Nätverkssäkerhet kunskap Flashcards
(113 cards)
1
Q
Vad står CIA-triaden för?
A
Confidentiality: ska inte komma till allmänt kännedom (t.ex. kryptering)
Integrity: info ska vara oförändrat (t.ex. hashar, signering)
Availability: kommer åt info när det behövs (t.ex. backup)
2
Q
Vad menas med Security trade-off?
A
Triangel med tre hörn: Security, Functionality, Usability
Ökad säkerhet leder oftast till sämre funktionalitet eller användbarhet eller båda.
3
Q
Vad har lök med säkerhet att göra?
A
Layered defense: att ha flera skal av säkerhetslösningar så att det fortfarande finns skydd om en eller några brister
4
Q
Vad är attackvektorer?
A
Sätt för en angripare att ta sig in i nätverket
finns många olika hot, t.ex. unpatched software, malware, inadequate security policies, hactivism, botnets…
5
Q
Vilka typer av säkerhetskontroller finns det?
A
- Directive (anvisningar): lagar, regler, rutiner, utbildning, skyltar
- Preventive (förhindrar): lås på dörren, staket, utbildning, inloggningar, kryptering, brandväggar
- Detective (upptäcker): rörelsedetektorer, sensorer, loggar, kameraövervakning, IPS/IDS
- Deterrent (avskräckande): fasadbelysning, anställningsklausuler, “varning för hunden”
- Corrective (korrigerande): disciplinära åtgärder, uppdatering av brandväggsregler
- Recovery (återställande): disaster recovery, backuper
- Compensating (en funktion ersätter en annan som inte kan implementeras): adm. rutiner ist.f. tekniska lösningar, separation of duties
delas upp i:
Physical: dörrar, väggar, lås, hundar
Administrative: policies, lagar, anställningskontrakt
Technical: Kameraövervakning, IPS, brandväggar
6
Q
Vad kallas det när alla ska ha tillgång till precis det de behöver och inte mer?
A
Principle of least privilege
7
Q
vad är kryptografi?
A
kommunikation utformad att undanhålla information från oinvigda
8
Q
Vilka standardbegrepp används inom kryptografi?
A
P: plain-text C: cipher-text K: key E: encryption D: decryption
9
Q
Vad menas med C>=P?
A
ciphertexten kommer alltid att vara större än eller lika stort som plaintext (den kan inte bli mindre)
10
Q
När ska data skyddas?
A
at rest
in motion / in transit
in use
11
Q
Vad är en algoritm?
A
programkod: instruktioner för att lösa en specifik uppgift
12
Q
Vad är encoding?
A
inte kryptering!
teckensekvenser i specifikt format för effektiv lagring eller överföring
t.ex. Base64 (binary to text)
13
Q
Vad ger bättre skydd när det gäller algoritmer?
A
- bra val av kryptoalgoritm, t.ex. AES eller (tidigare) DES
- bra nyckel (lång nyckel)
14
Q
Vad innebär Kerkhoffs princip?
A
- En krypteringssystem ska vara säkert även om allting om systemet, förutom nyckeln, är känd.
- dvs. säkerheten ligger i nyckeln/nycklarna
15
Q
Vilka problem stötar vi på när det gäller nyckelhantering?
A
- key generation: hur skapar vi nycklar?
- key verification: hur kontrollerar vi att nycklarna är rätt?
- key exchange: hur byter vi ut nycklar?
- key storage: hur lagrar vi nycklar?
- key lifetime: hur länge gäller nycklar?
16
Q
Förklara XOR
A
binär logisk operation: - smälter ihop två binärströmmer till en tredje - arbetar bitvis 0 xor 0 = 0 0 xor 1 = 1 1 xor 0 = 1 1 xor 1 = 0
17
Q
Vilka två sorters krypto finns det med tanke på hur de arbetar?
A
Stream-based: algoritm som arbetar bitvis, ofta med xor och en nyckelström
Block-based: algoritm som arbetar med block av data, t.ex. 64, 128, 256 bitar (kräver padding om sista blocket inte går jämnt upp)
18
Q
Vilka två krypton finns det (med klassisk tanke)?
