Angewandte IT-Sicherheit - Exam

Aufgabe 1)

Du arbeitest in einem IT-Sicherheitsunternehmen und sollst eine ausführliche Analyse über die Einsatzmöglichkeiten und Sicherheitsaspekte von symmetrischen und asymmetrischen Verschlüsselungsverfahren erstellen. Dabei sollst du sowohl theoretische Grundlagen als auch praktische Anwendungsbeispiele berücksichtigen.

a)

Erkläre die grundlegenden Unterschiede zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren. In welchen Szenarien wäre die Verwendung von symmetrischen Verfahren vorteilhafter und warum?

Lösung:

Unterschiede zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren

Symmetrische und asymmetrische Verschlüsselungsverfahren sind zwei grundlegende Arten der Kryptographie, die jeweils ihre eigenen Merkmale, Vorteile und Einsatzbereiche haben. Hier sind die wichtigsten Unterschiede:

• Schlüsselverwendung:
  • Symmetrische Verschlüsselung: Verwendet denselben Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung. Dieser Schlüssel muss sicher zwischen den Parteien ausgetauscht werden.
  • Asymmetrische Verschlüsselung: Verwendet ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel. Der öffentliche Schlüssel wird zum Verschlüsseln von Daten verwendet, während der private Schlüssel zum Entschlüsseln der Daten verwendet wird.
• Sicherheit:
  • Symmetrische Verschlüsselung: Sehr sicher, solange der Schlüssel geheim bleibt. Bei Verlust oder Kompromittierung des Schlüssels sind alle verschlüsselten Nachrichten gefährdet.
  • Asymmetrische Verschlüsselung: Bietet hohe Sicherheit, da selbst wenn der öffentliche Schlüssel bekannt ist, die Entschlüsselung ohne den privaten Schlüssel nicht möglich ist.
• Rechenleistung und Geschwindigkeit:
  • Symmetrische Verschlüsselung: In der Regel schneller und benötigt weniger Rechenleistung als asymmetrische Verschlüsselung.
  • Asymmetrische Verschlüsselung: Langsamer und benötigt mehr Rechenleistung, da komplexe mathematische Operationen verwendet werden.
• Schlüsselverteilung:
  • Symmetrische Verschlüsselung: Die sichere Verteilung des gleichen Schlüssels an beide Parteien ist eine Herausforderung.
  • Asymmetrische Verschlüsselung: Der öffentliche Schlüssel kann frei verteilt werden, was die Schlüsselverteilung erleichtert und sicherer macht.

Szenarien für die Verwendung von symmetrischen Verfahren

Symmetrische Verschlüsselungsverfahren sind besonders vorteilhaft in folgenden Szenarien:

• Leistungsanforderungen: In Umgebungen, in denen hohe Geschwindigkeit und geringe Rechenleistung erforderlich sind, wie etwa in integrierten Systemen oder verschlüsseltem Speicher, ist symmetrische Verschlüsselung ideal.
• Große Datenmengen: Wenn große Datenmengen verschlüsselt werden müssen, z.B. bei der Speicherung von Datenbanken oder beim Sichern von Festplatten, bietet symmetrische Verschlüsselung Vorteile durch höhere Effizienz.
• Vertrauliche Kommunikation innerhalb geschlossener Systeme: In Szenarien, in denen die Schlüssel sicher ausgetauscht werden können, z.B. innerhalb eines Unternehmensnetzwerks, ist symmetrische Verschlüsselung effizient und sicher.

Zusammengefasst können beide Verschlüsselungsmethoden je nach Anwendungsfall und den spezifischen Anforderungen an Sicherheit, Performance und Schlüsselmanagement eingesetzt werden. Eine sorgfältige Analyse der jeweiligen Umgebung und Bedürfnisse ist entscheidend für die Wahl des geeigneten Verfahrens.

b)

Gegeben sei ein Nachrichtenübertragungsprotokoll, das auf symmetrischer Verschlüsselung basiert. Angenommen, die Nachricht M wird mit dem Schlüssel k verschlüsselt. Leite die entsprechenden mathematischen Schritte der Ver- und Entschlüsselung her und zeige dies anhand eines fiktiven Beispiels. Verwende dazu die folgende Nachricht: 'HELLO'. Nutze den ASCII-Wert der Buchstaben und einen Schlüssel k=3 (Caesar-Verschlüsselung).

Lösung:

Symmetrische Verschlüsselung: Mathematische Schritte und Beispiel

Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln der Nachricht verwendet. Ein einfaches Beispiel hierfür ist die Caesar-Verschlüsselung, bei der jeder Buchstabe im Klartext durch einen anderen Buchstaben ersetzt wird, der eine feste Anzahl von Positionen (Schlüssel k) im Alphabet verschoben ist.

Die verwendete Nachricht ist 'HELLO' und der Schlüssel ist k = 3. Wir verwenden die ASCII-Werte der Buchstaben, um die Ver- und Entschlüsselung zu demonstrieren.

Verschlüsselung

Die Verschlüsselung einer Nachricht M mit dem Schlüssel k erfolgt durch:

• Jeden Buchstaben in der Nachricht in seinen ASCII-Wert umzuwandeln.
• Den ASCII-Wert um den Schlüssel k zu verschieben.
• Die verschobenen ASCII-Werte wieder in Buchstaben umzuwandeln.

Die Formel für die Verschlüsselung lautet:

\[ C_i = (M_i + k) \bmod 26 \]

• C_i: Der ASCII-Wert des verschlüsselten Buchstabens.
• M_i: Der ASCII-Wert des ursprünglichen Buchstabens.
• k: Der Schlüssel, hier 3.

Bitte beachte, dass wir Alphabetbuchstaben verwenden und den Nullpunkt entsprechend anpassen (A=0, B=1, ..., Z=25, um dann wieder zurück zu konvertieren).

