3. Abwehr von Angriffen Flashcards
Wie können Endgeräte und Switches vor ARP Spoofing geschützt werden?
- Angreifer schickt gefälschte ARP-Antwortpa-
kete an das Opfer.
Abwehr:
- nur statische ARP Einträge nutzen (wenig praktikabel)
-Es könnte sein, könnte sein, dass die falschen ARP Replies durch fehlende ARP
Requests auffallen
- tools wie arpwatch
- Dynamic ARP Inspection
Dynamic ARP Inspection (DAI)
- DAI is a security feature that validates Address Resolution Protocol (ARP) packets in a network.
-DAI soll ARP-Spoofing-Angriffe verhindern, indem es ARP-Anfragen und -Antworten überwacht und validiert.
- DAI nutzt eine Datenbank mit gültigen MAC-Adressen, um sicherzustellen, dass ARP-Anfragen nur von bekannten Quell-MAC-Adressen stammen.
-Falls eine ARP-Anfrage von einer unbekannten MAC-Adresse stammt, wird sie von DAI blockiert und nicht an das Zielgerät weitergeleitet.
Welche Vorteile hinsichtlich der Leistungsfähigkeit und Sicherheit bieten VLANs?
- Reduziert die Netzlast, weniger Kollisioinen, mehr Leistung
- Unabhängig von der physikalischen Topologie
- Man kann definieren, welcher traffic erlaubt/verboten ist
- so kann man zwischen VLANs auf Schicht 3 routen, und Firewall regeln einstellen
Welche Rolle spielen VLAN Trunks und VLAN Tags?
- Trunks: Kommunikation zwischen Switches
- basiert auf physischen Kabel, über das aber die Kommunikation von mehreren VLANs stattfindet.
- VLAN Tag: Kennzeichnung in den Ethernet-Rahmen
- um auf der Empfängerseite VLANs zu identifizieren
Welche drei Varianten von VLANs kann man bzgl. der Zugehörigkeit zum VLAN unterscheiden?
-Port basiert
jedes Gerät, welches an bestimmten Port eines Switches eingesteckt ist, zu einem vordefinierten VLAN gehört.
- MAC basiert
Gerät mit bestimmten MAC-Adresse wird bestimmten VLAN zugeordnet, unabhängig davon, an welchem Port/Switch es angeschlossen wurde. - IP basiert
Zugehörigkeit eines Gerätes von dessen IP Adresse abhängig gemacht.
Warum ergibt sich nur ein geringer Sicherheitsgewinn, wenn man bei WLAN die zugelassenen MAC-Adressen einschränkt oder die SSID unterdrückt?
- Eine Einschränkung der zugelassenen MAC-Adressen kann einfach umgangen werden, da MAC-Adressen leicht gefälscht werden können.
- Angreifer können die MAC-Adresse eines autorisierten Geräts abfangen und diese für einen Angriff verwenden.
- Eine unterdrückte SSID bietet keinen effektiven Schutz, da das WLAN immer noch entdeckt werden kann (Layer 2 Wireless Protocol Analyzer)
- Angreifer kann ein verbundenes gerät scannen
- Wenn jedoch der Netzverkehr von einem Angreifer aufgezeichnet wird, erfährt der Angreifer den von anderen Endgeräten im Kontext erfolgreicherAuthentifizierungen (unverschlüsselt übertragenen) Netzwerknamen.
Was kann man durch die Verwendung des Protokolls 802.1X bzw. von EAP erreichen? Welche
Bedeutung haben die Begriffe Supplicant, Authenticator und Authentication Server?
- 802.1X ist ein Authetntifizierungsmechanismus,nutzt EAP
- Authentifizierung von Geräten, die an einen Port angeschlossen werden
- EAP: Extensible Authentication Protocol, framework für die Authentifizierung in Netzwerken
EAP und 802.1x ermöglichen Authentifizierungsmethoden in Netzwerken
-Supplicant (engl. Bittsteller):
spezielle Softwarekomponente, Supplicant nimmt Kontakt zu einem authenticator ( Switch) auf
Authenticator: Netzwerkgeräte, die Authentifizierung von supplicants ermöglichen
- Authentication Server: oftmals ein RADIUS-Serv-er, nimmt die Anfrage entgegen
- Authentifizierung von supplicants
Welchen Zweck soll die Resource Public Key Infrastructure erfüllen?
- Zuordnungen von IP-Adressbereichen zu Providern absichern
- Prefix-Hi-jacking soll verhindert werden
Welche Konfigurationsmöglichkeiten von Network Access Control kann man unterscheiden?
- In-Line vs Out Line NAC
- Agent vs agentless NAC
Wie unterscheiden sich statische Paketfilter, dynamische Paketfilter und Proxies?
