Cybersecurity Spickzettel

Grundlagen der Systemsicherheit

Benutzerkontenverwaltung

Kontrollieren Sie den Zugriff auf Systeme und Daten.

# Neuen Benutzer hinzufügen
sudo adduser username
# Passwortrichtlinie festlegen
sudo passwd -l username
# Sudo-Berechtigungen erteilen
sudo usermod -aG sudo username
# Benutzerinformationen anzeigen
id username
# Alle Benutzer auflisten
cat /etc/passwd

Dateiberechtigungen & Sicherheit

Konfigurieren Sie sicheren Datei- und Verzeichniszugriff.

# Dateiberechtigungen ändern (lesen, schreiben, ausführen)
chmod 644 file.txt
# Besitz ändern
chown user:group file.txt
# Berechtigungen rekursiv setzen
chmod -R 755 directory/
# Dateiberechtigungen anzeigen
ls -la

Netzwerksicherheitskonfiguration

Sichern Sie Netzwerkverbindungen und Dienste.

# Firewall konfigurieren (UFW)
sudo ufw enable
sudo ufw allow 22/tcp
sudo ufw deny 23/tcp
# Offene Ports prüfen
netstat -tuln
sudo ss -tuln

Systemaktualisierungen & Patches

Halten Sie Systeme mit den neuesten Sicherheitspatches aktuell.

# Paketlisten aktualisieren (Ubuntu/Debian)
sudo apt update
# Alle Pakete aktualisieren
sudo apt upgrade
# Automatische Sicherheitsupdates
sudo apt install unattended-upgrades

Diensteverwaltung

Steuern und überwachen Sie Systemdienste.

# Unnötige Dienste stoppen
sudo systemctl stop service_name
sudo systemctl disable service_name
# Dienststatus prüfen
sudo systemctl status ssh
# Laufende Dienste anzeigen
systemctl list-units --type=service --state=running

Protokollüberwachung

Überwachen Sie Systemprotokolle auf Sicherheitsereignisse.

# Authentifizierungsprotokolle anzeigen
sudo tail -f /var/log/auth.log
# Systemprotokolle prüfen
sudo journalctl -f
# Nach fehlgeschlagenen Anmeldungen suchen
grep "Failed password" /var/log/auth.log

Passwortsicherheit & Authentifizierung

Implementieren Sie starke Authentifizierungsmechanismen und Passwortrichtlinien.

Erstellung starker Passwörter

Generieren und verwalten Sie sichere Passwörter gemäß Best Practices.

# Starkes Passwort generieren
openssl rand -base64 32
# Anforderungen an die Passwortstärke:
# - Mindestens 12 Zeichen
# - Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen
# - Keine Wörterbuchwörter oder persönliche Informationen
# - Einzigartig für jeden Account

Multi-Faktor-Authentifizierung (MFA)

Fügen Sie zusätzliche Authentifizierungsebenen über Passwörter hinaus hinzu.

# Google Authenticator installieren
sudo apt install libpam-googleauthenticator
# MFA für SSH konfigurieren
google-authenticator
# In SSH-Konfiguration aktivieren
sudo nano /etc/pam.d/sshd
# Hinzufügen: auth required pam_google_authenticator.so

Passwortverwaltung

Verwenden Sie Passwortmanager und sichere Speicherpraktiken.

# Passwortmanager installieren (KeePassXC)
sudo apt install keepassxc
# Best Practices:
# - Einzigartige Passwörter für jeden Dienst verwenden
# - Auto-Sperrfunktionen aktivieren
# - Regelmäßige Passwortrotation für kritische Konten
# - Sichere Sicherung der Passwortdatenbank

Netzwerksicherheit & Überwachung

Port-Scanning & Erkennung

Identifizieren Sie offene Ports und laufende Dienste.

# Basis-Port-Scan mit Nmap
nmap -sT target_ip
# Dienstversionserkennung
nmap -sV target_ip
# Umfassender Scan
nmap -A target_ip
# Spezifische Ports scannen
nmap -p 22,80,443 target_ip
# IP-Bereich scannen
nmap 192.168.1.1-254

Netzwerktraffic-Analyse

Überwachen und analysieren Sie Netzwerkkommunikation.

