Auf Nummer sicher

Dr. Markus Zahn, Rechenzentrum

Einige Hintergrundinformationen, Tips und Anregungen zum Thema "Sicherheit in Computernetzwerken

erschienen Juli 1999 in: Augsburg
Verlag: Selbstverlag
ISSN 1435-1684

Daß in vernetzten Computersystemen auf vielfache Art und Weise Unfug getrieben wird, kann fast täglich in Zeitungen und Zeitschriften nachgelesen werden. Dieser Beitrag arbeitet einige Hintergründe auf und gibt Tips für ein "sicheres Auftreten im Netz". Nicht nur Sicherheitsfanatiker (oder paranoide Anwender) sollten sich der Gefahren und der sich anbietenden Lösungen bewußt sein. Wer denkt "Ich habe keine schützenswerten Daten, das Thema Sicherheit kann mir also egal sein!", denkt verkehrt und macht es sich definitiv zu einfach. Lesen Sie also weiter ...

Ursprünglich hat sich das Internet als Medium zum friedfertigen Austausch von Informationen aller Art entwickelt. Gesicherten Kommunikationskanälen wurde demnach zuallererst keine oder nur geringe Aufmerksamkeit geschenkt. Die Daten, darunter auch Login-Namen und Paßworte gingen (und gehen auch heute noch meist) unverschlüsselt über die Verbindungsnetzwerke.

In der Anfangszeit war dies kein größerer Beinbruch, ging man doch von einem kooperativen und konstruktiven Miteinander aus. Inzwischen haben sich, nicht zuletzt aufgrund der immensen Anzahl der Nutzer, die Vorzeichen geändert. In allen Bereichen, angefangen bei der elektronischen Post und dem Zugang zu entfernten Rechnersystemen über Online-Banking bis hin zu "Electronic Commerce", sollte man sich stets bewußt sein, auf welchem Sicherheitsniveau man sich aktuell bewegt bzw. man sich gerne bewegen würde. Kein normaler Mensch würde im täglichen Leben auf einer belebten Straße Blankounterschriften an alle interessierten Passanten verteilen und so sollte man analoge Dinge im Umgang mit Computern ebenfalls vermeiden.

Kleiner Lauschangriff

Zum Thema E-Mail ist schon einiges geschrieben worden und so dürfte es für so ziemlich jeden Nutzer des Internets inzwischen kein Geheimnis mehr sein, daß der elektronische Postverkehr unverschlüsselt zwischen den Mailpartnern kursiert. Oftmals wird E-Mail deshalb mit den Postkarten der gelben Post verglichen. Schaut man etwas genauer hin, so muß man allerdings feststellen, daß Postkarten insgesamt sogar "geheimer" sind als die elektronische Post, denn mit elektronischen Mitteln kann letztere spielend gefiltert, manipuliert, ausspioniert oder "gestohlen" werden. Nach einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschlüsseln oder signieren trotz allem lediglich etwa vier Prozent aller Unternehmen ihren Mailverkehr mit Geschäftspartnern.

Großer Lauschangriff

Noch schlimmer ist die Ausspähung von Benutzerkennungen samt der dazugehörigen Paßwörter einzustufen. Ist ein Fremder erst einmal im Besitz dieser Daten, so kann er unter fremdem Namen (nämlich unter Ihrem) in das betreffende Computersystem eindringen und es sich dort so richtig gemütlich machen. Leider bieten leichtsinnige Benutzer und verschiedene Bugs und/oder Features der diversen Betriebssysteme hier breite Angriffsflächen. Aber auch die Web-Browser von Microsoft und Netscape bereiten sicherheitsbewußten System- und Netzwerkadministratoren etliche graue Haare.

In aller Regel werden Sie Ihre E-Mail mit Ihrem Mailprogramm per POP (Post Office Protocol) oder IMAP (Internet Mail Access Protocol) vom Mailserver beziehen. In diesem Fall schickt Ihr Mailprogramm als Nachweis Ihrer Berechtigung Ihren Benutzernamen und Ihr Paßwort im Klartext zum Mailserver. Haben Sie Ihr Programm entsprechend konfiguriert, so geschieht dies sogar regelmäßig im Ein-, Fünf-, Zehn- oder x-Minutentakt. Auch bei Telnet- oder FTP-Verbindungen erfolgt der Verbindungsaufbau und damit auch die Paßwortübergabe unverschlüsselt. Geradezu ideal für Angreifer.

