Nätverkssäkerhet Flashcards
Vad består CIA-triaden av?
Confidentiality
Integrity
Availability
Beskriv en attackvektor.
En attackvektor är en väg eller ett sätt som en hackare kan få tillgång till en dator eller nätverksserver för att åsamka skada.
Vad betyder begreppet Security trade-off?
För att göra något säkrare krävs oftast att funktionalitet och/eller användarvänlighet begränsas.
Det finns olika typer av säkerhetskontroller. Vad är en Directive control?
Exempelvis lagar, rutiner, utbildning och skyltar. Helt enkelt förhållningsregler kring säkerhet.
Det finns olika typer av säkerhetskontroller. Vad innebär en Detective control?
Undersöker om det finns system för att kontrollera om skada har skett.
Vad står IDS för?
Intrusion Detection System
Vad står IPS för?
Intrusion Prevention System
Förklara vad ett Intrusion Prevention System (IPS) gör.
Ett Intrusion Prevention System (IPS), även känt som IDPS, är en teknik som håller ett öga på ett nätverk för skadliga aktiviteter som försöker utnyttja en känd sårbarhet.
Vad gör ett Intrusion Detection System (IDS) ?
Intrusion Detection System (IDS) är en nätverkssäkerhetsteknik för att upptäcka sårbarhetsutnyttjande mot ett system.
Vad innebär Kerckhoff ́s princip?
Säkerheten i ett kryptosystem ska sitta i att nyckeln/
nycklarna är säkra. Detta även om algoritmen är synlig.
Hur fungerar ett Caesar-krypto?
Det är en typ av ersättningskryptering där varje bokstav i klartext ersätts med en bokstav, något fast antal positioner längre fram eller bak i alfabetet .
Till exempel, med en högerförskjutning på 3, skulle A ersättas med D och så vidare. Kallas även rotationskrypto.
Vad innebär symmetrisk kryptering?
Samma nyckel används för kryptering som dekryptering.
Vad innebär asymmetrisk kryptering?
Olika nycklar används för kryptering resp. dekryptering.
Vilka tre typer av krypteringsformer ska vi fokusera på i denna kurs?
Symmetrisk kryptering
Asymmetrisk kryptering
Hashning
Detta kryptot är “oknäckbart” och kräver i praktiken en nyckel som är längre än själva meddelandet i sig. Nyckeln är unik för det specifika meddelandet och används bara en gång. Vad heter kryptot?
One time pad
Hur fungerar ROT13 ?
Rot13 är ett enkelt caesarchiffer som flyttar varje bokstav framåt eller bakåt 13 platser i alfabetet.
Löses exempelvis med tr-kommandot: tr ‘A-Za-z’ ‘N-ZA-Mn-za-m’
Förklara hur ett Vigenèrekrypto fungerar.
Vigenère krypterar alfabetisk text genom att använda en serie av invävda Caesarchiffer baserat på bokstäverna i ett nyckelord.
Frekvensanalys är en vanlig metod för att knäcka kryptot
Vilken typ av krypto är ett Rail Fence?
Ett transpositions-krypto.
Vilken typ av krypteringsmetod är snabbast, Stream Based eller Block Based?
Stream based.
Används exempelvis vid trådlös överföring där hastigheten är viktigast.
Data Encryption Standard (DES) är en krypteringsmetod utvecklad i mitten av 1970-talet. Vilken typ av kryptering är detta, symmetrisk eller asymmetrisk?
Symmetrisk.
DES och 3DES är idag vanligtvis ersatta av AES.
Vad står AES för?
Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES) är ett symmetrisk blockkrypto. Hur stora är standardblocken och i vilka nyckellängder finns det?
128 bitars block.
Finns i 128, 192 eller 256 bitars nyckel i dagsläget.
Vilket är det idag vanligaste symmetriska blockkryptot?
AES 256
Vad är ECB?
Electronic Code Book är ett driftsätt för en blockkryptering med den egenskapen att varje möjligt block av klartext har ett definierat motsvarande chiffertextvärde och tvärt om.
Med andra ord kommer samma klartextvärde alltid att resultera i samma chiffertextvärde.
Nämn tre block cipher modes of operation?
ECB = Electronic Code Book CTR = Counter mode CBC = Cipher Block Chaining
(överkurs) två andra är:
CFB: Cipher FeedBack-läge
OFB: Output FeedBack-läge
Denna blockkrypteringsmetod injicerar varje krypteringsblock med en räknare:
CTR = Counter mode
Hur fungerar blockkrypteringsmetoden CBC ?
