Nätverkssäkerhet kunskap Flashcards

1
Q

Vad står CIA-triaden för?

A

Confidentiality: ska inte komma till allmänt kännedom (t.ex. kryptering)
Integrity: info ska vara oförändrat (t.ex. hashar, signering)
Availability: kommer åt info när det behövs (t.ex. backup)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vad menas med Security trade-off?

A

Triangel med tre hörn: Security, Functionality, Usability

Ökad säkerhet leder oftast till sämre funktionalitet eller användbarhet eller båda.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vad har lök med säkerhet att göra?

A

Layered defense: att ha flera skal av säkerhetslösningar så att det fortfarande finns skydd om en eller några brister

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vad är attackvektorer?

A

Sätt för en angripare att ta sig in i nätverket

finns många olika hot, t.ex. unpatched software, malware, inadequate security policies, hactivism, botnets…

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Vilka typer av säkerhetskontroller finns det?

A
  • Directive (anvisningar): lagar, regler, rutiner, utbildning, skyltar
  • Preventive (förhindrar): lås på dörren, staket, utbildning, inloggningar, kryptering, brandväggar
  • Detective (upptäcker): rörelsedetektorer, sensorer, loggar, kameraövervakning, IPS/IDS
  • Deterrent (avskräckande): fasadbelysning, anställningsklausuler, “varning för hunden”
  • Corrective (korrigerande): disciplinära åtgärder, uppdatering av brandväggsregler
  • Recovery (återställande): disaster recovery, backuper
  • Compensating (en funktion ersätter en annan som inte kan implementeras): adm. rutiner ist.f. tekniska lösningar, separation of duties

delas upp i:
Physical: dörrar, väggar, lås, hundar
Administrative: policies, lagar, anställningskontrakt
Technical: Kameraövervakning, IPS, brandväggar

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vad kallas det när alla ska ha tillgång till precis det de behöver och inte mer?

A

Principle of least privilege

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

vad är kryptografi?

A

kommunikation utformad att undanhålla information från oinvigda

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Vilka standardbegrepp används inom kryptografi?

A
P: plain-text
C: cipher-text
K: key
E: encryption
D: decryption
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Vad menas med C>=P?

A

ciphertexten kommer alltid att vara större än eller lika stort som plaintext (den kan inte bli mindre)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

När ska data skyddas?

A

at rest
in motion / in transit
in use

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vad är en algoritm?

A

programkod: instruktioner för att lösa en specifik uppgift

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Vad är encoding?

A

inte kryptering!
teckensekvenser i specifikt format för effektiv lagring eller överföring
t.ex. Base64 (binary to text)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Vad ger bättre skydd när det gäller algoritmer?

A
  • bra val av kryptoalgoritm, t.ex. AES eller (tidigare) DES

- bra nyckel (lång nyckel)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Vad innebär Kerkhoffs princip?

A
  • En krypteringssystem ska vara säkert även om allting om systemet, förutom nyckeln, är känd.
  • dvs. säkerheten ligger i nyckeln/nycklarna
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vilka problem stötar vi på när det gäller nyckelhantering?

A
  • key generation: hur skapar vi nycklar?
  • key verification: hur kontrollerar vi att nycklarna är rätt?
  • key exchange: hur byter vi ut nycklar?
  • key storage: hur lagrar vi nycklar?
  • key lifetime: hur länge gäller nycklar?
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Förklara XOR

A
binär logisk operation:
- smälter ihop två binärströmmer till en tredje
- arbetar bitvis
0 xor 0 = 0
0 xor 1 = 1
1 xor 0 = 1
1 xor 1 = 0
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Vilka två sorters krypto finns det med tanke på hur de arbetar?

A

Stream-based: algoritm som arbetar bitvis, ofta med xor och en nyckelström
Block-based: algoritm som arbetar med block av data, t.ex. 64, 128, 256 bitar (kräver padding om sista blocket inte går jämnt upp)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Vilka två krypton finns det (med klassisk tanke)?

A

Transposition: information ska läsas från specifika positioner
Substitution: ett tecken byts ut mot ett annat

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Vad heter kryptot som skrivs på fler rader och läses sick-sack?
Vilken typ av krypto är det?

A
Rail fence (zigzag cipher)
Det är en transpositions-krypto.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Vad heter kryptot där bokstäver byts i sekvens?

