Das TLS-Protokoll sicher nutzen

TLS ist das wichtigste Verschlüsselungsprotokoll im Internet. Administratoren, Pentester und IT-Sicherheitsspezialisten erwerben in diesem Workshop tiefes Wissen über das Protokoll, erhalten einen Überblick über wichtige Angriffe, die neue Protokollversion TLS 1.3 sowie relevante Sicherheitsprobleme bei der Nutzung von TLS im Zusammenhang mit HTTPS und anderen Protokollen.

Im praktischen Teil setzen sie einen Webserver auf Basis von Apache auf und realisieren dort eine möglichst sichere TLS-Konfiguration. Ziel ist dabei, alle Empfehlungen von gängigen Tests wie beispielsweise dem Qualys-SSL-Labs-Test umzusetzen und zu verstehen.

Interessenten sollten grundlegende Kenntnisse zur Administration eines Linux-Systems haben und zumindest rudimentär kryptographische Grundbegriffe (z. B. Public/Private-Key) kennen.

Teilnehmer benötigen einen eigenen Laptop, auf dem SSH und gängige Kommandozeilentools wie Curl genutzt werden können. Hierfür kann auch ein bereitgestelltes virtuelles Linux-System genutzt werden, die Teilnehmer sollten aber vorab dafür sorgen, dass dies funktionstüchtig ist.

Inhalte

  • Kryptographische Begriffe und Bausteine
  • Zertifikate, Zertifizierungsstellen und Probleme damit, Let’s Encrypt und ACME
  • Verschiedene Teile von TLS (Zertifikate, Handshake, Ciphermodi)
  • Beispiele für Angriffe: Bleichenbacher-Angriffe (z. B. ROBOT), Padding-Oracles in CBC
  • Überblick über diverse weitere Angriffe
  • Neuerungen in TLS 1.3
  • Certificate Transparency und Zertifikatssuchmaschine crt.sh
  • TLS-Implementierungsfehler
  • TLS und HTTPS, HSTS, Cookies
  • TLS und andere Protokolle, STARTTLS, E-Mail und TLS, MTA-STS

Praktische Übungen:

  • Aufsetzen eines Apache-Webservers mit A+-Wertung im SSL-Labs-Test
  • Beispiele für TLS-Probleme mit Webanwendungen und HTTPS

KPIs/Lernerfolge

1. Sie kennen die Funktionsweise des TLS-Protokolls und die wichtigsten Angriffe.

2. Sie sind in der Lage, die optimale TLS-Konfiguration für einen Webserver umzusetzen.

3. Sie kennen die Interaktionen von TSL mit anderen Protokollen und die damit verbundenen Risiken.

Methoden:

Vorträge mit inhaltlichen Inputs, Zeit für Diskussionen und Rückfragen | praktische Übungen zur TLS-Serverkonfiguration | Analyse verwundbarer Webanwendungen

Eckdaten

Zielgruppe: Administratoren, Pentester und IT-Sicherheitsspezialisten | Dauer 2 Tage | Trainer: Hanno Böck | Ort: Berlin | Teilnehmerzahl: 6-12

Berlin - 24./25.09.2019

Uhrzeit:

9-17 Uhr

Preis:

1.920 € inkl. MwSt.

Ihr Ansprechpartner für Fragen:

ansprechnpartner-steffi-metzler

Steffi Metzler
E-Mail: sme@golem.de
Tel. 030/6290111-77

Hanno Böck
trainer-foto

Hanno Böck ist Redakteur bei Golem.de und schreibt auch regelmäßig für andere Publikationen über IT-Sicherheit. Er ist Autor des monatlichen Newsletters Bulletproof TLS. In der Vergangenheit hat er mehrfach Sicherheitslücken in TLS-Implementierungen aufgedeckt, etwa den ROBOT-Angriff und Schwächen bei der Implementierung des GCM-Algorithmus. Er hat zum Thema TLS bereits Vorträge bei wichtigen Konferenzen wie der Black Hat, der Def Con und dem Chaos Communication Congress gehalten.

Das TLS-Protokoll sicher nutzen

TLS ist das wichtigste Verschlüsselungsprotokoll im Internet. Administratoren, Pentester und IT-Sicherheitsspezialisten erwerben in diesem Workshop tiefes Wissen über das Protokoll, erhalten einen Überblick über wichtige Angriffe, die neue Protokollversion TLS 1.3 sowie relevante Sicherheitsprobleme bei der Nutzung von TLS im Zusammenhang mit HTTPS und anderen Protokollen.

Im praktischen Teil setzen sie einen Webserver auf Basis von Apache auf und realisieren dort eine möglichst sichere TLS-Konfiguration. Ziel ist dabei, alle Empfehlungen von gängigen Tests wie beispielsweise dem Qualys-SSL-Labs-Test umzusetzen und zu verstehen.

Interessenten sollten grundlegende Kenntnisse zur Administration eines Linux-Systems haben und zumindest rudimentär kryptographische Grundbegriffe (z. B. Public/Private-Key) kennen.

Teilnehmer benötigen einen eigenen Laptop, auf dem SSH und gängige Kommandozeilentools wie Curl genutzt werden können. Hierfür kann auch ein bereitgestelltes virtuelles Linux-System genutzt werden, die Teilnehmer sollten aber vorab dafür sorgen, dass dies funktionstüchtig ist.

Inhalte

  • Kryptographische Begriffe und Bausteine
  • Zertifikate, Zertifizierungsstellen und Probleme damit, Let’s Encrypt und ACME
  • Verschiedene Teile von TLS (Zertifikate, Handshake, Ciphermodi)
  • Beispiele für Angriffe: Bleichenbacher-Angriffe (z. B. ROBOT), Padding-Oracles in CBC
  • Überblick über diverse weitere Angriffe
  • Neuerungen in TLS 1.3
  • Certificate Transparency und Zertifikatssuchmaschine crt.sh
  • TLS-Implementierungsfehler
  • TLS und HTTPS, HSTS, Cookies
  • TLS und andere Protokolle, STARTTLS, E-Mail und TLS, MTA-STS

Praktische Übungen:

  • Aufsetzen eines Apache-Webservers mit A+-Wertung im SSL-Labs-Test
  • Beispiele für TLS-Probleme mit Webanwendungen und HTTPS

KPIs/Lernerfolge

1. Sie kennen die Funktionsweise des TLS-Protokolls und die wichtigsten Angriffe.

2. Sie sind in der Lage, die optimale TLS-Konfiguration für einen Webserver umzusetzen.

3. Sie kennen die Interaktionen von TSL mit anderen Protokollen und die damit verbundenen Risiken.

Methoden:

Vorträge mit inhaltlichen Inputs, Zeit für Diskussionen und Rückfragen | praktische Übungen zur TLS-Serverkonfiguration | Analyse verwundbarer Webanwendungen

Eckdaten

Zielgruppe: Administratoren, Pentester und IT-Sicherheitsspezialisten | Dauer 2 Tage | Trainer: Hanno Böck | Ort: Berlin | Teilnehmerzahl: 6-12

Berlin - 24./25.09.2019

Uhrzeit:

Preis:

1.920 € inkl. MwSt.

In Kooperation mit:

Aktuelle News und Top-Themen
aus der IT-Branche

Aktuelle News und Top-Themen
aus der IT-Branche

Unsere Schulungspartner

koop-logo-peter-knapp
koop-logo-syseleven

Unsere Schulungspartner

koop-logo-peter-knapp
koop-logo-syseleven