Klartexten som ska krypteras i ett block XORas mot chiffertexten från föregående block innan det krypteras och chiffertexten som då skapas XORas mot klartexten i nästa block och så vidare. Eftersom att det första blocket inte har något föregående block används en initialiseringsvektor som XORas mot klartexten som ska krypteras i block 2.
Vad innebär Asymmetrisk kryptering?
En krypteringsteknik som innebär att man använder två olika nycklar: oftast en öppen (“publik”) nyckel och en privat nyckel.
Nyckeln som används för att kryptera kan inte användas för att dekryptera samma information.
Beskriv “xor” kort:
Ett additativt krypto som arbetar bitvis.
Lika bitar blir 0, olika bitar blir 1.
0 xor 0 = 0
0 xor 1 = 1
1 xor 0 = 1
1 xor 1 = 0
Beskriv RSA.
RSA (Döpt efter tre skägg, Rivest–Shamir–Adleman) är en asymmetriskt krypteringsalgoritm.
Kan användas för att signera meddelande, kryptera eller validera.
Vad står PSK för?
Pre-shared key
När lämpar sig asymmetrisk kryptering?
Exempelvis vid:
Nyckelutbyten av PSK för symmetriska krypton
Autentisering
Signering/validering
Vad är grundprinciperna i kryptering med privata och publika nycklar?
Kryptering görs med mottagarens publika nyckel
Dekryptering görs med mottagarens privata nyckel
Vad är speciellt med en hash?
Att det är en envägsfunktion, d.v.s. att den går inte att köra baklänges
Vad innebär det att en funktion är deterministisk?
En deterministisk funktion ger exakt samma resultat varje gång den körs, förutsatt att indatat är identiskt.
MD5 utvecklades 1991 av Ronald Rivest, hur många bitar stort är hashvärdet?
128 bitar
Vad står SHA för och vilka är det som ligger bakom den?
Secure Hash Algorithm
Utvecklad av NSA.
Vilken är den idag vanligaste versionen av SHA (Secure Hash Algorithm) ?
SHA-2
Vilka hashvärden kan en SHA-2 funktion ha?
Den kan ha hashvärden som är 224, 256, 384 eller 512 bitar.
Hur många möjliga md5-hashar finns det?
2^128
När du ska knäcka en hash kan en Rainbow table vara användbar. Vad är en Rainbow table?
En Rainbow table är en förberäknad tabell med klartext som blivit hashad. Detta för att kunna jämföra tex en lösenordshash med befintliga hashar i tabellen, detta väldigt snabbt.
Hur många lösenord finns det som fungerar att logga in
med om lösenordet är lagrat som en md5-hash?
Ett oändligt antal lösenord.
Vad står HMAC för?
Hash Message Authentication Code
Hur fungerar HMAC?
HMAC är en hash-metod där en nyckel tillsätts till datat.
Alternativ till public key signering.
Både avsändare och mottagare har SAMMA nyckel.
Förklara begreppet Challenge–response authentication.
- Efter länketablering skickar autentiseraren en “Challenge” till mottagaren.
- Mottagaren svarar med ett responsevärde som beräknas med en enkelriktad hash-funktion på challengen och det delade lösenordet.
- Autentiseraren kontrollerar svaret mot sin egen beräkning av det förväntade hashvärdet. Om värdena matchar bekräftar autentiseraren autentiseringen, annars avslutas anslutningen.
I slumpmässiga intervall skickar autentiseraren en nya challenges till mottagaren och upprepar steg 1 till 3.
CHAP (Challenge-Handshake Authentication Protocol) använder sig av s.k. Challenge response. Hur fungerar CHAP kortfattat?
- Efter länketablering skickar autentiseraren en “Challenge” till mottagaren.
- Mottagaren svarar med ett responsevärde som beräknas med en enkelriktad hash-funktion på challengen och det delade lösenordet.
- Autentiseraren kontrollerar svaret mot sin egen beräkning av det förväntade hashvärdet. Om värdena matchar bekräftar autentiseraren autentiseringen, annars avslutas anslutningen.
I slumpmässiga intervall skickar autentiseraren en nya challenges till mottagaren och upprepar steg 1 till 3.
Hur fungerar det när en mottagare validerar en signatur?
Mottagaren dekrypterar signaturen med
avsändarens publika nyckel. Mottagaren räknar en hash av det mottagna datat. Är den uträknade hashen och den dekrypterade signaturen identisk är
signaturen godkänd.
Vilken nyckel ska signering av ett meddelande från avsändaren göras med?
