Nätverkssäkerhet Flashcards
Vilken är den enklaste typen/formen av brandvägg och vad är den kapabel till?
Packet-Filtering Firewall
Inspektering av: Source- & Destinations-adress samt Source- & Destinations-port. (Ifall paketet är TCP/UDP)- Protokoll
Vad är skillnaden på en statefull och en stateless firewall?
Statefull - Kan inspektera en hel “session” av trafik.
Stateless - Inspekterar trafiken paket för paket och har inte koll på vilket paket som tillhör vilken session.
Statefull är en betydligt mer avancerad brandvägg vilket gör den kapabel till att fatta mer avancerade beslut om att tillåta eller blockera trafik.
Vad är en Next Generation Firewall (NGFW)?
Den “nya” standarden av brandvägg. Den mest avancerade typen som kan filtrera trafik baserat på alla lager i OSI-modellen.Har ofta även avancerade funktioner som sandboxing, applikationskontroll, IPS, med mera.
Är en brandvägg mjuk- eller hård-varu baserad?
Både och. Brandväggar finns som både mjuk och hårdvara och kan även köpas som cloud-tjänst (FWaaS)
Vad heter den inbyggda brandväggen i ett Linux-system?
IP Tables
IP Tables skriver till Netfilter
Vad heter den inbyggda brandväggen i ett Windows-system?
Windows Defender Firewall
Vilka portar är standard för HTTP, respektive HTTPS-trafik?
HTTP - 80
HTTPS - 443
Vilket verktyg används ofta för att scanna öppna portar på en host?
Nmap
Vad använder man ofta för att skicka krypterad trafik mellan 2 klienter över ett osäkert nät?
VPN-Tunnel
Virtual Private Network
Vad är en proxy?
En proxy är en “mellanhand” för trafik. Man kan routa sin trafik via en proxy för att till exempel dölja sin egen ip-adress.
Vad ingår i CIA trianglen?
Confidentiality ensures that only the intended persons or recipients can access the data.
Integrity aims to ensure that the data cannot be altered; moreover, we can detect any alteration if it occurs.
Availability aims to ensure that the system or service is available when needed.
Vad är motsatsen till CIA trianglen?
DAD-trianglen
Vad står DAD-trianglen för? (Kommer ej på tenta)
Disclosure is the opposite of confidentiality. In other words, disclosure of confidential data would be an attack on confidentiality.Alteration is the opposite of Integrity. For example, the integrity of a cheque is indispensable.Destruction/Denial is the opposite of Availability.
Para ihop rätt motsatser:
CIA triangel:
Confidentiality
Availability
Integrity
DAD-triangel:
Alteration
Disclosure
Destruction/Denial
CIA………………………….DAD
Confidentiality——Disclosure
Integrity—————Alteration
Availability—Destruction/Denial
Ange rätt säkerhetsfunktion “CIA” till nedan utlåtande:
1. Jag vill vara säker på att Jack får min bok och inte någon annans.
2. Jag vill inte att postnord tappar bort min bok som ska till Jack.
3. Jag vill inte att någon ska få reda på vad jag skrivit i min bok som jag ger till Jack.
- Jag vill vara säker på att Jack får min bok och inte någon annans.(Integrity)
- Jag vill inte att postnord tappar bort min bok som ska till Jack.(Availability)
- Jag vill inte att någon ska få reda på vad jag skrivit i min bok som jag ger till Jack.(Confidentiality)
Nämn två mindre kategorier till CIA-trianglen.
(Authenticity och Nonrepudation)
Authenticity: Authentic means not fraudulent or counterfeit. Authenticity is about ensuring that the document/file/data is from the claimed source.
(CHATgpt SVENSKA)
Autentisk innebär inte bedräglig eller förfalskad. Autenticitet handlar om att säkerställa att dokumentet/filen/datat kommer från den påstådda källan.
