IT_Betreuung Flashcards
1
Q
Sicherheitsziele
A
Vertraulichkeit - Verschlüsselung - Zugriffskontrolle • Identifizierung (Authentisierung) • Authentifizierung • Authorisierung - Steganographie
Integrität
- Hashing
- Digitale Signaturen, Zertifikate, Nicht-Verleugnung
Verfügbarkeit
- Redundanz und Fehlertoleranz
- Datenträgerredundanz (RAID)
- Server-Redundanz
- Load balancing
- Redundanz von Niederlassungen
- Backups
- Alternative Stromversorgung
- Klimatisierung / Kühlung
Schutz
- Schutz von Personen
- Schutz von Eigentum
2
Q
Authentifizierungsfaktoren
A
- Etwas was ich weiß (Passwort, PIN)
- Etwas was ich habe (Smart Card, Token)
- Etwas was ich bin (Biometrie)
- Etwas was ich mache (Touchscreen-Muster)
- Irgendwo wo ich bin (Geolocation)
3
Q
Passwörter
A
- Sichere Passwörter verwenden
- Regelmäßig Passwörter ändern
- Benutzeridentität vor dem Zurücksetzen verifizieren
- Passwörter nicht wiederverwenden
- Kontensperrung einrichten
- Vorgabepasswörter ändern
- Passwörter nicht aufschreiben
- Passwörter nicht weitergeben
4
Q
Sichere Passwörter
A
- Länge
- Komplexität
- Password history
- Mindestalter
- Höchstalter
5
Q
Biometrische Methoden
A
- Finger/Daumenabdruck
- Handabdruck
- Handscan
- Retina-/IrisscanBiometrische Fehler:
- Falsche Akzeptanz (Typ 2 Fehler) - Falsche Abweisung (Typ 1 Fehler)
6
Q
Zweifaktor und Mehrfaktorauthentifizierung
A
- Immer verschiedene Faktoren!
7
Q
Authentifizierungsdienste
A
- Kerberos
- Verwendet Zeit-synchronisierte Tickets zur Authentifizierung
- LDAP
8
Q
RAS-Authentifizierung (Remote-Zugriff)
A
- PAP
- Passwörter im Klartext!
- CHAP / MS-CHAP
- RADIUS
- Zentralisierte Authentifizierung
- Diameter
- Erweiterung von RADIUS
- TACACS
- Cisco-eigenes Protokoll
9
Q
Maßnahmen
A
- Klassifizierung nach Implementierung
- Klassifizierung nach Zielsetzung
- Kontenmanagment:
- Zugriffsteuerungsmethoden (Autorisierung)
10
Q
Klassifizierung nach Implementierung
A
- Technisch
- Verschlüsselung
- Antivirus
- IDS (Intrusion Detection System)
- Firewall
- Least Privilege
- Management
- Risikoanalyse
- Schwachstellenanalyse
- Penetration testing
- Operativ
- Schulung
- Konfigurations- und Change-Management
- Kontingenzplanung
- Schutz von Datenträgern
- Physischer Schutz
11
Q
Klassifizierung nach Zielsetzung
A
- Präventiv (Vermeiden)
- Hardening (Abhärtung)
- Schulung
- Wachpersonal
- Change-Management
- Kontodeaktivierungsrichtlinien
- Detektiv (Erkennen)
- Logdateien
- Trendanalyse
- Sicherheitsaudit
- Videoüberwachung
- Bewegungsmelder
- Korrektiv (Verbessern)
- Active IDS
- Backups
- Systemwiederherstellung
- Abschreckend
- Schlösser
- Wachpersonal
- Kompensierend (Ausgleichen)
- Maßnahmen wenn primäre Maßnahmen nicht möglich sind
12
Q
Kontenmanagment
A
- Deaktivieren und löschen
- Beim Verlassen des Unternehmens
- Bei längerer Abwesenheit (z.B. Urlaub)
- Wiederherstellung
- Reaktivieren
- Generische Konten verbieten
- Zeit-basierte Zugriffssteuerung
- Ablaufzeit definieren
- Zugriffe überwachen
- Mehrfache Einlog-Versuche
- Verwaiste Konten
- Mehrfachanmeldung über ein Konto
13
Q
Zugriffsteuerungsmethoden (Autorisierung)
A
- Rollenbasiert
- Gruppen
- Anhand von Arbeitsfunktion oder Zugriffsbedarf
- Regelbasiert
- z.B. Firewall
- Discretionary Access Control
- Benutzergesteuerte Freigabe
- Keine zwingende Implementierung
- Mandatory Access Control
- Freigabeeinstellung zwingend erforderlich
- Zusätzliche Ebenen (Geheim, Vertraulich, usw.)
