www.egiraffe.

at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

RKN Prüfungsfragen (Stoff 2013)

Explain the ARP protocol:
Why is it needed?
On which layer(s) is it used?
How does it work?
Which security problems does it have?

“Address Resolution Protocol“. Um IP-Adressen die jeweilige MAC-Adresse zuzuweisen. Agiert somit
zwischen „Network Layer“ und „Link Layer“. PC sendet „ARP-Request“ als Broadcast mit seiner IP-
Adresse und MAC-Adresse als Sendeinformationen und IP-Adresse des PCs, dessen MAC-Adresse
gesucht wird als Anfrageinformation. Jeder Empfänger überprüft, ob die enthaltene IP-Adresse seine
eigene ist und sendet bei Übereinstimmung dem Sender einen „ARP-Reply“ mit seiner MAC-Adresse,
welche dann beim Sender im ARP-Cache gespeichert wird.
ARP Nachrichten sind allerdings nicht authentisiert. Jeder kann Anfragen oder Antworten für beliebi-
ge MACs oder IPs senden. ARP ist für den Benutzer unsichtbar. Wird meist nur bemerkt, wenn selte-
ne Fehler auftreten. Gravierendes Problem ist, dass Daten in den ARP-Cache eingetragen werden
ohne irgendwelche Überprüfungen zu machen. Ein Angreifer hat es somit sehr einfach Angriffe
durchzuführen, da er nur ARP-Pakete mit den falschen MAC-/IP-Kombinationen versenden muss.

Describe 3rd party cookies. Explain how they are used. Why could they be a problem for privacy?

Server, die nicht identisch mit dem Server der aufgerufenen Webpage sind, können etwa mit Bildda-
teien (z.B. Werbebanner) , die dann mittels http-Request von einem anderen Server geladen werden,
auch so genannte „ThirdPartyCookies“ setzen. Gegebenenfalls kann so der Besuch unterschiedlicher
Websites einem Benutzer zugeordnet werden. Es entsteht eine „serverübergreifende“ Sitzung. Dar-
aus kann auf die Interessen des Besuchers geschlossen und Websites entsprechend angepasst („per-
sonalisiert“) werden.

Explain the concepts of JSONP and „AJAX Proxy“. Why are they needed?

JavaScript Object Notation (mit Padding) ermöglicht, anders als bei AJAX, die Übertragung von Daten
über Domaingrenzen. Das <script>-Element erlaubt Anfragen auf Ressourcen von anderen Domains,
welche z.B. JSON-Daten zurückgibt, die aber nicht ausgeführt werden können. Geht man aber von
einer in der Web Applikation bereits bekannten Funktion aus, deren Nam dem Server in der URL mit-
geteilt wird, verpackt der Server die JSON-Daten als Parameter in diese Funktion und schickt sie „ge-
padded“ dem Client zurück, welche dann als gültiges JavaScript ausgeführt werden können.

XMLhttpRequest in AJAX erlaubt keine Domainübergreifende Anfragen. Um das zu umgehen können

Proxy Webservices eingesetzt werden. Der Client ruft den Proxy Webservice auf der eigenen Domain
auf, welcher den echten Webservice auf der externen Domain aufruft. Die Daten werden nun von
der externen Domain an den Proxy und von dort wieder an den Client gesendet.

Seite 1/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

How is the TCP connection establishment phase called?

Sketch an example that shows this establishment phase. Use adequate values for the TCP flags,
and the sequence/ACK numbers for the sender/receiver.
Also, include the relevant TCP states and their transitions in your diagram.

Explain congestion control and congestion avoidance within TCP/IP in detail.

Why do we need these two mechanisms?
What’s the difference between them?
What’s RED?
What’s the main idea behind ECN?
What’s the difference between RED and ECN?