Beispiel für die Nachricht 'HELLO':

• Indizes der Buchstaben im Alphabet: H = 7, E = 4, L = 11, L = 11, O = 14
• Verschiebung um k = 3:
• C_i von H: (7 + 3) \bmod 26 = 10 (K)
• C_i von E: (4 + 3) \bmod 26 = 7 (H)
• C_i von L: (11 + 3) \bmod 26 = 14 (O)
• C_i von L: (11 + 3) \bmod 26 = 14 (O)
• C_i von O: (14 + 3) \bmod 26 = 17 (R)
• Die verschlüsselte Nachricht ist 'KHOOR'.

Entschlüsselung

Die Entschlüsselung der verschlüsselten Nachricht C mit dem Schlüssel k erfolgt durch:

• Den verschlüsselten Buchstaben in seinen ASCII-Wert umzuwandeln.
• Den ASCII-Wert um den Schlüssel k zurückzuschieben.
• Die zurückgeschobenen ASCII-Werte wieder in Buchstaben umzuwandeln.

Die Formel für die Entschlüsselung lautet:

\[ M_i = (C_i - k + 26) \bmod 26 \]

• M_i: Der ASCII-Wert des ursprünglichen Buchstabens.
• C_i: Der ASCII-Wert des verschlüsselten Buchstabens.
• k: Der Schlüssel, hier 3.

Beispiel für die verschlüsselte Nachricht 'KHOOR':

• Indizes der Buchstaben im Alphabet: K = 10, H = 7, O = 14, O = 14, R = 17
• Rückverschiebung um k = 3:
• M_i von K: (10 - 3 + 26) \bmod 26 = 7 (H)
• M_i von H: (7 - 3 + 26) \bmod 26 = 4 (E)
• M_i von O: (14 - 3 + 26) \bmod 26 = 11 (L)
• M_i von O: (14 - 3 + 26) \bmod 26 = 11 (L)
• M_i von R: (17 - 3 + 26) \bmod 26 = 14 (O)
• Die entschlüsselte Nachricht ist 'HELLO'.

Dieses Beispiel zeigt die grundlegenden Schritte der symmetrischen Verschlüsselung und Entschlüsselung anhand der einfachen Caesar-Verschlüsselung, einer leicht verständlichen Methode.

c)

Beschreibe ein Beispiel, bei welchem asymmetrische Verschlüsselung essentiell ist. Erläutere dabei die Schritte der Schlüsselgenerierung sowie die entsprechenden Formeln für Ver- und Entschlüsselung eines Dokuments mit RSA. Stelle sicher, dass du den Unterschied zur symmetrischen Verschlüsselung herausarbeitest und mathematisch untermauerst.

Lösung:

Beispiel für asymmetrische Verschlüsselung: SSL/TLS-Zertifikate

Ein typisches Beispiel, bei dem asymmetrische Verschlüsselung essentiell ist, sind SSL/TLS-Zertifikate, die zur Sicherung der Kommunikation zwischen Webbrowsern und Webservern verwendet werden. Diese Verschlüsselung stellt sicher, dass Daten, die zwischen den beiden Parteien ausgetauscht werden, nicht von Dritten mitgelesen oder manipuliert werden können.

Schritte der Schlüsselgenerierung bei RSA

RSA (Rivest-Shamir-Adleman) ist ein weit verbreitetes asymmetrisches Verschlüsselungsverfahren. Die Schlüsselgenerierung bei RSA erfolgt in mehreren Schritten:

• Wähle zwei unterschiedliche große Primzahlen, Sie werden mit \( p \) und \( q \) bezeichnet.
• Berechne das Produkt dieser Primzahlen: \( n = p \times q \). Der Wert von \( n \) wird sowohl im öffentlichen als auch im privaten Schlüssel genutzt.
• Berechne die Eulersche Totientfunktion von \( n \): \( \text{φ}(n) = (p-1) \times (q-1) \).
• Wähle eine Zahl \( e \), die teilerfremd zu \( \text{φ}(n) \) ist und \( 1 < e < \text{φ}(n) \) gilt. Der Wert \( e \) wird als öffentlicher Exponent bezeichnet.
• Berechne den privaten Exponenten \( d \) als das multiplikative Inverse von \( e \) modulo \( \text{φ}(n) \), d.h. \( d \) ist der Wert, der folgende Gleichung erfüllt: \( e \times d \bmod \text{φ}(n) = 1 \).

Das Schlüsselpaar besteht aus dem öffentlichen Schlüssel \( (n, e) \) und dem privaten Schlüssel \( (n, d) \).

Formeln für die Ver- und Entschlüsselung

Die Ver- und Entschlüsselung eines Dokuments \( M \) bei RSA erfolgt durch mathematische Operationen:

• Verschlüsseln: \( C = M^e \bmod n \), wobei \( C \) der verschlüsselte Text ist.
• Entschlüsseln: \( M = C^d \bmod n \), wobei \( M \) der entschlüsselte Text ist.

Hierbei sind \( M \) und \( C \) die numerischen Entsprechungen des Klartexts bzw. des Chiffretexts.

Unterschied zu symmetrischer Verschlüsselung

Der wesentliche Unterschied zur symmetrischen Verschlüsselung besteht darin, dass bei asymmetrischer Verschlüsselung unterschiedliche Schlüssel für die Ver- und Entschlüsselung verwendet werden. Während bei symmetrischer Verschlüsselung ein einzelner geheimer Schlüssel \( k \) für beide Schritte genutzt wird, verwendet asymmetrische Verschlüsselung ein Paar von Schlüsseln: einen öffentlichen Schlüssel \( (n, e) \) zum Verschlüsseln und einen privaten Schlüssel \( (n, d) \) zum Entschlüsseln.

Um es zu verdeutlichen:

• Symmetrische Verschlüsselung:
  • Verschlüsselung: \( C = E(M, k) \)
  • Entschlüsselung: \( M = D(C, k) \)
  • Ein Schlüssel \( k \) wird für beide Operationen verwendet.
• Asymmetrische Verschlüsselung:
  • Verschlüsselung: \( C = M^e \bmod n \) mit dem öffentlichen Schlüssel \( (n, e) \)
  • Entschlüsselung: \( M = C^d \bmod n \) mit dem privaten Schlüssel \( (n, d) \)
  • Zwei verschiedene Schlüssel: \( (n, e) \) und \( (n, d) \).

