X-Control ist ein kleines Windows-Programm, das sich nur mit Hilfe eines
Web-Browsers ausführen läßt. Wenn Sie im Internet auf eine mit einem Active-X-Control
ausgestattete Seite kommen, werden nicht nur Text und bunte Bilder angezeigt, sondern
auch ein Programm auf Ihren Rechner geladen und ausgeführt. Im ungünstigsten Fall
merken Sie gar nicht, daß ein Active-X-Control in eine Web-Seite eingebunden ist und
automatisch ausgeführt wird, während Sie die Seite anschauen und sich in trügerischer
Sicherheit wähnen. Die Active-X-Technologie besteht aus folgenden Komponenten:
• Active-X-Controls: sind Elemente wie Schaltflächen, Listboxen, Bildlaufleisten usw.,
die auf Web-Seiten plaziert und dort benutzt werden können. Dadurch wird ein hoher
Grad an Interaktion mit dem Anwender erreicht.
• Active-X-Scripting
• Active-X-Dokumente: werden mit sogenannten Skripts gesteuert. Skripts sind Programme, die in HTML-Seiten eingebaut und somit für jedermann lesbar sind. Skriptsprachen sindVisual-Basic-Script (VB-Script) und Java-Script.
• Active-X-Conferencing: Sie funktionieren wie OLE-Verbunddokumente. Ein Browser
(Container) kann zum Beispiel ein Excel-Sheet anzeigen (Excel ist dann der Server),
ohne das man den Browser verlassen muß - sofern man Excel hat. Man kann so
Dokumente ganz verschiedener Formate in das Netz posten und jeder, der auch den
entsprechenden Server hat, kann sie betrachten. Damit wird aber der Nutzerkreis auf
die Anwender von Microsoft-Produkten eingeschränkt und die gemeinsame Sprache
des WWW, HTML, ausgegrenzt.
• ActiveMovie: Zur Übertragung von Audio und Video-Daten über Netze gibt es ActiveMovie. ActiveMovie soll ermöglichen, daß die Audio- und Video-Daten nicht erst
komplett auf den eigenen Rechner geladen werden müssen, bevor man sie abspielen
kann (was unter Umständen ziemlich lange dauern kann), sondern die Übertragung
erfolgt in Echtzeit. Voraussetzung ist natürlich, daß die Verbindung schnell genug ist.
315
Hinter einem Active-X-Control verbirgt sich also nichts anderes, als ein normales WindowsProgramm. Es kann also alles tun, was auch jedes andere Windows-Programm tun kann:
Daten von Ihrer Festplatte übers Netz versenden, Viren installieren - oder einfach nur
die Festplatte formatieren. Active-X-Programme sind also ein Risikofaktor und sollten
nur unter bestimmten Voraussetzungen eingesetzt werden. Der Chaos Computer Club
demonstrierte der Öffentlichkeit die Risiken von Active X: Die Hacker programmierten
ein Active-X-Control, das der Finanz-Software Quicken einen Überweisungsauftrag
unterjubelte. Der Auftrag wurde so gespeichert, daß er beim nächsten T-Online-Connect
automatisch ausgeführt würde. Active-X-Programme laufen derzeit nur mit dem Microsoft
Internet-Explorer ab Version 3. Damit Active-X-Controls mit einem Netscape-Browser
funktionieren, muß man ein spezielles Active-X-Plug-in installieren.
Beim Installieren von Active-X-Komponenten wird manchmal ein ’Zertifikat’ angezeigt.
Wer Active-X-Programme schreibt, kann sich ein solches ’Zertifikat’ besorgen, das nach
dem Laden der Webseite angezeigt wird. Dieses Zertifikat soll garantieren, daß das
Active-X-Control wirklich im Originalzustand vorliegt. Gewährleistet wird das durch eine
verschlüsselte Quersumme, die beim Herausgeber des Zertifikats hinterlegt ist und die
mit der des Programms verglichen wird. Ein gültiges Zertifikat heißt jedoch keinesfalls,
daß Sie einem Active-X-Control blind vertrauen können. Der bisher einzige Zertifizierer,
Verisign Commercial Software Publishers CA, prüft nicht, was ein Active-X-Control auf
einem Rechner anstellt, sondern nur, ob das Programm nach der Zertifizierung verändert
wurde. Nachdem jeder sein Active-X-Control zertifizieren lassen kann, besteht auch die
Möglichkeit, daß gefährliche oder schädliche ActiveX-Controls ein Zertifikat bekommen.
Dabei muß nicht einmal böse Absicht des Programmierers im Spiel sein, denn ’Man soll nie
Absicht vermuten, wo Dummheit als Begründung ausreicht’. Insofern hat das Zertifikat
höchst zweifelhaften Wert.
