Het artikel beoogt, met als leidraad de methodiek, de

Maat: px
Weergave met pagina beginnen:

Download "Het artikel beoogt, met als leidraad de methodiek, de"

Transcriptie

1 Artikel Methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Een praktijkcasus (deel II) Maarten Veltman In het eerste deel van Red-Green teaming bij Defensie (zie EDP-auditor 2007/2) is een methodiek geïntroduceerd voor het uitvoeren van een penetratietest. Dit tweede deel geeft aan de hand van een (fictieve) casus een praktische invulling aan een dergelijk onderzoek en de daarmee samenhangende onderzoeksactiviteiten. Relevante aandachtspunten, leermomenten en aanbevelingen zijn opgenomen. Een korte terugblik op de methodiek (zie EDP auditor 2007/2) Een penetratietest is een techniek die getroffen beveiligingsmaatregelen voor ICT-middelen onderwerpt aan uitgebreide beveiligingstests, uitgevoerd vanuit een perspectief van risicobeheersing. Deze tests verschaffen inzicht in de kwaliteit van de feitelijke inrichting van een ICT-middel of samenstel daarvan. Het testen vindt plaats door de aanwezigheid van indringers en hieraan gekoppelde activiteiten in de (ICT-)omgeving te simuleren. In de uitvoering worden hiertoe methoden, technieken en middelen gehanteerd die binnen de hackergemeenschap gemeengoed zijn. Het vorige artikel licht een methodiek toe waarmee op gestructureerde en beheerste wijze invulling gegeven kan worden aan een penetratietestingonderzoek. De methodiek bestaat uit een vijftal fasen: 1. Formuleren opdracht 2. Opstellen plan van aanpak 3. Voorbereiding penetratietest 4. Uitvoering penetratietest 5. Afronding Servers, werkstations, netwerkapparatuur en applicaties vormen bij een penetratietest het voornaamste object van onderzoek. Onderzoeksactiviteiten zijn doorgaans dan ook op deze objecten gericht. Zoals beschreven in het eerste artikel kunnen middels een penetratietest eveneens de effecten op minder harde materie zoals het gedrag en handelwijze van mensen waargenomen worden. Of en zo ja, in welke mate deze objecten in het onderzoek betrokken worden, hangt af van de gestelde onderzoeksvraag. Het artikel beoogt, met als leidraad de methodiek, de toegevoegde waarde van de penetratietestingtechniek voor een IT-auditor te illustreren. Aan de hand van een casus worden aandachtspunten en leermomenten tijdens het doorlopen van dit proces, toegelicht. De IT-auditor kan, indien juist toegepast, met deze kennis en inzicht ook zijn of haar voordeel behalen in standaard IT-audits naar zowel opzet als bestaan. Ing. M. (Maarten) Veltman RE is sinds 2000 werkzaam bij het ministerie van Defensie als senior IT-auditor bij de Audit Dienst Defensie (ADD). Aan de hand van een casus doorloopt het voorliggende artikel de diverse fasen en stappen binnen de methodiek. Dit artikel legt de nadruk op de uitvoeringsfase (fase 4). De uit- 10 de EDP-Auditor nummer

2 voeringsfase maakt aan de hand van concrete onderzoeksactiviteiten het gedachtegoed en werkwijze van een penetratietest inzichtelijk. Deze fase bestaat zoals in het eerste artikel beschreven uit een drietal stappen: a. informatievergaring; b. analyseren en c. ondernemen van vervolgstappen. Het doorlopen van deze stappen is een iteratief proces, wat inherent is aan een blackboxbenadering. Het is voor de auditor onmogelijk alle onderzoeksactiviteiten vooraf tot in detail uit te werken. De aandacht voor de uitvoeringsfase (fase 4) laat onverlet dat de afstemming met de opdrachtgever (stap 1), het uitwerken van een plan van aanpak (stap 2) en de voorbereidende werkzaamheden voor de penetratietest (stap 3) uitermate belangrijk zijn en de basis vormen voor het juist kunnen uitvoeren (stap 4) van de penetratietest. Casusbeschrijving De gestelde onderzoeksvraag is gerelateerd aan een