IT-Sicherheit2 - VL3.1

Description

Flashcards on IT-Sicherheit2 - VL3.1, created by B erry on 07/07/2024.
B erry
Flashcards by B erry, updated 5 months ago
B erry
Created by B erry 5 months ago
0
0

Resource summary

Question Answer
Defense in Depth ist ein Ansatz zur Cybersicherheit, bei dem eine Reihe von Verteidigungsmechanismen nacheinander aufgebaut werden, um wertvolle Daten und Informationen zu schützen Schichten von Maßnahmen können die Wahrscheinlichkeit eines Angriffserfolgs / Single Point of Failure verringern
Kritische Informationswerte sind auf verschiedenen Ebenen bedroht durch Benutzer während Nutzung durch Software, die Daten verarbeitet durch Hardware, auf der sie gespeichert sind durch Umgebung, in der sie sich befinden bei Übertragung über die Netzwerkinfrastruktur
Bedrohungen kritischer Informationswerte
Schwachstellen kritischer Informationswerte
Prädiktive Maßnahmen den aktuellen Stand in Bezug auf die Informationssicherheit verstehen
Vorbeugende Maßnahmen Schutz vor potenziellen Bedrohungen (auf technischer, organisatorischer oder Prozessebene)
Erkennende Maßnahmen wenn Vorfälle passieren, diese schnell erkennen
Reaktive Maßnahmen schließen an die Erkennung an und helfen, Vorfälle zu analysieren, schadensminimierend zu reagieren und die Systeme wiederherzustellen
Zugriffskontrolle schränkt Zugriff auf Informationswerte auf autorisierte Personen oder Systeme ein Allg. Use Cases: Windows/Websites einloggen Nicht jeder Informationswert (Funktion, Daten) von beliebigen Personen/Systemen zu nutzen (nur autorisierte Personen/Systeme sollen Zugriff haben; es kann verschiedene Berechtigungsebenen geben) Use Cases IoT: Auto -Schlüssel zum Starten, Produktion - Steuerung Typ. Abwehrmaßnahmen: Passwörter, Chipkarten, Benutzerberechtigungen Typ. Angriffe: Passwort knacken, Diebstahl, Netzwerk-Sniffing auch genannt: Identitäts- und Zugriffsmanagement (IAM)
Subjekt (subject) aktiver (handelnder) Teil, der Zugriff auf ein Objekt oder die Daten in einem Objekt verlangt
Objekt (object) passiver Teil, auf den zugegriffen wird oder der Ziel einer Handlung ist
Zugriff (access) Fähigkeit eines Subjekts, etwas zu tun (z.B. Lesen, Schreiben). Auch Fluss der Informationen zwischen Subjekt und Objekt.
Zugriffskontrolle (access control) Prozess der Vermittlung des Zugriffs von Subjekten auf bestimmte Objekte.
Sicherheitsrichtlinien (security policy) Regelt, welcher Zugriff von Subjekten auf Objekte erlaubt ist.
Drei Schritte der Zugriffskontrolle 1. Identifizierung (Welche Identität wird beansprucht?) 2. Authentifizierung (Kann die Identität verifiziert werden?) 3. Autorisierung (Was darf dieses Subjekt?)
1. Identifizierung Subjekt liefert Informationen über eine behauptete Identität Kontrollinstanz kann zwischen verschiedenen IDs unterscheiden (Nutzername, Kontonummer...) Ergebnis: Zugriffskontrollinstanz weiß, welche Identität das Subjekt behauptet zu haben
2. Authentifizierung Verifiziert ID eines Subjekts Authentisierung: Subjekt authentisiert sich selbst Authentifizierung: Kontrollinstanz authentifiziert Subjekt
3. Autorisierung Zugriffskontrollinstanz hat Subjekt bereits authentifiziert auf welche Objekte wie zugegriffen werden darf (z.B. nur lesend) basiert auf Regeln der jeweiligen Organisation, die in einer Sicherheitsrichtlinie dokumentiert sein sollten kann auf verschiedene Weise implementiert werden (=> Zugriffskontrollmodelle)
Authentifizierung Subjekt muss seine Identität beweisen Verschiedene Methoden: Wissen (something you know => Menschen), z.B. Passwort Besitz (something you have => Menschen oder Systeme), z.B. Schlüssel Inhärent (something you are => Menschen), Biometrie Standort (somewhere you are => Menschen oder Systeme), physikalischer oder logischer Standort
Wissensbasierte Authentifizierung Faktor, der nur dem Benutzer bekannt sein sollte am weitesten verbreitete Methode zur Authentifizierung gilt nicht als sicher (viele Werkzeuge um Passwörter anzugreifen, keine notwendige Disziplin für ein akzeptables Sicherheitsniveau)
Passwortangriffe & Gegenmaßnahmen Social Engineering (Phishing, Shoulder Surfing...) - Awareness-Schulung, Sicherheitsrichtlinien Stehlen von Passwörtern (unsicher gespeichert, Abfangen...) - Verschlüsselung, Training, Sicherheitsrichtlinien Passwort knacken (Brute-Force-/Wörterbuch-angriff) - Sperre/Verzögere nach n Fehlversuchen, Salting, Peppering