Wird auf einer Webseite ein Zertifikat angezeigt, hängt es davon ab, wo Sie sich befinden:
Handelt es sich um eine renommierten Firma, können Sie ein zertifiziertes Active-XControl ohne großes Risiko installieren. Befinden Sie sich dagegen auf einer privaten oder
halbprivaten Seite, sollten Sie auch mit zertifizierten Komponenten sehr vorsichtig sein.
Programmierfehler können sich natürlich auch in Controls großer Unternehmen befinden.
Wenn Sie schon massenhaft Active-X-Controls auf Ihrer Platte haben, hilft die Freeware
’ActiveXCavator’. Sie listet alle installierten Controls einschließlich diverser Dateiinformationen (Verzeichnis, Größe) auf und kann auch einzelne Controls löschen. Das Programm
gibt es unter http://www.winmag.com/software/xcavate.htm.
VRML Zur Beschreibung der WWW-Hypertext-Dokumente dient, wie erwähnt, eine
Sprache namens HTML (HyperText Markup Language). Eine faszinierende Erweiterung
für 3D-Grafiken ist die Beschreibungssprache VRML (Virtual Reality Modeling Language). Statt riesiger Animationsdateien werden auch hier nur Anweisungen geschickt, wie
eine dreidimensionale Animation aussehen soll. Die so definierten Animationen werden
dann auf dem lokalen Rechner erzeugt. Im Grunde ist dies keine grundlegende Neuerung,
316
denn jedes Raytracing-Programm arbeitet mit einer solchen 3D-Sprache. Die Software
berechnet anhand der Beschreibung die jeweilige Szenerie und stellt sie grafisch auf dem
Bildschirm dar. VRML wird derzeit speziell auf die Bedürfnisse von WWW und Internet
zugeschneidert, verfügt daher über spezifische Fähigkeiten, etwa die Einbindung von
HTML-Dokumenten in 3D-Szenen. Die Entwicklung von VRML begann im Frühjahr 1994.
Der Name VRML wurde damals geboren, allerdings noch als ’Virtual Reality Markup
Language’.
Um nicht bei Null zu beginnen und statt dessen eine geeignete, bereits vorhandene
3D-Technologie zu nutzen, fiel die Wahl der Entwickler auf ’Open Inventor’ von Silicon
Graphics (SGI). Open Inventor unterstützt 3D-Szenarien mit Polygonobjekten, verschiedenen Belichtungsmöglichkeiten, Materialien oder Texturen. Zudem stellte SGI noch eine
erste VRML-Parser-Library zur Verfügung, die als Grundlage für die Implementierung
von 3D-Viewern diente.
Flash Derzeit letzter Endpunkt der Technik auf Webseiten ist Flash. Web-Entwickler
verwenden Flash zum Erstellen von attraktiven, auf Browsergröße anpassbaren, extrem
kleinen und kompakten Navigations-Oberflächen, technischen Illustrationen, LangformAnimationen und sonstigen faszinierenden Effekte für Websites und andere Web-aktivierte
Geräte (wie WebTV). Flash-Grafiken und -Animationen werden mit Hilfe der Zeichenwerkzeuge in Flash oder durch Importieren von Vektor-Grafiken erstellt. Flash unterstützt
nicht nur Vektorgrafiken, die im Gegensatz zu Pixelgrafiken (GIF, JPEG, PNG, BMP,
usw.) bei einer Skalierung (Vergrößerung oder Verkleinerung) ihr exaktes Aussehen
behalten. Alle in Flash 4 erstellen Grafiken erscheinen auf dem Bildschirm nahtlos und
glatt. Dank dieser Anti-Aliasing-Technik wirken die Designs immer ganz genau so, wie von
ihrem Entwickler beabsichtigt. Zusätzlich unterstützt Flash Streaming-Verfahren. Damit
lassen sich Animationen aller Art in WWW-Seiten einbinden - und nicht nur ZeichentrickFilmchen oder Textanimation, sondern auch Navigationselemente wie Schaltflächen und
Menüs. Zur Bildanimation können dann noch die passenden Sounds hinzugefügt werden.
Vektorbasierte Flash-Sites werden bereits beim Herunterladen abgespielt und machen so
ein unmittelbares Feedback möglich. Flash eignet sich auch für Produktpräsentationen
und ähnliche Aufgaben. Die Animationen lassen sich auch in gängige Videoformate (AVI,
MPEG) umsetzen.
Cookies Cookies sind kleine Informationseinheiten, die beim Besuch einer Website
zunächst im Arbeitsspeicher des heimischen Computers gespeichert werden. Unter
Umständen werden diese Daten nach Verlassen des Webservers in Form einer Textdatei
auf die lokale Festplatte geschrieben.
Ein Cookie besteht aus einem Namen, einem Wert (Zeichenkette) und einer URL. Zudem
besitzt ein Cookie eine Lebensdauer. Wird der Ausflug ins Netz beendet und der Browser
geschlossen, werden alle Cookies, deren Lebensdauer noch nicht abgelaufen ist, in einer
317
Datei gespeichert. Man spricht dann von ’persistenten Cookies’. Zukünftig läßt sich dann
mühelos verfolgen, wie oft genau dieser Anwender wiederkommt und was er tut.
