Home 0P3N Blog Definitions in CompTIA Security+ (German translation)
Ready to Start Your Career?
Create Free Account
By: Laird
July 10, 2015

Definitions in CompTIA Security+ (German translation)

By: Laird
July 10, 2015
By: Laird
July 10, 2015

Sicherheitssysteme und Applikationen:

All-in-one Security Appliance – Modulares System, mit verschiedenen Sicherheitslösungen:1. IPS - intrusion protection system, schützt vor großformatige Angriffe2. IDS - intrusion detection system, identifiziert Angriffe durch AngriffsmusterHost-basiert: auf jedem Rechner installiertNetzwerk-basiert: Ein Sensor überwacht das gesamte NetzHybrid: Mischung aus Host-basiert und Netzbasiert3. Web filtering (Content Filter) – Filterung bestimmter Inhalte in einem NetzwerkEinfache Filter: Wortfilter, PortsIntelligente Filter: arbeiten mit Gewichtung und filtern erst wenn eine gewisse                                             Relevanz erreicht ist.4. Email filtering (auch Spamfilter) – wie Web filtering, Filtert Adressen5. Malware scanning – Überprüfen auf Schadsoftware6. Combined firewalls -7. AnderesAnti-SPAM and Email Hygiene – Teil der „Data loss preventaion“.  Schutz vor:1. SPAM – Massenmails2. Scams – Vorschussbetrug,  unter Vortäuschung falscher Tatsachen (social engeneeing)

