10Base2 - Der Ethernet-Standard für den
Transport von Daten über ein dünnes, bis zu 200 Meter langes Koaxialkabel. |
10Base5 - Der Ethernet-Standard für den
Transport von Daten über ein dickes, bis zu 500 Meter langes Koaxialkabel. |
10BaseT - Der Ethernet-Standard für den
Transport von Daten über ein bis zu 600 Meter langes Twisted-Pair-Kabel. |
802.2 - Ein Ethernet-Standard. |
802.3 SNAP - Ein Ethernet-Standard. |
AARP - AppleTalk-Adreßauflösungsprotokoll
(AppleTalk Address Resolution Protocol) - Apples Version
von ARP; dieses Protokoll löst IP-Adressen in physikalische Adressen auf. |
Absturz - Wenn ein System plötzlich
ausfällt und neu gebootet werden muß. |
Adaptive Pulscode-Modulation - Verfahren
zur Codierung von Sprache in ein digitales Format zur
Datenfernübertragung. |
Administrator - Im allgemeinen ein
Mensch, der die Aufgabe hat, ein Netzwerk zu verwalten. Im spezielleren
Sinne der allmächtige Supervisor-Account bei Windows NT. Wer bei
Windows NT über Administrator-Privilegien verfügt, hat die Kontrolle über
dieses Netzwerk, die Arbeitsgruppe oder Domain. |
AIM - Ascend Inverse Multiplexing -
Proprietäres Protokoll, das von Ascend Communications (einem
Router-Hersteller) entwickelt wurde, um Multiplexer zu verwalten. Sie
erfahren mehr dazu unter
http://www.ascend.com/. |
anlpasswd - Ein proaktives
Paßwortprüfprogramm ähnlich passwd+. Sie erhalten es unter
ftp://coast.cs.purdue.edu/pub/tools/unix/anlpasswd/ |
Anonyme E-Mail - E-Mail, die nicht
zurückverfolgt werden kann, weil Teile des Headers entfernt oder
anonymisiert worden sind. |
Anonymer Remailer - Ein E-Mail-Server,
der die Header von E-Mail-Nachrichten entfernt und dadurch keine
Rückschlüsse auf die Quelle der E-Mail mehr zuläßt. Hier können Sie einen
ausprobieren: http://www.replay.com/. |
ANSI C - ANSI C ist eine Version der
Programmiersprache C, die von dem American National Standards Institute
standardisiert wurde. |
Anwendungsgateway/Firewall (Application
Gateways - Firewalls) - Das sind Firewall-Einrichtungen, die eine direkte
Kommunikation zwischen der Außenwelt und einem internen Netzwerk mit
Internet-Anbindung verhindern. Der Informationsfluß nach und von außen
wird durch eine Reihe von Proxy- Servern gefiltert. Stellen Sie sich diese
wie Rechtsanwälte der Internet-Sicherheit vor. Der Übergang (das Gateway)
spricht für beide Enden, ohne einen direkten Zugriff der beiden
aufeinander zu ermöglichen. |
Applet - Ein kleines Programm zur
Verwendung innerhalb von Webbrowser- Umgebungen. Üblicherweise in der
Programmiersprache Java geschrieben, die von Sun Microsystems entwickelt
wurde. Applets versehen Webseiten im allgemeinen mit Grafiken, Animationen
und Text-Effekten. Sie sind aus sicherheitstechnischen Gründen relevant,
weil Java ungehindert durch Firewalls dringen kann, wenn keine
Vorkehrungen dagegen getroffen worden sind. |
AppleTalk - Eine Protokollfamilie von
Apple Computer, die Ethernet und Token Ring unterstützt. |
AppleTalk Data Stream Protocol - Ein
Peer-to-Peer-Kommunikationsprotokoll zum Transport von großen Datenmengen
über ein Netzwerk. (Es ist in OpenTransport integriert.) |
AppleTalk Echo Protocol - Apples Version
des Echo-Protokolls; verwendet zum Testen des Netzwerks, indem man einen
entfernten Server zum Zurücksenden von Paketen veranlaßt, die Sie ihm
senden. |
appz - Slang-Ausdruck. Siehe warez. |
ARAP - AppleTalk Remote Access Protocol -
Die Aktivierung dieses Protokolls macht Ihren Macintosh-Server zu einem
Server für Fernzugang, mit dem entfernte Benutzer eine Verbindung
herstellen können. |
ARP - Adreßauflösungsprotokoll (Address
Resolution Protocol) - Das Adreßauflösungsprotokoll löst IP-Adressen in
physikalische Adressen von Netzwerkknoten auf. |
ASDL - Asymmetric Digital Subscriber Line
- Eine digitale High-Speed- Telefontechnologie, die Ihnen einen schnellen
Zugang zum Internet ermöglicht. ASDL ist bahnbrechend schnell, wenn Sie
Daten herunterladen (bis 8 Mbps). Beim Hochladen von Daten sind Sie jedoch
auf 768 Kbps beschränkt. ASDL ist in Deutschland noch nicht verfügbar und
wird zuerst nur in Großstädten angeboten werden. |
Asynchrones PPP - Das Allerwelts-PPP; die
Sorte, die normalerweise von PPP-Einwählkunden verwendet wird. |
ATM - Asynchroner Übertragungsmodus (Asynchronous
Transfer Mode) - Ein Übermittlungsverfahren, mit dem Informationen in
Standardblöcken bei hoher Geschwindigkeit übertragen werden können. |
Attribut - Der Zustand einer bestimmten
Ressource (ob Datei oder Verzeichnis), der angibt, ob diese Ressource
lesbar, versteckt, eine Systemdatei o.ä. ist. (Dieser Begriff wird
hauptsächlich verwendet, wenn man sich auf Dateien in einem
Microsoft-basierten Dateisystem bezieht.) Diese Angabe kann sich auch auf
den Zustand von Objekten in JavaScript oder sogar HTML beziehen. |
Audit - Eine Prüfung, von unabhängiger
Stelle oder intern, der bestehenden Sicherheitsrichtlinien und -verfahren.