Allerdings muß der Angreifer in den genannten Fällen (POP, IMAP, Telnet, FTP) in einem der Netzwerk(segmente) lauern, über die die beteiligten Computer kommunizieren. Ansonsten kommen die Datenpakete mit den unverschlüsselten Informationen nicht an seinen neugierigen Ohren vorbei. Genau das ist übrigens der Grund, warum Sie sich nicht auf den Standpunkt stellen dürfen, daß sie mangels wichtiger Daten und Dokumente auf "Sicherheit" keinen Wert zu legen hätten. Hat ein Angreifer ersteinmal Ihre Benutzerkennung "geknackt", so haben Sie ihm mindestenfalls den für weitere Aktivitäten unbedingt notwendigen Zugang zu Ihrem und anderer Leute Datennetz gewährt. Ihre Kollegen werden sich bei Ihnen herzlich für diesen Bärendienst bedanken.

Ein weiteres Beispiel: Der Netscape Communicator merkt sich, nachdem Sie zum ersten Mal Ihre Mail gelesen haben, Ihr Paßwort beim Mailserver. Der Vorteil: Sie müssen beim nächsten Abholen von Mails nicht erneut Ihr Kennwort angeben. Der Nachteil: Der Communicator ist etwas zu auskunftsfreudig gegenüber fremden Web-Servern. Auf freundliche Anfrage per JavaScript verrät er Fremden schonmal Ihr (nur leicht verschlüsseltes) Paßwort mitsamt Ihrem Benutzernamen.

Noch ein Beispiel: Ein von Microsoft gewolltes Feature (man sollte jedoch besser sagen eine Designschwäche) im "Client für Microsoft Netzwerke" ermöglicht mittels einer simplen WWW-Seite, daß der Windows-Rechner des Betrachters dieser Seite (natürlich ohne das Wissen seines Herrchens) dessen Benutzernamen und sein Paßwort zu einem entfernten Rechner schickt. Dies "funktioniert" mit allen Web-Browsern, ohne aktive Elemente in der WWW-Seite und klappt prinzipiell weltweit. Der "Client für Microsoft Netzwerke" ist auf vernetzten Windows-95/98/NT-Systemen übrigens standardmäßig installiert, schauen Sie doch mal nach ...

Grüße aus Troja

Auch die "Internet-Viren/Würmer" ExploreZIP und MELISSA haben es in jüngster Vergangenheit wieder einmal dokumentiert: Immer wieder versuchen fremde Personen auch über sogenannte Trojaner in anderer Leute Computersysteme einzudringen und/oder den Betrieb dieser Systeme zu stören. ExploreZIP versendet seinen zerstörerischen Code beispielsweise als Dateianhang (Attachment) per E-Mail. Der englischsprachige Text der Nachricht besagt "Hi! I received your email and i shall send you a reply ASAP. Till then, take a look at the attached zipped docs. bye." (ASAP = As soon as possible). Wer jetzt die angeblich selbstentpackende Datei "zipped_files.exe" aus dem Anhang startet, hat praktisch verloren. Es erscheint eine halbwegs unverdächtige Fehlermeldung und das System ist von ExploreZIP infiziert: Ab jetzt macht sich der Parasit daran, Word-Dateien und Quelltexte von Softwareprojekten zu vernichten. Außerdem wird der Virus bzw. Wurm vom betroffenen Benutzer (auch wenn er es jetzt noch nicht weiß) per E-Mail an seine Bekannten verteilt. Gemeinerweise macht er das, sobald Mail beim betroffenen Benutzer eingeht, indem er den beschriebenen Text samt Attachment als Antwort schickt. Durch diesen Trick versucht sich ExploreZIP das Vertrauen des Gegenübers zu erschleichen, was offensichtlich nicht zu selten von Erfolg gekrönt ist.

Hilfe! Was soll ich tun?

