Security+ Zertifizierung

Transkript

1 Übersicht Security+ Zertifizierung Schnellübersicht A B C D Sicherheitsbedrohungen Ports DoS-Angriffe Schädliche Software DDoS-Angriffe Verschlüsselte Datenangriffe Gängige Algorithmen Andere Angriffstypen und Gegenmaßnahmen Seiten 2 und 3 A B C D E E Sicherheitszonen Diese Bereiche, zu denen DMZs, Extranets und Intranets gehören, werden unter Verwendung von Firewalls und Routern am Rand des Netzwerks erstellt. Sicherheitszonen erlauben eine sichere Kommunikation zwischen dem Unternehmen und Dritten. DMZ Ein Bereich, der in einem Unternehmen für Web-, FTP- und DNS-Server vorgesehen ist, auf die öffentlich zugegriffen werden kann. Dies ist auch ein typischer Bereich für einen RADIUS-Server (für dezentralen Zugriff über eine Wählleitung), dessen integrierter Router eine sichere Verteidigung bietet. Wenn ein Hacker Zugriff auf den RADIUS-Server erlangt, erhält er oder sie keinen Zugriff auf das interne Netzwerk, ohne sich bei der internen Firewall zu authentifizieren. Firewall Eine Barriere, die ein Netzwerk von einem anderen trennt. Ihre Hauptfunktion besteht darin, ein internes privates Netzwerk vor nicht autorisiertem Zugriff über ein externes öffentliches Netzwerk zu schützen. Die Firewall kann ein spezielles physisches Gerät oder ein einem Router, Switch oder einem ähnlichen Gerät hinzugefügtes Softwarefeature sein. Router Ein Gerät für Netzwerkmanagement, das zwischen verschiedenen Netzwerksegmenten positioniert ist und Verkehr von einem Netzwerk zu einem anderen leitet (routet). Wenn Paketfilterung zu den Funktionen des Routers gehört, kann der Router zusätzlich die Rolle eines digitalen Verkehrspolizisten annehmen. Bastionshost Ein Computer, der sich in einer DMZ befindet und Web-, -, DNS- und/oder FTP-Dienste hostet. Um die Sicherheit zu erhöhen, werden alle nicht benötigten Programme, Dienste und Protokolle entfernt und alle nicht benötigten Netzwerkports am Bastionshost deaktiviert. Security+ Zertifizierung Grundlegende Themen Zugriff und Authentifizierung Zugriffskontrolle (MAC, DAC, RBAC) Kryptografie Authentifizierung Kerberos CHAP Digitale Zertifikate Erweiterte Themen Tipps und Lösungen zur optimalen Nutzung Sicherheitstechniken Fernzugriff (remote access) Wireless LANs LDAP IDS und Honeypots Websicherheit Sicherheitslösungen OS/NOS stärken Implementieren einer Netzwerkfirewall Speichern von Daten außerhalb des Unternehmens Digitale Beweisaufnahme Seite 4 Seite 5 Seite 6

2 Schnellübersicht Ports Schädliche Software (Malware) Um die Sicherheit zu erhöhen, blockieren Sie alle nicht verwendeten Ports und lassen Sie dann nur Protokolle zu, die für die Anforderungen Ihres Unternehmens notwendig sind. Bedenken Sie dabei, dass durch das Blockieren eines Ports benötigte Dienste deaktiviert werden können. Name Port Protokoll ECHO 7 TCP/UDP Echo (Rücksendung) CHARGEN 19 TCP/UDP Zeichengenerator FTP 21 TCP Dateitransfer SSH 22 TCP Anmeldedienst Telnet 23 TCP Anmeldedienst SMTP 25 TCP Mail DNS 53 UDP Namensdienst HTTP 80 TCP Webdienste HTTPS 443 TCP/UDP Sichere Webdienste IPSEC 500 TCP VPN-Tunneling-Chiffrierung LINK 87 TCP Terminalverbindung POP3 110 TCP Mail IMAP4 143 TCP Mail SNMP 161 TCP/UDP Remote-Netzwerkmanagement L2TP 1701 UDP VPN-Tunneling-Protokoll PPTP 1723 TCP VPN-Tunneling-Protokoll RADIUS 1812 UDP Authentifizierungsdienst ICQ 4000 TCP Chat-Dienst AIM 4443 TCP AOL Instant Messenger DoS-Angriffe Ein DoS-Angriff (Denial of Service, Zugriff verweigert) verbraucht oder deaktiviert Ressourcen, um Dienste für rechtmäßige Benutzer zu unterbrechen. Im Folgenden werden häufige Typen von DoS-Angriffen sowie einige Gegenmaßnahmen gezeigt, die Sie implementieren können. SYN-Flood Ein Angriff, der verhindert, dass Benutzer auf einen Zielserver zugreifen können. Dazu wird der Server mit halb-offenen TCP-Verbindungen überschwemmt. Fügen Sie eine Firewall hinzu. Vergrößern Sie beim Server die Warteschlange für halb-offene Verbindungen. Senken Sie die Timeout-Zeit der Warteschlange. Verwenden Sie netzwerkbasierte IDS (Intrusion Detection Systems), die SYN-Überschwemmugen feststellen und Administratoren benachrichtigen können. Smurf-Angriff Ein nicht betriebssystemspezifischer Angriff, der ein Netzwerksegment