WOORD VOORAF. Ook dank ik mijn stagebegeleider Frank De Schutter voor de begeleiding van mijn eindwerk.

Transcriptie

1 WOORD VOORAF Deze scriptie is het resultaat van mijn stage bij het bedrijf Acros Organics n.v. te Geel. Langs deze weg wil ik de mensen bedanken die hebben bijgedragen bij de verwezenlijking van mijn eindwerk. In de eerste plaats zou ik mijn ouders willen bedanken die mij de mogelijkheid hebbben gegeven om verder te studeren aan de katholieke hogeschool kempen. Eveneens dank ik mijn stagepromotor dhr. Karel Simons, network manager Fischer Scientific, die mij heeft bijgestaan bij de installatie en uitvoering van het eindwerk en die mij enorm veel heeft bijgeleerd. Ook dank ik mijn stagebegeleider Frank De Schutter voor de begeleiding van mijn eindwerk. Alsook zou ik mijn woord van dank willen richten tot de directie van Acros Organics, die de mogelijkheid heeft geboden om een unieke ervaring bij hen op te doen. Tenslotte dank ik Bart Claes en Frank Pauwels die mij veel hebben bijgeleerd, alsook alle medewerkers van het bedrijf voor de toffe werksfeer.

2 SAMENVATTING 3 In grote lijnen kan het eindwerk opgesplitst worden in 5 fasen: Installatie van Active Directory (Windows 2000 en DNS). Installatie en evaluatie van MS Exchange Definiëren van een vragenlijst en verzamelen van wereldwijde netwerk informatie om hieruit later een projectplan te definiëren voor de wereldwijde implementatie van Active Directory en MS Exchange. Opmerking: Het is logisch dat het projectplan zelf, niet behoort tot het eindwerk omdat het teveel tijd in beslag neemt. Installatie en evaluatie van Office server Extensions. Installatie en evaluatie van Microsoft Tahoe (Sharepoint portal server). Alle installaties worden uitvoerig besproken in de scriptie.

3 4 SUMMARY The final paper consists of five parts: Installation of Active Directory (Windows 2000 and DNS). Installation and evaluation of MS Exchange. Defining a questionnaire and collecting worldwide network information to define a projectplan for a worldwide implementation of Active Directory and MS Exchange. Remark: It is evident that the worldwide implementation project itself is not belong to the scope of my scription. Installation and evaluation of Office Server Extensions. Installation and evaluation of Microsoft Tahoe. All the installations have been described in the scription.

4 INHOUDSTAFEL 5 WOORD VOORAF... 2 SAMENVATTING... 3 SUMMARY... 4 INHOUDSTAFEL... 5 ALFABETISCHE LIJST VAN GEBRUIKTE AFKORTINGEN EN SYMBOLEN... 8 INLEIDING HOOFDSTUK 1: INLEIDENDE BEGRIPPEN VPN Waarom een VPN? Basisbegrippen van een VPN Nadelen van een VPN Encryptie Symmetrische encryptie Asymmetrische encryptie Een digitale handtekening User authenticatie en autorisatie Opzetten van een verbinding Tunneling Besluiten IP adres Subnet mask Netwerk klassen Gateway DNS Router TCP/IP DHCP HOOFDSTUK 2: MICROSOFT WINDOWS 2000 SERVER Verschillende types van Windows Wat is Windows 2000? Installatie Windows 2000 server Voorbereiding van de installatie Installatie Active Directory Wat is active directory? Installatie active directory op een DNS server Installatie active directory op een mail server...34

