Dienstag, 14. April 2015

Information Privacy

Name the three aspects of information privacy.

Aspekte der Informationsprivatsphäre

  • Kontrolle der OffenlegungDie Erweiterung über die die Kontrolle durch die Offenlegung der Informationen durchgeführt werden kann.
  • Empfindliche DatenDie Erweiterung über die Informationen zusammenhängend empfindlich sind. 

  • Betroffene Beteiligte
    Der Beteiligte oder die Beteiligten würden von der Offenlegung von privaten Informationen negativ beeinflusst. 




Which principles should be used to guide the the collection of potential sensitive information.
Describe these principles in detail.

Grundsätze

Die folgenden Grundsätze sollten verwendet werden, um das Sammeln von potenziellen empfindlichen Informationen zu führen:
  • Einschränkung der Datensammlung
    Informationen sollten nur in einem fairen und gesetzeskonformen Weg erhalten werden.
  • Datenqualität
    Die Informationen sollten von hoher Qualität sein und sollten für das Sammeln relevant sein.
  • Spezifikation des Zwecks
    Der Zweck für die Nutzung der Daten sollte klar spezifiziert sein und die Informationen sollten permanent zerstört werden nachdem der Zweck erfüllt wurde. 

  • Nutzeinschränkung
    Informationen sollten nur für einen spezifizierten Zweck genutzt werden und nur von Individuen genutzt werden, die dafür explizit erlaubt wurden oder das Gesetz verlangt die Nutzung. 
  • Sicherheitsrichtlinien
    Prozesse müssen etabliert werden, um empfindliche Informationen vor Schaden, Verlust oder Missbrauch zu schützen.
  • Offenheit
    Informationen über die Anschaffung, Speicherung und Nutzen von persönlichen Informationen sollten leicht erhältlich sein.
  • Individuelle Beteiligung
    Individuen sollten das Recht von geprüften und korrekten Informationen über sich selber, deren Leben oder Beruf haben. 
  • Verantwortlichkeit
    Organisationen und Regierungen müssen den Teil dieser Grundsätze, für den sie haften, überwachen und müssen für die Verletzung dieser Grundsätze verantwortlich sein. 
Viele dieser Informationsgrundsätze werden häufig übersehen oder völlig von modernen Organisationen und Regierungen ignoriert. 




What are problems of privacy laws of different countries? Which privacy factors are required by government websites in the United States? Are these factors also valid on commercial websites or outside of the USA?

Privacy Laws

Privacy Laws unterscheiden sich je nach Land. Dieser Situation ist im Informationszeitalter problematisch, da private Daten leicht geografische oder politische Grenzen überschreiten können.

In den USA sind Regierungs-Webseiten durch das Gesetz verpflichtet folgende Pivacy Faktoren anzusprechen:
  • Wahl
  • Benachrichtigung
  • Schutz
  • Zugriff
  • Durchführung
Weiters müssen Regierungswebseiten, die potentielle private Informationen sammeln, Privacy Policies posten.

Kommerzielle Webseiten in den USA sind nicht zu denselben Privacy Standards wie den Regierungswebseiten gebunden. Um öffentliche Sorgen zu beschwichtigen, etablieren viele kommerzielle Webseiten eine Privacy Policy, in welcher die Vorgangsweise der persönlichen Informationssammlung und Nutzung bzw. der Verteilung der Informationen beschrieben ist.
Die oben genannten Faktoren sind daher nicht für kommerzielle Webseiten oder Webseiten außerhalb der USA gültig. 






How can individuals protect their private data on the web?

Schutz von privaten Daten

Wegen des unbeständigen Patchworks von gesetzlichen und privatsphärischen Regulierungen, müssen Individuen für sich selbst reagieren, um ihre privaten Daten zu schützen.
  • Anonymität
    Das Bewusstsein der Privatsphäre animiert viele Individuen sich an Aktivitäten anonym zu engagieren. 

  • Mehrfache Identitäten
    Im Internet kreieren viele Individuen mehrfache Identitäten für sich selber, um die Privatsphäre zu bewahren. 
  • Identitätsdiebstahl
    Im Internet sind persönliche Informationen essentiell eine digitale Darstellung von sich selbst.
    Unglücklicherweise sind vergleichbar wenig persönliche Informationen notwendig, um die Identität von jemanden zu stehlen. 

What is data mining and what can be done with it?

Data Mining

Organisationen und Regierungen übernehmen zunehmend das Data Mining und die Analytik von Daten. Sorgen der Privatsphäre verbunden mit Data Mining werden zunehmend sichtbar und relevant.

Data Mining und die Analyse der Daten erlauben es Muster, Trends und Zusammenhänge von individuellen Datenelemente zu extrahieren. Data Mining und Analysen sind teilweise beunruhigend von der Perspektive der Privatsphäre, wenn die Regierung diese Aktivitäten tätigt.


Name examples of services and technologies where internet based threats can be found.

Internet-basierte Bedrohungen

Für viele Menschen repräsentiert das Internet die größte Bedrohung der persönlichen Privatsphäre.

Internet-basierte Bedrohungen der Privatsphäre schließen ein:
  • Soziale Netzwerke
  • Online Bezahlungen
  • Registrationen bei Webseiten 
  • Aufzeichnung der Vorlieben 
  • Zielgerichtete Werbung
  • Wettbewerbe, Preise und Sonderangebote
  • Cookies
  • Spyware und Adware





How can anonymous e-mailing be established? What's the sense of such a service?