     Personen zu Zahlungen bewegen.3. Phishing attacks -  Ergaunern von persönlichen Daten4. Malicious code attachments – Schadcode in Dateianhängen5. Anderen unerbetenen E- MailsEmail filtering – Hard- und Softwarebasiert, Weiterleitung von gewünschten E-Mails, blockieren von                 unerwünschten E-MailsStrategien:Black listing – Liste von zu blockierenden Absendern, DomänenWhite listing – Liste mit erwünschten Absendern, DomänenHeuristic analysis – Codeanalyse, emulierte Ausführung der Datei mit Beobachtung derer        AktivitätenScanning of Maleware – Suchen nach SchadsoftwareContent filters -  InhaltsfilterBayesian analysis -  Auf Basis von Informationen wird die Wahrscheinlichkeit einer       Bedrohung errechnetScoring of reputations – Höhe des AnsehensDNS reverse lookup – Sender ID, SPF (Sender Policy Framework)Content inspection – Data loss preventation und Zugriff auf speziellen Inhalt unterbindenFirewalls – Schutz vor Internet basierten Angriffen. Wesentlicher Bestandteil einer Netzwerk               Sicherheitsstrategie. Teilt private und öffentliche Netze physikalisch in unterschiedliche       Bereiche. Regelt den eingehenden und ausgehenden Datenverkehr.Application Filtering Firewall – Filtert auf Portebene, Diensteben (FTP, DNS, web etc.), In-/ Output commands.Dual-Homed and Multi-Homed Firewalls -  unterscheiden sich in der Anzahl der nutzbaren                 Netzwerkschnittstellen. Dual nutzen unterschiedliche Schnittstellen für das externe und für das interne Netzwerk. Multiple nutzen multiple Schnittstellen für beide Verbindungen. Dies                 wird für z.B. die Definierung von DMZ (Demilitarisierte Zone)  verwendet. Dienste wie E-Mail             oder DNS können so ohne Risiko genutzt werden.Next Generation Firewall (NGF) – Zusammenfassung der meisten Schutzmechanismen in      einem System. In der Regel verbindet man hier application filters mit intrusion prevention                 system. Zusätzlich können content inspection und malware detection implementiert         werden.Packet Filtering Firewalls – packet filtering. Überprüfung von Datenpaketen gegen Verstöße               der vordefinierten Netzwerkregeln. Sie arbeiten auf den Physical-, Data-Link und                Networklayer im OSI- Referenzmodell. Der Header der einzelnen Pakete wird analysiert.      Hierbei werden Quell- und Zieladresse, Ports und Protokolle geprüft. Basierend auf diesen            Informationen wird entschieden ob das Paket passieren darf oder verworfen wird.Stateful Firewall – Überprüft den Verkehrsfluss zwischen Hosts mit Hilfe von stateful packet                inspection (Zustandsorientierte Paketüberprüfung).  Überprüfung des Verbindungsstatus und   der Sessionzuordnung. Erfüllt ein Paket diese Kriterien nicht wird es verworfen. Arbeitet auf       der OSI- Schicht drei.Web Application Firewall – Zum scannen von Bedrohungen die explizit Webbasiert sind.Z.B. Cross-site scripting (XSS), SQL injection, Vandalism,  Malicious Code. Benutzereingaben    können validiert werden. Das Opwen Web Application Security project (OWASP)zertifiziert       WAF.                Firewall Rules – Regeln den Zugriff in und aus einem externen Netz. Sie sollten per default    auf Deny stehen um dann Ausnahmen zu definieren.Internet Content Filters – Inhaltsfilter, blockiert Anfragen an Hand von bestimmten Filterkriterien.Keywords, Hostname, URL` s oder MalewareLoad Balancer – Verteilen größere Lasten auf mehrere Systeme oder Netzwerke um eine Überlastung            eines einzelnen Systems zu verhindern.Maleware Inspection – Scannt Webinhalte oder Dateien (Up-/Download) auf MalewareNetwork Intrusion Prevention System (NIPS) – Reagiert automatisch bei Verdacht auf einen Angriff.Vordefinierte Maßnahmen können z.B. Verbindung beenden, Firwallblockaden aktivieren      sein.  Im Gegensatz zu NIDS informieren NIPS nicht nur die Administratoren sondern                reagieren selbstständig auf eventuelle Bedrohungen.Network Protocol Analyzer (paket sniffer) – Abgreifen, mitschneiden des Netzwerktraffic.Proxies – Schnittstelle zwischen Client und Server (z.B. im WWW). Verschleiert den Client hinter         seiner eigene IP und cachet bereits gestellt Verbindungen/Anfragen. Dies erhöht die            Netzwerkperformance.  Proxies können in einem Verbund geschaltete werden und sich die         Clients „teilen“. Anfragen werden unter den Proxies erfragt. Zusätzlich erhöht dies die                Ausfallsicherheit.Reverse Proxy – Arbeitet anders herum als der normale Proxy. Anfragen werden vom externen Proxy             an den Client geleitet. Andere externe Clients können über den Reverse Proxy ebenfalls mit             dem internen Client kommunizieren. Die wahre Adresse des Zielsystems bleibt dem Client   verborgen.Router – Kommunizieren auf Layer 3 im OSI- Referenzmodell. Multiprotokollrouter können als             Übersetzer zwischen unterschiedlichen Netzwerkprotokollen agieren. Router leiten Pakete               an Hand der Quell- und Zieladresse direkt weiter. Ebenso können sie grundlegende Funktion       der Sicherheit (Firewall) zur Verfügung stellen.Sie beherrschen NAT (Network Address Translation) um Systemadresse hinter der eigenen zu             Verbergen. An Hand von Routertabellen werden die Adressen zugeordnet.Hinweis: Switche verbinden interne Netzwerksegmente während Router unterschiedliche     Netze miteinander verbinden.Switch – Kommunizieren auf Layer 1 bis 3. Da ein Switch Traffic direkt vom Client an den           entsprechenden Port auf dem Switch leitet wird die Netzwerklast gesengt. Sie sind VLan fähig   unterstützen Inspecting packets, Trafficpriority, Routerfähig, Load Balancer, QoS.Switche sind anfällig für DoS, ARP spoofing und MAC  spoofing.Uniform Resource Locator (URL) Filtering – Überprüfen von Hyperlinks und URL ´s auf spezielle Inhalte                 Schlüsselwörter oder Schadcode. Wird nur für Web- und E-Mailscanning verwendet.VPN (Virtual Private Network) Concentrators – Stellen eine sichere Verbindung für Benutzer aus        einem öffentlichen in ein privates Netzwerk zur Verfügung. Concentrators werden bei           starkem Traffic benötigt. Sie beherrschen IPSec und SSL. Ebenso können sie eine Firewall    oder einen Virenscanner zur Verfügung stellen.Web security gateways – Filtert eingehenden und abgehenden Datenstrom gegen schadhaften          Inhalt, Suspekten Code. Filtering of Web traffic, Detect and take action against applications,         avert information leakage, email security.Schutz vor drive-by- downloads , Internet basierte zero-day oder zero-houre Bedrohungen   (threats).Access Control List (ACL) – Definiert  Zugriffsrechte von Benutzern auf Dateien und Applikationen.Rule-based – Regelbasierte Zugriffsrechte (Welche Aktionenführt der Mitarbeiter aus)Role- based –Rollenbasiert (Welche Tätigkeit führ der Mitarbeiter aus)Mandatory access – Notwendigkeit (Welche Anwendung muss der Mitarbeiter ausführen)Discretionary access –Gruppenmitgliedschaft (frei verfügbar)Fload Guard -  Kontrolle durch Netzwerkmonitoring  gegen  DoS oder DDoS Attacken. Können als        Standalonelösung oder Teil einer Firewall betrieben werden.Arten von DoS AttackenDos/DDoS (Denial os Service/Dynamic Denial of Service)Ping Flood, Mac flood, UDP flood, ICMP flood, SYN floodLoop Protection – z.b. durch Aktivireung des STP (Spanning Tree Protocol). STP deaktiviert nicht          benötigte Routen und verhindert so die Ausführung eines Loop.Network Bridging – Brücke zwischen zwei Netzen erstellen. Z.B. wenn ein Notebook sowohl über das              kabellose als auch über das verkabelte Netz verbunden ist. Somit bildet das Notebook eine               Passage von dem einen Netzwerk in das Andere.Dies kann verhindert werden durch:                Network separation – physikalisch getrennte NetzeEthernet port configuration – Verbindung wird automatisch getrennt sobald ein bridging         erkannt wird.Port security  – Wird in zwei Kategorien bezogen auf das OSI Modell unterteilt.

