level: 6 Netzwerksicherheit
Questions and Answers List
Holy Guacamolee ist das 1 crab
level questions: 6 Netzwerksicherheit
| Question | Answer |
|---|---|
| Netzwerktypen | Personal Area Network (PAN) Local Area Network (LAN) Metropolitan Area Network (MAN) Wide Area Nework (WAN) Internet |
| Netzwerktopologien | - Topologie beschreibt das Layout der vernetzen Knoten im Netzwerk - beeinflusst Datendurchsatz, Zuverlässigkeit |
| Fully Connected (Netzwerktopologie) | vgl Bild |
| Vernetzung mittels Relais-Knoten (Netzwerktopologie) | vgl Bild |
| Forwarding and Routing | Routring: bestimmung des gesamten Pfades durch das Netzwerk Forwarding: lokale Entscheidungen der Knoten mittels Routinginformationen |
| Netzwerkschichten Lernsatz (OSI): | 1 Please-------Phyiscal 2 Do------------Data Link 3 Not-----------Network 4 Throw--------Transport 5 Salami-------Session 6 Pizza---------Presentation 7 Away---------Awendung (8 Upsi----------User) |
| Netzwerkschichten Details - OSI und TCP/IP Modell (geschrieben) | 1 Phyiscal |-----> Netzzugang: Ethernet, Token Ring, Atm 2 Data Link | 3 Network-------------> Internet: IP 4 Transport-------------> Transport: TCP, UDP 5 Session | 6 Presentation |------> Anwendung: HTTP, FTP, SMTP, SNMP, DNS, Telnet 7 Awendung | 8 User |
| Netzwerkschichten - Osi und TCP/IP Modell (Graphische Übersicht) | Bild |
| Datenpakete | IP-basierte Netzwerke wie das Internet sind Paket-Netzwerke > Pakete sind Container zur Übertragung > Paketkopf (header) > Nutzlast (payload) > evtl noch einen Paketende (packet trailer) Pakete haben eine maximale größe zwischen 512 und 1500 Bytes |
| Physikalische Adressen | MAC-Adresse (Media-Access-Controll) - Fest dem Gerät zugewiesen, nur in einem Netzwerksegment nutzbar Logisches Internet-Protokoll (IP) - zugewiesen vom jeweiligen IP-Netzwerk - Global benutzbar, theoretisch überall erreichbar |
| Ports | Port-Nummern - Identifiziert die Anwednung auf einem Host - Host implementiert Zuordnung von Port zu Process IDs, Task IDs.... - Kommunikation zwischen heterogenen Systemen möglich - Pro host kann ein Port nur von einer |
| Netzwerksicherheit | - Umfasst alle Maßnahmen zur Planung, Sicherstellung und Überwachung der Sicherheit in Netzwerken > Sicherer Netzwerkprotokolle > Absicherung der Übertragung durch geeignete Protokolle ->Hop-zu-Hop oder Ende-zu-Ende > Absicherung der Netzwerkinfrastruktur und angeschlossenen Geräten -> Separierung von Netzwerken > Betriebliche/organisatorische Maßenahmen > Überwachung/Monitoring von Netzen und/oder angeschlossener Geräte |
| Sicherheit - Schicht 1 und 2 (OSI Modell: Bit- und Sicherungsschicht) | - Physikalische Verbindung ziwsichen zwei Netzwerkgeräten wird durch Bit- und Sicherungsschichten realisiert > Drahtgebunden > Drahtlos - Netzwerkpfad benutzt in der Regel mehrere verschiene Link-Layer-Techs - einzelne Segmente können geschützt werden > bspw.: Verschlüsselung im WLAN mittels WEP, WPA, WPA2, WPA3 > bspw.: Layer 2 Tunneling Protocol (L2TP) - kein End-to-End Sicherheit |
| Sicherheit - Schicht 3 (OSI Modell: Vermittlung/Network) | - Vermittlungsschicht unabhängig vom verwendeten Link-Layer - Übertragung/Sicherheit zwischen zwei IP-Endpunkten (IPv4 oder IPv6) - Internet Protocol (IP) de-facto Standard-Protokoll > Grundlage des internets > Unabhängig von den darunter liegenden Übertragungsmedien - Sicherheitsprotokoll für IP: IPsec |
| Sicherheit - Schicht 4-6 aufwärts (OSI Modell) | - Absicherung der Übertragung zwischen Anwendungen - bekanntestes Bsp: TLS (Transport Layer Security) > HTTPS + TLS = HTTPS > Einordnung --> Nach OSI-Modell initialisiert auf Schicht 5 und durchgeführt auf Schicht 6 --> Nach TCP/IP Modell: zwischen Transport- und Anwendungsschicht |
| Sicherheit - Schicht 7 (OSI Modell: Anwendung) | - Absicherung der Nutzdaten vor Transport, dh. vor Übergabe an Schicht 4 - Ende-zu-Ende Sicherheit Beispiele > S/MIME oder PGP E-Mail Verschlüsselung > Secure Shell (SSH) > Domain Name System Security Extrensions (DNSSEC) > DNS-based Athentications of Named Entities (DANE) |