Audits helfen Systemadministratoren und Sicherheitspersonal dabei, Stärken
und Schwachpunkte des Sicherheitszustandes eines Netzwerkes zu bestimmen.
Audits werden normalerweise gemäß einem sehr straffen, gut vorbereiteten
Angriffsplan durchgeführt, der speziell für das Zielsystem ausgearbeitet
wurde. |
Audit-Trail - Protokolle, schriftliche
Dokumente und andere Aufzeichnungen, die die Aktivität und Benutzung eines
bestimmten Systems aufzeigen. Audit-Trails sind von besonderer Bedeutung,
wenn eine Untersuchung durchgeführt wird. Ohne ein Minimum an solchen
Aufzeichnungen hat ein Administrator praktisch keine Chance, Cracker zu
erwischen. Ein Audit-Trail ist einfach ausgedrückt das Beweismaterial. |
Authentication Server Protocol - Ein auf
TCP basierender Authentifizierungsdienst, der die Identität eines
Benutzers verifizieren kann. Siehe RFC 931. |
Authentifizieren - Überprüfen der
Identität (und damit der Berechtigung) eines bestimmten Benutzers oder
Hosts. |
Authentifizierung - Der Vorgang des
Authentifizierens eines Benutzers oder Hosts. Eine solche
Authentifizierung kann einfach sein und auf der Anwendungsebene
stattfinden (ein Paßwort anfordernd). Sie kann jedoch auch sehr komplex
sein (wie bei Challenge-Response-Dialogen zwischen Rechnern, die im
allgemeinen auf Algorithmen oder Verschlüsselung auf einer diskreten Ebene
des Systems beruhen). |
Automatisiertes Informationssystem (AIS)
- Jedes System (bestehend aus Hard- und Software), das die Wartung,
Speicherung und Verarbeitung von Informationen ermöglicht. |
Backup - Die Sicherung von Dateisystemen
oder Dateien, normalerweise zur Wiederherstellung nach Datenverlusten. Ein
Backup wird im allgemeinen auf Band, Diskette oder anderen portablen
Medien erstellt, die an anderer Stelle sicher aufbewahrt werden können. |
Bastion Host - Ein Server, der gegen
Attacken besonders geschützt ist und deshalb außerhalb einer Firewall
verwendet werden kann. Oft eine Art »Opfergabe«. |
Bell-La Padula Modell - Ein System für
die Zugriffskontrolle, das auf Formeln mit der Notwendigkeit des Zugriffs
durch den Benutzer und der Sensibilität der Daten beruht. (Zum Beispiel
greifen weniger Benutzer auf sensible Daten zu, und die Mechanismen zum
Schutz dieser Daten sind strenger, genau wie die Methoden der
Zugriffskontrolle und Authentifizierung, die mit ihnen verbunden sind.) |
Benutzer - Jeder, der ein Computersystem
oder Systemressourcen benutzt. |
Benutzer-ID - Im allgemeinen eine
Kennung, durch die ein Benutzer identifiziert wird, einschließlich seines
Benutzernames. Konkreter, und in bezug auf Unix und andere
Mehrbenutzersysteme, jede Prozeß-ID - im allgemeinen ein Zahlenwert -, die
den Eigentümer eines bestimmten Prozesses identifiziert. Siehe Eigentümer
und Benutzer. |
Benutzungsrichtlinien (Acceptable Use
Policy - AUP) - Ursprünglich von der National Science Foundation
aufgestellt, untersagte die AUP früher die Verwendung des Internet zu
kommerziellen Zwecken. Heute bezieht sich der Begriff
Benutzungsrichtlinien auf die Vorschriften, an die sich ein Benutzer
halten muß, wenn er die Dienste eines ISP in Anspruch nimmt. |
Biometrische Zugriffskontrollen -
Systeme, die Benutzer mit Hilfe physischer Merkmale authentifizieren, wie
z.B. Gesicht, Fingerabdruck, Netzhautmuster oder Stimme. |
Bug - Ein Sicherheitsloch oder eine
Schwachstelle eines Computer-Programms. Siehe Sicherheitslücke. |
Cast-128 - Ein
Verschlüsselungsalgorithmus, der extrem große Schlüssel verwendet und in
Verschlüsselungsanwendungen integriert werden kann. (Weitere Informationen
finden Sie in RFC 2144.) |
CERT - Abkürzung für »Computer Emergency
Response Team«. Das CERT ist eine Sicherheitsorganisation, die sich zum
Ziel gesetzt hat, den Betreibern von Computer-Netzwerken zu helfen, die
von böswilligen Benutzern oder Crackern attackiert werden. Sie finden sie
unter http://www.cert.org/. |
Certificate Authority - Siehe
Zertifizierungsstelle. |
CGI-basierter Angriff - Ein Angriff, der
Sicherheitslücken in CGI-Programmen ausnutzt, üblicherweise über eine
WWW-Site. |
Challenge Handshake Authentication Protocol (CHAP)
- Ein Protokoll zur Authentifizierung von Benutzern. Die Identität des
Initiators einer Verbindung wird überprüft, und falls diese nicht korrekt
ist, wird ihm der Zugriff auf die gewünschte Ressource verweigert. Weitere
Informationen finden Sie in RFC 1344. (Dieses Protokoll wird gewöhnlich
für den Aufbau von PPP-Sitzungen verwendet.) |
chroot - Eine eingeschränkte Umgebung, in
der Prozesse nur mit begrenztem Zugriff auf die Festplatte laufen; die
Technik (und der Befehl) zum Erzeugen einer solchen Umgebung (Unix). |
Common Gateway Interface (CGI) - Bezieht
sich auf einen Programmierstil und Standard, der verwendet wird, um
Websites mit einer höheren Funktionalität zu versehen. Suchmaschinen
werden im allgemeinen gemäß den CGI-Spezifikationen programmiert. (CGI-Standards
sind nicht plattformspezifisch und stellen einen allgemeinen Standard für
jede Art des Web-basierten Programmierens zur Verfügung.) Perl ist die
gegenwärtig beliebteste Programmiersprache für die CGI-Programmierung.
