fb18.de
/ Bachelorstudieng
/ PM Technische Informatik
GSS - Fragen (für Klausur)
Hallo. Irgendwie werden zu jeder Aufgabe neue Threads eröffnet, da ich nicht alles zumüllen möchte, mache ich mal wieder einen Sammelthread auf.
Meine Frage wäre:
Gprot09:(…) statische vs dynamische Filterung erklaeren.
Also die statische Filterung ist mir klar (denke ich), es werden einfach die Header der Pakete überprüft und mit den Firewallinternen Regeln abgeglichen. So ist der telnet Port z.B. meist nicht ansprechbar und so wird so eine Anfrage nicht durchgelassen.
Aber was genau die dynamische Filterung macht will mir aus dem Skript nicht klar werden. Auf englisch "stateful filtering" genannt, überprüft es den Zustand der Pakete? Was genau wird denn da ersichtlich? Oder besser - was soll der Zustand eines Paketes sein?
Die Aufgabe kurz darüber fällt mir auch nicht so leicht:
"Erklaeren warum TCP-Protokolle gut gefiltert werden koennen von Firewalls/Routern. "
Warum? Ist die Antwort so simpel, als dass der gesamte Netzverkehr, der in ein internes Netzwerk(oder zum Enduser) geht ,erstmal durch eine Firewall/einen Router geführt und dort nach gewissen Mechanismen erstmal abgecheckt wird? Ansonsten fällt mir nicht ein, was mit "gut gefiltert" gemeint sein kann. Die können es gut, weil sie darauf ausgerichtet sind. :/
telnet ist ein doofes Beispiel. In der Regel kann man diesen Dienst deaktivieren und in der Regel ist er das auch schon. Die Windows-Backdoor (Port 445 und andere) ist besser :)
TCP ist ein Verbindungsorientiertes Protokoll. Die Verbindung wird mit SYN, SYN|ACK, ACK aufgebaut und mit FIN bzw RST beendet. Eine zustandsbehaftete Firewall merkt sich, welche TCP-Verbindungen offen sind und kann anhand dessen weitere Sachen filtern. Bei zustandslosen Firewalls kannst du zum Beispiel Datenpakete in einer TCP-Verbindung schicken, die überhaupt nicht existiert.
Es ist also nicht der Zustand eines Pakets gemeint, sondern ein Zustand in der Firewall, der durch Pakete verändert wird.
nochmal zur stateful inspection:
# Stateful Inspection (Stateful Packet Filter, Dynamic Packet Filter)
Paketfilter arbeiten zustandslos, d.h. sie entscheiden für jedes IP-Paket isoliert allein auf Grund der voliegenden Filterregeln, wie mit diesem Paket verfahren wird. Eine Stateful-Inspection-Firewallkomponente vergleicht ein erstes eintreffendes Paket einer Verbindung wie ein Paketfilter auch mit den Filterregeln, legt im Falle der Weiterleitung (accept) jedoch Informationen über den Status der Kommunikation in einer lokalen Datenbank ab. Die dort vorliegenden Informationen können dann dazu beitragen, dass weitere mit diesem Paket assoziierte, nachfolgende Pakete schneller die Firewall passieren können. Falls die Filterregeln es erfordern, wird nicht nur der IP-Header betrachtet, sondern auch die Anwendungsdaten eines jeden Paketes zur Filterung herangezogen. Die Aufzeichnung von Logdaten erfolgt ebenso wie eine ggf. nötige Authentikation auf der Anwendungsebene.
Das von dir, Wulf, passt da ja irgendwie rein. Stimmt der Text von oben genau so? Weil deine Erklärung scheint mir ein wenig zu undetailiert wenn man das in ner Klausur schreiben will. Hab außerdem eine Menge anderes Zeug gefunden, dass es ein wenig anders darstellt, dass ist die erste Erklärung, die sowohl zu deinem, als auch zu den anderen Texten passt :)
Ich würde sagen der Text ist in Ordnung.
Ich hätte nochmal eine andre Frage:
Vorbeireuntszusammenfassung: "Beispiele für unsichere C-Funktionen"
Könnte mir da einer weiterhelfen? Ich finde einfach nichts dazu und kenne mich 0 mit C aus. Was ist hier gemeint?
Ich denke, dass hier hauptsächlich Funktionen gemeint sind, durch die ein Buffer Overflow hervorgerufen werden könnte.