Ursprünglich wurden von Netscape die Cookies zur Erleichterung für den Anwender
entwickelt. Sie sollten persönliche Informationen enthalten, die der Anwender beim
nächsten Besuch eines Online-Angebots nicht mehr eingeben mußte, z. B. für den Zugriff
auf Angebote, die eine Zugangskennung erfordern. Eine andere Anwendung wäre ein
’Einkaufskorb’. Da jeder Seitenabruf einen abgeschlossenen Kommunikationsvorgang
darstellt, kann der Server nicht speichern, welche Waren ein Kunde schon in seinen Korb
gelegt hat. Cookies bieten hier die Möglichkeit, den Inhalt des Einkaufskorbes beim
Kunden zu speichern, bis die abschließende Bestellung durch eine Bestätigung erfolgt.
Normalerweise lassen sich Cookies auch keiner spezifischen Identität zuordnen, sofern der
Besucher nicht woanders seine Identität preisgibt.
Unternehmen können mit Hilfe von Cookies Abrufprofile erstellen, z.B. für verläßliche
Abrufprofile für Reichweitenuntersuchungen. Schließlich will man wissen, welche Seiten
wie oft abgerufen werden. Daraus lassen sich u.a. Schlußfolgerungen für die weitere
Gestaltung einer Website ziehen. Trotz zahlreicher Ansätze gibt es bislang noch kein
genormtes Verfahren zur Bildung von Abrufprofilen. Grundsätzlich besteht die Möglichkeit
zur Bildung von Abrufprofilen jedoch auch ohne Cookies - durch die Auswertung von
Logbüchern, z.B. mit entsprechenden Monitoring-Tools.
Problematisch wird es, wenn Cookies mit langer Lebensdauer eingesetzt werden. Durch
persistente Cookies ist es möglich, einen Benutzer über mehrere Sessions hinweg zu
identifizieren. Dadurch erhöht sich die Informationsmenge und die Zuordnung einer
Personenidentität vereinfacht sich. Das ist ganz ohne Cookies nicht möglich. Mittlerweile
gibt es eine Reihe von Shareware-Tools, mit denen sich Cookies auf dem Computer
identifizieren und löschen lassen. Normalerweise befindet sich im Verzeichnisbaum des
Browsers irgendwo eine Datei namens ’cookies.txt’. Auf UNIX-Systemen genügt es, die
Leseberechtigung der Datei wegzunehmen. Auf Windows-Rechnern kann man den Inhalt
der Datei löschen und sie dann auf ’Read-Only’ setzen. Letztendlich sind Cookies aber
relativ harmlos.
Anbieter, die in Ihrem WWW-Angebot Cookies verwenden, sollten einfach vorher auf
deren Anwendung und den Zweck hinweisen. Dann weiß der Websurfer, woran er ist und
wird auch weniger Vorbehalte gegen die Cookies haben.
Weitere Informationen über Cookies findet man unter:
http://www.cookiecentral.com/
http://www.netscape.com/newsref/std/cookie_spec.html
Browser sicher machen Die aktuellen Web-Browser, Internet Explorer und Netscape
Communicator, weisen zwangsläufig Sicherheitstücken auf, die es zu schließen gilt.
Microsoft und Netscape bieten Updates über das Startmenü des Rechners an; es hat also
wenig Sinn, einen Browser manuell sicher machen zu wollen, ohne vorher alle Updates
installiert zu haben. Deshalb lohnt es sich, die Update-Web-Seiten der Hersteller ab und
318
zu aufzusuchen.
In den Browsern Internet-Explorer 5.0 und Netscape Communicator 4.6 läßt sich so gut
wie jedes Feature abschalten, welches den Rechner und seine Daten gefährden könnte.
Dann allerdings geht im Web so gut wie nichts mehr. Aus diesem Grunde werden hier die
einzelnen Features genauer beleuchtet.
Internet Explorer
Das Zonenkonzept des Explorers
Microsofts Internet-Explorer differenziert seine Sicherheitseinstellungen nach Zonen:
• Die Internet-Zone enthält grundsätzlich alle Sites.
• Die Lokale Intranet-Zone umfaßt dagegen alle Computer, die mit einem lokalen Netzwerk verbunden sind. Dies nennt Microsoft bereits Intranet.
• In der Zone für vertrauenswürdige Sites kann man Server angeben, denen man vertraut.
• In Gegensatz dazu trägt man unter Zone für eingeschränkte Sites Server ein, die
bekanntermaßen unsicher sind.
Wer die Einstellungen unter dem Button Stufe anpassen nicht ändern will, der sollte
es bei der Sicherheitsstufe Mittel belassen. In dieser Stufe fragt der Browser nach, ehe er
Controls und Programme startet, die vom Anbieter kein Zertifikat erhalten haben. Der IE
führt jedoch ohne Nachfrage bereits zertifizierte ActiveX-Controls aus.