Nonrepudiation: Repudiate means refusing to recognize the validity of something. Nonrepudiation ensures that the original source cannot deny that they are the source of a particular document/file/data. This characteristic is indispensable for various domains, such as shopping, patient diagnosis, and banking.
(CHATgpt SVENSKA)
Förneka innebär att vägra att erkänna giltigheten av något. Icke-förnekande säkerställer att den ursprungliga källan inte kan förneka att de är källan till ett visst dokument/fil/data. Denna egenskap är oumbärlig för olika områden, såsom shopping, patientdiagnostik och bankväsende.
Nämn 3 stycken säkerhets modeller.(ej tenta)
Bell-LaPadula Model, Biba Model och Clark-Wilson Model
Vad är DiD?
Defence in depth
Flera levlar av säkerhet, t.ex. flera brandväggar på vägen osv.kallas även ibland Multi-Level Security.
vad menas med “Least Privilege Access”
Att man enbart ska ha tillgång till exakt det man behöver, inte något som kanske kan vara bra att ha.
vad är skillnaden på Asymmetric (RSA) och Symmetric (AES) encryption?
RSA använder två nycklar, en privat för dekryptering och en publik för kryptering.AES använder samma nyckel för kryptering som dekryptering
Vad innebär substitution chiper?
Att bokstäver och tecken är ersatta med andra bokstäver och tecken. T.ex. Caesar chiper.
Vad innebär ett transposition cipher?
Det är när man förflyttar, ändrar ordning eller förskjuter bokstäver och tecken så att de blir blandade istället.
vilket ord letar jag efter:Data before encryption or hashing, often text but not always as it could be a photograph or other file instead.
Plaintext
vilket ord letar jag efter:
Just a form of data representation like base64 or hexadecimal. Immediately reversible.
Encoding
vilket ord letar jag efter: Can’t be decrypted, comes often in 128, 256 …
Hash
vilket ord letar jag efter:Förvandlar om ord och text till obegripligt värde, man bör ha nycklen för att kunna läsa texten.
Encryption
vilket ord letar jag efter:Attacking cryptography by trying every different password or every different key
Bruteforce
vilket ord letar jag efter:
Attacking cryptography by finding a weakness in the underlying maths
Cryptoanalysis
Vilka 3 tekniker använder ett AV för att upptäcka hot?
Antiviruset använder:
Signature-based detection: Is the traditional AV technique that looks for predefined malicious patterns and signatures within files.
Heuristic and Behavioral Detection: Is a more advanced technique that includes various behavioral methods to analyze suspicious files.
Dynamic detection: Is a technique that includes monitoring the system calls and APIs and testing and analyzing in an isolated environment.
Vart bör man placera en IPS/IDS för att inte förbruka onödiga resurser?
Den bör placeras bakom brandväggen och inte framför.Detta för att attacker sker konstant mot en brandvägg, det är dock bara data som går förbi brandväggen som är värt att “Scanna”.
Vilka 5 features har de flesta Antivirusen?
Scanner
Detection techniques
Compressors and Archives
Unpackers
Emulators
Hur/vart kan man göra virussökningar online?
VirusTotal (opensource)
känsliga filer ska ej skannas!!
Vad står IPS för?
Intrusion prevention system
Vad står IDS för?
Intrusion detection system
Vad är skillnaden mellan Benign- och Malicious traffic?
Benign traffic: This is the usual traffic that we expect to have and don’t want the IDS to alert us about.
Malicious traffic: This is abnormal traffic that we don’t expect to see under normal conditions and consequently want the IDS to detect it.
Vad för två typer av IDS baserade system finns där?
Signature-based: A signature-based IDS requires full knowledge of malicious (or unwanted) traffic. In other words, we need to explicitly feed the signature-based detection engine the characteristics of malicious traffic. Teaching the IDS about malicious traffic can be achieved using explicit rules to match against.
Anomaly-based: This requires the IDS to have knowledge of what regular traffic looks like. In other words, we need to “teach” the IDS what normal is so that it can recognize what is not normal. Teaching the IDS about normal traffic, i.e., baseline traffic can be achieved using machine learning or manual rules.
