Nätverkssäkerhet

Question 1

Vad består CIA-triaden av?

Answer 1

Confidentiality
Integrity
Availability

Question 2

Beskriv en attackvektor.

Answer 2

En attackvektor är en väg eller ett sätt som en hackare kan få tillgång till en dator eller nätverksserver för att åsamka skada.

Question 3

Vad betyder begreppet Security trade-off?

Answer 3

För att göra något säkrare krävs oftast att funktionalitet och/eller användarvänlighet begränsas.

Question 4

Det finns olika typer av säkerhetskontroller. Vad är en Directive control?

Answer 4

Exempelvis lagar, rutiner, utbildning och skyltar. Helt enkelt förhållningsregler kring säkerhet.

Question 5

Det finns olika typer av säkerhetskontroller. Vad innebär en Detective control?

Answer 5

Undersöker om det finns system för att kontrollera om skada har skett.

Question 6

Vad står IDS för?

Answer 6

Intrusion Detection System

Question 7

Vad står IPS för?

Answer 7

Intrusion Prevention System

Question 8

Förklara vad ett Intrusion Prevention System (IPS) gör.

Answer 8

Ett Intrusion Prevention System (IPS), även känt som IDPS, är en teknik som håller ett öga på ett nätverk för skadliga aktiviteter som försöker utnyttja en känd sårbarhet.

Question 9

Vad gör ett Intrusion Detection System (IDS) ?

Answer 9

Intrusion Detection System (IDS) är en nätverkssäkerhetsteknik för att upptäcka sårbarhetsutnyttjande mot ett system.

Question 10

Vad innebär Kerckhoff ́s princip?

Answer 10

Säkerheten i ett kryptosystem ska sitta i att nyckeln/

nycklarna är säkra. Detta även om algoritmen är synlig.

Question 11

Hur fungerar ett Caesar-krypto?

Answer 11

Det är en typ av ersättningskryptering där varje bokstav i klartext ersätts med en bokstav, något fast antal positioner längre fram eller bak i alfabetet .

Till exempel, med en högerförskjutning på 3, skulle A ersättas med D och så vidare. Kallas även rotationskrypto.

Question 12

Vad innebär symmetrisk kryptering?

Answer 12

Samma nyckel används för kryptering som dekryptering.

Question 13

Vad innebär asymmetrisk kryptering?

Answer 13

Olika nycklar används för kryptering resp. dekryptering.

Question 14

Vilka tre typer av krypteringsformer ska vi fokusera på i denna kurs?

Answer 14

Symmetrisk kryptering
Asymmetrisk kryptering
Hashning

Question 15

Detta kryptot är “oknäckbart” och kräver i praktiken en nyckel som är längre än själva meddelandet i sig. Nyckeln är unik för det specifika meddelandet och används bara en gång. Vad heter kryptot?

Answer 15

One time pad

Question 16

Hur fungerar ROT13 ?

Answer 16

Rot13 är ett enkelt caesarchiffer som flyttar varje bokstav framåt eller bakåt 13 platser i alfabetet.

Löses exempelvis med tr-kommandot: tr ‘A-Za-z’ ‘N-ZA-Mn-za-m’

Question 17

Förklara hur ett Vigenèrekrypto fungerar.

Answer 17

Vigenère krypterar alfabetisk text genom att använda en serie av invävda Caesarchiffer baserat på bokstäverna i ett nyckelord.

Frekvensanalys är en vanlig metod för att knäcka kryptot

Question 18

Vilken typ av krypto är ett Rail Fence?

Answer 18

Ett transpositions-krypto.

Question 19

Vilken typ av krypteringsmetod är snabbast, Stream Based eller Block Based?

Answer 19

Stream based.

Används exempelvis vid trådlös överföring där hastigheten är viktigast.

Question 20

Data Encryption Standard (DES) är en krypteringsmetod utvecklad i mitten av 1970-talet. Vilken typ av kryptering är detta, symmetrisk eller asymmetrisk?

Answer 20

Symmetrisk.

DES och 3DES är idag vanligtvis ersatta av AES.

Question 21

Vad står AES för?

Answer 21

Advanced Encryption Standard (AES)

Question 22

Advanced Encryption Standard (AES) är ett symmetrisk blockkrypto. Hur stora är standardblocken och i vilka nyckellängder finns det?

Answer 22

128 bitars block.

Finns i 128, 192 eller 256 bitars nyckel i dagsläget.

Question 23

Vilket är det idag vanligaste symmetriska blockkryptot?

Answer 23

AES 256

Question 24

Vad är ECB?

Answer 24

Electronic Code Book är ett driftsätt för en blockkryptering med den egenskapen att varje möjligt block av klartext har ett definierat motsvarande chiffertextvärde och tvärt om.

Med andra ord kommer samma klartextvärde alltid att resultera i samma chiffertextvärde.

Question 25

Nämn tre block cipher modes of operation?

Answer 25

ECB = Electronic Code Book
CTR = Counter mode
CBC = Cipher Block Chaining

(överkurs) två andra är:
CFB: Cipher FeedBack-läge
OFB: Output FeedBack-läge

Question 26

Denna blockkrypteringsmetod injicerar varje krypteringsblock med en räknare:

Answer 26

CTR = Counter mode

Question 27

Hur fungerar blockkrypteringsmetoden CBC ?