Physical Port Security

Network Port Security

Trennung vom Netz

Ungenutzte Ports sind geschlossen

Durch MAC- Adressenerkennung aktivierbar

Überwacht durch eine Firewall

Schließt physikalische Objekte (z.B. USB ports) ein

Kontrolliert Portnutzung mit TCPTUDP- Protokollen

Blockbar durchPhysikalische VerschlüsseBOIS EinstellungenKontrolleinstellungen am Gerät

Meist genutzte Ports bleiben geöffnet:0-1023 von möglichen 65.535

Generell nur erlaubte Geräte zugelassen

                Nur wirklich genutzte Ports sollten geöffnet sein. Diese sollten strengen Regeln unterworfen                werden. Der anfallende Traffic sollte dem Port angepasst sein.Port knocking – Technik bei der die Ports geschlossen sind und erst bei Anfrage einer                Verbindung       geöffnet werden. Firewallregeln überprüfen den Request und öffnen den Port.Rule-Based Security Management – Regelwerke definieren welche Aktivitäten in einem Netzwerk    erlaubt sind. Die letzte Regel sollte das Deny sein. Regelwerke werden z.B. genutzt von:Firewalls, IPS, Proxies, E-Mail filters, Web-filters oder IDS.Secure Router Configuration – Router ersetzen keine Firewall und müssen entsprechend konfiguriert              werden, da sie gegenüber Bedrohungen (threats) anfällig sind. Notwendige Maßnahmen       sind:1. Allen Geräten einen eindeutigen Namen geben2. IP- Adressen nur im Adressbereich des Routers definieren3. Vergabe von sicheren Passwörtern auf den Routern4. Ungenutzte Ports deaktivieren5. Backup der Einstellungen erstellen6. ICMP (Internet Control Message Protocol) redirect traffic blockierenPunkt 6 dient als Kontrollmechanismus gegen Attacken wie ICMP floods oder Ping of Death.Security Event Managers (SEM) -  oder auch Security Information event managers (SIEM).Sammeln, speichern und analysieren Daten.VLAN Management – Konfiguration um bestimmte Funktionen zu unterbinden oder unerlaubten      Routen den Zugriff auf Netzwerkressourcen zu verbieten.Cloud computing – Dienst den Internet basierte Server/Netzwerke von Server oder private   Netzwerke zur Verfügung stellen. Anwendungen, Speicher und Dienste werden hier geboten.Vorrausetzung zur Nutzung durch Unternehmen sollte eine sichere und stabile             Internetverbindung sein. Multiple Internetverbindungen (evtl. sogar unterschiedliche ISP –        Internet Service Provider), failover (Ausfallsicherheit) und load- balancing sind              Grundvoraussetzungen.Überlegung:

