IT_Betreuung

Question 1

Sicherheitsziele

Answer 1

Vertraulichkeit
- Verschlüsselung
- Zugriffskontrolle
  • Identifizierung (Authentisierung)
  • Authentifizierung
  • Authorisierung
- Steganographie

Integrität

• Hashing
• Digitale Signaturen, Zertifikate, Nicht-Verleugnung

Verfügbarkeit

• Redundanz und Fehlertoleranz
• Datenträgerredundanz (RAID)
• Server-Redundanz
• Load balancing
• Redundanz von Niederlassungen
• Backups
• Alternative Stromversorgung
• Klimatisierung / Kühlung

Schutz

• Schutz von Personen
• Schutz von Eigentum

Question 2

Authentifizierungsfaktoren

Answer 2

• Etwas was ich weiß (Passwort, PIN)
• Etwas was ich habe (Smart Card, Token)
• Etwas was ich bin (Biometrie)
• Etwas was ich mache (Touchscreen-Muster)
• Irgendwo wo ich bin (Geolocation)

Question 3

Passwörter

Answer 3

• Sichere Passwörter verwenden
• Regelmäßig Passwörter ändern
• Benutzeridentität vor dem Zurücksetzen verifizieren
• Passwörter nicht wiederverwenden
• Kontensperrung einrichten
• Vorgabepasswörter ändern
• Passwörter nicht aufschreiben
• Passwörter nicht weitergeben

Question 4

Sichere Passwörter

Answer 4

• Länge
• Komplexität
• Password history
• Mindestalter
• Höchstalter

Question 5

Biometrische Methoden

Answer 5

• Finger/Daumenabdruck
• Handabdruck
• Handscan
• Retina-/IrisscanBiometrische Fehler:

    - Falsche Akzeptanz (Typ 2 Fehler)
    - Falsche Abweisung (Typ 1 Fehler)

Question 6

Zweifaktor und Mehrfaktorauthentifizierung

Answer 6

• Immer verschiedene Faktoren!

Question 7

Authentifizierungsdienste

Answer 7

• Kerberos
  
  • Verwendet Zeit-synchronisierte Tickets zur Authentifizierung
  • LDAP

Question 8

RAS-Authentifizierung (Remote-Zugriff)

Answer 8

• PAP
  
  • Passwörter im Klartext!
• CHAP / MS-CHAP
• RADIUS
  
  • Zentralisierte Authentifizierung
• Diameter
  
  • Erweiterung von RADIUS
• TACACS
  
  • Cisco-eigenes Protokoll

Question 9

Maßnahmen

Answer 9

• Klassifizierung nach Implementierung
• Klassifizierung nach Zielsetzung
• Kontenmanagment:
• Zugriffsteuerungsmethoden (Autorisierung)

Question 10

Klassifizierung nach Implementierung

Answer 10

• Technisch
  
  • Verschlüsselung
  • Antivirus
  • IDS (Intrusion Detection System)
  • Firewall
  • Least Privilege
• Management
  
  • Risikoanalyse
  • Schwachstellenanalyse
  • Penetration testing
• Operativ
  
  • Schulung
  • Konfigurations- und Change-Management
  • Kontingenzplanung
  • Schutz von Datenträgern
  • Physischer Schutz

Question 11

Klassifizierung nach Zielsetzung

Answer 11

• Präventiv (Vermeiden)
  
  • Hardening (Abhärtung)
  • Schulung
  • Wachpersonal
  • Change-Management
  • Kontodeaktivierungsrichtlinien
• Detektiv (Erkennen)
  
  • Logdateien
  • Trendanalyse
  • Sicherheitsaudit
  • Videoüberwachung
  • Bewegungsmelder
• Korrektiv (Verbessern)
  
  • Active IDS
  • Backups
  • Systemwiederherstellung
• Abschreckend
  
  • Schlösser
  • Wachpersonal
• Kompensierend (Ausgleichen)
  
