3. Abwehr von Angriffen Flashcards

1
Q

Wie können Endgeräte und Switches vor ARP Spoofing geschützt werden?

A
  • Angreifer schickt gefälschte ARP-Antwortpa-
    kete an das Opfer.

Abwehr:
- nur statische ARP Einträge nutzen (wenig praktikabel)
-Es könnte sein, könnte sein, dass die falschen ARP Replies durch fehlende ARP
Requests auffallen
- tools wie arpwatch
- Dynamic ARP Inspection

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Dynamic ARP Inspection (DAI)

A
  • DAI is a security feature that validates Address Resolution Protocol (ARP) packets in a network.

-DAI soll ARP-Spoofing-Angriffe verhindern, indem es ARP-Anfragen und -Antworten überwacht und validiert.

  • DAI nutzt eine Datenbank mit gültigen MAC-Adressen, um sicherzustellen, dass ARP-Anfragen nur von bekannten Quell-MAC-Adressen stammen.

-Falls eine ARP-Anfrage von einer unbekannten MAC-Adresse stammt, wird sie von DAI blockiert und nicht an das Zielgerät weitergeleitet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Welche Vorteile hinsichtlich der Leistungsfähigkeit und Sicherheit bieten VLANs?

A
  • Reduziert die Netzlast, weniger Kollisioinen, mehr Leistung
  • Unabhängig von der physikalischen Topologie
  • Man kann definieren, welcher traffic erlaubt/verboten ist
  • so kann man zwischen VLANs auf Schicht 3 routen, und Firewall regeln einstellen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Welche Rolle spielen VLAN Trunks und VLAN Tags?

A
  • Trunks: Kommunikation zwischen Switches
  • basiert auf physischen Kabel, über das aber die Kommunikation von mehreren VLANs stattfindet.
  • VLAN Tag: Kennzeichnung in den Ethernet-Rahmen
  • um auf der Empfängerseite VLANs zu identifizieren
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Welche drei Varianten von VLANs kann man bzgl. der Zugehörigkeit zum VLAN unterscheiden?

A

-Port basiert
jedes Gerät, welches an bestimmten Port eines Switches eingesteckt ist, zu einem vordefinierten VLAN gehört.

  • MAC basiert
    Gerät mit bestimmten MAC-Adresse wird bestimmten VLAN zugeordnet, unabhängig davon, an welchem Port/Switch es angeschlossen wurde.
  • IP basiert
    Zugehörigkeit eines Gerätes von dessen IP Adresse abhängig gemacht.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Warum ergibt sich nur ein geringer Sicherheitsgewinn, wenn man bei WLAN die zugelassenen MAC-Adressen einschränkt oder die SSID unterdrückt?

A
  • Eine Einschränkung der zugelassenen MAC-Adressen kann einfach umgangen werden, da MAC-Adressen leicht gefälscht werden können.
  • Angreifer können die MAC-Adresse eines autorisierten Geräts abfangen und diese für einen Angriff verwenden.
  • Eine unterdrückte SSID bietet keinen effektiven Schutz, da das WLAN immer noch entdeckt werden kann (Layer 2 Wireless Protocol Analyzer)
  • Angreifer kann ein verbundenes gerät scannen
  • Wenn jedoch der Netzverkehr von einem Angreifer aufgezeichnet wird, erfährt der Angreifer den von anderen Endgeräten im Kontext erfolgreicherAuthentifizierungen (unverschlüsselt übertragenen) Netzwerknamen.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Was kann man durch die Verwendung des Protokolls 802.1X bzw. von EAP erreichen? Welche
Bedeutung haben die Begriffe Supplicant, Authenticator und Authentication Server?

A
  • 802.1X ist ein Authetntifizierungsmechanismus,nutzt EAP
  • Authentifizierung von Geräten, die an einen Port angeschlossen werden
  • EAP: Extensible Authentication Protocol, framework für die Authentifizierung in Netzwerken

EAP und 802.1x ermöglichen Authentifizierungsmethoden in Netzwerken

-Supplicant (engl. Bittsteller):
spezielle Softwarekomponente, Supplicant nimmt Kontakt zu einem authenticator ( Switch) auf

Authenticator: Netzwerkgeräte, die Authentifizierung von supplicants ermöglichen

  • Authentication Server: oftmals ein RADIUS-Serv-er, nimmt die Anfrage entgegen
  • Authentifizierung von supplicants
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Welchen Zweck soll die Resource Public Key Infrastructure erfüllen?