Answer 27

Klartexten som ska krypteras i ett block XORas mot chiffertexten från föregående block innan det krypteras och chiffertexten som då skapas XORas mot klartexten i nästa block och så vidare. Eftersom att det första blocket inte har något föregående block används en initialiseringsvektor som XORas mot klartexten som ska krypteras i block 2.

Question 28

Vad innebär Asymmetrisk kryptering?

Answer 28

En krypteringsteknik som innebär att man använder två olika nycklar: oftast en öppen (“publik”) nyckel och en privat nyckel.

Nyckeln som används för att kryptera kan inte användas för att dekryptera samma information.

Question 29

Beskriv “xor” kort:

Answer 29

Ett additativt krypto som arbetar bitvis.
Lika bitar blir 0, olika bitar blir 1.

0 xor 0 = 0
0 xor 1 = 1
1 xor 0 = 1
1 xor 1 = 0

Question 30

Beskriv RSA.

Answer 30

RSA (Döpt efter tre skägg, Rivest–Shamir–Adleman) är en asymmetriskt krypteringsalgoritm.

Kan användas för att signera meddelande, kryptera eller validera.

Question 31

Vad står PSK för?

Answer 31

Pre-shared key

Question 32

När lämpar sig asymmetrisk kryptering?

Answer 32

Exempelvis vid:
Nyckelutbyten av PSK för symmetriska krypton
Autentisering
Signering/validering

Question 33

Vad är grundprinciperna i kryptering med privata och publika nycklar?

Answer 33

Kryptering görs med mottagarens publika nyckel

Dekryptering görs med mottagarens privata nyckel

Question 34

Vad är speciellt med en hash?

Answer 34

Att det är en envägsfunktion, d.v.s. att den går inte att köra baklänges

Question 35

Vad innebär det att en funktion är deterministisk?

Answer 35

En deterministisk funktion ger exakt samma resultat varje gång den körs, förutsatt att indatat är identiskt.

Question 36

MD5 utvecklades 1991 av Ronald Rivest, hur många bitar stort är hashvärdet?

Answer 36

128 bitar

Question 37

Vad står SHA för och vilka är det som ligger bakom den?

Answer 37

Secure Hash Algorithm

Utvecklad av NSA.

Question 38

Vilken är den idag vanligaste versionen av SHA (Secure Hash Algorithm) ?

Answer 38

SHA-2

Question 39

Vilka hashvärden kan en SHA-2 funktion ha?

Answer 39

Den kan ha hashvärden som är 224, 256, 384 eller 512 bitar.

Question 40

Hur många möjliga md5-hashar finns det?

Answer 40

2^128

Question 41

När du ska knäcka en hash kan en Rainbow table vara användbar. Vad är en Rainbow table?

Answer 41

En Rainbow table är en förberäknad tabell med klartext som blivit hashad. Detta för att kunna jämföra tex en lösenordshash med befintliga hashar i tabellen, detta väldigt snabbt.

Question 42

Hur många lösenord finns det som fungerar att logga in

med om lösenordet är lagrat som en md5-hash?

Answer 42

Ett oändligt antal lösenord.

Question 43

Vad står HMAC för?

Answer 43

Hash Message Authentication Code

Question 44

Hur fungerar HMAC?

Answer 44

HMAC är en hash-metod där en nyckel tillsätts till datat.

Alternativ till public key signering.

Både avsändare och mottagare har SAMMA nyckel.

Question 45

Förklara begreppet Challenge–response authentication.

Answer 45

1. Efter länketablering skickar autentiseraren en “Challenge” till mottagaren.
2. Mottagaren svarar med ett responsevärde som beräknas med en enkelriktad hash-funktion på challengen och det delade lösenordet.
3. Autentiseraren kontrollerar svaret mot sin egen beräkning av det förväntade hashvärdet. Om värdena matchar bekräftar autentiseraren autentiseringen, annars avslutas anslutningen.

I slumpmässiga intervall skickar autentiseraren en nya challenges till mottagaren och upprepar steg 1 till 3.

Question 46

CHAP (Challenge-Handshake Authentication Protocol) använder sig av s.k. Challenge response. Hur fungerar CHAP kortfattat?

Answer 46

1. Efter länketablering skickar autentiseraren en “Challenge” till mottagaren.
2. Mottagaren svarar med ett responsevärde som beräknas med en enkelriktad hash-funktion på challengen och det delade lösenordet.
3. Autentiseraren kontrollerar svaret mot sin egen beräkning av det förväntade hashvärdet. Om värdena matchar bekräftar autentiseraren autentiseringen, annars avslutas anslutningen.

I slumpmässiga intervall skickar autentiseraren en nya challenges till mottagaren och upprepar steg 1 till 3.

Question 47

Hur fungerar det när en mottagare validerar en signatur?

Answer 47

Mottagaren dekrypterar signaturen med
avsändarens publika nyckel. Mottagaren räknar en hash av det mottagna datat. Är den uträknade hashen och den dekrypterade signaturen identisk är
signaturen godkänd.

