4.

Question 1

Wat zijn access controls?

Answer 1

Security features die managen hoe users en processen communiceren met systemen en resources. Primaire doel is het beschermen van informatie en informatiesystemen van:
- Ongeauthoriseerde toegang (Confidential)
- Modification (Integrity)
- Disruption (Availability)

Question 2

Wanneer we over access control spreken, wat zijn dan de rollen?

Answer 2

• De actieve entity is het subject (request toegang)
• De passieve entity is het object.

Question 3

Wat zijn voorbeelden van access controls?

Answer 3

• Authenticatie methode
• Authorisatie model
• Identificatie schema

Question 4

Waar wordt een identificatie schema voor gebruikt?

Answer 4

Wordt gebruikt voor het identificeren van een unique record in een set (denk aan een username). Het proces indentificeren is een subject die een identifier levert aan een object

Question 5

Wat is een authenticatie methode?

Answer 5

Het bewijs dat de identificatie die gebruiktwordt, echt is.

Question 6

Wat is een authorisatie model?

Answer 6

Bepaalt hoe access rights en permissions worden toegekend. Authorisatie is het proces van het toekennen van permissies om een specifieke handeling uit te mogen voeren aan een geauthenticeerd subject

Question 7

Wat betekent het volgende principes:
- Principle of Least Privilege

Answer 7

Men heeft enkel toegang nodig tot hetgeen dat nodig is voor hen om hun taken uit te kunnen voeren

Question 8

Wat betekent het volgende principes:
- Seperation of Duties

Answer 8

Een individu kan niet alleen verantwoordelijk zijn voor alle kritieke en privileged taken. Dit kan beter verdeelt worden tussen meerdere mensen in het bedrijf.

Question 9

Wat zijn de key concepts van identificatie?

Answer 9

• Identiteit dient unique te zijn
• Identiteit dient nondescriptive te zijn
• Identiteit dient veilig uitgegeven te worden
• Identiteit dient locatie geabseerd te zijn

Question 10

Wat zijn de drie factoren van identificatie?

Answer 10

• Something you know (Knowledge)
• Somehting you have (Posession)
• Something you are (Inherance of characteristics)

Question 11

Wat is out-of-band authentication?

Answer 11

Gebruiker voert een wachtwoord in en ontvangt vervolgens een telefoontje voor beantwoording of een code.

Question 12

Wat is de drawback van characteristics gebaseerde authenticatie? En welke errors horen hierbij?

Answer 12

Er dient een foutmarge ingesteld te worden voor bijvoorbeeld handtekeningherkenning. Te streng blokkeert de toegang, te zwak geeft mogelijk ongewenste toegang.

Men kan dit meten door de FRR (false rejection rate) en de FAR (false acceptance rate) gelijk te krijgen. Ook wel het cross error rate genoemd.

Question 13

Wat is het verschil tussen two-factor en multi-factor authenticatie?

Answer 13

• Bij two-factor zijn er 2 verschillende factoren aanwezig. (wachtwoord en code)
• Bij multi-factor zijn er 2 factoren van hetzelfde type aanwezig. (2 codes)

Question 14

Wat is het verschil tussen identificatie en authenticatie?

Answer 14

• Identificatie is om vast te stellen wie je bent;
• Authenticatie is om te bewijzen dat je bent wie je zegt dat je bent

Question 15

Wat is federated identity?

Answer 15

Federated Identity systemen handelen authenticatie, authorisatie, user attributes exchange en user management af.

Question 16

Wat is SAML?

Answer 16

Security Assertion Markup Language, een open standaard voor uitwisseling van authenticatie en authorisatie data tussen identity providers

Question 17

Wat doet het element: Delegation?

Answer 17

SSO implementaties gebruiken dit om externe APIs op te roepen om users te authenticeren en authoriseren.

Question 18

Wat doet het element: Domain?

Answer 18

Het netwerk waarin alle resources en users gelinked zijn in een centrale database (waar alle authorisatie ne authenticatie plaats vindt)

Question 19

Wat doet het element: Federated Identity Management?

Answer 19

Verzameling protocollen die toestaan dat user identities gemanaged worden accross organisaties

Question 20

Wat doet het element: Federation Provider?

Answer 20

Een identity provider die SSO, user management en attribuut uitwisseling aanbiedt tussen identity providers en applicaties

Question 21

Wat doet het element: Forest?

Answer 21

Een verzameling domeinen

Question 22

Wat doet het element: OAuth?

Answer 22

Een open standaard voor authorisatie

Question 23

Wat doet het element: OpenID Connect?

Answer 23

Een open staand voor authenticatie (vaak gebruikt OAuth)

Question 24

Wat doet het element: Passwordless?

Answer 24

Type authenticatie gebaseerd op tokens

Question 25

Wat doet het element: Social identity provider?