5 2.4.4 De active directory console Algemeen Aanmaken van een gebruiker Eigenschappen van een gebruiker DNS Wat is DNS? Hoe werkt DNS? De DNS console Network and dial-up connections Inleiding en eigenschappen Instellingen van de DNS server Instellingen van de mail server Instellingen van een client pc HOOFDSTUK 3: MICROSOFT EXCHANGE 2000 SERVER Wat is Exchange 2000 server? Installatie Exchange 2000 server Forestprep en domainprep Voorbereidingen voor de installatie Installatie Outlook web access Soorten van browsers Vergelijking outlook en outlook web access Public folders Bekeken voor een administrator Bekeken voor een gebruiker HOOFDSTUK 4: MICROSOFT OFFICE SERVER EXTENSIONS Wat is Microsoft Office Server Extensions? Installatie Microsoft Office Server Extensions Office server extensions start page Browse web folders Search web folders Office server help Manage web subscriptions Product information Administration home page Beheren van web discussies Beheren van web subscripties Rechten voor de gebruikers Gebruik van web folders My network places in windows Hoe een link toevoegen?...84

6 5 HOOFDSTUK 5: MICROSOFT TAHOE Wat is Microsoft Tahoe? Installatie Microsoft Tahoe Vereisten Software vereisten Compabiliteit met MS Exchange Installatie Installatie Microsoft Tahoe server Installatie Microsoft Tahoe client Aanmaken van een link naar een webfolder Tahoe administration console Inleiding Aanmaken van een workspace Eigenschappen Eigenschappen van de server Eigenschappen van de workspace Microsoft Tahoe Portal Inleiding Categories Search Document library Een document toevoegen Een document uitchecken Een document inchecken Ongedaan maken van een check out Een document editeren in een standaard folder Een document publiceren Een document goedkeuren Een document weigeren Een document hernoemen Een document verwijderen Introductie tot folders Een folder crëeren Een folder hernoemen Een folder verwijderen Subscriptions Customazation Rechten in de werkruimte Gebruik van de homepage Gebruik van de zoekfunktie Gebruik van de navigatie toetsen Gebruik van de webonderdelen ALGEMEEN BESLUIT BIJLAGEN LITERATUURLIJST...123

7 ALFABETISCHE LIJST VAN GEBRUIKTE AFKORTINGEN EN SYMBOLEN 8 ACLs ASP bv CA CHAP DAV DHCP DHTML DNS HTML HTTP IDEA IIS IKE IP ISAKMP ISP L2TP LAN LDAP m.a.w. MS OSE OWA PAP PPP PPTP SMTP TCP UNC VPN WAN XML XSL :Access Control List :Active Server Pages :bijvoorbeeld :Certificate Authority :Challenge Handshake Authenticatie Protocol :Distributed Authoring and Versioning :Dynamic Host Configuration Protocol :Dynamic HTML :Domain Name System :Hypertext Transfer Markup Language :Hypertext Transfer Protocol :International Data Encryption Algorithm :Interenet Information Server :Internet Key Exchange :Internet Protocol :Internet Security And Key Management Protocol :Internet Service Provider :Layer 2 Tunneling Protocol :Local Area Network :Lightweight Directory Access Protocol :met andere woorden :Microsoft :Office Server Extensions :Outlook Web Access :Paswoord Authenticatie Protocol :Point-to-Point Protocol :Point-to-point Tunneling Protocol :Simple Mail Transfer Protocol :Transmission Control Protocol :Universal Naming Convention :Virtual Private Network :Wide Area Network :Extensible Markup Language :Extensible Style Language

8 Inleiding 9 Opdracht: In de wereld van vandaag is er een steeds grotere noodzaak aan communicatie en samenwerking. Fisher Scientific is een multinational en de overkoepelende firma van Acros Organics. bestaat uit international project teams. nood aan het uitwisselen van informatie. Communicatie via Uitwisselen van informatie: - Outlook Web Access - Office Server Extensions - alsook MS Office en outlook full client - Microsoft Tahoe Veiligheids omgeving Internet beveiliging Antivirus Persoonlijke / Bedrijfs firewall Authenticatie Encryptie Mogelijke gebruikers Bedienden Adviseurs Geselecteerde gebruikers Thuis werkers Gestandardizeerde setup Gebruiksvriendelijkheid Gebruikers kunnen de setup niet veranderen Identieke interface en gebruikers procedures Selectie van standaard geïnstalleerde software Verschillende communicatie linken Lokale netwerk Analoge modem ISDN modem ADSL Kabel modem GSM (Te traag met de huidige standaard) Eenvoudige setup voor thuis Geen kablering Draadloze LAN Ik heb mij vooral toegelegd op het uitwisselen van informatie over een wereldwijd netwerk met de nodige beveiligingen.

