Begrüßung, Einführung
Themenübersicht als pdf
>>>
Tabs to the front! >>>
Grundlagen Ethernet: Der „technische“ Netzaufbau im Seminar
Das IEEE weist jedem Hersteller einen sogenannten OUI (Organizationally Unique Identifier) zu, der die ersten 24 Bit
der Kartenadresse darstellt.
>>>
ARP als Schnittstelle zu IP
WLAN: Standards
>>>
WLAN: Netze finden:
- wirelessnetview (Win): >>>
- SSID unterdrücken kein Sicherheitsgewinn >>>
- Android-App wifi analyzer >>>
und Fing >>>
Grundlagen TCP/IP: Der „logische" Netzaufbau im Seminar
IPv6: Aktuelle Vergabe Adressbereichen
>>>
Übergänge IPv4 <> IPv6: 96 "IPv6-Bit" haben den Wert "0"
>>>
Link zu schön-kompakter Zusammenfassung zu Netzwerken unter Linux:
>>>
Portscanner Nmap
>>> , mit GUI als "zenmap", mobil mit o.g. "Fing".
Offizielle Portliste
>>>
Mit Multipath-TCP mehrere Leitungen verwenden, Ausfall-Kompensation ohne spürbare Umschaltzeiten
>>>
MPLS: Signalisierter Pfad zur Geschwindigkeitssteigerung im LAN und WAN
>>>
Gebäudeverkabelung, Einsatz von Geräten
Spanning-Tree-Protocol zur Deaktivierung redundanter Pfade
>>> (Heute gebräuchlich: Rapid Spanning Tree Protocol RSTP, IEEE 802.1w.)
Lichtwellenleiter
>>>
VLAN(-Typen)
Einführung in VLAN-Technik: Artikel auf tecchannel.de
>>>
Konfigurationsanleitung: Artikel auf heise.de
>>>
Details zur Konfiguration unter Ubuntu
>>>
Routing im LAN
Werkzeuge
Feine Sammlung schöner Netzwerk-Tools bei Heise >>>
Das Schweizer Taschenmesser der Netzwerker: Wireshark. (Darf nur in autorisiertem Kontext verwendet werden!) >>>
- Schnittstelle auswählen, Aufzeichnen > Starten
- "Seltene" Webseite aufrufen, Aufzeichnen > Stoppen
- In Zeile „Anzeigefilter“ suchen nach dns (Kleinbuchstaben > enter) oder z.B. nach dns contains "amazon" (nach Besuch div. Webseiten), ggf. Rechtsklick > Folgen (Quelle: Wireshark-Wiki.)
Was ist ein Dienst? Installation, Konfiguration, Nutzung, Sicherheit am Beispiel ssh
DNS - Der Nameservice: Funktionsweise, Einstellungen
- Ganz oben in der Hierarchie: Zwölf Betreiber organisieren konkret technisch das Root Server System (Universitäten, Internetdienstleister, die NASA und das US Army Research Lab - gewünschte Vielfalt!). Landkarte hier >>>
- Seine unmittelbare Koordination leistet die Internet Assigned Numbers Authority (IANA), auch zuständig für globale IP-Nummern-Vergabe.
- Sie wird formal beaufsichtigt durch die Internet Corporation for Assigned Names and Numbers (ICANN), einer internationalen gemeinnützigen Gesellschaft aus mehreren Interessengruppen.
Beispiel einer Liste von
ansprechbaren Name Servern beim CCC
>>>
Durch öffentliche Mittel und Spenden finanzierter Name Server (Berkeley): 9.9.9.9 (mit Malware-Filter) und 9.9.9.10 (ungefiltert)
Angriffe:
- DDoS-Angriff auf Root-Server >>>
- Störungen bei 1&1-Webhosting wegen DDos-Attacke >>>
- Störung bei Sipgate und Fidor-Bank >>>
Verschlüsselter Nameservice: DNS over HTTPS (DoH). Mozilla/Firefox nutzt Server von Cloudflare Inc. sowie NextDNS (blockiert Tracker und Phishing-Websites).
Manipulierter Nameservice: Die einfachste Zensurmethode. Abhilfe mit Anti-Zensur-Tool Psiphon (div. VPN-Methoden über div. Server). Maximale Sicherheit mit TOR-Browser auf Live-Linux "Tails". Beispiel in DE: Clearingstelle Urheberrecht "CUII"
>>>
Zuweisung der Netzwerkkonfiguration: DHCP
Ob auf den Linuxrechnern, in der Fritzbox, in der NAS-Kiste: Hinter der Klickoberfläche wartet eine /etc/dnsmasq.conf auf Einträge.
MS-Datei- und Druckdienste: SMB
"Server Message Block" ist ein (IBM-/)Microsoft-Netzprotokoll primär für Datei- und Druckdienste in Rechnernetzen. Es ist zentraler Bestandteil der Windows-Produktfamilie. Durch das Softwareprojekt
Samba können auch Unix-/Linux-Server SMB-Ressourcen zur Verfügung stellen, auf großen Fileservern oder auch (dort quasi ausschließlich) auf NAS- oder "Router"-Freigaben. Details zu Samba
>>>
Serverlösungen von Microsoft von "Essentials" (425 $) über "Datacenter" (4809 $) bis ...