CGI-Programme können jedoch auch in C, C++, Python, Visual Basic, Basic
und verschiedenen Shell-Sprachen verfaßt werden. |
COPS - Computer Oracle and Password
System; ein systembasiertes Tool, das Ihren lokalen Host auf häufige
Konfigurationsprobleme und Sicherheitslücken durchsucht. (Entwickelt von
Gene Spafford und Dan Farmer.) |
Crack - Eine Software (oder eine
Technik), die verwendet wird, um Sicherheitsvorkehrungen zu umgehen, wie
z.B. der berühmte Paßwort-Knacker Crack. |
Cracker - Jemand, der mit böswilligen
Absichten und unter Übertretung des Gesetzes die Sicherheit eines
Computersystems verletzt; jemand, der die Registrierungsschemata von
kommerzieller Software überwindet. |
Cyberkrieg - Bezieht sich auf den aktiven
Informationskrieg, der über das Internet geführt wird. |
DAC (Discretionary Access Control) -
Wahlweise Zugriffskontrolle; Systeme, durch die eine zentrale Autorität in
einem Computersystem oder -netzwerk Benutzern den Zugriff entweder
erlauben oder verweigern kann, basierend auf Uhrzeit, Datum, Datei,
Verzeichnis oder Rechner. |
Datengesteuerter Angriff - Ein Angriff,
der auf verborgenen oder gekapselten Daten beruht, die unentdeckt durch
eine Firewall gelangen könnten. (Java und JavaScript können für solche
Angriffe verwendet werden.) |
Datenintegrität - Dieser Begriff bezieht
sich auf den Zustand von Dateien. Wenn Dateien unverändert sind und nicht
manipuliert worden sein können, verfügen sie über Integrität. Wenn sie
manipuliert worden sind, wurde ihre Integrität verletzt oder vermindert. |
DES (Data Encryption Standard) - Eine von
IBM 1974 entwickelte und 1977 veröffentlichte Spezifikation zur
Verschlüsselung von Computerdaten. |
Digest Access Authentication - Eine
Sicherheitserweiterung für das Hypertext Transfer Protocol, die nur eine
grundlegende (und nicht verschlüsselte) Authentifizierung von Benutzern
über das Web ermöglicht. Mehr Informationen finden Sie in RFC 2069. |
Digitales Zertifikat - Jeder digitale
Wert, der in einer Authentifizierungsprozedur verwendet wird. Digitale
Zertifikate sind normalerweise Zahlenwerte, die von kryptographischen
Prozessen abgeleitet werden. (Es gibt viele Werte, die als Basis eines
digitalen Zertifikates verwendet werden können, unter anderem biometrische
Werte wie Netzhaut-Scans.) |
DNS-Spoofing - Eine Angriffstechnik, bei
der dem Zielsystem falsche Daten eines DNS zugespielt werden. Dies kann
entweder durch die Manipulation des DNS selbst erfolgen oder durch
Man-In-The-Middle-Angriffe (bei denen Ihr Rechner sich als der legitime
DNS-Server ausgibt). |
DoD (Department of Defense) -
US-Verteidigungsministerium. |
DoS - Abkürzung für Denial of Service;
ein Zustand, der auftritt, wenn ein Benutzer mit böser Absicht einen
Internet-Server außer Gefecht setzt und dadurch legitimen Benutzern den
Zugriff auf dessen Dienste versagt. |
Dual Homed Gateway - Die Konfiguration
eines Rechners, der zwei oder mehrere verschiedene Protokolle oder Arten
des Netzwerktransports unterstützt und Paketfilterung zwischen ihnen
anbietet. |
EFT - Electronic Funds Transfer. |
Eigentümer - Die Person (oder der Prozeß)
mit dem Recht, eine bestimmte Datei, ein Verzeichnis oder einen Prozeß zu
lesen, zu schreiben oder anderweitig darauf zuzugreifen. Solche
Eigentumsrechte werden vom Administrator erteilt. Allerdings können sie in
bestimmten Fällen auch automatisch durch das Betriebssystem zugewiesen
werden. |
Einbruchserkennung (Intrusion Detection)
- Der Einsatz von automatisierten Verfahren und Anwendungen zum Entdecken
von Einbruchsversuchen. Das beinhaltet normalerweise die Verwendung von
intelligenten Systemen oder Agenten. |
Einbruchsversuch (Systempenetration) -
Der Vorgang des Angreifens eines Hosts von außen zur
Feststellung entfernter Sicherheitslücken. |
Einmalpaßwort - Ein während eines
Challenge-Response-Austausches dynamisch generiertes Paßwort. Solche
Paßwörter werden mit Hilfe eines vordefinierten Algorithmus erzeugt, aber
da sie nur für die aktuelle Sitzung gültig sind, sind sie extrem sicher. |
Entführen - Dieser Begriff bezieht sich
auf das »Entführen« eines Terminals, wenn ein Angreifer sich die Kontrolle
über die Sitzung eines anderen Benutzers verschafft. Das kommt selten vor,
und wenn es passiert, ist es ein Anzeichen dafür, dass die Sicherheit des
Zielsystems durchbrochen worden ist. |
Ethernet-Spoofing - Jede Methode, die
beinhaltet, dass man die Ethernet- Adresse eines fremden Hosts vortäuscht,
um sich unbefugten Zugang zu dem Zielsystem zu verschaffen. |
Firewall - Im weitesten Sinne jede
Einrichtung oder Technik, die unbefugten Benutzern den Zugriff auf einen