tijdregistratieinformatiesysteem op een intern bedrijfsnetwerk. De opdrachtgever wil vastgesteld hebben of sprake is van een toereikende logische toegangsbeveiliging waarbij alleen daartoe geautoriseerde bedrijfsmedewerkers toegang kunnen krijgen tot het informatiesysteem en de daarop aanwezige gegevens. Het uitgangspunt voor het onderzoek is een blackboxbenadering. Dit betekent dat bij aanvang van het onderzoek geen informatie beschikbaar is over de samenstelling en technische inrichting van het informatiesysteem. Er wordt voor het onderzoek een intern profiel met beperkte rechten aangemeten. In de casus betekent dit dat het team beschikt over een geautoriseerd werkstation en toegang tot het kantoorautomatiseringnetwerk. Daarbij is sprake van een red team opdracht. Bij een dergelijke opdracht zijn de direct voor het informatiesysteem verantwoordelijken (eigenaar, functioneel en/of technisch beheer) niet op de hoogte gesteld van de uitvoering van het onderzoek. Fase 1-3: Voorbereiding onderzoek De voorbereidende fasen en activiteiten hebben hoofdzakelijk betrekking op projectmatige aspecten. Zo zijn in de methodiek onder meer activiteiten onderkend voor het formuleren, uitwerken en formaliseren van de onderzoeksopdracht, hieraan gerelateerde onderzoeksvragen en de samenstelling van een onderzoeksteam. Naast de vastlegging van deze generieke projectmatige aspecten stelt de projectleider van het onderzoeksteam op aangeven van de opdrachtgever ook specifieke aan penetratietesting gerelateerde uitgangspunten voor het onderzoek vast. Het betreft hier bijvoorbeeld de vaststelling van het te hanteren profiel, scenario en daarmee de kleur van het team (redteam versus green team; zie hiertoe tevens toelichting bij de casus beschrijving). In het kader van de voorbereidingen zijn nog enkele specifieke aandachtspunten ten aanzien van de inzet, gebruik en inrichting van technische hulpmiddelen noemenswaardig. Als onderdeel van de kwaliteitsborging enerzijds en reproduceerbaarheid anderzijds is het van belang dat vanaf het moment dat (technische) onderzoeksactiviteiten starten een registratie van de uitgevoerde activiteiten plaatsvindt. Deze registratie kan uiteenlopen van een eenvoudige schriftelijke notitie onder vermelding van de activiteit, datum en tijdstip; tot een volledige integrale geautomatiseerde vastlegging van alle handelingen die het red team uitvoert vanaf de ingezette hulpmiddelen. Deze laatste variant vereist natuurlijk wel de benodigde hulpmiddelen (b.v. het vastleggen van toetsaanslagen en beeldscherminformatie of het registreren van al het netwerkverkeer). Verder is van belang dat de werking van alle middelen (tooling) uitgebreid getest is (in een testomgeving), voordat het team deze inzet in een productieomgeving. Deze tests moeten niet uitsluitend gericht zijn op het uitsluiten van de aanwezigheid van eventuele virussen of trojan horses, maar eveneens op mogelijke onnodige features c.q. eigenaardigheden en de keuze voor de juiste instellingen van een tool. Het vooraf testen voorkomt in belangrijke mate onverwachte, en daarmee ongewenste, effecten bij de inzet van de tool. Voordat het red team eigen apparatuur, zoals een laptop of werkstation, inzet, is het verstandig een aantal voorzorgsmaatregelen te treffen, waaronder: het systeem zodanig inrichten dat het zich zo passief mogelijk gedraagt op het netwerk. Met behulp van bijvoorbeeld een netwerksniffer kan het passieve gedrag gecontroleerd worden; het uitschakelen van onnodige (netwerk)services teneinde eventuele kwetsbaarheid van het systeem zelf te beperken en de passieve werking van het systeem te benaderen; het installeren van de meest recente (beveiligings)patches teneinde de kwetsbaarheid van het platform en aanwezige applicaties te beperken; het overnemen