Password Cracking erlaubt es Passwörter aus Daten zu erlangen, die Rechner-Systeme gespeichert oder übertragen haben Grund: Wiederherstellung, unautorisierten Zugriff erhalten, schwache Passwörter identifizieren, Beweise sicherstellen Ansätze: Direkte Angriffe, Berechnung im Voraus
Direkte Angriffe - Raten Hilfreich: Kenntnis Benutzerumfeld (=> Social Engineering) besonders dann effektiv, wenn System "Self-Service" zum Zurücksetzen des Passworts bietet
Dictionary Attacks Testen einer bestimmten Menge von Passwörtern Wörterbuch als vorgefertigte Liste von bekannten Worten häufig erfolgreich, weil viele Benutzer kurze Passwörter wählen oder (in leicht veränderter Form) in Wörterbüchern stehen
Brute Force Attacks nutzen Rechen-Power systematische Suche nach Passwort: Online Attack: schwierig (Logging -> Sperrung/Verzögerung) Offline Attack: am besten liegt Hash-Wert des Passworts vor -> hashen möglicher Passwörter und Vergleich mit vorhandenem Hash) Immer erfolgreich ABER: kann lange dauern
John the Ripper kostenlose SW zum Knacken von Passwörtern unterstützt Wörterbuch-Angriff (nimmt Textstrings aus einer Wortliste und testet diese) und Brute-Force (verwendet Zeichenhäufigkeitstabellen)
Passwort-Topologie die häufigsten Topologien bestehen aus u = Großbuchstabe, l = Kleinbuchstabe & d = Ziffer)
Passwort Angriffe - Beispiele Phishing (Fälschungen von Websites ähneln Original stark; häufige Unterschiede: URL falsch, fehlende Verschlüsselung) Keylogger (schreibt Tastatureingaben mit)
Regeln für sichere Passwörter Kombination verschiedener Zeichen angemessene Lebensdauer (Empfehlung: nur bei Verdacht auf Gefährdung ändern) nicht wiederverwenden niemals teilen
Serverseitige Passwortverifizierung ist Kombination aus Benutzername und Passwort gültig? Umsetzung 1 (unsicher): Klartext von Benutzername & Passwort in der DB (Kompromittierung führt zum Diebstahl aller Konten) Umsetzung 2 (auch nicht sicher): gehashte Passwörter in DB (Knacken mit vorberechneten Tabellen) Umsetzung 3 (besser): Passwort + Salt hashen Umsetzung 4 (Stand der Technik): Geheimen Schlüssel (außerhalb DB) hinzufügen (Peppering)
Vorberechnete Tabellen Einfache Form: vorherige Berechnung der Hash-Werte des Wörterbuchs bei Brute-Force steigt Menge der Paare von Hash-Wert & Passwort -> Kompromiss zwischen Speicherplatz und Angriffszeit notwendig (Time-Memory-Tradeoff)
Reduktionsfunktion bildet Hashes wieder (pseudo-)zufällig auf Passwörter ab
Hash-Kette k-fache abwechselnde Anwendung von Hash-Funktion H und Reduktionsfunktion R nur erstes und letztes Passwort wird gespeichert ggb. Hash-Wert: abwechselnde Anwendung von R & H -> Endwert gefunden? Passwort liegt vor dem ggb. Hash-Wert in der Kette -> Endwert nicht gefunden? Passwort nicht in Tabelle
Rainbow Table Vermeidung von überlappenden Ketten durch unterschiedliche Reduktionsfunktionen Suche nach Passwort muss dies berücksichtigen
Schwaches Passwort-Hashing Passwort-Hashing schlecht gewählt oder implementiert => System angreifbar Bsp.: LM Hash (Passwort wird gehasht und dann in zwei Gruppen aufgeteilt)
Weitere passwortbezogene Sicherheitsprobleme Anmeldefunktionen und deren Fehlermeldungen sollten keine Hinweise geben, die Angreifern helfen (z.B. "falscher Benutzer oder Passwort" statt "falscher Benutzer"/"falsches Passwort" / "wenn Adresse gültig, wird Reset-Link gesendet") Prozesse und Regeln für Funktionen "Passwort vergessen" oder "Passwort zurücksetzen" (sicherer Kanal)
Wissensbasierte Passwörter Geheimnis, das auf einer benutzerbekannten Tatsache beruht (z.B. Geburtsname der Mutter) oft zusätzlicher Mechanismus beim telefonischen Helpdesk-Support
Einmal-Passwörter wird nur einmal zur Authentifizierung verwendet Benutzer & Server kennen dasselbe Einmal-Passwort Verschiedene Möglichkeiten der Verteilung (z.B. TAN im Online Banking) kombiniert "Wissen" und "Besitz"
Biometrische Authentifizierung verifiziert Identität basierend auf (fast) unveränderlichen und einzigartigen physiologischen Merkmalen (z.B. Fingerabdruck) Erstmessung & Speicherung eines Referenztemplate präsentierte Merkmale extrahieren, Template berechnen und mit Referenztemplate vergleichen (stimmt selten exakt)
