Masterproef Cloud Security : Adaptive Firewall

Maat: px
Weergave met pagina beginnen:

Download "Masterproef Cloud Security : Adaptive Firewall"

Transcriptie

1 Masterproef Cloud Security : Adaptive Firewall Studiegebied Industriële wetenschappen en technologie Opleiding Master of Science in de industriële wetenschappen: Elektronica-ICT Afstudeerrichtingen Multimedia- en informatietechnologie Informatie- en communicatietechnologie Promotoren Prof. dr. ir. Jan Devos, Howest Prof. dr. ir. Sofie Van Hoecke, Howest Academiejaar Steven De Pryck Pieter Sijmons Howest departement Academische bachelor- en masteropleidingen, Graaf Karel de Goedelaan 5, 8500 Kortrijk

2 VOORWOORD i Voorwoord IT is meer dan enkel het gebruiken van een computer. Het is een idee, een manier van werken, een begrip dat verder gaat dan bits en bytes. Dat IT ons gebeten heeft is een feit. Na het bezoek aan het inmiddels vervolledigde data center van Terremark te Schiphol, was ook de cloud-microbe zich beginnen nestelen. Onze opleiding en gezonde interesse in het onderwerp zorgde voor een stevige basis voor het schrijven van deze masterproef. Dat en de hulp van een hoop personen natuurlijk. Graag willen wij iedereen bedanken die ons gesteund heeft tijdens het uitvoeren van deze masterproef. In het bijzonder onze promotoren, Jan Devos en Sofie Van Hoecke, welke ons hebben begeleid doorheen de ontwikkelingen. Vervolgens bedanken we graag Hans Ameel voor zijn gouden tip, waardoor onze masterproef een stevige vooruitgang boekte. Ook willen we onze familie, vrienden en vriendinnen bedanken voor de steun doorheen de realisatie van deze masterproef. In het bijzonder Sanne Naudts, Eva Gheysen, Ellen De Pryck, Marijke Ghesquiere, Heidi Willems, Jonathan De Berdt en Joris Van der Schoot. Tot slot een woord van dank aan onze studentenvereniging EcLipticA, voor de nodige ontspanning tijdens dit onderzoek. Steven De Pryck en Pieter Sijmons, juni 2012

3 TOELATING TOT BRUIKLEEN EN PUBLICATIE OP DSPACE ii Toelating tot bruikleen en publicatie op DSpace De auteur geeft de toelating deze scriptie, evenals alle nuttige en praktische informatie omtrent deze scriptie, op te nemen in een daartoe speciaal opgezette DSPace databank (http://dspace.howest.be) en deze databank via internet toegankelijk te maken voor alle mogelijke geïnteresseerden. De auteur geeft eveneens toelating de scriptietekst te gebruiken voor afgeleide producten, zoals daar zijn: abstractenverzamelingen en catalogi. Tenslotte geeft de auteur ook de toelating deze scriptie voor consultatie beschikbaar te stellen en delen van de scriptie te kopiëren voor persoonlijk gebruik. Elk ander gebruik valt onder de beperkingen van het auteursrecht, in het bijzonder met betrekking tot de verplichting de bron uitdrukkelijk te vermelden bij het aanhalen van resultaten uit deze scriptie. Steven De Pryck en Pieter Sijmons, juni 2012

4 Cloud Security: Adaptive Firewall door Steven De Pryck en Pieter Sijmons Scriptie ingediend tot het behalen van de academische graad van Master of Science in de Industriële Wetenschappen Elektronica-ICT: optie MIT, ICT Academiejaar Promotoren: dr. ir. J. Devos, dr. ir. S. Van Hoecke Hogeschool West-Vlaanderen Associatie Universiteit Gent Master Industriële Wetenschappen: Electronica-ICT Voorzitter: prof. ir. F. De Pauw Trefwoorden Cloud computing, Cloud security, Adaptive Firewall, Virtualisatie, Open vswitch, Packet analyse, Data beveiliging Samenvatting Voor de hedendaagse computergebruiker is cloud computing zeker geen onbekende meer. Het kan ook niet anders met karakteristieken zoals schaalbare rekenkracht, data overal-enaltijd bereikbaar en ongelimiteerde opslag. Traditioneel is een gebruiker zelf verantwoordelijk voor de veiligheid van zijn systeem en de bijhorende data, maar door gebruik te maken van een cloud-oplossing is deze verantwoordelijkheid deels doorgeschoven naar de cloud-aanbieder. In dit onderzoek wordt eerst nagegaan waar de hoofdprioriteit van cloud security ligt en dit vanuit twee standpunten, namelijk vanuit het oogpunt van de cloud-aanbieder en die van de cloud-gebruiker. Uit de praktijkvragen blijkt dat beide vooral belang hechten aan het veilig stellen van gegevens.

5 Na onderzoek binnen deze masterproef is er tot een alomvattende oplossing gekomen: een Adaptive Firewall die onafhankelijk van het te beveiligen systeem actief is. Dit is een firewall die zichzelf aanpast als een beveiligingsrisico wordt gedetecteerd en dit met voorgedefinieerde regels. Om dit doel te bereiken wordt nagegaan wat de beste topologie is voor dit systeem. Hieruit blijkt dat de Open vswitch aan alle noden voldoet om de software mogelijk te maken. De firewall-software is niet geïnstalleerd op de virtuele machine van de gebruiker maar op een aparte virtuele machine die onder het beheer van de cloud-aanbieder valt. De Adaptive Firewall luistert de communicatie af tussen de virtuele machine van de gebruiker en het internet. Indien de firewall een mogelijk beveiligingsrisico detecteert, verandert deze de netwerkinstellingen binnen de cloud zodat het beveiligingsrisico geneutraliseerd wordt. Op deze manier kan een cloud-aanbieder de veiligheid van zijn aanbod garanderen en dit ongeacht de kennis en mogelijkheden van individuele klanten.

6 Cloud Security: Adaptive Firewall Steven De Pryck, Pieter Sijmons Supervisor(s): dr. ir. J. Devos, dr. ir. S. Van Hoecke Abstract Today, different kinds of services and applications are migrating to the cloud. Both the cloud provider and the cloud user ask questions about the security and emphasize the requirement of a secure environment. A comprehensive solution to guarantee this security has been created, namely an Adaptive Firewall. Keywords Cloud computing, Cloud security, Adaptive Firewall, Virtualisation, Open vswitch, Packet analysis, Data security I. INTRODUCTION Cloud computing [1] is certainly not a closed book for today s computer user. This is mainly due to characteristics such as scalable processing power, data being everywhere-and-always accessible and unlimited storage. Traditionally, a user is personally responsible for the security of his own systems and the associated data. By using a cloud solution, this responsibility is partly shifted to the cloud provider [2]. This study first verifies what the main priority of cloud security is, by exploring this from two different angles: i.e. from the perspective of the cloud provider and that of the cloud user. It appears that securing data is most important to them [3]. II. DESIGN is detected and it will counter this risk according to predefined rules. III. IMPLEMENTATION To allow the Adaptive Firewall to scan network data send from and to the clients, the internal data network has to be manageable trough a virtual switch. This switch will send a copy of the data from the clients to the virtual machine where the Adaptive Firewall software is installed. The software will be able to detect and analyze the data stream. If it detects a potential security risk, it dynamically adapts the network settings in the virtual switch for further data packets. Hence, the security issues will be neutralized. The best topology for achieving this goal has been examined. It appears that the use of the Open vswitch (OVS) software is best suited. This open software runs on a variety of Linux distributions. Based on the fact that this software runs inside a virtual machine, there is no limitation as to the choice of hypervisor or cloud architecture. The virtual machine can easily be transferred and duplicated to enable scalability of the cloud network. To create a secure environment in the cloud, the entire approach of the current firewall systems should be revised [4]. The firewall needs to recognize the user and its application instead of only providing raw packet inspection for each IP address [5]. The reason is that cloud services are typically offered within a browser environment. Therefore, nearly all data is going through port 80 and 443, as a browser typically uses the HTTP and HTTPS protocols. Chris King: Basically, if you keep Port 80 open, you are allowing anything through [5]. Traditionally, if a malicious cloud application is detected and must be stopped, port 80 will be blocked. The result will be the blocking of almost all other cloud applications. This is not the intention and highlights the need for an evolution in the operation of the firewall. A recognition system [6] to detect applications is part of the solution. After research into different strategies to accomplish this evolution and develop a secure environment, a comprehensive solution has been found: the Adaptive Firewall. This firewall runs independent of the system that needs protection. Therefore, the firewall software is not installed on the virtual machine of the client, but on a separate virtual machine, managed by the cloud provider. This firewall adapts itself whenever a security risk Fig. 1. Topology In this study, the Open vswitch software runs inside an Ubuntu virtual machine, as pictured in figure 1. This creates a bridge

7 br0 as a virtual switch, connecting the virtual machines of the clients (VM1 and VM2), the private cloud network and the Adaptive Firewall virtual machine. The virtual machine of the client (for instance VM1 or VM2) can also be deployed outside the Ubuntu virtual machine and take full advantage of the cloud features. The configuration of the OVS is managed by the Adaptive Firewall through the OpenFlow [3] network. This enables the creation of rules inside the virtual switch, which will allow or deny certain data traffic from and to the virtual machines of the clients. The software should be as efficient and as user friendly as possible, resulting in research on the speed of the used algorithms. The adaptive firewall software is divided into five sections: Packet capture, Packet reconstruction, Machine Learning, Realtime application detection and reconfiguration of the OVS. Each section requires a study how existing software implements specific problems and a verification what the current state of the art is. The biggest challenge of the software is the recognition system. This system is established by using pattern analysis. The software will save the generated network patterns for a specific application. As a result, an application can be recognized by its generated network patterns. IV. PROOF OF CONCEPTS To verify the effectiveness of the created Adaptive Firewall, two cases are defined: allow all, block some and block all, allow some. In the case Allow all, block some, the firewall is configured to allow all data traffic, except for the predefined applications. A practical example is a manager who will not allow his employees to use Facebook on company computers. Thereby all the VMs from this customer need to block all trafic from and to Facebook. The case Block all, allow some will block all traffic except the authorized programs, websites or situations. A practical example is a university open day where every computer will grant access to only the website of the university itself. A second example is a library that will only allow its online catalog on their computers. V. RESULTS During the implementation of the proof of concept and the case Allow all, block some, it became clear that the firewall detects unauthorized applications from the moment they start sending traffic. However, new rules for the virtual switch still needs to be imposed in order to block this disallowed application. Therefore a small amount of unauthorized data will be received on the user s machine. This is the data necessary for the detection of the application. Research shows that an average of 20 bytes of data is passed through before the firewall blocks the application. In the case Block all, allow some, the firewall detects the allowed data traffic when a user starts an approved application. Because the firewall first needs to analyze this data before the permitted application will be detected and therefore new rules to the virtual switch can impose, some delay is visible. Once the firewall rule is configured inside the virtual switch, this delay does not exists anymore. These use cases represent the choice between a safer but slower system or a system with no delays where some unfiltered data can get through. VI. CONCLUSION To ensure the safety of user data in the cloud, it must be controlled from the source. This is only possible if the network connections created by the application are monitored. By only allowing autohorized applications to have network connectivity, the risk of viruses and hacking are drastically reduced and the data security is increased. The Adaptive Firewall created within this study works independent of the protected system and detects (authorized or unauthorized) applications through pattern recognition. The firewall works specifically for one secured machine and not for the entire network of the provider, allowing a different policy for each VM. The adaptive aspect of the firewall is achieved by the possibility to dynamically add rules in the virtual switch, based on the situation in the network. Only if certain data streams are detected, rules are programmed within the virtual switch. They expire after a given time, making the whole system dynamic. Because the Adaptive Firewall does not need to be installed on the machine of the user, the cloud provider can secure this machine against known viruses or malware. If the user does not have the resources or knowledge on how to install a firewall on his machine, it will be still protected. If the user has the knowledge, he can configure the Adaptive Firewall himself. In this way, a cloud provider can guarantee the safety of its service, regardless the knowledge and capabilities of individual clients. REFERENCES [1] P. Mell and T. Grance, The nist definition of cloud computing, Special Publication , pp. 1 7, 2011, National Institute of Standards and Technology Special Publication pages (September 2011). [2] G. Anthes, Security in the cloud, Communications of the Acm, vol. 53, no. 11, pp , 2010, Anthes, Gary. [3] McKeown N., T. Anderson, H. Balakrishnan, G. Parulkar, L. Peterson, and J. Rexford, Openflow: Enabling innovation in campus networks, [4] Gold Steve, The future of the firewall, Network Security, vol. 2011, no. 2, pp , [5] L. M. Kaufman, Data security in the world of cloud computing, Ieee Security & Privacy, vol. 7, no. 4, pp , 2009, Kaufman, Lori M. [6] J. Palika and M. Dayama, Intrusion detection and prevention system, International conference on Advanced Computing, Communication and Networks, vol. 11, pp , 2011, Palika, Jajoo Dayama, Meeta. [7] B. Grobauer, T. Walloschek, and E. Stocker, Understanding cloud computing vulnerabilities, Ieee Security & Privacy, vol. 9, no. 2, pp , 2011, Grobauer, Bernd Walloschek, Tobias Stoecker, Elmar.

8 INHOUDSOPGAVE vii Inhoudsopgave Voorwoord Toelating tot bruikleen en publicatie op DSpace Overzicht Abstract Inhoudsopgave Gebruikte afkortingen Lijst van figuren Lijst van tabellen Lijst van codefragmenten i ii iii v vii xi xiv xvii xviii 1 Inleiding 1 2 Literatuurstudie Kanalisatie Cloud Security: situering Hoofdvragen van een cloud-gebruiker Hoofdvragen van een cloud-aanbieder Conclusie

9 INHOUDSOPGAVE viii 2.2 Adaptive firewall Omschrijving Technologieën Implementatie Bestaande systemen Topologie Inleiding VXLAN vsphere VMSafe vshield zones vnetwork Distributed Switch Bestaande packet capture software Inleiding Software Conclusie Ontwerp Uitdagingen Adaptive Firewall in een pre-cloud-omgeving Situering Uitwerking Adaptive Firewall in een cloud-omgeving Situering Proof of concepts Conclusie Implementatie De gevirtualiseerde omgeving Inleiding

10 INHOUDSOPGAVE ix Topologie Open vswitch Adaptive Firewall software Inleiding Basisvereisten Verschillende luiken binnen de software Keuze van de ontwikkelomgeving Packet capture Packet reconstruction Machine learning Real-time detectie van applicaties Herconfiguratie van de OVS Resultaten Inleiding Cases Aandachtspunten Conclusies en toekomstperspectieven Inleiding Conclusie Verder onderzoek A Mindmaps 79 B Cloud Computing 84 B.1 Oude ideeën in een nieuw jasje B.2 Datacenters B.3 Cloud-model B.4 Publieke, private en hybriede cloud-omgevingen

11 INHOUDSOPGAVE x B.4.1 Publieke cloud B.4.2 Private cloud B.4.3 Vergelijking publieke versus private cloud B.4.4 Hybriede cloud B.5 Virtualisatie B.5.1 Waarom B.5.2 Vormen B.6 Aandachtspunten B.7 Hype of niet C Demo Cases 103 C.1 Inleiding C.2 Nieuwe firewall regel toevoegen C.3 Case allow all, block some C.4 Case block all, allow some Bibliografie 111

12 GEBRUIKTE AFKORTINGEN xi Gebruikte afkortingen ACID API CAPEX CPU CRM DB DDoS DMZ DNS ERP FTP Gb HIDS HIPS HRM HTTP HW IaaS IDPS IDS IP Atomic Consistent Isolated Durable Application Programming Interface Capital Expenditure Central Processing Unit Customer Relationship Management Database Distributed Denial of Service (attack) Demilitarized Zone Domain Name System Enterprise Resource Planning File Transfer Protocol Gigabit Host-based Intrusion Detection System Host-based Intrusion Prevention System Human Resources Management Hypertext Transfer Protocol Hardware Infrastructure as a Service Intrusion Dectection and Preventions System Intrusion Detection System Internetprotocol

13 GEBRUIKTE AFKORTINGEN xii IPS ISA ISP IT LAN NAT NBA NIC NIDS NIPS NIST OPEX OS OSI OVS PaaS PPP RAS SaaS SLA SMP SMTP SOA TCO TCP UDP UPS vds Intrusion Protection System Instruction Set Architecture Internet Service Provider Informatietechnologie Local Area Network Network Address Translation Network Behavior Analysis Network Interface Card Network Intrusion Detection System Network-bases Intrusion Prevention System National Institute of Standards and Technology Operational Expenditure Opperating System Open Systems Interconnection Open vswitch Platform as a Service Point-to-Pointprotocol Reliability, Availability, Serviceability Software as a Service Service Level Agreement Symmetric Multiprocessing / Symmetric Multiprocessor Simple Mail Transfer Protocol Service Oriented Architectures Total Cost of Ownership Transmission Control Protocol User Datagram Protocol Uninterruptible Power Supply vnetwork Distributed Switch

14 GEBRUIKTE AFKORTINGEN xiii VM VMM VoIP VPN VPS WIDS WIPS WWW Virtual Machine Virtual Machine Monitor Voice over Internet Protocol Virtual Private Network Virtual Private Server Wireless Intrusion Detection System Wireless Intrusion Prevention System World Wide Web

15 LIJST VAN FIGUREN xiv Lijst van figuren 2.1 Google Trends grafiek Intrusion Detection System Intrusion Protection System Voorbeelden van NIDS Voorbeelden van HIDS ProxyOne Aplliance van Blue Coat Systems - [55] Voorbeeld van een VXLAN VSphere - [50] VMSafe - [50] vshield zones - [50] vshield App - [50] vnetwork Distributed Switch - [50] Cisco Nexus 1000v als virtuele switch - [50] Het main GUI screen van Wireshark Het OSI model Single Firewall Dual-Firewall vnetwork Distributed Switch - [50] VMSafe - [50]

16 LIJST VAN FIGUREN xv 4.1 Topologie van de gevirtualiseerde omgeving Stappenplan bij verzenden en ontvangen van pakketten VirtualBox software voor het virtualiseren van de topologie Virtual7 en VirtualXP VM s Virtual7controller met Putty terminal SolarWinds NetFlow Analyzer sflowtrend Open vswitch - [56] Voorbeeld van een VLAN opstelling met drie subnetten Beschikbare netwerklijnen voor OpenFlow management network Echo na het uitvoeren van het startup script Werking Flow Tabel Fundamenten van de software WinPcap structuur Packet reconstruction TCP connectie reconstructie Training van de Howest.be firewall regel Flow van de Howest.be firewall regel Overeenkomstige woorden filter Stappenplan inkomende connectie Controle of de inkomende connectie aan de firewallregel voldoet Realistischere voorstelling van project management - [57] A.1 Mindmap Cloud Security A.2 Mindmap 4 pijlers van Cloud Security A.3 Mindmap Adaptive Firewall A.4 Mindmap Cloud Security

17 LIJST VAN FIGUREN xvi B.1 IBM Mainframe system [43] B.2 CPU gebruik van een willekeurige server - [44] B.3 Evolutie computergebruik - [37] B.4 Overzicht van de verschillende lagen in het cloud-model B.5 Hybriede Cloud - [48] B.6 Motivatie om virtualisatie te gebruiken - [49] B.7 Hosted / Host OS Virtualization - [39] B.8 Hypervisor virtualisatie met VMware - [50] B.9 Verschillende ringlagen bij hardwarevirtualisatie B.10 Paravirtualisatie B.11 Paravirtualisatie lagenmodel - [51] B.12 Gartner s Hype Cycle van 2008 tot C.1 Overzicht van de twee VM s van de klant C.2 Startscherm van de Adaptive Firewall software C.3 Nieuwe firewall regel toevoegen C.4 Gedetecteerde flow en analyse woordfrequentie C.5 Aangepaste flow van een regel C.6 Hoofdscherm Adaptive Firewall software C.7 Detectie poging tot surfen naar facebook.com C.8 Succesvol bezoeken van facebook.com C.9 VM kan howest.be bezoeken

18 LIJST VAN TABELLEN xvii Lijst van tabellen B.1 Overzicht publieke versus private cloud-omgeving

19 LIJST VAN CODEFRAGMENTEN xviii Lijst van codefragmenten 4.1 Start Mirror naar eth3 met bron eth1 en eth Start NetFlow on eth Start sflow on eth Flow Table - Allow All Flow Table - Allow All, Block Facebook Flow Table - Block All Flow Table - Block All, Allow Howest Connecteren van een NIC op de Pcap Library Event bij nieuw pakket Opvangen van een nieuw pakket Starten van de packet capturing Herconfiguratie van de OVS Reset firewall bij opstart Blokkering van TCP data Blokkering van UDP data Toelaten van de Google DNS

20 INLEIDING 1 Hoofdstuk 1 Inleiding Voor de hedendaagse computergebruiker is cloud computing zeker geen onbekende meer. Het kan ook niet anders met karakteristieken zoals schaalbare rekenkracht, alle data overalen-altijd beschikbaar en ongelimiteerde opslag. De toepassingen en oplossingen voor hedendaagse problemen met mobiel computergebruik zijn dan ook enkel gelimiteerd door de eigen fantasie. Tablets beginnen zich ter vervanging van laptops op te dringen en een persoonlijke muziekdatabase hoef je tegenwoordig ook niet meer lokaal bij te hebben om er naar te kunnen luisteren. Cloud computing is dus een trend die niet enkel het gebruik van computers zal veranderen, maar ook de manier waarop. Traditioneel is een gebruiker zelf verantwoordelijk voor de veiligheid van zijn systeem en de bijhorende data. Door gebruik te maken van een cloud-oplossing is dit deels doorgeschoven naar de cloud-aanbieder. In deze masterproef wordt er vooral gefocust op de veiligheid van data in de cloud. Dit wordt bekeken vanuit twee opzichten: de kant van de cloud-gebruiker en die van van de cloud-aanbieder. Doorheen deze masterproef worden volgende onderzoeksvragen bekeken: ˆ Wat zijn de IT-beveiligingsproblemen die de cloud-omgeving met zich meebrengt? Bekijk dit vanuit het oogpunt van de cloud-gebruiker en de cloud-aanbieder. ˆ Kanaliseer de IT-beveiligingsproblemen binnen de cloud-omgeving tot een gemeenschappelijk onderwerp. Denk hierbij vooral aan de noden van de cloud-gebruiker en de cloud-aanbieder. ˆ Ontwikkel een oplossing voor dit probleem en toon dit aan met een proof of concept.

21 INLEIDING 2 Het vervolg van deze masterproef ziet er dan ook uit als volgt: Als eerste wordt een literatuurstudie uitgevoerd, waar cloud-security binnen cloud computing gesitueerd wordt. De focus wordt hier vooral gelegd op de vragen van de gebruiker en de aanbieder. Ter referentie worden een aantal basisbegrippen van cloud computing besproken in bijlage B. In deze literatuurstudie wordt ook de Adaptive Firewall onderzocht, bestaande topologieën bekeken en een overzicht gegeven van bestaande packet capture software. Hierna wordt overgegaan tot de pijler Ontwerp, waar de problemen worden gekanaliseerd naar een alomvattende oplossing. Tot slot wordt de uitwerking en implementatie van dit ontwerp besproken om te komen tot de resultaten en de conclusie.