bestimmten Host verweigert. Konkreter ein Gerät, das jedes Paket
untersucht und seine Ursprungsadresse feststellt. Wenn diese Adresse in
einer genehmigten Liste steht, erhalten die Pakete Zutritt. Wenn nicht,
werden sie zurückgewiesen. |
Flooder - Ein Tool, das die
Verbindungswarteschlange von TCP/IP-Systemen zum Überlauf bringt und
dadurch ein Versagen des Dienstes (Denital of Service, DoS) hervorruft. |
Frame Relay - Die Frame-Relay-Technologie
erlaubt Netzwerken den Transfer von Informationen im Burst-Modus. Dies ist
eine kostengünstige Methode für die Datenübertragung über Netzwerke, da
Sie nur für die Ressourcen zahlen müssen, die Sie nutzen. (Leider kann es
auch sein, dass Sie Ihre Frame- Relay-Verbindung mit jemand anderem teilen
müssen. Die üblichen Frame- Relay-Verbindungen ermöglichen 56Kbps.) |
FTP-Sicherheitserweiterungen -
Erweiterungen des File Transfer Protocol, die eine Authentifizierung und
Überprüfung der Integrität und Vertrauenswürdigkeit für FTP-basierte
Sitzungen ermöglichen. Siehe RFC 2228. |
Gemeinsame Nutzung (Sharing) - Benutzern
an anderen Rechnern erlauben, auf Dateien und Verzeichnisse Ihres eigenen
zuzugreifen. Die gemeinsame Dateinutzung (Filesharing) ist bei LANs
ziemlich üblich und kann manchmal ein Sicherheitsrisiko darstellen. |
Gigabit - 10003 = 1.000.000.000 oder
10243 = 1.073.741.824 Bit, je nachdem, ob Sie Plattenhersteller sind (und
weniger Bit pro Pfennig verkaufen wollen) oder ob Sie sich streng an die
Konvention halten wollen. Bits sind nicht zu verwechseln mit Bytes: 1 Byte
= 8 Bit. |
Granularität - Der Grad der Abstufung von
Zugriffskontrollen. Je differenzierter die Zugriffskontrollen eingestellt
werden können, desto mehr Granularität hat das System. |
Hacken - Alle von einem Hacker
durchgeführten Aktivitäten. |
Hacker - Jemand, der sich für
Betriebssysteme, Software, Sicherheit und das Internet im allgemeinen
interessiert. Auch ein Programmierer; jemand, der mit Programmieren seinen
Lebensunterhalt verdient. |
Hintertür - Ein verstecktes Programm, das
ein Eindringling oder ein verärgerter Mitarbeiter zurückgelassen hat und
das ihm zukünftig den Zugriff auf diesen Host verschafft. |
HTPASSWD - Ein System, das verwendet
wird, um Seiten auf einem Webserver mit einem Paßwortschutz zu versehen
(Unix). |
Hypertext Transfer Protocol (HTTP) - Das
Protokoll, das verwendet wird, um den Hypertext-Zugriff auf Informationen
im World Wide Web zu ermöglichen. Das Protokoll, auf dem das dem WWW
basiert. |
IDEA (International Data Encryption Algorithm)
- IDEA ist ein leistungsfähiges Verschlüsselungssystem. Es ist ein
blockweiser Verschlüsselungsalgorithmus, der standardmäßig einen
128-Bit-Schlüssel verwendet. IDEA verschlüsselt Daten schneller als DES. |
IDENT (Identification Protocol) - Ein
TCP-basiertes Protokoll zur Identifizierung von Benutzern. Es beinhaltet
eine Anfrage des Servers an den Client einer TCP-Verbindung, welcher
Benutzer die Verbindung geöffnet hat. Die Information darüber ist in der
Regel nicht vertrauenswürdig, weil der befragte Client keinen Beweis über
die Richtigkeit seiner Information erbringen muß. |
Informationskrieg - Die Praxis oder das
Gebiet des Angreifens von Informationen anderer Personen oder
Organisationen. Dieser Begriff wird häufig im Militär- oder
Spionage-Umfeld verwendet, um die Zerstörung, Abwertung oder Zerstückelung
der Informationsinfrastruktur einer ganzen Nation zu beschreiben. |
Internet Protocol Security Option -
IP-Sicherheitsoption, die zum Schutz von IP-Datagrammen gemäß den
US-Klassifikationen verwendet wird (nicht klassifiziert, als geheim oder
als streng geheim klassifiziert). Siehe auch RFC 1038 und RFC 1108. |
Internet-Wurm - Auch Morris-Wurm genannt;
ein Programm, das das Internet im November 1988 angriff. Einen guten
Überblick über diesen Angriff gibt RFC 1135. |
Intrusion Detection - Siehe
Einbruchserkennung. |
IP - Internet Protocol. |
IP-Spoofing - Jedes Verfahren, bei dem
der Angreifer die IP-Adresse eines anderen Hosts vortäuscht, um sich
unautorisierten Zugriff auf das Zielsystem zu verschaffen. |
ISO - International Organization for
Standardization. Arbeitet an der weltweiten Vereinheitlichung technischer
Standards. |
jack in - Slang-Begriff, den Cracker für
den Vorgang der Verletzung der Sicherheit eines Internet Information
Servers verwenden. Er bedeutet eigentlich so viel wie »Einloggen«. |
Java - Eine von Sun Microsystems
entwickelte Netzwerk-Programmiersprache, die C++ geringfügig ähnelt. Sie
ist objektorientiert und nutzt die Netzwerkunterstützung des Internet aus.