Question 48

Vilken nyckel ska signering av ett meddelande från avsändaren göras med?

Answer 48

Avsändarens PRIVATA nyckel.

Question 49

Vilken nyckel ska validering av ett meddelande från avsändaren göras med?

Answer 49

Avsändarens PUBLIKA nyckel.

Question 50

Vad innebär Diffie-Hellmans key exchange?

Answer 50

Diffie-Hellmans nyckelöverföring är en metod för att dela hemliga krypteringsnycklar mellan två parter på en öppen (okrypterad) kanal.

Question 51

Förklara TLS (Transport Layer Security):

Answer 51

TLS kan kallas för arvtagaren till SSL (används ibland som synonym). Det är ett system som oftast används av en server för att autentisera sig för en klient och för att kryptera kommunikationen.

Question 52

Vad är en POODLE-attack?

“Padding Oracle On Downgraded Legacy Encryption”

Answer 52

En POODLE-attack är en man-in-the-middle-exploatering som utnyttjar en klients mjukvaras fallbackfunktion till SSL 3.0 vid kommunikation över internet.

Question 53

Vad kallas det första steget i en TLS handskakning?

Answer 53

ClientHello

Question 54

Hur många steg är en TLS-handskakning?

Answer 54

9 steg, men steg 4-9 sker med krypterad data.

Question 55

Vad skickas till servern vid ett ClientHello?

Answer 55

TLS-version som klienten stöder, vilka cipher suites som stöds och en sträng av slumpmässiga bytes som kallas “client randoms”.

Question 56

Vad kallas det andra steget i en TLS-handskakning?

Answer 56

ServerHello

Question 57

Vad är en Cipher suite?

Answer 57

En Cipher suite är en uppsättning kombinationer av algoritmer som hjälper till att säkra en nätverksanslutning som använder Transport Layer Security.

Exempel: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

Question 58

Vad innebär DHE? (Diffie-Hellman Ephemeral)

Answer 58

När ett nyckelutbyte använder Diffie-Hellman Ephemeral genereras en tillfällig DH-nyckel för varje anslutning och därmed används aldrig samma nyckel två gånger.

Detta möjliggör Forward Secrecy (FS), vilket innebär att om den långvariga privata nyckeln på servern läcker är tidigare kommunikation fortfarande säker.

Question 59

Vad innebär begreppet Forward Secrecy (FS) ?

Används ofta synonymt med termen Perfect Forward Secrecy (PFS).

Answer 59

Forward Secrecy uppnås genom att generera nya nycklar vid varje session och används vid tex TLS och SSH.

Question 60

Vad är BurpSuite?

Answer 60

BurpSuite är ett program för säkerhetstester av webbapplikationer.

Question 61

Det finns två olika sätt för en klient att kontrollera om en servers certifikat är spärrat genom att kontrollera spärrlistor. Vilka två sätt är dessa?

Answer 61

CRL (Certificate Revocation List)

OCSP (Online Certificate Status Protocol)

Question 62

Hur fungerar det när en klient kontrollerar spärrlistor med CRL (Certificate Revocation List) ?

Answer 62

Klienten laddar ner en CRL spärrlista och kontrollerar rad för rad.

En nackdel är att det över tid kan växa till flera megabytes för klienten att hämta och leta igenom, därför används ibland inkrementella listor.

Question 63

Hur fungerar det när en klient kontrollerar spärrlistor med OCSP (Online Certificate Status Protocol) ?

Answer 63

Klienten gör en kontroll av certifikatets serienummer mot en databas på nätet.

Snabb fråga och litet svar, vilket gör det effektivare.

Question 64

Vad står HSTS för?

Answer 64

HTTP Strict Transport Security

Question 65

Vad fyller HSTS (HTTP Strict Transport Security) för funktion?

Answer 65

En säkerhetsmekanism för att skydda webbsidor mot man-in-the-middle-attacker som exempelvis Protocol Downgrade attacker och cookie hijacking.

Ursprungligen utvecklat av PayPal.

Question 66

Förklara Certificate pinning:

Answer 66

Certificate pinning är en metod för att förhindra Man-in-the-middle-attacker vid användandet av certifikat i en Public key infrastructure (PKI).

Detta sker genom att en klient fäster ett certifikat eller en publik nyckel vid en server.

Question 67

Vad betyder begreppet PKI?

Answer 67

Public Key Infrastructure.

En form av hierarkisk infrastruktur bestående av en uppsättning roller, policyer, hårdvara, programvara och procedurer som behövs för att skapa, hantera, distribuera, använda, lagra och återkalla digitala certifikat och hantera offentlig nyckelkryptering.

Question 68

CA hierarkin (Certificate Authority) består vanligtvis av två eller flera lager.

Vilka är dessa lager?

Answer 68

En CA-hierarki börjar med root CA längst upp.

Däremellan finns ett antal intermediate CAs, där det ibland kan finnas regionala indelningar.

Längst nere finner du s.k. end-entities, klienterna helt enkelt.

Question 69

Vad är en CSR och hur fungerar den?

