Sec-06-Network Attacks and Defenses Flashcards
Was sind die drei Grundziele der Netzwerksicherheit? und Warum ist Netzwerksicherheit heutzutage wichtiger als früher?
Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Weil immer mehr Geräte mit dem Internet verbunden sind, darunter IoT-Geräte, Smartphones und Autos.
Was ist der Unterschied zwischen einem isolierten System und einem Netzwerksystem in Bezug auf Sicherheit?
Ein isoliertes System benötigt physischen Zugang, während ein Netzwerksystem von außen angegriffen werden kann.
Welche zwei Schichtenmodelle gibt es für Netzwerke? Was sind die vier Schichten des TCP/IP-Modells?
Das ISO/OSI-Modell mit 7 Schichten(Physical ,Data Link, Network, Transport, Session, Presentation, Application) und das TCP/IP-Modell mit 4 Schichten:
Link Layer (Physikalische Verbindung und MAC-Adressen)
Internet Layer (IP-Adressen und Routing)
Transport Layer (TCP/UDP, Ports)
Application Layer (Protokolle wie HTTP, FTP, SMTP)
Layers of Communication:
Communication organized in independent layers.
Verkapselung von Konzepten, z. B. Adressierung und Transport.
-> Untere Schichten sind transparent für höhere Schichten
Warum ist das TCP/IP-Modell praktischer als das OSI-Modell?
Weil es in der Praxis entwickelt wurde und heute der Standard im Internet ist.
Wie funktioniert die Datenübertragung im Internet?
Daten werden in Pakete aufgeteilt, durch verschiedene Router geleitet und am Ziel wieder zusammengesetzt.
(The TCP/IP Model) Grundlage des Internets und seiner Protokolle:
Link Layer: Interfacing (Schnittstellen zu) mit und Steuerung von physischen Geräten.
Beispiele: PPP, ARP
Internet Layer: Adressierung und Übertragung von Daten
Beispiele: IP, ICMP
Transport Layer: Lieferung und Multiplexing von Daten an Netzanwendungen
Beispiele: TCP, UDP- Ports -wenn die Webseiten aufgeruft werden
Application Layer: Schnittstellen (Interfacing) zu Netzwerkanwendungen
Beispiele: HTTP, FTP -wenn die Webseiten aufgeruft werden
Was ist der Unterschied zwischen TCP und UDP?
TCP (Transmission Control Protocol) ist zuverlässig und gewährleistet eine fehlerfreie Datenübertragung.
UDP (User Datagram Protocol) ist schneller, aber weniger zuverlässig (z. B. für Video-Streaming).
Netzangriffe wirken auf…………………. aus.
Vertraulichkeit, Integrität und Verfügbarkeit.
Welche drei Hauptarten von Netzwerkangriffen gibt es? (oldschool)
Spoofing (Fälschung von Netzwerkdaten)
-> verletzt Vertraulichkeit, Integrität.
*Hijacking (Übernahme von Sitzungen oder Verbindungen)
*Flooding (Überlastung eines Systems mit Anfragen) -> verletzt Verfügbarkeit mit vielen Pakete
Welche drei Beispiele von Netzwerkangriffen
können wir anschauen ? in welchen Schichten treten diese Angriffe auf?
-Netzwerk-Sniffing (alle Schichten)-Abhören
-ARP-Spoofing (Sicherungsschicht)-Verfälschung
-Smurf-Angriffe (Internet-Schicht)-Flooding
Was bedeutet Netzwerksniffing? Warum kann Netzwerksniffing gefährlich sein?
Network sniffing = (eavesdropping of network packets.)
*Das passive Abhören von Netzwerkpaketen, um sensible Informationen zu sammeln.
*Weil Angreifer unverschlüsselte Daten wie Benutzernamen und Passwörter auslesen können, kann Netzwerksniffing gefährlich sein, damit Angreifer die Vertraulichkeit verletzt.
mit welchem Tool kann man Sniffing analysieren ?
-Wireshark.
Was ist ARP (Address Resolution Protocol) ? Was tut ARP ?