„Congestion control“ wird verwendet, um Netzwerküberlast zu verhindern. Würde das Netzwerk

überlastet werden, gingen Pakete verloren ( Retransmission) was den Netzdurchsatz drastisch
senken würde. Man initialisiert ein Fenster (Slow-Start), welches angibt, wie viel Daten in ein Netz-
werk geschleust werden. Empfängt der Sender kein ACK (Indiz für Congestion), dann verringert sich
das Fenster, erhält er ein ACK, erhöht es sich um 1 (bei Slow-Start um 1 MSS).
Beim Finden der richtigen Bandbreite tritt bereits Überlast auf! Es macht Sinn Überlast bereits vorher
zu verhindern mit „Congestion Avoidance“. Zwei Möglichkeiten dafür sind RED und ECN:
RED: Verwirft zufällige Pakete eines belasteten Routers (NICHT überlastet!). Congestion Control rea-
giert darauf entsprechend. Idee: Dem Sender Überlast anzuzeigen, obwohl diese nicht stattfindet.
ECN: Selbe Idee wie RED, nur werden keine Pakete verworfen, sondern mit ECN bit markiert,
wodurch keine Pakete verloren gehen und somit alle Applikationen problemlos mit voller Leistung
arbeiten können.

Seite 2/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain the Flame attack in detail:

How was the initial host in the target network infected?
How did this host infect the other PCs?
How did the attackers manage to attack the Windows Update Service?

Der erste Host wird über einen infizierten USB-Stick als Rootkit infiziert. Flame kann sich nun über
das lokale Netzwerk durch die Manipulation von Windows Updates auf anderen Hosts ausbreiten.
Über das WPAD Protokoll werden Proxyinformationen (PAC-File) automatisch auf die Browser ver-
teilt. Somit werden über WPAD Updateanfragen an die Server der Angreifer geleitet. Der Nutzer in-
stalliert dann nicht das Windows Update, sondern die Schadkomponente über einen bereits infizier-
ten Rechner. Durch einen MD5-Kollisionsangriff kann ein gefälschtes Code-Signing-Zertifikat des
Windows Updates verifiziert werden.

Explain the concept behind a VPN.

What does “tunnel mode” mean?
What does “transport mode” mean?
Give an overview about three typical VPN setups (sketch them and explain them) What does the
AH protocol do within IPSEC? Can we use Network Adress Translation when utilizing AH?

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes
Netzwerk, z. B. das Internet, als Transportweg nutzt.
Tunnel Modus: Das gesamte Datenpaket wird verschlüsselt. Es besteht ein Kryptografischer Tunnel
zwischen Sender und Empfänger. Header der Nachricht wird gekapselt.
Transport Modus: Es wird nur die Nutzlast (Daten) verschlüsselt. Der Header bleibt unverschlüsselt.
VPN Setups: two networks, road warriors, two hosts

Two Networks: Verbindung zweier privater Netze einer Firma über einen VPN im Tunnelmodus
Road Warriors: Verbindung eines Road Warrios (mobiler PC) mit privatem Netzwerk über Zertifikat
Two Hosts: Verbindung von zwei Hosts über VPN im Transportmodus

Der Authentification Header soll in IPSEC die Authentizität und Integrität der übertragenden Pakete
sicherstellen und den Sender authentifizieren. AH schützt gegen Replay-Angriffe und die invarianten
Teile eines IP-Datagramms. Bei NAT werden die eigentlichen invarianten Teile des IP-Datagramms
verändert, wodurch eine Authentifizierung nicht mehr möglich ist.  inkompatibel zu AH

Seite 3/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

What’s MTU Path Discovery?

How does the standard method work, which protocols are used?
Why the standard method could fail (and actually does quite often)? If it fails, explain one other
technique that could be used.
What’s the difference between IPv4 and IPv6 (in relation to MTU Path Discovery)?