Service

Leistung

Sicherheitsrisiken und Bedenken

Storage (Speicher)

Zentralisiert, Offline- Speicher vorhalten

Wo und wie werden die Daten gespeichert. Wie werden die Daten verschlüsselt. Replikation zu anderen Einrichtungen möglich

Responsibility (Verantwortung)

Instandsetzung und Sicherheit des Providers für:Server, OS, Infrastruktur , Erreichbarkeit

Physikalische und logische Sicherheitsmaßnahmen, strikte Einhaltung von Policies, SAS70 (Auditing Standard)Einhaltung

Solutions (Lösung)

Redundanz, Failover, Load-balancing

Welche disaster recovering Lösung wird angewandt, wie reagiert der Provider bei einem Zwischenfall,  wie wird der Kunde benachrichtigt

Access (Zugriff)

Keine Zusatzsoftware zur Nutzung nötig

Wer hat Zugriff auf System und Daten und wie kann zugegriffen werden

Demilitarized Zone (DMZ) – Teil eines Netzwerk das separat vom internen geschützten Netz                betrieben wird. Hierfür muss eine physikalische Grenze (Firewall) gezogen werden. In einer    DMZ können als Beispiel Web- oder FTP Server betrieben werden.Network Access Control (NAC) – Prüft während der Authentisierung Endgeräte auf Konformität der Security Policies ab. Ist z.B. der Virenscanner nicht aktuell wird das gerät unter Quarantänen gestellt und mit aktuellen Updates versorgt bis es den Sicherheitsrichtlinien entspricht.Kernaufgaben:1. Eindeutige Identifizierung und Rollenverteilung von Nutzern und Geräten2. Wahrung von Sicherheitsrichtlinien3. Quarantäne und automatische Wiederherstellung nichtkonformer Endgeräte4. Verwaltung und Erstellung individueller Richtlinien und Rollen für verschiedene        NutzergruppenNetwork Address Translation (NAT) – 1 zu n oder 1 zu 1 mapping von öffentlichen zu privaten               Adressräumen. Und wird daher auf Routern betrieben. Die interne IP wird durch die            öffentliche IP des Routers ersetzt um die Anfrage an das Ziel zu senden. Pakete werden auf                Schicht 3 stark verändert da hier MAC als auch IP des Routers ersetzt werden.Remote Access – Fernzugriff auf ein Netzwerk.Verfahren sind Remote Desktop (Windows), Dial-up oder z.B.  VPN.Remote Access Server (RAS) – Stellen eine Zugriff von Extern auf interne Ressourcen über     Authentifizierung sicher. RAS implementieren unterschiedliche Zugriffsrichtlinien. In der       Regel sind RAS in einer DMZ angesiedelt.  Folgende Parameter sind notwendig:1. Zeitgrenzen- Verfügbarkeit- Session länge- Timeouts2. Authentifikationsmechanismen3. Spezielle Routen für den NetztrafficSubnetting – Aufteilung großer Netze in kleinere Segmente. Verhindert Kollisionen und          Adresskonflikte. Ein Subnetz ist eine unterteilte Sammlung von ausgewiesenen IP Adressen              auf Schicht 3. Diese Adressen sind kompatibel mit Gateways, Servern, Netzwerkendpunkten        etc. Segmente sind der Klasse A, B oder C zugeordnet.Virtualization – Hard- oder Softwarebasierend ermöglicht die Virtualisierung das Betreiben mehrerer              virtuelle OS (Guests) auf einem Host. In der Regel eine physikalische Maschine. Jedes logische      System arbeitet unabhängig von anderen Systemen auf seinem Host innerhalb des        zugewiesen Arbeitsspeichers. Sowohl Gast als auch Host sollten über                 Sicherheitseinrichtungen wie Firewall oder Virenscanner verfügen.Virtual Local Area Network (VLAN) – Ein geswitchtes physikalisches Netzwerk in mehrere logische     Netzwerke aufteilen. So lassen sich z.B. einzelne Abteilung voneinander trennen. Jede          broadcast domain muss, bezogen auf ihre Verwendung,  individuelle gesichert werden.Commonly Used Default Network Ports – Welche Ports wofür verwendet werden wird durch die       Internet Assigned Numbers Authority (IANA) geregelt. Sie werden in drei Bereiche aufgeteilt:1. Well known 0 -10232. Registered 1024 – 419513. Private/dynamic 41952 – 65535Als Sicherheitsmaßnahme sollten default Ports geändert werden.