22 LITERATUURSTUDIE 3 Hoofdstuk 2 Literatuurstudie Binnen dit hoofdstuk wordt onderzocht hoe cloud security zich situeert binnen cloud computing, welke vragen en verwachtingen de cloud-gebruiker en cloud-aanbieder hebben en welke conclusie daaruit getrokken kan worden. Vervolgens wordt de Adaptive Firewall besproken, alsook de bestaande topologieën en packet capture software. 2.1 Kanalisatie Cloud Security: situering Cloud computing is sterk in opmars, zoals besproken in sectie B.7. Dat deze evolutie deels voort komt uit grid computing, is visueel voorgesteld in de Google Trends Grafiek 2.1. Er kan ook worden waargenomen dat de intresse in grid computing afneemt. Het is significant dat IT security even populair blijft, maar dat pas de laatste jaren een focus op cloud security wordt gelegd. Dit was echter te verwachten: Pas na de uitwerking van de eerste cloud-diensten is de vraag welke IT beveiligingsproblemen deze nieuwe structuur met zich meebracht, naar voren gekomen. Deze masterproef zal zich dan ook in deze richting wenden.

23 2.1 Kanalisatie 4 Figuur 2.1: Google Trends grafiek In een poging om de verschillende topics binnen cloud security visueel voor te stellen is een mindmap gecreëerd, zie bijlage A.1. Er kan opgemerkt worden dat de meest besproken topics te kanaliseren zijn volgens vier grote thema s: ˆ IT governance: het systeem waarbinnen de IT van een organisatie wordt (aan)gestuurd en beheerst. Een gekend voorbeeld hoe IT Governance wordt geïmplementeerd is COBIT. ˆ IT security: In elk IT systeem komt security naar boven. Hier wordt vooral de nadruk gelegd op data protection, waar de focus gelegd wordt op het beschermen van gegevens en het verwerken van ongeoorloofde waarnemingen en wijzigingen van deze gegevens. De kernwoorden hierbinnen zijn onder andere: acces control, data owner control, data privacy encryption, data partitioning, data wrapping, data integrity, data sharing model, data control, privacy en het business model. ˆ Issues: Een sterke insteek van cloud security ligt op de beveiligingsproblemen binnen cloud computing. Vooral de gemoedsrust is hierbij belangrijk. Als een klant het gevoel heeft dat zijn data veilig, beveiligd en beschikbaar is, dan zal dit zorgen voor een beter vertrouwen in cloud computing. ˆ Cloud computing: Zoals besproken in sectie B is cloud computing op te delen in de volgende pijlers: Business model(innovation, prescriptive standards, vendor lock-in, strategy, infostructure), IaaS (virtualization, storage, data centers), SaaS (data coloring, data sharing), PaaS (metastructure) en SOA (Service Oriented Architectures).

24 2.1 Kanalisatie 5 Doorheen het gevoerde onderzoek naar cloud security kwamen bepaalde kernwoorden meer voor dan andere, dit is zichtbaar in mindmap A.4. IT security en virtualisatie (zoals besproken in sectie B.5) bleken hierbij de toppers te zijn. Het is interessant om op te merken dat de gebruikte security systemen reeds enige tijd bestaan. Deze systemen dienen echter aangepast te worden alvoor deze gebruikt kunnen worden in een cloud-omgeving Hoofdvragen van een cloud-gebruiker Een van de grootste struikelblokken om gebruikers te laten overstappen naar een cloudomgeving is de algemene vraag Hoe veilig is mijn data [10]. Dus in welke mate is de data van de gebruiker beschermd tegen mogelijk gevaar? Hiervoor wordt de data van een cloud-gebruiker in twee categorieën opgesplitst, namelijk publieke data en privé data. Met publieke data wordt bedoeld dat deze gegevens vrij beschikbaar zijn en met privé data gaat dit vooral over zeer gevoelige gegevens. Als een gebruiker hoofdzakelijk met publieke data omgaat, zal deze een lagere security verwachten en nodig hebben. Het gaat dus vooral over de verwachtingen en hierdoor ook het vertrouwen van de gebruiker in de aanbieder. Dit komt omdat er nog geen volledige standaarden en wetten bestaan, op vlak van data security in de cloud. De gebruiker zal dus moeten vertrouwen op de aanbieder of zijn cloud al dan niet genoeg beveiligd is. Het andere aspect waar de gebruiker wantrouwen over heeft is natuurlijk de juridische waarde van zijn data. Kunnen overheden bijvoorbeeld toegang krijgen tot data, als deze verenderen van rechtbevoegdheid [10]? Hoofdvragen van een cloud-aanbieder Cloud computing staat nog maar in zijn kinderschoenen. Hierdoor rijzen er bij de aanbieders veel vragen over de security van hun aangeboden cloud. Er wordt natuurlijk geprobeerd om hun huidige systemen aan te passen naar deze nieuwe omgeving. Maar wat voor impact heeft de cloud computing architectuur op hun huidige, niet-cloudgebaseerde security architectuur?

25 2.1 Kanalisatie 6 Een van de grootste problemen ligt bij de exponentiële groei van data en dataverkeer. Deze grote hoeveelheid gegevens moeten door de infrastructuur verwerkt en opgeslaan worden. Hierdoor worden er onmiddellijk vier security aspecten in vraag gesteld die hierdoor gehinderd worden: de Firewall, Intrusion Detection System (IDS), Intrusion Protection System (IPS) en de Virus scanning. De technieken IDS en IPS worden besproken in de sectie Door de enorme groei van dataopslag in de cloud wordt virusscanning natuurlijk intensiever dan ooit. Een virusscanner moet de data controleren zonder dat hierdoor de performantie van het systeem in gedrang komt. Ook al is dit in een cloud-omgeving waar het product mee schaalt met de nodige middelen, kan het niet de bedoeling zijn dat een groot deel van deze middelen gebruikt worden voor security systemen zoals virusscanning. Ook komt door de grote datatransmissie de verwerkingssnelheid van de Firewall en het IDS/IPS systeem in het gedrang. Hierbij moet de vraag om systemen efficiënter te laten werken mee in rekening genomen worden, zodat deze minder vertraging veroorzaken binnen het netwerksysteem. Samengevat moeten de nieuwe systemen dus veel meer data kunnen verwerken en sneller zijn dan hun voorgangers. Aangezien een virusscan systeem niet real time (op het moment zelf) moet werken maar kan uitgesteld worden naar een moment dat de cloud resources (middelen) over heeft, is de vraag naar een nieuw virusscan-systeem minder groot dan de vraag naar een nieuwe firewall en IDS/IPS techniek. De aanbieder wil niet afhankelijk zijn van applicaties die de gebruiker zelf moet installeren. Om de data van de gebruiker beter te beveiligen zou bijvoorbeeld firewall software aanwezig moeten zijn op de machine van deze gebruiker. De aanbieder is hierdoor afhankelijk van de klant zijn kennis en mogelijkheden. Indien deze gebruiker niet over de mogelijkheden of kennis beschikt, zal de aanbieder toegang moeten hebben tot de gebruiker zijn systeem om mogelijke aanpassingen in deze firewall door te voeren of deze te onderhouden. De aanbieder kan de klant ook begeleiden bij de installatie en het onderhoud van het systeem. Door de cloud-omgeving moet dit dus voor elk apart systeem gedaan worden. Dit is onmogelijk om twee redenen, namelijk: de privacy van de gebruiker en de hoeveelheid aan applicaties die de aanbieder zal moeten onderhouden. Er wordt dan nog niet gesproken over de verschillende mogelijke besturingssystemen die op hun beurt nog eens verschillende versies hebben. Hierdoor wordt het onderhoud en de ontwikkeling van specifieke firewall software bijna onmogelijk.

26 2.1 Kanalisatie 7 De aanbieder zoekt dus naar een oplossing zodat een firewall kan werken zonder dat er software op de machine van de gebruiker moet worden geïnstalleerd. Op deze manier is er maar één type software, wat het onderhoud vergemakkelijkt en doenbaar maakt. De firewall kan op deze manier ook systemen van meerdere gebruikers controleren, of gewoon heel specifiek zijn voor één bepaalde gebruiker Conclusie De impact van cloud computing op de architectuur van de volgende security aspecten vraagt om een volledig nieuwe aanpak: ˆ Firewall: Uit deze praktijkvragen blijkt dat de hoofdprioriteit van cloud security zich richt op het veilig stellen van gegevens (data protection). Om dit te garanderen en het probleem met de exponentiële groei van data te vermijden is echter een volledig nieuwe aanpak van de hedendaagse firewall nodig. Dit wordt duidelijk weergegeven op mindmap A.2. Hierbij vormen een aantal zaken uitdagingen: Door de interconnectiviteit van datacenters wordt er meer dataverkeer ervaren, vanwege een grote hoeveelheid extern opgeslagen data en een veel complexere routerarchitectuur. Wat met virtuele netwerken binnen dezelfde host? De huidige scantechniek wordt te zwaar. Door een update naar de cloud-omgeving gaat nu bijna alles over poort 80/443, poorten blokkeren heeft geen zin meer. Inspectie van pakketten en applicaties is nodig om de user en zijn acties te kunnen identificeren. Deep packed inspection wordt veel complexer. Wat met versleutelde data? Hieruit komt een alomvattende oplossing: een Adaptive Firewall, die zichzelf aanpast als er gevaar gedetecteerd wordt. ˆ IDS/IPS: (Intrusion Detection System/Intrusion Protection System) Deze systemen eisen specifieke hardware voor de detectie en bescherming van het netwerk.

27 2.2 Adaptive firewall 8 ˆ Virus Scanning: Dit kan via een cloud-dienst gebeuren: security service through web delivery. Voorbeelden zijn oa. Panda software, VeriSign, Trend Micro en Symantech. Anderzijds moet er een informatie-centraal beveiligingssyteem opgebouwd worden. Met andere woorden: evolueren van databeveiliging tegen externe bronnen (systemen en applicaties welke de data gebruiken) naar databeveiliging van binnenuit. ˆ Fysieke bescherming: Administrators van een datacentrum mogen niet de volledige toegang tot de data krijgen. ˆ Verantwoordelijkheid beveiliging: De huurder van de cloud-dienst is ook nog steeds verantwoordelijk voor de security. Het is niet omdat dit uitbesteed wordt aan de cloud-aanbieder dat deze er zelf geen verantwoordelijkheid meer over heeft. 2.2 Adaptive firewall Omschrijving Een Adaptive Firewall is een firewall die zichzelf aanpast als er gevaar - ongewenste gegevensstroom - wordt gedetecteerd [25]. Hiervoor zijn er twee systemen nodig: een systeem dat het gevaar detecteert en één dat mogelijke firewall of netwerkinstellingen verandert om het gevaar te stoppen. Deze systemen worden een Intrusion Detection System (IDS) en Intrusion Protection System (IPS) genoemd. Aangezien in een adaptive firewall deze twee systemen rond elkaar zijn gebouwd wordt er eerder de naam Intrusion Dectection and Prevention System gebruikt (IDPS). Deze termen zijn ter verduidelijking schematisch voorgesteld op mindmap A.3. Ook moet er rekening worden gehouden dat de volledige aanpak van de huidige firewall systemen moet worden veranderd. De huidige systemen kunnen namelijk het grote volume aan data die ze moeten controleren niet meer bijhouden [2]. Er moet in plaats van packet inspection per IP adres overgegaan worden naar een inspectie van de gebruiker en zijn applicatie [10]. De reden hiervoor is dat cloud gebaseerde applicaties meestal worden aangeboden via een browser omgeving. Hierdoor gaat bijna alle data over poort 80 en 443, omdat een browser in het bijzonder het HTTP en HTTPS protocol gebruikt.

28 2.2 Adaptive firewall 9 Chris King: [10] Basically, if you keep Port 80 open, you are allowing anything through King wil hiermee zeggen dat wanneer in de firewall de poorten 80 en 443 open staan, wat nodig is om gewoon te kunnen surfen op het internet, als het ware het volledige netwerk geopend is voor allerlei verschillende applicaties. Op deze manier kan niet gecontroleerd worden welke applicaties de gebruikers uitvoert binnen het netwerk, wat op zijn beurt allerlei gevaren met zich meebrengt. De eerste vaststelling is dus dat poort 80 en 443 moeten worden opengehouden om cloudgebaseerde toepassingen toe te laten op het netwerk. Het IDS systeem moet dan op een bepaalde manier een applicatie kunnen herkennen, zodat deze een niet toegestane applicatie kan doorgeven aan het IPS systeem. Het IPS zal dan op zijn beurt via een voorgedefinieerde actie deze applicatie blokkeren. De tweede vaststelling is dat dit alles gebeurt zonder dat er veel vertraging wordt veroorzaakt. De gebruiker voelt namelijk de minste vertraging aan als onwenselijk. Onder een merkbare vertraging verstaan we een vertraging groter dan 400ms. De laatste en derde vaststelling is dat de uiteindelijke firewall software niet op het toestel van de gebruiker hoeft geïnstalleerd te zijn om te kunnen werken. De gebruiker zou bijvoorbeeld via een portaal mogelijke firewall instellingen kunnen aanpassen Technologieën Intrusion Detection System Een IDS syteem zal zoals uitgelegd in sectie 2.2, een ongewenste toegang tot het netwerk detecteren en optekenen in een logboek. Hierdoor kunnen andere applicaties aan de hand van dit logboek een bepaalde actie ondernemen.

29 2.2 Adaptive firewall 10 Figuur 2.2: Intrusion Detection System Zoals te zien is in figuur 2.2 kan een IDS systeem in de Demilitarized Zone (DMZ) van het netwerk geplaatst worden. Dit systeem moet louter het netwerk controleren en creëert op deze manier geen overhead (meerverbruik van rekentijd, werkgeheugen, bandbreedte of andere bronnen benodigd om een bepaald doel te bereiken). Er zijn twee types IDS systemen: ˆ Statistical anomaly-based IDS ˆ Signature-based IDS Een Statistical anomaly-based IDS weet aan de hand van voorgenoteerde statistieken wat de normale protocollen zijn die gebruikt worden binnen een netwerk. Ook weet dit IDS systeem wat de normale verbruikte bandbreedte is op een bepaald uur en welke poorten een specifiek toestel gebruikt. Als er een activiteit optreedt die niet in lijn ligt met de voorgenoteerde statistieken wordt dit opgenomen in het logboek.

30 2.2 Adaptive firewall 11 Een Signature based IDS systeem bekijkt alle pakketjes binnen het netwerk en vergelijkt deze met voorgedefinieerde patronen. Indien een patroon herkend wordt zal het IDS systeem dit noteren in zijn logboek. Elk voorgedefinieerd patroon staat in overeenkomst met een mogelijke aanval. Een IDS systeem is dus een passief systeem omdat deze rapporten genereert maar niets verandert. Het is wel zo dat de gegenereerde rapporten kunnen gebruikt worden door andere applicaties om wijzigingen toe te brengen aan een systeem, hier het interne netwerk. Zoals besproken in sectie 2.2 moet het IDS systeem een applicatie kunnen herkennen zonder daaarbij al te veel overhead te genereren. Hierdoor zal er dus geopteerd worden voor een Signature based IDS systeem. De firewall moet geen statistieken bijhouden en onderhouden maar gewoon patronen herkennen. Dit kan gebeuren op een onafhankelijk toestel dat in het netwerk aanwezig is. Hierdoor ontstaat er geen overhead op een welbepaalde machine en kan een programma geïdentificeerd worden aan het patroon dat deze genereerd. Het IDS zal dit vergelijken met een voorgedefinieerde lijst van al dan niet toegestane programma s en indien nodig een rapport genereren. Intrusion Protection System Een IPS is de uitbreiding van een IDS systeem. Dit komt omdat deze ook het netwerk kan bekijken zoals een IDS maar deze kan wel het netwerk aanpassen, indien nodig. Een IPS kan dus niet alleen ingezet worden om bedreigingen aan te pakken maar ook om fouten te corrigeren binnen de TCP/IP stack. Zo kan een IPS systeem eerst controleren of de datapakketten corrupt zijn en op die manier mogelijke overhead voorkomen. Een IPS wordt dus opgeroepen door zijn eigen intern IDS systeem om een bepaalde actie te ondernemen. Het IPS detecteert dus zelf mogelijke bedreigingen en kan deze aan de hand van voorgedefinieerde acties onderdrukken. Zoals in sectie is uitgelegd zal het interne IDS het IPS aanroepen. Hierdoor is een IPS een actief systeem, omdat dit in onze context het netwerk actief verandert om een mogelijke bedreiging te stoppen.

31 2.2 Adaptive firewall 12 Figuur 2.3: Intrusion Protection System Omdat een IPs datapakketten actief moet kunnen wijzigen of tegenhouden, dient deze zich tussen de firewall en het interne netwerk te bevinden (zie figuur 2.3). Er zijn vier types IPS systemen [31]: ˆ Network-bases Intrusion Prevention (NIPS): scant actief het volledige interne netwerk af op zoek naar kwaadaardige programma s. ˆ Host-based Intrusion Prevention (HIPS): hetzelfde als een NIPS maar de software staat op de host zelf en controleert alleen die specifieke host. ˆ Network Behavior Analyses (NBA): bekijkt het volledige netwerk en zoekt naar voorgedefinieerde datapatronen. Zoals bijvoorbeeld het patroon dat een Distributed Denial Of Service (DDOS) aanval genereert. ˆ Wireless Intrusion Prevention System (WIPS): dit is een NIPS maar dan alleen op draadloos niveau. Het systeem zal dus de protocollen van het draadloze netwerk controleren. In deze masterproef zal nog steeds verwezen worden naar een IDS. Hiermee wordt verwezen naar de interne IDS van de IPS en niet naar een losstaand systeem.

32 2.2 Adaptive firewall 13 Intrusion Detection and Prevention Systems Een IDPS (Intrusion Dectection and Prevention system) is vooral gericht op het identificeren van mogelijke incidenten, informatie over een incident bijhouden, een poging doen om deze tegen te gaan en deze gebeurtenissen rapporteren aan de beveiligingsverantwoordelijke. Daarnaast wordt een IDPS ook voor andere doeleinden gebruikt zoals het identificeren van problemen met de security policies, het documenteren van bestaande bedreigingen en het weren van personen die het beveiligingsbeleid schenden. IDPS en zijn volgens het NIST uitgegroeid tot een noodzakelijke aanvulling op de beveiligings-infrastructuur van vrijwel elke organisatie [33]. IDPS en zijn ook in staat om zelf policies bij te sturen aan de hand van het IDS syteem, maar de hoofdzaak blijft echter het rapporteren. Verschillende types van IDPS-systemen onderscheiden zich vanwege de soort gebeurtenissen die ze kunnen herkennen en de gebruikte methodes voor het identificeren van incidenten. Deze IDPS types zijn afkomstig van de IPS types. ˆ NIDS (Network Intrusion Detection System): toezien op het netwerkverkeer van bepaalde netwerksegmenten of toestellen en het analyseren van het netwerk- en applicatieprotocol om verdachte activiteiten te identificeren. Passief systeem: netwerk detecteert niet dat IDS systeem actief is Staat in de Demilitarized zone (DMZ) en scant netwerkactiviteiten Voorbeelden van NIDS zijn oa SNORT, Metasploit, Nmap, Wireshark (Deze kan enkel scannen wat zijn interface ziet! In een DMZ is wel alles te bekijken) en Sguil. Figuur 2.4: Voorbeelden van NIDS

33 2.2 Adaptive firewall 14 ˆ HIDS (Host-based intrusion detection system): controleert de kenmerken en gebeurtenissen van toepassingen op één enkele host. Systeem draait vanop de gebruiker zijn machine Voornamelijk voor bestaande systemen en mainframes Voorbeelden van HIDS: OSSEC en Trendmicro. Figuur 2.5: Voorbeelden van HIDS ˆ WIDS (Wireless intrusion detection system): het controleren en analyseren van draadloos netwerkverkeer om verdachte activiteiten te kunnen identificeren, met betrekking tot de draadloze netwerkprotocollen. ˆ NBA (Network Behavior Analysis): hierin wordt het netwerkverkeer onderzocht om bedreigingen te identificeren die ongewone verkeersstromen zoals DDoS-aanvallen, data scannen en bepaalde vormen van malware genereren. Veel IDPS-systemen kunnen daarnaast ook reageren op een gedetecteerde bedreiging. Dit gebeurt doordat deze proberen voorkomen dat de aanval slaagt. Ze maken gebruik van verschillende response technieken, wat onder andere inhoudt dat de IDPS de aanval zelf stopt, de security omgeving aanpast (bijvoorbeeld het opnieuw configureren van een firewall), of data wijzigt waarop de aanval zich focust. IDPS kan echter geen volledig accurate detectie garanderen. Elk systeem genereert false positives - ten onrechte identificeren van een legitieme activiteit als kwaadaardig - en false negatives (het niet in staat zijn om kwaadaardige activiteiten te identifieren). Veel organisaties kiezen er daarom voor om IDPS-systemen zo af te stemmen dat de false negatives worden verlaagd en de false positives worden verhoogd. Daardoor zijn aanvullende analyse middelen noodzakelijk om false positives te onderscheiden van de echte kwaadaardige evenementen. De meeste IDPS en bieden daarom ook de mogelijkheid om dat te compenseren door gebruik te maken van gemeenschappelijke fraude opsporingstechnieken. Deze

34 2.2 Adaptive firewall 15 wijzigen dan de vorm of het tijdstip van een kwaadwillige activiteit om zijn uiterlijk (maar niet het effect) te doen veranderen in een poging om detectie door IDPS te vermijden. De meeste IDPS-systemen maken gebruik van meerdere detectie methodes, ofwel apart - ofwel geïntegreerd, om een bredere en meer nauwkeurige detectie te bieden. Volgende detectie methodes worden gebruikt: ˆ Signature-based: vergelijkt de handtekeningen van bekende dreigingen om waargenomen gebeurtenissen te identificeren. Dit is zeer effectief bij het detecteren van gekende bedreigingen, maar weinig effectief voor onbekende bedreigingen en een groot aantal varianten op deze gekende bedreigingen. Signature-based detectie kan de complexe communicatie niet opvolgen en verstaan, dus het kan aanvallen met meerdere gebeurtenissen niet detecteren. ˆ Anomaly-based detection: vergelijkt definities waarbij activiteit als normaal beschouwd wordt tegenover de waargenomen gebeurtenissen om significante afwijkingen te identificeren. Deze methode maakt gebruik van profielen die ontwikkeld zijn om de kenmerken van typische activiteiten over een periode van tijd te controleren. Het IDPS vergelijkt vervolgens de kenmerken van de huidige activiteit met het betrokken profiel. Anomaly-based-detectiemethodes kunnen zeer effectief zijn in het detecteren van voorheen onbekende bedreigingen. ˆ Stateful protocol analysis: dit systeem vergelijkt vooraf bepaalde profielen van algemeen aanvaarde definities van een betrouwbaar protocol activiteit tegenover waargenomen gebeurtenissen om afwijkingen te identificeren. In tegenstelling tot anomaly-based-detectie zal deze methode zich baseren op universele profielen die door de aanbieder van de cloud-oplossing werden ontwikkeld en aangeven hoe bepaalde protocollen wel en niet mogen worden gebruikt. Stateful protocol analysis is in staat te begrijpen en bij te houden wat de toestand en staat van de protocollen is, waardoor deze veel aanvallen kan detecteren waar andere methoden niet in slagen. Mogelijke problemen hierbij zijn onder meer dat het vaak zeer moeilijk of onmogelijk is om volledig nauwkeurige modellen van protocollen te ontwikkelen. Het is ook zeer resource-intensief en het kan geen aanvallen detecteren die geen inbreuk maken op de kenmerken van de algemeen aanvaarde protocol-gedragingen.