An dieser Stelle könnte man wohl fast beliebig lange fortfahren. Es soll in diesem Beitrag aber auch noch Raum für Lösungen, oder zumindest für entsprechende Lösungsansätze bleiben. Allerdings sollte man abschließend noch darauf hinweisen, daß die aufgeführten Probleme nicht ausschließlich auf Microsoft-Systeme reduziert werden können. So ziemlich jedes Betriebssystem hat wohl so seine kleineren und oftmals auch größeren Schwachpunkte. Außerdem besitzen gerade die großen "Internet-Tools", wie z.B. der Netscape Communicator, systemübergreifende Mängel. Allerdings sind und bleiben aus unserer Erfahrung die Microsoft-Betriebssysteme (gefolgt von Linux-Rechnern) aufgrund Ihrer marktbeherrschenden Verbreitung naturgemäß die beliebtesten Angriffsziele.

Die große Vielfalt der Angriffsflächen - die vorgestellten Szenarien waren nur eine kleine Auswahl - machen eine hundertprozentige Abschottung gegen potentielle Eindringlinge nahezu unmöglich. Allerdings lassen sich etliche Verhaltensregeln finden, mit denen man bereits relativ weit kommen sollte. Unterstützt wird man in diesem Unterfangen von einer kleinen aber feinen Auswahl von freien Softwarewerkzeugen.

Selbstdisziplin

Die erste Grundregel für sicherheitsbewußte Internetnutzer klingt reichlich banal, ist aber ungemein wirkungsvoll: Seien Sie selbstdizipliniert und nutzen Sie von den Möglichkeiten, die Ihnen Ihr Web-Browser oder E-Mail-Programm bietet nur diejenigen, die Sie wirklich benötigen. Schalten Sie alle unnötigen Features ab! Deaktivieren Sie beispielsweise JavaScript sofern Sie nicht darauf angewiesen sind. Erlauben Sie Ihrem Mailprogramm nicht, daß es sich Ihr Paßwort dauerhaft merkt. Verzichten Sie weitgehend auf Cookies. Sollten Sie eine der deaktivierten Optionen tatsächlich einmal benötigen, so können sie diese, beispielsweise auf einem vertrauenswürdigen Web-Server, temporär(!) aktivieren. Ich gebe zu, daß diese Regeln einen spürbaren Verlust an Komfort bedeuten und manchmal sogar richtig lästig sein können, aber es lohnt sich wirklich. Eine gesunde Portion Mißtrauen kann obendrein nicht schaden. Im Fall der beschriebenen Mail-Viren/Würmer sollte es einem - zumindest im deutschen Sprachraum - schon merkwürdig vorkommen, wenn der Kollege plötzlich auf Englisch und mit einem reichlich nichtssagenden Text auf eine Nachricht antwortet. Desweiteren sollte man keinesfalls irgendwelche per E-Mail erhaltenen Programme auf dem lokalen System ausführen, es sei denn deren Herkunft und Inhalt ist absolut vertrauenswürdig. Fragen Sie deswegen lieber einmal zuviel nach. Überhaupt sollten Sie auch hier Ihre Software so konfigurieren, daß diese die per E-Mail oder WWW erhaltenen Programme (oder Dokumente mit aktiven Inhalten) nicht ohne Rückfrage startet.

Gut verpackt

Absicherung von Servern mit SSL und SSLwrap
Um mit einem Server (beispielsweise einem WWW- oder Mail-Server) über einen sicheren Kanal zu kommunizieren, hat sich das "Secure Socket Layer" etabliert. Leider ist aber z.B. der weit verbreitete und sehr beliebte Apache Web-Server in seiner Grundkonfiguration nicht in der Lage, sich via SSL mit ankommenden Web-Browsern zu verständigen. Abhilfe schaffen in diesem Fall ein entsprechender Patch sowie die frei verfügbaren SSL-Bibliotheken SSLeay und OpenSSL, mit deren Hilfe ein "sicherer" Apache-Server erstellt werden kann. Nicht jeder Server-Dienst kann allerdings so einfach erweitert werden. Oftmals werden für Mail-Zwecke die vom jeweiligen Betriebssystemhersteller ausgelieferten Produkte für POP oder IMAP verwendet. Mangels Quelltexten können diese jedoch nicht SSL-fähig gemacht werden. Hier bietet sich das Softwarepaket SSLwrap an, mit dessen Hilfe eine SSL-taugliche "Vorstufe" zum eigentlichen Dienst erstellt wird: Der Mail-Client kommuniziert über eine SSL-Verbindung mit SSLwrap, das dann seinerseits eine lokale - und daher nicht über das Netz abhörbare - Verbindung mit dem eigentlichen, nicht SSL-fähigen Softwareprodukt aufbaut und die Informationen in beide Richtungen vermittelt.

