Sicherheit+ Spickzettel

Symmetrisch Identitätsübermittlung – Die anfordernde Stelle Erstellung und Verwaltung von Sicherheitsvereinigungen
Algorithmus Verschlüsselungstyp übermittelt ihre Identität an die CA Einrichtung und Verwaltung kryptografischer Schlüssel
DES Block Registrierung – Die CA registriert die Anfrage und ANGRIFFE
3DES Block überprüft die Identität der Einreichung DOS – Denial of Service
AES (Rijndael) Block Zertifizierung - Die CA erstellt ein Zertifikat, das mit Schlumpf - Basierend auf der ICMP-Echoantwort
Blowfish Block einem eigenen digitalen Zertifikat signiert ist Fraggle - Schlumpfartiger Angriff basierend auf UDP-
IDEE Block Distribution – Die CA veröffentlicht das generierte Paketen Ping Flood - Blockiert den Dienst durch
Zertifikat wiederholte Pings SYN Flood - Wiederholte SYN-
RC2 Block
Verwendung – Die empfangende Stelle ist berechtigt, Anfragen ohne ACK Land – Nutzt TCP/IP-Stacks mit
RC4 Stream
das Zertifikat nur für den vorgesehenen Zweck zu gefälschten SYNs Teardrop – Ein Angriff mit
RC5 Block überlappenden, fragmentierten UDP-Paketen, die nicht
verwenden
RC6 Block richtig zusammengesetzt werden können Bonk – Ein
Widerruf und Ablauf – Das Zertifikat läuft ab oder kann
BESETZUNG Block Angriff von Port 53 mit fragmentierten UDP-Paketen mit
bei Bedarf früher widerrufen werden
MARS Block gefälschten Wiederzusammensetzungsinformationen
Verlängerung – Bei Bedarf kann ein neues
Schlange Block Knickknack – Bonk wie Angriff, aber auf mehreren Ports
Schlüsselpaar generiert und das Zertifikat erneuert
Zweifisch Block werden Hintertür
Kerberos Wiederherstellung – möglich, wenn ein NetBus, hintere Öffnung
SSL Chiffre* schwindelerregender Schlüssel kompromittiert ist, der Spoofing
Halter aber immer noch gültig und vertrauenswürdig ist Prozess, um Daten so aussehen zu lassen, als wären sie
Asymmetrisch - Nicht-Ablehnung von jemand anderem
Archiv – Zertifikate und Benutzer werden gespeichert
Rivest, Shamir & Aldeman Verschlüsselungsalgorithmus Mann in der Mitte
(RSA) Verkehr zwischen 2 Systemen abfangen und ein drittes
Authentifizierung System verwenden, das vorgibt, eines der anderen zu
Diffie-Hellman-Schlüsselaustausch
El Gamal-Verschlüsselungsalgorithmus Kerberos – ticketbasiertes System, symmetrischer sein
Elliptische Kurvenkryptographie (ECC) Schlüssel KDC Wiederholungsangriff
SSL – Handshake* CHAP – Austausch von Hash-Werten verbuchung der erfassten Daten
PKI Verwendete Zertifikate mit einer PKI für asymmetrischen TCP/IP-Hijacking
Schlüssel der Sitzungsstatus wird so geändert, dass legitime
Kerbros Benutzername & Passwort Die häufigste Pakete abgefangen werden und ein Host eines
authentifizierungsserver tokenbasierte Authentifizierung erfordert den Besitz Drittanbieters akzeptable Pakete einfügen kann.