A

Ceasar-krypto eller rotationschiffer, t.ex. ROT13 där bokstäverna roteras ett halvt varv (13=26/2)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Med vilken metod kan jag knäcka substitutionschiffer?

A

Frekvensanalys: man möter hur ofta tecken förekommer och jämför med text från det språket

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Vad heter chiffret där man förskjuter substitutionen?

A

Vigenère-chiffer (använder Vigenèr-table)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Vad kallas det enda oknäckbara kryptot?

A

One time pad:

  • samma nyckel för båda sidor
  • nyckeln används bara en gång
  • nyckeln längre än klartextmeddelandet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Vilka tre typer av krypto har vi pratat om?

A

Symmetrisk kryptering: samma nycklar
Asymmetrisk kryptering: olika nycklar
(Hashning): inga nycklar (kan inte dekrypteras)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

Ge två exempel på symmetrisk kryptering (ett dåligt och ett bra)!

A
DES, 3DES = dåligt!
- 64 bitars block
- 56 bitars nyckel
AES = bra! (kallas även Rijndael)
- 128 bitars block
- 128, 192, 256 bitars nyckel
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Vilka tre implementationer av AES finns det?

A

ECB: Electronic Code Book: Varje block krypteras oberoende med samma nyckel (sämst)
CTR: Counter mode: Varje krypteringsblock injiceras med en räknare
CBC: Cipher Block Chaining: Varje krypteringsblock förse nästa block med ett frö

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Vilket är den vanligaste asymmetriska krypterinsmetoden?

A

RSA (finns även DSA och ECC, fast de behöver vi inte kunna)

  • rekommenderat minsta nyckellängd: 1024 bitar
  • privata nyckeln innehåller även den publika
  • base64-encodat
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

Vilka nycklar används för kryptering respektive signering

A

avsändarens privata nyckel = signering
avsändarens publika nyckel = validera signaturen
mottagarens publika nyckel = kryptering
mottagarens privata nyckel = dekryptering

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

Vad är för och nackdelar med symmetrisk resp. asymmetrisk kryptering?

A

Symmetrisk (används för stora datamängder):
+ mycket snabbare
- osäkrare
- hemlig nyckel måste bytas ut (PSK)

Asymmetrisk (används för nyckelutbyte av PSK, autentisering, signering/validering):
+ säkrare
+ inget utbyte av hemliga nycklar
- mycket långsammare

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

Vilken funktion används för Data integrity?

A

Hashning:

  • går ej att reversera (envägsfunktion)
  • se slumpmässig ut
  • man kan kontrollera att data är oförändrat
  • används för lagring av lösenord
  • data i valfri längd ger hash i exakt längd
  • inga kända metoder att skapa kollisioner
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

Vad kallas det när en liten förändring leder till en helt annan hash?

A

Avalanche effekt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

Vad heter det när hashning av olika input ger samma hash?

A

Kollisoner

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

Ge exempel på vanliga hash-algoritmer.

A

MD5: 128 bitar (skapat 1991; kollisioner 2004)
SHA1: 160 bitar (skapat av NSA 1993; osäker fr.o.m. 2005)
SHA2: 224-512 bitar (skapat av NSA 2001; osäker snart)
SHA3: 224-512 bitar (förbättring av SHA2)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

Hur många olika klartextmeddelanden finns det som kan ge md5-hashen b18186eb6379fcafb565e15e3c911ea8?

A

oändligt!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

Hur många olika md5-hashar kan man få av “jimmy”?

A

1

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
36
Q

Hur många lösenord finns det som fungerar att logga in med om lösenordet är lagrat som md5-hashen 7576f3a00f6de47b0c72c5baf2d505b0?

A

Ett oändligt antal!

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
37
Q

Vad är en kollision?

A

Man kan generera två klartextmeddelanden som ger samma hash.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
38
Q

Vad kallas det när en nyckel tillsätts till datat för att sedan hashas?

A

HMAC: Hash Message Authentication Code

  • både avsändare och mottagare har samma nyckel
  • om det bara är de som har nyckeln är det bara de som kan kontrollera hashen
  • symmetrisk!
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
39
Q

Vad används av avsändaren för att kontrollera att mottagaren har rätt nyckel?

A

Challenge Response:

  • avsändaren skickar en påhittat mängd klartextdata till mottagaren
  • mottagaren räknar ut en hash och krypterar med nyckeln och skickar detta till avsändaren
  • avsändaren räknar ut sin egen nycklade hash av originaldatat och jämför med det hen fick av mottagaren
  • om det är samma har mottagaren rätt nyckel
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
40
Q

Hur fungerar signering?