Wem diese Sicherheitsebene nicht genügt, der muß die verfeinerte Anpassung der einzelnen
Stufen vornehmen. Die Einstellungen gelten nicht global, sondern nur für die jeweilige
Zone. Gleichzeitig nehmen Sie verschiedene Sicherheitsoptionen wieder zurück, wenn Sie
die Warnhinweise zu bestimmten Inhalten mit der Checkbox Den Hinweis für diese
Zone nicht mehr anzeigen abschalten. Also alle Einstellungen nochmals aufsuchen und
wieder aktivieren.
Das Fenster Internetoptionen/Sicherheit im Internet-Explorer ermöglicht die dedizierte
Wahl sicherer oder unsicherer Web-Seiten. Um Adressen derartiger Server einzugeben,
wählen Sie zuerst deren Zone aus und klicken dann auf Sites:
• Vertrauenswürdige Sites: Diese Einträge erhalten im Standard die Sicherheitsstufe Sehr niedrig. Die niedrige Sicherheit läßt mehr Aktionen zu und unterdrückt
Warnfenster. Microsoft empfiehlt allerdings, für die Zone für vertrauenswürdige Sites
das HTTPS-Protokoll zu verwenden, um sichere Verbindungen aufbauen zu können.
319
• Eingeschränkte Sites: Diesen Sites weist der IE standardmäßig die Sicherheitsstufe
Hoch zu. Einer solchen Adresse ordnet der Browser prinzipiell nur minimale, sichere
Operationen zu. Der Zugriff auf solche Server ist eingeschränkt - viele PlugIns werden
aufgrund abgeschalteter Features gar nicht funktionieren.
Java und ActiveX beim IE einstellen
Der Internet-Explorer 5.0 bietet eine sehr feine Abstimmung der jeweiligen Sicherheitsstufen (Zonen, sichere/unsichere Sites). Man erreicht sie durch einen Klick auf das
jeweilige Icon und auf den Button Stufe anpassen. Hier lassen sich alle Einstellungen
anpassen: Hoch, Mittel, Niedrig und Sehr niedrig. Mit einem Klick auf Zurücksetzen
lassen sich die Standardeinstellungen von Microsoft zurückholen. Die folgende Übersicht
zeigt, was die einzelnen Menüpunkte und deren Einstellungen bewirken:
• ActiveX-Controls und Plug-Ins: In diesem Bereich legt man fest, wie ActiveXSteuerelemente und ActiveX-Plug-Ins geladen, ausgeführt und über Scripts gesteuert
werden können. Sollte man das ActiveX-Control von einer anderen Site laden als von
der, auf der das Element verwendet wird, so schaltet der IE von sich aus auf die
schärferen Sicherheitseinstellungen der beiden Sites um. ActiveX-Steuerelemente
ausführen, die für Scripting sicher sind bestimmt, ob das Steuerelement mit
einem Skript zusammenarbeiten kann. Die Einstellungen an dieser Stelle werden jedoch von IE ignoriert, falls die Option ActiveX-Steuerelemente initialisieren
und ausführen, die nicht ’sicher’ sind auf aktivieren eingestellt ist. Letztere Option umgeht praktisch jede Sicherheitseinstellung und ist daher zu vermeiden. Mit ActiveX-Steuerelemente und Plug-Ins ausführen gibt man an, ob
Controls und Plug-Ins in der ausgewählten Zone agieren dürfen. Sollten Sie diese Option abschalten, dann haben auch die weiteren Einstellungen zu ActiveX
keine Bedeutung mehr. Beim Download von signierten ActiveX-Steuerelementen
führt die Einstellung Fragen bei nicht vertrauenswürdigen Web-Seiten zu einer Warnmeldung. Download von unsignierten ActiveX-Steuerelementen Code, der
keine digitale Signatur trägt, ist aus diesem Grunde möglicherweise gefährlich. Mit
der Option Aktivierean schalten Sie die Sicherheit gegenüber diesen Elementen
ab. Dann wird auch ActiveX-Steuerelemente ausführen, die für Scripting
sicher sind ignoriert. Mit der Option Fragen hat man die Wahl, ob man ein solches
Control oder Plug-In überhaupt laden will - oder nur mit bestimmten Parametern
startet. Am sichersten ist die Einstellung Deaktivieren, denn sie erzwingt die Ablehnung des fremden Codes.
