4. Sicherheitsprotokolle Flashcards

1
Q

Welche VPN-Typen kann man unterscheiden?

A
  • Intranet VPN: (Site-to-Site):
  • Verbindungen zwischen verschiedenen Standorten via Tunnel
  • Remote Access VPN:
  • individuelle Endnutzer/Geräte werden von außen in ein Netz verbunden, von überall
  • Extranet VPN:
  • Abgesicherter Bereich, beispielsweise für Zulieferer
  • End-to-End VPN:
  • speziell zwischen zwei Endgeräten
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Ordnen Sie die Protokolle IPsec, SSL/TLS und SSH in das OSI-Schichtenmodell ein.

A

IPsec:
- Vermittlungsschicht
- somit werden alle Anwenundsprotokolle automatisch geschützt, egal ob TCP / UDP

SSL/TLS:
- Transportschicht
- nur mit TCP möglich

SSH:
- Anwendungsschicht

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Was unterscheidet asymmetrische von symmetrischen Verschlüsselungsverfahren? Was für Schlüssel gibt es?

A

symmetrisch:
- der selbe Schlüssel wird für Ent- und Verschlüsselung genutzt

asymmetrisch:
- öffentlicher und privater Schlüssel
- privat: wird nicht geteilt, damit kann nur entschlüsselt
-öffentlicher: Kann beispw. in einem Key Server gespeichert werden.
Mit des Empfänger öffentlichem Key kann der Sender seine Nachricht verschlüsseln

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Wie werden asymmetrische und symmetrische Verschlüsselung in der Praxis (z.B. bei IPsec und SSL/TLS) kombiniert?

A

SSL/TLS

  • asymmetrische Verschlüsselung wird genutzt, um einen Session-Key zu generien und zu übermitteln
  • Dieser Schlüssel wird nun zum Ver- und Entschlüsseln genutzt

Asymmetrisch: Austausch von Schlüsseln
Symmetrisch: dieser Schlüssel wird für symm Verschlüsselung genutzt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Wie erfolgte die Standardisierung von AES? Hat sich dieses Verfahren bewährt?

A
  • Wettbewerb 1997 vom NIST zur Bestimmung eines DES-Nachfolgers
  • steht in vielerlei Zusammenhängen wie IPsec, SSL/TLS und SSH
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Was versteht man unter (Perfect) Forward Secrecy?

A
  • Konzept, um nachträglich veröffentlichen private key zu schützen
  • Nicht im Nachhinein Daten entschlüsselbar
  • Verschlüsselung, die nicht abhängig vom private key ist
  • Beispielsweise DH - Schlüsselaustausch
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Was versteht man unter einer kryptographischen Hash-Funktion? Welche Eigenschaften soll eine solche Funktion haben?

A
  • lässt sich sicherstellen, dass Daten nicht bei der Übertragung über das Netz manipuliert wurden
  • bilden eine Nachricht beliebiger Länge auf eine Prüfsumme fester Länge ab

Funktionen:
- sind kollisionsresistent
- Hashwert leicht zu berechnen
- Einwegfunktion
- unmöglich, ein Paar von ungleichen Nachrichten m und m’ zu finden, bei denen dazugehörige Hash-Wert H(m)=H(m’) ist.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Welchen Vorteil erwartet man von Authenticated Encryption with Associated Data-Verfahren?

A
  • spezielle Art der Kombination von symmetrischen Verschlüsselungsverfahren mit Hash-Verfahren
  • Verwendung bei TLS-Version 1.3
  • vereinfacht dem Entwickler die Realisierung von Vertraulichkeit und Nachrichtenauthentitizät, da beides zusammen über gemeinsame Programmierschnittstelle angeboten wird
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Erklären Sie, wie ein Message Authentication Code berechnet wird.
Was wird durch die Verwendung bei der Kommunikation erreicht?

A
  • Nachricht und ein gemeinsamer Schlüssel als Input
  • Daraus wird eine Prüfsumme gebildet
  • Prüfsumme und Nachricht wird an Empfänger geschickt
  • Empfänger kann selbst eine Prüfsumme berechnen und dies dann vergleichen
  • Integrität und Authentizität
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Wie ist der Zusammenhang zwischen digitalen Unterschriften und Public Key-Kryptographie?