eines Dritten verwendet, um den Host mit einer Flut von ICMP-Paketen (Internet Control Message Protocol) zu überschwemmen. Konfigurieren Sie Router so, dass ICMP-Nachrichten fallen gelassen werden, die von außerhalb des Netzwerks stammen, wenn ihr Ziel eine interne Broadcast- oder Multicast-Adresse ist. Konfigurieren Sie Hosts so, dass Echo-Anforderungen an ihre Subnetz- Broadcast-Adresse geleitet werden. Ping of Death Ein Angriff, der über bestimmte Fragmentierungstechniken von IP-Paketen den Zusammenbruch von Remotesystemen bewirken kann. Aktualisieren Sie Ihr System mit einem Patch, durch das die Anfälligkeit für diesen Angriffstyp beseitigt wird. Aktualisieren Sie Ihr Betriebsystem auf Windows 2000 oder höher. Typ Virus Wurm Trojanisches Pferd Hintertür (Back Door) Logische Bombe DoS-Angriffe Verbreitet sich von System zu System, indem er sich selbst an Daten oder andere Dateien anhängt. Beutet Schwachstellen eines Netzwerks mit der Absicht aus, sich selbst weiter zu verbreiten. Verwendet Techniken des Social Engineering, um Benutzer dazu zu verleiten, die ausführbare Datei einer Software auszuführen. Erlaubt einem Angreifer Fernzugriff, ohne dass der Eigentümer dies erfährt oder seine Erlaubnis dafür gegeben hat. Bleibt deaktiviert, bis sie durch ein bestimmtes Ereignis aktiviert wird. Gegenmaßnahmen Führen Sie folgende Aktionen aus, um sich gegen schädliche Software zu schützen: Installieren Sie die aktuellsten Sicherheitsupdates auf allen Servern. Setzen Sie einen dedizierten -Server in einer DMZ ein. Konfigurieren Sie danach den Server so, dass Inhalt und Dateianhänge gefiltert werden. Installieren Sie Antivirensoftware und pflegen Sie aktuelle Signaturdateien. Implementieren Sie - und Internetrichtlinien. Dazu gehört beispielsweise: Öffnen Sie keine , die von einer unbekannten Quelle stammt. Öffnen Sie -Anhänge niemals automatisch. Öffnen Sie nur -Anhänge, die Sie erwartet haben. Laden Sie keine Programme von Websites herunter, es sei denn, Sie kennen die Quelle und vertrauen ihr. Aktualisieren Sie Ihre Antiviren-Signaturdatei mindestens alle zwei Wochen. Unterweisen Sie alle Benutzer in diesen - und Internetrichtlinien. Bei einem DDos-Angriff (Distributed Denial of Service) manipuliert der Angreifer mehrere Hosts (die auch Zombierechner genannt werden), um einen DoS-Angriff auf ein Ziel durchzuführen. Wenn Sie Ihr Netzwerk gegen DDoS-Angriffe schützen möchten, führen Sie die folgenden Aktionen aus. Clients und Server Installieren Sie die aktuellsten Sicherheits-Patches Ihrer Softwareanbieter. Installieren und konfigurieren Sie persönliche Firewalls auf den Desktop-PCs. Installieren Sie Antivirensoftware, und verwenden Sie aktuelle Signaturen. Führen Sie regelmäßig Festplattenscans mit der Antivirensoftware durch. -Server Installieren Sie Antivirensoftware auf allen internen und externen -Servern, um das Netzwerk vor -Würmern zu schützen. Firewalls und Router Filtern Sie eingehende Pakete, die für eine Broadcast-Adresse bestimmt sind. Dadurch können Sie Ihr Netzwerk vor Smurf-Angriffen schützen. Schalten Sie gerichtete Broadcasts auf allen internen Routern aus. Auch dadurch können Smurf-Angriffe verhindert werden. Blockieren Sie die folgenden Pakettypen, damit sie nicht in Ihr Netzwerk gelangen: Jedes Paket mit einer Quelladresse, die im Internet nicht zulässig ist. Zu diesem Adresstyp gehört der Adressraum RFC 1918 ( , und ), ein Multicast-Adressraum ( ) sowie Loopback-Adressen ( ). Jedes Paket, das ein Protokoll oder einen Port verwendet, das bzw. der in Ihrem Netzwerk nicht für Internetkommunikationen verwen det wird. Jedes Paket, dessen Quelladresse aus Ihrem Netzwerk stammt. Blockieren Sie Pakete mit vorgetäuschten Quelladressen, damit diese Ihr Netzwerk nicht verlassen. 2

