Zum Inhalt springen

ZeroZeroZX

Mitglieder
  • Gesamte Inhalte

    38
  • Benutzer seit

  • Letzter Besuch

Letzte Besucher des Profils

Der "Letzte Profil-Besucher"-Block ist deaktiviert und wird anderen Benutzern nicht angezeit.

  1. Hi, vielleicht hilft Dir der folgende Beitrag, falls Du diesen noch nicht kennst; dort haben drei Leute ihre Erfahrung mit dem Studium beschrieben:
  2. Wenn Du mit diesen Zertifikaten die Ausbildung verlässt, stehst Du schonmal verdammt gut dar. Du sagtest zwar, dass Du im Bereich IT-Sicherheit arbeiten möchtest, aber nicht wo genau. CCNA ist ja Netzwerktechnik, OSCP/OSEP hingegen PenTesting und CISSP dann widerum eher Security-Management. Für ne Einsteigerposition im Penetration Testing könnte Dein Profil schon ziemlich gut passen. Da sehe ich Dein Gehalt in den oberen 40ern, wenn nicht sogar mit einer 5 vorne. Du erwähntest außerdem Bochum: Wirf mal einen Blick auf die Ausschreibungen von der ESCRYPT GmbH (Teil der Bosch-Gruppe). Da könnte was Interessantes für Dich dabei sein. Ansonsten wüsste ich nicht, welches Zertifikat Du noch machen solltest, bzw. welches dann auch realistisch in der verbleibenden Zeit (neben dem OSEP) zu schaffen ist. Dein Portfolio ist ja schon mehr als beachtlich. Mit Angeboten von OffSec bist Du aber auf jeden Fall schonmal richtig, wenn Dich die technische Seite interessiert. Könntest Du vielleicht etwas zum OSCP sagen (Übungsmaterial, Vorgehensweise etc.)? Plane den nämlich auch bald anzugehen. Gerne auch per DM .
  3. @Whitehammer03An sich gerne, jedoch habe ich noch keinen LinkedIn-Account. Werde ich mir aber wahrscheinlich bald zulegen und dann würde ich auf das Angebot nochmal zurückkommen. Und mit dem Pre Security Kurs machst Du definitiv nichts verkehrt. Dort sind viele Inhalte des von mir eingangs empfohlenen Kurs auch enthalten. Wenn die Grundlagen sitzen und Du Dich dann langsam mit den verschiedensten Security-Tools in praktischen Test-Szenarien vertraut machst, sollte der Spaß-Faktor auch nochmal erheblich steigen. Einfach fleißig dran bleiben
  4. @Whitehammer03Danke Dir! Da haben wir ja sogar mehr gemeinsam als ich eigentlich dachte, denn ich bin ebenfalls im Bereich Firewalling tätig. Noch ein Funfact: Ich komme auch aus Deiner Nähe Als würde ich hier mit meinem Spiegelbild reden. Firewalling ist aber nur ein Teil des Ganzen, was ich so mache. Das Ganze drum herum wie IDS/IPS, DMZ, VPN gehört auch mit dazu. In absehbarer Zukunft wechseln wir aber auf eine moderne Zero Trust Lösung, die Dinge wie VPN und Firewalls ablösen wird. Das wird dann mein neues, spannende Aufgabengebiet. Langfristig möchte ich aber (wahrscheinlich) gerne ins Red Teaming/Penetration Testing gehen. Deshalb daddel ich u.a. auch auf Plattformen wie THM und HTB und plane noch die ein oder andere relevante Zertifizierung abzuschließen.