Sie kann zum Erstellen von grafischen Anwendungen, Multimedia-Anwendungen
und sogar eigenständigen, fensterorientierten Programmen verwendet werden.
Java ist jedoch am meisten für seine plattformübergreifenden Möglichkeiten
bekannt. Java hat ein paar eigene Sicherheitsprobleme. |
JavaScript - Programmiersprache, die in
Netscape- und Internet-Explorer- Umgebungen verwendet wird. JavaScript
wurde von Netscape Communications entwickelt und unterstützt die meisten
Programmierfunktionen. (Sie wird verwendet, um Webseiten mit mehr
Funktionalität zu versehen, und ist außerdem ein Eckpfeiler von Dynamic
HTML, einer neuen Möglichkeit zur Erstellung von Webseiten, die viele
Multimedia-Eigenschaften unterstützt.) |
Kerberos - Verschlüsselungs- und
Authentifizierungssystem, das vom Massachusetts Institute of Technology
(MIT) entwickelt wurde. Es wird bei vielen Netzwerkanwendungen eingesetzt
und funktioniert auf Grundlage eines Systems von Tickets und
vertrauenswürdigen Drittservern zur Authentifizierung. |
Kerberos Network Authentication Service -
Ein auf Tickets basierendes Authentifizierungsschema eines Drittanbieters,
das sich einfach in Netzwerkanwendungen integrieren läßt. Mehr
Informationen dazu finden Sie in RFC 1510. |
Knacken - Das Verletzen der Sicherheit
eines Systems oder das Überwinden des Registrierungsschemas von
kommerzieller Software. |
Kopierzugriff - Wenn ein Benutzer
Kopierzugriff hat, bedeutet das, dass er das Recht hat, eine bestimmte
Datei zu kopieren. |
Lesezugriff - Wenn ein Benutzer
Lesezugriff hat, bedeutet das, dass er das Recht hat, eine bestimmte Datei
zu lesen. |
Logische Bombe - Jedes Programm oder Code
- im allgemeinen bösartiger Natur - das zum Aufhängen oder Absturz eines
Systems führt. |
MD4 - Ein Message-Digest-Algorithmus, der
zur Überprüfung der Integrität von Dateien verwendet wird. RFC 1186
enthält die Original-Spezifikation. |
MD5 - Ein Message-Digest-Algorithmus, der
zur Überprüfung der Integrität von Dateien verwendet wird. RFC 1321
enthält die Original-Spezifikation. |
Mißbrauch von Privilegien - Wenn Benutzer
ihre Privilegien dazu mißbrauchen, gegen Richtlinien zu verstoßen oder
ihre Kompetenzen zu überschreiten. |
MTU - Maximale Übertragungseinheit (maximum
transmission unit) - Dies ist ein vom Netzwerkprotokoll definierter
Parameter, der das größte übertragbare Paket definiert. Viele Anwender
verändern diesen Wert und erzielen oft dadurch eine bessere
Übertragungsleistung, dass sie ihn verringern oder erhöhen. |
NASIRC - NASA Automated Systems Incident
Response Capability. Eine Regierungsabteilung der USA, die
Sicherheitsvorfällen nachgeht. NASIRC finden Sie unter
http://www-nasirc.nasa.gov/nasa/index.html. |
NCSC - National Computer Security Center;
URL:
http://www.radium.ncsc.mil/. |
netstat - Unix-Befehl (auch unter Windows
verfügbar), der die aktuellen TCP/ IP-Verbindungen und ihre
Ursprungsadressen anzeigt. |
npasswd - Ein proaktiver Paßwortprüfer
für Unix, der mögliche Paßwörter überprüft, bevor sie zu der Paßwortdatei
hinzugefügt werden. Sie erhalten ihn hier:
ftp://ftp.cc.utexas.edu/pub/npasswd/. |
NSA - National Security Agency.
Verantwortlich für den Schutz klassifizierter und nicht klassifizierter
nationaler Sicherheitssysteme der USA vor Abhören, unbefugtem Zugriff oder
ähnlichen Gefahren durch technische Spionage. Ihre URL ist:
http://www.nsa.org/. |
Paßwort-Shadowing - Das Paßwort-Shadowing
ist eine Technik, die verwendet wird, um Cracker daran zu hindern, an
verschlüsselte Paßwörter zu gelangen. Dabei wird das verschlüsselte
Paßwort zusammen mit dessen Gültigkeitsdauer und einer Reihe anderer Daten
in der für den normalen Benutzer nicht lesbaren Datei /etc/shadow
untergebracht. In der Datei /etc/passwd wird dieses Paßwort dann abstrakt
durch ein Token repräsentiert, das normalerweise aus einem einzigen
Zeichen besteht. |
Perl - Practical Extraction and Reporting
Language; eine Programmiersprache, die häufig in der Netzwerk- und
CGI-Programmierung eingesetzt wird. Perl verfügt über Eigenschaften, durch
die es sich außergewöhnlich gut für Aufgaben der Systemadministration auf
Unix-Plattformen eignet. Eine Haupteigenschaft von Perl ist die Fähigkeit,
unüberschaubare Datenmengen (wie z.B. Log-Dateien) in ein gut lesbares und
verständliches Format zu konvertieren. (Perl bietet auch leistungsfähige
Netzwerkunterstützung und ist eine ausgezeichnete Wahl, wenn Sie sich der
Socket-Programmierung zuwenden wollen.) |
Phreaken - Das Manipulieren von
Telefonsystemen; normalerweise illegal. |
PPP - Point-to-Point Protocol. PPP ist
ein Datenverbindungsprotokoll, das zwischen Rechnern verwendet wird, die
serielle Schnittstellen wie Modems unterstützen. PPP wird gewöhnlich für
Einwählverbindungen zu Internet Service Providern verwendet. |
PPP DES - Das
PPP-DES-Verschüsselungsprotokoll, das Point-to-Point-Verbindungen durch
den Data Encryption Standard schützt. (Dies ist eine Methode, um
PPP-Verkehr davor zu schützen, ausspioniert zu werden.) Mehr Informationen
enthält RFC 1969. |
PPP-Authentifizierungsprotokolle - Eine
Reihe von Protokollen, die zur Erhöhung der Sicherheit des Point-to-Point
Protocol verwendet werden können und die sowohl auf Router- als auch
Host-Ebene unterstützt werden. Siehe auch RFC 1334. |
PPTP - Point-to-Point Tunneling Protocol.
