Fragen zu TLS und Sicherheit meiner Backups

  • Hallo :)


    Ich hätte da ein paar Fräglein bzgl. Sicherheit, TLS und öffentlichen wLAN Netzen :)


    Gerade in Bezug auf Laptop in öffentlichen wLAN netzen.



    1. Verschlüsselt TLS nur die Übertragung der Kennwörter oder auch den Datenkanal? Sprich, kann man was mitsniffen oder nicht?


    2. Geht TLS nur über Port 25? Der ist an unserer Uni gesperrt, würde aber natürlich gerne darüber verschlüsseln.


    3. Haltet ihr es für zu riskant, Adressbücher und Kalender (aus Lightning) zu exportieren und in einem versteckten Ordner (CHMOD 700, oder so) mit Passwort, so dass ich hoffentlich nur via FTP Programm darauf zugreifen kann, zu speichern? AB enthält ja nicht zwingend nur email Adressen, evtl auch Anschriften z.B., würde aber den Austausch Laptop <--> Desktop erleichtern.




    Viele Grüße und vielen Dank :)


    Socke

  • Hallo!


    zu 1) edit: Die Verbindung wird komplett verschlüsselt. Dank an Peter_Lehmann.


    zu 2) Auch mal 465 oder 587 probieren


    zu 3) Riskant ist so eine Sache ... ;) Kommt auch auf die Daten an.


    Ich habe einen Kalender und diverse andere DInge im Netz liegen, Zugriff per Anmeldung/Passwort. FTP-Benutzer mit Passwort einrichten, kein directoy listing erlauben in .htaccess-Datei. Evtl. auch Ordner direkt per .htaccess schützen.


    Meinen "Verkehr" könnte man theoretisch jedoch mitloggen, bei meinen Daten jedoch nicht sooo kritisch.

    Einmal editiert, zuletzt von allblue ()

  • Hi Socke,


    Zu deinen Fragen:
    Frage 1 => http://de.wikipedia.org/wiki/Transport_Layer_Security
    Ich denke, das steht mehr, als ich nach Feierabend zu schreiben gewillt bin. Hier wird auch genau beschrieben, wie der Verbindungsaufbau erfolgt, und was alles verschlüsselt wird.
    Wichtig: "TLS wenn möglich" ist Blödsinn. Ist es nun, oder ist es nicht ... . ?


    Frage 2: Den Port, auf dem ein Dienst "lauscht", legt der Betrieber dieses Dienstes (Servers) fest. Du solltest ihn fragen (=> Webseite?). Und Testen ist ja auch noch möglich ... . Davon geht weder der Thunderbird noch der Server kaputt.


    Frage 3: Das musst du selbst entscheiden. Ich persönlich würde dich "teeren und fiedern" wenn ich erfahren würde, dass du ein Adressbuch mit Daten von mir auf einem öffentlich zugänglichen Server hosten würdest! (Aber manche Leute nutzen ja dazu sogar die tollen Gratisdienste der bekannten Datenkrake mit den 2 "g" und den 2 "o".)
    Thunderbird kann wunderbar mit einem ldap-Server umgehen. Dieser Server bietet auch ssl-verschlüsselte Verbindungen an. Ob ich aber den Thunderbird dazu bringen kann, den ldap per ssl anzusprechen, habe ich noch nicht getestet. Dann bliebe für dich noch das Problem mit dem ldap-Server ... .


    Kalender kannst du sowohl auf einem (nicht sichtbaren) Link hinter jeder eigenen Webseite, und auch auf einem ftp-Server speichern. Auf einem Webserver hast du meist per http keinen Schreibzugriff => also nur für statische Kalender (Feiertage usw.). Meine persönlichen variablen Kalender habe ich auf einem ftp-Server (=> meine Fritz.Box !) und mit einem guten Passwort gesichert. Auch hier musst du natürlich überlegen, welche Daten du unverschlüsselt übers Netz schickst. Auch das ftp-Passwort geht offen übers Netz ... .


    Ja, man muss eben immer zwischen Bequemlichkeit und Sicherheit abwägen ... .


    MfG Peter (zu spät ... aber ich sende es trotzdem)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    MfG Peter (zu spät ... aber ich sende es trotzdem)


    Hast dir ja auch mehr Zeit und Mühe gegeben.