  5. Hi Whitehammer, ich bin in einer ähnlichen Lage wie Du: FISI-Ausbildung mit Schwerpunkt IT-Sicherheit, eine Woche vor Ausbildungsende und danach weiterhin im Bereich IT-Sec tätig. TryHackMe kann ich definitiv (insb. für den Anfang empfehlen). Dort gibt es zahlreiche Räume/Trainings, die man zum Teil komplett kostenlos machen kann und dadurch, dass es i.d.R. interaktiv/praktisch ist, lernt man auch sehr gut dabei. Der Kontent ist auch nach Schwierigkeitsgrad gegliedert, daher schau am besten einfach mal, wie Du mit den "Easy"-Sachen zurechtkommst. Den Raum "Complete Beginner" kann ich Dir wärmstens ans Herz legen. Ist ziemlich umfangreich (Alles von Linux über Web-Exploitation bis hin zu Kryptographie). Solltest Du Dich auf THM wohlfühlen, empfehle ich zusätzlich noch HackTheBox. Hier ist das Niveau schon höher und demnach sollte man etwas Vorerfahrung mitbringen. Das Abo kann ich bei beiden Plattformen empfehlen. Auf YouTube findet man oftmals Walkthroughs, bzw. auf anderen Webseiten passende WriteUps der Challenge. Es gibt noch viele weitere Plattformen wie VulnHub oder PenTesterLab, aber diese kenne ich nur grob und kann daher nicht viel zu sagen. Was das Thema Coding angeht, kann ich mich dem Vorredner nur anschließen. Im Bereich IT-Sicherheit gibt es Stellen für die man gar keine einzige Zeile Code benötigt, aber auch welche, bei denen man sehr vertraut mit mind. einer Sprache sein sollte. Es geht auch oftmals (zumindest im klassichen PenTesting/Ethical Hacking) nicht darum, tausende Zeilen von Code zu schreiben, sondern vorhandene Skripte anzupassen (bspw. eine Remote Shell) oder allgemeine Konzepte zu verstehen (und die damit verbundenen Risiken/Lücken). Falls Du Dich dem Thema Coding annähern möchtest, kann ich Dir ebenfalls Python und ansonsten Bash empfehlen. Je nach Angriffsvektor kämen aber noch weitere Sprachen hinzu: SQLi -> SQL, XSS -> JavaScript usw... Abseits dieser Thematik empfehle ich Dir noch, Dich mit Linux auseinanderzusetzen. Du wirst oftmals um eine Distro wie Kali oder Parrot nicht rumkommen (außer Du willst es Dir unnötig schwer machen). Da sollte ein grundlegendes Verständnis für übliche Operationen (im Dateisystem navigieren, Berechtigungen verwalten, Dateien erstellen/bearbeiten/ausgeben etc.) schon bestehen. Vor allem das Terminal wird Dein bester Freund sein, da hierüber nunmal die meisten (vorinstallierten) Tools ausgeführt werden und Du eben nicht immer eine passende GUI zur Verfügung hast. Viel Erfolg 🙂
  6. Mich wundert's, dass bislang noch niemand geschrieben hat, dass die Klausur ja total unmöglich und viel schwieriger als die Vorherigen war, wie es sonst immer der Fall ist Auch wenn ein paar fragwürdige Aufgaben drankamen, fand ich's aber alles in allem ziemlich gut. Als FISI hätte ich mir jedoch mehr "traditionelle" Themen gewünscht wie Routing (mehr als diese zwei kleinen Teilaufgaben), RAID, Firewall, IPv6 und so Zeugs. Naja, was soll's; Jetzt heißt es warten und bis dahin die Projektdoku fertig basteln.
  7. Ich (FISI) fand GA1 - bis auf die Berechnungsaufgabe oben - ziemlich locker. GA2 ging auch, hier aber etwas unsicher als bei GA1. WISO war größtenteils auch gut zu machen, auch wenn ich bei manchen Aufgaben ne Münze geworfen hab, weil für mich zwei Antwortmöglichkeiten passten. Vor- und Nachteil für Barcode war ja vorgegeben. Bei QR-Code habe ich dasselbe wie aus dem Beispiel vom Barcode genommen 😃. Also +Kostengünstig | -keine Funktion, wenn Sichtberhinderung vorliegt. Bei RFID +Kann auch im Dunkeln/Ohne Sicht verwendet werden | -relativ teuer
  8. Naja, nicht jeder FISI wird in der Ausbildung so ausgebildet, dass er danach eine Stelle im Bereich IT-Sicherheit antreten könnte. Das muss man wenn dann schon mehr oder weniger gezielt machen, z.B. Schwerpunkt auf IT-Sec während der Ausbildung, Ausbildung bei einem Unternehmen mit Fokus auf IT-Sicherheit, Weiterbilden in der Freizeit etc. Bei mir bspw. sind es der erste und dritte Punkt und ich fange nach meiner Abschlussprüfung in wenigen Monaten genau in dem Bereich an. Ob es jetzt besorgniserregend ist, dass Du mit Deinem Wissen während der Ausbildung kaum Chance auf eine IT-Sec-Stelle hast? Ich denke nicht. IT-Sicherheit ist jetzt auch nicht gerade ein anfängerfreundliches Gebiet, da es eben erstmal auf vielen verschiedenen Themen basiert (je nach Richtung wie gesagt), die man beherrschen sollte. Ich würde aber an Deiner Stelle - wenn Du es wirklich ernst mit IT-Sec meinst - weg von diesen Support-Tätigkeiten und eben bspw. in Richtung Netzwerkadministration gehen oder anderes, was für den IT-Sec-Job hilft. Wie steht es denn in Deinem Betrieb überhaupt mit Sachen IT-Sicherheit und Netzwerktechnik? Kannst Du da nicht mal eingesetzt werden und Erfahrung sammeln? Das hilft wesentlich mehr, als zu versuchen, sich privat das ganze ohne bzw. mit wenig Praxisbezug reinzuprügeln.
