🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:security

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:security [04.12.2025 13:55] – angelegt larsit-themen:grundlagen:netzwerkdienste:security [04.12.2025 14:06] (aktuell) – [Zusammenfassung] lars
Zeile 67: Zeile 67:
   * Authentifizierung & Autorisierung bei *jeder* Aktion   * Authentifizierung & Autorisierung bei *jeder* Aktion
  
-ASCII:+
  
 <code> <code>
-User → Auth → Policies → Zugriff (wenn erlaubt)+ 
 + User → Auth → Policies → Zugriff (wenn erlaubt) 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 78: Zeile 82:
  
 ===== Malware ===== ===== Malware =====
-  * Viren   +  * Viren 
-  * Trojaner   +  * Trojaner 
-  * Ransomware  +  * Ransomware
  
 ===== Netzwerkangriffe ===== ===== Netzwerkangriffe =====
Zeile 90: Zeile 94:
  
 ===== Webangriffe ===== ===== Webangriffe =====
-  * SQL Injection   +  * SQL Injection 
-  * XSS (Cross-Site Scripting)   +  * XSS (Cross-Site Scripting) 
-  * CSRF   +  * CSRF 
-  * Directory Traversal  +  * Directory Traversal
  
 ===== Social Engineering ===== ===== Social Engineering =====
-  * Phishing   +  * Phishing 
-  * Vishing   +  * Vishing 
-  * Pretexting   +  * Pretexting 
-  * Stimme-KI / Deepfake  +  * Stimme-KI / Deepfake
  
 ===== Insider Threats ===== ===== Insider Threats =====
   * ehemalige Mitarbeiter   * ehemalige Mitarbeiter
   * Missbrauch von Adminrechten   * Missbrauch von Adminrechten
 +
  
 --- ---
Zeile 113: Zeile 118:
 ===== Maßnahmen ===== ===== Maßnahmen =====
  
-  * unnötige Dienste deaktivieren   +  * unnötige Dienste deaktivieren 
-  * sichere Passwortrichtlinien   +  * sichere Passwortrichtlinien 
-  * SSH absichern (kein root login, key auth)   +  * SSH absichern (kein root login, key auth) 
-  * Firewall aktivieren   +  * Firewall aktivieren 
-  * Logs überwachen   +  * Logs überwachen 
-  * Updates einspielen   +  * Updates einspielen 
-  * Container als non-root   +  * Container als non-root 
-  * Transportverschlüsselung (HTTPS)   +  * Transportverschlüsselung (HTTPS) 
-  * sichere Standardwerte (secure defaults)  +  * sichere Standardwerte (secure defaults)
  
 ===== Beispiel: Linux Hardening ===== ===== Beispiel: Linux Hardening =====
  
-  * /etc/ssh/sshd_config prüfen   +  * /etc/ssh/sshd_config prüfen 
-  * Fail2Ban / CrowdSec   +  * Fail2Ban / CrowdSec 
-  * UFW oder nftables   +  * UFW oder nftables 
-  * Dateirechte korrekt setzen   +  * Dateirechte korrekt setzen 
-  * root-Login verbieten  +  * root-Login verbieten
  
 ===== Beispiel: Webserver Hardening ===== ===== Beispiel: Webserver Hardening =====
  
-  * HSTS   +  * HSTS 
-  * TLS 1.2+   +  * TLS 1.2+ 
-  * sichere Ciphers   +  * sichere Ciphers 
-  * keine Directory Listings   +  * keine Directory Listings 
-  * WAF einsetzen  +  * WAF einsetzen 
  
 --- ---
Zeile 154: Zeile 160:
  
 ===== Attribute-Based Access Control (ABAC) ===== ===== Attribute-Based Access Control (ABAC) =====
-  * Entscheidungen anhand von Attributen   +  * Entscheidungen anhand von Attributen\\ (z. B. Standort, Zeit, Gerätetyp)
-    (z. B. Standort, Zeit, Gerätetyp)+
  
 ===== Multifaktor-Authentifizierung (MFA) ===== ===== Multifaktor-Authentifizierung (MFA) =====
-  * Passwort + Smartphone   +  * Passwort + Smartphone 
-  * Passwort + FIDO2-Key  +  * Passwort + FIDO2-Key
  
 MFA ist Pflicht in modernen Systemen. MFA ist Pflicht in modernen Systemen.
 +
  
 --- ---
Zeile 168: Zeile 174:
  
 ===== Gute Passwörter ===== ===== Gute Passwörter =====
-  * mindestens 12–16 Zeichen   +  * mindestens 12–16 Zeichen 
-  * zufällig generiert   +  * zufällig generiert 
-  * Kombination aus Groß, Klein, Zahl, Sonder   +  * Kombination aus Zahl, Groß-, Klein- und Sonderzeichen 
-  * keine Wörter oder Muster  +  * keine Wörter oder Muster
  
 Tools: Tools:
-  * Passwortmanager (z. B. Vaultwarden, Bitwarden)  +  * Passwortmanager (z. B. Vaultwarden, Bitwarden)
  
 ===== Schlechte Passwörter ===== ===== Schlechte Passwörter =====
-  * „Hallo123“   +  * „Hallo123“ 
-  * „Passwort“   +  * „Passwort“ 
-  * „Lars1983!“   +  * „Lars1983!“ 
-  * wiederverwendete Passwörter  +  * wiederverwendete Passwörter
  