35 2.2 Adaptive firewall Implementatie Er zijn twee manieren om met een bedreiging om te gaan. Namelijk de firewall laat alles door behalve de mogelijke voor-gedefinieerde-bedreigingen of de firewall houdt alles tegen behalve de toegelaten programma s. Het eerste scenario is dat de firewall alles doorlaat maar de bedreigingen tegenhoudt. Voor de adaptieve firewall zal deze dus bepaalde data-pakketten gewoon blokkeren, wijzigen of alle data vanwaar dat pakket komt tegenhouden. Hierdoor zal de applicatie op het systeem van de gebruiker falen. Het is dus zo dat voor elke specifieke bedreiging vooraf bepaald moet worden hoe de IPS deze kan tegengaan. De zoektocht naar oplossingen voor mogelijke bedreigingen kan echter een hele onderneming zijn. Het volledige systeem kan ook omgedraaid worden, wat ons tot de tweede werkwijze. In plaats van de bedreigingen te detecteren en deze op te lossen kan men ook alles tegenhouden behalve de programma s die toegelaten zijn. Het nadeel van deze techniek is dat door de patroon-analyse van het IDS dit steeds een vertraging zal opleveren. Dit komt omdat het IDS eerst bepaalde data door moet laten om zo een patroon tot stand te laten komen waaraan het IDS de applicatie kan herkennen. De bedreiging tegenhouden vereist een constant onderhoud en alleen de toegestane applicaties doorlaten zal dus een grote vertraging veroorzaken. Hoe dit juist zal worden aangepakt, wordt onderzocht in sectie Bestaande systemen De Blue Coat ProxyOne Appliance van Blue Coat Systems is hardware die geplaatst wordt tussen de netwerkrouter en de firewall. Dit systeem integreert webfiltering met malware en antivirus-scanning in één toestel. Dit alles werkt in combinatie met een reporting systeem. De ProxyOne hardware moet geïnstalleerd worden in het netwerk welke ze moet beschermen. De hardware is ook gericht op bedrijven waar er geen full-time IT expert aanwezig is. Deze hardware is dus voor-geïnstalleerd en zou standaard met een paar kleine stappen volledig werkend zijn.

36 2.2 Adaptive firewall 17 Figuur 2.6: ProxyOne Aplliance van Blue Coat Systems - [55] Voor gebruikers die dit systeem niet kunnen integreren binnen hun netwerk wegens bijvoorbeeld de te hoge kost, is er de K9 free firewall security-software van Blue Coat systems, welke grotendeels gebaseerd is op de ProxyOne appliance. Deze is alleen beschikbaar voor Windows en Mac OS. K9 is een host-based systeem en moet dus geïnstalleerd worden op de gebruiker zijn machine. Beide systemen maken gebruik van de cloud voor het onderhoud van de software maar kunnen geen specifieke cloud-gebaseerde machines beschermen. De ProxyOne Appliance kan natuurlijk wel ingezet worden voor het netwerk van de aanbieder maar kan specifieke virtuele machines binnen de cloud-omgeving niet beschermen. Men moet er vanuit gaan dat elke machine specifieke noden heeft waardoor deze niet beschermd kunnen worden door één ProxyOne Appliance. Per virtuele machine een toestel plaatsen is ook geen optie omdat hierdoor het voordeel van cloud computing volledig teniet wordt gedaan. Er moet dus gezocht worden naar een virtueel systeem dat binnen de hypervisor kan werken om zo aan de specifieke noden van een gebruiker te voldoen.

37 2.3 Topologie Topologie Inleiding Om de implementatie van de firewall mogelijk te maken worden er topologieën onderzocht die het toelaten om het Adaptive Firewall softwaresysteem te creëren VXLAN Virtual Extensible LAN (VX-LAN) connecteert verschillende ethernet-netwerken met elkaar binnen een virtuele omgeving. VLAN systemen doen hetzelfde maar laten slechts een 12bit identificatie toe terwijl VXLAN een 24bit identificatie toelaat. Dit zorgt voor een uitbreiding van procent. VXLAN maakt gebruik van het internet protocol als zijn transport medium zo zullen Layer 2 frames in Layer 3 frames geplaatst worden door gebruik te maken van het UDP-protocol. Hierdoor wordt een VXLAN niet begrepen door fysieke netwerktoestellen maar kan het wel naar een andere fysiek netwerk verstuurd worden aangezien het om gewone UDP-pakketten gaat. Het voornaamste doel van VXLAN s bestaat erin Layer 2 connecties uit te breiden over Layer 3 netwerken.

38 2.3 Topologie 19 Figuur 2.7: Voorbeeld van een VXLAN In figuur 2.7 stelt elke zwarte lijn zijn eigen VLAN voor. Wanneer in de bovenste VLAN de Windows-computer wil communiceren met de Linux-computer dan zal deze zijn pakketen sturen via de VTEP die de communicatie omzet in VXLAN-segmenten. Deze segmenten gaan op hun beurt via het conventionele internet naar de VTEP waarin de Linux-computer zich bevindt. Hier zullen dan de VXLAN-segmenten terug worden omgezet naar normale pakketten binnen zijn virtueel netwerk. De Windows- en Linux-computer weten dus niet dat ze in een ander fysiek netwerk zitten vsphere VSphere voorheen VMware infrastructure 4 is VMware zijn cloud computing virtualisatiesystem. VMware claimt dat zij hiermee het eerste bedrijf zijn dat een cloud-os voor interne bedrijfsnetwerken geïntroduceerd heeft. vsphere is in staat de beschikbare machines binnen het interne netwerk te bundelen tot één machine. Dit wordt een vcenter genoemd en kan centraal beheerd worden.

39 2.3 Topologie 20 Elke virtuele machine die in een vcenter wordt gecreëerd kan tot acht Central Processing Units (CPU s), maximaal 255GB geheugen en een netwerkdoorvoer van maar liefst 30Gbps hebben. vsphere bevat ook een fault-tolerance-mechanisme waarmee men meer bedrijfszekerheid wil creëren. Dit systeem is als het ware een load balancer (techniek om het werk te verdelen tussen verschillende computers) en zorgt ervoor dat er twee identieke virtuele machines naast elkaar draaien op aparte servers. Indien een van de servers in de problemen komt neemt de andere machine onmiddelijk het werk over. Het werk wordt dus niet verdeeld over de twee servers zoals bij een load balancer, maar focust op redundantie. Door de Storage vmotion kan er met een minimale down time (periode waarin het systeem niet naar behoren functioneert) een virtuele harde schijf van een virtuele machine naar een andere server worden verplaatst. Dit is natuurlijk heel handig bij het onderhoud van de servers, zo kan je een fysieke server als het ware leeg maken. Dit wil zeggen dat alle virtuele machines worden overdragen naar een andere server waardoor de mogelijke onderhoudswerken kunnen starten. Figuur 2.8: VSphere - [50]

40 2.3 Topologie VMSafe VMSafe is een beveiligingstechnologie die een gevirtualiseerde omgevingen bescherming biedt tegen mogelijke bedreigingen.. Het unieke aan deze omgeving is dat via een API (Application Programming Interface) externe bedrijven security software kunnen creëren om maat van hun gevirtualizeerde omgeving. VMSafe zorgt dus dat third-party security producten toegang krijgen tot de hypervisor. Op deze manier kunnen security applicaties sneller malware of virussen detecteren aangezien zij onmiddellijke toegang hebben tot het geheugen, CPU, opslag media en I/O systemen van de machine. Hierdoor creëert men een beveiligde omgeving die zelfs niet mogelijk is op een fysieke computer aangezien software daar niet rechtstreeks toegang heeft tot deze data. VMSafe-applicaties zullen hierdoor sneller een mogelijke bedreiging kunnen detecteren en tegenhouden. Figuur 2.9: VMSafe - [50]

41 2.3 Topologie 22 Dankzij deze nieuwe methode van toezicht wordt een betere security verkregen. Het systeem is actief op de hypervisor wat het eenvoudiger maakt om een volledige infrastructuur te voorzien van zelf gecreërde beveiligingssoftware. Het OS dat op de machine draait moet bijvoorbeeld geen antivirus software hebben geïnstalleerd maar deze zal wel beveiligd zijn via de VMSafe equivalent. Doordat dit systeem niet op de gevirtualiseerde machine draait heeft de software op deze machine ook geen toegang tot VMSafe-applicatie. Er kunnen dus ook geen wijzigingen worden toegebracht aan de security-oplossing. Doordat er geen rekening meer moet gehouden worden met de verschillende operating systemen is dit een meer gestandaardiseerde oplossing. Hierdoor kan een security probleem - met één update van een VMSafe-applicatie - op alle soorten operating systemen worden verholpen. Er moeten dus geen verschillende versies meer ontwikkeld worden. Het unieke gegeven is dat de VMSafe-applicatie de virtuele machine kan beschermen terwijl deze in werking is maar ook als deze hibernate (uitzetten van een computer met het behoud van zijn huidige staat) staat of gewoon uitgeschakeld is. Het doel van VMSafe is om een hogere security te creëren die op conventionele computers zelfs niet mogelijk is. Hierdoor wordt de virtuele omgeving zo veilig mogelijk gemaakt wat natuurlijk een grote stap vooruit is voor het vertrouwen van de aanbieder en gebruiker in een cloud-omgeving. VMSafe is dus een ideale omgeving om de Adaptive Firewall op te bouwen. Een nadeel is dat de firewall alleen zal kunnen gebruikt worden in een VMware-omgeving. Voor andere virtuele omgevingen zal een andere applicatie moeten worden ontwikkeld. Hierdoor wordt geen algemene oplossing aangeboden en is het concept niet bruikbaar voor alle aanbieders van cloud-omgevingen vshield zones vshield is verantwoordelijk voor de beveiliging binnen de virtualisatielaag en fungeert als firewall tussen de verschillende VM s. Op deze manier zijn virtuele systemen die zijn opgenomen in een virtueel netwerk ook beschermd ten opzichte van elkaar, zonder dat hiervoor extra software op de virtuele machine zelf moet worden geïnstalleerd.

42 2.3 Topologie 23 Figuur 2.10: vshield zones - [50] Het nadeel van de vshield zones is dat dit een zeer basic firewall is. Indien je toch meer data wenst te controleren kan er gebruik gemaakt worden van de vshield App. Deze laat toe om het netwerkverkeer tussen de virtuele machines te gaan inspecteren. Figuur 2.11: vshield App - [50]

43 2.3 Topologie 24 Een nadeel van beide systemen is dat dit een firewall is tussen de virtuele omgevingen. Hierdoor is er nog steeds een firewall nodig die het echte netwerk controleert. De firewalls kunnen ook niet specifiek voor een welbepaalde machine worden aan- of uitgezet maar deze waakt onmiddellijk over een volledige virtuele zone vnetwork Distributed Switch vnetwork Distributed Switch (vds) maakt het mogelijk dat je een switch kan configureren die verschillende hosts met elkaar connecteert. Figuur 2.12: vnetwork Distributed Switch - [50] De grootse verandering is dat je een Cisco switch kan gebruiken als virtuele switch. Hierdoor kan men het virtuele netwerk beheren zoals men dit gewoon was bij een fysiek netwerk, wat de opleidingskost ten goede komt. Figuur 2.13: Cisco Nexus 1000v als virtuele switch - [50]

44 2.4 Bestaande packet capture software Bestaande packet capture software Inleiding Er zijn reeds heel wat programma s op de markt die de basisfunctionaliteit van een firewall geïmplementeerd hebben - meerbepaald, packet sniffing. In dit luik wordt onderzocht hoe bestaande software omgaat met dit topic Software Wireshark Wireshark wordt vooral gebruikt voor netwerkanalyse en het oplossen van netwerkproblemen. Het programma, voorzien van een uiterst gebruiksvriendelijke grafische user interface, is dus een pure packet sniffer die gebruik maakt van de Pcap API. De softwarelicentie valt onder de tweede versie van de GNU General Public License. Deze licentie laat toe om volledig legaal de software te kopiëren, wijzigen en te verspreiden. Tcpdump Tcpdump is een andere toepassing voor netwerkanalyse met het grootste verschil dat het slechts gebruik maakt van een command-line-interface. Er is dus geen grafische schil aanwezig. Opnieuw is dit een programma dat gebruik maakt van de Pcap API via de libpcap wrapper voor Linux gebaseerde systemen. De Windows-variant hiervan is Windump. Voor op een Windows-systeem gebruik te kunnen maken van de Pcap API wordt de WinPcap wrapper library gebruikt. Capsa Capsa is een packet-sniffing en analyse-software. Deze is speciaal ontworpen om fouten in een netwerk sneller te helpen identificeren of om software ontwikkelaars te helpen, om sneller netwerkproblemen in hun applicatie op te kunnen sporen. Capsa is alleen beschik-

45 2.4 Bestaande packet capture software 26 baar voor Windows en gebruikt zijn eigen systemen om aan packet-sniffing te kunnen doen. Hiervoor maakt deze geen gebruik van aparte libraries. Microsoft Network Monitor Dit is de netwerkanalyse software van Microsoft en beschikt over zijn eigen API die kan worden gebruikt door externe applicaties. Doordat dit een Microsoft-product is, kan deze software alleen gebruikt worden op een Windows OS. Compatibiliteit met de meest voorkomende netwerksniffing-api s wordt voorzien door de mogelijkheid om Pcap-bestanden uit te lezen. EtherApe EtherApe is een grafisch netwerk-analyse-programma maar is alleen beschikbaar voor UNIX systemen. Deze software maakt gebruik van een heel aparte grafische user interface. De data wordt dus niet gewoon opgelijst maar weergegeven in iets dat lijkt op een wolkstructuur Conclusie De huidige markt is verzadigd met allerlei packet-sniffing-programma s maar de meeste daarvan maken ofwel gebruik van de Pcap API of bieden er ondersteuning voor. Deze vaststelling maakt duidelijk dat de softwaremarkt dit als standaard beschouwt voor packetanalyse.

46 ONTWERP 27 Hoofdstuk 3 Ontwerp 3.1 Uitdagingen De hoofduitdaging is het uitwerken van een concept dat voldoet aan de noden van de cloud-gebruiker en de cloud-aanbieder. Aangezien de onderzoeksvraag komt van een cloudaanbieder wordt de focus meer gelegd op zijn noden. Het grootste probleem van een cloudgebruiker gaat steeds over het vertrouwen in de aanbieder. Vertrouwen dat verdiend moet worden en waar er niet zomaar van mag worden uitgegaan dat dit vanzelfsprekend is. De cloud-aanbieder kan het vertrouwen van een gebruiker winnen, door zijn cloud zo goed mogelijk te beschermen. Eén van de processen die er bij een cloud-aanbieder voor zorgt dat de gebruiker zijn machine of data veilig zijn, is zoals reeds aangehaald, de Firewall. De aanbieder zoekt naar een firewall waarvoor de gebruiker noch installatie, noch onderhoud moet doen. De firewall moet dus tussen de machine van de gebruiker en de hypervisor draaien. Dit is dan ook de hoofduitdaging van dit onderzoek. Zoals in sectie reeds is aangehaald, is het mogelijk om aan de hand van Network intrusion detection systemen packet inspection te voorzien. Met deze feedback kan dan de netwerkactiviteit gecontroleerd worden. Er moet dus worden gezocht naar een systeem om de internet data van de te beveiligen hosts binnen te brengen in de firewall-software. In sectie komt dit uitgebreid aan bod.

47 3.1 Uitdagingen 28 Voor testdoeleinden van de topologie en het controleren van binnenkomende data zal gebruik gemaakt worden van de netwerk-analyse-software Wireshark. Wireshark kan out of the box gebruikt worden op een breed scala van OS en met een zeer duidelijke GUI. Indien de standaard functies van Wireshark niet voldoende zijn, kan er zelf software geschreven worden rond hun systeem. Hiervoor ondersteunt Wireshark een API via een embedded Lua interpreter. Informatie hierover kan gevonden worden in de Wireshark documentatie [42]. Figuur 3.1: Het main GUI screen van Wireshark Lua is een dynamisch getypeerde imperatieve scripttaal die in veel applicaties gebruikt wordt. De scripts worden uitgevoerd op een virtuele machine met garbage collection. Er is echter ook de mogelijkheid om zelf een aangepaste Wireshark-ontleder te programmeren. Eens de feedback uit Wireshark wordt opgevangen kan met behulp van een detectiemethode patroonherkenning worden uitgevoerd op deze feedback. Hierdoor kunnen dan afwijkende activiteiten van een vooraf gedefinieerd profiel gedetecteerd en geweerd worden. Dit sluit dan dicht aan bij een Stateful protocol analyser.

48 3.2 Adaptive Firewall in een pre-cloud-omgeving Adaptive Firewall in een pre-cloud-omgeving Voorgaande oplossing is reeds mogelijk in een conventioneel netwerk. Indien alle data ook naar de DMZ gaat wordt het mogelijk om deze te analyseren. Uiteraard is dit niet het geval in een cloud-oplossing, maar daarover later meer Situering Een conventioneel netwerk is een computernetwerk zoals dat vandaag de dag gekend is. Dit model bestaat volgens het OSI (Open System Interconnection) model uit zeven lagen. ˆ Applicatielaag (onderverdeeld in Toepassingslaag, Presentatielaag en Sessielaag) De gebruikte protocollen in deze laag zijn SMTP, HTTP en FTP. De netwerktoepassingen worden hier uitgevoerd. Ook het DNS(Domain Name System) is hier geïmplementeerd. Deze laag wordt verdeeld over de verschillende eindsystemen. ˆ Transportlaag Het versturen van berichten van de toepassingen. Hierbij worden 2 protocollen gebruikt: TCP (betrouwbaar, flow control, traag, congestiecontrole) UDP (onbetrouwbaar, geen flow control, snel) ˆ ˆ Netwerklaag Het versturen van pakketten van de netwerklaag(datagrammen). Dit maakt gebruik van het IP protocol en bevat padbepalingsprotocollen (afhankelijk van de netwerkbeheerder). Deze bepaalt dus het pad van een pakket doorheen het netwerk. Datalinklaag Verplaatst het packet van de ene naar de andere node. De volgende protocollen worden gebruikt: Ethernet, Wifi en Point-to-Pointprotocol (PPP). De pakketten van de datalinklaag zijn frames. ˆ Fysieke laag Deze verplaatst de afzonderlijke bits in een frame. Er worden protocollen voorzien voor twisted pair koperdraad en singlemode glasvezel.

49 3.2 Adaptive Firewall in een pre-cloud-omgeving 30 Figuur 3.2: Het OSI model Wireshark zal bij de installatie toegang krijgen tot de transportlaag, waardoor elk segment van een pakket dat passeert op de fysieke laag bekeken kan worden. Opgelet: versleutelde bestanden zullen dus ook zo weergegeven worden Uitwerking Een conventioneel netwerk kan zodanig worden ingesteld dat alle inkomende data naar de DMZ van het netwerk wordt gestuurd. Deze DMZ is een netwerksegment dat zich tussen het interne en externe netwerk bevindt en waar er geen firewalling op wordt toegepast. Het externe netwerk is meestal het Internet.

50 3.2 Adaptive Firewall in een pre-cloud-omgeving 31 Op het netwerksegment van de DMZ zijn meestal servers aangesloten die diensten verlenen die vanuit het interne en externe netwerk aangevraagd kunnen worden (bijvoorbeeld een webserver en/of mailserver, FTP servers of VoIP-servers). De DMZ kan door een firewall beschermd worden, maar moet dan wel zodanig geconfigureerd worden dat de diensten voor het intern netwerk toegankelijk blijven. Wireshark kan op deze DMZ geïnstalleerd worden waardoor de detectie van de firewall kan worden gesimuleerd. Bij het detecteren van ongewenste datapatronen kunnen op deze manier de firewallregels aangepast worden om een inbraak te voorkomen. Er zijn twee architecturen bekend voor een DMZ oplossing: ˆ Single Firewall (driebenige firewall): Het externe netwerk wordt verbonden van de ISP (Internet Service Provider) naar de firewall. Het interne netwerk en de DMZ wordt ook aan deze firewall geconnecteerd. De firewall wordt hierdoor wel een single point of failure en moet hierdoor in staat zijn om al het dataverkeer te verwerken. In figuur 3.3 wordt deze topologie weergegeven. Figuur 3.3: Single Firewall ˆ Dual-Firewall: Een veiligere aanpak om een DMZ te creëren is door twee firewalls te gebruiken. De eerste firewall - ook wel de front-end -firewall genoemd - moet worden geconfigureerd, zodat het enkel dataverkeer bestemd voor de DMZ en het interne netwerk toelaat. De tweede firewall, ook wel back-end -firewall genoemd, laat alleen dataverkeer toe dat bestemd is voor het interne netwerk.

51 3.3 Adaptive Firewall in een cloud-omgeving 32 Deze opstelling wordt beschouwd als veiliger, vooral als er twee firewalls worden gebruikt van verschillende leveranciers, wat het minder waarschijnlijk maakt dat beide apparaten last hebben van dezelfde beveiligingsproblemen. Deze aanpak wordt beschreven als een defense in depth security strategie. Figuur 3.4: Dual-Firewall 3.3 Adaptive Firewall in een cloud-omgeving Situering Het grootste verschil tussen een cloud en pré-cloud-omgeving zijn de rechten verworven door de security applicatie op de hypervisor laag. Een conventionele applicatie kan niet zomaar alle data bekijken welke zich bijvoorbeeld in het geheugen van een machine bevind. Ook zal een applicatie, welke op het niveau van de hypervisor draait, niet rechtstreeks toegankelijk zijn vanuit de machine van de gebruiker Proof of concepts VSphere is de cloud-omgeving van VMware waarop het vcenter draaid. Binnen vcenter draaien op zijn beurt de virtuele machines van gebruiker. Binnen vsphere kan de case op twee manieren worden uitgewerkt: de Adaptive Firewall aansluiten op een vnetwork Distributed Switch die aan port replicatie doet of de VMSafe API gebruiken.

52 3.3 Adaptive Firewall in een cloud-omgeving 33 Proof of concept 1: Uitwerking via de vnetwork Distributed Switch De vnetwork Distributed Switch laat toe dat er port mirroring kan gebeuren naar een andere virtuele machine. Hierdoor kan een autonome virtuele machine de data controleren welke naar de te beveiligen machine gaat. Figuur 3.5: vnetwork Distributed Switch - [50] De grote uitdaging binnen deze case is dat de virtuele machine waarop de firewall draait de vsphere Distributed Switch zal moeten aansturen. Deze laatste kan dan bepaalde pakketten, die naar de beveiligde virtuele machines gaan, indien nodig blokkeren. Proof of concept 2: Uitwerking via de VMSafe API Via de VMSafe API kan er een applicatie geschreven worden welke zich rechtstreeks inplugt op de hypervisor. Hierdoor is er de mogelijkheid om virtuele machines hun hard- en software te bekijken zonder dat deze machine er zelf van op de hoogte is. Op deze manier kan er zoals gevraagd bij de doelstellingen onmiddellijk vanaf de hypervisor gewerkt worden.

53 3.3 Adaptive Firewall in een cloud-omgeving 34 Figuur 3.6: VMSafe - [50] Zoals te zien in figuur 3.6 kan de VMSafe laag zich ook de controle verschaffen over de netwerk laag die de virtuele machine in kwestie gebruikt. Als case zal er dus een VMSafe applicatie geschreven worden die alleen data pakketten van een cloud-applicatie doorlaat. Dit kan Google Docs, Mindmeister,... zijn. Alle andere pakketten moeten worden geblokkeerd. De applicatie zal dus strikt de netwerkpoort van de te beschermen machine moeten controleren en ingrijpen indien nodig Conclusie De beide cases duiden dat de firewall applicatie niet moet geïnstalleerd zijn op de te beveiligen virtuele host, maar op een aparte virtuele machine. Pas na de volledige uitwerking van beide cases, zullen alle voor- en nadelen van elke case worden bekeken. Uit dat overzicht zullen de eindconclusies getrokken worden.

54 IMPLEMENTATIE 35 Hoofdstuk 4 Implementatie 4.1 De gevirtualiseerde omgeving Inleiding Het creëren van een topologie waar de vooropgestelde eisen voor een virtueel switch en een Adaptive Firewall kunnen geïmplementeerd worden. Dit deel behandelt de zoektocht naar en de configuratie van een dergelijke infrastructuur.