- statische Regeln, von wo zu wo Traffic durchgelassen wird
- dynamisch: Bei UDP Pakets kann das nicht gemacht werden. Jedoch merkt sich die Firewall, Sender- und Zieladresse und gleicht diese mit den Responses ab
- Proxies:
- trennt Verbindung auf (Client/Proxy, Proxy/Server)
- kann alle Anwendungsdaten lesen, analysieren und auch verändern
-
Erklären Sie, wie die Regeln in einer Paketfilter-Firewall aufgebaut sind
- Regeln für den ankommenden und abgehenden Verkehr
- Filterbedingungen können auf Quell- oder Zieladresse, Quell- oder Zielport, Protokoll, Interface oder anderen Eigenschaften basieren
Wie wird entschieden, welche Firewall-Regel verwendet wird, wenn mehrere zu der aktuell zu untersuchenden Dateneinheit passen?
- die am spezialisiertesten Regeln am Anfang
- jedoch dann hoher zeitlicher Aufwand, da alle Regeln durchgeprüft werden müssen
Wenn man ein inneres Netz und eine DMZ hat und diese mit dem Internet verbunden sind, welche generellen Firewall-Regeln für den Zugriff zwischen den Bereichen sind dann sinnvoll?
Zugriffe vom internen Netz auf das Internet: Diese Zugriffe sollten erlaubt werden, damit die Mitarbeiter der Organisation das Internet verwenden können. Eventuell könnte bei einigen Rechnern, die sehr wichtige Daten beinhalten, der Zugriff auf das Internet ganz untersagt werden.
Zugriffe vom Internet auf das interne Netz: Diese Zugriffe sollten verboten werden, da im inneren Netz keine Server-Funktionalitäten bereitgestellt werden.
Zugriffe vom internen Netz auf die DMZ: Diese Zugriffe sollten erlaubt werden, damit die Server in der DMZ administriert und beispielsweise neue Inhalte auf dem WWW-Server abgelegt werden können. Außerdem können die Dienste in der DMZ so auch intern genutzt werden.
Zugriffe von der DMZ auf das interne Netz: Diese Zugriffe sollten verboten werden. Da sich in der DMZ nur Server befinden, werden von diesen normalerweise keine Zugriffsversuche auf andere Rechner gestartet. Solche Zugriffsversuche
deuten darauf hin, dass ein Server in der DMZ von einem Angreifer übernommen wurde, der diesen nun als Sprungbrett in das interne Netz zu verwenden sucht.
Zugriffe vom Internet auf die DMZ: Diese Zugriffe sollten erlaubt werden, da über die Server in der DMZ Dienste bereitgestellt werden, die auch öffentlich nutzbar
sein sollen. Die Zugriffe sollten aber auf die für die Dienste notwendigen Kombinationen von IP-Adressen und Ports beschränkt sein.
Zugriffe von der DMZ auf das Internet: Diese Zugriffe sollten verboten werden. Ähnlich wie im Fall der Zugriffe von der DMZ auf das interne Netz ist es nicht das
vorgesehene Verhalten von Servern, von sich aus Zugriffe durchzuführen. Es gibt jedoch Ausnahmen wie z. B. DNS-Server, die für die Namensauflösung andere DNS-Server kontaktieren müssen.
Sollten Server in einem Firmennetz so eingestellt werden, dass sie auf ICMP Echo Requests antworten? Was wären Vor- und Nachteile?
Vorteile:
- Überwachung: Wenn ein Server auf Ping-Anfragen antwortet, können Netzwerkadministratoren die Verbindung zu diesem Server überwachen und feststellen, ob er verfügbar ist oder nicht.
- Fehlerbehebung: Wenn ein Server nicht auf Ping-Anfragen antwortet, kann dies ein Hinweis darauf sein, dass ein Problem mit der Netzwerkverbindung oder dem Server selbst vorliegt. Dies kann dazu beitragen, Fehler schneller zu erkennen und zu beheben.
- Sicherheit: Einige Netzwerk-Sicherheits-Tools und Firewalls verwenden Ping-Anfragen als Teil ihrer Überwachungsroutinen, um festzustellen, ob ein Server oder ein Netzwerkgerät verfügbar ist.
Nachteile:
-Sicherheit: Ping-Anfragen können auch als Teil eines Angriffs auf ein Netzwerk verwendet werden, z.B. durch einen Denial-of-Service-Angriff. Daher können einige Netzwerkadministratoren entscheiden, Ping-Anfragen zu blockieren, um das Netzwerk zu schützen.
- Netzwerklast: Wenn viele Ping-Anfragen gesendet werden, kann dies die Netzwerklast erhöhen und die Leistung beeinträchtigen. Dies ist jedoch normalerweise kein Problem, es sei denn, das Netzwerk ist bereits überlastet oder der Server empfängt sehr viele Anfragen.
Wie sollten eine Firewall und ein „Bastion Host“ konfiguriert sein?
- Sollte zwischen internen und Internet mit Firewalls getrennt eingesetzt werden
- Firewalls sollten möglichst restriktiv eingestellt sein
- Kein direkter Zugriff aus dem internen Netz ins Internet
- Nur notwendige Ports freigeben