Avsändarens PRIVATA nyckel.
Vilken nyckel ska validering av ett meddelande från avsändaren göras med?
Avsändarens PUBLIKA nyckel.
Vad innebär Diffie-Hellmans key exchange?
Diffie-Hellmans nyckelöverföring är en metod för att dela hemliga krypteringsnycklar mellan två parter på en öppen (okrypterad) kanal.
Förklara TLS (Transport Layer Security):
TLS kan kallas för arvtagaren till SSL (används ibland som synonym). Det är ett system som oftast används av en server för att autentisera sig för en klient och för att kryptera kommunikationen.
Vad är en POODLE-attack?
“Padding Oracle On Downgraded Legacy Encryption”
En POODLE-attack är en man-in-the-middle-exploatering som utnyttjar en klients mjukvaras fallbackfunktion till SSL 3.0 vid kommunikation över internet.
Vad kallas det första steget i en TLS handskakning?
ClientHello
Hur många steg är en TLS-handskakning?
9 steg, men steg 4-9 sker med krypterad data.
Vad skickas till servern vid ett ClientHello?
TLS-version som klienten stöder, vilka cipher suites som stöds och en sträng av slumpmässiga bytes som kallas “client randoms”.
Vad kallas det andra steget i en TLS-handskakning?
ServerHello
Vad är en Cipher suite?
En Cipher suite är en uppsättning kombinationer av algoritmer som hjälper till att säkra en nätverksanslutning som använder Transport Layer Security.
Exempel: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
Vad innebär DHE? (Diffie-Hellman Ephemeral)
När ett nyckelutbyte använder Diffie-Hellman Ephemeral genereras en tillfällig DH-nyckel för varje anslutning och därmed används aldrig samma nyckel två gånger.
Detta möjliggör Forward Secrecy (FS), vilket innebär att om den långvariga privata nyckeln på servern läcker är tidigare kommunikation fortfarande säker.
Vad innebär begreppet Forward Secrecy (FS) ?
Används ofta synonymt med termen Perfect Forward Secrecy (PFS).
Forward Secrecy uppnås genom att generera nya nycklar vid varje session och används vid tex TLS och SSH.
Vad är BurpSuite?
BurpSuite är ett program för säkerhetstester av webbapplikationer.
Det finns två olika sätt för en klient att kontrollera om en servers certifikat är spärrat genom att kontrollera spärrlistor. Vilka två sätt är dessa?
CRL (Certificate Revocation List)
OCSP (Online Certificate Status Protocol)
Hur fungerar det när en klient kontrollerar spärrlistor med CRL (Certificate Revocation List) ?
Klienten laddar ner en CRL spärrlista och kontrollerar rad för rad.
En nackdel är att det över tid kan växa till flera megabytes för klienten att hämta och leta igenom, därför används ibland inkrementella listor.
Hur fungerar det när en klient kontrollerar spärrlistor med OCSP (Online Certificate Status Protocol) ?
Klienten gör en kontroll av certifikatets serienummer mot en databas på nätet.
Snabb fråga och litet svar, vilket gör det effektivare.
Vad står HSTS för?
HTTP Strict Transport Security
Vad fyller HSTS (HTTP Strict Transport Security) för funktion?
En säkerhetsmekanism för att skydda webbsidor mot man-in-the-middle-attacker som exempelvis Protocol Downgrade attacker och cookie hijacking.
Ursprungligen utvecklat av PayPal.
Förklara Certificate pinning:
Certificate pinning är en metod för att förhindra Man-in-the-middle-attacker vid användandet av certifikat i en Public key infrastructure (PKI).
Detta sker genom att en klient fäster ett certifikat eller en publik nyckel vid en server.
Vad betyder begreppet PKI?
Public Key Infrastructure.
En form av hierarkisk infrastruktur bestående av en uppsättning roller, policyer, hårdvara, programvara och procedurer som behövs för att skapa, hantera, distribuera, använda, lagra och återkalla digitala certifikat och hantera offentlig nyckelkryptering.
CA hierarkin (Certificate Authority) består vanligtvis av två eller flera lager.
Vilka är dessa lager?
En CA-hierarki börjar med root CA längst upp.
Däremellan finns ett antal intermediate CAs, där det ibland kan finnas regionala indelningar.
Längst nere finner du s.k. end-entities, klienterna helt enkelt.
Vad är en CSR och hur fungerar den?
En CSR (Certificate signing request) är en begäran om certifikatsignering som skickas från en sökande till en registreringsmyndighet för den offentliga nyckelinfrastrukturen för att ansöka om ett digitalt identitetscertifikat .