  • Maßnahmen wenn primäre Maßnahmen nicht möglich sind

Question 12

Kontenmanagment

Answer 12

• Deaktivieren und löschen
• Beim Verlassen des Unternehmens
• Bei längerer Abwesenheit (z.B. Urlaub)
• Wiederherstellung
• Reaktivieren
• Generische Konten verbieten
• Zeit-basierte Zugriffssteuerung
• Ablaufzeit definieren
• Zugriffe überwachen
• Mehrfache Einlog-Versuche
• Verwaiste Konten
• Mehrfachanmeldung über ein Konto

Question 13

Zugriffsteuerungsmethoden (Autorisierung)

Answer 13

• Rollenbasiert
• Gruppen
• Anhand von Arbeitsfunktion oder Zugriffsbedarf
• Regelbasiert
• z.B. Firewall
• Discretionary Access Control
• Benutzergesteuerte Freigabe
• Keine zwingende Implementierung
• Mandatory Access Control
• Freigabeeinstellung zwingend erforderlich
• Zusätzliche Ebenen (Geheim, Vertraulich, usw.)
• Selbst Administrator kann eingeschränkt werden
• Implementierung: SELinux

Question 14

Verbreitete Angriffsarten

Answer 14

• Spoofing
• DoS / DDoS
• Smurf
• SYN-Flooding
• Man-in-the-Middle
• Replay-Angriffe
• Passwort-Angriffe
• DNS-Angriffe
• ARP-Poisoning
• ARP Man-in-the-Middle
• ARP DoS
• Typo-Squatting
• Watering-Hole Angriffe
• Zero-Day Angriffe
• Angriffe auf Webbrowser

Question 15

Spoofing

Answer 15

• Verändern von Absenderkennung

Question 16

DoS / DDoS

Answer 16

• (distributed) Denial of Service

- Netzwerkdienste durch Überlastung lahmlegen

Question 17

Smurf

Answer 17

• DoS durch Ping-Antworten

Question 18

SYN-Flooding

Answer 18

• DoS durch SYN-Pakete

Question 19

Man-in-the-Middle

Answer 19

• Abhören oder manipulieren von Daten

- Angreifer unbemerkt zwischen Sender und Empfänger

Question 20

Replay-Angriffe

Answer 20

• Abgehörte Information wird wieder abgespielt

- z.B. abgefangene verschlüsselte Passwörter

Question 21

Passwort-Angriffe

Answer 21

• Brute-Force
  - probieren aller Kombinationsmöglichkeiten
  - Zeitaufwändig
• Wörterbuchangriffe
  - probieren lexikalischer Begriffe
• Passwort Hashes
  - Passwörter werden nicht im Klartext gespeichert
  - Bei bekanntem Algorithmus Rekonstruktion
  möglich
• “Birthday”-Angriffe
  - Zwei unterschiedliche Wörter erzeugen den selben Hash
• Rainbow-Table-Angriffe
  - “Regenbogentabelle”
  - Datenbank bekannter Hash-Werte

Question 22

DNS-Angriffe

Answer 22

• Umleitung von IP-Adressanfragen an falsche Domains
  
  • DNS-Poisoning
    
    • “Vergiften”
    • Eintrag im DNS-Server wird gefälscht
  • Pharming
    
    • DNS-Cache des Client wird manipuliert

Question 23

ARP-Poisoning

Answer 23

• Falsche MAC-Adresse wird angegeben

Question 24

ARP Man-in-the-Middle

Answer 24

• Netzwerkpakete werden abgefangen

Question 25

ARP DoS

Answer 25

• MAC des Gateway wird auf Clients gefälscht

- Keine Kommunikation mehr nach außen

Question 26

Typo-Squatting

Answer 26

• Domain mit typischen Tippfehler als Name

Question 27

Watering-Hole Angriffe

Answer 27

• gezielte Angriffe auf Interessen der Zielpersonen

Question 28

Zero-Day Angriffe

Answer 28

• neu entdeckte, unbekannte, unveröffentlichte Sicherheitslücken

Question 29

Angriffe auf Webbrowser

Answer 29

• bösartige Addons
  
  • Cookies
    
    • können zum Tracken misbraucht werden
    • enthalten teilweise Username und Passwort
• Session Hijacking
  
