By: Laird
July 10, 2015
Definitions in CompTIA Security+ (German translation)
By: Laird
July 10, 2015
Sicherheitssysteme und Applikationen:
All-in-one Security Appliance – Modulares System, mit verschiedenen Sicherheitslösungen:1. IPS - intrusion protection system, schützt vor großformatige Angriffe2. IDS - intrusion detection system, identifiziert Angriffe durch AngriffsmusterHost-basiert: auf jedem Rechner installiertNetzwerk-basiert: Ein Sensor überwacht das gesamte NetzHybrid: Mischung aus Host-basiert und Netzbasiert3. Web filtering (Content Filter) – Filterung bestimmter Inhalte in einem NetzwerkEinfache Filter: Wortfilter, PortsIntelligente Filter: arbeiten mit Gewichtung und filtern erst wenn eine gewisse Relevanz erreicht ist.4. Email filtering (auch Spamfilter) – wie Web filtering, Filtert Adressen5. Malware scanning – Überprüfen auf Schadsoftware6. Combined firewalls -7. AnderesAnti-SPAM and Email Hygiene – Teil der „Data loss preventaion“. Schutz vor:1. SPAM – Massenmails2. Scams – Vorschussbetrug, unter Vortäuschung falscher Tatsachen (social engeneeing)
Personen zu Zahlungen bewegen.3. Phishing attacks - Ergaunern von persönlichen Daten4. Malicious code attachments – Schadcode in Dateianhängen5. Anderen unerbetenen E- MailsEmail filtering – Hard- und Softwarebasiert, Weiterleitung von gewünschten E-Mails, blockieren von unerwünschten E-MailsStrategien:Black listing – Liste von zu blockierenden Absendern, DomänenWhite listing – Liste mit erwünschten Absendern, DomänenHeuristic analysis – Codeanalyse, emulierte Ausführung der Datei mit Beobachtung derer AktivitätenScanning of Maleware – Suchen nach SchadsoftwareContent filters - InhaltsfilterBayesian analysis - Auf Basis von Informationen wird die Wahrscheinlichkeit einer Bedrohung errechnetScoring of reputations – Höhe des AnsehensDNS reverse lookup – Sender ID, SPF (Sender Policy Framework)Content inspection – Data loss preventation und Zugriff auf speziellen Inhalt unterbindenFirewalls – Schutz vor Internet basierten Angriffen. Wesentlicher Bestandteil einer Netzwerk Sicherheitsstrategie. Teilt private und öffentliche Netze physikalisch in unterschiedliche Bereiche. Regelt den eingehenden und ausgehenden Datenverkehr.Application Filtering Firewall – Filtert auf Portebene, Diensteben (FTP, DNS, web etc.), In-/ Output commands.Dual-Homed and Multi-Homed Firewalls - unterscheiden sich in der Anzahl der nutzbaren Netzwerkschnittstellen. Dual nutzen unterschiedliche Schnittstellen für das externe und für das interne Netzwerk. Multiple nutzen multiple Schnittstellen für beide Verbindungen. Dies wird für z.B. die Definierung von DMZ (Demilitarisierte Zone) verwendet. Dienste wie E-Mail oder DNS können so ohne Risiko genutzt werden.Next Generation Firewall (NGF) – Zusammenfassung der meisten Schutzmechanismen in einem System. In der Regel verbindet man hier application filters mit intrusion prevention system. Zusätzlich können content inspection und malware detection implementiert werden.Packet Filtering Firewalls – packet filtering. Überprüfung von Datenpaketen gegen Verstöße der vordefinierten Netzwerkregeln. Sie arbeiten auf den Physical-, Data-Link und Networklayer im OSI- Referenzmodell. Der Header der einzelnen Pakete wird analysiert. Hierbei werden Quell- und Zieladresse, Ports und Protokolle geprüft. Basierend auf diesen Informationen wird entschieden ob das Paket passieren darf oder verworfen wird.Stateful Firewall – Überprüft den Verkehrsfluss zwischen Hosts mit Hilfe von stateful packet inspection (Zustandsorientierte Paketüberprüfung). Überprüfung des Verbindungsstatus und der Sessionzuordnung. Erfüllt ein Paket diese Kriterien nicht wird es verworfen. Arbeitet auf der OSI- Schicht drei.Web Application Firewall – Zum scannen von Bedrohungen die explizit Webbasiert sind.Z.B. Cross-site scripting (XSS), SQL injection, Vandalism, Malicious Code. Benutzereingaben können validiert werden. Das Opwen Web Application Security project (OWASP)zertifiziert WAF. Firewall Rules – Regeln den Zugriff in und aus einem externen Netz. Sie sollten per default auf Deny stehen um dann Ausnahmen zu definieren.Internet Content Filters – Inhaltsfilter, blockiert Anfragen an Hand von bestimmten Filterkriterien.Keywords, Hostname, URL` s oder MalewareLoad Balancer – Verteilen