Nämn sätt att lura/undvika (evasion) IDS/IPS system.
Via:Protocol manipulation
Routing manipulation
Taktisk DDoS
Vad är skillnaden på en GET och POST request?
GET request är synlig i URL och används för att hämta data från en specifik källa.
POST request är dold i http(s) requesten och används för att uppdatera/lägga till data till en specifik källa.
Vilka portar är standard för http och https?
Http : 80Https : 433
Nämn 4 http metoder/requests
GET Request: This is used for getting information from a web server.
POST Request: This is used for submitting data to the web server and potentially creating new records
PUT Request: This is used for submitting data to a web server to update information
DELETE Request: This is used for deleting information/records from a web server.
Vad är NAT och CG-NAT?
Network Adress translation översätter privata IP till publik/publika IP adresser.
CG = Carrier-Grade, är när man “dubbel NATar” alltså att ISP Kör en extra NAT utanför din kontroll.
Nämn minst 4 DNS pekare
C-Name = Alias för en annan DNS.
MX = Hanterar E-post
AAAA = IPv6
A = namn som representerar IPv4
TXT = Vanlig text SRV = Pekar på tjänster (behöver ej kunnas)
PTR= IPv4 som representerar ett namn
vad betyder DNS?
Domain name system
Vilka olika steg finns i DNS Kedjan?
- Från din PC till
- The Resolver (ISP)
- Root domain Server
- TLD (Top level domain) server
- Authoritative name (Second level domain) server
- Sub-domain server
Hur många root server finns det?
13 Root servers hanteras av 12 olika företag.
Förklara vad TLD servern hanterar?
Den hanterar top level domains, så som .se .com .org osv…
Förklara vad Authoritative server hanterar?
Authoritative server (A.K.A Second level domain) hanterar namnet till topdomänen, tex “aftonbladet”, “Expressen” osv…
Hur många tecken/bokstäver får en Domän MIN och MAX vara?
MIN 3 MAX 63
Får innehålla: karaktärer a-z, A-Z, nummer 0-9 och bindesstreck -
Vad är en webbserver?
En webbserver är en server som hanterar och levererar webbsidor till användare över internet. Oftast över port 80/443. http/https
Vad är för/nackdelar med en hårdvaru Firewall?
Fördelar:
Snabbare, Säkrare då de inte har en Host som kan hackas och att den oftast finns på plats.
Nackdelar:
Kostnad, krävs kablar och ihopkoppling på plats, måste vara på plats vid nyinstallation, begränsad skalbarhet.
Vad är för/nackdelar med en Virtuell Firewall?
Fördelar:
Billig, bra skalbarhet, centralare hantering, kan installeras på distans.
Nackdelar:
Mer sårbar då den har en “host”, SPOF, oftast långsammare/ineffektiv då den inte är optimerad för brandvägg.
vad är skillnaden på en software/klient FW och en virtuell FW?
Software FW är oftast till för att skydda klienten där den körs tillsammans med andra OS, medans en virtuell FW skyddar i nätet och körs oftast på ett ensamt OS.
Vad är för/nackdelar med molnbaserad FW?
Fördelar:
Billig, bra skalbarhet, centralare hantering, kan oftast installeras på distans.
Nackdelar:
Mer sårbar då den har en “host”, “SPOF”.
Vilka olika sätt finns för att komma förbi en brandvägg? nämn minst 3!
Port hopping, Spoofing IP/MAC/PORT, Using Port tunneling, data lenght spoofing.
Vad är statisk, respektive dynamiskt content?
T.ex statisk och dynamisk data på en webbserver.
Statisk - Innehåll som är oföränderligt
Dynamiskt - Innehåll som kan ändras från servern, baserat på variabler, användarinput och annat
Hur kan en NGFW upptäcka hot? Nämn också för och nackdelar med de sätten!