  • Übernahme der laufenden Sitzung
  • z.B. bei Online-Shopping

Question 30

Sicherheit in der Software-Entwicklung

Answer 30

• Eingaben validieren
  - Zeichensatz einschränken
  - Wertebereich einschränken
  - HTML/PHP/JS/SQL verbieten
  - Bestimmte Sonderzeichen verbieten ( ‘ ; = < > )
  
  • Race Conditions vermeiden
    
    • Gleichzeitiger Zugriff auf Resourcen
  • Fehler und Ausnahmen abfangen

Angriffe auf Web-Applikationen

- Buffer overflow
	- Pufferspeicher wird überfüllt
- Integer overflow
	- Wertebereich wird überschritten
	- Auch bei Array-Index möglich
- SQL-Injection
	- Datenbankabfrage im Eingabefeld
- XML-Injection
- Cross-Site-Scripting (XSS)
- Cross-Site Request Forgery (XSRF)
- Directory-Transversal
	- Zugriff auf Systemdateien (../../../../../etc/passwd)

Question 31

Steganographie

Answer 31

• ist die Kunst oder Wissenschaft der verborgenen Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container)

Question 32

hashing

Answer 32

• bezeichnet die Transformation eines beliebig großen Datensatzes in eine Zeichenkette mit einer festen, kürzeren Länge, die den ursprünglichen Datensatz referenziert
• mittels einer Hashfunktion werden die einzelnen Elemente aus dem Datensatz zunächst einem Schlüssel und dann den Hashwerten zugeordnet, die die originalen Daten auf bestimmte Weise repräsentieren
• die Hashfunktion bildet die Elemente des Datensatzes über einen Schlüssel ab und erzeugt Hashwerte
• beim Hashing werden die Daten in kleine Teile zerlegt und in einer Datenstruktur geordnet
• die Hashwerte erlauben es in Datenbanken beispielsweise, bestimmte Elemente weitaus schneller zu finden, weil nur die Datenstruktur, nicht der gesamte Datensatz durchsucht werden muss

Question 33

Load balancing (Lastverteilung)

Answer 33

• ist die Lastverteilung von Übertragungsstrecken und Hardware-Einrichtungen
• dieses optimierte Layer-4-7-Switching wird von Load-Balancer realisiert und vorwiegend in Verbindung mit Webswitches in Serverfarmen oder in Rechenzentren eingesetzt
• dabei wird der Datenverkehr über das Server Load Balancing (SLB) an eine Server-Gruppe verteilt
• entsprechend den Vorgaben und Priorisierungen wird festgelegt, welche Server mit der Bearbeitung der Aufgaben betraut werden

Question 34

Kerberos

Answer 34

• ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet)

Question 35

LDAP (lightweight directory access protocol)

Answer 35

• ist ein TCP/IP-basiertes Directory-Zugangsprotokoll, das sich im Internet und in Intranets als Standardlösung für den Zugriff auf Netzwerk-Verzeichnisdienste für Datenbanken, E-Mails, Speicherbereiche und andere Ressourcen etabliert hat
• LDAP ist von der Internet Engineering Task Force (IETF) standardisiert und bietet einen einheitlichen Standard für Verzeichnisdienste (DS)

Question 36

RAS (remote access service, Fernzugriff)

Answer 36

• ist ein Anwendungsdienst bei dem der entfernte Arbeitsplatz Zugriff auf einen Computer, das Unternehmensnetz oder auf andere innerbetriebliche Kommunikationseinrichtungen hat
• dadurch können Mitarbeiter in Niederlassungen oder Telearbeiter, die vom Homeoffice aus arbeiten, auf das Unternehmensnetz zugreifen
• der Fernzugriff kann vom Arbeitsplatzrechner, einem Desktop, Notebook oder einem Tablet-PC über Wählverbindungen oder das Internet aufgebaut werden

Question 37

CHAP (Challenge Handshake Authentication Protocol)