- Selbst Administrator kann eingeschränkt werden
- Implementierung: SELinux
14
Q
Verbreitete Angriffsarten
A
- Spoofing
- DoS / DDoS
- Smurf
- SYN-Flooding
- Man-in-the-Middle
- Replay-Angriffe
- Passwort-Angriffe
- DNS-Angriffe
- ARP-Poisoning
- ARP Man-in-the-Middle
- ARP DoS
- Typo-Squatting
- Watering-Hole Angriffe
- Zero-Day Angriffe
- Angriffe auf Webbrowser
15
Q
Spoofing
A
- Verändern von Absenderkennung
16
Q
DoS / DDoS
A
- (distributed) Denial of Service
- Netzwerkdienste durch Überlastung lahmlegen
17
Q
Smurf
A
- DoS durch Ping-Antworten
18
Q
SYN-Flooding
A
- DoS durch SYN-Pakete
19
Q
Man-in-the-Middle
A
- Abhören oder manipulieren von Daten
- Angreifer unbemerkt zwischen Sender und Empfänger
20
Q
Replay-Angriffe
A
- Abgehörte Information wird wieder abgespielt
- z.B. abgefangene verschlüsselte Passwörter
21
Q
Passwort-Angriffe
A
- Brute-Force
- probieren aller Kombinationsmöglichkeiten
- Zeitaufwändig - Wörterbuchangriffe
- probieren lexikalischer Begriffe - Passwort Hashes
- Passwörter werden nicht im Klartext gespeichert
- Bei bekanntem Algorithmus Rekonstruktion
möglich - “Birthday”-Angriffe
- Zwei unterschiedliche Wörter erzeugen den selben Hash - Rainbow-Table-Angriffe
- “Regenbogentabelle”
- Datenbank bekannter Hash-Werte
22
Q
DNS-Angriffe
A
- Umleitung von IP-Adressanfragen an falsche Domains
- DNS-Poisoning
- “Vergiften”
- Eintrag im DNS-Server wird gefälscht
- Pharming
- DNS-Cache des Client wird manipuliert
- DNS-Poisoning
23
Q
ARP-Poisoning
A
- Falsche MAC-Adresse wird angegeben
24
Q
ARP Man-in-the-Middle
A
- Netzwerkpakete werden abgefangen
25
Q
ARP DoS
A
- MAC des Gateway wird auf Clients gefälscht
- Keine Kommunikation mehr nach außen
26
Q
Typo-Squatting
A
- Domain mit typischen Tippfehler als Name
27
Q
Watering-Hole Angriffe
A
- gezielte Angriffe auf Interessen der Zielpersonen
28
Q
Zero-Day Angriffe
A
- neu entdeckte, unbekannte, unveröffentlichte Sicherheitslücken
29
Q
Angriffe auf Webbrowser
A
- bösartige Addons
- Cookies
- können zum Tracken misbraucht werden
- enthalten teilweise Username und Passwort
- Cookies
- Session Hijacking
- Übernahme der laufenden Sitzung
- z.B. bei Online-Shopping
30
Q
Sicherheit in der Software-Entwicklung
A
- Eingaben validieren
- Zeichensatz einschränken
- Wertebereich einschränken
- HTML/PHP/JS/SQL verbieten
- Bestimmte Sonderzeichen verbieten ( ‘ ; = < > )- Race Conditions vermeiden
- Gleichzeitiger Zugriff auf Resourcen
- Fehler und Ausnahmen abfangen
- Race Conditions vermeiden
Angriffe auf Web-Applikationen
- Buffer overflow - Pufferspeicher wird überfüllt - Integer overflow - Wertebereich wird überschritten - Auch bei Array-Index möglich - SQL-Injection - Datenbankabfrage im Eingabefeld - XML-Injection - Cross-Site-Scripting (XSS) - Cross-Site Request Forgery (XSRF) - Directory-Transversal - Zugriff auf Systemdateien (../../../../../etc/passwd)
31
Q
Steganographie
A
- ist die Kunst oder Wissenschaft der verborgenen Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container)
32
Q
hashing
A
- bezeichnet die Transformation eines beliebig großen Datensatzes in eine Zeichenkette mit einer festen, kürzeren Länge, die den ursprünglichen Datensatz referenziert