sicherheitsdatenbank einer biometrischen Token-Authentifizierung Mathematische Angriffe
privileg-Server (Schlüssel erraten)
Erraten von Passwörtern, Brute-Force,
Zertifikate Wörterbuchangriffe, Erraten von Anmeldungen und
Hash
X.509 – Öffentlicher Schlüssel des Benutzers, der Passwörtern
Sicherer Hash-Algorithmus
eindeutige Name der CA (Zertifizierungsstelle) und der Schädlicher Code
SHA, SHA-1
Typ des symmetrischen Algorithmus, der für die Viren – Systeme infizieren und Kopien von sich selbst
Algorithmus der Message Digest-Serie
Verschlüsselung verwendet wird. verbreiten
MD2, MD4, MD5
Trojanisches Pferd – Verbergen Sie bösartigen Code in
Schlüsselstärke symmetrisch vs. asymmetrisch SSL scheinbar nützlichen Anwendungen
64 Bit symmetrische Schlüsselstärke = Das Secure Sockets Layer Protocol besteht aus zwei Logikbomben – Trigger unter einer bestimmten
512 Bit asymmetrische Schlüsselstärke Teilen. Zunächst richtet das SSL-Handshake-Protokoll Bedingung Würmer – Selbstreplizierende Formen
112 Bit symmetrische Schlüsselstärke = den sicheren Kanal ein. Als nächstes wird das SSL anderer Arten von bösartigem Code
1792 Bit asymmetrische Schlüsselstärke Application Data Protocol verwendet, um Daten über Java- und Active X-Steuerelement - Wird automatisch
128 Bit symmetrische Schlüsselstärke = den Kanal auszutauschen. 6 Schritte im Handshaking- ausgeführt, wenn es per E-Mail gesendet wird
2304 Bit asymmetrische Schlüsselstärke Prozess. Social Engineering
Menschen manipulieren – der verwundbarste Punkt in
Fernzugriff ISAKMP einem Netzwerk
802.11, VPN, DUN (RADIUS, TACACS, TACACS+, SSL, (Internet Security Association und Key Management
Authentifizierung auf Paketebene über IPSec Layer3 Protocol) verwendet, um authentifiziertes Business Continuity Plan
Schlüsselmanagement und Schlüsselmaterial für Sicherheitsassoziationen auf risiko und Analyse
Zertifikatslebenszyklus geschützte Weise auszuhandeln und bereitzustellen business Impact Analyse
Schlüsselgenerierung – ein öffentliches Schlüsselpaar Authentifizierung von Peers strategische Planung und Minderung
wird von der CA erstellt und gehalten Bedrohungsmanagement schulung und Sensibilisierung Wartung und Audit
Dokumentation und Sicherheitskennzeichnung
Zugriffskontrolle SOAS Drahtlos
MAC, DAC und RBAC (Regel oder Rolle) fächer WAP-Modell – basierend auf WWW-Modell –
objekte Client, Gateway und Originalserver
Grundlegende zugriffsmodi WEP – Kabelgebundene äquivalente Privatsphäre
Firewalls für Netzwerksicherheitsgeräte sicherheitsstufen
Paketfilterung (Layer3)
Proxy-Service Diffie-Hellman-Algorithmus
Schaltungsebene (Layer 3) ein geheimer Schlüsselaustausch über ein
Anwendungsebene (Layer 7) unsicheres Medium ohne vorherige Geheimnisse.
Stateful Inspection (Schicht 7)
Router Aktive Reaktionen der
Pakete zwischen Subnetzen weiterleiten Einbruchserkennung
RIP, IGRP, EIGRP, OSPF, BGP, EGP, IS-IS ■ zusätzliche Informationen sammeln
Schalter ■ die Umgebung verändern
Segment-Broadcast-Netzwerke
■ gegen den Eindringling vorgehen
Bell La-Padula Zugangskontrollmodell Basierend auf Konsole und Sensor
Ports SQL
Port Verwendung aktionen
21 FTP – meist in DMZ
22 SSH IP-Adressen
23 Telnet Klasse A Klasse B Klasse C
25 SMTP 1-127 128-191 192-223
49 TACACS 10.0.0.0 172.16.0.0 – 172.31.0.0 192.168.0.0
53 DNS 255.0.0.0 255.255.0.0 255.255.255.0
67 & 68 DHCP 65,000
80 Http objekte
110 POP3 benutzer
143 IMAP4 Virus
161 SNMP replikationsmechanismus
389 & 636 LDAP Aktivierungsmechanismus
443 Https / SSL ziel
UDP 1701 L2TP
TCP 1723 PPTP
■ Integrität - Dem Empfänger versichern, dass eine Nachricht während der
Übertragung nicht geändert wurde.
stellt sicher, dass alle Daten sequenziert und nummeriert sind.