• Java-Optionen: Benutzerdefiniert ermöglicht es dem Anwender, einige Einstellungen
vor dem Download eines Java-Applets selbst vorzunehmen. Die Einstellung Niedrige
Sicherheit ist ebenfalls, zumindest im Internet gefährlich, denn sie gibt allen Applets die Möglichkeit, jede Operation ungehindert zu starten. Microsoft sieht zwar,
320
wie Netscape, eine Sandbox für Java-Applets vor, doch deren Grenzen schaltet man
mit dieser Einstellung ab. Mit Mittlere Sicherheit erreicht man einen Start der
Java-Applets ausschließlich in der Sandbox. Die Option Benutzerdefiniert bietet
weitere Einstellungen. Es erscheint der Button Java-Einstellungen. Unter anderem
kann man definieren, was signierte und unsignierte Applets außerhalb der Sandbox
unternehmen dürfen. Damit gleichen diese Optionen den Möglichkeiten von signierten
Apptets im Netscape Communicator.
• Benutzerauthentifizierung: Dabei geht es um vier Optionen:
– Automatisches Anmelden: nur in der Intranetzone fordert es den Benutzer auf,
seine User-ID und sein Passwort außerhalb des Intranets einzugeben. Dies geschieht allerdings einmalig, das heißt, weitere Zonenwechsel erfordern keine neuen Eingaben.
– Anonyme Anmeldung: schaltet die HTTP-Authentifizierung dagegen ab.
– Nach Benutzername und Kennwort fragen: erkundigt sich generell nach einer
User-ID und einem Kennwort; Angaben, die der Internet-Explorer dann für die
gesamte Zeit der Sitzung verwendet.
– Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort: bewirkt auf NT-Systemen, daß der aktuelle Username sowie das Passwort für die
Prüfung der Zugriffsberechtigung auf den jeweiligen Internet-Server verwendet
werden.
• Cookies: Die Option Cookies pro Sitzung annehmen (nicht gespeichert) erlaubt
prinzipiell, daß eine Web-Site Cookies für eine Sitzung auf dem Rechner unterbringt.
Darin halten entsprechende Sites beispielsweise den Inhalt virtueller Einkaufswagen
fest. Arbeiten Sie mit der Einstellung Aktivieren. Mit Fragen erreichen Sie einen
Dialog, der die Ablehnung jedes einzelnen Cookie ermöglicht. Deaktivieren stoppt
die Cookies. Cookies annehmen, die gespeichert sind läßt eine hartnäckigere
Form der Cookies zu, jene die dauerhaft auf die Platte gelangen. Über die Einstellung
Aktivieren lassen Sie dauerhaft gespeicherte Dateien zu, die der IE nicht anzeigt.
Für die beiden anderen Optionen gilt das gleiche wie bei den temporär gespeicherten
Cookies.
Netscape Communicator Die Einstellungen des Communicators 4.6 sind wesentlich
einfacher in der Bedienung. Darüber hinaus arbeitet der Communicator nicht mit ActiveXSteuerelementen. Auch Netscape hat eine Signierung von JavaScripts und Java-Applets
entwickelt. Diese Zertifikate zeigen nicht nur, daß die Software von einem bestimmten
Hersteller stammt, sie erlauben es dem Java-Programm auch, Aktionen außerhalb der
sicheren Sandbox vorzunehmen. Dadurch kann es einem solchen Programm genauso wie
beim IE gelingen, Inhalte der Platte auszuspionieren oder zu sabotieren.
Die grundlegenden Einstellungen des Browsers in der Version 4.6 erreichen Sie recht
321
einfach über Bearbeiten/Einstellungen/Erweitert. Die dortigen Sicherheits-Optionen
sind: Java aktivieren, JavaScript aktivieren und JavaScript für Mail und
Diskussionsforen aktivieren. Parallel zur höchsten Sicherheitsstufe im InternetExplorer könnte man diese drei Optionen abschalten. Damit führt der Communicator
Java nicht einmal in E-Mails aus.
Daneben findet man im Communicator 4.6 den Menüpunkt Sicherheit. Das dortige
Fenster aktiviert Passwörter und die programmeigene Kryptographie, kann jedoch auch
Zertifikate aktivieren, mit denen ein Java-Code außerhalb der Sandbox im Dateisystem
arbeiten kann.
Eine weitere Gefahr sind Plug-Ins. Sie erweitern den Communicator um beliebige
Funktionen, können aber auch immensen Schaden anrichten. Sie sollten sich zuerst
anschauen, welche Zusätze derzeit bereits aktiv sind: Dazu klickt man auf Hilfe/Über
Plug-Ins. Hier finden Sie im oberen Bereich auch einen Link zu Netscape, der zu den
von Netscape angebotenen Plug-Ins führt. Dort gibt es derzeit knapp 180 Plug-Ins aus
unterschiedlichsten Kategorien.