# Pakete mit tcpdump erfassen
sudo tcpdump -i eth0
# In Datei speichern
sudo tcpdump -w capture.pcap
# Spezifischen Verkehr filtern
sudo tcpdump host 192.168.1.1
# Bestimmten Port überwachen
sudo tcpdump port 80

Firewall-Konfiguration

Steuern Sie eingehenden und ausgehenden Netzwerkverkehr.

# UFW (Uncomplicated Firewall)
sudo ufw status
sudo ufw allow ssh
sudo ufw deny 23
# iptables-Regeln
sudo iptables -L
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

SSL/TLS-Zertifikatsverwaltung

Implementieren Sie sichere Kommunikation durch Verschlüsselung.

# Selbstsigniertes Zertifikat generieren
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
# Zertifikatsdetails prüfen
openssl x509 -in cert.pem -text -noout
# SSL-Verbindung testen
openssl s_client -connect example.com:443

Schwachstellenbewertung

System-Schwachstellen-Scanning

Identifizieren Sie Sicherheitslücken in Systemen und Anwendungen.

# Nessus-Scanner installieren
# Von tenable.com herunterladen
sudo dpkg -i Nessus-X.X.X-ubuntu1404_amd64.deb
# Nessus-Dienst starten
sudo systemctl start nessusd
# Web-Oberfläche unter https://localhost:8834 aufrufen
# OpenVAS verwenden (kostenlose Alternative)
sudo apt install openvas
sudo gvm-setup

Sicherheitstests für Webanwendungen

Testen Sie Webanwendungen auf gängige Schwachstellen.

# Nikto Web-Scanner verwenden
nikto -h http://target.com
# Verzeichnis-Enumeration
dirb http://target.com
# SQL-Injection-Test
sqlmap -u "http://target.com/page.php?id=1" --dbs

Sicherheitsprüfungs-Tools

Umfassende Dienstprogramme zur Sicherheitsbewertung.

# Lynis Sicherheitsprüfung
sudo apt install lynis
sudo lynis audit system
# Nach Rootkits suchen
sudo apt install chkrootkit
sudo chkrootkit
# Datei-Integritätsüberwachung
sudo apt install aide
sudo aideinit

Konfigurationssicherheit

Überprüfen Sie sichere System- und Anwendungskonfigurationen.

# SSH-Sicherheitsprüfung
ssh-audit target_ip
# SSL-Konfigurationstest
testssl.sh https://target.com
# Dateiberechtigungen für sensible Dateien prüfen
ls -la /etc/shadow /etc/passwd /etc/group

Reaktion auf Sicherheitsvorfälle & Forensik

Protokollanalyse & Untersuchung

Analysieren Sie Systemprotokolle, um Sicherheitsvorfälle zu identifizieren.

# Nach verdächtigen Aktivitäten suchen
grep -i "failed\|error\|denied" /var/log/auth.log
# Anzahl fehlgeschlagener Anmeldeversuche zählen
grep "Failed password" /var/log/auth.log | wc -l
# Eindeutige IP-Adressen in Protokollen finden
awk '/Failed password/ {print $11}' /var/log/auth.log | sort | uniq -c
# Live-Protokollaktivität überwachen
tail -f /var/log/syslog

Netzwerksicherheitsforensik

Untersuchen Sie netzwerkbasierte Sicherheitsvorfälle.

# Netzwerkverkehr mit Wireshark analysieren
# Installieren: sudo apt install wireshark
# Live-Verkehr erfassen
sudo wireshark
# Erfasste Dateien analysieren
wireshark capture.pcap
# Befehlszeilenanalyse mit tshark
tshark -r capture.pcap -Y "http.request"

Systemforensik

Sichern und analysieren Sie digitale Beweismittel.

# Festplattenabbild erstellen
sudo dd if=/dev/sda of=/mnt/evidence/disk_image.dd bs=4096
# Dateihashes zur Integrität berechnen
md5sum important_file.txt
sha256sum important_file.txt
# Nach spezifischem Dateiinhalt suchen
grep -r "password" /home/user/
# Kürzlich geänderte Dateien auflisten
find /home -mtime -7 -type f

Dokumentation von Vorfällen

Dokumentieren Sie Sicherheitsvorfälle ordnungsgemäß zur Analyse.

# Checkliste zur Reaktion auf Sicherheitsvorfälle:
# 1. Betroffene Systeme isolieren
# 2. Beweismittel sichern
# 3. Zeitachse der Ereignisse dokumentieren
# 4. Angriffsvektoren identifizieren
# 5. Schaden und Datenexposition bewerten
# 6. Eindämmungsmaßnahmen planen
# 7. Wiederherstellungsverfahren planen

Threat Intelligence

Sammeln und analysieren Sie Informationen über aktuelle und aufkommende Sicherheitsbedrohungen.

