4. Sicherheitsprotokolle

Question 1

Welche VPN-Typen kann man unterscheiden?

Answer 1

• Intranet VPN: (Site-to-Site):
• Verbindungen zwischen verschiedenen Standorten via Tunnel
• Remote Access VPN:
• individuelle Endnutzer/Geräte werden von außen in ein Netz verbunden, von überall
• Extranet VPN:
• Abgesicherter Bereich, beispielsweise für Zulieferer
• End-to-End VPN:
• speziell zwischen zwei Endgeräten

Question 2

Ordnen Sie die Protokolle IPsec, SSL/TLS und SSH in das OSI-Schichtenmodell ein.

Answer 2

IPsec:
- Vermittlungsschicht
- somit werden alle Anwenundsprotokolle automatisch geschützt, egal ob TCP / UDP

SSL/TLS:
- Transportschicht
- nur mit TCP möglich

SSH:
- Anwendungsschicht

Question 3

Was unterscheidet asymmetrische von symmetrischen Verschlüsselungsverfahren? Was für Schlüssel gibt es?

Answer 3

symmetrisch:
- der selbe Schlüssel wird für Ent- und Verschlüsselung genutzt

asymmetrisch:
- öffentlicher und privater Schlüssel
- privat: wird nicht geteilt, damit kann nur entschlüsselt
-öffentlicher: Kann beispw. in einem Key Server gespeichert werden.
Mit des Empfänger öffentlichem Key kann der Sender seine Nachricht verschlüsseln

Question 4

Wie werden asymmetrische und symmetrische Verschlüsselung in der Praxis (z.B. bei IPsec und SSL/TLS) kombiniert?

Answer 4

SSL/TLS

• asymmetrische Verschlüsselung wird genutzt, um einen Session-Key zu generien und zu übermitteln
• Dieser Schlüssel wird nun zum Ver- und Entschlüsseln genutzt

Asymmetrisch: Austausch von Schlüsseln
Symmetrisch: dieser Schlüssel wird für symm Verschlüsselung genutzt

Question 5

Wie erfolgte die Standardisierung von AES? Hat sich dieses Verfahren bewährt?

Answer 5

• Wettbewerb 1997 vom NIST zur Bestimmung eines DES-Nachfolgers
• steht in vielerlei Zusammenhängen wie IPsec, SSL/TLS und SSH

Question 6

Was versteht man unter (Perfect) Forward Secrecy?

Answer 6

• Konzept, um nachträglich veröffentlichen private key zu schützen
• Nicht im Nachhinein Daten entschlüsselbar
• Verschlüsselung, die nicht abhängig vom private key ist
• Beispielsweise DH - Schlüsselaustausch

Question 7

Was versteht man unter einer kryptographischen Hash-Funktion? Welche Eigenschaften soll eine solche Funktion haben?

Answer 7

• lässt sich sicherstellen, dass Daten nicht bei der Übertragung über das Netz manipuliert wurden
• bilden eine Nachricht beliebiger Länge auf eine Prüfsumme fester Länge ab

Funktionen:
- sind kollisionsresistent
- Hashwert leicht zu berechnen
- Einwegfunktion
- unmöglich, ein Paar von ungleichen Nachrichten m und m’ zu finden, bei denen dazugehörige Hash-Wert H(m)=H(m’) ist.

Question 8

Welchen Vorteil erwartet man von Authenticated Encryption with Associated Data-Verfahren?

Answer 8

• spezielle Art der Kombination von symmetrischen Verschlüsselungsverfahren mit Hash-Verfahren
• Verwendung bei TLS-Version 1.3
• vereinfacht dem Entwickler die Realisierung von Vertraulichkeit und Nachrichtenauthentitizät, da beides zusammen über gemeinsame Programmierschnittstelle angeboten wird

Question 9

Erklären Sie, wie ein Message Authentication Code berechnet wird.
Was wird durch die Verwendung bei der Kommunikation erreicht?

Answer 9

• Nachricht und ein gemeinsamer Schlüssel als Input
• Daraus wird eine Prüfsumme gebildet
• Prüfsumme und Nachricht wird an Empfänger geschickt
• Empfänger kann selbst eine Prüfsumme berechnen und dies dann vergleichen
• Integrität und Authentizität

Question 10

Wie ist der Zusammenhang zwischen digitalen Unterschriften und Public Key-Kryptographie?

