Buscar
Estás en modo de exploración. debe iniciar sesión para usar MEMORY

   Inicia sesión para empezar

level: 6 Netzwerksicherheit

Questions and Answers List

Holy Guacamolee ist das 1 crab

level questions: 6 Netzwerksicherheit

QuestionAnswer
NetzwerktypenPersonal Area Network (PAN) Local Area Network (LAN) Metropolitan Area Network (MAN) Wide Area Nework (WAN) Internet
Netzwerktopologien- Topologie beschreibt das Layout der vernetzen Knoten im Netzwerk - beeinflusst Datendurchsatz, Zuverlässigkeit
Fully Connected (Netzwerktopologie)vgl Bild
Vernetzung mittels Relais-Knoten (Netzwerktopologie)vgl Bild
Forwarding and RoutingRoutring: bestimmung des gesamten Pfades durch das Netzwerk Forwarding: lokale Entscheidungen der Knoten mittels Routinginformationen
Netzwerkschichten Lernsatz (OSI):1 Please-------Phyiscal 2 Do------------Data Link 3 Not-----------Network 4 Throw--------Transport 5 Salami-------Session 6 Pizza---------Presentation 7 Away---------Awendung (8 Upsi----------User)
Netzwerkschichten Details - OSI und TCP/IP Modell (geschrieben)1 Phyiscal |-----> Netzzugang: Ethernet, Token Ring, Atm 2 Data Link | 3 Network-------------> Internet: IP 4 Transport-------------> Transport: TCP, UDP 5 Session | 6 Presentation |------> Anwendung: HTTP, FTP, SMTP, SNMP, DNS, Telnet 7 Awendung | 8 User
Netzwerkschichten - Osi und TCP/IP Modell (Graphische Übersicht)Bild
DatenpaketeIP-basierte Netzwerke wie das Internet sind Paket-Netzwerke > Pakete sind Container zur Übertragung > Paketkopf (header) > Nutzlast (payload) > evtl noch einen Paketende (packet trailer) Pakete haben eine maximale größe zwischen 512 und 1500 Bytes
Physikalische AdressenMAC-Adresse (Media-Access-Controll) - Fest dem Gerät zugewiesen, nur in einem Netzwerksegment nutzbar Logisches Internet-Protokoll (IP) - zugewiesen vom jeweiligen IP-Netzwerk - Global benutzbar, theoretisch überall erreichbar
PortsPort-Nummern - Identifiziert die Anwednung auf einem Host - Host implementiert Zuordnung von Port zu Process IDs, Task IDs.... - Kommunikation zwischen heterogenen Systemen möglich - Pro host kann ein Port nur von einer
Netzwerksicherheit- Umfasst alle Maßnahmen zur Planung, Sicherstellung und Überwachung der Sicherheit in Netzwerken > Sicherer Netzwerkprotokolle > Absicherung der Übertragung durch geeignete Protokolle ->Hop-zu-Hop oder Ende-zu-Ende > Absicherung der Netzwerkinfrastruktur und angeschlossenen Geräten -> Separierung von Netzwerken > Betriebliche/organisatorische Maßenahmen > Überwachung/Monitoring von Netzen und/oder angeschlossener Geräte
Sicherheit - Schicht 1 und 2 (OSI Modell: Bit- und Sicherungsschicht)- Physikalische Verbindung ziwsichen zwei Netzwerkgeräten wird durch Bit- und Sicherungsschichten realisiert > Drahtgebunden > Drahtlos - Netzwerkpfad benutzt in der Regel mehrere verschiene Link-Layer-Techs - einzelne Segmente können geschützt werden > bspw.: Verschlüsselung im WLAN mittels WEP, WPA, WPA2, WPA3 > bspw.: Layer 2 Tunneling Protocol (L2TP) - kein End-to-End Sicherheit
Sicherheit - Schicht 3 (OSI Modell: Vermittlung/Network)- Vermittlungsschicht unabhängig vom verwendeten Link-Layer - Übertragung/Sicherheit zwischen zwei IP-Endpunkten (IPv4 oder IPv6) - Internet Protocol (IP) de-facto Standard-Protokoll > Grundlage des internets > Unabhängig von den darunter liegenden Übertragungsmedien - Sicherheitsprotokoll für IP: IPsec
Sicherheit - Schicht 4-6 aufwärts (OSI Modell)- Absicherung der Übertragung zwischen Anwendungen - bekanntestes Bsp: TLS (Transport Layer Security) > HTTPS + TLS = HTTPS > Einordnung --> Nach OSI-Modell initialisiert auf Schicht 5 und durchgeführt auf Schicht 6 --> Nach TCP/IP Modell: zwischen Transport- und Anwendungsschicht
Sicherheit - Schicht 7 (OSI Modell: Anwendung)- Absicherung der Nutzdaten vor Transport, dh. vor Übergabe an Schicht 4 - Ende-zu-Ende Sicherheit Beispiele > S/MIME oder PGP E-Mail Verschlüsselung > Secure Shell (SSH) > Domain Name System Security Extrensions (DNSSEC) > DNS-based Athentications of Named Entities (DANE)