OSINT (Open Source Intelligence)

Sammeln Sie öffentlich verfügbare Bedrohungsinformationen.

# Domain-Informationen suchen
whois example.com
# DNS-Abfrage
dig example.com
nslookup example.com
# Subdomains finden
sublist3r -d example.com
# Reputationsdatenbanken prüfen
# VirusTotal, URLVoid, AbuseIPDB

Threat Hunting Tools

Proaktive Suche nach Bedrohungen in Ihrer Umgebung.

# IOC (Indicators of Compromise) Suche
grep -r "suspicious_hash" /var/log/
# Nach bösartigen IPs suchen
grep "192.168.1.100" /var/log/auth.log
# Dateihash-Vergleich
find /tmp -type f -exec sha256sum {} \;

Threat Feeds & Intelligence

Bleiben Sie auf dem Laufenden mit den neuesten Bedrohungsinformationen.

# Beliebte Threat-Intelligence-Quellen:
# - MISP (Malware Information Sharing Platform)
# - STIX/TAXII Feeds
# - Kommerzielle Feeds (CrowdStrike, FireEye)
# - Regierungs-Feeds (US-CERT, CISA)
# Beispiel: IP gegen Threat Feeds prüfen
curl -s "https://api.threatintel.com/check?ip=1.2.3.4"

Threat Modeling

Identifizieren und bewerten Sie potenzielle Sicherheitsbedrohungen.

# STRIDE Bedrohungsmodell-Kategorien:
# - Spoofing (Identität)
# - Tampering (Daten)
# - Repudiation (Aktionen)
# - Information Disclosure
# - Denial of Service
# - Elevation of Privilege

Verschlüsselung & Datenschutz

Implementieren Sie starke Verschlüsselung zum Schutz sensibler Daten.

Datei- & Festplattenverschlüsselung

Verschlüsseln Sie Dateien und Speichergeräte, um Daten im Ruhezustand zu schützen.

# Datei mit GPG verschlüsseln
gpg -c sensitive_file.txt
# Datei entschlüsseln
gpg sensitive_file.txt.gpg
# Vollständige Festplattenverschlüsselung mit LUKS
sudo cryptsetup luksFormat /dev/sdb
sudo cryptsetup luksOpen /dev/sdb encrypted_drive
# SSH-Schlüssel generieren
ssh-keygen -t rsa -b 4096
# SSH-Schlüssel-Authentifizierung einrichten
ssh-copy-id user@server

Netzwerkverschlüsselung

Sichern Sie Netzwerkkommunikation mit Verschlüsselungsprotokollen.

# VPN-Einrichtung mit OpenVPN
sudo apt install openvpn
sudo openvpn --config client.ovpn

Zertifikatsverwaltung

Verwalten Sie digitale Zertifikate für sichere Kommunikation.

# Zertifizierungsstelle erstellen
openssl genrsa -out ca-key.pem 4096
openssl req -new -x509 -key ca-key.pem -out ca.pem
# Serverzertifikat generieren
openssl genrsa -out server-key.pem 4096
openssl req -new -key server-key.pem -out server.csr
# Zertifikat mit CA signieren
openssl x509 -req -in server.csr -CA ca.pem -CAkey ca-key.pem -out server.pem

Data Loss Prevention

Verhindern Sie unbefugte Datenexfiltration und -lecks.

# Dateizugriff überwachen
sudo apt install auditd
# Audit-Regeln konfigurieren
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
# Audit-Protokolle durchsuchen
sudo ausearch -k passwd_changes

Sicherheitsautomatisierung & Orchestrierung

Automatisieren Sie Sicherheitsaufgaben und Reaktionsverfahren.

Automatisierung von Sicherheitsscans

Planen Sie regelmäßige Sicherheitsüberprüfungen und -bewertungen.

# Automatisiertes Nmap-Scan-Skript
#!/bin/bash
DATE=$(date +%Y-%m-%d)
nmap -sS -O 192.168.1.0/24 > /var/log/nmap-scan-$DATE.log
# Mit Cron planen
# 0 2 * * * /path/to/security-scan.sh

# Automatisierte Schwachstellenprüfung
#!/bin/bash
nikto -h $1 -o /var/log/nikto-$(date +%Y%m%d).txt

Protokollüberwachungsskripte

Automatisieren Sie die Protokollanalyse und Alarmierung.