A

Mit Public Key-Kryptographie kann man Dokumente digital unterschreiben:

  • Hash aus Nachricht ergibt Prüfsumme, mit Private Key verschlüsseln
  • Hash wird der Nachricht angehangen und dadurch signiert
  • Empfänger berechnet aus der Nachricht eine Prüfsumme
  • Empfänger entschlüsselt die Signatur mit Senders öffentlichem Schlüssel
  • Beide Prüfsummen müssen gleich sein
  • sichert Authentizität und die Integrität
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Welche Inhalte hat ein digitales Zertifikat?

A

Datenstruktur, bestehend aus
- öffentlichen Schlüssel,
- den Identitätsinformationen
- Angabe des Ausstellers

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Was sind die Aufgaben einer Zertifizierungsstelle?

A
  • überprüft die Zugehörigkeit des Public Keys zur Identifikation des Antragstellers
  • legt Gültigkeitsdauer des Zertifikats fest
  • speichern die Zertifikate in einer allgemein zugänglichen Weise.
  • kümmern sich um den Widerruf und die Sperrung von Zertifikaten
  • erneuern Zertifikate
  • verwalten eine Historie der Zertifizierung
  • beglaubigen wichtige Verträge
  • betreiben einen Zeitstempel-Dienst
  • zertifizieren auch andere CAs
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Wie kann man überprüfen, ob ein digitales Zertifikat für ungültig erklärt wurde?

A

Mit dem Protokoll OCSP (Online Certificate Status Protocol)
- Client sendet Hash des zu überprüfenden Zertifikats
- gültig, ungültig oder unbekannt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Erklären Sie den Ablauf eines Challenge-Response-Verfahrens. Warum wird dabei der Challenge zufällig gewählt?

A
  • Authentitfizierer schickt eine Zufallsfolge an den zu überprüfenden Client
  • Client erstellt mit einer Hashfunktion aus der Zufallsfolge und ein Geheimnis, was beide kennen, eine Prüfsumme
  • schickt diese an den Authentifizierer zurück
  • bestimmt ebenfalls mit Hashfunktion aus Challenge und Geheimnis Prüfsumme
  • beide gleich?

Response wäre immer gleich, wenn keine Zufallsfolge
Angreifer könnte Verkehr abfangen, Replay-Angriff

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Wie ist der Zusammenhang von steganographischen Verfahren zur symmetrischen Verschlüsselung?

A
  • die geheime und im Trägermedium versteckte Nachricht wird zusätzlich noch symmetrisch verschlüsselt
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Wie unterscheiden sich die Personal- und Enterprise-Varianten bei der WLAN-Verschlüsselung?

A

Personal:
- Einsazt von Pre-shared Key
- gemeinsamer Schlüssel, den allen bekannt ist

Enterprise:
- 802.1X wird eingesetzt

17
Q

Wie ist die Sicherheit von WPA2 und WPA3 einzuschätzen?

A

-WPA3 löst WPA2 ab
- KRACK Attacke sind bei WPA2 möglich (2017)
- WPA3 nutzt SAE, Simultaneous Authentication of Equals
- durch SAE wird Perfect Forward Secrecy erreicht

18
Q

Welchen Nutzen bieten Protected Management Frames?

A
  • müssen im Zusammenhang mit einer WPA3-Zertifizierung implementiert werden
  • Integrität von Unicast und Broadcast Management-Rahmen wird geschützt
  • Unicast Management-Rahmen werden verschlüsselt
19
Q

Erklären Sie die Eigenschaften von AH und ESP bei IPsec sowie den Unterschied zwischen Transport- und Tunnel-Modus.
Was versteht man in diesem Zusammenhang unter dem
„tunneln“ von IP Paketen?

A

Authentication Header:
- stellt Integrität der Daten sicher
- erlaubt Authentifizierung des Partners
- Schutz von Replay Attacks

Encapsulating Security Payload:
- stellt Integrität der Daten sicher
- erlaubt Authentifizierung des Partners
- verschlüsselt die Daten

Transportmodus:
- hauptsächlich die oberen Protokoll-Schichten werden geschützt
-

Tunnelmodus:
- die Protokolle (AH und ESP) auf getunnelte IP-Pakete werden angewandt
- Nutzlast besteht aus dem originalen IP-Paket

Getunnelte Pakete:
- erhalten einen neuen IP Header in dem
- Sender- und Empfängeradresse der Tunneleingangs- und ausgangspunkte angegeben sind

20
Q

Wie wird ein Replay-Angriff bei IPsec verhindert?

