AB 09 — Netzwerksicherheit — Arbeitsblätter
-
Arbeitsblatt 1: Gefahren in Netzwerken (Block 1)
-
Arbeitsblatt 2: Lab 1 Port Security – Aufgaben und Dokumentation
-
Arbeitsblatt 3: Lab 2 ACLs – Aufgaben und Dokumentation
-
Arbeitsblatt 4: Lab 3 VPN – Aufgaben und Dokumentation
-
Arbeitsblatt 5: Reflexion – Angriff vs. Schutzmaßnahme
-
Befehlsreferenz Cisco IOS
-
Glossar
Arbeitsblatt 1: Gefahren in Netzwerken
Abschnitt betitelt „Arbeitsblatt 1: Gefahren in Netzwerken“Bearbeitet die folgenden Aufgaben einzeln oder in eurer Stationengruppe. Die Aufgaben helfen euch, die Inhalte des Stationenlernens zu vertiefen und für die Präsentation aufzubereiten.
Aufgabe 1.1 – Begriffsklärung
Abschnitt betitelt „Aufgabe 1.1 – Begriffsklärung“Ordne den folgenden Angriffen jeweils eine kurze Definition in eigenen Worten zu.
| Angriff | Definition (in eigenen Worten) |
|---|---|
| Man-in-the-Middle | |
| DoS | |
| DDoS | |
| Reconnaissance | |
| ARP-Spoofing | |
| DHCP-Spoofing | |
| MAC-Spoofing |
Aufgabe 1.2 – Beobachtung der Live-Demo
Abschnitt betitelt „Aufgabe 1.2 – Beobachtung der Live-Demo“Während eurer Lehrer Telnet vs. SSH demonstriert, beantwortet folgende Fragen:
Welche Felder im Telnet-Paket konntest du im Klartext lesen?
Wie sieht das gleiche Feld bei SSH aus?
Welche praktischen Konsequenzen hat das für ein Unternehmen?
Arbeitsblatt 2: Lab 1 Port Security
Abschnitt betitelt „Arbeitsblatt 2: Lab 1 Port Security“Bearbeite die Aufgaben in der angegebenen Reihenfolge. Dokumentiere deine Beobachtungen und Befehle in den vorgesehenen Feldern.
Aufgabe 3.1 – Konnektivitätstest
Abschnitt betitelt „Aufgabe 3.1 – Konnektivitätstest“Mit welchem Befehl prüfst du die Verbindung zwischen PC1 und PC2?
Ergebnis (erfolgreich / Fehlermeldung)?
Aufgabe 3.2 – Port-Security-Konfiguration
Abschnitt betitelt „Aufgabe 3.2 – Port-Security-Konfiguration“Notiere die Befehle, mit denen du Port Security auf Fa0/1 mit Maximum 1, Sticky-MAC und Violation-Modus shutdown aktivierst.
Befehlsfolge:
Aufgabe 3.3 – Verifikation
Abschnitt betitelt „Aufgabe 3.3 – Verifikation“Welcher Befehl zeigt den Status von Port Security an?
Welche MAC-Adresse wurde gelernt?
In welchem Status steht der Port nach dem ersten Ping?
Aufgabe 3.4 – Violation provozieren
Abschnitt betitelt „Aufgabe 3.4 – Violation provozieren“Stecke den ‘Angreifer-PC’ an Fa0/1 an und sende einen Ping.
Was passiert mit dem Port?
Wie lautet der neue Status laut ‘show port-security interface fa0/1’?
Wie hoch ist der ‘Security Violation Count’?
Aufgabe 3.5 – Recovery
Abschnitt betitelt „Aufgabe 3.5 – Recovery“Welche Befehlsfolge reaktiviert den Port?
Wie könntest du eine automatische Wiederherstellung nach 5 Minuten konfigurieren?
Arbeitsblatt 4: Lab 2 ACLs
Abschnitt betitelt „Arbeitsblatt 4: Lab 2 ACLs“Dieses Lab umfasst drei Teilaufgaben (A, B, C). Halte für jede die Befehle und das Testergebnis fest.
