Search and Find

Book Title

Author/Publisher

Table of Contents

Show eBooks for my device only:

 

Security@Work - Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis

of: Jörg Eschweiler, Daniel E. Atencio Psille

Springer-Verlag, 2006

ISBN: 9783540362265 , 334 Pages

Format: PDF, Read online

Copy protection: DRM

Windows PC,Mac OSX Apple iPad, Android Tablet PC's Read Online for: Windows PC,Mac OSX,Linux

Price: 6,99 EUR



More of the content

Security@Work - Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis


 

Vorwort

7

Inhaltsverzeichnis

9

1 Einleitung

14

1.1 Für wen dieses Buch interessant ist

15

1.2 Warum dieses Buch entstand

15

1.3 Was dieses Buch leistet

16

1.4 Was dieses Buch nicht bietet

18

1.5 Wie dieses Buch gelesen werden sollte

18

1.6 Konventionen im Buch

19

1.7 Randgedanken

19

Teil I Einführung in das Thema ”IT-Sicherheit“

22

2 Was ist ”IT-Sicherheit“?

24

2.1 Versuch einer Herleitung

25

2.1.1 ”Sicherheit“ im Alltag

25

2.1.2 ”IT“

28

2.2 Sicherheitsgrundbedürfnisse

32

2.2.1 Verfügbarkeit

32

2.2.2 Verlässlichkeit

33

2.2.3 Vertraulichkeit

35

2.3 Begriffsdefinition

35

3 IT-Sicherheit im Kontext

38

3.1 Der allgemeine Kontext

38

3.2 Schutzbedarf

39

3.3 Schutzziele

41

3.3.1 Integrität

43

3.3.2 Verfügbarkeit

43

3.3.3 Vertraulichkeit

44

3.3.4 Weitere Zielsetzungen

44

3.4 Schutzmaßnahmen

45

3.4.1 Konfiguration

46

3.4.2 Überwachung

46

3.4.3 Alarmierung

48

3.4.4 Reaktion

52

4 Ideen für eine Laborumgebung

56

4.1 Logische Struktur

57

4.1.1 Netzwerkzone DMZ

58

4.1.2 Netzwerkzone LAN

60

5 Bedrohungen

62

5.1 Motivation der Angreifer

62

5.1.1 Habgier

63

5.1.2 Neugier

64

5.1.3 Spionage

65

5.1.4 Vergeltung/Sabotage

66

5.1.5 Konspiration

67

5.2 Das Ebenenmodell der Bedrohungsarten

68

5.2.1 Anwendungsebene

70

5.2.2 Protokollebene

70

5.2.3 Ressourcenebene

72

5.3 Technische Bedrohungskategorien

73

5.3.1 Denial of Service

73

5.3.2 Code Injection

77

5.3.4 Spoofing und Session Hijacking

81

5.3.5 Poisoning

88

5.3.6 Flooding

88

5.3.7 Malicious Content

89

5.4 Social Engineering

94

5.5 Zusammenfassung

95

Teil II Methodische Grundlagen zur Modellierung und Umsetzung von IT-Sicherheit

98

6 Anforderungsableitung und -definition

102

6.1 Einleitung

102

6.2 Exkurs: Bundesdatenschutzgesetz (BDSG)

102

6.3 Ausgangssituation

104

6.4 Analyse von Organisation- und IT-Struktur

106

6.5 Anregungen

108

7 Sicherheitsanalyse

110

7.1 Einleitung

110

7.2 Zielsetzung

110

7.3 Vorgehensweise

111

7.4 Ist-Erhebung

111

7.5 Schutzbedarfserhebung

112

7.5.1 Ableitung von Schutzbedarfskategorien

112

7.5.2 Festlegung des Schutzbedarfs

112

7.6 Ableitung Soll-Modell

113

7.6.1 IT-Sicherheitsrichtlinie / Security-Policy

113

7.6.2 Priorisierung

115

7.6.3 Zuordnung von Maßnahmen

116

7.6.4 Restrisikoanalysen

116

7.7 Ergebnisumfang

117

8 Anwendung der Sicherheitsanalyse

120

8.1 Einführung

120

8.2 Vorgehen

120

8.3 Bedrohungs- und Gefahrenpotentialanalyse

120

8.4 Sicherheitscheck

122

8.5 Ableitung Handlungsbedarf

122

9 Überprüfung und Bewertung von IT-Sicherheit

124

9.1 Vorbemerkungen

124

9.2 Prüfung ist notwendig, Evaluierung nutzbringender!

124

9.3 Assessments

126

9.3.1 Self-Assessment

126

9.3.2 Vulnerability-Assessment

126

9.3.3 Penetration-Assessment

126

9.3.4 Risk-Assessment

127

9.4 Audits

127

9.4.1 Internes Audit

127

9.4.2 Externes Audit