55 4.1 De gevirtualiseerde omgeving Topologie Overzicht Figuur 4.1: Topologie van de gevirtualiseerde omgeving Deze topologie kan in vier hoofdpunten worden onderverdeeld: Virtuele machines Virtual7 en VirtualXP: Deze VM s simuleren klanten van de cloud-aanbieder. Zij hebben elk e e n netwerkpoort die verbonden is met de Open vswitch. Het IP adres wordt via DHCP toegewezen, maar zal binnen de range van vallen. Het is mogelijk om elke client in een aparte VLAN te plaatsen, waarover verder meer. Er is geen firewall software aanwezig op deze VM s. VirtualUbuntu met Open vswitch installatie: Dit is het hart van deze topologie, alle pakketten zullen op weg naar hun bestemming door deze vswitch getransporteerd worden. Deze machine heeft voor elke klant zijn VM een netwerkinterface (hier eth1 en eth2), e e n interface voor de controle machine (eth3), een verbinding

56 4.1 De gevirtualiseerde omgeving 37 met de private cloud welke via DHCP adressen zal uitreiken (eth0) en een extra interface (buiten de Open vswitch!) voor SSH verbindingen en statistische gegevens zoals sflow en netflow. De werking van de Open vswitch wordt verder in sectie besproken. ˆ Virtual7Control: de controle machine: Op deze machine draait de Adaptive Firewall software (zie sectie 4.2), die zal instaan voor de analyse van de pakketten. De interface intnet heeft een vast IP adres en zorgt voor SSH verbindingen met de VirtualUbuntu voor de externe besturing van de Open vswitch. De eth 7control interface krijgt zijn IP toegewezen van de DHCP en zal gebruikt worden om de trafiek van de VM s van de klanten te dupliceren. Er is verder nog een nat interface, die zal zorgen voor een actieve internet verbinding, hoofdzakelijk om de adaptieve firewall software DNS lookups te laten doen. ˆ Private Cloud: Het private bedrijfsnetwerk van de aanbieder. In deze zone bevindt zich de data opslag, extra diensten, DNS cache, DHCP en de verbinding met het World Wide Web. De DNS cache is essentieel, want anders zou het mogelijk zijn dat de klanten VM s andere IP adressen terugkrijgen na een DNS lookup dan deze die de Adaptive Firewall software verkreeg. Om deze reden is ook een vast DNS adres vastgelegd, welk overeenkomt in de testopstelling met dat van howest.be. Als back-up wordt de Google DNS server gebruikt. Werking Als een klant een programma of internetpagina wil openen welke een actieve dataverbinding vereist, dan zal deze bepaalde pakketten verzenden en ontvangen. Deze passeren door de Open vswitch, welke deze doorstuurt naar de Private Cloud en zo naar het World Wide Web. Ondertussen wordt er via de eth3 interface een kopie van deze pakketten doorstuurt naar de controller, Virtual7Control. Deze analyseert de pakketten, neemt een beslissing om ze al dan niet door te laten en verstuurt zijn beslissing door middel van een flow regel over SSH naar de Open vswitch. Elk volgende gelijkaardig pakket valt dan onder die regel en bijhorende actie. Deze werking wordt geïllustreerd in figuur 4.2.

57 4.1 De gevirtualiseerde omgeving 38 Figuur 4.2: Stappenplan bij verzenden en ontvangen van pakketten Verklaring keuze OS en en software Alle machines binnen deze topologie worden voor de proof-of-concept gesimuleerd in VirtualBox, een Host OS virtualisatie programma (zie B.5.2). Er is hiervoor gekozen omwille van de eenvoud bij migratie van VM s en bijhorende instellingen. De interne verbindingen tussen verschillende VM s zijn ook een groot pluspunt. De Private Cloud wordt bij simulaties het netwerk van de host pc (school- of thuisnetwerk). Bij een concrete uitwerking op fysieke servers zou gekozen worden voor Xen, een Hypervisor(Virtual Machine monitor) virtualisatie (zie B.5.2). Open vswitch wordt immers standaard gebruikt in XenServer 6.0 en biedt hiervoor ruime ondersteuning.

58 4.1 De gevirtualiseerde omgeving 39 Figuur 4.3: VirtualBox software voor het virtualiseren van de topologie Het OS van de klant VM s heeft op zich geen significante betekenis, daar er geen software hoeft te draaien voor de werking van de Adaptive Firewall. Er is gekozen voor een Windows XP Pro SP3 en Windows 7 Pro SP1 omdat deze binnen bedrijven het grootste marktaandeel hebben. Figuur 4.4: Virtual7 en VirtualXP VM s

59 4.1 De gevirtualiseerde omgeving 40 Daar Open vswitch Linux-based is, werd er gekozen voor Ubuntu 11 als OS vanwege de lage instapdrempel. Ook zij die niet vertrouwd zijn met Linux zullen hier snel hun weg in terugvinden. Het is uiteraard mogelijk om de Open vswitch en bijhorende scripts op een variëteit van Linux distributies te installeren. Elke configuratie van de Open vswitch dient met root toegang uitgevoerd te worden. Het pakket OpenSSH is vereist om externe connecties toe te laten. De controller draait in deze opstelling Windows 7 SP1, deze keuze werd bepaald aan de hand van de vereisten voor de Adaptive Firewall software (zie 4.2.4). Putty wordt hier gebruikt om de connectie via SSH te testen, maar is daarna niet meer nodig. Verder is ook Wireshark (ter controle van de binnenkomende pakketten) en Xming X Server hierop geinstalleerd. Figuur 4.5: Virtual7controller met Putty terminal De SolarWinds NetFlow Analyzer en sflowtrend software worden gebruikt om de statistische gegevens van NetFlow en sflow weer te geven. Dit geeft ons een duidelijk beeld welk dataverkeer de VM s genereren. In figuur 4.6 is onmiddellijk te zien dat een groot deel van dit dataverkeer van het domein facebook.com komt. Afhankelijk van het beleid kan dit een reden zijn om extra regels te gaan toevoegen. In figuur 4.7 is dan weer duidelijk te zien welke domeinen of IP adressen het meeste dataverkeer per VM genereren.

60 4.1 De gevirtualiseerde omgeving 41 Figuur 4.6: SolarWinds NetFlow Analyzer Figuur 4.7: sflowtrend

61 4.1 De gevirtualiseerde omgeving 42 Voordelen Daar deze volledige topologie reeds virtueel geëmuleerd wordt, is de overschakeling naar een cloud-omgeving zeer transparant. De uitbreidbaarheid is tevens een groot pluspunt, er kunnen dus gemakkelijk meerdere klanten met overeenkomstige VM s toegevoegd worden aan de Open vswitch. De controller kan ook gedupliceerd worden, om load balancing te ondersteunen en zodat bij het uitvallen van één systeem het andere naadloos kan overnemen. De Open vswitch bleek in deze topologie bij de simulaties zeer weinig systeembronnen te gebruiken, ook bij zware trafiek van de VM s Open vswitch Keuze In sectie 3.3 werd het belang van een virtuele programmeerbare switch reeds benadrukt. Deze is noodzakelijk om pakketten van virtuele machines te kopiëren naar een controle machine. Deze zal op zijn beurt de pakketten inspecteren en de keuze maken of deze verder mogen verzonden worden of niet. Als voorstel werd de vsphere Distributed Switch bekeken, welke bovenstaande functionaliteit bezit. Na nader onderzoek bleken er echter enkele grieven ten opzichte van deze oplossing: ˆ De vsphere Distributed Switch is een gesloten systeem. Er kan dus geen verdere functionaliteit gebruikt worden dan deze die door de aanbieder (VMware) wordt aangeboden. In wezen is dit geen groot probleem aangezien de mirror functionaliteit aanwezig is, maar verdere uitbouw van de eigen Adaptive Firewall kan hierdoor belemmerd worden. ˆ Voor het gebruik van vsphere is specifieke uitgebreide hardware nodig. Deze is niet beschikbaar in de omgeving van deze masterproef en bemoeilijkt zo het uitbouwen van een test-opstelling. ˆ De gebondenheid aan één aanbieder is te vermijden. Er kan nooit zekerheid geboden worden op vlak van de continuïteit van het aangeboden product.

62 4.1 De gevirtualiseerde omgeving 43 ˆ De VMware vsphere Distributed Switch wordt enkel bij de Enterprise Plus editie ondersteund. De prijs voor dit pakket ligt vrij hoog ( USD, zonder ondersteuning). ˆ Om virtuele machines en vsphere te simuleren dient men gebruik te maken van VMware vcenter Server 5.0. Deze is ook betalend, maar hier kon een evaluatie copy voor aangevraagd worden. Het is echter enkel mogelijk om dit op Windows XP 64- bit, Windows Server bit of Windows Server 2008 te installeren, wat ook voor beperkingen zorgt. Voor meerdere van deze redenen is ook de VMSafe uitwerking minder geschikt. Een alternatieve piste is de open source toepassing Open vswitch. Deze is zeer gelijkaardig aan de VMware vsphere Distributed Switch en breed ondersteund. Figuur 4.8: Open vswitch - [56]

63 4.1 De gevirtualiseerde omgeving 44 Open vswitch is uitgebracht onder de Apache 2.0 licentie [52]. Deze staat gebruikers toe om wijzigingen aan te brengen en de aangepaste software verder te verspreiden. Een aantal functies van de Open vswitch komen sterk overeen met de noden van de Adaptive Firewall oplossing: ˆ Statistische weergave van de trafiek geproduceerd door de virtuele machines via Net- Flow en sflow. ˆ Standaard 802.1Q VLAN-model met trunking. ˆ Quality of service (QoS) en trafiek beleid per virtuele machine ˆ OpenFlow-protocol ondersteuning ˆ IPv6-ondersteuning ˆ Configuratie op afstand ˆ Tabellen voor flow regels Open vswitch bestaat nog niet zo lang (mei 2010), maar heeft een sterke gebruikersgroep binnen de Xen community (hypervisor voor virtuele machines). VLANs Een groot voordeel van Open vswitch - dat zijn toepassing vindt in deze oplossing - is het gebruik van VLANs, virtuele lokale netwerken. Elke klant van de cloud-dienst krijgt zijn eigen VLAN toegewezen en schermt zo het volledige dataverkeer af ten opzichte van de andere gebruikers. Voor de Open vswitch is het dan zeer eenvoudig om pakketten aan de hand van de VLAN ID te verwerken. Het onderstaande voorbeeld is getest binnen een oplossing waarbij VLAN10 de VirtualXP, VLAN20 de Virtual7 en VLAN30 de Virtual7Control bevat. De grootste uitdaging hierbij is het correct berekenen van de subnetten. Elke VLAN kan hier tot 253 machines bevatten. Mocht dit niet voldoende zijn, dan kan men altijd een tweede Open vswitch bridge aanmaken en deze overbruggen. Het is echter niet nodig hiervoor een nieuwe VM te starten, de tweede bridge draait namelijk op dezelfde VM als de eerste, wat de complexiteit niet noodzakelijk vergroot.

64 4.1 De gevirtualiseerde omgeving 45 Figuur 4.9: Voorbeeld van een VLAN opstelling met drie subnetten Configuratie op afstand De vooropgestelde topologie bevat twee netwerklijnen waarover data voor het management van de Open vswitch verstuurd wordt. Beide lijnen vallen binnen het OpenFlow management netwerk. Figuur 4.10: Beschikbare netwerklijnen voor OpenFlow management network

65 4.1 De gevirtualiseerde omgeving 46 OpenFlow is een communicatieprotocol dat via het netwerk toegang geeft tot de doorstuurtabellen en configuratie van de netwerk switchen en routers [32]. OpenFlow laat dus toe om de weg van de pakketten binnen het netwerk te bepalen via software. Dit laat geavanceerde dataverkeer controle toe, welke niet bereikt kan worden bij ACL (Acces Control Lists) of routeringsprotocollen. Dat OpenFlow in de lift zit wordt bewezen door het feit dat ook grote spelers zoals Google dit protocol aan het testen zijn binnen hun eigen netwerk [38]. SSH (Secure Shell) is een vervanging voor oude protocollen zoals telnet en rlogin. Via SSH kan verbinding gemaakt worden met een andere computer op een versleutelde manier en dit biedt de mogelijkheid om commando s uit te voeren vanaf de shell. De grote veiligheid zit hem in het feit dat SSH gebruik maakt van publieke en private encryptiesleutels. Installatie en Configuratie De installatie van de Open vswitch verloopt volgens de richtlijnen op de website [53] met als uitbreiding het gebruik van externe VM s. Daar de Linux distributie al virtueel draait was het niet aan te raden daarbinnen nogmaals VM s te simuleren. De door ons gebruikte topologie heeft dan ook meer toepassingen binnen cloud computing, zoals het eenvoudig migreren van VM s. De configuratie gebeurt aan de hand van de door ons voorgedefinieerde scripts. De feedback van het opstart script wordt weergegeven in figuur De mirror functionaliteit wordt hierna via het volgende commando uitgevoerd: #c o n f i g m i r r o r i n g echo = c o n f i g m i r r o r i n g on eth3 = ovs v s c t l s e t b r i dge br0 m i r r o r get Port eth1 get Port eth2 get Port eth3 c r e a t e Mirror name=datamirror s e l e c t s e l e c t output p o r Codefragment 4.1: Start Mirror naar eth3 met bron eth1 en eth2

66 4.1 De gevirtualiseerde omgeving 47 Figuur 4.11: Echo na het uitvoeren van het startup script

67 4.1 De gevirtualiseerde omgeving 48 De commando s voor de netflow en sflow statistische gegevens worden als volgt opgebouwd: #c o n f i g NetFlow echo = s t a r t NetFlow on eth4 = ovs v s c t l s e t Bridge br0 n e t f c r e a t e NetFlow t a r g e t s=\ : \ a c t i v e timeout=30 Codefragment 4.2: Start NetFlow on eth4 #c o n f i g sflow echo = s t a r t sflow on eth4 = ovs v s c t l s e t b r i dge br0 s f l o c r e a t e s f l o w agent= eth4 t a r g e t=\ : \ header=128 sampling=512 p o l l i n g =20 Werking Codefragment 4.3: Start sflow on eth4 Open vswitch is een netwerk switch op het tweede niveau van de TCP/IP lagen (Layer 2 switch) en houdt zich bezig met het routeren van pakketten tussen de interfaces. Het is gericht op gebruikers binnen virtualisatie en wordt dan ook hoofdzakelijk gebruikt voor het maken van virtuele netwerken. Een vswitch kan worden ingesteld met een aantal virtuele netwerkinterfaces, waarvan de meeste worden gebruikt door virtuele machines om te communiceren met elkaar en een private cloud of publieke cloud. Deze virtuele netwerken kunnen worden aangesloten tussen hosts en in fysieke netwerken. Een van de belangrijkste kenmerken van Open vswitch is de mogelijkheid om eenvoudig virtuele machines te migreren tussen fysieke hosts en hun overeenkomstige netwerk configuratie (adressen, firewall-regels, open verbindingen, enz.) mee te nemen. Dit past volledig in het cloud-verhaal en geeft de mogelijkheid aan de aanbieder van clouddiensten om zonder veel problemen virtuele machines van hier naar daar te verplaatsen zonder verlies van instellingen. Als een Open vswitch module een pakket binnen krijgt op een van de interfaces, dan genereerd deze een flow key. Deze beschrijft het pakket in algemene termen. Een voorbeeld van een flow key ziet er zo uit: i n p o r t ( 1 ), eth ( s r c=e0 : 9 1 : f 5 : 2 1 : d0 : b2, dst =00:02: e3 : 0 f : 8 0 : a4 ), e t h t y p e (0 x0800 ), ipv4 ( s r c = , dst = , proto =17, t o s =0, f r a g=no ), tcp ( s r c =49163, dst =80)

68 4.1 De gevirtualiseerde omgeving 49 De informatie wordt als volgt opgebouwd: ˆ in port de interface poort waarop een pakket is ontvangen ˆ eth src het mac-adres van de verzender ˆ eth dst het mac-adres van de ontvanger ˆ eth type het Ethernet protocol type (0x0800 staat voor IPv4) ˆ ipv4 src het IPv4 adres van de zender ˆ ipv4 dst het IPv4 adres van de ontvanger ˆ ipv4 proto het IP protocol type (6 voor TCP, 17 voor UDP) ˆ ipv4 tos het IP Tos/DSCP veld ˆ ipv4 frag fragmentatie ˆ tcp src de tcp poort van de zender ˆ tcp dst de tcp poort van de ontvanger Dit voorbeeld beschrijft dus UDP pakket dat aangekomen is op poort (interface) één, gericht op een tcp poort 80 op host Deze flow key zal bij het binnenkomen op de Open vswitch eerst door een flow tabel gaan, waar vooraf gedefinieerde regels de bestemming van het pakket zullen bepalen. Als er geen regel bestaat of overeenkomt voor dit pakket en de vswitch weet niet hoe het pakket te verwerken, dan wordt dit doorgegeven aan een controller, samen met de flow key. Deze controller kan dan beslissen wat er moet gebeuren, maar zal bij het nemen van de beslissing ook een regel toevoegen in de flow tabel hoe gerelateerde pakketten in de toekomst afgehandeld moeten worden. Dit wordt schematisch weergegeven in figuur 4.12.

69 4.1 De gevirtualiseerde omgeving 50 Figuur 4.12: Werking Flow Tabel Er zijn verschillende acties die ondernomen kunnen worden: ˆ Stuur het pakket naar een specifieke poort en stuur het door op weg naar de eindbestemming. ˆ Stuur het pakket naar de controller voor verdere behandeling. ˆ Breng onderweg wijzigingen aan in de header van het pakketje: NAT kan worden toegepast op deze manier. Voorbeelden hiervan zijn het toevoegen van een nieuwe header ter voorbereiding van het tunnelen van het pakket naar een andere host. Er is ook een mogelijkheid voor het verwijderen van dergelijke wijziging aan de kant van de ontvanger, zodat deze niet op de hoogte is hiervan. ˆ Neem eigenschappen van het pakket op voor de generatie van statistische gegevens. ˆ Negeer een pakket, geen verdere verwerking is nodig. Van zodra een regel voor een bepaald type pakket is geplaatst in de flow tabel zullen toekomstige pakketten sneller verwerkt worden, zonder de noodzaak van interventie door de controller. Na verloop van tijd zou de configuratie zo moeten werken dat geen enkel pakket nog naar de controller wordt verstuurd.

70 4.1 De gevirtualiseerde omgeving 51 Regels Toevoegen Om een regel toe te voegen aan de flow tabel wordt gebruik gemaakt van het volgende commando: ovs o f c t l add flow switch flow In de huidige configuratie wordt als switch br0 gebruikt. De flow specifieke eigenschappen voor deze regel zijn: cookie= value De unieke identificatie code per regel, handig om deze achteraf te verwijderen. Dit wordt in deze uitwerking niet gebruikt, aangezien regels hier niet manueel hoeven verwijderd te worden. dl vlan= VLAN De VLAN naar waar een pakket verstuurd wordt. In deze uitwerking dient 0xffff gebruikt te worden, wat de pakketten naar elke VLAN zal omvatten. dl src= xx:xx:xx:xx:xx:xx or ANY Het MAC-adres van de verzender, bijvoorbeeld 00:0A:E4:25:6B:B0. ANY zal alle MAC-adressen omvatten. dl dst= yy:yy:yy:yy:yy:yy or ANY Het MAC-adres van de ontvanger. dl type= ethertype Het Ethernet protocol type (0x0800 staat voor IPv4, 0x0806 voor ARP pakketten). nw src= ip[/netmask] Het IP-adres van de verzender, bijvoorbeeld nw dst= ip[/netmask] Het IP-adres van de ontvanger. nw proto= proto Het protocol type (6 voor TCP, 17 voor UDP). tp src= port or ANY De TCP of UDP poort van de verzender, ANY voor alle poorten. tp dst= port De TCP of UDP poort van de ontvanger. priority= value De prioriteit tussen 0 en 65535, de standard waarde is

71 4.1 De gevirtualiseerde omgeving 52 idle timeout= seconds De regel zal vervallen na dit aantal seconden bij inactiviteit. hard timeout= seconds De regel zal vervallen na dit aantal seconden, ondanks dat er nog activiteit is. actions= [target] De actie die zal uitgevoerd worden voor alle pakketten die overeenkomen met deze regel. Binnen deze uitwerking zullen er maar drie acties gebruikt worden: normal (voor normale L2/L3 switching), drop (voor het negeren van een pakket), en controller (om de flow key naar de controller te sturen). Voorbeeld: deze regel zal alle TCP dataverkeer naar host op poort 80 blokkeren. De regel verwijderd zichtzelf na één minuut inactiviteit, of na twee minuten ondanks dat er nog data activiteit is: ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0x0800, nw src=any, nw dst = , nw proto =6, t p s r c =80, t p d s t=any, p r i o r i t y =30000, i d l e t i m e o u t =60, hard timeout =120, a c t i o n s=drop Dit soort regels zullen via remote management aan de flow tabel toegevoegd worden. In de komende hoofdstukken wordt hier verder op in gegaan. Om het adaptieve aspect van de firewall te garanderen, wordt elke regel toegevoegd met een bepaalde time-out. Zo zullen enkel de regels die van toepassing zijn op de huidige netwerkactiviteit in de flow tabel zitten. Als een regel al in de flow table aanwezig is, dan wordt deze overschreven. De time-out start dan terug vanaf de ingestelde waarde. Regels Verwijderen Regels worden verwijderd via het commando: ovs o f c t l del f l o w s switch flow Om een specifieke regel te verwijderen moeten alle eigenschappen van die regel meegegeven worden (of de individuele unieke cookie id), anders is het commando te algemeen en zal dit meerdere regels verwijderen.

72 4.1 De gevirtualiseerde omgeving 53 Op deze manier kunnen dan ook alle regels uit de flow tabel verwijderd worden: ovs o f c t l del f l o w s br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0x0800, nw src=any, nw dst=any, nw proto=any Flow table interpretatie De huidige flow table kan opgeroepen worden aan de hand van het volgende commando: ovs o f c t l dump t a b l e s switch Dit zal de volgende velden altijd weergeven, aangevuld met specifieke eigenschappen van een regel: ˆ cookie De unieke identificatie code per regel. ˆ duration De tijd (in seconden) hoelang een regel al actief is. ˆ table De tabel waartoe de regel behoord, in deze uitwerking is dit altijd dezelfde tabel. ˆ n packets Het aantal pakketten dat overeenkwam met deze regel. ˆ n bytes Het aantal bytes dat overeenkwam met deze regel. ˆ priority De prioriteit van de regel. Hoe hoger de prioriteit, hoe sneller een pakket vergeleken wordt met deze regel. Als een flow key overeenkomt met een regel zullen diegene met een lagere prioriteit niet meer gecontroleerd worden. ˆ actions Afhankelijk van de toepassing zal dit in deze uitwerking normal of drop zijn. Binnen deze implementatie zijn twee cases beschreven, de case allow all en de case block all. De flow tabel voor beide cases wordt weergegeven in onderstaande codefragmenten 4.4 tot 4.7.