größere Lasten auf mehrere Systeme oder Netzwerke um eine Überlastung eines einzelnen Systems zu verhindern.Maleware Inspection – Scannt Webinhalte oder Dateien (Up-/Download) auf MalewareNetwork Intrusion Prevention System (NIPS) – Reagiert automatisch bei Verdacht auf einen Angriff.Vordefinierte Maßnahmen können z.B. Verbindung beenden, Firwallblockaden aktivieren sein. Im Gegensatz zu NIDS informieren NIPS nicht nur die Administratoren sondern reagieren selbstständig auf eventuelle Bedrohungen.Network Protocol Analyzer (paket sniffer) – Abgreifen, mitschneiden des Netzwerktraffic.Proxies – Schnittstelle zwischen Client und Server (z.B. im WWW). Verschleiert den Client hinter seiner eigene IP und cachet bereits gestellt Verbindungen/Anfragen. Dies erhöht die Netzwerkperformance. Proxies können in einem Verbund geschaltete werden und sich die Clients „teilen“. Anfragen werden unter den Proxies erfragt. Zusätzlich erhöht dies die Ausfallsicherheit.Reverse Proxy – Arbeitet anders herum als der normale Proxy. Anfragen werden vom externen Proxy an den Client geleitet. Andere externe Clients können über den Reverse Proxy ebenfalls mit dem internen Client kommunizieren. Die wahre Adresse des Zielsystems bleibt dem Client verborgen.Router – Kommunizieren auf Layer 3 im OSI- Referenzmodell. Multiprotokollrouter können als Übersetzer zwischen unterschiedlichen Netzwerkprotokollen agieren. Router leiten Pakete an Hand der Quell- und Zieladresse direkt weiter. Ebenso können sie grundlegende Funktion der Sicherheit (Firewall) zur Verfügung stellen.Sie beherrschen NAT (Network Address Translation) um Systemadresse hinter der eigenen zu Verbergen. An Hand von Routertabellen werden die Adressen zugeordnet.Hinweis: Switche verbinden interne Netzwerksegmente während Router unterschiedliche Netze miteinander verbinden.Switch – Kommunizieren auf Layer 1 bis 3. Da ein Switch Traffic direkt vom Client an den entsprechenden Port auf dem Switch leitet wird die Netzwerklast gesengt. Sie sind VLan fähig unterstützen Inspecting packets, Trafficpriority, Routerfähig, Load Balancer, QoS.Switche sind anfällig für DoS, ARP spoofing und MAC spoofing.Uniform Resource Locator (URL) Filtering – Überprüfen von Hyperlinks und URL ´s auf spezielle Inhalte Schlüsselwörter oder Schadcode. Wird nur für Web- und E-Mailscanning verwendet.VPN (Virtual Private Network) Concentrators – Stellen eine sichere Verbindung für Benutzer aus einem öffentlichen in ein privates Netzwerk zur Verfügung. Concentrators werden bei starkem Traffic benötigt. Sie beherrschen IPSec und SSL. Ebenso können sie eine Firewall oder einen Virenscanner zur Verfügung stellen.Web security gateways – Filtert eingehenden und abgehenden Datenstrom gegen schadhaften Inhalt, Suspekten Code. Filtering of Web traffic, Detect and take action against applications, avert information leakage, email security.Schutz vor drive-by- downloads , Internet basierte zero-day oder zero-houre Bedrohungen (threats).Access Control List (ACL) – Definiert Zugriffsrechte von Benutzern auf Dateien und Applikationen.Rule-based – Regelbasierte Zugriffsrechte (Welche Aktionenführt der Mitarbeiter aus)Role- based –Rollenbasiert (Welche Tätigkeit führ der Mitarbeiter aus)Mandatory access – Notwendigkeit (Welche Anwendung muss der Mitarbeiter ausführen)Discretionary access –Gruppenmitgliedschaft (frei verfügbar)Fload Guard - Kontrolle durch Netzwerkmonitoring gegen DoS oder DDoS Attacken. Können als Standalonelösung oder Teil einer Firewall betrieben werden.Arten von DoS AttackenDos/DDoS (Denial os Service/Dynamic Denial of Service)Ping Flood, Mac flood, UDP flood, ICMP flood, SYN floodLoop Protection – z.b. durch Aktivireung des STP (Spanning Tree Protocol). STP deaktiviert nicht benötigte Routen und verhindert so die Ausführung eines Loop.Network Bridging – Brücke zwischen zwei Netzen erstellen. Z.B. wenn ein Notebook sowohl über das kabellose als auch über das verkabelte Netz verbunden ist. Somit bildet das Notebook eine Passage von dem einen Netzwerk in das Andere.Dies kann verhindert werden durch: Network separation – physikalisch getrennte NetzeEthernet port configuration – Verbindung wird automatisch getrennt sobald ein bridging erkannt wird.Port security – Wird in zwei Kategorien bezogen auf das OSI Modell unterteilt.
