Sicherheit

Question 1

Was gibt es für Angriffsarten auf verteilte Informationssysteme?

Answer 1

Man unterscheidet zwischen lokalen und entfernten Angreifern bzw. Angriffen. Lokaler Angreifer hat entweder physischen Zugriff zum System oder Zugriff durch Anmeldedaten.

Ein entfernter Angreifer interagiert mit dem System über die vom System angebotenen Diensten wie beispielsweise einen Webserver

Question 2

Was bedeutet Authentifizierung?

Answer 2

Das Wort setzt sich zusammen aus dem griechischen authentikos für “echt” und dem lateinischen “facere” für machen. Profan bedeutet das die Feststellung der Identität des Benutzers. Oder Nachweis einer behaupteten Eigenschaft einer Entität.

Question 3

Was bedeutet Autorisierung?

Answer 3

Nachdem ein Benutzer authentifiziert ist, wird seine Berechtigung beim Zugriff auf Ressourcen und Diensten autorisiert, d.h. seine Zugriffsberechtigung wird überprüft.

Question 4

Was verbirgt sich hinter Ausfallsicherheit?

Answer 4

Es gibt keine absolute Sicherheit für Ausfälle, man kann jedoch die Wahrscheinlichkeit für einen Totalausfall minimieren.

Dafür setzt man auf Redundanz. Zunächst nicht genutzte Teile des verteilten IS sind aktiv, ohne am eigentlichen Zweck beteiligt zu sein. Bei einem Defekt übernehmen sie automatisch die Aufgabe des ausgefallenen Teils. Das geschieht für den Benutzer vollkommen transparent, d.h. Benutzer bekommt davon nichts mit.

Question 5

Was sind die vier Teilaspekte der Datenintegrität?

Answer 5

• Korrekter Inhalt: Daten liegen fehlerfrei vor.
• Unmodifizierter Zustand: Daten werden nicht modifiziert. Im Sinne von Nachrichten bedeutet dies, dass Mechanismen vorhanden sind, um sicherzustellen, dass beim Transport die Daten nicht verändert werden
• Erkennen von Veränderungen: Auditing
• Temporale Korrektheit: zeitliche Bedingungen, wie die Übermittlungsreihenfolge von Nachrichten oder maximale Verzögerungen sind sichergestellt.

Question 6

Was ist Disaster Recovery?

Answer 6

Eine vollständige Widerherstellung des Systems auf den Zustand vor dem Eintritt des Ausfalls bzw. des Disasters.

Question 7

Was bedeutet High Availibility im Kontext eines verteilten IS?

Answer 7

Fähigkeit eines verteilten IS trotz des Ausfalls von einem oder mehrerer Komponenten seinen Betrieb aufrechtzuerhalten und seine Dienste weiterhin anzubieten.

Question 8

Wie wird die Verfügbarkeit gemessen?

Answer 8

1 - (Ausfallzeit / Produktionszeit + Ausfallzeit)

Question 9

Wie versucht man Hochverfügbarkeit zu erreichen?

Answer 9

• Durch Vermeidung von Single Points of Failure
  
  • durch Redundanz kritischer Systemkomponenten
    
    • unterbrechungsfreie Stromversorgung - uninterruptable power supply
    • mehrfache Netzteile
    • RAID Verfahren
    • redundante Netzwerkverbindungen

Question 10

Was ist Link Aggregation?

Answer 10

Link Aggregation (LA) bezeichnet im Rahmen der Netzwerktechnik verschiedene Verfahren zur Bündelung mehrerer physischer LAN-Schnittstellen zu einem logischen Kanal zum Zweck den Datendurchsatz und die Ausfallsicherheit gegenüber einer einfachen Netzwerkschnittstelle zu erhöhen. Eine verbreitete und herstellerübergreifende Implementierung stellt das Link Aggregation Control Protocol (LACP) dar, welches im Rahmen der IEEE als IEEE 802.3ad, seit dem Jahr 2008 als IEEE 802.1AX bezeichnet, normiert ist.

Question 11

Was sind Synonyme für Link Aggregation?

Answer 11

• Port Trunking
• NIC Bundling
• NIC Teaming
• Interface Bonding - Donald Becker’s Version, was im Linux Kernel eingebaut ist, was ohne Unterstützung in den Switches zurecht kommt.

Question 12

Was passiert konzeptionell bei Link Aggregation?

