Nätverksäkerhet Flashcards
Vad är Man-in-the-middle för attack?
Access-attack
Vilket plane går SSH under?
Management Plane
Vilket plane går OSPF under?
Control Plane
Vad är nyckelorden ”local” och ”local-case” kopplade till?
Den lokala användardatabasen i AAA
Vad står C:et i CIA för?
Confidentiality
Vad säkras Confidentiality igenom?
Kryptering
Vilken algoritm används för kryptering inom Confidentiality?
AES-256
Vad står I:et i CIA för?
Integrity
Vad säkras Integrity igenom?
Hashsummor
Vilken algoritm används för kryptering inom Integrity?
SHA-256
Vad står A:et för i CIA?
Availability
Vad säkras Availability igenom?
Redundans
Vilken är vanlig teknik för att uppnå redundans med Availability?
LACP
RAID
Vilken av följande aktiviteter brukar klassificeras som en rekognans-attack?
Köra en paketsniffning på ett trådlöst nätverk
Vad kan göras på en router för att öka säkerheten på management-planet (management plane)?
- Köra SSH istället för Telnet
- Använda starka lösenord under “line vty”
- Parser views
- RBAC lösningar
- Använda SNMPv3 framför SNMPv2
Vad kan göras på en router för att öka säkerheten på kontrollplanet (control plane)?
- Begränsa ICMP-trafik till routern
- Autentisering av routinguppdateringar
- Användning av CoPP
Vad står första A:et för i AAA?
Authentication
Vad hanterar Authentication?
Identifiering av användare
Inloggning
Hur säkerhetsställs identifiering av användare i Authentication?
Användarnamn och lösenord
Vad för protokoll kan man använda för att säkerhetsställa i Authentication?
RADIUS
TACTS+
Vad står det andra A:et för i AAA?
Authorization
Vilka kommandon som är tillgängliga för en användare
Vad hanterar Authorization?
Behörigheter i systemet
Hur säkerhetsställs behörigheter i system i Authorization?
Parser views
Privilege levels
Vad står det tredje A:et för i AAA?
Accounting
Vad hanterar Accounting?
Loggning av händelser
Vad för protokoll kan använda för att logga händelser med Accounting?
RADIUS
TACACS+
En router är konfigurerad enligt nedan:
R1(config)# enable secret cisco
R1(config)# username dd-admin password cisco
R1(config)# line vty 0 15
R1(config-line)# transport input telnet
R1(config-line)# login enable
R1(config-line)# password enable
R1(config-line)# exit
R1(config)# aaa new-model
Vilken autentiseringsmetod kommer att användas för att logga in mot Telnet?
Användarnamnet “dd-admin” och lösenordet “cisco”
Vad händer om du tilldelar zoner på ett interface i ZPF utan att ha några regler?
All trafik blockeras på interfacet
Vad tillåts trafik till och från self-zone som?
Standard
Ifrån vilket packet kan en IPS blocka trafik från?
Första packetet
På vilka två lager i OSI-modellen arbetar en enkel “packet filtrering”-brandvägg, t.ex. en ACL?
- Lager 3
- Lager 4
För att applicera en IPv6-ACL på ett interface på en Cisco-router används kommandot?
ipv6 traffic-filter
Vad stämmer angående inspect i en ZPF?
För att tillåta tillbakatrafiken måste “inspect” användas
Vad används för att definiera en handling, exempelvis att kasta ett paket?
Policy-map
Vad används för att applicera en regel på ett interface eller ett zon-par?
Service-Policy
Vad används för att definiera trafiken som ska appliceras av reglerna?
Class-map
Vilken funktion i FortiGate kan även analysera krypterad webbtrafik om verktyget används fullt ut?
SSL Inspection
Vilken typ av IPS-larm vill vi helst ha i våra nätverk?
True Negative
Vilken typ av IPS-larm är detta ett exempel på? “IPS:en gjorde fel, för den slängde paketet”
False Positive
Vilken typ av IPS-larm är detta ett exempel på? “IPS:en gjorde rätt, för den slängde inte paketet”
True Negative
Vad är SPAN?
Används bland annat av IDS för att kunna få trafik från ett nätverk eller en viss port och duplicera trafik på en switch
Den speglar trafik till eller från ett interface och skickar ut en kopia
Vad innebär inställningen fail-close i IPS?
Om en IPS går ner eller blir överbelastad så kommer nätverket att stoppa trafiken
Vad innebär inställningen fail-open i IPS?
Om en IPS går ner eller blir överbelastad så kommer nätverket att släppa genom trafiken
När kan det vara passande att använda fail-close?
Det är passande att använda när säkerheten är viktigare än prestandan, t.ex när ett företag hanterar känslig data
När kan det vara passande att använda fail-open?