Answer 69

En CSR (Certificate signing request) är en begäran om certifikatsignering som skickas från en sökande till en registreringsmyndighet för den offentliga nyckelinfrastrukturen för att ansöka om ett digitalt identitetscertifikat .

Den innehåller vanligtvis den PUBLIKA nyckel som certifikatet ska utfärdas för, identifierande information (som ett domännamn) och integritetsskydd (t.ex. en digital signatur).

Question 70

Vilken nyckel signerar en CA-registreringsmyndighet en CSR med?

Answer 70

CA-registreringsmyndigheten signerar med sin egen PRIVATA nyckel.

Question 71

Vad är X.509?

Answer 71

X.509 en standard som definierar formatet för publika nyckelcertifikat .

Question 72

Vad står DNSSEC för?

Answer 72

Domain Name System Security Extensions

Question 73

Vilket år implementerases DNSSEC på root nivån?

Answer 73

2010

Question 74

Vad heter den svensk som innehar en av de 7 nycklarna till ICANNs datacentraler för DNS i Internets rotzon?

Answer 74

Anne-Marie Eklund Löwinder

Question 75

Vad är DNSSEC enkelt förklarat?

Answer 75

Det är en uppsättning tillägg till DNS som ger DNS-klienter (resolvers) kryptografisk autentisering av DNS-data.

Question 76

Det finns två typer av nycklar som används vis DNS-signering. Vad heter dessa?

Answer 76

ZSK (Zone signing key)
Används för att signera innehållet i zonen.

KSK (Key signing key)
Används för att signera ZSK

Question 77

Vad är en RRSIG (Resource Record SIGnature) ?

Answer 77

Innehåller DNSSEC-signaturen för ett record set. DNS-resolvrar verifierar signaturen med en offentlig nyckel, lagrad i en DNSKEY-record.

Question 78

Vad är DS-SET?

Answer 78

En hash av din publika KSK, som placeras i

föräldrazonen.

Question 79

Vilken typ av nyckel använder du för att signera hashen av ett A-Record?

Answer 79

Privata ZSK (Zone signing key)

Question 80

När det kommer till DNSSEC, vilken typ av nyckel har längst giltighetstid?

Answer 80

KSK. Har ca 1-2 års giltighetstid (Kräver uppladdning av
nytt DS-SET)

ZSK har en giltighetstid på ca 1-2 månader.

Question 81

Vad betyder förkortningen TLD?

Answer 81

Top-level domain. Det är den högsta nivån i internets domännamnssystem. Exempel är .se, .com, .gov o.s.v.

Question 82

Säkerhetskontroller kan delas in i tre huvudkategorier. Vilka är dessa?

Answer 82

Administrative
Technical
Physical

Question 83

Nämn en 160-bitars hash-algoritm:

Answer 83

SHA-1

Question 84

Vilken är den idag vanligaste versionen av TLS?

Answer 84

1.2

Question 85

Bob skickar ett krypterat meddelande till Alice, skyddat med ett nyckelpar. Vilken nyckel använder Alice för att dekryptera meddelandet?

Answer 85

Alice privata nyckel

Question 86

Brukar DNSSEC vanligtvis vara implementerat för klienten?

Answer 86

Nej, vanligtvis brukar DNSSEC endast vara implementerat på den lokala revolvern och uppåt i hierarkin.

Question 87

Var finns DNSSEC private KSK för root lagrad?

Answer 87

Inlåst i två datacenter i USA.

Ett i El Segundo, Californien.
Ett i Culpepper, Virginia.

Question 88

Var finns en zons publika ZSK och KSK lagrad?

Answer 88

I zonfilen, som ett DNSKEY-record.

Question 89

Ett MX-record i en zon integritetsskyddas med hjälp av en hash. Vilken nyckel har hashen krypterats med?

Answer 89

Zonens privata ZSK.

Question 90

Ett DNSKEY-record i en zon integritetsskyddas med hjälp av en hash. Vilken nyckel har hashen krypterats med?

Answer 90

Den privata KSK.

Question 91

Med hjälp av vilken nyckel valideras en zons publika ZSK?

Answer 91

Med zonens publika KSK.

Question 92

Ett A-records RRSIG valideras med hjälp av vilken nyckel?

Answer 92

Zonens publika ZSK.

Question 93

Vilka beståndsdelar består AAA av och vad används det till?

Answer 93

Authentication
Authorization
Accounting

Används för att medla nätverksaccess.

Question 94

AAA är en paraplyterm för protokoll som medlar nätverksaccess. Vilka är de tre vanligaste protokollen?

Answer 94

TACACS+

RADIUS (Används för vanliga nätverk)

Diameter (Nyare syskonprotokoll till RADIUS, som mestadels används för mobilnät)

Question 95

Vilket av följande protokoll är öppen standard, TACACS+ eller RADIUS?

Answer 95

RADIUS.

TACACS+ är Cisco-proprietärt.

Question 96

Hur fungerar lokal AAA?

Answer 96

Lokal AAA betyder att du utför AAA utan att använda en extern databas. När du utför lokal AAA kan du autentisera med ett användarnamn och lösenord DIREKT från routern.