A

som HMAC, fast med asymmetrisk kryptering

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
41
Q

Vilka 5 delar ingår i Secure Communications (se modul7)?

A
  1. Message confidentiality
  2. Confidential distribution of encryption keys
  3. Message integrity
  4. Non repudiation of origin
  5. Non repudiation of delivery
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
42
Q

Vad är Diffie-Hellman?

A
  • asymmetrisk algoritm för att förhandla fram en gemensam nyckel över ett osäkert medium
  • INTE en krypteringsalgoritm
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
43
Q

Vad vet du om http resp. https?

A

http:

  • Client-Server (Request: C to S; Response: S to C)
  • Stateless
  • förutsätter pålitlig transportmetod (TCP)

https:
- samma protokoll fast inuti en krypterad förbindelse (SSL/TLS)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
44
Q

Vilka är de två vanligaste http request-metoder?

A

GET: “ge mig den här URL:en, tack”
POST: för att skicka data till webservern

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
45
Q

Vad är ett certifikat?

A
  • Innehavarens identitet. “Nisse”. https://abc.se. Pelles laptop. Webservern Y.
  • Innehavarens publika nyckel.
  • En relation till någon som alla litar på.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
46
Q

Vad är CA?

A

Certificate Authority:
Finns Root CA, evtl. intermediate CAs (auktoriserade av Root CA) och Non-CA End-Entities (slutanvändare, datorer, domäner)

47
Q

Vad kallas det när vi litar på nåns certifikat för att det är utfärdat av en CA vi litar på?

A

Chain of Trust

48
Q

Vad är CSR?

A

Certificate Signing Request

  • -> Innehavaren: - vill ha ett certifikat; - skapar ett nyckelpar; m- sätter ihop ett förslag till ett certifikat vilket innehåller den egna publika nyckeln; - skickar detta till utfärdaren (CA); - bevisar sin identitet (mail, telefon, adress)
  • -> Utfärdaren: kontrollerar Innehavarens identitet; - signerar certifikatet med sin privata nyckel
49
Q

Vad kallas spärrlistorna för certifikat och protokollet för att kolla statusen av certifikat?

A

CRL: Certificate Revocation List
OCSP: Online Certificate Status Protocol

50
Q

Vad är PKI?

A

Publik Key Infrastructure

  • -> Sättet att hantera digitala certifikat och publika krypteringsnycklar
  • -> Säkerställa att publika nycklar sammankopplas med identiteter (personer, organisationer)
  • SSL/TLS; - S/MIME; - VPN; - 802.1x
51
Q

Vad är SSL respektive TLS?

A
  • kryptografiska protokoll
  • SSL (gammalt): Secure Sockets Layer
  • TLS (v.1.2 best practice idag): Transport Layer Security
  • -> används för autentisering av webservern
  • -> TLS Handshake: parterna kommer överens om hur datat ska skyddas
52
Q

Hur ser en TLS Handshake ut?

A

Mellan SSL Client och SSL Server:
> Client hello: Samtliga cipher suites som klienten supportar
< Server hello: Vald cipher suite (bör vara den högsta)
- Klienten kontrollerar certifikatet
> Client key exchange: skickar gemensamma nyckel och klientcertifikatet
- Servern verifierar klientcertifikatet (om det behövs)
> Client finished
< Server finished
<> Messages exchange (krypterad med gemensam nyckel)

53
Q

Vad är PFS?

A

Perfect Forward Secrecy:

- Encryption system that changes the keys used to encrypt and decrypt information frequently and automatically.

54
Q

Vilka två MitM-metoder kan en hackare använda för att kringgå SSL?

A

SSL strip:
- anslut till original-servern med https, men till klienten med http (inget certifikat behövs)
SSL split:
- anslut till original-servern med https, skapa ett nytt (falskt) certifikat och ansluta till klienten med https

Resultatet: hackern kan se all trafik okrypterad mellan klienten och original-servern
Funkar bara eftersom SSL är en envägscertifiering (bara servern behöver autentisera sig)

55
Q

Vad är HSTS?

A

HTTP Strict Transport Security:

- Om man har anslutit till en site en gång, kräver den i fortsättningen alltid https.

56
Q

Vad är Certificate Pinning?