Das Prinzip eines Buffer Overflows ist ja, dass du eine Eingabe hast, diese in ein Array gepackt wird, dort der Datenstack überläuft und dann in den Speicher mit der Rücksprungadresse schreibt, wo eine andere Adresse injiziert werden kann und somit zu einem anderen Befehl gesprungen werden kann, als vorgesehen, der eventuell Schadcode enthält.
hab mal kurz gegoogelt (hab auch keine direkte Ahnung von C) und kam dabei auf folgendes:
#include <stdio.h>
void moeglicherBufferOverflow(char* input)
{
char buf[16];
strcpy(buf, input);
printf("%s\n", buf);
}
wenn die Eingabe größer als 16 chars ist, wird strcpy mehr als 16 character in das character Array mit Platz für 16 charactern schreiben und dann dadurcheinen bufferoverflow auslösen. Das eigentliche Problem kann eigentlich ganz einfach umgegangen werden, wenn man vorher testet ob die Eingabe denn länger als 16 character ist.
Eine weitere Funktion ist wohl strncat(s, append, count) in Kombination mit sizeof(array)
Problem: Wenn in array schon was steht und du dann noch was anhängen willst, würde noch so lange theoretisch etwas anhängen können wie: das was schon in Array steht + array Größe. Also wärns paar zeichen zu viel.
Über google findeste sicher noch ein paar weitere Beispiele!
z.B. gets(s)
Die Funktion wartet auf eine Kommandozeileneingabe durch den Benutzer und speichert die Eingabe in s, ohne dabei zu prüfen, ob s überhaupt genug Platz für alle eingegebenen Zeichen bietet.
Wenn das nicht der Fall ist, werden Daten überschrieben, die oberhalb von s auf dem Stack liegen, also vorher angelegt wurden. Darunter kann auch die Rücksprungadresse fallen.
Skript: IT Security III Folie 34!
Da sind ein paar Funktionen aufgelistet
Hey,
ich hab nochmal ne Frage, die ich iwie durch google nicht beantwortet bekomme:
Was sind die Stance Begriffe von Dennett?
ich denke das es das ist, was du suchst
http://de.wikipedia.org/wiki/Daniel_Dennett#Intentionalit.C3.A4tund da
physikalischer Einstellung
funktionalen Einstellung (design)
intentionale Einstellung
Wo taucht das auf (Folien / Übungsblätter)?
Ich hör die Begriffe zum ersten Mal.
Wo taucht das auf (Folien / Übungsblätter)?
Ich hör die Begriffe zum ersten Mal.
Garnicht glaube ich. Handelt sich wohl um die Aufgabe aus dem älteren Gprot (08). Genauso wie der Dateiverwaltungskram wird das denke ich nicht drankommen.
Doch die Begriffe stehen im Skript, allerdings sind sie nicht erklärt.
Stehen auf E1-30, im letzteren der Agenten Teile.
Ich hätte mal eine Frage.
Ich weiss nicht, ob ich das Round Robin Scheduling richtig verstanden habe.
[img]
http://pages.cs.wisc.edu/~bart/537/lecturenotes/figures/s11.robin.gif[/img]
Ist es so, dass man eine Zeitscheibe hat, die sich ständig dreht. Die Zeitscheibe ist in Einheiten aufgeteilt, die jeweils einem Prozess entsprechen. Bei jedem weiteren Prozess der dazukommt, wird die Scheibe erneut aufgeteilt.
Die Scheibe "dreht" sich quasi und jeder Prozess, der unter den "CPU Lesekopf" kommt bekommt seine (in der Abbildung 2Units) Rechenzeit?
Was passiert, wenn zu viele Prozesse ankomen?
2 zyklen, dann kommt P5 dazu, allerdings erst nachdem P1 schon wieder dran war…
P1->P2->P3->P4
P1->P2->P3->P4
P1->P2->P3->P4
^ Eintritt von P5!
P1->P5->P2->P3->P4
Hoffe das hilft und ist richtig ^^
Nicht so richtig.
Beziehst du dich auf die Zeichnung? D.h. es wird dreimal die eine Hälfte der Scheibe abgearbeitet, dann kommt Prozess5 hinzu? Dann wieder zwei Zyklen+1 und der nächste kommt hinzu?
neeeein, einfach ein generelles beispiel für nen Round Robin! Bei der Zeichnung blick ich net so richtig durch
Zur Zeichnung:
1. Round: P1, P2, …, P8
2. Round: P1, P2, P4, P5, P6, P7
3. Round: P6
Zur Zeichnung:
1. Round: P1, P2, …, P8
2. Round: P1, P2, P4, P5, P6, P7
3. Round: P6
Super danke! Genau so habe ich mir das gedacht.
Noch eine Frage:
Medienzugriffskontrolle in Ring-/Bus- und Broadcastsystemen
Ist das in den Folien aufgeführt? Ich kann davon nichts finden. Noch besser wäre ein passender Wiki Artikel. Ich finde welche zu den Systemen, nirgends wird aber etwas von einer zugriffskontrolle geschrieben.