- mittels einer Hashfunktion werden die einzelnen Elemente aus dem Datensatz zunächst einem Schlüssel und dann den Hashwerten zugeordnet, die die originalen Daten auf bestimmte Weise repräsentieren
- die Hashfunktion bildet die Elemente des Datensatzes über einen Schlüssel ab und erzeugt Hashwerte
- beim Hashing werden die Daten in kleine Teile zerlegt und in einer Datenstruktur geordnet
- die Hashwerte erlauben es in Datenbanken beispielsweise, bestimmte Elemente weitaus schneller zu finden, weil nur die Datenstruktur, nicht der gesamte Datensatz durchsucht werden muss
33
Q
Load balancing (Lastverteilung)
A
- ist die Lastverteilung von Übertragungsstrecken und Hardware-Einrichtungen
- dieses optimierte Layer-4-7-Switching wird von Load-Balancer realisiert und vorwiegend in Verbindung mit Webswitches in Serverfarmen oder in Rechenzentren eingesetzt
- dabei wird der Datenverkehr über das Server Load Balancing (SLB) an eine Server-Gruppe verteilt
- entsprechend den Vorgaben und Priorisierungen wird festgelegt, welche Server mit der Bearbeitung der Aufgaben betraut werden
34
Q
Kerberos
A
- ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet)
35
Q
LDAP (lightweight directory access protocol)
A
- ist ein TCP/IP-basiertes Directory-Zugangsprotokoll, das sich im Internet und in Intranets als Standardlösung für den Zugriff auf Netzwerk-Verzeichnisdienste für Datenbanken, E-Mails, Speicherbereiche und andere Ressourcen etabliert hat
- LDAP ist von der Internet Engineering Task Force (IETF) standardisiert und bietet einen einheitlichen Standard für Verzeichnisdienste (DS)
36
Q
RAS (remote access service, Fernzugriff)
A
- ist ein Anwendungsdienst bei dem der entfernte Arbeitsplatz Zugriff auf einen Computer, das Unternehmensnetz oder auf andere innerbetriebliche Kommunikationseinrichtungen hat
- dadurch können Mitarbeiter in Niederlassungen oder Telearbeiter, die vom Homeoffice aus arbeiten, auf das Unternehmensnetz zugreifen
- der Fernzugriff kann vom Arbeitsplatzrechner, einem Desktop, Notebook oder einem Tablet-PC über Wählverbindungen oder das Internet aufgebaut werden
37
Q
CHAP (Challenge Handshake Authentication Protocol)
A
ist ein Authentifizierungsverfahren über das Point-to-Point-Protocol (PPP). CHAP wird verwendet, um sich per PPP in eine Computernetzwerk einzuwählen und sich dort mit Benutzername und Passwort zu authentifizieren
- wurde entwickelt, um die Sicherheitsrisiken des Authentifizierungsverfahrens PAP zu verringern
- ist ein Verfahren, das bei der Anmeldung an den Internet-Zugang beim Internet-Provider (ISP) per Modem oder ISDN-Adapter verwendet wird
- neben CHAP existieren noch MS-CHAP von Microsoft in der Version 1 und 2
38
Q
RADIUS (remote authentication dial-in user service)
A
- ist ein Client-Server-basiertes Sicherheitsprotokoll zur Authentifizierung und zur Kontrolle der Netzzugriffsberechtigung
- Radius arbeitet mit dem Challenge-Response-Verfahren und unterstützt die zentrale Administration von Benutzerdaten wie Benutzerkennung, Passwörter, Rufnummern, Zugriffsrechte und auch Account-Daten und besteht aus einem Accounting- und Authentifizierungsprotokoll
