IT-Sicherheit2 - VL3.4

Description

Flashcards on IT-Sicherheit2 - VL3.4, created by B erry on 10/07/2024.
B erry
Flashcards by B erry, updated 5 months ago
B erry
Created by B erry 5 months ago
0
0

Resource summary

Question Answer
Einschränkungen des Datenflusses verhindert unerwünschten Informationsfluss zwischen bestimmten Zonen Allg. Use Cases: Schutz am Netzwerkrand... Use Cases IoT: Heim- vs Gastnetz... Typ. Abwehrmechanismen: Netzwerk-Segmentierung, Firewalls... Typ. Angriffe: Lateral Movement, Spear-Phishing, USB-Sticks...
Firewall Netzwerksicherheitsgerät, das den ein- und ausgehenden Netzwerkverkehr überwacht und auf der Grundlage eines definierten Satzes von Sicherheitsregeln entscheidet, ob bestimmter Verkehr zugelassen oder blockiert werden soll ermöglichen Netzwerksegmentierung schützen Netzwerke (Perimeter-Firewall) oder einzelne Computer (Personal)
Firewall - Motivation Konzentration von Sicherheitskontrollen an einer einzigen Stelle (effizient) leichtere Durchsetzung und Implementierung von Sicherheitsrichtlinien Nutzung/Missbrauch kann protokolliert werden sie können Systemzugriffe verhindern oder erlauben, DoS-Angriffe blockieren sie können nicht vor Insidern schützen (bereits hinter Firewall), vor Zugriff über autorisierte Kanäle, andere Firewalls schützen
Firewall - Technologien zustandslose Paketfilter (Überwachungsrouter oder dedizierte Appliance) zustandsbasierte Paketfilter (s.o.) Anwendungs-Gateways (auch Proxyfilter) (Dual-Homed-/Bastion-Host oder Appliance)
Zustandslose Paketfilter Firewall betrachtet jedes Paket für sich basierend auf Quell-, Ziel-IP, TCP/UDP Quell-, Zielportnummern, ICMP-Nachrichtentyp, TCP SYN-, ACK-Bits Problem: lässt auch Pakete zu, die "keinen Sinn machen"
Interfaces & Richtungen Firewall-Regeln gelten für jeweils ein Interface und eine Richtung
Access Control List (ACL) Liste von Regeln, die von oben nach unten auf eingehende Pakete angewandt wird, bis eine Regel mit erfülltem Kriterium gefunden wurde
ACL - Strategien default deny: nur solche Dienste werden erlaubt, die sicher bereitgestellt werden können und für die Bedarf besteht, alle anderen werden abgelehnt (oft automatisch angewandt) default permit: alle Dienste zulassen, außer solche, die als gefährlich/gefährdet eingestuft werden (unsicherer, dafür weniger Aufwand als default deny)
Zustandsbasierte Paketfilter behält Zustand jeder TCP-Verbindung liest Verbindungsaufbau und -abbau mit Sinnhaftigkeit der Paket wird geprüft Timeout für inaktive Verbindungen Erweiterung der ACL um Notwendigkeit des Prüfens der Zustandstabelle
Anwendungs-Gateway (Proxy-Filter) Filterung basierend auf Nutzlast von TCP- oder UDP-Segmenten oft implementiert als Dual-Homed-Host (zwei Netzwerkschnittstellen, stellt zwei Verbindungen her (Client - Proxy , Proxy - Zielhost) jedes Protokoll der Anwendungsschicht benötigt zusätzlich ein spezifisches Anwendungs-Gateway (also nicht nur UDP/TCP, sondern auch HTTP, DNS...) mehrere Gateways auf einem physischen Host möglich
Bastion Host Server oder Proxy, die mit einem nicht vertrauenswürdigen Netzwerk (z.B. Internet) kommunizieren brauchen besonderen Schutz
Demilitarisierte Zone (DMZ) Netzwerk durch Firewall von anderen Netzwerken isoliert eine Firewall: dead-end-network mehrere Firewalls: Transit-Netzwerk
Screened Subnet Architecture DMZ als Transit-Netzwerk wegen Bastion-Host (ständiges Ziel für Angriffe, daher eigene Zone, auch um bei Kompromittierung andere Knoten im gleichen Netzwerk zu schützen)
Moderne Firewall Segmentiert Netzwerk in verschiedene physische oder logische DMZs komplexe Regelsätze statt ACL zustandsbasiert Filterung auf verschiedenen OSI-Schichten zusätzliche Funktionalität integrierbar (VPN, Antivirus, IDS...)
Show full summary Hide full summary

Similar

Key Shakespeare Facts
Andrea Leyden
Was the Weimar Republic doomed from the start?
Louisa Wania
Biology 2b - Enzymes and Genetics
Evangeline Taylor
Frankenstein by Mary Shelley
nina.stuer14
Geography: Population
ameliaalice
Camera Angles
saradevine97
Truman Doctrine, Marshall Plan, Cominform and Comecon
Alina A
GCSE REVISION TIMETABLE
Sonia Christopher
3.1 Keywords - Marketing
Mr_Lambert_Hungerhil
Cloud Data Integration Specialist Certification
James McLean
Topic
TEL Bath