AB 06 — Netzwerksicherheit — Stationskarten

Mein Fortschritt0/1 (0 %)

Hinweise für Lehrkräfte

Hinweise für Lehrkräfte

Jede Station enthält ein Infoblatt für die Auszubildenden, eine Aufgabenstellung mit Recherche- und Verständnisfragen sowie einen Lösungsteil mit den erwarteten Antworten. Empfehlung:

• Die Karten beidseitig drucken: Vorderseite Infoblatt + Aufgaben, Rückseite Lösungen für die Lehrkraft (oder separat aufbewahren).

• Pro Station eine Mappe mit Karte, Bleistift, leeren Notizblättern und ggf. Wireshark-Screenshot bereitstellen.

• Bei 5 Gruppen: Jede Gruppe vertieft eine Station und präsentiert sie anschließend (15 Min Erarbeitung + 7 Min Vortrag pro Gruppe).

• Bei mehr Zeit: Rotation aller Gruppen durch alle Stationen.

Wichtiger Hinweis zur Rechtslage

Vor Beginn auf §202c StGB hinweisen: Das unbefugte Anwenden von Hacking-Werkzeugen ist strafbar. Die in den Stationen behandelten Techniken dürfen ausschließlich in geschlossenen Lab-Umgebungen oder mit ausdrücklicher Genehmigung des Netzbetreibers eingesetzt werden.

Station 1	Man-in-the-Middle (MITM)	Dauer: ca. 15 Minuten

Schwerpunkt

Verstehen, wie sich ein Angreifer zwischen zwei Kommunikationspartner schaltet, um Datenverkehr mitzulesen oder zu manipulieren.

Infoblatt

Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer logisch zwischen Sender und Empfänger einer Verbindung. Beide glauben, direkt miteinander zu kommunizieren – tatsächlich läuft der Verkehr aber über den Angreifer, der ihn lesen, verändern oder weiterleiten kann.

Typische technische Grundlagen für MITM in lokalen Netzen sind ARP-Spoofing (siehe auch Station 4), DHCP-Spoofing oder ein Rogue Access Point in WLANs.

Beispielszenario

In einem offenen Café-WLAN richtet ein Angreifer mit dem Tool ‘bettercap’ einen Rogue AP mit gleicher SSID wie das Café-WLAN ein, jedoch mit stärkerem Signal. Smartphones verbinden sich automatisch mit dem stärksten bekannten Netz. Der gesamte Datenverkehr läuft nun über das Notebook des Angreifers.

Mögliche Schäden

• Diebstahl von Login-Daten bei unverschlüsselten oder schlecht zertifizierten Verbindungen

• Manipulation übertragener Daten (z. B. Banküberweisungen, eingeschleuste Schadsoftware)

• Session Hijacking

Vorgehen

• Lest das Infoblatt gemeinsam und klärt unbekannte Begriffe.

• Skizziert auf einem Blatt, wie der Datenfluss vor und während eines MITM-Angriffs aussieht.

• Beantwortet die Aufgaben unten und bereitet einen 7-minütigen Vortrag vor.

Aufgaben und Leitfragen

1. Was unterscheidet einen MITM-Angriff in einem geswitchten LAN von einem MITM-Angriff in einem offenen WLAN?

2. Warum schützt HTTPS prinzipiell vor MITM-Angriffen, und in welchen Fällen kann der Schutz dennoch versagen?

3. Nennt zwei konkrete Schutzmaßnahmen für Endanwender und zwei Schutzmaßnahmen auf Netzwerkebene.

Station 2	DoS und DDoS	Dauer: ca. 15 Minuten

Schwerpunkt

Den Unterschied zwischen Denial-of-Service und Distributed Denial-of-Service kennen und typische Angriffsvektoren benennen können.

Infoblatt

Bei einem Denial-of-Service-Angriff (DoS) versucht ein einzelner Angreifer, einen Dienst oder ein Netz so zu überlasten, dass legitime Nutzer keinen Zugriff mehr haben. Beim Distributed Denial-of-Service (DDoS) erfolgt der Angriff koordiniert von tausenden bis Millionen Quellen, häufig aus einem Botnet.

Wichtige Angriffstypen

• Volumetrische Angriffe (UDP-Flood, ICMP-Flood, DNS-Amplification): Bandbreite wird gesättigt.

• Protokollangriffe (SYN-Flood, Ping of Death): Verbindungstabellen werden gefüllt.

• Application-Layer-Angriffe (HTTP-Flood, Slowloris): Der Webserver wird mit scheinbar legitimen Anfragen beschäftigt.