Det är passande att använda när prestandan är viktigare än säkerheten, t.ex när många personer kommer besöka en hemsida samtidigt
Vilken typ av IPS kan i normalförfarandet ofta skydda mot trafik som går krypterat i nätverket?
Host-baserad IPS
Vilket är Windows inbyggda verktyg för kryptering av hårddisken?
BitLocker
Vad för verktyg kan man använda för att utföra attacker mot switchar?
(Port security)
macof
Vad skyddar BPDU Guard mot?
STP-attacker
Vilken violation är standard i Port Security?
Shutdown
Vad skyddar DHCP Snooping mot?
DHCP spoofing
Vilka två portar kan skicka trafik till en community-port i Private VLAN?
- Promiscuous-porten
- Community-portar i samma community
En användare har kopplat in en switch i nätverksuttaget på sitt kontor för att få anslutning både till sin stationära dator samt sin laptop. Detta är dock förbjudet enligt företagets säkerhetspolicy, och “port security” är konfigurerat så att endast en MAC-adress tillåts i taget på en port. “Violation” är satt som “restricted”, i övrigt är det standard-konfiguration
Vilket läge kommer porten vara i efter att switchen får in flera MAC-adresser än vad som är tillåtet på porten?
Up
En användare har kopplat in en switch i nätverksuttaget på sitt kontor för att få anslutning både till sin stationära dator samt sin laptop. Detta är dock förbjudet enligt företagets säkerhetspolicy, och “port security” är konfigurerat så att endast en MAC-adress tillåts i taget på en port. “Violation” är satt som “restricted”, i övrigt är det standard-konfiguration.
Vad stämmer kring vilken trafik som tillåts på porten?
Trafiken till enheten (MAC-adressen) som först kommunicerade med switchen fortsätter fungera, de övriga enheterna kan inte kommunicera genom porten
Vilka åtgärder är inriktade mot att skydda STP-processen?
- Root Guard
- BPDU Guard
- Loop Guard
Vilken typ av attack är en ARP Poisoning vanligtvis?
Man-in-the-middle
Flera säkerhetstekniker på lager 2 bygger på tabellerna som skapas av DHCP Snooping. Vilka andra tekniker kan (och brukar) utnyttja dessa tabeller?
- Dynamic ARP Inspection
- IP Source Guard
Vilken attack undviks genom att använda ett separat VLAN för “Native VLAN”?
Double tagging-attack
Skydd mot attacker som syftar till att fylla upp en switch med spoofade MAC-adresser görs mest effektivt med?
Port Security
Vilken metod skyddar bäst mot att klientdatorer pratar STP mot en switch?
BPDU Guard
Skydd mot attacken DHCP Starvation görs mest effektivt med?
Port Security
Vilken algoritm har en nyckel som är publik?
Asymmetrisk algoritm
Vad betyder det när algoritm använder av ”transpostion”?
Tecken byter plats med varandra
Vad är ett exempel på en symmetrisk algoritm?
AES
Vilket protokoll skapar dynamiska temporära tunnlar?
DMVPN
Vid användning av IPsec tillsammans med GRE körs IPsec vanligtvis i?
Transport mode, eftersom GRE skapar sin egen tunnel
För att kunna köra routingprotokoll över en IPsec-tunnel behöver man addera ytterligare ett protokoll. Vilket?
GRE
Vilka tekniker kan användas för att autentisera anslutningspunkterna i en Site-to-Site IPsec VPNtunnel?
- Pre-shared key
- Digitala certifikat
En nätverkstekniker felsöker en IPsec-VPN som ej fungerar. Vid felsökning används kommandot show crypto isakmp sa. Outputen visar att det finns en SA (Secure Association) med status QM_Idle. Vad innebär detta, och vad är ett rimligt nästa steg i felsökningen?
Fas 1 har lyckats, gå vidare och kontrollera fas 2
Vilken central part litar båda parterna på i PKI?
Certificate Authority
Det som krypteras med den publika nyckeln i asymmetrisk kryptering kan dekrypteras med?
Endast den privata nyckeln
När man använder symmetriska krypteringsalgoritmer är ett av problemen att man måste utbyta en säker nyckel mellan parterna. Vilken algoritm är vanligast att använda för att utbyta nycklar mellan parterna?
Diffie-Hellman (DH)
Vad används för portskanningar?
Nmap
I vilken attack använder man man Nmap?
Rekognans-attack
Vad är en Smurf Attack för typ av attack?
DDoS attack
I relation till parser views. Vad är specifikt för en superview?
Den består av flera views
Vad för aktivitet brukar klassificeras som en access-attack?
Köra en exploit i Metasploit
När 802.1x körs i ett trådat nätverk, vilken enhet är vanligtvis authenticator?
En switch
Vilka paket används i SNMP?
- Trap
- GET
- SET
Vilken typ av IPS kan i normalförfarandet ofta skydda mot trafik som går krypterat i nätverket?
