Kommunikationssicherheit

Question 1

Welche Standards beschäftigten sich mit Wlan?

Answer 1

IEEE 802.11

Question 2

Wie ist ein Wlan normalerweise aufgebaut?

Answer 2

Antenne und Ethernet-Ports sind über einen ADSL-Modem-Router ans Internet angeschlossen

Question 3

Was sind Hotspots?

Answer 3

Internetangebot für viele Gäste, die persönlich nicht bekannt sein müssen

Question 4

Welche Auswirkungen hat das WLAN auf unsere Hauptschutzziele?

Answer 4

Authentizität: Nur bestimmte Benutzer sollen Zugriff haben
Integrität: Jeder kann eine Antenne in Luft halten und Daten verändern, aber auch andere Geräte (z.B. Bluetooth können die Integrität stören)
Verfügbarkeit: Jammer kann WLAN stören

Question 5

Welche beiden Kommunikationsarten gibt es im WLAN? Wie werden diese genannt?

Answer 5

Adhoc-Modus: Zwei gleichberechtigte Geräte kommunizieren direkt miteinander
Infrastruktur-Modus: Access Point regelt Kommunikation im Wlan und leitet Kommunikation

Question 6

Welche Aufgaben hat ein Access Point im WLAN?

Answer 6

Verwaltet Geräte im WLAN
Verwaltet jede Kommunikation
Verbindet Kabelgebundene Geräte (Switch-Funktion)
Verbindet andere Netze (Router)
Verantwortlich für andere Sicherheitsaspekte

Question 7

Zu was werden Geräte, die in einem WLAN miteinander kommunizieren, zusammengefasst?

Answer 7

Basic Service Sets (BSS)

Question 8

Wie nennt man es, wenn ein Repeater mehrere Access Points verbindet?

Answer 8

Extended Service Set (ESS). Das Verbindende wird auch als Distribution System bezeichnet.

Question 9

Wie heißt der Name eines Service Sets? Wie ist er aufgebaut?

Answer 9

Service Set ID (SSID): 32 Byte

Question 10

Was ist ein Beacon-Frame?

Answer 10

WLAN informiert nahe Nutzer regelmäßig über seine Existenz

Question 11

Was ist die MAC-Filterung?

Answer 11

Nur bestimmte Hardwareadressen sind für Kommunikation im WLAN zugelassen. Nicht effektiv: Angreifer kann MAC-Adresse leicht abhören und fälschen

Question 12

Wie läuft eine Authentisierung zwischen Endgerät und Access Point ab?

Answer 12

Bei Open-System Authentication findet keinerlei Überprüfung statt, Endgerät sendet einen Authentication Frame. Bei Pre-Shared-Key Authentication müssen alle Endgeräte und der AP ein gemeinsames Geheimnis kennen: Der Router sendet eine Challenge, der User schickt diese verschlüsselt zurück.

Anschließend baut das Gerät eine Association zum AP auf, um sich später leichter wieder verbinden zu können

Question 13

Wie wird bei WEP verschlüsselt?

Answer 13

RC4-Stromverschlüsselung. RC4 erzeugt Zufallszahlen, die mit dem Klartext XOR-verknüpft werden.

CRC-Summe vom Klartext wird angehangen und geht mit XOR in die Berechnung ein. Empfänger kann mit Initalisierungsvektor, der mit geschickt wurde, entschlüsseln.

Question 14

Was sind Schwachstellen von WEP?

Answer 14

• Optional (Manche haben es nicht)
• Gemeinsames Geheimnis vieler Nutzer
• Integritätsüberwachung nicht sicher
• Verschlüsselung unsicher (40 Bit Schlüssel)

Question 15

Was ist WPA-TKIP?

Answer 15

Wi-Fi Protected Alliance Temporary Key Integrity Protocol: Temporäre Verbesserung von WEP um Sicherheitsprobleme zu eliminieren

Question 16

Wie läuft eine Authentisierung bei WPA-TKIP ab?

Answer 16

1. Open System Authentication, Client baut Association auf
2. Authentisierung durch Personal Mode: Shared Secret oder Enterprise-Mode: Eigener Authentisierungsserver
3. Bei Authentisierung findet ein Schlüsselaustausch statt, mit dem nun verschlüsselt wird.

Question 17

Wie sichert WPA-TKIP zusätzlich die Integrität?

Answer 17

Durch Message Integrity Code, der aus einem Codewort und dem Klartext gebildet wird.

Question 18

Was sind die Sicherheitsvorteile von WPA-TKIP gegenüber WEP?