A
Transposition: information ska läsas från specifika positioner
Substitution: ett tecken byts ut mot ett annat
19
Q
Vad heter kryptot som skrivs på fler rader och läses sick-sack?
Vilken typ av krypto är det?
A
Rail fence (zigzag cipher) Det är en transpositions-krypto.
20
Q
Vad heter kryptot där bokstäver byts i sekvens?
A
Ceasar-krypto eller rotationschiffer, t.ex. ROT13 där bokstäverna roteras ett halvt varv (13=26/2)
21
Q
Med vilken metod kan jag knäcka substitutionschiffer?
A
Frekvensanalys: man möter hur ofta tecken förekommer och jämför med text från det språket
22
Q
Vad heter chiffret där man förskjuter substitutionen?
A
Vigenère-chiffer (använder Vigenèr-table)
23
Q
Vad kallas det enda oknäckbara kryptot?
A
One time pad:
- samma nyckel för båda sidor
- nyckeln används bara en gång
- nyckeln längre än klartextmeddelandet
24
Q
Vilka tre typer av krypto har vi pratat om?
A
Symmetrisk kryptering: samma nycklar
Asymmetrisk kryptering: olika nycklar
(Hashning): inga nycklar (kan inte dekrypteras)
25
Ge två exempel på symmetrisk kryptering (ett dåligt och ett bra)!
```
DES, 3DES = dåligt!
- 64 bitars block
- 56 bitars nyckel
AES = bra! (kallas även Rijndael)
- 128 bitars block
- 128, 192, 256 bitars nyckel
```
26
Vilka tre implementationer av AES finns det?
ECB: Electronic Code Book: Varje block krypteras oberoende med samma nyckel (sämst)
CTR: Counter mode: Varje krypteringsblock injiceras med en räknare
CBC: Cipher Block Chaining: Varje krypteringsblock förse nästa block med ett frö
27
Vilket är den vanligaste asymmetriska krypterinsmetoden?
RSA (finns även DSA och ECC, fast de behöver vi inte kunna)
- rekommenderat minsta nyckellängd: 1024 bitar
- privata nyckeln innehåller även den publika
- base64-encodat
28
Vilka nycklar används för kryptering respektive signering
avsändarens privata nyckel = signering
avsändarens publika nyckel = validera signaturen
mottagarens publika nyckel = kryptering
mottagarens privata nyckel = dekryptering
29
Vad är för och nackdelar med symmetrisk resp. asymmetrisk kryptering?
Symmetrisk (används för stora datamängder):
+ mycket snabbare
- osäkrare
- hemlig nyckel måste bytas ut (PSK)
Asymmetrisk (används för nyckelutbyte av PSK, autentisering, signering/validering):
+ säkrare
+ inget utbyte av hemliga nycklar
- mycket långsammare
30
Vilken funktion används för Data integrity?
Hashning:
- går ej att reversera (envägsfunktion)
- se slumpmässig ut
- man kan kontrollera att data är oförändrat
- används för lagring av lösenord
- data i valfri längd ger hash i exakt längd
- inga kända metoder att skapa kollisioner
31
Vad kallas det när en liten förändring leder till en helt annan hash?
Avalanche effekt
32
Vad heter det när hashning av olika input ger samma hash?
Kollisoner
33
Ge exempel på vanliga hash-algoritmer.
MD5: 128 bitar (skapat 1991; kollisioner 2004)
SHA1: 160 bitar (skapat av NSA 1993; osäker fr.o.m. 2005)
SHA2: 224-512 bitar (skapat av NSA 2001; osäker snart)
SHA3: 224-512 bitar (förbättring av SHA2)
34
Hur många olika klartextmeddelanden finns det som kan ge md5-hashen b18186eb6379fcafb565e15e3c911ea8?
oändligt!
35
Hur många olika md5-hashar kan man få av “jimmy”?
1
36
Hur många lösenord finns det som fungerar att logga in med om lösenordet är lagrat som md5-hashen 7576f3a00f6de47b0c72c5baf2d505b0?
Ett oändligt antal!
37
Vad är en kollision?
Man kan generera två klartextmeddelanden som ger samma hash.
38
Vad kallas det när en nyckel tillsätts till datat för att sedan hashas?
