Sec-06-Network Attacks and Defenses Flashcards
Was sind die drei Grundziele der Netzwerksicherheit? und Warum ist Netzwerksicherheit heutzutage wichtiger als früher?
Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Weil immer mehr Geräte mit dem Internet verbunden sind, darunter IoT-Geräte, Smartphones und Autos.
Was ist der Unterschied zwischen einem isolierten System und einem Netzwerksystem in Bezug auf Sicherheit?
Ein isoliertes System benötigt physischen Zugang, während ein Netzwerksystem von außen angegriffen werden kann.
Welche zwei Schichtenmodelle gibt es für Netzwerke? Was sind die vier Schichten des TCP/IP-Modells?
Das ISO/OSI-Modell mit 7 Schichten(Physical ,Data Link, Network, Transport, Session, Presentation, Application) und das TCP/IP-Modell mit 4 Schichten:
Link Layer (Physikalische Verbindung und MAC-Adressen)
Internet Layer (IP-Adressen und Routing)
Transport Layer (TCP/UDP, Ports)
Application Layer (Protokolle wie HTTP, FTP, SMTP)
Layers of Communication:
Communication organized in independent layers.
Verkapselung von Konzepten, z. B. Adressierung und Transport.
-> Untere Schichten sind transparent für höhere Schichten
Warum ist das TCP/IP-Modell praktischer als das OSI-Modell?
Weil es in der Praxis entwickelt wurde und heute der Standard im Internet ist.
Wie funktioniert die Datenübertragung im Internet?
Daten werden in Pakete aufgeteilt, durch verschiedene Router geleitet und am Ziel wieder zusammengesetzt.
(The TCP/IP Model) Grundlage des Internets und seiner Protokolle:
Link Layer: Interfacing (Schnittstellen zu) mit und Steuerung von physischen Geräten.
Beispiele: PPP, ARP
Internet Layer: Adressierung und Übertragung von Daten
Beispiele: IP, ICMP
Transport Layer: Lieferung und Multiplexing von Daten an Netzanwendungen
Beispiele: TCP, UDP- Ports -wenn die Webseiten aufgeruft werden
Application Layer: Schnittstellen (Interfacing) zu Netzwerkanwendungen
Beispiele: HTTP, FTP -wenn die Webseiten aufgeruft werden
Was ist der Unterschied zwischen TCP und UDP?
TCP (Transmission Control Protocol) ist zuverlässig und gewährleistet eine fehlerfreie Datenübertragung.
UDP (User Datagram Protocol) ist schneller, aber weniger zuverlässig (z. B. für Video-Streaming).
Netzangriffe wirken auf…………………. aus.
Vertraulichkeit, Integrität und Verfügbarkeit.
Welche drei Hauptarten von Netzwerkangriffen gibt es? (oldschool)
Spoofing (Fälschung von Netzwerkdaten)
-> verletzt Vertraulichkeit, Integrität.
*Hijacking (Übernahme von Sitzungen oder Verbindungen)
*Flooding (Überlastung eines Systems mit Anfragen) -> verletzt Verfügbarkeit mit vielen Pakete
Welche drei Beispiele von Netzwerkangriffen
können wir anschauen ? in welchen Schichten treten diese Angriffe auf?
-Netzwerk-Sniffing (alle Schichten)-Abhören
-ARP-Spoofing (Sicherungsschicht)-Verfälschung
-Smurf-Angriffe (Internet-Schicht)-Flooding
Was bedeutet Netzwerksniffing? Warum kann Netzwerksniffing gefährlich sein?
Network sniffing = (eavesdropping of network packets.)
*Das passive Abhören von Netzwerkpaketen, um sensible Informationen zu sammeln.
*Weil Angreifer unverschlüsselte Daten wie Benutzernamen und Passwörter auslesen können, kann Netzwerksniffing gefährlich sein, damit Angreifer die Vertraulichkeit verletzt.
mit welchem Tool kann man Sniffing analysieren ?
-Wireshark.
Was ist ARP (Address Resolution Protocol) ? Was tut ARP ?
- Standardprotokoll der Sicherungsschicht (Data Link Layer) der Internet- Protokollsuite
- Abbildung von logischen Adressen (IP) auf Geräte (MAC)
-Abbildung IP → MAC im ARP-Cache der Hosts oder des Switches gespeichert.
Computer senden Datenpakete über MAC-Adressen in einem lokalen Netzwerk (LAN), aber kennen normalerweise nur IP-Adressen. ARP hilft, die richtige MAC-Adresse für eine gegebene IP-Adresse zu finden.
Wie funktioniert ARP? Was ist der ARP-Cache?
1) Ein Computer sendet eine ARP-Request-Nachricht: „Wer hat IP-Adresse X?“.
2) Der Computer mit der IP-Adresse X antwortet mit einer ARP-Reply-Nachricht: „IP X gehört zu MAC Y“.