Answer 18

Zuverlässiger Integritätsschutz durch Michel
Bruteforce-Angriffe weniger effizient, da nur einzelne Pakete entschlüsselt werden können UND keine Anmeldung am WLAN oder Verfälschung anderer Pakete möglich

Question 19

Wie läuft die Verschlüsselung bei WPA2 ab?

Answer 19

Absender und Empfänger sind MAC-Adressen
Kopfdaten des Paketes wird für zusätzliche Authentisierungsdaten genutzt
Jedes Paket bekommt eine Nummer (Paket Number), verhindert Replay-Angriffe

AES-Verschlüsselung mit 128 Bit Blockgröße und 128 Bit Key

Question 20

Kann bei WPA2 davon ausgegangen werden, dass unsere Hauptschutzziele erreicht wurden?

Answer 20

Ja, es kann von vertraulicher, authentischer und integer Kommunikation ausgegangen werden

Question 21

Wie läuft die Authentisierung bei Eduroam ab?

Answer 21

Alle WLANs nutzen die SSID eduroam
Nutzer loggt sich mit dem “Realm” seiner eigenen Identität ein
Direkter RADIUS-Server arbeitet als Proxy, fragt einen übergeordneten RADIUS-Server an, der die Daten an den RADIUS-Server der Nutzerinsitution weiterleitet. Diese führt dann die Authentisierung durch.

Question 22

Wie läuft eine Authentisierung an einen Hotspot ab?

Answer 22

1. Endgerät baut unverschlüsselt eine Open System Authentication Verbindung auf
2. Access Point registriert Gerät und konfiguriert Paketfilter so, dass nur mit dem Authentication-Server kommuniziert werden kann
3. Nutzer kann sich auf Webseite authentisieren
4. Router erlaubt nun vollen Internetzugriff

Question 23

Welche Sicherheitsprobleme haben Hotspots?

Answer 23

SSIDs können verfälscht werden
Funkstrecke nicht verschlüsselt
Angreifer können Pakete mitlesen und auch aktiv Pakete verschicken
DNS-Spoofing sehr einfach möglich

Question 24

Aus welchen beiden Bereichen besteht ein klassisches Telefonnetz?

Answer 24

Zugangsnetz (access network) regelt Anschluss von Endgeräten am Netz und leitet zur Vermittlungsstelle
Kernnetz (core network) verbindet Vermittlungsstellen.

Question 25

Wie vermittelt das Internet anders als das klassische Telefonnetz?

Answer 25

Klassisches Telefonnetz: Leistungsvermittelnd: Leitung für ein Gespräch wird aufgebaut.
Internet: Paketvermittelnd: Pakete werden unterschiedlich verschickt und können sich auch überholen

Question 26

Wie nennt man es, wenn ein Verbindungsaufbauwunsch übermittelt wird? Wie läuft es ab?

Answer 26

Signalisierung. Spezielle Täne werden gesendet, z.B. mit dem Protokoll Signaling System No 7 (SS 7)

Question 27

Wie unterscheidet sich das Verbinden von Mobilfunknetzen zu Festnetzen?

Answer 27

1. Verschlüsselung, z.B. durch A5, da Funkwellen leicht abgehört werden können
2. Benutzerstandort muss dynamisch aktualisiert werden: Home Location Register (HLR) gibt Benutzer Telefonnummer, Dienst und Empfangsbereich (MSC). Visitor Location Register ist Datenbank in einem MSC und enthält Kopien der Datensätze derjenigen im Netz.
3. ggf. Handover notwendig: Endgerät wechselt Funkmast
4. Endgerät authentisiert sich am Netz

Question 28

Wie authentisiert sich ein Mobilfunkgerät im Netz?

Answer 28

In seinem Subscriber Identity Module (SIM) steht ein Geheimnis abgefragt. Algorithmus A3 wird für Challenge-Response-Verfahren genutzt.

Question 29

Wer digitalisiert analoge Sprachsignale?

Answer 29

Der CODEC codiert Sprachsignale

Question 30

Was ist Jitter?

Answer 30

Verständnisprobleme durch schwankende Verbindungsgeschwindigkeit

Question 31

Welches Protokoll überträgt Sprachdaten? Wie funktioniert es?

Answer 31

Real-Time Transport Protocol (RTP). Payload Type gibt an, welcher CODEC verwendet wurde, SN die Nummer des Paketes, Timestamp zeitlichen Verzug.

RTP wird i.d.R. mit UDP eingesetzt. RTP Control Protocoll ergänzt RTP und kann beispielsweise Verbindungsqualität überwachen.

Question 32

Wie wird das VoIP-Telefon in den RFCs genannt?