H-IPS
Vad används VeraCrypt för?
Kryptera lagring
Vad skyddar DAI mot?
ARP Spoofing
Vad innebär ”promiscuous” i Private VLAN?
Att alla kan prata med porten
Skydd mot attacker riktade mot CAM-tabellen görs mest effektivt med?
Port Security
Hur många nycklar har en asymmetrisk algoritm?
Två, en privat och en publik
Vad innebär när en algoritm använder ”substitution”?
Den ersätter tecken
Nämn två stycken kryptografiska hashsummor?
- SHA
- MD5
Det som krypteras med nyckeln i symmetrisk kryptering kan dekrypteras med?
Endast samma nyckel
Vilken är akronymen för att hjälpa komma ihåg delar av konfigurationen av ISAKMP-policyn?
HAGLE
Vad står akronymen för att hjälpa komma ihåg delar av konfigurationen av ISAKMP-policyn?
- Hash
- Authentication
- DH Group
- Lifetime
- Encryption
Vilket protokoll för IPsec bör användas om kryptering krävs i en VPN-tunnel?
ESP
Vilket protokoll är vanligtvis Passenger Protocol i en GRE-tunnel?
IPv4
Var placeras en standard-ACL?
Så nära målet som möjligt
Var placeras en extended-ACL?
Så nära källan som möjligt
Vad gör VDOM?
En teknik i FortiGate som låter en köra flera instanser av en brandvägg med olika (och överlappande) routingtabeller
Vad innebär Security Fabric?
Att allt ska styras via Fortigate med ett gränssnitt.
Vad är IDS?
Intrusion Detection System. Känner av intrång, loggar det, men stoppar det inte.
Vad är en IPS?
Intrusion Prevention System. Känner av intrång, stoppar skadliga paket innan det når enheter.
Hur kan man säkra upp mail och web?
- ESA
- WSA
Signaturer för skadlig trafik kan delas in i två delar, vilka då?
Atomic & Composite
Det finns två olika sätt att använda alerts i IPS-lösning, vilka då?
Atomic & Summary
Vilken åtgärd i en Snort-regel blockerar ett paket men loggar inte händelsen?
Sdrop
Vad innebär det att en ACL har en implicit deny?
Trafik som inte matchar någon regel kommer att slängas som standard
Vad gör nyckelordet established i en ACL?
Kontrollerar om ACK-flaggan är satt för TCP
Vilken brandvägg kallas även för stateless?
Packet Filtering Firewall
Vad heter motsvarigheten till statisk NAT i en FortiGate?
Virtual Ips
En router är konfigurerad med olika behörighetsnivåer för olika kommandon. Ett exempel är ping som är konfigurerat enligt:
privilege exec level 5 ping
Vilka behörighetsnivåer kommer att kunna använda kommandot?
- Privilege level 5
- Privilege level 6
- Privilege level 15
Vad är ett exempel på en “clientless” VPN?
SSL-VPN
Vilka tre begrepp brukar man koppla ihop med säker kommunikation i en VPN-tunnel?
- Dataintegritet (Integrity)
- Konfidentialitet (Confidentiality)
- Autentisering (Authentication)
Vilket är ett utav det största problemet med krypteringsstandarden AES?
Standarden är inte lika vältestad som vissa äldre algoritmer
Vilken VPN-typ används vanligtvis när VPN används som anonymiseringstjänst?
Remote Access
Vad är står HMAC för?
Hashed message authentication code
Vad är HMAC?
HMAC är kryptografisk authentierings teknik som använder hashsummor med en delad nyckel som inkluderas när hashen skapas.
Vem kan verifera ett HMAC meddelande?
Endest den som delade nyckeln.
I vilka områden kan använda HMAC?
- IPsec
- Routinguppdateringar
En VPN-tunnel är nyligen konfigurerad mellan två Cisco-routrar (R1 och R2). Trafik mellan de
lokala nätverken 192.168.14.0/24 och 172.16.0.0/24 är fullt fungerande, däremot slutade trafiken
mot Internet fungera samtidigt som VPN-konfigurationen slutfördes.
Vad är det mest sannolika problemet i ovanstående scenario?
Crypto ACLen är felkonfigurerat så den försöker skapa tunnlar där det inte finns några
En VPN-tunnel är nyligen konfigurerad mellan två Cisco-routrar (R1 och R2). Trafik mellan de
lokala nätverken 192.168.14.0/24 och 172.16.0.0/24 är fullt fungerande, däremot slutade trafiken
mot Internet fungera samtidigt som VPN-konfigurationen slutfördes.
Vilken konfigurationsändring krävs för att både VPN-trafik och Internet-trafik ska fungera för de lokala nätverken?