Physical Port Security | Network Port Security |
Trennung vom Netz | Ungenutzte Ports sind geschlossen |
Durch MAC- Adressenerkennung aktivierbar | Überwacht durch eine Firewall |
Schließt physikalische Objekte (z.B. USB ports) ein | Kontrolliert Portnutzung mit TCPTUDP- Protokollen |
Blockbar durchPhysikalische VerschlüsseBOIS EinstellungenKontrolleinstellungen am Gerät | Meist genutzte Ports bleiben geöffnet:0-1023 von möglichen 65.535 |
Generell nur erlaubte Geräte zugelassen |
Nur wirklich genutzte Ports sollten geöffnet sein. Diese sollten strengen Regeln unterworfen werden. Der anfallende Traffic sollte dem Port angepasst sein.Port knocking – Technik bei der die Ports geschlossen sind und erst bei Anfrage einer Verbindung geöffnet werden. Firewallregeln überprüfen den Request und öffnen den Port.Rule-Based Security Management – Regelwerke definieren welche Aktivitäten in einem Netzwerk erlaubt sind. Die letzte Regel sollte das Deny sein. Regelwerke werden z.B. genutzt von:Firewalls, IPS, Proxies, E-Mail filters, Web-filters oder IDS.Secure Router Configuration – Router ersetzen keine Firewall und müssen entsprechend konfiguriert werden, da sie gegenüber Bedrohungen (threats) anfällig sind. Notwendige Maßnahmen sind:1. Allen Geräten einen eindeutigen Namen geben2. IP- Adressen nur im Adressbereich des Routers definieren3. Vergabe von sicheren Passwörtern auf den Routern4. Ungenutzte Ports deaktivieren5. Backup der Einstellungen erstellen6. ICMP (Internet Control Message Protocol) redirect traffic blockierenPunkt 6 dient als Kontrollmechanismus gegen Attacken wie ICMP floods oder Ping of Death.Security Event Managers (SEM) - oder auch Security Information event managers (SIEM).Sammeln, speichern und analysieren Daten.VLAN Management – Konfiguration um bestimmte Funktionen zu unterbinden oder unerlaubten Routen den Zugriff auf Netzwerkressourcen zu verbieten.Cloud computing – Dienst den Internet basierte Server/Netzwerke von Server oder private Netzwerke zur Verfügung stellen. Anwendungen, Speicher und Dienste werden hier geboten.Vorrausetzung zur Nutzung durch Unternehmen sollte eine sichere und stabile Internetverbindung sein. Multiple Internetverbindungen (evtl. sogar unterschiedliche ISP – Internet Service Provider), failover (Ausfallsicherheit) und load- balancing sind Grundvoraussetzungen.Überlegung:
Service | Leistung | Sicherheitsrisiken und Bedenken |
Storage (Speicher) | Zentralisiert, Offline- Speicher vorhalten | Wo und wie werden die Daten gespeichert. Wie werden die Daten verschlüsselt. Replikation zu anderen Einrichtungen möglich |
Responsibility (Verantwortung) | Instandsetzung und Sicherheit des Providers für:Server, OS, Infrastruktur , Erreichbarkeit | Physikalische und logische Sicherheitsmaßnahmen, strikte Einhaltung von Policies, SAS70 (Auditing Standard)Einhaltung |
Solutions (Lösung) | Redundanz, Failover, Load-balancing | Welche disaster recovering Lösung wird angewandt, wie reagiert der Provider bei einem Zwischenfall, wie wird der Kunde benachrichtigt |