3) Die MAC-Adresse wird im ARP-Cache gespeichert, damit sie später nicht erneut nachgefragt werden muss.
*ARP Cache ist eine temporäre Tabelle, in der bereits aufgelöste IP-zu-MAC-Adressen gespeichert sind, um Netzwerkverkehr zu optimieren.
Was ist ARP-Spoofing?
ARP spoofing = (ARP replies with forged IP addresses)
Ein Angriff, bei dem ein Angreifer falsche ARP-Antworten sendet, um den Datenverkehr umzuleiten. (z. B. für Man-in-the-Middle-Angriffe).
ARP Spoofing Man-in-the-Middle (MITM) Angriff – Wie funktioniert er?
Durch Ausnutzung der fehlenden Authentifizierung im ARP-Protokoll werden gefälschte ARP-Nachrichten über das lokale Netzwerk an Endsysteme gesendet.
Angriffsschritte:
Angreifer sendet gefälschte ARP-Nachrichten
Er teilt dem Opfer mit, dass seine MAC-Adresse die des Routers ist.
Er teilt dem Router mit, dass seine MAC-Adresse die des Opfers ist.
Opfer und Router speichern die falschen MAC-Adressen im ARP-Cache
Das Opfer glaubt, dass der Angreifer der Router ist.
Der Router glaubt, dass der Angreifer das Opfer ist.
Angreifer sitzt nun zwischen beiden Geräten und leitet die Pakete weiter.(Man in the middle attack)
Er kann die Kommunikation mitlesen (Sniffing).
Er kann die Daten manipulieren (z. B. Passwörter ändern).
Beispiel eines ARP-Spoofing MITM-Angriffs:
Ein Benutzer (Opfer) möchte sich bei seiner Bank (Bank-Server) anmelden.
Der Angreifer führt einen ARP-Spoofing-Angriff durch und schaltet sich zwischen das Opfer und den Router.
Ablauf?
Was kann der Angreifer tun?
Opfer sendet Login-Daten an die Bank.
Angreifer fängt die Daten ab, bevor sie an die Bank gesendet werden.
Angreifer kann die Login-Daten speichern oder sogar verändern.
Angreifer leitet die Anfrage an die Bank weiter, damit das Opfer nichts merkt.
Was kann der Angreifer tun?
*Passwörter und Login-Daten abfangen (Bank, E-Mail, soziale Netzwerke).
*Daten manipulieren (z. B. gefälschte Überweisungen durchführen).
Den gesamten Netzwerkverkehr mitlesen (Sniffing mit Wireshark).
*Sitzungen übernehmen (Session Hijacking).
Was ist ein Smurf Angriff ? Wie funktioniert ?
Smurf attack = flooding Angriff (flooding with spoofed broadcast ping messages) = Überflutung mit gefälschten Broadcast-Ping-Nachrichten.
Beim Smurf-Angriff handelt es sich um einen Denial-of-Service-Angriff (DoS).
**Der Angreifer verfälscht die Quelladresse von ICMP-Echo-Anfragen (Pings), um die Antworten durch IP-Broadcasting zu vervielfachen.
Was verursacht ein Smurf-Angriff in Bezug auf die Netzwerkbandbreite?
Ein Smurf-Angriff verursacht eine Überlastung (Flooding) der Netzwerkbandbreite, da durch die gefälschten ICMP-Echo-Anfragen viele Antworten an das Ziel gesendet werden, was die Verfügbarkeit des Netzwerks erheblich einschränkt und zu einem Denial-of-Service führt.
-> Dementsprechend sind Broadcast-Adressen nicht mehr von außen sichtbar. (Verfügbarkeit wird verletzt.)
Amplification attacks ?
- Denial-of-Service-Angriff, der auf der Amplifikation des Datenverkehrs beruht.
- Asymmetrie im eingehenden und ausgehenden Verkehrsaufkommen.
- Klassisches Beispiel: Smurf- und Fraggle-Angriffe.
Moderne Amplifikationsangriffe ?
- NTP: Gefälschte Anfragen für die letzten 600 Hosts, die eine Verbindung mit dem Dienst herstellen.
- DNS: Gefälschte Anfragen für den Typ „ANY“ einer DNS-Zone.
- Siehe Rossows Papier „Amplification Hell“ (NDSS 2014).
Wie kann man die grundlegende (engl. preactive) Sicherheitskonzepten anwenden?
-Kryptographie: Verschlüsselung und Überprüfung von Daten.
- Authentifizierung: (gegenseitige) Authentifizierung von Parteien.
-Access Control (Zugriffskontrolle): Beschränkungen der Zugriffsrechte und Kontrolle der Kommunikation.
Was sind die Reaktive Sicherheitskonzepte ?
-Schwachstellenbewertung „Auffinden von Schwachstellen (vulnerabilities) “
- Intrusion Detection „Auffinden von Angriffen“.
- Computerforensik „Auffinden von Angreifern“.
