admin/Lernfeld11b
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
8a90a87c7c987d21da2791ec71b289d421b88a76
Lernfeld11b/Klausur
History
Max Blendowski 8a90a87c7c mit dateien
2025-12-03 15:39:38 +01:00
..
CheatSheet.md
mit cheatsheet
2025-12-03 15:26:17 +01:00
LF11b_ACL_Belegsatz.pdf
mit dateien
2025-12-03 15:39:38 +01:00
LF11b_Arbeit_Nr1_FI23B.docx
mit dateien
2025-12-03 15:39:38 +01:00
README.md
mit cheatsheet
2025-12-03 15:26:17 +01:00

README.md

Klausur Lernfeld 11b: Netzwerkverteidigung und Segmentierung

Ausbildungsberuf: Fachinformatiker/in - Systemintegration (3. Lehrjahr)
Bearbeitungszeit: 60 Minuten
Maximale Punktzahl: 100 Punkte

TEIL A: THEORETISCHE GRUNDLAGEN (30 Punkte)

Aufgabe A1: Defense-in-Depth-Ansatz (8 Punkte)

Erläutern Sie den Defense-in-Depth-Ansatz als mehrstufiges Sicherheitskonzept:

a) Beschreiben Sie die drei Hauptverteidigungslinien in einem typischen Netzwerk und deren jeweilige Aufgaben. (4 Punkte)

b) Erklären Sie die Analogien der Sicherheitszwiebel und der Sicherheitsartischocke. Welche unterschiedliche Aussage machen diese beiden Modelle über moderne Netzwerksicherheit? (4 Punkte)

Aufgabe A2: Defense-in-Depth-Strategien (8 Punkte)

Ordnen Sie den folgenden Beschreibungen die korrekten Defense-in-Depth-Strategien zu und begründen Sie Ihre Zuordnung:

Beschreibung Strategie Begründung
Ein Unternehmen nutzt verschiedene Verschlüsselungsalgorithmen und Authentifizierungssysteme von verschiedenen Herstellern.
Die Personalabteilung hat Zugriff nur auf die für ihre Arbeit erforderlichen Daten und Systeme.
Fehlermeldungen zeigen keine technischen Details über das verwendete Betriebssystem.
Ein Sicherheitssystem besteht aus mehreren übereinander gelagerten Schutzmaßnahmen.

Optionen: Layering | Limiting | Diversity | Obscuring | Simplicity

(8 Punkte)

Aufgabe A3: Netzwerksegmentierung - VLANs (7 Punkte)

a) Definieren Sie, was ein VLAN ist, und grenzen Sie es vom traditionellen LAN ab. (3 Punkte)

b) Ein Unternehmen möchte seine Personalabteilung (HR) wegen sensibler Daten vom Rest des Netzwerks isolieren. Erklären Sie, wie VLANs diese Anforderung erfüllen und welche technische Komponente (z.B. Trunks) dabei eine Rolle spielt. (4 Punkte)

Aufgabe A4: Demilitarisierte Zonen (DMZ) (7 Punkte)

a) Erläutern Sie, was eine DMZ ist und in welchem Kontext sie zwischen dem privaten Netzwerk und dem Internet positioniert ist. (3 Punkte)

b) Ordnen Sie die vier Risikozonen einem Vertrauenslevel (hoch/Mittel/niedrig) zu:

  • LAN-Zone: Risiko: _____ | Vertrauen: _____
  • Extranet-Zone: Risiko: _____ | Vertrauen: _____
  • DMZ: Risiko: _____ | Vertrauen: _____
  • Internet: Risiko: _____ | Vertrauen: _____

(4 Punkte)

TEIL B: ACCESS CONTROL LISTS - THEORETISCHE GRUNDLAGEN (25 Punkte)

Aufgabe B1: ACL-Grundlagen (8 Punkte)

a) Erklären Sie, was eine Access Control List (ACL) ist und welche Funktion sie im Netzwerk erfüllt. Verwenden Sie dabei das Analogiebild aus dem Unterrichtsmaterial (Wachposten bei gesichertem Gelände). (4 Punkte)

b) Was ist ein ACE (Access Control Entry) und wie unterscheidet sich die Abarbeitung von ACLs von sequenziellen Verarbeitungsprozessen? (4 Punkte)

Aufgabe B2: ACL-Verarbeitung und Schichtkonzept (9 Punkte)

Ein Administrator konfiguriert eine Extended ACL auf einem Router mit dem Ziel, HTTP-Traffic zu filtern.

a) Erklären Sie die Schrittfolge beim Abarbeiten von ACL-Operationen. Was passiert, wenn keiner der ACL-Einträge zutrifft? (3 Punkte)

b) Erläutern Sie, warum für jedes Interface eigene ACLs definiert werden (können). Gehen Sie dabei auf die Unterscheidung zwischen Inbound- und Outbound-Interfaces ein. Nutzen Sie ein praktisches Beispiel zu "Surfing & Browsing". (4 Punkte)

c) Auf welcher Schicht des OSI-Modells arbeitet ACL-Filterung primär und welche Header-Informationen werden dabei herangezogen? (2 Punkte)