Answer 10

Mit Public Key-Kryptographie kann man Dokumente digital unterschreiben:

• Hash aus Nachricht ergibt Prüfsumme, mit Private Key verschlüsseln
• Hash wird der Nachricht angehangen und dadurch signiert
• Empfänger berechnet aus der Nachricht eine Prüfsumme
• Empfänger entschlüsselt die Signatur mit Senders öffentlichem Schlüssel
• Beide Prüfsummen müssen gleich sein
• sichert Authentizität und die Integrität

Question 11

Welche Inhalte hat ein digitales Zertifikat?

Answer 11

Datenstruktur, bestehend aus
- öffentlichen Schlüssel,
- den Identitätsinformationen
- Angabe des Ausstellers

Question 12

Was sind die Aufgaben einer Zertifizierungsstelle?

Answer 12

• überprüft die Zugehörigkeit des Public Keys zur Identifikation des Antragstellers
• legt Gültigkeitsdauer des Zertifikats fest
• speichern die Zertifikate in einer allgemein zugänglichen Weise.
• kümmern sich um den Widerruf und die Sperrung von Zertifikaten
• erneuern Zertifikate
• verwalten eine Historie der Zertifizierung
• beglaubigen wichtige Verträge
• betreiben einen Zeitstempel-Dienst
• zertifizieren auch andere CAs

Question 13

Wie kann man überprüfen, ob ein digitales Zertifikat für ungültig erklärt wurde?

Answer 13

Mit dem Protokoll OCSP (Online Certificate Status Protocol)
- Client sendet Hash des zu überprüfenden Zertifikats
- gültig, ungültig oder unbekannt

Question 14

Erklären Sie den Ablauf eines Challenge-Response-Verfahrens. Warum wird dabei der Challenge zufällig gewählt?

Answer 14

• Authentitfizierer schickt eine Zufallsfolge an den zu überprüfenden Client
• Client erstellt mit einer Hashfunktion aus der Zufallsfolge und ein Geheimnis, was beide kennen, eine Prüfsumme
• schickt diese an den Authentifizierer zurück
• bestimmt ebenfalls mit Hashfunktion aus Challenge und Geheimnis Prüfsumme
• beide gleich?

Response wäre immer gleich, wenn keine Zufallsfolge
Angreifer könnte Verkehr abfangen, Replay-Angriff

Question 15

Wie ist der Zusammenhang von steganographischen Verfahren zur symmetrischen Verschlüsselung?

Answer 15

• die geheime und im Trägermedium versteckte Nachricht wird zusätzlich noch symmetrisch verschlüsselt

Question 16

Wie unterscheiden sich die Personal- und Enterprise-Varianten bei der WLAN-Verschlüsselung?

Answer 16

Personal:
- Einsazt von Pre-shared Key
- gemeinsamer Schlüssel, den allen bekannt ist

Enterprise:
- 802.1X wird eingesetzt

Question 17

Wie ist die Sicherheit von WPA2 und WPA3 einzuschätzen?

Answer 17

-WPA3 löst WPA2 ab
- KRACK Attacke sind bei WPA2 möglich (2017)
- WPA3 nutzt SAE, Simultaneous Authentication of Equals
- durch SAE wird Perfect Forward Secrecy erreicht

Question 18

Welchen Nutzen bieten Protected Management Frames?

Answer 18

• müssen im Zusammenhang mit einer WPA3-Zertifizierung implementiert werden
• Integrität von Unicast und Broadcast Management-Rahmen wird geschützt
• Unicast Management-Rahmen werden verschlüsselt

Question 19

Erklären Sie die Eigenschaften von AH und ESP bei IPsec sowie den Unterschied zwischen Transport- und Tunnel-Modus.
Was versteht man in diesem Zusammenhang unter dem
„tunneln“ von IP Paketen?