9 Probleemstelling 10 Bepaalde projectteams bij Fisher Scientific zijn samengesteld uit specialisten uit verschillende landen, die dan ook nog eens veel op reis zijn. Voor een betere uitwisseling van informatie werd er gevraagd enkele programma s te evalueren en na evaluatie een oplossing te implementeren. De oplossing diende gebouwd te zijn op de huidige infrastructuur. Huidige situatie Op het huidige moment werkt men met Windows NT server en Microsoft Exchange Mail. De voornaamste locaties beschikken over internet toegang. Tot nu toe werd Microsoft Exchange voornamelijk gebruikt voor . Met de nieuwe versie van Exchange, Exchange 2000, lijkt de tijd rijp om de verdere mogelijkheden te evalueren. In de volgende figuur is er een overzicht weergegeven van de europese locaties. Figuur 10.1 Overzicht van de Europese locaties

10 Evaluatie 11 In grote lijnen kan het eindwerk opgesplitst worden in 5 fasen: 1. Installatie van Active Directory (Windows 2000 en DNS). 2. Installatie en evaluatie van MS Exchange Definiëren van een vragenlijst en verzamelen van wereldwijde netwerk informatie om hieruit later een projectplan te definiëren voor de wereldwijde implementatie van Active Directory en MS Exchange. 4. Installatie en evaluatie van Office Server Extensions. 5. Installatie en evaluatie van Microsoft Tahoe (Sharepoint portal server). 1. Installatie van Active Directory De installatie van Active Directory gaat samen met de installatie van Windows 2000 server en is nodig voor de installatie van Exchange Exchange 2000 kan niet zonder Active Directory. 2. Installatie en evaluatie van MS-Exchange 2000 Ik heb een evaluatie gedaan van Microsoft Exchange 2000 door middel van een proefopstelling, waarbij de volgende voor- en nadelen in het oog sprongen. Voordelen Nadelen Eenvoudig als men gebruik maakt Men kan niet beschikken over een van Microsoft Exchange mail. geschiedenis functie. lezen via internet browser, De bestanden moeten toegevoegd public folders zijn vanover heel de worden via . wereld beschikbaar. Men kan in de public folders gebruik Exchange gebruikt active directory maken van office bestanden. Tabel 11.1 Voor- en nadelen van Microsoft Exchange 2000 Het grootste nadeel van Exchange is dat het niet zonder active directory kan, dit wil zeggen dat het niet zonder Windows 2000 server kan. Wanneer men wil werken met Exchange 2000 moet men beschikken over Windows 2000, omdat active directory niet wordt ondersteund door Windows NT. Het nadeel dat men over geen geschiedenis functie beschikt speelt ook een grote rol. Daardoor kan men niet weten hoeveel maal het bestand is aangepast. Doordat er verwacht wordt dat de geschiedenis van de bestanden moet kunnen geraadpleegd worden, heb ik een evaluatie gedaan van nog twee andere producten van Windows. De twee producten waren Microsoft Office Server Extensions en Microsoft Tahoe. Microsoft Tahoe noemt nu Microsoft Sharepoint Portal Server.

