it-themen:grundlagen:netzwerkdienste:security
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:security [04.12.2025 13:58] – [Insider Threats] lars | it-themen:grundlagen:netzwerkdienste:security [04.12.2025 14:06] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 118: | Zeile 118: | ||
| ===== Maßnahmen ===== | ===== Maßnahmen ===== | ||
| - | * unnötige Dienste deaktivieren | + | * unnötige Dienste deaktivieren |
| - | * sichere Passwortrichtlinien | + | * sichere Passwortrichtlinien |
| - | * SSH absichern (kein root login, key auth) | + | * SSH absichern (kein root login, key auth) |
| - | * Firewall aktivieren | + | * Firewall aktivieren |
| - | * Logs überwachen | + | * Logs überwachen |
| - | * Updates einspielen | + | * Updates einspielen |
| - | * Container als non-root | + | * Container als non-root |
| - | * Transportverschlüsselung (HTTPS) | + | * Transportverschlüsselung (HTTPS) |
| - | * sichere Standardwerte (secure defaults) | + | * sichere Standardwerte (secure defaults) |
| ===== Beispiel: Linux Hardening ===== | ===== Beispiel: Linux Hardening ===== | ||
| - | * / | + | * / |
| - | * Fail2Ban / CrowdSec | + | * Fail2Ban / CrowdSec |
| - | * UFW oder nftables | + | * UFW oder nftables |
| - | * Dateirechte korrekt setzen | + | * Dateirechte korrekt setzen |
| - | * root-Login verbieten | + | * root-Login verbieten |
| ===== Beispiel: Webserver Hardening ===== | ===== Beispiel: Webserver Hardening ===== | ||
| - | * HSTS | + | * HSTS |
| - | * TLS 1.2+ | + | * TLS 1.2+ |
| - | * sichere Ciphers | + | * sichere Ciphers |
| - | * keine Directory Listings | + | * keine Directory Listings |
| - | * WAF einsetzen | + | * WAF einsetzen |
| --- | --- | ||
| Zeile 159: | Zeile 160: | ||
| ===== Attribute-Based Access Control (ABAC) ===== | ===== Attribute-Based Access Control (ABAC) ===== | ||
| - | * Entscheidungen anhand von Attributen | + | * Entscheidungen anhand von Attributen\\ (z. B. Standort, Zeit, Gerätetyp) |
| - | | + | |
| ===== Multifaktor-Authentifizierung (MFA) ===== | ===== Multifaktor-Authentifizierung (MFA) ===== | ||
| - | * Passwort + Smartphone | + | * Passwort + Smartphone |
| - | * Passwort + FIDO2-Key | + | * Passwort + FIDO2-Key |
| MFA ist Pflicht in modernen Systemen. | MFA ist Pflicht in modernen Systemen. | ||
| + | |||
| --- | --- | ||
| Zeile 173: | Zeile 174: | ||
| ===== Gute Passwörter ===== | ===== Gute Passwörter ===== | ||
| - | * mindestens 12–16 Zeichen | + | * mindestens 12–16 Zeichen |
| - | * zufällig generiert | + | * zufällig generiert |
| - | * Kombination aus Groß, Klein, Zahl, Sonder | + | * Kombination aus Zahl, Groß-, Klein- und Sonderzeichen |
| - | * keine Wörter oder Muster | + | * keine Wörter oder Muster |
| Tools: | Tools: | ||
| - | * Passwortmanager (z. B. Vaultwarden, | + | * Passwortmanager (z. B. Vaultwarden, |
| ===== Schlechte Passwörter ===== | ===== Schlechte Passwörter ===== | ||
| - | * „Hallo123“ | + | * „Hallo123“ |
| - | * „Passwort“ | + | * „Passwort“ |
| - | * „Lars1983!“ | + | * „Lars1983!“ |
| - | * wiederverwendete Passwörter | + | * wiederverwendete Passwörter |
| ===== Passworthashes ===== | ===== Passworthashes ===== | ||
| Zeile 191: | Zeile 192: | ||
| Verfahren: | Verfahren: | ||
| - | * bcrypt | + | * bcrypt |
| - | * Argon2id (modern, sicher) | + | * Argon2id (modern, sicher) |
| - | * scrypt | + | * scrypt |
| --- | --- | ||
| Zeile 202: | Zeile 204: | ||
| Regeln: | Regeln: | ||
| - | * Betriebssysteme regelmäßig aktualisieren | + | * Betriebssysteme regelmäßig aktualisieren |