A
  • restricts which certificates are considered valid for a particular website
  • Instead of allowing any trusted certificate to be used, operators “pin” the certificate authority (CA) issuer(s), public keys or even end-entity certificates of their choice.
  • Clients connecting to that server will treat all other certificates as invalid and refuse to make an HTTPS connection.
57
Q

Var kan jag kontrollera en websidas SSL info?

A

SSL Labs

58
Q

Vad är fördelen med att attackera så långt ner som möjligt i OSI-modellen?

A
  • attack mot ett visst lager möjliggör kontroll över ovanliggande lager
  • dvs. ju längre ner i OSI -modellen en attack sker, desto större är “smörgåsbordet”
59
Q

Nämn några möjliga attacker mot switchar.

A
  • CAM overflow (genom MAC flooding)
  • STP-attacker
  • CDP “information disclosure”
  • Vlan hopping
60
Q

Hur kan jag skyddar mig mot CAM flooding?

A
  • enable Port Security (switchport port-security)
  • specificera max antal MAC-adresser på interfacet
  • ange kända MAC-adresser (specifika eller sticky)
61
Q

Vad är dåligt med DTP och hur kan jag skydda mig?

A

Dynamic Trunking Protocol
Problem: Cisco tillåter som standard vem som helst att förhandla upp en trunk, då kan man komma åt alla VLAN i nätverket.
Skydd: switchport mode access

62
Q

Hur förhindrar jag STP-attacker?

A

Spanning Tree har normalt Core, Distribution och Access

  • lägg root guard vid utgående portar från Core (till lagret under)
  • bpdu guard vid accessportarna (utgående från accesslagret)
63
Q

Vad står AAA för?

A

Authentication
Authorization
Accounting
(ibland lägger man till Availability som fjärde A)

64
Q

Vilka två autentiseringslägen finns det?

A

Local AAA Authentication

Server-Based AAA Authentication

65
Q

Vilka två AAA Authentication servrar har vi pratat om?

A
Radius
- öppen standard (RFC)
- udp
- password encrypted
Tacacs+
- Cisco-propietärt
- tcp
- entire packet encrypted
66
Q

Vad heter standarden för switchport-baserad accesskontroll?

A
  1. 1x
    - det finns tre roller: Supplicant, Authenticator, Authentication server (Radius)
    - innan porten är autentiserad tillåts endast EAPOL, vilket är 802.1x autentiseringsprotokoll
    - EAP-TLS används för att kommunicera mellan S och AS
    - PEAP använder bara servercertifikat och inte klientcertifikat (användarnamn&lösenord)
67
Q

Vilka Wifi-standarder ska vi kunna?

A
  1. 11 -max 2Mbps, 2,4 GHz
  2. 11b -max 11Mbps, 2,4 GHz
  3. 11g -max 54Mbps, 2,4 GHz
  4. 11a -max 54Mbps, 5GHz
68
Q

Vad är en Accesspunkt?

A
  • Brygga: 2-portars “switch”

- en ethernet-port och en radio

69
Q

Vilka tre antenntyper har vi pratat om?

A
  • Omni-directional
  • Directional
  • Yagi
70
Q

Vad är förkortningen av wifi-nätverksnamnet?

A

SSID: Service Set IDentifier

- kallas även ESSID (Extended …)

71
Q

Vilka hot finns det mot wifi?

A
  • ej legitima klienter
  • ej legitima nät
  • MitM-attacker
  • DoS-attacker
72
Q

Vilka 2,4 GHz-wifi-kanaler bör man använda och varför?

A

1, 7, 13; eftersom de annars överlappar

73
Q

Vad är fördelen när det kommer till kanaler i 5 GHz-wifi-nätet?

A
  • det är många fler tillgängliga

- de överlappar inte

74
Q

Varför är WEP dåligt!

A
  • använder RC4-ström-chiffer
  • knäcks lätt genom att samla in tillräckligt många datapaket
  • lösenordskomplexitet spelar ingen roll
75
Q

Hur knäckar man WPA/WPA2?

A
  • spela in 4-vägs-handskakning när en klient loggar in (WPA handshake)
  • offline: brutforce wordlist attack mot den inspelade handskakningen
76
Q

Vad är en Captive Portal?

A

Web page that the user of a public-access network is obliged to view and interact with before access is granted.

77
Q

Hur gömmer jag ett wifi-nät?

A

non-broadcast SSID: visas inte som standard, men går lätt att upptäcka t.ex. med airmon-ng

78
Q

Vad kan du om WPA/WPA2?