  9. Das wird mit Deinem aktuellen Wissensstand verdammt schwierig bis unmöglich - nicht nur weil viele AGs ein Studium voraussetzen. Ein Weg, den man einschlagen könnte, wäre zuerst Netzwerkadmin und von dort aus in Richtung IT-Sec, was gar nicht so unüblich ist, aber auch hier ist es sehr fraglich inwiefern Du deine durch privates Lernen ausgleichen kannst, sodass Du Dich überhaupt für eine Netzwerkadmin-Stelle qualifizierst. Bin nicht so vertraut in dem Bereich, aber vielleicht gibt es ja passende Junior Netzwerkadmin-Stellen. Ggf. hilft ein aussagekräftiges Zertifikat wie der CCNA, wofür bei Deinen Kenntnissen aber auch ordentlich pauken gefordert ist. In welchen Bereich der IT-Sicherheit möchtest Du denn überhaupt? Je nachdem sind natürlich unterschiedliche Kenntnisse/Qualifikationen erforderlich, aber bei so ziemlich allen Bereichen werden Dir diese Support bzw. lightweight SysAdmin-Aufgaben eher weniger bringen....
  10. Der CISSP ist ein Zertifikat, für Leute mit Berufserfahrung, die eine Management-Stelle im Bereich der IT-Sicherheit anstreben. Hier wird auch nur theoretisches Wissen abgefragt und man muss nichts "vorführen". Ist aber (im Gegensatz zu den Aussagen der obenstehenden Kommentare) sehr angesehen in den höheren Positionen und gerne mal einem Studium gleichgestellt. Dürfte also rausfallen. Der OSCP ist für Einsteiger ebenfalls eher ungeeignet, da dieser schon ziemlich anspruchsvoll ist. Dies ist ein rein praktisches Zertifikat. 24 Stunden Zeit zum knacken von verschiedenen Maschinen und anschließendem Write-Up. Fällt also ebenfalls weg. CEH ist an sich machbar, aber dient i.d.R. nur als Filter für die HR. Technisch versiertere Leute in dem Bereich wissen entsprechend, dass man kein big brain sein muss, um dieses Zertifikat zu erlangen. Ist wie angesprochen auch "nur" ein Multiple-Choice Test. An sich aber nicht verkehrt für den Anfang. Security+ ist eigentlich auch relativ empfehlenswert für den Einstieg. Besonders im US-Bereich wird das Zertifikat als go-to empfohlen für Einsteiger. Dies wäre eine gute Anlaufstelle für OP. Ansonsten ist IT-Sicherheit eben ein Bereich, das auf vielen anderen Themen basiert. Themen wie Netzwerktechnik sollten sitzen, weshalb die Empfehlungen von Alex in Richtung Netzwerk-Zertifikate ebenfalls nicht verkehrt sind. Versuchen in eine Junior-Stelle zu kommen und dort Wissen & Erfahrung zu sammeln wird Dir i.d.R. mehr helfen als ein Zertifikat. Du hast außerdem nicht gesagt, in welche Richtung in der IT-Sicherheit Du Dich bewegen möchtest. Hier variieren die Anforderungen (und Zertifikate) demnach natürlich. Eine 27001 Lizenz wird Dir nicht groß im Pentesting helfen und andersrum wirst Du mit einem OSCP im Bereich Security-Audit nicht den größten Erfolg haben. Ansonsten, wenn Dich der Bereich Pentesting interessiert (oder Du schauen möchtest, ob Dich der Bereich interessiert), kann ich Dir Webseiten wie TryHackMe oder HackTheBox sehr empfehlen. Hier kannst du das "Hacken" praktisch lernen und Dich je nach Interessen und Niveau auf bestimmte Maschinen stürzen.