# Überwachung fehlgeschlagener Anmeldungen
#!/bin/bash
FAILED_LOGINS=$(grep "Failed password" /var/log/auth.log | tail -n 100 | wc -l)
if [ $FAILED_LOGINS -gt 10 ]; then
    echo "Hohe Anzahl fehlgeschlagener Anmeldungen erkannt: $FAILED_LOGINS" | mail -s "Sicherheitsalarm" admin@company.com
fi

Automatisierung der Reaktion auf Vorfälle

Automatisieren Sie erste Verfahren zur Reaktion auf Vorfälle.

# Automatisiertes Skript zur Bedrohungsabwehr
#!/bin/bash
SUSPICIOUS_IP=$1
# IP in der Firewall blockieren
sudo ufw deny from $SUSPICIOUS_IP
# Aktion protokollieren
echo "$(date): Blockierte verdächtige IP $SUSPICIOUS_IP" >> /var/log/security-actions.log
# Alarm senden
echo "Blockierte verdächtige IP: $SUSPICIOUS_IP" | mail -s "IP Blockiert" security@company.com

Konfigurationsmanagement

Beibehalten sicherer Systemkonfigurationen.

# Ansible Security Playbook Beispiel
---
- name: SSH-Konfiguration härten
  hosts: all
  tasks:
    - name: Root-Login deaktivieren
      lineinfile:
        path: /etc/ssh/sshd_config
        line: 'PermitRootLogin no'
    - name: SSH-Dienst neu starten
      service:
        name: sshd
        state: restarted

Compliance & Risikomanagement

Implementierung von Sicherheitsrichtlinien

Implementieren und pflegen Sie Sicherheitsrichtlinien und -verfahren.

# Erzwingung der Passwortrichtlinie (PAM)
sudo nano /etc/pam.d/common-password
# Hinzufügen: password required pam_pwquality.so minlen=12
# Kontosperrrichtlinie
sudo nano /etc/pam.d/common-auth
# Hinzufügen: auth required pam_tally2.so deny=5 unlock_time=900

Audit & Compliance-Prüfung

Überprüfen Sie die Einhaltung von Sicherheitsstandards und Vorschriften.

# CIS (Center for Internet Security) Benchmark-Tools
sudo apt install cis-cat-lite
# CIS-Bewertung ausführen
./CIS-CAT.sh -a -s

Risikobewertungstools

Bewerten und quantifizieren Sie Sicherheitsrisiken.

# Risikomatrix-Berechnung:
# Risiko = Wahrscheinlichkeit × Auswirkung
# Niedrig (1-3), Mittel (4-6), Hoch (7-9)
# Priorisierung von Schwachstellen
# CVSS-Score-Berechnung
# Basisscore = Auswirkung × Ausnutzbarkeit

Dokumentation & Berichterstattung

Führen Sie ordnungsgemäße Sicherheitsdokumentationen und Berichte.

# Vorlage für Sicherheitsvorfallbericht:
# - Datum und Uhrzeit des Vorfalls
# - Betroffene Systeme
# - Identifizierte Angriffsvektoren
# - Kompromittierte Daten
# - Ergriffene Maßnahmen
# - Gewonnene Erkenntnisse
# - Wiederherstellungsplan

Installation von Sicherheitstools

Installieren und konfigurieren Sie wesentliche Cybersicherheitstools.

Paketmanager

Installieren Sie Tools mithilfe von Systempaketmanagern.

# Ubuntu/Debian
sudo apt update
sudo apt install nmap wireshark tcpdump
# CentOS/RHEL
sudo yum install nmap wireshark tcpdump
# Arch Linux
sudo pacman -S nmap wireshark-qt tcpdump

Spezialisierte Linux-Distributionen

Spezialisierte Linux-Distributionen für Sicherheitsexperten.

# Kali Linux - Penetrationstests
# Download von: https://www.kali.org/
# Parrot Security OS
# Download von: https://www.parrotsec.org/
# BlackArch Linux
# Download von: https://blackarch.org/

Tool-Verifizierung

Überprüfen Sie die Tool-Installation und die grundlegende Konfiguration.

