Nätverkssäkerhet kunskap

Question 1

Vad står CIA-triaden för?

Answer 1

Confidentiality: ska inte komma till allmänt kännedom (t.ex. kryptering)
Integrity: info ska vara oförändrat (t.ex. hashar, signering)
Availability: kommer åt info när det behövs (t.ex. backup)

Question 2

Vad menas med Security trade-off?

Answer 2

Triangel med tre hörn: Security, Functionality, Usability

Ökad säkerhet leder oftast till sämre funktionalitet eller användbarhet eller båda.

Question 3

Vad har lök med säkerhet att göra?

Answer 3

Layered defense: att ha flera skal av säkerhetslösningar så att det fortfarande finns skydd om en eller några brister

Question 4

Vad är attackvektorer?

Answer 4

Sätt för en angripare att ta sig in i nätverket

finns många olika hot, t.ex. unpatched software, malware, inadequate security policies, hactivism, botnets…

Question 5

Vilka typer av säkerhetskontroller finns det?

Answer 5

• Directive (anvisningar): lagar, regler, rutiner, utbildning, skyltar
• Preventive (förhindrar): lås på dörren, staket, utbildning, inloggningar, kryptering, brandväggar
• Detective (upptäcker): rörelsedetektorer, sensorer, loggar, kameraövervakning, IPS/IDS
• Deterrent (avskräckande): fasadbelysning, anställningsklausuler, “varning för hunden”
• Corrective (korrigerande): disciplinära åtgärder, uppdatering av brandväggsregler
• Recovery (återställande): disaster recovery, backuper
• Compensating (en funktion ersätter en annan som inte kan implementeras): adm. rutiner ist.f. tekniska lösningar, separation of duties

delas upp i:
Physical: dörrar, väggar, lås, hundar
Administrative: policies, lagar, anställningskontrakt
Technical: Kameraövervakning, IPS, brandväggar

Question 6

Vad kallas det när alla ska ha tillgång till precis det de behöver och inte mer?

Answer 6

Principle of least privilege

Question 7

vad är kryptografi?

Answer 7

kommunikation utformad att undanhålla information från oinvigda

Question 8

Vilka standardbegrepp används inom kryptografi?

Answer 8

P: plain-text
C: cipher-text
K: key
E: encryption
D: decryption

Question 9

Vad menas med C>=P?

Answer 9

ciphertexten kommer alltid att vara större än eller lika stort som plaintext (den kan inte bli mindre)

Question 10

När ska data skyddas?

Answer 10

at rest
in motion / in transit
in use

Question 11

Vad är en algoritm?

Answer 11

programkod: instruktioner för att lösa en specifik uppgift

Question 12

Vad är encoding?

Answer 12

inte kryptering!
teckensekvenser i specifikt format för effektiv lagring eller överföring
t.ex. Base64 (binary to text)

Question 13

Vad ger bättre skydd när det gäller algoritmer?

Answer 13

• bra val av kryptoalgoritm, t.ex. AES eller (tidigare) DES

- bra nyckel (lång nyckel)

Question 14

Vad innebär Kerkhoffs princip?

Answer 14

• En krypteringssystem ska vara säkert även om allting om systemet, förutom nyckeln, är känd.
• dvs. säkerheten ligger i nyckeln/nycklarna

Question 15

Vilka problem stötar vi på när det gäller nyckelhantering?

Answer 15

• key generation: hur skapar vi nycklar?
• key verification: hur kontrollerar vi att nycklarna är rätt?
• key exchange: hur byter vi ut nycklar?
• key storage: hur lagrar vi nycklar?
• key lifetime: hur länge gäller nycklar?

Question 16

Förklara XOR

Answer 16

binär logisk operation:
- smälter ihop två binärströmmer till en tredje
- arbetar bitvis
0 xor 0 = 0
0 xor 1 = 1
1 xor 0 = 1
1 xor 1 = 0

Question 17

Vilka två sorters krypto finns det med tanke på hur de arbetar?