  11. @ManiskaDanke! Ich bespreche das mal mit den Kolleg*innen und schaue, was sich da anbietet und wie man das entsprechend umsetzen kann. -------------------------------------------- Sicherheitsrisiko der internen + kundenbezogenen Ressourcen, da die aktuelle Firewall EoL/EoS geht und bei neuen Sicherheitslücken nicht entsprechend mit Updates reagiert werden kann. Folglich könnten Angriffe auf das Netzwerk erfolgreich durchgeführt werden, wodurch die Reputation des Unternehmens leidet, sodass Kunden abspringen usw.... Hier würde ich nach Aufnahme der (technischen) Anforderungen Produkte von verschiedenen Herstellern (Cisco, Palo Alto, FortiGate, Sophos etc.) in Betracht ziehen, und diese bspw. durch Scoring-Verfahren nach Kriterien wie Funktionalität, Kosten, Usability, Leistung, ... und durch eine Wirtschaftlichkeitsanalyse miteinander vergleichen und entsprechend zu einem Ergebnis kommen. Danke auch Dir, Charmanta!
  12. Danke für Eure Antworten 😃 Die aktuelle Firewall, die im Einsatz ist, geht EoL/EoS und um weiterhin zukunftssicher Risiken zu minimieren, soll eben ein neues passendes Firewall-System gefunden/implementiert werden. Um noch ein paar (kaufmännische) Punkte miteinzuwerfen, die Teil des Projektes sein sollen und vielleicht eher in Richtung FISI gehen: Ist-Analyse & Soll-Konzept Technische Anforderungen prüfen Wirtschaftlichkeitsbewertung Produkt/Lösung auswählen und anschließend auswerten Ressourcenplanung (Personal, Kosten, Zeit, Sachmittel) ... Erst dann - in der Realisierungsphase - findet die eigentliche technische Umsetzung statt. Könntest Du da bitte mal Beispiele/Stichworte zu nennen, um mich ein wenig in die richtige "Richtung" zu lenken?
  13. Hallo 😃 Ich beende meine Ausbildung zum FISI im kommenden Winter und muss so langsam bis ~Mitte nächsten Monat den Projektantrag einreichen. Momentan bin ich in der Security-Abteilung des Ausbildungsbetriebes und dort möchte ich auch mein Abschlussprojekt machen. Habt Ihr Ideen, was man da als Thema nehmen kann? Im Grunde stehen mir die Optionen relativ offen, was ich jetzt konkret als Projekt nehme, aber vielleicht kennt Ihr in diesem Bereich ein paar Themen, die sich sehr anbieten würden. Ich habe schon eine eigene Idee, die ganz grob in Richtung Evaluierung und Implementierung einer neuen Firewall geht. Natürlich mit den entsprechenden Teilschritten wie Prüfen der Anforderungen, Heraussuchen möglicher Produkte/Lösungen, Vergleichen der Produkte, Einbindung ins Netz, Installation etc. Würde sowas in die Richtung in Ordnung gehen, falls das ohne genauen Projektantrag schon zu sagen ist? Falls Ihr selbst erfolgreich ein (interessantes) Projekt im Security-Bereich umgesetzt habt bzw. von einem derartigen Projekt erfahren habt oder "Musterprojekte" aus dem Gebiet kennt, würde ich mich über Rückmeldungen freuen .
  14. Ich versuche es mal zu erklären, da wir es selbst vor kurzem in der Schule hatten. Insgesamt stehen uns ja 256 Adressen zur Verfügung: Der Bereich 192.168.164.0 bis 192.168.164.255 sind ja genau 256 Adressen. Wir möchten vier gleichgroße Subnetze, also kann man jetzt ganz einfach diesen großen Bereich durch 4 teilen und erhält eben 64. Die Standard-Subnetzmaske dieser Adresse lautet ist ja die Class C Maske: 255.255.255.0 bzw. /24. Nun möchten wir das Netz ja aufteilen, in vier Netze. Das entspricht 2 hoch 2 (2^2). Genau diese 2 sind die Anzahl an Bits, die wir der Standard-Subnetzmaske hinzufügen müssen, bzw. die wir im letzten Oktett (wo jetzt noch die 0 steht) "aktivieren" müssen. Die ersten zwei Bits des letzten Oktetts sind ja 128 und 64. Die beiden addiert ergeben 192. Somit kommen wir auf 255.255.255.192 bzw. /26. Jetzt kann man die 64, die ich im ersten Schritt erklärt habe, nochmal gegenprüfen: Ein Oktett besteht ja aus insgesamt 8 Bits, wovon wir jetzt 2 "aktiviert" haben, also die ersten beiden Bits sind nicht mehr auf 0, sondern auf 1 gestellt. Das bedeutet die hinteren 6 Bits sind weiterhin auf 0. Jetzt kann man 2 hoch 6 (2^6) berechnen und kommt ebenfalls genau auf diese 64. Also: Die Standardmaske haben wir um 2 erweitert, da wir vier (2^2) gleichgroße Netzen haben möchten. Somit wurde aus 255.255.255.0 (/24) mit den zwei hinzugefügten Bits 255.255.255.192 (/26) und wir können für jedes der vier Subnetze jeweils ein 64er "Paket" vergeben. Das erste Subnetz also von 192.168.164.0 - 192.169.164.63, das zweite von 192.168.164.64 - 192.167.164.127 und so weiter. Ich hoffe, das war einigermaßen verständlich. Sonst frag gerne nochmal nach 😃
