I termin
1. DNS Amplification – działanie, jakie mechanizmy, korzyści dla agresora.
DNS spoofing (cache poisoning) – atak, który modyfikuje wpisy w bazach serwerów DNS. Klient połączy się z innym adresem IP niż pierwotnie chciał i nastąpi przechwycenie transmisji między klientem a serwerem DNS. Korzystanie z UDP znacznie ułatwia takie ataki (trwają krótko).
DNS amplification – wykorzystanie serwerów DNS w celu wzmocnienia ataku DoS. Atakujący wysyła zapytanie DNS do różnych serwerów podmieniając adres IP klienta na adres IP atakowanej maszyny. Serwery DNS wyślą odpowiedź na adres atakowanej maszyny.
2. Co się stanie, jeśli w AH lub ESP pole nr kolejny zostanie przepełnione.
Kiedy Seqence Number zostanie przepełniony następuje renegocjacja połączenia i wyzerowanie licznika
3. Przeciw IDS, atak wstawienia – jak działa, co można osiągnąć, idea działania.
Atak przez wstawianie wysyła pakiety do ofiary, jeden z nich zostaje odrzucony przez ofiarę, ale IDS będzie myślał że jest on poprawny. Ofiara odrzuca pakiet (odmienność implementacji stosu TCP/IP) lub w ogóle do niej nie dociera (TTL jest niewystarczająco duży aby pakiet dotarł do celu).
Spreparowany pakiet jest wstawiany do IDSa, możemy przełamać analizę sygnatur i ominąć IDS przy przyszłym ataku lub efekt błędnego uczenia się.
4. Który tunel VPN wybrać, żeby zabezpieczyć transmisję w firmie: 100 przedstawicieli handlowych., różne urządzenia i systemy operacyjne, ale mają te same uprawnienia.
SSL 1pkt - działa na wielu systemach operacyjnych i jest łatwy w skonfigurowaniu w każdym z tych systemów.
Prosty, szybki, nie wymaga dodatkowego instalowania klienta, przedstawiciele handlowi nie sa wymagajacy, wystarcza im uslugi typu poczta, internet (przegladarka), dodatkowo jest tanie w zastosowaniu
IPSec 0.5pkt - jeżeli nasz przedstawiciel znajduje się w hotelu w którym router blokije albo nie obsluguje protokoly ESP i AH to nie będzie miał dostępu do danych, więc IPSec nie jest w tym przypadku dobrym.
1. PPTP – najgorszy z możliwych tuneli pod względem bezpieczeństwa i elastyczności – cały ruch jest tunelowany do firewalla (nie można tego zmienić).
2.
SSL – bardzo wygodny, aplikację pobiera się bezpośrednio z
firewalla (1MB~), dosyć łatwo się używa i działa z każdej
lokalizacji. Problem jest z elastycznością tej konfiguracji (1
profil
konfiguracyjny dla wszystkich użytkowników; tunel jest
ustawiany na te same zasoby).
3.
IPSec – najbardziej elastyczny, można tworzyć wiele profili
konfiguracyjnych, co innego
tunelowane, inaczej szyfrowane.
Niestety, ruch IPSec jest w wielu sieciach zablokowany.
----------------------------------------------------------------------------------
5. Dane: //to jedyne zadanie na kilka slajdów, było dużo czasu, żeby przepisać dane,a potem zastanowić się nad odpowiedzią
|
Miejsce docelowe |
Maska sieci |
Brama |
Interfejs |
|
0.0.0.0 |
0.0.0.0 |
19.156.129.1 |
149.156.129.59 |
|
127.0.0.0 |
255.0.0.0 |
On-link |
127.0.0.1 |
|
148.156.129.0 |
255.255.255.128 |
On-link |
149.156.129.59 |
|
192.168.1.0 |
255.255.255.0 |
||
|
192.168.87.0 |
255.255.255.0 |
152.168.113.1 |
192.168.113.2 |
|
192.168.87.0 |
255.255.255.0 |
152.168.113.1 |
192.168.113.2 |
[screen konfigu WG Mobie VPN with SSL]
[x] activate
8.8.8.8
sieci:
192.168.87.0/24
192.168.88.0/24
192.168.1.0/24
virtual: 192.168.1.0/24
[screen ustawionych polityk WG]
Zadanie: Wypisać pakiety przesłane przez tunel (wymienić numery z poniższych):
1. FTP 192.168.88.55
2. SSH 8.8.8.8
3. HTTP onet
4. HTTPS 192.168.87.200
5. PING 192.168.1.1
6. SMTP 192.168.0.1
7. IMAP 192.168.55.88
Odp. 1,4,5
6. Integralność + autentyczność w szyfrowaniu asymetrycznym – schemat + opis, przy minimalnym nakładzie pracy, ilość danych pojedynczej transmisji 20GB
Hash wiadomości + szyfrowanie asymetryczne kluczem prywatnym nadawcy.