Answer 32

User Agent (UA)

Question 33

Wie wird eine VoIP-Verbindung aufgebaut? Wo ist es geregelt?

Answer 33

Im Session Initiation Protocol (SIP). Es werden ähnlich wie bei HTTP Nachrichten mit Kopf & Rumpf ausgetauscht. SIP-Proxy Server und SIP-Redirect Server übernehmen Vermittlungsarbeit, insbesondere Weiterleitung und konvertierung der Signalisierungsinformationen und Weiterleitung digitaler Sprachdaten

Question 34

Wie nennt man die Kontaktadresse eines VoIP Endgeräts?

Answer 34

SIP-Uniform Resource Identifier (SIP-URI). Schema ist sip:User@Host.

Question 35

Was ist der Unterschied zwischen temporären und ständigen SIP-URIs? Wie werden diese zugeordnet?

Answer 35

temporäre SIP-URIs: Neu eingeschaltetes Endgerät kriegt URI aus Benutzernamen und beispielsweise IP-Adresse.
Ständige URI: Permanenter Name des Benutzers, beispielsweise auf eigenem DNS-Server

Zuordnung (Mapping) durch SIP-Registrar

Question 36

Wie wird eine Telefonnumer in eine SIP-URI transformiert?

Answer 36

Mithilfe des E.164 Number Mapping (Enum):
1. Entferne alle Zeichen aus der Telefonnummer
2. Drehe die Reihenfolge um
3. Setze einen Punkt zwischen alle Zeichen
4. Hänge .164.arpa an

Question 37

Wie läuft der Verbindungsaufbau zwischen einem klassischen Telefonnetz und einer VoIP-Rufnummer ab?

Answer 37

1. Teilnehmer wählt Nummer und das Telefonnetz routet den Anruf zum Media Gateway
2. Media Gateway wandelt Nummer in DNS Namen um
3. DNS-Server liefert ständige URI der Nummer
4. SIP-Registrat meldet die temporäre SIP-URI
5. SIP-Proxy-Server oder SIP-Redirect-Server routet Gespräch zur IP-Adresse

Question 38

Was ist zu beachten, wenn man als Benutzer mit VoIP mobil bleiben möchte?

Answer 38

Man muss dem SIP-Registrar bei jedem Netzwechsel seine temporäre SIP-URI mitteilen

Question 39

Wie wird eine direkte Verbindung zwischen 2 VoIP-Endgeräten aufgebaut?

Answer 39

1. Invite: Anrufer ruft angerufenen an, falls dieser das Protokoll versteht, klingelt das Telefon. Mit Ack (Hörer abheben) wird das Gespräch gestartet. Legt ein Teilnehmer auf, so sendet das Telefon eine Bye-Nachricht.

Question 40

Welche Gefährdungen ergeben sich aus VoIP?

Answer 40

1. Telefonnummer kann falsch angezeigt werden, z.B. Social Engineering Angriffe: Jemand gibt sich als IT-Abteilung aus
2. SIP-URI kann gefälscht registriert werden, damit Anrufe an Angreifer geleitet werden
3. DNS-Spoofing: Angreifer liefert gefälschte SIP-URI zu Telefonnummer
4. Denial of Service durch Spam von Bye-Nachrichten (Kommunikation ist unverschlüsselt)
5. RTP übertragt Daten im Klartext

Question 41

Wie wird verhindert, dass Angreifer sich bei einem SIP-Registrar als anderer Benutzer ausgibt?

Answer 41

SIP-Digest: Server schickt Digest Realm (Domain-Name der SIP-Registrar-Domain) und Nonce (Zufallszahl gegen Replay-Attacken) an Client.

Client berechnet Hashwert aus Benutzername, Passwort, Nonce, SIP-Methode und Request-URI

Client sendet Benutzerkennung, Realm, Nonce und Response (Hash) an den Server

Question 42

Wie wird die Sicherheit von RTP erhöht?

Answer 42

SSL-Verschlüsselung: Secure RTP (SRTP)

Question 43

Welche Funktionen hat Secure RTP?

Answer 43

• Prüfung der Authentizität des Absenders
• Sicherung der Vertraulichkeit durch Verschlüsselung
• Sicherstellung der Integrität
• Verhinderung von Replay-Angriffen

Question 44

Wie läuft die Verschlüsselung bei SRTP ab?

Answer 44

Bei initialem Schlüsseltausch wird Master Key ausgetauscht, aus dem Session Keys abgeleitet werden können. Damit wird symmetrisch verschlüsselt (AES) oder der MAC (HMAC-SHA1) berechnet.