11 3. Definiëren van een vragenlijst en verzamelen van wereldwijde netwerk informatie 12 Het verzamelen van de wereldwijde netwerk informatie gebeurde om later hieruit een projectplan te definiëren voor de wereldwijde implementatie van Active directory en MS- Exchange. Opmerking: Het projectplan zelf behoort niet tot het eindwerk. Om een compleet overzicht te krijgen van het Fisher Scientific LAN/WAN/internet werd een lijst rondgestuurd. In de lijst werden de volgende gegevens opgenomen: Algemene cöordinaten IS&S verantwoordelijke LAN informatie Server informatie File/print server informatie Mail server informatie WAN informatie Internet informatie Website informatie Antivirus informatie Bijkomende informatie Schema van het netwerk Een voorbeeld van deze lijst vindt men terug in de bijlage. 4. Installatie en evaluatie van Office Server Extensions Het eerste geteste product, Microsoft Office Server Extensions, heeft natuurlijk ook zijn voor- en nadelen. Voordelen Nadelen Uitzicht van een gewone intranetsite. Bestanden opslaan door het ingeven van een url. Een verwittiging via bij het Enkel een geschiedenis van de wijzigen van bestanden. laatste handeling. Tabel 12.1 Voor- en nadelen van Microsoft Office Server Extensions Het grote voordeel is dat men zich kan inschrijven voor persoonlijke verwittigingen via e- mail bij het wijzigen van de bestanden of van een hele folder. Men wordt ook verwittigd bij het toevoegen van een document of het verwijderen ervan. De geschiedenis functie geldt ook nog maar alleen voor de laatste wijzigingen van het document, wat maar minimaal is. 5. Installatie en evaluatie van Microsoft Tahoe Het tweede product dat getest werd is Microsoft Tahoe. Microsoft Tahoe is een nieuw product van Microsoft en heeft net als alle andere producten zijn voor- en nadelen.

12 Voordelen Gebruiksvriendelijke intranetsite. Persoonlijke verwittigingen via e- mail. Een uitgebreide geschiedenis functie. Eenvoudige toevoeging van bestanden. Men kan de lay-out van Tahoe wijzigen. Tabel 13.1 Voor- en nadelen van Microsoft Tahoe Nadelen Gebruik van client en server. Tahoe moet geïnstalleerd worden onder strikte voorwaarden voor een goede werking. 13 Microsoft Tahoe beschikt duidelijk over een aantal voordelen. De geschiedenisfunctie is hiervan het grootste voorbeeld. Uiteindelijk doel Het uiteindelijke doel is het uitwisselen van informatie met de nodige beveiligingen. Het uitwisselen van de informatie dient ook op een gebruiksvriendelijke manier te verlopen. Onder beveiligingen verstaan we het opzetten van een VPN (virtual private network) met de server van het bedrijf wat samengaat met encryptie. Men gaat ook authenticatie toepassen doormiddel van secure ID, waardoor de gebruiker zich kenbaar moet maken bij het opzetten van een VPN. Obstakels Doordat Acros Organics een dochterfirma is van de Amerikaanse multinational Fisher Scientific, verloopt het goedkeuringsproces niet van een leien dakje. Door de samenwerking van al de filialen moeten ze afgesteld worden op elkaar en dezelfde evolutie doormaken. Voordat men iets operationeel kan brengen is men verplicht te wachten op de goedkeuring van alle andere filialen.

13 Acros Organics netwerk 14 Figuur 14.1 Acros netwerk Bedrijfsvoorstelling: Acros Organics n.v. is een onderneming van Fisher Scientific Europe welke op zich deel uitmaakt van Fisher Scientific Worldwide. Acros Organics n.v. is gevestigd op de Janssen Pharmaceuticalaan te Geel en is distributeur van chemische afgewerkte produkten. Ontstaan van Acros Organics n.v Janssen Pharmaceutica beslist om een 300-tal tussenproducten, die het maakt in de fabricage van geneesmiddelen, te commercialiseren. Die tussenprodukten zijn immers ook interessante reagentia voor andere ondernemingen Aldrich, een jonge dynamishe onderneming uit Amerika, benadert Janssen Pharmaceutica en krijgt een exclusief verdelerscontract voor de Verenigde Staten Aldrich is ondertussen sterk gegroeid, maar heeft nog geen vestiging in Europa. De samenwerking tussen Aldrich en Janssen Pharmaceutica is ondertussen zo goed dat de twee bedrijven besluiten hieraan te verhelpen. Janssen richt een afdeling op die, op haar beurt, een exclusief agentschap wordt voor Aldrich in Europa. Die afdeling wordt Aldrich-Europe genoemd en start met een stock van 8000 reagentia in Beerse Janssen heeft ondertussen de klappen van de zweep leren kennen en weet dat het zonder Aldrich een positie van leverancier van reagentie kan waarmaken in Europa. Het contract van 1970 wordt opgezegd. Beide bedrijven worden concurrenten. De