van het hardware adres (MAC-adres) van een geautoriseerd werkstation en aansluiten op dezelfde netwerkpoort, teneinde eventueel aanwezige netwerkbeveiliging te omzeilen. Uiteraard moet de inzet van eigen middelen overeen komen met het gekozen scenario en profiel en bijdragen aan de beantwoording van de onderzoeksvraag. Fase 4 : Uitvoering penetratietest onderzoek Bij aanvang van deze penetratietest is alleen de informatie beschikbaar uit de voorbereidingsfase. Het team start dan ook met activiteiten die gericht zijn op een nadere informatievergaring (stap 4a). 11 de EDP-Auditor nummer

3 Uitgangspunt van alle activiteiten die in dit kader ondernomen worden, is dat deze bijdraagt aan de beantwoording van de onderzoeksvraag en aansluit op de onderzoeksdoelstelling. Stap 4a : Informatievergaring Het startpunt in de uitvoering van elke penetratietest is de stap informatievergaring. De stap is gericht op een verkenning van het onderzoeksobject en de omgeving daarvan. Vooraf gedefinieerde activiteiten (onderdeel van stap 3) geven een initiële invulling aan deze stap. Het team start met een passieve vorm van informatievergaring. In dit stadium (start) is het doel met zo min mogelijk ruchtbaarheid zoveel mogelijk gegevens te verzamelen waaruit bijvoorbeeld afgeleid kan worden: de eigenschappen van het informatiesysteem, waaronder omvang, (technische) samenstelling en afhankelijkheden; locaties (zowel fysiek als technisch op het netwerk); beheerverantwoordelijken, betrokken afdelingen en personen. Het scenario start met het gebruik van de standaard beschikbare (geautoriseerde) werkplek (in de casus: Microsoft Windows) en daarop aanwezige hulpmiddelen zoals Internet Explorer en commando prompt (met DOS tools zoals ping en nslookup). Het gebruik van een afwijkend werkstation of afwijkende tooling kan namelijk mogelijk gedetecteerd worden door de beheerorganisatie. Dit zou een voortijdig einde van het onderzoek kunnen betekenen, wat overigens zowel positief als negatief uitgelegd kan worden. Stap 4a: Informatievergaring -> Activiteit 1: Initiële informatievergaring omgeving Een interessante en voor de hand liggende informatiebron om mee te starten, vormen de aanwezige intranet websites (bijvoorbeeld startpagina s, portals) en de daarop beschikbare zoekfunctionaliteit. Bij grote ondernemingen zijn vaak diverse zoeksystemen (search engines) aanwezig die lang niet allemaal hetzelfde of op dezelfde manier indexeren. Betrek deze dan ook in het onderzoek. Bij het gebruik van zoeksystemen en websites ten behoeve van de stap informatievergaring kan gedacht worden aan het volgende: Maak gebruik van de bekende (beperkte) beschikbare informatie als zoekterm zoals de naam van het informatiesysteem of functionaliteit; dit kan leiden tot nieuwe informatie. Zo is het mogelijk dat de naam van het informatiesysteem terugkomt in een informatiebulletin, nieuwsbrief of een (gebruikers)forum; Ook gepubliceerde pagina s met incident- of storingsmeldingen kunnen interessante informatie opleveren, zoals verwijzingen naar logische systeemnamen; Als binnen de organisatie duidelijk is (of in de lijn van de verwachting ligt) welke afdeling verantwoordelijk is voor het beheer en/of inrichting van het informatiesysteem dan ligt het voor de hand ook de websites van deze afdelingen te raadplegen. Mogelijk is sprake van een externe partij of systeemintegrator die betrokken is (of is geweest) bij ondersteuning of ontwikkeling. Een bezoek aan de Internet website van deze externe partij levert mogelijk nog aanvullende informatie op; Een andere informatieve bron kan een geplaatste vacaturetekst zijn. Zo kan dit, zonder dat men zich dit realiseert, bruikbare informatie opleveren (denk aan gevraagde noodzakelijke kennis of technische opleidingen). Het team