3 Verschlüsselte Datenangriffe Andere Angriffsarten und Gegenmaßnahmen Typ Angriff auf unsichere Schlüssel Mathematischer Angriff Hash-Kollisionsangriff Password Guessing Brute-Force- Ansatz Wörterbuch- Ansatz Name Triple DES Blowfish IDEA RC5/RC6 Diffie-Hellman RSA AES Greift geheime Chiffrierungsschlüssel an, die leicht geknackt werden können. Verwendet die mathematischen Eigenschaften des Algorithmus, um Daten zu entschlüsseln oder deren geheimen Schlüssel zu entdecken. Beutet die mathematischen Schwächen von Hash- Algorithmen und einseitigen Hash-Funktionen aus (Geburtstagsparadoxon). Bricht in ein System ein, indem das Kennwort des Opfers erraten wird. Erzeugt jede mögliche Kombination von Tastatureingaben, die in einem Kennwort vorhanden sein können und übergibt dann jede mögliche Kombination an eine Hash-Funktion mit dem Ziel, das Kennwort zu knacken. Verwendet eine vorher festgelegte Liste von üblicherweise englischen Wörtern als Eingabe für den Kennwort-Hash. Häufig verwendete Algorithmen Verwendet drei Schlüssel und drei Operationen, um einen 168-Bit-Schlüssel zu erstellen. Eine 64-Bit-Blockchiffre, die Schlüssel mit variabler Länge verwendet. Eine 64-Bit-Blockchiffre, die einen 128-Bit-Schlüssel verwendet. Verwendet eine variable Blockgröße, eine variable Schlüsselgröße und eine variable Rundenanzahl. Verwendet ein System mit öffentlichem Schlüssel (Public-Key-System). Häufig verwendet in IPSec. Verwendet ein System mit öffentlichem Schlüssel (Public-Key-System) und eine variable Schlüssellänge sowie Blockgröße. Basiert auf dem Rijndael-Algorithmus. Verwendet Schlüssel mit variabler Länge zum Verschlüsseln und Entschlüsseln von Daten in Blöcken mit einer Größe von 128 Bit. CertBlaster Practice Test Mit dem Erwerb dieser CourseCard erhalten Sie auch eine Kopie der Prüfungsvorbereitungssoftware CertBlaster für die CompTIA Security+-Prüfung. Damit Sie die Prüfung bestehen können, hilft Ihnen CertBlaster mit hunderten praktischen Fragen, einem personalisierten Studienpfad, sowie mit Prüfungssimulationen, welche die gleiche Anzahl an Fragen enthalten wie die eigentliche Prüfung. So installieren Sie Ihren CertBlaster: 1. Gehen Sie zu 2. Klicken Sie auf den Hyperlink für Security+. 3. Speichern Sie die EXE-Datei auf Ihrer Festplatte. 4. Doppelklicken Sie auf die EXE-Datei. 5. Klicken Sie auf OK und befolgen Sie die Anweisungen auf dem Bildschirm. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie c_security ein. Man-In-The-Middle-Angriff iff Der Angreifer stellt sich zwischen zwei kommunizierende Hosts und belauscht deren Sitzung. Wireless-Systeme sind gegen diesen Angriffstyp sehr anfällig. Konfigurieren Sie Ihren Router so, dass umgeleitete ICMP-Pakete ignoriert werden. IP-Spoofing Der Angreifer erlangt Zugriff auf ein Opfer, indem er TCP/IP-Pakete mit der Quelladresse eines vertrauenswürdigen Hosts erzeugt. Deaktiveren Sie Quellenrouting auf allen internen Routern. Filtern Sie Pakete, die aus dem Internet in Ihr lokales Netzwerk kommen und die eine Quelladresse des lokalen Netzwerks haben. Web-Spoofing Der Angreifer überzeugt das Opfer davon, eine legitime Website zu besuchen. Dabei wird tatsächlich eine Site besucht, die durch den Angreifer erstellt oder modifiziert wurde. Deaktivieren Sie im Browser JavaScript, ActiveX and Java. Zeigen Sie die Adressleiste des Browsers an. Fordern Sie Benutzer auf, die Adressleiste auf verdächtige URLs hin zu beobachten. Weisen Sie Benutzer an, ihre Homepage auf eine bekannte Website festzulegen. DNS-Spoofing Der Angreifer manipuliert den DNS-Server so, dass Benutzer auf einen Server des Angreifers umgeleitet werden. Aktualisieren Sie die DNS-Software auf die aktuellste Version. Aktivieren Sie Auditing auf allen DNS-Servern. Setzen Sie Maßnahmen gegen IP-Spoofing um. ARP-Spoofing Der Angreifer verwendet diese Methode, um die ARP-Tabelle (Address Resolution Protocol) eines Hosts zu beschädigen. Dadurch kann der Angreifer den Datenverkehr zum angreifenden Computer umleiten. Verwenden Sie Netzwerk-Switches mit MAC-Bindungsfeatures. Wiedergabe Der Angreifer verwendet einen Sniffer, um die Nachrichten von einem legitimen Benutzer zu belauschen und zu wiederholen, um diesen legitimen Benutzer vorzutäuschen und so Zugang zu einem System zu erlangen. Aktualisieren Sie Ihre Software mit den aktuellsten Sicherheits-Patches. Verschlüsseln Sie vertrauliche webbasierte Transaktionsdaten über SSL. Vortäuschen einer gültigen TCP-Sitzung Der Angreifer täuscht dem Opfer die Verbindung mit einem vertrauenswürdigen Host vor. Tatsächlich kommunizieren die Opfer aber mit dem Angreifer. Verschlüsseln und sichern Sie Ihre Kommunikationen mit IPSec. Softwareausbeutung