14 Aldrich-Europe afdeling verandert vanzelfsprekend van naam en heet voortaan Janssen Chimica Janssen Chimica is goed geëvolueerd en de afdeling is in staat om in eigen magazijnen en administratie gebouwen te investeren op het nieuwe industrie terrein in Geel. Dat jaar start Janssen Chimica ook met de verkoop van produkten in Amerika, de thuismarkt van Aldrich De groep Johnson & Johnson, waartoe Janssen Pharmaceutica behoort, heeft gekozen voor een strategie waarin alle aandacht en investering in de toekomst geconcentreerd worden op haar core-business: research naar en fabricage van nieuwe geneesmiddelen. De afdeling Janssen Chimica past niet in deze strategie en wordt verkocht aan Fisher Scientific Worldwide, een groot Amerikaans bedrijf. Fisher Scientific is marktleider in de Verenigde Staten als leverancier van een zeer volledig assortiment goederen die nodig zijn in laboratoria. Fisher verkoopt zowat alles: instrumenten, glaswerk, veiligheidsuitrusting, diverse benodigdheden tot zelfs labomeubelen. De omzet buiten Amerika is echter beperkt voor Fisher. Tevens is het aandeel chemicaliën in haar catalogus klein en weet het geen blijf met een recente aankoop van de fijne chemicaliën-branche van Kodak. Het is dan ook duidelijk dat het concern door de aankoop van Janssen chimica meerder troeven verwerkt: Het maakt de Amerikaanse groep eigenaar van een gevestigd bedrijf waardoor het Fisher assortiment chemicaliën en reagentia fors uitbreid. Het heeft meteen een ervaren onderneming in huis gehaald die ook het aangekochte Kodak-gamma zal kunnen beheren. Het verschaft het concern tegelijkertijd een belangrijk steunpunt waarmee het de Europese markt verder kan infiltreren. Janssen heeft echter haar naam nietuitgeleend aan deze verkoop en de Chimica afdeling zal nogmaals van naam moeten veranderen. Vanaf 1 april 1994 heet de jonge dochterfirma van Fisher in Geel dan ook Acros Organics. Het is een nieuwe naam die tegelijk een vleugje traditie oproept en ambitie uitstraalt (Acros zoals Acropolis, wat zoiets als de top moet voorstellen) Fisher Scientific Worldwide blijft echter verder uitbreiden. Het verschil tussen de diverse Europese landen is voor Fisher een regelrechte uitdaging en de integratie tussen de diverse Europese vestigingen is nog on volle gang. De rol van Acros Organics blijft echter wel belangrijk als Europese uitvalbasis en als centrale leverancier van organische reagentia binnen de groep.