Protocol

Port

File Transfer (FTP)

21

Secure FTP / SSH FTP (SFTP)

22

FTP Secure (FTPS)

989 (daten),990 (command)

Trivial File Transfer Protocol (TFTP)

69

Telnet

23

Hypertext Transfer Protocol (HTTP)

80

Hypertext Transfer Protocol (HTTPS)

443

Secure Cpoy (SCP)

22

Secure Shell (SSH)

22

Simple Mail Transfer Protocol (SMTP)

25

Simple Network Management Protocol (SNMP)

160,161,162

NetBios

137 (name service), 138 (datagram), 139 (session)

 Domain Name System (DNS) – Schlüsselkomponente in einem Netzwerk. Löst Namen in IP- Adressen             auf.  Gefahren:1. Ausspionieren von Serverrollen und Versionen, inkl. Netzwerkkomponenten2. Domain Umkehr Inkonsistenz3. Zonen Transfer  - Verteilung der Daten (Zonendateien, vollständige Beschreibung einer       Zone) auf mehrere DNS4. Nichteinhaltung von RFC (Request for Comments – Spezifikationen, Vorschläge Richtlinien)5. Veraltete VersionenFile Transfer Protocol Secure (FTPS) – Unterstützt TLS (Transport Layer Security, Hybrides       Verschlüsselungsprotokoll, löst ab der Version 1.0 SSL ab) und SSL (Secure Socket Layer ab               Version 3.1 als TSL bezeichnet).Modi:

Explicit Mode

Implicit Mode

Aushandeln eines Verschlüsselungsverfahren

Alle Clients müssen FTPS fähig sein

Mangelt es dem Client an FTPS erfolgt  eine der folgenden Varianten:1. Verbindung wird unterbrochen2. Verbindung mit eingeschränkten Funktionen3. Uneingeschränkte Verbindung

Der Client muss die verschlüsselte Verbindung zum Server etablieren

Hypertext Transfer Protocol Secure (HTTPS) – Standard TCP Protokoll zwischen Webserver und Browser. Zum Austausch von Informationen. HTTPS ist kompatibel zu den meisten darstellbaren Inhalten. HTTPS Verbindungen arbeiten unterhalb der Schicht 7 im OSI Referenzmodell zum Verschlüsseln von http Meldungen. Anfragen werden über Port 443 abgewickelt.Hyper Text Transport Protocol (HTTP) bietet im Gegensatz zu HTTPS kein eigenständigen Schutz und wird daher oft in Verbindung mit TLS oder SSL verwendet. HTTP arbeitet auf OSI- Schicht 7 (Application Layer) und kommuniziert über Port 80.Internet Control Message Protocol (ICMP)- Teil des IP- Protokolls. Findet Verwendung in der Übermittlung von Fehlermeldung, keine Daten. Verwendet z.B. Traceroute oder Ping. Router können ICMP blockieren da dieses Protokoll für Netzwerkangriffe wie ICMP flooding oder Ping of Death Verwendung findet.