kan systeemeigenschappen, afdelingen of betrokken personen uit de eerste informatieanalyse op Internet als sleutelwoorden googlen. Zo kan het voorkomen dat een systeembeheerder op Internet een oplossing voor een opgetreden probleem zoekt op een gebruikersforum op Internet, wat weer kan leiden tot nieuwe informatie binnen het onderzoek. De bovenstaande voorbeelden illustreren dat het succes voor het verkrijgen van bruikbare informatie mede bepaald wordt door de creativiteit van de leden van het red team. Stap 4b: Analyse informatie uit activiteit 1 Op basis van de verzamelde informatie kunnen met het nodige voorbehoud eerste voorzichtige conclusies getrokken en aanbevelingen gedaan worden. Een voorbehoud is hierbij op zijn plaats. Naar de achtergrond of bron van deze waargenomen effecten gist het team in dit stadium namelijk nog. Zo kan het in de onderstaande aanbeveling zijn dat in opzet toereikende procedures aanwezig zijn voor het screenen van informatie voordat een organisatie deze op een Internet site plaatst terwijl in bestaan/werking hieraan (op basis van waarneming) een ontoereikende invulling gegeven wordt. Mogelijke aanbevelingen 1) Draag zorg dat alle publieke informatie zorgvuldig gescreend wordt voordat deze gepubliceerd wordt. 2) Draag zorg voor een beveiligingsbewustwording programma waarvan gedrag en uitlatingen op Internet/Intranet een onderdeel vormen. Het is mogelijk om aanbevelingen tijdens de uitvoering van het onderzoek bij te stellen. Bij de eindrapportage zal aanscherping plaats moeten vinden. Het voorleggen van onderzoeksresultaten aan de systeemeigenaar speelt daarbij een belangrijke rol. Dit doet overigens niets af aan het waargenomen effect in bestaan. Stap 4a: Informatievergaring -> Activiteit 2: Systeem identificatie Om gerichter onderzoek te kunnen uitvoeren is het van belang dat het team ten minste één systeem identificeert dat te relateren is aan het object van onderzoek. Een mogelijke ingang voor het verkrijgen van een, in technische zin, adresseerbaar systeem is het bevragen van de 12 de EDP-Auditor nummer

4 bedrijfsinterne DNS (Domain Name Service) of WINS server. Deze servers dragen zorg voor de vertaling van een logische naam (bijvoorbeeld organisatie.nl) naar een IP-adres en visa versa. Het team kan proberen een kopie van (delen van) de DNS database te verkrijgen. In DNS terminologie is dit bekend als een DNS zone transfer. Als deze niet goed is afgeschermd, is het voordeel dat zonder de doelsystemen zelf te benaderen, kennisgenomen wordt van de naamgeving en IP-adresgegevens van de in het netwerk aanwezige systemen. Op basis van de naam kan dan mogelijk een aanknopingspunt gevonden worden. Let wel dat het uitvoeren van een DNS zone transfer gedetecteerd kan worden en binnen de organisatie mogelijk als incident wordt beschouwd. Als het DNS register afgeschermd is voor een zone transfer, bestaat nog de mogelijkheid om, al dan niet handmatig, systeemnamen te raden. Hierbij gebruik makend van de eerder ingewonnen informatie. informatie ook het noodzakelijke inzicht voor de diverse logische toegangspaden tot dit systeem. Bij een poortscan wordt via het netwerk contact gelegd met alle (of specifieke) TCP en/of UDP poorten van een systeem. Het succesvol opzetten van een verbinding betekent dat een service luistert op de aangesproken poort. Aangezien doorgaans sprake is van standaard service-poorttoewijzingen (zie [IANA] voor overzicht standaard poortnummertoewijzingen) kan eenvoudig een eerste indruk opgedaan worden van de eigenschappen van het systeem. In figuur 1 is het resultaat opgenomen van een standaard TCP SYN poortscan uitgevoerd met het hulpmiddel NMAP [NMAP] van alle TCP poorten tussen de 1 en op het geïdentificeerde systeem met het IP-adres Een andere mogelijkheid