■ PPTP funktioniert nur über IP.
■ Asymmetrisches Verschlüsselungsschema stützt sich sowohl auf den Sender als
auch auf den Empfänger
verschiedene Schlüssel, um Nachrichten zu verschlüsseln und zu entschlüsseln.
Verschlüsselung und Authentifizierung können ohne gemeinsame Nutzung privater
Schlüssel erfolgen. symmetrische Schlüssel verschlüsseln
■ Die Integrität eines kryptographischen Systems gilt als gefährdet, wenn der private
schlüssel offengelegt wird.
■ WTLS (Wireless Transport Layer Security) bietet Privatsphäre, Datenintegrität und
authentifizierung für Handling-Geräte in einer drahtlosen Netzwerkumgebung.
■ Die Dateiverschlüsselung mit symmetrischer Kryptographie erfüllt die
Authentifizierung
■ Der HAUPTNACHTEIL der symmetrischen Kryptographie ist die
Schlüsselverteilung.
■ SYN Flood - Ein Netzwerkangriff, der TCPs (Transmission Control Protocol)
missbraucht
drei-Wege-Handshake, um Server zu überlasten und legitimen Benutzern den
Zugriff zu verweigern.
■ Wenn ein Benutzer ein Dokument digital signiert, wird ein asymmetrischer
Algorithmus zur Verschlüsselung verwendet
hash-Ergebnisse
■ Geringstes Privileg - muss die Sicherheitsbasis kennen.
■ Die Anwendung von Ingress-Filtern auf Router ist die beste Methode, um IP-
Spoofing zu verhindern
attacken.
■ MD5 (Message Digest 5) - Ein gängiger Algorithmus zur Überprüfung der
Datenintegrität
von einem Remote-Benutzer durch die Erstellung eines 128-Bit-Hash aus einer
Dateneingabe
■ Würmer replizieren sich selbst, Trojaner nicht.
■ Nachrichtenauthentifizierungscodes werden verwendet, um Integrität zu
gewährleisten.
■ Falsch positiv - Falsches Erkennen von autorisiertem Zugriff als Eindringen oder
Angriff.
■ ICMP Quoting - Welche Fingerprinting-Technik stützt sich auf die Tatsache, dass die
Bedienung
systeme unterscheiden sich in der Menge der Informationen, die beim Auftreten von
ICMP-Fehlern (Internet Control Message Protocol) angegeben werden
■ SSL - Protokoll, das typischerweise für die Verschlüsselung des Datenverkehrs
zwischen einem Webbrowser und dem Web verwendet wird
server. Erhältlich in 40- und 128-Bit-Verschlüsselung.
■ IPSec - ein beliebtes VPN (Virtual Private Network) -Protokoll, das bei OSI (Open
Systems Interconnect) Modell Layer 3.
■ Digitale Signaturen bieten Authentifizierung und Nicht-Ablehnung - keine
Vertraulichkeit.
■ DAC (Discretionary Access Control) stützt sich nur auf die Identität des Nutzers bzw.
prozess. Jedes Objekt hat einen Eigentümer, der die volle Kontrolle über die
Zugriffskontrollen des Objekts hat, die vom Dateneigentümer erstellt und verwaltet
werden
■ MAC - Zugriffskontrollen basierend auf Sicherheitsetiketten, die jedem Datenelement
zugeordnet sind, und
jeden Benutzer. Verwenden Sie Sicherheitsstufen, um Benutzer und Daten zu
klassifizieren
■ DEN ist SNMP nicht unterlegen
■ Kerberos - Zeitsynchronisationsdienste für Clients und Server..
■ Ein fehlerhafter MIME-Header (Multipurpose Internet Mail Extensions) kann eine
e-Mail-Server zum Absturz zu bringen.
■ Passive Erkennung - Analyse von Protokolldateien nach Beginn eines Angriffs.