Question 97

Förklara serverbaserad AAA Autentisering:

Answer 97

Serverbaserad AAA autentisering betyder att routern använder en extern databas för att autentisera användarnamn och lösenord.

Denna databas är vanligtvis en TACACS+ eller RADIUS-server.

Question 98

Vad är de största skillnaderna mellan RADIUS och TACACS+, förutom att det senare är Cisco-proprietärt?

Answer 98

RADIUS använder UDP.
TACACS+ använder TCP.

RADIUS krypterar endast lösenord.
TACACS+ krypterar hela kommunikationen.

RADIUS kombinerar Authentication and Authorization.
TACACS+ kan hantera Authentication, Authorization, och Accountability separat.

RADIUS är snabbt och resurssnålt.
TACACS+ är ett mer krävande protokoll.

Question 99

Vad är 802.1X?

Answer 99

En IEEE-standard för portbaserad kontroll av nätverksåtkomst som använder autentisering.

Question 100

Vilka 3 enhetsroller finns det i en 802.1X-konfiguration?

Answer 100

Supplicant: Enheten som försöker få tillgång till nätverket.

Authenticator: Enheten som styr åtkomst till nätverket.

Autentiseringsserver: Enheten som validerar klienten och anger om klienten får åtkomst till tjänster på enheten eller inte.

Question 101

Vad står EAP och EAPOL för?

Answer 101

EAP - Extensible Authentication Protocol.

EAPOL - EAP over LAN.

Question 102

Är det möjligt att endast tillåta specifika protokoll med hjälp av 802.1X autentisering?

Answer 102

Ja, detta är en av de stora fördelarna.

Question 103

Det finns två olika EAP-metoder. Vilka är dessa?

Answer 103

EAP-TLS och PEAP (Protected EAP).

Question 104

Vad skiljer EAP-TLS och PEAP?

Answer 104

EAP-TLS certifierar åt båda hållen.

PEAP certifierar endast servern.

Question 105

Ge exempel på några attacker som är möjliga mot switchar:

Answer 105

CAM overflow
STP-attacker
CDP “information disclosure”
Vlan hopping
DTP-attacker

Question 106

Hur fungerar CAM-flooding?

Answer 106

Attacken fungerar genom att tvinga ut legitimt MAC-tabell-innehåll från en switch.

Detta tvingar fram ett broadcast-floodingbeteende som potentiellt skickar känslig information till delar av nätverket där det normalt inte är avsett att attackeren ska få tillgång.

Question 107

Hur skyddar du din switch mot CAM-flooding?

Answer 107

Genom att använda port-security.

Question 108

I vilka lägen är en port på en Ciscoswitch sårbar för en DTP-attack?

Answer 108

I “dynamic desirable”, “dynamic auto” eller “trunk”.

Default-inställningarna på Ciscos switchar är dynamic desirable.

Question 109

Vad är BPDU?

Answer 109

Bridge Protocol Data Units (BPDU) är frames som innehåller information om Spanning-Tree (STP).

Question 110

Hur fungerar BPDU Guard?

Answer 110

BPDU Guard-funktionen används för att skydda Lager 2 Spanning Tree Protocol (STP) topologin från BPDU- relaterade attacker.

Är BPDU guard inställt på porten så kommer porten stänga ner sig själv när den tar emot ett BPDU paket.

Question 111

BPDU Guard är ett skydd mot STP-attacker. Vad är ett annat typ av skydd?

Answer 111

Root Guard.

Question 112

Förklara BPDU Guard och Root Guard:

Answer 112

Bpdu-Guard hindrar en annan switch från att ansluta helt genom att stänga av porten.

Root-Guard kommer att hindra en superior BPDU från att bli root.

Question 113

Vad är en Denial-of-service attack?

Answer 113

En attack mot ett datasystem i syfte att hindra normal användning av systemet.

Den vanligaste angreppstypen är en överbelastningsattack.

Question 114

Förklara vad en DDoS-attack är:

Answer 114

Distributed Denial of Service (DDoS) bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk.

Question 115

Vad är ett botnet?

Answer 115

Ett nätverk av datorer som infekterade med skadlig mjukvara som (oftast) ovetande för användaren deltar i DDoS-attacker.

Question 116

Vad innebär en Amplified Denial-of-service attack?

Answer 116

Amplifieringsattacker används för att förstora datamängden som skickas till ett offer. Detta görs vanligtvis via offentligt tillgängliga DNS-servrar som används för att orsaka trängsel i målsystemet med hjälp av DNS-svarstrafik.

DNS kan exempelvis ge upp till 179 gånger datan du skickar tillbaka som svar.

Question 117

Vad innebär en Reflected/spoofad DDoS-attack?

Answer 117

En DDoS-attack kan innebära att du skickar förfalskade förfrågningar av något slag (Ex. pings) till ett mycket stort antal datorer som kommer att svara på förfrågningarna.

Med hjälp av IP-spoofing är sourceadressen inställd på offret, vilket innebär att alla svar kommer att flooda offret.

Denna attackform kallas ibland en “DRDOS”.

Question 118

Vad är IPsec?