127

9.5 Möglichkeiten einer Tool-Unterstützung

128

10 IT-Sicherheitskonzept

130

10.1 Überblick

130

10.1.1 Kapitel 1 und 2 – Administrativa und Überblick

131

10.1.2 Kapitel 3 – Fokus

132

10.1.3 Kapitel 4 – Systemarchitektur

132

10.1.4 Kapitel 5 – Schutzbedarf

133

10.1.5 Kapitel 6 – Anzuwendende Vorgaben

134

10.1.6 Kapitel 7 – Anforderungen

134

10.1.7 Kapitel 8 – Implementierungsvorgaben

136

10.1.8 Kapitel 9 – Restrisiken

137

10.1.10 Sonstige Konzepte und Querverweise

139

10.2 Exkurs: Erstrealisierung von IT-Sicherheit

141

11 Standards zur IT-Sicherheit und Regulatory Compliance

142

11.1 Was hat IT-Sicherheit mit Regulatory Compliance zu tun?

142

11.2 Regulatory Compliance

143

11.2.1 Allgmeine Gesetze und Regelungen in der BRD

143

11.2.2 Fachspezi.sche Gesetze und Regelungen in der BRD

145

11.2.3 Ausl¨andische Gesetze und Regelungen

148

11.2.4 Allgemeine Standards

151

11.3 Standards zur IT-Sicherheit

152

11.3.1 ISO-Standards

152

11.3.2 BSI-Standards

154

11.4 Weitere Technologie- und Methodenstandards mit Bezug zur IT-Sicherheit

157

11.4.1 Querschnittliche Methoden und Standards

157

11.4.2 NIST-Methoden und -Standards

161

11.4.3 Open Source Community / Freie Projekte

163

Teil III Etablierung einer Grundabsicherung

165

12 Methodische Vorgehensweise zur Umsetzung technischer Maßnahmen

166

12.1 Konzeption und PoC

168

12.2 Implementierung und Ausbringung

173

12.3 Betrieb

173

13 Grundlagen zur Härtung von Systemen

176

13.1 Zielsetzung

178

13.2 Betriebskonzeption

178

13.3 Konzeptionelle H¨artung des Betriebssystems

180

13.3.1 Ressourcenverwaltung

181

13.3.2 Der Kernel

184

13.3.3 Benutzerverwaltung

193

13.3.4 Berechtigungskonzepte

196

13.3.5 Installation

203

13.4 Konzeptionelle H¨artung systemnaher Dienste

208

13.5 Virtualisierung

211

13.5.1 LPAR

212

13.5.2 chroot

212

13.5.3 jails, UML, vserver

213

13.5.4 Virtuelle Hardware

214

13.5.5 Einsatzgebiete

214

14 Grundlagen zur Absicherung von Netzen

216

14.1 Netzwerkgrundlagen

219

14.1.1 Das ISO/OSI-Modell

220

14.2 Ethernet

223

14.2.1 Zugang zum Medium

223

14.2.2 Adressierung

225

14.2.3 Zugriffskontrolle

227

14.2.4 Zusammenfassung

228

14.3 TCP/IP

229

14.4 Übergreifende Absicherung von Netzen und Datenverkehr

230

14.4.1 Anbindung von Systemen an Netze

230

14.4.2 Absicherung von Endger¨aten auf Systemebene

232

14.4.3 Absicherung von Netzwerkverkehr

235

14.4.4 Absicherung des Zugangs zu Diensten und Anwendungen

237

14.4.5 Datentransfer und -haltung auf Anwendungsebene

239

14.4.6 Gedanken zum integrierten Betrieb

240

15 Querschnittsbetrachtungen zur Absicherung des Betriebs

242

15.1 Best Practices

242

15.1.1 NTARS

243

15.1.2 Think Twice

244

15.1.3 Konfigurationsänderungen

244

15.1.4 Installationen

245

15.1.5 Informationsbescha.ung

246

15.1.6 Gesunde Paranoia

246

15.2 Systems Management

247

15.2.1 Monitoring

247

15.2.2 Event Management und Resolution

248

15.2.3 Con.guration Management

249

15.2.4 Software Distribution

250

15.3 Dokumentation

252

15.3.1 Inhalte

253

15.3.2 Umfang

254

15.3.3 Aufbau und Form

255

15.3.4 Ablage

256

15.4 Information Flow Control

258

15.5 ”Externe“

260

15.5.1 Dienstleister

261

15.5.2 Mitarbeiter

262

15.6 Worst Practices

264

15.6.1 Security by Obscurity

264

15.6.2 Sorglosigkeit

265

15.6.3 Inselmentalit¨at

266

Teil IV Absicherung von Peripheriediensten