Anonyme Emails

Email-Nachrichten sind sehr ungeschützt, wenn sie durch das Internet gesendet werden.
Obwohl der Name und die Email-Adresse des Senders einer Email-Nachricht leicht gefälscht werden kann, sind die IP- sowie die MAC-Adresse der Quelle im Packetstream enthalten, wodurch die Anonymität der Email  limitiert wird. 
Um eine Email-Nachricht anonym zu versenden, kann ein Benutzer durch einen sogenannten Remailer die Nachricht schicken.

Remailer: 

Der Remailer-Prozess ist ziemlich einfach und beginnt wenn ein User eine Email mit der Email-Adresse des beabsichtigten Empfängers an den Remailer-Server sendet. Der Remailer-Server entfernt die gesamte Information der Nachricht, die den wirklichen Sender identifizieren könnte und ersetzt die Information mit seinen eigenen Identifikationsdetails. Die Nachricht wird dann an den Empfänger gesendet, wobei der Remailer-Server als Sender agiert. Dadurch wird die Identität des wahren Senders geschützt. 




Bedrohungen der Email-Privatsphäre beinhalten:
  • Abfangen von Nachrichten
  • Überwachen von Nachrichten 



Quelle:
Eingestellt von um Keine Kommentare:

Freitag, 10. April 2015

Denial of Service and Intrusion Detection


What is a DoS attack and how can it be initiated? Which one is done mostly?

DoS-Attacke

Eine Denial of Service (DoS)-Attacke ist eine Attacke auf die Verfügbarkeit der Netzwerkressourcen. DoS-Angriffe belasten den Internetzugang, das Betriebssystem oder die Dienste eines Hosts, beispielsweise HTTP, mit einer größeren Anzahl Anfrage als dieser verarbeiten können, woraufhin reguläre Anfragen nicht oder nur sehr langsam beantwortet werden. Wenn möglich, ist es jedoch wesentlich effizienter, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese auf Anfragen ebenfalls nicht mehr reagiert. Beispiele sind WinNuke, die Land-Attacke, die Teardrop-Attacke oder der Ping of Death.
Eine Verbindungsüberflutung ist die einfachste und meistverwendete Art von DoS-Angriffen.


Dos-Attacken können in vielen Wegen eingeleitet werden:
  • Übertragungsfehler
  • Datenverkehrsumleitung
  • DNS-Attacken
  • „Verbindungsüberflutungen“



Which types of connection flooding attacks do you know?

Verbindungsüberflutung-Attacken

Es sind viele Connection flooding-Attacken vorhanden:
  • Echo chargen ( Character Generator Protocol)
  • Ping of death
  • Smurf attack
  • SYN flood
  • Teardrop

What is an echo chargen attack?

Echo Chargen Attacke

Eine Echo Chargen Attacke nutzt den Echo-Befehl im Character Generator Protokoll aus. Der Echo-Befehl instruiert den Zielserver, dass dieser eine identische Kopie der erhaltenen Daten zum Quellenserver schickt. Eine Echo Chargen Attack wird von einem bösartigen Angreifer ausgeführt, der einen großen Stream von Echoanfragen schickt an den Zielserver schickt. Wegen des Protokoll wird der Server Echoantworten zurücksenden. Wenn der Angreifer eine größerre Bandbreite besitzt als der Zeilserver, wird das Netzwerk überflutet.



What is the speciality of a ping of death attack?

Ping of Death

Die Ping of Death-Attacke ist sehr ähnlich zu der Echo Chargen Attacke. Jedoch nutzt es den Ping-Befehl aus. Der Angreifer sendet wiederrum zahlreiche Pinganfragen an den Zielserver. Dieser antwortet aufgrund des Protokolls mit vielen Ping-Antworten. Dabei wird die maximale Verbindungskapazität ausgenutzt.

Describe smurf attacks and their impacts?

Smurf Attacke

Eine Smurf-Attacke ist sehr ähnlich zu den Echo Chargen Attacken oder dem Ping of Death. Der Angreifer überhäuft den Server mit einer großen Anzahl an Daten. Im Gegensatz zu den anderen zwei Attacken benötigt der Angreifer keine große Bandbreite, um die Smurf-Attacke erfolgreich durchzuführen. Es sendet eine Pinganfrage zu der IP-Broadcastadresse eines großen Netzwerkes. Jeder Host wird standardmäßig der Ping-Anfrage antworten. Normalerweise würden alle Ping-Antworten wieder an den Angreifer gehen. Bei einer Smurf-Attacke jedoch modifiziert der Angreifer die Ping-Anfrage, sodass die IP-Adresse des Zielservers als Sendedresse eingetragen ist. Deshalb senden die Host des Netzwerkes ihre Ping-Antworten an den Zielserver. Es werden wiederrum die Verbinundskapazität überflutet und legimitierte User können nicht mehr auf die Ressourcen zugreifen.



Show in an example how a teardrop attack is carried out.

Teardrop Attacke

Messages der User werden in Segmente mit verschiedenen Längen zerlegt. Diese werden dann unabhängig über das Netzwerk gesendet. Der Server muss diese ungeordneten Segmente halten und sammeln, bis alle angekommen sind. Nachdem wird die komplette Messages wieder zusammengebaut.

