c2b_default

Host and Network Security

Thema KW4 Wenger

Thema KW4 Wenger

57
0.0 (0)

Kartei Details

Karten 57
Sprache Deutsch
Kategorie Informatik
Stufe Universität
Erstellt / Aktualisiert 19.01.2019 / 19.06.2019
Weblink
https://card2brain.ch/box/20190119_host_and_network_security
Einbinden
<iframe src="https://card2brain.ch/box/20190119_host_and_network_security/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
Lernen

Was ist eine Next Gen Firewall und welche Eigenschaften hat diese?

- kann Konfigurationen ohne Unterbrüche applizieren

- hat ein integriertes IPS (intrusion preventions system) -> gibt Empfehlungen für FW ab

- bitet application intelligence an -> applikationen und protokolle werden automatisch erkannt

- Externe ressourcen können angezapft werden wie : black/white lists

- Alle sonstigen features welche eine normale FW auch anbietet

Was sind UTM's (unified thread manangement) und was für features bieten sie an?

Die Evolution von traditinoellen FW in all-inkl network security Produkte

- Network firewalling

- NIP (network intrusion prevention)

- Gateway anitivirus

- gateway anti-spam

- VPN

- Content filtering

- load balancing

- data leak prevention

- on-appliance reporting

Was sind Threat protection Firewalls und welche Eingeschaften haben sie?

- Erweiterung von Next Gen Firewalls

- Erkennen malicious content/code

extrahier und führt den code/content in einer virtuellen sandbox aus auf der FW

analisiert das verhalten des codes/content

blockier oder lässt den code/content durch anhand der analyse

- soll nicht bekannte maleware erkennen

- sind relativ neu und es gibt noch nicht viel erfahrung damit

Was sind Application Layer Firewalls und welche Eingeschaften haben sie?

- Arbeiten auf dem Application Layer

- Paken die Paketen aus  und analysieren den Inhalt der Pakete

- Korrekte Pakete werden reassembled und weiter geschickte

- Agieren als Proxy zwischen sender und Empfänger

- Erlaubt Authentication und Authorization der Kommunikation

Wie nennt man Application Layer Firewalls auch?

- applicaton level/layer gateway (ALG)

- application firewall

- proxy server

Zeigen sie anhand eines Paketes auf was Application Layer Firewalls untersuchen

Melde dich an, um Bilder anzusehen.

Wie sieht das Proxy Modell aus wenn es Dual homed ist?

Melde dich an, um Bilder anzusehen.

Welche ALG (application layer gatways)/proxy Server Typen gibt es und wie können sie vorkommen?

- dedicated proxy server

- generic proxy server

- beide können als transparent oder non-transparent vorkommen

Welche Eigenschaften haben dedicated proxy server?

- Sind spezialisiert für dedizierte Applikationsprotokolle wie zb http, telnet, dns, ftp

- können Missbrauch von Protokollen identifizieren. (IP over DNS ooder p2p over http)

- komplex zu programmieren

Welche Eigenschaften haben generic proxy server?

- werden als Ersatz für dedicated proxy server verwendet. Hersteller sind meist zu langsam beim implementieren von neuen Protokollen oder propiertären Protokollen

- ein generischer Proxy server sendet den ganzen Content ohne Analyse weiter und ist daher unsicherer als ein dedicated

Welche Eigenschaften haben non-trasnsparent proxy server?

- Sender muss das Paket direkt an den Proxy schicken und nicht zum Zielsystem (z.b proxy im browser)

- nicht jedes Protokoll unterstützt non-transparent proxies, zB wenn das Ziel nicht im Applikation Protokol bekannt gegeben wird

Welche Eigenschaften haben trasnsparent proxy server?

 

- ist tranparent für den Sender/Applikation -> muss nichts geändert werden

- pakete werden von der fw entgegen genommen und an den proxy weiter geleitet

 

Was sind die Vor- und Nachteile von Proxy Server?

Vorteile: 

transparent für jeden User

gute Loggin möglichkeiten

Nachteile

unterschiedliche protokolle nutzen unterschiedliche proxy server

neue protokolle brauchen eigene proxy server

proxies funktionieren nicht mit allen protokolle

proxies können die Schwachstellen der jeweiliegen Protokolle meinstens nicht schützen

proxies brechen kryptografisch sichere Verbindungen auf 

Was ist eine WAF(Web application firewall) und welche Eingeschaften hat diese?

- eine web application firewall ist eine application firewall/proxy für HTTP

- sie schützt gegen HTTP Angreiffe

Beispiele

  • injection attack, ldap, scritp, XSS
  • hidden field tampering
  • parameter tampering
  • cookie poisiong
  • buffer overflow attack
  • forceful browsing
  • unauthorizing access to web servers
  • certain known vulnerabilities on web application

Was sind hybride firewalls ?

