AB 08 — Netzwerksicherheit — Wissensüberprüfung
Hinweise zur Verwendung
Abschnitt betitelt „Hinweise zur Verwendung“-
Die Fragen sind in drei Blöcke gegliedert: Quiz Block 1 (10 Fragen), Quiz Block 2 (10 Fragen), Vertiefung / Klassenarbeitspool (10 Fragen mit höherem Anspruch).
-
Jede Frage ist mit Schwierigkeitsgrad (leicht / mittel / schwer) gekennzeichnet.
-
Multiple-Choice-Fragen lassen sich direkt in Kahoot, Plickers oder Mentimeter übernehmen. Die korrekte Antwort ist jeweils unterstrichen.
-
Offene Fragen sind für mündliche Sicherung oder schriftliche Lernzielkontrollen gedacht.
Quiz Block 1 – Gefahren in Netzwerken
Abschnitt betitelt „Quiz Block 1 – Gefahren in Netzwerken“10 Fragen, ca. 10 Minuten Bearbeitungszeit. Empfohlen als Live-Quiz nach den Schülervorträgen.
Frage 1 (leicht)
Was ist das charakteristische Merkmal eines Man-in-the-Middle-Angriffs?
A) Der Angreifer überflutet das Zielsystem mit Anfragen.
B) Der Angreifer schaltet sich unbemerkt zwischen zwei Kommunikationspartner.
C) Der Angreifer rät systematisch Passwörter.
D) Der Angreifer manipuliert physische Netzwerkkabel.
Erläuterung: Beim MITM ist die Tarnung als Vermittler das definierende Merkmal.
Frage 2 (leicht)
Worin unterscheidet sich ein DDoS- von einem DoS-Angriff?
A) DDoS verwendet schnellere Angriffstechniken.
B) DDoS nutzt verschlüsselten Verkehr.
C) DDoS erfolgt von vielen verteilten Quellen gleichzeitig.
D) DDoS richtet sich nur gegen Webserver.
Erläuterung: Das ‘D’ steht für ‘Distributed’ – der Angriff kommt aus vielen Richtungen, oft aus Botnets.
Frage 3 (leicht)
Welches Protokoll überträgt Anmeldedaten im Klartext?
A) SSH
B) HTTPS
C) Telnet
D) SFTP
Erläuterung: Telnet ist das klassische Beispiel für unverschlüsselte Remote-Verwaltung.
Frage 4 (leicht)
Welcher Angriffstyp dient typischerweise der Vorbereitung weiterer Angriffe?
A) DDoS
B) Reconnaissance
C) Ransomware
D) Brute Force
Erläuterung: Reconnaissance bedeutet ‘Aufklärung’ – das Sammeln von Informationen vor dem eigentlichen Angriff.
Frage 5 (mittel)
Was ist das Ziel von ARP-Spoofing?
A) Den DHCP-Server überlasten.
B) Eine falsche MAC-zu-IP-Zuordnung in Geräten zu verankern.
C) Den Switch in den Hub-Modus zu zwingen.
D) Die Firewall zu umgehen.
Erläuterung: Mit gefälschten ARP-Antworten wird die ARP-Tabelle manipuliert, sodass der Angreifer Verkehr umlenken kann.
Frage 6 (mittel)
Warum ist ein offenes WLAN besonders anfällig für MITM-Angriffe?
A) Weil die Reichweite größer ist.
B) Weil Daten unverschlüsselt durch die Luft übertragen werden und Rogue APs leicht aufgesetzt werden können.
C) Weil offene WLANs schneller sind.
D) Weil offene WLANs immer öffentliche IPs verteilen.
Erläuterung: Fehlende Verschlüsselung und das Risiko von Evil-Twin-APs sind die Kernprobleme.
Frage 7 (mittel)
Welche Aussage zu DHCP-Spoofing ist korrekt?
A) Es funktioniert nur, wenn der Angreifer Administratorrechte auf dem DHCP-Server hat.
B) Der Angreifer betreibt einen eigenen DHCP-Server, der schneller antwortet als der legitime.
C) Es ist nur in Glasfasernetzen möglich.
D) Es richtet sich gegen IPv6-Netze.
Erläuterung: Klassischer Rogue-DHCP-Server – wer schneller antwortet, gewinnt.
Frage 8 (mittel)
Erkläre in eigenen Worten, was bei einem SYN-Flood passiert.
Musterlösung: Der Angreifer sendet massenhaft SYN-Pakete (häufig mit gefälschter Absender-IP). Der Server reserviert für jeden eingehenden SYN Speicher in seiner Verbindungstabelle und wartet auf das ACK, das nie kommt. Die Tabelle füllt sich, legitime Verbindungen werden abgelehnt – der Dienst wird unerreichbar.