Der Angreifer durchbricht die Sicherheitsschranken, indem er Schwachstellen der Software ausnutzt, beispielsweise Speicherüberläufe. Sichern Sie Ihre Software mit Hotfixes und Service Packs. Erweitern von Rechten Ein Benutzer mit beschränkten Rechten nimmt die Identität eines berechtigten Benutzers an, um Zugriff auf Informationen zu erhalten. Verwenden Sie zum Ausführen von Prozessen und zum Zugriff auf Ressourcen Konten mit den niedrigsten Dienstberechtigungen. War Driving Der Angreifer fährt mit einem WLAN-fähigen Notebook umher, um Wireless LANs aufzuspüren, auf die er zureifen kann. Implementieren Sie das WEP-Sicherheitsprotokoll auf allen Wireless LANs. 3

4 Grundlegende Themen Zugriffskontrolle Eine Richtlinie, eine Softwarekomponente oder eine Hardwarekomponente, die dazu verwendet wird, den Zugriff auf eine Ressource zu beschränken. Es gibt drei Typen der Zugriffskontrolle: MAC (Mandatory Access Control) eine nicht willkürliche Kontrolle, die in Speicherorten mit hoher Sicherheit Anwendung findet. Klassifiziert alle Benutzer und Ressourcen und weist jeder Klassifikation eine Sicherheitsebene zu. DAC (Discretionary Access Control) Ein Kontrolltyp, der dem Eigentümer einer Datei erlaubt festzulegen, wer in welchem Umfang Zugriff auf die Datei erhält. Der Eigentümer einer Ressource erstellt eine Zugriffskontrollliste (ACL, Access Control List), in der die Benutzer sgslfghsldfkgsfbsdfg mit Zugriffsberechtigung und die Zugriffsart aufgelistet werden. RBAC (Role-Based Access Control) Ein Art der Zugriffskontrolle, welche auf der Rolle basiert, die ein Benutzer innerhalb des Unternehmens spielt. Zugriffskontrolle wird Benutzergruppen gewährt, die allgemeine Funktionen ausüben. Kryptografie DerProzessderUmwandlunglesbarenTexts(plaintext)ineinenicht lesbaren eine nicht lesbare Reihe von Zeichen und Symbolen (ciphertext). In der modernen Kryptografie werden Algorithmen verwendet, die aus einer Menge von Anweisungen bestehen, welche zur Chiffrierung und Dechiffrierung von Daten mit Schlüsseln arbeiten. Es gibt zwei Typen von Algorithmen: Symmetrisch Verwendet einen einzelnen Schlüssel. Der Chiffrierungsschlüssel kann aus dem Dechiffrierungsschlüssel errechnet werden und umgekehrt. Asymmetrisch Verwendet für Chiffrierung und Dechiffrierung unterschiedliche Schlüssel. Der Dechiffrierungsschlüssel kann nicht aus dem Chiffrierungsschlüssel errechnet werden. Hashing wird in der Kryptografie verwendet, um die Integrität von Daten zu überprüfen, die über einen ungesicherten Kanal gesendet werden. Hashing wandelt Eingaben mit variabler Länge in eine Ausgabezeichenfolge mit fester Länge um. Diese wird Hash-Wert genannt. Nach Veränderung der Daten ergibt sich ein anderer Hash-Wert. Digitale Signaturen werden mit dem Hash-Algorithmus erstellt (auch Hash-Funktion genannt). Der Prozess der Chiffrierung und Dechiffrierung einer digitalen Signatur ist folgender: 1. Alice produziert einen Nachrichtenauszug. Dazu schickt Sie ihre Nachricht durch die Hash-Funktion. 2. Der Nachrichtenauszug wird mit Alices privatem Schlüssel verschlüsselt. 3. Alice sendet die Nachricht an Bernd. 4. Bernd erstellt einen Nachrichtenauszug aus der Nachricht. Dabei verwendet er die gleiche Hash-Funktion, die Alice verwendet hat. Danach entschlüsselt er Alices Nachrichtenauszug mit Alices öffentlichem Schlüssel. 5. Bernd vergleicht die beiden Nachrichtenauszüge. Wenn beide übereinstimmen, weiß er, dass die Nachricht von Alice stammt und dass sie nicht verändert wurde. Kerberos Verwendet eine symmetrische Chiffrierung, um die Anmeldeinforma- tionen eines Benutzer über ungesicherte Kanäle zu übergeben und den Benutzer für Netzwerkressourcen zu validieren. 1. Wenn sich der Benutzer bei einer Workstation anmeldet, wird automatisch beim Authentifizierungsserver (AS) ein Ticket-Granting Ticket (TGT) angefordert. 2. Der AS empfängt die TGT- Anforderung, authentifiziert den Benutzer, verwendet dessen Masterschlüssel, um ein neues TGT zu verschlüsseln und sendet das neue TGT an die Workstation. 3. Wenn der Benutzer einen neuen Dienst benötigt, sendet die Workstation eine TGT-Kopie zusammen mit dem Namen des Servers, auf dem sich die neue Anwendung befindet, einem Authentifizierer und der Zeitspanne, für die der Dienst benötigt wird, an den Ticket-Granting Server (TGS). Dabei wird ein Ticket für jeden Dienst angefordert. 