A
  • Zuordnungen von IP-Adressbereichen zu Providern absichern
  • Prefix-Hi-jacking soll verhindert werden
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Welche Konfigurationsmöglichkeiten von Network Access Control kann man unterscheiden?

A
  • In-Line vs Out Line NAC
  • Agent vs agentless NAC
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Wie unterscheiden sich statische Paketfilter, dynamische Paketfilter und Proxies?

A
  • statische Regeln, von wo zu wo Traffic durchgelassen wird
  • dynamisch: Bei UDP Pakets kann das nicht gemacht werden. Jedoch merkt sich die Firewall, Sender- und Zieladresse und gleicht diese mit den Responses ab
  • Proxies:
    • trennt Verbindung auf (Client/Proxy, Proxy/Server)
    • kann alle Anwendungsdaten lesen, analysieren und auch verändern
      -
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Erklären Sie, wie die Regeln in einer Paketfilter-Firewall aufgebaut sind

A
  • Regeln für den ankommenden und abgehenden Verkehr
  • Filterbedingungen können auf Quell- oder Zieladresse, Quell- oder Zielport, Protokoll, Interface oder anderen Eigenschaften basieren
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Wie wird entschieden, welche Firewall-Regel verwendet wird, wenn mehrere zu der aktuell zu untersuchenden Dateneinheit passen?

A
  • die am spezialisiertesten Regeln am Anfang
  • jedoch dann hoher zeitlicher Aufwand, da alle Regeln durchgeprüft werden müssen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Wenn man ein inneres Netz und eine DMZ hat und diese mit dem Internet verbunden sind, welche generellen Firewall-Regeln für den Zugriff zwischen den Bereichen sind dann sinnvoll?

A

Zugriffe vom internen Netz auf das Internet: Diese Zugriffe sollten erlaubt werden, damit die Mitarbeiter der Organisation das Internet verwenden können. Eventuell könnte bei einigen Rechnern, die sehr wichtige Daten beinhalten, der Zugriff auf das Internet ganz untersagt werden.

Zugriffe vom Internet auf das interne Netz: Diese Zugriffe sollten verboten werden, da im inneren Netz keine Server-Funktionalitäten bereitgestellt werden.

Zugriffe vom internen Netz auf die DMZ: Diese Zugriffe sollten erlaubt werden, damit die Server in der DMZ administriert und beispielsweise neue Inhalte auf dem WWW-Server abgelegt werden können. Außerdem können die Dienste in der DMZ so auch intern genutzt werden.

Zugriffe von der DMZ auf das interne Netz: Diese Zugriffe sollten verboten werden. Da sich in der DMZ nur Server befinden, werden von diesen normalerweise keine Zugriffsversuche auf andere Rechner gestartet. Solche Zugriffsversuche
deuten darauf hin, dass ein Server in der DMZ von einem Angreifer übernommen wurde, der diesen nun als Sprungbrett in das interne Netz zu verwenden sucht.

Zugriffe vom Internet auf die DMZ: Diese Zugriffe sollten erlaubt werden, da über die Server in der DMZ Dienste bereitgestellt werden, die auch öffentlich nutzbar
sein sollen. Die Zugriffe sollten aber auf die für die Dienste notwendigen Kombinationen von IP-Adressen und Ports beschränkt sein.

Zugriffe von der DMZ auf das Internet: Diese Zugriffe sollten verboten werden. Ähnlich wie im Fall der Zugriffe von der DMZ auf das interne Netz ist es nicht das
vorgesehene Verhalten von Servern, von sich aus Zugriffe durchzuführen. Es gibt jedoch Ausnahmen wie z. B. DNS-Server, die für die Namensauflösung andere DNS-Server kontaktieren müssen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Sollten Server in einem Firmennetz so eingestellt werden, dass sie auf ICMP Echo Requests antworten? Was wären Vor- und Nachteile?

A

Vorteile:

  • Überwachung: Wenn ein Server auf Ping-Anfragen antwortet, können Netzwerkadministratoren die Verbindung zu diesem Server überwachen und feststellen, ob er verfügbar ist oder nicht.
  • Fehlerbehebung: Wenn ein Server nicht auf Ping-Anfragen antwortet, kann dies ein Hinweis darauf sein, dass ein Problem mit der Netzwerkverbindung oder dem Server selbst vorliegt. Dies kann dazu beitragen, Fehler schneller zu erkennen und zu beheben.
  • Sicherheit: Einige Netzwerk-Sicherheits-Tools und Firewalls verwenden Ping-Anfragen als Teil ihrer Überwachungsroutinen, um festzustellen, ob ein Server oder ein Netzwerkgerät verfügbar ist.