Answer 17

Stream-based: algoritm som arbetar bitvis, ofta med xor och en nyckelström
Block-based: algoritm som arbetar med block av data, t.ex. 64, 128, 256 bitar (kräver padding om sista blocket inte går jämnt upp)

Question 18

Vilka två krypton finns det (med klassisk tanke)?

Answer 18

Transposition: information ska läsas från specifika positioner
Substitution: ett tecken byts ut mot ett annat

Question 19

Vad heter kryptot som skrivs på fler rader och läses sick-sack?
Vilken typ av krypto är det?

Answer 19

Rail fence (zigzag cipher)
Det är en transpositions-krypto.

Question 20

Vad heter kryptot där bokstäver byts i sekvens?

Answer 20

Ceasar-krypto eller rotationschiffer, t.ex. ROT13 där bokstäverna roteras ett halvt varv (13=26/2)

Question 21

Med vilken metod kan jag knäcka substitutionschiffer?

Answer 21

Frekvensanalys: man möter hur ofta tecken förekommer och jämför med text från det språket

Question 22

Vad heter chiffret där man förskjuter substitutionen?

Answer 22

Vigenère-chiffer (använder Vigenèr-table)

Question 23

Vad kallas det enda oknäckbara kryptot?

Answer 23

One time pad:

• samma nyckel för båda sidor
• nyckeln används bara en gång
• nyckeln längre än klartextmeddelandet

Question 24

Vilka tre typer av krypto har vi pratat om?

Answer 24

Symmetrisk kryptering: samma nycklar
Asymmetrisk kryptering: olika nycklar
(Hashning): inga nycklar (kan inte dekrypteras)

Question 25

Ge två exempel på symmetrisk kryptering (ett dåligt och ett bra)!

Answer 25

DES, 3DES = dåligt!
- 64 bitars block
- 56 bitars nyckel
AES = bra! (kallas även Rijndael)
- 128 bitars block
- 128, 192, 256 bitars nyckel

Question 26

Vilka tre implementationer av AES finns det?

Answer 26

ECB: Electronic Code Book: Varje block krypteras oberoende med samma nyckel (sämst)
CTR: Counter mode: Varje krypteringsblock injiceras med en räknare
CBC: Cipher Block Chaining: Varje krypteringsblock förse nästa block med ett frö

Question 27

Vilket är den vanligaste asymmetriska krypterinsmetoden?

Answer 27

RSA (finns även DSA och ECC, fast de behöver vi inte kunna)

• rekommenderat minsta nyckellängd: 1024 bitar
• privata nyckeln innehåller även den publika
• base64-encodat

Question 28

Vilka nycklar används för kryptering respektive signering

Answer 28

avsändarens privata nyckel = signering
avsändarens publika nyckel = validera signaturen
mottagarens publika nyckel = kryptering
mottagarens privata nyckel = dekryptering

Question 29

Vad är för och nackdelar med symmetrisk resp. asymmetrisk kryptering?

Answer 29

Symmetrisk (används för stora datamängder):
+ mycket snabbare
- osäkrare
- hemlig nyckel måste bytas ut (PSK)

Asymmetrisk (används för nyckelutbyte av PSK, autentisering, signering/validering):
+ säkrare
+ inget utbyte av hemliga nycklar
- mycket långsammare

Question 30

Vilken funktion används för Data integrity?

Answer 30

Hashning:

• går ej att reversera (envägsfunktion)
• se slumpmässig ut
• man kan kontrollera att data är oförändrat
• används för lagring av lösenord
• data i valfri längd ger hash i exakt längd
• inga kända metoder att skapa kollisioner

Question 31

Vad kallas det när en liten förändring leder till en helt annan hash?

Answer 31

Avalanche effekt

Question 32

Vad heter det när hashning av olika input ger samma hash?

Answer 32

Kollisoner

Question 33

Ge exempel på vanliga hash-algoritmer.

