Quartz 4

Isec 08

3 min read

Informationssicherheit, 8. Übung

Aufgabe 1, 5 Punkte, Gruppe

Euer Onkel besitzt eine Konditorei. Er möchte seine Kundschaft um
Post-Millenials erweitern. Ihr sollt den Webserver aufsetzen und
natürlich soll alles „sicher“ sein. Dementsprechend müsst Ihr u.a. ein
Zertifikat erstellen und von einer geeigneten Zertifizierungsstelle
unterzeichnen lassen, damit es letztendlich über die in den Webbrowsern
der Kunden eingebauten Stammzertifikate anerkannt wird.

Eure Gruppe hat einen eigenen Webserver
isec-YY.informatik.uni-bremen.de, wobei Ihr YY mit Eurer Gruppennummer
ersetzt. Schaut Euch zunächst einmal die Webseite für Eure Gruppe
an. Wie sieht das Zertifikat im Moment aus?

Erstellt Euch nun per “Let’s Encrypt” (https://letsencrypt.org/) ein
Zertifikat. Ihr könnt Euch per SSH zu Eurem Webserver verbinden. Ihr
als arbeitet dort als root. Den privaten Schlüssel für die
SSH-Verbindung findet Ihr in Stud.IP unter “Dateien”. Die zugehörige
Passphrase ist isec24. Achtung: Der private Schlüssel benötigt die
Zugriffsrechte 600, um von ssh akzeptiert zu werden. Einen privaten
Schlüssel auf diese Weise zur Verfügung zu stellen, ist für einen
echten Produktivbetrieb nicht ratsam. Warum?

Nachdem Ihr Euch mit der VM verbunden habt, verwendet Ihr das Tool
certbot zur Erstellung des Zertifikats:

certbot run --nginx -d isec-YY.informatik.uni-bremen.de \ --redirect --test-cert

Wichtig: erstellt das Zertifikat mittels --test-cert als
Testzertifikat. (Produktiv-Zertifikate unterliegen bestimmten
Limitierungen). Was macht die Option -d? Was passiert, wenn Ihr
dessen Wert in heise.de ändert? Warum?

Der Webserver (user www-data) greift auf /var/www/html/index.html
zu. Legt diese Datei an und gebt ihr die minimal erforderlichen
Zugriffsrechte. Welche sind das?

Da Ihr nur ein Testzertifikat erstellt, bekommt Ihr beim Aufrufen von
https://isec-YY.informatik.uni-bremen.de/ eine Meldung. Welche?

Euer Zertifikat könnt Ihr Euch mit Eurem Browser anschauen. Welche
Informationen enthält Euer Zertifikat zu Aussteller und Gültigkeit?
Für wen ist das Zertifikat ausgestellt?

Beschreibt, wie Ihr vorgegangen seid. Warum und inwieweit kann diesem
Zertifikat vertraut werden? Welche Schritte führt die CA dafür
aus?

Dokumentiert Euer Vorgehen schrittweise, begründet ggf. die gewählten
Optionen/Parameter.

Abgabe

bis 2024-12-12 23:59 UTC, digital in Stud.IP als zip-Archiv mit einer
Markdown-Datei, einem gerenderten PDF dieser Markdown-Datei und allen
Dateien, die die Markdown-Datei zum Rendern braucht. Als Dateinamen
verwendet Ihr isec24_ueb08_grpYY.(md|pdf|zip) (Das YY mit Eurer
Gruppennummer ersetzen). Dabei bitte in der Datei alle
Gruppenmitglieder namentlich nennen. Ebenso die Nummer Eurer Gruppe in
Stud.IP.

Bitte steckt die Energie ins Denken und Schreiben, nicht in eine
wunderschöne Formatierung — lesbar darf es allerdings sein. Die
Lösungswege sollten nachvollziehbar sein.

Wenn Ihr Euch irgendwelcher Quellen bedient (Anleitungen, Howtos,
andere Gruppe, etc.), gebt diese bitte an (Quellen aus dem Netz bitte
gleich als URI).

Carsten Bormann, Karsten Sohr, Stefanie Gerdes, Jan-Frederik
Rieckers, Finn Ewers, Andreas Benischke ·
isec@tzi.org, WS 2024/25

Antwort

Graph View

Backlinks