Frage 9 (leicht)
Welches Werkzeug wird typischerweise für Port-Scanning verwendet?
A) Wireshark
B) Nmap
C) Putty
D) FileZilla
Erläuterung: Nmap ist der De-facto-Standard für Port-Scans.
Frage 10 (mittel)
Nenne drei Schutzziele der IT-Sicherheit (CIA-Triade) und ordne dem Mitlesen einer Telnet-Sitzung das verletzte Schutzziel zu.
Musterlösung: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Beim Mitlesen einer Telnet-Sitzung ist primär die Vertraulichkeit verletzt – die Inhalte (auch Passwörter) sind für den Angreifer im Klartext sichtbar.
Quiz Block 2 – Schutzmaßnahmen
Abschnitt betitelt „Quiz Block 2 – Schutzmaßnahmen“10 Fragen, ca. 10 Minuten Bearbeitungszeit. Empfohlen als Abschlussquiz nach den Labs.
Frage 11 (leicht)
Welcher Cisco-Befehl aktiviert Port Security auf einem Switchport?
A) switchport security on
B) switchport mode security
C) switchport port-security
D) ip port-security enable
Erläuterung: Der Befehl heißt exakt ‘switchport port-security’.
Frage 12 (leicht)
Was bewirkt der Violation-Modus ‘shutdown’ bei Port Security?
A) Der Switch wird heruntergefahren.
B) Der betroffene Port wechselt in den err-disabled-Zustand.
C) Die Pakete werden verworfen, der Port bleibt aktiv.
D) Der Switch sendet eine Warn-E-Mail.
Erläuterung: ‘shutdown’ ist der Standardmodus – der Port geht in err-disabled und muss manuell oder automatisch reaktiviert werden.
Frage 13 (leicht)
Was beendet jede Cisco-ACL implizit?
A) permit any
B) deny any
C) log all
D) no shutdown
Erläuterung: Das implizite ‘deny any’ am Ende ist eines der wichtigsten Konzepte bei ACLs.
Frage 14 (mittel)
Welche Aussage zur Platzierung von ACLs ist korrekt?
A) Standard-ACLs gehören möglichst nah an die Quelle.
B) Extended-ACLs gehören möglichst nah an das Ziel.
C) Standard-ACLs gehören nah an das Ziel, Extended-ACLs nah an die Quelle.
D) Die Platzierung ist beliebig.
Erläuterung: Standard-ACLs filtern nur nach Quell-IP – würden sie zu nah an der Quelle stehen, könnten sie unbeabsichtigt erwünschten Verkehr blockieren. Extended-ACLs sind präzise und filtern früh.
Frage 15 (mittel)
Welcher Befehl bindet eine ACL an die vty-Lines?
A) ip access-group <n> in
B) access-class <n> in
C) access-list bind <n>
D) ip access-class <n>
Erläuterung: Auf vty-Lines wird ‘access-class’ verwendet, nicht ‘ip access-group’.
Frage 16 (mittel)
Beschreibe in 2–3 Sätzen den Unterschied zwischen Phase 1 und Phase 2 bei IPsec.
Musterlösung: Phase 1 (ISAKMP/IKE) baut einen sicheren Kanal zwischen den beiden Endpunkten auf, in dem anschließend Schlüssel und Parameter ausgehandelt werden. Phase 2 (IPsec) nutzt diesen Kanal, um die Schlüssel für die eigentliche Datenverschlüsselung zu vereinbaren. Die Nutzdaten werden dann in Phase 2 mit dem ausgehandelten Transform-Set (z. B. AES + SHA) übertragen.
Frage 17 (mittel)
Was definiert die ‘Crypto-ACL’ bei einem Site-to-Site-VPN?
A) Welcher Verkehr blockiert werden soll.
B) Welcher Verkehr durch den Tunnel verschlüsselt werden soll.
C) Welche Hosts sich anmelden dürfen.
D) Welche Ports der Router öffnen soll.
Erläuterung: Die Crypto-ACL beschreibt den ‘interessanten Verkehr’ – also den, der den Tunnel passieren soll.
Frage 18 (mittel)
Welcher Befehl zeigt den Status der ISAKMP Security Association?
A) show vpn status
B) show crypto isakmp sa
C) show ipsec status
D) debug crypto
Erläuterung: ‘show crypto isakmp sa’ liefert den Phase-1-Status (z. B. QM_IDLE bedeutet ‘aufgebaut’).