Das asymmetrische Verfahren bietet den Vorteil, dass der öffentliche Schlüssel frei verteilt werden kann, während der private Schlüssel geheim bleibt. Dies erleichtert den sicheren Austausch von Verschlüsselungsschlüsseln erheblich und ermöglicht Anwendungen wie digitale Signaturen und die sichere Übertragung geheimer Informationen.

d)

Angenommen, du hast eine Nachricht M, die durch ein asymmetrisches Verschlüsselungssystem gesichert werden soll. Zeige anhand eines konkreten Beispiels mit Zahlen, wie die RSA-Verschlüsselung und -Entschlüsselung funktioniert. Verwende kleine Primzahlen für p und q (p=3, q=11). Berechne die öffentlichen und privaten Schlüssel und demonstriere die Ver- und Entschlüsselung einer Nachricht, z.B. M=5.

Lösung:

RSA-Verschlüsselung und -Entschlüsselung: Ein konkretes Beispiel

Um die Funktionsweise der RSA-Verschlüsselung und -Entschlüsselung zu demonstrieren, verwenden wir die folgenden kleinen Primzahlen: \( p = 3 \) und \( q = 11 \). Wir berechnen die öffentlichen und privaten Schlüssel und demonstrieren die Ver- und Entschlüsselung einer Nachricht \( M = 5 \).

Schritte zur Generierung der RSA-Schlüssel

1. Wähle zwei Primzahlen: \( p = 3 \) und \( q = 11 \)
2. Berechne \( n \): \( n = p \times q = 3 \times 11 = 33 \)
3. Berechne die Eulersche Totientfunktion \( φ(n) \): \( φ(n) = (p - 1) \times (q - 1) = (3 - 1) \times (11 - 1) = 2 \times 10 = 20 \)
4. Wähle eine öffentliche Exponente \( e \): Wähle \( e \), das teilerfremd zu \( φ(n) \) ist und \( 1 < e < φ(n) \). Wir wählen \( e = 3 \).
5. Berechne die private Exponente \( d \): Berechne \( d \) als das multiplikative Inverse von \( e \) modulo \( φ(n) \), d.h., \( d \) ist der Wert, der folgende Gleichung erfüllt: \[ e \times d \equiv 1 \ (\text{mod} \ φ(n)) \] Das bedeutet, wir müssen \( d \) finden, sodass \( 3 \times d \equiv 1 \ (\text{mod} \ 20) \). Durch Ausprobieren finden wir, dass \( d = 7 \) diese Bedingung erfüllt, da: \[ 3 \times 7 = 21 \equiv 1 \ (\text{mod} \ 20) \]

Das Schlüsselpaar ist:

• Öffentlicher Schlüssel (\( n, e \)): \( (33, 3) \)
• Privater Schlüssel (\( n, d \)): \( (33, 7) \)

Verschlüsselung

Um die Nachricht \( M = 5 \) zu verschlüsseln, verwenden wir die Formel:

\[ C = M^e \ (\text{mod} \ n) \]

• Berechne \( C \): \[ C = 5^3 \ (\text{mod} \ 33) = 125 \ (\text{mod} \ 33) = 26 \]

Die verschlüsselte Nachricht ist \( C = 26 \).

Entschlüsselung

Um die verschlüsselte Nachricht \( C = 26 \) zu entschlüsseln, verwenden wir die Formel:

\[ M = C^d \ (\text{mod} \ n) \]

• Berechne \( M \): \[ M = 26^7 \ (\text{mod} \ 33) \]
• Berechne die Potenzschritte (wir reduzieren Zwischenergebnisse modulo 33): \[ 26^2 = 676 \equiv 16 \ (\text{mod} \ 33) \] \[ 26^4 = 16^2 = 256 \equiv 25 \ (\text{mod} \ 33) \] \[ 26^6 = 25 \times 16 = 400 \equiv 4 \ (\text{mod} \ 33) \] \[ 26^7 = 4 \times 26 = 104 \equiv 5 \ (\text{mod} \ 33) \]

Die entschlüsselte Nachricht ist \( M = 5 \), was unsere ursprüngliche Nachricht wiederherstellt.

Zusammenfassung

Dieses Beispiel zeigt die grundlegenden Schritte der RSA-Verschlüsselung und -Entschlüsselung mit kleinen Primzahlen. Der wesentliche Unterschied zur symmetrischen Verschlüsselung besteht darin, dass bei RSA ein öffentliches und ein privates Schlüsselpaar verwendet wird, während bei symmetrischer Verschlüsselung derselbe Schlüssel sowohl für das Verschlüsseln als auch für das Entschlüsseln genutzt wird.

Aufgabe 2)

Beschreibe die Funktionsweise und die Unterschiede zwischen Firewalls und Intrusion-Detection-Systemen (IDS), besonders im Hinblick auf ihre Rolle in der Netzwerksicherheit. Erläutere dabei die verschiedenen Typen von Firewalls und IDS sowie deren jeweiligen Vor- und Nachteile.

a)

Definiere die Haupttypen von Firewalls und beschreibe ihre jeweiligen Funktionen und Einsatzgebiete. Gehe dabei auf Paketfilter, Stateful Inspection, Proxy-Firewalls und Next-Generation Firewalls (NGFW) ein.