Szyfrujemy tylko skrót (minimalny nakład).
7. Różnica: filtr pakietów sieciowych, a proxy filtrujące dla protokołu. Który lepiej nadaje się do generowania raportów aktywności użytkowników, przy politykach bazujących na tożsamości, uzasadnić.
Lepsze jest proxy, gdyż jest dokładniejsze, bo sprawdza kontekst pakietów- ich całą zawartość, a nie jak filtr pakietów sieciowych który zagląda tylko do nagłówków.
8. Czy i kiedy ma zastosowanie filtru pakietu dla ARP, uzasadnić.
"Nie ma zastosowania, ponieważ ARP jest w warstwie 2, a firewall (router) pracuje w warstwie 3." - M. Klamra (chyba że w trybie bridge)
9. [screen: schemat zapytań i odpowiedzi między PC i różnymi serwerami, przedzielonych firewallem stanowym] Które z pakietów z zewnętrznymi serwerami zostaną przez firewall stanowy uznane za wychodzące?
Pakiet będący odpowiedzą na żądanie jest jak ruch wychodzący – wchodzi w skłąd tej samej polityki.
10. Czy i kiedy ma sens stosowanie na firewallu translacji źródłowego IP. Gdzie, względem decyzji o rutingu, translacja jest wykonywana?
Ma to sens jeżeli chcemy ukryć nasze prywatne ip dla sieci zewnętrznej. Translacja jest wykonywana po decyzji o routingu (POSTRROUTING).
Poprawa [ERASMUS]
1. Zasada działania, idee i cele ataku odrzucenia i jakie korzyści osiąga agresor.
Atak przez odrzucanie wysyła pakiety do ofiary, jeden z nich zostaje odrzucony przez IDS, jednak dostaje się do ofiary. Atakujący może to osiągnąć przez odmienność implementacji stosu TCP/IP lub błędy w konfiguracji IDS.
2. Omów narysuj schemat realizacji usług integralności i autentyczności.
Szyfrujemy kluczem prywatnym nadawcy (autentyczność) następnie publicznym odbiorcy (integralność). Odbiorca odszyfrowuje kluczem prywatnym odbiorcy a następnie kluczem publicznym nadawcy.
3. Czy i w jakich warunkach ma sens stosowanie translacji docelowego adresu IP, gdzie ono następuje.
Ma to sens jeżeli chcemy dostać się do hosta znajdującego się w sieci prywatnej wykorzystującej nat. Translacja jest wykonywana przed decyzji o routingu (PREROUTING).
4. SWAT'ing?
Atak SWATing: atak polegający na przesłaniu fałszywego numeru identyfikacyjnego dzwoniącego (Caller ID) na numer alarmowy, w celu zmanipulowania dyspozytora do wysłania jednostki szybkiego reagowania (policja, straż pożarna, antyterroryści itp.) pod adres wskazany identyfikatorem dzwoniącego.
5. Definicje i relacje między podatnością a zagrożeniem.
Zagrożenie (threat) – potencjalna przyczyna niepożądanego incydentu którego skutkiem może być szkoda dla systemu lub instytucji. Szkoda może powstać jako skutek bezpośredniego lub pośredniego ataku na informację przetwarzaną przez system lub usługę informatyczną, np. uszkodzenie ujawnienie modyfikację utratę informacji lub jej dostępności.
Zagrożenia wykorzystują podatność tych zasobów. Zagrożenia mogą mieć pochodzenie naturalne lub ludzkie i mogą być przypadkowe lub rozmyślne.
Podatność (vulnerability) – słabość zasobu lub grupy zasobów która może być wykorzystana przez zagrożenie