A
  • eine Sequenznummer ist vorhanden
  • diese wird vom Absender mit jedem Paket inkrementiert
  • Der Empfänger überprüft
21
Q

Ein Unternehmen hat zwei Standorte, die über das Internet verbunden sind. Das Unternehmen möchte sicherstellen, dass die Daten beim Transport über das Internet nicht erfolgreich abgehört oder verfälscht werden können. Erklären Sie, wie dies mit IPsec erreicht werden kann

A
  • Kombinatin von AH und ESP
  • damit ist CIA gegeben
22
Q

Diskutieren Sie die Gemeinsamkeiten und Unterschiede von IPsec und Wireguard.

A

IPsec:
- Standardprotkoll

Wireguard:
- ist schneller (geringere ping Zeit und höherer Durchsatz)
- aktuelle Verschlüsselung
- Schlüsselaustausch: DH mit Curve25519
- Verschlüsselung: ChaCha20 und Poly 1305 (symmetrisch)
- Hash-Bildung: BLAKE2

23
Q

Welche Bedeutung hat es, wenn vor einer URL in der Browserzeile https statt http steht?

A
  • HTTPS ist sicherer:
  • Browser und Server kommunizieren per HTTP miteinander
  • somit sind die Daten verschlüsselt, mit SSL Zertifikat
24
Q

Welche Aufgaben übernimmt das Handshake-Protokoll von SSL/TLS? Was wurde beim Handshake bei TLS 1.3 geändert?

A
  • Reduzierung der Latenz beim Verbindungsaufbau (Handshake)
  • Weitere Teile des Handshakes sollten verschlüsselt ablaufen
  • Verbesserung des Schutzes gegen Cross Protocols Attacks (Signatur beim Schlüsselaustausch durch den Server deckt bisher nicht den gesamten Handshake ab)
  • Entfernung von veralteten, unsicheren Möglichkeiten

Änderungen:
- alle Schlüsselaustauschverfahren erlauben nun PFS
- Alle handshake - Nachrichten nach dem ServerHello sind verschlüsselt
- nur noch AEAD Algorithmen, kein RC4 (Strom) oder CBC (Block)
- ein Zero RTT modus

25
Q

Aus welchen Teilen besteht eine Cipher Suite bei SSL/TLS?
Was für Unterschiede gibt es zwischen TLS 1.2 und TLS 1.3?

A
  • Schlüsselaustausch
  • Authentifizierung
  • Verschlüsselung
  • Hashfunktion

Änderungen:
Schlüsselaustauschverfahren und Signaturverfahren werden nicht mehr genannt,

26
Q

Vergleichen Sie IPsec mit SSL/TLS und zeigen Sie Gemeinsamkeiten und Unterschiede auf. Diskutieren Sie auch Vor- und Nachteile.

A

Bei SSL/TLS müssen die Anwendungsprogramme angepasst werden, bei IPsec ist das nicht notwendig.

  • IPsec schützt auch UDP-Verkehr im Gegensatz zu SSL/TLS (statt SSL/TLS ist aber DTLS möglich).
  • Eine Virenüberprüfung muss bei SSL/TLS in den Endgeräten durchgeführt werden. Wenn IPsec zwischen zwei VPN Gateways installiert wird, kann auch auf den Gateways eine Virenüberprüfung durchgeführt werden.
  • SSL/TLS schützt nur Daten oberhalb der Transportschicht, während IPsec dieTransportschicht und im Tunnel-Modus auch den IP Header schützen kann. Damit wird eine Verkehrsflussanalyse fast unmöglich gemacht.
  • SSL/TLS eignet sich mehr für eine Absicherung von einzelnen Anwendungen, während sich IPsec eher für die Absicherung eines ganzen Netzes (VPN) eignet.
  • IPsec applikationsunabhängig einsetzen
  • SSL als integrierter Aufsatz auf bestimmte Anwendungen
27
Q

Ein Unternehmen beschäftigt Außendienstmitarbeiter, die oft Besprechungen bei Kunden haben.
Während dieser Besprechungen müssen sie manchmal auf Server in der Firma zugreifen, wobei diese Daten über einen Browser abfragbar sind. Würden Sie in diesem Fall empfehlen, dass die Außendienstmitarbeiter per IPsec oder per SSL/TLS angebunden werden?