Den innehåller vanligtvis den PUBLIKA nyckel som certifikatet ska utfärdas för, identifierande information (som ett domännamn) och integritetsskydd (t.ex. en digital signatur).
Vilken nyckel signerar en CA-registreringsmyndighet en CSR med?
CA-registreringsmyndigheten signerar med sin egen PRIVATA nyckel.
Vad är X.509?
X.509 en standard som definierar formatet för publika nyckelcertifikat .
Vad står DNSSEC för?
Domain Name System Security Extensions
Vilket år implementerases DNSSEC på root nivån?
2010
Vad heter den svensk som innehar en av de 7 nycklarna till ICANNs datacentraler för DNS i Internets rotzon?
Anne-Marie Eklund Löwinder
Vad är DNSSEC enkelt förklarat?
Det är en uppsättning tillägg till DNS som ger DNS-klienter (resolvers) kryptografisk autentisering av DNS-data.
Det finns två typer av nycklar som används vis DNS-signering. Vad heter dessa?
ZSK (Zone signing key)
Används för att signera innehållet i zonen.
KSK (Key signing key)
Används för att signera ZSK
Vad är en RRSIG (Resource Record SIGnature) ?
Innehåller DNSSEC-signaturen för ett record set. DNS-resolvrar verifierar signaturen med en offentlig nyckel, lagrad i en DNSKEY-record.
Vad är DS-SET?
En hash av din publika KSK, som placeras i
föräldrazonen.
Vilken typ av nyckel använder du för att signera hashen av ett A-Record?
Privata ZSK (Zone signing key)
När det kommer till DNSSEC, vilken typ av nyckel har längst giltighetstid?
KSK. Har ca 1-2 års giltighetstid (Kräver uppladdning av
nytt DS-SET)
ZSK har en giltighetstid på ca 1-2 månader.
Vad betyder förkortningen TLD?
Top-level domain. Det är den högsta nivån i internets domännamnssystem. Exempel är .se, .com, .gov o.s.v.
Säkerhetskontroller kan delas in i tre huvudkategorier. Vilka är dessa?
Administrative
Technical
Physical
Nämn en 160-bitars hash-algoritm:
SHA-1
Vilken är den idag vanligaste versionen av TLS?
1.2
Bob skickar ett krypterat meddelande till Alice, skyddat med ett nyckelpar. Vilken nyckel använder Alice för att dekryptera meddelandet?
Alice privata nyckel
Brukar DNSSEC vanligtvis vara implementerat för klienten?
Nej, vanligtvis brukar DNSSEC endast vara implementerat på den lokala revolvern och uppåt i hierarkin.
Var finns DNSSEC private KSK för root lagrad?
Inlåst i två datacenter i USA.
Ett i El Segundo, Californien.
Ett i Culpepper, Virginia.
Var finns en zons publika ZSK och KSK lagrad?
I zonfilen, som ett DNSKEY-record.
Ett MX-record i en zon integritetsskyddas med hjälp av en hash. Vilken nyckel har hashen krypterats med?
Zonens privata ZSK.
Ett DNSKEY-record i en zon integritetsskyddas med hjälp av en hash. Vilken nyckel har hashen krypterats med?
Den privata KSK.
Med hjälp av vilken nyckel valideras en zons publika ZSK?
Med zonens publika KSK.
Ett A-records RRSIG valideras med hjälp av vilken nyckel?
Zonens publika ZSK.
Vilka beståndsdelar består AAA av och vad används det till?
Authentication
Authorization
Accounting
Används för att medla nätverksaccess.
AAA är en paraplyterm för protokoll som medlar nätverksaccess. Vilka är de tre vanligaste protokollen?
TACACS+
RADIUS (Används för vanliga nätverk)
Diameter (Nyare syskonprotokoll till RADIUS, som mestadels används för mobilnät)
Vilket av följande protokoll är öppen standard, TACACS+ eller RADIUS?
RADIUS.
TACACS+ är Cisco-proprietärt.
Hur fungerar lokal AAA?
Lokal AAA betyder att du utför AAA utan att använda en extern databas. När du utför lokal AAA kan du autentisera med ett användarnamn och lösenord DIREKT från routern.
Förklara serverbaserad AAA Autentisering:
Serverbaserad AAA autentisering betyder att routern använder en extern databas för att autentisera användarnamn och lösenord.
Denna databas är vanligtvis en TACACS+ eller RADIUS-server.