73 4.1 De gevirtualiseerde omgeving 54 Allow all: Deze toepassing heeft de eenvoudigste basis regel staan: elk pakket dat zal binnenkomen zal behandeld worden alsof de Open vswitch een standaard switch is. Met andere woorden, er wordt standaard Layer 2/Layer 3 processing gedaan. De prioriteit staat laag aangezien elke blok regel moet gecontroleerd worden alvorens een pakket door te laten. NXST_FLOW reply ( xid =0 x4): cookie =0x0, duration = s, table =0, n_packets =6112, n_bytes = , priority =0 actions = NORMAL Codefragment 4.4: Flow Table - Allow All Als er later regels zijn toegevoegd om bijvoorbeeld de website facebook.com op host te blokkeren, dan geeft de flow tabel de output zoals in codefragment 4.5. Merk op dat de prioriteit van de toegevoegde regels hoger is dan de standaard regel! NXST_FLOW reply ( xid =0 x4): cookie=0x0, duration =3.356s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.251s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.631s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.155s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.73s, table=0, n_packets=3, n_bytes =4173, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =2.636s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.577s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =2.594s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =2.675s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration =3.517s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=drop cookie=0x0, duration = s, table=0, n_packets =12143, n_bytes = , priority=0 actions=normal cookie=0x0, duration =2.87s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =3.33s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.808s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.654s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =3.221s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.724s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.745s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.695s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop cookie=0x0, duration =2.615s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =443 actions=drop cookie=0x0, duration =2.785s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=drop Codefragment 4.5: Flow Table - Allow All, Block Facebook

74 4.1 De gevirtualiseerde omgeving 55 Block all: Bij de block all toepassing worden standaard alle pakketten op TCP en UDP geblokkeerd. Er zijn echter een aantal connecties naar de vooraf gedefinieerde DNS IP-adressen toegestaan, anders zou het onmogelijk zijn om een DNS resolve te doen en connectie te maken met goedgekeurde websites. Merk op dat de IP-adressen eerst als bestemming en dan als ontvanger zijn ingesteld, om dataverkeer van en naar de DNS server te garanderen. NXST_FLOW reply ( xid =0 x4): cookie=0x0, duration =2.405s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_dst = actions = NORMAL cookie=0x0, duration =2.513s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_dst = actions= NORMAL cookie=0x0, duration =2.441s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_dst = actions= NORMAL cookie=0x0, duration =2.477s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_dst = actions = NORMAL cookie=0x0, duration =2.535s, table=0, n_packets=0, n_bytes=0, priority=1,udp, vlan_tci=0x0000 actions=drop cookie=0x0, duration =2.555s, table=0, n_packets=0, n_bytes=0, priority=1,tcp, vlan_tci=0x0000 actions=drop cookie=0x0, duration = s, table=0, n_packets =12195, n_bytes = , priority=0 actions=normal cookie=0x0, duration =2.493s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_src = actions= NORMAL cookie=0x0, duration =2.425s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_src = actions= NORMAL cookie=0x0, duration =2.388s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_src = actions = NORMAL cookie=0x0, duration =2.459s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_src = actions = NORMAL Codefragment 4.6: Flow Table - Block All Voegt men extra regels toe om bijvoorbeeld de website howest.be beschikbaar te maken, dan geeft de flow tabel de output zoals in codefragment 4.7. Ook hier zullen de nieuwe regels een hogere prioriteit krijgen dan de oorspronkelijke block regels. NXST_FLOW reply ( xid =0 x4): cookie=0x0, duration =30.285s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_dst = actions = NORMAL cookie=0x0, duration =30.393s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_dst = actions= NORMAL cookie=0x0, duration =30.321s, table=0, n_packets=9, n_bytes =695, priority =100, udp, vlan_tci=0x0000, nw_dst = actions = NORMAL cookie=0x0, duration =30.357s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_dst = actions = NORMAL cookie=0x0, duration =30.415s, table=0, n_packets=6, n_bytes =996, priority=1,udp, vlan_tci=0x0000 actions=drop cookie=0x0, duration =30.435s, table=0, n_packets=19, n_bytes =1219, priority=1,tcp, vlan_tci=0x0000 actions=drop cookie=0x0, duration =0.057s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = actions=normal cookie=0x0, duration =0.07s, table=0, n_packets=0, n_bytes=0, idle_timeout =900, priority =30000, tcp, vlan_tci=0x0000, nw_src = , nw_dst = , tp_dst =80 actions=normal cookie=0x0, duration = s, table=0, n_packets =12203, n_bytes = , priority=0 actions=normal cookie=0x0, duration =30.373s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_src = actions= NORMAL cookie=0x0, duration =30.305s, table=0, n_packets=9, n_bytes =1341, priority =100, udp, vlan_tci=0x0000, nw_src = actions = NORMAL cookie=0x0, duration =30.268s, table=0, n_packets=0, n_bytes=0, priority =100,udp, vlan_tci=0x0000, nw_src = actions = NORMAL cookie=0x0, duration =30.339s, table=0, n_packets=0, n_bytes=0, priority =100,tcp, vlan_tci=0x0000, nw_src = actions = NORMAL Codefragment 4.7: Flow Table - Block All, Allow Howest

75 4.2 Adaptive Firewall software Adaptive Firewall software Inleiding De topologie zorgt ervoor dat alle netwerktrafiek van de te beveiligen hosts wordt doorgestuurd naar de controle host. Het doel van de Adaptive Firewall software op deze host, is een analyse uitvoeren op de verkregen netwerktrafiek. Indien nodig zal deze software het gevaar onderdrukken aan de hand van voorgedefinieerde regels Basisvereisten De software moet zo performant en zo gebruiksvriendelijk mogelijk zijn. Daarvoor moet er vooral onderzoek gedaan worden naar de snelheid van de gebruikte algoritmen. De firewall moet twee modi kennen namelijk: Drop all waarbij alles geblokkeerd moet worden behalve de opgegeven applicaties en Allow all waar alleen geblokkeerd wordt wat in de firewall regels wordt opgegeven. De firewall moet op een adaptieve manier worden opgebouwd. Firewall regels worden dus live bijgewerkt en niet onmiddellijk gegenereerd zoals in normale firewall software (zie sectie 2.2) Verschillende luiken binnen de software Om het hoofddoel te bereiken is de Adaptive Firewall software opgedeeld in verschillende bouwblokken. Deze bouwblokken zijn beschreven in figuur Samen vormen deze blokken de fundamenten van de software.

76 4.2 Adaptive Firewall software 57 Figuur 4.13: Fundamenten van de software Keuze van de ontwikkelomgeving Aangezien de topologie geen beperkingen legt op het type OS van de controle host, kan de ontwikkelomgeving volledig vrij bepaald worden. Na analyse blijkt dat de grootste struikelblok van de software ligt bij de packet capture. Bijgevolg wordt de keuze van de omgeving volledig bepaald door deze bouwsteen. Onderzoek leert ons in sectie dat er het best gebruik wordt gemaakt van de.net omgeving. Als OS valt de keuze dan ook op Windows Packet capture Inleiding Alle dataverkeer van de te beveiligen host wordt door de Open vswitch ook naar de controlehost gestuurd. Op deze host is de Adaptive Firewall software actief, die op zijn beurt het dataverkeer analyseert. Aangezien de verkregen internetpakketten origineel niet bedoeld zijn voor de controlehost, moet de software reeds kunnen ingrijpen op de transportlaag van het OSI-model. Hiervoor moet de NIC waarop alle netwerktrafiek binnenkomt in promiscuous mode gezet worden. Deze maakt het mogelijk om alle binnenkomende pakketten te verwerken in plaats van enkel deze die aan de netwerkkaart geadresseerd zijn.

77 4.2 Adaptive Firewall software 58 Implementatie Voor de implementatie van dit luik is de reeds bestaande packet sniffing software onderzocht. De grote meerderheid van deze software valt terug op de Pcap application programming interface (API). Het handige aan deze API is dat deze beschikbaar is voor bijna elk besturingssysteem. Zo is voor Linux en OSX de LibPcap software beschikbaar en voor Windows de WinPcap software. In sectie hangt de keuze van onze ontwikkel omgeving af van de implementatie van dit luik. De vraag is echter of hier opnieuw een vrije keuze is. Na verder onderzoek blijkt dat de Pcap API geschreven is in C. Hierdoor is voor Java en.net niet meer dan een wrapper library nodig om van zijn functionaliteit gebruik te kunnen maken. Tevens heeft WinPcap software zijn eigen drivers, specifiek voor Windows systemen. Deze zorgen voor een rechtstreekse uitlezing van de internet pakketten door de netwerk adapter. Zo is alles reeds beschikbaar voor de.net omgeving van Microsoft. Er wordt dan ook geprefereerd om de c# taal te gebruiken voor de implementatie. Figuur 4.14: WinPcap structuur Door de WinPcap software is alle functionaliteit aanwezig op het hostsysteem. Nu is er alleen nog een brug nodig tussen de firewall software en die van WinPcap om aan packet capturing te kunnen doen. Ook hier kan er terug gebruik gemaakt worden van twee bestaande libraries namelijk Pcap.Net of SharpPcap. Deze zorgen ervoor dat de Pcap API via WinPcap bruikbaar is in de Adaptive Firewall software. Bij testen blijken Pcap.Net en SharpPcap beiden snel en stabiel, maar er zijn wel grote verschillen in de opbouw van de twee wrapper libraries. Zo maakt SharpPcap gebruik van pinvoke. Hiermee wordt bedoeld dat via reflectie, functies geïmplementeerd kunnen worden op de Pcap API. Pcap.NET gebruikt de C++/CLI waardoor deze sneller de Pcap

78 4.2 Adaptive Firewall software 59 API zou kunnen aanspreken. Tests geven echter dezelfde resultaten qua snelheid en geen packet loss. De auteur van SharpPcap claimt echter sneller te zijn dan Pcap.NET. Deze library is minder uitgebreid waardoor deze minder overhead zal creëren. De effectieve implementatie van de SharpPcap library wordt gedaan in vier stappen. 1. Kies een NIC waarop de Pcap Library hem moet connecteren: // voeg a l l e NIC toe aan een combobox PcapDeviceList d e v i c e s = SharpPcap. GetAllDevices ( ) ; // b i j s e l e c t i e van een d e v i c e ken d i t toe aan een g l o b a l e v a r i a b e l e NetworkDevice l i s t e n i n g D e v i c e = ( ( clsnic ) cbonic. SelectedItem ). Device ; Codefragment 4.8: Connecteren van een NIC op de Pcap Library 2. Voeg een event toe op deze NIC, als er een nieuw pakket toekomt: // event handler toevoegen om de p a k k e t t e n t e verwerken l i s t e n i n g D e v i c e. PcapOnPacketArrival += device PcapOnPacketArrival ; Codefragment 4.9: Event bij nieuw pakket 3. Creëer de functie die alle pakket data moet opvangen: void device PcapOnPacketArrival ( object sender, Tamir. IPLib. Packets. Packet packet ) {} Codefragment 4.10: Opvangen van een nieuw pakket 4. Start de Pcap packet capturing: // S t a r t de NIC voor c a p t u r i n g // t r u e means promiscuous mode // 1000 means a read wait o f 1000ms l i s t e n i n g D e v i c e. PcapOpen ( true, 1000) ; // s t a r t capuring on t h i s d e v i c e l i s t e n i n g D e v i c e. PcapStartCapture ( ) ; Codefragment 4.11: Starten van de packet capturing

79 4.2 Adaptive Firewall software Packet reconstruction Inleiding De volgende grote stap binnen de software is de heropbouw en ordening van inkomende internet pakketten. Dit is nodig aangezien de Pcap API werkt op de transportlaag van het OSI-model dat normaal de volgorde, foutcontrole,... op zich neemt. Doordat de firewall software een kopie van de pakketten krijgt die naar de te beveiligen host gaat is het niet mogelijk om te interageren met het netwerkverkeer. Wat wel mogelijk is, is foutcontrole en volgordecontrole. De heropbouw en ordening van inkomende internet pakketten is nodig om de interne data van een internet connectie te kunnen uitlezen. Implementatie In deze Proof of concept wordt er alleen rekening gehouden met TCP en UDP. Dit omdat het gros van alle internetverkeer gebruik maakt van deze protocollen. Andere protocollen van de transportlaag bijvoorbeeld SCTP of DCCP worden aanzien als een mogelijke uitbreiding op deze masterproef. De SharpPcap library neemt de foutcontrole van de UDP en TCP pakketten op zich. Bij UDP kan dit alleen maar als een checksum (controlewaarde) wordt meegegeven. Om de pakketten te kunnen herconstrueren worden er connecties gedefinieerd. Deze omvatten alle pakketten tussen twee IPs en hun bijhorende poort. Via een herkenningsfunctie wordt een inkomend pakket gekoppeld aan een reeds bestaande connectie of aan een nieuwe connectie. Dezelfde functie zal dan ook de data van het pakket op de correcte plaats toevoegen aan de volledige data string van de gekoppelde connectie (zie figuur 4.15).

80 4.2 Adaptive Firewall software 61 Figuur 4.15: Packet reconstruction Softwarematig zitten de connecties in een dictionary met als key de connectie en als value het reconstructie object van de data in het pakket. Bij UDP pakketten wordt de data gewoon toegevoegd aan de algemene data string van de connectie aangezien hier geen volgorde beschikbaar is. Dit wordt geregeld door het udprecon object. Bij TCP worden alle pakketten opgeslagen in het reconstructie object hier tcprecon genaamd. Als een nieuw pakket wordt toegevoegd aan de connectie zal tcprecon de volledige tcp verbinding proberen te herconstrueren om zo de volledige data van die connectie te bekomen. Om hiervoor een zo performant mogelijke functie te ontwerpen is de broncode van Wireshark onderzocht. Wireshark is namelijk een van de meest gebruikte en effectieve packet sniffing tool dat zoals onze firewall gebruik maakt van de WinPcapsoftware. Het stappenplan van de uiteindelijke functie is zichtbaar in figuur 4.16.

81 4.2 Adaptive Firewall software 62 Figuur 4.16: TCP connectie reconstructie Voor meer informatie over de omzetting van Wireshark naar c# zie [40] Machine learning Inleiding Een Adaptive Firewall is een firewall die acties onderneemt aan de hand van voorgedefinieerde regels. Deze regels moeten op een eenvoudige manier worden aangemaakt. Om dit mogelijk te maken is er aan de firewall machine learning toegevoegd. Training Doordat de firewall alle data van de te beveiligen host ontvangt kan die gebruikt worden voor de machine learning. De bedoeling is dus dat deze host de applicatie opent die gedetecteerd moet worden. Hierbij komen de gegenereerde connecties van deze applicatie binnen in de firewall, hier de flow genoemd. Omdat het niet mogelijk is om op het moment van de training maar één bepaalde software toe te laten op het internet, zullen er ook bijkomstige connecties aanwezig zijn, hier aangeduid als ruis.

82 4.2 Adaptive Firewall software 63 Sequenties worden gebruikt om de ruis weg te filteren en alleen de echte connecties over te houden. Elke sequentie bevat een reeks connecties die in een bepaalde tijdsperiode ontvangen worden door de firewall. Het is dus de bedoeling dat een sequentie gestart wordt. Daarna moet op de te beveiligen host de te detecteren applicatie geopend worden, waarna de sequentie gestopt mag worden. Om betrouwbare data te bekomen, dient het voorgaande driemaal herhaald te worden. Als er minder sequenties gebruikt worden kan er teveel ruis aanwezig zijn. Indien er meer dan drie sequenties aangemaakt worden, kan de firewall sommige ruis mee trainen of echte flowconnecties negeren. De finale firewall-regel kan daardoor data bevatten van een andere applicatie. Er kan ook te weinig data aanwezig zijn om de applicatie te kunnen detecteren. Een connectie behoort tot de flow als deze aanwezig is in elke sequentie. Figuur 4.17: Training van de Howest.be firewall regel De reden voor machine learning is dat er enige interventie en inzicht van de gebruiker nodig is. De software geeft de gedetecteerde flow aan, waardoor de ruis verwijderd is en de gebruiker de firewall-regel eenvoudiger kan instellen. Het IP van de te beveiligen host wordt door de firewall veranderd naar Secured IP of simpelweg SIP.

83 4.2 Adaptive Firewall software 64 Training en DNS Het volgende grote obstakel is DNS (Domain Name System). Het is niet omdat een programma een connectie legt naar een bepaald IP dat dit het enige IP is dat kan worden gebruikt om een applicatie op te starten. Zo kunnen via DNS meerdere IP s verkregen worden voor dezelfde applicatie. Een voorbeeld hiervan is de website van Google, namelijk welke kan bereikt worden via elf verschillende IP s. Als het opgegeven IP niet werkt, zal de applicatie één van de tien andere IP s gebruiken en op deze manier de firewall omzeilen. Een oplossing is dat de firewall zelf DNS requests doet en zo alle mogelijke IP s toevoegt aan zijn flow via reverse DNS. Het probleem is dat een globale naam van de server verkregen wordt in plaats van een correcte URL. Bijvoorbeeld bij het opvragen van het IP krijg je via reverse DNS nuq04s06-in-f7.1e100.net. Hier is manuele interventie van de gebruiker nodig. Via eigen inzicht moet nuq04s06-in-f7.1e100.net veranderd worden naar Soms varieert de vertrek- of eindpoort van een connectie. Het is opnieuw aan de gebruiker om deze manueel te verwijderen. Let op de kolom order in figuur De volgorde van de connecties wordt namelijk ook gedetecteerd en gebruikt in de firewall. In deze volgorde worden er regels opgelegd aan de OVS. Figuur 4.18: Flow van de Howest.be firewall regel

84 4.2 Adaptive Firewall software 65 Meerdere applicaties op hetzelfde IP Het is niet ongebruikelijk dat er meerdere applicaties via één IP werken. Wanneer een firewall een volledig IP zou blokkeren, verhindert deze de toegang tot alle applicaties in plaats van alleen de bedoelde toepassing. Om dit tegen te gaan, kijkt de firewall naar één van de gegenereerde connecties en de data die deze bevat. De hierboven besproken flow wordt geëxtraheerd uit meerdere sequenties. Aangezien de flow bestaat uit connecties, is er voor elke connectie meerdere keren dezelfde data aanwezig. Die data wordt ten opzichte van elkaar vergeleken op gemeenschappelijke woorden. Als bijvoorbeeld het woord howest.be voorkomt in alle sequenties van dezelfde connectie, zal de firewall dit ook aangeven als extra filter voor de detectie. In dit geval mag de te beveiligen host de connectie maken welke gedefinieerd is in de flow. Zolang in de interne data howest.be niet voorkomt, zal de firewallregel niet toegepast worden. Zoals te zien in figuur 4.19 heeft de software 184 overeenkomstige woorden gedetecteerd in de connectie. Het is aan de gebruiker om alleen de relevante woorden te houden. Indien er meerdere woorden blijven staan, wordt de firewall-regel alleen maar strenger en dus ook trager. Dit omdat de regel alleen van kracht gaat als alle opgegeven woorden gevonden zijn. Figuur 4.19: Overeenkomstige woorden filter

85 4.2 Adaptive Firewall software Real-time detectie van applicaties Inleiding Wanneer de firewall gestart wordt, is het belangrijk dat er zo snel mogelijk een bepaalde flow wordt gedetecteerd. Binnen dit luik draait het onderzoek rond het creëren van performante code. Van zodra een internetpakket toekomt in de firewall software moet er bepaald worden of deze voorkomt in een firewall-regel. Bijkomend wordt bepaald of een reconfiguratie van de OVS nodig is. Methode De meeste inkomende internetpakketten voldoen niet aan een firewall-regel. Bijgevolg is de detectiesnelheid van uitermate belang. De snelste manier blijkt het opmaken van een lijst van alle connecties met hun bijhorende firewall-regel die fastcheck-lijst genoemd wordt. Op deze manier is heel snel uit te maken of een internet-pakket al dan niet verder onderzocht moet worden. Als dit pakket beschikbaar is in de fastcheck-lijst moet een andere lijst worden geraadpleegd: de fullrulelijst. In deze lijst zit de naam van de firewall-regel als key en de volledige flow als value. De volgende stap is in deze flow de connectie van het internetpakket opzoeken. Wanneer deze connectie gedetecteerd is in de flow, dient gecontroleerd te worden of de data van deze connectie een woord moet bevatten. De herconfiguratie van de OVS wordt doorgevoerd als voor één connectie binnen de flow van de firewall-regel, aan alle voorwaarden is voldaan. In sectie wordt hier dieper op ingegaan. Om deze methode efficiënt te implementeren, is de snelheid waarmee in de lijsten wordt opgezocht het belangrijkste aspect. Implementatie In C# gebruikt de dictionary de structuur van een hashtable. Omdat hierin de keyelementen bijna ogenblikkelijk worden opgespoord, geniet deze implementatie van een lijst de voorkeur voor gebruik in de firewall-software. Hierdoor wordt de fastcheck lijst een

86 4.2 Adaptive Firewall software 67 dictionary van het type Dictionary<String,String> met als key de string [udp,tcp] from IP destination IP. In de value komt ook een string met daarin de naam van de firewallregel bijvoorbeeld Howest website. De fullrule-lijst is een dictionary van het type Dictionary<String,List<clsRule>>. Deze heeft als key een string met de naam van de firewall-regel. De value bestaat uit de flow van de firewall-regel, die een lijst van connecties bevat. Dit omdat zo snel mogelijk de value van de connectie moet kunnen worden opgevraagd. Uit onderzoek blijkt dat het langer duurt om een value op te vragen in een dictionary dan in een lijst. Voor pure iteratie is het dus beter om een lijst te gebruiken dan een dictionary. Voor meer informatie zie [41]. Eenzelfde connectie in meerdere firewall-regels In de fastchecklijst wordt de connectie als key gebruikt. Maar de key moet in een dictionary altijd uniek zijn. Dit lijdt in sommige gevallen tot conflict: dezelfde connecties zorgen voor gelijke keys in de dictionary. Een derde lijst kan de oplossing bieden. Hierin wordt opnieuw dezelfde key gebruikt als in de fastcheck lijst. De value bevat het aantal keer dat de connectie voorkomt. Aan iedere weerkerende connectie wordt een volgnummer toegevoegd om het onderscheid te maken. De precieze werkwijze voor de behandeling van een inkomend internet pakket wordt weergegeven in figuur 4.20 en figuur 4.21.

87 4.2 Adaptive Firewall software 68 Figuur 4.20: Stappenplan inkomende connectie Figuur 4.21: Controle of de inkomende connectie aan de firewallregel voldoet

88 4.2 Adaptive Firewall software Herconfiguratie van de OVS Inleiding Als een applicatie gedetecteerd wordt zullen voorgedefinieerde regels worden opgelegd aan de OVS zodanig dat de applicatie al dan niet kan worden uitgevoerd op de te beveiligen host. Op het moment dat de firewall gestart wordt, zullen onmiddellijk bepaalde regels worden doorgevoerd. Als de firewall gestart wordt met de optie Block All, zal het systeem elke communicatie onmogelijk maken. Daarom moeten vanaf de start bepaalde regels aan de OVS worden opgelegd. Implementatie Om te communiceren met de OVS gebruikt de firewall SSH (Secure Shell). Dit protocol maakt het mogelijk om op een beveiligde manier commando s op de host van de OVS uit te voeren. Voor de software-implementatie in de firewall wordt gebruik gemaakt van een library, namelijk Granados SSH client library. Onderzoek toont aan dat er meerdere SSH libraries voorhanden zijn. Rekening houdend met de noden van de firwall, blijkt de Granados-library de beste keuze. Deze is de snelste en betrouwbaarste library van de onderzochte groep. Met uitzondering van de Granados SSH client library bestaat de onderzochte groep uit volgende libraries: SharpSSH, SshTerminalConsole, WinSCP.NET en wodssh.net. Wanneer de firewall regels doorvoert zullen deze via een SSH client commando s doorsturen naar de host van de OVS. Op deze manier wordt de OVS geconfigureerd. Herconfiguratie bij detectie Bij detectie zal de firewall voorgedefinieerde regels uitvoeren op de OVS. Deze regels zijn de connecties beschreven in de flow van een firewall-regel (zie sectie 4.2.7). Ook de volgorde in de flow moet worden gerespecteerd. De eerste regel die verstuurd wordt naar de OVS is dus ook de eerste connectie die gedefinieerd werd in de flow, enz. Voor elke connectie binnen de flow zullen tevens twee OVS regels gegenereerd worden.