Im Communicator ist es dem Anwender gestattet, Optionen der Sandbox zu ändern dem Applet oder Script jedoch nicht. Ohne das Zonenkonzept ist man darauf angewiesen,
die fraglichen Einstellungen pro Script/Applet oder je Internet-Site vorzunehmen. Im
Ordner \Netscape \Users \Benutzer gibt es eine Datei namens PREFS.JS, in der man
eine Reihe von Einträgen vornehmen kann. Es handelt sich um eine reine Textdatei. Man
kann sie also mit einem einfachen Editor, wie dem Notepad bearbeiten, nachdem man eine
Sicherheitskopie des Originals angelegt hat. Ein Beispiel soll zeigen, was dort einzutragen
ist:
In seiner Grundeinstellung legt der Communicator HTML-Seiten, die über eine sichere Verbindung geladen wurden, nicht in seinem Seitenspeicher ab. Der Grund:
Aus dem Cache können unbefugte Leute eine solche Seite herausholen und im
Klartext lesen, was die Übertragung via SSL ursprünglich verhindern sollte. Mit
der folgenden Zeile schaltet man die Speicherung einer Seite im Cache wieder ein:
user pref(‘‘browser.cache.disk cache ssl´
’,true);
Eine ausführliche Anleitung finden Sie unter http://www.ufaq.org/.
A.6
Ein Beispiel für eine Benutzerrichtlinie
Allgemeines
Im Netz des Unternehmens ABC existiert an einigen Arbeitsplätzen ein zunehmender
Bedarf nach Anschluß an das Internet, welches als das größte weltweite Netz dem Benutzer
schnellen Zugriff auf aktuelle Informationen ermöglicht.
Als wesentliche Gefährdung gelten der Verlust von Daten sowie der Verlust der Verfügbarkeit des Unternehmensnetzes. Im Gegensatz zur Datenübertragung in einem lokalen Netz
kann vom Anwender nicht umfassend beurteilt werden, welche Risiken er bei der Nutzung
der Daten aus dem Internet eingeht.
322
Die Auswahl und die Anwendung von geeigneten Sicherheitsvorkehrungen wird vom
Management in Verbindung mit den zuständigen Administratoren vorgenommen. Hierzu
gehören der Einsatz systemtechnischer Maßnahmen und einige organisatorische Regelungen.
Neben den restlichen (insbesondere strafrechtlichen und datenschutzrechtlichen) Bestimmungen gibt diese Benutzerordnung Hinweise, die zur Wahrung der Vertraulichkeit
und Integrität der im Unternehmensnetz verarbeiteten, schutzbedürftigen Informationen
unbedingt einzuhalten sind. Jeder Mitarbeiter ist selbst für die Sicherheit der von ihm
verarbeiteten Daten verantwortlich. Er muß dafür Sorge tragen, daß alle technischen Maßnahmen, die zur Erreichung dieser Aufgabe dienen, eingesetzt werden. Dazu gehören z.B.
Zugangs- und Zugriffskontrollmechanismen, Mechanismen zum Schutz vor ungewollten
Veränderungen von Daten durch ausführbare Inhalte oder Computerviren.
Die Benutzer werden bei Bedarf durch die jeweiligen IT-Betreuer in die Handhabung der
zur Verfügung stehenden Anwendungen eingewiesen. Durch Unterschrift bestätigt jeder
Mitarbeiter, der die angebotenen Dienste nutzen will, daß die dargestellt Regelung zur
Kenntnis genommen wurde und bei Benutzung der Kommunikationsdienste angewendet
wird. Jede Mißachtung und Nichteinhaltung der Regelungen gefährdet nicht nur die
lokalen Daten, sondern es wird dadurch die Sicherheit aller Daten im Unternehmensnetz
und das Netz als Ganzes gefährdet.
Beschreibung der angebotenen Dienste
Von den im Internet möglichen Diensten werden über den zentralen Internetzugang nur
die folgenden bereitgestellt. Die dafür notwendigen Programme werden von den jeweiligen
IP-Betreuern installiert.
Die meisten Informationen im Internet lassen sich über sogenannte URLs (Uniform Resource Locators) ansprechen, Adressen, die das Protokoll und den genauen Ort der Information
spezifizieren. Die URL http://www.dfn.de/ bedeutet also, daß HTTP (HyperText Transfer Protocol) benutzt werden soll und die Informationen auf dem Rechner mit dem Namen
www in der Domain dfn (Deutsches Forschungsnetz) in Deutschland (de) liegen.
Der Großteil der Dienste belastet das Internet und den Firewall. Deshalb sollte der Umgang mit den Programmen lokal geübt werden. Hilfestellungen hierfür erhalten Sie bei
Ihrem IT-Betreuer.
• WWW (World Wide Web): Mit Hilfe sogenannter Browser können Daten weltweit von WWW-Servern geholt werden. Hierbei handelt es sich um Texte, Bilder,
Audiodateien oder Programme. Die Daten verweisen durch Links (besonders hervorgehobener Text) auf andere Daten, so daß z.B. durch einen Mausklick die Bedeutung
eines Wortes angezeigt werden kann. Diese zusätzlichen Informationen können auf
völlig unabhängigen Rechnern liegen.