39
Q
TACACS (terminal access controller access control system)
A
- ist ein Sicherheitsprotokoll für die Authentifizierung von Clients einer Client-Server-Kommunikation. TACACS unterstützt die Remote Access-Authentifizierung und ähnliche Services über einen Remote Access Server (RAS) oder AAA-Server, in denen die Authentifizierungsdaten gespeichert sind
- die Benutzer-Passworte werden in einer zentralen Datenbank verwaltet, wodurch einfache, skalierbare Lösungen möglich sind
- TACACS-Server stellen dem Benutzer die Authentifizierungsdaten zur Verfügung, damit er eine IP-Verbindung zu einem Network Access Server (NAS) herstellen kann
- die gesamte Kommunikation erfolgt verschlüsselt.
40
Q
IDS (intrusion detection system)
A
- IDS sind autarke Systeme, die Eindringlinge erkennen und Attacken auf IT-Systeme und Netze vermeiden
- diese IDS-Überwachungssysteme sollten nicht bekannt sein, keine Dienste anbieten, Angriffe protokollieren, Eindringlinge erkennen und nach Möglichkeit Gegenmaßnahmen einleiten
- alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden
41
Q
Penetrationstest (PT)
A
- wird in der Schwachstellenanalyse eingesetzt und dient dem Auffinden von Sicherheitslücken in IT-Systemen
- er eignet sich im Besonderen für das Auffinden von Schwachstellen, die die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen gefährden
- der Penetrationstest untersucht alle Schwachstellen an denen die Informationsverarbeitung und die Kommunikation gefährdet sein könnten
- -
42
Q
Discretionary Access Control (DAC)
A
- ist ein Sicherheitskonzept für IT-Systeme
- Entscheidung, ob auf eine Ressource zugegriffen werden darf, allein auf der Basis der Identität des Akteurs wird getroffen
- d.h., die Zugriffsrechte für (Daten-)Objekte werden pro Benutzer festgelegt
- Stärkung dieses Konzeptes stellt die Verwendung von Benutzerrollen und -Gruppen dar (siehe Role Based Access Control)
- bildet das Gegenteil der Mandatory Access Control
43
Q
Mandatory Access Control (MAC)
A
- ist eine Sicherheitsstrategie für die Zugriffskontrolle auf Dateien und Ressourcen
- über diese zwingend verpflichtende, auf Regeln basierende Zugriffsstrategie wird Benutzern der Zugriff auf Objekte, Dateien und IT-Systemen gewährt und auf andere verweigert
- die MAC-Strategie geht über die Autorisierung durch Passwörter, persönliche Identifikationsnummern und elektronische Schlüssel hinaus und umfasst Regeln und Labels um Zugriff zu erhalten
- je nach Sensibilität der Daten sind die Zugriffrechte in Sicherheitsstufen gestaffelt
- beispielsweise in “vertraulich”, “geheim” und “streng geheim”
44
Q
Role Based Access Control (RBAC)
A
- eine der größten Herausforderungen in großen Netzwerk-Systemen stellt die Komplexität der Sicherheits-Organisation dar
- diese Organisation ist nicht nur kostenintensiv, sondern auch fehlerbehaftet, da die Netzwerk-Administratoren normalerweise für jeden Netzwerkbenutzer individuelle Zugriffskontrolllisten (ACL) spezifizieren