    Zitat

    (Aber manche Leute nutzen ja dazu sogar die tollen Gratisdienste der bekannten Datenkrake mit den 2 "g" und den 2 "o".)


    Ich komm nicht drauf .... Gogo? Oggo? :gruebel: :P

  • Hallo,


    das meiste wurde schon gesagt, möchte nur kurz ergänzen.


    zu 1: Peter_Lehmanns Tipp ist richtig und ich empfehle dir auch, den Artikel, auch wenn Du einiges nicht verstehst, durchzulesen. Um Dir trotzdem eine kurze Antwort zu geben: mit TLS ist die komplette Verbindung zwischen Dir und dem Server verschlüsselt und ein Mitsniffen sollte sinnlos sein. Allerdings gibt es genug Szenarien, in denen dieser Idealfall hinfällig ist, das Problem mit ungültigen Serverzertifikaten und der damit verbundenen Möglichkeit einer "unauffälligen" Man-In-The-Middle-Attacke ist leider nicht nur Webseiten vorbehalten (unauffällig ist das eigentlich nicht. Nur sind die Leute es inzwischen gewohnt, Warnmeldungen einfach wegzuklicken).


    zu 3: Wenn es nur um den Abgleich zwischen dem Desktoprechner und deinem Laptop geht, dann lass das und gleiche lokal ab. Also entweder schlicht und einfach mit nem USB-Stick, mit irgendnem sync-Programm, samba oder wasauchimmer. Ich halte nicht viel von persönlichen Daten im Internet, noch weniger halte ich davon, wenn andere Leute meine persönlichen Daten irgendwo hochlanden. Und ganz ehrlich: nach richtig viel Sicherheit klingt ein passwortgeschützter ftp-Zugang (ftp ist unverschlüsselt und kann darum mitgesnifft werden) und eine "versteckte" Datei nicht gerade.


    Grüsse,
    Karla

  • Vielen dank an euch :)


    Ich werde wohl dann per USB Stick die Daten abgleichen. Aber vermutlich ist es leichter, dies eben per Hand mit Import/Export Funktion zu machen als mit einem extra 3. Tool.


    Ich werde wohl so einen geschützten/versteckten Ordner einrichten, allerdings eher für nicht so wichtige eigene Dateien als für solch wichtiges (dann kann ich auch mehr als nur email Adressen im AB speichern).


    Auf jedenfall ist es gut, dass TLS alles verschlüsselt, da mir eigentlich auch nicht recht ist, wenn die mails mitgesnifft werden können.


    An unserer Uni ist eben Port 25 geblockt, weil das wohl der Standardport für mails ist und da einfach zu viel Spam und ähnliches durchgejagt wird. Ich weiß, dass SSL einen Port im irgendwo bei 5xx oder 6xx benutzt und TLS die normalen Ports. Ich wusste jetzt aber nicht, dass die Portwahl vom Provider abhängt. Angenommen, mein Webhoster (btw: all-inkl.com) unterstützt nur Port 25 für TLS...was bleibt mir dann noch übrig?
    (Den Wiki Beitrag habe ich übrigens partiell überflogen, aber wohl noch nicht genau genug ;) ).


    An der Uni werde ich wohl auch versuchen, generell über https mich einzuwählen, sobald ich ein Passwort eingeben muss. Wenn das Zertifikat Mist ist, wird es hoffentlich nicht weniger sicher sein, als wenn ich normal über http mich einloggen würde.


    Und FTP kann ich bei meinem Webhoster über FTPES, da sollte dann ebenfalls die Übermittlung der Logindaten sowie der Datenkanal sicher sein. Dann kann ich ggf. auch an der Uni/in der Öffentlichkeit uploaden.




    Nebenbei...muss ich mir beim normalen Surfen an der Uni (oder anderen öffentlichen Netzwerken) Gedanken machen bzgl mitsniffen und ähnliches? [immerhin sind da einige Informatikstudenten :D]



    Viele liebe Grüße,


    Socke

  • "Socke" schrieb:

    ...muss ich mir beim normalen Surfen an der Uni (oder anderen öffentlichen Netzwerken) Gedanken machen bzgl mitsniffen und ähnliches? [immerhin sind da einige Informatikstudenten ...