Bei einer Teardrop-Attacke manipuliert der Angreifer Messages, sodass diese überlappen oder dass diese viele Daten enthalten. Der Zielserver wird durch die manipulierten Segmente verwirrt, da er unfähig die Segmente logisch zusammenzufügen. Wenn der Server nicht für diese Situation ausgelegt worden ist, kann dies zu einem Crash des Servers führen. Legimitierte User können nicht mehr auf die Netzwerkressourcen zugreifen.


Why are DDoS attacks more efficient than DoS attacks?

DDoS Attacken

DDoS-Attacken verwenden mehrere Geräte und Internetverbindungen, die oft global verteilt sind und als Botnet fungieren. Eine DDoS-Attacke ist daher schwerer um zu leiten. Da nicht nur ein Angreifer sondern mehrere vorhanden sind, werden die Ressourcen des Zielservers mit mehreren hundert und tausenden Anfragen von einer Vielzahl von Geräten überflutet.

Der Unterschied zwischen einer DDoS- einer DoS-Attacke ist, dass bei ersteren der Zielserver mit hunderten oder sogar tausenden Anfragen überlastet wird. Daher ist sehr viel schwerer für einen Server einer DDoS-Attacke standzuhalten als einer einfacheren DoS-Attacke.


How does an Intrusion Detection System work? What is the difference to an Intrusion Prevention System? Which goals do they have?

Intrusion Detection System 

Ein Intrusion Detection System ist ein Gerät, dass Systemaktivitäten überwacht. Dabei wird besonders auf bösartige und verdächtige Events geachtet. Intrusion Detection Systeme versuchen zu entdecken:
  • Außenstehenden, die in das System einbrechen wollen
  • Insider, die versuchen unangemessene Aktionen ausführen wollen 

Grundsätzlich gibt es zwei Verfahren zur Einbruchserkennung: den Vergleich mit bekannten Angriffssignaturen und die so genannte statistische Analyse. Die meisten IDS arbeiten mit Filtern und Signaturen, die spezifische Angriffsmuster beschreiben. Der Nachteil dieses Vorgehens ist, dass nur bereits bekannte Angriffe erkannt werden können.

Der komplette Prozess unterteilt sich dabei in drei Schritte. Die Wahrnehmung eines IDS wird durch Sensoren ermöglicht, die Logdaten (HIDS) oder Daten des Netzwerkverkehrs (NIDS) sammeln. Während der Mustererkennung überprüft und verarbeitet das Intrusion Detection System die gesammelten Daten und vergleicht sie mit Signaturen aus der Musterdatenbank. Treffen Ereignisse auf eines der Muster zu, so wird ein „Intrusion Alert“ (Einbruchs-Alarm) ausgelöst. Dieser kann vielfältiger Natur sein. Es kann sich dabei lediglich um eine E-Mail oder SMS handeln, die dem Administrator zugestellt wird oder, je nach Funktionsumfang, eine Sperrung oder Isolierung des vermeintlichen Eindringlings erfolgen.



Andere IDS verwenden heuristische Methoden, um auch bisher unbekannte Angriffe zu erkennen. Ziel ist, nicht nur bereits bekannte Angriffe, sondern auch ähnliche Angriffe oder ein Abweichen von einem Normalzustand zu erkennen.
In der Praxis haben signaturbasierte Systeme mit Abstand die größte Verbreitung. Ein Grund dafür ist, dass ihr Verhalten leichter voraussehbar ist. Ein Hauptproblem beim praktischen Einsatz von IDS ist, dass sie entweder viele falsche Warnungen (falsch positiv) generieren oder einige Angriffe nicht entdecken (Falsch negativ).

Unterschied zu IPS:

Anstatt nur einen Alarm auszulösen, wie ein IDS, ist ein Intrusion Prevention System (kurz IPS) in der Lage, Datenpakete zu verwerfen, die Verbindung zu unterbrechen oder die übertragenen Daten zu ändern. Oft wird hierbei eine Anbindung an ein Firewallsystem genutzt, durch das dann bestimmte durch das IPS definierte Regeln angewandt werden.


Ziele eines Intrusion Detection Systems

Intrusion Detection Systeme haben zwei Hauptziele:
  • Alle Angreifer korrekt zu ermitteln
    • Falschalarm vermeiden (falsch negativ oder falsch positiv)
  • Effektive Systemüberwachung mit minimalen Overhead und Performance-Verschlechterung

Name the differences between host-based and network-based IDSs.


Host-basierte IDS

Vorteile:
  • Sehr spezifische Aussagen über den Angriff.
  • Kann ein System umfassend überwachen.
Nachteile:
  • Kann durch einen DoS-Angriff ausgehebelt werden.
  • Wenn das System außer Gefecht gesetzt wurde, ist auch das IDS lahmgelegt.

Netzwerk-basierte IDS

Vorteile:
  • Ein Sensor kann ein ganzes Netz überwachen.
  • Durch Ausschalten eines Zielsystems ist die Funktion des Sensors nicht gefährdet.

Nachteile:
  • Keine lückenlose Überwachung bei Überlastung der Bandbreite des IDS.
  • Keine lückenlose Überwachung in geswitchten Netzwerken (nur durch Mirror-Port auf einem Switch).

Name the different modes of operation of an IDS. Which one is most efficient for detecting an attack?