is het uitvoeren van een netwerkscan, waarbij alle mogelijke adressen binnen een netwerkdomein aangesproken worden. In potentie levert dit meer netwerkverkeer op en is de kans groter dat activiteiten gedetecteerd worden (bijvoorbeeld door een aanwezige firewall). HTTP In de casus is, door de voorspelbare naamgeving van het systeem, aan de hand van de DNS een systeemnaam geïdentificeerd. Het betreft de systeemnaam urenreg.company.nl, dat zich vertaalt naar: > nslookup urenreg.company.nl Server: dns.company.nl Address: Oracle Listener Non-authoritative answer: Name: w2k.company.nl Address: Aliases: urenreg.company.nl <= IP-adres als aanknopingspunt HTTP server (secure) HTTP server Stap 4a: Informatievergaring -> Activiteit 3: Systeemeigen schappen identificatie Nu een IP-adres/DNS naam bekend is, kan geprobeerd worden of het adres bereikbaar is. Middels een ping (icmprequest) of traceroute wordt bekeken of het systeem antwoordt. Het niet bereikbaar zijn van het systeem kan wijzen op een aanwezige netwerkbeveiligingsmaatregel op het communicatiepad naar het systeem toe. Een voorbeeld is een aanwezige netwerk firewall of host-beveiliging. In de casus is het systeem niet nader afgeschermd door een netwerk firewall. Een standaardtechniek voor het verkrijgen van systeemeigenschappen (en daarmee ook een indruk van de functie/ toepassing van een systeem) is het uitvoeren van een zogenaamde IP poortscan. In het kader van de casus vormt deze Figuur 1: Resultaten van een TCP poortscan met NMAP. Stap 4b : Analyseren informatie uit activiteit 3 In stap 4b vindt analyse en interpretatie plaats van de infor matie die tijdens de verkenning (stap 4a) verzameld is. De stappen informatievergaring en analyseren worden iteratief toegepast. Een nieuw brokje informatie wordt geanalyseerd en leidt tot nieuwe onderzoeksactiviteiten dat weer kan leiden tot nieuwe informatie, dat weer geanalyseerd wordt, et cetera. In de casus blijkt na analyse van de poortscan (zie figuur 1) dat sprake is van o.a.: - een Microsoft Windows platform. Dit is af te leiden door de combinatie van aanwezige netwerkpoorten 135, 139, 13 de EDP-Auditor nummer

5 445 en Overigens kan door gebruik te maken van andere opties in de gebruikte tool ook een voorspelling gedaan worden over de versie van het platform; - de aanwezigheid van een Oracle listener op de standaard Oracle listener poort Dit duidt er op dat het systeem als DBMS is ingericht. In figuur 1 is, na analyse, een aantal poorten gearceerd die toebehoren tot de Oracle inrichting. De poortscan geeft vervolgens nog nadere informatie over de aanwezigheid van andere (netwerk)applicaties. Elke aanwezige service, luisterend op een poort, kan nader aan de tand gevoeld worden en daarmee in potentie gebruikt worden in de stap informatievergaring. De aanwezigheid van poort 1521 geeft op basis van de uitgevoerde poortscan geen garantie dat het hier ook een Oracle listener poort betreft. De toewijzing van poorten aan services kan namelijk handmatig gewijzigd worden. Om meer zekerheid te krijgen of deze poort in dit geval daadwerkelijk gebruikt wordt door Oracle kunnen andere tools ingezet worden. Een voorbeeld van een dergelijke tool is THC-AMAP [AMAP], dat beschikt over een zogenaamde fingerprint database waarmee met een redelijke mate van zekerheid vastgesteld kan worden welke applicatie en eventueel welke versie op de poort luistert. Ook de aanwezigheid van een combinatie van poorten kan duiden op een specifieke toepassing. Een overzicht van door Oracle toegepaste netwerkpoorten is bijvoorbeeld vastgelegd in [MLN ], [MLN ] Stap 4c : Ondernemen vervolgstappen en activiteiten Het team brengt op basis van de geanalyseerde informatie mogelijke aanknopingspunten en vervolgactiviteiten alvast in kaart. In figuur 2 zijn