    Hallo Socke,


    also ich bin kein Informatikstudent, bin aber sicher, daß selbige an Dir persönlich nicht mehr interessiert sind als an der "gesamten Welt". :D 
    (siehe unten)
    Daß sich da evtl. mal einer totlacht angesichts der Unbesonnenheit des ein oder anderen Anwenders muß nicht erwähnt werden.
    {bspw. siehe Conficker - Wurm; da haben Hunderttausende bis Millionen heute noch nicht einen Patch vom Oktober 2008 durchgeführt... :rolleyes: }


    In den meisten Uni's !sollte! ein gangbarer Kompromiss zwischen *Usability* und Sicherheit existieren.
    Daß gerade dort aber eine Unmenge an jungen, {naiven} usern existieren, welche so ziemlich alles ins Netz stellen bzw. online abwickeln was an persönlichen Daten vorhanden ist, brauche ich wohl nicht erwähnen.


    Letztlich ist ALLES was Du in öffentlichen Netzwerken abwickelst *per se* unsicher :!: 
    (WLAN = Alptraum ... :schlaumeier:)


    MfG ... Vic


    edit: Sensible Daten haben unverschlüsselt im Netz nichts verloren!
    Ansonsten ist jedwede Kritik an den letzten 'Datenskandalen' hinfällig.
    Sprich man darf sich dann über Vorratsdatenspeicherung bis "Wolferl"-Trojaner nicht beschweren. ;)


    Über *Soziale Netzwerke* möchte ich mich nicht eingehend äußern, sonst werde ich des Forums verwiesen ... :lol:
    Ich sage nur

    Zitat

    "teeren und federn"

    ist noch das Wenigste.

  • Hi :)


    also werde ich wohl die Dateien immer importieren und exportieren und mir entweder noch einen kleinen USB zulegen oder einen alten nehmen und diesen wohl mit TrueCrypt oder so verschlüsseln. (falls ich den mal verliere).


    Was die Studenten angeht: Ich denke, es gibt durchaus an der Uni welche, die nichts besseres zu tun haben, als zu schauen, was man sniffen kann (es muss ja nichts böses damit gemacht werden). Es gibt ja auch Leute, die fahren durch die Gegend und suchen offene wLAN Netze :D


    Vielleicht bin ich ja etwas paranoid :D. An der Uni muss man sich per VPN Client noch einloggen. Wie viel Sicherheit das noch gibt, weiß ich nicht. Deshalb ja auch die ursprüngliche Port-25-Frage.


    In sozialen Netzwerken gebe ich auch nur das an, zu dem ich auch in der Öffentlichkeit stehen kann. :)

  • Na dann will ich mich doch noch mal melden.


    > USB zulegen ... und diesen wohl mit TrueCrypt oder so verschlüsseln. (falls ich den mal verliere).
    OK, soviel Aufwand betreiben, wie dir deine Daten (deine Privatsphäre) wert sind. Aber denke bitte daran, dass du bei der Nutzung von Truecrypt am jeweiligen Rechner Adminrechte haben musst. Und natürlich auch, dass du das Passwort möglichst nicht vergessen solltest :-)


    > Was die Studenten angeht: Ich denke, es gibt durchaus an der Uni welche,
    > die nichts besseres zu tun haben, als zu schauen, was man sniffen kann
    An euerer Uni werden die Netze noch mit Hubs aufgebaut? Du kennst den Unterschied zwischen einem Hub und einem Switch? Und eure Studies haben so viel Zeit? (War zu "meiner Zeit" wohl anders ... .) Oder ist/sind etwa euer/eure Administrator/en nicht richtig ausgelastet?


    > Es gibt ja auch Leute, die fahren durch die Gegend und suchen offene wLAN Netze :D
    Was ist dagegen zu sagen? Wenn ich in Dänemark Urlaub mache, stelle ich mich auf einen beliebigen Parkplatz im Ort und wähle zwischen 5-20 offen Netzen aus. Die Leute schauen aus dem Fenster und lächeln mir zu. So lange ich nichts böses tue (illegale Tauschbörsen, Kinderporno usw.) sehe ich darin auch kein Problem. Im Inland nutze ich allerdings UMTS ... .