Answer 118

IPsec är en samling protokoll som används tillsammans för att skapa krypterade anslutningar mellan enheter. Det hjälper till att skydda data som skickas över offentliga nätverk.

IPsec fungerar genom att kryptera IP-paket och genom att autentisera den source där paketen kommer ifrån.

Question 119

Hur fungerar hierarkin i en DDoS-attack?

Answer 119

Överst har du en angripare. Under denna har du masters som kontrollerar slaves och/eller agents. Agenterna attackerar i sin tur offret.

(Angripare)
Master
Slaves & Agents
Victim

Question 120

Förklara L2TP?

Answer 120

Layer 2 Tunneling protocol är ett protokoll som möjliggör okrypterad tunnling av trafik. Transporteras över UDP.

Question 121

Är det lämpligt att använda VPN-protokollet PPTP?

Answer 121

Nej, Point to Point Tunneling Protocol är ett gammalt och osäkert protokoll.

Question 122

Vilket samlingsnamn för protokoll är de-facto standard för Site2Site VPN-tunnlar?

Answer 122

IPSec

FYI:
För klient-VPN har IPSec ibland problem att användas med NAT, använd därför något annat där.

Question 123

GRE är ett halvöppet tunnel-protokoll som är okrypterat.

Hur kan man använda det för att skapa en säker VPN-tunnel?

Answer 123

En GRE-tunnel där trafiken krypteras med IPSec exempelvis.

Question 124

Beskriv OpenVPN med några få meningar.

Answer 124

Använder openSSL för kryptering och transporteras oftast över UDP.

Är OpenSource och ett av de vanligaste klient-VPN-protokollen.

Question 125

WireGuard är ett av de nyaste klient-VPN-protokollen. Vad har det för fördelar?

Answer 125

Är snabbare och på flera punkter säkrare än OpenVPN.

Opensource, precis som OpenVPN är.

Question 126

Vilken 802.11-standard kallas även för Wi-FI 6?

Answer 126

802.11ax, vilken är den nyaste allmänt använda standarden 2021.

Question 127

Vilken var den första Wi-Fi standarden som kunde använda både 2,4GHz och 5GHz?

Answer 127

802.11n

Question 128

Vad är de generella fördelarna och nackdelarna med att använda 5 GHz Wi-Fi?

Answer 128

5 GHz tenderar till att ha högre hastighet, då detta spektrum inte är lika upptaget som 2,4GHz.

Har inte överlappande kanaler och har betydligt fler kanaler tillgängliga.

Nackdel:
Räckvidden tenderar oftast att vara betydligt lägre.

Question 129

Vilket år lanserades både Wi-Fi standarderna 802.11a och 802.11b?

Answer 129

1999.

Question 130

Vilka är de allmänt använda Wi-Fi standarderna och vad är deras tekniska namn?

Answer 130

Wi-Fi 1: 802.11b (1999)
Wi-Fi 2: 802.11a (1999)
Wi-Fi 3: 802.11g (2003)
Wi-Fi 4: 802.11n (2009)
Wi-Fi 5: 802.11ac (2014)
Wi-Fi 6: 802.11ax (2019)

Question 131

Förklara CSMA/CA:

Answer 131

Carrier Sense Multiple Access with Collision Avoidance är en accessmetod för att flera parter skall kunna sända information på ett och samma medium, exempelvis Wi-FI, en kabel eller radioband.

Ethernet är till exempel ett CSMA/CD-protokoll, CD står för collision detection.

Question 132

Vad är fördelen med en controller based accesspunkt jämfört med en autonomous accesspunkt?

Answer 132

En controller based accesspunkt samordnas av en WLAN-controller som ser till att de andra accesspunkterna i nätet exempelvis inte har överlappande kanaler.

Question 133

Vilka antenner har vi pratat om?

Answer 133

Omni-directional - rundstrålande
Directional - riktantenn
Yagi - ett exempel på en typ av riktantennsdesign

Question 134

Vilka två modes kan en Wi-Fi klient använda för att kommunicera med en annan Wi-Fi klient?

Answer 134

Ad Hoc-mode, direkt med en annan enhet.

Infrastructure mode, via exempelvis en accesspunkt.

Question 135

Vad står SSID för och vad innebär det?

Answer 135

SSID; Service Set Identifier

Används för att identifiera ett nätverk och samla enheter under samma nät.

Question 136

Vad är BSSID?

Answer 136

MAC-adress för AP:ns radio

Question 137

Vilka två autentiseringstyper är vanligast för trådlösa nät?

Answer 137

Open authentication
- Inget lösenord, alla kan ansluta

Pre Shared key authentication.
- WEP & WPA/WPA2/WPA3

Question 138

Hur många 2.4Ghz Wi-Fi kanaler finns det i Europa och vilka är lämpligast att använda om du inte vill ha överlappning?

Answer 138

Det finns 13 kanaler i Europa.

1, 7 och 13 gör att överlappning inte sker.

Question 139

Vilka är de vanligaste hotbilderna mot Wi-Fi?

Answer 139

Ej legitima klienter (attack mot nät)
Ej legitima nät (attack mot klienter)
MiTM-attacker
DOS-attacker

Question 140

Hur stora kan WEP (Wired Equivalent Privacy) nycklar vara i bitar?