A
  • Einsatz von IPsec benötigt jeder Rechner eine besondere Client-Software für die Fernzugriffe, während die für den Aufbau einer SSL-Verbindung erforderliche Software in jedem handelsüblichen Browser integriert ist
  • Anwender eine SSL-Verbindung kann praktisch von jedem Internetfähigen Rechner der Welt aufbauen
  • Kompatibilität: Ggf mehrere IPsec-Clients auf einem Rechner
28
Q

Welche Aufgaben übernimmt das Protokoll QUIC? Wie ist dessen Verhältnis zu TLS 1.3, TCP und UDP?

A
  • integriert Funktionen eines Transportschichtprotokolls auch Aufgaben von SSL/TLS, um als Basis von HTTP verwendet zu werden
  • Implementiert TLS1.3, allerdings mit vereinfachtem TCP ThreeWay Handshake
  • verwendet als Basis eine Übertragung mittels UDP
29
Q

Welche Aufgaben hat das SSH-Protokoll?

A
  • sich auf einem entfernten Host einzuloggen
  • Kommandos auf dem entfernten Host auszuführen
30
Q

Wie funktioniert das Port Forwarding mit SSH?

A
  • aut eine Verbindung zu einem entfernten Server auf - aber über eine Zwischenstation
  • arbeiten als säßen Sie selbst vor diesem entfernten Rechner
  • Anstatt auf die Website direkt zu gehen, kann auf einem Server zugegriffen werden
  • der Server leitet die Daten weiter

Tunnel meint nun, dass Daten von einem dritten Rechner, zum Beispiel eine Webseite, vom SSH-Server angefordert und dann über die SSH-Verbindung an Ihren lokalen Rechner weitergeleitet werden

31
Q

Diskutieren Sie den Aufwand für und die Sicherheitsverbesserungen durch DNSSEC

A
  • wurde eingeführt, um Integrität und Authentizität innerhalb DNS zu verbessern
  • es werden zusätzliche DNS Records aufgebaut
  • Key Signing Key und Zone Signing Key
  • Schlüssel und Signaturen werden häufig gewechselt
32
Q

Warum erreicht man durch die Kombination der E-Mail-Protokolle SMTP, POP3/IMAP mit SSL/TLS nur einen partiellen Schutz bei der E-Mail-Übertragung

A
  • Mails liegen unverschlüsselt auf den Servern
  • unbekannt, ob die Mails zwischen den Servern unverschlüsselt verschickt werden
33
Q

Erklären Sie Gemeinsamkeiten und Unterschiede von PGP und S/MIME.

A
  • S/MIME kann man Email End-zu-End verschlüsseln, PGP auch (jedoch mit Web-of-Trust- Ansatz)
  • PGP schwer zu verwalten
34
Q

Welchen Aufwand und Nutzen hat DNSSEC aus Sicht von Providern und Endnutzern?

A

Endnutzer:
- Schutz vor missbräuchlicher Weiterleitung auf schädliche Seiten

Providern:
- Schützt vor Cache Poisining
- Schaden der Marke

35
Q

Welchen Vorteil haben Endnutzer bei der Verwendung von DNS over HTTPS bzw. DNS over TLS?

A
  • baut eine TLS-geschützte Verbindung zwischen Client und Resolver auf und nutzt dafür standardmäßig den Port 853
  • verhindert unerwünschtes Mitlesen auf dem Übertragungsweg vom Client zum Resolver.
  • keine manipulierten DNS-Einträge eingeschleuster
36
Q

Wie funktioniert eduroam?

A
  • viele AP senden SSID eduroam aus
  • Authentifizierung im Heimhochschule, Gasthochschule akzeptiert dies (Identity Provider und Service Provider)
  • 802.1X als Basis
  • Abgleich der Daten auf verschiedenen RADIUS Servern