Access (Zugriff) | Keine Zusatzsoftware zur Nutzung nötig | Wer hat Zugriff auf System und Daten und wie kann zugegriffen werden |
Demilitarized Zone (DMZ) – Teil eines Netzwerk das separat vom internen geschützten Netz betrieben wird. Hierfür muss eine physikalische Grenze (Firewall) gezogen werden. In einer DMZ können als Beispiel Web- oder FTP Server betrieben werden.Network Access Control (NAC) – Prüft während der Authentisierung Endgeräte auf Konformität der Security Policies ab. Ist z.B. der Virenscanner nicht aktuell wird das gerät unter Quarantänen gestellt und mit aktuellen Updates versorgt bis es den Sicherheitsrichtlinien entspricht.Kernaufgaben:1. Eindeutige Identifizierung und Rollenverteilung von Nutzern und Geräten2. Wahrung von Sicherheitsrichtlinien3. Quarantäne und automatische Wiederherstellung nichtkonformer Endgeräte4. Verwaltung und Erstellung individueller Richtlinien und Rollen für verschiedene NutzergruppenNetwork Address Translation (NAT) – 1 zu n oder 1 zu 1 mapping von öffentlichen zu privaten Adressräumen. Und wird daher auf Routern betrieben. Die interne IP wird durch die öffentliche IP des Routers ersetzt um die Anfrage an das Ziel zu senden. Pakete werden auf Schicht 3 stark verändert da hier MAC als auch IP des Routers ersetzt werden.Remote Access – Fernzugriff auf ein Netzwerk.Verfahren sind Remote Desktop (Windows), Dial-up oder z.B. VPN.Remote Access Server (RAS) – Stellen eine Zugriff von Extern auf interne Ressourcen über Authentifizierung sicher. RAS implementieren unterschiedliche Zugriffsrichtlinien. In der Regel sind RAS in einer DMZ angesiedelt. Folgende Parameter sind notwendig:1. Zeitgrenzen- Verfügbarkeit- Session länge- Timeouts2. Authentifikationsmechanismen3. Spezielle Routen für den NetztrafficSubnetting – Aufteilung großer Netze in kleinere Segmente. Verhindert Kollisionen und Adresskonflikte. Ein Subnetz ist eine unterteilte Sammlung von ausgewiesenen IP Adressen auf Schicht 3. Diese Adressen sind kompatibel mit Gateways, Servern, Netzwerkendpunkten etc. Segmente sind der Klasse A, B oder C zugeordnet.Virtualization – Hard- oder Softwarebasierend ermöglicht die Virtualisierung das Betreiben mehrerer virtuelle OS (Guests) auf einem Host. In der Regel eine physikalische Maschine. Jedes logische System arbeitet unabhängig von anderen Systemen auf seinem Host innerhalb des zugewiesen Arbeitsspeichers. Sowohl Gast als auch Host sollten über Sicherheitseinrichtungen wie Firewall oder Virenscanner verfügen.Virtual Local Area Network (VLAN) – Ein geswitchtes physikalisches Netzwerk in mehrere logische Netzwerke aufteilen. So lassen sich z.B. einzelne Abteilung voneinander trennen. Jede broadcast domain muss, bezogen auf ihre Verwendung, individuelle gesichert werden.Commonly Used Default Network Ports – Welche Ports wofür verwendet werden wird durch die Internet Assigned Numbers Authority (IANA) geregelt. Sie werden in drei Bereiche aufgeteilt:1. Well known 0 -10232. Registered 1024 – 419513. Private/dynamic 41952 – 65535Als Sicherheitsmaßnahme sollten default Ports geändert werden.