Answer 140

40 bitars nyckel (5 tecken)

104 bitars nyckel (13 tecken)

Question 141

WPA och WPA2 finns i personal- och enterprise mode. Vad är skillnaden?

Answer 141

WPA-Personal
Även kallat WPA-PSK ( pre-shared key ). Detta är utformat för hem- och smånätverk och kräver ingen autentiseringsserver. Varje trådlös nätverksenhet krypterar nätverkstrafiken genom att hämta dess 128-bitars krypteringsnyckel från en delad 256- bitarsnyckel

WPA-Enterprise
Även kallat WPA- 802.1X- läge och ibland bara WPA (i motsats till WPA-PSK), detta är utformat för företagsnätverk och kräver en RADIUS- autentiseringsserver. Detta kräver en mer komplicerad installation, men ger ytterligare säkerhet (t.ex. skydd mot ordlistaattacker på korta lösenord)

Question 142

Vad är en Captive portal i Wi-Fi sammanhang?

Answer 142

En Captive portal är en webbsida som visas för nyanslutna användare av ett Wi-Fi för bredare åtkomst till nätverksresurser.

Vanligt på hotel, cafeer och tåg exempelvis.

Question 143

Vilket verktyg kan du använda för att cracka ett WEP-nätverk?

Answer 143

aireplay-ng

Question 144

Vilken typ av kryptering använder WPA?

Answer 144

TKIP (baserat på ett RC4 strömschiffer) med en 128 bitars nyckel. Förnyas dynamiskt efter ett antal paket.

Question 145

Vilken typ av kryptering använder WPA2?

Answer 145

AES-kryptering med CCMP

Question 146

Hur knäcker du ett WPA/WPA2-lösenord?

Answer 146

Exempelvis:

Spela in när minst en klient ansluter till nätet (WPA-handshake), eventuellt kombinerat med en Deauth-attack.

Då får du ut ett hashat lösenord, som du sedan måste knäcka med till exempel en ordlisteattack.

Question 147

Vad står ESP för?

Answer 147

Encapsulating Security Payload

Question 148

Du ska sätta upp en IPSec-tunnel.

Om valet står mellan AH och ESP, vilket bör du då välja?

Answer 148

AH krypterar inte datatrafiken, därför bör alltid ESP väljas.

TENTAFRÅGA!

Question 149

För att skapa en IPsec-tunnel använder vi ett protokoll som heter IKE (Internet Key Exchange).

Hur många faser finns det i upprättandet av en ny tunnel?

Answer 149

2 stycken.

IKE phase 1 key negotiation
IKE phase 2 key negotiation

Question 150

För att upprätta en IPSec-tunnel så krävs likadana parametrar både för Local Peer och Remote Peer.

Vad heter samlingen av parametrar som IKE-protokollet förhandlar fram?

Answer 150

SA (Security Association)

Question 151

Vad händer under IKE fas 1?

Answer 151

Under IKE fas 1 förhandlas först den bästa gemensamma IKE policyn fram (initiatorn skickar över till respondern), därefter sker en DH key exchange och därefter verifieras identiteter (oftast med en pre-shared key men det är möjligt att sköta det med certifikat också).

Question 152

IKE upprättar tunnlarna för oss, men det verifierar eller krypterar inte användardata. Vi använder två andra protokoll för detta, vilka?

Answer 152

AH (Authentication Header)

ESP (Encapsulating Security Payload)

Question 153

Vad sker under de tre stegen i en ISAKMP-session?

Answer 153

Steg 1: Förhandling
Här förhandlas det om Hashmetod, Autentiseringsprotokoll, Kryptering, DH-grupp och Lifetime.

Steg 2: DH Key Exchange
Här väljs den delade nyckeln.

Steg 3: Autentisering
Här autentiserar båda parter varandra.

Question 154

Vad är ett Honeynet/Honeypot och vad har det för syfte?

Answer 154

Ett Honeynet eller en Honeypot är en säkerhetsmekanism inställd för att upptäcka, avböja eller på något sätt motverka försök till obehörig användning av ett informationssystem.

Det fungerar som en sorts “bete” för angriparen, men är en fälla som kan användas för att samla information om angreppet.

Question 155

Vad är en stateful firewall?

Answer 155

En stateful firewall är en brandvägg som individuellt håller reda på sessioner av nätverksanslutningar som passerar den. Kallas ibland för second-gen firewall.

Question 156

Hur definieras en next-gen firewall (NGFW)?

Answer 156

En next-gen firewall kan utöver funktionerna i tidigare generationer även hålla koll på hur datan transporteras till och från applikationer. Det som är unikt för denna typen är att den agerar även på de övre lagren i OSI-modellen.

Question 157

Vad är en Static Packet Firewall?

Answer 157

Denna form är en av de mest grundläggande brandväggarna som endast kontrollerar paket för paket som passerar genom enheten. Är en stateless brandvägg och kallas ibland för first-gen firewall.

Question 158

Vad är en TLS-inspektion (eller SSL-inspektion) ?