MTU Path Discovery ist ein Verfahren zur dynamischen Bestimmung der Maximum Transmission Unit
und damit der maximalen Paketgröße für einen bestimmten Pfad im Netzwerk. Die Hosts senden IP-
Pakete, dessen Größen ständig erhöht werden. Wenn ein Router gefunden wird, welcher eine kleine-
re MTU hat als die Paketgröße, sendet er eine ICMP Typ3 Nachricht (Destination Unreachable) mit
Code 4 (Fragmentation required, and DF flag set) zurück. Durch diese Untersuchungen kann der Host
eine geeignete MTU auf dem verwendeten Pfad bestimmen.
Problem dabei ist, dass die ICMP Nachrichten oft geblockt werden. Ein anderes Verfahren zur Be-
stimmung der Path MTU erfolgt über TCP. Dabei werden schrittweise größere Pakete gesendet, wo-
bei die maximale Größe über erfolgreich übertragene Pakete festgelegt wird.
In IPv6 werden zu große Pakete von den Routern mit dem ICMPv6-Fehler Typ 2 (Packet Too Big) zu-
rückgewiesen. Dieser Typ ICMPv6-Paket wird für IPv6 statt des ICMP-Error Typ 3 Code 4 Paketes bei
IPv4 zur Path MTU Discovery verwendet.

Explain CSMA/CD within Ethernet networks. Why is there a “length limitation”?

Carrier Sense Multiple Access/Collision Avoidance Prinzip für die Kollisionsvermeidung bei Zugriff
mehrerer Netzwerkstationen auf denselben Übertragungskanal (wird häufig bei WLAN eingesetzt).

1. Zuerst wird das Medium abgehört („horcht“, „Carrier Sense“)

2. Ist das Medium für die Dauer eines DIFS frei, wird eine Backoffzeit aus dem Contention
Window ausgewürfelt und nach Ablauf dieser gesendet.
3. Ist das Medium belegt, wird der Backoff bis zum Ablauf des Network Allocation Vectors
(NAV) gestoppt, bevor er nach einem weiteren DIFS entsprechend weiter läuft.
4. Nach vollständigem Empfang des Paketes wartet der Empfänger ein SIFS, bevor das ACK ge-
sendet wird.
5. Eine Kollision durch gleichzeitigen Ablauf des Backoffs führt zu einem ACKTimeout nach wel-
chem ein EIFS gewartet wird bevor sich der gesamte Vorgang wiederholen kann

Sendet Station 1 bei einer sehr langen Leitung, wird die Kollision zwar von einer anderen Station er-
kannt, aber Station 1 wird das nicht erkennen, da es bereits mit dem Senden der Daten abgeschlos-
sen hat, bevor die Kollision erkannt wird, weshalb eine „length limitation“ gefordert wird.

Seite 4/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain the ESP and AH protocols contained within the IPSEC protocol suite. What security features
do they offer? What are the differences? Do they work when NAT is involved? How do we cope
with the NAT situation?

Authentification Header stellt die Authentizität und Integrität der übertragenden IP-Pakete sicher
und authentifiziert den Sender. AH schützt gegen Replay-Angriffe und die invarianten Teile eines IP-
Datagramms.
Encapsulating Security Payload stellt die Authentizität, Integrität und Vertraulichkeit der übertrage-
nen IP-Pakete sicher. Im Unterschied zum AH bleibt der IP-Header unbearbeitet, jedoch werden die
Nutzdaten verschlüsselt übertragen.
Bei NAT werden die eigentlichen invarianten Teile des IP-Datagramms verändert, wodurch eine Au-
thentifizierung nicht mehr möglich ist.  inkompatibel zu AH. Lediglich eine Kombination von NAT
und ESP ist unter der Verwendung von NAT-T möglich, wobei über einen neuen Tunnel die ESP Pake-
te im UDP Datenverkehr gekapselt werden.

Explain the TLS Handshake.

Identifikation und Authentifizierung der Kommunikationspartner und Aushandeln zu benutzender

kryptografischer Algorithmen und Schlüssel. Der Handshake kann in vier Phasen unterteilt werden:

1. Client client_hello an Server, der mit server_hello antwortet. Nachrichtenparameter: Version,

32Byte Zufallsinformation, Session-ID, Cipher Suite

2. Der Server identifiziert sich gegenüber dem Client (mit X.509v3-Zertifikat). Außerdem kann der
Server einen Certificate-Request an den Client schicken.