Vad är de största skillnaderna mellan RADIUS och TACACS+, förutom att det senare är Cisco-proprietärt?
RADIUS använder UDP.
TACACS+ använder TCP.
RADIUS krypterar endast lösenord.
TACACS+ krypterar hela kommunikationen.
RADIUS kombinerar Authentication and Authorization.
TACACS+ kan hantera Authentication, Authorization, och Accountability separat.
RADIUS är snabbt och resurssnålt.
TACACS+ är ett mer krävande protokoll.
Vad är 802.1X?
En IEEE-standard för portbaserad kontroll av nätverksåtkomst som använder autentisering.
Vilka 3 enhetsroller finns det i en 802.1X-konfiguration?
Supplicant: Enheten som försöker få tillgång till nätverket.
Authenticator: Enheten som styr åtkomst till nätverket.
Autentiseringsserver: Enheten som validerar klienten och anger om klienten får åtkomst till tjänster på enheten eller inte.
Vad står EAP och EAPOL för?
EAP - Extensible Authentication Protocol.
EAPOL - EAP over LAN.
Är det möjligt att endast tillåta specifika protokoll med hjälp av 802.1X autentisering?
Ja, detta är en av de stora fördelarna.
Det finns två olika EAP-metoder. Vilka är dessa?
EAP-TLS och PEAP (Protected EAP).
Vad skiljer EAP-TLS och PEAP?
EAP-TLS certifierar åt båda hållen.
PEAP certifierar endast servern.
Ge exempel på några attacker som är möjliga mot switchar:
CAM overflow STP-attacker CDP “information disclosure” Vlan hopping DTP-attacker
Hur fungerar CAM-flooding?
Attacken fungerar genom att tvinga ut legitimt MAC-tabell-innehåll från en switch.
Detta tvingar fram ett broadcast-floodingbeteende som potentiellt skickar känslig information till delar av nätverket där det normalt inte är avsett att attackeren ska få tillgång.
Hur skyddar du din switch mot CAM-flooding?
Genom att använda port-security.
I vilka lägen är en port på en Ciscoswitch sårbar för en DTP-attack?
I “dynamic desirable”, “dynamic auto” eller “trunk”.
Default-inställningarna på Ciscos switchar är dynamic desirable.
Vad är BPDU?
Bridge Protocol Data Units (BPDU) är frames som innehåller information om Spanning-Tree (STP).
Hur fungerar BPDU Guard?
BPDU Guard-funktionen används för att skydda Lager 2 Spanning Tree Protocol (STP) topologin från BPDU- relaterade attacker.
Är BPDU guard inställt på porten så kommer porten stänga ner sig själv när den tar emot ett BPDU paket.
BPDU Guard är ett skydd mot STP-attacker. Vad är ett annat typ av skydd?
Root Guard.
Förklara BPDU Guard och Root Guard:
Bpdu-Guard hindrar en annan switch från att ansluta helt genom att stänga av porten.
Root-Guard kommer att hindra en superior BPDU från att bli root.
Vad är en Denial-of-service attack?
En attack mot ett datasystem i syfte att hindra normal användning av systemet.
Den vanligaste angreppstypen är en överbelastningsattack.
Förklara vad en DDoS-attack är:
Distributed Denial of Service (DDoS) bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk.
Vad är ett botnet?
Ett nätverk av datorer som infekterade med skadlig mjukvara som (oftast) ovetande för användaren deltar i DDoS-attacker.
Vad innebär en Amplified Denial-of-service attack?
Amplifieringsattacker används för att förstora datamängden som skickas till ett offer. Detta görs vanligtvis via offentligt tillgängliga DNS-servrar som används för att orsaka trängsel i målsystemet med hjälp av DNS-svarstrafik.
DNS kan exempelvis ge upp till 179 gånger datan du skickar tillbaka som svar.
Vad innebär en Reflected/spoofad DDoS-attack?
En DDoS-attack kan innebära att du skickar förfalskade förfrågningar av något slag (Ex. pings) till ett mycket stort antal datorer som kommer att svara på förfrågningarna.
Med hjälp av IP-spoofing är sourceadressen inställd på offret, vilket innebär att alla svar kommer att flooda offret.
Denna attackform kallas ibland en “DRDOS”.
Vad är IPsec?
IPsec är en samling protokoll som används tillsammans för att skapa krypterade anslutningar mellan enheter. Det hjälper till att skydda data som skickas över offentliga nätverk.
IPsec fungerar genom att kryptera IP-paket och genom att autentisera den source där paketen kommer ifrån.