IDS Betriebsmodi 

Die Intrusion Detection Systems können nach deren Betriebsmodi eingeteilt werden:
  • Anomalie-basiert

    • IDS erlaubt nur zugelassenes Verhalten
    • Benutzt Modelle für akzeptable Benutzeraktivitäten 
    • Schlägt Alarm bei Erkennung von Abweichungen des Modellverhaltens
  • Signatur-basiert
    • Hält Ausschau für bekannte Attacken
    • Um Attacken zu entdecken, werden bestehende Aktivitäten mit bekannten Signaturattacken verglichen
    • Problem: unfähig neue Attacken (unbekannte Signaturen) zu entdecken
  • Heuristisch-basiert
    • Die IDS konstruiert automatisch ein Modell eines „normalen“ Systemverhaltens
    • Aktuelle Aktivitäten werden mit „normalen“ verglichen, um unakzeptable Systemaktivitäten zu identifizieren 
  • Hybrid
    • Diese IDS ist eine Kombination der Anomalie, Signatur und/oder Heuristisch-basierten Ansätzen. 


What can be done with the responses of an IDS.

IDS Responses

Eine IDS kann einige verschiedene Typresponses auslösen:
  • Überwachen der Attacken und sammeln von Daten
  • Systeme schützen und vor Ausdehnung schützen 
  • Einen Menschen warnen


Quelle:

http://www.incapsula.com/ddos/ddos-attacks/denial-of-service.html
Eingestellt von um Keine Kommentare:

Dienstag, 7. April 2015

Firewalls and Network Security



Which characteristics make a network vulnerable to attacks?


Charakteristiken eines gefährdeten Netzwerkes 


  • Anonymität
  • viele Angriffspunkte
  • teilen von Ressourcen und Arbeitsaufwand
  • Systemkomplexität
  • unbekannte Grenze

What is a port scanner? How does a network admin use this tool?

Port Scanner

Ein Portscanner ist eine Software, mit der überprüft werden kann, welche Dienste ein mit TCP oder UDP arbeitendes System über das Internetprotokoll anbietet. Der Portscanner nimmt dem Anwender dabei die Arbeit ab, das Antwortverhalten eines Systems selbst mit einem Sniffer zu untersuchen und zu interpretieren.Ein Netzwerkadministrator kann einen Portscanner verwenden, um die Stärken und Schwächen des Netzwerks zu bewerten.


What is a firewall? Which tasks can be fulfilled by a firewall?

Firewall 


Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt und ist weiter gefasst auch ein Teilaspekt eines Sicherheitskonzepts.

Jedes Firewall-Sicherungssystem basiert auf einer Softwarekomponente. Die Firewall-Software dient dazu, den Netzwerkzugriff zu beschränken, basierend auf Absender- oder Zieladresse und genutzten Diensten. Sie überwacht den durch die Firewall laufenden Datenverkehr und entscheidet anhand festgelegter Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise versucht sie, unerlaubte Netzwerkzugriffe zu unterbinden.



What is a firewall security policy? Name some examples!

Firewall Security Policy

Unabhängig von dem Firewall-Typen, sollten Sie eine Firewall-Richtlinie, die Sicherheitsintegrität des Computers gewährleistet zu entwickeln. Eine Firewall-Sicherheitsrichtlinie stellt einen Satz von Regeln dar, auf dem eine Firewall beruht. Diese bestimmt, welcher Datenverkehr über eine Netzwerkgrenze passieren darf.


Beispiele von Firewall-Sicherheitsrichtlinien:
  • gesamten Zugriff von außen blockieren und alle Zugriffe nach außen erlauben
  • Zugriff von außen erlauben
  • nur für bestimme Aktivitäten
  • nur für bestimmte Teilnetze, Hosts, Anwendungen oder Benutzer


What can be done by stateful inspection firewall?

Stateful Inspection Firewall

Eine Stateful Inspection Firewall dient zur Überprüfung des Status oder den Zusammenhang der Pakete. Diese Firewalls speichern auch die Netzwerkaktivitäten des Hosts

Stateful Inspection Firewalls dienen zur Identifikation von Hosts, die eine Bedrohung darstellen. Dabei werden Vermerke von Verstößen gespeichert und bei einer gewissen Anzahl von Sicherheitsrichtlinienüberschreiten, kann der Host blockiert werden.

SPI (Stateful Packet Ispection) ist ein Firewall-Leistungsmerkmal. Dieses Verfahren entscheidet anhand mehreren Kriterien, ob ein eingehendes Datenpaket weitergeleitet oder verworfen wird. Z. B. wird der Zielport als Kriterium verwendet. Ist in der Firewall für diesen Port kein Server angegeben, werden die Datenpakete für diesen Port verworfen. SPI überprüft auch, ob eingehende Datenpakete zu zuvor gesendeten Datenpaketen in Beziehung stehen. Also zu einer Sitzung gehören, die durch das sichere lokale Netzwerk ausgelöst wurden. Datenpakete, die sehr häufig eintreffen werden identifiziert. Liegt der Verdacht nahe, dass es sich um eine DoS-Attacke (Denial-of-Service) handelt werden diese Datenpakete automatisch verworfen.



What is an application proxy gateway? How does it increase security?

Application Proxy Gateway

Eine Möglichkeit, einen Firewall einzurichten, ist die Verwendung sogenannter Proxys Unter einem Proxy versteht man einen Server, der auf dem Firewall installiert wird und der das entsprechende Protokoll in allen sieben Schichten implementiert. Ein Benutzer, der mit einem Server kommunizieren möchte, baut eine Verbindung zum Proxy auf, der wiederum die Verbindung zum eigentlichen Server unterhält. Dies bedeutet aber, dass für jeden Dienst, der gesichert werden soll, ein eigener Proxy existieren muss. Deshalb werden Proxys meist nur für einige wenige Dienste eingesetzt.