Absicherung von Servern mit SSL und SSLwrap

Um mit einem Server (beispielsweise einem WWW- oder Mail-Server) über einen sicheren Kanal zu kommunizieren, hat sich das "Secure Socket Layer" etabliert. Leider ist aber z.B. der weit verbreitete und sehr beliebte Apache Web-Server in seiner Grundkonfiguration nicht in der Lage, sich via SSL mit ankommenden Web-Browsern zu verständigen. Abhilfe schaffen in diesem Fall ein entsprechender Patch sowie die frei verfügbaren SSL-Bibliotheken SSLeay und OpenSSL, mit deren Hilfe ein "sicherer" Apache-Server erstellt werden kann.

Nicht jeder Server-Dienst kann allerdings so einfach erweitert werden. Oftmals werden für Mail-Zwecke die vom jeweiligen Betriebssystemhersteller ausgelieferten Produkte für POP oder IMAP verwendet. Mangels Quelltexten können diese jedoch nicht SSL-fähig gemacht werden. Hier bietet sich das Softwarepaket SSLwrap an, mit dessen Hilfe eine SSL-taugliche "Vorstufe" zum eigentlichen Dienst erstellt wird: Der Mail-Client kommuniziert über eine SSL-Verbindung mit SSLwrap, das dann seinerseits eine lokale - und daher nicht über das Netz abhörbare - Verbindung mit dem eigentlichen, nicht SSL-fähigen Softwareprodukt aufbaut und die Informationen in beide Richtungen vermittelt.

Gegen das oben beschriebene Abhören von Netzwerkverbindungen und damit insbesondere gegen das Ausspähen von Benutzerkennungen und Paßwörtern ist man mit den vorgestellten Regeln noch nicht gefeit. Allerdings kann man sich hier durch den gezielten Einsatz zahlreich verfügbarer Softwaretools schützen.

Den Postkartencharakter von elektronischer Post habe ich bereits erwähnt. Sicher muß man deshalb nicht für jede E-Mail zur verschlüsselten Übertragung greifen. Es gilt schon abzuwägen um welche Inhalte es sich handelt und ob die Post "über das Internet", lediglich durch das "Intranet" unserer Universität oder gar nur durch die, durch einen "Firewall" abgeschirmten, Netzwerksegmente der Universitätsverwaltung flutscht. Soll eine Mail tatsächlich gesichert verschickt werden, kann man sich des Softwarepakets PGP (Pretty Good Privacy) bedienen. Mit dem auf einem "Public-Key-Verfahren" basierenden PGP können E-Mails sowohl signiert als auch verschlüsselt werden. Bei signierten Nachrichten kann die Authentizität des Senders und die Integrität, d.h. die Unverfälschtheit der Botschaft überprüft werden, allerdings wandert die Nachricht immer noch im Klartext über das Verbindungsnetz. Verschlüsselte Nachrichten können zusätzlich nur vom angegebenen Empfänger wieder entschlüsselt werden, da nur dieser im Besitz des notwendigen Schlüssels ist. PGP gibt es für nahezu alle Rechnersysteme und wurde von Thomas Konert bereits in connect 2/1997 ausführlich besprochen.