SMB-Clients für Wischgeräte: Für Android ES Filemanager, macht leider Startbildschirm-Widget
>>>, für iOS "FileExplorer", für WindowsPhone "MetroFileManager"
Übertragung von Webseiten: http / https
Selfhtml: Wie funktionieren
Webseiten? >>>
Vergleich von
Webservern:
>>>
Content Delivery Networks (CDN): Auslieferung unserer Inhalte
CDN Finder
>>>
Geolocation mit HTML5
>>>
https:
Verschlüsselung auf der Basis von TLS 1.0 (vormals SSL, veraltet) bis 1.3 (aktuell)
Cookies sind
oldschool. (Intelligentes "Abnicken" mit dem Firefox-Plugin "I don't care about cookies"
>>> )
Heute Browser-(Wieder-)Erkennung mit
Fingerprints, EFF-Tool zur Diagnose
>>>.
Diskrete
Browser:
- der Firefox-Fork LibreWolf >>>
- der Chromium-Fork Brave >>>
- Tor Browser als Non-Plus-Ultra (mit Geschwindigkeits-Einbußen) >>> .
Datei-Transfer: ftp / sftp
Die populäre Client-Software filezilla
>>>
FTP-Clients für iOS z.B. FTP sprite und FTP Client Lite
FTP-Server VSFTPD (Linux), Konfigurationshinweise
>>>
Restriktiv konfigurierte Firewalls bereiten bisweilen Probleme beim "Zulassen von FTP"; ggf. hilft ein Versuch zwischen aktivem vs. passivem FTP umzuschalten. Kurze Erklärung auf DE
>>> sowie ausführlicher (mit Grafik) auf EN
>>>
Streaming (Audio, Video)
Terminalserver
- Eine einfache Lösung, einen Desktop zu teilen: Teamviewer.
Geht betriebssystemübergreifend, auch mit
Linux. Auch VNC. Verbindung an
Keyboard-/Maus-/Grafikschnittstelle. (Langsam [Übertragung
von "Einzelpixeln", universell.)
- Remote Desktop greift am Betriebssystem ab (nicht
"Einzelpixel", sondern "zeichne einen Kreis"). Z.B. Linux
mit ssh -X, bei Windows als "Microsoft
Remotedesktopverbindung" mstsc.
Super für Admins. (Windows Home-Version kann nur eine
Sitzung.)
- Am umfangreichsten: Desktop-Virtualisierung, vollständig,
um Endbenutzern scheinbar "komplette Rechner" zur Verfügung
zu stellen. Z.B. Virtual Desktop Infrastructure (VDI,
Microsoft), hierbei wird die ganze Rechner-Infrastruktur
(lokale Drucker, USB-Schnittstellen, Audiogeräte) auf den
Client abgebildet; ähnlich die Produkte Citrix und VMWare.
Firewall und VPN
Firewalls
- Desktop-Firewall unter Windows: Einschalten und gut is.
- Desktop-Firewall unter Ubuntu-Linux: Unnötig.
- Die Uncomplicated Firewall UFW: Linux-Firewall (Kommandozeile, mit Klickoberfläche GUFW), um z.B. ein LAN abzusichern. >>> .
- IPTABLES als Open Source Lösung für hohe Ansprüche im Unternehmensbereich >>> - ggf. ergänzt durch Module wie fail2ban >>>
- Hardware-Firewall als Fertigprodukte, z.B. von den Firmen Sophos >>> oder Fortinet >>>.
Exkurs Windows-Defensive: Die bordeigenen Sicherheitsfunktionen
- Der Defender: Im Startmenü unter Windows Sicherheit (absolut taugliches Anti-Viren- und Firewall-Programm)
- Darin Viren- und Bedrohungsschutz: Überwachter Ordnerzugriff (gegen Ransomware, nur Programme und Prozesse dürfen diese Ordner anfassen, die MS für vertrauenswürdig hält); seit Windows 11 Smart App Control (jeder gestartete Prozess wird von Windows/Microsoft auf Vertrauenswürdigkeit hin überprüft)
- Defender Cloud: Cloudbasierter Schutz übermittelt fragwürdige Dateien zur Untersuchung an Microsoft (zweischneidiges Schwert, einstellbar über "Automatische Übermittlung von Beispielen")
- Bitlocker: Verschlüsselte Laufwerke, auch z.B. USB-Sticks. (Gibt's nicht bei der Home-Edition, dort ggf. Veracrypt.)
- ...
Virtual Private Network (VPN)
- Anbindung etwa von Außendienstmitarbeitenden >>>
- Aushebeln durch Deep Packet Inspection DPI: Ruf nach Regulierung von Internet-"Nacktscannern" >>>
- Systematische Nutzung von VPN = "Darknet" >>>
- Eintritt mit dem Tor Browser: Installieren, DuckDuckGo verwenden und ins Onion-Netzwerk gehen >>>
- Proxy werden und als "Snowflake" mitmachen >>>
DMZ, Exposed Host und Portfreigaben
DMZ als (Teil-)Netzwerk, das von außen erreichbar, aber durch einen oder zwei Router/n und Firewall/s gegenüber anderen (internen bzw. öffentlichen) Netzen abgetrennt/-sichert ist
Exposed Host: Steht sicherheitstechnisch „frei“ im Internet meist keine Dauerlösung.
Portfreigabe für konkrete Dienste/Anwendungen. Beispiel "Webtaxi"
>>>
Abschluss-Projekt
Folgt nach der Mittagspause ...
Sonstiges
Cras dictum. Pellentesque habitant morbi tristique senectus
et netus et malesuada fames ac turpis egestas. Vestibulum ante
ipsum primis in faucibus orci luctus et ultrices posuere
cubilia Curae; Aenean lacinia mauris vel est.