Answer 37

ist ein Authentifizierungsverfahren über das Point-to-Point-Protocol (PPP). CHAP wird verwendet, um sich per PPP in eine Computernetzwerk einzuwählen und sich dort mit Benutzername und Passwort zu authentifizieren

• wurde entwickelt, um die Sicherheitsrisiken des Authentifizierungsverfahrens PAP zu verringern
• ist ein Verfahren, das bei der Anmeldung an den Internet-Zugang beim Internet-Provider (ISP) per Modem oder ISDN-Adapter verwendet wird
• neben CHAP existieren noch MS-CHAP von Microsoft in der Version 1 und 2

Question 38

RADIUS (remote authentication dial-in user service)

Answer 38

• ist ein Client-Server-basiertes Sicherheitsprotokoll zur Authentifizierung und zur Kontrolle der Netzzugriffsberechtigung
• Radius arbeitet mit dem Challenge-Response-Verfahren und unterstützt die zentrale Administration von Benutzerdaten wie Benutzerkennung, Passwörter, Rufnummern, Zugriffsrechte und auch Account-Daten und besteht aus einem Accounting- und Authentifizierungsprotokoll

Question 39

TACACS (terminal access controller access control system)

Answer 39

• ist ein Sicherheitsprotokoll für die Authentifizierung von Clients einer Client-Server-Kommunikation. TACACS unterstützt die Remote Access-Authentifizierung und ähnliche Services über einen Remote Access Server (RAS) oder AAA-Server, in denen die Authentifizierungsdaten gespeichert sind
• die Benutzer-Passworte werden in einer zentralen Datenbank verwaltet, wodurch einfache, skalierbare Lösungen möglich sind
• TACACS-Server stellen dem Benutzer die Authentifizierungsdaten zur Verfügung, damit er eine IP-Verbindung zu einem Network Access Server (NAS) herstellen kann
• die gesamte Kommunikation erfolgt verschlüsselt.

Question 40

IDS (intrusion detection system)

Answer 40

• IDS sind autarke Systeme, die Eindringlinge erkennen und Attacken auf IT-Systeme und Netze vermeiden
• diese IDS-Überwachungssysteme sollten nicht bekannt sein, keine Dienste anbieten, Angriffe protokollieren, Eindringlinge erkennen und nach Möglichkeit Gegenmaßnahmen einleiten
• alles was im Netzwerk anormal ist, sollte von dem IDS-System erkannt und protokolliert werden

Question 41

Penetrationstest (PT)

Answer 41

• wird in der Schwachstellenanalyse eingesetzt und dient dem Auffinden von Sicherheitslücken in IT-Systemen
• er eignet sich im Besonderen für das Auffinden von Schwachstellen, die die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen gefährden
• der Penetrationstest untersucht alle Schwachstellen an denen die Informationsverarbeitung und die Kommunikation gefährdet sein könnten
• -

Question 42

Discretionary Access Control (DAC)

Answer 42

• ist ein Sicherheitskonzept für IT-Systeme
• Entscheidung, ob auf eine Ressource zugegriffen werden darf, allein auf der Basis der Identität des Akteurs wird getroffen
• d.h., die Zugriffsrechte für (Daten-)Objekte werden pro Benutzer festgelegt
• Stärkung dieses Konzeptes stellt die Verwendung von Benutzerrollen und -Gruppen dar (siehe Role Based Access Control)
• bildet das Gegenteil der Mandatory Access Control

Question 43

Mandatory Access Control (MAC)

Answer 43

• ist eine Sicherheitsstrategie für die Zugriffskontrolle auf Dateien und Ressourcen
• über diese zwingend verpflichtende, auf Regeln basierende Zugriffsstrategie wird Benutzern der Zugriff auf Objekte, Dateien und IT-Systemen gewährt und auf andere verweigert
• die MAC-Strategie geht über die Autorisierung durch Passwörter, persönliche Identifikationsnummern und elektronische Schlüssel hinaus und umfasst Regeln und Labels um Zugriff zu erhalten
• je nach Sensibilität der Daten sind die Zugriffrechte in Sicherheitsstufen gestaffelt
• beispielsweise in “vertraulich”, “geheim” und “streng geheim”

