Netzwerksicherheit Flashcards
TCP
- verbindungsorientiert
- World Wide Web (HTTP)
- E-Mail (SMTP TCP)
- File Transfer Protocol (FTP)
- Secure Shell (SSH)
UDP
- verbindungslos (egal, wenn einzelne Pakete verloren gehen)
- Domain Name System
- Multimedia Streaming
- Tunneling (VPNs)
Wiederholung: OSI Referenzmodell (5)
1) Application Layer
2) Session Layer
3) Transport Layer
4) Network Layer
5) Physical Layer
Abhörbarkeit bei Hubs
Hubs bzw. Repeater verschmelzen zwei oder mehr Kollisionsdomänen zu einer
Kollisionsdomäne
Auf Physical Layer senden zwei Stationen gleichzeitig
Abhörbarkeit bei Switches
- trennen angeschlossene Kollisionsdomänen mit Filter-Logik
- Switch unterdrückt Weiterleitung über Switch-Tabelle (an welchem Port welche MAC-Adresse)
- Trennung kann man mit ARP-Manipulation umgehen
Grundprinzip Address-Resolution-Protocols (ARP)
- Ermitteln von physischer MAC-Adresse zu logischer IP-Adresse
- Antworten werden gecacht
- läuft über Broadcast
ARP-Spoofing
- Senden von gefälschten ARP-Paketen, um ARP-Tabellen zu manipulieren
- Angreifer hört mit, leitet abgefangene Nachricht aber trotzdem weiter um unerkannt zu bleiben
- Variante: auf alle Anfragen mit MAC der Angreifer-Maschine antworten (Abhören aller Kollisionsdomänen eines Switches)
Verwundbarkeit IPv4
- kein Schutz von Anonymität, Verfügbarkeit, Authentizität, Vertraulichkeit, Integrität
- Paketinhalt inkl. Header vom Absender frei wählbar
- Absender-IP frei wählbar, da Routing absenderunabhängig
IP-Spoofing (Absendermanipulation)
- Ziel: Ausnutzen von Vertrauensbeziehung zw. Paketfilter und Endpunkt; Verbergen des Absenders
- Grundidee: Fälschen der Absenderadresse
DDos: Distributed Denial of Service
- verteilte Angriffe auf Verfügbarkeit
- z.B. Netzwerkleitungen auslasten
TCP-Verbindungsaufbau: Drei-Wege-Handshake
1) SYN von Client zu Server
2) SYN/ACK von Server zu Client
- -> Server wartet (Verbindung belegt Puffer)
3) ACK von Client zu Server
SYN-Flooding
- Maskieren als nicht existenter Absender verhindert Antworten an Angreifer
- Schritt 3 des Handshakes entfällt -> ständig erneutes Senden von SYN-Paketen
- Verbindungswarteschlange wird erschöpft
- keine hohe Datenübertragungsrate notwendig
Port Scans
- Untersuchen offener Ports und verbundener Dienste
- Port ist offen, wenn Anwendung eingehende Kommunikationsanfragen akzeptiert um Service zu erbringen
- Grundidee: Testpaket an Zielport und je nach Antwort: offen, geschlossen oder gefiltert
TCP-Scan
- Ausspähen verfügbarer Dienste
- Eigenschaften: filterbar, auf Applikationsschicht sichtbar (Log-File)
Half-Open/SYN-Scan
- heimliches Ausspähen verfügbarer Dienste
- Eigenschaften: filterbar, bleibt auf Transportschicht
- RST von Client zu Server
FIN-Scan
- heimliches Ausspähen verfügbarer Dienste
- Eigenschaften: ggf. nicht herausgefiltert, bleibt auf Transportschicht
- FIN von Client zu Server, RST zurück –> inaktiv
OS-Fingerprinting
- aktiv: stimuliere und analysiere Antwortverkehr
- passiv: analysiere gegebenen Verkehr
- charakterisiere Verhalten der relevanten Merkmale
Man-in-the-middle
- kein Netzwerkprotokoll unterhalb der Anwendungsschicht ist geschützt gegen Mitlesen (sniffing, Confidentiality!) und Verändern (Integrity!)
- Angreifer kann Datenstrom beliebig manipulieren, wenn er in Kommunikation ist
- Gegenmaßnahmen müssen auf Anwendungsschicht getroffen werden
Man-in-the-middle: Techniken
- physikalische Angriffe (manuelles Unterbrechen von Netzwerkstrecken und Einfügen einer transparenten Bridge)
- ARP-Spoofing
- Übernahme eines Zwischenknotens
- Manipulation von Routingtabellen
- DNS-Spoofing
DNS-Spoofing
- Angreifer manipuliert DNS Antworten (Opfer wird zu Angreifer geleitet)
- Veränderung der lokalen hosts-Datei
- Unterschieben eines maliziösen DNS-Servers (manipulierte DHCP-Antworten, Router-Schwächen)
- Direktes DNS-Spoofing (gefälschtes Antworten, Sequence-Nummern und Ports müssen erraten werden)
