BSN Lernskript

Transkript

1 BSN Lernskript Inhalt Firewall... 2 Aufgaben der FW... 2 Firewall -"Arten"... 2 Application level Gateway (Proxy)... 3 DMZ... 3 IDS Intrusion Detection System / Intrusion Reaction System... 3 NAT (Network Address Translation)... 4 PAT (Petwork Address Translation)... 4 Virenarten /- typen:... 5 Was ist ein Virus?... 5 Angriffe... 6 DDOS-Attacke... 6 Wie gehen DDoS-Angriffe Vonstatten... 6 Technischer Hintergrund... 6 Angriffsarten... 6 Man in the Middle... 6 Trojaner... 7 Allgemein... 7 Arten von Trojanern... 7 IPSec(IP Security)... 8 Betriebsarten... 8 Gründe für VoIP... 9 Komponenten... 9 SIP (Session Initiation Protocol )... 9 RTP (Real Time Protocol)... 9 ENUM TLS-Handshake TLS-Handshake Vorgang (Zertifikat basiert): IP-Sub-/Supernetting Statisches Routing Wichtige Seiten im IT-Handbuch... 13

2 Firewall Firewall Software Dienst/ Applikation, dem OS nachgeordnet Desktop-FW Aufgaben der FW Kontrolle der Kommunikation Analyse der Kommunikation Reglementierung Protokollierung bei Bedarf: Alarmierung Hardware Router/PC mit SW-FW und "gehärtetem" OS physikal. Trennung 2er Netz OSI 3 OSI 4 OSI 5-7 IP UDP/TCP Nutzdaten Q Z Q Z Flags Paketfilter Stateful Packet Inspection Firewall -"Arten" Application level Gateway (Proxy) Paketfilter: Untersuchung der Header-Adressen der OSI-Schichten 3 und 4 (IP,TCP,UDP) Stateful Packet Inspection: zusätzlich Analyse der TCP-Flags und Sequenz-Nummern-> gehört das Paket 2

3 Application level Gateway (Proxy) Analyse des Gesamtpaketes Proxy als "Stellvertreter" des Clients im WAN. Antworten werden gepuffert, zusammengesetzt, untersucht und erst dann an den Client weitergegeben. Header "KRIM" Header "INELL" DMZ FW-Architekturen Zentrale FW: dual - homed FW SWITCH LAN FW I-net Screened-Host-FW SWITCH FW I-net LAN Screened-subnet FW: DMZ (Demilitarisierte zone) SWITCH FW SWITCH FW I-net LAN Web- Server DMZ IDS Intrusion Detection System / Intrusion Reaction System Intrusion = die Menge von Handlungen, deren Ziel es ist, die Integrität, Verfügbarkeit oder Vertraulichkeit oder Vertraulichkeit eines Betriebsmittels zu Kompromittieren. 3

4 NAT (Network Address Translation) LAN Router WAN : Übersetzung > Source NAT < Destination NAT PAT (Petwork Address Translation) LAN Router WAN n: Übersetzung > Source NAT < Destination NAT Ausgehende Pakete (LAN WAN) lokales Netz (LAN) öffentliches Netz (WAN) Quell IP:Port Ziel IP:Port Quell IP:Port Ziel IP:Port : :80 Router : : : :80 ===========> Port Translation : : : : : :80 lokales Netz (LAN) Eingehende Pakete (LAN WAN) öffentliches Netz (WAN) Quell IP:Port Ziel IP:Port Quell IP:Port Ziel IP:Port : :5000 Router : :6000 <=========== : :5001 Port Translation : : : : : :6002 private Adressen / / "APIPA" 4

5 Virenarten /- typen: Bootsektor-Virus MBR OS-Loader Daten Virus OS-Loader MBR Daten 2 1 Link -/ Call-Virus V Programm Daten Virus Polymorphe / Metamorphe Viren Fehlermeldungen an AV-Scanner selbstverschlüsselnd Änderung des Programmcodes Was ist ein Virus? lateinisch virus Gift, Schleim; Viren sind Programmstücke in Maschinencode, die sich vervielfachen Wirtsprogramme 5

