Lösungsvorschlag

Übung 8 - Netzwerksicherheit II
Ausgabe: 08. Januar 2021 - Besprechung: 15. Januar 2021

Aufgabe 36 Firewalls
1. Welche grundlegende Aufgabe erfüllt eine Firewall?
2. Auf welcher / welchen Schicht( en) des Schichtenmodells kann einer Firewall an-
gewendet werden? Beschreiben Sie kurz, was die Firewall auf dieser / diesen
Schicht( en) macht.
3. Beschreiben Sie kurz den Unterschied einer zustandsbehafteten (stateful) und ei-
ner zustandlosen (stateless) Firewall.

Lösung
1. Firewalls werden zwischen Netzwerke platziert (z.B. zwischen LAN und Internet,
zwischen Rechner und Internet, etc.), um den Datenverkehr zu filtern, und somit
möglicherweise verwundbare Systeme zu schützten. Sie können je nachdem wie
Daten gefiltert werden (whitelisting, blacklisting) und wo Sie platziert werden un-
terschieden werden.
2. Firewalls können auf der Network Layer, Transport Layer und Application Layer
benutzt werden.
• Network Layer: Hier werden einzelne Pakete gefiltert, um z.B. gegen IP
Spoofing von lokalen Adressen von außerhalb zu verhindern (IP Spoofing:
Abänderung / Fälschung der IP Daten im Header sodass das Paket aussieht,
als wäre es von einem anderen Computer gesendet worden), und um Zu-
griff auf bestimmte Ports zu verbieten (Falls Maschine Y kein SSH Server ist,
Block Port 22 (SSH) für Y).
• Transport Layer: Offene TCP Verbindungen können überwacht werden, z.B.
können Reposnese nur erlaubt sein, falls ein Query verschickt wurde.
• Application Layer: Hier können applikationsspezifische Inhalte, wie z.B. ak-
tive Teile von Webseiten, Macros in Word Dokumenten, Downloads mit Viren,
Spam und Phishing E-Mails, etc. geblockt werden.
Desto höher die Ebene auf die die Firewall angewandt werden soll, desto kom-
plizierter auch die Komplexität. z.B. muss man auf der Transport Layer deutlich
mehr Informationen zu den Benutzten Protokollen verstehen. Auf der Applicati-
on Layer müssen Daten dann auch interpretiert und evaluiert werden. Außerdem
beschränken Firewalls natürlich auch immer die Benutzbarkeit, nicht nur können
bestimmte Services aus Sicherheitsgründen nicht mehr benutzt werden, sondern
auch die Netzwerkleistung kann bei komplexeren Firewalls beeinträchtige werden.
Letztens kann eine Firewall natürlich verschlüsselte Daten nicht inspizieren, und
ist in diesem Fall nutzlos.

IT-Sicherheit 66 Übungsblatt 8
 Lösungsvorschlag

3. Auf der Network und Application Layer müssen sich Firewalls merken, welche Ses-
sions offen sind, und (z.B. bei TCP, TLS) welche Querys geschickt wurden - sie
sind zustandsbehaftet. Weniger komplexe Firewalls merken sich keine Informatio-
nen zu vergangenen Verbindungen, und sind somit auch zustandslos.

Aufgabe 37 IPsec
1. Welche grundlegende Aufgabe erfühlt IPsec?
2. Welche Schicht des Schichtenmodells wird mit IPsec geschützt?
3. Welche Schutzziele können jeweils im ESP und AH Modus erreicht werden? Be-
schreiben Sie kurz beide Modi, und diskutieren Sie, warum diese Schutzziele er-
reicht werden können.
4. Warum werden in IPsec Message Authentication Codes (MACs) anstatt digitaler
Signaturen verwendet?

Lösung
1. IPsec ist ein Protokoll, welches die Vertraulichkeit, Authentisierung und Integrität
von IP Paketen garantieren soll. Das Ziel ist der Aufbau einer Security Association.
2. IPsec arbeitet auf der Network Layer, auf dem IP Protokoll.
3. • ESP Modus: Encapsulating Security Payload - Vertraulichkeit, Integrität und
Authentizität des inneren IP Pakets.
– Im Transportmodus: nur Daten, TCP/UDP Header und ESP-Trailer wer-
den verschlüsselt, ein ESP Header und ESP-Authetifikationsdaten wer-
den eingefügt. Die Authentifikation wird über über den ESP-Header, die
Daten, den TCP/UPD Header und den ESP-Trailer gebildet. Die Daten
sind zwar verschlüsselt, aber nachdem der IP-Header weiterhin frei les-
bar ist, kann eine bestehende Verbindung zwischen zwei Stationen fest-
gestellt werden.

– Im Tunnelmodus: Die Verschlüsselung wird über das gesamte IP Paket

wie auch den ESP-Trailer durchgeführt. Die anschließende Authentifizie-
rung wird über die Verschlüsselten Daten, wie auch den ESP-Header
vollzogen. Die IP Addresse ist somit von aussen nicht mehr sichtbar, ein
neuer IP-Header zeigt auf das Ende des Tunnels.

IT-Sicherheit 67 Übungsblatt 8
 Lösungsvorschlag

Für eine Verbindung zweier Rechner in einem sicheren LAN wird der Trans-
portmodus verwendet, für eine Verbindung über unsichere Netze wird der
Tunnelmodus benutzt.
• AH Modus: Authentication Header - Authentisierung und Integrität des gan-
zen IP Pakets.
– Im Tunnelmodus: Es wird ein neuer IP-Header eingefügt, das gesam-
te original IP Paket wird gekapselt, ist aber nicht verschlüsselt. Die Au-
thentifikation wird über den neuen IP-Header, das IP-Paket und den AH-
Header gebildet.