Sicher getunnelt

Für den interaktiven Zugriff auf entfernte Rechner innerhalb und außerhalb der Universität gibt es ebenfalls geeignetere Werkzeuge als telnet, rlogin oder ftp. Beispielsweise wird im Rechenzentrum (und auch in der Physik, sowie in Teilbereichen der Mathematik/Informatik) die sogenannte "Secure Shell" (SSH) für den Zugang zu allen zentralen (unix-basierten) Rechnersystemen angeboten. Teilweise ist der Zugriff sogar ausschließlich über diesen Weg möglich. Die Secure Shell ersetzt in erster Linie den Zugang per telnet oder rlogin, bietet aber auch die Möglichkeit Dateien über das Netzwerk zu transferieren. Sie erstellt beim Verbindungsaufbau zwischen den beteiligten Rechnersystemen über ein "Public-Key-Verfahren" zunächst einen verschlüsselten Verbindungskanal. Erst wenn dieser Kanal zuverlässig aufgebaut wurde, tauschen die Rechnersysteme Daten aus. Ein wirklich sicherer Verbindungsaufbau setzt voraus, daß der jeweilige SSH-Client sein Gegenüber bereits kennt, d.h. dessen öffentlichen Schlüssel kennt. Um dies zu erreichen, kann man innerhalb einer Arbeitsgruppe oder eines Instituts/einer Fakultät usw. den vorhandenen Rechnern die öffentlichen Schlüssel sämtlicher anderer Rechner "lernen". Die Secure Shell gibt es übrigens nicht nur für Unix-Systeme, auch für Windows-Rechner existiert eine gut funktionierende Variante.

Für die Nutzer eines X-Windows-fähigen Clients bietet die Secure Shell noch ein besonderes "Zuckerl", denn das Display des entfernten Rechnersystems wird automatisch auf den eigenen Rechner umgeleitet und das sogar noch über den verschlüsselten Verbindungskanal. Auch andere Netzwerkverbindungen können - das entsprechende Know-How vorausgesetzt - zwischen den beiden verknüpften Rechnern "getunnelt" werden.

SSL für Mail und WWW

Sogar eine POP- oder IMAP-Session zum Mailserver kann über die Secure Shell abgewickelt werden. Allerdings gibt es für die Unterhaltung mit dem Mailserver eine deutlich interessantere Alternative - vorausgesetzt man verwendet ein geeignetes Mailprogramm. Etliche Mail-Clients, darunter neben anderen Eudora Professional, Microsoft Outlook 98, Netscape Communicator und Pine, können sich mit dem Mailserver über das sogenannte "Secure Socket Layer" (SSL) verständigen. Auch hierbei handelt es sich wieder um ein Verschlüsselungsverfahren, mit dessen Hilfe das normale Verbindungsprotokoll in einen gesicherten Kanal verpackt wird. Natürlich muß der Mailserver seinerseits SSL beherrschen. Ob dies bei Ihrem Mailserver bereits der Fall ist oder erst eingerichtet werden muß, erfragen Sie bitte bei Ihrem zuständigen EDV-Betreuer.

Auch für WWW-Server ist SSL eine interessante Überlegung, denn auch HTTP, das Kommunikationsprotokoll des World Wide Web läßt sich damit "einwickeln". Einen auf diese Art gesicherten Web-Server erkennt man an der im Web-Browser angezeigten URL: Anstatt http://www.sicher.de/ liest man dann https://www.sicher.de/, das kleine ´s´ macht also den Unterschied. Ferner zeigen die verschiedenen Web-Browser zur besseren Kontrolle meist noch ein kleines geschlossenes Vorhängeschloß oder ein ähnliches Symbol.

Bezugsquellen
Apache & SSL	http://www.apache.org/
	http://www.apache-ssl.org/
	ftp://ftp.uni-augsburg.de/pub/packages/apache
OpenSSL	http://www.openssl.org/
SSLeay	http://www.psy.uq.oz.au/~ftp/Crypto/
SSLwrap	http://www.rickk.com/sslwrap/
Secure Shell	ftp://ftp.uni-augsburg.de/pub/packages/ssh
TeraTerm & TTSSH	http://hp.vector.co.jp/authors/VA002416/teraterm.html
	http://www.zip.com.au/~roca/ttssh.html
	ftp://ftp.uni-augsburg.de/pub/packages/ttssh

Sollen nun sensible Daten zu einem Web-Server übertragen werden, so sollte man stets darauf achten, daß die Verbindung gesichert verläuft. (Oder Sie überlegen sich das mit den sensiblen Daten und dem Internet nochmals ...)