Teilaufgabe A – Standard-ACL: Gäste blockieren
Abschnitt betitelt „Teilaufgabe A – Standard-ACL: Gäste blockieren“ACL-Befehle:
Auf welches Interface und in welche Richtung wird die ACL angewendet? Begründung:
Test 1: Ping vom Gast zum Server – Ergebnis?
Test 2: Ping vom Gast zum Mitarbeiter-PC – Ergebnis?
Teilaufgabe B – Extended-ACL: Telnet aus Server-Netz blockieren
Abschnitt betitelt „Teilaufgabe B – Extended-ACL: Telnet aus Server-Netz blockieren“ACL-Befehle:
Interface und Richtung mit Begründung:
Test: Telnet vom Server auf einen Mitarbeiter-PC – Ergebnis?
Teilaufgabe C – SSH-Management nur aus Admin-Netz
Abschnitt betitelt „Teilaufgabe C – SSH-Management nur aus Admin-Netz“Variante 1: Mit Interface-ACL. Befehle:
Variante 2: Mit ACL auf vty-Lines. Befehle:
Welche Variante ist sauberer und warum?
Aufgabe 4.4 – Trefferzähler analysieren
Abschnitt betitelt „Aufgabe 4.4 – Trefferzähler analysieren“Welcher Befehl zeigt die Trefferzähler aller ACLs?
Schreibe die Trefferzahl deiner deny-Regel aus Teilaufgabe A nach mehreren Pings auf:
Arbeitsblatt 5: Lab 3 Site-to-Site VPN
Abschnitt betitelt „Arbeitsblatt 5: Lab 3 Site-to-Site VPN“In diesem Lab konfigurierst du gemeinsam mit deinem Partner einen IPsec-Tunnel zwischen zwei Standorten.
Vorbereitung – Grundkonnektivität
Abschnitt betitelt „Vorbereitung – Grundkonnektivität“Mit welchem Befehl prüfst du, dass die WAN-Strecke vor der VPN-Konfiguration funktioniert?
Ergebnis:
Schritt 1: ISAKMP-Policy
Abschnitt betitelt „Schritt 1: ISAKMP-Policy“Notiere deine Policy-Werte für Encryption, Hash, Authentication, DH-Group, Lifetime:
Schritt 2: Pre-Shared Key
Abschnitt betitelt „Schritt 2: Pre-Shared Key“Welcher PSK wurde vereinbart? (Achtung: in der Praxis NIE auf Arbeitsblättern festhalten!)
Mit welchem Befehl wird der PSK gesetzt?
Schritt 3: Transform-Set
Abschnitt betitelt „Schritt 3: Transform-Set“Name und Algorithmen deines Transform-Sets:
Schritt 4: Crypto-ACL
Abschnitt betitelt „Schritt 4: Crypto-ACL“ACL-Eintrag auf R1:
ACL-Eintrag auf R2 (Spiegelbild):
Schritt 5: Crypto-Map
Abschnitt betitelt „Schritt 5: Crypto-Map“Befehlsfolge zum Erstellen der Crypto-Map auf R1:
Schritt 6: Bindung an WAN-Interface
Abschnitt betitelt „Schritt 6: Bindung an WAN-Interface“Befehlsfolge:
Welcher Ping startet den Tunnelaufbau? Wie viele der ersten 5 Pings kommen durch?
Welche Ausgabe liefert ‘show crypto isakmp sa’? Status?
Welche Ausgabe liefert ‘show crypto ipsec sa’ (#pkts encaps)?
Beobachtung im Simulationsmodus
Abschnitt betitelt „Beobachtung im Simulationsmodus“Wie sieht ein ICMP-Paket auf dem LAN aus?
Wie sieht es auf der WAN-Strecke aus?
Welcher Header wird hinzugefügt?
