Klausur Internet Security II

Wintersemester 2002/3

Prof. Walter Kriha

Hochschule der Medien, Stuttgart
Medieninformatik

Note

Bitte ausfüllen (Fill in please):


                   Vorname:_____________________


                  Nachname:_____________________

                
            Matrikelnummer:_____________________


               Studiengang:_____________________


Informationen zur Klausur

FachbereichMedien-Informatik (MI)
VeranstaltungInternet Security II
EDV Nummer13140
DatumFeb. 2003
Zeit60 Minuten
Hilfsmittelkeine
Konzeptpapierkeines

Die Fragen können in Englisch oder Deutsch beantwortet werden.

The qestions may be answered in english or german.


Security Guidelines

1.

Erklären Sie die folgenden Begriffe kurz (Sie könen auch ein Beispiel verwenden)

Give a short explanation of the following terms (you can use an example if you want)

defense in depth
default is deny












Punkte maximal    
Punkte erreicht         

Firewall Architekturen

1.

Beschreiben Sie die Vorteile und Nachteile einer personal firewall im Vergleich zu einer network firewall.

Describe advantages and disadvantages of a personal firewall compared to a network firewall












Punkte maximal    
Punkte erreicht         

2.

Eine Firma möchte ihre Mitarbeiter daran hindern Webseiten mit bestimmten Inhalten zur Arbeitszeit zu sehen. Welche Art von Firewall (welchen Typ) verwenden Sie um das zu erreichen?

A company wants to prevent employees from viewing web pages with certain content at work. Which kind of firewall (which type) would you use to achieve this.












Punkte maximal    
Punkte erreicht         

3.

Eine Firma möchte einen eigenen Web Service anbieten sowie ihren Angestellten eine abgesicherte Benutzung von ftp und www erlauben. Skizzieren Sie schematisch wie eine Demilitarized Zone dafür aussehen könnte.

A company would like to run its own web service and allow employees to use ftp and www in a secure way. Make a diagram of the topology of a demilitarized zone for this purpose.

















Punkte maximal    
Punkte erreicht         

4.

Welche Eigenschaften haben Protokolle die sich SCHLECHT mit Netzwerk Firewalls überwachen lassen?

Which properties make protocols HARD to secure through network firewalls?








Punkte maximal    
Punkte erreicht         

Filtering

1.

Interpretieren Sie kurz diese FTP Regeln, speziell warum "RELATED" hier nötig ist.

Give a short interpretation of these FTP rules, especially why "RELATED" is needed here.


iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A INPUT  -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT 
iptables -A INPUT  -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

TIP: FTP hat control und data ports. Ein ftp server eröffnet eine neue Connection zurück zum client.FTP has a control and a data port. A ftp server opens a new connection back to the client.












Punkte maximal    
Punkte erreicht         

Transport level security vs. message level security

1.

Eine Firma entwickelt eine verteilte Applikation be der jeder Request als message encrypted und digital signiert wird. Sie entscheidet sich daraufhin beim Transport Layer auf eine Sicherung z.B. durch SSL zu verzichten. Für welche Attacken macht sie sich anfällig? Warum?

A company develops a distributed application which encrypts and digitally signs every request. It decides to abandon transport level security, e.g. through SSL. For which kind of attacks is it susceptible? Why?










Punkte maximal    
Punkte erreicht         

Problematik von SSL (SSL issues)

1.

Während der Initialisierung einer SSL-session präsentiert Ihnen ein Web-Server ein Zertifikat das Sie akzeptieren. Stellt SSL damit sicher dass Sie mit dem Partner kommunizieren den Sie erreichen wollten? Handelt es sich hier um ein SSL Problem?

During initialisation of an SSL session a web-server presents a certificate which you accept. Does this mean that SSL ensures that you are really talking to the partner you intended to? Is this a SSL problem?










Punkte maximal    
Punkte erreicht         

Secure Application Design

1.

Was ist ein security token issuer? Worin liegt der Vorteil eines solchen?

What is a security token issuer? What is the advantage of having one?











Punkte maximal    
Punkte erreicht         

2.

Als Web-Architect eines Systemhauses erhalten Sie den Auftrag für die Stadt Stuttgart die nächsten Kommunalwahlen über einen Web-basierten Service zu realisieren. Dazu will die Stadt Briefe mit einer Codenummer (Token) an jeden Wähler verschicken. Clientseitige Eingabemedien sollen sein:

öffentliche Web-Kioske in Wahllokalen
der Browser auf dem PC daheim
Einsendung eines Formulars per e-mail

In allen Fällen muss der Wähler seinen spezifischen Code eingeben. Erstellen Sie eine kurze Aufstellung der damit verbundenen Sicherheitsproblematik. Welche technischen oder organisatorischen Mittel setzen Sie ein?

Your job as the web-architect of a software company is to design a web-based election system for the local elections in Stuttgart. The city want to send letters with a unique code (token) to every voter. Input media on the client side should be:

public web-kiosk in polling stations
the browser at home
sending a form via e-mail

In all cases the voter must enter her unique code (token). Discuss the security problems behind this approach. Which technological or organisational means do you use?

Tip

Im ersten Schritt betrachten Sie die Sicherheitsproblematik von Wahlen generell: was wollen Sie sicherstellen? übertragen Sie das in einem zweiten Schritt auf die IT-Security Grundregeln (Authentisierung etc.) Im dritten Schritt gehen sie die Situation clientseitig durch: Was ändert sich durch den Ort der Eingabe? Dann bestimmen Sie die security Eigenschaften von e-mail und prüfen die Verträglichkeit. Als letztes denken Sie über die Sicherheit der Daten auf Seiten des Servers nach. Spielt die Grösse das Wahlkreises eine Rolle?

Tip

In a first step you should think about the general security problems of elections: what do you want to secure? In a second step you should map those requirements to the IT-security principles (Authentication etc.) Third: consider the client side: What changes due to location? Then look at the security properties of e-mail and check whether they are consistent with the requirements. And in the last step you should think about data security issues on the server side. Does the size of the electoral district matter?







































Punkte maximal    
Punkte erreicht