Answer 33

MD5: 128 bitar (skapat 1991; kollisioner 2004)
SHA1: 160 bitar (skapat av NSA 1993; osäker fr.o.m. 2005)
SHA2: 224-512 bitar (skapat av NSA 2001; osäker snart)
SHA3: 224-512 bitar (förbättring av SHA2)

Question 34

Hur många olika klartextmeddelanden finns det som kan ge md5-hashen b18186eb6379fcafb565e15e3c911ea8?

Answer 34

oändligt!

Question 35

Hur många olika md5-hashar kan man få av “jimmy”?

Answer 35

1

Question 36

Hur många lösenord finns det som fungerar att logga in med om lösenordet är lagrat som md5-hashen 7576f3a00f6de47b0c72c5baf2d505b0?

Answer 36

Ett oändligt antal!

Question 37

Vad är en kollision?

Answer 37

Man kan generera två klartextmeddelanden som ger samma hash.

Question 38

Vad kallas det när en nyckel tillsätts till datat för att sedan hashas?

Answer 38

HMAC: Hash Message Authentication Code

• både avsändare och mottagare har samma nyckel
• om det bara är de som har nyckeln är det bara de som kan kontrollera hashen
• symmetrisk!

Question 39

Vad används av avsändaren för att kontrollera att mottagaren har rätt nyckel?

Answer 39

Challenge Response:

• avsändaren skickar en påhittat mängd klartextdata till mottagaren
• mottagaren räknar ut en hash och krypterar med nyckeln och skickar detta till avsändaren
• avsändaren räknar ut sin egen nycklade hash av originaldatat och jämför med det hen fick av mottagaren
• om det är samma har mottagaren rätt nyckel

Question 40

Hur fungerar signering?

Answer 40

som HMAC, fast med asymmetrisk kryptering

Question 41

Vilka 5 delar ingår i Secure Communications (se modul7)?

Answer 41

1. Message confidentiality
2. Confidential distribution of encryption keys
3. Message integrity
4. Non repudiation of origin
5. Non repudiation of delivery

Question 42

Vad är Diffie-Hellman?

Answer 42

• asymmetrisk algoritm för att förhandla fram en gemensam nyckel över ett osäkert medium
• INTE en krypteringsalgoritm

Question 43

Vad vet du om http resp. https?

Answer 43

http:

• Client-Server (Request: C to S; Response: S to C)
• Stateless
• förutsätter pålitlig transportmetod (TCP)

https:
- samma protokoll fast inuti en krypterad förbindelse (SSL/TLS)

Question 44

Vilka är de två vanligaste http request-metoder?

Answer 44

GET: “ge mig den här URL:en, tack”
POST: för att skicka data till webservern

Question 45

Vad är ett certifikat?

Answer 45

• Innehavarens identitet. “Nisse”. https://abc.se. Pelles laptop. Webservern Y.
• Innehavarens publika nyckel.
• En relation till någon som alla litar på.

Question 46

Vad är CA?

Answer 46

Certificate Authority:
Finns Root CA, evtl. intermediate CAs (auktoriserade av Root CA) och Non-CA End-Entities (slutanvändare, datorer, domäner)

Question 47

Vad kallas det när vi litar på nåns certifikat för att det är utfärdat av en CA vi litar på?

Answer 47

Chain of Trust

Question 48

Vad är CSR?

Answer 48

Certificate Signing Request

• -> Innehavaren: - vill ha ett certifikat; - skapar ett nyckelpar; m- sätter ihop ett förslag till ett certifikat vilket innehåller den egna publika nyckeln; - skickar detta till utfärdaren (CA); - bevisar sin identitet (mail, telefon, adress)
• -> Utfärdaren: kontrollerar Innehavarens identitet; - signerar certifikatet med sin privata nyckel

Question 49

Vad kallas spärrlistorna för certifikat och protokollet för att kolla statusen av certifikat?