3. Der Client identifiziert sich gegenüber dem Server. Hat der Client kein Zertifikat, antwortete er
früher mit einem NoCertificateAlert. Client versucht das vom Server erhaltene Zertifikat zu verifi-
zieren (Verbindungsabbruch bei Misserfolg). Dieses Zertifikat enthält den öffentlichen Schlüssel
des Servers zur Verschlüsselung der Daten (RSA, Diffie-Hellman)

4. Abschluss des Handshakes. Ableitung des Sitzungsschlüssels (aus pre-master- und master-secret)
Einmalig benutzbarer symmetrischer Schlüssel, der während der Verbindung zum Ver- und Ent-
schlüsseln der Daten genutzt wird. Die Nachrichten, die die Kommunikationspartner sich nun ge-
genseitig zusenden, werden nur noch verschlüsselt übertragen.

Seite 5/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

To which protocol does the following header belong?

Explain the fields
- Version
- Identification
- Fragment Offset
- Time to Live
- Protocol
- Source/Destination Address (size?)
- Header checksum (What’s the difference to the next version of the shown protocol header?)

Version: 4 Bit breit. Die IP-Version. (0100 = 4)

Identification: Hiermit und mit der Source Address kann der Empfänger die Zusammengehö-
rigkeit von Fragmenten detektieren und sie wieder zusammensetzen.
Fragment Offset: Eine Nummer, die bei fragmentierten Paketen besagt, ab welcher Position
innerhalb des Paketes das Fragment anfängt.
Time To Live: Gibt Lebensdauer des Pakets an. Hat dieses Feld den Wert null, so wird das
Paket verworfen. Jede Station (Router) auf dem Weg des Pakets verringert
diesen Wert um eins. Verhindert, dass Pakete ewig weitergeleitet werden
Protocol: Dieses Feld bezeichnet das Folgeprotokoll, zu dem die im betreffenden IPv4-
Paket transportierten Nutzdaten gehören. Für ein TCP-Paket steht hier der
Wert 6, für UDP 17.
Source/Destination: 32 Bit breit. Enthält die Quelladresse/Zieladresse des IP-Pakets (1.Bit ist MSB)
Header Checksum: Prüfsumme zur Sicherung des Kopfdatenbereichs. Prüfsumme wird berech-
net und mit diesem Feld verglichen. Falls der Wert nicht übereinstimmt, wird
das Paket verworfen. Ipv4 Router müssen die Prüfsumme bei Herabsetzen
des TTL Werts neu berechnen, IPv6 Router nicht!

Seite 6/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain the HTTP requests, GET, POST, PUT, DELETE, OPTIONS, TRACE, PATCH and HEAD.
What does idempotent mean? Which requests are idempotent?

GET: Anfordern einer Ressource vom Server unter Angabe eines URI. Die Länge des URIs ist je
nach eingesetztem Server begrenzt (nicht länger als 255 Bytes).
POST: Hiermit können neue Ressourcen auf dem Server entstehen oder bestehende modifi-
ziert werden. Da sich die Daten nicht in der URL befinden, können per POST große Da-
tenmengen, z. B. Bilder, übertragen werden.
PUT: dient dazu eine Ressource unter Angabe des Ziel-URIs auf einen Server hochzuladen.
DELETE: löscht die angegebene Ressource auf dem Server.
OPTIONS: liefert eine Liste der vom Server unterstützen Methoden und Features.
TRACE: liefert die Anfrage so zurück, wie der Server sie empfangen hat.
PATCH: modifiziert Ressourcen. Body der Methode beschreibt die Änderungen.
HEAD: Entspricht GET, jedoch wird nur Header übertragen (z.B. um Serverinfos zu erlangen)

Idempotent heißt, dass die Operation mehrmals aufgerufen werden kann und immer zum selben
Ergebnis führt. Alle sind idempotent außer PATCH und POST!

Same Origin Policy: Which elements are considered when comparing two „origins“? Which ele-
ments/components are subject to SOP in the context of a web application? How does the SOP
work for cookies?