| - | * Sicherheitsupdates priorisieren | + | * Sicherheitsupdates priorisieren |
| * Firmware aktualisieren (Switches, Router, Controller) | * Firmware aktualisieren (Switches, Router, Controller) | ||
| - | * Container-Images erneuern | + | * Container-Images erneuern |
| - | * alte Versionen entfernen | + | * alte Versionen entfernen |
| --- | --- | ||
| Zeile 240: | Zeile 243: | ||
| Logs sind essenziell für Sicherheit: | Logs sind essenziell für Sicherheit: | ||
| - | * Auth-Logs | + | * Auth-Logs |
| - | * Webserver-Logs | + | * Webserver-Logs |
| - | * System-Logs | + | * System-Logs |
| - | * Firewall-Logs | + | * Firewall-Logs |
| - | * IDS-Alarme (z. B. Suricata) | + | * IDS-Alarme (z. B. Suricata) |
| - | * CrowdSec Signale | + | * CrowdSec Signale |
| Moderne Tools: | Moderne Tools: | ||
| - | * Suricata (IDS/ | + | * Suricata (IDS/IPS) |
| - | * CrowdSec (Erkennung + automatische Gegenmaßnahmen) | + | * CrowdSec (Erkennung + automatische Gegenmaßnahmen) |
| - | * Loki + Promtail (Log-Analyse) | + | * Loki + Promtail (Log-Analyse) |
| * Grafana (Dashboards) | * Grafana (Dashboards) | ||
| + | |||
| --- | --- | ||
| Zeile 259: | Zeile 263: | ||
| Netzwerke in VLANs trennen: | Netzwerke in VLANs trennen: | ||
| - | * Server | + | * Server |
| - | * Gäste | + | * Gäste |
| - | * IoT | + | * IoT |
| - | * Verwaltung | + | * Verwaltung |
| - | * Kamera | + | * Kamera |
| - | * Kinder-Netz | + | * Kinder-Netz |
| Vorteile: | Vorteile: | ||
| - | * ein infiziertes Gerät infiziert nicht den Rest | + | * ein infiziertes Gerät infiziert nicht den Rest |
| - | * Angriffsfläche reduziert | + | * Angriffsfläche reduziert |
| - | * Zero Trust leichter umsetzbar | + | * Zero Trust leichter umsetzbar |
| ASCII: | ASCII: | ||
| < | < | ||
| - | VLAN10 = Server | + | |
| - | VLAN20 = Workstations | + | VLAN10 = Server |
| - | VLAN30 = Gäste | + | |
| - | VLAN40 = IoT | + | |
| + | | ||
| + | |||
| </ | </ | ||
| + | |||
| --- | --- | ||
| Zeile 286: | Zeile 294: | ||
| Essentiell: | Essentiell: | ||
| - | * 3-2-1 Regel | + | * 3-2-1 Regel |
| - | * Offsite-Backups | + | * Offsite-Backups |
| - | * Verschlüsselte Backups | + | * Verschlüsselte Backups |
| - | * regelmäßige Restore-Tests | + | * regelmäßige Restore-Tests |
| - | Sicherheit ≠ nur Firewalls | + | Sicherheit ≠ nur Firewalls |
| → Ohne Backup keine Verfügbarkeit. | → Ohne Backup keine Verfügbarkeit. | ||
| + | |||
| --- | --- | ||
| Zeile 298: | Zeile 307: | ||
| ====== Zusammenfassung ====== | ====== Zusammenfassung ====== | ||
| - | * CIA-Triade ist Grundlage der IT-Sicherheit | + | * CIA-Triade ist Grundlage der IT-Sicherheit |
| - | * Zero Trust: Nichts ist vertrauenswürdig | + | * Zero Trust: Nichts ist vertrauenswürdig |
| - | * Hardening = unnötiges entfernen + sicher konfigurieren | + | * Hardening = unnötiges entfernen + sicher konfigurieren |
| - | * Firewalls & IDS schützen das Netzwerk | + | * Firewalls & IDS schützen das Netzwerk |
| - | * Passwörter: | + | * Passwörter: |
| - | * MFA ist Pflicht | + | * MFA ist Pflicht |
| - | * Logs + Monitoring = Angriffserkennung | + | * Logs + Monitoring = Angriffserkennung |
| - | * Netzwerksegmentierung begrenzt Schäden | + | * Netzwerksegmentierung begrenzt Schäden |
| - | * Backups sichern die Verfügbarkeit | + | * Backups sichern die Verfügbarkeit |
| - | * Sicherheit ist ein kontinuierlicher Prozess | + | * Sicherheit ist ein kontinuierlicher Prozess |
it-themen/grundlagen/netzwerkdienste/security.1764853095.txt.gz · Zuletzt geändert: von lars