• FTP: Das File Transfer Protocol bietet die Möglichkeit, schnell größere Datenmengen zu übertragen. Ein häufiger Anwendungsfall ist das Abholen von Daten
323
von frei zugänglichen FTP-Servern mit Hilfe einer Gastkennung. Hierbei müssen
als Benutzername z.B. anonymous und als Passwort die eigene E-Mailadresse
(z.B. [email protected]) eingegeben werden. Nach erfolgreicher Authentisierung
können die gewünschten FTP-Befehle eingegeben werden. Bei größeren FTP-Servern
empfiehlt es sich, zunächst ein Inhaltsverzeichnis zu laden und nach dem richtigen
Pfad zu suchen (meist mit dem Befehlt ls -lR möglich).
• Gopher: Bei Gopher handelt es sich um einen Internetdienst, der es dem Nutzer
ermöglicht, Dateien und Server im Internet ausfindig zu machen. Dies ist mit Hilfe
verschiedener Gopher-Server möglich, auf denen Informationen über Adressen, Datenbestände oder andere Informarionen zu Internetrechnern abrufbereit vorliegen.
Neben diesen Informationen ist es aber auch möglich, Dateien abzuholen.
• E-Mail: Dieser Dienst ermöglicht den Austausch von Nachrichten zwischen zwei oder
mehreren Personen und entspricht einer herkömmlichen Postkarte. Im Internet wird
das Protokoll SMTP verwendet.
• Internetnews: Hierbei handelt es sich um Diskussionsforen, die sich mit den unterschiedlichsten Themen beschäftigen. Interessant für die Arbeit im Unternehmen
dürften vor allem wissenschaftliche Foren sein und Themen, die sich mit Sicherheit
in der IT beschäftigen. Im folgenden sind einige Hinweise aufgeführt, die Verhaltensweisen bzw. Umgangsformen für die Nutzung aufzeigen:
1. Es sollte beachtet werden, daß ein Newsartikel nach sehr kurzer Zeit von sehr
vielen Menschen gelesen werden kann. Es müssen also mögliche kulturelle, politische oder andere Gegebenheiten in anderen Ländern berücksichtigt werden.
2. Bei Diskussionen ist besondere Zurückhaltung geboten, da der Absender
[email protected] in jeder versandten Nachricht enthalten ist. Von Diskussionen
über politisch umstrittene Themen ist daher abzusehen.
3. Für Tests gibt es eigene Newsgruppen, also keine Newsartikel zu Testzwecken
an andere Newsgruppen schicken.
4. Eine Newsgruppe sollte erst einige Zeit gelesen werden, bevor ein Artikel an die
Gruppe geschickt wird.
5. Ein Artikel sollte nicht an zu viele verschiedene Newsgruppen gleichzeitig geschickt werden.
6. Eine Einschränkung auf eine kleine Anzahl von Newsgruppen, die gelesen und
in denen diskutiert wird, erscheint sinnvoll.
7. Es sollten keine Fragen in einer Newsgruppe gestellt werden, bevor nicht alle
anderen Informationsquellen ausgeschöpft worden sind. Dies sind z.B. Listen
von FAQs (Frequently Asked Questions) oder Manuals.
8. Wenn sich die anderen Teilnehmer an einer Newsgruppe von Nachricht gestört
fühlen (z.B. durch eine Frage, die schon zehnmal beantwortet wurde, oder durch
324
einen unstritenen Standpunkt), kann es zu sogenannten ’flames’ kommen. Dies
sind ironische oder sogar beleidigende Antworten auf Ihre Nachricht. Ignorieren
Sie dies, Sie erzeugen sonst nur noch mehr ’flames’.
Besondere Risiken bei der Nutzung der Internetdienste
Aus dem Anschluß des Unternehmensnetzes an das Internet resultiert eine Vielzahl von
Bedrohungen. Die wesentlichen sind:
• Der Verlust von Vertraulichkeit und Integrität der übertragenen Daten. Um dieser
Gefahr zu begegnen, können Daten signiert und gegebenenfalls verschlüsselt übertragen werden.
• Der Verlust von Vertraulichkeit und Integrität der lokalen Daten im Unternehmensnetz. Hier bietet der Einsatz eines Firewalls ein gewisses Maß an Sicherheit.
• Verlust von Vertraulichkeit und Integrität der lokalen Daten durch Schadprogramme, die in Form von aktiven Inhalten (AktiveX, Java, usw.) als Anhänge von E-Mails
oder innerhalb von Webseiten geladen werden. Bei Verwendung von Plug-Ins kann
schon das Betrachten einzelner Seiten im WWW zur automatischen Ausführung von
Programmen führen, ohne daß diese auf ihre Ungefährlichkeit hin untersucht worden wären. Um diese Gefahr zu verringern, sollten alle Sicherheitseinstellungen bei
den verwendeten Browsern und E-Mailprogrammen eingeschaltet werden. Generell
obliegt dem Mitarbeiter selbst die Verantwortung für die Nutzung und Kontrolle auf
mögliche Schadfunktionen der empfangenen Daten. Im Zweifelsfall sollten die Daten
dem zuständigen IT-Betreuer übergeben werden.