- Standardprotokoll der Sicherungsschicht (Data Link Layer) der Internet- Protokollsuite
- Abbildung von logischen Adressen (IP) auf Geräte (MAC)
-Abbildung IP → MAC im ARP-Cache der Hosts oder des Switches gespeichert.
Computer senden Datenpakete über MAC-Adressen in einem lokalen Netzwerk (LAN), aber kennen normalerweise nur IP-Adressen. ARP hilft, die richtige MAC-Adresse für eine gegebene IP-Adresse zu finden.
Wie funktioniert ARP? Was ist der ARP-Cache?
1) Ein Computer sendet eine ARP-Request-Nachricht: „Wer hat IP-Adresse X?“.
2) Der Computer mit der IP-Adresse X antwortet mit einer ARP-Reply-Nachricht: „IP X gehört zu MAC Y“.
3) Die MAC-Adresse wird im ARP-Cache gespeichert, damit sie später nicht erneut nachgefragt werden muss.
*ARP Cache ist eine temporäre Tabelle, in der bereits aufgelöste IP-zu-MAC-Adressen gespeichert sind, um Netzwerkverkehr zu optimieren.
Was ist ARP-Spoofing?
ARP spoofing = (ARP replies with forged IP addresses)
Ein Angriff, bei dem ein Angreifer falsche ARP-Antworten sendet, um den Datenverkehr umzuleiten. (z. B. für Man-in-the-Middle-Angriffe).
ARP Spoofing Man-in-the-Middle (MITM) Angriff – Wie funktioniert er?
Durch Ausnutzung der fehlenden Authentifizierung im ARP-Protokoll werden gefälschte ARP-Nachrichten über das lokale Netzwerk an Endsysteme gesendet.
Angriffsschritte:
Angreifer sendet gefälschte ARP-Nachrichten
Er teilt dem Opfer mit, dass seine MAC-Adresse die des Routers ist.
Er teilt dem Router mit, dass seine MAC-Adresse die des Opfers ist.
Opfer und Router speichern die falschen MAC-Adressen im ARP-Cache
Das Opfer glaubt, dass der Angreifer der Router ist.
Der Router glaubt, dass der Angreifer das Opfer ist.
Angreifer sitzt nun zwischen beiden Geräten und leitet die Pakete weiter.(Man in the middle attack)
Er kann die Kommunikation mitlesen (Sniffing).
Er kann die Daten manipulieren (z. B. Passwörter ändern).
Beispiel eines ARP-Spoofing MITM-Angriffs:
Ein Benutzer (Opfer) möchte sich bei seiner Bank (Bank-Server) anmelden.
Der Angreifer führt einen ARP-Spoofing-Angriff durch und schaltet sich zwischen das Opfer und den Router.
Ablauf?
Was kann der Angreifer tun?
Opfer sendet Login-Daten an die Bank.
Angreifer fängt die Daten ab, bevor sie an die Bank gesendet werden.
Angreifer kann die Login-Daten speichern oder sogar verändern.
Angreifer leitet die Anfrage an die Bank weiter, damit das Opfer nichts merkt.
Was kann der Angreifer tun?
*Passwörter und Login-Daten abfangen (Bank, E-Mail, soziale Netzwerke).
*Daten manipulieren (z. B. gefälschte Überweisungen durchführen).
Den gesamten Netzwerkverkehr mitlesen (Sniffing mit Wireshark).
*Sitzungen übernehmen (Session Hijacking).
Was ist ein Smurf Angriff ? Wie funktioniert ?
Smurf attack = flooding Angriff (flooding with spoofed broadcast ping messages) = Überflutung mit gefälschten Broadcast-Ping-Nachrichten.
Beim Smurf-Angriff handelt es sich um einen Denial-of-Service-Angriff (DoS).
**Der Angreifer verfälscht die Quelladresse von ICMP-Echo-Anfragen (Pings), um die Antworten durch IP-Broadcasting zu vervielfachen.
Was verursacht ein Smurf-Angriff in Bezug auf die Netzwerkbandbreite?
Ein Smurf-Angriff verursacht eine Überlastung (Flooding) der Netzwerkbandbreite, da durch die gefälschten ICMP-Echo-Anfragen viele Antworten an das Ziel gesendet werden, was die Verfügbarkeit des Netzwerks erheblich einschränkt und zu einem Denial-of-Service führt.