TLS Grundlagen - Session-> Assoziation zwischen einem Clienten und einem Server -> Unterbrechung sind nicht schlimm -> Aushandelung Krypto-Algorithmen und dezentralen Berechung eines gemeinsamen Master-Secrets -> Einer Session können mehrere Verbindungen zugeordnet sein -> Alle Verbindung der Session basieren auf dem Master-Secret
TLS Grundlagen - Verbindung- Entspricht einer TCP-Verbindung - Peer-to-Peer Beziehung zwischen Client und Server - Individuelle Schlüssel pro Verbindung - Verwendung der Algorithmen der zugeordneten Session - Verbindungsaufbau: vorhandene oder neue Session nutzen
TLS Grundlagen - SchutzzieleEinigung auf Protokollversionen und Verfahren -> SSL/TLS-Version, kryptographische Verfahren (Cypher Suite), Kompressionsverfahren etc. Athentizitäten -> Varianten: wechselseitig, einseitig (meist nur Server), anonym -> Mechanismen: digitae Signaturen, X509-Zertifikate, MACs -> Verfahren: u.a. RSA, ECDSA Integrität von Narichten -> Verfahren: u.a HMAC-SHA1, HMAC-SHA256/384, AEAD Vertraulichkeit der Datenüebrtragung -> Symmetrische Verfahren u.a. AES, 3DES, ChaCha20 Schlüsselvereinbarung -> Public-Key-Verfahren: u.a. RSA, DH, DHE, ECDH, ECDHE
TLS (Transport Layer Security)Überblick
TLS: Handshake-Protokoll- Aushandeln der kryptographischen Verfahren - Austausch von geheimer Basis-Information: Pre-Master Secret - Unidirektionale Verbindungen: mit unterschiedlichen Schlüsseln - Authentifizierung unter Nutzung von X.509 Zertifikaten - Verwaltung von Sitzungsinformationen (Client kann in mehreren Sitzungen aktiv sein)
TLS: Change CipherSpec-ProtokollZeigt an, dass die ausgehandelte Chiffre ab sofort eingesetzt wird
TLS: Alert-ProtokollDient der Fehlerbehemung (Abbruch/Warnung)
TLS: ApplicationData-ProtokollTransfer von Anwendungs-Daten
TLS - Handshake-Protokoll -> Client Hello- Untersützte Protokollversion - Untersützte Cipher-Suite - Untersützte Kompressionsverfahren - Zufallszahl - Ggf. Session ID / Session Ticket
TLS - Handshake Protokoll -> Server Hello- Gewählte Protokollversion - Gewählte Cipher-Suite - Gewählte Kompressionsverfahren - Zufallszahl
TLS Protokoll - Übersicht* optional
TLS Pre-Master SecretRSA: zufällig vom Client gewählt DHE: Diffie-Hellmann Schlüsselvereinbarung
TLS Record Protocol- Setzt auf Transportschicht auf Aufgaben: - Fragmentierung der Daten in Blöcke - Absicherung der Verbindung > Transportverschlüsselung mittels symmetrischer Algorithmen > Sicherung der Nachrichten-Integrität und Authentizität durch HMAC oder AEAD
TLS - Zusammenfassung- sichere Übertragung von Anwendungsdaten - zuverlässiges Transportprotokoll -> Einordnung im OSI-Modell oberhalb der Transportschicht -> DTLS ermöglich die Nutzung von UDP - Perfect Forward Secrecy bei Verwendung von DHE - Vielzahl von vorkonfigurierten CAs - sichere Speicherung des Master Secrets/ Session-Keys - Hacker-Angriffe auf CAs - Verbindungsaufbau (Handshake) auf Serverseite aufwendig - TLS 1.3 deutlich besser > DHE, kein static RSA und DH, nur AEAD-Betriebsmodi, Downgrade-Schutz > Performance Verbesserungen
IPsec - Übersicht und Betriebsmodi- Internet Protocol Security - Erweiterung von IP - sichert Komminkation zwischen Hosts auf (OSI) Schicht 3 Unterteilung: - Architechture - Encapsulating Secruity Payload (ESP) - Authentication Header (AH) - Internet Exchange (IKE) - Cryptographic Algorithms Zwei Betriebsmodi - Transporte Mode (Verbindung von zwei Endpunkten) - Tunnel-Modus (Verbindung von zwei IP-Netzen, inbs bei VPN)
IPsec - ProtokolleAuthentication Header (AH) -> Authentizität und Integrität der übertragenen IP-Pakete, Replay-Schutz Encapsulating Secruity Payload (ESP) -> Authentizität, Integrität, Vertraulichkeit der übertragenen IP-Pake, Replay Schutz Internet Key Exchange (IKE) -> Aushandeln der Verfahren und Schlüssel