Answer 158

Funktion i en brandvägg som gör att man kan inspektera kryptografiskt skyddade TLS sessioner mellan webbläsare och webbserver genom att upprätta TLS anslutningar mellan webbläsare->brandvägg->Server. Samma princip som en MiTM men legit.

Question 159

Vad innebär interface-baserad filtrering, kontra interface-oberoende filtrering?

Answer 159

Vid interface-baserad filtrering har varje interface ett regelverk för inbound och/eller outbound. Vi oberoende filtrering så är filtreringen oberoende av routingen och skickas till brandväggsmjukvaran.

Question 160

Vad står SMTP för och hur fungerar det?

Answer 160

Simple Mail Transport Protocol.

Ett protokoll för hantering av epost-meddelanden som vanligtvis sker över TCP, port 25. Använder sig av 7-bitars ASCII och är best effort. Allt sker i klartext.

Question 161

Vilket kommando i en SMTP-handskakning används av en klient för att introducera sig?

Answer 161

HELO eller EHLO

Question 162

Vad är ett Open Mail Relay?

Answer 162

En SMTP-server som är konfigurerad så att den kan ta emot epost från vem som helst, till vem som helst.

Detta brukade vara standardkonfigurationen, men då detta missbrukades till att skicka ut spam så är dessa ofta svartlistade hos ISPer och internet-organisationer. ISPer använder istället egenkontrollerade relays.

Question 163

Vad innebär Graylisting?

Answer 163

En metod för att bekämpa spam som bygger på att avsändande e-postprogram har stöd för omsändningar.

Omsändningar är något de flesta spambotar inte stödjer.

Question 164

Förklara Sender Policy Framework (SPF):

Answer 164

Är en metod för att försöka förhindra att e-mail skickas med fejkade domännamn i avsändaradressen.

SPF kontrollerar DNS-recordet (TXT) i zonen för domänen som innehåller en policy för vilka avsändar-ip-adresser som får skicka mail från domänen.

Question 165

Vad gör DKIM?

DomainKeys Identified Mail

Answer 165

Mailserver för utgående mail skapar ett nyckelpar. Den lägger till en signatur i alla e-mail, utgående mail signeras med privat nyckel.

Då kan mottagande servrar verifiera att e-mail inte är fejkade och inte har ändrats under överföringen, genom att verifiera med en publik nyckel som placeras i DNS .

Question 166

Vad innebär ett SPF-fail?

Answer 166

SPF-fail inträffar när avsändarens IP-adress inte finns i SPF-recordet. Detta kan innebära att e-postmeddelandet skickas till skräppost eller kasseras helt.

Question 167

Vad innebär ett SPF Hard Fail?

-all

Answer 167

Exempel: v=spf1 ip4:192.168.10.1 -all

Det innebär att alla avsändare som inte skickar ifrån ovanstående adress räknas som obehöriga och emailet RADERAS. Använder minus före all.

Question 168

Vad innebär ett SPF Soft Fail?

~all

Answer 168

Exempel: v=spf1 ip4:192.168.10.1 ~all

Det innebär att alla avsändare som inte skickar ifrån ovanstående adress räknas som obehöriga och emailet FLAGGAS som spam. Använder tilde före all.

Question 169

Vad är en SPAN-konfiguration?

Answer 169

SPAN (Switched Port Analyzer).

Är en konfiguration för switchar som gör att switchen kopierar all trafik som går genom en eller flera portar till en destinationsport för trafikinspektion med externa verktyg, exempelvis ett IDS.

Question 170

Vilka är tre av de vanligaste teknikerna för intrångsdetektion?

Answer 170

Signaturbaserad detektion
Anomalibaserad detektion
Ryktesbaserad detektion

Question 171

Hur fungerar Signaturbaserad detektion?

Answer 171

Signaturbaserad detektion använder regler/signaturer som beskriver hur nätverkstrafiken ser ut när en sårbarhet i en programvara utnyttjas. Som antivirus ungefär.

Question 172

Hur fungerar Anomalibaserad detektion?

Answer 172

Anomalibaserad detektion upptäcker avvikelser från det som vanligtvis karakteriserar normal nätverkstrafik.

Question 173

Hur fungerar Ryktesbaserad detektion?

Answer 173

Ryktesbaserad detektion kontrollerar nätverkstrafik mot en databas av ”elaka” IP-adresser på internet. Kräver en aktiv tjänst.

Question 174

Vad innebär ett False positive?

Answer 174

Larm för något som inte är en incident.

Question 175

Vad innebär ett False negative?

Answer 175

Uteblivet larm när det borde ha larmats, vilket är allvarligt!

Question 176

Vad är en DMZ?

Answer 176

DeMilitarized Zone; demilitariserad zon.

Ett isolerat subnät som placeras utanför det skyddade nätet.

Question 177

Vad innebär SIEM?

Answer 177

Security Information and Event Management.

Ett system för att sammanställa och analysera information och larm från it-säkerhetssystem, som ett IDS exempelvis.

Question 178

Vad är Snort?

Answer 178

Ett open-source Network Intrusion Detection System ( NIDS) som kan installeras på Linux. Utvecklas av Cisco.

Question 179

Vad är PfSense?

Answer 179

En open-source brandvägg.