Question 44

Role Based Access Control (RBAC)

Answer 44

• eine der größten Herausforderungen in großen Netzwerk-Systemen stellt die Komplexität der Sicherheits-Organisation dar
• diese Organisation ist nicht nur kostenintensiv, sondern auch fehlerbehaftet, da die Netzwerk-Administratoren normalerweise für jeden Netzwerkbenutzer individuelle Zugriffskontrolllisten (ACL) spezifizieren
• RBAC) ist eine Technologie, die im Besonderen bei kommerziellen Anwendungen eingesetzt wird, weil mit dieser Technologie die Komplexität und die Kosten für die Sicherheits-Administration großer Netzwerke wesentlich reduziert werden können und die unternehmerische Sicherheitspolitik umgesetzt werden kann
• RBAC ist deswegen von besonderem Interesse, weil sich das Sicherheitsmanagement an der Organisationsstruktur des Unternehmens orientiert
• jeder Benutzer bekommt dabei eine oder mehrere Rollen zugeteilt und jeder Rolle werden wiederum eine oder mehrere Privilegien zugeteilt, die dem Benutzer bestimmte Aktivitäten erlauben

Question 45

denial of service (DoS)

Answer 45

• DoS sind Dienstverweigerungen, die im Internet zur Beeinträchtigung von Webservices führen, und die, als DoS-Attacke ausgeführt, einen angegriffenen Server oder eine Website außer Betrieb setzen können
• DoS-Angriffe werden durch Überlastung von Servern ausgelöst, so beispielsweise durch die Bombardierung eines Mail-Servers mit einer Flut an Mails, durch millionenfache Anfragen an einen Server oder durch Überflutung eines Netzwerks mit Datenpaketen
• in allen Fällen können die Funktionen wegen Überlastung der Server oder Netze nicht mehr hinreichend ausgeführt werden
• die Server sind nicht mehr erreichbar, die Netze können zusammenbrechen
• DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen
• dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet, manchmal auch kollektiv von tausenden Nutzern
• ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden
• der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-Attacke auszuführen
• neben dem Mailbombing und dem Broadcaststurm, gibt es als weitere DoS-Attacken das SYN-Flooding, Ping-Flooding, Ping of Death (PoD), die Smurf-Attacke, Nuke-Attacke, Teardrop-Attacke, Distributed Denial of Service (DDoS), Distributed Reflective Denial of Service (DRDoS) und das Advanced Persistent Denial of Service (APDoS).

Question 46

distributed denial of service (DDoS)

Answer 46

• ist eine DoS-Attacke, die im Verbund von vielen Computern aus erfolgt
• in der Internetkriminalität wird sie häufig in Botnetzen ausgeführt
• die DDoS-Attacke wird zum gleichen Zeitpunkt von verschiedenen Computern ausgelöst und ist dadurch nur schwer zu orten und noch schwieriger zu unterbinden
• wie bei der DoS-Attacke wird der attackierte Computer bei der DDoS-Attacke mit fehlerhaften und vorsätzlich falsch adressierten IP-Paketen bombardiert, und zwar so intensiv, bis der angegriffene Server seinen Dienst einstellen muss oder abstürzt
• die Koordination der DDoS-Attacken erfolgt vom Angreifer bzw. vom Botnetz-Betreiber aus, der die auf den infizierten Botnetz-Rechnern abgelegte Malware, Spams oder Trojaner gleichzeitig aktivieren kann
• da die eigentlichen Attacken über die vielen Botnetz-Rechner ablaufen, ist der Verursacher schwer zu ermitteln, zumal häufig auch noch mit Fast-Flux gearbeitet wird, wodurch sich die Domainnamen permanent ändern
• wenn die Attacke gestartet wird, werden die Hilfsprogramme gleichzeitig auf allen Agents aktiviert und starten eine DDoS-Attacke auf den Ziel-Server
• eine DDoS-Attacke kann ein SYN-Flooding oder eine andere DoS-Attacke sein