HMAC: Hash Message Authentication Code
- både avsändare och mottagare har samma nyckel
- om det bara är de som har nyckeln är det bara de som kan kontrollera hashen
- symmetrisk!
39
Vad används av avsändaren för att kontrollera att mottagaren har rätt nyckel?
Challenge Response:
- avsändaren skickar en påhittat mängd klartextdata till mottagaren
- mottagaren räknar ut en hash och krypterar med nyckeln och skickar detta till avsändaren
- avsändaren räknar ut sin egen nycklade hash av originaldatat och jämför med det hen fick av mottagaren
- om det är samma har mottagaren rätt nyckel
40
Hur fungerar signering?
som HMAC, fast med asymmetrisk kryptering
41
Vilka 5 delar ingår i Secure Communications (se modul7)?
1. Message confidentiality
2. Confidential distribution of encryption keys
3. Message integrity
4. Non repudiation of origin
5. Non repudiation of delivery
42
Vad är Diffie-Hellman?
- asymmetrisk algoritm för att förhandla fram en gemensam nyckel över ett osäkert medium
- INTE en krypteringsalgoritm
43
Vad vet du om http resp. https?
http:
- Client-Server (Request: C to S; Response: S to C)
- Stateless
- förutsätter pålitlig transportmetod (TCP)
https:
- samma protokoll fast inuti en krypterad förbindelse (SSL/TLS)
44
Vilka är de två vanligaste http request-metoder?
GET: "ge mig den här URL:en, tack"
POST: för att skicka data till webservern
45
Vad är ett certifikat?
- Innehavarens identitet. “Nisse”. https://abc.se. Pelles laptop. Webservern Y.
- Innehavarens publika nyckel.
- En relation till någon som alla litar på.
46
Vad är CA?
Certificate Authority:
Finns Root CA, evtl. intermediate CAs (auktoriserade av Root CA) och Non-CA End-Entities (slutanvändare, datorer, domäner)
47
Vad kallas det när vi litar på nåns certifikat för att det är utfärdat av en CA vi litar på?
Chain of Trust
48
Vad är CSR?
Certificate Signing Request
- -> Innehavaren: - vill ha ett certifikat; - skapar ett nyckelpar; m- sätter ihop ett förslag till ett certifikat vilket innehåller den egna publika nyckeln; - skickar detta till utfärdaren (CA); - bevisar sin identitet (mail, telefon, adress)
- -> Utfärdaren: kontrollerar Innehavarens identitet; - signerar certifikatet med sin privata nyckel
49
Vad kallas spärrlistorna för certifikat och protokollet för att kolla statusen av certifikat?
CRL: Certificate Revocation List
OCSP: Online Certificate Status Protocol
50
Vad är PKI?
Publik Key Infrastructure
- -> Sättet att hantera digitala certifikat och publika krypteringsnycklar
- -> Säkerställa att publika nycklar sammankopplas med identiteter (personer, organisationer)
- SSL/TLS; - S/MIME; - VPN; - 802.1x
51
Vad är SSL respektive TLS?
- kryptografiska protokoll
- SSL (gammalt): Secure Sockets Layer
- TLS (v.1.2 best practice idag): Transport Layer Security
- -> används för autentisering av webservern
- -> TLS Handshake: parterna kommer överens om hur datat ska skyddas
52
Hur ser en TLS Handshake ut?
Mellan SSL Client och SSL Server:
> Client hello: Samtliga cipher suites som klienten supportar
< Server hello: Vald cipher suite (bör vara den högsta)
- Klienten kontrollerar certifikatet
> Client key exchange: skickar gemensamma nyckel och klientcertifikatet
- Servern verifierar klientcertifikatet (om det behövs)
> Client finished
< Server finished
<> Messages exchange (krypterad med gemensam nyckel)
53
Vad är PFS?
Perfect Forward Secrecy:
| - Encryption system that changes the keys used to encrypt and decrypt information frequently and automatically.
54
Vilka två MitM-metoder kan en hackare använda för att kringgå SSL?
SSL strip:
- anslut till original-servern med https, men till klienten med http (inget certifikat behövs)
SSL split:
- anslut till original-servern med https, skapa ett nytt (falskt) certifikat och ansluta till klienten med https
Resultatet: hackern kan se all trafik okrypterad mellan klienten och original-servern
Funkar bara eftersom SSL är en envägscertifiering (bara servern behöver autentisera sig)
55
Vad är HSTS?