Answer 49

CRL: Certificate Revocation List
OCSP: Online Certificate Status Protocol

Question 50

Vad är PKI?

Answer 50

Publik Key Infrastructure

• -> Sättet att hantera digitala certifikat och publika krypteringsnycklar
• -> Säkerställa att publika nycklar sammankopplas med identiteter (personer, organisationer)
• SSL/TLS; - S/MIME; - VPN; - 802.1x

Question 51

Vad är SSL respektive TLS?

Answer 51

• kryptografiska protokoll
• SSL (gammalt): Secure Sockets Layer
• TLS (v.1.2 best practice idag): Transport Layer Security
• -> används för autentisering av webservern
• -> TLS Handshake: parterna kommer överens om hur datat ska skyddas

Question 52

Hur ser en TLS Handshake ut?

Answer 52

Mellan SSL Client och SSL Server:
> Client hello: Samtliga cipher suites som klienten supportar
< Server hello: Vald cipher suite (bör vara den högsta)
- Klienten kontrollerar certifikatet
> Client key exchange: skickar gemensamma nyckel och klientcertifikatet
- Servern verifierar klientcertifikatet (om det behövs)
> Client finished
< Server finished
<> Messages exchange (krypterad med gemensam nyckel)

Question 53

Vad är PFS?

Answer 53

Perfect Forward Secrecy:

- Encryption system that changes the keys used to encrypt and decrypt information frequently and automatically.

Question 54

Vilka två MitM-metoder kan en hackare använda för att kringgå SSL?

Answer 54

SSL strip:
- anslut till original-servern med https, men till klienten med http (inget certifikat behövs)
SSL split:
- anslut till original-servern med https, skapa ett nytt (falskt) certifikat och ansluta till klienten med https

Resultatet: hackern kan se all trafik okrypterad mellan klienten och original-servern
Funkar bara eftersom SSL är en envägscertifiering (bara servern behöver autentisera sig)

Question 55

Vad är HSTS?

Answer 55

HTTP Strict Transport Security:

- Om man har anslutit till en site en gång, kräver den i fortsättningen alltid https.

Question 56

Vad är Certificate Pinning?

Answer 56

• restricts which certificates are considered valid for a particular website
• Instead of allowing any trusted certificate to be used, operators “pin” the certificate authority (CA) issuer(s), public keys or even end-entity certificates of their choice.
• Clients connecting to that server will treat all other certificates as invalid and refuse to make an HTTPS connection.

Question 57

Var kan jag kontrollera en websidas SSL info?

Answer 57

SSL Labs

Question 58

Vad är fördelen med att attackera så långt ner som möjligt i OSI-modellen?

Answer 58

• attack mot ett visst lager möjliggör kontroll över ovanliggande lager
• dvs. ju längre ner i OSI -modellen en attack sker, desto större är “smörgåsbordet”

Question 59

Nämn några möjliga attacker mot switchar.

Answer 59

• CAM overflow (genom MAC flooding)
• STP-attacker
• CDP “information disclosure”
• Vlan hopping

Question 60

Hur kan jag skyddar mig mot CAM flooding?

Answer 60

• enable Port Security (switchport port-security)
• specificera max antal MAC-adresser på interfacet
• ange kända MAC-adresser (specifika eller sticky)

Question 61

Vad är dåligt med DTP och hur kan jag skydda mig?

Answer 61

Dynamic Trunking Protocol
Problem: Cisco tillåter som standard vem som helst att förhandla upp en trunk, då kan man komma åt alla VLAN i nätverket.
Skydd: switchport mode access

Question 62

Hur förhindrar jag STP-attacker?

Answer 62

Spanning Tree har normalt Core, Distribution och Access

• lägg root guard vid utgående portar från Core (till lagret under)
• bpdu guard vid accessportarna (utgående från accesslagret)

Question 63

Vad står AAA för?

Answer 63

Authentication
Authorization
Accounting
(ibland lägger man till Availability som fjärde A)

Question 64

Vilka två autentiseringslägen finns det?