A
  • finns Personal mode (PSK) och Enterprise mode (serverbaserad)
  • WPA: - förbättring av WEP; - RC4 strömschiffer; - 128 bitars nyckel
  • WPA2: - AES-kryptering; säkrare än WPA
79
Q

Vilket protokoll använder Dynamic Port Forwarding?

A

SOCKS5 (för enkapsulering)

80
Q

Varför är det viktigt med DNSSec?

A
  • skyddar DNS-infrastrukturen
  • DNS är sårbar för MitM-attacker
  • DNSSec ska försvåra ej legitim förändring av DNS-data
81
Q

Vilka nycklar finns det i DNSSec och hur används de?

A

ZSK:
- används för att signera “vanliga” resource records i zonen, t.ex. A, CNAME, MX, osv. men inte DNSKEY!
- c:a 1-2 månaders giltighetstid
KSK:
- används för att signera ZSK, dvs. DNSKEY records
- c:a 1-2 års giltighetstid (kräver uppladdning av ny DS-SET
DS-SET:
- hash av zonens publika KSK som placeras i föräldrazonen

OBS: RRSIG signeras aldrig (det är signaturen!)

82
Q

Vad kalles nyckelutbytet i DNSSec?

A

Key-rollover

83
Q

Hur ser DNSSec:s Chain of Trust ut?

A

För varje signerad domän:
• Lagras de publika nycklarna (ZSK och KSK) i zonfilen.
• Lagras en signatur för varje RRSET i zonfilen.
• Skapas en hash av den publika KSK som lagras hos föräldradomänen. (DS-SET)

84
Q

Vem kör DNSSec?

A
  • INTE klienten!
  • klienten ställer frågor till öppna lokala resolvrar
  • den lokal resolvern kan konfigureras att validera DNSSec-data och validerar isåfall datat rekursivt från root
85
Q

Vad är en brandvägg?

A
  • router som filtrerar trafik
86
Q

Vilka två typer av brandväggar finns det och vad är skillnaden?

A

1st gen firewall: stateless
- både ingående och utgående trafik konfigureras separat

2nd gen firewall: stateful

  • tillåter trafik i riktningen som sessionen initierades. Returtrafiken tillåts automatiskt.
  • använder sig av fw state table

3rd gen firewall: statefull med inspektion på L7

  • applikations-brandvägg
  • känner igen http, FTP, SMTP osv.
  • “tillåt Spotify”, “blockera Facebook chat”
87
Q

Vilka två typer av VPN har vi pratat om?

A
Klient-VPN:
- klient kopplar upp sig mot servern
Site-to-Site VPN (Lan2Lan):
- sammankopplar ett eller flera subnät på respektive site via "peers"
- använder IPSec
88
Q

Vilket är den vanligaste Site2Site tunnel?

A

IPSec
- använder flera protokoll: IKE (ISAKMP) för förhandling av tunnelparametrar, autentisering; ESP (AH) för enkapsulering av trafik

89
Q

Varför är GRE ej lämplig för VPN?

A

okrypterad & oautentiserat

90
Q

Vad kan du om OpenVPN?

A
  • OpenSource
  • openSSL för kryptering
  • transporteras i regel över UDP
  • både protokoll och mjukvara
91
Q

Vad heter Ciscos VPN-tjänst?

A

AnyConnect

behöver Cisco brandvägg i andra änden

92
Q

Vad är IPSec?

A
  • VPN-lösning som används av de flesta företag
  • flera olika protokoll:
  • –> IKE (ISAKMP) för förhandling av tunnel-parametrar
  • –> ESP (AH) för enkapsulering av trafik
93
Q

Vad kallas ett VPN som är open source fast snabbare än OpenVPN?

A

WireGuard

94
Q

Vad utgör TLS-VPN?

A
  • VPN-klient som tunnlar trafik över en TLS-tunnel

- kallas även WebVPN eller SSL-VPN

95
Q

Vad kallas servern på andra sidan VPN-tunneln?

A

VPN peer

96
Q

Vad är skillnaden mellan AH och ESP? (IPSec)

A

AH: Authentication Header

  • har ingen confidentiality
  • krypterar inte trafiken!
  • dåligt!

ESP: Encapsulationg Security Payload
- använd bara den

97
Q

Vad används IKE-protokollet till? (IPSec)

A
  • används för att etablera en VPN-tunnel

- för att förhandla fram parametrarna, efter det används ESP för själva trafiken

98
Q

Förklara IPSec Phase 1 & Phase 2 Key Negotiation.

