Netzwerksicherheitsprotokolle erklärt | TryHackMe Security Engineer Track

Wir haben Netzwerksicherheitsprotokolle auf der Anwendungsschicht, der Präsentationsschicht und der Netzwerkschicht des OSI-Modells behandelt. Diese Protokolle werden verwendet, um Pakete und Daten sicher mit SSL/TLS oder IPsec auszutauschen. Dies ist wichtig, um Daten vor Lauschangriffen und Man-in-the-Middle-Angriffen (MITM) zu schützen. Der am häufigsten verwendete Mechanismus zum Sichern von Daten über einen unsicheren Kanal ist das Hinzufügen eines SSL/TLS-Wrappers, wie bei HTTPS, FTPS, POP3S und SMTPS. Dies war Teil von TryHackMe-Netzwerksicherheitsprotokolle.

Hinweise zum Security+-Zertifikat abrufen

Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

Beschreibung der Herausforderung

Erfahren Sie mehr über sichere Netzwerkprotokolle auf den verschiedenen Ebenen des OSI-Modells.

Video-Highlights

SMTPS ist kein proprietäres Protokoll; stattdessen kapselt es SMTP in TLS. Man kann sagen, dass SMTPS SMTP auf der Anwendungsebene ähnlich ist, mit einer Erweiterung der TLS-Verschlüsselung auf der Transportebene. Für die Verschlüsselung verwendet das STARTTLS Der Befehl wird zwischen dem E-Mail-Client und dem E-Mail-Server verwendet.

Port 587 und 465 werden beide häufig für SMTPS-Verkehr verwendet. Per SMTP übertragene E-Mails sind nicht verschlüsselt und daher anfällig für Sniffing-Angriffe. Daher wird SMTPS verwendet, um E-Mails vor der Übertragung über TLS zu verschlüsseln. Darüber hinaus verhindert SMTPS, dass Angreifer Spam-Nachrichten aus kompromittierten/anfälligen Domänen senden, vertrauliche Informationen exfiltrieren und Phishing-Angriffe durchführen.

POP3S-Protokoll

POP3 gilt aus Sicherheitsgründen als schwach. Dies erfordert eine zusätzliche Sicherheitsebene; daher kommt POP3S ins Spiel. POP3S ist eine Erweiterung von POP3, die die Kommunikation im Zusammenhang mit E-Mail-Nachrichten in TLS einhüllt. Zu diesem Zweck initiieren Client und Server den STARTTLS Befehl, wie in der Abbildung unten gezeigt. Nach dem EHLO, wird der POP3S-Server die Umstellung auf TLS auslösen. Beachten Sie, dass EHLO steht für Extended HELO, wobei Hallo ist der Befehl, der zur Identifizierung gegenüber dem Server verwendet wird.

DNSSEC

DNSSEC stellt sicher, dass die DNS-Antwort, die wir erhalten, vom Domänenbesitzer stammt. Um dies zu erreichen, erfordert DNSSEC zwei Hauptpunkte:

1. Der DNS Zonenbesitzer sollten alle DNS-Einträge mit ihrem privaten Schlüssel signieren.
2. Der DNS Zone veröffentlicht ihren öffentlichen Schlüssel, sodass Benutzer die Gültigkeit der Signaturen der DNS-Einträge überprüfen können.

Mit anderen Worten, die Daten an unsere DNS Die Abfrage wird signiert, um ihre Integrität und Authentizität sicherzustellen. Darüber hinaus können wir die Signatur effizient überprüfen.

Mit signierten Datensätzen bietet DNSSEC Folgendes:

• Authentizität: Sie können bestätigen, dass eine bestimmte DNS Der Besitzer hat den Datensatz erstellt und gesendet. Die Authentizität ist möglich, da der empfangene Datensatz mit dem privaten Schlüssel des DNS-Besitzers signiert ist.
• Integrität: Sie können sicherstellen, dass auf dem Weg keine Änderungen am Datensatz vorgenommen wurden. Jede Änderung am Datensatz macht seine Signatur ungültig.

SSH

Das Secure Shell-Protokoll (SSH) erfüllte die Sicherheitsanforderungen, die Telnet und Remote-Login nicht erfüllen. Mit SSH ist es für Angreifer nicht mehr möglich, die Anmeldeinformationen zu lesen oder den Datenverkehr zu ändern.

