Übungsaufgabe 1 Bitte kreuzen Sie die folgenden Aspekte an. Diese Tabele ist auf Ihrem Gerät nicht anzeigbar. | Cyber-Sicherheitsmechanismen | IPSec | Gewährleistung von Cyber-Sicherheitsbedürfnissen | Vertraulichkeit | X | Authentifikation | X | Authentizität | X | Integrität | X | Verbindlichkeit | | Verfügbarkeit | | Anonymisierung / Pseudomisierung | | Cyber-Sicherheitsstrategien | Vermeiden von Angriffen | | Entgegenwirken
von Angriffen | X | Erkennen von Angriffen | | Reaktion auf Angriffe | |
Übungsaufgabe 2 Nennen Sie die Cyber-Sicherheitsdienste, die bei dem AH und ESP Header angeboten werden! AH: - Datenunversehrtheit
- Authentifikation
- Anti-Replay Service (optional, ist aber standardmäßig aktiv)
ESP:- Datenunversehrtheit und Authentifikation (optional, ist aber standardmäßig aktiv)
- Anti-Replay Service (optional, ist aber standardmäßig aktiv)
- Verschlüsselung (optional, ist aber standardmäßig aktiv)
Übungsaufgabe 3 Beschreiben Sie die Vorteile der Realisierungsformen IPSec-Gateway und IP-Sec-Client! Vorteile eine IPSec-Gateway-Lösung
- Die IPSec-Gateway-Lösung ist unabhängig von IT-Systemen (Server, PC, Notebook, Tablets, Smartphone, Wearable, …) und deren Betriebssystemen (Android, iOS, LINUX, Windows, …).
- Die IPSec-Gateway-Lösung erlaubt die Einrichtung von Cyber-Sicherheitsfunktionen zwischen IT-Systemen, in die ansonsten keine Cyber-Sicherheitsfunktionen integriert werden könnten (z.B. Terminals).
- Bei heterogenen IT-Systemen (unterschiedliche Hardware, Software, Betriebssysteme, …) kann immer das gleiche IPSec-Gateway verwendet werden, wodurch sich der notwendige Aufwand verringert.
- IPSec-Gateways sind leichter „sicher“ zu realisieren als spezielle Software-Lösungen in IT-Systemen
- IPSec-Gateways sind immer ansprechbar, und damit einfacher zu managen.
- Die IPSec-Gateways sind hinsichtlich der Sicherheitsqualität unabhängig von anderen Systemkomponenten.
- Die Cyber-Sicherheit ist anwendungsunabhängig.
Vorteile einer IPSec-Client-Lösung
- Der IPSec-Client ist kostengünstiger als die IPSec-Gateway-Lösung.
- Der IPSec-Client bietet End-to-End-Sicherheit.
- Der IPSec-Client kann mobil und flexibel verwendet werden.
- Bei der IPSec-Client kann eine Person, ein Nutzer, authentisiert werden.
Übungsaufgabe 4 Erläutern Sie die zwei unterschiedlichen Modi bei IPSec und deren Anwendungsfelder und zeigen Sie den prinzipiellen Aufbau der IP-Pakete (Original/New-IP-Header, IPSec-Header, Data)! Name des 1. Modus: ________________ Anwendungsfelder: ? Name des 2. Modus:________________ Anwendungsfelder: ? Name des 1. Modus: Tunnel Mode
Anwendungsfelder: Bei 1:1-Verschlüsslung, die beispielsweise zwischen zwei Firewall-Systemen oder sonstigen Security-Gateways eingerichtet werden, wird immer der Tunnelmodus genutzt.
Name des 2. Modus: Transport Mode
Anwendungsfelder: Bei 1:n- oder m:n-Verschlüsselung mit IPSec-Client kommt nur der Transportmodus zum Einsatz. Übungsaufgabe 5 Nennen Sie unterschiedliche Security Associations (SA), Modi in den SAs und deren Aufgaben! SA: | ___________________ | Modi: | ___________________ | Aufgaben: | ___________________ |
SA: | ___________________ | Modi: | ___________________ | Aufgaben: |
___________________ |
SA: | ISAKMP Security Association | Modi: | Main Mode oder Aggressive Mode | Aufgaben: | IKE-Parameter (ISAKMP) ausgehandelt: – Authentifikationsmethode (PKI oder PSK) – Algorithmen für Authentifikation und Verschlüsselung – Schlüsselaustausch (für die SAs) Nutzer-Authentifikation | SA: | IPSec Security Assoziation | Modi: | Basic Quick Mode oder Perfect Forward Secrecy Mode | Aufgaben: | Aushandeln der IPSec-Parameter: – Security Protocol (AH, ESP) – Algorithmen (One-Way-Hashfunktion und das Verschlüsselungsverfahren, falls ESP) und Schlüssel, die für die Authentisierung und Verschlüsselung der Daten (IP-Pakete) genutzt werden. – Modus (Transport oder Tunnel) |