Schlüsselaustausch kann nach Presharded, Public Key oder Diffie-Hellman-Verfahren stattfinden

Question 45

Wie werden Benutzerdaten bei Skype verwaltet?

Answer 45

Auf einem Peer-To-Peer Netz aus Supernodes. Supernodes sind Skype-Clienten mit nicht privater IP-Adresse, jeder Benutzer hat einige in seinem Host-Cache.

Question 46

Wie wird bei Skype verschlüsselt? Ist Skype sicher?

Answer 46

Verschlüsselung mit 256 Bit-Schlüssel. AES erzeugt Pseudozufallszahlen, die mit Klartext XOR-verknüpft werden.

Die Sicherheit von Skype konnte nicht abschließend beurteilt werden

Question 47

Wie erkennt ein Intrusion Detection System Angriffe?

Answer 47

Anomalien (ungewöhnliches Nutzerverhalten) und klassische Angriffsignaturen

Question 48

Welche Aufgabe hat der Sensor eines IDS?

Answer 48

Angriffe oder Auswirkungen eines Angriffes erkennen

Question 49

Welche Typen von Intrusion Detection Systemen gibt es?

Answer 49

Host-Based Intrusion Detection Systeme: Sensor sitzt auf Rechner
Network-Based Intrusion Detection Systeme: Sensor ist auf der Netzübertragung
Mischformen

Question 50

Welche zwei Nachteile gibt es für Network-based IDS? Was sind zwei Vorteil gegenüber Host-Based IDS?

Answer 50

1. Switched Network: Switch muss Kopien aller Pakete mithilfe eines Mirror Ports an das IDS weitergeben
2. Verschlüsselte Kommunikation kann nicht analysiert werden

Vorteil: Angriffe werden erkannt, bevor sie das Zielsystem erreichen.
Beweise oft leichter, da bei Host-IDS Log-Dateien bei Angriff verfälscht werden können

Question 51

An welchen Stellen kann man Sensoren eines IDS typischerweise installieren?

Answer 51

1. Vor der eigenen Firewall
2. Im Paketfilter
3. Im öffentlich zugänglichen System
4. In der DMZ
5. Im privaten Netz

Question 52

Was ist der Vorteil von Sensoren vor der Firewall? Ist dies Host-Based or Network-Based?

Answer 52

Network based. Erkennt Angriffe, die möglicherweise später von der Firewall blockiert werden und hilft bei Analyse. Kann ggf. von Angreifern manipuliert werden.

Question 53

Was ist der Vorteil von Sensoren im Paketfilter? Ist dies Host-Based or Network-Based?

Answer 53

Host-Based. Kann überprüfen, ob Router als Paketfitler richtig arbeitet.

Question 54

Was ist der Vorteil von Sensoren im öffentlichen System? Ist dies Host-Based or Network-Based?

Answer 54

Host-Based. Öffentliches System ist besonders oft Ziel von Angriffen, Administratoren werden umgehend benachrichtigt und können reagieren.

Question 55

Was ist der Vorteil von Sensoren in der DMZ? Ist dies Host-Based or Network-Based?

Answer 55

Network-Based. Schwachstellen im Paketfitler können entdeckt werden, gefährliche Angriffe können entdeckt werden. Direktes Benachrichtigen des Administrators.

Question 56

Was ist der Vorteil von Sensoren im Internen Netz? Ist dies Host-Based or Network-Based?

Answer 56

Kann beides sein. Erkennen Angriffe aus dem Inneren, insbesondere zwischen besonders schützenswerten Subnetzen.

Question 57

Was ist ein Unified Thread Management?

Answer 57

Software-Produkt, bei dem neben IDS auch Firewall, Virenscanner etc. angeboten werden.

Question 58

Was sind Grenzen von Sensoren im IDS?

Answer 58

1. Können abstürzen
2. Begrenzer Bereich zur Speicherung von Log-Daten
3. Begrenze Rechengeschwindigkeit durch hohe Anforderungen (Muster erkennen, Paketrümpfe analysieren, Paketköpfe protokollieren)

Question 59

Welche Teile eines IP-Pakets analysieren TCPdump und Snort?

Answer 59

IP-Header (insbesondere einzelne Felder und bits/flags).
Pakete für nicht angebotene Dienste
Bekannte Angriffsmuster
Scanning

Question 60

Was ist TCPdump?

Answer 60

Network-based IDS, das Pakete protokolliert, die am Netzwerk-Interface (z.B. Ethernet-Karte) vorbeikommen. Kann Paketköpfe in eine Datei schreiben (es kann eingestellt werden, welche), damit diese später analysiert werden können.

Question 61

Was ist Snort?

