VPN & IPSec

Question 1

VPN Sicherheitsmechanismen (5)

Answer 1

1. Verschlüsselung
2. Authentikatio
3. MAC-Funktionen
4. Tunneling
5. Firewalling

Question 2

Was bezweckt Verschlüsselung?

Answer 2

Schützt Vertraulichkeit

Question 3

Was bezweckt Authentikation?

Answer 3

Gewährleistet Eindeutigkeit des Benutzers

Question 4

Was bezwecken MAC-Funktionen?

Answer 4

Sorgen für die Unversehrtheit der Daten

Question 5

Was bezweckt Tunneling?

Answer 5

Verschleiert Datentransfer

Question 6

Was bezweckt Firewalling?

Answer 6

Schützt Netzwerkressourcen

Question 7

VPN als Gateway (5)

Answer 7

1. Unabhängig von Workstation und Betriebssystem
2. Sicherheitsfunktionen für Endsysteme, welche sonst keine bekommen könnten (z.B. Terminals)
3. Gleiche Gateways bei heterogenen Systemen (Versch. HW/SW/OS/..)
4. Gateway leichter sicher zu realisieren als Softwarelösung
5. Sicherheit ist anwendungsunabhängig

Question 8

VPN als Client (3)

Answer 8

1. Kostengünstiger als ein Gateway
2. Ende-zu-Ende Sicherheit
3. Authentisierung einer Person

Question 9

IPSec

Answer 9

Sicherheitsstandard für den geschützten IP-Datentransfer.

Entwickelt von der Internet Engineering Task Force (IETF)

Question 10

IPSec ergänzt ..

Answer 10

.. das bestehende IPv4 um Fähigkeiten

Question 11

IPSec ergänzt IPv4 um folgende Fähigkeiten (5)

Answer 11

1. Kommunikationspartner authentisieren
2. gegen Verkehrsflussanalyse schützen
3. jedes Paket kann gegen Manipulation und Wiedereinspielung geschützt werden
4. Jedes Packet kann verschlüsselt werden

Question 12

Wieviele und welche Modis gibt es für IPSec?

Answer 12

Zwei verfügbare Modis 1. Transport Mode 2. Tunnel-Mode

Question 13

Was macht der Transport-Mode?

Answer 13

Verschlüsselung der Daten

Question 14

Was macht der Tunnel-Mode?

Answer 14

Verschlüsselung des IP-Headers und der Nutzdaten (Sandwichartig)

Question 15

Kürzel “AH”

Answer 15

Authentication Header

Question 16

Was bringt der AH?

Answer 16

Integrität und Authentizität der IP-Pakete durch HMAC

Question 17

Kürzel “HMAC”?

Answer 17

Keyed Hash Message Authentication Code

Question 18

Was wird durch den AH ermöglicht? (3)

Answer 18

1. Datenunversehrtheit
2. Authentisierung
3. Anti-Replay-Schutz (optional)

Question 19

Kürzel “ESP”

Answer 19

Encapsulated Security Payload

Question 20

Was bringt die ESP?

Answer 20

Verschlüsselung des IP-Pakets durch sym. Verschlüsselung

Question 21

Was wird durch die ESP ermöglicht? (4)

Answer 21

1. Datenunversehrtheit (optional)
2. Authentisierung (optional)
3. Anti-Replay Schutz (optional)
4. Verschlüsselung (optional)

Question 22

Vorteile bei Verwendung von AH und ESP? (3)

Answer 22

1. Authentisierung von AH bezieht sich auch auf IP-Header
2. Kombination bietet Vorteile im Sicherheitsbereich
3. Allerdings benötigt mehr Ressourcen auf beteiligten Systemen

Question 23

Transport Modus (VPN) wird eingesetzt bei ..

Answer 23

… 1:n oder M.N-VPN’s (z.B. Host-to-Host)

Question 24

Was geschieht beim Transport Modus? (3)

Answer 24

1. Es wird ein IPSec-Header zwischen Originalem IP-Header und Nutzlast eingefügt.
2. Nur Payload des Pakets verschlüsselt
3. IP-Header weiterhin fürs Routing verwendet

Question 25

Struktur beim Transport Modus?

Answer 25

Original IP-Header -|- IPSec-Header -|- Nutzlast

Question 26

Tunnel Modus (VPN) wird eingesetzt bei ..