-> Dementsprechend sind Broadcast-Adressen nicht mehr von außen sichtbar. (Verfügbarkeit wird verletzt.)
Amplification attacks ?
- Denial-of-Service-Angriff, der auf der Amplifikation des Datenverkehrs beruht.
- Asymmetrie im eingehenden und ausgehenden Verkehrsaufkommen.
- Klassisches Beispiel: Smurf- und Fraggle-Angriffe.
Moderne Amplifikationsangriffe ?
- NTP: Gefälschte Anfragen für die letzten 600 Hosts, die eine Verbindung mit dem Dienst herstellen.
- DNS: Gefälschte Anfragen für den Typ „ANY“ einer DNS-Zone.
- Siehe Rossows Papier „Amplification Hell“ (NDSS 2014).
Wie kann man die grundlegende (engl. preactive) Sicherheitskonzepten anwenden?
-Kryptographie: Verschlüsselung und Überprüfung von Daten.
- Authentifizierung: (gegenseitige) Authentifizierung von Parteien.
-Access Control (Zugriffskontrolle): Beschränkungen der Zugriffsrechte und Kontrolle der Kommunikation.
Was sind die Reaktive Sicherheitskonzepte ?
-Schwachstellenbewertung „Auffinden von Schwachstellen (vulnerabilities) “
- Intrusion Detection „Auffinden von Angriffen“.
- Computerforensik „Auffinden von Angreifern“.
Cryptography in Networks…..
Netzwerkprotokelle mit kryptografischen Erweiterungen:
- Schutz der Vertraulichkeit und Integrität
- Anwendbar auf verschiedenen Ebenen der Kommunikation
z.B, Symmetrische Schlüssel-Kryptographie ermöglicht eine effiziente Verschlüsselung und Überprüfung von Netzwerkdaten.
z.B Die (public) öffentliche Schlüssel-Kryptographie ermöglicht den Austausch von Sitzungsschlüsseln und die Signierung und Überprüfung von Schlüsseln und Daten.
Access Control in Networks………..
(common mechanisms)
*Verbindungsschicht: MAC-Filter.
*Internet-Schicht: Paketfilter.
*Transportschicht: Paketfilter.
*Anwendungsschicht: Proxy und Gateway für die Anwendungsschicht.
Was ist eine Firewall ? Welche Hauptaufgabe hat eine Firewall?
Eine Firewall ist ein Host, der den Zugang zum Netzwerk vermittelt und den Datenverkehr kontrolliert.
Aufgaben:
Sie überprüft alle eingehenden und ausgehenden Pakete und entscheidet, ob sie erlaubt oder blockiert werden.
Firewalls führen Access Control auf mehreren Layern (Netzwerk-, Transport- und Anwendungsschicht) durch.
Eine Firewall kann ausgehenden Datenverkehr filtern:
-Shell-Verbindungen zu anderen Hosts sind erlaubt.
-Chat-Services werden blockiert.
Wie schützt eine Firewall interne Netzwerkdienste?
Firewalls schützen die Netzwerkdienste vom inneren Netzwerk:
Ein Webserver darf nach außen kommunizieren (HTTP erlaubt).
Ein File Server ist nur im lokalen Netzwerk nutzbar (SMB blockiert nach außen).
Herausforderungen beim Design und Betrieb von Firewalls ?
Falsche Konfiguration kann legitimen Traffic blockieren.
Viele Filter funktionieren nur auf der Anwendungsschicht.
Was ist eine Desktop Firewall? Welche Aufgaben hat eine Desktop Firewall?
Eine hostbasierte Variante der regulären Firewall, die direkt auf einem Computer läuft.
Aufgaben:
Blockiert unerwünschten eingehenden Traffic.
Benachrichtigt den Nutzer über ausgehenden Traffic.
Überwacht Anwendungen, die das Netzwerk nutzen.
Attacks vs. Defense:
-> Rennen zwischen Angreifer und Verteidiger
*Ein Problem behoben, ein anderes hat sich geöffnet
Früher öfter Server angegriffen –> Heute mehr auf private Anwender.