Lösung:

Haupttypen von Firewalls: Funktionen und Einsatzgebiete

• Paketfilter-Firewalls
• Funktion: Paketfilter-Firewalls überwachen den Datenverkehr zwischen Netzwerken und filtern Datenpakete basierend auf bestimmten Regeln, wie IP-Adressen, Ports oder Protokollen.
• Einsatzgebiete: Diese Firewalls sind besonders effektiv in einfachen Netzwerken zur Kontrolle des ein- und ausgehenden Datenverkehrs. Sie sind oft die erste Verteidigungslinie.
• Vorteile: Geringe Latenz, kostengünstig, einfach einzurichten.
• Nachteile: Keine Überprüfung des Paketinhalts, anfällig für Angriffe, die Pakete aufteilen und über viele Ports senden.
• Stateful Inspection Firewalls
• Funktion: Diese Firewalls verfolgen den Zustand aktiver Verbindungen und treffen Entscheidungen basierend auf dem Paketstatus und der Verbindungsgeschichte. Sie bieten somit eine dynamischere Analyse.
• Einsatzgebiete: Eingesetzt in komplexeren Netzwerkumgebungen und zur Sicherung von Verbindungen, die eine tiefere Analyse erfordern.
• Vorteile: Bessere Sicherheit durch Kontextbewusstsein, Abwehr gegen Angriffe, die den Zustand von Verbindungen ausnutzen.
• Nachteile: Höherer Ressourcenverbrauch, komplexer in der Konfiguration.
• Proxy-Firewalls
• Funktion: Diese Firewalls agieren als Vermittler zwischen Benutzergeräten und dem Internet. Sie nehmen Anfragen entgegen und stellen die Verbindung zum Zielserver her, wodurch die IP-Adresse des Benutzers verborgen bleibt.
• Einsatzgebiete: Häufig in Unternehmensnetzwerken zum Schutz sensibler Daten und zur Kontrolle des Internetzugriffs sowie zur Filterung von Inhalten.
• Vorteile: Hohe Sicherheit, Schutz der Benutzeridentität, umfassende Inhaltsfilterung.
• Nachteile: Kann die Netzwerkleistung verlangsamen, teuer in der Implementierung und Wartung.
• Next-Generation Firewalls (NGFW)
• Funktion: NGFW bieten erweiterte Funktionen wie Anwendungserkennung und -kontrolle, integrierte Intrusion Prevention Systeme (IPS), und erweiterte Bedrohungsanalyse. Sie kombinieren traditionelle Firewall-Funktionen mit modernster Sicherheitstechnologie.
• Einsatzgebiete: Ideal für moderne, komplexe Netzwerkumgebungen, die einen hohen Schutz vor einer Vielzahl von Bedrohungen benötigen.
• Vorteile: Umfassender Schutz, Erkennung und Abwehr von komplexen Bedrohungen, verbesserte Netzwerksichtbarkeit.
• Nachteile: Hohe Kosten, anspruchsvoll in der Verwaltung und Wartung, erfordert spezialisiertes Wissen.

b)

Erkläre, wie Firewall-Regeln erstellt und angewendet werden. Gib ein Beispiel für eine Regel, die den Traffic basierend auf der IP-Adresse, dem Port und dem Protokoll kontrolliert.

Lösung:

Erstellung und Anwendung von Firewall-Regeln

Firewall-Regeln sind Anweisungen, die definieren, welchen Datenverkehr die Firewall durchlassen oder blockieren soll. Diese Regeln basieren auf verschiedenen Kriterien wie IP-Adresse, Portnummer und Protokoll. Hier sind die grundlegenden Schritte zur Erstellung und Anwendung von Firewall-Regeln:

• Schritt 1: Bestimmen des ZielsDefiniere das Ziel der Regel: Soll der Datenverkehr erlaubt oder blockiert werden?
• Schritt 2: Auswahl der KriterienBestimme die Kriterien für die Regel wie beispielsweise: IP-Adresse, Ports und Protokolle.
• Schritt 3: Regel erstellenBasierend auf den ausgewählten Kriterien wird die Regel formuliert. Dazu wird oft eine spezifische Syntax verwendet, abhängig von der Firewall-Software.
• Schritt 4: Regel anwendenDie erstellten Regeln werden in der Firewall-Konfiguration angewendet und aktiviert.

Ein typisches Beispiel für eine Firewall-Regel könnte wie folgt aussehen:

          ALLOW TCP FROM 192.168.1.100 TO ANY PORT 80

Diese Regel erlaubt den TCP-Datenverkehr von der IP-Adresse 192.168.1.100 zu jedem beliebigen Ziel auf Port 80 (HTTP).

• IP-Adresse:Hier wird die spezifische interne IP-Adresse 192.168.1.100 definiert, von der aus der Traffic zugelassen wird.
• Port:Der Port 80 wird verwendet, der typischerweise für HTTP-Traffic steht.
• Protokoll:Das Protokoll TCP wird verwendet, da HTTP den TCP-Protokollstapel nutzt.

Änderungen an den Firewall-Regeln können einen sofortigen Einfluss auf den Netzwerkverkehr haben, daher sollte die Konfiguration sorgfältig durchgeführt und getestet werden, um unbeabsichtigte Unterbrechungen zu vermeiden.

c)

Vergleiche und kontrastiere netzwerkbasierte IDS (NIDS) und hostbasierte IDS (HIDS) hinsichtlich ihrer Funktionsweise, Einsatzgebiete und Vor- sowie Nachteile. Gehe explizit auf die Unterschiede in der Art und Weise ein, wie beide Systeme schädliche Aktivitäten identifizieren.

