IT-Sicherheit und SSL
Kryptographie und Grundlagen von Transport Layer Security (TLS)
- Grundlegendes über Verschlüsselung und Verschlüsselungsverfahren
- Notwendigkeit und Eigenschaften von verschlüsselter und authentifizierter Kommunikation
- Asymmetrische vs. symmetrische Verfahren, vor allem RSA und AES, deren Nutzen und Einsatz
- Schlüsselerzeugung und -austausch via Diffie-Hellman (DH), ephermal keys
- Hashverfahren (v.a. SHA) und deren kryptographischer Nutzen
- Grundlegende Fragestellungen und Antworten zu Kryptographie
- Verschlüsselung, Zertifikate und OpenSSL
- Zertifikate, Zertifizierungsstellen und deren Rolle als Trust Anchors
- Metainformationen und deren Nutzen
- CN, SAN und Wildcard-Zertifikate
- Chain of Trust und ein Vergleich zu GPGs Web of Trust
- OpenSSL
- Grundlegende OpenSSL-Konfiguration
- Erzeugen von Schlüsselpaaren, Zertifikatsignierungsanforderungen (Certificate Signing Requests), selbstsignierten SSL Zertifikaten (self-signed certificate) und eigene (Sub-)Zertifizierungsstellen (Own Certificate Authority)
- Ausgeben von Informationen zu Zertifikaten (Textinformationen, Hashes)
- Certificate Revocation List (CRLs) und Online Certificate Status Protocol (OCSP)
- Vergleich Open- vs. LibreSSL
Erweitertes zu TLS
- Protokolldetails
- Grundlegendes zum TLS-Protokoll (Record Layer, Handshake Protocol und Cipher Suites)
- Festlegen von sicheren/empfehlenswerten Einstellungen für einige übliche Dienste wie postfix, nginx, apache
- Ausblick auf TLS 1.3
- Debugging und Monitoring
- TLS-Verbindungen testen mit s_client, z. B. SMTP
- Automatischen Überwachen von Zertifikaten und deren Gültigkeit, z. B. mit monit
- Authentifizierung über Zertifikate und/oder Public Keys
- Public Key buw. certauth als Alternative zu Passwörtern, Demonstration an Diensten wie ssh, postfix, ipsec
- Zertifikate vs. Pubkeys in diesem Setting
- Angriffe
- Legacy Ciphers, Compatibility Modes und Downgrade Angriffe (Logjam)
- OpenSSL Bugs und deren Auswirkungen (Heartbleed)
- Let’s Encrypt
- HTTP Strict Transport Security (HSTS)
- Certificate Authority Authorization (CAA)
- Key Pinning (HTKP) und DNSSEC/DANE
- Qualys SSL Test
DNS
- Grundlegendes zu DNS
- Essentielle Records (A, AAAA, MX, NS, CNAME, PTR, SRV, TXT) und deren Aufgabe
- NS-Records, Namensauflösung und Zone Delegation
- Manuelles Auflösen von Records mit Drill
- Anwendungsbeispiele für speziellen Records wie z. B. DMARC, SPF, XMPP, MX
- Zonefiles
- Grundlegendes zum Format (RFC 1034, 1035)
- Relative vs. absolute Einträge, $ORIGIN und @
- SOA Records und Master/Slave-Setups
- DNS Server am Beispiel nsd/bind
- Grundlegende Konfiguration von bind/nsd
- Konkretes Einrichten einer eigenen Zone, Master/Salve Setups
- DHCP & DNS
- Dynamische DNS-Einträge für Hosts via DHCP
- Einrichten solcher Setups via dnsmasq und/oder ISC dhcpd
- Resolver
- Nutzen von Resolvern für größere Netze und Hardwareknoten
- unbound, Features und Setup
- Interne Zonen
- Transparente Overlays
- Local views & Tags
- Best Practice für interne Entwicklungs- und öffentliche Produktivumgebungen
- DNSSEC
- Aufbau und Implementation
- Aktueller Stand/Verbreitung und Nutzbarkeit
- Implementationsstand bei Clients und Probleme