| Vorlesung | 39 20 13 (V) | ||
| Wahlveranstaltung | |||
| im Grundstudium NWI | |||
| im Bachelorstudiengang MGS | |||
| Fr, 10 - 12, H10 | 2 SWS | Koch |
Begleitmaterial zur Veranstaltung
Die Übungen 39 20 14 finden in der vorlesungsfreien Zeit im Anschluß an das Semester im GZI statt.
Das Internet und Internettechnologien durchdringen trotz des Endes des Booms immer weitere Lebensbereiche. Geschäftsprozesse und Endkundenkommunikation werden über "das Netz" abgewickelt und dabei immer mehr und auch immer sensiblere Daten übertragen und verarbeitet. Um dem Anspruch (und zu einem nicht unerheblichen Teil leider auch der Sorglosigkeit) der Anwender Rechnung zu tragen, ist der Bau und Betrieb entsprechend sicherer Systeme notwendig.
Im operationellen Bereich, also in der Netz- und Systemadministration, geht es dabei vorwiegend um die taktische Absicherung der eingesetzten Komponenten gegen Angriffe. Im konzeptionellen Bereich müssen angemessene und ausreichende Sicherheitsregeln (Policies) erstellt und durch geeignete Werkzeuge implementiert werden. Abgerundet wird die Aufgabenstellung durch Überwachung (Intrusion Detection) und Aufklärung bzw. Nachsorge (Incident Response, Computer Forensics).
Diese Vorlesung befaßt sich nahezu ausschließlich mit den Bausteinen für die Absicherung, die bei Entwurf und Programmierung eingesetzt werden. Ihr Ziel ist die Einführung in die grundlegenden Verfahren und Protokolle, mit denen Kommunikation im Internet heute abgesichert werden kann.
Ausgehend von den mathematischen Grundlagen (RSA, DES, Hashfunktionen) werden die gängigen kryptographischen Verfahren als Basisbausteine vermittelt. Darauf aufbauend sollen Protokolle wie TLS, SSH, PGP, OPIE, IPSec, DNSSEC, Kerberos etc. vorgestellt werden. Dabei werden jeweils gängige Bedrohungsszenarien ("man in the middle", connection hijacking, ...) betrachtet.
Nicht behandelt werden "Hackerangriffe" oder das Ausnutzen von Schwachstellen in Implementierungen, wohl aber im gegebenen Rahmen protokollinhärente Verwundbarkeiten.
Wünschenswert sind leichte Vorkenntnisse der Internet-Protokolle, wie sie etwa im gleichnamigen Grundstudiumsseminar erworben werden können, sowie die Einsicht, daß schlußendlich jedermann etwas zu verbergen hat.
Zu den erwähnten Protokollen gibt es jeweils eine Fülle von Publikationen, die sich mit verschiedenen Aspekten von der Spezifikation über die Implementierung bis zur Schwachstellenanalyse befassen. Für einen schnellen Einstieg und Überblick sind diese jedoch oft zu detailliert und nicht abstrakt genug.
Die umfassende Einführung in das Thema, die deutlich über den Rahmen der Veranstaltung hinausgeht, ist Applied Cryptography von Bruce Schneier.
Daneben sind zu einzelnen Verfahren recht praxisorientierte Einführungen erschienen, etwa Network Security with OpenSSL und SSH: The Definitive Guide. Gelegentlich werden wir aber auch auf die RFC-Dokumente der IETF zurückgreifen (etwa RFC 2104). Da diese aber primär für Softwareentwickler gedacht sind, wird die Veranstaltung nicht auf jedes technische Detail eingehen.
Die behandelten Themen sind für diejenigen von Interesse, die mehr oder weniger mit dem Entwurf oder Aufbau von Netzwerkapplikationen zu tun zu haben gedenken. Außerdem können potentielle Nutzer solcher Systeme von Kenntnissen der eingesetzten Techniken profitieren.
Die Veranstaltung Internet Security: Verfahren und Protokolle ist eine Wahlveranstaltung im Studiengang Naturwissenschaftliche Informatik. Die behandelten Themen könnten auch für den Studiengang Mediengestaltung interessant sein. In diesem Studiengang können mit dieser Veranstaltung drei Credit Points im Themenbreich 5 (Daten/Bilder/Graphik) durch eine mündliche Prüfung als Leistungsnachweis erworben werden.