Inspekterar paketen på två olika sätt:
Flow based = live inspection
Proxy based = laddar ner och kontrollerar hela paketet.
Fördelar Flow-based:
Bättre skalbarhet och prestanda.
Nackdelar Flow-based:
Mindre detaljerad inspektion.
Fördelar Proxy-based:
Djup inspektion på applikationsnivå.
Nackdelar Proxy-based:
Påverkar prestandan då all trafik måste routas genom en proxy-server.
Vilka Hot bör en NFGW skydda mot? Nämn minst 4!
Dos attacker, Virus, Backdoors, Remote login, Spam, Phishing emails. (All typ av skadlig kod beroende på vilka tillägg man har!)
Vad innebär det att port-scanna med decoys?
Att man blandar in andra ip-adresser med sin egen, för att brandväggen inte ska veta vilken ip portscannen kommer ifrån.
Vad är syftet med CIA-triangle?
Syftet är att ha en modell/struktur för att bygga upp ett säkert nätverk, man bör uppfylla de tre olika ( +2 små) när man bygger upp nätverk.
Vad innebär det att port-scanna med proxies?
Att man routar trafiken genom andra ip-adresser, för att branväggen inte ska se vilken ip som portscannen faktiskt kommer från
Vad innebär det att port-scanna med “spoofad mac-adress”?
Att man låtsas att trafiken kommer från en annan mac-adress än adressen för devicen som utför scannen. Förutsätter att man sitter på samma nätverk som hosten, för att kunna få reply.
Vad innebär det att portscanna med spoofad ip-adress?
Att du port-scannar med en förfalskad ip-adress.
Vad innebär det att port-scanna med “fixed port source number”?
Att man skickar portscanningen från en viss port. (t.ex port 80), för att brandväggen ska tro att det är http-trafik som kommer.
Vad innebär det att man portscannar med “Forced Fragmentation” ?
Att man delar upp paketen i mindre delar, för att brandväggen inte ska veta vad det är som “kommer”.
CIA-triangle har även två mindre områden, “A-N”. Vad är de och vad innebär dem?
Authenticity = Man ska autentisera så att filen/datan är från den källan som den utger sig från att vara.
Nonrepudation = Man ska inte kunna förneka ursprunget för en fil/data.
Från THM:
Authenticity: Authentic means not fraudulent or counterfeit. Authenticity is about ensuring that the document/file/data is from the claimed source.
Nonrepudiation: Repudiate means refusing to recognize the validity of something.
Nonrepudiation ensures that the original source cannot deny that they are the source of a particular document/file/data. This characteristic is indispensable for various domains, such as shopping, patient diagnosis, and banking.
A
Man kan försöka kringgå en brandvägg genom att modifiera TTL, IP-options samt TCP/UDP checksum. Hur fungerar dessa?
TTL - Vissa brandväggar filtrerar trafik baserat på TTL-värden på paket. Genom att ändra detta värdet kan man kringgå det.
Checksum - Man ändrar checksumman till ett felaktigt värde. Vissa brandväggar komemr droppa paketet, medan andra bara kommer släppa igenom det.
IP-Options - Man ändrar “options” i headern för att undvika att brandväggen ska hantera paketet på ett visst sätt
Vad innebär Port-hopping för att kringgå en brandvägg?
Man testar att etablera en connection på olika portar, tills det lyckas.
Kan även användas genom att man först skickar data till en port, för att sen fortsätta skicka på en annan port, för att göra det svårare för “blue team” att tracka all trafik.
Vad innebär det att port-tunnella för att kringgå en brandvägg?
Man skickar data till en port som man vet att brandväggen tillåter att det kommer data till, för att bakom brandväggen ändra porten för paketet.
(Förutsätter att du har tillgång till en device bakom brandväggen)
ISO/IEC 19249
Vad innebär följande begrepp?