Übungsaufgabe 6 Diskutieren Sie die Vor- und Nachteile des Main- und Aggressive-Modes! Die Inhalte der ausgetauschten Elemente sind beim Main- und Aggressive-Modes die gleichen, nur werden sie im „Aggressive Mode“ mit nur drei Nachrichten ausgetauscht. Daher ist der „Aggressive Mode“ schneller, da er mit nur 3 Nachrichten-Paketen auskommt, aber dafür sind die IDs nicht verschlüsselt! Übungsaufgabe 7 Sie wollen die Kommunikation zwischen einigen Mitarbeitern zwischen zwei unterschiedlichen Arbeitsorten mit Hilfe von IPSec schützen. Die Verschlüsselung soll von End-to-End sein. Welchen Mode wählen Sie dafür? Transportmode, weil dort die IP-Pakete von einem bis zum anderen IT-System verschlüsselt übertragen werden und nur ein IPSec-Client für jeden Mitarbeiter notwendig ist. Übungsaufgabe 8 Sie wollen die Kommunikation zwischen einigen Mitarbeitern zwischen zwei Standorten mit Hilfe von IPSec schützen. Es soll auch verhindert werden, dass ein Angreifer erkennen kann, wer die Kommunikation in den Niederlassungen durchführt. Welchen Mode wählen Sie dafür? Tunnelmode, weil dort die Original-IP-Header Informationen verschlüsselt werden. Übungsaufgabe 9 Welche Felder im Header des originalen IP-Pakets können beim Authentication Header (AH) nicht für die Integritäts- und Authentizitätsprüfung berücksichtigt werden und warum? Die Felder “Time to Live (TTL)”, “TOS”, “Flags” und “Header Checksum” können nicht berücksichtigt werden, weil diese während der Übertragung von den Routern modifiziert werden. Übungsaufgabe 10 Nennen und beschreiben Sie kurz die drei Phasen des Main Modes innerhalb des Internet-Key-Exchange-Protokolls. Welcher zentrale Unterschied besteht zwischen dem Main Mode und dem Aggressive Mode? Beschreibung drei der Phasen: – Aushandeln der Basis-Algorithmen – Umsetzung des Diffie-Hellman-Verfahrens zum Austausch Shared Secrets – Authentifikation der Kommunikationspartner
Die Inhalte der ausgetauschten Elemente sind die gleichen, nur werden sie im „Aggressive Mode“ mit nur drei Nachrichten ausgetauscht. Daher ist der „Aggressive Mode“ schneller, da er mit nur 3 Nachrichten-Paketen auskommt, aber dafür sind die IDs bei der Authentifikation der Kommunikationspartner nicht verschlüsselt! Übungsaufgabe 11 Beschreiben Sie kurz wofür der Quick Mode innerhalb des Internet-Key-Exchange-Protokolls verwendet wird. Wovon hängt die Sicherheit des Quick Modes ab und durch welche Funktionalität innerhalb des Quick Modes kann die Cyber-Sicherheit des gesamten Protokolls theoretisch erhöht werden? Beschreibung Quick Mode Der Quick-Mode dient zur Aushandlung der IPSec Security Assoziation. Es werden das Security Protocol (AH, ESP), die kryptographischen Algorithmen (One-Way-Hashverfahren, Verschlüsselungsalgorithmus) und der Modus (Transport, Tunnel) sowie die Schlüssel für die Authentizität und Verschlüsselung für den Transfer-Mode ausgehandelt.
Die Pakete des Quick-Modes werden durch die Algorithmen und Schlüssel, die im Main Mode ausgehandelt worden sind, geschützt.
Mit Hilfe von Perfect Forward Secrecy (PFS) kann dafür gesorgt werden, dass Schlüssel nicht voneinander abhängen. Dadurch wird die Angriffsfläche reduziert. Dieses kann durch die zusätzliche Verwendung des Diffie-Hellman-Verfahrens, der Aushandlung des Diffie-Hellman Shared Secret, erreicht werden! Übungsaufgabe 12 Sie wollen die Kommunikation der Mitarbeiter zwischen mehreren entfernten Standorten mit Hilfe von IPSec schützen. Sie haben sich bereits dazu entschlossen an jedem Standort mindestens ein IPSec Gateway einzurichten. Mit welcher Methode würden Sie die Authentifikation der Kommunikationspartner innerhalb des Internet-Key-Exchange-Protokolls realisieren? Begründen Sie Ihre Auswahl! PKI gestützte Authentifikation anstatt Pre-Shared Keys, weil dadurch nicht nur die Zugehörigkeit zur Organisation, sondern das konkrete IPSec-Gateway verifiziert werden kann. Übungsaufgabe 13 Warum ergibt es Sinn, beide IPSec-Header gleichzeitig zu nutzen? Bei ESP wird nicht die Integrität und Authentizität des „Outer IP-Headers“ überprüft. Übungsaufgabe 14 Welche Unterschiede bestehen beim Transport- und Tunnelmodus? Beim Transportmode werden nur die Nutzdaten verschlüsselt. Beim Tunnelmode wird der IP-Header und die Nutzdaten verschlüsselt. Übungsaufgabe 15 Wozu dient der Anti-Replay-Service und wie funktioniert er? Schutz vor unberechtigter Wiedereinspielung von alten IP-Paketen.
Funktionsweise des Anti-Replay-Services - Initiator:
- Bei der IPSec-Initialisierung wird von Initiator SN = 0 gesetzt
- Das erste Paket wird mit SN = 1 gesendet
- Das Feld wird vor dem Versand jedes weiteren Paketes um 1 erhöht
- Receiver:
- Überprüft, ob die SN in der richtigen Reihenfolge ist.
- Mit Hilfe eines „Sliding Window“ wird entschieden, ob ein Paket mit einer bestimmten Sequenznummer angenommen oder verworfen wird. Die Größe eines Sliding Windows ist z.B. 32.
- Damit wird das unberechtigte Wiedereinspielen von alten Paketen in einer Security Association (AS) unterbunden.
|