IT-Sicherheit - Cheatsheet.pdf

Grundlagen der Netzwerksicherheit

Definition:

Basismaßnahmen und Mechanismen, um Netzwerksysteme vor unbefugtem Zugriff, Missbrauch, Veränderung und Zerstörung zu schützen.

Details:

• Vertraulichkeit: Schutz der Daten vor unbefugtem Zugriff, z.B. durch Verschlüsselung (\textbf{AES}, \textbf{RSA}).
• Integrität: Sicherstellung der Datenkonsistenz, z.B. mittels \textbf{Hashfunktionen} (\textbf{SHA-256}).
• Authentizität: Verifizierung der Identität der Kommunikationspartner. Methoden: \textbf{digitale Zertifikate}, \textbf{Public Key Infrastructure (PKI)}.
• Verfügbarkeit: Sicherstellen, dass Daten und Services immer zugänglich sind. Abwehr von \textbf{DDoS-Attacken}, \textbf{Redundanz}, \textbf{Backup-Systeme}.
• Sicherheitsprotokolle: \textbf{SSL/TLS}, \textbf{IPsec}, \textbf{SSH} zur sicheren Datenübertragung.
• Zugangskontrollen: \textbf{Firewalls}, \textbf{Intrusion Detection Systeme (IDS)}, \textbf{Intrusion Prevention Systeme (IPS)}.
• Sicherheitsrichtlinien und -management: ISO/IEC 27001 Standards für Informationssicherheitsmanagement.

Sicherheitsprotokolle: SSL/TLS

Definition:

SSL/TLS sorgt für sichere Kommunikationskanäle im Internet und schützt Daten durch Verschlüsselung und Authentifizierung.

Details:

• SSL (Secure Sockets Layer) wird durch TLS (Transport Layer Security) abgelöst
• Verwendung von asymmetrischer Kryptografie für Schlüsselaustausch
• Verwendung von symmetrischer Kryptografie für Datentransfer
• Ermöglicht Datenintegrität und Vertraulichkeit
• Schrittweise TLS Handshake-Phase
• Authentifizierung durch digitale Zertifikate
• Verwendungen: HTTPS, E-Mail, VPNs

Symmetrische und asymmetrische Verschlüsselung

Definition:

Symmetrische Verfahren nutzen den gleichen Schlüssel für Ver- und Entschlüsselung. Asymmetrische Verfahren verwenden ein Schlüsselpaar (öffentlicher Schlüssel für Verschlüsselung, privater Schlüssel für Entschlüsselung).

Details:

• Symmetrische Verschlüsselung: Schneller, aber sicherer Schlüsselaustausch nötig
• Asymmetrische Verschlüsselung: Schlüsseltausch entfällt, aber langsamer
• Beispiele symmetrisch: AES, DES
• Beispiele asymmetrisch: RSA, ECC
• Sicherheit symmetrisch: Hängt von der Schlüsselgröße ab (z.B. 256 Bit bei AES)
• Sicherheit asymmetrisch: Hängt von der Komplexität der mathematischen Probleme (z.B. Faktorisierung bei RSA) ab

Hash-Funktionen und digitale Signaturen

Definition:

Hash-Funktionen komprimieren Daten auf fixe Länge. Digitale Signaturen gewährleisten die Authentizität und Integrität von Nachrichten.

Details:

• Hash-Funktion: Einwegfunktion, die Eingabedaten beliebiger Länge auf eine fixe Bitlänge abbildet.
• Eigenschaften einer Hash-Funktion: Determinismus, Schnelligkeit, Vorabbildresistenz, Kollisionsresistenz, zweite Vorabbildresistenz.
• Bekannte Hash-Funktionen: SHA-1, SHA-256, MD5 (obsolet).
• Digitale Signatur: Kombination aus Hashing und asymmetrischer Verschlüsselung.
• Erstellung: Hash der Nachricht wird mit dem privaten Schlüssel verschlüsselt.
• Verifikation: Entschlüsselung des Hashwerts mit öffentlichem Schlüssel und Vergleich mit berechnetem Hash der Nachricht.
• Schützt vor Manipulation und stellt die Urheberschaft sicher.

Sicherheitslücken in Webanwendungen: SQL-Injections und XSS

Definition:

Sicherheitslücken: Fehler oder Verwundbarkeiten, die ausgenutzt werden können. SQL-Injection: bösartige SQL-Befehle in Eingabefelder einschleusen. XSS: JavaScript in HTML-Seiten einfügen, um Daten zu stehlen oder Benutzeraktionen zu manipulieren.

Details:

• SQL-Injection:
• Anfällig: unsichere Datenbankzugriffe
• Abwehr: Prepared Statements, Input Validierung
• Typischer Angriff: SELECT * FROM users WHERE username = 'admin' --' AND password = '';
• XSS:
• Anfällig: ungesicherte Benutzereingaben
• Abwehr: Output Encoding, Content Security Policy (CSP)
• Typischer Angriff:

Content Security Policy (CSP)

Definition:

Mittel zur Prävention von Cross-Site-Scripting (XSS), Clickjacking und anderen Code-Injection-Angriffen.

Details:

• Erstellt durch die Definition von erlaubten Inhaltsquellen.
• Definiert in HTTP-Header Content-Security-Policy.
• Beispiele für Direktiven: default-src, script-src, style-src.
• Unterstützt 'self', 'none', und 'unsafe-inline' Schlüsselwörter.
• Fehlerbehebungstool: CSP-Berichts-URI im Header spezifizieren.
• LaTeX Beispiel: \texttt{default-src 'self'; script-src 'self' https://example.com}

Risikobewertung und -analyse

Definition:

Bewertung und Analyse von Sicherheitsrisiken in IT-Systemen zur Identifikation, Bewertung und Priorisierung.

Details:

• Schritte: Identifikation, Bewertung, Priorisierung
• Risiko: Wahrscheinlichkeit × Schadensausmaß
• Qualitative vs. quantitative Methoden
• Tools: Risiko-Matrix, FMEA
• Ziel: Minimierung von Risiken

Anwendungsbeispiele für Verschlüsselung

Definition:

Verschlüsselung schützt Daten vor unbefugtem Zugriff.

Details:

• Web-Kommunikation: HTTPS sichert Datenübertragung.
• E-Mails: PGP und S/MIME für vertrauliche Kommunikation.
• Speicherung: Festplattenverschlüsselung (z.B. BitLocker, VeraCrypt).
• VPNs: Sicherer Fernzugriff auf Netzwerke.
• Ende-zu-Ende-Verschlüsselung: Messaging Apps (z.B. Signal, WhatsApp).