 ===== Passworthashes ===== ===== Passworthashes =====
Zeile 186: Zeile 192:
  
 Verfahren: Verfahren:
-  * bcrypt   +  * bcrypt 
-  * Argon2id (modern, sicher)   +  * Argon2id (modern, sicher) 
-  * scrypt  +  * scrypt 
  
 --- ---
Zeile 197: Zeile 204:
  
 Regeln: Regeln:
-  * Betriebssysteme regelmäßig aktualisieren   +  * Betriebssysteme regelmäßig aktualisieren 
-  * Sicherheitsupdates priorisieren  +  * Sicherheitsupdates priorisieren
   * Firmware aktualisieren (Switches, Router, Controller)   * Firmware aktualisieren (Switches, Router, Controller)
-  * Container-Images erneuern   +  * Container-Images erneuern 
-  * alte Versionen entfernen  +  * alte Versionen entfernen 
  
 --- ---
Zeile 235: Zeile 243:
 Logs sind essenziell für Sicherheit: Logs sind essenziell für Sicherheit:
  
-  * Auth-Logs   +  * Auth-Logs 
-  * Webserver-Logs   +  * Webserver-Logs 
-  * System-Logs   +  * System-Logs 
-  * Firewall-Logs   +  * Firewall-Logs 
-  * IDS-Alarme (z. B. Suricata)   +  * IDS-Alarme (z. B. Suricata) 
-  * CrowdSec Signale  +  * CrowdSec Signale
  
 Moderne Tools: Moderne Tools:
-  * Suricata (IDS/IPS)   +  * Suricata (IDS/IPS) 
-  * CrowdSec (Erkennung + automatische Gegenmaßnahmen)   +  * CrowdSec (Erkennung + automatische Gegenmaßnahmen) 
-  * Loki + Promtail (Log-Analyse)  +  * Loki + Promtail (Log-Analyse)
   * Grafana (Dashboards)   * Grafana (Dashboards)
 +
  
 --- ---
Zeile 254: Zeile 263:
 Netzwerke in VLANs trennen: Netzwerke in VLANs trennen:
  
-  * Server   +  * Server 
-  * Gäste   +  * Gäste 
-  * IoT   +  * IoT 
-  * Verwaltung   +  * Verwaltung 
-  * Kamera   +  * Kamera 
-  * Kinder-Netz  +  * Kinder-Netz
  
 Vorteile: Vorteile:
-  * ein infiziertes Gerät infiziert nicht den Rest   +  * ein infiziertes Gerät infiziert nicht den Rest 
-  * Angriffsfläche reduziert   +  * Angriffsfläche reduziert 
-  * Zero Trust leichter umsetzbar  +  * Zero Trust leichter umsetzbar
  
 ASCII: ASCII:
  
 <code> <code>
-VLAN10 = Server + 
-VLAN20 = Workstations + VLAN10 = Server 
-VLAN30 = Gäste + VLAN20 = Workstations 
-VLAN40 = IoT+ VLAN30 = Gäste 
 + VLAN40 = IoT 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 281: Zeile 294:
 Essentiell: Essentiell:
  
-  * 3-2-1 Regel   +  * 3-2-1 Regel 
-  * Offsite-Backups   +  * Offsite-Backups 
-  * Verschlüsselte Backups   +  * Verschlüsselte Backups 
-  * regelmäßige Restore-Tests  +  * regelmäßige Restore-Tests
  
-Sicherheit ≠ nur Firewalls  +Sicherheit ≠ nur Firewalls
 → Ohne Backup keine Verfügbarkeit. → Ohne Backup keine Verfügbarkeit.
 +
  
 --- ---
Zeile 293: Zeile 307:
 ====== Zusammenfassung ====== ====== Zusammenfassung ======
  
-  * CIA-Triade ist Grundlage der IT-Sicherheit   +  * CIA-Triade ist Grundlage der IT-Sicherheit 
-  * Zero Trust: Nichts ist vertrauenswürdig   +  * Zero Trust: Nichts ist vertrauenswürdig 
-  * Hardening = unnötiges entfernen + sicher konfigurieren   +  * Hardening = unnötiges entfernen + sicher konfigurieren 
-  * Firewalls & IDS schützen das Netzwerk   +  * Firewalls & IDS schützen das Netzwerk 
-  * Passwörter: lang, zufällig, einzigartig   +  * Passwörter: lang, zufällig, einzigartig 
-  * MFA ist Pflicht   +  * MFA ist Pflicht 
-  * Logs + Monitoring = Angriffserkennung   +  * Logs + Monitoring = Angriffserkennung 
-  * Netzwerksegmentierung begrenzt Schäden   +  * Netzwerksegmentierung begrenzt Schäden 
-  * Backups sichern die Verfügbarkeit   +  * Backups sichern die Verfügbarkeit 
-  * Sicherheit ist ein kontinuierlicher Prozess  +  * Sicherheit ist ein kontinuierlicher Prozess
it-themen/grundlagen/netzwerkdienste/security.1764852920.txt.gz · Zuletzt geändert: von lars