Aufgabe B3: Wildcard Masking (8 Punkte)

a) Erklären Sie das Konzept der Wildcard Mask und warum es sich vom Subnetting unterscheidet. Besonderheit: Wie ist die Bedeutung der Bits invertiert? (4 Punkte)

b) Geben Sie die passende Wildcard Mask für folgende Szenarien an:

  • Szenario 1: Eine ACL soll alle Hosts im Bereich 192.168.16.0 bis 192.168.31.0 (16 Subnetze à /24) matchen.
    Wildcard Mask: ___________________

  • Szenario 2: Eine ACL soll nur einen einzelnen Host (192.168.1.100) matchen.
    Wildcard Mask: ___________________ oder Keyword: ___________

  • Szenario 3: Eine ACL soll alle IPv4-Adressen zulassen.
    Keyword: ___________

(4 Punkte)

TEIL C: PRAKTISCHE ACL-AUFGABEN (30 Punkte)

Aufgabe C1: ACL-Konfiguration - Standard ACL (10 Punkte)

Ein Router (R1) mit der IP 10.0.1.1/24 soll konfiguriert werden. Das Management-Netzwerk (10.0.2.0/24) darf nur von Administratoren aus dem Netzwerk 10.0.3.0/24 erreichbar sein.

a) Definieren Sie eine Numbered Standard IPv4 ACL (ACL 50), die diese Anforderung erfüllt. (4 Punkte)

b) Geben Sie an, wie diese ACL auf einem Interface (Fa0/0) konfiguriert wird, und begründen Sie Ihre Wahl zwischen inbound und outbound. (3 Punkte)

c) Was ist eine Limitierung von Standard ACLs? (3 Punkte)

Aufgabe C2: ACL-Konfiguration - Extended ACL (10 Punkte)

Ein Unternehmen möchte folgende Sicherheitsrichtlinie implementieren:

  • HTTP-Traffic (Port 80) aus dem internen Netzwerk (192.168.1.0/24) ins Internet ist erlaubt
  • HTTPS-Traffic (Port 443) ist ebenfalls erlaubt
  • Alle anderen Verbindungen ins Internet sind gesperrt
  • Bereits etablierte Verbindungen vom Internet zurück ins interne Netz werden akzeptiert

a) Konfigurieren Sie eine Named Extended IPv4 ACL mit dem Namen "INTERNET_ACCESS", die diese Anforderung erfüllt. (5 Punkte)

b) Erklären Sie die Verwendung des Keyword "established" in dieser ACL und warum es wichtig ist. (3 Punkte)

c) Auf welchem Interface und in welcher Richtung würde diese ACL typischerweise angewendet werden? Begründen Sie. (2 Punkte)

Aufgabe C3: Fehleranalyse und Optimierung (10 Punkte)

Eine vorhandene ACL ist fehlerhaft konfiguriert:

interface FastEthernet0/1
 ip access-group 100 in
!
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 permit icmp any any
access-list 100 deny tcp any any eq 22

a) Analysieren Sie diese ACL und identifizieren Sie mindestens zwei Probleme. (4 Punkte)

b) Erklären Sie, warum die letzte Regel (deny tcp any any eq 22) möglicherweise nicht wie intendiert funktioniert. (3 Punkte)

c) Erstellen Sie eine korrigierte Version dieser ACL mit Verbesserungen. (3 Punkte)

TEIL D: ANWENDUNGSORIENTIERTE SZENARIO-AUFGABE (15 Punkte)

Aufgabe D1: Netzwerkarchitektur und Sicherheit

Ein mittelständiges Unternehmen plant folgende Netzwerkarchitektur:

Szenario:

  • LAN (intern): 192.168.1.0/24 (Bürobereich)
  • HR-Abteilung: 192.168.2.0/24 (sensible Daten)
  • Produktionsbereich: 192.168.10.0/24 (operative Systeme)
  • DMZ: 172.16.0.0/24 (Webserver, Mailserver)
  • Internet: 0.0.0.0/0

Das Unternehmen möchte:

  1. Das HR-Netzwerk vom Rest des LAN isolieren
  2. Produktionssysteme sollten nur mit autorisierten Ressourcen kommunizieren
  3. Die DMZ ist erreichbar vom Internet, aber kann nur begrenzt auf LAN-Ressourcen zugreifen
  4. Ein Monitoring-System (192.168.1.50) muss alle Netze erreichen können

Aufgabe:

a) Skizzieren Sie die Netzwerktopologie und zeigen Sie auf, wo Sie VLANs einsetzen würden und wo zusätzliche ACLs notwendig sind. (5 Punkte)

b) Entwerfen Sie eine Extended ACL für die DMZ, die:

  • HTTP(S)-Traffic von außen ins Internet erlaubt
  • Nur etablierte Verbindungen ins Produktionsnetz zulässt
  • Alle anderen Zugriffe auf das LAN verweigert

(Verwenden Sie Named ACL-Syntax) (5 Punkte)

c) Begründen Sie, warum VLANs allein nicht ausreichend sind und zusätzliche ACLs erforderlich sind. (5 Punkte)

TEIL E: REFLEXION UND TRANSFER (Bonus: +5 Punkte)

Bonus-Aufgabe: Sicherheitsanalyse

Bewerten Sie folgende Aussage kritisch:

"ACLs sind der einzige Schutzmechanismus, den ein Unternehmen zur Netzwerksicherung benötigt."