  15. Erstmal vielen Dank für Eure Antworten. Das ist eine gute Idee. Ich habe einen Laptop, der von der Firma gestellt wird auf dem ich das ganze auch wahrscheinlich installieren und nutzen dürfte. Da vergewissere ich mich aber dann nochmal. Ich finde es nur etwas blöd, dass ich mir dann diesen Teil schön brav autodidaktisch aneignen darf, obwohl eine ganze Abteilung dafür zuständig wäre. Ist ja eigentlich eine Ausbildung und kein Lernen in Eigenregie. Wenn sich aber weiterhin unkooperativ gezeigt wird, werde ich dies wohl trotzdem machen (müssen). Das Team steht so in der Konstellation schon mehrere Jahre. Da ist schon lange kein neuer, vollwertiger Mitarbeiter eingearbeitet worden. Und angeblich haben die Systeme erst über die Zeit an Komplexität gewonnen; sie waren wohl vor Jahren noch nicht so eng miteinander verbunden, aber jetzt sei es zu riskant. In den Abteilungen, die ich bislang durchlaufen habe, habe ich mich durchweg sehr gut verhalten. Selbst da habe ich vereinzelt Aufgaben übernommen, die eher nicht für Azubis vorgesehen waren, aber mir trotzdem anvertraut wurden in einem gutem Ergebnis resultierten. Das habe ich auch mal subtil bei der neuen Abteilung zu Wort gebracht, aber keine Chance. Egal welcher Azubi, egal wie gut, wie zuverlässig oder sonst was - niemand darf da wirklich etwas machen. Darauf warte ich und Kollegen, denen es ähnlich geht / ging, schon zu lange... Das kotzt mich eben auch so an. Ich würde es ja gerne klar und deutlich zur Sprache bringen, wie beschissen sowas ist, aber dafür bin ich wohl nicht in der richtigen Position. Mehr als gelegentlich ganz nett nachzufragen, ob sich etwas ergeben hat, bleibt mir ja nicht wirklich übrig. Seit kurzem studiere ich parallel zur Ausbildung. Das habe ich zwar eher begonnen, weil mir der theoretische Teil der Ausbildung (=Schule) absolut nicht gefällt, aber wenn jetzt auch noch der betriebliche Ablauf ein Reinfall wird, kann ich ja einfach mehr für die Uni lernen. Damit weiche ich dem Problem jedoch eher aus, als da wirklich etwas zu ändern, aber das steht ja eh nicht in meiner Macht... Habe ich erstmal nicht viel gegen zu sagen, aber wie oben beschrieben sehe ich es zum einen nicht ganz ein, mir selbst den Inhalt der relevantesten Themen einzutrichtern, wenn ein ganzes Team das auch praktisch umsetzen könnte. Was mir ebenfalls Sorgen bereitet ist, dass ich ja dann absolut keinen Leitfaden o.ä. habe, wie ich da vorgehe. Natürlich könnte ich mich jetzt durch das www forsten und das ganze Wissen aufsaugen, aber wer sagt, dass ich mir nicht irgendetwas fehlerhaft beibringe? Ich werde ja nicht korrigiert, wenn ich's mir selbst beibringe. Sonstige Tipps, Hinweise oder Hilfestellungen fallen ja dann auch eher flach, was auch nicht wirklich im gewünschten Ergebnis resultiert. ------------------------------------------- Ich denke, ich versuche noch so viel Wissen wie möglich in der Abteilung aufzusaugen. In der freien Zeit probiere ich dann mittels Eigenregie die Lücken zu füllen, mir selbst via genannter Software kleinere Dinge aufzubauen oder eben für die Uni zu lernen. Ob das alles so zielführend ist, ist eher fraglich, aber bevor ich monatelang Löcher in die Bildschirmübertragung der Kollegen starre, wechsel ich die Abteilung oder mach anderweitig irgendwas "wertvolles" mit meiner Zeit im Betrieb. Und ich hatte mich ernsthaft gefreut, endlich in die fachlich tiefe Abteilung zu wechseln... :-) hachja

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...