Lösung:

Vergleich von netzwerkbasierten IDS (NIDS) und hostbasierten IDS (HIDS)

Intrusion-Detection-Systeme (IDS) spielen eine essentielle Rolle in der Netzwerksicherheit, indem sie schädliche Aktivitäten identifizieren und melden. Es gibt zwei Haupttypen von IDS: Netzwerkbasierte IDS (NIDS) und Hostbasierte IDS (HIDS). Nachfolgend werden die Funktionsweise, Einsatzgebiete sowie Vor- und Nachteile beider Systeme im Detail verglichen:

• Netzwerkbasierte IDS (NIDS)

• Funktionsweise: NIDS überwacht den gesamten Netzwerkverkehr in Echtzeit. Es analysiert die Datenpakete, die durch das Netzwerk fließen, und sucht nach verdächtigen Mustern oder Anomalien.
• Einsatzgebiete: NIDS wird typischerweise an kritischen Punkten im Netzwerk platziert, wie z.B. am Netzwerk-Perimeter oder vor wichtigen Servern, um eingehenden und ausgehenden Traffic zu überwachen.
• Vorteile:
• Kann großen Datenverkehr in Echtzeit analysieren.
• Schützt das gesamte Netzwerk, nicht nur einzelne Hosts.
• Leicht zu skalieren für große Netzwerkumgebungen.
• Nachteile:
• Kann verschlüsselte Datenströme nicht analysieren.
• Erkennt keine Angriffe, die innerhalb des Hosts selbst stattfinden.
• Bei hohem Datenverkehr kann die Leistung beeinträchtigt werden.
• Hostbasierte IDS (HIDS)
• Funktionsweise: HIDS wird direkt auf den einzelnen Hosts oder Endgeräten installiert und überwacht Systemaktivitäten, wie z.B. File-Integrität, System-Logs und laufende Prozesse, um schädliche Aktivitäten zu erkennen.
• Einsatzgebiete: HIDS wird in Umgebungen verwendet, in denen der Schutz individueller Hosts oder kritischer Systeme erforderlich ist, wie z.B. Server, Datenbanken und Endgeräte.
• Vorteile:
• Kann verschlüsselte Daten und Host-spezifische Angriffe erkennen.
• Erkennt Angriffe, die durch lokale Prozesse oder Benutzeraktivitäten entstehen.
• Bietet tiefere Einblicke in host-spezifische Sicherheitsvorfälle.
• Nachteile:
• Belastet die Host-Ressourcen und kann dessen Leistung beeinträchtigen.
• Schützt nur den spezifischen Host, auf dem es installiert ist.
• Mögliche Komplexität bei der Verwaltung vieler HIDS in großen Netzwerken.

Unterschiede in der Identifikation schädlicher Aktivitäten

• Datenquelle:
• NIDS überwacht Netzwerkverkehr.
• HIDS überwacht lokale Systemaktivitäten.
• Analytische Methoden:
• NIDS verwendet paketbasierte Analysen und Signaturerkennung.
• HIDS verwendet File-Integritätsprüfung, Log-Analyse und Verhaltensüberwachung.
• Abdeckung:
• NIDS bietet netzwerkweite Sichtbarkeit.
• HIDS bietet detaillierte Einsichten auf Host-Ebene.

Zusammenfassend bieten sowohl NIDS als auch HIDS wertvolle Mechanismen zur Erkennung und Abwehr von Angriffen. Ihre Einsatzgebiete und spezifischen Stärken und Schwächen unterscheiden sich jedoch signifikant, was ihre kombinierte Nutzung in vielen Sicherheitsarchitekturen empfiehlt.

d)

Snort ist ein weit verbreitetes Netzwerk-IDS, das sowohl signatur- als auch anomaliebasierte Erkennung nutzt. Beschreibe, wie diese beiden Methoden in Snort implementiert werden und wie sie zur Erkennung von Bedrohungen beitragen. Gehe dabei auf das Konzept der Signaturen und die mathematischen Modelle, die zur Anomalieerkennung verwendet werden, ein.

Lösung:

Erkennungsmethoden von Snort: Signatur- und Anomaliebasierte Erkennung

Snort ist ein bekanntes und weit verbreitetes Netzwerk-IDS, das sowohl signaturbasierte als auch anomaliebasierte Erkennungsmethoden nutzt, um Bedrohungen zu identifizieren. Beide Methoden tragen auf unterschiedliche Weise zur Erkennung und Abwehr von Sicherheitsbedrohungen bei.

• Signaturbasierte Erkennung
• Implementierung in Snort: Bei der signaturbasierten Erkennung vergleicht Snort Datenpakete gegen eine Datenbank mit bekannten Angriffsmustern oder Signaturen. Diese Signaturen sind spezifische Muster, die mit bekannten Angriffen oder Sicherheitslücken assoziiert sind.
• Funktionsweise: Wenn ein Datenpaket durch das Netzwerk fließt, wird es durch Snort analysiert und mit den vorhandenen Signaturen abgeglichen. Wenn ein Muster erkannt wird, das mit einer Signatur übereinstimmt, wird ein Alarm ausgelöst.
• Vorteile: - Hohe Präzision bei der Erkennung von bekannten Bedrohungen - Geringe Fehlalarmquote bei korrekt definierten Signaturen - Einfache und schnelle Implementierung
• Nachteile: - Erkennt nur bekannte Bedrohungen - Regelmäßige Aktualisierung der Signaturdatenbank erforderlich - Kann durch neue oder modifizierte Angriffe umgangen werden
• Anomaliebasierte Erkennung
• Implementierung in Snort: Bei der anomaliebasierten Erkennung überwacht Snort das Netzwerkverhalten und erstellt ein Basisprofil des normalen Datenverkehrs. Anhand dieses Profils kann es Abweichungen oder Anomalien erkennen, die auf potenzielle Sicherheitsbedrohungen hinweisen.
• Mathematische Modelle:
• Zur Erkennung von Anomalien verwendet Snort verschiedene mathematische Modelle, darunter:
- Statistische Modelle: Diese Modelle analysieren Daten, um statistische Merkmale des normalen Verhaltens wie Mittelwerte, Varianzen und Standardabweichungen zu berechnen. Abweichungen von diesen Merkmalen werden als potenzielle Anomalien eingestuft. - Maschinelles Lernen: Durch maschinelles Lernen können Modelle trainiert werden, die zwischen normalem und anormalem Verhalten unterscheiden. Diese Modelle können dann verwendet werden, um neue Daten zu analysieren und Anomalien zu identifizieren. - Heuristische Methoden: Diese Ansätze nutzen regelbasierte Systeme, die aus Erfahrungen und Best Practices entwickelt wurden, um Anomalien zu erkennen.
• Vorteile: - Kann unbekannte Bedrohungen identifizieren - Anpassungsfähig an unterschiedliche Netzwerkumgebungen - Erhöht die Erkennungsrate anomalen Verhaltens
• Nachteile: - Höhere Rate an Fehlalarmen - Komplexität bei der Erstellung und Anpassung von Anomalieprofilen - Hoher Rechenaufwand und möglicherweise beeinträchtigte Leistung