Domain Seperation
Layering
Encapsulation
Redundancy
Virtualization
Domain Seperation - Dela upp systemet baserat på funktionalitet, data eller användargrupp
Layering - Bygg systemet i lager där varje lager tillhandahåller specifika funktioner och tjänster till lagret ovanför.
Encapsulation - Dölj detaljer, låt inte användare direkt ändra data, utan detta ska göras med t.ex fördefinerade funktioner
Redundancy - Bygg system med redundans för att undvika problem om hårdvara eller annat skulle gå sönder
Virtualization - Virtualisera för att spara på hårdvara och öka flexibilitet
Vad är en Cipher text?
Krypterad text
Vad är skillnaden på zero trust och trust but verify ?
“Zero trust” innebär att inget i nätverket antas vara säkert och all trafik och användare verifieras kontinuerligt, medan “trust but verify” innebär att tillfällig tillit ges men kontinuerlig övervakning och verifiering utförs för att bekräfta säkerheten.
Vad är Plain text?
Okrypterad text/ klartext
Vad är Encoding?
Encoding är processen att omvandla data från en form till en annan, oftast för representation eller överföring. Encoding ändrar inte datastrukturen och används inte för att skydda eller dölja information. Base64 är en typ av encoding som används för att representera binärdata i en ASCII-sträng
Vad är encryption (kryptering)?
Det är processen där man förvandlar plain text till cipher text med en “nyckel”.
Hur fungerar symmetrisk kryptering?
Man har en nyckel som används både för att kryptera och avkryptera
Hur fungerar asymmetrisk kryptering?
Man använder en nyckel (publik) för att kryptera och en annan nyckel (privat) för att avkryptera
Nämn 2 tillfällen som det kan vara bra att använda hash:ar?
Vid lösenords lagring och vid kontroll av en fil.
Vad är hashing?
Data omvandlas till en unik sträng som används istället för “original-strängen”. Till exempel för att inte lagra lösenord i klartext.
Nämn 1 tillfällen som man använder encoding för?
När man inte kan använda binär data utan måste omvandla det till ASCII vid, t.ex. överföring.
Nämn när man använder encryption?
När man vill ha integrety på sin data och vara säker på att ingen annan tar del av den.
Vad är en rainbow table?
Det är en lista med “lösta” Hasahar som man kan jämföra med de hashar man hittat för att “ avkryptera dem” även om det inte går.
Vad är CA när det kommer till certifikat?
Certificate Authority, den som utfärdar och signerar certifikat, inte nödvändigt att det är Root CA, kan även vara Intermedieta (2:a) och Identity (3:a)
Vad är en saltad hash?
Det är när man lägger till något i plain text innan den hashas för att den ska bli unik. Detta görs primärt för att man ska kunna använda samma lösenord utan att få likadana hashar. Men det blir även jobbigare att bruteforcea beroende på om man vet vart/vad saltet är/ligger.
Vad är PGP?
PGP “Pretty good privacy”, används för att primärt kryptera email. Det bygger på PKI asymmetrisk kryptering.
Vad är skillanden på IPS och IDS?
Intrusion prevention system (IPS) kan även åtgärda, medans intrusion detect system (IDS) bara upptäcker.
Nu för tiden finns det nästan bara IPS och NGIPS (Next-gen IPS)
Vad är skillnaden på Antivirus och IPS?
IPS ska förhindra intrång, så som olovliga inloggningar, anslutningar och andra sätt att försöka ta sig förbi brandvägg in på nätet.
Antivirus ska skydda mot virus och annan skadlig kod.
Vilka är 3 vanliga sätt Antivirus upptäcker intrång på?
Signaturbaserat detektion,dynamisk analys och heuristisk analys
signatur, dynamisk, heuristik
Vilka är två vanliga sätt upptäcker IPS intrång?
Signaturbaserad detektion och beteendebaserad detektion
Vad är HIDS och NIDS, samt vad är skillnadden på dem?
Host Intrusion Detect system, ska skydda klienten från intrång, finns även som HIPS.