Hur fungerar hierarkin i en DDoS-attack?
Överst har du en angripare. Under denna har du masters som kontrollerar slaves och/eller agents. Agenterna attackerar i sin tur offret.
(Angripare)
Master
Slaves & Agents
Victim
Förklara L2TP?
Layer 2 Tunneling protocol är ett protokoll som möjliggör okrypterad tunnling av trafik. Transporteras över UDP.
Är det lämpligt att använda VPN-protokollet PPTP?
Nej, Point to Point Tunneling Protocol är ett gammalt och osäkert protokoll.
Vilket samlingsnamn för protokoll är de-facto standard för Site2Site VPN-tunnlar?
IPSec
FYI:
För klient-VPN har IPSec ibland problem att användas med NAT, använd därför något annat där.
GRE är ett halvöppet tunnel-protokoll som är okrypterat.
Hur kan man använda det för att skapa en säker VPN-tunnel?
En GRE-tunnel där trafiken krypteras med IPSec exempelvis.
Beskriv OpenVPN med några få meningar.
Använder openSSL för kryptering och transporteras oftast över UDP.
Är OpenSource och ett av de vanligaste klient-VPN-protokollen.
WireGuard är ett av de nyaste klient-VPN-protokollen. Vad har det för fördelar?
Är snabbare och på flera punkter säkrare än OpenVPN.
Opensource, precis som OpenVPN är.
Vilken 802.11-standard kallas även för Wi-FI 6?
802.11ax, vilken är den nyaste allmänt använda standarden 2021.
Vilken var den första Wi-Fi standarden som kunde använda både 2,4GHz och 5GHz?
802.11n
Vad är de generella fördelarna och nackdelarna med att använda 5 GHz Wi-Fi?
5 GHz tenderar till att ha högre hastighet, då detta spektrum inte är lika upptaget som 2,4GHz.
Har inte överlappande kanaler och har betydligt fler kanaler tillgängliga.
Nackdel:
Räckvidden tenderar oftast att vara betydligt lägre.
Vilket år lanserades både Wi-Fi standarderna 802.11a och 802.11b?
1999.
Vilka är de allmänt använda Wi-Fi standarderna och vad är deras tekniska namn?
Wi-Fi 1: 802.11b (1999) Wi-Fi 2: 802.11a (1999) Wi-Fi 3: 802.11g (2003) Wi-Fi 4: 802.11n (2009) Wi-Fi 5: 802.11ac (2014) Wi-Fi 6: 802.11ax (2019)
Förklara CSMA/CA:
Carrier Sense Multiple Access with Collision Avoidance är en accessmetod för att flera parter skall kunna sända information på ett och samma medium, exempelvis Wi-FI, en kabel eller radioband.
Ethernet är till exempel ett CSMA/CD-protokoll, CD står för collision detection.
Vad är fördelen med en controller based accesspunkt jämfört med en autonomous accesspunkt?
En controller based accesspunkt samordnas av en WLAN-controller som ser till att de andra accesspunkterna i nätet exempelvis inte har överlappande kanaler.
Vilka antenner har vi pratat om?
Omni-directional - rundstrålande
Directional - riktantenn
Yagi - ett exempel på en typ av riktantennsdesign
Vilka två modes kan en Wi-Fi klient använda för att kommunicera med en annan Wi-Fi klient?
Ad Hoc-mode, direkt med en annan enhet.
Infrastructure mode, via exempelvis en accesspunkt.
Vad står SSID för och vad innebär det?
SSID; Service Set Identifier
Används för att identifiera ett nätverk och samla enheter under samma nät.
Vad är BSSID?
MAC-adress för AP:ns radio
Vilka två autentiseringstyper är vanligast för trådlösa nät?
Open authentication
- Inget lösenord, alla kan ansluta
Pre Shared key authentication.
- WEP & WPA/WPA2/WPA3
Hur många 2.4Ghz Wi-Fi kanaler finns det i Europa och vilka är lämpligast att använda om du inte vill ha överlappning?
Det finns 13 kanaler i Europa.
1, 7 och 13 gör att överlappning inte sker.
Vilka är de vanligaste hotbilderna mot Wi-Fi?
Ej legitima klienter (attack mot nät)
Ej legitima nät (attack mot klienter)
MiTM-attacker
DOS-attacker
Hur stora kan WEP (Wired Equivalent Privacy) nycklar vara i bitar?
40 bitars nyckel (5 tecken)
104 bitars nyckel (13 tecken)
WPA och WPA2 finns i personal- och enterprise mode. Vad är skillnaden?