Arbeitsblatt 6: Reflexion – Angriff vs. Schutzmaßnahme
Abschnitt betitelt „Arbeitsblatt 6: Reflexion – Angriff vs. Schutzmaßnahme“Fülle die folgende Tabelle als Zusammenfassung des gesamten Kurses aus. Welche Schutzmaßnahme wirkt gegen welche Angriffsart?
| Angriff | Wirksame Schutzmaßnahme(n) | Wirksamkeit (1–5) |
|---|---|---|
| MAC-Flooding | ||
| ARP-Spoofing | ||
| DHCP-Spoofing | ||
| MITM im offenen WLAN | ||
| MITM auf WAN-Strecke | ||
| Reconnaissance / Port-Scan | ||
| Telnet-Mitschnitt | ||
| Unbefugter SSH-Zugriff | ||
| DDoS gegen Webdienst | ||
| Anschluss eines fremden PCs |
Persönliche Reflexion
Abschnitt betitelt „Persönliche Reflexion“Was war die wichtigste Erkenntnis des Kurses für dich?
Welches Thema möchtest du noch vertiefen?
Befehlsreferenz Cisco IOS
Abschnitt betitelt „Befehlsreferenz Cisco IOS“Diese Übersicht enthält die wichtigsten Befehle aus den Labs. Sie kann auch in einer Klassenarbeit als Hilfsmittel zugelassen werden, wenn die Lehrkraft das vorgibt.
Allgemeine Modi
Abschnitt betitelt „Allgemeine Modi“BefehlBedeutung / WirkungenableIn Privileged-Exec-Modus wechselnconfigure terminalGlobalen Konfigurationsmodus betreteninterface <if>Interface-Konfigurationsmodusinterface range <if> - <if>Mehrere Interfaces gleichzeitigend / exitModus verlassencopy running-config startup-configKonfiguration sichern (oder kurz: 'wr')show running-configAktuelle Konfiguration anzeigenPort Security
Abschnitt betitelt „Port Security“BefehlWirkungswitchport mode accessPort als Access-Port (Voraussetzung)switchport port-securityPort Security aktivierenswitchport port-security maximum <n>Max. erlaubte MACsswitchport port-security mac-address stickyErste MAC dynamisch lernen und speichernswitchport port-security violation shutdownBei Verletzung Port deaktivierenswitchport port-security violation restrictPakete verwerfen, SNMP-Trap, Port aktivshow port-securityÜbersicht aller geschützten Portsshow port-security interface <if>Detailstatus einzelner Porterrdisable recovery cause psecure-violationAuto-Recovery für Port-SecurityBefehlWirkungaccess-list <1-99> {permit|deny} <src> <wcm>Standard-ACL (Quell-IP)access-list <100-199> {permit|deny} <prot> <src> <wcm> <dst> <wcm> [eq <port>]Extended-ACLip access-list {standard|extended} <name>Named ACL anlegenip access-group <id> {in|out}ACL ans Interface bindenaccess-class <id> inACL an vty-Lines bindenshow access-listsAlle ACLs mit Trefferzahlshow ip interface <if>Welche ACL ist gebunden?Wildcard-Maske – Spickzettel
Abschnitt betitelt „Wildcard-Maske – Spickzettel“| Subnetzmaske | Wildcard-Maske | Bedeutung |
|---|---|---|
| 255.255.255.255 | 0.0.0.0 | Ein einzelner Host (alternativ: ‘host’ verwenden) |
| 255.255.255.0 | 0.0.0.255 | Ein /24-Subnetz |
| 255.255.0.0 | 0.0.255.255 | Ein /16-Subnetz |
| 0.0.0.0 | 255.255.255.255 | Beliebige Adresse (alternativ: ‘any’) |
IPsec VPN
Abschnitt betitelt „IPsec VPN“| Befehl | Wirkung |
|---|---|
crypto isakmp policy <prio> | Phase-1-Policy anlegen |
| encryption aes 256 | Verschlüsselungsalgorithmus |
| hash sha | Hash-Algorithmus für Integrität |