Bekanntes Beispiel

Im Oktober 2016 fiel der DNS-Anbieter Dyn durch einen DDoS-Angriff des Mirai-Botnets aus. Hunderttausende kompromittierte IoT-Geräte (vor allem IP-Kameras und Router) sendeten Anfragen mit über 1,2 Tbit/s. Folge: Twitter, Netflix, Reddit, Spotify u. a. waren stundenweise nicht erreichbar.

Vorgehen

• Lest das Infoblatt und besprecht den Unterschied DoS / DDoS.

• Recherchiert (falls Internet verfügbar) einen weiteren DDoS-Vorfall der letzten Jahre.

• Beantwortet die Aufgaben und bereitet einen kurzen Vortrag vor.

Aufgaben und Leitfragen

1. Wie unterscheiden sich DoS- und DDoS-Angriffe technisch und in den Abwehrmöglichkeiten?

2. Erklärt das Funktionsprinzip eines SYN-Flood-Angriffs in eigenen Worten.

3. Welche Maßnahmen können Unternehmen ergreifen, um sich gegen DDoS-Angriffe zu schützen?

Station 3	Reconnaissance Attack	Dauer: ca. 15 Minuten

Schwerpunkt

Erkennen, dass die Vorbereitungsphase eines Angriffs (Aufklärung) bereits eine eigenständige Bedrohung darstellt.

Infoblatt

Reconnaissance bedeutet ‘Aufklärung’. Vor einem gezielten Angriff sammelt der Angreifer Informationen über das Zielsystem: welche Dienste laufen, welche Versionen sind im Einsatz, welche Mitarbeitenden gibt es, welche IP-Adressen sind erreichbar.

Aktive vs. passive Aufklärung

• Passiv: Auswertung öffentlich verfügbarer Quellen (LinkedIn, GitHub, Whois, Shodan). Hinterlässt im Zielnetz keine Spuren.

• Aktiv: Direkter Kontakt mit dem Ziel – Port-Scans, Banner-Grabbing, Ping-Sweeps. Spuren in Logs sind möglich.

Typische Werkzeuge

• nmap: Portscanner, der offene Ports, Dienste und teils Betriebssysteme erkennt.

• Shodan: Suchmaschine für ans Internet angeschlossene Geräte (z. B. ungesicherte Webcams, ICS-Systeme).

• theHarvester: Sammelt E-Mail-Adressen, Subdomains, Mitarbeiternamen aus öffentlichen Quellen.

Beispielausgabe nmap

Ein Scan mit ‘nmap -sV 192.168.1.1’ zeigt z. B.: Port 22/tcp open ssh OpenSSH 7.4, Port 23/tcp open telnet, Port 80/tcp open http Apache 2.4.6. Aus diesen Informationen kann der Angreifer gezielt nach bekannten Schwachstellen suchen.

Vorgehen

• Lest das Infoblatt und unterscheidet aktive und passive Aufklärung.

• Diskutiert: Welche Informationen über eure Schule oder einen bekannten Konzern sind frei im Netz auffindbar?

• Beantwortet die Aufgaben und bereitet den Vortrag vor.

Aufgaben und Leitfragen

1. Welche Informationen liefert ein Port-Scan, und warum ist diese Information für einen Angreifer wertvoll?

2. Welche organisatorischen und technischen Maßnahmen erschweren Reconnaissance gegen das eigene Unternehmen?

3. Ist Reconnaissance per nmap in Deutschland strafbar?

Station 4	MAC-, ARP- und DHCP-Spoofing	Dauer: ca. 15 Minuten

Schwerpunkt

Drei eng verwandte Layer-2-Angriffe verstehen, die alle auf Vertrauen in unsignierte Adressinformationen basieren.

Infoblatt

Ethernet und die zugehörigen Protokolle ARP und DHCP wurden in einer Zeit entworfen, in der Netze als vertrauenswürdig galten. Es gibt keine eingebauten Mechanismen zur Echtheitsprüfung der Absender. Genau das nutzen Spoofing-Angriffe aus.

MAC-Spoofing

Der Angreifer ändert seine eigene MAC-Adresse, um sich als ein anderes Gerät auszugeben. Anwendungsfälle: Umgehung von MAC-Filtern in WLANs, Übernahme einer DHCP-Reservierung, Tarnung in Logs.

