LPIC-3-Prüfung 303: Sicherheit

Seminarziel

Nach Teilnahme an diesem LPI Seminar sind Sie optimal vorbereitet, um das Zertifikat für LPIC-3 Exam 303: Sicherheit zu bestehen.

Inhalt

Thema 331: Kryptographie
331.1 X.509-Zertifikate und Public-Key-Infrastrukturen

• Grundlegendes zu X.509-Zertifikaten, X.509-Zertifikatlebenszyklus, X.509-Zertifikatfeldern und X.509v3-Zertifikaterweiterungen
• Verständnis von Vertrauensketten und Public-Key-Infrastrukturen, einschließlich Zertifikattransparenz
• Generieren und Verwalten von öffentlichen und privaten Schlüsseln
• Erstellen, betreiben und sichern Sie eine Zertifizierungsstelle
• Anfordern, Signieren und Verwalten von Server- und Clientzertifikaten
• Zertifikate und Zertifizierungsstellen widerrufen
• Grundkenntnisse in Let's Encrypt, ACME und certbot
• Grundlegende Feature-Kenntnisse in CFSSL
  
  

331.2 X.509-Zertifikate für Verschlüsselung, Signierung und Authentifizierung

• Grundlegendes zu SSL, TLS, einschließlich Protokollversionen und Chiffren
• Konfigurieren Sie Apache HTTPD mit mod_ssl, um HTTPS-Dienste bereitzustellen, einschließlich SNI und HSTS
• Konfigurieren Sie Apache HTTPD mit mod_ssl, um Zertifikatsketten zu bedienen und die Verschlüsselungskonfiguration anzupassen (keine chiffrespezifischen Kenntnisse)
• Konfigurieren Sie Apache HTTPD mit mod_ssl, um Benutzer mithilfe von Zertifikaten zu authentifizieren
• Konfigurieren Sie Apache HTTPD mit mod_ssl, um OCSP-Heftungen bereitzustellen
• Verwenden von OpenSSL für SSL/TLS-Client- und Servertests
  
  

331.3 Verschlüsselte Dateisysteme

• Grundlegendes zur Blockierungsgeräte- und Dateisystemverschlüsselung
• Verwenden Sie dm-crypt mit LUKS1, um Blockiergeräte zu verschlüsseln
• Verwenden Sie eCryptfs zum Verschlüsseln von Dateisystemen, einschließlich Home-Verzeichnissen und PAM-Integration
• Bewusstsein für einfache dm-crypt
• Bekanntheit der LUKS2-Funktionen
• Konzeptionelles Verständnis von Clevis für LUKS-Geräte und Clevis-PINs für TPM2 und Network Bound Disk Encryption (NBDE)/Tang
  
  

331.4 DNS und Kryptographie

• Grundlegendes zu den Konzepten von DNS, Zonen und Ressourceneinträgen
• Verstehen Sie DNSSEC, einschließlich Schlüsselsignaturschlüsseln, Zonensignaturschlüsseln und relevanten DNS-Einträgen wie DS, DNSKEY, RRSIG, NSEC, NSEC3 und NSEC3PARAM
• Konfigurieren und Problembehandlung von BIND als autorisierender Nameserver, der DNSSEC-gesicherte Zonen bedient
• Verwalten von DNSSEC-signierten Zonen, einschließlich Schlüsselgenerierung, Schlüsselrollover und Neusignierung von Zonen
• Konfigurieren von BIND als rekursiver Nameserver, der die DNSSEC-Validierung im Auftrag seiner Clients durchführt
• Verstehen Sie CAA und DANE, einschließlich relevanter DNS-Einträge wie CAA und TLSA
• Verwenden von CAA und DANE zum Veröffentlichen von X.509-Zertifikats- und Zertifizierungsstelleninformationen in DNS
• Verwenden Sie TSIG für die sichere Kommunikation mit BIND
• Bekanntheit von DNS über TLS und DNS über HTTPS
• Bekanntheit von Multicast-DNS
  
  

332: Hostsicherheit
332.1 Host Hardening

• Konfigurieren der BIOS- und Bootloader-Sicherheit (GRUB 2)
• Deaktivieren nicht verwendeter Software und Dienste
• Verstehen und Beseitigen unnötiger Funktionen für bestimmte systemd-Einheiten und das gesamte System
• Verstehen und Konfigurieren von Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) und Exec-Shield
• Schwarze und weiße Liste USB-Geräte, die über USBGuard an einen Computer angeschlossen sind
• Erstellen Sie eine SSH-Zertifizierungsstelle, erstellen Sie SSH-Zertifikate für Host- und Benutzerschlüssel mithilfe der Zertifizierungsstelle und konfigurieren Sie OpenSSH für die Verwendung von SSH-Zertifikaten
• Arbeiten mit chroot-Umgebungen
• Verwenden Sie systemd-Einheiten, um die für einen Prozess verfügbaren Systemaufrufe und Funktionen einzuschränken
• Verwenden Sie systemd Units, um Prozesse mit eingeschränktem oder keinem Zugriff auf bestimmte Dateien und Geräte zu starten
• Verwenden Sie systemd-Einheiten, um Prozesse mit dedizierten temporären und /dev-Verzeichnissen und ohne Netzwerkzugriff zu starten
• Verstehen Sie die Auswirkungen von Linux Meltdown- und Spectre-Mitigationen und aktivieren/deaktivieren Sie die Mitigations
• Bewusstsein für Polkit
• Bewusstsein für die Sicherheitsvorteile von Virtualisierung und Containerisierung
  