WPA-Personal
Även kallat WPA-PSK ( pre-shared key ). Detta är utformat för hem- och smånätverk och kräver ingen autentiseringsserver. Varje trådlös nätverksenhet krypterar nätverkstrafiken genom att hämta dess 128-bitars krypteringsnyckel från en delad 256- bitarsnyckel
WPA-Enterprise
Även kallat WPA- 802.1X- läge och ibland bara WPA (i motsats till WPA-PSK), detta är utformat för företagsnätverk och kräver en RADIUS- autentiseringsserver. Detta kräver en mer komplicerad installation, men ger ytterligare säkerhet (t.ex. skydd mot ordlistaattacker på korta lösenord)
Vad är en Captive portal i Wi-Fi sammanhang?
En Captive portal är en webbsida som visas för nyanslutna användare av ett Wi-Fi för bredare åtkomst till nätverksresurser.
Vanligt på hotel, cafeer och tåg exempelvis.
Vilket verktyg kan du använda för att cracka ett WEP-nätverk?
aireplay-ng
Vilken typ av kryptering använder WPA?
TKIP (baserat på ett RC4 strömschiffer) med en 128 bitars nyckel. Förnyas dynamiskt efter ett antal paket.
Vilken typ av kryptering använder WPA2?
AES-kryptering med CCMP
Hur knäcker du ett WPA/WPA2-lösenord?
Exempelvis:
Spela in när minst en klient ansluter till nätet (WPA-handshake), eventuellt kombinerat med en Deauth-attack.
Då får du ut ett hashat lösenord, som du sedan måste knäcka med till exempel en ordlisteattack.
Vad står ESP för?
Encapsulating Security Payload
Du ska sätta upp en IPSec-tunnel.
Om valet står mellan AH och ESP, vilket bör du då välja?
AH krypterar inte datatrafiken, därför bör alltid ESP väljas.
TENTAFRÅGA!
För att skapa en IPsec-tunnel använder vi ett protokoll som heter IKE (Internet Key Exchange).
Hur många faser finns det i upprättandet av en ny tunnel?
2 stycken.
IKE phase 1 key negotiation
IKE phase 2 key negotiation
För att upprätta en IPSec-tunnel så krävs likadana parametrar både för Local Peer och Remote Peer.
Vad heter samlingen av parametrar som IKE-protokollet förhandlar fram?
SA (Security Association)
Vad händer under IKE fas 1?
Under IKE fas 1 förhandlas först den bästa gemensamma IKE policyn fram (initiatorn skickar över till respondern), därefter sker en DH key exchange och därefter verifieras identiteter (oftast med en pre-shared key men det är möjligt att sköta det med certifikat också).
IKE upprättar tunnlarna för oss, men det verifierar eller krypterar inte användardata. Vi använder två andra protokoll för detta, vilka?
AH (Authentication Header)
ESP (Encapsulating Security Payload)
Vad sker under de tre stegen i en ISAKMP-session?
Steg 1: Förhandling
Här förhandlas det om Hashmetod, Autentiseringsprotokoll, Kryptering, DH-grupp och Lifetime.
Steg 2: DH Key Exchange
Här väljs den delade nyckeln.
Steg 3: Autentisering
Här autentiserar båda parter varandra.
Vad är ett Honeynet/Honeypot och vad har det för syfte?
Ett Honeynet eller en Honeypot är en säkerhetsmekanism inställd för att upptäcka, avböja eller på något sätt motverka försök till obehörig användning av ett informationssystem.
Det fungerar som en sorts “bete” för angriparen, men är en fälla som kan användas för att samla information om angreppet.
Vad är en stateful firewall?
En stateful firewall är en brandvägg som individuellt håller reda på sessioner av nätverksanslutningar som passerar den. Kallas ibland för second-gen firewall.
Hur definieras en next-gen firewall (NGFW)?
En next-gen firewall kan utöver funktionerna i tidigare generationer även hålla koll på hur datan transporteras till och från applikationer. Det som är unikt för denna typen är att den agerar även på de övre lagren i OSI-modellen.
Vad är en Static Packet Firewall?
Denna form är en av de mest grundläggande brandväggarna som endast kontrollerar paket för paket som passerar genom enheten. Är en stateless brandvägg och kallas ibland för first-gen firewall.
Vad är en TLS-inspektion (eller SSL-inspektion) ?
Funktion i en brandvägg som gör att man kan inspektera kryptografiskt skyddade TLS sessioner mellan webbläsare och webbserver genom att upprätta TLS anslutningar mellan webbläsare->brandvägg->Server. Samma princip som en MiTM men legit.
