IT-Security Projekt - Cheatsheet.pdf

IT-Security Projekt - Cheatsheet
IT-Security Projekt - Cheatsheet Architektur von Netzwerken und deren Schwachstellen Definition: Architektur von Netzwerken umfasst das Design und die Struktur von Netzwerken, inklusive physischer und logischer Topologien. Schwachstellen betreffen die potenziellen Sicherheitslücken innerhalb dieser Architektur. Details: Schichtenmodell (OSI-Modell, TCP/IP-Modell) Zugangs- und Authentifizierungsmec...

© StudySmarter 2024, all rights reserved.

IT-Security Projekt - Cheatsheet

Architektur von Netzwerken und deren Schwachstellen

Definition:

Architektur von Netzwerken umfasst das Design und die Struktur von Netzwerken, inklusive physischer und logischer Topologien. Schwachstellen betreffen die potenziellen Sicherheitslücken innerhalb dieser Architektur.

Details:

  • Schichtenmodell (OSI-Modell, TCP/IP-Modell)
  • Zugangs- und Authentifizierungsmechanismen
  • Datenflusssteuerung und Verkehrsanalyse
  • Anfälligkeit für Angriffe (DDoS, Man-in-the-Middle, Phishing)
  • Sicherheitsprotokolle (SSL/TLS, IPSec)
  • Firewalls und Intrusion Detection/Prevention Systeme
  • Netzwerksegmentierung zur Schadensminimierung

Implementierung von Virtual Private Networks (VPNs)

Definition:

Implementierung von Virtual Private Networks (VPNs): Erstellung sicherer Netzwerkverbindungen über unsicheres Internet durch Verschlüsselung und Tunneling.

Details:

  • Sicherheitsprotokolle: IPSec, SSL/TLS
  • VPN-Typen: Remote-Access, Site-to-Site
  • Verschlüsselungsalgorithmen: AES, RSA
  • Tunnelingprotokolle: PPTP, L2TP, OpenVPN
  • Autorisierungsmethoden: Zertifikate, Benutzername/Passwort
  • Netzwerkadressen: Private und öffentliche IP-Adressen

Symmetrische und asymmetrische Verschlüsselungsverfahren

Definition:

Symmetrische und asymmetrische Verschlüsselungsverfahren sind Methoden zum Schutz von Informationen durch Kryptoalgorithmen.

Details:

  • Symmetrische Verschlüsselung: Derselbe Schlüssel für Ver- und Entschlüsselung.
  • Beispiele: AES, DES
  • Effizienter, aber Schlüsselverteilung problematisch.
  • Asymmetrische Verschlüsselung: Verwendet öffentlich-private Schlüsselpaare.
  • Beispiele: RSA, ECC
  • Sicherer in der Verteilung, aber rechenintensiver.
  • Verwendete Gleichungen:
  • Symmetrische Verschlüsselung: \( C = E(K, P) \) \( P = D(K, C) \)
  • Asymmetrische Verschlüsselung: \( C = E(K_{\text{pub}}, P) \) \( P = D(K_{\text{priv}}, C) \)

Bedrohungsmodellierung und Risikobewertung

Definition:

Prozess zur Identifikation, Analyse und Bewertung von Bedrohungen und Risiken in IT-Systemen.

Details:

  • Ziele: Reduktion und Prävention von Sicherheitsrisiken
  • Schritte:
    • 1. Identifikation: Bedrohungen und Schwachstellen erfassen
    • 2. Analyse: Wahrscheinlichkeit und Auswirkungen bewerten
    • 3. Bewertung: Risiken priorisieren und Maßnahmen definieren
  • Methoden: STRIDE, PASTA, etc.
  • Quantitative vs. qualitative Analyse
  • Formel für Risiko: Risiko = Bedrohung x Schwachstelle x Konsequenz

Planung und Durchführung von Penetrationstests

Definition:

Planung und Durchführung von Arbeitsschritte und Methodik zur Identifikation von Schwachstellen durch Simulation von Angriffen auf IT-Infrastruktur.

Details:

  • Zielsetzung festlegen
  • Testszenarien definieren (extern, intern, webapplikationen, etc.)
  • Rechtliche und ethische Rahmenbedingungen beachten
  • Durchführung des Tests: Informationssammlung, Scannen, Schwachstellenanalyse, Exploitation
  • Ergebnisanalyse & Reporting: Schwachstellenbewertung und Handlungsempfehlungen
  • Nachtests nach Beseitigung der Schwachstellen

Sichere Kommunikationsprotokolle wie SSL/TLS und IPSec

Definition:

SSL/TLS: Sichere Kommunikation über das Internet durch Verschlüsselung des Datenverkehrs. IPSec: Sicherung von IP-Kommunikation durch Authentifizierung und Verschlüsselung.

Details:

  • SSL/TLS: Sichere Schicht für Transportprotokolle wie HTTP
  • Verschlüsselt Datenströme mit symmetrischen und asymmetrischen Kryptographiealgorithmen
  • SSL: veraltet, TLS: aktueller Standard
  • Nutzung von Zertifikaten für Authentifizierung
  • IPSec: Netzkopplung über VPNs
  • Sichert auf Netzwerkebene (Layer 3)
  • Zwei Hauptmodus: Transportmodus, Tunnelmodus
  • Nutzt Authentication Header (AH) und Encapsulation Security Payload (ESP)
  • Kombination mit IKE für Schlüsselaustausch und Sicherheitsassoziationen

Hashfunktionen und deren Anwendungen

Definition:

Kryptografische Hashfunktionen sind Funktionen, die eine Eingabe beliebiger Länge in eine feste Länge komprimieren und oft in IT-Sicherheitsprojekten verwendet werden.

Details:

  • Eigenschaften: Deterministisch, effizient berechenbar, Kollision-resistent, Vorbildresistent, zweipräimage-resistent
  • Beispiele: MD5, SHA-1, SHA-256
  • Anwendungen: Passwortspeicherung, Datenintegritätsprüfung, digitale Signaturen

Erstellung von Exploits und Sicherheitslückenanalysen

Definition:

Erstellung von Exploits und Sicherheitslückenanalysen bezieht sich auf das Identifizieren, Testen und Ausnützen von Schwachstellen in IT-Systemen, um deren Sicherheit zu evaluieren.

Details:

  • Ziel: Sicherheitslücken finden, bevor bösartige Akteure dies tun
  • Methoden: Manuelles Testen, automatisierte Tools, Fuzzing
  • Schritte:
    • Information Gathering: Systemanalyse und Identifizierung potenzieller Angriffspunkte
    • Vulnerability Analysis: Bewertung der Schwachstellen
    • Exploit Development: Entwicklung von Code für Schwachstellenausnutzung
    • Reporting: Dokumentation und Berichterstattung der Ergebnisse
Sign Up

Melde dich kostenlos an, um Zugriff auf das vollständige Dokument zu erhalten

Mit unserer kostenlosen Lernplattform erhältst du Zugang zu Millionen von Dokumenten, Karteikarten und Unterlagen.

Kostenloses Konto erstellen

Du hast bereits ein Konto? Anmelden