Der Application-Proxy-Gateway kann unakzeptable Protokollbefehle oder andere fehlerhafte Befehle herausfiltern, während sie auf dem Weg zwischen einer Anwendung und einem Benutzer sind. Der Filterbefehl ist in beide Richtungen wirksam.


What is a circuit-level-gateway?


Circiut-Level-Gateway

Ein Circuit-Level Gateway ist ein Firewalltyp, der es ermöglicht, dass ein Netzwerk eine virtuelle Erweiterung eines anders zu werden. Ein- und ausgehende Pakete werden untersucht, um festzustellen, ob sie zu dem Zielnetzwerk gesendet oder empfangen wurden.

Wenn dies der Fall ist, sind die Pakete entsprechend ver- und entschlüsselt. Wenn nicht, werden die Pakete durch die „normale“ Firewall geroutet.

Circiut-Level Gateways können verwendet werden, um Virtual Private Networks (VPNs) zu implementieren.





What are guard firewalls? Which advantages do they have over application proxy gateways?


Guard Firewalls


Ein Guard ist ein erweiterter Typ einer Firewall, die den Inhalt der übertragenen Pakete untersucht. Der Guard ist in der Lage den Inhalt der Pakete zu ändern oder Pakete wegzuwerfen.

Guards sind konzeptuell gleich zu Application-Proxy-Firewalls, aber sind sehr viel anspruchsvoller. Ein Guard kann programmiert werden, um jegliche Art von Filterung, Scannen oder notwendige Änderungen der Pakete durchzuführen.


Where is a personal firewall implemented? Can it replace a hardware firewall?

Personal Firewall

Eine Personal Firewall oder Desktop Firewall ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers eingesetzt.

Im Gegensatz zu einer klassischen Netzwerk-Firewall ist eine Personal Firewall keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert. Sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz. Ein Personal-Firewall-Schutz ist besonders nützlich für User mit einer „immer laufenden“-Verbindung wie zum Beispiel DSL oder einem Modem. Solche Verbindungen nutzen statische IP-Adressen, welche sie besonders angreifbar für Hacker macht. Genau wie Anti-Virus-Anwendungen arbeiten Personal Firewalls im Hintergrund auf dem Link-Layer, um die Integrität des Systems vor bösartigem Computercode zu schützen. Dies geschieht durch die Überwachung der ein- und ausgehenden Internetverbindung, Filterung von ein- und ausgehenden Datenverkehr und Alarmierung des Users.

Nein, Personal Firewalls können nicht durch Hardware Firewalls ersetzt werden. Mit Nutzung einer Hardware Firewall kann der Schutz erhöht werden wie zum Beispiel Router und Software Firewalls in Verbindung.



Name the six truths about firewalls!

Die sechs Wahrheiten über Firewalls


  • Firewalls können die Umgebung nur schützen, wenn sie den gesamten Umkreis kontrolliert.
  • Firewalls schützen keine Daten außerhalb des Umkreises.
  • Von außen gesehen, sind Firewalls die sichtbarste Komponente eines Netzwerks und sind daher attraktiv für mögliche Angriffsziele. 
  • Firewalls müssen entsprechend konfiguriert werden und deren Konfigurationseinstellungen müssen regelmäßig evaluiert und upgedated werden.
  • Firewall-Systeme sollten keine Tools enthalten, die dem Angreifer beim Durchdringen der Firewall helfen können. 
  • Firewalls üben nur eine geringe Kontrolle über den Inhalt aus, welche die Netzwerkgrenze durch Erlaubnis der Firewall überschreiten dürfen. 

Does NAT really increase the network security?


NAT (Network Address Translation)

NAT erhöht die Netzwerksicherheit nicht wirklich. Vielmehr werden alle Konzepte von strukturiertem Netzwerkdesign gebrochen. IP-Adressen eines Netzes können vor einem anderen Netz verborgen werden. Somit kann NAT zur Verbesserung der Netzwerksicherheit eingesetzt werden.

Wenn man sein Netzwerk sicher hält (wenn der kein Angreifer einen Zugang zu einem Gerät oder Services aufbauen kann), ist es keine Sicherheitslücke, wenn das Netzwerk nicht im Internet von einem NAT-Gerät versteckt ist. NAT zerschlägt die End-to-End- Kommunikationsmodell und zerstört bestimmte Internet-Protokolle.




Why do some companies use two firewalls?


Zweifache Firewalls

Es gibt Vor- und Nachteile, wenn man zwei Firewalls besitzt. Firewalls sind anfällig gegenüber Denial-of-Service-Angriffen.

In einer Topologie mit einer Firewall für interne und externe User (LAN und WAN), arbeitet es wie eine gemeinsame Bezugsquelle für diese beiden Zonen. Wegen einer limitierten Computerleistung kann ein Denial-of-Service-Angriff vom WAN auf die Firewall Dienste im LAN unterbrechen.

In einer Topologie mit zwei Firewalls kann man interne Services des LANs von Denial-of-Service-Angriffen schützen. Natürlich erhöhen zwei Firewalls die administrative Komplexität. Man muss zwei verschiedene Firewall-Richtlinien warten. 

What is the "Byzantine General Problem"?