PPTP ist eine Spezialversion von PPP und ermöglicht die Kapselung von
Nicht-TCP/IP-Protokollen innerhalb von PPP. PPTP erlaubt die Verbindung
von zwei oder mehreren LANs über das Internet. (Das ist ein großer
Fortschritt, da die Notwendigkeit der teuren Mietleitungen entfallen ist,
die eine solche Verbindung früher in vielen Fällen unbezahlbar machten.) |
Prüfsumme - Ein kryptographischer Wert,
der den digitalen Fingerabdruck einer Datei darstellt. Virenscanner und
Audit-Tools verwenden Prüfsummen, um an den Dateien vorgenommene
Änderungen aufzuspüren (erstere zum Prüfen, ob ein Virus angehängt wurde,
und letztere zur Prüfung auf Trojanische Pferde). |
RARP (reverse address resolution protocol)
- Protokoll zur umgekehrten Adreßauflösung. Ein Protokoll zur Bestimmung
der IP-Adresse über die Ethernet-Adresse. Wird beim Booten mancher Rechner
über ein Netzwerk verwendet, gilt aber als veraltet. |
RFC (request for comment) - RFCs sind
Arbeitsnotizen der Internet-Entwicklungsgemeinde. Sie werden oft als
Vorschläge für neue Standards verwendet. Sie finden sie unter
http://rs.internic.net/. |
Risiko-Management - Das Gebiet der
Bestimmung von Sicherheitsrisiken, des Entwickelns von Lösungen und der
Implementierung solcher Lösungen, basierend auf einer
Kosten-Nutzen-Analyse. |
Router - Ein Gerät, das Pakete in und aus
einem Netzwerk routet. Viele Router sind hochentwickelt und können als
Firewall dienen. Ein Router besitzt immer mehrere physikalische Interfaces
(»Beinchen«), mit denen einzelne Subnetze miteinander gekoppelt werden. In
jedem dieser Subnetze hat ein IP- Router eine IP-Adresse, die sogenannte
Gateway-Adresse. Liegt die Zieladresse eines Pakets nicht innerhalb des
Subnetzes, dann wird es an das Gateway (den Router) weitergereicht, der
den weiteren Transport erledigt. |
RSA - RSA (nach seinen Entwicklern Rivest,
Shamir und Adleman benannt) ist ein Verschlüsselungsalgorithmus mit einem
Paar aus einem geheimen und einem öffentlichen Schlüssel. RSA ist
wahrscheinlich der populärste dieser Algorithmen und wurde in viele
kommerzielle Anwendungen integriert, unter anderem Netscape Navigator,
Communicator, Secure Shell und sogar Lotus Notes. Mehr über RSA erfahren
Sie unter http://www.rsa.com/. |
Rückruf (call back) - Rückrufsysteme
implementieren die Sicherheit auf recht interessante Weise: Ein Host
verbindet sich mit dem Server, und es erfolgt ein kurzer Austausch, nach
dem die Verbindung gekappt wird. Dann ruft der Server den Host zurück. Auf
diese Weise stellt der Server sicher, dass die Verbindung auch wirklich
von dem richtigen Rechner initiiert wurde. Rückruf wird vor allem beim
Öffnen von ISDN-Datenverbindungen benutzt, weil damit sichergestellt wird,
dass auch wirklich ein berechtigter Anschluß die Verbindung bekommt. |
S/Key - Einmalpaßwortsystem zur
Absicherung von Verbindungen. Bei S/Key verfallen Paßwörter sofort nach
deren Benutzung, so dass das Sniffen solcher Paßwörter zwecklos ist. Mehr
Informationen finden Sie in RFC 1760. |
SATAN - Security Administrator's Tool for
Analyzing Networks. Ein Scanner, der entfernte Hosts auf übliche
Fehlkonfigurationen und Sicherheitslücken überprüft. |
Scanner - Jedes Utility, das entfernte
Hosts untersucht und dabei nach Schwachstellen bei deren Sicherheit sucht. |
Schreibzugriff - Wenn ein Benutzer
Schreibzugriff hat, bedeutet dies, dass er das Recht hat, eine bestimmte
Datei zu beschreiben. |
SET (secured electronic transaction) -
Ein Standard für sichere Protokolle im Zusammenhang mit E-Commerce und
Kreditkarten-Transaktionen. (Visa und MasterCard sind die Hauptbeteiligten
an der Entwicklung des SET-Protokolls.) Sein vorgeblicher Zweck ist es,
den elektronischen Handel sicherer zu machen. |
Shadowing - Siehe Paßwort-Shadowing.
|
Shell - Im allgemeinen ein
Befehlsinterpreter oder jedes Programm, das Standardeingaben annimmt und
diese Befehle an das System weitergibt. Konkreter eine der Shells bei Unix
(csh, tcsh, sh, ksh, bash, ash oder zsh), COMMAND.COM bei DOS oder CMD.EXE
bei Windows NT. |
Shell-Script - Shell-Scripts sind kleine
Programme - in Shell-Sprachen geschrieben -, die ähnlich wie Stapeldateien
funktionieren. Sie bestehen aus verschiedenen Operationen mit regulären
Ausdrücken, Leitungen, Umleitungen, Systemaufrufen und so weiter.