Answer 61

Frei verfügbares IDS, das bei Linux oft mitgeliefert wird.

Kann Datenverkehr ähnlich wie TCPdump speichern, aber auch
bestimmte Aktionen auslösen, wenn benutzerkonfiguerte Regeln erkannt werden und
Datenverkehr mit benutzerkonfigurieren Regeln vergleichen

Question 62

Aus welchen Bestandteilen besteht snort? Was ist ihre Aufgabe?

Answer 62

packet decoder: Versucht Struktur des Pakets zu erkennen
detection engine: Unterstützt intelligente Auswertungen von Regeln
logging and alerting: Speichert das Paket

Question 63

Wie ist eine Regel in Snort aufgebaut?

Answer 63

Regel-Kopf und Regel-Optionen.

Regel-Kopf: Wer muss für Regeln an Kommunikation beteiligt sein, was soll passieren?
Regel-Optionen: Zusätzliche Angaben, was sonst noch sein soll (z.B. bestimmte Flags gesetzt)

Question 64

Wann und wie durchläuft Snort die Regeln?

Answer 64

Snort durchläuft die Regeln bei jedem Paket. Durchläuft zuerst alle “alert”, dann alle “pass” und dann alle “log”-Aktionen.

Question 65

Was erlaubt eine genauere Steuerung der Ein- und Ausgabe von Snort?

Answer 65

Prä-Prozessoren: Behandelt fragmentierte Pakete und wandelt bestimmte Zeichen um.
Ausgabe-Plugins können logging und alerting genau steuern

Question 66

Welche Aktionen sind in einer Snort-Regel erlaubt?

Answer 66

Alert: Administrator enthält einen Warnhinweis
Log: Paket wird protokolliert
Pass: Paket darf passieren
Activate: Regel aktiviert andere Regeln
Dynamic: Regel bleibt deaktiviert bis sie aktiviert wird, zählt dann als log

Question 67

Was sind die wichtigsten Regel-Optionen in Snort? Wie sind diese aufgebaut?

Answer 67

Regeln bestehen aus einem Schlüsselwort und einem Wert, getrennt durch einen Doppelpunkt.

Msg Option: Benutzer kann Nachricht zu einer Regel festlegen
TTL Option: Angaben zur Time-To-Live können gemacht werden
Dsize Option: Zugriff auf Größe des Paket-Rumpfes
Flags Option: Hier wird getestet, ob bestimmte TCP-Flags gesetzt sind
Content Option: Durchsucht Paket-Rumpf, beispielsweise nach String

Question 68

Was sollte man als Administrator beim Einsatz von Snort und TCPdump beachten?

Answer 68

• Viel protokollieren, um Informationen zu gewinnen
• Filterregeln genau kennen
• Genug Speicher reservieren
• Regelmäßig Regeln aktualisieren

Question 69

Was ist die Aufgabe von Tripwire?

Answer 69

Host-based IDS, das auch frei unter dem Namen aide verfügbar ist. Prüft Integrität von Daten und gibt bei Auswirkungen eines Angriffes Bescheid.

Question 70

Welche Veränderungen an Daten prüft Tripwire?

Answer 70

Zugriffsdaten (p)
Nummer des inode der Datei (i)
Anzahl der Hard Links auf die Datei (n)
Benutzer und Gruppe die zu der Datei gehören (u, g)
Größe der Datei (s)
Datum der letzen änderung und des letzten Zugriffs (m, a)
Verschiedene Hashwerte

Question 71

Welche vier Betriebsmodi kennt Tripwire?

Answer 71

Database Initialisation Mode: Modus, in dem die erste Vergleichsdatenbank erstellt wird
Integrity Checking mode: Modus, in dem aktuelle Attribute der Dateien/Verzeichnisse vergleichen werden
Database Update Mode: Modus, in dem Administrator Tripwire eine Liste übergibt, mit Dateien die er geändert hat
Interactive Database Update Mode: Modus, in dem Tripwire einen Integritätscheck ausführt und für jeden Eintrag angibt, ob der Datenbankeintrag aktualisiert werden soll

Question 72

Welche IDS gibt es neben Tripwire?

Answer 72

aide, OSSEC

Question 73

Wie sollte auf einen IDS-Alarm reagiert werden?

Answer 73

1. Mehr protokollieren
2. Abblocken (e.g. Ports sperren)
3. angreifer bremsen (Ressourcen blockieren), z.B. mit tarpit oder window size

Question 74

Welche vier manuellen Schritte empfiehlt Northcutt nach einem IDS-Alarm?

Answer 74

1. Begrenzen
2. Ausrotten
3. Wiederherstellen
4. Schlussfolgern