88 lines
3.1 KiB
Markdown
88 lines
3.1 KiB
Markdown
# GA 1
|
|
|
|
# 1.1.1
|
|
|
|
Eine ADSL Leitung ist asymmetrisch. Das bedeutet normalerweise, dass der Upload um ein vielfaches geringer ist, wie der Download. Da zwischen den Filialen aber sowohl der Upload als auch der Download in etwa gleich genutzt werden müssen, ist eine ADSL Leitung nicht geeignet.
|
|
|
|
# 1.1.2
|
|
|
|
Mit einer SDSL Leitung. Leased Line mit T1/E1, T3/E3
|
|
|
|
# 1.1.3
|
|
|
|
Tunneling verpackt die normalen Ethernet Frames in einen weiteren Ethernet Frame und verschlüsselt dabei den originalen. Damit kann als außenstehender nicht mehr nachvollzogen werden, was über die Leitung geht. Das Paket wird dann zum Ziel geroutet und dort von einem VPN Gateway wieder entschlüsselt und entpackt und an den entsprechenden Client geschickt.
|
|
|
|
# 1.1.4
|
|
|
|
Vorteile:
|
|
|
|
* Es ist günstiger wie eigene Standleitungen
|
|
* Traffic ist komplett verschlüsselt
|
|
|
|
Nachteile:
|
|
|
|
* Engpass an der Zentrale
|
|
* Außenstehende können erkennen, dass etwas über die Leitung geht und können demnach rückschlüsse ziehen
|
|
* Langsamer wie eine Standleitung
|
|
|
|
# 1.2.1
|
|
|
|
* Im letzten Block von IPv6 können IPv4 Adressen dargestellt werden, um abwärtskompatibilität in der Übergangsphase zu gewährleisten
|
|
|
|
* NAT64
|
|
|
|
* Dual IP-Stack im Betriebssystem
|
|
|
|
# 1.2.2
|
|
|
|
Die MAC Adresse kann im DHCPv6 hinterlegt werden. Dann wird dem Drucker, Server immer die selbe IPv6 Adresse zugewiesen.
|
|
|
|
# 1.2.3
|
|
|
|
Ein DHCP-Request ist ein Broadcast. Wenn dieser im Teilnetz B gesendet wird, kommt dieser nicht im Teilnet A an.
|
|
|
|
# 1.2.4
|
|
|
|
Der Router R1 muss als DHCP-Relay eingestellt werden. Dabei ist dann der DHCPv6 Server aus Netz A hinterlegt.
|
|
Der Router fügt dem Broadcast seine Interface Nummer an und schickt den Broadcast direkt an den DHCP Server in Netz A. Durch den Interface Namen, weiss der DHCP Server in welchem Netz sich ein PC aus Netz B aufhält und kann diesem eine dementsprechende IP zuweisen.
|
|
|
|
# 1.2.5
|
|
|
|
Es steht ein kompletter Block zur Verfügung. FÜr 16 Subnetze werden 2^4 = 16 also 4 Bits benötigt.
|
|
|
|
Subnetze:
|
|
|
|
2001:db8:abcd:0000::/64
|
|
|
|
2001:db8:abcd:1000::/64
|
|
|
|
2001:db8:abcd:2000::/64
|
|
|
|
....
|
|
|
|
2001:db8:abcd:F000::/64
|
|
|
|
# 1.3.1
|
|
|
|
Sie sind nicht konfiguriert und man kann dadurch eventuell auf Netze zugreifen, die nicht einfach so erreichbar sein sollten.
|
|
|
|
# 1.3.2
|
|
|
|
Nicht benötigte Switch Ports im Switch deaktivieren. Die Ports ungepatcht lassen und den Switch in einen sichereren Raum stellen.
|
|
|
|
Management und Produktiv VLAN sollte != 1 sein, da dieses Default verwendet wird.
|
|
|
|
# 1.3.3
|
|
|
|
a) DHCP-Spoofing: Angreifer betreibt seinen eigenen DHCP Server. Mit dieser Attacke werden dann DHCP Antworten so verändert, dass bspw. andere DNS Server verwendet werden, die dann wiederum andere Auflösungen beinhalten
|
|
|
|
b) DHCP-Starvation: Ein Client simuliert viele Rechner (MAC Adresse ändern + reconnect) reserviert alle DHCP Einträge bis der DHCP Server keine mehr frei hat.
|
|
|
|
c) DHCP-Snooping:
|
|
|
|
# 1.3.4
|
|
|
|
Eine Packet-Filter-Firewall kann nur Traffic über Ports zulassen oder verwehren. Eine Applikation-Gateway-Firewall kann hingegen steuern, ob ein Programm etwas empfangen/senden darf oder nicht. Es können also bspw. zwei Programme die selben Ports verwenden aber ein Programm ist nicht erlaubt zu empfangen, also wird der Traffic geblockt.
|
|
|
|
|