SSL/TLS-Protokoll

Secure Socket Shell (SSL) und Transport Layer Security (TLS) sind Protokolle, die zum Verschlüsseln von Daten verwendet werden, die zwischen einem Client, z. B. einem Webbrowser, und einem Server ausgetauscht werden. Betrachten Sie SSL/TLS als Wrapper, der verschiedene Kommunikationsprotokolle verschlüsselt, z. B. HTTP und FTP, um HTTPS und FTPS zu erstellen. SSL wird heutzutage nicht mehr allgemein verwendet, da es nach und nach durch TLS ersetzt wurde.

Um die Kommunikation zwischen Client und Server zu verschlüsseln, wird ein SSL/TLS-Handshake mit den folgenden Schritten durchgeführt:

1. Client-Hallo-Nachricht: Der Client sendet eine Hallo-Nachricht an den Server. Sie enthält neben zufälligen Bytes auch die TLS-Version des Clients und die vom Client unterstützte Verschlüsselungssuite.
2. Server-Begrüßungsnachricht: Der Server antwortet mit einer Begrüßungsnachricht, in der sein Zertifikat, die gewählte Verschlüsselungssuite und zufällige Bytes hervorgehoben werden.
3. Authentifizierung: Der Client authentifiziert das Zertifikat des Servers durch die Zertifizierungsstelle, die es ausgestellt hat. Wenn wir beispielsweise Google, teilt Google sein Zertifikat. Das empfangene Zertifikat wird von unserem Browser überprüft, der mit den Zertifikaten verschiedener Zertifizierungsstellen vorinstalliert ist.
4. Premaster Secret: Der Client verschlüsselt zufällige Bytes mit dem öffentlichen Schlüssel des Servers. (Der Client ruft den öffentlichen Schlüssel aus dem Zertifikat des Servers ab.)
5. Entschlüsselung des Premasters: Der Server entschlüsselt den Premaster mit seinem privaten Schlüssel.
6. Generierte Sitzungsschlüssel: Der Client und der Server generieren Sitzungsschlüssel basierend auf zufälligen Client-Bytes, zufälligen Server-Bytes und dem Premaster-Secret. Beide kommen zu den gleichen Ergebnissen; Dieser Sitzungsschlüssel wird nicht übermittelt, und Verschlüsselung und Entschlüsselung basieren auf diesem Schlüssel.
7. Bereit-Meldungen: Der Client und der Server senden eine „Fertig“-Meldung mit dem Sitzungsschlüssel, um anzuzeigen, dass die Sitzung zur Übertragung bereit ist. Der Client und der Server sind nun bereit, Nachrichten über eine SSL/TLS-verschlüsselte Verbindung auszutauschen.

IPsec

IPsec steht für Internet Protocol Security. IPsec bietet Sicherheit, indem es Authentifizierung hinzufügt und die Integrität und Vertraulichkeit des Netzwerkverkehrs schützt. IPsec verwendet die folgenden Protokolle:

1. Authentication Header (AH): Bietet Authentifizierung und Integrität.
2. Encapsulating Security Payload (ESP): Bietet Authentifizierung, Integrität und Vertraulichkeit.
3. Security Association (SA): Ist für die Aushandlung der Verschlüsselungsschlüssel und -algorithmen verantwortlich. Ein Beispiel ist Internet Key Exchange (IKE).

VPN

Als das TCP/IP-Protokoll entwickelt wurde, waren Sicherheitsanforderungen wie Vertraulichkeit und Integrität kein Designziel. Im Gegensatz dazu stand die Verfügbarkeit im Vordergrund, da einer der Zwecke des Internets darin besteht, einem Atomangriff standzuhalten, wie die Routing-Protokolle zeigen, die sich schnell anpassen, wenn eine Verbindung ausfällt. Aber wir müssen es einem Unternehmen ermöglichen, die vorhandene Internet-Infrastruktur zu nutzen, um seine Niederlassungen sicher zu verbinden. Die Antwort liegt in der Einrichtung eines VPN.

Ein virtuelles privates Netzwerk (VPN) ermöglicht es, eine private Verbindung über ein öffentliches Netzwerk herzustellen. Mit anderen Worten, wir können eine sichere Verbindung über eine unsichere Infrastruktur herstellen.

In der folgenden Abbildung sehen wir beispielsweise ein Remote-Büro und einen Remote-Benutzer, die über ein VPN zur Hauptniederlassung. Für eine VPN-Verbindung sind ein VPN-Client und ein VPN-Server oder -Konzentrator erforderlich. Der gesamte Datenverkehr zwischen VPN-Client und -Server ist verschlüsselt.

Raumantworten

Video-Komplettlösung