Buffl
Buffl
Introduction to Security

Netzwerksicherheit

JH
von Jacob H.

Herausforderungen von Netzwerksicherheit?

  • Anzahl und Komplexität der beteiligten Systeme

  • Attacken über das Netzwerk sind einfach

  • Nachvollziehbarkeit von Angriffen ist schwierig

  • (Vermeintliche) Anonymität

  • Angriffsmethoden leicht und schnell verfügbar

  • Angriffe im Netzwerkbereich oft Basis für weitere Angriffe


Nenne Beispiele für Angriffe/ Bedrohungen in Netzwerken

  • Angriffe auf die Vertraulichkeit

    • Google Hacking, Covert Channels, Sniffing

  • Angriffe auf die Integrität, Authentizität, Nichtabstreitbarkeit

    • Spoofing

  • Angriffe auf die Verfügbarkeit

    • Session Hijacking, Denial of Service (DoS), Distributed Denial of Service (DDoS)


Nenne die verschiedenen TCP/ IP Schichten

→ Reduzierung der Komplexitäten der Abhängigkeiten und Trennung der Aufgaben in einzelne unabhängige Schichten

→ Genau definierte Schnittstellen zwischen den Schichten (höhere Schichten greifen auf Funktionen der niedrigeren Schichten zu)


ARP?

Address Resolution Protocol

  • Kommunikationsprotokoll, welches zu einer Netzwerkadresse der Internetschicht (z.B. IP Adresse) die physische Adresse (Hardware-Adresse, z.B. Mac Adresse) der Netzzugangsschicht ermittelt

  • Die Zuordnung ist gegebenenfalls in den ARP-Tabellen der beteiligten Rechner hinterlegt -> ARP Cache

    • Speicherung von eigenen und fremden Anfragen


Was ist ARP Poisining?

  • Hier werden die Schwachstellen von ARP missbraucht, um die MAC-IP-Zuordnungen anderer Geräte im Netzwerk zu korrumpieren

    • Jedes Gerät im Netzwerk kann eine ARP-Anfrage beantworten, unabhängig davon, ob die ursprüngliche Nachricht für es bestimmt war oder nicht

    • Durch den Einsatz leicht verfügbarer Tools kann ein Angreifer den ARP-Cache anderer Hosts in einem lokalen Netzwerk „vergiften“ (Poisoning), indem er ihn mit falschen Einträgen füllt.


Bespiele ARP Poisining:

Spoofing von MAC-Adressen leicht möglich


IP?

Internet Protocol:

-> Logische Netzwerk Adresse

ICMP? Angriffe auf ICMP?

Internet Controll Message Protocol

-> Verantworlich für Fehlermeldungen + diverse andere Informationen (Uhrzeit, Echo Request/ Reply, etc.

Angriffe:

  • traceroute

    • Sendet mehrfach IP-Datenpakete vom Typ ICMP Echo Request an den Ziel-Host, beginnend mit einer Time to Live (TTL) von 1

    • Erster Router, der das Datenpaket weiterleiten soll, zählt den Wert der TTL um eins herunter auf 0, woraufhin er es nicht weiterleitet, sondern verwirft

    • Dabei sendet er die ICMP-Antwort Typ 11: Time exceeded mit Code 0: Time to live exceeded in transit an den Absender

    • Datenpaket enthält als Source Address die IP-Adresse des betreffenden Routers

    • Information wird vom Traceroute-Programm zusammen mit der gesamten Übertragungsdauer aufgezeichnet

    • Wiederholung dieses Schritts mit einer um 1 erhöhten TTL, um auf dieselbe Weise den nächsten Router auf dem Weg durch das Netzwerk zu ermitteln

    • Wiederholung bis der Ziel-Host oder das vom jeweiligen Traceroute-Programm verwendete Maximum an Hops erreicht wurde

    • Wenn Ziel-Host erreicht, sendet er bei ICMP-Antwort Typ 0 ICMP Echo Reply bzw. bei UDP-basiertem Traceroute Destination Unreachable Code 3 Port Unreachable


TCP

Transmission Control Protocol:

  • Standard, der definiert, wie eine Netzwerkkonversation aufgebaut und aufrechterhalten wird, über die Anwendungen Daten austauschen können

  • Verbindungsorientiert (Three-Way-Handshake)

    • Verbindung wird aufgebaut und aufrechterhalten, bis die Anwendungen auf beiden Seiten den Nachrichtenaustausch beendet haben

  • Anwendungen, welche TCP nutzen:

    • Web (HTTP)

    • SSH

    • e-mail (z.B. POP3, IMAP, SMTP)


Ablauf von Datenübertragung mittels TCP?