Frage 19 (leicht)
Welche Schutzmaßnahme schützt am besten gegen das Anstecken eines unautorisierten Geräts an einer Wandsteckdose im Büro?
Musterlösung: Port Security – idealerweise in Kombination mit 802.1X-Authentifizierung. Port Security begrenzt die erlaubten MAC-Adressen pro Switchport, 802.1X verlangt eine Authentifizierung mit Zertifikat oder Benutzerkonto, bevor der Port produktiv geschaltet wird.
Frage 20 (schwer)
Du sollst sicherstellen, dass nur Mitarbeitende aus dem Admin-VLAN per SSH auf den Router zugreifen können. Skizziere die Vorgehensweise mit zwei Konfigurationsalternativen.
Musterlösung: Variante 1 (Interface-ACL): Eine Extended-ACL erlaubt nur Quelle = Admin-Netz auf TCP/22 und wird auf allen anderen eingehenden Interfaces angewendet. Variante 2 (vty-ACL, sauberer): Eine Named-ACL (‘SSH-MGMT’) erlaubt nur das Admin-Netz und wird mit ‘access-class SSH-MGMT in’ direkt auf den vty-Lines angewendet. Zusätzlich ‘transport input ssh’, um Telnet komplett auszuschließen.
Vertiefung / Klassenarbeitspool
Abschnitt betitelt „Vertiefung / Klassenarbeitspool“10 anspruchsvollere Fragen für eine schriftliche Lernzielkontrolle, gemischt aus MC und offenen Fragen.
Frage 21 (schwer)
Erläutere, wie DHCP-Snooping und Dynamic ARP Inspection (DAI) zusammenspielen, um MITM-Angriffe in einem geswitchten LAN zu verhindern.
Musterlösung: DHCP-Snooping unterscheidet vertrauenswürdige (trusted) von nicht vertrauenswürdigen Switchports. Auf trusted Ports (zum legitimen DHCP-Server) sind DHCP-Antworten erlaubt, auf allen anderen werden sie verworfen – Rogue-DHCP wird so unterbunden. Gleichzeitig baut DHCP-Snooping eine Bindungstabelle (MAC + IP + Port) auf. DAI nutzt diese Tabelle: Jedes ARP-Paket wird gegen die Bindings geprüft. Stimmt MAC und IP nicht mit der Tabelle überein, wird das ARP-Paket verworfen. Damit ist ARP-Spoofing wirkungslos.
Frage 22 (schwer)
Welche IPsec-Komponente sorgt für die Integrität der übertragenen Pakete?
A) Die ISAKMP-Policy
B) Der HMAC im Transform-Set (z. B. esp-sha-hmac)
C) Die Crypto-Map
D) Die Pre-Shared Key Konfiguration
Erläuterung: Der HMAC-Anteil des Transform-Sets erzeugt eine kryptografische Prüfsumme, die Veränderungen auf der Strecke erkennbar macht.
Frage 23 (schwer)
Du analysierst einen Vorfall: Mehrere Clients in einem Subnetz erhalten plötzlich falsche IP-Konfigurationen. Welche zwei Angriffsarten kommen in Frage und wie unterscheidest du sie?
Musterlösung: Verdächtig sind Rogue-DHCP-Server (DHCP-Spoofing) und ARP-Spoofing. Unterscheiden lässt es sich durch Analyse der DHCP-Lease-Informationen auf den Clients (von welchem Server stammt die Lease?), durch einen Blick in die Switch-Logs (DHCP-Snooping-Verletzungen?) und durch Vergleich der ARP-Tabelle der Clients mit den Switch-MAC-Tabellen. Stimmen die ARP-Einträge nicht mit dem echten Gateway überein, deutet das auf ARP-Spoofing hin.
Frage 24 (mittel)
Warum ist eine ‘permit any’-Regel am Ende einer Standard-ACL häufig notwendig?
A) Weil sonst der Router neugestartet wird.
B) Weil nach dem expliziten ‘deny’ nur dann anderer Verkehr durchgelassen wird, wenn er explizit erlaubt wird.
C) Weil ACLs sonst nicht aktiviert werden.
D) Weil ‘permit any’ den Logging-Modus aktiviert.
Erläuterung: Vergisst man die ‘permit’-Zeile, blockiert die ACL aufgrund des impliziten ‘deny any’ allen restlichen Verkehr – meist nicht beabsichtigt.
Frage 25 (mittel)
Beschreibe ein realistisches Szenario, in dem der Violation-Modus ‘restrict’ bei Port Security ‘shutdown’ vorzuziehen ist.