Das Byzantische General Problem

Das klassische Problem:
  • Jede Division der Byzantischen Armee hat ihren eigenen General
  • Die Generale, einige davon sind Verräter, kommunizieren untereinander mit Boten
Anforderungen:
  • Alle loyalen Generäle einigen sich auf den gleichen Aktionsplan
  • Einen kleine Anzahl von Verrätern darf die Generäle nicht dazu bringen sich einen bösen Plan anzuschließen 

Das Problem kann umformuliert werden als:
  • Alle loyalen Generale erhalten die gleiche Information um auf die gleiche Entscheidung zu kommen
  • Die Information die von dem loyalen General gesendet wird sollte auch von allen anderen loyalen Generalen verwendet werden. 
Byzantie General Problem:
  • Alle loyalen Leutnants gehorchen dem selben Befehl 
  • Wenn der kommandierende General loyal ist, dann gehorcht jeder loyale Leutnant dem selben Befehl

Quellen:

https://www.youtube.com/watch?v=XEqnE_sDzSk
http://www.elektronik-kompendium.de/sites/net/1409291.htm
http://www.eircomictdirect.ie/docs/juniper/wp_firewall.pdf
http://www.elektronik-kompendium.de/sites/net/0803051.htm






Eingestellt von um Keine Kommentare:

Computer Network Security

What is the difference between trojans, viruses and worms?

Trojaner, Viren und Würmer


Trojaner:

Ist ein Programm, dass eine unbekannte und nicht gewollte Aktion durchführt, von dem der User nichts weiß. Es gibt sich dabei aber als berechtigtes Programm aus. Sie sind Viren, die hinter einem nützlichen Programm stecken. Die Schadensroutine wird beim Start des Programms aktiviert. In vielen Fällen geht es den Trojaner-Entwicklern darum persönliche Daten zu stehlen. Trojaner können auch eine Backdoor (Hintertür im System) einrichten. Sobald sich der Nutzer im Internet befindet, wird der Hacker informiert und kann auf den Rechner nach belieben zugreifen.

Virus:

Ein selbstreproduzierendes Programm, das sich an ein Host-Programm anhängt und sich nur am infizierten Host-Computer befindet. Computerviren setzen eine Nutzeraktion voraus. Sie können sich also nicht selbst verbreiten. Nach den Start durch den Nutzer legen sie sich in ausführbaren Programmen und infizierbaren Dokumenten ab. Mit Hilfe des Computernutzers wird die vireninfizierte Datei verbreitet.

Würmer:

Ein selbstreproduzierendes eigenständiges Programm, das sich über das Netzwerk vervielfältigt. Würmer sind ebenfalls Viren. Sie unterscheiden sich aber im Verbreitungsprinzip. Sie können sich automatisch von einem auf den anderen Rechner im Netzwerk oder über das Internet kopieren. Um das zu erreichen übernehmen sie das System und schicken Schadcode an beispielsweise alle E-Mailadressen im Adressbuch. Dadurch breitet sich der Wurm nach dem Schnellballprinzip schnell aus. Das zusammen mit dem Zerstörungspotenzial macht Würmer gefährlich. Bekannte Würmer sind “Melissa” und “I Love You”. Sie können auch Schadensroutine beinhalten.


What is the difference between an active and a passive attack?

Unterschied zwischen aktiver und passiver Attacke


Bei einer passiven Attacke lauscht der Eindringling, aber ändert den Nachrichtenstream überhaupt nicht. Sie bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. 
Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Eine typische aktive Attacke ist, wenn sich der Eindringling für jemand anderen ausgibt oder als Man-In-The-Middle agiert.


How can a passive attack be detected?

Passive Attacke


Passive Attacken sind sehr schwer zu entdecken. Sie beschädigen oder ändern die Information nicht, deshalb kann man nicht sagen, dass die Daten angegriffen wurden. Es gibt viele verschiedene Programme, die es möglichen machen diese Netzwerkattacken darzustellen. Diese werden verwendet, um den Angreifer auszuspionieren, ohne von ihm bemerkt zu werden.
Um diese Arten von Angriffen zu verhindern müssen die übertragenen Daten verschlüsselt werden oder/und weitere Maßnahmen (z.B. keine Übertragung wichtiger Daten an den Cloud-Anbieter oder Ersetzen wichtiger Daten durch Platzhalter) eingesetzt werden, die das Mithören erschweren. Passive Angriffe bedrohen die Schutzziele Vertraulichkeit und Authentizität.




Which types of active attacks are typically used?

Aktive Attacke


Bei einer aktiven Attacke versucht der Angreifer, Ihre Abwehrmaßnahmen zu durchbrechen und in Ihre Netzsysteme einzudringen. Es gibt zahlreiche Arten von aktiven Attacken:
  • Bei Systemzugriffsversuchen versucht der Angreifer, Sicherheitslücken zu finden, um Zugriff auf und Kontrolle über ein Client- oder ein Serversystem zu erhalten.
  • Beim Spoofing versucht der Angreifer, Ihre Abwehrmaßnahmen zu durchbrechen, indem er sich als vertrauenswürdiges System tarnt, oder Sie werden von einem Benutzer dazu überredet, ihm vertrauliche Informationen zu schicken.
  • Bei Denial-of-Service-Attacken versucht ein Angreifer, Ihren Arbeitsablauf zu stören oder zu stoppen, indem er den Datenverkehr umleitet oder Ihr System mit Junk-Nachrichten bombardiert.
  • Bei verschlüsselten Attacken versucht ein Angreifer, Ihre Kennwörter zu erraten oder zu stehlen, oder er verwendet spezielle Tools, mit denen er versucht, verschlüsselte Daten zu entschlüsseln.

