c2b_default

Host and Network Security

Thema KW4 Wenger

Thema KW4 Wenger

57
0.0 (0)

Kartei Details

Karten 57
Sprache Deutsch
Kategorie Informatik
Stufe Universität
Erstellt / Aktualisiert 19.01.2019 / 19.06.2019
Weblink
https://card2brain.ch/box/20190119_host_and_network_security
Einbinden
<iframe src="https://card2brain.ch/box/20190119_host_and_network_security/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Lernen

Wie sehen die Security Classifications aus und wo befinden sich host&network security?

Melde dich an, um Bilder anzusehen.

-organizational security

-legal security

-tech security

-system security

-host&network security

was versteht man unter system security?

host based security bietet eine erhöhte sicherheit für systeme

network based security bietet eine erhöhte sicherheit für das gesamte netzwerk

- die kombination von beiden security mechanisem bildet die optimale sicherheit=system security

Nennen sie einige host security mechanismen (6)

- sicherheitsmechanismen des Systems nutzen inkl. Updates

- host hardening

- host firewall

- host intrusion detection 

- host antivirus

- applikationen verwenden welche dazu entwickelt wurden so wenig wie möglich sicherheitsrisiken zu haben

nennen sie einige network based security mechanismen (3 stück mit untergruppen)

 

 

- protect networks (subnets, segments, zones) with firewalls

- protect networks (subnets, segments, zones) with active network devices 

-port based authentication, Network access control NAC

-network intrusion detection and prevention (NIDS/NIPS)

-quarantie networks

- Crytpo.Applikaitonen welche authentication und encryption garantieren (TLS, SSH usw)

Was für Möglichkeiten hat man mit einer Persönlicher / Host Firewall

- Alarmierung für ausgehende Verbindungen

- User kann bestimmen welche Programme ins Internet dürfen und welche nicht

- Schützt das System vor Portscans indem es nicht antwortet

- Überwacht Applikationen welche auf incoming Verbindungen warten

- Überwacht und reguliert incoming/outgoing internet traffic

- verhindert ungewolltes network traffic von lokal installierten applikation

- zeigt informationen über das system an welches erreicht werden will

 

welche Einschränkungen/Limitierungen haben System/Persönliche Firewalls?

- frisst ressourcen des system und kann ausserdem eine weitere Angrifsmöglichkeit anbieten durch bugs usw

- falls das system kompromitiert wurde, kann die firewall manipuliert oder gar ganz deaktiviert werden

- hohe Anzahl an Meldungen der Firewall kann den User verwirren oder die wichtigen Meldungen gehen unter

- software firewalls welche imit dem OS im kernel mode sprechen, können sicherheitslücken mit sich bringen oder instabilität

Was für Möglichkeiten hat man mit einer Network Firewall

- Definierte Verbindungen zwischen zwei (oder mehr ) Segmenten 

- Möglichkeit Pakete zu loggen, kontrolieren, rejecten zwischen den segmenten

- Möglichkeit Paketheader zu ändern (hide address, modify header flags, content)

welche Einschränkungen/Limitierungen haben Network Firewalls?

- kein Schutz innerhalb des Netzes

- Malware welche durch die offenen Ports geschleusst wird, wird nicht erkannt

- Verbindungen welche durch die FW geschleusst werden, werden nicht erkannt (zB IPv6 tunneling protocols)

- erkennt keine security flaws von netzwerk Applikationen

Wie sieht das Black Box Modell einer Netzwerkfirewall aus?

Melde dich an, um Bilder anzusehen.

Trennt einfach zwei Netze. In diesem Fall kommt man vom Intranet ins Internet aber nicht umgekehrt

Welche Firewall Typen gibt es?

- network layer firewall -> werden auch paket filter firewalls genannt

- application layer firewall

- hybrid firewall (kombination von beidem)

Auf welchem Layer arbeiten network layer firewalls?

normalerweise auf dem network layer /internet layer

Welche Network Layer/Paket filter firewall gibt es?

- stateless paket filter

- stateful paket filter (connection tracking)

- statuful inspection firewall/ stateful firewall (contentfilter, deep inspection)

- next gen firewall (gartner 2003)

- threat protection firewall

Wie sieht das Block Diagram bei Network Layer Firewalls aus?