Answer 12

Es sind zwei Netzwerkadapter vorhanden, über die Ethernet Rahmen geschickt werden können. Diese haben zwei unterschiedliche MAC Addressen. Die Netzwerkschnittstelle muss weiterhin für Anwendungen transparent sein. Das Betriebssystem muss dann entscheiden, wie die Pakete über welchen Netzwerkadapter geschickt werden. Dafür gibt es verschiedene Konzepte. Logisch hat man einen Netzwerkadapter, was gebundelt ist.

Question 13

Was ist Round-Roubin Balancing im Kontext von Link Aggregation?

Answer 13

Die Ethernet Rahmen werden reihum über die aggregierten Netzwerkschnittstellen geschickt, hauptsächlich um den Durchsatz zu erhöhen.

Question 14

Wie wird “Active Backup” bei Netzwerkschnittstellen implementiert?

Answer 14

Ein Netzwerkadapter ist im Hot Standby. Dieser Netzwerkadapter hat die gleiche MAC Addresse, um die Arbeit des Switsches nicht zu beeinträchtigen und um sicherzustellen, dass der Kommunikationspartner für den Switch der gleiche bleibt.

Question 15

Welches Problem kann der Round-Robin-Algorithmus bei TCP Verbindungen verursachen?

Answer 15

Durch das fortwährende Wechseln der Netzwerkschnittstelle wird die Reihenfolge der Ethernet-Rahmen permanent vertauscht, was auf der Empfänger-Seite mehr Sortier-Arbeit der Pakete erforderlich macht.

Question 16

Was sind die verschiedenen Bündelungsverfahren bei Link-Aggregation?

Answer 16

Roundrobin: Hier werden alle zur Verfügung stehenden Leitungen abwechselnd der Reihe nach benutzt.

DA-Trunking: Hier wird anhand des Modulo der Destination-MAC-Adresse die elementare Schnittstelle gewählt.

SA-Trunking: Hier wird anhand des Modulo der Source-MAC-Adresse die elementare Schnittstelle gewählt.

SA-DA-Trunking: Hier wird anhand des Modulo der Source-MAC-Adresse und der Destination-MAC-Adresse die elementare Schnittstelle gewählt.

Adaptives Trunking: Hier wird erst bei 100 % Auslastung der ersten elementaren Schnittstelle eine weitere zugeschaltet.

Dynamisches Trunking ist im Standard Link Aggregation Control Protocol (LACP) und bei proprietären Verfahren wie PAgP möglich.

Question 17

Was sind die drei verschiedenen Cluster-Typen?

Answer 17

• High performance Computing Cluster - HPC
  
  • Parallelisierung rechen-intensiver Aufgaben
• Load-Balancing Cluster
  
  • Verteilung der Last auf verschiedene Maschinen
• High Availability Cluster
  
  • Sicherstellung der Ausfallssicherheit

Question 18

Was ist Cluster Interconnect?

Answer 18

Bei HA Clustern existieren zwischen den Cluster Knoten Datenverbindungen, die mit der Aussenwelt nichts zu tun haben. Diese Datenverbindungen werden als Cluster Interconnect bezeichnet.

Question 19

Was gibt es für Cluster-Typen, wenn man sie nach Datennutzung unterscheidet?

Answer 19

• Shared-Nothing-Cluster: Jeder Knoten ist eigenständig
• Shared-All-Cluster: Alle Cluster greifen auf den selben Datenbestand zu

Question 20

Wie wird in einem Cluster Hot Standby auf Maschinen-Ebene implementiert?

Answer 20

Fällt die Maschine aus, dann wird der Maschine die öffentliche IP Addresse entzogen und dem Server innerhalb des Verbunds mit der geringsten Auslastung zugewiesen.

Question 21

Wie wird die wieder Inbetriebnahme einer ausgefallenen Maschine bezeichnet?

Answer 21

Failback

Question 22

Was ist das Split-Brain problem und wie wird es gelöst?

Answer 22

In einer Split-Brain-Situation ist der Interconnect ausgefallen, so dass die Knoten keinen Kontakt mehr zueinander haben. Sie können also nicht feststellen, ob nur die Datenverbindungen oder tatsächlich ein Teil des Clusters ausgefallen ist.