• der Verlust der Verfügbarkeit des Zugangs oder einzelner Dienste (hohe Netzlast
durch absichtliches Senden vieler E-Mails, Ausfall externer Kommunikationseinrichtungen). Dieser Gefährdung kann vorbeugend nicht begegnet werden.
Voraussetzungen und allgemeine Regeln für die Benutzung
Vor der Feigabe und Benutzung der Dienste ist die fachliche Notwendigkeit durch den Vorgesetzen schriftlich zu bestätigen. Es werden jeweils nur die Dienste freigeschaltet, die für
die Erledigung der dienstlichen Aufgaben notwendig sind. Dienste, für die keine dienstliche
Notwendigkeit mehr besteht, müssen umgehend bekanntgegeben und abgeschaltet werden.
Die Nutzung der beschriebenen Dienste erfolgt ausschließlich zu dienstlichen Zwecken.
• Der Zugang zum Internet ist nur während der Dienstzeit möglich.
• Der Zugang darf nur von Arbeitsplätzen innerhalb des Unternehmens aus benutzt
werden.
325
Die Installation, die fachliche Betreuung beim Benutzer und die Administration des zentralen Internetzugangs erfolgt durch die zuständigen Administratoren bzw. die IT-Betreuer.
Es sind nur die installierten Programme in der vorhandenen Installation einzusetzen.
Der Benutzer prüft eigenverantwortlich, ob die aus den öffentlichen Netzen gewonnenen
Informationen frei von Viren oder anderen Schadprogrammen sind, im Zweifel muß der
IT-Betreuer Hilfestellung leisten.
In den öffentlichen Netzen, speziell im Internet, zur Verfügung gestellte Software, insbesondere Shareware, Freeware oder Public Domain Software, darf grundsätzlich nur nach
Genehmigung durch den zuständigen IT-Betreuer installiert werden.
Grundsätzlich ist beim Austausch von Informationen kenntlich zu machen, ob es sich um
die persönlich Meinung des Absenders handelt oder ob die Äußerungen die Position des
Unternehmens wiederspiegeln. Dazu ist eine spezielle Signatur zu verwenden.
Jeder Mitarbeiter, der den Zugang nutzen möchte, muß dafür Sorge tragen, daß auf seinem
Rechner alle Maßnahmen des IT-Grundschutzhandbuches des BSI eingehalten werden, die
zur Sicherung seines Anschlußes beitragen.
Sicherheitsrelevante Ereignisse
Der Schutz von Vertraulichkeit und Integrität der Daten im lokalen Unternehmensnetzwerk oder auf einem der angeschlossenen Rechner hat oberste Priorität. Die ständige
Verfügbarkeit des Zugangs kann deshalb nicht gewährleistet werden. Bei Angriffsversuchen
kann es notwendig sein, den Zugang ohne vorherige Ankündigung und ohne Rücksicht
auf laufende Benutzertätigkeiten abzuschalten. Des weiteren können Wartungs- und
Administrationsarbeiten auch zu einer längeren Abschaltung führen.
Bei Vorfällen auf lokalen Rechnern dürfen die Anwender keine eigenen Aufklärungsversuche
oder ähnliches (z.B. Beseitigung von Computerviren) unternehmen, da dadurch wertvolle
Spuren verwischt werden können. Vielmehr muß umgehend der zuständige IT-Betreuer
benachrichtigt werden.
Sanktionen
Benutzer, die Sicherheitsverstöße begehen, ohne ersichtlichen Grund hohe Kosten verursachen, der Firma durch ihre Aktionen schaden oder andere Verstöße gegen diese
Benutzerordnung begehen, können vom Administrator gesperrt werden.
Protokollierung
Es werden folgende Daten, die für die Benutzerverwaltung, Administration, Erkennung und
Abwehr von mißbräuchlicher Nutzung oder von Angriffen notwendig sind, protokolliert und
ausgewertet:
326
• IP-Adressen der Rechner
• aufgerufene URLs
• angesprochene E-Mailserver und Empfängeradressen
• Datum und Uhrzeit der Aktionen
Die Daten werden elektronisch gespeichert und aus administrativen Gründen vom Revisor
sowie aus sicherheitstechnischen Gründen vom Administrator kontrolliert. Stichprobenartige Kontrollen durch das Management sind ebenfalls vorgesehen. Die Daten werden maximal
drei Monate gespeichert.
Die anfallenden Daten werden nicht zu Verhaltens- und/oder Leistungskontrollen verwendet.

10.7 Bewertung der Möglichkeiten von Intrusion Detection Sy

Transcription

Similar documents

IPsec mit OpenBSD und X.509-Zertifikaten als sichere Alternative zu

Exemple de Phishing contre Citibank

search rbl ip

INTERNET - Netzmafia

Grundlagen der Datenbanken

Ausarbeitung

Bioenergetische Grundtypen