89 4.2 Adaptive Firewall software 70 De eerste regel definieert of de connectie van de te beveiligen host naar een externe host al dan niet wordt toegelaten. Hier wordt rekening gehouden met de van/naar poort die opgegeven is in de flow configuratie van deze connectie. ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0 x0800, nw src=s o u r c e i p, nw dst=d e s t i n a t i o n i p, nw proto=6 o f 1 7, t p s r c= s o u r c e p o r t, t p d s t=d e s t i n a t i o n p o r t, p r i o r i t y =30000, i d l e t i m e o u t =900, a c t i o n s= drop of normal Codefragment 4.12: Herconfiguratie van de OVS Bij de variabele actions wordt drop gebruikt indien de firewall geconfigureerd is op Allow all. Indien gestart werd met Drop all wordt de overeenkomstige actie normal. Bij variabele nw proto staat de waarde 6 voor TCP en 17 voor UDP. Extra informatie over de OVS regels is terug te vinden in sectie Herconfiguratie bij opstart Bij het opstarten verwijdert de firewall eerst alle bestaande regels. Dit gebeurt met de volgende uitdrukking: ovs o f c t l del f l o w s br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0 x0800, n w s r c=any, nw dst=any, nw proto=any Codefragment 4.13: Reset firewall bij opstart Indien de firewall start met optie Deny all, worden extra regels onmiddellijk toegevoegd aan de OVS. Die regels zorgen ervoor dat geen enkele connectie kan gemaakt worden op een paar uitzonderingen na. Het moet mogelijk zijn dat alle hosts connectie maken met DNS-servers. Dit is het eerste wat bijna elke internetapplicatie doet bij opstart. Alleen de DNS servers die geconfigureerd staan in de firewall kunnen hiervoor gebruikt worden. Dit verzekert de veiligheid van het systeem.

90 4.2 Adaptive Firewall software 71 Een overzicht van de gebruikte regels: Blokkering van TCP data: ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0 x0800, n w s r c=any, nw dst=any, nw proto =6, t p s r c=any, t p d s t=any, p r i o r i t y =1, i d l e t i m e o u t =0, hard timeout =0, a c t i o n s=drop Codefragment 4.14: Blokkering van TCP data Blokkering van UDP data: ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0 x0800, nw src=any, nw dst=any, nw proto =17, t p s r c=any, t p d s t=any, p r i o r i t y =1, i d l e t i m e o u t =0, hard timeout =0, a c t i o n s=drop Codefragment 4.15: Blokkering van UDP data Toelaten van de Google DNS: ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0x0800, nw src=any, nw dst = , nw proto =6, t p s r c=any, t p d s t=any, p r i o r i t y =1, i d l e t i m e o u t =0, hard timeout =0, a c t i o n s=normal ovs o f c t l add flow br0 d l v l a n=0 x f f f f, d l s r c=any, d l d s t=any, d l t y p e=0x0800, nw src=any, nw dst = , nw proto =17, t p s r c=any, t p d s t=any, p r i o r i t y =1, i d l e t i m e o u t =0, hard timeout =0, a c t i o n s=normal Codefragment 4.16: Toelaten van de Google DNS Extra informatie over de OVS regels is terug te vinden in sectie

91 RESULTATEN 72 Hoofdstuk 5 Resultaten 5.1 Inleiding In sectie werden oplossingen voorgesteld om een Adaptive Firewall te ontwerpen binnen een cloud-omgeving. De proof of concepts waren gepland om enerzijds met de vnetwork Distributed Switch en anderzijds via VMSafe uitgewerkt te worden. Tijdens de implementatie van de topologie bleken er echter enkele grieven ten opzichte van deze oplossingen, zoals besproken in sectie Een alternatief is gevonden in Open vswitch, welke dezelfde functionaliteit biedt als de vnetwork Distributed Switch. De implementatie en proof of concept zijn dusdanig uitgevoerd met deze virtuele switch. Een extra voordeel bij deze keuze is dat deze virtuele switch binnen een VM kan gedraaid worden, omdat deze puur softwarematig werkt. Deze uitwerking is dus onafhankelijk van de hypervisor, wat een breder toepassingsgebied als resultaat geeft.

92 5.2 Cases Cases Om de effectiviteit van de Adaptive Firewall na te gaan, zijn er twee cases gedefinieerd. Elke case zal op een andere manier omgaan met de firewall om de bedreigingen tegen te gaan zoals beschreven in sectie Voor een gedetaileerd overzicht en demo hoe deze cases uitgevoerd worden, zie sectie C. In de case Case allow all, block some wordt de firewall zo geconfigureerd dat hij alles toelaat, behalve de voor-gedefinieerde applicaties. Een praktijkvoorbeeld is een bedrijfsleider die niet toelaat dat zijn werknemers Facebook gebruiken op bedrijfscomputers. Alle VM s van deze klant moeten dus het dataverkeer van en naar Facebook blokkeren. Zoals weergegeven in sectie C.3 detecteert de firewall wanneer een gebruiker naar Facebook gaat. Aangezien op dat moment de firewall software nog nieuwe regels moet opleggen aan de OVS om deze applicatie te blokkeren, is er een kleine hoeveelheid aan data toch doorgeraakt naar de machine van de gebruiker. Dit is namelijk de data die nodig is voor de detectie van de applicatie. Na onderzoek blijkt dat gemiddeld 20 bytes aan data doorgelaten wordt alvorens de firewall de applicatie zal blokkeren. In de case Case block all, allow some zal de firewall alle dataverkeer blokkeren, behalve de voor-gedefinieerde programma s, websites of situaties. Een praktijkvoorbeeld is een hogeschool die op de opendeurdag elk computersysteem enkel toegang wil verlenen tot de website van de hogeschool zelf. Een tweede voorbeeld is een bibliotheek die enkel zijn online catalogus wil toelaten op de computersystemen. Zoals weergegeven in sectie C.4 detecteert de firewall wanneer een gebruiker naar de toegelaten applicatie gaat. Omdat de firewall opnieuw data nodig heeft alvorens deze de toegestane applicatie zal detecteren en dus nieuwe regels aan de OVS kan opleggen, is hier terug enige vertraging aanwezig. Eenmaal de firewall regel is doorgevoerd op de OVS is er geen sprake meer van een vertraging. Er zal dus een keuze gemaakt moeten worden tussen een veiliger maar trager systeem of een systeem dat geen vertragingen veroorzaakt maar wel eenmalig 20 bytes aan data van een niet toegestane applicatie doorlaat.

93 5.3 Aandachtspunten Aandachtspunten Tijdens het verloop van deze masterproef zijn er een aantal zaken die opvielen en toch zeker het vermelden waard zijn: ˆ Open Source: Open systemen zijn uiteraard aangenaam om mee te werken, omdat deze een zeer open karakter hebben naar de community toe. Het feit dat er (meestal) niet voor moet betaald worden en deze vrij te gebruiken zijn, maakt deze keuze nog interessanter. Documenteren is echter niet altijd een hoofdprioriteit, en zeker bij nieuwe producten of projecten is informatie hieromtrent zeer schaars. De tijd en energie die kruipt in het ontwikkelen en testen (én later ondersteunen) van open omgevingen is zeker niet te onderschatten. Men zou zelfs kunnen suggereren dat betalen voor een kant en klaar pakket (zoals de VMware vnetwork Distributed Switch) minder zou kosten dan een eigen ontwikkeling gebaseerd op een open systeem. ˆ Reverse engeneering: Voor de ontwikkeling van de packet sniffing is een deel van Wireshark via reverse engineering tot stand gekomen. Dit is volledig conform met de auteurswetgeving, reverse engineering is toegestaan [35]. ˆ Project managment: Bij de planning van een project zoals deze masterproef, waar er als doel de creatie van een innovatief product wordt bepaald, wordt een lineair verloop van het project gepland. Als de kans op slagen of het eindresultaat echter niet duidelijk te bepalen is, dan is het in principe onmogelijk om hier een planning voor op te stellen. Als een contract met dergelijk doel en bepaalde verwachtingen wordt getekend, in hoeverre kan er dan gespecifieerd worden wanneer dit voltooid zal zijn en tot op welk niveau tussentijdse deadlines representatief zullen zijn? Figuur 5.1 is een realistischere voorstelling van de werkelijkheid, waarbij x onmogelijk te definiëren valt.

94 5.3 Aandachtspunten 75 Figuur 5.1: Realistischere voorstelling van project management - [57]

95 CONCLUSIES EN TOEKOMSTPERSPECTIEVEN 76 Hoofdstuk 6 Conclusies en toekomstperspectieven 6.1 Inleiding In deze masterproef werdt vanuit het oogpunt van de cloud-gebruiker en de cloud-aanbieder onderzocht wat de huidige IT-beveiligingsproblemen zijn in een cloud-omgeving. Het tweede luik van dit onderzoek concentreert zich op het creëren van een oplossing voor één van deze problemen, namelijk het veiligstellen van gegevens (data protection, zie sectie 2.1). In dit hoofdstuk wordt nagegaan in welke mate de gecreëerde oplossing voldoet aan de vooropgestelde onderzoeksvragen, uiteengezet in sectie Conclusie Om de veiligheid van de data van de gebruiker in de cloud te kunnen garanderen moet dit probleem aan de bron worden aangepakt. Dit kan alleen als er op de machine van de gebruiker toezicht wordt gehouden op de netwerkconnecties die applicaties aanmaken. Door alleen toegestane applicaties deze netwerkconnectiviteit aan te bieden, wordt de kans op onder meer virussen en hacking drastisch verkleind waardoor de veiligheid van de data wordt verhoogd. Dit probleem kan worden opgelost door het plaatsen van een Adaptive Firewall, zie sectie 2.2. Het adaptieve aspect van de firewall wordt bekomen door het feit dat deze zijn regels

96 6.2 Conclusie 77 zal aanpassen aan de situatie in het netwerk. Dus enkel bij het detecteren van bepaalde datastromen zullen er regels in de Firewall gedefinieerd worden. Deze verlopen na een bepaalde tijdsduur, wat het gehele systeem een dynamisch karakter geeft. De gecreëerde Adaptive Firewall binnen deze masterproef werkt onafhankelijk van het te beveiligen systeem en detecteert de (al dan niet toegestane) applicaties via patroonherkenning. De firewall werkt specifiek voor een te beveiligen machine en dus niet voor het volledige netwerk van de aanbieder, wat een verschillend beleid per VM toelaat. Doordat de Adaptive Firewall niet geïnstalleerd moet worden op de machine van de gebruiker kan de cloud-aanbieder deze machine standaard beveiligen tegen gekende virussen of malware. Indien de gebruiker zelf de middelen of kennis niet heeft om een firewall op zijn machine te installeren zal deze dus toch beschermd worden. Als de gebruiker wel de kennis heeft, kan deze zelf de Adaptive Firewall instellen zodat deze alleen de vooraf ingestelde applicaties doorlaat. Door deze Adaptive Firewall kan een cloud-aanbieder de veiligheid van zijn aanbod garanderen en dit ongeacht de kennis en mogelijkheden van individuele klanten en wordt de data op de machine van de gebruiker nog beter beveiligd. De ontwikkelde firewall is state of the art omdat deze dezelfde functionaliteit aanbiedt als zijn lokaal geïnstalleerde tegenhanger, maar dan nu in een cloud-omgeving. Ook is dit product zeer innovatief door zijn topologie. Hier wordt namelijk een virtuele switch gecombineerd met een controle VM-systeem, dat onafhankelijk is van de gekozen hypervisor. Hierdoor is het mogelijk om deze op een breed scala van hypervisors te draaien, zonder daarbij afhankelijk te zijn van één aanbieder. De migratie van de VM s is zeer eenvoudig, dus er kan snel gewisseld worden van systeem en aanbieder. Door deze topologie is de firewall dus volledig schaalbaar, wat toelaat om deze te implementeren in combinatie met een load balancer. Hierbij worden meerdere controle VM s met Adaptive Firewall software voorzien. Bij druk dataverkeer kan dit dan gesplitst worden over de verschillende controle VM s. Hetzelfde geldt ook voor de Open vswitch VM. Geconcludeerd: Een Adaptive Firewall die gebruik maakt van de hedendaagse cloudtechnologieën ter bescherming van de cloud-gebruiker zonder dat deze hierover kennis hoeft te hebben.

97 6.3 Verder onderzoek Verder onderzoek De Adaptive Firewall werkt louter via patroonherkenning. Niettegenstaande deze benadering, zijn er nog steeds applicaties die ondetecteerbaar zijn. Dit is deels te wijten aan een combinatie van variabele IP-adressen, variabele poorten en variabele datainhoud. De flow herkenning uitbreiden om zelfs deze applicaties te herkennen is een studie op zich. De machine learning zorgt ervoor dat de software gebruiksvriendelijk is bij het aanmaken van een nieuwe firewall-regel. De gecreëerde proof of concept maakt enkel gebruik van basis detectiesystemen waardoor er nog ruimte is voor verbetering. Het detectiesysteem kan verder worden uitgewerkt waardoor de gebruiker meer ondersteuning krijgt. Zo kan bijvoorbeeld aan de hand van de data binnen een connectie, de reverse DNS functionaliteit worden verbeterd. Door verder onderzoek op de detectie zou dit systeem zelfs volledig geautomatiseerd kunnen worden. Om het systeem zo veilig mogelijk te maken zou er een controlemechanisme aanwezig moeten zijn dat nagaat of de firewall alle mirror pakketten van de te controleren machine doorkrijgt en of de SSH communicatie tussen de software en de Open vswitch niet verstoord wordt. Een systeem dat deze fouten kan detecteren en tegengaan, zou de firewall software alleen ten goede komen.

98 MINDMAPS 79 Bijlage A Mindmaps Deze mindmaps werden doorheen de literatuurstudie en het onderzoek opgebouwd om een beter overzicht en structuur te krijgen van alle begrippen. Deze verduidelijken ook de kanalisatie waarbij tot één specifiek onderwerp gekomen werd.

99 MINDMAPS 80 Innovation Evaluative Standards Prescriptive Standards Vendor Lock-in Business model Cloud Compliant Strategy Strategic Planning Infostructure 2 Hypervisors VMsafe Virtualization 4 VMware Iaas 3 Storage Data Centers PC Speed Performance Data Sharing Model Data Coloring Reputation System Saas 5 Distributed Anti-Virus Scheme Taas 6 Paas 7 Metastructure 8 SOA 9 Cloud Computing IT Governance 10 Policy decision points Policy enforcement points Business model Risk management Strategic planning Privacy Data control Anti-virus Data Sharing Model Data Acces Control TrustVisor IT Security Data Owner Control XML Signature Element Software Watermarking Cloud Security 11 Data Protection (information security) 1 Security Token Services Data Privacy Binding Corporate Rule Encryption Data Partitioning Data Wrapping Data Integrity Measurement Protection Safe Safe Harbor Issues Piece of mind Secure Trusted computing Trust overlays Available DDOS XDOS Cybercrime Authority Figuur A.1: Mindmap Cloud Security

100 MINDMAPS 81 Andere security aspecten in andere landen vb. Patriot act Dataretentie Data lock-in 29 Data Duplication issue: cross-vm side-channel attacks 30 Trust Bv Vmotion aspect (VM s kunnen hoppen naar andere fysieke systemen In de toekomst het migreren van workloads/vm s naar andere geografische locaties (VXLAN) Aandachtspunten bij cloud security Security architecture Fysieke edge devices die security services in de achterliggende cloud aanbieden Virtuele security appliances die in de cloud gedeployed worden als virtuele netwerk appliances Hypervisor based security architecturen (zoals bv VMSafe) Momenteel geen. 7 Performance en resource impact van hypervisor en virtual appliance approaches Zwaardere payload Virtual netwerken binnen een en dezelfde host, wat geeft dat als impact voor security (een fysieke firewall/ids sensor Wat met nieuwe trends zoals application firewalling (ipv network firewalling) op een cloud omgeving Local data now outside 10 Router architectuur -> veel complexer 11 Cloud security 31 Firewall Volledig nieuwe aanpak nodig! 12 Alles gaat over poort 80/44313 Adaptable firewall 15 Inspectie van packets & applicaties nodig om de user & zijn acties te kunnen identificeren 14 As a service? 16 Niet volledig mogelijk -> trojan malware "Bohu" 17 Private Public Deployment van policies in de cloud Impact cloud computing architectuur op volgende security aspecten IDS/IPS 19 Require specific hardware 20 Blue coat : ProxyOne appliance 18 Hybrid remote attestation 1 authenticated boot 2 API s voor het aanmaken van security devices Automatisatie & beheer Virus scanning Panda software22 Cloud based 21 VeriSign 23 Trend Micro 24 virtual machine 3 monitor trace module 4 system call tracer 5 decisionmaking engine 6 Configureren van schaalbare security systemen (central managment aspects) Symantec 25 Information-centric security 26 Fysieke bescherming Sysadmins controleren 27 Beveiliging van API s of GUI s van cloud producenten Huurder vd cloud OOK nog steeds verantwoordelijk voor 28 security! Figuur A.2: Mindmap 4 pijlers van Cloud Security Zwaardere payload 8 Datacenter interconnectivity 9

101 MINDMAPS 82 Niet noodzakelijk om een actie te ondernemen! Security IN en rond het netwerk! Passief systeem 17 Statistical anomaly-based IDS 18 Technieken Signature-based IDS 19 Firewall = Security tussen netwerken Gaat via vooraf opgestelde policy's het systeem gaan beveiligen. IPS 20 Actief systeem 21 IDS 16 Adaptive Firewall Alert/Alarm 2 True Positive 3 False Positive 4 False Negative 5 True Negative 6 Voor de volledigheid -> niet gebruikt! Noise 7 Terms 1 Site policy 8 Site policy awareness 9 Confidence value 10 Masquerader 11 Alarm filtering 12 Attacker / Intruder 13 Misfeasor 14 Clandestine user 15 Zelf security policy's bijsturen a.d.v. het IDS systeem. Volgens het nist mag het bijgestuurd worden maar hoeft dit niet. 23 Hoofdzaak : Reports! 24 SNORT 26 Metasploit 25 Bestaande systemen NIDS Nmap IDPS 22 Types Wireshark Niet volledig : kan alleen scannen wat zijn interface ziet! in een DMZ kan deze wel alles bekijken! Sguil DMZ: alles passeert hier Access control Security information and event logging for the cloud. OSSEC 28 Features of there SecureCloud 29 Control over own security regardless of hosted provider security controls. HIDS 27 Protection from unauthorized access to data Privacy of data Data portability Adherence to enterprice policy controls Bestaande systemen still in beta! Vooral voor mainframes Problemen Noise can severely limit an Intrusion detection system's effectiveness. Bad packets generated from software bugs, corrupt DNS data, and local packets that escaped can create a significantly high false-alarm rate 30 It is not uncommon for the number of real attacks to be far below the false-alarm rate. Real attacks are often so far below the false-alarm rate that they are often missed and ignored 31 Many attacks are geared for specific versions of software that are usually outdated. A constantly changing library of signatures is needed to mitigate threats. Outdated signature databases can leave the IDS vulnerable to new strategies 32 Figuur A.3: Mindmap Adaptive Firewall

102 MINDMAPS 83 Cloud computing security computer security network security information security cloud computing Security issues associated with the cloud SaaS / Software- Dimensions of cloud security data security / secure data privacy Data protection data storage device / stored data breach / data leaks Identity management Security and privacy identity management system federation SSO Physical and personnel security Availability Application security application security Application firewall#distributed web application firewalls / application-level firewalls Privacy data masking / masked Payment Card Industry Data Security Standard Health Insurance Portability and Accountability Act Sarbanes-Oxley Act Compliance Business continuity and data recovery business continuity planning / business continuity data recovery Logs and audit trails audit trails ediscovery Unique compliance requirements intellectual property Legal and contractual issues Public records Records management / records-keeping public sector Records management#managing electronic records / electronic records References Figuur A.4: Mindmap Cloud Security

103 CLOUD COMPUTING 84 Bijlage B Cloud Computing B.1 Oude ideeën in een nieuw jasje Cloud computing berust op een aantal principes die al een tijd aanwezig zijn. Het is interessant om dit parallel te bekijken met terminals en mainframes. De opdrachten worden via terminals (die zelf weinig of geen rekenkracht hebben) doorgestuurd naar de mainframe. Deze zal de opdrachten uitrekenen/uitvoeren en het resultaat terugstuurt naar de terminal. Dit concept wordt ook gebruikt onder de noemer thin client [30]. Het verschil met de terminals is dat de thin clients zelf al een deel van de invoerbewerking voor hun rekening kunnen nemen en zelf een besturingssysteem hebben. Figuur B.1: IBM Mainframe system [43]

104 B.1 Oude ideeën in een nieuw jasje 85 Deze manier van werken heeft een aantal voordelen [54] die bij cloud computing (gedeeltelijk) overeenkomen: ˆ Lagere kosten voor IT beheer: De clients zijn namelijk volledig op de mainframe te beheren. ˆ Minder kans op hardware defecten: De clients hebben eenvoudige hardware. ˆ Beter te beveiligen: De gebruikersomgeving is afgeschermd en bewaart vaak geen gegevens van de gebruiker. Dit komt omdat de applicatiedata nooit op de client bewaard wordt, dus deze is bij wisselen van gebruiker niet terug op te vragen uit het geheugen van de client. ˆ Lagere kosten in aankoop: Thin clients zijn goedkoper dan een complete computer. Deze hoeven namelijk niet te beschikken over een krachtige processor en een uitgebreide harde schijf. ˆ Lager energieverbruik: Dit resulteert in lagere energiekosten. ˆ Minder diefstal: Aangezien een thin client voorzien is op de samenwerking met een mainframe is deze vrijwel waardeloos buiten het netwerk. ˆ Minder netwerkbelasting: Enkel input van muis/toetsenbord wordt naar de mainframe verstuurd, er zal nooit data naar de client teruggestuurd worden, enkel scherminformatie. Zo is het dataverkeer binnen de mainframe ook gemakkelijker te beheren. ˆ Efficiënt gebruik van resources: Bij een complete computer is de rekenkracht voorzien op maximaal gebruik. Binnen een groep thin clients is de kans groot dat het intensief gebruik van één gebruiker gecompenseerd worden door het matig gebruik van de andere gebruikers. Er worden dus enkel zoveel resources gebruikt als er nodig zijn. ˆ Eenvoudige uitbreidingen mogelijk: Als er dan toch meer systemen nodig zijn is een mainframe gemakkelijk uit te breiden met meerdere terminals of thin clients.