Melde dich an, um Bilder anzusehen.

-Pre Routing -> Forward Filter -> Post Routing

den umgehehrten Weg genau gleich

Welche Header werden bei Network Layer Firewalls analyisiert und nennen Sie ein paar Beisipiele dazu?

 

Melde dich an, um Bilder anzusehen.

- traversed interface

eth0 inbound / eth1 outbound

- mac header:

source & dst MAC

ethertype: 0x800, 0x806

tag protocol: VLAN ID usw

IP header

src & dst addresse

ICMP/TCP/UDP Header

src & dst port: 80/443 usw

TCP control bits: SYN; ACK, FIN etc

ICMP Message type: 0,8 usw

Was versteht man unter Paket Fragmentation/Reassemling?

Pakete werden auf Layer 3 fragmentiert (aufgebrochen).

Damit die FW auf Layer 4 die Pakete-Header analysieren kann, müssen diese wieder reassembled werden

Das Reassemblen braucht zusätzliche Ressourcen und bietete mögliche DOS Attacken an

Nennen sie ein paar Eigenschaften/Funktionen von stateless packet filter

- Checken Pakete anhand von vordefinierten filter rules

- Nehmen die connection states auf

- forwarden gewünschte Pakete und discarden ungewollte pakete

- weniger sicher als statefull FWs aber effizienter(schneller)

- Werden nicht mehr gebraucht oder selten

Was sind die VOr/nachteile von stateless Paket Filters?

Vorteile:

günstig

einfach zu implementieren in routern und network devices

Nachteile:

schwirig zu konfigurieren

Content von Paketen kann nicht verändert werden

 

Alle der Nachteile werden mit statefull paket filters gelöst

Wie wird beispielsweise TELNET(23) über TCP auf einer stateless paket Filter implementiert?

(ACHTUNG ACK BIT Setzen)

Melde dich an, um Bilder anzusehen.

Wie sieht der TCP Connection establishment aus?

Melde dich an, um Bilder anzusehen.

Nennen sie ein paar Eigenschaften/Funktionen von statefull packet filter

- Überprüfen Pakete anhand von vordefinierten filter rules

- Nehmen state Informationen auf und modifizieren die filter rules dynmaisch an (TCP ACK zB)

- Schicken erwünschte Pakete weiter und blocken unerwünschte

- Sind sicherer als stateless paket filter und sind effizienter(schneller) als application layer Firwalls

Wie wird beispielsweise TELNET(23) über TCP auf einer stateful paket Filter implementiert?

Melde dich an, um Bilder anzusehen.

TCP ACK wird hier automatisch erkannt und behandelt

Was versteht man bei Stateful Packet Filters unter Connection Tracking / Keep Alive?

Melde dich an, um Bilder anzusehen.

- Bei jeder Connection welche ein statefull paket Filter traversiert, muss ein buffer reserviert werden für das Tracking des Verbindung

- Nachdem diese Connection eine Weile inaktiv sind, muss dieser Platz wieder frei gemacht werden damit kein Buffer overflow geschieht

- kann also sein, dass eine Verbindung zu früh gestoppt wird. Dies kann mit keep-alive Pakete verhindert werden`(siehe Putty printscreen)

Wie sieht eine Tracking / State Table eines Stateful Paket Filters aus?

Melde dich an, um Bilder anzusehen.

Was sind statefull inspection Firewalls?

Melde dich an, um Bilder anzusehen.

- ist eine erweiterung von statefull paket filter / FW

- sie machen zusätzlich noch stateful paket inspection (SPI) indem sie den application layer analysieren

Was ist eine Next Gen Firewall und welche Eigenschaften hat diese?

- kann Konfigurationen ohne Unterbrüche applizieren

- hat ein integriertes IPS (intrusion preventions system) -> gibt Empfehlungen für FW ab

- bitet application intelligence an -> applikationen und protokolle werden automatisch erkannt

- Externe ressourcen können angezapft werden wie : black/white lists

- Alle sonstigen features welche eine normale FW auch anbietet

Was sind UTM's (unified thread manangement) und was für features bieten sie an?