4. Der TGS überprüft die Identität des Benutzers und sendet Tickets mit Zeitstempel, mit denen der Dienst verwendet werden kann. 5. Nach dem Empfang der Tickets mit Zeitstempel vom TGS verifiziert die Workstation die Gültigkeit aller Tickets für einen erwünschten Service. Die Workstation sendet daraufhin jedes Ticket zusammen mit der Anforderung zur Verwendung der auf diesem befindlichen Dienste an den entsprechenden Server. 6. Jeder Server, der eine Dienstanforderung empfängt, überprüft die Anforderung und autorisiert danach die Verwendung der entsprechenden Dienste. CHAP (Challenge Handshake Authentication Protocol) Dieses Authentifizierungsschema wird von PPP-Servern verwendet, um zu Beginn oder während einer Kommunikationssitzung die Identität des Remote-Clients zu überprüfen. Im Folgenden werden die drei grundlegenden Schritte bei der CHAP-Authentifizierung gezeigt. Authentifizierung DiepositiveIdentifizierungeinerPersonodereinesSystems einer oder eines Systems, diebzw bzw. das versucht, auf gesicherte Informationen oder Dienste zuzugreifen. Authentifizierung basiert normalerweise auf einem der folgenden Typen von Anmeldeinformationen: Benutzernamen Eindeutige Bezeichner, mit denen Benutzer bei der Anmeldung an einem Computer oder ein Netzwerksystem identifiziert werden. Kennwörter Eine geheime Kombination von Tastatureingaben, mit dem ein Benutzer des Computers oder des Netzwerks authentifiziert wird. Biometrische Daten Die Authentifizierung basiert auf physischen Merkmalen eines Individuums, beispielsweise auf Fingerabdrücken oder Netzhautmustern. Security Token Eine einem bestimmten Benutzer zugeordnete Authentifizierung. Passive Token Fungieren als Speichergeräte für Basisschlüssel. Beispielsweise überträgt ein Magnetstreifen einen Schlüssel über einen Kartenleser. Aktive Token Erstellen eine andere Form des Basisschlüssels (beispielsweise ein einmaliges Kennwort), der nicht bei jedem Authentifizierungsversuch des Eigentümers einem Angriff ausgesetzt ist. HINWEIS: Bei einer Authentifizierung mit mehreren Faktoren werden zwei oder mehrere Typen von Anmeldeinformationen verwendet. Digitale Zertifikate Diese überprüfen, ob ein öffentlicher Schlüssel zu seinem Eigentümer gehört. Digitale Zertifikate enthalten in der Regel folgende Elemente entsprechend dem Standard X.509: Den öffentlichen Schlüssel des Eigentümers Informationen, die den Eigentümer eindeutig identifizieren (beispielsweise ein Name und eine -Adresse), eine Seriennummer und die Gültigkeitsdaten des Zertifikats Die digitale Signatur der das Zertifikat ausstellenden Organisation, in der ausgewiesen wird, dass der öffentliche Schlüssel tatsächlich der fraglichen Person gehört PKI Eine Public-Key-Infrastruktur (PKI) verwendet ein Paar aus einem öffentlichen und einem privaten Schlüssel, das über eine vertrauenswürdige Organisation freigegeben wird. Eine PKI verwendet zur Identifizierung ein digitales Zertifikat und besteht aus den folgenden Komponenten: Eine Zertifizierungsstelle (CA, Certificate Authority), die das digitale Zertifikat herausgibt und überprüft Eine Registrierungsstelle, die als Verifizierer fungiert Ein Verzeichnis, in dem die Zertifikate abgelegt werden Ein Zertifikatsmanagementsystem 4

5 Erweiterte Themen Remotezugriff/Fernzugriff IEEE 802.1x Enthält einen Standard zur Authentifizierung und Kontrolle von Benutzerverkehr in ein geschütztes Netzwerk hinein. IEEE 802.1x verwendet das EAP (Extensible Authentication Protocol), um zu definieren, wie eine Authentifizierung stattfindet. RADIUS (Remote Authentication Dial-In User Service) Authentifiziert Benutzer, die eine Verbindung über eine Wählleitung herstellen, autorisiert ihren Zugriff und ermöglicht Remote-Servern (dezentralen Servern) die Kommunikation mit einem zentralen Server. Gezeigt wird hier eine typische RADIUS-Authentifizierungssitzung. TACACS+ (Terminal Access Controller Access Control System) Ein von Cisco Systems entwickeltes Authentifizierungsprotokoll, über das ein Server mit Remotezugriff die Anmeldeinformationen eines Benutzers an einen Authentifizierungsserver