105 B.1 Oude ideeën in een nieuw jasje 86 Enkele nadelen treden echter ook op: ˆ Krachtige mainframe/server nodig: Omdat de thin clients zelf geen berekeningen uitvoeren, zijn zware systemen nodig. ˆ Niet haalbaar voor grafische intensieve toepassingen: Een grote hoeveelheid data zou namelijk doorgestuurd moeten worden van de client naar de terminal en vice-versa. De bandbreedte die hiervoor nodig is zou veel kosten. ˆ Minder mogelijkheden aan de front-side: Niet alle software zal op de thin clients draaien, sommige programma s eisen dat de machine zelf resources heeft. Deze manier van werken is echter geëvolueerd naar de hedendaagse personal computers. Elke machine heeft nu een eigen rekenkracht en dataopslag. Deze machine moet dan voorzien zijn op het maximale gebruik van de aanwezige resources welke een gebruiker mogelijks kan nodig hebben. Vervolgens hebben veel machines voor een lange periode een ondermaats gebruik van resources. Dit wordt mooi geïllustreerd in figuur B.2. Uit deze figuur kan opgemerkt worden dat het gebruik voor het grootste deel niet actief is. Dit komt neer op een enorme verspilling van de resources die erg duur zijn. Dit geldt zowel voor gebruikerssystemen, als bedrijfstoepassingen. Telt men hierbij nog eens de hoge energiekost op om deze systemen draaiend te houden, dan kan geconcludeerd worden dat de prijs-rendementsverhouding helemaal niet in balans is. Figuur B.2: CPU gebruik van een willekeurige server - [44]

106 B.1 Oude ideeën in een nieuw jasje 87 Door een kleine applicatie op het systeem te installeren kunnen delen van de CPU cycles die niet gebruikt worden ingezet worden voor niet-tijdsgebonden rekenwerk. Voorbeelden hiervan zijn deeltjesonderzoek home [45]) en de zoektocht naar buitenaards leven home [46]). Deze applicatie laat weten wanneer de machine beschikbaar is voor rekenwerk. De meeste individuele systemen zijn reeds verbonden met het internet, en zo worden zij dan aangesproken voor het rekenwerk. Elk systeem neemt dan een deel van de grote berekening op zich. Merk op dat dit de omgekeerde werking is als bij de thin client systemen. Deze manier van werken wordt Grid Computing genoemd, meer specifiek Desktop Grid. Dit kan beschouwd worden als de voorloper van cloud computing. Ondertussen bleef het WWW (World Wide Web) steeds groeien en steeg de vraag naar meer en meer online diensten. Online webwinkels (zoals Amazon en ebay) barstten uit hun voegen, eigen multimedia werd meer en meer gedeeld (web 2.0) en de stijgende vraag naar data management groeide. Figuur B.3: Evolutie computergebruik - [37] Om aan deze noden te voldoen was het noodzakelijk dat de servers bij de overeenkomstige bedrijven (welke deze diensten aanbieden) het maximaal gebruik van resources konden garanderen. Ook hier bleken deze echter voor meer dan de helft van de tijd maar een klein deel van hun resources te gebruiken. Een goed voorbeeld hiervan is Amazon. Rond de feestdagen periode worden er opmerkelijk meer producten besteld dan tijdens het jaar. Op

107 B.2 Datacenters 88 deze momenten moeten alle gebruikers toegang krijgen tot de webdiensten, maar tijdens rustige momenten staat de overgrote meerderheid van de resources nodeloos ter beschikking. Het idee werd geopperd om deze resources dan te verhuren aan derden. Zo kon een betere prijs-rendementsverhouding bekomen worden. Cloud computing was geboren. B.2 Datacenters Binnen datacenters wordt meer en meer gefocust op de TCO (Total Cost of Ownership) en de RAS (Reliability, Availability en Serviceability). Bij de TCO wordt dus de nadruk gelegd op de totale kostprijs, terwijl de RAS focust op de betrouwbaarheid, beschikbaarheid en het onderhoudsgemak. De TCO houdt meer in dan enkel de kostprijs van de hardware. Hier komen ook de infrastructuurkosten en de nodige werkingskosten bij. De TCO kan dalen door het afstemmen van hard- en software, power management, easy acces en intelligent virtual cluster management. Door de steeds stijgende energie en management kosten voor infrastructuur kan er gebruik gemaakt worden van cloud computing om de kosten te drukken. Bij RSA is de trade-off tussen betrouwbaarheid en beschikbaarheid vooral afhankelijk van het doel van de server. Bij database servers is de betrouwbaarheid voor de transacties heel belangrijk. De beschikbaarheid is hier niet gewaarborgd vanwege de table of row locking die een DB toepast. Er kan er dus maar één rij tegelijk updaten. Transacties moeten ACID (Atomic Consistent Isolated Durable) zijn. Als een transactie mislukt, wordt er hiervan een melding doorgegeven. Vervolgens wordt er naar een geschikte oplossing gezocht. Een voorbeeld van een systeem dat gebaseerd is op dit principe is een banktransactie. Indien een transactie slaagt, wordt deze pas doorgevoerd (=commit). Indien niet, wordt er een rollback (=het terugdraaien van de actie) uitgevoerd. Bij webservers is geen hoge betrouwbaarheid nodig. Toch worden er veel webservers voorzien omwille van de hoge beschikbaarheid. Deze worden dan bereikt door middel van load balancing. Als het moeilijk is om grote spreiding te hebben op servers is de individuele betrouwbaarheid belangrijk. Als men beschikt over een grote spreiding kan men veel servers voorzien en is de beschikbaarheid van groter belang.

108 B.3 Cloud-model 89 De betrouwbaarheid en het onderhoudsgemak beïnvloeden de beschikbaarheid. Het is logischerwijs belangrijk om een hoge beschikbaarheid te garanderen. Google lost dit op met relatief goedkope hardware (lage betrouwbaarheid), maar toch een hoge beschikbaarheid. Zij bouwen hun servers zelf binnen stapelbare containers met hardware voor personal computers. Alle hardware is snel bereikbaar, dus als er zich een probleem voordoet, dan kan dit snel opgelost worden. Op deze manier is een hoog onderhoudsgemak gegarandeerd. Dit is duidelijk te zien in hun datacenter rondleiding [47]. B.3 Cloud-model Cloud computing kan beschreven worden als het aanbieden van diensten [36]. Deze oriënteren zich binnen drie lagen: Figuur B.4: Overzicht van de verschillende lagen in het cloud-model ˆ SaaS: Software as a Service De mogelijkheid van de gebruiker om toepassingen van de aanbieder op een cloud infrastructuur te draaien. Deze toepassingen zijn toegankelijk via verschillende clients,

109 B.3 Cloud-model 90 zowel via een thin client interface, als een webbrowser (bijvoorbeeld web-based e- mail), of een programma-interface. De gebruiker is niet in staat om de onderliggende cloud-infrastructuur te beheren of te controleren, mits enkele uitzonderingen. ˆ PaaS: Platform as a Service De mogelijkheid van de gebruiker om eigen applicaties uit te voeren op de cloudinfrastructuur die zijn gemaakt met behulp van programmeertalen, bibliotheken, diensten en tools, ondersteund door de aanbieder. De gebruiker is niet in staat om de onderliggende cloud-infrastructuur (inclusief netwerk, servers, besturingssystemen, of de opslag) te beheren. Hij heeft wel controle over de ingezette applicaties en de toegang tot configuratie-instellingen voor de applicatie-hosting omgeving. ˆ IaaS: Infrastructure as a Service De mogelijkheid van de gebruiker om te beschikken over verwerkingsmogelijkheden, opslag, netwerken, en andere fundamentele IT-middelen waarmee hij in staat is willekeurige software uit te voeren, die kan bestaan uit besturingssystemen en applicaties. De gebruiker is niet in staat om de onderliggende cloud-infrastructuur te beheren, maar heeft wel controle over het besturingssystemen, de opslag en de geïmplementeerde toepassingen. Er is een beperkte controle van geselecteerde netwerk componenten (bijv., host firewalls). Binnen dit cloud-model kunnen ook drie soorten hosting onderscheiden worden: ˆ Colocation: De eigen server wordt extern geplaatst bij een host. Deze voorziet enkel de plaats, stroom, backupstroom, verbindingen naar buiten, koeling, security,... ˆ Renting: De eigen server wordt in de racks van de aanbieder geplaatst (=huren van datacenter). ˆ Managed hosting: Het huren van deel van de service vb. php, MySQL, VPS (eigen apps op server zetten van datacenter), UPS, Backup,... Bij deze hostingmodellen hoort een SLA (Service Level Agreement). Een SLA is een juridisch afdwingbare overeenkomst tussen klant en leverancier over het kwaliteitsniveau van een te leveren dienst. Hierin wordt bepaald hoe de RAS gespecifieerd wordt (bijvoorbeeld 97 % uptime, dus een beschikbaarheid van 97 %) en de mogelijke sancties als die niet gehaald wordt.

110 B.4 Publieke, private en hybriede cloud-omgevingen 91 B.4 Publieke, private en hybriede cloud-omgevingen SaaS, PaaS en IaaS worden toegepast binnen drie cloud-omgevingen [36]: B.4.1 Publieke cloud Binnen deze cloud-omgeving huren bedrijven datacenters, dataruimte of applicaties. Deze diensten zijn daarna beschikbaar via een internetconnectie, waarbij geen extra infrastructuur bij de klant nodig is. Voor een goede beschikbaarheid en backup mogelijkheid moet meestal worden bijbetaald. Er wordt een plaats gereserveerd voor bepaalde duur, waarbij een toegangsprijs betaald moet worden. Dit is vooral zo bij websites (enkel als je reserveert staat de server 24/7 aan). Voordelen van een publieke cloud zijn: ˆ Totale uitbesteding (nadeel is de afhankelijkheid van de leverancier) ˆ Geen Capex (Capital Expenditure): investeringsuitgaven zoals kosten voor ontwikkeling, wel Opex (Operational expenditure): terugkerende kosten voor een product, systeem of onderneming. ˆ Elasticiteit en onmiddellijk initiëren van nieuwe resources: als er gegroeid wordt kan meer plaats voorzien worden op een- of meerdere servers. ˆ Virtual appliances: servers die al klaar staan ˆ Grote beschikbaarheid ˆ Economische schaalbaarheid maakt dit (mogelijks) goedkoper: Wanneer er een uitbreiding moet worden gedaan kan een bedrijf voordeel halen uit de publieke cloudstructuur. Anders moet opnieuw worden geïnvesteerd in servers en zal het stroomverbruik mee omhoog gaan. ˆ Typische applicaties: Hosted web apps

111 B.4 Publieke, private en hybriede cloud-omgevingen 92 CRM (Customer Relationship Management) HRM (Human Resources Management) Collaboration: Google (Docs) E-commerce ˆ Pay for what you use: Er wordt slechts betaald voor wat werd verbruikt. Tevens kunnen meer resources worden aangevraagd zonder daarvoor fysieke aanpassingen te moeten doen. Dit kan allemaal via een webapplicatie worden ingesteld. Self service staat hier centraal. ˆ Snelle data recovery Een mogelijks voorbeeld waarom gekozen zou worden voor een publieke cloud-oplossing: een organisatie die een nieuwe applicatie heeft maar niet kan inschatten hoe populair deze zal worden. B.4.2 Private cloud Ook wel mini-cloud genoemd. Deze dienst werkt op het zelfde principe als de publieke cloud, alleen staat de eigenaar hier zelf in voor het beheer van de hardware. De kosten voor infrastructuur, IT personeel en consultants zijn dan voor de rekening van de gebruiker. De applicatie kan overal in de cluster zitten. Dit geeft voordelen op het vlak van beschikbaarheid, performantie en energie. Servers, opslag en netwerk zijn dan één resource en kunnen door de applicatie aangesproken worden. Hierdoor worden de beschikbaarheid, performantie en stroomverbruik geoptimaliseerd. Nadelen hiervan zijn de investeringskosten in infrastructuur en kennis, gevoeligheid voor vertragingen in de dataoverdracht, zelf instaan voor de beveiliging van intellectuele eigendommen en gevoelige data, gelimiteerde bandbreedte, geen piekbelasting management en een gelimiteerde schaalbaarheid. Typische applicaties die hierop worden gedraaid zijn Engineering Apps, ERP, Business intelligence(data) en simulatiepakketten. Het zelf instaan voor de beveiliging kan ook een voordeel zijn, zeker bij gevoelige data zoals in de medische sector.

112 B.4 Publieke, private en hybriede cloud-omgevingen 93 B.4.3 Vergelijking publieke versus private cloud In tabel B.1 wordt een overzicht gegeven van de verschillende kenmerken van een publieke en private cloud-omgeving. Zoals te zien is zijn de verschillen vrij concreet. De keuze van de omgeving zal dan ook bepaald worden door de applicatie of sector waarbinnen een gebruiker zich bevindt. Publieke cloud Private cloud - Grote vertraging dataoverdracht ( ms) - Kleine vertraging dataoverdracht (<1-5 ms) - Grote bandbreedte - Bandbreedte gelimiteerd - Kan piekbelastingen snel verwerken - Geen oplossing voor piekbelasting - Geen Capex - Capex - Kennis uitbesteed - Zware investeringen ondersteuning en kennis - Snelle provisioning - Snelle provisioning - Grote beschikbaarheid - Grote beschikbaarheid - Back-up op meerdere externe locaties - Back-up handmatig extern voorzien - Legale responsabiliteit betwistbaar - Legale responsabiliteit geen probleem - Wie is eigenaar van de data? - Duidelijk van wie de data is - Vendor lock-in - Relatief eenvoudige migratie Tabel B.1: Overzicht publieke versus private cloud-omgeving B.4.4 Hybriede cloud Om de voordelen van publieke en private cloud te combineren, werd de hybriede cloud ontwikkeld. Hierbij worden een aantal processen in de publieke cloud geplaatst zoals HRM en CRM, maar de core business processen blijven intern in de private cloud. De mogelijkheid bestaat om processen van publieke naar private cloud te verplaatsen. Om op een veilige manier verbinding te garanderen tussen de private en publieke cloud wordt een beroep gedaan op VPN verbindingen [26].

113 B.5 Virtualisatie 94 Figuur B.5: Hybriede Cloud - [48] B.5 Virtualisatie Virtualisatie is het draaien van meerdere besturingssystemen op één hardware systeem. Dit is een techniek voor het verbergen van fysieke karakteristieken van resources en de manier waarop andere systemen, applicaties of eindgebruikers met deze resources communiceren. Deze techniek werd oorspronkelijk ontwikkeld voor datacenters, maar vond zijn weg ook naar de cloud. Hierdoor kunnen bestaande VM s ook in de cloud beheerd worden. B.5.1 Waarom ˆ Research en Development (testen) ˆ Veel servers worden niet ten volle benut (CPU load onder 15%), met meerdere systemen op één machine worden resources nuttiger gebruikt. ˆ Focus op TCO: verminderen van hardware kosten, energiekosten en onderhoudskosten.

114 B.5 Virtualisatie 95 ˆ Time to market: snel zaken op de markt kunnen brengen. ˆ High Availability: Beschikbaarheid verbeterd, van één server meerdere maken. ˆ Minder netwerkkabels: In plaats van verschillende netwerkkabels van 1Gb, nu twee kabels van 10Gb. ˆ Verschillende VM s per Servers ˆ Minder stroomverbruik Figuur B.6: Motivatie om virtualisatie te gebruiken - [49] B.5.2 Vormen Er zijn verschillende vormen van virtualisatie [39], de belangrijkste worden hier overlopen: Hosted / Host OS Virtualization: Er draaien virtuele machines bovenop de orginele OS. Dit geeft de applicaties binnen de VM de indruk dat deze op een machine staat die geheel is toegewijd aan zijn gebruik. De verschillende virtuele OS s hebben geen onderlinge interactie. Het nadeel van deze methode is dat de keuze van het besturingssysteem gelimiteerd is. Voorbeelden van deze vorm van virtualiseren zijn: VMware Server, Microsoft Virtual Server en VirtualBox.

115 B.5 Virtualisatie 96 Figuur B.7: Hosted / Host OS Virtualization - [39] Hypervisor(Virtual Machine monitor) Virtualization: Het OS van de VM denkt beschikking te hebben over echte hardware, wat uiteraard niet zo is. Enkel de CPU informatie is accuraat, de Chipset, VGA, NIC, etc. zijn geëmuleerd. Dit heeft als positieve eigenschap dat er uniforme hardware is die stabiliteit garandeerd. Voorbeelden zijn o.a. XEN, VMware ESX en Microsoft Hyper-V. ˆ Software Based virtualization Emulate: De hypervisor zal elke instructie naar de hardware omzetten, ook tussen verschillende ISA s (Instruction Set Architecture). Deze moet ook zelf de tabel van geheugen beheren zodat het virtueel OS geen zaken van andere OS en overschrijft. Binary translation: virtuele CPU met interpreter (stuk code wordt vertaald) Paravirtualisation: controle afstaan en altijd hypervisor volgen ˆ Hardware assisted virtualization: De CPU moet zelf uitmaken wanneer deze een hypervisor moet aanroepen.

116 B.5 Virtualisatie 97 Trap and Emulate: De VMM (Virtual Machine Manager) zal elke aanvraag tot toegang van hardware tegenhouden en daarna de aanvraag omzetten. Figuur B.8: Hypervisor virtualisatie met VMware - [50] Hardware Virtualization: Bij hardware emulatie stelt de virtualisatie software (hypervisor) een geëmuleerde hardware omgeving voor waarop de gast OS en op werken. Deze geëmuleerde hardware omgeving wordt ook virtual machine monitor (VMM) genoemd. VMM biedt een gestandaardiseerde hardware omgeving waar het gast OS mee zal interageren. Aangezien het gast OS en de VMM een vast pakket vormen, kan dit pakket gemakkelijk worden gemigreerd naar een andere machine, ook als deze op andere fysieke hardware zouden draaien. De hypervisor vertaalt de calls van de VMM naar de specifieke resource van de fysieke machine. Deze manier van virtualisatie betekent dat de applicaties in een volledig geïsoleerd gast OS draaien, één per VMM. Andere voordelen van deze aanpak zijn het kunnen draaien van verschillende besturingssystemen, zoals Linux en Windows.

117 B.5 Virtualisatie 98 Enkele nadelen bij HW virtualisatie zijn vooral dat de applicaties meestal iets trager op de VM draaien. De VMM heeft een gestandaardiseerde hardware interface (VMM) naar het gast OS. De hypervisor moet bijhouden welke interface een fysiek apparaat heeft (device drivers). Wanneer hardware wordt geïnstalleerd waar de VMM geen ondersteuning voor geeft, zal deze dus nergens werken. Het gast OS denkt volledige controle te hebben zoals bij Binary translation, de CPU is zich echter wel bewust dat er aan virtualisatie wordt gedaan. Hardware virtualisatie werkt volgens ring deprivelering: Het gast OS draait op ring 0 en de VMM op een ring lager (Ring -1 of rootmode). De hypervisor zal niet automatisch tussenkomen als er een systemcall is, enkel bij kritieke instructies. Hierdoor is het dus mogelijk dat de kernel van de gast OS ongehinderd kernel service kan bieden. Dit is een groot pluspunt van hardware virtualisatie. Een probleem vormt zich als de VMM moet tussenkomen, wat een groot aantal CPU cycles genereerd (het meest van alle virtualisaties). De specifieke overhead van die cycles hangt af van welke CPU architectuur er aanwezig is. Figuur B.9: Verschillende ringlagen bij hardwarevirtualisatie Kortweg: met deprivelering werkt alles want bij elke fout of gevaarlijke code ontstaat er een interrupt (trap). De fysieke adressen van de VMM zijn niet zichtbaar voor de VM s, er zijn dus geen problemen bij system calls.

118 B.5 Virtualisatie 99 Een groot nadeel hierbij is dat de onderbrekingen veel tijd in beslag nemen. Bijgevolg draaien de applicaties op de VM iets trager, zoals eerder aangehaald. Full Virtualization: Hierbij worden meerdere virtuele machines naast elkaar gezet op een set hardware. Dit gebeurt door tussen de hardware en de VM een softwarematige laag te plaatsen die voor de afhandeling van aanvragen aan hardware zorgt. Het is dus mogelijk om te detecteren wanneer de VMM moet ingrijpen. De hypervisor is in staat om fouten op te vangen, wat resulteert in een zeer zware belasting. Paravirtualisatie: Een techniek waarbij het gast OS zich bewust is van het feit dat het binnen een virtuele machine draait. Via een interface tussen het gast OS en de hypervisor(vmm) worden in dat geval hardwarefuncties aangeroepen, welke in een niet-virtuele omgeving onmiddellijk door de fysieke hardware uitgevoerd zouden worden. Dit werkt alleen als de hypervisor zo een interface aanbiedt en het gast OS er daadwerkelijk gebruik van maakt. Figuur B.10: Paravirtualisatie ˆ Het gast OS wordt aangepast, systemcalls gaan naar hypercalls. ˆ Betere scheduling: de manier waarop aan processen prioriteit wordt gegeven. ˆ Minder systemcalls Het systeem gaat bepaalde geprivileerde transacties verminderen door de gast OS en in een lager privilege level te plaatsen. Met andere woorden, het OS bewust maken dat hij virtueel draait. Hierdoor zullen er minder systemcalls nodig zijn.

Viktor van den Berg. Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen datacenter

Viktor van den Berg. Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen datacenter VIRTUALISATIE IRTUALISATIE & C...EEN EEN INTRODUCTIE & CLOUD COMPUTING VIKTOR VAN DEN BERG (XTG) INTRODUCTIE Viktor van den Berg VMware Certified Instructor Product Manager VMware Trainingen Dutch VMUG

Nadere informatie

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is Beveiliging in Industriële netwerken Waarom monitoring een goed idee is Korte introductie / voorstellen: - Sinds 1951, Benelux - Monitoring, groeit naar security - ICT omgevingen, groeit naar Industrie

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Handleiding Installatie ADS

Handleiding Installatie ADS Handleiding Installatie ADS Versie: 1.0 Versiedatum: 19-03-2014 Inleiding Deze handleiding helpt u met de installatie van Advantage Database Server. Zorg ervoor dat u bij de aanvang van de installatie

Nadere informatie

Incidenten in de Cloud. De visie van een Cloud-Provider

Incidenten in de Cloud. De visie van een Cloud-Provider Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?

Nadere informatie

Next Generation Firewall. Jordy Bax Technology Lead

Next Generation Firewall. Jordy Bax Technology Lead Next Generation Firewall Jordy Bax Technology Lead 63.000+ security incidenten wereldwijd in 2013 01010 Advanced Threats Zero Day Vulnerabilities Mobile Threats Data in The Cloud DDoS Spam Phishing Regulatory

Nadere informatie

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties.

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Ralph Wanders Datacenter Solutions Manager IT SECURITY IS TOPSPORT! Datacenter solutions componenten Orchestrate

Nadere informatie

Mobile Devices, Applications and Data

Mobile Devices, Applications and Data Mobile Devices, Applications and Data 1 Jits Langedijk Senior Consultant Jits.langedijk@pqr.nl Peter Sterk Solution Architect peter.sterk@pqr.nl Onderwerpen - Rol van Mobile IT in Tomorrow s Workspace

Nadere informatie

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Settings for the C100BRS4 MAC Address Spoofing with cable Internet. Settings for the C100BRS4 MAC Address Spoofing with cable Internet. General: Please use the latest firmware for the router. The firmware is available on http://www.conceptronic.net! Use Firmware version

Nadere informatie

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur Security Les 1 Leerling: Klas: Docent: Marno Brink 41B Meneer Vagevuur Voorwoord: In dit document gaan we beginnen met de eerste security les we moeten via http://www.politiebronnen.nl moeten we de IP

Nadere informatie

De Enterprise Security Architectuur

De Enterprise Security Architectuur De Enterprise Security Architectuur Martijn Doedens Security Consultant Peter Mesker CTO IT SECURITY IS TOPSPORT! Wat is de definitie?! Een enterprise security architectuur omvat alle noodzakelijke elementen

Nadere informatie

Virtual Enterprise Centralized Desktop

Virtual Enterprise Centralized Desktop Virtual Enterprise Centralized Desktop Het gebruik van virtuele desktops en de licensering daarvan Bastiaan de Wilde, Solution Specialist Microsoft Nederland Aanleiding Steeds meer gebruik van Virtuele

Nadere informatie

VMWORLD 2011 US WRAP

VMWORLD 2011 US WRAP VMWORLD 2011 US WRAP UP VIKTOR VAN DEN BERG MARCEL VAN OS WELKOM ELKOM & A & AGENDA Viktor van den Berg, Dutch VMUG Leader Marcel van Os, Senior Technical Trainer @ XTG Agenda VMUG Update (Viktor) VMware

Nadere informatie

Session Educa-on. 14-15 October 2013

Session Educa-on. 14-15 October 2013 Session Educa-on 14-15 October 2013 FIRE facilities in education: Networking courses (fixed and wireless) IP fixed networks ComNet Labs Build your own network [Lab router] Calculate IP ranges According

Nadere informatie

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC 802.11b Wireless router w. 4 port switch StarTech ID: BR411BWDC Share your Internet connection without being constrained by cables with StarTech.com s 802.11b wireless router. The BR411BWDC lets you share

Nadere informatie

Enterprise Portfolio Management

Enterprise Portfolio Management Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2

Nadere informatie

Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani

Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani any any any online Cloud Het Nieuwe Werken Het Nieuwe Gezin biedt een

Nadere informatie

User-supplied VMs op BiG Grid hardware

User-supplied VMs op BiG Grid hardware User-supplied VMs op BiG Grid hardware Policies, User Requirements en Risico Analyse Pieter van Beek 3 september 2009 Begrippen CERN classificatie (class 1, 2, 3) In deze presentatie:

Nadere informatie

De convergentie naar gemak. Hans Bos, Microsoft @hansbos, hans.bos@microsoft.com

De convergentie naar gemak. Hans Bos, Microsoft @hansbos, hans.bos@microsoft.com De convergentie naar gemak Hans Bos, Microsoft @hansbos, hans.bos@microsoft.com ge mak (het; o) 1. kalmte, bedaardheid: iem. op zijn gemak stellen kalm laten worden 2. het vermogen iets zonder moeite te

Nadere informatie

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Louis Joosse Principal Consultant Alle intellectuele eigendomsrechten met betrekking tot de inhoud van of voortvloeiende uit dit document

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

Software Defined Datacenter Visie van Cisco. Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015

Software Defined Datacenter Visie van Cisco. Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015 Software Defined Datacenter Visie van Cisco Erwin uit de Bos Datacenter Strategie Specialist NL euitdebo@cisco.com Versie: 5 februari 2015 Tomorrow Starts Here. Make amazing things happen by connecting

Nadere informatie

VMware View 4.5 een overview. Eline Klooster Technical Trainer e.klooster@xtg.nl

VMware View 4.5 een overview. Eline Klooster Technical Trainer e.klooster@xtg.nl VMware View 4.5 een overview Eline Klooster Technical Trainer e.klooster@xtg.nl Eline Klooster Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen

Nadere informatie

Monitoring as a Service

Monitoring as a Service Monitoring as a Service APERTOSO NV Guido Gezellaan 16 9800 Deinze Tel.: +32 9 381 64 50 Probleemstelling IT diensten kampen vaak met het probleem van een gebrek aan een duidelijke, allesomvattende monitoringoplossing.