■ die beste verteidigung gegen man in the middle attacks ist starke
verschlüsselung, auth
■ Systeme, die in einem formellen Risikoanalyseprozess identifiziert wurden, sollten in
eine Katastrophe einbezogen werden
wiederherstellungsplan.
■ Zertifikatsrichtlinie - Ein PKI-Dokument (Public Key Infrastructure), das als
fahrzeug, auf dem gemeinsame Interoperabilitätsstandards und gemeinsame
Sicherheitskriterien auf branchenweiter Basis basieren.
■ Pufferüberlauf - sendet mehr Datenverkehr an einen Knoten als erwartet.
■ Differentielle Sicherungsmethoden kopieren nur geänderte Dateien seit der letzten
vollständigen Sicherung
■ IM ist ein Peer-to-Peer-Netzwerk, das den meisten Organisationen praktisch keine
Kontrolle über
es. Am anfälligsten für Schnüffeln
■ Dezentrale Berechtigungsverwaltungsumgebung, Benutzerkonten und Passwörter
werden auf jedem einzelnen Server gespeichert.
■ Ein FTP-Bounce-Angriff wird im Allgemeinen verwendet, um eine Verbindung
zwischen dem FTP-
server und einem anderen Computer
■ Netzwerkbasierte IDS - ein System für ein internes Netzwerk, das alle Pakete
untersucht
für bekannte Angriffssignaturen.
■ Ping of Death Attack Eine Netzwerkangriffsmethode, die ICMP (Internet Control
Message Protocol) und falsch formatierte MTUs (Maximum Transmission Unit), um
einen Zielcomputer zum Absturz zu bringen
■ Durch SSO wird das Authentifizierungsproblem mehrerer Benutzernamen und
Passwörter
adressiert, mehrere Verzeichnisse durchsuchen
■ PKI (Public Key Infrastructure) - die beste technische Lösung zur Reduzierung der
Bedrohung durch
ein mann in der mitte angriff
■ Sicherheitskontrollen können zu Schwachstellen in einem System werden, es sei
denn, sie sind
adäquat getestet.
■ Der auf Rijndael basierende Standard-Verschlüsselungsalgorithmus ist als AES
bekannt.
■ missbrauchserkennung - Das Management möchte Personal aufspüren, das nicht
autorisierte Personen besucht
websites.
■ Hosting, das in einem SLA (Service Level Agreement) enthalten ist, um die
Verfügbarkeit von
serverbasierte Ressourcen statt garantierter Server-Performance-Level
■ SSL verwendet einen asymmetrischen Schlüssel und arbeitet auf der
Sitzungsebene
■ RAID unterstützt Hochverfügbarkeit
■ Common Criteria - Die defacto IT (Information Technology) Sicherheitsbewertung
kriterien für die internationale Gemeinschaft
■ Tatortechniker - Tag, Tasche und Inventarbeweise
■ Extranet - ermöglicht es einem Unternehmen, sicher mit anderen Unternehmen zu
handeln
■ Die Kontrolle des Zugriffs auf Informationssysteme und zugehörige Netzwerke ist
notwendig
zur Wahrung ihrer Vertraulichkeit, Integrität und Verfügbarkeit (Ihre CIA)
■ dual-Key-Paar - Verwendung unterschiedlicher Schlüsselpaare zur Trennung von
Vertraulichkeitsdiensten von
integritätsdienste zur Unterstützung der Nicht-Ablehnung
■ Single Loss Expectancy - SLE - ist die Kosten eines einzelnen Verlustes, wenn er
auftritt -
zusammenstellung von Schätzungen, wie viel Geld das Unternehmen verlieren
könnte, wenn ein Risiko einmal in der Zukunft aufträte.
