KL2

Standards: b(2,4/11M) → g(2,4/54M) → n=Wi-Fi4(2,4+5/600M/MIMO) → ac=Wi-Fi5(5/6,9G/MU-MIMO/Beamforming) → ax=Wi-Fi6(+6GHz/9,6G/OFDMA/TWT) → be=Wi-Fi7(46G/320MHz/MLO)

Amendments: technenische Erweitertungen des IEEE 802.11 Standards für mehr Geschwindigkeit

Topologie: Adhoc- P2P, Infrakstruktur: AP zu Client

APs: jeder independent, Lightweight AP an Kontroller, Cloud Management

CSMA/CA: vermindert kollisionen beim Datenverkehr, indem vorab der Kanal abgehört wird

Kanäle: 2,4GHz→1,6,11 | 5GHz→25 Kanäle, DFS

Security: WPA2=AES+4-Way-Handshake | Personal=PSK | Enterprise=RADIUS | WPA3=SAE+PMF

Begriffe: BYOD→MDM/EMM | SSID=Name | BSSID=AP-MAC

Angriffe:

DoS: z. B. indem massenhaft Deauth-Pakete gesendet werden oder durch Evil-Twin

Verschlüsselung:

Web: Kürzer IV, daher leicht knackbar

WPA1, besser, aber mitlerweile veraltwt

WPA2 AES: sicher, Standart

WPA3 AES: noch sicherer

WPA2:

Personal, also ein PW oder Enterpreise mit Radius-Server

WAP3 verwendet SAE statt PSK, daher wird das Passwort neu übertragen

und verwendet PMF, dabei sind die MGMT-Frames geschützt

Was Vermittler zwischen LAN-Client und Server auf Layer5-7

Client -> Proxy -> Proxy zu Webserver

Warum:

• Caching, Logging, Filterung, Sicherheit

Protokolle: HTTP(s), FTP und Mail z. B.

Non-transparent vs. Transparent:

• Non-transparent: Client muss Proxy manuell eintragen (Browser-Settings)

• Transparent: Firewall leitet Traffic automatisch um → Client merkt nichts

Reverse Proxy: Sitzt VOR den Servern → Load Balancing, SSL-Offloading, WAF-Schutz

Firewall-Regeln bei Proxy: Nur Proxy darf ins Internet (Port 80/443) → Clients direkt blocken → kein Bypass möglich

SBS = ein Server macht alles: AD, DNS, DHCP, Exchange, Fileserver, IIS, SQL, VPN, RDP, WSUS

Extern erreichbar (= Angriffsfläche): SMTP/25 (Mail) | HTTPS/443 (OWA/Webaccess) | RDP/3389 | VPN/1723 o. 443

Angriffsvektoren:

• Phishing → Exchange-Exploit → Shell → Domain Admin → Game Over

• RDP offen → Brute Force → Ransomware

• Verwundbarer Webdienst (OWA) → RCE → Lateral Movement

Nach Kompromittierung alles betroffen: AD/LDAP → alle Clients übernommen | DNS → Poisoning | DHCP → Rogue | SMB/445 → Ransomware | SQL → Datenklau | WSUS → Fake-Updates pushen

Kernproblem: Keine Segmentierung, kein DMZ, alle Dienste eine Maschine = Single Point of Failure + Single Point of Compromise

Lösung: Dienste trennen, externe Services in DMZ, Firewall, Least Privilege

Segmentierung in VLANs/Zonen

DMZ -> externe Dienste isolieren

Defense im Depth FW + IDS + Proxy + Endpoint, mehrere Ebenen

Zero Trust -> auch intern alles authentifizieren

Verschlüsselung also z. B. iP-Sec

eine FW

Ein Host im LAN

Exposed Host, also alle Ports werden weiter geleitet, keine Segmentierung oder so

Eine FW mit mehreren physischen oder logischen Interfaces

LAN, DMZ und WAN getrent, also segmentiert durch z. B: VLANs

WAN -> Perimeter Router -> DMZ -> FW -> LAN

also DMZ komplett vor dem LAN ohne richtige FW

WAN -> FW1 -> DMZ -> FW2 -> LAN

also faktisch zwei Stufen FW, eine für die DMZ, die andere für das LAN

• LAN (Trust) Interne Dienste und Fileserver

• DMZ (Semi-Trust): extern erreichbar, aber isoliert

• WAN (untrust)

• Prinzip: Je mehr Exposure → desto weiter weg vom LAN. Kompromittierte DMZ ≠ kompromittiertes LAN

• Paketfilter: Filter auf Layer 1 bis L4, also von Interface bis zum Port

• SPI: Schaut sich den Verbindungsstatus an, also z. B. das Antworten automatisch erlaubt werden

• NAT-Verfahren:

  1. Static 1:1 eine private zu einer öffentlichen

  2. SNAT und DNAT

  3. NAPT: Viele private IPs teilen sich eine öffentliche IP, unterschieden durch Ports

• Adressierung bei NAPT (Hinweg): Client→Router: Src=privIP:srcPort | Router→Server: Src=pubIP:neuPort, Dst=ServerIP:80 Rückweg umgekehrt, Router schaut in NAT-Tabelle

WAN -> FW1 -> FW2 (intern) -> LAN

Angreifer muss zwei Firewalls überwinden, bei unterschiedlichen Herstellern trifft der Exploit nicht beide gleichzeitig

Merke: Zweistufig = teurer aber sicherer | Einstufig = KMU-Kompromiss | Ohne DMZ = SBS-Fehler

VPN: E2E, S2S, S2E

VPN: GRE reiner tunnel, keine Verschlüsselung

iPSec AH (integrität), ESP Verschlüsselung, IKE für Austausch

OpenVPN SSL/TLS

Wireguard: modern und schlank

DPI Analyse der Pakete auf Layer 7

Proxy-Features:

• URL-Filter

• Cache -> häufige Inhalte

IDS -> Detection

IPS -> Prevention, also verhindert

NGFW: geht über herkömmliche Firewalls weg, mit z. B. IDS