  

332.2 Host Intrusion Detection

• Verwenden und Konfigurieren des Linux Audit-Systems
• chkrootkit verwenden
• Verwenden und konfigurieren Sie rkhunter, einschließlich Updates
• Verwenden Sie Linux Malware Detect
• Host-Scans mit cron automatisieren
• Verwenden Sie RPM- und DPKG-Paketverwaltungstools, um die Integrität installierter Dateien zu überprüfen
• Konfigurieren und Verwenden von AIDE, einschließlich Regelverwaltung
• Bekanntheit von OpenSCAP
  
  

332.3 Resource Control

• ulimits verstehen und konfigurieren
• Verstehen Sie cgroups, einschließlich Klassen, Limits und Buchhaltung
• cgroups verwalten und cgroup-Zuordnung verarbeiten
• Verstehen von systemgesteuerten Slices, Bereichen und Services
• Verwenden Sie systemd-Einheiten, um die Systemressourcen zu begrenzen, die Prozesse verbrauchen können
• Bekanntheit der Dienstprogramme cgmanager und libcgroup
  
  

Thema 333: Zugriffskontrolle
333.1 Diskretionäre Zugriffskontrolle

• Verstehen und Verwalten von Dateibesitz und -berechtigungen, einschließlich SetUID- und SetDID-Bits
• Verstehen und Verwalten von Zugriffssteuerungslisten
• Verstehen und Verwalten erweiterter Attribute und Attributklassen
  
  

333.2 Obligatorische Zugangskontrolle

• Verstehen Sie die Konzepte der Typendurchsetzung, der rollenbasierten Zugriffskontrolle, der obligatorischen Zugriffskontrolle und der diskretionären Zugriffskontrolle
• Konfigurieren, verwalten und verwenden Sie SELinux
• Bekanntheit von AppArmor und Smack
  
  

Thema 334: Netzwerksicherheit
334.1 Netzwerk

• Grundlegendes zu Sicherheitsmechanismen für drahtlose Netzwerke
• Konfigurieren von FreeRADIUS zur Authentifizierung von Netzwerkknoten
• Verwenden Sie Wireshark und tcpdump, um den Netzwerkverkehr zu analysieren, einschließlich Filter und Statistiken
• Verwenden Sie Kismet, um drahtlose Netzwerke zu analysieren und drahtlosen Netzwerkverkehr zu erfassen
• Identifizieren und Behandeln von nicht autorisierten Routerankündigungen und DHCP-Nachrichten
• Bewusstsein für Aircrack-ng und bettercap
  
  

334.2 Erkennung von Netzwerkeinbrüchen

• Implementieren der Überwachung der Bandbreitennutzung
• Konfigurieren und Verwenden von Snort, einschließlich Regelverwaltung
• Konfigurieren und Verwenden von OpenVAS, einschließlich NASL
  
  

334.3 Paketfilterung

• Grundlegendes zu gängigen Firewall-Architekturen, einschließlich DMZ
• Verstehen und Verwenden von iptables und ip6tables, einschließlich Standardmodulen, Tests und Zielen
• Implementieren der Paketfilterung für IPv4 und IPv6
• Implementieren von Verbindungsverfolgung und Netzwerkadressübersetzung
• Verwalten von IP-Sätzen und Verwenden in Netzfilterregeln
• Bekanntheit von nftables und nft
• Bewusstsein für ebtables
• Bewusstsein für conntrackd
  
  

334.4 Virtuelle private Netzwerke

• Verstehen Sie die Prinzipien von überbrückten und gerouteten VPNs
• Verstehen Sie die Prinzipien und Hauptunterschiede der Protokolle OpenVPN, IPsec, IKEv2 und WireGuard
• OpenVPN-Server und -Clients konfigurieren und betreiben
• Konfigurieren und Betreiben von IPsec-Servern und -Clients mit strongSwan
• Konfiguration und Betrieb von WireGuard Servern und Clients
• Bekanntheit von L2TP
  
  

Thema 335: Bewertung von Bedrohungen und Schwachstellen
335.1 Häufige Sicherheitslücken und Bedrohungen

• Konzeptionelles Verständnis von Bedrohungen gegen einzelne Knoten
• Konzeptionelles Verständnis von Bedrohungen gegen Netzwerke
• Konzeptionelles Verständnis von Bedrohungen gegen Anwendungen
• Konzeptionelles Verständnis von Bedrohungen gegen Anmeldeinformationen und Vertraulichkeit
• Konzeptionelles Verständnis von Honeypots
  
  

335.2 Penetrationsprüfung

• Verstehen Sie die Konzepte von Penetrationstests und ethischem Hacking
• Rechtliche Implikationen von Penetrationstests verstehen
• Verstehen Sie die Phasen von Penetrationstests, z. B. aktives und passives Sammeln von Informationen, Aufzählung, Erlangen von Zugriffen, Eskalation von Berechtigungen, Aufrechterhaltung des Zugriffs, Abdecken von Spuren
• Verstehen Sie die Architektur und Komponenten von Metasploit, einschließlich Metasploit-Modultypen und wie Metasploit verschiedene Sicherheitstools integriert
• Verwenden Sie nmap, um Netzwerke und Hosts zu scannen, einschließlich verschiedener Scanmethoden, Versionsscans und Betriebssystemerkennung
• Verstehen Sie die Konzepte der Nmap Scripting Engine und führen Sie vorhandene Skripts aus
• Bekanntheit von Kali Linux, Armitage und dem Social Engineer Toolkit (SET)