■ Die Nicht-Ablehnung wird in der Regel verwendet, um zu verhindern, dass der
Sender oder der Empfänger
leugnen, dass die Kommunikation zwischen ihnen stattgefunden hat
■ Vertraulichkeit - Der Schutz der Daten vor unbefugtem Zugriff oder unbefugter
Weitergabe
■ Firewall, um Mitarbeitern im Unternehmen DL FTP zu ermöglichen - setzen Sie den
ausgehenden Port 23
erlaubt
■ SYN-Angriff - Exploits im Händeschütteln
■ Audit Log - Eine Sammlung von Informationen, die Login, Dateizugriff, andere
verschiedene
aktivitäten und tatsächliche oder versuchte legitime und nicht autorisierte Verstöße
■ VLAN - ursprünglich entwickelt, um den Broadcast-Verkehr zu reduzieren, ist aber
auch vorteilhaft für
verringerung der Wahrscheinlichkeit, dass Informationen durch Schnüffler
kompromittiert werden
■ Active Detection IDS-Systeme können verdächtige Verbindungen abbrechen oder
herunterfahren
der Server oder der Service
■ CRL und OCSP - zwei gängige Methoden bei der Verwendung einer Public-Key-
Infrastruktur für
aufrechterhaltung des Zugriffs auf Server in einem Netzwerk
■ IPSec bietet den Authentifizierungs-Header (AH) für Datenintegrität und Kapselung
Security Payload (ESP) für das Datengeheimnis.
■ TCP-SYN-Scan - wird verwendet, um zu sehen, welche Ports sich in einem
Abhörzustand befinden, und führt dann einen
zwei-Wege-Handschlag
■ NAT (Network Address Translation) kann mit statischen und versteckten NAT
durchgeführt werden
(Network Address Translation) und PAT (Port Address Translation)
■ Sorgfaltspflicht - Richtlinien und Verfahren zur Verringerung der Wahrscheinlichkeit
von Schäden oder
verletzung
■ Analyse der geschäftlichen Auswirkungen - Einholung einer formellen
Vereinbarung über die maximal tolerierbare
ausfallzeit
■ Die Dokumentation von Änderungsstufen und Revisionsinformationen ist für
Katastrophenfälle am nützlichsten
erholung
■ wurm ist in der Lage, sich selbst zu verteilen, ohne eine Host-Datei zu verwenden
■ Einzelne Server sind häufig das Ziel von Angriffen, weil sie
anmeldeinformationen für viele Systeme und Benutzer
■ Eine Multi-Faktor-Authentifizierung kann erforderlich sein, wenn ein gespeicherter
Schlüssel und eine gespeicherte
passwort sind nicht stark genug und zusätzliche Sicherheitsebenen sind erforderlich
■ VPN-Nachteil - eine Firewall KANN verschlüsselten Datenverkehr NICHT
ÜBERPRÜFEN
■ menschenfalle - Zutrittskontrolle schützt am besten vor physischen
huckepack
■ LDAP-Verzeichnisse sind als Bäume angeordnet
■ Datenintegrität ist am besten mit einem Message Digest erreicht
■ mindestlänge eines passwort sein, um Wörterbuch-Passwort-Risse zu
verhindern 8
■ CRL-Zertifikate, die wurden vor ihrem geplanten Ablauf deaktiviert.
■ protokollierung - um die Systemnutzung aufzuzeichnen
■ Sicherheitskontrollen können zu Schwachstellen in einem System werden, es sei
denn, sie sind
ausreichend getestet
■ RBAC-Zugriffskontrollentscheidungen basieren auf Verantwortlichkeiten, die ein
einzelner Benutzer
oder Prozess hat in einer Organisation
■ Der Start des LDAP-Verzeichnisses heißt Root
■ HAT Verschlüsselung - 128 Bit.
■ SSLv3.0 (Secure Sockets Layer Version 3.0) hat die Möglichkeit hinzugefügt, die
Clientseite zuerzwingen
authentifizierung über digitale Zertifikate
■ virus - Replikationsmechanismus, Aktivierungsmechanismus und Ziel
■ Hash-Passwörter, die Man-in-the-Middle-Angriffen unterliegen
■ *Das Secure Sockets Layer (SSL) -Protokoll verwendet sowohl asymmetrische als
auch symmetrische
schlüsselaustausch. Verwenden Sie asymmetrische Schlüssel für den SSL-
Handshake. Während des Handshakes geht der mit dem öffentlichen Empfänger
verschlüsselte Hauptschlüssel vom Client zum Server. Der Client und der Server
erstellen ihre eigenen Sitzungsschlüssel mithilfe des Hauptschlüssels. Die
Sitzungsschlüssel verschlüsseln und entschlüsseln Daten für den Rest der Sitzung.