Melde dich an, um Bilder anzusehen.

eine Kombination von network layer firewalls und application layer firewalls. Alles in einer Box

Welche Guidelines sollte man beim Design eines FW enviroments beachten?

- use devices as they were intended to be used

- create defense-in-depth

- pay attention to internal thretds

- document the firewalls capabilities

Zeichnen Siei das Screened Host Modell auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

- Bastion Host läuft auf dem Intranet

 - Auf der Screening FW werden packet filters sodass nur der Bastion Host von aussen erreicht werden kann

 

Zeichnen Siei das Screened Subnet Modell auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

Der Bastion Server steht zwischen zwei Firewalls -> Auch DMZ genannt

Auf beiden Firewalls (intern und extern)muss der Zugriff auf den Bastion Host konfiguriert werden mittels packet filters

 

Zeichnen Siei das Dual Homed Modell auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

Firewall steht zwischen Intranet und Internet.

Hat jeweils ein Bein pro Netz

Bastion Host -> screened host modell

Zeichnen Siei das Tri& Multihome auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

Firewall hat drei oder Mherere Beine in die Netze

in der DMZ stehen Systeme welche von Internet wie auch vom Intranet erreichbar sind

Bastion Host -> screened subnet

Zeichnen Siei Security Zones mit verschiedenen Firewalls auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

Mehrere Firewalls vorhanden.

Mühsam zum verwalten da an mehreren Stellen Rules gesetzt werden müssen.

Sicher

Zeichnen Siei Security Zones mit einer Multihomed FW auf und eklären sie einige Eigenschaften

Melde dich an, um Bilder anzusehen.

Nur eine Firewall vorhanden.

Einfacher zu verwalten da nur eine FW vorhaden

leicht unsicher als mit weniger FWs gearbeitet wird. Wenn hier die FW kompromitiert wird, kommt man überall rein

Was ist das Problem bei virtuellen Systemen und physikalischen FWs? und was ist die lösung dafür?

Melde dich an, um Bilder anzusehen.

Traffic wird vielfach direkt innerhalb des Hypervisors weitergeschickt ohne das es über die FW geroutet wird.

Um das zu lösen gibt es virtuele Firewalls welche man als Appliance auf dem Hypervisor installieren kann

Was sind IDS/IPS (intrusion detection system/intrusion protection system)?

- erkennen attacken gegen Komponenten im Netzwerk

- können zusammen mit firewalls und network devices arbeiten um gewisse Attacken zu stoppen

Was für  IDS/IPS (intrusion detection system/intrusion protection system) Typen gibt es?

hast bases IDS/IPS = HIDS

Network based IDS/IPS = NIDS/NIPS

hybrid IDS/IPS

Was für Funktionen haben host basierte  IDS/IPS (intrusion detection system/intrusion protection system)?

- erkennt attacken gegen hosts

- arbeitet eng zusammen mit dem Host OS

- haben einen negativen Einfluss auf die System Performance & Stabilität

- erkennen manchmal keine DOS attacken

Was für Funktionen haben network basierte  IDS/IPS (intrusion detection system/intrusion protection system)?

- arbeiten als intelligenter protokoll analyzer und analysieren den gesamten netzwerktraffic

- erkennen attacken-signaturen und kann gegenmassnahmen treffen

- braucht zugriff auf alle pakete aller netzwerksegmenten (meist mit mirror ports gelöst)

- kann anomlien identifizieren und reagiert preventive indem es mit der fw interagiert

Was für Nachteile haben network basierte  IDS/IPS (intrusion detection system/intrusion protection system)?

- kann attacken nicht identifizieren welche über mehrere Pakete verteilt werden

- kann mit Dos attacken deaktriviert werden

- muss stehts mit den neusten pattern gefüttert werden

Was sind hybride IDS/IPS (intrusion detection system/intrusion protection system)?

eine Mischung von Host und Network IDS/IPS

- erkennen in der Regel intrusions besser indem das Wissen auf beiden Seiten kombinieren

Welche Interesse haben Netzwerk Operators im zusammenhang mit NAC?

- wissen wer das netz braucht

- zugriff limitieren für bestimmte user

- zustand des Systems wissen welches sich einwählen will

- versuechte systeme erkennen und säubern

Was ist MAC Based Port security und welche Vor/nachteile hat es?

Kontrolliert netzwerk indem 

- es nur zugriff an freigegeben MACs gibt

-MAC Liste kann dynamisch oder statisch sein

Nachteile

- unflexibel mit roaming/mobile devices

- MAC Adressen können einfach gespooft werden

Was ist IEEE802.1X "Port based network access control"?

- Netzwerkzugriff nur für authentsierte und authorisierte User gewährleisten

- Spezifiziert eine allgmeine Architektur und Protkolle welche eine mutual authentication erlauben

- Authenticator =Swtich, Port=Supplicant, backend=authentication server

 

Auf welches Protokoll bassiert NAC/IEEE802.1X?

Auf EAP (extensible authentication protocol)

Lernen