Die Same-Origin-Policy (SOP) ist ein Sicherheitskonzept, das clientseitigen Skriptsprachen untersagt,
auf Objekte (zum Beispiel Grafiken) zuzugreifen, die von einer anderen Webseite stammen oder de-
ren Speicherort nicht der Origin entspricht.
Die SOP berücksichtigt Protokoll, Hostname und Port zur Überprüfung zweier „origins“. Die Res-
source wird nicht berücksichtigt! Nur wenn alle der drei Elemente übereinstimmen, ist ein Zugriff auf
die Skripte erlaubt.
Für Web APIs ist der Host entscheidend. Stimmt der Host nicht überein, kann ein Angreifer das Opfer
über dessen Seite leiten und von dort aus Anfragen an den Origin senden. Damit können Daten er-
schnüffelt werden.
Cookies werden durch ihren Namen, Domain und Pfad identifiziert. Für Cookies sind deshalb die Do-
main und der Pfad des Cookies entscheidend. Die scheme, also das verwendete Protokoll kann optio-
nal gefordert werden. Der Port ist nicht entscheidend.

Seite 7/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain the Eurograbber attach in detail:

- How did the first attack on the web browser work?
- How was the smartphone infected?
- What was required of the user for a successful attack?

Der Eurograbber Trojaner stielt die TAN eines Geldtransfers, welche zu einem Smartphone über SMS
gesendet wird. Die Angreifer nutzen diese TAN, um selbst Geldtransfers zu erledigen. Es wurden rund
36 Millionen EUR aus über 30.000 Accounts gestohlen.

Schritt 1: Desktop wird über Zeus Trojaner infiziert. Zeus operiert im Hintergrund und wartet
bis sich das Opfer an seinem online Bank Account anmeldet.
Schritt 2: Wenn sich der User einloggt, injiziert Zeus ein JavaScript in die Session, welches den
User über ein Security Update informiert und ihn auffordert seine Mobilummer etc.
einzugeben.
Schritt 3: Dadurch wird die User Information an den Server der Angreifer weitergeleitet.
Schritt 4/5: EUROGRABBER sendet SMS an den User, in der er aufgefordert wird ein Sicherheit-
supdate zu installieren.
Schritt 6: Der User installiert das Update auf seinem Smartphone. Er gibt den Aktivierungscode
auf dem Desktop PC ein, wodurch die Angreifer wissen, dass alles für den Angriff vor-
bereitet ist.
Schritt 7: Eine Mitteilung erscheint auf dem Desktop, dass das Sicherheitsupdate erfolgreich
installiert wurde.

Der Angriff ist nur dann möglich, wenn das Opfer Android oder Blackberry besitzt, da man nur hier
Kurznachrichten abfangen kann, ohne dass der User darüber informiert wird.

Explain JSONP

JSONP (JSON mit Padding) ermöglicht die Übertragung von (JSON-)Daten über Domaingrenzen. Die
Idee ist ein JavaScript von einer anderen Seite zu laden also das SOP bedingte Verbot bei Ajax-
Datenabfragen zu umgehen.
Für das src-Attribut eines <script>-Elements greift die SOP nicht. Es ist daher möglich eine URL einer
anderen Domain anzugeben. Die zurückgesendeten JSON-Daten würden aber einen Fehler im Brow-
ser verursachen. (Kann nicht ausgeführt werden…)
Geht man allerdings von einer auf dem Server bereits definierten JS-Funktion aus, kann der Server
die JSONP-Daten „padded“ zurücksenden. Der Name der Funktion wird dem Server über einen Query
String der URL mitgeteilt, also z.B.

<script type="text/javascript"
src="http://example.com/getjson?jsonp=Rueckruf">
</script>

Jeder JSONP-Aufruf benötigt eigenes <script>-Element. Nur mit GET-Methode möglich.

Seite 8/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

TCP protocol.
On which layer is it located?
Which 5 services does it offer on this layer?
Explain those services.