Egal ob Sie sich nun aber mit einem Mail- oder WWW-Server über SSL unterhalten: Beim ersten Kontakt mit dem betreffenden Rechner wird Ihr Mailprogramm oder Ihr Web-Browser aufschreien um Ihnen mitzuteilen, daß er ein unbekanntes Zertifikat erhalten hat und daß Sie doch bitte jetzt entscheiden sollen, ob Sie diesem Rechner vertrauen wollen, oder nicht.

Von guten Paßwörtern

Zum Abschluß vielleicht noch ein paar Gedanken zu dem, was letztlich die Benutzerdaten vor dem Zugriff Fremder schützt: Dem persönlichen Kennwort. Wie sollte ein gutes Benutzerkennwort beschaffen sein und warum braucht man überhaupt ein "gutes" Paßwort? Den zweiten Teil der Frage sollten Sie bereits schnell beantworten können, denn selbst wenn Sie selbst keine schützenswerten Daten gespeichert haben, so wollen Sie doch zumindest keinen "bösen" Eindringlingen den Zugang zu unserem Datennetz ermöglichen. Letztendlich würden Sie also mit einem leicht zu erratenden Kennwort dem Mißbrauch Tür und Tor öffnen und nebenbei auch noch gegen die Benutzerrichtlinien verstoßen.

Aber wie sieht jetzt ein geeignetes Paßwort aus? Fangen wir am besten an, wie es nicht aussehen sollte: Ein Paßwort sollte keinesfalls aus einer trivialen Buchstaben- oder Ziffernfolge bestehen (z.B. "12345", "0815", "abcd" oder "qwertz"), es sollte ebensowenig aus Namen und Daten aus dem privaten oder persönlichen Umfeld des Inhabers stammen (Name oder Geburtstag des Lebenspartners, Autonummer, Telefonnummer o.ä.) und es sollte wenn möglich in keinem Lexikon der Welt zu finden sein. Die ersten beiden Beispiele sind zu leicht zu erraten und gegen die dritte Variante sprechen die weit verbreiteten, vollautomatisierbaren "Wörterbuch-Attacken", bei denen systematisch alle Wörter eines Wörterbuchs als mögliche Kennworte ausprobiert werden. (Bei einigen Testreihen Bayerischer Rechenzentren soll sich "Bier" als äußerst beliebtes Kennwort in unserem Sprachraum herausgestellt haben.) Ein "gutes" Paßwort besteht dagegen aus mindestens 6-8 groß- und kleingeschriebene Zeichen (manche Systeme schneiden allerdings alles nach dem achten Zeichen ab), darunter zwei unterschiedliche Sonderzeichen. Eine gute Eselsbrücke - denn ein Kennwort sollte ja auch gut zu merken sein - ist es, die Anfangsbuchstaben eines längeren Satzes zu verwenden. Der Satz "Ich sollte längst ein gutes Paßwort haben!" könnte als Gedankenstütze für das Paßwort "Isl1gPh!" dienen. Schwer vorstellbar, daß dieses "Wort" in einem irdischen Wörterbuch zu entdecken ist.

Ich hoffe, daß ich Ihnen mit meinem Artikel auf der einen Seite vielleicht einen (heilsamen) Schreck einjagen, auf der anderen Seite aber auch Anregungen zur Vermeidung von GAUs geben konnte.