Beziehen Sie sich dabei auf den Defense-in-Depth-Ansatz und nennen Sie mindestens drei weitere Sicherheitsmaßnahmen, die notwendig sind.

(+5 Punkte)

ERWARTUNGSHORIZONT UND LÖSUNGEN

TEIL A: THEORETISCHE GRUNDLAGEN (30 Punkte)

Lösung A1: Defense-in-Depth-Ansatz (8 Punkte)

a) Drei Hauptverteidigungslinien (4 Punkte):

  • Edge-Router (1. Verteidigungslinie): Erste Filterung von Datenverkehr am Netzwerkrand. Regeln zur Zulassung/Verweigerung von Datenverkehr. Weiterleitung ins interne Netzwerk nur an autorisierte Ziele. (1 Punkt)

  • Firewall (2. Verteidigungslinie): Stateful Inspection von Verbindungen. Blockiert initiierte Verbindungen von extern nach intern. Authentifizierung externer Benutzer (Proxy). Verfolgung von Verbindungsstatus. (1.5 Punkte)

  • Interner Router (3. Verteidigungslinie): Finale Filterung vor Zielressourcen. Grenzt interne Netzbereiche ab. Kontrolliert Zugriff zu sensiblen Bereichen. Anwendung endgültiger Filterregeln. (1.5 Punkte)

Bewertung: Alle drei Linien mit korrekten Aufgaben vollständig beschrieben = 4 Punkte; zwei korrekt beschrieben = 2-3 Punkte; ein oder weniger = 0-1 Punkte.

b) Sicherheitszwiebel vs. Sicherheitsartischocke (4 Punkte):

  • Sicherheitszwiebel: Sequentielles Modell, alle Schichten müssen penetriert werden. Jede Schicht verstärkt die vorherige. Traditioneller Perimeterschutz. Annahme von starkem Außenschutz und Vertrauen innen. (2 Punkte)

  • Sicherheitsartischocke: Modernes Modell für grenzenlose Netzwerke. Angreifer können einzelne "Blätter" (Endpunkte wie mobile Geräte) kompromittieren, ohne die Außenschicht vollständig zu durchdringen. Zeigt, dass innere Blätter oft schlecht geschützt sind. Verdeutlicht, dass Insider-Bedrohungen und Endpoint-Kompromittierung kritisch sind. (2 Punkte)

Bewertung: Beide Konzepte mit klarem Unterschied = 4 Punkte; ein Konzept unvollständig = 2-3 Punkte.

Lösung A2: Defense-in-Depth-Strategien (8 Punkte)

Beschreibung Strategie Begründung
Ein Unternehmen nutzt verschiedene Verschlüsselungsalgorithmen und Authentifizierungssysteme von verschiedenen Herstellern. Diversity Unterschiedliche Technologien/Hersteller verhindern, dass eine Schwachstelle das gesamte System gefährdet
Die Personalabteilung hat Zugriff nur auf die für ihre Arbeit erforderlichen Daten und Systeme. Limiting Principle of Least Privilege: Minimale Zugriffsrechte für notwendige Aufgaben
Fehlermeldungen zeigen keine technischen Details über das verwendete Betriebssystem. Obscuring Verstecken von Systeminformationen erschwert Reconnaissance-Attacken
Ein Sicherheitssystem besteht aus mehreren übereinander gelagerten Schutzmaßnahmen. Layering Mehrschichtiger Ansatz mit verschiedenen Ebenen

Bewertung: Alle vier korrekt mit stichhaltige Begründung = 8 Punkte; 3 korrekt = 6 Punkte; 2 korrekt = 4 Punkte; 1 korrekt = 2 Punkte.