Zusammenfassend bietet Snort durch die Integration beider Methoden eine umfassendere Sicherheit, indem es sowohl bekannte Bedrohungen durch signaturbasierte Erkennung als auch unbekannte Bedrohungen durch anomaliebasierte Erkennung identifiziert. Die Kombination dieser Ansätze ermöglicht eine robuste Sicherheitsarchitektur, die auf verschiedene Angriffsvektoren reagieren kann.

Aufgabe 3)

TLS/SSL und HTTPSTLS (Transport Layer Security) und SSL (Secure Sockets Layer) sind Protokolle zur Verschlüsselung der Kommunikation über Computernetzwerke. HTTPS (Hypertext Transfer Protocol Secure) ist HTTP über TLS/SSL zur sicheren Übertragung von Daten im Web.

• SSL ist der Vorgänger von TLS
• Verwendet symmetrische und asymmetrische Verschlüsselung
• Schützt Daten vor Abhören und Manipulation
• Authentifiziert die Identität von Servern
• HTTPS = HTTP + TLS/SSL
• Port 443 für HTTPS

a)

Vergleiche die Verwendung von symmetrischer und asymmetrischer Verschlüsselung in SSL/TLSErkläre ausführlich, wie sowohl die symmetrische als auch die asymmetrische Verschlüsselung in einem SSL/TLS-Handshake verwendet werden. Diskutiere die Vor- und Nachteile jeder Methode hinsichtlich Sicherheit und Performance.

Lösung:

Vergleich der Verwendung von symmetrischer und asymmetrischer Verschlüsselung in SSL/TLSSSL/TLS verwendet sowohl symmetrische als auch asymmetrische Verschlüsselung. Hier ist eine detaillierte Erklärung, wie diese beiden Methoden in einem SSL/TLS-Handshake verwendet werden und welche Vor- und Nachteile sie haben.1. Der SSL/TLS-Handshake

• Beim SSL/TLS-Handshake handelt es sich um einen mehrstufigen Prozess, bei dem ein sicherer Kommunikationskanal zwischen Client und Server aufgebaut wird.
2. Asymmetrische Verschlüsselung
• Verwendung: Zu Beginn des Handshakes wird die asymmetrische Verschlüsselung verwendet.
• Der Client sendet eine Verbindungssanfrage an den Server. Der Server antwortet mit seinem öffentlichen Schlüssel und einem Zertifikat, das die Identität des Servers bestätigt.
• Der Client nutzt den öffentlichen Schlüssel, um einen Pre-Master-Secret zu verschlüsseln, den nur der Server mit seinem privaten Schlüssel entschlüsseln kann.
• Vorteile:
  • Ermöglicht die sichere Übertragung des Schlüssels zum Aufbau einer symmetrischen Verbindung.
  • Bietet Authentifizierung durch Zertifikate.
• Nachteile:
  • Langsamer und ressourcenintensiver aufgrund komplexer mathematischer Berechnungen.
  • Für die Dauer der asynchronen Schlüsseloperationen kann es zu einer höheren Latenz kommen.
3. Symmetrische Verschlüsselung
• Verwendung: Nachdem der sichere Schlüssel (Session-Schlüssel) mithilfe der asymmetrischen Verschlüsselung ausgetauscht wurde, wird die symmetrische Verschlüsselung verwendet, um die restliche Kommunikation zu verschlüsseln.
• Der Client und der Server verwenden nun denselben symmetrischen Schlüssel für die Verschlüsselung und Entschlüsselung der übertragenen Daten.
• Vorteile:
  • Schneller und weniger ressourcenintensiv als asymmetrische Verschlüsselung.
  • Geeignet für die kontinuierliche Verschlüsselung großer Datenmengen.
• Nachteile:
  • Ohne den sicheren Austausch des Schlüssels (z. B. durch asymmetrische Methoden) wäre es unsicher.
  • Wenn der symmetrische Schlüssel kompromittiert wird, ist die gesamte Kommunikation gefährdet.
Zusammenfassung:
• Der SSL/TLS-Handshake kombiniert die Stärken beider Verschlüsselungstechniken: Die asymmetrische Verschlüsselung bietet hohe Sicherheit beim Schlüsselaustausch und Authentifizierung, während die symmetrische Verschlüsselung Effizienz und Geschwindigkeit bei der laufenden Datenübertragung bietet.
• Indem beide Methoden kombiniert werden, wird ein optimales Gleichgewicht zwischen Sicherheit und Performance erreicht.

b)

Mathematische Darstellung der asymmetrischen Verschlüsselung in TLSBeschreibe den mathematischen Prozess der asymmetrischen Verschlüsselung innerhalb des TLS-Protokolls. Nutze dabei die Formel für die Verschlüsselung mit dem öffentlichen Schlüssel \(E(m) = (m^e \text{ mod } n)\), wobei \(m\) die Nachricht, \(e\) der öffentliche Schlüssel und \(n\) das Produkt zweier Primzahlen ist. Erkläre die Rolle dieser mathematischen Operationen im Kontext des gesamten Handshakes.