Answer 64

Local AAA Authentication

Server-Based AAA Authentication

Question 65

Vilka två AAA Authentication servrar har vi pratat om?

Answer 65

Radius
- öppen standard (RFC)
- udp
- password encrypted
Tacacs+
- Cisco-propietärt
- tcp
- entire packet encrypted

Question 66

Vad heter standarden för switchport-baserad accesskontroll?

Answer 66

802. 1x
     - det finns tre roller: Supplicant, Authenticator, Authentication server (Radius)
     - innan porten är autentiserad tillåts endast EAPOL, vilket är 802.1x autentiseringsprotokoll
     - EAP-TLS används för att kommunicera mellan S och AS
     - PEAP använder bara servercertifikat och inte klientcertifikat (användarnamn&lösenord)

Question 67

Vilka Wifi-standarder ska vi kunna?

Answer 67

802. 11 -max 2Mbps, 2,4 GHz
803. 11b -max 11Mbps, 2,4 GHz
804. 11g -max 54Mbps, 2,4 GHz
805. 11a -max 54Mbps, 5GHz

Question 68

Vad är en Accesspunkt?

Answer 68

• Brygga: 2-portars “switch”

- en ethernet-port och en radio

Question 69

Vilka tre antenntyper har vi pratat om?

Answer 69

• Omni-directional
• Directional
• Yagi

Question 70

Vad är förkortningen av wifi-nätverksnamnet?

Answer 70

SSID: Service Set IDentifier

- kallas även ESSID (Extended …)

Question 71

Vilka hot finns det mot wifi?

Answer 71

• ej legitima klienter
• ej legitima nät
• MitM-attacker
• DoS-attacker

Question 72

Vilka 2,4 GHz-wifi-kanaler bör man använda och varför?

Answer 72

1, 7, 13; eftersom de annars överlappar

Question 73

Vad är fördelen när det kommer till kanaler i 5 GHz-wifi-nätet?

Answer 73

• det är många fler tillgängliga

- de överlappar inte

Question 74

Varför är WEP dåligt!

Answer 74

• använder RC4-ström-chiffer
• knäcks lätt genom att samla in tillräckligt många datapaket
• lösenordskomplexitet spelar ingen roll

Question 75

Hur knäckar man WPA/WPA2?

Answer 75

• spela in 4-vägs-handskakning när en klient loggar in (WPA handshake)
• offline: brutforce wordlist attack mot den inspelade handskakningen

Question 76

Vad är en Captive Portal?

Answer 76

Web page that the user of a public-access network is obliged to view and interact with before access is granted.

Question 77

Hur gömmer jag ett wifi-nät?

Answer 77

non-broadcast SSID: visas inte som standard, men går lätt att upptäcka t.ex. med airmon-ng

Question 78

Vad kan du om WPA/WPA2?

Answer 78

• finns Personal mode (PSK) och Enterprise mode (serverbaserad)
• WPA: - förbättring av WEP; - RC4 strömschiffer; - 128 bitars nyckel
• WPA2: - AES-kryptering; säkrare än WPA

Question 79

Vilket protokoll använder Dynamic Port Forwarding?

Answer 79

SOCKS5 (för enkapsulering)

Question 80

Varför är det viktigt med DNSSec?

Answer 80

• skyddar DNS-infrastrukturen
• DNS är sårbar för MitM-attacker
• DNSSec ska försvåra ej legitim förändring av DNS-data

Question 81

Vilka nycklar finns det i DNSSec och hur används de?

Answer 81

ZSK:
- används för att signera “vanliga” resource records i zonen, t.ex. A, CNAME, MX, osv. men inte DNSKEY!
- c:a 1-2 månaders giltighetstid
KSK:
- används för att signera ZSK, dvs. DNSKEY records
- c:a 1-2 års giltighetstid (kräver uppladdning av ny DS-SET
DS-SET:
- hash av zonens publika KSK som placeras i föräldrazonen

OBS: RRSIG signeras aldrig (det är signaturen!)