Answer 19

Authentication Header:
- stellt Integrität der Daten sicher
- erlaubt Authentifizierung des Partners
- Schutz von Replay Attacks

Encapsulating Security Payload:
- stellt Integrität der Daten sicher
- erlaubt Authentifizierung des Partners
- verschlüsselt die Daten

Transportmodus:
- hauptsächlich die oberen Protokoll-Schichten werden geschützt
-

Tunnelmodus:
- die Protokolle (AH und ESP) auf getunnelte IP-Pakete werden angewandt
- Nutzlast besteht aus dem originalen IP-Paket

Getunnelte Pakete:
- erhalten einen neuen IP Header in dem
- Sender- und Empfängeradresse der Tunneleingangs- und ausgangspunkte angegeben sind

Question 20

Wie wird ein Replay-Angriff bei IPsec verhindert?

Answer 20

• eine Sequenznummer ist vorhanden
• diese wird vom Absender mit jedem Paket inkrementiert
• Der Empfänger überprüft

Question 21

Ein Unternehmen hat zwei Standorte, die über das Internet verbunden sind. Das Unternehmen möchte sicherstellen, dass die Daten beim Transport über das Internet nicht erfolgreich abgehört oder verfälscht werden können. Erklären Sie, wie dies mit IPsec erreicht werden kann

Answer 21

• Kombinatin von AH und ESP
• damit ist CIA gegeben

Question 22

Diskutieren Sie die Gemeinsamkeiten und Unterschiede von IPsec und Wireguard.

Answer 22

IPsec:
- Standardprotkoll

Wireguard:
- ist schneller (geringere ping Zeit und höherer Durchsatz)
- aktuelle Verschlüsselung
- Schlüsselaustausch: DH mit Curve25519
- Verschlüsselung: ChaCha20 und Poly 1305 (symmetrisch)
- Hash-Bildung: BLAKE2

Question 23

Welche Bedeutung hat es, wenn vor einer URL in der Browserzeile https statt http steht?

Answer 23

• HTTPS ist sicherer:
• Browser und Server kommunizieren per HTTP miteinander
• somit sind die Daten verschlüsselt, mit SSL Zertifikat

Question 24

Welche Aufgaben übernimmt das Handshake-Protokoll von SSL/TLS? Was wurde beim Handshake bei TLS 1.3 geändert?

Answer 24

• Reduzierung der Latenz beim Verbindungsaufbau (Handshake)
• Weitere Teile des Handshakes sollten verschlüsselt ablaufen
• Verbesserung des Schutzes gegen Cross Protocols Attacks (Signatur beim Schlüsselaustausch durch den Server deckt bisher nicht den gesamten Handshake ab)
• Entfernung von veralteten, unsicheren Möglichkeiten

Änderungen:
- alle Schlüsselaustauschverfahren erlauben nun PFS
- Alle handshake - Nachrichten nach dem ServerHello sind verschlüsselt
- nur noch AEAD Algorithmen, kein RC4 (Strom) oder CBC (Block)
- ein Zero RTT modus

Question 25

Aus welchen Teilen besteht eine Cipher Suite bei SSL/TLS?
Was für Unterschiede gibt es zwischen TLS 1.2 und TLS 1.3?

Answer 25

• Schlüsselaustausch
• Authentifizierung
• Verschlüsselung
• Hashfunktion

Änderungen:
Schlüsselaustauschverfahren und Signaturverfahren werden nicht mehr genannt,

Question 26

Vergleichen Sie IPsec mit SSL/TLS und zeigen Sie Gemeinsamkeiten und Unterschiede auf. Diskutieren Sie auch Vor- und Nachteile.

Answer 26

Bei SSL/TLS müssen die Anwendungsprogramme angepasst werden, bei IPsec ist das nicht notwendig.

• IPsec schützt auch UDP-Verkehr im Gegensatz zu SSL/TLS (statt SSL/TLS ist aber DTLS möglich).
• Eine Virenüberprüfung muss bei SSL/TLS in den Endgeräten durchgeführt werden. Wenn IPsec zwischen zwei VPN Gateways installiert wird, kann auch auf den Gateways eine Virenüberprüfung durchgeführt werden.
• SSL/TLS schützt nur Daten oberhalb der Transportschicht, während IPsec dieTransportschicht und im Tunnel-Modus auch den IP Header schützen kann. Damit wird eine Verkehrsflussanalyse fast unmöglich gemacht.
• SSL/TLS eignet sich mehr für eine Absicherung von einzelnen Anwendungen, während sich IPsec eher für die Absicherung eines ganzen Netzes (VPN) eignet.
• IPsec applikationsunabhängig einsetzen
• SSL als integrierter Aufsatz auf bestimmte Anwendungen

Question 27

Ein Unternehmen beschäftigt Außendienstmitarbeiter, die oft Besprechungen bei Kunden haben.
Während dieser Besprechungen müssen sie manchmal auf Server in der Firma zugreifen, wobei diese Daten über einen Browser abfragbar sind. Würden Sie in diesem Fall empfehlen, dass die Außendienstmitarbeiter per IPsec oder per SSL/TLS angebunden werden?