Lösung A3: Netzwerksegmentierung - VLANs (7 Punkte)

a) Definition und Abgrenzung (3 Punkte):

Ein VLAN (Virtual Local Area Network) ist eine logische Gruppierung von Netzwerkgeräten innerhalb eines Switches oder über mehrere Switches hinweg. (1 Punkt)

Unterschiede zum traditionellen LAN:

  • VLANs basieren auf logischen Verbindungen, LANs auf physischen Verbindungen (0.5 Punkte)
  • Geräte in einem VLAN können physisch an verschiedenen Switches hängen, verhalten sich aber wie im eigenen Netzwerk (0.5 Punkte)
  • Verschiedene VLAN-Member im selben Switch können gemeinsame Infrastruktur teilen (1 Punkt)

b) HR-Isolation durch VLANs (4 Punkte):

  • VLANs ermöglichen Isolation der HR-Abteilung auf Schicht 2/3. (1 Punkt)
  • HR-Geräte werden einem separaten VLAN zugewiesen (z.B. VLAN 20). (0.5 Punkte)
  • Broadcast-Traffic wird begrenzt; HR-Verkehr erreicht nicht automatisch andere Abteilungen. (0.5 Punkte)
  • Trunks verbinden mehrere Switches und ermöglichen, dass HR-Geräte an verschiedenen physischen Switches hängen können, bleiben aber im selben VLAN. (1 Punkte)
  • Zusätzliche Router-ACLs oder Firewall-Regeln kontrollieren den Verkehr zwischen VLANs. (1 Punkt)

Bewertung: a) Alle Aspekte = 3 Punkte; 2 Aspekte = 2 Punkte. b) Vollständig mit Trunks = 4 Punkte; ohne Trunks-Erwähnung = 2-3 Punkte.

Lösung A4: Demilitarisierte Zonen (DMZ) (7 Punkte)

a) Definition und Positionierung (3 Punkte):

Eine DMZ (Demilitarisierte Zone) ist ein kleines, separates Netzwerk zwischen dem vertrauenswürdigen privaten Netzwerk (LAN) und dem nicht vertrauenswürdigen WAN (Internet). (1.5 Punkte)

Öffentlich verfügbare Ressourcen (Webserver, Mailserver, DNS) werden in der DMZ platziert. (0.75 Punkte)

Dies ermöglicht Zugriff von außen, ohne das interne LAN zu kompromittieren. (0.75 Punkte)

b) Risikozonen und Vertrauensstufen (4 Punkte):

  • LAN-Zone: Risiko: gering | Vertrauen: hoch
  • Extranet-Zone: Risiko: mittelhoch | Vertrauen: mittelhoch
  • DMZ: Risiko: hoch | Vertrauen: niedrig/mittelniedrig
  • Internet: Risiko: sehr hoch | Vertrauen: sehr niedrig/keine

(0.5 Punkte pro korrekte Zone × 4 = 2 Punkte)

Bewertung: Alle vier korrekt = 2 Punkte; 3 korrekt = 1.5 Punkte; 2 korrekt = 1 Punkt.

TEIL B: ACCESS CONTROL LISTS - THEORETISCHE GRUNDLAGEN (25 Punkte)

Lösung B1: ACL-Grundlagen (8 Punkte)

a) ACL-Definition und Analogie (4 Punkte):

Eine Access Control List (ACL) ist eine Liste von Regeln (ACEs), die auf einem Router konfiguriert wird, um Netzwerkverkehr basierend auf Header-Informationen zu filtern. (1.5 Punkte)

Analogie: Wie ein Wachposten an einem gesicherten Gelände, der Personen anhand einer genehmigten Besucherliste kontrolliert und entscheidet, wer eintreten/verlassen darf, filtern ACLs Pakete anhand ihrer Source/Destination IP, Ports und Protokolle. (1.5 Punkte)

Funktionalität: ACLs ermöglichen oder verweigern den Durchgang von Paketen basierend auf Regeln. (1 Punkt)

b) ACE und Abarbeitung (4 Punkte):

Ein ACE (Access Control Entry) ist eine einzelne Regel innerhalb einer ACL, z.B. "permit tcp 192.168.1.0 0.0.0.255 any". (1 Punkte)

Abarbeitung: ACLs werden sequenziell von oben nach unten abgearbeitet. (1 Punkt) Sobald ein Paket auf eine Regel passt, wird die Aktion (permit/deny) sofort ausgeführt und die restlichen Regeln werden nicht weiter geprüft (First-Match-Prinzip). (1 Punkt)

Im Gegensatz zu Firewall-Regeln, die alle Regeln evaluieren können. (1 Punkt)

Bewertung: Alle Aspekte vollständig = 4 Punkte; Missing First-Match-Prinzip = 2-3 Punkte.

Lösung B2: ACL-Verarbeitung und Schichtkonzept (9 Punkte)

a) ACL-Abarbeitung (3 Punkte):

  1. Paket trifft auf die Interface ein. (0.5 Punkte)
  2. Router prüft sequenziell die ACL-Einträge von oben nach unten. (0.5 Punkte)
  3. Beim ersten Match (Übereinstimmung) wird die Aktion (permit/deny) sofort ausgeführt. (0.75 Punkte)
  4. Implicit Deny: Wenn kein ACL-Eintrag zutrifft, wird das Paket standardmäßig verworfen (denied). (0.75 Punkte)

Hinweis: Schüler sollten erwähnen, dass eine explizite "permit any any" am Ende notwendig ist, um traffic zu erlauben.

