NAT/NAPT/PortForwarding
Funktionsweise
NAT: Router ersetzt die Quell IP der Anfrage wenn eine Anfrage vom LAN(Privat) ins
Internet(Öffentlich) geht durch seine öffentliche IP-Adresse(Infos werden für Rückübersetzung in Nat Tabelle gespeichert)
NAPT: Router ersetzt Quell IP und Quell Port durch seine Externe IP und einen Random Port über 1024 wenn ein
Client eine Anfrage vom Privaten ins externe Netz stellt, dadurch können mehrere Geräte die selbe öffentliche IP verwenden
Unterschied Basic NAT und NAPT
Basic NAT übersetzt nur IP-Adressen.
NAPT übersetzt IP-Adressen und Ports, sodass mehrere Geräte mit einer
öffentlichen IP über unterschiedliche Ports kommunizieren können.
Begriffe: Vertraulichkeit Verfügbarkeit
Vertraulichkeit:
Sicherstellung, dass nur autorisierte Personen Zugriff auf Daten haben.
Maßnahmen: Verschlüsselung, Zugangskontrollen, Authentifizierung.
Verfügbarkeit:
Sicherstellung, dass Daten und Systeme jederzeit verfügbar sind.
Maßnahmen: Backup, Redundanz, Lastverteilung, DDoS-Schutz.
Integrität, Autentizität
Integrität:
Sicherstellung, dass Daten nicht unbefugt verändert werden.
Maßnahmen: Hashing, digitale Signaturen, Prüfziffern.
Authentizität:
Sicherstellung, dass die Quelle von Daten oder Kommunikation vertrauenswürdig ist.
Maßnahmen: Zwei-Faktor-Authentifizierung, Zertifikate, digitale Signaturen
Symmetrische Verschlüsselung
Vor- Nachteile Algorithmen
Alle Partner haben den selben Schlüssen, mithilfe wessen diese die Daten ver- bzw entschlüsseln
Vorteile: schnell, effizient
Nachteile: Sicherheit von Schlüssellänge abhängig, schlüssel muss sicher übertragen wenn kompormittiert kann
alle entschlüsselt werden
Algorithmen: AES
Asymmetrische Verschlüsselung
es wird ein zueinander passendendes Schlüsselpaar vom empfänger erstellt, ein private und ein Public Key,
der Absender verschlüsselt mit dem Public Key und der Empänger entschlüsselt mit dem Private Key
Vorteile: es muss kein private key übertragen werden, sicherer
Nachteile: Öffentliche schlüssel muss übertragen werden dafür benötigt man eine PKI, langsamer als Symetrisch
Algorithmen: RSA
Hashwertverfahren
und was gewährleistet werden muss
Haswertverfahren ist ein mathematischer Algorithmus, der aus einem beliebig langen
Datenstrom eine Hashwert erzeugt.
Dieser muss folgende Sachen gewährleisten:
Einwegfunktion: Der Hashwert darf nicht Rückwärts funktionieren also aus Hash den Ausgangswert
Kollisionssicherheit: Aus unterschiedlichen Texten darf nicht der gleiche Hashwert erzeugt werden
Schnelligkeit: Verfahren muss schnell seine
Vorteile: Kennwörter können als Hash einfach übertagen werden
Algorithmen: MD5, SHA256
Digitale Signaturen
Bei der digitalen Signatur wird ein Hash der Daten gebildet und mit dem privaten Schlüssel verschlüsselt.
Dieser verschlüsselte Hash wird an die Daten angehängt. Der Empfänger vergleicht den berechneten Hash mit
der entschlüsselten Signatur, um sicherzustellen, dass die Daten unverändert sind und vom Besitzer des
privaten Schlüssels stammen.
Vorteile: Signatur stellt die einzige Möglichkeit dar, Informationen unverfälscht zu übertragen
Nachteile: Übertragung des öffentliche Schlüssels muss fälschungssicher sein
HTTPS Ablauf:
1. 3 Way Handshake
2. Client an Server => Hello(CipherSuits, unterstützte Verschlüsselungsverfahren)
3. Server an Client => Cipher Austausch
4. Server an Client => Webserver Zertifikat
5. Client prüft Zertifikat auf gültigkeit
6. Client erstellt Session key und verschlüsselt den mit dem public key aus zertifikat und sendet an Server
7. Server entschlüsselt Session Key mit Private Key
Unterschied TLS 1.2 und TLS 1.3
TLS 1.2 unterstützt unsichere Algorithmen während TLS 1.3 nur sichere Algorithmen wie verwendet; der Handshake in TLS 1.3 ist schneller, da er nur einen Roundtrip erfordert.
Diffie-Hellman
Diffie-Hellman ermöglicht es zwei Parteien, einen gemeinsamen geheimen Schlüssel über ein unsicheres Netzwerk
zu erstellen.
Beide wählen geheime Zufallszahlen teilen diese miteinander und berechnen öffentliche Werte, die sie austauschen.
Anschließend berechnen sie jeweils den gemeinsamen Schlüssel, ohne dass dieser übertagen werden muss
Active Directory Domain Service
Grundbegriffe:
Tree
Domäne
Forest
OU
Tree= gemeinsamer Namensstamm z.B test.de und te.test.de wenn dann noch eine andere Domäne die nicht den selben
Namen hat wird es ein Forest
Domäne:
Speicherort der Objekte
Gesamtstruktur (Forest):
Mehrere Domänen, die zusammenarbeiten, aber verschiedene Namen haben.
Beispiel: firma.local und partnerfirma.com gehören zu einem Forest.
Organisationseinheit (OU):
Beispiel: Abteilungen wie "Vertrieb" oder "IT" haben eigene OUs.
AD:
Warum Computerobjekte
LDAP
Objektverwaltung
Userobjekt
Gruppen
Wozu werden Computerobjekte benötigt?
Sie stehen für Computer im Netzwerk und helfen dabei, zu Verwalten und Regeln (z. B. Sicherheitsrichtlinien) anzuwenden.
LDAP ist ein Protokoll, das den Zugriff auf und die Verwaltung von Verzeichnissen ermöglicht
Objektverwaltung:
ADDS organisiert Objekte hierarchisch
User-Objekt
Ein User-Objekt in ADDS (Active Directory Domain Services) repräsentiert einen Benutzer im Netzwerk.
Es enthält Informationen wie den Benutzernamen, Passwort, E-Mail-Adresse und Gruppenmitgliedschaften
Gruppen (Typen, Bereiche)
In ADDS gibt es Sicherheitsgruppen (zur Berechtigungssteuerung)
Praxis-Beispiel IGDLA
PortForwarding:
Leitet eingehenden Verkehr an bestimmten Ports an definierte Hosts im internen LAN weiter
Last changed13 days ago