Answer 25

Type identity provider onstaan in Social Media

Question 26

Wat zijn de 3 primaire authorisatie modellen?

Answer 26

• Object capability
• Security labels
• ACLs

Question 27

Wat zijn de 2 concepten die een authorisatie policy zou moeten implementeren?

Answer 27

• Implicet deny (geen regel is deny)
• Need to know (enkel toegang als het nodig is voor de uitvoering van werkzaamheden - least privilege)

Question 28

Wat is MAC in authorisatie?

Answer 28

• Mandatory Access Control
  Gedefinieerd door een policy en niet wijzigbaar voor een informatieeigenaar. Primair gebruikt in militaire en government omgevingen met hoge confidentiality. Subjecten krijgen een security label en deze wordt vergeleken met eht label van het object. Deze moet dus gelijk aan of hoger zijn voor toegang.

Question 29

Wat is DAC in authorisatie?

Answer 29

• Discretionary Acces Control
  Bepaald door de eigenaar van het object. Een ACL wordt door hem opgesteld die toegang bepaald op basis van de user unique identity. Dus een username of groep.

Question 30

Wat is RBAC in authorisatie?

Answer 30

• Role-based Acces Control (non-discretionary)
  Acces op basis van een rol of functie. De eigenaar maakt een rol aan en kent rechten toe. Users worden geassocieerd met een rol. Dus geen rechten direct op user of groep.

Question 31

Wat is Rule-Based Access Control in authorisatie?

Answer 31

Toegang geabseerd op criteria: Source/destination IP, locatie, tijd/datum etc. Kan gecombineerd worden met DAC en RBAC

Question 32

Wat is ABAC in authorisatie?

Answer 32

Attribute-Based Access Control

Question 33

Wat zijn access control mechanisms?

Answer 33

• ACL (Welke gebruikers hebben toegang tot deze file
• Capability table (Welke bestanden kan deze gebruiker openen)
• Access Control Matrix (combinatie van subject, object en permissie)
• Content-dependent access control (database-view)
• Context-dependent access control (kijkt naar events voor het access-request om een authorisatie besluit te maken)

Question 34

Wat zijn de 3 meest bekende AAA protocollen?

Answer 34

• RADIUS
• TACACS
• DIAMETER

Question 35

Wat zijn de RFCs van RADIUS

Answer 35

Remote Authentication Dial-In User Service
Authentication en Authorization = RFC2865
Accounting = RFC2866

Question 36

Wat zijn de poorten van RADIUS?

Answer 36

UDP 1812 voor Authentication en Authorization
UDP 1813

Question 37

Wat zijn de messages van RADIUS?

Answer 37

1. Access-request van de client (access-server)
   2a. Access-Accept met Attribute veld gevulg auth info
   2b. Access-Deny
   2c. Access-Challenge als meer info nodig is. Hierna komt weer een access-request
2. Accounting-Request
3. Accounting-Response

Question 38

Hoe is de RADIUS exchange beveiligd?

Answer 38

Authenticatie gaat middels een shared secret key tussen de server-client. Enkel het wacthwoord in de access-request is voorzien van encryptie.

Question 39

Wat zijn de poorten van TACACS+?

Answer 39

Terminal Access Controller Access Control System+
TCP 49

Question 40

Wat zijn de verschillende messages van TACACS+?

Answer 40

• START, REPLY en CONTINUE voor authenticatie
• REQUEST en RESPONSE voor authorisatie en accounting

Question 41

Hoe verloopt de berichtgeving voor authenticatie bij TACACS+?

Answer 41

1. Access server - Start
2. TACACS server- reply vraag om username
3. Acess server - Continue met username
4. TACACS server- reply vraag om wachtwoord
5. Acess server - Continue met wachtwoord
6. TACACS server- reply met response (pass or fail)
7. Acess server - Request
8. TACACS server - Response authorisatie.

Question 42

Wat kan RADIUS ondersteunen voor authenticatie mechanismes?

Answer 42

• PPP
• PAP
• CHAP
• EAP

Question 43

Wat zijn de verschillen tussen RADIUS en TACACS+?

Answer 43

• TACACS gebruikt TCP
• TACACS encrypt de payload volledig
• TACACS scheidt AAA, RADIUS enkel AA & A
• RADIUS bedt sterke accounting, TACACS basis

Question 44

Wat zijn de Diameter messages?

Answer 44

• Request - R-bit set
• Answer - R-bit not set

Question 45

Wat zijn de 3 802.1X rollen?

Answer 45

• Authentication server (ISE)
• Supplicant (Laptop/pc)
• Authenticator (switch/router)

Question 46

Wat zijn de 3 protocollen van 802.1X?