| TLS Grundlagen - Session | -> Assoziation zwischen einem Clienten und einem Server -> Unterbrechung sind nicht schlimm -> Aushandelung Krypto-Algorithmen und dezentralen Berechung eines gemeinsamen Master-Secrets -> Einer Session können mehrere Verbindungen zugeordnet sein -> Alle Verbindung der Session basieren auf dem Master-Secret |
| TLS Grundlagen - Verbindung | - Entspricht einer TCP-Verbindung - Peer-to-Peer Beziehung zwischen Client und Server - Individuelle Schlüssel pro Verbindung - Verwendung der Algorithmen der zugeordneten Session - Verbindungsaufbau: vorhandene oder neue Session nutzen |
| TLS Grundlagen - Schutzziele | Einigung auf Protokollversionen und Verfahren -> SSL/TLS-Version, kryptographische Verfahren (Cypher Suite), Kompressionsverfahren etc. Athentizitäten -> Varianten: wechselseitig, einseitig (meist nur Server), anonym -> Mechanismen: digitae Signaturen, X509-Zertifikate, MACs -> Verfahren: u.a. RSA, ECDSA Integrität von Narichten -> Verfahren: u.a HMAC-SHA1, HMAC-SHA256/384, AEAD Vertraulichkeit der Datenüebrtragung -> Symmetrische Verfahren u.a. AES, 3DES, ChaCha20 Schlüsselvereinbarung -> Public-Key-Verfahren: u.a. RSA, DH, DHE, ECDH, ECDHE |
| TLS (Transport Layer Security) | Überblick |
| TLS: Handshake-Protokoll | - Aushandeln der kryptographischen Verfahren - Austausch von geheimer Basis-Information: Pre-Master Secret - Unidirektionale Verbindungen: mit unterschiedlichen Schlüsseln - Authentifizierung unter Nutzung von X.509 Zertifikaten - Verwaltung von Sitzungsinformationen (Client kann in mehreren Sitzungen aktiv sein) |
| TLS: Change CipherSpec-Protokoll | Zeigt an, dass die ausgehandelte Chiffre ab sofort eingesetzt wird |
| TLS: Alert-Protokoll | Dient der Fehlerbehemung (Abbruch/Warnung) |
| TLS: ApplicationData-Protokoll | Transfer von Anwendungs-Daten |
| TLS - Handshake-Protokoll -> Client Hello | - Untersützte Protokollversion - Untersützte Cipher-Suite - Untersützte Kompressionsverfahren - Zufallszahl - Ggf. Session ID / Session Ticket |
| TLS - Handshake Protokoll -> Server Hello | - Gewählte Protokollversion - Gewählte Cipher-Suite - Gewählte Kompressionsverfahren - Zufallszahl |
| TLS Protokoll - Übersicht | * optional |
| TLS Pre-Master Secret | RSA: zufällig vom Client gewählt DHE: Diffie-Hellmann Schlüsselvereinbarung |
| TLS Record Protocol | - Setzt auf Transportschicht auf Aufgaben: - Fragmentierung der Daten in Blöcke - Absicherung der Verbindung > Transportverschlüsselung mittels symmetrischer Algorithmen > Sicherung der Nachrichten-Integrität und Authentizität durch HMAC oder AEAD |
| TLS - Zusammenfassung | - sichere Übertragung von Anwendungsdaten - zuverlässiges Transportprotokoll -> Einordnung im OSI-Modell oberhalb der Transportschicht -> DTLS ermöglich die Nutzung von UDP - Perfect Forward Secrecy bei Verwendung von DHE - Vielzahl von vorkonfigurierten CAs - sichere Speicherung des Master Secrets/ Session-Keys - Hacker-Angriffe auf CAs - Verbindungsaufbau (Handshake) auf Serverseite aufwendig - TLS 1.3 deutlich besser > DHE, kein static RSA und DH, nur AEAD-Betriebsmodi, Downgrade-Schutz > Performance Verbesserungen |
| IPsec - Übersicht und Betriebsmodi | - Internet Protocol Security - Erweiterung von IP - sichert Komminkation zwischen Hosts auf (OSI) Schicht 3 Unterteilung: - Architechture - Encapsulating Secruity Payload (ESP) - Authentication Header (AH) - Internet Exchange (IKE) - Cryptographic Algorithms Zwei Betriebsmodi - Transporte Mode (Verbindung von zwei Endpunkten) - Tunnel-Modus (Verbindung von zwei IP-Netzen, inbs bei VPN) |
| IPsec - Protokolle | Authentication Header (AH) -> Authentizität und Integrität der übertragenen IP-Pakete, Replay-Schutz Encapsulating Secruity Payload (ESP) -> Authentizität, Integrität, Vertraulichkeit der übertragenen IP-Pake, Replay Schutz Internet Key Exchange (IKE) -> Aushandeln der Verfahren und Schlüssel |