HTTP Strict Transport Security:
| - Om man har anslutit till en site en gång, kräver den i fortsättningen alltid https.
56
Vad är Certificate Pinning?
- restricts which certificates are considered valid for a particular website
- Instead of allowing any trusted certificate to be used, operators "pin" the certificate authority (CA) issuer(s), public keys or even end-entity certificates of their choice.
- Clients connecting to that server will treat all other certificates as invalid and refuse to make an HTTPS connection.
57
Var kan jag kontrollera en websidas SSL info?
SSL Labs
58
Vad är fördelen med att attackera så långt ner som möjligt i OSI-modellen?
- attack mot ett visst lager möjliggör kontroll över ovanliggande lager
- dvs. ju längre ner i OSI -modellen en attack sker, desto större är "smörgåsbordet"
59
Nämn några möjliga attacker mot switchar.
- CAM overflow (genom MAC flooding)
- STP-attacker
- CDP "information disclosure"
- Vlan hopping
60
Hur kan jag skyddar mig mot CAM flooding?
- enable Port Security (switchport port-security)
- specificera max antal MAC-adresser på interfacet
- ange kända MAC-adresser (specifika eller sticky)
61
Vad är dåligt med DTP och hur kan jag skydda mig?
Dynamic Trunking Protocol
Problem: Cisco tillåter som standard vem som helst att förhandla upp en trunk, då kan man komma åt alla VLAN i nätverket.
Skydd: switchport mode access
62
Hur förhindrar jag STP-attacker?
Spanning Tree har normalt Core, Distribution och Access
- lägg root guard vid utgående portar från Core (till lagret under)
- bpdu guard vid accessportarna (utgående från accesslagret)
63
Vad står AAA för?
Authentication
Authorization
Accounting
(ibland lägger man till Availability som fjärde A)
64
Vilka två autentiseringslägen finns det?
Local AAA Authentication
| Server-Based AAA Authentication
65
Vilka två AAA Authentication servrar har vi pratat om?
```
Radius
- öppen standard (RFC)
- udp
- password encrypted
Tacacs+
- Cisco-propietärt
- tcp
- entire packet encrypted
```
66
Vad heter standarden för switchport-baserad accesskontroll?
802. 1x
- det finns tre roller: Supplicant, Authenticator, Authentication server (Radius)
- innan porten är autentiserad tillåts endast EAPOL, vilket är 802.1x autentiseringsprotokoll
- EAP-TLS används för att kommunicera mellan S och AS
- PEAP använder bara servercertifikat och inte klientcertifikat (användarnamn&lösenord)
67
Vilka Wifi-standarder ska vi kunna?
802. 11 -max 2Mbps, 2,4 GHz
802. 11b -max 11Mbps, 2,4 GHz
802. 11g -max 54Mbps, 2,4 GHz
802. 11a -max 54Mbps, 5GHz
68
Vad är en Accesspunkt?
- Brygga: 2-portars "switch"
| - en ethernet-port och en radio
69
Vilka tre antenntyper har vi pratat om?
- Omni-directional
- Directional
- Yagi
70
Vad är förkortningen av wifi-nätverksnamnet?
SSID: Service Set IDentifier
| - kallas även ESSID (Extended ...)
71
Vilka hot finns det mot wifi?
- ej legitima klienter
- ej legitima nät
- MitM-attacker
- DoS-attacker
72
Vilka 2,4 GHz-wifi-kanaler bör man använda och varför?
1, 7, 13; eftersom de annars överlappar
73
Vad är fördelen när det kommer till kanaler i 5 GHz-wifi-nätet?
- det är många fler tillgängliga
| - de överlappar inte
74
Varför är WEP dåligt!
- använder RC4-ström-chiffer
- knäcks lätt genom att samla in tillräckligt många datapaket
- lösenordskomplexitet spelar ingen roll
75
Hur knäckar man WPA/WPA2?
- spela in 4-vägs-handskakning när en klient loggar in (WPA handshake)
- offline: brutforce wordlist attack mot den inspelade handskakningen
76
Vad är en Captive Portal?