6 Angriffe DDOS-Attacke Wie gehen DDoS-Angriffe Vonstatten Botnetz aufbauen Die Infizierten Rechner agieren nicht ohne Befehl Je mehr Rechner umso größer das Volumen des Angriffs Technischer Hintergrund Angriffsarten Angriff findet auf Ebene 3,4 oder 7 statt Möglichst viele Ressourcen werden vom Angreifer in Anspruch genommen Sodass dieser nicht mehr Ereichbar ist HTTP Flooding (einfach): Es wird die selbe Anfrage oft versendet HTTP Flooding (erweitert): Hier wird außerdem auf Serverantworten reagiert Langsames Überlaufen :Viele Verbindungen werden aufgebaut und aufrecht erhalten Malformed UDP packet storm :Beschädigtes UDP Packet wiederholt geschickt Legitime Anfragen: Es werden legitime Anfragen an nicht existierende Hosts versendet SYN Flood : Es wird nur der erste Teil des 3- way Handshakes gesendet Man in the Middle Ein Angreifer, der sich zwischen zwei Kommunikationspatnern positioniert. Täuscht beiden Parteien vor, der jeweils erwartete eigentliche Patner zu sein. Kann den Dialog zwischen den beiden Parteien belauschen oder auch verfläschen. Ziel ist oft die Ermittlung von Passwörtern. Man-in-the-Middle durch IP-Spoofing IP-Spoofing zählt zu den typischen Angriffen, die einen Angreifer in die Position eines Man-in-the- Middle bringen kann. IP-Spoofing ist wegen einer systembedingten Schwäche von TCP/IP möglich. Im Prinzip geht es dabei um das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse. Man-in-the-Middle durch ARP-Spoofing ARP-Spoofing ist eine Variante von IP-Spoofing, womit sich ein Angreifer in die Position eines Man-inthe-Middle bringen kann. Nur das hier die systembedingten Schwächen von Ethernet ausgenutzt werden. Beim ARP-Spoofing werden ARP-Abfrage vorgetäuscht und die MAC-Adresse gefälscht, um den Datenverkehr umzuleiten und abzuhören. 6

7 Trojaner Allgemein Eine Art der Maleware. Nützlich getarnte Software, verleitet den Anzugreifenden die Software im sicheren System auszuführen. Im Hintergrund wird dabei dem Angreifer der Zugang in das geschützte System gewährt. Gezielte oder auch zufällige Einschleusung auf Computer möglich Durch Ausführung von Trojanern erfolgt die Installation einer möglichen Schadsoftware. Unabhängige Installation der Schadsoftware und dem Programm. Arten von Trojanern Verbund zweier eigenständiger Programme zu einer Programmdatei Linker (Binder, Joiner) heften Programme an eine Wirtsdatei Ohne Programmierkenntnisse Dropper o Trojaner startet Installationsroutine (Maleware) o legt Daten im System ab o Autostartmechanismen Plug In Trojaner o Verbergen ihre geheime Funktion in sich selber o Trojaner gelöscht steht die Schadfunktion nicht mehr zu Verfügung o Browser Plug-Ins bzw. Erweiterungsbausteine für Programme Externe Schnittstellen Trojaner o Bereits vorhandenes Programm benötigt o Nutzen externe Schnittstellen von Programmen o Nutzung der Möglichkeiten des Betriebssystems, um das Programm zu beeinflussen 7

8 IPSec(IP Security) "Funktionsgruppen" Protokolle AH(Authentication Header) -> Authentisiert ESP (Encapsulating Secrutiy Payload) -> authentisiert + verschlüsselt ISAKMP / IKE (Internet Key Exchange) -> Schlüsseltausch Betriebsarten Transportmodus -> originaler IP-Header Zustellung. Tunnelmodus -> "neuer" IP-Header dient der Zustellung. Betriebsarten AH im Transportmodus: IP-Header AH-Header TCP/UDP Daten AH im Tunnelmodus: Neuer IP- Header Authentisiert AH-Header IP-Header TCP/UDP Daten Authentisiert ESP im Transportmodus: IP-Header ESP-Header TCP/UDP Daten ESP-Trailer ESP-Auth. Authentisiert Verschlüsselt ESP im Tunnelmodus: neuer IP- Header ESP-Header IP-Header TCP/UDP Daten ESP-Trailer ESP-Auth. Authentisiert Verschlüsselt 8

9 VoIP -> Digitalisierung und Paketierung von Sprachdaten Gründe für VoIP Kostenersparnis günstige Telefonate gemeinsame Infrastruktur gemeinsames Management Neue Anwendungen Verknüpfung mit Datenbanken Click-to-Dial unified Messaging o Eine Rufnummer für unterschiedlichste Dienste Im Gegensatz zu ISDN wird die codierte Sprache in Daten-Paketen über das Netz übertragen. Sprachübertragung über IP-Netzwerke Komponenten IP-Telefon Multi- Media PC Tel.m. Adapter+ PC Switch Gateway P.O.T.S. (Klass. Telefonnetz) d TK- Server Router Internet SIP (Session Initiation Protocol ) Signalübertragungsprotokoll Regelt den Verbindungsaufbau RTP (Real Time Protocol) Kontinuierliche Daten Übertragung 9