Nadere informatie

hoogwaardige IaaS Cloudoplossingen

hoogwaardige IaaS Cloudoplossingen hoogwaardige IaaS Cloudoplossingen Exclusieve partnership Cloudleverancier NaviSite is als onderdeel van mediaconglomeraat Time Warner Cable één van de grootste wereldwijde providers van enterprise class

Nadere informatie

Ubuntu Release Party welkom @ XTG 11/23/12 1

Ubuntu Release Party welkom @ XTG 11/23/12 1 Ubuntu Release Party welkom @ XTG 11/23/12 1 Welkom! Xpert in virtualization technology Kenniscentrum op gebied van virtualisatie: VMware, Citrix, Linux Microsoft... LPI Approved Training Partner Guru

Nadere informatie

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 Inhoudsopgave Inhoudsopgave... 2 1 mpix VPN... 3 2 Productbeschrijving... 4 2.1 mpix en IP-VPN... 5 2.2 Kwaliteit... 7 2.3 Service

Nadere informatie

Cloud werkplek anno 2014. Cloud werkplek anno 2014

Cloud werkplek anno 2014. Cloud werkplek anno 2014 Introductie Peter Klix Infrastructuurarchitect Specialisatie networking en desktop concepts Peter.klix@eic.nl Cloud desktop Introductie Desktop concepten door de jaren Infrastructuur Cloud concepten Focus

Nadere informatie

1 Client/Server. 2 Geschiedenis. 3 Toekomst

1 Client/Server. 2 Geschiedenis. 3 Toekomst Deel 1 Inleiding 1 Client/Server 2 Geschiedenis 3 Toekomst Het client-server model is een model voor de samenwerking tussen twee of meer programma's, die zich op verschillende computers kunnen bevinden.

Nadere informatie

BackupAgent Cloud Backup

BackupAgent Cloud Backup Vergroot uw toegevoegde waarde met een dienst voor veilige cloud backup en recovery Version 1.0 Disclaimer This document is compiled with the greatest possible care. However, errors might have been introduced

Nadere informatie

MobiDM App Handleiding voor Windows Mobile Standard en Pro

MobiDM App Handleiding voor Windows Mobile Standard en Pro MobiDM App Handleiding voor Windows Mobile Standard en Pro Deze handleiding beschrijft de installatie en gebruik van de MobiDM App voor Windows Mobile Version: x.x Pagina 1 Index 1. WELKOM IN MOBIDM...

Nadere informatie

Welkom bij IT-Workz. Etten-Leur, 16 november 2010. Altijd en overal werken en leren. Applicatie en Desktop Delivery met Quest vworkspace

Welkom bij IT-Workz. Etten-Leur, 16 november 2010. Altijd en overal werken en leren. Applicatie en Desktop Delivery met Quest vworkspace Welkom bij IT-Workz Altijd en overal werken en leren Applicatie en Desktop Delivery met Quest vworkspace Etten-Leur, 16 november 2010 IT-Workz is de verzelfstandigde Dienst ICT van het ROC West-Brabant.

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

Revisie geschiedenis. [XXTER & KNX via IP]

Revisie geschiedenis. [XXTER & KNX via IP] Revisie geschiedenis [XXTER & KNX via IP] Auteur: Freddy Van Geel Verbinding maken met xxter via internet met de KNX bus, voor programmeren of visualiseren en sturen. Gemakkelijk, maar niet zo eenvoudig!

Nadere informatie

Firewall van de Speedtouch 789wl volledig uitschakelen?

Firewall van de Speedtouch 789wl volledig uitschakelen? Firewall van de Speedtouch 789wl volledig uitschakelen? De firewall van de Speedtouch 789 (wl) kan niet volledig uitgeschakeld worden via de Web interface: De firewall blijft namelijk op stateful staan

Nadere informatie

Contents. Introduction Problem Definition The Application Co-operation operation and User friendliness Design Implementation

Contents. Introduction Problem Definition The Application Co-operation operation and User friendliness Design Implementation TeleBank Contents Introduction Problem Definition The Application Co-operation operation and User friendliness Design Implementation Introduction - TeleBank Automatic bank services Initiates a Dialog with

Nadere informatie

Distributed Virtual Switch Drill Down. Viktor van den Berg (Xpert Training Group)

Distributed Virtual Switch Drill Down. Viktor van den Berg (Xpert Training Group) Distributed Virtual Switch Drill Down Viktor van den Berg (Xpert Training Group) Welkom bij deze presentatie! Wie? Viktor van den Berg VMware Certified Instructor Product Manager VMware Trainingen Waar?

Nadere informatie

SECURITY UITDAGINGEN 2015

SECURITY UITDAGINGEN 2015 SECURITY UITDAGINGEN 2015 Hoe uw IT-infrastructuur beschermen? Robby Cauwerts Security Engineer 2015 Check Point Software Technologies Ltd. 1 CHECK POINT NAMED A LEADER IN THE GARTNER MAGIC QUADRANTS FOR

Nadere informatie

EVO:RAIL VDI AANPAK Plaveit VMware EVO:RAIL de weg voor VDI?

EVO:RAIL VDI AANPAK Plaveit VMware EVO:RAIL de weg voor VDI? EVO:RAIL VDI AANPAK Plaveit VMware EVO:RAIL de weg voor VDI? APRIL 8, 2015 SLIDE 1 #Name: Verloigne Geert #Function: Technical Consultant #Email: geert.verloigne@realdolmen.com #UC: +32 2 801 51 81 Company:

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Multi user Setup. Firebird database op een windows (server)

Multi user Setup. Firebird database op een windows (server) Multi user Setup Firebird database op een windows (server) Inhoudsopgave osfinancials multi user setup...3 Installeeren van de firebird database...3 Testing van de connectie met FlameRobin...5 Instellen

Nadere informatie

Standard Parts Installatie Solid Edge ST3

Standard Parts Installatie Solid Edge ST3 Hamersveldseweg 65-1b 3833 GL LEUSDEN 033-457 33 22 033-457 33 25 info@caap.nl www.caap.nl Bank (Rabo): 10.54.52.173 KvK Utrecht: 32075127 BTW: 8081.46.543.B.01 Standard Parts Installatie Solid Edge ST3

Nadere informatie

mpix Dienstbeschrijving

mpix Dienstbeschrijving mpix Dienstbeschrijving Versie : 2.0 Datum : 10 Mei 2007 Auteur : MH Pagina 2 van 11 Inhoudsopgave 1. Dienstbeschrijving... 3 1.1 Wat is een mpix?...3 1.2 Verschillende mpix vormen...4 1.2.1 mpix direct...4

Nadere informatie

Edegem, 8 juni 2010. PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Edegem, 8 juni 2010. PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010 Edegem, 8 juni 2010 PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link De PROFIBUS, PROFINET & IO- Link dag 2010 Security bij Profinet - inhoudstabel 2 1. 2. Intro What is security? 3. Why security? 4.

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Webinar Unizo Steven Dewinter Steven.Dewinter@belgacom.be January 20 th, 2012 Agenda Agenda: Wat is nu precies Cloud Computing? Voordelen & Nadelen Hoe ga ik naar de Cloud? Belgacom Cloud

Nadere informatie

Themasessie Virtualisatie

Themasessie Virtualisatie Themasessie Virtualisatie Trends Uitdagingen in het Data Center Toenemend aantal servers met geringe belasting Toenemend energieverbruik & koeling Non-uniform beheer leidt tot toenemende complexiteit en

Nadere informatie

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Handleiding/Manual Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO Inhoudsopgave / Table of Contents 1 Verbinden met het gebruik van

Nadere informatie

Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0

Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0 Naam: Sander van Schie Datum: 28-03-2014 Klas: SBICO-IB2 Doel: Uitleg Toegang tot vcloud Doelgroep: Nieuwe cursisten Versie: 1.0.0 1 Inhoudsopgave Inleiding... 3 Stap 1: Inloggegevens en wachtwoord...

Nadere informatie

ETS 4.1 Beveiliging & ETS app concept

ETS 4.1 Beveiliging & ETS app concept ETS 4.1 Beveiliging & ETS app concept 7 juni 2012 KNX Professionals bijeenkomst Nieuwegein Annemieke van Dorland KNX trainingscentrum ABB Ede (in collaboration with KNX Association) 12/06/12 Folie 1 ETS

Nadere informatie

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

BCM en de Cloud. CSA-nl 10 april 2012 André Koot BCM en de Cloud CSA-nl 10 april 2012 André Koot info@i3advies.nl Twitter: @meneer Agenda Cloud Risico's Maatregelen 1. Cloud Cloud omnipresent Wereldwijd alle grote aanbieders Volop management aandacht

Nadere informatie

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA

Onder de motorkap van Microsoft Azure Web Sites. Eelco Koster Software architect ORDINA Onder de motorkap van Microsoft Azure Web Sites Eelco Koster Software architect ORDINA Agenda Introductie Architectuur Project Kudu Azure Resource Manager Doel Dieper inzicht geven in de werking van Azure

Nadere informatie

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015

Solution Dag 2015. refresh-it. Printing. Frits de Boer Frenk Tames 1 12.06.2015 Solution Dag 2015. refresh-it Printing Frits de Boer Frenk Tames 1 12.06.2015 Agenda. 1. Welkom Frits de Boer 2. Samsung Printing Frenk Tames 3. Rondleiding Tonerfabriek ARP Supplies 2 12.06.2015 Solution

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011 Cloudsourcing onder Architectuur Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011 Architectuur en de Cloud 1. Heb je architectuur harder nodig als je services uit de

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

[ EXAMEN LINUX UBUNTU SERVER ]

[ EXAMEN LINUX UBUNTU SERVER ] 2011 Examen Windows en linux Dieter Verbeemen [ EXAMEN LINUX UBUNTU SERVER ] [Geef hier de samenvatting van het document op. De samenvatting is een korte beschrijving van de inhoud van het document. Geef

Nadere informatie

Thinking of development

Thinking of development Thinking of development Netwerken en APIs Arjan Scherpenisse HKU / Miraclethings Thinking of Development, semester II 2012/2013 Agenda voor vandaag Netwerken Protocollen API's Opdracht Thinking of Development,

Nadere informatie

2013 Introduction HOI 2.0 George Bohlander

2013 Introduction HOI 2.0 George Bohlander 2013 Introduction HOI 2.0 George Bohlander HOI 2.0 introduction Importance HOI currency Future print = HOI 2.0 HOI 2.0 Print: Décomplexation/more simple Digital: New set-up Core values HOI Accountability

Nadere informatie

Cloud Computing: Met HPC in de wolken Ron Trompert

Cloud Computing: Met HPC in de wolken Ron Trompert Cloud Computing: Met HPC in de wolken Ron Trompert Wat is Cloud computing Voorbeelden Cloud Soorten Cloud SaaS (Software as a Service) Software die als een dienst wordt aangeboden, bijv. google calendar,

Nadere informatie

Op weg naar de favoriete Verzekeraar. Vincent Snels (Nationale Nederlanden) Lex Veltman (IBM)

Op weg naar de favoriete Verzekeraar. Vincent Snels (Nationale Nederlanden) Lex Veltman (IBM) Op weg naar de favoriete Verzekeraar Vincent Snels (Nationale Nederlanden) Lex Veltman (IBM) Nationale-Nederlanden actief sinds 1845 De Nederlanden van 1845 Nationale-Nederlanden breidt uit in binnen

Nadere informatie

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers

ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers ICARUS Illumina E653BK on Windows 8 (upgraded) how to install USB drivers English Instructions Windows 8 out-of-the-box supports the ICARUS Illumina (E653) e-reader. However, when users upgrade their Windows

Nadere informatie

REFERENCE CASE PZ GLM: VIRTUALISATIE ADMINISTRATIEF NETWERK

REFERENCE CASE PZ GLM: VIRTUALISATIE ADMINISTRATIEF NETWERK REFERENCE CASE PZ GLM: VIRTUALISATIE ADMINISTRATIEF NETWERK 10 Mei 2016 AGENDA LoB ICT Solutions: Wie zijn wij en wat doen wij? Behoeften van PZ GLM Oplossing voor de behoeften Voorgestelde oplossing Voordelen

Nadere informatie

Unified Access One Network One Policy One Management

Unified Access One Network One Policy One Management Unified Access One Network One Policy One Management Michel Schaalje Technisch Directeur Cisco Nederland 2012 Cisco and/or its affiliates. All rights reserved. One Policy ISE en AnyConnect One Management

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Frans Mofers Nederland cursusmateriaal & CAA's alle cursusmateriaal vrij downloadbaar als PDF betalen voor volgen cursus cursussite

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

Cloud Computing. Definitie. Cloud Computing

Cloud Computing. Definitie. Cloud Computing Cloud Computing Definitie In de recente literatuur rond Cloud Computing zijn enorm veel definities te vinden die het begrip allemaal op een verschillende manier omschrijven. Door deze diversiteit zijn

Nadere informatie

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland 1. Londen In Londen kunnen gebruikers van een scootmobiel contact opnemen met een dienst

Nadere informatie

BootCamp. Template Powerpoint Datum

BootCamp. Template Powerpoint Datum Template Powerpoint Datum Managed Security Services Ontwikkelingen en demo security is een proces, geen product Jelmer Hartman & Peter Mesker! " Security Engineer! " @SecureLinkNL! " Security Consultant!

Nadere informatie

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Trends in de Campusinfrastuctuur. In samenwerking met Stratix Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security

Nadere informatie

Scope Of Work: Sourcefire Proof Of Concept

Scope Of Work: Sourcefire Proof Of Concept Scope Of Work: Sourcefire Proof Of Concept Pagina 1 van 7 Klant Project naam / referentie Auteur Versie Datum Henrik Collin 1.1 10 Januari 2015 Pagina 2 van 7 Inhoudstafel 1 Inleiding... 4 1.1 Achtergrond...

Nadere informatie

Frontend performance meting

Frontend performance meting Frontend performance meting als aanvulling op de traditionele manier van performancetesten René Meijboom rene@performancearchitecten.nl Introductie Uitdaging bij huidige klant Succesvolle performancetest

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

Media en creativiteit. Winter jaar vier Werkcollege 7

Media en creativiteit. Winter jaar vier Werkcollege 7 Media en creativiteit Winter jaar vier Werkcollege 7 Kwartaaloverzicht winter Les 1 Les 2 Les 3 Les 4 Les 5 Les 6 Les 7 Les 8 Opbouw scriptie Keuze onderwerp Onderzoeksvraag en deelvragen Bespreken onderzoeksvragen

Nadere informatie

Hoog Beschikbaarheid en het waterschapshuis

Hoog Beschikbaarheid en het waterschapshuis Hoog Beschikbaarheid en het waterschapshuis het doel, de mogelijkheden en de beperkingen Oracle Waterschapsdag SPREKER : E-MAIL : DATUM : Johan Westerduin jwesterduin@transfer-solutions.com 30 november

Nadere informatie

Open source VoIP Networks

Open source VoIP Networks Open source VoIP Networks Standard PC hardware inexpensive add-in vs. embedded designs Ing. Bruno Impens Overview History Comparison PC - Embedded More on VoIP VoIP Hardware VoIP more than talk More...

Nadere informatie

Continuous testing in DevOps met Test Automation

Continuous testing in DevOps met Test Automation Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement

Nadere informatie

Eminent Advanced Manual

Eminent Advanced Manual Eminent Advanced Manual 2 EMINENT ADVANCED MANUAL Eminent Advanced Manual Inhoudsopgave Waarom een Eminent Advanced Manual?... 3 Uw tips en suggesties in de Eminent Advanced Manual?... 3 Service en ondersteuning...

Nadere informatie

Jurgen@juve-consulting.be +32 (491) 56.35.96

Jurgen@juve-consulting.be +32 (491) 56.35.96 Whitepaper: Cisco Meraki Title: Opzetten wireless guest access Author: Jurgen Vermeulen Jurgen@juve-consulting.be +32 (491) 56.35.96 JUVE Consulting BVBA Roosgrachtlaan 27, B-3400 Landen Tel.: +32 (491)

Nadere informatie

Dell SonicWALL product guide

Dell SonicWALL product guide Dell SonicWALL product guide TZ Series Dell SonicWALL SMB solutions: TZ Series at-a-glance De Dell SonicWALL TZ Serie bevat de instapmodellen van de Dell SonicWALL fi rewalls. De serie bestaat uit drie

Nadere informatie

DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS

DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS V.0 Arnoud van Wijk arnoud@greengiraffe.nl INTRODUCTIE INTERNET EISEN

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met: Configureren van een VPN L2TP/IPSEC verbinding In combinatie met: Inhoudsopgave 1. Voorbereiding.... 3 2. Domaincontroller installeren en configuren.... 4 3. VPN Server Installeren en Configureren... 7

Nadere informatie

Maak kennis met. donderdag 19 november 2015

Maak kennis met. donderdag 19 november 2015 Maak kennis met wie is GeeFirm GeeFirm Ervaring en referenties in allerlei sectoren Synmotive Internet Overal Cloud - Telecom - Web - IT 24 x 7 support 100% web based office onderdeel van AllSolutions

Nadere informatie

Hands-on TS adapter IE advanced

Hands-on TS adapter IE advanced Hands-on TS adapter IE advanced Tijdens deze hands-on opdracht wordt een Teleservice verbinding opgebouwd naar de S700 en KTP700 Basic PN. De basis instelling zoals het toekennen van een IP-adres en het

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Certified Ethical Hacker v9 (CEH v9)

Certified Ethical Hacker v9 (CEH v9) Certified Ethical Hacker v9 (CEH v9) Opleiding van 8 sessies Start: 18-02-2016, Tramstraat 63, 9052 Zwijnaarde Lesdata van deze opleiding: 18/02/2016 ( 09:00-12:00 ) 18/02/2016 ( 13:00-16:00 ) 19/02/2016

Nadere informatie

Cloud, revolutie of evolutie?

Cloud, revolutie of evolutie? Cloud, revolutie of evolutie? Keuze voor model iphone wordt bepaald door de cloud! Reno van der Looij Account Manager Alweer 15 jaar actief in de wereld van ICT Bovenmatige nieuwsgierigheid naar Cloud

Nadere informatie

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Part 17-A INTERNET: basisbegrippen techniek & beveiliging Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003 File 17-A Internet techniek & beveiliging 2003 Programma PROGRAMMA

Nadere informatie

Model driven Application Delivery

Model driven Application Delivery Model driven Application Delivery Fast. Flexible. Future-proof. How Agis streamlines health procurement using Mendix Model driven Application Platform Mendix in a nutshell Mendix delivers the tools and

Nadere informatie

WWW.EMINENT-ONLINE.COM

WWW.EMINENT-ONLINE.COM WWW.EMINENT-OINE.COM HNDLEIDING USERS MNUL EM1016 HNDLEIDING EM1016 USB NR SERIEEL CONVERTER INHOUDSOPGVE: PGIN 1.0 Introductie.... 2 1.1 Functies en kenmerken.... 2 1.2 Inhoud van de verpakking.... 2

Nadere informatie

Vervang uw verouderde hardware

Vervang uw verouderde hardware Whitepaper Vervang uw verouderde hardware Dedicated of Cloud? Alles over virtualisatie. Wat is het, hoe werkt het en wat zijn de voordelen? INHOUD» Wat is virtualisatie?» Wat is een Virtual Server?» Besparen

Nadere informatie

LinkedIn Profiles and personality

LinkedIn Profiles and personality LinkedInprofielen en Persoonlijkheid LinkedIn Profiles and personality Lonneke Akkerman Open Universiteit Naam student: Lonneke Akkerman Studentnummer: 850455126 Cursusnaam en code: S57337 Empirisch afstudeeronderzoek:

Nadere informatie

How to install and use dictionaries on the ICARUS Illumina HD (E652BK)

How to install and use dictionaries on the ICARUS Illumina HD (E652BK) (for Dutch go to page 4) How to install and use dictionaries on the ICARUS Illumina HD (E652BK) The Illumina HD offers dictionary support for StarDict dictionaries.this is a (free) open source dictionary

Nadere informatie

Remote maintenance 4.0

Remote maintenance 4.0 Locatie A Locatie B Remote maintenance 4.0 Onderwerpen 1 2 3 Uitleg Remote maintenance 4.0 Verschillende manieren van Remote maintenance Remote maintenance als een service 4 Twee voorbeelden van mogelijke

Nadere informatie

De PROFIBUS, PROFINET & IO-Link dag. Ede, 18 november

De PROFIBUS, PROFINET & IO-Link dag. Ede, 18 november De PROFIBUS, PROFINET & Ede, 18 november 2011 IO-Link dag 2011 The basics of PROFINET Harm Geurink Product Manager AUTOMATION Phoenix Contact bv hgeurink@phoenixcontact.nl PROFINET Trends in de markt:

Nadere informatie

Risico beperkende maatregelen bij Windows XP na 8 april 2014

Risico beperkende maatregelen bij Windows XP na 8 april 2014 Login Consultants Risico beperkende maatregelen bij Windows XP na 8 april 2014 White paper Leeswijzer Dit document geeft een beeld van de maatregelen die een organisatie kan nemen indien na 8 april 2014

Nadere informatie

darkstat - een netwerk-verkeer analyzer

darkstat - een netwerk-verkeer analyzer LinuxFocus article number 346 http://linuxfocus.org darkstat - een netwerk-verkeer analyzer door Mario M. Knopf (homepage) Over de auteur: Mario houdt zich graag druk bezig met Linux, netwerken en andere

Nadere informatie

ipact Installatiehandleiding CopperJet 816-2P / 1616-2P Router

ipact Installatiehandleiding CopperJet 816-2P / 1616-2P Router ipact Installatiehandleiding CopperJet 816-2P / 1616-2P Router Stap 1: Het instellen van uw computer Instellen netwerkkaart om de modem te kunnen bereiken: Windows 98/ME: Ga naar Start Instellingen Configuratiescherm

Nadere informatie