Web page that the user of a public-access network is obliged to view and interact with before access is granted.
77
Hur gömmer jag ett wifi-nät?
non-broadcast SSID: visas inte som standard, men går lätt att upptäcka t.ex. med airmon-ng
78
Vad kan du om WPA/WPA2?
- finns Personal mode (PSK) och Enterprise mode (serverbaserad)
- WPA: - förbättring av WEP; - RC4 strömschiffer; - 128 bitars nyckel
- WPA2: - AES-kryptering; säkrare än WPA
79
Vilket protokoll använder Dynamic Port Forwarding?
SOCKS5 (för enkapsulering)
80
Varför är det viktigt med DNSSec?
- skyddar DNS-infrastrukturen
- DNS är sårbar för MitM-attacker
- DNSSec ska försvåra ej legitim förändring av DNS-data
81
Vilka nycklar finns det i DNSSec och hur används de?
ZSK:
- används för att signera "vanliga" resource records i zonen, t.ex. A, CNAME, MX, osv. men inte DNSKEY!
- c:a 1-2 månaders giltighetstid
KSK:
- används för att signera ZSK, dvs. DNSKEY records
- c:a 1-2 års giltighetstid (kräver uppladdning av ny DS-SET
DS-SET:
- hash av zonens publika KSK som placeras i föräldrazonen
OBS: RRSIG signeras aldrig (det är signaturen!)
82
Vad kalles nyckelutbytet i DNSSec?
Key-rollover
83
Hur ser DNSSec:s Chain of Trust ut?
För varje signerad domän:
• Lagras de publika nycklarna (ZSK och KSK) i zonfilen.
• Lagras en signatur för varje RRSET i zonfilen.
• Skapas en hash av den publika KSK som lagras hos föräldradomänen. (DS-SET)
84
Vem kör DNSSec?
- INTE klienten!
- klienten ställer frågor till öppna lokala resolvrar
- den lokal resolvern kan konfigureras att validera DNSSec-data och validerar isåfall datat rekursivt från root
85
Vad är en brandvägg?
- router som filtrerar trafik
86
Vilka två typer av brandväggar finns det och vad är skillnaden?
1st gen firewall: stateless
- både ingående och utgående trafik konfigureras separat
2nd gen firewall: stateful
- tillåter trafik i riktningen som sessionen initierades. Returtrafiken tillåts automatiskt.
- använder sig av fw state table
3rd gen firewall: statefull med inspektion på L7
- applikations-brandvägg
- känner igen http, FTP, SMTP osv.
- "tillåt Spotify", "blockera Facebook chat"
87
Vilka två typer av VPN har vi pratat om?
```
Klient-VPN:
- klient kopplar upp sig mot servern
Site-to-Site VPN (Lan2Lan):
- sammankopplar ett eller flera subnät på respektive site via "peers"
- använder IPSec
```
88
Vilket är den vanligaste Site2Site tunnel?
IPSec
- använder flera protokoll: IKE (ISAKMP) för förhandling av tunnelparametrar, autentisering; ESP (AH) för enkapsulering av trafik
89
Varför är GRE ej lämplig för VPN?
okrypterad & oautentiserat
90
Vad kan du om OpenVPN?
- OpenSource
- openSSL för kryptering
- transporteras i regel över UDP
- både protokoll och mjukvara
91
Vad heter Ciscos VPN-tjänst?
AnyConnect
| behöver Cisco brandvägg i andra änden
92
Vad är IPSec?
- VPN-lösning som används av de flesta företag
- flera olika protokoll:
- --> IKE (ISAKMP) för förhandling av tunnel-parametrar
- --> ESP (AH) för enkapsulering av trafik
93
Vad kallas ett VPN som är open source fast snabbare än OpenVPN?
WireGuard
94
Vad utgör TLS-VPN?
- VPN-klient som tunnlar trafik över en TLS-tunnel
| - kallas även WebVPN eller SSL-VPN
95
Vad kallas servern på andra sidan VPN-tunneln?
VPN peer
96
Vad är skillnaden mellan AH och ESP? (IPSec)
AH: Authentication Header
- har ingen confidentiality
- krypterar inte trafiken!
- dåligt!