Protocol | Port |
File Transfer (FTP) | 21 |
Secure FTP / SSH FTP (SFTP) | 22 |
FTP Secure (FTPS) | 989 (daten),990 (command) |
Trivial File Transfer Protocol (TFTP) | 69 |
Telnet | 23 |
Hypertext Transfer Protocol (HTTP) | 80 |
Hypertext Transfer Protocol (HTTPS) | 443 |
Secure Cpoy (SCP) | 22 |
Secure Shell (SSH) | 22 |
Simple Mail Transfer Protocol (SMTP) | 25 |
Simple Network Management Protocol (SNMP) | 160,161,162 |
NetBios | 137 (name service), 138 (datagram), 139 (session) |
Domain Name System (DNS) – Schlüsselkomponente in einem Netzwerk. Löst Namen in IP- Adressen auf. Gefahren:1. Ausspionieren von Serverrollen und Versionen, inkl. Netzwerkkomponenten2. Domain Umkehr Inkonsistenz3. Zonen Transfer - Verteilung der Daten (Zonendateien, vollständige Beschreibung einer Zone) auf mehrere DNS4. Nichteinhaltung von RFC (Request for Comments – Spezifikationen, Vorschläge Richtlinien)5. Veraltete VersionenFile Transfer Protocol Secure (FTPS) – Unterstützt TLS (Transport Layer Security, Hybrides Verschlüsselungsprotokoll, löst ab der Version 1.0 SSL ab) und SSL (Secure Socket Layer ab Version 3.1 als TSL bezeichnet).Modi:
Explicit Mode | Implicit Mode |
Aushandeln eines Verschlüsselungsverfahren | Alle Clients müssen FTPS fähig sein |
Mangelt es dem Client an FTPS erfolgt eine der folgenden Varianten:1. Verbindung wird unterbrochen2. Verbindung mit eingeschränkten Funktionen3. Uneingeschränkte Verbindung | Der Client muss die verschlüsselte Verbindung zum Server etablieren |
Internet Protocol Security (IPSec) – Kryptografie Framework auf OSI- Schicht 3 (Netzwerk Layer). Stellt authentication header (AH) und encapsulating security payload (ESP) zur Verfügung.AH und ESP stellen zusammen Datenintegrität und eine sichere Kommunikation sicher.Umsetzung in zwei Modi:
IPSec Operation Mode | Funktion | Anwendung |
Transport Mode | Verschlüsselung der Paket Nutzlast | Ende zu Ende VerbindungenHost zu Host oder Host zu Gateway |
Tunnel Mode | Agiert wie ein ProxyVerschlüsselung des gesamten Paketes inkl. Header | Arbeitet zwischen Gateway und NetzwerkVerbindung zwischen z.B. Heimarbeitsplatz und Firmennetzwerk |
IPv4 und IPv6 – Netzwerkprotokolle mit unterschiedlicher Anzahl von vergebbaren Adressen durch unterschiedliche Spezifikationen.
IPv4 | IPv6 |
Zur Zeit das meist genutzte Protokoll32 Bit in Punktnotaion z.B. 192.153.5.3Mögliche Adressen 4.2 BillionenAnzahl an vergebbaren Adressen fast erreicht | Soll IPv4 ersetzten bzw. entwickelt worden als Nachfolger128 Bit in Hexadezimalnotation z.B. |
Secure Copy (SCP) – Transfer von Dateieninnerhalb einer SSH- Session via RCP Kommandos auf einem UNIX- System.Secure FTP (auch SSH FTP oder FTPS)- Sicherer Dateitransfer mit unterschiedlichen MethodenFTPS – nutzt SSL oder TLSSFTP – nutzt SSH zum Tunneln einer FTP Session zu einem SFTP- ServerSecure Shell (SSH) – Sichere Login, Transfer. Schutz vor eavesdropping. SSH arbeitet auf Port 22Secure Socket Layer (SSL) – Arbeitet auf OSI- Schicht 4 (Transport Layer). End-to-End Tunnel Protokoll für http.Simple Network Management Protocol (SNMP) –Sammeln von Informationen von in einem sich im Netzwerk befindlichen Gerät. Z.B. Daten über Netzwerkperformance, administrative Alarme, Serverstati etc.Versionen:
Version 1 + 2 | Version 3 |
Klartextübermittlung, Default community strings read/write | Verschlüsselung der übertragenen Daten |
Transmission Control Protocol/Internet Protocol (TCP/IP) – TCP Protokollfamilie
TCP | IP |
Internetanwendungen, Gewährleistet die Kommunikation zwischen Programmen auf unterschiedlichen Systemen, Anforderung des Senden von neuen Paketen falls diese defekt sein sollten | Paketadressierung, Übermittlung Hostbasierter Adressen über multiple Netze, Datenintegrität in Verbindung mit TCP |
Transport Layer Security (TLS) – Sichere Endpunktverbindung. Bidirektionale Authentifizierung
Phase | Protokolebene |
1. Schlüssel aushandeln2. Schlüsselaustausch3. Übertragung und Dechiffrierung | 1. TLS Record Protocol, Kapselung für den sicheren Austausch2. TLS Handshake protocol, komplexer Protokollaustausch |