Ahh, nvm. Habe es im Skript gefunden! (GSS-D03_RN-LANs ab Seite 5)
Ei, ja danke. Nochmal kurz zusammengefasst ist gut.
nochmal zur stateful inspection:
# Stateful Inspection (Stateful Packet Filter, Dynamic Packet Filter)
Paketfilter arbeiten zustandslos, d.h. sie entscheiden für jedes IP-Paket isoliert allein auf Grund der voliegenden Filterregeln, wie mit diesem Paket verfahren wird. Eine Stateful-Inspection-Firewallkomponente vergleicht ein erstes eintreffendes Paket einer Verbindung wie ein Paketfilter auch mit den Filterregeln, legt im Falle der Weiterleitung (accept) jedoch Informationen über den Status der Kommunikation in einer lokalen Datenbank ab. Die dort vorliegenden Informationen können dann dazu beitragen, dass weitere mit diesem Paket assoziierte, nachfolgende Pakete schneller die Firewall passieren können. Falls die Filterregeln es erfordern, wird nicht nur der IP-Header betrachtet, sondern auch die Anwendungsdaten eines jeden Paketes zur Filterung herangezogen. Die Aufzeichnung von Logdaten erfolgt ebenso wie eine ggf. nötige Authentikation auf der Anwendungsebene.
Das von dir, Wulf, passt da ja irgendwie rein. Stimmt der Text von oben genau so? Weil deine Erklärung scheint mir ein wenig zu undetailiert wenn man das in ner Klausur schreiben will. Hab außerdem eine Menge anderes Zeug gefunden, dass es ein wenig anders darstellt, dass ist die erste Erklärung, die sowohl zu deinem, als auch zu den anderen Texten passt :)
Für mich gehört Logging nicht zu stateful inspection. Meine erste Linux-2.0 Firewall war noch stateless (ipfwadm war das, ja?), aber loggen konnte die schon. Dafür muss ja auch kein state gespeichert werden.
Die Anwendungsdaten zu durchschnüffeln heisst eigentlich `deep packet inspection'. Damit das ordentlich funktioniert, brauchst du aber ne stateful firewall; hängt also immerhin zusammen.
Rest stimmt.
"Beispiele für unsichere C-Funktionen"
Besonders gefährliche Funktionen (kaum möglich, sie sicher zu nutzen):
* gets (buffer overflow kaum zu verhindern. Der Klassiker schlechthin.)
* tmpnam (race conditions garantiert)
Funktionen, die sehr oft falsch benutzt werden, aber theoretisch benutzbar sind:
* scanf (format "%s" und "%[…]" werden immer falsch benutzt -> buffer overflows)
* strncpy (dümmste funktion in C gleich nach gets)
* strncat (verwirrende Schnittstelle, dadurch buffer overflows)
Funktionen, die häufig falsch benutzt werden, aber an sich brauchbar sind:
* sprintf (buffer overflows weil viele leute die größe vom ergebnis nicht berechnen können, format string angriffe)
* strcat (nutzlose funktion, buffer overflows, weil leute nicht auf array-größen achten)
* strcpy (buffer overflows, weil leute nicht auf array-größen achten)
* printf (format string angriffe. Bitte bitte printf("%s", usereingabe); statt printf(usereingabe);!!)
Tolle Funktionen, die nur die Vollidioten von Winzigweich falsch benutzen:
* memcpy
gibt natürlich noch mehr, aber das sind so die üblichen Funktionen.
wurden diese funktionen abgefragt oder warum wird soviel drüber gesprochen……. mein kleiner memory kan sich irgendwie nicht dran erinnern ?
kann mir einer Sagen was im Teil A abgefragt wurde ? welche themen dran kamen ? bin leider zum ersten termin krank gewesen….. ;(
wurden diese funktionen abgefragt oder warum wird soviel drüber gesprochen……. mein kleiner memory kan sich irgendwie nicht dran erinnern ?
Dein kleiner Memory…Stick? ;:D
Wie war denn nun der zweite Termin?
ersten teil fand ich recht schwer … zweiten fand ich gut
gibs schon ergebnisse vom 2. termin? wenn ja wie ist die klausur denn ausgefallen ?
Oh, Mann (Frau whatever)
wenn Du dabei gewesen wärst, hättest Du was von 10 Tagen murmeln hören. Reicht, wenn wir ungeduldig sind!
Oh, Mann (Frau whatever)
wenn Du dabei gewesen wärst, hättest Du was von 10 Tagen murmeln hören. Reicht, wenn wir ungeduldig sind!
Aha. Man sieht, dass beim zweiten Versuch nur noch die Dummbratzen nochmal ran müssen.
Unnötig.
GSS-Noten vom 2. Termin sind in Stine.
1,0 1,3 1,7 2,0 2,3 2,7 3,0 3,3 3,7 4,0 5,0
- - 2 - 5 1 2 - 1 4 10
