Herausforderungen von Netzwerksicherheit?
Anzahl und Komplexität der beteiligten Systeme
Attacken über das Netzwerk sind einfach
Nachvollziehbarkeit von Angriffen ist schwierig
(Vermeintliche) Anonymität
Angriffsmethoden leicht und schnell verfügbar
Angriffe im Netzwerkbereich oft Basis für weitere Angriffe
Nenne Beispiele für Angriffe/ Bedrohungen in Netzwerken
Angriffe auf die Vertraulichkeit
Google Hacking, Covert Channels, Sniffing
Angriffe auf die Integrität, Authentizität, Nichtabstreitbarkeit
Spoofing
Angriffe auf die Verfügbarkeit
Session Hijacking, Denial of Service (DoS), Distributed Denial of Service (DDoS)
Nenne die verschiedenen TCP/ IP Schichten
→ Reduzierung der Komplexitäten der Abhängigkeiten und Trennung der Aufgaben in einzelne unabhängige Schichten
→ Genau definierte Schnittstellen zwischen den Schichten (höhere Schichten greifen auf Funktionen der niedrigeren Schichten zu)
ARP?
Address Resolution Protocol
Kommunikationsprotokoll, welches zu einer Netzwerkadresse der Internetschicht (z.B. IP Adresse) die physische Adresse (Hardware-Adresse, z.B. Mac Adresse) der Netzzugangsschicht ermittelt
Die Zuordnung ist gegebenenfalls in den ARP-Tabellen der beteiligten Rechner hinterlegt -> ARP Cache
Speicherung von eigenen und fremden Anfragen
Was ist ARP Poisining?
Hier werden die Schwachstellen von ARP missbraucht, um die MAC-IP-Zuordnungen anderer Geräte im Netzwerk zu korrumpieren
Jedes Gerät im Netzwerk kann eine ARP-Anfrage beantworten, unabhängig davon, ob die ursprüngliche Nachricht für es bestimmt war oder nicht
Durch den Einsatz leicht verfügbarer Tools kann ein Angreifer den ARP-Cache anderer Hosts in einem lokalen Netzwerk „vergiften“ (Poisoning), indem er ihn mit falschen Einträgen füllt.
Bespiele ARP Poisining:
Spoofing von MAC-Adressen leicht möglich
IP?
Internet Protocol:
-> Logische Netzwerk Adresse
ICMP? Angriffe auf ICMP?
Internet Controll Message Protocol
-> Verantworlich für Fehlermeldungen + diverse andere Informationen (Uhrzeit, Echo Request/ Reply, etc.
Angriffe:
traceroute
Sendet mehrfach IP-Datenpakete vom Typ ICMP Echo Request an den Ziel-Host, beginnend mit einer Time to Live (TTL) von 1
Erster Router, der das Datenpaket weiterleiten soll, zählt den Wert der TTL um eins herunter auf 0, woraufhin er es nicht weiterleitet, sondern verwirft
Dabei sendet er die ICMP-Antwort Typ 11: Time exceeded mit Code 0: Time to live exceeded in transit an den Absender
Datenpaket enthält als Source Address die IP-Adresse des betreffenden Routers
Information wird vom Traceroute-Programm zusammen mit der gesamten Übertragungsdauer aufgezeichnet
Wiederholung dieses Schritts mit einer um 1 erhöhten TTL, um auf dieselbe Weise den nächsten Router auf dem Weg durch das Netzwerk zu ermitteln
Wiederholung bis der Ziel-Host oder das vom jeweiligen Traceroute-Programm verwendete Maximum an Hops erreicht wurde
Wenn Ziel-Host erreicht, sendet er bei ICMP-Antwort Typ 0 ICMP Echo Reply bzw. bei UDP-basiertem Traceroute Destination Unreachable Code 3 Port Unreachable
TCP
Transmission Control Protocol:
Standard, der definiert, wie eine Netzwerkkonversation aufgebaut und aufrechterhalten wird, über die Anwendungen Daten austauschen können
Verbindungsorientiert (Three-Way-Handshake)
Verbindung wird aufgebaut und aufrechterhalten, bis die Anwendungen auf beiden Seiten den Nachrichtenaustausch beendet haben
Anwendungen, welche TCP nutzen:
Web (HTTP)
SSH
e-mail (z.B. POP3, IMAP, SMTP)
Ablauf von Datenübertragung mittels TCP?