weiterleiten kann. TACACS+ ermöglicht eine Authentifizierung mit mehreren Faktoren. VPN Ein virtuelles privates Netzwerk (VPN) verwendet eine öffentliche Infrastruktur, mit deren Hilfe externen Büros oder Benutzern ein sicherer Remotezugriff auf das Netzwerk des Unternehmens ermöglicht wird. Ein VPN verwendet Chiffrierungsmethoden zum Tunneling durch öffentliche Medien, wie beispielsweise das Internet. VPN-Protokolle PPTP (Point-to-Point Tunneling Protocol) Ein WAN-Protokoll für Tunneling. PPTP wird demnächst überholt sein. L2TP (Layer Two Tunneling Protocol) Ein Protokoll, mit dem der Betrieb eines VPN über das Internet aktiviert wird. L2TP ist eine Mischung aus PPTP von Microsoft und L2F von Cisco Systems. L2TP hat zwei zentrale Komponenten: LAC (L2TP Access Concentrator) und LNS (L2TP Network Server). IPSec Ein Tunneling-Protokoll, das zwei Dienste bietet: AH (Authentifizierungs-Header) Dieses Protokoll signiert Datenpakete mit MD5- oder SHA-1-Hashes sowie einem gemeinsamen Geheimcode. Dadurch ist Authentizität gewährleistet. ESP (Encapsulating Security Payload, Sicherheitseinkapselung) Dieses Protokoll sichert die Vertraulichkeit dadurch, dass das Paket mit einem symmetrischen Chiffrierungsalgorithmus (DES oder 3DES) und einem gemeinsamen Geheimcode verschlüsselt wird. VLAN In einem virtuellen LAN (Local Area Network) oder VLAN wird ein einzelner physischer Netzwerk-Switch auf mehrere Netzwerksegmente oder Broadcast-Domains verteilt. Dadurch wird vertraulicher Verkehr vom Rest des gemeinsamen Netzwerks abgekoppelt und der Zugriffsbereich für den Fall reduziert, dass ein Hacker das Netzwerk infiltriert. NAT Mit dem NAT-Dienst (Network Address Translation) können IP-Adressen (Internal Private) in öffentliche Internetadressen umgewandelt werden. NAT bietet eine Art Firewall, indem interne IP-Adressen verborgen bleiben. Wireless LANs x Eine Familie von Spezifikationen für WLAN-Netzwerke, welche die Schnittstellen zwischen drahtlosen Clients und ihren Netzwerk-Zugangspunkten (Access Points) definieren. Die vier bekanntesten Spezifikationen sind b, a, i und g. WEP (Wired Equivalent Privacy) Ein Sicherheitsprotokoll für Wireless LANs, das in spezifiziert wird. WEP verwendet eine Chiffrierung, um die anfällige Verbindung zwischen Clients und Zugangspunkten zu schützen. WAP (Wireless Application Protocol) Eine Spezifikation für eine Reihe von Kommunikationsprotokollen, in denen die Art und Weise standardisiert wird, in der Wireless-Geräte miteinander kommunizieren. WTLS (Wireless Transport Layer Security) Ein Protokoll, das Authentifizierung, Datenchiffrierung und Datenschutz für WAP- Benutzer bietet. LDAP (Lightweight Directory Access Protocol) Dieses häufig verwendete Verzeichnisdienstprotokoll wird auf TCP/IP ausgeführt, kann als auf den meisten Netzwerken eingesetzt werden. Um LDAP gegen DoS-Angriffe, Man-In-The-Middle-Angriffe und Angriffe auf die Vertraulichkeit von Daten zu schützen, führen Sie die folgenden Gegenmaßnahmen aus: Wenden Sie die aktuellsten Sicherheits-Patches auf das Betriebssystem und die Anwendung an. Entfernen Sie nicht benötigte Dienste und Anwendungen, die sich als Schwachstellen des Systems erweisen könnten. Konfigurieren Sie eine sichere Authentifizierung. Verwenden Sie Kerberos für LDAP v2 bzw. SASL (Simple Authentication and Security Layer) für LDAP v3. Blockieren Sie LDAP (typischerweise die TCP/UDP-Ports 389 und 636) an der Firewall. IDS und Honeypots IDS IDS (Intrusion detection systems) sind Überwachungsprogramme, mit denen laufende Angriffe identifiziert, Angriffe gestoppt und tief greifende Analysen nach dem Angriff durchgeführt werden können. Viele IDS suchen nach bekannten Mustern oder Signaturen, um das Erkennen von Angriffen zu unterstützen. Es gibt zwei Typen von IDS: Netzwerkbasierte IDS Verwendet bestimmte Netzwerkgeräte oder -server (Sensoren), um den Datenverkehr in einem oder mehreren Netzwerksegmenten zu überwachen. Hostbasierte IDS Verwendet Softwareagenten, um computerbezogene Aktivitäten zu erkennen und zu verfolgen. Hostbasierte IDS-Lösungen sind in Unternehmen mit einer großen Anzahl von Computern nur schwierig anzuwenden. Honeypots Sicherheitsressourcen, die mit der Absicht