Answer 26

1:1-VPNs z.B. bei zwei Gateways

Question 27

Was geschieht beim Tunnel Modus?

Answer 27

1. Ursprüngliches IP-Paket komplett verschlüsselt als Nutzlast des IPSec-Pakets
2. Neuer IP-Header addressiert die Tunnelenden statt das eigentliche Ziel
3. Original IP-Header erst nach dem auspacken am Tunnelende verwendet

Question 28

Wer muss “IPSec” sprechen können?

Answer 28

Die Tunnelenden

Question 29

Was bleibt einem Angreifer im Tunnelmodus verborgen?

Answer 29

Wenn aktiviert, die “echte” IP-Adresse

Question 30

Struktur Tunnel-Modus

Answer 30

Neuer IP-Header -|- IPSec Header -|- Original IP-Header -|- Nutzlast

Question 31

Aufbau VPN als Gateway (Bild)

Answer 31

Question 32

Aufbau VPN als Client (Bild)

Answer 32

Question 33

Aufbau des IP-Pakets mit AH Header im Tunnel (Bild)

Answer 33

Question 34

Aufbau des IP Pakets mit ESP im Tunnel (Bild)

Answer 34

Question 35

Aufbau eines IP Pakets mit Ah header und ESP im Tunnel (Bild)

Answer 35

Question 36

Def. VPN

Answer 36

Ein VPN versucht, private und öffentliche Netzwerke zu kombinieren,

indem das

öffentliche Netzwerk als Trägernetzwerk für die private Kommunikation

benutzt wird

Question 37

Kürzel IPSec

Answer 37

Internet Protocol Security

Question 38

Transport Mode =

Answer 38

= Verschlüsselung der Nutzdaten

Question 39

Tunnel Mode =

Answer 39

Verschlüsselung des IP-Headers und der Nutzdaten

Question 40

Kürzel SA

Answer 40

Security Association

Question 41

Wofür sind SA’s verantwortlich?

Answer 41

Policy

Algorithmen

Mechanismen

Key Management

Question 42

Kriterien für die Auswahl von VPN-Lösungen

Answer 42

Vertrauenswürdigkeit

Offenheit und Transparenz der Sicherheit

Nachweis geprüfter Sicherheit

Ohne staatliche Restriktionen

Question 43

Was sind staatliche Restriktionen?

Answer 43

Reduzierte Schlüssellängen

Key Recovery

Key Escrow

Trapdoors

Question 44

SPI ist ein …

Answer 44

… beliebiger 32-Bit Wert, der in Kombination mit Ziel IP-Adresse

und dem

Security Protocol eindeutig die SA für dieses Paket definiert

Question 45

Die Sequence Number ist ..

Answer 45

… ein 32-Bit Feld und beinhaltet einen Zähler (Replay-Angriff)

Question 46

Payload Data ist ein …

Answer 46

… Feld variabler Länge, dass das originale IP-Paket beinhaltet

Question 47

Padding wird zum …

Answer 47

… Auffüllen genutzt (0-255 Bit), falls der Verschl. Mode dies erfordert

Question 48

Pad Length beschreibt …

Answer 48

… die Länge des Feldes Padding

Question 49

Authentication Data beinhaltet den ..

Answer 49

… ICV,

berechnet über das ESP ohne den Authentication Data Anteil

Question 50

Kürzel ICV

Answer 50

Integritiy Check Value

Question 51

Wie kommt die Herstellung zur SA zustande?

wer enthält Informationen

wer nicht

Answer 51

Header enthalten selbst keine Information

Verweis ist in der SPI - auf eine Datenstruktur mit den Informationen

Question 52

Die SA legt welche Informationen fest?

Answer 52

Alle Informationen

die für die

Verbindung zwischen zwei Security Gateway

benötigt werden

Question 53

Informationen die in einer SA enthalten sind (9)

Answer 53

1. SPI
2. IPSec-Service (AH oder ESP oder beide)
3. Modus (Tunnel, Transport)
4. Quell- & Ziel-IP-Adresse, evtl. Adresse Gateway
5. evtl. genutzte Protokolle, Quell & Zielportnummer
6. Algorithmen und Schlüssel für die SA
7. Sequenznummer
8. Dauer und Gültigkeit der SA
9. Statusinformation der Anti-Replay-Windows