A

Initiator (I) & Responder (R)

Phase 1: Negotiating ISAKMP (eller IKE) policy to create tunnel

1: Negotiate ISAKMP policy: I->R, R->I
2: DH key exchange: I->R, R->I
3: Verify the peer identity: I->R, R->I

Phase 2: Negotiate IPsec policy for sending secure traffic across the tunnel
Negotiate IPsec Policy: I->R, R->I
ESP (eller AH) för enkapsulering av trafik

99
Q

Vilka begrepp inom DDoS ska vi kunna?

A

reflekterad: göra attacken via tredjepart (reflektorer, t.ex. webservrar)
distribuerad: utföra attacken via flera (många utövrare & reflektorer )
amplifierad: använda ett protokoll, där svaret är mycket större än förfrågan

100
Q

Vilka skydd finns det mot DDoS?

A
  • ISP: DDoS-skydd
  • patchar servrar så att de inte bli reflektorer
  • antivirus för datorer som är med i botnet
  • ISP: source filtering
101
Q

Vad kan du om SMTP?

A
  • Simple Mail Transfer Protocol
  • inget spoofing-skydd, ingen autentisering
  • klartext, tcp (port 25) (syn, synack, ack), telnet
  • baseras på MX-record i DNS
102
Q

Vad är Open Relay?

A

SMTP-server som även ta emot mail till andra domäner (och vidarebefordra dem); dåligt!

103
Q

Vad kan Antispam triggas på?

A
  • nyckelord
  • beteende av mejlserver
  • IP-reputation
  • länkar
  • SPF hardfail
  • SPF softfail
  • DKIM signatur
104
Q

Vad är Greylisting?

A

princip: legitima E-Mail skickas med upprepade försök
- första mejlet avvisas och avsändaradressen hamnar på en lista
- om mejlet skickas igen tillåts det
- infon som sparas kallas “triplet”: avsändarens mejlserver, avsändarens mejladress och mottagarens mejladress

105
Q

Vad innebär SPF?

A

Sender Policy Framework:

  • använder DNS, TXT-records
  • DNS-record i zonen innehåller en policy för vilka avsändar-IP-adresser som får skicka mejl ifrån den
  • Mottagarens SMTP-server KAN (frivilligt) kontrollera SPF och kolla om IP-adresserna matchar
106
Q

Vad är DKIM?

A

Domain Keys Identified Mail:

  • mailserver för utgånede mail skapar nyckelpar
  • publika nyckeln sparas i DNS
  • utgående mejl signeras med privat nyckel
  • OBS: detta är inte kryptering!
107
Q

Vad är IDS/IPS?

A

Intrusion Detection System / Intrusion Prevention System
IDS:
- detekterar och larmar om intrångsförsök & anomalier
- sätts oftast in-line (bredvid)
IPS:
- detektera, larma och förhindra intrångsförsök & anomalier
- on-line (på vägen)

Finns nätverksbaserad (NIPS), som en switch och hostbaserad (HIPS), som mjukvara i datorn

108
Q

Hur hittar IDS/IPS intrångsförsök/anomalier?

A
  • signaturbaserad: beskriver ett beteende (kräver en aktiv tjänst, som ett antivirus)
  • anomalibaserad: “såhär brukar paketen inte se ut…”
  • ryktesbaserad: “scr IP 1.1.1.1 är just nu med i ett botnet” (kräver aktiv tjänst)
109
Q

Vad är false positive?

A

falsklarm= larm för något som inte skulle larmas

  • finns även: false negative, true positive, true negative
110
Q

Vad är en Honeypot?

A
  • fälla för att locka till sig attackerare
  • exempel “cowrie” (ssh-server på port 22)
  • bonus: vi använde JoeSandbox för att köra maleware/virus och se vad den innehåller
111
Q

Vilka parametrar måste konfigureras på interfacet på en Cisco ASA?

A
  • ip adress
  • security level
  • nameif
112
Q

Vilket protokoll använde vi för att koppla ihop två brandväggar genom en okrypterad tunnel?

A

GRE i PFSense

113
Q

Vilka ip-adressområden är privata?

A
  1. 0.0.0 - 10.255.255.255
  2. 16.0.0 - 172.31.255.255
  3. 168.0.0 - 192.168.255.255