entwickelt wurden, Sondierungen, Angriffe oder Gefährdungen auf sich zu ziehen. Das Ziel der Verwendung von Honeypots ist es, Informationen zu Hackertechniken, -methoden und -tools zu erhalten. Websicherheit S/MIME (Secure Multi-Purpose Internet Mail Extensions) Diese Methode ist in den meisten Webbrowsern integriert und verwendet beim Senden von RSA-Verschlüsselung. PGP (Pretty Good Privacy) Diese Anwendung verschlüsselt und entschlüsselt s, um diese zu sichern. PGP verwendet einen Schlüssel und einen geheimen Zugangscode. SSL/TLS (Secure Sockets Layer/Transport Layer Security) Diese Protokolle werden häufig verwendet, um die Sicherheit von über das Internet übertragenen Nachrichten zu verwalten. Mit SSL/TLS kann ein für SSL aktivierter Server sich selbst gegenüber einem für SSL aktivierten Client authentifizieren, der Client kann sich selbst dem Server gegenüber authentifizieren und beide Computer können untereinander eine verschlüsselte Verbindung aufbauen. SSL wird von den meisten Webbrowsern unterstützt. HTTP/S (Hypertext Transfer Protocol/Secure) Bietet Chiffrierung und Übertragung über einen sicheren Port. Das Protokoll wird über SSL ausgeführt und verwendet Port

6 Tipps und Lösungen zur optimalen Nutzung 1. Wo erhalten Sie zusätzliche Informationen. Die folgenden Websites enthalten nützliche Informationen zu Sicherheitsanwendungen und Protokollen: Kerberos DDoS-Angriffe IEEE-Standards CERT/CC-Ratschläge Microsoft-Sicherheit 2. Verschaffen Sie sich einen Überblick über die Prüfungsziele bei der Security+ Zertifizierung. Zertifizierungsinformationen finden Sie auf der Website von CompTIA unter 3. Stärken Sie Ihr OS/NOS. Ändern Sie die Standardkonfiguration Ihres Betriebssystems oder Netzwerkbetriebssystems, damit es sicherer vor externen Bedrohungen ist. Identifizieren und entfernen Sie nicht verwendete Anwendungen und Dienste. Diese können unter Umständen vertrauliche Informationen über ein System preisgeben. Entfernen Sie nicht verwendete oder unnötige Dateifreigaben. Implementieren und setzen Sie strengere Kennwortpolicen durch. Entfernen oder deaktivieren Sie alle abgelaufenen oder nicht benötigten Konten. Begrenzen Sie die Anzahl der verfügbaren Administratorkonten. Legen Sie die Berechtigungen so fest, dass auf Ressourcen nur im Bedarfsfall zugegriffen werden kann. Legen Sie die Account Lockout Policies Grundsätze zur Sperrung von Konten) so fest, dass das Knacken von Kennwörtern erschwert wird. Wenden Sie die aktuellsten Sicherheitsupdates und Hotfixes an. Erstellen Sie für den Notfall in regelmäßigen Abständen Sicherheitskopien des Systems. Protokollieren Sie die gesamten Benutzerkonten- und administrativen Aktivitäten, damit Sie bei Gefährdung des Systems eine eingehende Analyse durchführen können. 4. Schützen Sie einen dezentralen PC gegen die meisten Bedrohungen. Installieren Sie eine persönliche Firewall auf dem dezentralen PC. Filtern Sie sowohl eingehende als auch ausgehende Pakete. Konfigurieren Sie Webbrowser so, dass Browser-Plugins, wie beispielsweise ActiveX und JavaScript beschränkt werden. Vergewissern Sie sich, dass die Sicherheits-Patches der Betriebssysteme und Anwendungen auf den PCs auf dem neuesten Stand sind. Verwenden Sie einen Virenscanner und aktivieren Sie die automatische Aktualisierung. Stellen Sie ihn so ein, dass eingehende s und Anhänge gescannt werden. Deaktivieren Sie Cookies, um eine Überwachung von Surfgewohnheiten zu verhindern. Verwenden Sie sichere Kennwörter. Verschlüsseln Sie vertrauliche und kritische Informationen. 5. Implementieren Sie eine Firewall für das Netzwerk. 1. Formulieren Sie eine schriftliche Sicherheitsrichtlinie. 2. Konstruieren Sie die Firewall so, dass die Sicherheitsrichtlinie umgesetzt wird. 3. Implementieren Sie die so konstruierte Firewall, indem Sie die ausgewählte Hardware und Software installlieren. 4. Testen Sie die Firewall. 5. Überprüfen Sie das Vorhandensein neuer Bedrohungen, erforderliche zusätzliche Sicherheitsmaßnahmen sowie Updates für eingesetzte Systeme und Software. 