Bewertung: Implicit Deny erwähnt = 3 Punkte; ohne Implicit Deny = 2 Punkte.

b) Interface-spezifische ACLs, Inbound/Outbound (4 Punkte):

Jedes Interface kann unterschiedliche Anforderungen haben und muss daher eigene Regeln haben. (1 Punkt)

  • Inbound-ACL: Filtert Verkehr, der das Interface eingehend erreicht. (0.75 Punkte)
  • Outbound-ACL: Filtert Verkehr, der das Interface verlässt. (0.75 Punkte)

Praktisches Beispiel "Surfing & Browsing":

  • Intern (Inbound auf WAN-Interface): Client sendet HTTP-Request (Port 80) aus → Permit mit established-Flag. (0.75 Punkte)
  • Extern (Outbound auf WAN-Interface): Server antwortet mit HTTP-Response → Permit wegen established-Connection. (0.75 Punkte)

Gesamtbewertung: Korrekte Unterscheidung mit Beispiel = 4 Punkte; ohne Beispiel = 2-3 Punkte.

c) OSI-Schicht und Header-Informationen (2 Punkte):

ACLs arbeiten primär auf Schicht 3-4 (Netzwerk- und Transportschicht) oder können auch auf Schicht 2 durchgreifen. (1 Punkt)

Header-Informationen: Quell-/Ziel-IP-Adressen (L3), Quell-/Ziel-Ports (L4), Protokolltyp (TCP/UDP/ICMP). (1 Punkt)

Bewertung: Layer 3-4 mit korrekte Infos = 2 Punkte; nur Layer 3 = 1 Punkt.

Lösung B3: Wildcard Masking (8 Punkte)

a) Wildcard Mask-Konzept (4 Punkte):

Eine Wildcard Mask ist eine Bit-Maske, die definiert, welche Bits einer IP-Adresse bei der Regel-Filterung beachtet (0) oder ignoriert (1) werden. (1 Punkt)

Unterschied zum Subnetting:

  • Im Subnetting bedeutet 0 = "gehört zum Netz", 1 = "Host-Adresse".
  • Bei Wildcard Mask: 0 = beachten, 1 = ignorieren (invertiert/umgekehrt). (1.5 Punkte)

Beispiel: 0.0.15.255 für Netzbereich 192.168.16.0 bis 192.168.31.0:

  • Die letzten 4 Bits des 3. Oktetts sind 1 (0...1111), also 16 Subnetze (2^4). (1.5 Punkte)

Bewertung: Inversion erklärt mit korrektem 0/1-Verständnis = 4 Punkte; nur partiell = 2-3 Punkte.

b) Wildcard Masking Szenarien (4 Punkte):

  • Szenario 1 (192.168.16.0 bis 192.168.31.0):

    • Wildcard Mask: 0.0.15.255 (1.5 Punkte)
    • Erklärung: 15 = 0000 1111 im 3. Oktett = letzten 4 Bits ignorieren = 2^4 = 16 Subnetze

  • Szenario 2 (Single Host 192.168.1.100):

    • Wildcard Mask: 0.0.0.0 (0.75 Punkte) ODER Keyword: host (0.75 Punkte)

  • Szenario 3 (Alle IPv4-Adressen):

    • Keyword: any (1 Punkt)

Bewertung: Alle drei korrekt = 4 Punkte; zwei korrekt = 2.5 Punkte; eine korrekt = 1.5 Punkte.

TEIL C: PRAKTISCHE ACL-AUFGABEN (30 Punkte)

Lösung C1: Standard ACL (10 Punkte)

a) Numbered Standard IPv4 ACL 50 (4 Punkte):

access-list 50 permit 10.0.3.0 0.0.0.255
access-list 50 deny any

oder

access-list 50 permit 10.0.3.0 0.0.0.255

(2 Punkte für permit-Regel mit korrekter Wildcard, 2 Punkte für deny any oder Erwähnung von Implicit Deny)

Bewertung:

  • Korrekte Syntax + Wildcard = 4 Punkte
  • Syntax falsch aber Konzept richtig = 2-3 Punkte
  • Nur Ansatz erkennbar = 1-2 Punkte

b) Interface-Konfiguration (3 Punkte):

interface FastEthernet0/0
 ip access-group 50 in

oder

interface FastEthernet0/0
 ip access-group 50 out

Begründung inbound (in): Traffic, das von außen kommt und zum Management-Netzwerk geht, wird gefiltert. (1.5 Punkte)

Oder Begründung outbound (out): Falls die Regel am Ausgangsinterface zur Quelle hin angewendet werden soll.

(1.5 Punkte Syntax, 1.5 Punkte Begründung)

c) Limitierung von Standard ACLs (3 Punkte):

Standard ACLs können nur auf Quell-IP-Adressen filtern, nicht auf Ziel-IPs, Ports oder Protokolle. (2 Punkte)

Dies ist zu grob für granulare Filterung. Man benötigt Extended ACLs für präzise Kontrolle. (1 Punkt)

Bewertung: Limitation korrekt erkannt = 3 Punkte; unvollständig = 1-2 Punkte.