…befindet sich auf dem Transport Layer

Datenflusssteuerung: Steuerung des Datenflusses, sodass eine möglichst kontinuierliche Datenüber-
mittlung ohne Verluste erfolgen kann.
Überlaststeuerung: Kontrolle der Netzbelastung, um die Überlastung eines Netzwerks zu verhindern
Reliable transmission: Die Sequenznummer identifiziert die Reihenfolge der gesendeten Bytes, so
dass die Daten beim Empfänger rekonstruiert werden können, unabhängig von einer Fragmentierung
Unordnung oder Paketverlust, die während der Übertragung auftreten können.
Ordered delivery: In der richtigen Reihenfolge empfangene Netzwerklayerpakete, die an den Applika-
tionslayer gesendet werden. Bei der Zuordnung der Segmente im Empfänger wird die Sequenznum-
mer herangezogen.

Why do we need ETags? Explain how they are used. Why could they be a problem for privacy?

Wird zur Vermeidung redundanter Datenübertragungen verwendet. (Caching) Bei Ressourcenanfrage

sendet Server entsprechend spezifischen ETAG-Wert (im ETAG-Headerfeld), welcher mit der Res-
source gespeichert wird. Bei erneuter Anfrage sendet Client im „If-None-Match“ Feld den ETAG mit.
Server vergleicht gesendeten ETAG mit aktuellem. Bei Übereinstimmung sendet Server Statuscode
304 (Not Modified). Daten der Ressource werden nicht mitgeschickt und Client verwendet die loka-
len Daten.
Server kann einer Ressource eine eindeutige ID zuweisen, wenn ein User diese das erste Mal be-
sucht. Browser senden das ETag erneut, wenn man die Ressource besucht. Dadurch kann der User
unbemerkt überwacht werden, da die ETags im Normalfall nicht detektiert werden können.

Explain the Content-Security-Policy standard. How does it work? Which attacks can be eliminated
with this framework?

Ein Sicherheitskonzept, um Schwachstellen beim Einfügen von Inhalten in Webseiten zu minimieren.

CSP ist eine Strategie, die den Autoren von Web Applikationen die Möglichkeit gibt den Client dar-
über zu informieren, von welchen Quellen die Applikation Ressourcen laden kann.
Die CSP wird im Headerfeld „Content-Security-Policy“ übergeben. Darin definiert man z.B. verschie-
dene Quellen von denen Daten eingefügt werden können, verbietet Klartextkommunikation (http),
definiert „trusted sources“ die ebenfalls eingefügt werden können oder stellt sicher, dass Skripte nur
von einer bestimmten Seite geladen werden können. Erzwingt eine strikte Trennung zwischen In-
haltsdaten im HTMLCode und externen Dateien mit JavaScriptCode.
Durch die Definition einer strikten Police können Angriffe wie Cross-Site-Scripting verhindert wer-
den. Der eingefügte Code kann nicht mit Zielen kommunizieren, die nicht in der CSP definiert sind.

Seite 9/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain how flow control works within TCP.

What is flow control?
Which problem does it solve?
Which header fields play a role?
Explain how the sender gets to know how many packets (bytes) to send?

Flow Control verhindert, dass ein Sender einem Empfänger Daten zu schnell sendet und sie sicher
überträgt. Die Sendegeschwindigkeit muss an den Empfänger anpassen. Ist die Sendegeschwindigkeit
zu hoch, müsste der Empfänger Pakete fallen lassen, was erneute Übertragungen zur Folge hätte,
was die Übertragungsgeschwindigkeit einschränkt. Flow Control löst dieses Problem.
Bei TCP verwendet man zur Flusskontrolle das „Sliding Window“. Empfänger speichert Daten in ei-
nem Puffer. Mit jedem ACK übergibt er dem Sender im Window-Feld Informationen über den Puffer-
füllstand. Dadurch weiß der Sender genau wie viel Bytes er senden darf (advertised Window). Ist der
Puffer voll, nimmt das Window-Feld den Wert 0 an und der Sender stoppt die Übertragung. Ist der
Empfänger wieder bereit Daten zu empfangen, fordert er diese beim Sender mit einem neu initiali-
siertem „advertised Window“ an.

Assuming, you are within an open WLAN and use http to talk to a web server. Further assuming
there is an attacker who executes ARP Poisoning.
First, explain ARP Poisoning and for which attacks it can be used. Second, consider you are using
HTTPS. What can the attacker do with ARP Poisoning then? Third, what can the attacker already do
WITHOUT ARP poisoning in the open WLAN?