ARP-Spoofing (ARP Poisoning)

Der Angreifer sendet ungefragt gefälschte ARP-Antworten (‘Ich bin 192.168.1.1, meine MAC ist X’). Die Geräte im Netz aktualisieren ihre ARP-Tabellen blindlings. Folge: Datenverkehr wird zum Angreifer geleitet (Grundlage für MITM, siehe Station 1).

DHCP-Spoofing

Der Angreifer betreibt einen Rogue-DHCP-Server. Antwortet er schneller als der echte Server, erhält der Client falsche IP-Konfigurationen – z. B. das Notebook des Angreifers als Gateway oder als DNS-Server. Damit lassen sich Verkehr umleiten oder Phishing-Domains auflösen.

Verwandte Angriffe

DHCP-Starvation: Der Angreifer fordert massenhaft IPs an, der DHCP-Pool ist erschöpft, neue Clients erhalten keine Adresse mehr (Vorbereitung für Rogue-DHCP).

Vorgehen

• Lest das Infoblatt und ordnet die drei Spoofing-Varianten den OSI-Schichten zu.

• Skizziert für ARP-Spoofing den Ablauf: vor / nach dem Angriff.

• Bearbeitet die Aufgaben und bereitet einen Vortrag vor.

Aufgaben und Leitfragen

1. Warum funktioniert ARP-Spoofing technisch so ‘einfach’? Welche Schwäche im Protokoll wird ausgenutzt?

2. Wie hängen DHCP-Starvation und DHCP-Spoofing zusammen?

3. Welche drei Cisco-Switch-Funktionen schützen gegen diese Angriffe und wie ergänzen sie sich?

Station 5	Unverschlüsselte Protokolle	Dauer: ca. 15 Minuten

Schwerpunkt

Risiken klassischer Klartext-Protokolle erkennen und verschlüsselte Alternativen benennen.

Infoblatt

Viele klassische Internetprotokolle aus den 1970er und 1980er Jahren übertragen Inhalte und Anmeldedaten im Klartext. Wer Zugriff auf das übertragende Netzsegment hat (z. B. nach erfolgreichem ARP-Spoofing oder in einem offenen WLAN), kann Benutzernamen, Passwörter und Inhalte mitlesen.

Übersicht typischer Klartext-Protokolle und Alternativen

• Telnet (Port 23) → SSH (Port 22)

• FTP (Port 21) → SFTP / FTPS / SCP

• HTTP (Port 80) → HTTPS (Port 443)

• POP3 (Port 110) / IMAP (Port 143) → POP3S / IMAPS oder STARTTLS

• SMTP (Port 25) → SMTPS / STARTTLS (Port 587)

• SNMP v1/v2c → SNMPv3

Was ein Angreifer mit Wireshark sieht

Bei einer Telnet-Anmeldung kann ein Angreifer im Pakettrace direkt die getippten Zeichen lesen, einschließlich des Passworts. Bei SSH dagegen sind die Inhalte nach Abschluss des Handshakes verschlüsselt – sichtbar bleiben nur Quell-/Ziel-IP, Ports und Paketgrößen.

Praxis: Warum sind Klartextprotokolle noch im Einsatz?

Gründe sind oft historischer Natur: Legacy-Systeme, Industriesteuerungen, alte Drucker, eingebettete Geräte. Hier ist Mikrosegmentierung und gezielter Zugriff per VPN oder Sprungserver notwendig.

Vorgehen

• Lest das Infoblatt und ergänzt die Tabelle der Klartext- und verschlüsselten Protokolle gegebenenfalls um eigene Beispiele.

• Schaut euch (falls vorhanden) den Wireshark-Screenshot zur Telnet-Sitzung an: Was lest ihr im Klartext?

• Bearbeitet die Aufgaben und bereitet den Vortrag vor.

Aufgaben und Leitfragen

1. Welche drei Schutzziele der IT-Sicherheit werden durch Klartext-Protokolle verletzt? Begründet eure Antwort.

2. Warum reicht es nicht aus, einfach ‘überall HTTPS’ zu nutzen, sondern müssen auch Zertifikate korrekt verwaltet werden?

3. Wie kann ein Unternehmen sicher mit Legacy-Systemen umgehen, die nur Telnet oder unverschlüsseltes SNMP unterstützen?

Lernkontrolle

Welche Maßnahmen gehören zu einer grundlegenden Netzwerksicherheit?

Starke Passwörter erzwingen.Unbenutzte Switch-Ports administrativ deaktivieren.Standardpasswörter auf neuen Geräten ändern.Alle Sicherheitsregeln auf 'permit any any' setzen.

Auswerten