10 ENUM Telefonnummern können mittels Telephone Number Mapping (ENUM) im Internet nachgeschlagen werden. Dieses Verfahren wird von einigen Netzbetreibern und sowohl von der deutschen (DENIC) Domain-Vergabestelle vorangetrieben. Bei ENUM wird die Rufnummer umgekehrt und mit Punkten zwischen den einzelnen Ziffern versehen, als Subdomain der Top Level Domain arpa mit der Second Level Domain e164 vorangestellt. Aus wird also zum Beispiel e164.arpa. Diese Lösung setzt allerdings voraus, dass der Telefonkunde schon über eine Rufnummer verfügt. TLS-Handshake - TLS (Transport Layer Security) der Vorgänger SSL (Secure Sockets Layer) - Hybrid Verschlüsselungsprotokoll für sichere Datenübertragung im Internet - Identifikation und Authentifizierung der Kommunikationspartner auf Basis asymmetrischer Verschlüsselungsverfahren, Public-Key-Kryptografie und Zertifikaten - Aushandeln zu benutzender kryptografischer Algorithmen und Schlüssel. TLS unterstützt auch eine unverschlüsselte Übertragung 10

11 TLS-Handshake Vorgang (Zertifikat basiert): 1- Der Client schickt dem Server ein Client_Hello mit seinen informationen über die Verschlüsselungsverfahren, dieer unterstützt und zufällig generierte Daten. 2- Der Server schickt dem Client ein Server_Hello mit dem ausgewählten Verschlüsselungsverfahren zu. Darüber hinaus schickt er dem Client seine Zufallsdaten zu. 3- Der Server schickt dem Client sein Zertifikat und seinen öffentlichen Schlüssel. 4- Der Server fragt den Client nach seinem Zertifikat. 5- Der Client überprüft das vom Server geschickte Zertifikat. 6- Wenn die Überprüfung OK ist, schickt der Client dem Server sein Zertifikat und seinen öffentlichen Schlüssel zu. 7- Der Server überprüft das Zertifikat vom Client. 8- Der Client errechnet das Pre-Master Secret und schickt es, verschlüsselt mit dem öffentlichen Schlüssel dem Server. 9- Der Client und der Server berechnen unabhängig von einander aus den Zufallsdaten und dem Pre-Master-Secret das Master-Secret (symmetrischer Schlüssel). 10- Der Client schickt eine Nachricht an den Server, dass er ab jetzt alles mit dem Master-Secret verschlüsselt überträgt. Ende TLS-Handshake Client. 11- Der Server schickt eine Nachricht an den Client, dass er auch ab jetzt alles mit dem Master-Secret verschlüsselt überträgt. Ende TLS-Handshake Server. 11

12 IP-Sub-/Supernetting Subnetting: Hostanteil wird kleiner, indem Bits vom Hostanteil dem Netzanteil zugeteilt werden. Beispiel: Subnetting Supernetting: Hostanteil wird grpßer bzw. Netzanteil wird kleiner Beispiel: Supernetting 12

13 Statisches Routing 1. Was ist der Unterschied zwischen Routing und IP-Forwarding? Routing beschreibt die gesamte Wegfindung der Pakete von Quellsystem zum Zielsystem IP-Forwarding beschreibt innerhalb eines IT-Systems den internen Transport der Pakete von einem Netzwerk-Interface des Systems zum anderen Netzwerk-Interface 2. Wozu dient statisches Routing bzw. die zugehörigen Routingtabellen? Die Einträge der Routingtabellen definieren einen festen (statischen) Weg zwischen zwei IT- Systemen. Diese Wege sind nur durch administrativen Eingriff zu ändern. 3. Welches sind die Minimalinformationen, die in allen Routingtabellen zu finden sind? (Zieladresse + Zielnetzmaske) + Gateway + Interface 4. Beschreiben Sie den Routing- und Forwarding-Prozess zwischen dem Eintreffen eines Quell- Ethernet-Frames an einer Netzwerkkarte und dem Aussenden des Ziel-Ethernet-Frames. Ethernet-Frame wird am Quell-Interface ausgepackt => IP-Paket IP-Informationen werden von Betriebssystem und ggf. Firewall ausgewertet => Wohin mit dem Paket? Wenn Paket weitergeleitet werden muss, wird es mit Hilfe der Routingtabelle an das zuständige Interface geforwarded. Am sendenden Interface wird das IP-Paket in einen neuen EthernetFrame verpackt und verschickt. 5. Wozu dient die Standardroute? Die Standardroute wird als Weg genommen, wenn keiner der anderen Einträge der Routingtabelle den Weg zu dem gewünschten Ziel beschreibt. Wichtige Seiten im IT-Handbuch Thema Seitenzahl Firewall, Packetfilter, DMZ 386 Viren, Trojaner 388 IDS, Man in the Middle 300 IPSec, VPN, AH, ESP 317 VoIP, RTP, SIP