Network intrusion detection system, ska skydda nätverket från intrång.
Vad betyder heuristik analys?
Heuristisk analys är en metod för att upptäcka virus genom att undersöka kod efter misstänkta egenskaperoch beteende. Det är utformat för att upptäcka nya okända virus och modifierade versioner av befintliga hot.
Hur kan man smyga förbi Antivirus? nämn minst 2 sätt.
Det beror på hur Antiviruset är konfigurerat! Man kan komprimera filer flera gånger så att Antiviruset får problem med att packa upp det.
Man kan skicka virus i flera olika delar som tillsammans blir skadliga.
Man kan ha tidsbestämmda virus som är ofarliga tills det att en webbsida förändras.
Vad är syftet med Applikationskontroll?
Förhindra att applikationer används och begränsa dem. Men även för att säkerställa att det är rätt protokoll som överförs på de portar som applikationen använder. Detta för att undvika att hackers skickar skadlig kod över appens port.
Vad är MFA och hur applceras det?
MFA är Multi-factorauthentication. Man behöver minst två verificationer för att komma vidare. T.ex lösenord och pin i mobilen.
Vad är ett “starkt” lösenord?
Det är ett lösenord som innehåller fler tecken än 16 som gör att det tar otroligt lång tid att knäcka hashen. Viktigt är också att det inte ska vara associerat med något som man kan “gissa” fram.
Hur mäts allvarligheten på sårbarheter ?
Allvarligheten på sårbarheter mäts vanligtvis genom olika metriker och klassificeringssystem. Ett av de vanligaste systemen är CVSS (Common Vulnerability Scoring System)
vad är Wardriving
är teknik för att mappa upp trådlösa nätverk utan att attackera dem.
Kan göras för hand, från mobilen
Vad är PSIRT
Product Security Incident Response Team
syfte med PSIRT (Product Security Incident Response Team)
är en del av en organisation som är ansvarig för att hantera säkerhetsincidenter och sårbarheter relaterade till deras produkter eller tjänster
Vad är CVE ?
CVE är en offentlig referens för sårbarheter och säkerhetsproblem som identifierats i programvara och hårdvara.
Vad innebär phishing?
Det är när man i stor mängd gör utskick där man försöker få någon att trycka på en länk som antingen har skadlig kod eller leder till en fejksida som ber en skriva in sina credentials.
Vilka typer av social engineering finns? (minst 3)
Phising, Spear phising, Whaling, Diversion Theft,Honey trap, Pretexting, water hole attack and Smisihing
Nämn 3 olika typer av Phising?
Phishing: Man spammar ut en massa mejl och hoppas att någon nappar.
Spearphishing: Man fokuserar på en väldigt liten grupp och skräddar syr det för dem och hoppas att de nappar.
Whaling: Man fokuserar på en ensam idivid och gör det väldigt personligt och hoppas att de nappar. målet är oftast högt profilerade männsikor.
Nämn 4 typiska MFA sätt?
SMS Token, Email Token, Hardware token, Phone authentication, Software token, Biometric and face recognizion
MFA brukar ha 3 olika verifieringar, varav två ska användas för att det ska räknas som MFA, nämn alla 3.
Något du har ( Certifikat, Bankid)
Något du vet (lösenord)
Något du är (ansikte/fingeravtryck)
Vad innebär Evasion by tactical DoS mot en IDS/IPS?
Att man via ett DoS-attack överbelastar IDS/IPS-systement för att undvika att det lyckas logga trafiken som det ska.
Vilket protokoll anses vara säkert?
WEP
WAP
WAP2
WAP3
WAP3, WAP2 kan man sno handskakning och komma åt shared secret.
Nämn 3 attacker på ett WIFI?
Honeypot, DeAuth attack, MitM (man in the middle)
vad står PGP, PKI och PSK för?
PGP = Pretty good privacy
PKI = Public key infrastructure
PSK = Pre shared key