Internet Protocol Security (IPSec) – Kryptografie Framework auf OSI- Schicht 3 (Netzwerk Layer). Stellt authentication header (AH) und encapsulating security payload (ESP) zur Verfügung.AH und ESP stellen  zusammen Datenintegrität und eine sichere Kommunikation sicher.Umsetzung in zwei Modi:

IPSec Operation Mode

Funktion

Anwendung

Transport Mode

Verschlüsselung der Paket Nutzlast

Ende zu Ende VerbindungenHost zu Host oder Host zu Gateway

Tunnel Mode

Agiert wie ein ProxyVerschlüsselung des gesamten Paketes inkl. Header

Arbeitet zwischen Gateway und NetzwerkVerbindung zwischen z.B. Heimarbeitsplatz und Firmennetzwerk

IPv4 und IPv6 – Netzwerkprotokolle mit unterschiedlicher Anzahl von vergebbaren Adressen durch unterschiedliche Spezifikationen.

IPv4

IPv6

Zur Zeit das meist genutzte Protokoll32 Bit in Punktnotaion z.B. 192.153.5.3Mögliche Adressen 4.2 BillionenAnzahl an vergebbaren Adressen fast erreicht

Soll IPv4 ersetzten bzw. entwickelt worden als Nachfolger128 Bit in Hexadezimalnotation z.B. 2001:0db8:85a3:08d3:1319:8a2e:0370:7344Mögliche Adressen 3.4x1028

Secure Copy (SCP) – Transfer von Dateieninnerhalb einer SSH- Session via RCP Kommandos auf einem UNIX- System.Secure FTP (auch SSH FTP oder FTPS)- Sicherer Dateitransfer mit unterschiedlichen MethodenFTPS – nutzt SSL oder TLSSFTP – nutzt SSH zum Tunneln einer FTP Session zu einem SFTP- ServerSecure Shell (SSH) – Sichere Login, Transfer. Schutz vor eavesdropping. SSH arbeitet auf Port 22Secure Socket Layer (SSL) – Arbeitet auf OSI- Schicht 4 (Transport Layer). End-to-End Tunnel Protokoll für http.Simple Network Management Protocol (SNMP) –Sammeln von Informationen von in einem sich im Netzwerk befindlichen Gerät.  Z.B. Daten über Netzwerkperformance, administrative Alarme, Serverstati etc.Versionen:

Version 1 + 2

Version 3

Klartextübermittlung, Default community strings read/write

Verschlüsselung der übertragenen Daten

Transmission Control Protocol/Internet Protocol (TCP/IP) – TCP Protokollfamilie

TCP

IP

Internetanwendungen, Gewährleistet die Kommunikation zwischen Programmen auf unterschiedlichen Systemen, Anforderung des Senden von neuen Paketen falls diese defekt sein sollten

Paketadressierung, Übermittlung Hostbasierter Adressen über multiple Netze, Datenintegrität in Verbindung mit TCP

Transport Layer Security (TLS) – Sichere Endpunktverbindung. Bidirektionale Authentifizierung

Phase

Protokolebene

1. Schlüssel aushandeln2. Schlüsselaustausch3. Übertragung und Dechiffrierung

1. TLS Record Protocol, Kapselung für den sicheren Austausch2. TLS Handshake protocol, komplexer Protokollaustausch

  
Request Demo

Build your Cybersecurity or IT Career

Accelerate in your role, earn new certifications, and develop cutting-edge skills using the fastest growing catalog in the industry