    > Vielleicht bin ich ja etwas paranoid :D.
    Willkommen im Club ... .
    Nach fast 30 Jahren einschlägiger Tätigkeit bin ich sicher, dass ich dieses schon ein klein wenig bin :-) Aber es gibt bei uns im Job einen wichtigen Begriff: Das "kalkulierbare Restrisiko". Auf laienhaft: Du musst selbst einschätzen, was dir deine Daten und deren Schutz wert sind. Und wenn du die absolute Sicherheit haben willst, hier hast du sie:
    http://www.home.pages.at/heaven/absolut.htm
     
    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    Na dann will ich mich doch noch mal melden.
    ... Vielleicht bin ich ja etwas paranoid :D.
    ... "kalkulierbare Restrisiko"


    Hallo,


    im Anschluß an den *master of the crypt* :) darf ich mich auch nochmal melden.
    (Immer wieder lese ich gerne die detaillierten und informativen Beiträge! ~ Am Ende werde ich doch noch ein S/MIME - Fan! ~ bzw. bin ja schon "infiziert". ;) )


    Paranoid - nein! -> Gesundes Misstrauen & ein natürliches Selbstverständnis der Schutzbedürftigkeit von Daten.


    Natürlich haben 'wir alle mal' gesnifft ~ einfach aus Neugier und "mal sehen was geht". Diese Attitüden verlaufen ja meist auf dem spielerischen Sektor. (Aufpassen muß man schon da!]
    Grundsätzlich sollte man halt generell Acht geben was man von sich und anderen im Netz verbreitet!


    Es ist klar, daß man einen gangbaren Kompromiss für sich finden muß.
    Ärgerlich ist halt, wenn immer wieder im Nachhinein ein bitteres Aufwachen erfolgt.


    MfG ... vic

  • *lacht* hehe Danke euch :)


    Mit "nach offenen wLAN Netzen suchen" meine ich nicht, weil man gerade eins (z.B. im Urlaub) benötigt, sondern aktives suchen und wenn man welche findet, sich darüber freuen ;)



    Ich frage mich noch eines, da jetzt alle IMAP Konten meines Laptops auf TLS (und eine "nur" SSL, weil wohl nicht anders unterstützt) umgestellt habe: "Use secure authentication". Ich finde bisher keine näheren Informationen dazu. Was macht das und brauche ich das?

  • Ich weiß zwar nicht so viel wie Tante g**gle, aber vielleicht reicht es dazu:
    TLS ist eine Weiterentwicklung von SSL. Der wohl einzige Unterschied für den Endnutzer: TLS verwendet einen transparenten Port (also den gleichen, wie für die unverschlüsselte Verbindung), und SSL eben spezielle. Ansonsten sind beide Verbindungen verschlüsselt.


    Die "Sichere Authentifizierung" ist eine heute kaum noch gebräuchliche Methode. Dabei wird lediglich das Passwort "gesichert übertragen", so dass es keiner mitsniffen kann. Die Übertragung des Nachrichteninhaltes verfolgt dann wieder "offen".


    Eines halte ich noch für erwähnenswert: Die Verschlüsselung mit SSL oder TLS erfolgt nur zwischen deinem Client und dem Provider. Ab dann liegen deine Mails wieder im Klartext vor. Die "große Neugierde" greift dort deine Mails ab. Wenn du Wert auf deine Privatsphäre legst, dann solltest du deine Mails "end to end" verschlüsseln, also S/MIME oder GnuPG anwenden.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke dir :)


    Dass TLS die Weiterentwicklung von SSL ist, war mir bekannt. Uni Mail läuft komischerwiese nur über SSL. (und Port 25 wird ja geblockt wegen Spam).



    Also brauch ich auch keine "sichere Authentifizierung", wenn ich TLS ausgewählt habe (übrigens auch für den Postausgang).



    Das mit MIME und GnuPG verstehe ich so, dass die emails auch nach dem Abrufen per IMAP verschlüsselt bleiben?


    Ich werde mir das dann vermutlich in den kommenden Semesterferien einmal anschauen und mich da weiter informieren und dann vermutlich eines der beiden nutzen :)