Lösung:

Mathematische Darstellung der asymmetrischen Verschlüsselung in TLSIn einem TLS-Protokoll wird die asymmetrische Verschlüsselung verwendet, um einen sicheren Schlüsselaustausch zwischen dem Client und dem Server zu gewährleisten. Hier ist die mathematische Erklärung der asymmetrischen Verschlüsselung innerhalb eines TLS-Handshakes:1. Grundlagen der asymmetrischen Verschlüsselung

• Bei der asymmetrischen Verschlüsselung gibt es ein Schlüsselpaar:
  • Öffentlicher Schlüssel (public key): wird zum Verschlüsseln verwendet.
  • Privater Schlüssel (private key): wird zum Entschlüsseln verwendet.
• Das RSA-Verschlüsselungsverfahren basiert auf der Schwierigkeit, große Zahlen zu faktorisieren.
2. Mathematische Operationen
• Sei:
  • \(m\) = Nachricht (z.B. der Pre-Master-Secret)
  • \(e\) = öffentlicher Schlüssel des Servers
  • \(n\) = Produkt zweier großer Primzahlen
3. Verschlüsselung der Nachricht
• Die Formel zur Verschlüsselung lautet:
  • \[E(m) = (m^e \, \text{mod} \, n)\]
• Hierbei:
  • \(m\) ist die zu verschlüsselnde Nachricht.
  • \(e\) ist der öffentliche Schlüssel des Servers.
  • \(n\) ist das Produkt zweier großer Primzahlen, das Teil des Schlüsselpaares ist.
4. Rolle dieser Operation im TLS-Handshake
• Während des TLS-Handshake-Prozesses läuft der Schlüsselaustausch wie folgt ab:1. Der Client generiert einen Pre-Master-Secret und verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers:\[E(m) = (m^e \, \text{mod} \, n)\]
• 2. Der Server empfängt die verschlüsselte Nachricht und entschlüsselt sie mit seinem privaten Schlüssel:\[m = (E(m))^d \, \text{mod} \, n\]wobei \(d\) der private Schlüssel des Servers ist.
• Diese Operation stellt sicher, dass nur der Server die Nachricht entschlüsseln kann, da er den privaten Schlüssel besitzt. Dadurch wird der symmetrische Schlüssel (Pre-Master-Secret) sicher zwischen Client und Server ausgetauscht.
• Nachdem der symmetrische Schlüssel ausgetauscht ist, kann die restliche Kommunikation mit symmetrischer Verschlüsselung gesichert werden, die effizienter und schneller ist als asymmetrische Verschlüsselung.
Zusammenfassung:
• Der Prozess der asymmetrischen Verschlüsselung im TLS-Handshake dient primär der sicheren Übertragung des Pre-Master-Secrets. Die asymmetrische Verschlüsselung garantiert, dass nur der legitime Server den Schlüssel entschlüsseln und verwenden kann, um eine geschützte, symmetrisch verschlüsselte Kommunikation zu etablieren.
• Diese Methode kombiniert die Vorteile von asymmetrischer Verschlüsselung (Sicherheit und Authentifizierung) und symmetrischer Verschlüsselung (Effizienz und Geschwindigkeit) für eine optimale Sicherheitslösung.

c)

Implementierung eines einfachen HTTPS-ServersSchreibe ein Beispielprogramm in Python, das einen einfachen HTTPS-Server startet. Der Server soll eine gesicherte Verbindung herstellen und eine einfache HTML-Seite ausliefern. Stelle sicher, dass das Programm alle erforderlichen Bibliotheken lädt und korrekt konfiguriert ist. Achte darauf, dass der Server den Port 443 nutzt.

Lösung:

Implementierung eines einfachen HTTPS-ServersHier ist ein Beispielprogramm in Python, das einen einfachen HTTPS-Server startet und eine gesicherte Verbindung herstellt, um eine einfache HTML-Seite auszuliefern. Der Server nutzt den Port 443.1. VoraussetzungenStelle sicher, dass Du die erforderlichen Bibliotheken installierst:

pip install flask

pip install pyopenssl

from flask import Flask, requestapp = Flask(__name__)@app.route('/')def hello_world():    return '
Hallo, Welt!
'if __name__ == '__main__':    # Selbstsigniertes Zertifikat und Schlüsseldateien    cert_file = 'path/to/your/certificate.crt'    key_file = 'path/to/your/private.key'    # Starte den HTTPS-Server auf Port 443    app.run(host='0.0.0.0', port=443, ssl_context=(cert_file, key_file))

• Importiere die benötigten Bibliotheken.
• Erstelle eine Route für die Startseite, die eine einfache HTML-Seite ausliefert.
• Konfiguriere den Server, um das SSL/TLS Zertifikat und den Schlüssel zu laden.
• Starte den Server auf Port 443.

• Nutzung eines echten Zertifikats: Für eine sichere Verbindung im Produktionsbetrieb ist ein gültiges SSL-Zertifikat erforderlich, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
• Firewall und Erlaubnis: Stelle sicher, dass der Server so konfiguriert ist, dass er auf Port 443 lauscht und die Firewall konfiguriert ist, um HTTPS-Verbindungen zuzulassen.

Aufgabe 4)

Du arbeitest als IT-Sicherheitsanalyst bei einem mittelgroßen Unternehmen. Euer Haupt-Webportal hat kürzlich ein Sicherheitstestverfahren durchlaufen, bei dem mehrere Schwachstellen gefunden wurden, darunter SQL-Injection und Cross-Site Scripting (XSS). Deine Aufgabe ist es, diese Schwachstellen zu analysieren und Maßnahmen zur Behebung vorzuschlagen.