Lösung C2: Extended ACL (10 Punkte)

a) Named Extended IPv4 ACL (5 Punkte):

ip access-list extended INTERNET_ACCESS
 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 permit tcp any any established
 deny ip any any

oder mit inbound established:

ip access-list extended INTERNET_ACCESS
 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 deny ip any any

(Die established-Regel auf der Gegenseite oder inbound)

Bewertung:

  • Korrekte Named ACL mit allen 4 Regeln = 5 Punkte
  • 3 von 4 Regeln korrekt = 3-4 Punkte
  • Syntax-Fehler aber Konzept richtig = 3-4 Punkte
  • Unvollständig = 1-2 Punkte

b) Keyword "established" (3 Punkte):

Das Keyword established filtert auf das ACK- und RST-Flag im TCP-Header. (1.5 Punkte)

Es erlaubt Rückverkehr von bereits initiierten Verbindungen. Ohne established würden Antworten vom Internet (z.B. Webserver-Responses) blockiert werden. (1.5 Punkte)

Bewertung: Beide Aspekte = 3 Punkte; Flag-Erwähnung = 2.5 Punkte; unvollständig = 1-2 Punkte.

c) Interface und Richtung (2 Punkte):

Diese ACL würde typischerweise auf dem Internet-/WAN-Interface in Outbound-Richtung (out) angewendet. (1 Punkt)

Begründung: Sie filtert Verkehr, der nach außen/ins Internet geht. Inbound würde erst Responses von außen filtern. (1 Punkt)

Bewertung: Korrekt = 2 Punkte; teilweise = 1 Punkt.

Lösung C3: Fehleranalyse und Optimierung (10 Punkte)

a) Zwei Probleme identifizieren (4 Punkte):

Problem 1 - Reihenfolge: ICMP ist vor dem expliziten deny für SSH. Wenn ICMP permit ist, ist die Reihenfolge für SSH-Deny weniger kritisch, aber besser spezifische Regeln oben. (1.5 Punkte)

Problem 2 - Implicit Deny am Ende: Nach der expliziten deny ssh-Regel gibt es implizite deny für alle anderen Protokolle, was erwünscht sein kann, aber bei http/https fehlenden Permit ist dies zu restriktiv. (1.5 Punkte)

Oder: Problem - HTTP/HTTPS nicht bei bestimmter Quelle limitiert: Die Regeln erlauben HTTP/HTTPS von überall, nicht nur von internem Netz.

Oder - fehlende Antworten: Die deny-Regeln für SSH könnten Rückverkehr blockieren.

(Akzeptable Probleme: Reihenfolge, fehlende Source-Limitation, fehlende etablished-Flag, 2x 2 Punkte)

b) Warum die letzte Rule möglicherweise nicht wirkt (3 Punkte):

Die deny tcp any any eq 22 Regel ist zu allgemein und kann nicht für alle TCP-Quellen und Ziele verwendet werden, wenn nicht spezifisch konfiguriert. (1 Punkt)

Zudem: Wenn eine permit tcp any any Regel ohne Port-Limitation vorangeht, wird diese zuerst gematcht. (1 Punkt)

First-Match-Prinzip: Die erste passende Regel wird angewendet, spätere werden ignoriert. (1 Punkt)

c) Korrigierte Version (3 Punkte):

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 100 permit icmp any any
access-list 100 permit tcp any any established
access-list 100 deny tcp any any eq 22
access-list 100 deny ip any any

oder Named:

ip access-list extended CORRECTED_ACL
 permit tcp 192.168.1.0 0.0.0.255 any eq 80
 permit tcp 192.168.1.0 0.0.0.255 any eq 443
 permit icmp any any
 permit tcp any any established
 deny tcp any any eq 22
 deny ip any any

(Kriteria: Korrekte Reihenfolge, established-Flag, explizite Deny am Ende = 3 Punkte; zwei Punkte erfüllt = 2 Punkte)

TEIL D: ANWENDUNGSORIENTIERTE SZENARIO-AUFGABE (15 Punkte)

Lösung D1: Netzwerkarchitektur und Sicherheit

a) Netzwerk-Topologie und VLAN/ACL-Platzierung (5 Punkte):

Topologie-Beschreibung sollte enthalten:

Internet (0.0.0.0/0)
    |
Firewall + Edge-Router
    |
+---+---+---+---+
|   |   |   |   |
LAN DMZ HR  PROD

(1 Punkt für Grundstruktur)

  • VLAN-Einsatz:

    • HR (192.168.2.0/24) in separates VLAN 20 (0.5 Punkte)
    • Produktionssysteme in VLAN 30 (0.5 Punkte)
    • DMZ in VLAN 100 (0.5 Punkte)