Die Evolution von traditinoellen FW in all-inkl network security Produkte

- Network firewalling

- NIP (network intrusion prevention)

- Gateway anitivirus

- gateway anti-spam

- VPN

- Content filtering

- load balancing

- data leak prevention

- on-appliance reporting

Was sind Threat protection Firewalls und welche Eingeschaften haben sie?

- Erweiterung von Next Gen Firewalls

- Erkennen malicious content/code

extrahier und führt den code/content in einer virtuellen sandbox aus auf der FW

analisiert das verhalten des codes/content

blockier oder lässt den code/content durch anhand der analyse

- soll nicht bekannte maleware erkennen

- sind relativ neu und es gibt noch nicht viel erfahrung damit

Was sind Application Layer Firewalls und welche Eingeschaften haben sie?

- Arbeiten auf dem Application Layer

- Paken die Paketen aus  und analysieren den Inhalt der Pakete

- Korrekte Pakete werden reassembled und weiter geschickte

- Agieren als Proxy zwischen sender und Empfänger

- Erlaubt Authentication und Authorization der Kommunikation

Wie nennt man Application Layer Firewalls auch?

- applicaton level/layer gateway (ALG)

- application firewall

- proxy server

Zeigen sie anhand eines Paketes auf was Application Layer Firewalls untersuchen

Melde dich an, um Bilder anzusehen.

Wie sieht das Proxy Modell aus wenn es Dual homed ist?

Melde dich an, um Bilder anzusehen.

Welche ALG (application layer gatways)/proxy Server Typen gibt es und wie können sie vorkommen?

- dedicated proxy server

- generic proxy server

- beide können als transparent oder non-transparent vorkommen

Welche Eigenschaften haben dedicated proxy server?

- Sind spezialisiert für dedizierte Applikationsprotokolle wie zb http, telnet, dns, ftp

- können Missbrauch von Protokollen identifizieren. (IP over DNS ooder p2p over http)

- komplex zu programmieren

Welche Eigenschaften haben generic proxy server?

- werden als Ersatz für dedicated proxy server verwendet. Hersteller sind meist zu langsam beim implementieren von neuen Protokollen oder propiertären Protokollen

- ein generischer Proxy server sendet den ganzen Content ohne Analyse weiter und ist daher unsicherer als ein dedicated

Welche Eigenschaften haben non-trasnsparent proxy server?

- Sender muss das Paket direkt an den Proxy schicken und nicht zum Zielsystem (z.b proxy im browser)

- nicht jedes Protokoll unterstützt non-transparent proxies, zB wenn das Ziel nicht im Applikation Protokol bekannt gegeben wird

Welche Eigenschaften haben trasnsparent proxy server?

 

- ist tranparent für den Sender/Applikation -> muss nichts geändert werden

- pakete werden von der fw entgegen genommen und an den proxy weiter geleitet

 

Was sind die Vor- und Nachteile von Proxy Server?

Vorteile: 

transparent für jeden User

gute Loggin möglichkeiten

Nachteile

unterschiedliche protokolle nutzen unterschiedliche proxy server

neue protokolle brauchen eigene proxy server

proxies funktionieren nicht mit allen protokolle

proxies können die Schwachstellen der jeweiliegen Protokolle meinstens nicht schützen

proxies brechen kryptografisch sichere Verbindungen auf 

Was ist eine WAF(Web application firewall) und welche Eingeschaften hat diese?

- eine web application firewall ist eine application firewall/proxy für HTTP

- sie schützt gegen HTTP Angreiffe

Beispiele

  • injection attack, ldap, scritp, XSS
  • hidden field tampering
  • parameter tampering
  • cookie poisiong
  • buffer overflow attack
  • forceful browsing
  • unauthorizing access to web servers
  • certain known vulnerabilities on web application

Was sind hybride firewalls ?

Melde dich an, um Bilder anzusehen.

eine Kombination von network layer firewalls und application layer firewalls. Alles in einer Box

Welche Guidelines sollte man beim Design eines FW enviroments beachten?

- use devices as they were intended to be used

- create defense-in-depth

- pay attention to internal thretds

- document the firewalls capabilities

Lernen