Sicherer Zugriff auf WWW und Mail
Am Beispiel des Netscape Communicators kann man sich die Konfigurationsschritte und den Ablauf für die gesicherte Kommunikation mittels SSL ansehen: Im Fenster "Mail Server Properties" kreuzt man zunächst die Option "User secure connection (SSL)" an. Beim ersten Kontakt zum konfigurierten Mail-Server liefert dieser nun sein SSL-Zertifikat an den anfragenden Client, hier also den Netscape Communicator aus. Ist das präsentierte Zertifikat noch nicht bekannt, so meldet sich der Client mit der Bitte, das Zertifikat entweder zu akzeptieren oder zurückzuweisen. Der Benutzer muß sich nun entscheiden, Hilfestellung bekommt er dabei über den Auswahlknopf "More Info ...". Einmal gedrückt, liefert der Communicator Zusatzinformationen zum betreffenden Zertifikat. Neben dem Eigentümer, der ausstellenden Instanz und der Gültigkeitsdauer wird v.a. der sogenannte "Fingerprint", also ein Fingerabdruck des Zertifikats geliefert. Im Falle des Mail-Servers des Rechenzentrums wäre dies dann die (etwas unübersichtliche) Zahlenkolonne 18:26:5C:92:89:EC:2A:B8:59:73:B4:2E:50:8E:CC:13. Sie haben jetzt die Möglichkeit, den Fingerabdruck mit der "echten" Zahlenkombination Ihres Mail-Servers zu vergleichen. Diese sollten Sie zuvor auf nicht elektronischem Wege vom Betreuer des Mail-Servers erhalten (haben). Im Falle des RZ-Mail-Servers könnten sie den vom Mail-Server präsentierten Fingerabdruck mit dem in Ihrer connect vergleichen. Auf diese Weise können Sie sicher sein, daß Sie Ihren Benutzernamen und Ihr Paßwort nur Ihrem "echten" Mailserver zukommen lassen. Fremde Rechner können sich nicht in dieser Art und Weise ausweisen. Damit man nun nicht ständig kryptische Zahlenkombinationen miteinander vergleichen muß, bietet der letzte Konfigurationsschritt die Möglichkeit, das vorliegende und hoffentlich sorgfältig geprüfte Zertifikat bis zu dessen Verfallsdatum zu akzeptieren. Natürlich können Sie das Zertifikat (und damit die Verbindung zu diesem Server) an dieser Stelle auch zurückweisen oder nur für dieses eine Mal annehmen. Das hängt ganz von Ihren weiteren Vorhaben ab.

Sicherer Zugriff auf WWW und Mail

Am Beispiel des Netscape Communicators kann man sich die Konfigurationsschritte und den Ablauf für die gesicherte Kommunikation mittels SSL ansehen: Im Fenster "Mail Server Properties" kreuzt man zunächst die Option "User secure connection (SSL)" an. Beim ersten Kontakt zum konfigurierten Mail-Server liefert dieser nun sein SSL-Zertifikat an den anfragenden Client, hier also den Netscape Communicator aus. Ist das präsentierte Zertifikat noch nicht bekannt, so meldet sich der Client mit der Bitte, das Zertifikat entweder zu akzeptieren oder zurückzuweisen.

Der Benutzer muß sich nun entscheiden, Hilfestellung bekommt er dabei über den Auswahlknopf "More Info ...". Einmal gedrückt, liefert der Communicator Zusatzinformationen zum betreffenden Zertifikat. Neben dem Eigentümer, der ausstellenden Instanz und der Gültigkeitsdauer wird v.a. der sogenannte "Fingerprint", also ein Fingerabdruck des Zertifikats geliefert. Im Falle des Mail-Servers des Rechenzentrums wäre dies dann die (etwas unübersichtliche) Zahlenkolonne 18:26:5C:92:89:EC:2A:B8:59:73:B4:2E:50:8E:CC:13. Sie haben jetzt die Möglichkeit, den Fingerabdruck mit der "echten" Zahlenkombination Ihres Mail-Servers zu vergleichen. Diese sollten Sie zuvor auf nicht elektronischem Wege vom Betreuer des Mail-Servers erhalten (haben). Im Falle des RZ-Mail-Servers könnten sie den vom Mail-Server präsentierten Fingerabdruck mit dem in Ihrer connect vergleichen. Auf diese Weise können Sie sicher sein, daß Sie Ihren Benutzernamen und Ihr Paßwort nur Ihrem "echten" Mailserver zukommen lassen. Fremde Rechner können sich nicht in dieser Art und Weise ausweisen.

Damit man nun nicht ständig kryptische Zahlenkombinationen miteinander vergleichen muß, bietet der letzte Konfigurationsschritt die Möglichkeit, das vorliegende und hoffentlich sorgfältig geprüfte Zertifikat bis zu dessen Verfallsdatum zu akzeptieren. Natürlich können Sie das Zertifikat (und damit die Verbindung zu diesem Server) an dieser Stelle auch zurückweisen oder nur für dieses eine Mal annehmen. Das hängt ganz von Ihren weiteren Vorhaben ab.

Downloads:

connect 2/1999: Auf Nummer sicher - (nr-sicher.pdf, 168 KB)

Suche