| authentication pre-share | Authentifizierung mit PSK |
group {2|5|14} | Diffie-Hellman-Gruppe |
crypto isakmp key <KEY> address <peer> | PSK festlegen |
crypto ipsec transform-set <n> esp-aes 256 esp-sha-hmac | Phase-2-Algorithmen |
crypto map <n> <prio> ipsec-isakmp | Crypto-Map anlegen |
| set peer / set transform-set / match address | Crypto-Map konfigurieren |
crypto map <n> (im Interface) | Crypto-Map ans WAN-Interface binden |
| show crypto isakmp sa | Phase-1-Status |
| show crypto ipsec sa | Phase-2-Status, gesendete/empfangene Pakete |
Glossar
Abschnitt betitelt „Glossar“| Begriff | Erklärung |
|---|---|
| ACL | Access Control List – Regelwerk auf Routern/Switches zur Filterung von Datenverkehr nach IP, Port und Protokoll. |
| ARP | Address Resolution Protocol – ordnet IP-Adressen MAC-Adressen im LAN zu. |
| Brute Force | Systematisches Durchprobieren aller möglichen Passwörter / Schlüssel. |
| CIA-Triade | Schutzziele Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). |
| DAI | Dynamic ARP Inspection – Cisco-Funktion, die ARP-Pakete gegen die DHCP-Snooping-Tabelle prüft. |
| DDoS | Distributed Denial of Service – verteilter Überlastungsangriff aus vielen Quellen. |
| DHCP | Dynamic Host Configuration Protocol – verteilt automatisch IP-Adressen an Clients. |
| DHCP-Snooping | Cisco-Switch-Funktion, die DHCP-Antworten nur von definierten ‘trusted’ Ports zulässt. |
| DoS | Denial of Service – Überlastung eines Dienstes von einer einzelnen Quelle aus. |
| Evil Twin | Rogue Access Point mit identischer SSID, lockt Clients in ein gefälschtes WLAN. |
| Gratuitous ARP | ARP-Antwort, die ohne vorherige Anfrage gesendet wird – Grundlage für ARP-Spoofing. |
| HSTS | HTTP Strict Transport Security – zwingt Browser, eine Domain nur per HTTPS aufzurufen. |
| IPsec | Internet Protocol Security – Protokollfamilie zur Verschlüsselung und Authentifizierung von IP-Paketen. |
| ISAKMP / IKE | Protokoll zum Aushandeln der IPsec-Phase-1 und zum Schlüsselaustausch. |
| MITM | Man-in-the-Middle – Angreifer schaltet sich zwischen zwei Kommunikationspartner. |
| Nmap | Verbreiteter Open-Source-Portscanner. |
| Port Security | Cisco-Switch-Funktion zur Beschränkung erlaubter MAC-Adressen pro Port. |
| PSK | Pre-Shared Key – beidseitig vereinbartes Geheimnis für IPsec-Authentifizierung. |
| Reconnaissance | Aufklärungsphase eines Angriffs (passiv oder aktiv). |
| Rogue AP | Unautorisierter Access Point in einem WLAN-Umfeld. |
| Spoofing | Verschleierung der eigenen Identität – z. B. MAC-, IP-, ARP- oder DNS-Spoofing. |
| SSH | Secure Shell – verschlüsseltes Remote-Verwaltungsprotokoll, ersetzt Telnet. |
| Telnet | Klartext-Protokoll für Remote-Zugriff (Port 23) – heute nur noch in Sonderfällen vertretbar. |
| Transform-Set | Konfigurationsobjekt in IPsec, das Verschlüsselungs- und Hash-Algorithmen für Phase 2 definiert. |
| VPN | Virtual Private Network – verschlüsselter Tunnel über ein unsicheres Netz. |
| Wildcard-Maske | Inverse Subnetzmaske, wird in Cisco-ACLs verwendet (0 = Bit muss matchen, 1 = beliebig). |
| Wireshark | Open-Source-Werkzeug zur Analyse von Netzwerkpaketen. |