15 HOOFDSTUK 1: INLEIDENDE BEGRIPPEN VPN Een virtual private network is een oplossing voor een netwerk waarbij de hardware van een publiek netwerk gebruikt wordt om verbindingen te realiseren met knooppunten die geografisch ver verwijderd zijn van elkaar. Voor de gebruiker moet dit geheel zich echter gedragen alsof het een privé netwerk is. Daarom spreekt men van een virtueel netwerk Waarom een VPN? Een van de belangrijkste reden waarom men deze weg opgaat is het reduceren van de kostprijs Basisbegrippen van een VPN Hoe kan een VPN een private, veilige verbinding maken op het internet? Problemen die kunnen opduiken zijn bijvoorbeeld: uw LAN gebruikt geen IP uw LAN gebruikt IP adressen die niet toegelaten zijn (niet aangevraagd) hoe kan men vreemde bezoekers buiten houden? (hackers) Om de eigen IP adressen verborgen te houden voor het internet, zal men zijn toevlucht nemen tot tunneling. Men kan moeilijk van een tunnel spreken. Wat men wel kan realiseren is dat de zender en de ontvanger op een of andere manier een akkoord maken over hoe ze gaan communiceren. Er worden een aantal achtergrondgebieden heen en weer gestuurd over het internet om zo tot een deal over te gaan. Het is echter geen echte tunnel zoals de vaste telefoonverbinding er één is met zijn toegewezen kanaalcapaciteit. Een ander woord is encapsulation. Men gebruikt deze min of meer als synoniem voor tunneling. Het is echter beter het onderscheid scherper te stellen en te veronderstellen dat encapsulation gaat over wat men gaat doen met elk apart pakketje. De term tunneling gebruikt men om het ganse proces van data transfer te kenmerken. In dit encapsulation proces zal men elk pakket, inclusief de header, verbergen in een nieuwe enveloppe en op deze enveloppe de adressen van de source en destination VPN servers noteren. Dit geheel gaat dan als een IP pakket door het internet. De oude header reist dus mee als data in de enveloppe. Dit maakt dat vreemde netwerkframes kunnen getransporteerd worden. Om vreemde bezoekers te weren, moet men zijn toevlucht nemen tot een systeem van authenticatie samen met een beveiligingsgateway, zoals bijvoorbeeld een firewall. Om het voor de hackers zo moeilijk mogelijk te maken, gaat men over tot encryptie. Om er voor te zorgen dat de data niet gemanipuleerd is, is een systeem van authenticatie samen met verificatie nodig. Hoe kan iemand aan deze kant van de oceaan met absolute zekerheid weten dat aan de PC aan de andere kant van de oceaan de persoon zit die hij wil

16 bereiken. Dit is geen eenvoudig probleem, dat echter ook oplosbaar is (authenticatie). Het zou eveneens kunnen dat met de gegevens geknoeid is. Men zou bijvoorbeeld een frame meerdere keren kunnen opsturen. Daarom is verificatie nodig Nadelen van een VPN Wanneer men het internet opgaat, moet men veel investeren in beveiliging. Een aantal aanvallen sommen we hier op: Spam dit is vrij onschuldig, maar grote hoeveelheden ontvangen, kan de diskcapaciteit van de server onnodig consumeren en is zeker niet prettig voor de werknemers. Snooping en sniffing: er bestaat software, zelfs in Windows 98, NT, enz. om alle pakketjes op het netwerk binnen te nemen. Een sniffer gaat alleen de IP adressen van source en destination bekijken, terwijl een snooper ook de inhoud van het pakket zal analyseren. Zoals in volgend puntje besproken kan dit veregaande gevolgen hebben. Men kan zich wapenen tegen deze indringers door middel van encryptie. Spoofing: een hacker kan door de kennis van de IP adressen een zeer grote hoeveelheid data naar een server sturen, zodat deze uitvalt. Hierbij zal de server dikwijls een core dump opsturen, waar bijvoorbeeld paswoorden kunnen in staan. Met alle gevolgen vandien. Men spreekt van spoofing wanneer een niet gerechtigd gebruiker toch de firewall kan passeren en zo de IP adressen kan gebruiken. Men kan zich hiertegen wapenen door onder andere adres translatie en alleen de VPN server IP adressen zichtbaar te maken. Dit laatste gebeurt door de encapsulation. Wanneer de spoofer alleen het IP adres van de VPN server kent, kan hij waarschijnlijk alleen die server aanvallen Encryptie De bedoeling van encryptie is ervoor te zorgen dat machines of personen die niets te maken hebben met het VPN, dit ook niet kunnen omdat er geheimschrift gebruikt is. In de volgende paragrafen zullen we de methodes van encryptie bestuderen Symmetrische encryptie Bij symmetrische encryptie gebruiken zender en ontvanger dezelfde sleutel. Dit is een getal bestaande uit vele bits, in de praktijk minstens vier. Veel gebruikte systemen gebruiken sleutels van 40, 56 tot 128 bits. Er zijn vele systemen beschikbaar, onder andere DES, triple DES en IDEA (International Data Encryption Algorithm). Indien VPN apparatuur niet specifieert welke methode gebruikt wordt, is het meestal DES. DES en triple DES, kan werken met een sleutel van 40 en 56 bits. Triple DES gebruikt twee verschillende sleutels van 40 of 56 bits, hetgeen dit systeem uiterst moeilijk te kraken maakt.