Shell-Scripts bieten die Möglichkeit, Befehle wie auf der Kommandozeile
zum Zweck der Automatisierung in einem Text zusammenzuschreiben und damit
zu modularisieren. |
Sicherheitsaudit - Eine Prüfung (oft
durch Dritte) der Sicherheitskontrollen eines Servers und
Disaster-Recovery-Mechanismen. |
Sicherheitslücke (Sicherheitsloch) -
Dieser Begriff bezieht sich auf jede Schwäche in einem System (entweder
der Hard- oder Software), die es Eindringlingen ermöglicht, sich
unautorisierten Zugang zu verschaffen oder das System lahmzulegen. |
Site Security Handbook - Ein
ausgezeichnetes Dokument, das die grundlegenden Sicherheitsmaßnahmen bei
der Wartung einer Site beschreibt. Jeder Systemadministrator sollte dieses
Dokument haben. Sie finden es in RFC 2196. |
Smartcards - Kleine Plastikkarten, die
sehr viel Ähnlichkeit mit Kreditkarten haben. Smardcards sind jedoch
weiter entwickelt als Kreditkarten und enthalten winzige Mikroprozessoren,
die Daten speichern können. |
Sniffer - Programm, das heimlich
Datagramme abfängt, die über ein Netzwerk gesendet werden. Es kann auf
legitime Weise verwendet werden (von einem Ingenieur, der versucht,
Netzwerkprobleme zu diagnostizieren) oder unrechtmäßig (von einem Cracker,
der darauf aus ist, Benutzernamen und Paßwörter zu stehlen). |
SNMP-Sicherheitsprotokolle - Das Simple
Network Management Protocol wird für die Fernverwaltung und den Schutz von
Netzwerken und Hosts verwendet. Es gibt innerhalb des SNMP-Paketes eine
Reihe von Protokollen, die sich auf die Sicherheit beziehen. Sie finden
mehr Informationen darüber in RFC 1352. |
Social Engineering - Begriff aus dem
Cracker-Jargon. Eine Vorgehensweise, mit der man unvorsichtiges Personal
dazu verleitet oder überredet, Paßwörter oder andere Informationen über
ihr Netzwerk preiszugeben. |
SOCKS-Protokoll - Ein Protokoll, das eine
ungesicherte Firewall-Durchquerung für TCP-basierte Dienste ermöglicht. |
SP3 -
Netzwerkschicht-Sicherheitsprotokoll. |
SP4 -
Transportschicht-Sicherheitsprotokoll. |
Spoofing - Jede Vorgehensweise, die
beinhaltet, dass sich jemand als ein anderer Benutzer oder Host ausgibt,
um unautorisierten Zugriff auf das Zielsystem zu erhalten. |
SSL (Secure Socket Layer) - Ein
Sicherheitsprotokoll (entwickelt von Netscape Communications), das
Client-Server-Anwendungen eine Kommunikation ermöglicht, die nicht
abgehört, manipuliert oder gefälscht werden kann. SSL wird auch zur
Sicherung des elektronischen Zahlungsverkehrs verwendet. |
Tastatur-Recorder - Ein Programm, das
heimlich die Tastatureingaben eines nichtsahnenden Opfers aufzeichnet.
Diese Tools werden verwendet, um von jemandem den Benutzernamen und das
Paßwort zu stehlen. |
tcpdump - Utility aus der Unix-Welt, das
eine sehr detaillierte Protokollierung des Netzverkehrs ermöglicht.