Vad innebär interface-baserad filtrering, kontra interface-oberoende filtrering?
Vid interface-baserad filtrering har varje interface ett regelverk för inbound och/eller outbound. Vi oberoende filtrering så är filtreringen oberoende av routingen och skickas till brandväggsmjukvaran.
Vad står SMTP för och hur fungerar det?
Simple Mail Transport Protocol.
Ett protokoll för hantering av epost-meddelanden som vanligtvis sker över TCP, port 25. Använder sig av 7-bitars ASCII och är best effort. Allt sker i klartext.
Vilket kommando i en SMTP-handskakning används av en klient för att introducera sig?
HELO eller EHLO
Vad är ett Open Mail Relay?
En SMTP-server som är konfigurerad så att den kan ta emot epost från vem som helst, till vem som helst.
Detta brukade vara standardkonfigurationen, men då detta missbrukades till att skicka ut spam så är dessa ofta svartlistade hos ISPer och internet-organisationer. ISPer använder istället egenkontrollerade relays.
Vad innebär Graylisting?
En metod för att bekämpa spam som bygger på att avsändande e-postprogram har stöd för omsändningar.
Omsändningar är något de flesta spambotar inte stödjer.
Förklara Sender Policy Framework (SPF):
Är en metod för att försöka förhindra att e-mail skickas med fejkade domännamn i avsändaradressen.
SPF kontrollerar DNS-recordet (TXT) i zonen för domänen som innehåller en policy för vilka avsändar-ip-adresser som får skicka mail från domänen.
Vad gör DKIM?
DomainKeys Identified Mail
Mailserver för utgående mail skapar ett nyckelpar. Den lägger till en signatur i alla e-mail, utgående mail signeras med privat nyckel.
Då kan mottagande servrar verifiera att e-mail inte är fejkade och inte har ändrats under överföringen, genom att verifiera med en publik nyckel som placeras i DNS .
Vad innebär ett SPF-fail?
SPF-fail inträffar när avsändarens IP-adress inte finns i SPF-recordet. Detta kan innebära att e-postmeddelandet skickas till skräppost eller kasseras helt.
Vad innebär ett SPF Hard Fail?
-all
Exempel: v=spf1 ip4:192.168.10.1 -all
Det innebär att alla avsändare som inte skickar ifrån ovanstående adress räknas som obehöriga och emailet RADERAS. Använder minus före all.
Vad innebär ett SPF Soft Fail?
~all
Exempel: v=spf1 ip4:192.168.10.1 ~all
Det innebär att alla avsändare som inte skickar ifrån ovanstående adress räknas som obehöriga och emailet FLAGGAS som spam. Använder tilde före all.
Vad är en SPAN-konfiguration?
SPAN (Switched Port Analyzer).
Är en konfiguration för switchar som gör att switchen kopierar all trafik som går genom en eller flera portar till en destinationsport för trafikinspektion med externa verktyg, exempelvis ett IDS.
Vilka är tre av de vanligaste teknikerna för intrångsdetektion?
Signaturbaserad detektion
Anomalibaserad detektion
Ryktesbaserad detektion
Hur fungerar Signaturbaserad detektion?
Signaturbaserad detektion använder regler/signaturer som beskriver hur nätverkstrafiken ser ut när en sårbarhet i en programvara utnyttjas. Som antivirus ungefär.
Hur fungerar Anomalibaserad detektion?
Anomalibaserad detektion upptäcker avvikelser från det som vanligtvis karakteriserar normal nätverkstrafik.
Hur fungerar Ryktesbaserad detektion?
Ryktesbaserad detektion kontrollerar nätverkstrafik mot en databas av ”elaka” IP-adresser på internet. Kräver en aktiv tjänst.
Vad innebär ett False positive?
Larm för något som inte är en incident.
Vad innebär ett False negative?
Uteblivet larm när det borde ha larmats, vilket är allvarligt!
Vad är en DMZ?
DeMilitarized Zone; demilitariserad zon.
Ett isolerat subnät som placeras utanför det skyddade nätet.
Vad innebär SIEM?
Security Information and Event Management.
Ett system för att sammanställa och analysera information och larm från it-säkerhetssystem, som ett IDS exempelvis.
Vad är Snort?
Ett open-source Network Intrusion Detection System ( NIDS) som kan installeras på Linux. Utvecklas av Cisco.
Vad är PfSense?
En open-source brandvägg.