  1. z.B. HTTP-Programmschicht fordert TCP Programmschicht auf, die Verbingung aufzubauen und eine Datei zu senden

  2. TCP-Stack teilt die Datei in Datenpakete auf, nummeriert diese und leitet sie einzeln an IP-Schicht zur Zustellung weiter

  3. TCP-Programmschicht auf dem Client Computer wartet bis alle Pakete eingetroffen sind

  4. Bestätigung der empfangenen Pakete und ggf. Nachfrage nach erneuter Übertrage der nicht erhaltenen Pakete (-> Nummerierung)

  5. TCP-Programmschicht auf dem Client Computer setzt dann Pakete zu einer Datei zusammen übergibt die Datei an empfangene Anwendung


Land-Attacke?

Denial-of-Service Attacke:

  • Erzeugung eines SYN-Paket, bei dem Absender- und Zieladresse sowie Absender- und Zielport identisch sind, wobei Absender- und Zieladresse mit der des Opfers übereinstimmen

  • Sendung des Pakets an einen offenen Port des Opfers

  • TCP Schicht des Opfer antwortet mit einem SYN/ACK-Paket an die Quelle (also sich selbst)

  • Fehler im TCP/IP-Stack können dazu führen, dass dieses SYN/ACK-Paket als normales SYN-Paket betrachtet wird und das Opfer ein neues SYN/ACK-Paket an sich selbst generiert

  • Opfer wird durch die SYN/ACK-Pakete, die es sich selbst auf demselben Port zuschickt, ausgelastet


Was macht WLAN zu potenziell unsicheren Netzen?

Angreifer haben Zugriff auf das Übertragungsmedium

Welche Wireless Technologien gibt es?

  • Wireless Personal Area Network (WPAN)

    • Radio-Requency Identification (RFID)

  • Wireless Local Area Network (WLAN)

  • Wireless Wide Area Network (WWAN)

    • Fifth Generation Technology Standard (5G)


Was sind exemplarische Angriffe auf WLANs?

  • Sniffing: Netwerkverkehr mitlesen (mit tools wie Wireshark)

    • Angreifer spookt Access Point oder Client

  • Denial of Service


Wie könne WLANs abgesichert werden?

  • WEP → mittlerweile unsicher

  • WPA, WPA2 → gut Kennwörter erforderlich

  • WPA3

  • VPNs (Virtual Private Network)

  • Verschlüsselung auf Applikationsebene

  • Standard-Passwörter ändern

  • Sicherer Schlüssen und regelmäßiger Wechsel des Schlüssels

  • SSID - Service Set Identifier/ Network Name


Wie können WLANs vor Sniffing geschützt werden?

  • Absicherung der Clients/ Server

  • Separation von Netzwerksegmenten (physisch oder logisch)

  • Sicherung des Übertragungswegs via z.B. VPN

  • Sicherung des Zugangs zum Netzwerk

  • Sicherung von Nutzungsdaten

  • Firewalls


Was sind Firewalls?

Firewalls versuchen unerlaubten Zugriffe zu unterbinden

  • Arten von Firewalls:

    • Paketfilter

    • Stateful Inspection

    • Proxy Firewall

  • Positionierung von Firewall i.d.R. an der Grenze zwischen zwei Netzwerkzonen

  • Beispiele: iptables/ nftables (Linux), pf (packet filter, Open BSD), mod_security, etc.


Intrusion Detection Systems vs. Intrusion Prevention Systems

  • Intrusion Detection System:

    • Erkennung von Angriffen durch z.B. Anomalie Erkennung

    • Sendung eines Alarms

  • Intrusion Prevention System:

    • Zusätzlich zu Erkennun: Automatisches Ergreifen von Maßnahmen (z.B. Aktivierung von Firewall Regeln)


Honeypot und Honeynet

Ein Honeypot ist eine Resource eines Information Systems wessen Wert darin liegt getestet, angegriffen oder kompromottiert zu werden


Honeynets: Netzwerk von Honeypots

Beitreten
Vorschau

Author

Jacob H.

Informationen

Zuletzt geändert

Kurs melden
© 2023 Buffl GmbH