What is X.800? Which services are included?

X.800


X.800 ist eine Sicherheitsarchitektur im Sinne der Informationssicherheit zur sicheren Anbindung verschiedenster offener digitaler Systeme. Nach wie vor ist X.800 kein Standard, sondern eine Empfehlung der ITU (International Telecommunication Union) von 1991 in Genf.

Die X.800 Recommendation definiert generelle Elemente einer Sicherheitsarchitektur. Sie erweitert das Anwendungsfeld der Recommendation X.200 (OSI-Modell) um die sichere Kommunikation zwischen offenen Systemen.
Die Recommendation X.800 erfüllt folgende Aufgaben:


  • Generelle Beschreibung von Sicherheitsdiensten, die vom OSI-Referenzmodell erbracht werden können
  • Definition der Stellen im Referenzmodell, an denen die Dienste und Mechanismen eingesetzt werden können.

Im Rahmen von X.800 werden die folgenden Sicherheitsdienste definiert:

  • Authentifizierung: Dieser Dienst wird verwendet um die Identität eines oder mehrerer Kommunikationspartner bzw. Datenquellen zu überprüfen.
  • Zugriffskontrolle: Dieser Dienst bietet Schutz gegen nicht autorisierte Verwendung von Ressourcen. Dabei können verschiedene Schutzmodi (z. B. Lese-, Schreib- oder Löschschutz) angegeben werden.
  • Vertraulichkeit von Daten: Dieser Dienst schützt Daten vor einem unberechtigten Zugriff. Darunter fällt die Vertraulichkeit von Daten die verbindungsorientiert oder verbindungslos übertragen werden, der Schutz einzelner Felder einer Dateneinheit und der Schutz der Information, die aus dem Verkehrsfluss (Traffic Flow) gewonnen werden könnte.
  • Datenintegrität: Dieser Dienst verhindert aktive Angriffe auf die Integrität von Daten einer Verbindung.
  • Verbindlichkeit: Dieser Dienst ermöglicht es dem Empfänger, die Herkunft der Daten zweifelsfrei festzustellen (Proof of Origin).



How does the ILOVEYOU-worm work?

ILOVEYOU-Wurm


Bei Loveletter, oft auch I-love-you-Virus genannt, handelt es sich um einen Computerwurm. Er verschickte sich an Einträge aus dem persönlichen Adressbuch. Außerdem hieß der Anhang LOVE-LETTER-FOR-YOU.TXT.vbs, so dass sich viele Empfänger an „.txt-Dateien sind harmlos“ erinnerten, da die richtige Erweiterung .vbs in einer Standard-Windowsinstallation nicht angezeigt wird.

Funktionsweise:

Infizierung

Das Virus beginnt zuerst sich zu vermehren, bevor es irgendwelche Daten beschädigt. Auf diese Weise verbreitet der ahnungslose Benutzer das Virus, bevor er überhaupt merkt, dass er selbst infiziert ist. Und genau dies passiert bei „ILoveYou“. Der „Liebesbrief“ verschickt sich automatisch und unbemerkt an die Einträge des E-Mail-Adressbuches eines infizierten Benutzers. So bekommt ein neues Opfer zuerst eine E-Mail von einer bekannten Person. Weder der Absender noch der harmlose Betreff „ILoveYou“ lassen Böses erahnen.

Aktivierung

Wer jetzt allerdings auf den Link des Anhangs klickt, sieht zunächst einmal wenig - bis auf eine nette Liebesbotschaft. Im Hintergrund nutzt das Virus allerdings die Sicherheitslücken vom Windows-Betriebssystem und nistet sich in der Systemregistrierung ein. Dazu nutzt „ILoveYou“ die Programmiersprache Visual Basic, welche dazu gedacht ist, Arbeitsabläufe zu vereinfachen. Nach einem Neustart und einer erneuten Benutzung der Microsoft-Programme „Internet Explorer“ und „Outlook“ lädt „ILoveYou“ eine Datei namens „WIN-BUGSFIX.exe“ aus dem Internet. Sie sorgt dafür, dass sich der Virus an alle Outlook-Einträge versendet.

Schädliche Funktionen

Nach der Vermehrung kommt die Zerstörung. Bisher hat der ahnungslose User noch nichts von der Vireninfektion seines Computers bemerkt. Erst jetzt beginnt „I LoveYou“ damit, alle Dateien mit der Endung ”*.js“, ”*.jse“, ”*.css“, ”*.wsh“, ”.*sct“, ”*.hta“, ”*.jpg“, ”*.jpeg“, ”*.mp3“ und ”.*mp2“ zu zerstören.
So hat "I Love You“ gerade bei großen Unternehmen für doppelten Ärger gesorgt:
Erstens wurden die Mailserver durch ein irrsinnige Zahl von E-Mails in die Knie gezwungen - man stelle sich vor, dass 2000 User mit jeweils 100 Adressbuch-Einträgen gleichzeitig das Virus öffnen! Und zweitens wurden auf allen infizierten Rechnern wichtige Dateien gelöscht. Erstaunlicherweise hat sich "ILoveYou“ auch weitaus schneller verbreitet, als die Hersteller von Anti-Viren-Software vermutet hätten, denn es war eine große Zahl deutscher und internationaler Unternehmen nicht mehr per E-Mail erreichbar.