# Tool-Versionen prüfen
nmap --version
wireshark --version
# Grundlegender Funktionsfähigkeitstest
nmap 127.0.0.1
# Tool-Pfade konfigurieren
export PATH=$PATH:/opt/tools/bin
echo 'export PATH=$PATH:/opt/tools/bin' >> ~/.bashrc

Best Practices für die Sicherheitskonfiguration

Wenden Sie Sicherheits-Härtungskonfigurationen auf Systeme und Anwendungen an.

Systemhärtung

Sichern Sie Betriebssystemkonfigurationen.

# Unnötige Dienste deaktivieren
sudo systemctl disable telnet
sudo systemctl disable ftp
# Sichere Dateiberechtigungen festlegen
sudo chmod 600 /etc/ssh/sshd_config
sudo chmod 644 /etc/passwd
# Systemlimits konfigurieren
echo "* hard core 0" >> /etc/security/limits.conf

Netzwerksicherheitseinstellungen

Implementieren Sie sichere Netzwerkkonfigurationen.

# IP-Weiterleitung deaktivieren (falls kein Router)
echo "net.ipv4.ip_forward = 0" >> /etc/sysctl.conf
# SYN-Cookies aktivieren
echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
# ICMP-Weiterleitungen deaktivieren
echo "net.ipv4.conf.all.accept_redirects = 0" >> /etc/sysctl.conf

Anwendungssicherheit

Sichern Sie Anwendungs- und Dienstkonfigurationen.

# Apache Sicherheits-Header
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options DENY
Header always set X-XSS-Protection "1; mode=block"
# Nginx Sicherheitskonfiguration
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

Sicherheit von Backups & Wiederherstellung

Implementieren Sie sichere Backup- und Notfallwiederherstellungsverfahren.

# Verschlüsselte Backups mit rsync
rsync -av --password-file=/etc/rsyncd.secrets /data/ backup@server::backups/
# Backup-Integrität testen
tar -tzf backup.tar.gz > /dev/null && echo "Backup OK"
# Automatisierte Backup-Überprüfung
#!/bin/bash
find /backups -name "*.tar.gz" -exec tar -tzf {} \; > /dev/null

Fortgeschrittene Sicherheitstechniken

Implementieren Sie fortgeschrittene Sicherheitsmaßnahmen und Abwehrstrategien.

Intrusion Detection Systems

Bereitstellung und Konfiguration von IDS/IPS zur Bedrohungserkennung.

# Suricata IDS installieren
sudo apt install suricata
# Regeln konfigurieren
sudo nano /etc/suricata/suricata.yaml
# Regeln aktualisieren
sudo suricata-update
# Suricata starten
sudo systemctl start suricata
# Warnungen überwachen
tail -f /var/log/suricata/fast.log

Security Information and Event Management (SIEM)

Zentralisieren und analysieren Sie Sicherheitsprotokolle und -ereignisse.

# ELK Stack (Elasticsearch, Logstash, Kibana)
# Elasticsearch installieren
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update && sudo apt install elasticsearch

Sicherheitsbewusstsein & Schulung

Abwehr von Social Engineering

Erkennen und verhindern Sie Social-Engineering-Angriffe.

# Phishing-Identifizierungstechniken:
# - Absender-E-Mail sorgfältig prüfen
# - Links vor dem Klicken überprüfen (Hovern)
# - Auf Rechtschreib-/Grammatikfehler achten
# - Bei dringenden Anfragen misstrauisch sein
# - Anfragen über separaten Kanal verifizieren
# Zu prüfende E-Sicherheits-Header:
# SPF, DKIM, DMARC-Einträge

Entwicklung einer Sicherheitskultur

Aufbau einer sicherheitsbewussten Organisationskultur.

# Elemente des Sicherheitsbewusstseinsprogramms:
# - Regelmäßige Schulungssitzungen
# - Phishing-Simulations-Tests
# - Aktualisierungen der Sicherheitsrichtlinien
# - Verfahren zur Meldung von Vorfällen
# - Anerkennung für gute Sicherheitspraktiken
# Zu verfolgende Metriken:
# - Abschlussquoten der Schulungen
# - Klickraten bei Phishing-Simulationen
# - Meldungen von Sicherheitsvorfällen

Relevante Links

• Linux Spickzettel
• Shell Spickzettel
• Kali Linux Spickzettel
• Nmap Spickzettel
• Wireshark Spickzettel
• Hydra Spickzettel
• DevOps Spickzettel
• Git Spickzettel