Man behöver skapa en ny ACL lista för NAT exemption, som segmenterar och separerar trafiken så att vpn trafiken går genom vpn tunneln, och nat trafiken går ut mot internet
Vilket plane är EIGRP?
Control Plane
Vilken typ av skadlig kod ger ofta full tillgång till hela systemet, ofta via svagheter i operativsystemet?
Rootktis
Vad är fas 1 i IKE?
ISAKMP
Vad är fas 2 i IKE?
IPsec
Vilken attack undviks genom att stänga av DTP-förhandling på klientportar?
VLAN Hopping
Vad är nytt i SNMPv3 jämfört med version 2?
Autentisering och kryptering då båda saknas i v2
Vad är en lösenords-attack för typ av attack?
Access Attack
Vad används TACACS+ för?
För att hantera konton på en central server
Vad för aktivitet brukar klassificeras som en Denial of Service-attack?
Utföra en SYN Flood mot en server
En router är konfigurerad enligt nedan:
R1(config)# enable secret cisco
R1(config)# username nics-admin password cisco
R1(config)# line vty 0 15
R1(config-line)# transport input telnet
R1(config-line)# login
R1(config-line)# password enable
Vilken autentiseringsmetod kommer att användas för att logga in mot Telnet?
Lösenordet “enable” som är konfigurerat under “line vty”
Vad är en PC i ett 802.1x nätverk?
Supplicant
Vad är en Switch i ett 802.1x nätverk?
Authenticator
Vad är RADIUS i ett 802.1x nätverk?
Authentication Server
Applicerar man ACL eller ZPF först för ingående trafik?
ZPF
Vad är standarden för trafik mellan två zoner i ZPF?
Self-Zone, all trafik är förbjuden mellan olika zoner
Vilka lager jobbar en stateless-brandväg/packet filtering på?
Lager 3 och 4
Vad kallas motsvarigheten till PAT i en FortiGates grafiska gränssnitt?
NAT
Var konfigureras PAT i en FortiGate?
I en brandväggsregel
En IPS kan ställas in att antingen vara fail-open eller fail-close. Vad innebär inställningen?
Den reglerar vad som händer om IPS-motorn bli överbelastad
E-handelssidan inet.se använder en IPS för att skydda sig mot attacker för att garantera en hög upptid, när sidan ligger nere förlorar de mycket pengar
Fail-open
Läkemedelmedelsbolaget AstraZeneca använder en IPS för att skydda sig mot attacker där det finns risk för att information om nya läkemedel hamnar i fel händer
Fail-close
Produktföretaget Husqvarna använder en IPS för att skydda sig mot industrispionage
Fail-close
Vad för system kan användas för att övervaka telefoner?
MDM-system
Vilket skydd gör att en angripare inte kan fylla upp en DHCP-server med skräputlåningar?
Port Security
Hur blir en switch en root-brygga?
Den med lägst nummer
En användare har kopplat in en switch i nätverksuttaget på sitt kontor för att få anslutning både till
sin stationära dator samt sin laptop. Port security är konfigurerat med kommandot switchport
port-security maximum 1. I övrigt är det standard-konfiguration
Vilket läge kommer porten vara i efter att användaren har kopplat in switchen med sin dator och laptop och skickat trafik från båda?
Down (Error-disabled)
En användare har kopplat in en switch i nätverksuttaget på sitt kontor för att få anslutning både till
sin stationära dator samt sin laptop. Port security är konfigurerat med kommandot switchport
port-security maximum 1. I övrigt är det standard-konfiguration
Vad stämmer kring kommunikation på porten efter en överträdelse?
Trafiken slutar fungera för alla enheter kopplade till porten
Vilka portar kan skicka trafik till en port som är satt i PVLAN Edge?
Portar som ej är satta i PVLAN Edge
Vad har en symmetrisk algoritm för nyckel?
Samma nyckel för kryptering och dekryptering
Vad är DH för algoritm?
Asymmetrisk
Krypterar AH innehållet?
Nej, ESP gör det.
Vad bygger DMVPN på?
mGRE
ESP krypterar hela originalpaketet i transport-mode
Nej
Vilken funktion ger en IPsec-kryperad GRE-tunnel jämfört med att bara köra en vanlig IPsectunnel?
Möjlighet att köra multi- och broadcasttrafik
En nätverkstekniker felsöker en IPsec-VPN som ej fungerar. Vid felsökning används kommandot show crypto isakmp sa. Outputen visar att det saknas någon SA (Security Association). Vad innebär detta, och vad är ett rimligt nästa steg i felsökningen?
Fas 1 har misslyckats, kontrollera att det finns matchande ISAKMP-policy på båda
enheterna och att trafik har genererats i tunneln
Hur fungerar en digital signatur?
En hashsumma krypteras med den privata nyckeln, mottagaren verifierar sedan äktheten med den publika nyckeln