268

16 Überblick und Szenarien

270

16.1 Uberblick

270

16.2 Szenarien

271

17 Datensicherung

272

17.1 Allgemeine Anforderungen und Lösungen

272

17.1.1 Methoden und Verfahren zur Datensicherung

273

17.1.2 Datenhaltung und Kategorien von Daten

275

17.2 Anforderungen an Datensicherungsimplementierungen

275

17.2.1 Kommunikationswege

276

17.2.2 Verschlüsselung von Datensicherungsdaten

276

17.2.3 Datensicherungsserver

277

17.2.4 Datensicherungsklient

278

17.2.5 Datenhaltung

279

18 Verzeichnisdienste

280

18.1 Historie und Einsatzfelder

280

18.1.1 System- und Benutzerverwaltung

281

18.1.2 Rollen- und Berechtigungsverwaltung im Anwendungsumfeld

282

18.1.3 Benutzeranmeldung

282

18.1.4 Verwaltung von Metadaten

284

18.1.5 Next Generation Tools: Access und Identity Management

284

18.1.6 Zertifikate und Verzeichnisdienste

285

18.2 Architekturempfehlungen hinsichtlich Betriebsf uhrung

286

18.2.1 Datenladung und Platzierung von Verzeichnisdiensten

286

18.2.2 Kommunikation mit Verzeichnisdiensten

286

19 RDBMS

288

19.1 Betriebssysteme und Datenbanken

289

19.2 Kommunikation mit Datenbanken über Schnittstellen

290

19.3 Datenhaltung und Zugri.

290

19.4 Kryptologie im RDBMS-Umfeld

291

20 Interpretersprachen zur Web-Ausgabe

292

20.1 Mögliche Schwachstellen

293

20.1.1 Allgemeines

293

20.1.2 Vulnerabilities des PHP-Interpreter

293

20.1.3 Benutzereingaben

294

20.1.4 Dateinamen

294

20.1.5 Variante 1: Lokale Dateien

294

20.1.6 Variante 2: Entfernte Dateien

295

20.1.7 Eingabe von Werten mittels eval()

295

20.1.8 Umgebungs- und Laufzeitvariablen

296

20.1.9 Aufruf externer Programme

297

20.1.10 Datenbankzugri.e

298

20.2 Übergreifende Lösungsansätze

298

20.2.1 Allgemeine PHP-Kon.guration

299

20.2.2 PHP Safe Mode

300

20.2.3 Include-Dateien

301

20.2.4 Auslagern von sensitiven Daten

302

20.2.5 Filterung von Benutzereingaben

302

20.2.6 Handhabung von Benutzersitzungen

303

20.2.7 HTTP-Authentisierung

303

20.2.8 Credential-Authentisierung

304

20.2.9 Verfolgung von Benutzeraktivitäten

305

20.2.10 Berechtigungssysteme

305

21 Web Application Server

308

21.1 Einleitung

308

21.2 Plattform

308

21.3 Technische Aspekte zur Absicherung

310

21.3.1 Dislozierung in Netzwerkzonen

310

21.3.2 J2EE-Server

310

21.3.3 CVS und Entwicklungstools

311

21.4 Betriebliche Aspekte zur Absicherung

311

21.4.1 Transportwesen und Release Management

311

21.4.2 Überwachung Laufzeitverhalten

312

21.4.3 Security by Policy

312

22 Exkurs: Technische Sicherheit von Web-Inhalten

314

22.1 Aktive Inhalte

315

22.1.1 Java-Applets

315

22.1.2 JavaScript

317

22.1.3 ActiveX und Visual Basic Script

318

22.1.4 Macromedia Flash und sonstige Plug-ins

319

22.2 Dynamische Inhalte

320

Teil V Spezielle Sicherheitsdienste

323

23 Betrachtung spezieller Sicherheitsdienster

325

24 Proxy-Dienste

326

24.1 Grundfunktionalität

326

25 Content-Filter

328

25.1 Funktionsweise

328

26 Eindringlingserkennung

330

26.1 Arten von IDS

330

26.1.1 Network Based IDS

330

26.1.2 Host Based IDS

331

26.1.3 Web Based IDS

331

26.1.4 Grundlegende Architektur

331

26.2 Funktionsweisen

332

26.2.1 Signaturerkennung

332

26.2.2 Anomalieerkennung

332

26.2.3 Wirtschaftlichkeit versus Motivation

333

Teil VI Abschluss

335

27 Reflexion und Ausblick

336

Teil VII Anhänge

338

Literaturverzeichnis

340

Sachverzeichnis

342