ESP: Encapsulationg Security Payload
- använd bara den
97
Vad används IKE-protokollet till? (IPSec)
- används för att etablera en VPN-tunnel
| - för att förhandla fram parametrarna, efter det används ESP för själva trafiken
98
Förklara IPSec Phase 1 & Phase 2 Key Negotiation.
Initiator (I) & Responder (R)
Phase 1: Negotiating ISAKMP (eller IKE) policy to create tunnel
1: Negotiate ISAKMP policy: I->R, R->I
2: DH key exchange: I->R, R->I
3: Verify the peer identity: I->R, R->I
Phase 2: Negotiate IPsec policy for sending secure traffic across the tunnel
Negotiate IPsec Policy: I->R, R->I
ESP (eller AH) för enkapsulering av trafik
99
Vilka begrepp inom DDoS ska vi kunna?
reflekterad: göra attacken via tredjepart (reflektorer, t.ex. webservrar)
distribuerad: utföra attacken via flera (många utövrare & reflektorer )
amplifierad: använda ett protokoll, där svaret är mycket större än förfrågan
100
Vilka skydd finns det mot DDoS?
- ISP: DDoS-skydd
- patchar servrar så att de inte bli reflektorer
- antivirus för datorer som är med i botnet
- ISP: source filtering
101
Vad kan du om SMTP?
- Simple Mail Transfer Protocol
- inget spoofing-skydd, ingen autentisering
- klartext, tcp (port 25) (syn, synack, ack), telnet
- baseras på MX-record i DNS
102
Vad är Open Relay?
SMTP-server som även ta emot mail till andra domäner (och vidarebefordra dem); dåligt!
103
Vad kan Antispam triggas på?
- nyckelord
- beteende av mejlserver
- IP-reputation
- länkar
- SPF hardfail
- SPF softfail
- DKIM signatur
104
Vad är Greylisting?
princip: legitima E-Mail skickas med upprepade försök
- första mejlet avvisas och avsändaradressen hamnar på en lista
- om mejlet skickas igen tillåts det
- infon som sparas kallas "triplet": avsändarens mejlserver, avsändarens mejladress och mottagarens mejladress
105
Vad innebär SPF?
Sender Policy Framework:
- använder DNS, TXT-records
- DNS-record i zonen innehåller en policy för vilka avsändar-IP-adresser som får skicka mejl ifrån den
- Mottagarens SMTP-server KAN (frivilligt) kontrollera SPF och kolla om IP-adresserna matchar
106
Vad är DKIM?
Domain Keys Identified Mail:
- mailserver för utgånede mail skapar nyckelpar
- publika nyckeln sparas i DNS
- utgående mejl signeras med privat nyckel
- OBS: detta är inte kryptering!
107
Vad är IDS/IPS?
Intrusion Detection System / Intrusion Prevention System
IDS:
- detekterar och larmar om intrångsförsök & anomalier
- sätts oftast in-line (bredvid)
IPS:
- detektera, larma och förhindra intrångsförsök & anomalier
- on-line (på vägen)
Finns nätverksbaserad (NIPS), som en switch och hostbaserad (HIPS), som mjukvara i datorn
108
Hur hittar IDS/IPS intrångsförsök/anomalier?
- signaturbaserad: beskriver ett beteende (kräver en aktiv tjänst, som ett antivirus)
- anomalibaserad: "såhär brukar paketen inte se ut..."
- ryktesbaserad: "scr IP 1.1.1.1 är just nu med i ett botnet" (kräver aktiv tjänst)
109
Vad är false positive?
falsklarm= larm för något som inte skulle larmas
- finns även: false negative, true positive, true negative
110
Vad är en Honeypot?
- fälla för att locka till sig attackerare
- exempel "cowrie" (ssh-server på port 22)
- bonus: vi använde JoeSandbox för att köra maleware/virus och se vad den innehåller
111
Vilka parametrar måste konfigureras på interfacet på en Cisco ASA?
- ip adress
- security level
- nameif
112
Vilket protokoll använde vi för att koppla ihop två brandväggar genom en okrypterad tunnel?
GRE i PFSense
113
Vilka ip-adressområden är privata?
10. 0.0.0 - 10.255.255.255
172. 16.0.0 - 172.31.255.255
192. 168.0.0 - 192.168.255.255