IPsec - Ziele- Gewährleitung von Schutzzielen auf IP-Ebene - Authentizität des Datenursprungs - Vertrauliche Übertragung der Nutzdaten - Integrität und Schutz vor Replay-Attacken
IPsec - Überblick - Regelwerk und SpeicherungsparameterRegelwerk (Policy) -> Welche Pakete, von wem, zu wem, mit welchm Verfahren -> Security-Policy-Database (SPD) (pro IPsec-Rechner) Speicherung der Sicherheitsparameter -> Security-Association (SA): Verfahren, Schlüssel pro IP-Verbindung -> Gespeichert in Security Assotiation Database (SAD): Inbound, Outbound-Datenbanken
IPsec - Tunnelmodus- Tunnel zwischen zwei Gateways - Verschiedene Hosts benutzen den Tunnel - Sicherheit Verbindung zwischen den Gateways - Einkapsen sowohl des IP-Headers als auch des Payloads in IPsec-Paket
IPsec - Transport-Modus- Direkte gesicherte Verbindung zwischen zwei Hosts - Hosts sind die Endpunkteder Kommunikation - Absicher des Payloads
IPsec - Authentication Header (AH)- Authentizität des Datenursprungs, Integrität von Header und Daten - Schutz vor Replay Angriffen über Sequenznummern - Kombinierbar mit ESP (Encapsulating Security Payload)
IPsec - AH TransportmodusHMAC
IPsec - AH Tunnel ModusHMac
IPsec - Encapsulating Security Payload (ESP)- Vertraulichkeit der Daten des IP-Datenpakets - Symmetrische Blockchiffre, auch NULL-Algorithmus zulässig - Authentifizierung und Integrität des Payloads mittels HMAC - Schutz vor Replay-Angriffen - Kombinierbar mit AH (Authentication Header)
IPsec - ESP Transport ModusÜbersicht
IPsec - Esp Tunnel ModusÜbersicht
IPsec - Einsatzszenarien (Beispiele)ESP-Tunnel: - Absicherung nur zwischen den Gateways Kombination: - ESP-Tunnel und AH-Transport zur Client Authentifizierung
IPsec - Security Association (SA)> Alle Infos einer IPsec-Verbindung zwischen zwei Systemen > wird durch IKE-Protokoll angelegt > SA enthält ->> IP des Empfängers ->> Security Paramter Index (SPI) >>>>> 32 Bit Wert zur eindeutigen Identifikation einer IPsec-Verbindung >>>>> Ermöglicht Empfänger-System passende SA auzuwählen ->> Sicherheitsprotokoll: AH oder ESP (keine Kombination innerhalb der SA) ->> AH-oder-ESP-Informationen (Algorithme, Schlüssel, Schlüssellebenszeit...) ->> Modus (Tunnel oder Transport) ->> Lebenszeit der SA, Sequenznummer...
IPsec - Security Association Database (SAD)- Jedes IPsec-System verwaltet seine SAs in einer SAD - SAD-Einträge ändern sich relativ oft, da SAs nur begrenzt gültig sind
IPsec - Security Policy Database (SPD)-> jeder IPsec Rechner hat eine ->> relativ statisch -> Regeln zum Umgang mit IP-Paketen --> individuelle Regeln für Eingänge (INBOUND) --> und für Ausgänge (OUTBOUND) - Mögliche Aktionen: > BYPASS: direktes Weiterleiten des Pakets > PROTECT: IPsec muss angewandt werden, Verweis auf SA > DISCARD: Paket wird abgelehnt
IPsec - Internet Key Exchange (IKE)- IKEv2 - Ziel Schlüsselmanagement: Aushandeln von Schlüsseln für AH und ESP - IKE nicht nur für IPsec nötig (kann auch für andere Protokolle eingesetzt werden) - IKE ist Bestandteil von ISAKMP (Internet Security Association und Key Management Protocol) Aufgaben: - Authetication der beteiligten Parteien (Subjekte/Principals), Rechner (host), Gateways,usw. - Bestimmung der SA-Parameter - Austausch eines gemeinsamen geheimen Schlüssels (aus dem weitere Schlüssel ableitbar sind) - weitere Verbindungsparameter
IPsec - Übersicht/Fazit - Pro Contra NeutralPro: - transparent für Anwednungen - viel bei VPNs eingesetzt - hohe Sicherheit bei korrekter Nutzung Contra: - Konfiguration ist komplex - Fehleranfällig: viele Optionen, viele Freiheitsgrade - ggf Nutzung schwacher Modi, unsichere Auswahl - Konfigurationsvarianten führen zu Interoperabilitätsproblemen - Zusammenarbeit von IPsec und NAT / Firewalls ist problematisch
IPsec vs TLSIPsec - läuft auf Netzwerkebene - nicht immer eingesetzt (Aufwand) - hohe Sicherheit - sichert eher die Geheimheit TLS - Transport Layer - immer eingesetzt - gute Sicherheit - sichert eher die Verbindung