• SQL-Injection: Böswillige SQL-Befehle werden in die Datenbankabfragen eingeschleust. Dies kann vermieden werden durch die Verwendung von Prepared Statements und durch Eingabevalidierung.
• XSS: Böswillige Scripts werden im Browser des Benutzers ausgeführt durch manipulierte Eingaben. Dies kann durch kontext-spezifisches Escaping und durch die Nutzung von Content Security Policies (CSP) verhindert werden.
• Weitere Schwachstellen: Andere häufige Schwachstellen umfassen Buffer Overflows und CSRF (Cross-Site Request Forgery).
• Allgemeine Maßnahmen: Diese umfassen Eingabe- und Ausgabevalidierung, sichere Kodierung und regelmäßige Penetrationstests.

a)

Eine der gefundenen Schwachstellen ist eine SQL-Injection in einem Login-Formular. Ein Angreifer kann den Benutzernamen der Abfrage eingeben als:

admin' --

• Erkläre, warum der obige Befehl SQL-Injection ermöglicht und welche Gefahr daraus entsteht.
• Zeige, wie du diesen Codeabschnitt refaktorieren würdest, um SQL-Injection zu vermeiden. Verwende dazu Prepared Statements in einem Pseudocode oder einer Programmiersprache deiner Wahl.
• Gib ein Beispiel für eine Eingabevalidierungsregel, die sicherstellt, dass der Benutzername keine SQL-Injection mehr ermöglichen kann.

Lösung:

Analyse und Maßnahmen zur Behebung von SQL-Injection im Login-Formular

• Erklärung, warum der Befehl SQL-Injection ermöglicht und welche Gefahr daraus entsteht:Die Eingabe

  admin' --

  führt zu einer SQL-Injection, weil der Benutzername direkt in die Datenbankabfrage integriert wird. In einer unsicheren Abfrage wie:

  SELECT * FROM users WHERE username = 'admin' --' AND password = 'password'

  wird der Rest des SQL-Befehls nach dem -- Kommentarzeichen ignoriert. Dadurch wird die Bedingung für das Passwort umgangen und der Angreifer kann sich ohne gültige Authentifizierung einloggen. Dies führt zu unrechtmäßigem Zugriff und gefährdet die Sicherheit der Datenbank.
• Refaktorisierung des Codes zur Vermeidung von SQL-Injection:Um SQL-Injection zu verhindern, können Prepared Statements verwendet werden. Nachstehend ist ein Beispiel in Python unter Verwendung von SQLAlchemy:

import sqlalchemyfrom sqlalchemy import create_engine, text# Verbindung zur Datenbank herstellenengine = create_engine('mysql+pymysql://user:password@host/db')# Vorbereitung eines sicheren Statementsusername = 'admin'password = 'password'with engine.connect() as connection:   statement = text('SELECT * FROM users WHERE username = :username AND password = :password')   result = connection.execute(statement, {'username': username, 'password': password})   for row in result:     print(row)

• Eingabevalidierungsregel:Eine einfache Regel ist, dass der Benutzername nur alphanumerische Zeichen enthalten darf. Ein Beispiel in Python:

import redef validate_username(username):   if re.match('^[a-zA-Z0-9]+$', username):     return True   else:     return Falseusername = 'admin'if validate_username(username):   print('Valid username')else:   print('Invalid username')

• Diese Regel stellt sicher, dass nur gültige Benutzernamen akzeptiert werden, die keine potenziellen SQL-Injection-Angriffe enthalten können.

b)

Eine andere Schwachstelle, die bei dem Sicherheitstest entdeckt wurde, ist ein Cross-Site-Scripting (XSS) Angriff auf die Kommentarfunktion der Webseite. Ein Angreifer kann ein Kommentarformular nutzen, um folgendes Script einzuschleusen:

• Beschreibe, wie XSS funktioniert und welche Gefahren es für die Benutzer der Webseite darstellen kann.
• Erkläre, wie kontext-spezifisches Escaping und Content Security Policies (CSP) helfen können, XSS zu verhindern. Gib Beispiele für beide Maßnahmen.
• Implementiere eine Pseudocode-Funktion, die Eingaben sicher verarbeitet und gegen XSS-Angriffe schützt. Erläutere deinen Ansatz kurz.

Lösung:

Analyse und Maßnahmen zur Behebung von Cross-Site Scripting (XSS) in der Kommentarfunktion

• Beschreibung, wie XSS funktioniert und welche Gefahren es für die Benutzer der Webseite darstellen kann:Cross-Site Scripting (XSS) ist eine Art von Sicherheitslücke in Webanwendungen, bei der Angreifer bösartige Skripte in Webinhalte einschleusen, die von anderen Benutzern angesehen werden. Diese Skripte werden dann im Browser des Benutzers ausgeführt. Die Gefahren von XSS umfassen:
  • Diebstahl von Sitzungs-Cookies, was zu unrechtmäßigem Zugriff auf Benutzerkonten führen kann.
  • Phishing-Angriffe, bei denen gefälschte Formulare eingebettet werden, um sensible Informationen zu stehlen.
  • Veränderung des durch den Benutzer gesehenen Inhalts, was zu falschen Informationen oder betrügerischen Aktionen führen kann.
  • Verbreitung von Malware durch Ausführung schädlicher Skripte.
• Kontext-spezifisches Escaping und Content Security Policies (CSP):Kontext-spezifisches Escaping bedeutet, dass Benutzer-Eingaben entsprechend dem Kontext, in dem sie ausgegeben werden, sicher gemacht werden. Zum Beispiel, wenn eine Eingabe in HTML verwendet wird, können Zeichen wie < und > durch HTML-Entities wie < und > ersetzt werden.
  • Beispiel für kontext-spezifisches Escaping:Wenn der Benutzer Hallo als Kommentar eingibt, wird es durch <b>Hallo</b> ersetzt, um zu verhindern, dass das Skript im Browser ausgeführt wird.
  • Content Security Policies (CSP):Mit CSP können Webseitenadministratoren spezifizieren, welche Quellen von Skripten, Stilen und anderen Ressourcen erlaubt sind. Dies reduziert das Risiko, dass bösartige Inhalte eingebettet und ausgeführt werden.Ein einfacher CSP-Header könnte wie folgt aussehen:

  Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com;

  Dieser Header erlaubt nur Skripte von derselben Domain und von trustedscripts.example.com.
• Pseudocode-Funktion zur sicheren Verarbeitung von Eingaben gegen XSS-Angriffe:

def escape_html(user_input):   # Mapping von Zeichen zu HTML-Entities   escape_table = {     '&': '&',     '<': '<',     '>': '>',     '