– Im Transportmodus: Die Authentifikation wird über den IP Header, AH-

Header, TCP-Header und die Daten gebildet. Dieser Modus sollte aus-
schließlich bei einer Host-to-Host Verbindung verwendet werden.

Wenn ein Router während der Verarbeitung die IP Adressen ändert, kann AH
nicht mehr funktionieren, nachdem der Hashwert auch über die IP Adressen
gebildet wird.

4. MACS sind im allgemeinen deutlich schneller als digitale Signaturen, da sie auf
symmetrischer Kryptographie basieren. Weiterhin sind Sie auch kurzer (z.B. 128-
256 Bit vs. min. 1024 Bit), welche hier dann auch nochmal auf 96 Bit gekürzt
werden (was bei einer digitalen Signatur nicht möglich ist!)

Hier noch eine genauere Übersicht der jeweiligen Pakete:

IT-Sicherheit 68 Übungsblatt 8
 Lösungsvorschlag

Abbildung 8: ESP Transport Mode

Abbildung 9: ESP Tunnel Mode

IT-Sicherheit 69 Übungsblatt 8
 Lösungsvorschlag

Abbildung 10: AH Transport Mode

Abbildung 11: AH Tunnel Mode

Quelle: http://unixwiz.net/techtips/iguide-ipsec.html

IT-Sicherheit 70 Übungsblatt 8
 Lösungsvorschlag

Aufgabe 38 SSL/TLS
1. Welche grundlegende Aufgabe erfühlt TLS?

2. Welche Schicht des Schichtenmodells wird mit SSL/TLS geschützt?

3. Welches Transportprotokoll muss genutzt werden um TLS zu benutzten?

4. Gegen welche der folgenden Angriffe kann SSL/TLS schützten?

• Brute Force Angriff
• Wörterbuch Angriff
• Replay Angriff
• Man-in-the-Middle Angriff
• Abhören von Passwörtern
• IP Spoofing
• IP Hijacking
• SYN-Flooding

5. Vergleichen Sie IPsec und SSL/TLS. Wann ist es sinnvoll welches Protokoll ver-
wenden?

Lösung
1. TLS ist ein Verschlüsselungsprotokoll für sichere Datenübertragung im Internet.
TLS wird hauptsächlich für die Verwendung mit HTTPS verwendet, wird aber auch
für POP3S, SMTPS oder IMAPS verwendet.

2. TLS arbeitet auf der Transport Layer (über TCP, unter HTTPS).

3. TLS benötigt TCP als Transport Layer Protokoll.

4. • Brute Force Angriff: Nein

• Wörterbuch Angriff: Nein
• Replay Angriff: Ja, nachdem ein MAC über das MAC Geheimnis, der Se-
quence Nummer, der Nachrichtenlänge, dem Inhalt der Nachricht etc. berech-
net wird.
• Man-in-the-Middle Angriff: Ja, nachdem beide Seiten sich mit einem Zertifikat
authentifizieren.
• Abhören von Passwörtern: Ja, nachdem die gesendeten Nachrichten ver-
schlüsselt sind.
• IP Spoofing: Nein, es werden zwar alle Kommunikationspartner authentifi-
ziert, doch die verwendeten IP Adressen nicht.

IT-Sicherheit 71 Übungsblatt 8
 Lösungsvorschlag

• IP Hijacking (Übernahme einer IP Adresse durch Veränderung der Routing-

Tabelle) : Nein, aber es können keine Daten auf dem Stream extrahiert wer-
den, da diese verschlüsselt sind, und der Session Schlüssel nicht bekannt
ist.
• SYN-Flooding (ein Angreifer sendet sehr viele SYN Pakete, aber keine AKN
Pakete, dies überlastet den Server, sodass dieser eine legitime Anfrage nicht
bearbeiten kann): Nein, hierfür würden man SYN Cookies benötigen. Die Be-
nutzung von SYN Cookies bedeutet, dass der Server nicht mehr jede nicht
nicht fertig gestellte Verbindung (also, ohne AKN von dem Client) speichern
muss, und somit auch bei einer großen Anzahl an halb offenen Verbindungen
weiterhin Verbindungen herstellen kann.

5. SSL/TLS ist auf Systemen wie Computer oder Smartphones sehr einfach zu ver-
wenden:
• IPsec ist deutlich komplexer zu konfigurieren, teilweise sind verschiedene IP-
sec Clients nicht kompatibel.
• SSL/TLS kann unabhängig von der Netzwerkinfrastruktur verwendet werden
(Firewalls, NAT).
• Nachdem es auf der Transport Layer arbeitet, muss es oft als applikationss-
pezifischer Aufsatz auf bestimmte Anwendungen genutzt werden (z.B. https)
• TLS Benötigt eine vorhandene PKI, wie auch die Benutzung von TCP.
IPsec ist eher für den Einsatz in Corporate Netzwerken, und sensibleren Daten
sinnvoll:
• Die Absicherung findet schon auf der Network Layer statt, was die Paketver-
arbeitung vereinfacht.
• IPsec ist somit applikationsunabhängig, was im allgemeinen die Sicherheit
erhöht.
• Auf der Network Layer kann somit UDP verwendet werden.
• Nachdem keine Zertifikate verschickt werden, ist auch keine PKI nötig.
• Nachdem IPsec den IP Header abändert, entstehen oft Probleme mit NAT
Traversal.

IT-Sicherheit 72 Übungsblatt 8