Answer 46

• EAPoL (encapsulatie protocol om EAP packets tussen Sup en Authenticator)
• EAP (Authenticatieprotocol tussen sup en server)
• RADIUS of Diameter (AAA Protocol voor communicatie tussen Authenticator en server)

Question 47

Wat zijn de 4 fasen van 802.1X?

Answer 47

• Session initiation
  EAP-request-identity vanuit Authenticator
  EAPoL-Start vanuit supplicant
• Session authentication
  1. Na ontvangst EAPoL vanaf sup door authenticator volgt decapsulatie om EAP te kunnen zien. en een RADIUS Access-request wordt gestuurd naar de server.
  2. Authenticator en supplicant bepalen middels EAP de methode (EAP-TLs bijvoorbeeld). Hierop volgend komt een wachtwoord, token of certificaat
• Session authorization
  1. Een RADIUS access-accept volgt vanaf de server naar de authenticator indien de authenticatie juist is met daarin de authorisatie info.
  2. Authenticator zend een EAP-success naar supplicant en traffic kan doorgaan
• Session accounting

Question 48

Welke packets zijn wel toegestaan voordat een supplicant authenticated en authorized is?

Answer 48

Op de poort van de authenticator:
- EAPoL
- CDP
- STP

Question 49

Wat zijn profiling services?

Answer 49

Een functionaliteit die endpoints die verbonden worden met het netwerk, dynamisch detecteert en classificeert. Hiervoor wordt het MAC-adres gebruikt als unique identifier. Attributen van de internal endpoint database worden gerelateerd met de profile library. Na classificatie kan de authorizatie beginnen en kan toegang gegeven worden gebaseerd op het profiel.

Question 50

Wat zijn populaire policy attributen voor ISE?

Answer 50

• Posture
• Profiler match per device type
• AD group lidmaatschap
• Locatie
• Datum/tijd

Question 51

Wat is TrustSec?

Answer 51

Een oplossing/architectuur die mogelijkheid biedt tot netwerksegmentatie en access controls gebaseerd op de rol van een gebruiker die toegang vraagt tot het netwerk.

Question 52

Wat zijn de key components van TrustSec?

Answer 52

• Authenticated networking infrastructure
• Security group-based access control
• Encrypted communication (802.1AE MACsec)

Question 53

Access control in TrustSec vindt plaats ingress tagging en egress enforcement; wat wordt hiermee bedoelt?

Answer 53

Pakketten worden op basis van ingress interface voorzien van een tag gebaseerd op source. Access control wordt op egress gedaan op basis van de bestemming.

Ingress ontvangt het pakket dus een sourcetag
Egress ontvangt het pakket dus een destinationtag

Question 54

Wat is het protocol die het mogelijk maakt voor devices om mee te doen in TrustSec?

Answer 54

SGT Exchange Protocol

Question 55

Wat zijn de 3 type agents voor posture assesment?

Answer 55

• Temporal Agent - Geen software vereist
• Stealth AnyConnect
• AnyConnect

Question 56

Wat zijn de 3 methoden van authenticatie op een switch poort?

Answer 56

• 802.1X
• MAB
• WebAuth

Question 57

Welke berichten kunnen het 802.1x proces starten?

Answer 57

• EAPOL-Start
• EAP-identity-request

Question 58

Wat is het default gedrag van 802.1x per poort?

Answer 58

Default is dat slechts 1 mac-adres per poort geauthenticeerd kan worden.

Question 59

Wat is Multi-Auth mode?

Answer 59

Een 802.1x mode die per poort ongelimiteerd mac-adressen toestaat en een authenticated sessie vereist voor elk mac adres.

Question 60

Wat is Multi-Domain Authenticaion mode (MDA)?

Answer 60

Staat[ één mac adres toe in het data domein en één mac-adres in het voice domein per port.

Question 61

Wat is het command om C3PL commands te weergeven?

Answer 61

authentication display new-style

Question 62

Wat is het command om niet meer de C3PL commands te weergeven?

Answer 62

authentication display legacy

Question 63

Wat is critical mab in C3PL?

Answer 63

Dit is een lijst van mac-adressen die lokaal opgeslagen kan worden zodat deze geraadpleegd kan wordne als de RADIUS onbereikbaar is geworden.

Question 64

Wat is VSA?

Answer 64

Vendor Specific Attribute

Question 65

Wat is PAN?

Answer 65

Primary Administration Node (voor configuratie en monitoring)

Question 66

Wat is SAN?

Answer 66

Secondary Administration Node

Question 67

Wat is PSN?

Answer 67

Policy Service Node (endpoint en netwerkdevices interacten enkel met de PSN)

Question 68

Wat is MNT?

Answer 68

Monitoring and Troubleshooting Node (voor logs en generates alarms en alerts)