Musterlösung: In einem Großraumbüro mit Hot-Desking, in dem regelmäßig verschiedene Geräte angeschlossen werden, würde ‘shutdown’ zu vielen Helpdesk-Tickets führen, weil Ports immer wieder reaktiviert werden müssten. ‘restrict’ verwirft das Paket der unbekannten MAC, sendet einen SNMP-Trap zur Aufzeichnung und lässt den Port aktiv. So wird der Vorfall protokolliert, ohne dass legitime Nutzer ständig blockiert werden. Sicherheitskritische Ports (Serverraum, Konferenzräume) sollten dennoch ‘shutdown’ verwenden.
Frage 26 (schwer)
Welche Aussage zu IPsec-Modi ist korrekt?
A) Im Tunnel-Modus wird nur der Header verschlüsselt.
B) Im Transport-Modus wird der gesamte ursprüngliche IP-Header neu verpackt.
C) Site-to-Site-VPNs verwenden typischerweise den Tunnel-Modus, bei dem das gesamte ursprüngliche IP-Paket in ein neues IP-Paket verpackt wird.
D) Tunnel- und Transport-Modus sind funktional identisch.
Erläuterung: Im Tunnel-Modus wird das gesamte ursprüngliche Paket verschlüsselt und in ein neues IP-Paket eingebettet – ideal für Site-to-Site, da auch interne IPs verborgen werden.
Frage 27 (schwer)
Welche fünf Bestandteile gehören zu einer minimalen Site-to-Site-VPN-Konfiguration auf einem Cisco-Router?
Musterlösung: (1) ISAKMP-Policy (Phase 1: Encryption, Hash, Authentication, DH-Group, Lifetime). (2) Pre-Shared Key oder Zertifikat. (3) Transform-Set (Phase 2: Verschlüsselungs- und Hash-Algorithmus). (4) Crypto-ACL für interessanten Verkehr. (5) Crypto-Map mit Peer, Transform-Set und Match-ACL, die anschließend ans WAN-Interface gebunden wird.
Frage 28 (schwer)
Welche Maßnahme ist am wenigsten geeignet gegen MAC-Flooding?
A) Port Security mit Maximum 1
B) 802.1X-Authentifizierung
C) Eine reine Standard-ACL
D) Sticky-Learning
Erläuterung: Standard-ACLs filtern auf Layer 3 nach IP – sie helfen nicht gegen Layer-2-Angriffe wie MAC-Flooding.
Frage 29 (schwer)
Erkläre, warum HTTPS allein nicht zwangsläufig vor allen MITM-Angriffen schützt.
Musterlösung: HTTPS schützt nur, wenn das Server-Zertifikat von einer vertrauenswürdigen CA stammt, gültig ist und der Hostname passt. Mögliche Angriffsvektoren trotz HTTPS: SSL-Stripping (Downgrade auf HTTP, wenn HSTS fehlt), gefälschte oder geleakte CAs, akzeptierte Zertifikatswarnungen durch unaufmerksame Nutzer, ein vom Angreifer untergeschobenes Wurzelzertifikat (z. B. in MDM-Umgebungen), oder ein vor der TLS-Schicht ansetzender Angriff über DNS-Spoofing zu einer Phishing-Domain.
Frage 30 (schwer)
Du wurdest beauftragt, ein Konzept zur Absicherung des Office-LANs eines mittelständischen Betriebes zu erstellen. Liste mindestens fünf konkrete technische Maßnahmen auf und nenne jeweils, welcher Bedrohung sie entgegenwirken.
Musterlösung: (1) Port Security + 802.1X auf allen Access-Ports → schützt vor unbefugtem Anschluss und MAC-Spoofing. (2) DHCP-Snooping → verhindert Rogue-DHCP-Server. (3) Dynamic ARP Inspection → verhindert ARP-Spoofing. (4) ACLs zur Netzsegmentierung (z. B. Trennung Mitarbeiter / Gäste / Server) → reduziert Angriffsfläche. (5) SSH statt Telnet, HTTPS statt HTTP, SNMPv3 statt v1/v2c → schützt Vertraulichkeit und Integrität von Management- und Anwendungsverkehr. (6) IPsec-VPN für Standortvernetzung und Remote-Mitarbeitende → schützt vor MITM auf dem WAN. (7) Zentrales Logging und Monitoring (Syslog, NetFlow) → ermöglicht Erkennung von Reconnaissance- und DDoS-Angriffen. Optional: WPA3-Enterprise für WLAN, regelmäßige Pen-Tests, Patch-Management.