  • ACL-Platzierung:

    • Zwischen VLANs auf Router/L3-Switch mit ACLs (1 Punkt)
    • DMZ-Filter für Ein-/Ausgang (0.5 Punkte)
    • Monitoring-System mit separaten Permit-Regeln (0.5 Punkte)

(Total: 5 Punkte für vollständige Beschreibung mit korrekten Begründungen)

b) Extended ACL für DMZ (5 Punkte):

ip access-list extended DMZ_INBOUND
 permit tcp any any eq 80
 permit tcp any any eq 443
 permit tcp any any established
 deny tcp any 192.168.1.0 0.0.0.255
 deny tcp any 192.168.2.0 0.0.0.255
 deny tcp any 192.168.10.0 0.0.0.255
 permit tcp any 172.16.0.0 0.0.0.255
 deny ip any any

oder für ausgehend (Outbound):

ip access-list extended DMZ_OUTBOUND
 permit tcp 172.16.0.0 0.0.0.255 any eq 80
 permit tcp 172.16.0.0 0.0.0.255 any eq 443
 permit tcp any any established
 deny tcp 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
 deny tcp 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit tcp 172.16.0.0 0.0.0.255 192.168.10.0 0.0.0.255 established
 deny ip any any

Bewertung:

  • Named ACL mit korrekten Permit/Deny-Regeln = 5 Punkte
  • HTTP(S)-Traffic erlaubt, interne LANs gesperrt = 4 Punkte
  • Verständnis vorhanden, Syntax teilweise falsch = 3 Punkte
  • Grundkonzept erkennbar = 2 Punkte

c) Begründung: VLANs + ACLs notwendig (5 Punkte):

  • VLANs allein begrenzen nur Broadcast-Traffic auf Schicht 2. Sie filtern nicht selektiv Unicast-Verkehr. (1.5 Punkte)

  • Inter-VLAN-Routing: VLANs müssen durch Router verbunden sein, um zu kommunizieren. Hier greife ACLs ein. (1 Punkte)

  • Granulare Kontrolle: ACLs ermöglichen Filterung auf Basis von Quell-/Ziel-IPs, Ports und Protokollen. VLANs können das nicht. (1 Punkte)

  • Defense-in-Depth: Schichtung (Layering) bedeutet mehrere Sicherheitsebenen. VLANs + ACLs + Firewall zusammen. (1.5 Punkte)

Bewertung: Alle Punkte = 5 Punkte; 3 Punkte = 4 Punkte; 2 Punkte = 3 Punkte; 1 Punkt = 1-2 Punkte.

TEIL E: REFLEXION UND TRANSFER - BONUS (Bonus: +5 Punkte)

Lösung Bonus-Aufgabe: Sicherheitsanalyse (+5 Punkte)

Kritische Bewertung der Aussage:

Die Aussage ist False / Falsch.

Begründung:

  1. Defense-in-Depth-Prinzip: Das Unterrichtsmaterial zeigt klar, dass Sicherheit aus mehreren Schichten besteht (Edge-Router, Firewall, Interner Router, ACLs). ACLs sind nur eine Komponente. (1 Punkt)

  2. ACLs schützen nur auf Schicht 3-4: Sie filtern IP/Port-basiert, schützen aber nicht vor:

    • Malware auf Endpoints (0.75 Punkte)
    • Application-Layer-Angriffen (z.B. SQL-Injection, XSS) (0.75 Punkte)
    • Fehlkonfiguration oder Insider-Bedrohungen (0.75 Punkte)

  3. Weitere notwendige Sicherheitsmaßnahmen (mind. 3):

    • Firewall (Stateful Inspection, Application-Layer-Filtering) (0.75 Punkte)
    • IPS/IDS (Intrusion Prevention/Detection Systems) (0.75 Punkte)
    • Endpoint-Protection (Antivirus, EDR) (0.75 Punkte)
    • VLANs/Netzwerksegmentierung (Defense-in-Depth) (0.75 Punkte)
    • Authentication/Access Control (AAA, MFA) (0.75 Punkte)
    • Encryption (TLS, IPsec) (0.75 Punkte)
    • Monitoring & Logging (0.75 Punkte)
    • Patches & Updates (0.75 Punkte)

(Schüler müssen mindestens 3 weitere Maßnahmen nennen)

Bewertung:

  • Aussage korrekt als falsch bewertet + 3+ weitere Maßnahmen = 5 Punkte
  • Aussage korrekt + 2 weitere Maßnahmen = 4 Punkte
  • Aussage korrekt + 1 Maßnahme = 3 Punkte
  • Teilweise richtig = 2 Punkte

BEWERTUNGSVORSCHLAG UND PUNKTEVERGABE

Gesamtpunkte: 105 Punkte (100 + 5 Bonus)

Notengebung (Vorschlag für 60-Minuten-Klausur):