z.B. HTTP-Programmschicht fordert TCP Programmschicht auf, die Verbingung aufzubauen und eine Datei zu senden
TCP-Stack teilt die Datei in Datenpakete auf, nummeriert diese und leitet sie einzeln an IP-Schicht zur Zustellung weiter
TCP-Programmschicht auf dem Client Computer wartet bis alle Pakete eingetroffen sind
Bestätigung der empfangenen Pakete und ggf. Nachfrage nach erneuter Übertrage der nicht erhaltenen Pakete (-> Nummerierung)
TCP-Programmschicht auf dem Client Computer setzt dann Pakete zu einer Datei zusammen übergibt die Datei an empfangene Anwendung
Land-Attacke?
Denial-of-Service Attacke:
Erzeugung eines SYN-Paket, bei dem Absender- und Zieladresse sowie Absender- und Zielport identisch sind, wobei Absender- und Zieladresse mit der des Opfers übereinstimmen
Sendung des Pakets an einen offenen Port des Opfers
TCP Schicht des Opfer antwortet mit einem SYN/ACK-Paket an die Quelle (also sich selbst)
Fehler im TCP/IP-Stack können dazu führen, dass dieses SYN/ACK-Paket als normales SYN-Paket betrachtet wird und das Opfer ein neues SYN/ACK-Paket an sich selbst generiert
Opfer wird durch die SYN/ACK-Pakete, die es sich selbst auf demselben Port zuschickt, ausgelastet
Was macht WLAN zu potenziell unsicheren Netzen?
Angreifer haben Zugriff auf das Übertragungsmedium
Welche Wireless Technologien gibt es?
Wireless Personal Area Network (WPAN)
Radio-Requency Identification (RFID)
Wireless Local Area Network (WLAN)
Wireless Wide Area Network (WWAN)
Fifth Generation Technology Standard (5G)
Was sind exemplarische Angriffe auf WLANs?
Sniffing: Netwerkverkehr mitlesen (mit tools wie Wireshark)
Angreifer spookt Access Point oder Client
Denial of Service
Wie könne WLANs abgesichert werden?
WEP → mittlerweile unsicher
WPA, WPA2 → gut Kennwörter erforderlich
WPA3
VPNs (Virtual Private Network)
Verschlüsselung auf Applikationsebene
Standard-Passwörter ändern
Sicherer Schlüssen und regelmäßiger Wechsel des Schlüssels
SSID - Service Set Identifier/ Network Name
Wie können WLANs vor Sniffing geschützt werden?
Absicherung der Clients/ Server
Separation von Netzwerksegmenten (physisch oder logisch)
Sicherung des Übertragungswegs via z.B. VPN
Sicherung des Zugangs zum Netzwerk
Sicherung von Nutzungsdaten
Firewalls
Was sind Firewalls?
Firewalls versuchen unerlaubten Zugriffe zu unterbinden
Arten von Firewalls:
Paketfilter
Stateful Inspection
Proxy Firewall
Positionierung von Firewall i.d.R. an der Grenze zwischen zwei Netzwerkzonen
Beispiele: iptables/ nftables (Linux), pf (packet filter, Open BSD), mod_security, etc.
Intrusion Detection Systems vs. Intrusion Prevention Systems
Intrusion Detection System:
Erkennung von Angriffen durch z.B. Anomalie Erkennung
Sendung eines Alarms
Intrusion Prevention System:
Zusätzlich zu Erkennun: Automatisches Ergreifen von Maßnahmen (z.B. Aktivierung von Firewall Regeln)
Honeypot und Honeynet
Ein Honeypot ist eine Resource eines Information Systems wessen Wert darin liegt getestet, angegriffen oder kompromottiert zu werden
Honeynets: Netzwerk von Honeypots
Last changed2 years ago