Answer 27

• Einsatz von IPsec benötigt jeder Rechner eine besondere Client-Software für die Fernzugriffe, während die für den Aufbau einer SSL-Verbindung erforderliche Software in jedem handelsüblichen Browser integriert ist
• Anwender eine SSL-Verbindung kann praktisch von jedem Internetfähigen Rechner der Welt aufbauen
• Kompatibilität: Ggf mehrere IPsec-Clients auf einem Rechner

Question 28

Welche Aufgaben übernimmt das Protokoll QUIC? Wie ist dessen Verhältnis zu TLS 1.3, TCP und UDP?

Answer 28

• integriert Funktionen eines Transportschichtprotokolls auch Aufgaben von SSL/TLS, um als Basis von HTTP verwendet zu werden
• Implementiert TLS1.3, allerdings mit vereinfachtem TCP ThreeWay Handshake
• verwendet als Basis eine Übertragung mittels UDP

Question 29

Welche Aufgaben hat das SSH-Protokoll?

Answer 29

• sich auf einem entfernten Host einzuloggen
• Kommandos auf dem entfernten Host auszuführen

Question 30

Wie funktioniert das Port Forwarding mit SSH?

Answer 30

• aut eine Verbindung zu einem entfernten Server auf - aber über eine Zwischenstation
• arbeiten als säßen Sie selbst vor diesem entfernten Rechner
• Anstatt auf die Website direkt zu gehen, kann auf einem Server zugegriffen werden
• der Server leitet die Daten weiter

Tunnel meint nun, dass Daten von einem dritten Rechner, zum Beispiel eine Webseite, vom SSH-Server angefordert und dann über die SSH-Verbindung an Ihren lokalen Rechner weitergeleitet werden

Question 31

Diskutieren Sie den Aufwand für und die Sicherheitsverbesserungen durch DNSSEC

Answer 31

• wurde eingeführt, um Integrität und Authentizität innerhalb DNS zu verbessern
• es werden zusätzliche DNS Records aufgebaut
• Key Signing Key und Zone Signing Key
• Schlüssel und Signaturen werden häufig gewechselt

Question 32

Warum erreicht man durch die Kombination der E-Mail-Protokolle SMTP, POP3/IMAP mit SSL/TLS nur einen partiellen Schutz bei der E-Mail-Übertragung

Answer 32

• Mails liegen unverschlüsselt auf den Servern
• unbekannt, ob die Mails zwischen den Servern unverschlüsselt verschickt werden

Question 33

Erklären Sie Gemeinsamkeiten und Unterschiede von PGP und S/MIME.

Answer 33

• S/MIME kann man Email End-zu-End verschlüsseln, PGP auch (jedoch mit Web-of-Trust- Ansatz)
• PGP schwer zu verwalten

Question 34

Welchen Aufwand und Nutzen hat DNSSEC aus Sicht von Providern und Endnutzern?

Answer 34

Endnutzer:
- Schutz vor missbräuchlicher Weiterleitung auf schädliche Seiten

Providern:
- Schützt vor Cache Poisining
- Schaden der Marke

Question 35

Welchen Vorteil haben Endnutzer bei der Verwendung von DNS over HTTPS bzw. DNS over TLS?

Answer 35

• baut eine TLS-geschützte Verbindung zwischen Client und Resolver auf und nutzt dafür standardmäßig den Port 853
• verhindert unerwünschtes Mitlesen auf dem Übertragungsweg vom Client zum Resolver.
• keine manipulierten DNS-Einträge eingeschleuster

Question 36

Wie funktioniert eduroam?

Answer 36

• viele AP senden SSID eduroam aus
• Authentifizierung im Heimhochschule, Gasthochschule akzeptiert dies (Identity Provider und Service Provider)
• 802.1X als Basis
• Abgleich der Daten auf verschiedenen RADIUS Servern