Damit keine Konkurrenz-Situationen entstehen, die Daten-Inkonsistenzen zur Folge haben können, nutzen alle Knoten einen gemeinsamen Speicherbereich, den man als Quorum oder Voting Disk bezeichnet, was auf jeden Fall konsistent sein muss.

Question 23

Was sind die Ziele der Krypographie?

Answer 23

• Vertraulichkeit (Confidentiality): Nur berechtigte Personen dürfen eine Nachricht lesen.
• Authentizität (Authenticity): Der Sender der Nachricht muss unverfälscht sein.
• Integrität (Integrity): Die Nachricht muss unverändert und vollständig sein
• Nichtabstreitbarkeit (Non-Repudiation): Der Absender ist in der Lage nachzuweisen, welcher Absender die Nachricht geschickt hat.

Question 24

Wie funktioniert Diffie-Hellmann-Schlüsselaustausch?

Answer 24

1. Primzahl p und natürliche Zahl g wird festgelegt.
2. Empfänger und Sender wählen Zahlen e und s, welche Kleiner als p sind und geheim sind
3. Öffentliche Schlüssel
   
   1. pub_s=g^s (mod p)
   2. pub_e=g^e (mod p)
4. secret = pub_s^e(mod p) = pub_e^s (mod p)

Question 25

Wieviele Schlüssel brauchen 5 Kommunikationspartner bei Diffie-Hellmann?

Answer 25

10 = 5 über 2

Question 26

Wie funktioniert RSA Verschlüsselung?

Answer 26

1. wähle zwei Primzahlen p, q mit n = p * q
2. phi = (p - 1) (q - 1)
   
   1. wähle e, so dass e mod phi ungleich 0
3. Öffentlicher Schlüssel: e und n
4. Privater Schlüssel: D = e^-1 (mod phi)
5. Cipher: C = M^e (mod n)
6. Message: M = C^D (mod n)

Question 27

Was sind die Eigenschaften von kryptographischen Hashfunktionen?

Answer 27

• Einwegfunktionen: nicht invertierbar
• Verteilung der Wertemenge: Die Kollisionen, die auftreten, sind gleichmäßig verteilt
• Veränderungen des Eingabewertes: Minimalste Veränderung des Eingabewertes führt zu einer signifikanten Änderung des Hash-Wertes

Question 29

Wofür wird die digitale Signatur verwendet?

Answer 29

• Mit Hilfe einer digitalen Signatur soll die Authentizität einer Nachricht sichergestellt werden, da davon ausgegangen wird, dass nur der Absender im Besitz der privaten Schlüssel ist
• Nachricht wird mit der privaten Schlüssel verschlüsselt oder signiert, so dass eine digitale Signatur entsteht.
• Nachricht wird mit der öffentlichen Schlüssel entschlüsselt.
• Wenn entschlüsselte Nachricht identisch ist, dann kann man von der Authentizität ausgehen.

Question 30

Was ist das Konzept der Caesar-Verschlüsselung?

Answer 30

Die Buchstaben werden innerhalb des Alphabets um X Stellen nach rechts verschoben. Damit muss man 26 Möglichkeiten ausprobieren, um die Nachricht zu entschlüsseln. Andere Möglichkeit wäre eine Permutation des Vertauschens zu wählen, was in 26! enden würde.

Question 31

Was sind Verschlüsselungen auf Schicht 6-7 und wie werden sie bezeichnet?

Answer 31

• Ende-zu-Ende Verschlüsselung
• HTTP, SMTP, SSH => S/MIME, OpenPGP

Question 32

Was sind Verschlüsselungen auf Ebene 3-5 und wie werden sie bezeichnet?

Answer 32

• Transportverschlüsselung
• Steuerung => SSH, TLS
• Transport => SSL/TLS
• Vermittlung => IP => IPSec

Question 33

Was sind Verschlüsselungen auf Ebene 1-2?

Answer 33

• Verbindungsverschlüsselung
• PPP, WLAN => CHAP, ECP, L2TP, PPTP, WPA

Question 34

Was sind die VPN Typologien?

Answer 34

• End-to-Site VPN: Ein Client, laptop oder Smartphone verbindet sich mit der VPN
• Site-to-Site VPN: Wenn eine Firma aus mehreren Standorten besteht, die über ein VPN kommunizieren möchten

Question 35

Was sind die Ziele eine VPNs?