What is a VANET? Which security measures need to be considered in those networks?

VANET


Ein Fahrzeug-Ad-hoc-Netzwerk (engl. Vehicular Ad Hoc Network, VANet) ist ein mobiles Ad-hoc-Netz (MANet), dessen Knoten Fahrzeuge sind. Als Knoten eines VANet werden in der Regel Kraftfahrzeuge betrachtet. Wie bei einem MANet handelt es sich um ein selbstorganisierendes und dezentrales Netzwerk. Fahrzeug-Ad-hoc-Netze sind, im Gegensatz zu MANets, lediglich Gegenstand der Forschung der Informatik. Ein etabliertes nationales oder internationales Fahrzeug-Ad-hoc-Netzwerk für die Fahrzeug-zu-Fahrzeug-Kommunikation existiert nicht.
VANET ermöglicht die Interaktion und Echtzeitkommunikation zwischen Fahrzeugen. Über das VANET können Statusinformationen für die Verkehrssicherheit über die Position der Fahrzeuge, deren Fahrtrichtung und Geschwindigkeit ausgetauscht werden. Die Teilnehmer können die aktuelle Verkehrssituation einschätzen und im Falle eines Defekts oder eines Unfalls Warnmeldungen aussenden. VANET benutzt die WLAN-Technik nach 802.11p.

Neben den klassischen Schutzzielen für IT-Systeme wurden besondere Sicherheitsanforderungen definiert:


  • Fahrzeuge müssen den Informationen trauen können, die von Knotenpunkten der Kommunikationsinfrastruktur entlang der Verkehrswege bereitgestellt werden.
  • Fahrzeuge müssen den Informationen trauen können, die von anderen Fahrzeugen übermittelt werden.
  • Gültigkeit- und Plausibilitätsüberprüfung der über Multi-Hopping (Verfahren bei dem über ein Ad-hoc-Netzwerk Nachrichten von Wagen zu Wagen weitergeleitet werden) empfangen Daten.
  • Eine schnelle und zuverlässige Verbindung steht zur Verfügung, falls ein unausweichlicher Unfall erkannt wurde.
  • Fahrzeuge müssen eine gesicherte / verschlüsselte Verbindung herstellen können, z.B. für den Einsatzzweck der Ferndiagnose.
  • Ein Fahrzeug muss in der Lage sein, sich selbst zu identifizieren, wenn es eine autorisierte Anfrage erhält.


Which security measures are necessary in WMNs? Wich security attacks can happen in WMNs?

Wireless-Mash-Netzwerke


Wireless-Mash-Netzwerke (WMN) sind eine Form des drahtlosen Ad-hoc-Netzwerks. Ein Ad-hoc-Netz ist ein Funknetz, das zwei oder mehr Endgeräte zu einem vermaschten Netz verbindet. Die bestehenden und für Ad-hoc-Netze vorgeschlagenen Sicherheitsmaßnahmen können auch für Wireless-Mash-Netzwerke verwendet werden.

Ad-hoc-Netze sind Angriffen derzeit meist schutzlos ausgeliefert. Zum einen kann die drahtlose Kommunikation durch passive Angriffe leicht abgehört werden, zum anderen sind die Kommunikationsprotokolle auch durch gezielte Angriffe verwundbar. Angriffe sind dabei nicht auf eine einzelne Kommunikationsschicht beschränkt, sondern können auf allen Schichten durchgeführt werden. Beispielsweise sind Denial-of-Service-Angriffe auf folgenden Schichten möglich: physikalische Schicht (z.B. durch Störung der Übertragungsfrequenzen), Sicherungsschicht (z.B. durch permanente Belegung des Mediums), Netzwerkschicht (z.B. durch gezieltes Einschleusen von falschen Routing-Informationen) und Anwendungsschicht (z.B. durch verteilte Denial-of-Service-Angriffe). Im Gegensatz zu stationären Netzen sind bekannte Angriffe wie Maskerade, Man-in-the-Middle, Replay oder das Einschleusen von Daten in Ad-hoc-Netzen meist einfacher durchzuführen. 

What is the "Byzantine General Problem"?

Das Byzantische General Problem

Das klassische Problem:
  • Jede Division der Byzantischen Armee hat ihren eigenen General
  • Die Generale, von denen manche Verräter sind, untereinander kommunizieren mit Boten
Anforderungen:
  • Alle loyalen Generale einigen sich auf den gleichen Aktionsplan
  • Einen kleine Anzahl von Verrätern darf die Generäle nicht dazu bringen sich einen bösen Plan anschließen 
Das Problem kann umformuliert werden als:
  • Alle loyalen Generale erhalten die gleiche Information um auf die gleiche Entscheidung zu kommen
  • Die Information die von dem loyalen General gesendet wird sollte auch von allen anderen loyalen Generalen verwendet werden. 
Byzantie General Problem:
  • Alle loyalen Leutnants gehorchen dem selben Befehl 
  • Wenn der kommandierende General loyal ist, dann gehorcht jeder loyale Leutnant dem selben Befehl

 Quellen:

 https://www.youtube.com/watch?v=LkzWHgX_GDU
http://de.wikipedia.org/wiki/Fahrzeug-Ad-hoc-Netz
http://www.elektronik-kompendium.de/sites/net/1408051.htm
http://de.wikipedia.org/wiki/X.800
Eingestellt von um Keine Kommentare:
Abonnieren Posts (Atom)