| IPsec - Ziele | - Gewährleitung von Schutzzielen auf IP-Ebene - Authentizität des Datenursprungs - Vertrauliche Übertragung der Nutzdaten - Integrität und Schutz vor Replay-Attacken |
| IPsec - Überblick - Regelwerk und Speicherungsparameter | Regelwerk (Policy) -> Welche Pakete, von wem, zu wem, mit welchm Verfahren -> Security-Policy-Database (SPD) (pro IPsec-Rechner) Speicherung der Sicherheitsparameter -> Security-Association (SA): Verfahren, Schlüssel pro IP-Verbindung -> Gespeichert in Security Assotiation Database (SAD): Inbound, Outbound-Datenbanken |
| IPsec - Tunnelmodus | - Tunnel zwischen zwei Gateways - Verschiedene Hosts benutzen den Tunnel - Sicherheit Verbindung zwischen den Gateways - Einkapsen sowohl des IP-Headers als auch des Payloads in IPsec-Paket |
| IPsec - Transport-Modus | - Direkte gesicherte Verbindung zwischen zwei Hosts - Hosts sind die Endpunkteder Kommunikation - Absicher des Payloads |
| IPsec - Authentication Header (AH) | - Authentizität des Datenursprungs, Integrität von Header und Daten - Schutz vor Replay Angriffen über Sequenznummern - Kombinierbar mit ESP (Encapsulating Security Payload) |
| IPsec - AH Transportmodus | HMAC |
| IPsec - AH Tunnel Modus | HMac |
| IPsec - Encapsulating Security Payload (ESP) | - Vertraulichkeit der Daten des IP-Datenpakets - Symmetrische Blockchiffre, auch NULL-Algorithmus zulässig - Authentifizierung und Integrität des Payloads mittels HMAC - Schutz vor Replay-Angriffen - Kombinierbar mit AH (Authentication Header) |
| IPsec - ESP Transport Modus | Übersicht |
| IPsec - Esp Tunnel Modus | Übersicht |
| IPsec - Einsatzszenarien (Beispiele) | ESP-Tunnel: - Absicherung nur zwischen den Gateways Kombination: - ESP-Tunnel und AH-Transport zur Client Authentifizierung |
| IPsec - Security Association (SA) | > Alle Infos einer IPsec-Verbindung zwischen zwei Systemen > wird durch IKE-Protokoll angelegt > SA enthält ->> IP des Empfängers ->> Security Paramter Index (SPI) >>>>> 32 Bit Wert zur eindeutigen Identifikation einer IPsec-Verbindung >>>>> Ermöglicht Empfänger-System passende SA auzuwählen ->> Sicherheitsprotokoll: AH oder ESP (keine Kombination innerhalb der SA) ->> AH-oder-ESP-Informationen (Algorithme, Schlüssel, Schlüssellebenszeit...) ->> Modus (Tunnel oder Transport) ->> Lebenszeit der SA, Sequenznummer... |
| IPsec - Security Association Database (SAD) | - Jedes IPsec-System verwaltet seine SAs in einer SAD - SAD-Einträge ändern sich relativ oft, da SAs nur begrenzt gültig sind |
| IPsec - Security Policy Database (SPD) | -> jeder IPsec Rechner hat eine ->> relativ statisch -> Regeln zum Umgang mit IP-Paketen --> individuelle Regeln für Eingänge (INBOUND) --> und für Ausgänge (OUTBOUND) - Mögliche Aktionen: > BYPASS: direktes Weiterleiten des Pakets > PROTECT: IPsec muss angewandt werden, Verweis auf SA > DISCARD: Paket wird abgelehnt |
| IPsec - Internet Key Exchange (IKE) | - IKEv2 - Ziel Schlüsselmanagement: Aushandeln von Schlüsseln für AH und ESP - IKE nicht nur für IPsec nötig (kann auch für andere Protokolle eingesetzt werden) - IKE ist Bestandteil von ISAKMP (Internet Security Association und Key Management Protocol) Aufgaben: - Authetication der beteiligten Parteien (Subjekte/Principals), Rechner (host), Gateways,usw. - Bestimmung der SA-Parameter - Austausch eines gemeinsamen geheimen Schlüssels (aus dem weitere Schlüssel ableitbar sind) - weitere Verbindungsparameter |
| IPsec - Übersicht/Fazit - Pro Contra Neutral | Pro: - transparent für Anwednungen - viel bei VPNs eingesetzt - hohe Sicherheit bei korrekter Nutzung Contra: - Konfiguration ist komplex - Fehleranfällig: viele Optionen, viele Freiheitsgrade - ggf Nutzung schwacher Modi, unsichere Auswahl - Konfigurationsvarianten führen zu Interoperabilitätsproblemen - Zusammenarbeit von IPsec und NAT / Firewalls ist problematisch |
| IPsec vs TLS | IPsec - läuft auf Netzwerkebene - nicht immer eingesetzt (Aufwand) - hohe Sicherheit - sichert eher die Geheimheit TLS - Transport Layer - immer eingesetzt - gute Sicherheit - sichert eher die Verbindung |