Answer 35

• Garantie der Vertraulichkeit
• Authentifizierung der Datenquelle: Daten nur aus bekannten Datenquellen
• Datenintegrität, dahingehend, dass Daten “integer” transportiert werden
• Verhinderung von Replay-Attacken

Question 36

Was sind Replay-Attacken?

Answer 36

Angriffe, bei denen ein Datenstrom aufgezeichnet wird und dann wieder abgespielt wird. Beim IPSec wird dies durch Seriennummern und ein bewegliches Nummerierungsfenster sichergestellt.

Question 37

Wie wird die gemeinsame Basis bei einer IPSec Verbindung bezeichnet?

Answer 37

Security Association

Question 38

Wo werden die Security Association Informationen bei IPSec abgespeichert?

Answer 38

• Security Policy Database
  
  • Quell- und Zieladresse, die auch als Netzwerkmaske angegeben werden kann
  • Quell- und Zielport der VPN Gateways
  • Transportprotokoll
  • Name des Nutzers entweder als
    
    • fully qualified user name xxx@domain.de
    • X.500 Distinguished Name-Notation
      
      • (C=DE, O=<organisation>, CN=<username>)</username></organisation>
• Verwendete Sicherungsverfahren (AH oder ESP)

Question 39

Was sind die Modi Operandi von IPSec?

Answer 39

• AH - Authentication Header
• ESP - Encapsulating Security Payload
• ESP und AH

Question 40

Was sind die Ziele von IPSec mittels AH?

Answer 40

• Authentizität
• Datenintegrität
• Verhinderung von Replay-Attacken

Question 41

Was macht IPSec mit AH konzeptionell mit dem IP Paket?

Answer 41

• Wie der Name schon sagt, findet alles auf IP Ebene - sprich Ebene 3 - statt
• Das Protokol sieht nur das IP Paket
• Das Protokol nimmt das IP Paket und berechnet den Authentication Header und fügt ein Tunnel-IP-Header hinzu, so dass die Integrität des IP Pakets gewährleistet ist.

Question 42

Was sind die Authentication Header Daten bei einem IPSec AH Header?

Answer 42

• Next Header - bezeichnet das Protokol
• Payload-Length - Länge des AH-Pakets
• Security Parameter Index - Index, wo die Security Association für dieses Paket angelegt ist
• Sequence Number - eine einmalige Nummer, die Replay-Attacken verhindern soll
• Authentication Data - eine krypographische Prüfsumme, mit der die Daten-Integrität sichergestellt werden soll.

Question 43

Wie erweitert IPSec mit ESP IPSec mit AH?

Answer 43

• TCP payload wird auf Basis des vereinbarten Verfahren verschlüsselt
  
  • Trip-DES-CBC
  • AES-CBC
• Da einige Verschlüsselungsverfahren nur block-weise verschlüsseln, muss Padding hinzugefügt werden.
• Integrity Check Value berücksichtigt den IP Paket Kopf nicht.

Question 44

Was ist der Hauptkritikpunkt an IPSec?

Answer 44

IPSec verschlüsselt nicht sicher, da laut RFC Algorithmus NULL erlaubt ist. Somit kann es betrieben werden, in dem man auf ESP verzichtet.

Question 45

Auf welcher Netzwerk-Ebene agiert SSL/TLS?

Answer 45

• oberhalb von Ebene 5 (TCP)
• kann nur TCP Verbindungen verschlüsseln, weil es oberhalb von TCP agiert.

Question 46

Was sind die verschiedenen TLS Protokole?

Answer 46

1. TLS Record Protocol
2. TLS Handshake Protocol
3. TLS Change Cipher Spec Protocol
4. TLS Alert Protocol
5. TLS Application Data Protocol

Question 47

Was ist die Aufgabe des TLS Record Protocol?

Answer 47

• Sicherstellung der Vertraulichkeit durch Verschlüsselung
• Sicherstellung der Integrität durch eine kryptographische Hash-Funktion

Question 48

Was macht das TLS Handshake Protocol und wie läuft das ab?

Answer 48

• Verantwortlich für den Verbindungsaufbau
  
  • Austausch von Zertifikaten
  • Festlegung der Verschlüsselungsparameter

1. Client sendet Client Hello und nennt die Verschlüsselungsverfahren
   
   1. symmetrisches Verschlüsselungsverfahren (AES, 3DES)
   2. kryptographische Hashfunktion (HMAC, SHA256)
   3. Schlüsselaustauschverfahren (Diffie-Hellmann)
2. Server antwortet mit Server-Hello
   
   1. das ausgesuchte Verfahren
   2. Server-Zertifikat
3. Client kann optional mit einem Zertifikat antworten und liefert auch einen Sitzungsschlüssel, der mit dem Public Key von dem Server verschlüsselt ist.

