Angewandte IT-Sicherheit - Cheatsheet.pdf

Angewandte IT-Sicherheit - Cheatsheet
Angewandte IT-Sicherheit - Cheatsheet Symmetrische und asymmetrische Verschlüsselungsverfahren Definition: Symmetrische: gleicher Schlüssel für Ver- und Entschlüsselung. Asymmetrische: unterschiedlicher Schlüssel (öffentlich/privat) für Ver- und Entschlüsselung. Details: Symmetrische Verschlüsselung: Schnell, effizient, Schlüsselverteilung problematisch. Formel: Verschlüsselung: \( E_k(M) = C \) u...

© StudySmarter 2024, all rights reserved.

Angewandte IT-Sicherheit - Cheatsheet

Symmetrische und asymmetrische Verschlüsselungsverfahren

Definition:

Symmetrische: gleicher Schlüssel für Ver- und Entschlüsselung. Asymmetrische: unterschiedlicher Schlüssel (öffentlich/privat) für Ver- und Entschlüsselung.

Details:

  • Symmetrische Verschlüsselung: Schnell, effizient, Schlüsselverteilung problematisch.
  • Formel: Verschlüsselung: \( E_k(M) = C \) und Entschlüsselung: \( D_k(C) = M \)
  • Bekannte Algorithmen: AES, DES
  • Asymmetrische Verschlüsselung: Sicherer Schlüsselaustausch, langsamer, Schlüsselpaare (öffentlich und privat).
  • Formel: Verschlüsselung: \( E_{K_{public}}(M) = C \) und Entschlüsselung: \( D_{K_{private}}(C) = M \)
  • Bekannte Algorithmen: RSA, ECC

Firewalls und Intrusion-Detection-Systeme

Definition:

Firewalls kontrollieren ein- und ausgehenden Netzwerkverkehr basierend auf vordefinierten Sicherheitsregeln; Intrusion-Detection-Systeme (IDS) überwachen Netzwerke und Systeme auf schädliche Aktivitäten oder Regelverletzungen.

Details:

  • Arten von Firewalls: Paketfilter, Stateful Inspection, Proxy-Firewalls, Next-Gen Firewalls (NGFW)
  • Firewall-Regeln: Zulassen oder Blockieren von Verkehr basierend auf IP-Adressen, Ports, Protokollen
  • IDS-Typen: Netzwerkbasiertes IDS (NIDS), Hostbasiertes IDS (HIDS)
  • Funktion: IDS identifiziert verdächtige Aktivitäten durch Mustererkennung und Anomalieerkennung
  • IDS-Methoden: Signaturbasierte Erkennung, Anomaliebasierte Erkennung
  • Beispiel: Snort, ein verbreitetes Netzwerk-IDS, das sowohl signatur- als auch anomaliebasierte Erkennung verwendet
  • Kombination: Intrusion Prevention Systems (IPS) setzen IDS in Verbindung mit aktiven Präventionsmaßnahmen

TLS/SSL und HTTPS

Definition:

TLS (Transport Layer Security) und SSL (Secure Sockets Layer) sind Protokolle zur Verschlüsselung der Kommunikation über Computernetzwerke. HTTPS (Hypertext Transfer Protocol Secure) ist HTTP über TLS/SSL zur sicheren Übertragung von Daten im Web.

Details:

  • SSL ist der Vorgänger von TLS
  • Verwendet symmetrische und asymmetrische Verschlüsselung
  • Schützt Daten vor Abhören und Manipulation
  • Authentifiziert die Identität von Servern
  • HTTPS = HTTP + TLS/SSL
  • Port 443 für HTTPS

Erkennen und Vermeiden von gängigen Schwachstellen (z.B. SQL-Injection, Cross-Site-Scripting)

Definition:

Erkennen und Vermeiden von Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS) sind Kernelemente der angewandten IT-Sicherheit.