Durch ARP-Poisoning wird Abhören und Verändern von Nachrichten zwischen zwei Hosts möglich.
Um Datenverkehr zwischen Host A und Host B abzuhören, sendet der Angreifer eine gefälschte ARP
Nachricht in dessen seine eigene MAC-Adresse und nicht die von Host B enthalten ist, sodass Host A
alle Pakete an den Angreifer sendet, die eigentlich für Host B bestimmt wären. Dasselbe geschieht für
Host A. Der Angreifer muss lediglich die erhaltenen Pakete an den jeweiligen Empfänger weiterleiten
um die Verbindung zu erhalten. Er arbeitet unbemerkt als Proxy (Man-In-The-Middle Angriff!)
Durch SSLStripping ist auch bei der Benutzung von HTTPS ein Angriff möglich. Der Angreifer verän-
dert die HTTPS Verbindung des Clients in eine HTTP Verbindung mit sich selbst und stellt eine HTTPS
Verbindung zum Server her. Da aber die Verbindung Client-Angreifer als HTTP läuft, kann der Angrei-
fer die Nachrichten des Clients lesen und verändern.
In einem offenen WLAN können bereits alle Pakete mitgehört werden, Hijacking ist möglich.

Seite 10/11
 www.egiraffe.at - Rechner- und Kommunikationsnetze - VO

Prüfungsfragenausarbeitung

Explain HTML5 cross-document-messaging. When using this mechanism as developer, which as-
pects are vital for security?

HTML5 cross-document-messaging erlaubt es Daten von verschiedenen Domains/Origins zu laden

und über Domaingrenzen zu kommunizieren ohne dass XSS-Angriffe ermöglicht werden. HTML5
Messaging verwendet die „postMessage“ Funktion, um Sicherheitskonzepte (SOP) zu umgehen.
„postMessage“ enthält folgende Nachrichtenfelder:

data: Enthält beliebigen Datenstring, gesendet vom ursprünglichen Script.

origin: String, der die Daten des Ursprungsdokuments enthält: Schema, Domain, und Port.
source: Referenz zum Source Window. Kann Nachrichten zum Source Window schicken.

Der Entwickler sollte sicherstellen, dass der HTML Web Messaging Mechanismus nicht von Cross-
Site-Scripting verwendet werden kann:
- Origin Attribute überprüfen, ob sie mit der Domain übereinstimmen, die man erwartet
- Datenformat ankommender Daten überprüfen, ob es mit dem erwarteten übereinstimmt

Explain Web Sockets. How does the handshake look like? What is their purpose?

Beim Web-Socket-Protokoll reicht eine Verbindung eines Clients mit dem Server, damit der Server
neue Informationen senden kann, ohne dabei auf erneute Anfragen vom Client warten zu müssen,
wie es bei HTTP-Verbindungen üblich ist.

Handshake:
Zu Beginn einer Verbindung findet ein Handshake zwischen Client und Server statt. Ähnelt dem
HTTP-Header Aufbau, was eine HTTP-Kommunikation und Web Socket Nutzung zugleich ermöglicht.
(Standard HTTP-Port „80“). Der Handshakes beinhaltet Informationen wie Protokollversion, etc.

Clientanfrage:
Client gibt an auf welche Ressource und Host er zugreifen möchte (wie HTTP). Er fordert ein Upgrade
auf das Web Socket Protokoll.
SecWebSocketKey: Überprüfung, ob Server Anfrage gelesen und verstanden hat.
SecWebSocketProtocol: Client kann auf Web Socket aufbauende Protokolle angeben.
SecWebSocketVersion: Gibt die Protokollversion an.

Serverantwort:
HTTP Statuscode 101 bestätigt den Wechsel des Protokolls. Der zurückgesendete Schlüssel
„SecWebSocketAccept“ dient zur Verifikation, dass die Clientanfrage gelesen wurde. (an den
„SecWebSocketKey“ wird ein globaler Identifier angehängt und ein Hashcode des entstandenen
Schlüssels erstellt und kodiert)

Seite 11/11