Erreichte Punkte Prozentual Note Beschreibung
94-105 90-100% 1 (sehr gut) Hervorragende Leistung, tiefes Verständnis
84-93 80-89% 2 (gut) Gute Leistung, sichere Kenntnisse
73-83 70-79% 3 (befriedigend) Befriedigende Leistung, grundlegende Kenntnisse
63-72 60-69% 4 (ausreichend) Ausreichende Leistung, minimale Anforderungen erfüllt
50-62 48-59% 5 (mangelhaft) Mangelnde Leistung, Defizite vorhanden
< 50 < 48% 6 (ungenügend) Ungenügende Leistung, wesentliche Defizite

Punktevergabe pro Aufgabenteil:

TEIL A (30 Punkte):

  • A1: 8 Punkte (Defense-in-Depth-Konzepte)
  • A2: 8 Punkte (Strategien)
  • A3: 7 Punkte (VLANs)
  • A4: 7 Punkte (DMZ)

TEIL B (25 Punkte):

  • B1: 8 Punkte (ACL-Grundlagen)
  • B2: 9 Punkte (Verarbeitung & Schichten)
  • B3: 8 Punkte (Wildcard Masking)

TEIL C (30 Punkte):

  • C1: 10 Punkte (Standard ACL)
  • C2: 10 Punkte (Extended ACL)
  • C3: 10 Punkte (Fehleranalyse)

TEIL D (15 Punkte):

  • D1: 15 Punkte (Szenario-Aufgabe, 3 Sub-Aufgaben à 5 Punkte)

TEIL E (Bonus: 5 Punkte):

  • Bonus: 5 Punkte (Reflexion & Transfer)

Bewertungs-Checkliste für Lehrkräfte:

Allgemeine Bewertungskriterien:

  • Fachliche Korrektheit
  • Vollständigkeit der Antworten
  • Strukturiertheit und Klarheit
  • Verwendung korrekter Terminologie
  • Praktisches Verständnis (nicht nur Auswendiglernen)
  • Transfer auf neue Situationen (besonders Teil D)

Spezifische Kriterien für Praktische Aufgaben (Teil C):

  • Korrekte ACL-Syntax
  • Logische Regel-Reihenfolge
  • Wildcard Masks korrekt berechnet
  • Begründungen nachvollziehbar
  • Alternative Lösungen akzeptiert (z.B. named vs. numbered)

Bonus-Kriterien:

  • Kritisches Denken erkennbar
  • Bezug zu Unterrichtsinhalten
  • Mindestens 3 weitere Sicherheitsmaßnahmen genannt
  • Schlüssige Argumentation

Differenzierungsmöglichkeiten:

Für leistungsstarke Schüler:

  • Erwarten Sie präzisere Formulierungen
  • Bonus-Punkte für elaborierte Erklärungen
  • Extended Scenarios (z.B. Multi-VLANs mit komplexeren ACL-Rules)

Für Schüler mit Schwierigkeiten:

  • Teilpunkte großzügiger vergeben
  • Akzeptieren Sie Konzept-Verständnis auch wenn Syntax nicht perfekt
  • Vereinfachte ACL-Szenarien (z.B. nur mit two rules)

Tippfehler & technische Hinweise:

  • Groß-/Kleinschreibung in ACL-Befehlen: CISCO-Syntax ist case-insensitive, aber Schüler sollten standard-Notation verwenden

  • Alternative Schreibweisen akzeptieren:

    • access-list oder ip access-list
    • permit/deny statt allow/block
    • IPv6-Varianten für Extended ACLs (z.B. ipv6 access-list)

  • Wildcards: Häufiger Fehler ist Verwechslung mit Subnetzmaske → explizit Punkte nur geben, wenn Inversion verstanden

SCHWERPUNKTE FÜR LEHRKRÄFTE

Häufige Schülerfehler:

  1. Verwechslung Wildcard-Maske mit Subnetzmaske → Inversion nicht beachtet
  2. Implicit Deny vergessen → ACLs, die unbeabsichtigt alles blocken
  3. Reihenfolge von ACL-Regeln ignoriert → First-Match-Prinzip nicht anwendet
  4. Standard vs. Extended ACL nicht differenzieren → Zu einfache Regeln für komplexe Anforderungen
  5. Established-Flag nicht korrekt einsetzen → Bidirektional Kommunikation wird blockiert

Unterrichtliche Follow-ups:

  • Diskussion realer Security Incidents, wo ACL-Misconfiguration eine Rolle spielte
  • Praktische Übungen in Cisco Packet Tracer mit Live-Feedback
  • Peer-Review von Schüler-ACL-Konfigurationen
  • Szenario-Spiele: "Security vs. Usability"

Stand: 02. Dezember 2025
Curriculum: Lernfeld 11b - Netzwerkverteidigung und Segmentierung
Ausbildungsjahr: 3. Lehrjahr Fachinformatiker/in - Systemintegration

Reference in New Issue View Git Blame Copy Permalink