Question 82

Vad kalles nyckelutbytet i DNSSec?

Answer 82

Key-rollover

Question 83

Hur ser DNSSec:s Chain of Trust ut?

Answer 83

För varje signerad domän:
• Lagras de publika nycklarna (ZSK och KSK) i zonfilen.
• Lagras en signatur för varje RRSET i zonfilen.
• Skapas en hash av den publika KSK som lagras hos föräldradomänen. (DS-SET)

Question 84

Vem kör DNSSec?

Answer 84

• INTE klienten!
• klienten ställer frågor till öppna lokala resolvrar
• den lokal resolvern kan konfigureras att validera DNSSec-data och validerar isåfall datat rekursivt från root

Question 85

Vad är en brandvägg?

Answer 85

• router som filtrerar trafik

Question 86

Vilka två typer av brandväggar finns det och vad är skillnaden?

Answer 86

1st gen firewall: stateless
- både ingående och utgående trafik konfigureras separat

2nd gen firewall: stateful

• tillåter trafik i riktningen som sessionen initierades. Returtrafiken tillåts automatiskt.
• använder sig av fw state table

3rd gen firewall: statefull med inspektion på L7

• applikations-brandvägg
• känner igen http, FTP, SMTP osv.
• “tillåt Spotify”, “blockera Facebook chat”

Question 87

Vilka två typer av VPN har vi pratat om?

Answer 87

Klient-VPN:
- klient kopplar upp sig mot servern
Site-to-Site VPN (Lan2Lan):
- sammankopplar ett eller flera subnät på respektive site via "peers"
- använder IPSec

Question 88

Vilket är den vanligaste Site2Site tunnel?

Answer 88

IPSec
- använder flera protokoll: IKE (ISAKMP) för förhandling av tunnelparametrar, autentisering; ESP (AH) för enkapsulering av trafik

Question 89

Varför är GRE ej lämplig för VPN?

Answer 89

okrypterad & oautentiserat

Question 90

Vad kan du om OpenVPN?

Answer 90

• OpenSource
• openSSL för kryptering
• transporteras i regel över UDP
• både protokoll och mjukvara

Question 91

Vad heter Ciscos VPN-tjänst?

Answer 91

AnyConnect

behöver Cisco brandvägg i andra änden

Question 92

Vad är IPSec?

Answer 92

• VPN-lösning som används av de flesta företag
• flera olika protokoll:
• –> IKE (ISAKMP) för förhandling av tunnel-parametrar
• –> ESP (AH) för enkapsulering av trafik

Question 93

Vad kallas ett VPN som är open source fast snabbare än OpenVPN?

Answer 93

WireGuard

Question 94

Vad utgör TLS-VPN?

Answer 94

• VPN-klient som tunnlar trafik över en TLS-tunnel

- kallas även WebVPN eller SSL-VPN

Question 95

Vad kallas servern på andra sidan VPN-tunneln?

Answer 95

VPN peer

Question 96

Vad är skillnaden mellan AH och ESP? (IPSec)

Answer 96

AH: Authentication Header

• har ingen confidentiality
• krypterar inte trafiken!
• dåligt!

ESP: Encapsulationg Security Payload
- använd bara den

Question 97

Vad används IKE-protokollet till? (IPSec)

Answer 97

• används för att etablera en VPN-tunnel

- för att förhandla fram parametrarna, efter det används ESP för själva trafiken

Question 98

Förklara IPSec Phase 1 & Phase 2 Key Negotiation.

Answer 98

Initiator (I) & Responder (R)

Phase 1: Negotiating ISAKMP (eller IKE) policy to create tunnel

1: Negotiate ISAKMP policy: I->R, R->I
2: DH key exchange: I->R, R->I
3: Verify the peer identity: I->R, R->I

Phase 2: Negotiate IPsec policy for sending secure traffic across the tunnel
Negotiate IPsec Policy: I->R, R->I
ESP (eller AH) för enkapsulering av trafik

Question 99

Vilka begrepp inom DDoS ska vi kunna?