17 18 IDEA gebruikt ineens een sleutel van 128 bits. Zoals volgende figuur toont, gebruiken beide partners in de communicatie dezelfde sleutel. Figuur 18.1 Symmetrische encryptie Het is duidelijk dat hoe langer een sleutel gebruikt wordt, hoe erger de schade is wanneer deze gevonden wordt, omdat er meer berichten met dezelfde sleutel verstuurd zijn. Een bijkomend probleem is dat wanneer er berichten verstuurd zijn, het in het algemeen gemakkelijker wordt de sleutel te vinden, bijvoorbeeld door een hystogram op te stellen betreffende de frequentie van voorkomen van de lettertekens. Daarom is het nodig dat zeer regelmatig (om de paar minuten) andere sleutels gebruikt worden. Een extra probleem hierbij is dat alle partners een andere sleutel gebruiken wanneer ze met iemand anders communiceren. Wanneer er bijvoorbeeld drie deelnemers zijn, A, B en C, zal er een andere sleutel gebruikt worden voor de communicatie tussen A en C dan voor de communicatie tussen A en B. Wanneer er dus vele sleutels in gebruik zin, en deze sleutels moeten regelmatig veranderd worden, is het dus een aartsmoeilijke taak om dit geheel gesynchroniseerd te houden. Daarom is symmetrische encryptie eenvoudiger Asymmetrische encryptie Bij asymmetrische encryptie heeft elke deelnemer twee sleutels, die niet uit elkaar af te leiden zijn. Een van de twee sleutels is uiterst geheim (privé), terwijl de andere sleutel publiek is. Omdat men meestal beide sleutels gaat mengen, bekomt men sleutels van 1024 bits lang. Er zijn meerdere systemen in omloop, veel gebruikt evenwel is de RSA encryptie. Dit zit ondermeer in Microsoft explorer, Netscape navigator, Lotus notes,. Alice zal, wanneer ze een boodschap naar Bob wil sturen, de publieke sleutel van Bob gebruiken. Alleen Bob kan dit bericht ontcijferen met zijn eigen geheime sleutel.

18 19 Figuur 19.1 RSA encryptie met publieke en geheime sleutel Het grote nadeel van RSA is dat het traag is, tot keer trager dan DES. Toch kan men RSA gebruiken voor het veilig doorsturen van een DES sleutel. Dit is dan een random cijfer van voldoende bits. Zoals in de vorige paragraaf besproken moet dit dikwijls gebeuren. Daarnaa kan men bijvoorbeeld DES gebruiken. In de volgende figuur is een voorbeeld weergegeven van een RSA encryptie met publieke en geheime sleutels samen met DES.

19 20 Figuur 20.1 RSA encryptie met publieke en geheime sleutel samen met DES Rest nog het probleem van de distributie van de publieke sleutel. Dit kan ondermeer met behulp van een derde partner, een certificate authority (CA). In de meeste gevallen zal dit organisme zowel de private als de publieke sleutel aanmaken en deze naar de juiste personen sturen. Samen met de private sleutel moet natuurlijk een certificaat reizen om aan te tonen dat het hier om beveiligde data gaat (geldigheid van de sleutel). In dit certificaat staat meestal een vervalsdatum, de naam van het certificate authority en een serial number. Het bevat in alle geval ook de handtekening van het CA. Er bestaat een formaat voor de berichtuitwisseling met een CA, namelijk X.509. Eens Alice en Bob elkaars publieke sleutels kennen, kan de communicatie starten. Dit natuurlijk op voorwaarde dat hun hard- en software dezelfde encryptie kan ondersteunen. In de volgende figuur wordt de werking van het CA voorgesteld.