Question 49

Was ist das Konzept von Perfect Forward Secrecy?

Answer 49

• Eigenschaft eines Schlüsselaustausch-Protokols
• Ein Protokoll hat Perfect Forward Secrecy, wenn die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können.
• Bei SSL wird der Datenverkehr symmetrisch verschlüsselt. Der symmetrische Schlüssel wird durch einen asymetrischen Schlüssel ausgetauscht. Zeichnet jemand die Kommunikation auf und bekommt Zugriff zum Private Key, dann kann er die Kommunikation entschlüsseln. Somit werden die Schlüssel nicht direkt verwendet, sondern Session Keys genutzt, die vom Master Key abgeleitet sind

Question 50

Was ist SSH?

Answer 50

• Secure Shell (SSH) ist ein kryptographisches Netzwerk Protokol
• SSH operiert auf Anwendungsschicht oberhalb von der TCP Schicht
• The standard TCP port for SSH is 22.
• SSH kann auch zum Tunneln von unsicheren Verbindungen genutzt werden.

Question 51

Was sind die drei Schichten des SSH Protokols?

Answer 51

• SSH Authentication Protocol
• SSH Transport Layer Protocol
• SSH Connection Protocol

Question 52

Was ist die Aufgabe des SSH Transport Layer Protocol?

Answer 52

• Server Authentifikation
• Sicherstellung der Vertraulichkeit der Daten - durch Encryption
• Sicherstellung der Integrität der Daten durch beispielsweise HMACs
• Schlüsselaustausch über Diffie-Hellmann

Question 53

Was die Aufgabe des SSH Authentication Protocol?

Answer 53

• Authentifizierung des Clients über
  
  • Public Key Authentication
  • Passwort-Authentication
  • Host-based Authentication basierend auf dem Host, von dem sich der Client einloggt

Question 54

Wie funktioniert SSH Public Key Authentication?

Answer 54

• Es wird ein private/public key pair generiert
  
  • public key wird auf den Server kopiert
• Nachdem der sichere Tunnel zwischen Client und Server entstanden ist, kann der Server mit der Verschlüsselung einer Nachricht den Client herausfordern. Wenn der Client im Besitz des private keys ist und die Nachricht korrekt entschlüsseln kann, dann ist der Nachweis der Identität des Clients gegeben

Question 55

Was ist das Konzept von S/MIME?

Answer 55

• steht für Secure/Multipurpose Internet Mail Extension
• MIME definiert das Format von E-mails. HTTP ist danach dazugekommen.
• Jeder Nutzer braucht ein digitales Zertifikat, mit dem sein Public Key von einer Zertifizierungsstelle signiert wird
  
  • damit kann der Nutzer verschlüsselte Nachrichten bekommen
  • damit kann der Nutzer seine Nachrichten signieren, um die Authentizität der Nachricht nachzuweisen

Question 56

Was macht OpenPGP?

Answer 56

• ist eine Alternative zu S/MIME
• Nutzer kann ein Schlüsselpaar generieren und seinen öffentlichen Schlüssel auf einen Server hochladen
• Will man jemandem eine Nachricht verschlüsselt zuschicken, dann kann man den Public Key auf dem Server suchen, der der E-mail Addresse zugeordnet ist

Question 57

Was sind die Hauptfunktionalitäten von OpenSSL?

Answer 57

• Schlüsselpaar erzeugen
• Verschlüsseln - mit public key
• Entschlüsseln - mit private key
• Signieren - mit private key
• Signatur Validieren - mit public key

Question 58

Was sind die verschiedenen Kategorien von Firewalls?

Answer 58

• Externe Firewalls
• Web Application Firewalls
• Desktop Firwalls

Question 59

Was sind die Vorteile von Web Application Firewalls?

Answer 59

WAFs analysieren den Inhalt der HTTP Nachrichten, die geschickt werden und versuchen auf dieser Art und Weise mögliche Angriffe festzustellen, während normale Firewalls ausschliesslich mit den TCP/IP Paketdaten nämlich Source-IP und Port arbeiten.