6. Erstellen Sie einen Wiederherstellungsplan für den Schadensfall. Ein effektiver Wiederherstellungsplan für den Schadensfall sollte die folgenden Dokumente enthalten: Eine Liste der abgedeckten Schäden Kontaktinformationen für die Mitglieder des Teams für die Wiederherstellung im Schadensfall Eine Bewertung der Auswirkungen auf den Geschäftsprozess Ein Plan zur Fortsetzung der Geschäftstätigkeit (Notfallplan) Systemdokumentation 7. Speichern Sie Daten in einer Einrichtung außerhalb des Unternehmens. Einrichtungen, die sich außerhalb des Unternehmens befinden, ermöglichen diesem, schnell den Betrieb wieder aufzunehmen, falls der Hauptstandort substanzielle Datenverluste hinnehmen musste. Es gibt drei Typen von Einrichtungen: Hot Site Vollständig konfiguriert und betriebsbereit innerhalb von wenigen Stunden nach dem Schaden. Kann für kurzfristige und langfristige Ausfälle eingesetzt werden. Warm Site Teilweise mit einigen Hardware- und Softwarekomponenten konfiguriert. Stellt die Einrichtung und einige periphere Geräte bereit. Cold Site Stellt die Basisumgebung zum Anschluss von Hardwarekomponenten bereit. Dazu gehören Verkabelung, Entlüftung, sanitärtechnische Installation und Fußbodenbeläge. 8. Implementieren Sie Gegenmaßnahmen gegen FTP-Angriffe. FTP ist ein einfaches Ziel für Hacker. Hier werden einige Lösungen gezeigt, mit deren Hilfe Sie FTP-Angriffen entgegentreten können: Erlauben Sie ohne ausdrückliche geschäftliche Erfordernisse keinen anonymen Zugriff. Setzen Sie eine Firewall ein, die sich auf dem neuesten Stand der Technik befindet und die eine Inhaltsüberprüfung von FTP-Befehlen vornimmt. Prüfen Sie, ob Ihr FTP-Server die aktuellsten Sicherheits-Patches hat und ob er so konfiguriert ist, dass der Benutzerzugriff eingeschränkt wird. Verschlüsseln Sie Ihre Daten, bevor Sie diese auf einem FTP-Server ablegen, damit die Daten während der Übertragung zum Ziel nicht angezapft werden können. Verschlüsseln Sie den FTP-Datenfluss unter Verwendung einer VPN- Verbindung. Verwenden Sie eine sicherere Alternative zu FTP, beispielsweise Secure FTP. 9. Verwenden Sie Implementierungsprogramme für Secure FTP. Programm SSH TECTIA Connector OpenSSH TTSSH PuTTY Ermöglicht Benutzern im Unternehmen, sich mit Geschäftsanwendungen sicher und automatisch zu verbinden, wenn eine IP-Verbindung hergestellt ist. SSH TECTIA Connector liegt der Standard Secure Shell zugrunde. Eine Open-Source-Version von SSH, die hauptsächlich von der OpenBSD entwickelt wurde. Eine freie SSH-Client-Implementierung, die das Freeware-Terminalprogramm TeraTerm Pro erfordert. Eine Freeware-SSH-Client-Implementierung für Windows-Betriebssysteme Nehmen Sie digitale Beweisstücke auf. Um eine maximale Wiederherstellung von Daten zu sichern und digitale Beweisstücke zur Unterstützung der Argumentation bei zivil- oder strafrechtlich relevanten Streitigkeiten aufzunehmen, führen Sie die folgenden Schritte aus: 1. Vorbereiten Erstellen Sie vor einem Sicherheitszwischenfall ein spezielles Toolkit zur Sicherung und Prüfung digitaler Beweisstücke. 2. Beweisstücke aufnehmen Behandeln Sie das System als Tatort und prüfen Sie, ob und in welcher Weise es verändert wurde. 3. Authentifizieren Erzeugen Sie mathematische Validierungscodes für jedes aufgenommene Beweisstück. 4. Beweisstücke untersuchen Suchen Sie nach Informationen, die verborgen oder verdeckt sein könnten. 5. Beweisstücke analysieren Prüfen Sie die Spuren im Hinblick auf die Wichtigkeit und ihren Wert für den Fall. 6. Beweisstücke dokumentieren und protokollieren Erstellen Sie eine Dokumentation und protokollieren Sie die Beweisstücke parallel zu den anderen Schritten Axzo Press. ALLE RECHTE VORBEHALTEN. Kein Teil dieser Publikation darf ohne vorherige schriftliche Genehmigung des Herausgebers reproduziert, abgeschrieben oder in irgendeiner Form, grafisch, elektronisch, oder mechanisch, einschließlich Fotokopien, Aufnahmen, Aufzeichnungen, Webvertrieb oder Informationsspeicherung und -wiederherstellungssystemen, verwendet werden. Falls Sie zusätzliche Informationen Security+ ist ein Warenzeichen der CompTIA, Inc. ActiveX und Windows sind eingetragene Warenzeichen der Microsoft Corp. Java und JavaScript sind Warenzeichen der Sun Microsystems, Inc. SSH und TECTIA sind eingetragene Warenzeichen der SSH Communications Security Corp. Cisco Systems ist ein eingetragenes Warenzeichen der Cisco Systems, Inc. ISBN-10: ISBN-13: