Questão | Responda |
Woraus besteht ein Cluster? | Manage Nodes & Compute Nodes |
Pozesse eines manage Nodes | API Server: Stellt die API zur Verfügung. Scheduler: Verteilt Pods auf die Compute Nodes. Controller Manager: Überwacht den Betrieb des Clusters etcd: Key-Value Store zum Speichern von Cluster Daten |
Prozesse eines compute Nodes | Kubelet: Betrieb und Überwachung der Container Kube Proxy: Zuständig für Netzwerkverbindung der Pods Container Runtime: Zuständig für ausführen der Container |
Zeichne einen fehlertoleranten Cluster | |
Zeichnen sie die Komponenten von Kubenet auf und beschreiben Sie sie | Deployment -> Replicast -> Pod -> Container Deployments enthalten eine Replicaset, das die Anzahl der Pods angibt. Pod ist die kleinste Einheit (abstrahiert einen Container) und kann nicht vom User erzeugt werden |
Interpretieren Sie: kubectl create deployment nginx-deploymnet --replicas=3 --image=nginx:1.14 | Erzeugen eines Deployments mit dem Namen nginx-deployment, dass aus dem Container nginx:1.14 besteht. Der Container soll dabei 3 mal repliziert werden |
Interpretieren Sie: apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: - name: nginx image: nginx:1.14 ports: - containerPort: 80 | Erzeugen eines Deployments mit dem Namen nginx-deployment, dass aus dem Container nginx:1.14 besteht. Der Container soll dabei 3 mal repliziert werden |
Was versteht man unter einem Service bei Kubernets? | Jeder Pod bzw. Deployment bekommt eine interne IP Adresse. Über diese Adressen können die Pods kommunizieren. Falls ein Pod abstürzt und neu erzeugt wird, bekommt er eine neue Adresse und ist damit für die anderen nicht mehr erreichbar. Darum kümmern sich Services. Ein Service wird einem Deployment zugewiesen und hat ebenfalls eine interne IP Adresse. Diese bleibt erhalten, wenn sich die Adresse eines Pods ändert. |
Was versteht man unter Loadbalancer bei Kubernets? | Services dienen der internen Kommunikation. Wenn eine Kubernetes-Anwendung von außen erreichbar sein soll, muss ein spezielles Service namens Loadbalancer eingerichtet werden nodePort: 30000 -> Service von außen über den Port 30000 erreichbar |
Skizieren Sie den Weg einer Email | |
Was sind MUA, MTA und MDA? | MUA = Mail User Agent MTA = Mail Transfer Agent MDA = Mail Delivery Agent |
Beschreiben Sie den Weg einer Email (keine Skizze) | Der Absender sendet eine E-Mail an die E-Mail-Adresse „domain.at“. Es muss keinen MUA geben, wenn auf dem Mail Server direkt der MUA vorhanden ist (Webmail). Zuerst gelangt die E-Mail über das SMTP Protokoll zum Mail Server (MTA). Der Mail Server macht danach eine Abfrage des MX Eintrages der Domäne „domain.at“. Danach (kann muss aber nicht) wird die E-Mail an weitere Mail Server gesendet. Ebenfalls über das SMTP Protokoll. Zum Schluss erreicht die E-Mail den Mail Server des Empfängers (MDA). Der Empfänger kann sich nun die E-Mail mittels POP3 oder IMAP4 herunterladen (außer er macht es über das Web, dann braucht er das nicht). |
Wie kann sichergegangen werden, dass bei Email sicher verschlüsselt wird? | PGP, GPG |
Wofür steht SMTP und was ist es? | Simple Mail Transfer Protocol dient zum Übermitteln von Daten zwischen MTAs Namensauflösung erfolgt per MX-Eintrag |
Beschreiben Sie den Verbindungsaufbau von SMTP | * Client ruft Server * Server meldet sich bereit * Client nennt seinen Namen * Server bestätigt * Client nennt Absenderadresse * Server bestätigt * Client nennt Empfängeradresse * Server bestätigt * Client kündigt Inhalt der E-Mail an * Server ist bereit für diesen längeren Vorgang * Der Client sendet nun den Inhalt der E-Mail. Ein Punkt in der letzten Zeile markiert das Ende der E-Mail. Zwischen Header und Textkörper muss eine Leerzeile vorhanden sein, sonst wird dem Empfänger kein Text angezeigt. * Server bestätigt und übernimmt die Verantwortung für die E-Mail * Client will die Verbindung beenden * Server beendet die Verbindung |
Nennen und beschreiben Sie die Status Codes | 1XX: Mailserver hat die Anforderung akzeptiert, ist aber selbst noch nicht tätig geworden. Eine Bestätigungsmeldung ist erforderlich. 2XX: Mailserver hat die Anforderung erfolgreich ohne Fehler ausgeführt. 3XX: Mailserver hat die Anforderung verstanden, benötigt aber zur Verarbeitung weitere Informationen. 4XX: Mailserver hat einen temporären Fehler festgestellt. Wenn die Anforderung ohne jegliche Änderung wiederholt wird, kann die Verarbeitung möglicherweise abgeschlossen werden. 5XX: Mailserver hat einen fatalen Fehler festgestellt. Die Anforderung kann nicht verarbeitet werden. |
Was bedeutet ESMTP und was ist es? | Extended Simple Mail Transfer Protocol Baut aus SMTP auf. Meldet ist der Client nicht mit HELO, sondern mit EHLO, teilt ihm der Server mit, welche Erweiterungen des Protokolls dieser unterstützt. |
Nenne Erweiterungen zu ESMTP | • STARTTLS (Secure SMTP over TLS) • DSN (Delivery Status Notifications) • AUTH (SMTP-Auth) |
Beschreibe STARTTLS + Nachteil | STARTTLS beginnt eine Verbindung immer unverschlüsselt auf dem Standardport. Erst nach Eingabe des STARTTLS-Befehls wird eine Verschlüsselung ausgehandelt. Die Verschlüsselung findet mit der gleichen Verbindung statt, es wird keine neue Verbindung aufgebaut. * Es können Dritte, die Zugriff auf den Netzwerkverkehr haben, nach dem STARTTLS Kommando filtern und sehen somit den gesamten unverschlüsselten E-Mail-Verkehr. |
Was versteht man unter DSN. Beschreibe auch | Delivery Status Notifications eine vom Mail Server gesendete E-Mail an den Absender, um diesen über den Verlauf der Zustellung zu unterrichten Erfolgt zB. wenn Email nicht oder gerade nicht zustellbar ist. Danach folgt eine DSN, die entweder Positiv ist und die E-Mail zugestellt wurde oder eine negative DSN, wenn die E-Mail nicht zustellbar war. Eine positive DSN wird nur dann versendet, wenn der Absender dies ausdrücklich anfordert |
Beschreibe SMTP-Auth (Verfahren nur nennen) | Erweiterung des ESMTP-Protokolls, die eine Authentifizierung des Clients ermöglichen. verschiedene Verfahren durch den Server angeboten: • PLAIN • LOGIN • CRAM-MD5 • NTLM |
Beschreibe die 4 Verfahren von SMTP-AUTH | • PLAIN: Benutzername (zur Authentifizierung) und Passwort unverschlüsselt übertragen. Die drei Zeichenketten werden in einer Zeichenkette zusammengefasst und Base64-kodiert. • LOGIN: Benutzername und Passwort unverschlüsselt Base64-kodiert übertragen. Die beiden Zeichenketten werden in zwei Schritten übertragen. |
Was ist POP3? Nenne 3 Vorteile und einen Nachteil | Post Office Protocol Mithilfe von POP3 können Clients E-Mails von einem Mail Server abrufen. Will Client E-Mails abrufen, baut er mittels POP3 Verbindung zu Mail Server auf und beendet diese wieder, danach die Nachrichten abgerufen wurden. Funktionen: Auflisten, Abrufen von, Löschen von E-Mails Vorteile: • keine ständige Verbindung zum Mailserver notwendig • Verbindung wird bei Bedarf vom Client aufgebaut und beendet • Nach Anmeldung werden alle E-Mails vom Mailserver heruntergeladen Nachteil: • Synchronisierung zwischen den Clients findet nicht statt. Wird eine Mail gelöscht oder als "Gelesen" markiert, wird diese Information nicht auf andere Mail-Clients übertragen. |
Was ist IMAP? Nenne 3 Vor- und Nachteile | Internet Message Access Protocol Über IMAP werden E-Mails direkt am Mail Server verwaltet und es ist auch der Zugriff auf verschiedene Ordner innerhalb einer Mailbox möglich. Vorteile: • Nachrichten werden separat auf dem Server gespeichert • Schneller erster Zugriff auf den Briefkasten • Der Inhalt des Briefkastens ist immer auf dem neuesten Stand Nachteile: • Für jede ungelesene Nachricht muss eine Verbindung zum Server hergestellt werden • Um die Kopie einer gesendeten Nachricht zu speichern, muss diese ein zweites Mal hochgeladen werden • Höhere Serverbelastung - insbesondere beim Suchen und Sortieren |
Was ist geeigneter für Unternehmen, IMAP oder POP + Begründung | IMAP Zugriff auf verschiedene Ordner innerhalb einer Mailbox ist möglich Bei POP erfolgt die Verwaltung am Client -> nicht gut für Unternehmen |
Was ist ein MX-Eintrag? | Eintrag im DNS. steht in der Zonendatei und gibt an, an welche IP-Adresse die anderen Mail Server die E-Mail schicken sollen. |
Was wird gemacht, wenn kein Mx-Eintrag vorhanden ist? | Es wird versucht über den A Resource Record die IP-Adresse zu ermitteln. Wird eine IP-Adresse gefunden, versucht der Mail Server eine SMTP Verbindung aufzubauen. Scheitert der Versuch, weil auf dem Host kein Mail Server installiert ist, erhält der Absender die Fehlermeldung „Host unknown“. |
Was ist DKIM? | DomainKeys Identified Mail Damit kann Authentizität eines Mailservers nachgewiesen werden |
Was ist SPF? | Sender Policy Framework Damit können im DNS die vertrauenswürdigen Mailserver einer Domäne definiert werden. |
Methoden um Spam- und Phishingmails auszufiltern | • Verwendung von Blacklists: Liste von gesperrten Domänen/Mailservern/Absendern • Verwendung von Whitelists: Liste von erlaubten Domänen/Mailservern/Absendern • Verwendung von Graylists: Die erste Zustellversuch wird unterbunden und erst beim zweiten Versuch wird die Nachricht zugestellt (Spamversender starten keinen zweiten Zustellversuch) • Textanalyse der Email: Dabei wird eine Score erstellt anhand dem festgelegt wird wie wahrscheinlich eine Nachricht eine Spamnachricht ist. |
Skizziere einen Paketfilter | |
Was ist ein Paketfilter? | Modifizierten Router, der die Paketheader der einkommenden Pakete nach einem definierten Regelsatz überprüft und dann entscheidet, ob ein Paket weitergeleitet wird oder nicht. |
Welche Informationen können bei einem Paketfilter überprüft werden? | ➔ Protokoll (ICMP, UDP, TCP . . .) ➔ Quelladresse/Quellport ➔ Zieladresse/Zielport ➔ Flags (insbesondere TCP Verbindungsaufbau) ➔ Zusätzlich können Regeln aufgestellt werden, die davon abhängen, welche Pakete zuvor empfangen wurden (Stateful Packet Filtering). |
Vorteile Paketfilter | • Sie sind einfach erweiterungsfähig für neue Protokolle und Dienste • Die Firewall bleibt für Anwendungen transparent. Clients, Server müssen nicht angepasst werden • Effizienz: Die entstehende Verzögerung bei der Überprüfung der Pakete ist gering |
Nachteile Paketfilter | • Zustandsorientierte Paketfilter sind sehr komplex, da in einer Lösung alle Kommunikationsprotokolle analysiert werden • Programme können nicht geschützt werden, die eine falsche Konfiguration aufweisen und damit einen direkten Zugriff auf das Rechnersystem zulassen |
Personal Firewall | arbeitet auf dem zu schützenden Gerät selbst |
Externe Firewall | ist auf einer separaten Hardware, die sich zwischen zwei Netzwerksegmenten befindet. Sie kann die Zugriffe zwischen den beiden Netzen beschränken und ist von den angeschlossenen Endgeräten unabhängig. |
Skizzieren Sie einen Proxy | |
Proxy Server (Dedicated Proxy) | Dienstprogramm, welches unter anderem HTTP-Anfragen zwischen einem Client und einem Server vermittelt. Im Datenverkehr der Client-Server Beziehung steht er als Vermittler zwischen den beiden Seiten und vermittelt von der Client-Seite aus Informationen oder Befehle an den Zielserver. Server kann die Kommunikation analysieren und sogar dessen Inhalt verändern. Der Zielserver sieht also nicht, welche Identität sein Client hat, wenn dieser einen Proxy Server nutzt. Gleichzeitig kann auf beiden Seiten nicht garantiert werden, dass die Informationen so ankommen, wie sie abgeschickt wurden, da der Proxy die Kommunikation manipulieren kann. |
Generischer Proxy (Circuit Level Proxy) | n Filtermodell eines Proxys. Auf einer Firewall kann man mit dem generischen Proxy Ports und IP-Adressen sperren, ohne dass auf dem Proxy selbst Daten analysiert werden. --> Daten werden nicht gespeichert oder manipuliert |
Transparenter Proxy | Da für die Verwendung von Proxys Einstellungen am Client notwendig sind, ist ein Proxy auch nicht transparent im Netzwerk. Wenn allerdings ein Proxy direkt am Gateway betrieben wird, spricht man von einem transparenten Proxy. In diesem Fall entfallen die Einstellungen am Client. |
Skizzieren Sie einen Reverse Proxy | |
Reverse Proxy | y läuft auf der Serverseite und liefert statisch gespeicherte Elemente. Dies führt zu einer Erhöhung der Performance. Die Adressumsetzung verläuft in die entgegengesetzte Richtung und so bleibt dem Client die wahre Adresse des Zielsystems verborgen. |
Proxy Firewall | Firewall, die auf Dedicated Proxys oder Circuit Level Proxys als Filtermodule zurückgreift. Diese Filtermodule setzen Regeln um, indem sie entscheiden, welche Daten an den tatsächlichen Kommunikationspartner weitergeleitet werden und welche nicht. Auf diese Weise versucht die Proxy-Firewall das eigene Netz(segment) vor unerlaubten Zugriffen zu schützen. |
Vorteil + Nachteil von Proxy Firewall | + Durch die Vermittlung und direkte Einbindung in den Paketfluss ist, neben der Integration von Authentifikations- und Protokolliermechanismen, die Kontrolle bestehender Verbindungen möglich - Anpassungen an der Clientsoftware sind nötig |
Applikationsfilter (Application Level Filter) + Vor- und Nachteile | besteht aus mehreren dedizierten und jeweils für einen Dienst spezialisierten. + differenzierte Authentifikationen und Überprüfungen + die Nutzung von Diensten lässt sich einschränken - rechenintensiver - Auf einen Dienst kann nur zugegriffen werden, wenn ein entsprechender Proxy für das jeweilige Übertragungsprotokoll vorhanden ist. Dies kann zu Problemen fuhren, wenn das Übertragungsprotokoll neu, für den Gebrauch mit einem Proxy ungeeignet oder zu wenig verbreitet ist |
Skizziere Kombination von Paketfilter und Proxy | |
Kombination von Paketfilter und Proxy. Was hat der Paketfilter sicherzustellen? | ➔ nur als sicher geltende Protokolle verwendet werden ➔ Verbindungen aus dem Internet nur an den Proxy gestellt werden ➔ der Verbindungsaufbau für bestimmte Protokolle nur vom Proxyserver aus möglich sind ➔ nur für bestimmte definierte Protokolle ein direkter Verbindungsaufbau aus dem lokalen Netz möglich ist |
Problematik Kombination von Paketfilter und Proxy | Sicherheit des Proxys: Da ein Proxyserver Proxys für verschiedene Anwendungen zur Verfügung stellen muss, muss dieser besonders gesichert werden. Sollte es einem Angreifer gelingen, einen Proxy einzunehmen, so wäre die Firewall nicht mehr von Nutzen, da der Angreifer nun vom Proxy aus weiteren Angriffen in unserem Netzwerk ausführen kann. Bereitstellung von verschiedenen Diensten: Problematischer wird es, wenn man nicht nur auf Dienste im Internet zugreifen will, sondern selbst welche zur Verfügung stellen will (Webserver). Webserver sind komplexer, und dadurch anfälliger gegenüber Angriffen. Da dieser Rechner von außen sichtbar ist, haben Eindringlinge quasi einen direkten Zugang zum System. Um diesem entgegenzuwirken, kann man den Server außerhalb des eigenen Netzes aufstellen, wodurch dieser allerdings völlig schutzlos wäre. |
IP-Tables | dienen dazu Regeln zu formulieren, die anhand der Header-Information eines Paketes entscheiden, was mit diesem geschehen soll. |
Regeln | Eine Regel besteht aus einem Muster und einer Aktion. Das Muster gibt hierbei an, auf welche Pakete eine Regel angewandt wird und die Aktion gibt an, was mit dem Paket passiert. |
Befehle Regeln | |
Muster | Es gibt eine Vielzahl an Standardmustern, die durch weitere Muster erweitert werden können (nur möglich, wenn entsprechende Module zur Unterstützung vorhanden sind). |
Muster Befehle (! dreht Bedeutung des Musters um) | |
Policies | Grundregeln, die Chains mitgegeben werden können und angewendet werden, wenn keine andere Regel der Chain greift ➔ ACCEPT: Das Paket wird angenommen ➔ DROP: Das Paket wird verworfen. Als Defaultpolicie sollte DROP gewählt werden, da dann der jeglicher Traffic explizit erlaubt werden muss. |
Chains | Regeln werden in Gruppen, sogenannten Chains, zusammengefasst. Einige dieser Chains sind vordefiniert. Chains werden wiederum Tables zu gewiesen. |
Befehle IP Tables | |
Tables | drei Tables, die aber noch ergänzt werden können. Diese Tabellen existieren nur, wenn in diesen auch Regeln angelegt wurden. ➔ filter: Sie ist die Standardtabelle. Auf sie wird zugegriffen, wenn keine andere Table angegeben wurde. Diese Tabelle beinhaltet INPUT, FORWARD und OUTPUT. ➔ nat: Sie ist für Port-Forwarding und Adress-Umsetzungen verantwortlich. Des Weiteren werden die Chains in dieser Table für jedes erste Paket einer neuen Verbindung aufgerufen. Die Table nat beinhaltet die Chains PREROUTING, OUTPUT und POSTROUTING. ➔ mangle: Sie beinhaltet die Chains PREROUTING und OUTPUT. Hier werden auch spezielle Änderungen an den Paketen vorgenommen. |
Skizziere den Weg von Paketen im Kernel | |
Stateful Paket Filtering | Wenn die Erweiterung state geladen wird, kann die state Zustandsliste zur Filterung herangezogen werden. |
Zustände von Stateful Paket Filtering | ➔ NEW: Dieses Paket beginnt eine neue Verbindung. ➔ ESTABLISHED: Es handelt sich um ein Folgepaket einer bestehenden Verbindung. ➔ RELATED: Dieses Paket beginnt eine neue Verbindung, diese steht aber in Verbindung mit einer bestehenden Verbindung ➔ INVALID: Pakete, welche nicht zugeordnet werden können. Diese können generell verworfen werden. |
DMZ | separates Netzwerk, welches sich zwischen dem internen LAN und dem Internet befindet. zwar vertrauenswürdiger als das Internet, allerdings erhalten die sich in ihr befindlichen Rechner nicht dieselben Rechte wie jene Rechner, die sich im internen LAN befinden. In der DMZ befinden sich normalerweise jene Anwendungen, die direkt mit dem Internet kommunizieren (WebServer, MailServer) Sollte nun ein Webserver attackiert werden, hat dies keinen Einfluss auf das interne LAN. |
Skizze DMZ | |
Skizziere Kombination Proxy, Firewall und DMZ | |
Skizziere Port forwarding mittels SSH | |
Port forwarding mittels SSH | Mit der Hilfe des ssh Dienstes kann ein entfernter Port (der durch eine Firewall geblockt ist) auf einen lokalen Port forgewarded werden. |
UDP- Holepunshing | Zwei User wollen miteinander kommunizieren, dazu sind sie mit einem Server verbunden. Der erste User versucht ein Datenpaket an den zweiten User zu senden. Das Paket wird allerdings an der Firewall des zweiten Users abgewiesen (rote Linie). Der Server fordert allerdings den zweiten User dennoch auf seine Antwort zu schicken. Dieser tut das auch und kommt durch die Firewall des ersten Users durch, da diese das Paket als RELATED ansieht aufgrund der Tatsache das er selber zuvor ein Paket geschickt hat und nicht weiß, dass dieses nicht durchkam. So kommt es zu UDP-Holepunshing. |
Skizze UDP- Holepunshing | |
VPN | Virtual Private Network Technologie um ein (virtuelles) privates Netzwerk über ein ungesichertes Medium zu übertragen |
Nenne 2 Arten von VPNs | Remote Access VPN Branch Office VPN |
Remote Access VPN | Von Zuhause arbeiten (Home Office) Außendienstmitarbeiter Über eine PPP-Wählverbindung zum lokalen ISP und von dort aus über das Internet zum Firmennetzwerk weitergeleitet, wird eine Verbindung zum Netzwerk hergestellt. Für die sichere Datenübertragung werden die Daten in einem Tunnel transportiert. Für den Tunnelaufbau seitens des Remote-Client (User) gibt es 2 Möglichkeiten: * Client-Software: Software ist verantwortlich für den Tunnelaufbau * VPN Router: Router welche die VPN Verbindung aufbaut und allen Geräten im Netzwerk zur Verfügung stellt. |
Branch Office VPN | Anbindung einzelner Firmenstandorte (da Verbindung mittels Leasing Lines zu kostenintensiv) Zwei Intranets(LANs) werden miteinander verbunden. . Die sichere Verbindung zwischen den VPN-Gateways wird durch einen Kommunikationstunnel gewährleistet |
Skizze Branch Office VPN | |
3 Arten von VPN-Verbindungen | Host to Host Host to Net Net to Net |
Skizze Remote Access VPN | |
Host to Host | Diese Verbindung besteht aus einer sicheren 1:1 Verbindung zwischen 2 Computern über das Internet. Anwendungsbeispiel: Voice over Wifi Das VoIP keine gute Verschlüsslungbietet, wird bei Telefonie über WLAN ein IPSec Tunnel zum Provider VoIP Server aufgebaut um damit die VoIP Daten zu verschlüsseln. Authentifizierung erfolgt über die SIM Karte |
Skizze Host to Host | |
Host to Net | "Dial-Up Service" VPN Verbindung von einem Gerät ins Firmennetzwerk. Dadurch kann der Mitarbeiter auf das Firmennetzwerk von Extern zugreifen. |
Skizze Host to Net | |
Net to Net | Diese Verbindung wird auch als LAN-Interconnect bezeichnet. Es wird verwendet um zwei Netzwerke transparent miteinander zu verbinden. VPN Verbindung zwischen zwei Standorten |
Skizze Net to Net | |
VPN – Tunnel | Vorgang, wo ein Paket in ein VPN-Paket verpackt wird und über ein öffentliches Netzwerk per „Tunnel“ an ein Ziel geschickt wird. Wenn das Paket am Ziel angelangt ist, wird es aus dem VPN-Paket wieder entpackt. verwendete Tunnelprotokoll übernimmt die Verschlüsselung des Pakets |
Skizze VPN Tunnel | |
Point to Point Tunneling Protocol (PPTP) | t. PPTP baut auf dem gleichen Prinzip wir L2F auf, jedoch implementiert es Sicherheitsmechanismen. Darunter eine Datenverschlüsselung (MPPE) und eine etwas bessere Authentifizierung (CHAP v2). nicht mehr „State oft he Art“ Hauptkritikpunkt war , dass der Schlüssel aus dem Hash des Benutzerpasswortes generiert wird |
Layer 2 Tunneling Protocol (L2TP) | Nachfolger für L2F und PPTP Vorteile der beiden Protokolle kombiniert reines Transportprotokoll – es besitzt keinerlei Verschlüsselung |
2 Technologien von VPN | Open VPN IPSec |
Open VPN | gesamte Kommunikation über eine TCP bzw. UDP Verbindung Verschlüsselung --> OpenSSL unterstütz es, im Gegensatz zu anderen VPN Lösungen, eine Vielzahl von Betriebssystemen * Mac OS Solaris * Linux * Windows * Android * iOS |
OpenVPN zwei Betriebsmodis | Routing: Beim Routing werden alle Daten über das IP Protokoll abgewickelt. Dazu wird ein Subnetz gebraucht. Bridging: Beim Bridgen wird der komplette Ethernet-Frame getunnelt .Vorteil liegt darin, dass beim Bridgen kein fiktives IP-Netz errichtet werden muss. Der VPN-Client bekommt eine Adresse aus dem IP-Pool zugewiesen. Dabei muss eine virtuelle Netzwerkkarte erstellt werden Nachteil gegenüber Routing liegt darin, dass es schlechter Skaliert. |
Bridging: Arten, wie Client sich beim Server authentifizieren kann | Pre-Shared-Key – Synchrone Verschlüsselung Zertifikate – Asynchrone Verschüsselung |
IPSec | Internet Protocol Security Damit wird die Datenintegrität, Zugriffkontrolle, Authentifizierung und die Verschlüsselung gewährleistet. Dienste von IPSec werden durch die Protokolle AH und ESP (Encapsulation Security Payload) bereitgestellt. Verschlüsselung -> IKE (Internet Key Exchange) Schlüsselverwaltung -> ISAKMP |
SA | Security Associations (SA) definiert welche Sicherheitsmaßnahmen für ein Paket herangezogen werden. * Ziel IP – Adresse * Secuity Protocoll Identifier * Security Parameter Index |
Transport und Tunnel Mode | e SA kann in einem der beiden Modi arbeiten Transport Mode ist dazu da, um Protokolle höherer Layer zu schützen Tunnel Mode nimmt das ursprüngliche IP-Paket her und packt es in ein neues Packet. Somit wird im Tunnel Mode das gesamte Packet (inklusive Header) verschlüsselt. |
Paketintegrität | stellt sicher, dass das IP-Paket während des Transport nicht verändert wird. durch einen Hash based Message Authentication Code (HMAC) sichergestellt. |
Paketauthentifizierung | stellt sicher, dass das Paket auch wirklich vom richtigen Absender kommt. HMAC |
Paketvertraulichkeit | durch die Verschlüsselung sichergestellt. |
Verkehrflussvertraulichkeit | e dient dazu, dass man keine Informationen über ein Netzwerk bekommen kann, in dem ein IP-Paket erstellt worden ist. |
Schutz vor wiederholtem Senden von Paketen (Replay-Angriffe) | Replay Angriff: Identitätsdiebstahl durch sammeln von Daten. Fremde Identität wird vorgetäuscht, um auf Ressourcen und Daten zugreifen zu können. (Über Man-in-the-Middle-Angriff) |
Denial-of-Service Angriff | = Gerät in Zustand zu versetzen, indem es ursprüngliche Aufgaben nicht oder unzureichend ausführen kann. Schutz: gehärteten IP-Stack implementieren (lässt nur Tunnelin-Protokolle Verbindung aufbauen) |
AH | Authentication Header sort innerhalb von IPsec für Authenzität der übertragenen Daten und Authentifizierung des Senders. Nutzdaten werden jedoch nicht verschlüsselt. |
ESP | Encapsulation Security Payload Sorgt innerhalb von IPsec für Authentisierung, Integrität und Vertraulichkeit der IP-Pakete. Nutzdaten verschlüsselt übertragen |
Quer criar seus próprios Flashcards gratuitos com GoConqr? Saiba mais.