tcpdump ist also ein Sniffer, der auf Netzwerkanalyse spezialisiert ist. |
Telnet Authentication Option -
Protokolloptionen für Telnet, die Telnet- basierte Verbindungen mit einer
grundlegenden Sicherheit versehen und auf Regeln basieren, die auf
Source-Routing-Ebene greifen. Vgl. RFC 1409. |
TEMPEST - Transient Electromagnetic Puls
Surveillance Technology. TEMPEST ist die Praxis und die Untersuchung des
Abfangens oder Abhörens von elektromagnetischen Signalen, die von
irgendeinem Gerät ausgehen - in diesem Fall einem Computer. Eine
TEMPEST-Abschirmung ist jedes Computer- Sicherheitssystem, das zur Abwehr
eines solchen Abhörens entwickelt worden ist. |
Traceroute - Ein TCP/IP-Programm, das die
Route eines IP-Pakets zwischen Ihrem Rechner und einem entfernten Host
verfolgt und aufzeigt. |
Trojanisches Pferd - Eine Anwendung oder
Code, der ohne Wissen des Benutzers heimlich und unautorisiert Aufgaben
durchführt. Diese Aufgaben können die Systemsicherheit verletzen. |
Tunneling - Das Einpacken einer einzelnen
IP-Verbindung oder gleich des ganzen Netzwerkverkehrs in IP-Pakete zum
Zweck des transparenten (also für den Netzwerkbenutzer, ob Programm oder
Mensch, unsichtbaren) Transports. Meist wird dafür das IPIP-Protokoll
verwendet (IP in IP). Da es leicht möglich ist, diesen Datenstrom zu
verschlüsseln, kann man mit Tunneling ein lokales Netzwerk über eine
beliebige Entfernung virtuell ausdehnen (siehe VPN). SSH (Secure Shell)
kann Port-Verbindungen von einem Rechner zu einem anderen durch einen
verschlüsselten Tunnel weiterreichen (Port-Forwarding, Port-Tunneling). |
UDP (User Datagram Protocol) - Ein
verbindungsloses Protokoll aus der IP- Familie. Verbindungslose Protokolle
übertragen Daten zwischen zwei Hosts, obwohl diese Hosts keine aktive
virtuelle Verbindung haben. Der Zielhost muß also die übertragenen Daten
angefordert haben und darauf warten. UDP wird oft dann verwendet, wenn es
unzweckmäßig ist, dass eine Datenverbindung einen Verbindungsstatus hat,
etwa bei Video- oder Audiokonferenzen, bei denen ohne großen Schaden Daten
verlorengehen und nicht ersetzt werden können und bei denen mehrere Hosts
gleichzeitig beteiligt sein können. Daten in UDP-Paketen sind also
Fragmente, über deren Sequenz und Vollständigkeit die Anwendungsschicht
wachen muß. |
UID - Siehe Benutzer-ID. |
Verkehrsanalyse - Verkehrsanalyse ist die
Untersuchung von Mustern bei der Kommunikation und weniger des Inhalts der
Kommunikation. Es wird z.B. untersucht, wann, wo und zu wem bestimmte
Nachrichten gesendet werden, ohne den Inhalt dieser Nachrichten zu
untersuchen. Eine Verkehrsanalyse kann aufschlußreich sein, besonders bei
der Bestimmung von Beziehungen zwischen Einzelpersonen und Hosts. |
Verschlüsselung - Der Prozeß der
Codierung von Daten, so dass sie von unautorisierten Personen nicht
gelesen werden können. Bei den meisten Verschlüsselungsschemata benötigen
Sie zum Entschlüsseln der Daten ein Paßwort. Verschlüsselung wird
vorrangig verwendet, um die Privatsphäre oder geheime Informationen zu
schützen. |
Vertrauenswürdiges System - Ein
Betriebssystem oder anderes System, das für Umgebungen sicher genug ist,
in denen geheime Informationen aufbewahrt werden. |
Virtuelles Privates Netzwerk (VPN) - Die
VPN-Technologie ermöglicht Unternehmen mit Mietleitungen, untereinander
ein geschlossenes und sicheres Leitungssytem über das Internet zu bilden.
Auf diese Weise stellen Unternehmen sicher, dass Daten zwischen ihnen und
ihren Gegenübern sicher (und normalerweise verschlüsselt) übertragen
werden. Siehe auch Tunneling. |
Virus - Per Definition ist ein Virus ein
Programm, das sich selbst kopiert. Um das zu tun, hängt es sich an oder in
Dateien und/oder schreibt sich in den Boot- Sektor der Festplatte. Als zum
Teil unangenehme Nebenwirkung haben manche Viren zerstörende Auswirkungen
auf die Funktionalität der Software eines Computers, in einigen wenigen
Fällen auch auf die Hardware. Viren sind für Betriebssysteme, die nicht
von Microsoft hergestellt werden, extrem unüblich. Für Unix und
Unix-ähnliche (Linux) Betriebssysteme existiert nur ein Virus, der aber
nicht ernst zu nehmen ist. |
WAN - Wide Area Network. |
warez - Gestohlene oder geknackte
Software; warez werden oft im Usenet gehandelt. |
Wurm - ein Computerprogramm (nicht
notwendigerweise bösartig), das sich vervielfältigt und sich von Host zu
Host über das Netzwerk ausbreitet. Würmer verbrauchen manchmal sehr viele
Netzwerkressourcen und sind daher DoS- Attacken. |
Zeitbombe - Jedes Programm, das auf eine
bestimmte Uhrzeit oder ein Ereignis wartet, um mit meist destruktiver
Wirkung in Aktion zu treten. Siehe auch Logische Bombe. |
Zertifizierung - Es gibt zwei übliche
Definitionen dieses Begriffs. Erstens kann Zertifizierung sich auf das
Ergebnis einer erfolgreichen Prüfung eines Sicherheitsproduktes oder
-systems beziehen. In diesem Zusammenhang wurde ein Produkt auf einer
bestimmten Ebene der Sicherheit zertifiziert. Die andere Definition ist
diese: Die Zertifizierung eines Menschen, der erfolgreich bestimmte Kurse
absolviert hat, die ihn auf einem bestimmten Gebiet qualifizieren (z.B.
die Zertifizierung als Novell Network Engineer). |
Zertifizierungsstelle (Certificate Authority)
- Vertrauenswürdige, unabhängige Unternehmen, die Sicherheitszertifikate
erteilen und deren Authentizität sicherstellen. Die wahrscheinlich
bekannteste kommerzielle Zertifizierungsstelle ist VeriSign, die u.a.
Zertifikate für Microsoft-kompatible ActiveX- Komponenten oder
Echtheitszertifikate von SSL-Schlüsseln, beispielsweise für einen
Webserver, ausstellt. |
Zugriffskontrolle - Jedes Mittel, Gerät
oder jede Technik, die es einem Administrator ermöglicht, bestimmten
Benutzern den Zugriff auf eine bestimmte Ressource zu verweigern oder zu
gewähren, sei es auf eine Datei, ein Verzeichnis, ein Teilnetz, ein
Netzwerk oder einen Server. |
Zugriffskontrolliste (ACL - Access
Control List) - Eine Liste, in der Informationen über Benutzer und die
Ressourcen gespeichert sind, auf die diese zugreifen dürfen. |