Details:

  • SQL-Injection: Böswillige SQL-Befehle in Datenbankabfragen einschleusen. Vermeiden durch Prepared Statements und Eingabevalidierung.
  • XSS: Ausführung von Scripts im Browser durch manipulierte Eingaben. Vermeiden durch Kontext-spezifisches Escaping und Content Security Policy (CSP).
  • Weitere Schwachstellen: Buffer Overflow, CSRF (Cross-Site Request Forgery), etc.
  • Allgemeine Maßnahmen: Eingabe- und Ausgabevalidierung, sichere Kodierung, Penetrationstests.

Digitale Signaturen und Zertifikate

Definition:

Digitale Signaturen: Authentifizierung von Daten durch kryptographische Algorithmen.Zertifikate: Digitale Dokumente zur Verifizierung der Identität.

Details:

  • Digitale Signatur erzeugen: Hashfunktion (z.B. SHA-256) und asymmetrische Verschlüsselung (z.B. RSA, ECC).
  • Verifikation: Öffentlicher Schlüssel des Signaturgebers.
  • X.509-Zertifikat: Standard für digitale Zertifikate.
  • Zertifizierungsstelle (CA): Vertrauenswürdiger Dritter, der Zertifikate ausstellt.
  • Zertifikatskette: Vertrauenspfad von Root-CA zu Endbenutzer-Zertifikat.
  • Checks: Gültigkeit des Zertifikats, Widerrufslisten (CRL), Online Certificate Status Protocol (OCSP).

VPNs und sichere Kommunikationskanäle

Definition:

Verwendung von VPNs zur Schaffung sicherer, verschlüsselter Tunnel für die Datenübertragung über unsichere Netzwerke.

Details:

  • Verschlüsselung: AES, RSA für die Datenintegrität und Vertraulichkeit.
  • Protokolle: OpenVPN, IPsec, L2TP/IKEv2.
  • Authentifizierung: Zwei-Faktor, Zertifikate.
  • VPN-Typen: Site-to-Site, Remote-Access.
  • Sicherheitsvorteile: Schutz vor Abhören, Man-in-the-Middle-Angriffen.

End-to-End-Verschlüsselung in Messaging-Protokollen

Definition:

End-to-End-Verschlüsselung sorgt dafür, dass Nachrichten nur von Sender und Empfänger gelesen werden können.

Details:

  • Verhindert unbefugten Zugriff, auch durch den Serviceanbieter.
  • Verwendet asymmetrische Kryptographie.
  • Öffentliche Schlüssel werden zum Verschlüsseln verwendet, private Schlüssel zum Entschlüsseln.
  • Häufig eingesetzte Protokolle: Signal, WhatsApp.
  • Sicherheitsaspekte: Schlüsselaustausch, Forward Secrecy, Authentizität der Schlüssel.
  • Formel: Verschlüsselung: E_k(m), Entschlüsselung: D_k(c)

Werkzeuge für statische und dynamische Codeanalyse

Definition:

Werkzeuge zur Überprüfung und Verbesserung der Codequalität; statische Analyse ohne Ausführung, dynamische Analyse während der Laufzeit.

Details:

  • Statische Codeanalyse: Überprüfung des Quellcodes auf Syntaxfehler, Stilverstöße und potentielle Sicherheitslücken ohne Ausführung.
  • Dynamische Codeanalyse: Laufzeitanalyse zur Erkennung von Logikfehlern, Sicherheitslücken und Performanceproblemen.
  • Beliebte Werkzeuge:
    • Statisch: SonarQube, ESLint, PMD
    • Dynamisch: Valgrind, Dynatrace, JUnit
  • Ziel: Erhöhung der Softwarequalität und Sicherheit durch frühzeitige Fehlererkennung.
Sign Up

Melde dich kostenlos an, um Zugriff auf das vollständige Dokument zu erhalten

Mit unserer kostenlosen Lernplattform erhältst du Zugang zu Millionen von Dokumenten, Karteikarten und Unterlagen.

Kostenloses Konto erstellen

Du hast bereits ein Konto? Anmelden