Answer 99

reflekterad: göra attacken via tredjepart (reflektorer, t.ex. webservrar)
distribuerad: utföra attacken via flera (många utövrare & reflektorer )
amplifierad: använda ett protokoll, där svaret är mycket större än förfrågan

Question 100

Vilka skydd finns det mot DDoS?

Answer 100

• ISP: DDoS-skydd
• patchar servrar så att de inte bli reflektorer
• antivirus för datorer som är med i botnet
• ISP: source filtering

Question 101

Vad kan du om SMTP?

Answer 101

• Simple Mail Transfer Protocol
• inget spoofing-skydd, ingen autentisering
• klartext, tcp (port 25) (syn, synack, ack), telnet
• baseras på MX-record i DNS

Question 102

Vad är Open Relay?

Answer 102

SMTP-server som även ta emot mail till andra domäner (och vidarebefordra dem); dåligt!

Question 103

Vad kan Antispam triggas på?

Answer 103

• nyckelord
• beteende av mejlserver
• IP-reputation
• länkar
• SPF hardfail
• SPF softfail
• DKIM signatur

Question 104

Vad är Greylisting?

Answer 104

princip: legitima E-Mail skickas med upprepade försök
- första mejlet avvisas och avsändaradressen hamnar på en lista
- om mejlet skickas igen tillåts det
- infon som sparas kallas “triplet”: avsändarens mejlserver, avsändarens mejladress och mottagarens mejladress

Question 105

Vad innebär SPF?

Answer 105

Sender Policy Framework:

• använder DNS, TXT-records
• DNS-record i zonen innehåller en policy för vilka avsändar-IP-adresser som får skicka mejl ifrån den
• Mottagarens SMTP-server KAN (frivilligt) kontrollera SPF och kolla om IP-adresserna matchar

Question 106

Vad är DKIM?

Answer 106

Domain Keys Identified Mail:

• mailserver för utgånede mail skapar nyckelpar
• publika nyckeln sparas i DNS
• utgående mejl signeras med privat nyckel
• OBS: detta är inte kryptering!

Question 107

Vad är IDS/IPS?

Answer 107

Intrusion Detection System / Intrusion Prevention System
IDS:
- detekterar och larmar om intrångsförsök & anomalier
- sätts oftast in-line (bredvid)
IPS:
- detektera, larma och förhindra intrångsförsök & anomalier
- on-line (på vägen)

Finns nätverksbaserad (NIPS), som en switch och hostbaserad (HIPS), som mjukvara i datorn

Question 108

Hur hittar IDS/IPS intrångsförsök/anomalier?

Answer 108

• signaturbaserad: beskriver ett beteende (kräver en aktiv tjänst, som ett antivirus)
• anomalibaserad: “såhär brukar paketen inte se ut…”
• ryktesbaserad: “scr IP 1.1.1.1 är just nu med i ett botnet” (kräver aktiv tjänst)

Question 109

Vad är false positive?

Answer 109

falsklarm= larm för något som inte skulle larmas

• finns även: false negative, true positive, true negative

Question 110

Vad är en Honeypot?

Answer 110

• fälla för att locka till sig attackerare
• exempel “cowrie” (ssh-server på port 22)
• bonus: vi använde JoeSandbox för att köra maleware/virus och se vad den innehåller

Question 111

Vilka parametrar måste konfigureras på interfacet på en Cisco ASA?

Answer 111

• ip adress
• security level
• nameif

Question 112

Vilket protokoll använde vi för att koppla ihop två brandväggar genom en okrypterad tunnel?

Answer 112

GRE i PFSense

Question 113

Vilka ip-adressområden är privata?

Answer 113

10. 0.0.0 - 10.255.255.255
11. 16.0.0 - 172.31.255.255
12. 168.0.0 - 192.168.255.255