- RBAC) ist eine Technologie, die im Besonderen bei kommerziellen Anwendungen eingesetzt wird, weil mit dieser Technologie die Komplexität und die Kosten für die Sicherheits-Administration großer Netzwerke wesentlich reduziert werden können und die unternehmerische Sicherheitspolitik umgesetzt werden kann
- RBAC ist deswegen von besonderem Interesse, weil sich das Sicherheitsmanagement an der Organisationsstruktur des Unternehmens orientiert
- jeder Benutzer bekommt dabei eine oder mehrere Rollen zugeteilt und jeder Rolle werden wiederum eine oder mehrere Privilegien zugeteilt, die dem Benutzer bestimmte Aktivitäten erlauben
45
Q
denial of service (DoS)
A
- DoS sind Dienstverweigerungen, die im Internet zur Beeinträchtigung von Webservices führen, und die, als DoS-Attacke ausgeführt, einen angegriffenen Server oder eine Website außer Betrieb setzen können
- DoS-Angriffe werden durch Überlastung von Servern ausgelöst, so beispielsweise durch die Bombardierung eines Mail-Servers mit einer Flut an Mails, durch millionenfache Anfragen an einen Server oder durch Überflutung eines Netzwerks mit Datenpaketen
- in allen Fällen können die Funktionen wegen Überlastung der Server oder Netze nicht mehr hinreichend ausgeführt werden
- die Server sind nicht mehr erreichbar, die Netze können zusammenbrechen
- DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen
- dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet, manchmal auch kollektiv von tausenden Nutzern
- ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden
- der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-Attacke auszuführen
- neben dem Mailbombing und dem Broadcaststurm, gibt es als weitere DoS-Attacken das SYN-Flooding, Ping-Flooding, Ping of Death (PoD), die Smurf-Attacke, Nuke-Attacke, Teardrop-Attacke, Distributed Denial of Service (DDoS), Distributed Reflective Denial of Service (DRDoS) und das Advanced Persistent Denial of Service (APDoS).
46
Q
distributed denial of service (DDoS)
A
- ist eine DoS-Attacke, die im Verbund von vielen Computern aus erfolgt
- in der Internetkriminalität wird sie häufig in Botnetzen ausgeführt
- die DDoS-Attacke wird zum gleichen Zeitpunkt von verschiedenen Computern ausgelöst und ist dadurch nur schwer zu orten und noch schwieriger zu unterbinden
- wie bei der DoS-Attacke wird der attackierte Computer bei der DDoS-Attacke mit fehlerhaften und vorsätzlich falsch adressierten IP-Paketen bombardiert, und zwar so intensiv, bis der angegriffene Server seinen Dienst einstellen muss oder abstürzt
- die Koordination der DDoS-Attacken erfolgt vom Angreifer bzw. vom Botnetz-Betreiber aus, der die auf den infizierten Botnetz-Rechnern abgelegte Malware, Spams oder Trojaner gleichzeitig aktivieren kann
- da die eigentlichen Attacken über die vielen Botnetz-Rechner ablaufen, ist der Verursacher schwer zu ermitteln, zumal häufig auch noch mit Fast-Flux gearbeitet wird, wodurch sich die Domainnamen permanent ändern
- wenn die Attacke gestartet wird, werden die Hilfsprogramme gleichzeitig auf allen Agents aktiviert und starten eine DDoS-Attacke auf den Ziel-Server
- eine DDoS-Attacke kann ein SYN-Flooding oder eine andere DoS-Attacke sein