20 21 Figuur 21.1 Werking van het CA Een digitale handtekening Wanneer men bijvoorbeeld belangrijke financïele transacties wenst te doen via het internet, is het vanzelfsprekend dat beide partners absolute zekerheid willen hebben. Wanneer een klant aan de bank het bevel geeft een goudvoorraad te kopen, moet hij dit zeker ondertekenen. Op papier kan dit, maar elektronisch is dit minder eenvoudig. Daarom bestaat volgend systeem. Alice wenst een ondertekend bericht naar Bob te sturen. Eerst en vooral zal ze dit bericht door middel van een hashing functie sturen. Deze zal uit dit bericht een kort bitpatroon afleiden, dat uniek is voor het bericht. De hashing functie is irrevesibel: uit het korte bitpatroon (digest) kan het oorspronkelijk bericht niet meer hersteld worden. Daarna zal Alice de digest encrypteren met haar eigen privé encryptiesleutel. Dit vormt haar digitale handtekening. Deze handtekening hangt ze aan het oorspronkelijk bericht en gaat dit geheel encrypteren met Bob s publieke sleutel. Bob zal, als ontvanger, vanzelfsprekend het bericht decrypteren met zijn private sleutel en daarna met de publieke sleutel van Alice. Indien dit geheel leesbaar is, weet hij zeker dat het van Alice komt, want alleen de publieke sleutel van Alice past op haar private sleutel. Bob zal het bericht, net zoals Alice, met de hashing functie processen. Indien dit hetzelfde bestand (digest) geeft als het digest dat met het bericht mee kwam, weet hij zeker dat dit bericht niet veranderd is. Het is duidelijk dat de hashing functie aan twee eisen moet voldoen: Ze mag niet investeerbaar zijn: uit de digest mag het oorspronkelijke bericht niet recupereerbaar zijn. Twee berichten mogen geen zelfde digest opleveren.

21 1.1.6 User authenticatie en autorisatie 22 Om na te gaan of de gebruiker echt is wie hij zegt te zijn, gebruikt men de combinatie gebruikersnaam / paswoord. Dit houd ook vele gevaren in: is het paswoord de naam van de echtgenote,. Indien het paswoord zeer ingewikkeld is, mag men het zeker niet opschrijven en op de terminal plakken. Er bestaan meerdere systemen betreffende paswoord beveiliging: PAP of paswoord authenticatie protocol: hier geeft de gebruiker zijn naam en paswoord. Het paswoord wordt geverifieerd in een database. CHAP of challenge handshake authenticatie protocol: hierbij geeft de gebruiker zijn naam en wachtwoord. De host reageert met een random cijfer. Dit moet door de aanlogger gebruikt worden om een antwoord te formuleren. Indien dit antwoord datgenen is wat de host verwacht is alles OK. Microsoft supporteert zowel PAP als CHAP. Dit kan dus goed gebruikt worden om aan te loggen via een PPTP verbinding op een NT server. Indien men het VPN gebruikt voor een extranet is de situatie moeilijker: de vertegenwoordiger van een toeleverancier of afnemer, zijn niet gekend in de bedrijfsdatabase. Hiervoor zijn andere schema s ontwikkeld op basis van een derde partij, een central authority. Een voorbeeld hiervan is kerberos Opzetten van een verbinding Eens alle sleutels gekend zijn, kan men beginnen met het opzetten van de verbinding. Ook dit is niet zo eenvoudig en er bestaan meerdere protocols. Vrij veel gebruikt is het ISAKMP/Oakley protocol. Dit is het Internet Security And Key Management Protocol, gecombineerd met de Oakley sleutel exchange protocol. IKE of het Internet Key Exchange protocol is hieraan identiek. Het werkt in een beveiligde omgeving, een security association (SA). De functies zijn: Overeenkomst over het protocol Overeenkomst over het algoritme Overeenkomst over de sleutels Primaire authenticatie: Alice weet dat ze met Bob communiceert (en omgekeerd) Mannagement van de sleutels na goedkeuring Uitwisseling van de sleutels na goedkeuring In een eerste fase wordt een beveiligde verbinding opgesteld tussen twee peers of gelijken. Dit is de ISAKMP Security Association. In een tweede stap onderhandelen de peers over een general purpose SA dat ze verder zullen gebruiken voor de data uitwisseling. Dit heeft het voordeel dat het ISAKMP SA niet veel gebruikt wordt.