Falsche Rückweisungsrate (FRR) Prozentsatz der autorisierten Benutzer, die vom System zurückgewiesen werden
Falsche Akzeptanzrate (FAR) Prozentsatz der nicht autorisierten Benutzer, die vom System akzeptiert werden
FAR vs. FRR Beeinflusst durch (konfigurierbare) Systemempfindlichkeit (Entscheidungsschwellwerte)
Besitzbasierte Authentifizierung Identitätsnachweis durch Präsentation eines eindeutigen Gegenstands (physisch oder virtuell) z.B. Ausweis, Krypto-Schlüssel Gegenstand braucht besonderen Schutz
Sicherheits-Token Hardware-Komponente als Teil einer Authentifizierungslösung (speichert digitalen Schlüssel oder generiert Einmal-Passwort) Beispiel: Smartcard meistens geschützt durch einen zweiten Faktor (z.B. Pin, Biometrie)
Besitz eines Geheimnisses System muss beweisen, dass es im Besitz eines Geheimnisses ist (Challenge / Response) im Gerät gespeichert
Multi-Faktor-Authentifizierung um die Sicherheit zu erhöhen, können mehrere Faktoren kombiniert werden
Modelle Zugriffskontrolle oft unterschätzt Wer darf auf was in welcher Weise zugreifen? z.B. DAC, MAC, RBAC, ABAC
Discretionary Access Control (DAC) benutzerbestimmbare Zugriffskontrolle Systembenutzer bestimmen, welche Benutzer Zugriff auf Objekte unter ihrer Kontrolle bekommen häufig in Form von Zugriffskontroll-Listen (Access Control Lists) einfach & flexibel ABER: verlässt sich auf den richtigen Umgang von Zugriffsrechten durch Objektbesitzer & denjenigen, denen Zugriff gewährt wurde
Mandatory Access Control (MAC) systembestimmte Zugriffskontrolle Kontrollregeln von einer zentralen Einheit (Berechtigungen nur durch Admins änderbar) typischerweise in Kategorien eingeteilt (ggf. +"Need to know") Klassifizierung des Objekts (Bsp.: Vertraulich - Eingeschränkt - Intern - Öffentlich)
Prinzip des geringsten Privilegs einem Subjekt werden nur die Privilegien gewährt, die es für die Erfüllung seiner Aufgabe benötigt wenn Subjekt Zugriffsrechte nicht mehr benötigt, sollten diese wieder entzogen werden
Role-Based Access Control (RBAC) rollenbasierte Zugriffskontrolle Benutzer werden in Rollen eingeteilt Zugriffsrechte werden an Rollen vergeben, nicht an einzelne Benutzer
Umgebung & Berechtigung um Zugriffsentscheidungen weiter zu verfeinern, können Umweltattribute berücksichtigt werden (physischer/logischer Standort, Zeitfenster, Bedrohungsstufe)
Attribute-Based Access Control (ABAC) attributbasierte Zugriffskontrolle fügt Attribute von Subjekten, Objekten, Umgebungsbedingungen dem Entscheidungsprozess hinzu
Berechtigungsangriff direkte Objektreferenz (z.B. account-Parameter) Zugriff auf Funktionen (z.B. Modifizierung der Rolle in URL)
Spoofing Ausgeben als eine andere Person durch verfälschte Daten, um sich einen unrechtmäßigen Vorteil zu verschaffen
IP-Spoofing Senden von Paketen mit gefälschter Quell-IP-Adresse funktioniert nur in eine Richtung (Antworten an Besitzer der gefälschten IP) Wie fälscht man eine IP-Adresse? z.B. Tools wie Nmap
MAC-Spoofing MAC-Adresse einer Netzwerkkarte ändern Änderung auf Betriebssystemebene (ursprüngliche MAC kann nicht geändert werden, da in HW)
DNS-Spoofing Fälschung von DNS-Antworten Zuordnung zwischen Hostnamen und zugehöriger IP-Adresse fälschen z.B. Umleitung auf gefälschte Website
DNS-Spoofing - Cache Poisoning Angreifer muss schneller eine passende DNS-Antwort(IP-Adresse & Port des DNS-Servers & des Hosts, Referenznr der Anfrage (16-Bit), aufzulösender Hostname) senden als eigentlicher DNS-Server Angreifer schleust gefälschte Informationen in den Cache eines DNS-Servers (mehr Anfragen werden auf Fälschung umgeleitet)
Show full summary Hide full summary

Similar

States of Matter
lauren_nutty
An Inspector calls Themes
anya14
From Tsardom to communism- Russia
jk.99
English Language Terms
ekimlauretta
Religious Language
michellelung2008
GCSE Chemistry C2 topic notes
imogen.shiels
Working memory model
T W
All AS Maths Equations/Calculations and Questions
natashaaaa
Physics: section 7 - radioactivity and particles
James Howlett
'Love and Relationships' Poem Themes
Lindis Dixon
VO QUALI uni wien
Jules D