Nachteile:

-Sicherheit: Ping-Anfragen können auch als Teil eines Angriffs auf ein Netzwerk verwendet werden, z.B. durch einen Denial-of-Service-Angriff. Daher können einige Netzwerkadministratoren entscheiden, Ping-Anfragen zu blockieren, um das Netzwerk zu schützen.

  • Netzwerklast: Wenn viele Ping-Anfragen gesendet werden, kann dies die Netzwerklast erhöhen und die Leistung beeinträchtigen. Dies ist jedoch normalerweise kein Problem, es sei denn, das Netzwerk ist bereits überlastet oder der Server empfängt sehr viele Anfragen.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Wie sollten eine Firewall und ein „Bastion Host“ konfiguriert sein?

A
  • Sollte zwischen internen und Internet mit Firewalls getrennt eingesetzt werden
  • Firewalls sollten möglichst restriktiv eingestellt sein
  • Kein direkter Zugriff aus dem internen Netz ins Internet
  • Nur notwendige Ports freigeben
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Welche Schutzmöglichkeiten gegen „SYN Flooding“-Angriffe gibt es?

A
  • Server schickt neben dem SYN ACK auch noch SYN Cookies mit
    • SYN Cookie: Hash(ClientID, Port, ServerIP, Timestamp, Salt) + Klartext (ClientID, Port, ServerIP, Timestamp) , Paketgröße
    • Diese müssen beim ACK vom Client mit angegeben werden
    • Die gespeicherten Zustände des Servers werden somit ausgelargert und nicht im Speicher vom Server gelargert. So kann es zu keinem Flooden mehr kommen

-Blockieren von IP Adressen
- Firewallregel entsprechend einsetzen, dass nur eine bestimmte Anzahl von Verbindungen pro Zeiteinheit erlaubt werden

16
Q

Erklären Sie den Unterschied zwischen den Begriffen „Identity Provider“ und „Service Provider“ im Zusammenhang mit dem Identity Management.

A

IdP: Systemkomponenten, die die Identitäten von Nutzern vor einem Service Provider authentifizieren lassen
-SP: Application, die ich gerne zugreifen möchte
- Es gibt eine Vertrauensbeziehung zwischen SP und IdP
- User kann SSO nutzen und andere SP nutzen

17
Q

Wieso benötigt man zusätzlich zum Einsatz von Firewalls noch Intrusion Detection Systeme?

A
  • IDS arbeiten rein erkennend und melden entdeckte Unstimmigkeiten
  • ## Angriffe, die eine Firewall durchdringen, können im eigenen Netz von IDS-Installationen erkannt werden
18
Q

Wie unterscheiden sich NIDS und HIDS? An welchen Stellen im Netz ist der Einsatz von solchen Systemen sinnvoll?

A

NIDS: netzbasierte IDS-Systeme
- untersucht Pakete
- bestimmte Bitmuster in den übertragenen Daten (Signaturen)
- eignet sich zum Erkennen von Angriffen aus dem öffentlichen aber auch internen Netz (früherer Angriff)

HIDS: hostbasierter IDS
- analysiert Daten, die auf dem jeweiligen Rechner zur Verfügung stehen
- geeignet, eine missbräuchliche Benutzung des Systems zu erkennen
- Daher auf wichtigen Server zu installieren
- Auswertung von Log Dateien

19
Q

Was versteht man im Zusammenhang mit IDS unter Signaturen?

A
  • bestimmte Bitmuster in den übertragenen Daten
  • Listen von bekannten Signaturen sind im Internet zu finden
  • kann auch zufällig die Muster erkannt werden (false positive)
  • zustandsorientierte Signaturprüfung: Zieht Umfeld mit in Betracht
20
Q

Was versteht man unter einem Honeypot? Welchen Zweck erfüllen solche Systeme heutzutage?

A
  • absichtlich verwundbare Systeme, um Angreifer anzulocken, früher auch um sie damit abzulenken
  • heute: Analyse des Angriff: Sind Sicherheitseinstellung gut konfiguriert?
21
Q

Welche Arten von Virenscannern kann man unterscheiden?

A

Echtzeitscanner
Manuelle Scanner
Online Virenscanner