Der symmetrische Schlüsselaustausch findet während des Austauschs der
Verschlüsselungsspezifikation oder Verschlüsselungsstufe statt.
■ PKI technische Lösung zur Reduzierung der Bedrohung durch einen Man-in-the-
Middle-Angriff
■ CRL-Abfrage (Certificate Revocation List), die nahezu in Echtzeit eine Antwort erhält
garantiert nicht, dass frische Daten zurückgegeben werden.
■ multi-Homed Firewall Wenn die Firewall kompromittiert ist, werden nur die Systeme
in der DMZ
(Der Hauptzweck digitaler Zertifikate besteht darin, einen öffentlichen Schlüssel an
die Entität zu binden, die den entsprechenden privaten Schlüssel besitzt.
■ Einer der Faktoren, die die Lebensdauer eines Public-Key-Zertifikats und seiner
zugehörige Schlüssel ist die Länge des asymmetrischen Hashs.
■ Damit ein Benutzer ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle
(Certificate Authority) erhalten kann, muss die
der Benutzer muss einen Identitätsnachweis und einen öffentlichen Schlüssel
vorlegen
■ Was ist der HAUPTNACHTEIL eines Relais von Drittanbietern, das Spammer nutzen
können?
relais.
■ Je größer der Schlüsselraum und die Komplexität eines Passworts sind, desto länger
kann ein Angriff
nehmen, um das Passwort Brute-Force zu knacken
■ Das Programmiermodell WAP (Wireless Application Protocol) basiert auf dem
folgenden drei Elementen Client, Gateway, Originalserver
■ Was ist eine gute Praxis bei der Bereitstellung einer Zertifizierungsstelle
(Zertifizierungsstelle erstellt eine CPS-
(Certificate Practice Statement).
■ Was ist das Standard-Transportschichtprotokoll und die Portnummer, die SSL
(Secure
Sockets Layer) verwendet das TCP (Transmission Control Protocol) -
Transportschichtprotokoll und Port 443
■ Was hat 160-Bit-Verschlüsselung? SHA-1
■ Welche der folgenden sind in der Regel in einem CRL-Zertifikat enthalten, das
vor ihrem geplanten Ablauf deaktiviert
■ DDoS (Distributed Denial of Service) wird am häufigsten durch mehrere
server oder Router, die die Bandbreite eines bestimmten Servers oder Routers
monopolisieren und überfordern.
■ IMAP4 benötigt Port_____offen sein 143
■ Während des digitalen Signaturprozesses bietet Hashing ein Mittel, um zu
überprüfen, was
sicherheitsanforderung Datenintegrität
■ Dateiverschlüsselung mit symmetrischer Kryptographie erfüllt welche
Sicherheitsanforderung
Authentifizierung
■ Welches Authentifizierungsprotokoll könnte verwendet werden, um Passwörter
CHAP zu verschlüsseln
(Challenge Handshake Authentifizierungsprotokoll)
■ Wenn Benutzer A sich an die Zertifizierungsstelle (Certificate Authority) wendet, die
ein Zertifikat anfordert,
den Beginn der Kommunikation mit Benutzer B zu ermöglichen, muss Benutzer A
der CA (Zertifizierungsstelle) nur den öffentlichen Schlüssel von Benutzer A zur
Verfügung stellen
■ Demilitarisierte Zone) ausgesetzt sind
■ Ein allgemeiner Algorithmus, der verwendet wird, um die Integrität der Daten eines
Remote-Benutzers durch eine
die Erstellung eines 128-Bit-Hash aus einem Dateneingang ist MD5 (Message Digest
5)