deze aanknopingspunten in een schets afgebeeld. Gelet op de onderzoeksdoelstelling en vraag is na de analyse besloten om de aandacht in eerste instantie te richten op de aanwezige Oracle database. Er worden nu nieuwe onderzoeksactiviteiten uitgewerkt die gericht zijn op informatievergaring van de eigenschappen van de Oracle database inrichting. In de onderstaande beschrijving volgen de stappen informatievergaring, analyse en het ondernemen van vervolgstappen/activiteiten elkaar op. Stap 4a: Informatievergaring -> Activiteit 4: Achterhalen database eigenschappen Een voorname bron van informatie voor de eigenschappen van een Oracle DBMS vormt de Oracle listener. Aan de hand van de TCP poortscan (zie figuur 1) is de aanwezigheid van de Oracle listener en de poort 1521 waarop deze luistert, vastgesteld. Zaak is middels het juiste protocol (TNS) een verbinding met de Oracle listener op te zetten zodat informatie omtrent de inrichting van de Oracle database verkregen kan worden. Een eenvoudig Perl programma Brute-force? Default account/pw? Privilege escalation? PlsExtProc? Injection? Oracle listener SID? Security? DBMS Oracle Client Attack? Database links? HTTP server Inhoud? Versie webserver? Active directory Info? RPC endpoints? Platform Windows 2000/XP/2003? Brug naar OS FTP anoniem? FTP versie SMTP VRFY? SMTP DEBUG? SMTP versie Bekende fouten? vertrouwensrelatie? NetBIOS Share s? User Enum? DNS Zone transfer? OS fingerprint Figuur 2: schets van mogelijke aanknopingspunten en vervolgactiviteiten. 14 de EDP-Auditor nummer

6 [TNSCMD] dat specifiek voor dit doeleinde ontwikkeld is, kan hiertoe ingezet worden. Uiteraard kan het team ook gebruik maken van de standaard SQL*PLUS client van Oracle (200 MB installatie). De inzet van het Perl script op de database levert de in figuur 3 afgebeelde informatie op. Stap 4b : Analyse informatie uit activiteit 4 Aan de hand van de output van het TNS statuscommando (zie figuur 3) leidt het team onder meer het volgende af: indicatie van merk en type platform waarop de database geïnstalleerd is (zie VERSION veld); de versie van de Oracle database ( ) (zie VER- SION veld); de locatie/pad waar de listener logfile zich bevindt (zie LOGFILE veld); De uptime (zie UPTIME veld). De uptime kan behulpzaam zijn om bijvoorbeeld in te schatten of patches/ updates geïnstalleerd zijn. Voor het installeren van een patch zal namelijk de database tijdelijk gestopt moeten worden (en daarmee dus ook de uptime). Een uptime van een half jaar kan er op wijzen dat patches tenminste een half jaar niet geïnstalleerd zijn. Security opties zijn uitgeschakeld (zie SECURITY=OFF) geen listener security, geen admin restrictions. Hierdoor kunnen wijzigingsopdrachten (SET) aan de listener verstrekt worden. Tevens kan dit in combinatie met het ontbreken van een listener wachtwoord misbruikt worden om de database op afstand te stoppen. Security Identifier (zie SERVICE_NAME=GLOBDB). Een belangrijke eigenschap van de Oracle listener is de zogenaamde SID. Zonder deze SID (Security Identifier) kan geen succesvolle verbinding met de Oracle DBMS opgezet worden. Er kunnen overigens meerdere database instances (SID s) aanwezig zijn. In het voorbeeld is alleen de instance GLOBDB aanwezig; Tevens blijkt dat de ExtProc procedure (zie SERVICE_ NAME=PLSExtProc) actief is. Bekend is dat PLSExtProc misbruikt kan worden om commando s op besturingssysteemniveau uit te voeren. Dit zal niet nader in dit artikel uitgewerkt worden. Voor achtergrondinformatie zie [ORASEC57]. Op basis van de bovenstaande waarnemingen (en analyse daarvan) kunnen de volgende aanbevelingen gedaan worden om risico s te beperken. Mogelijke aanbevelingen 1) Scherm de toegang tot de listener af met een wachtwoord. 1 2) Stel ADMIN_RESTRICTIONS in op de Listener [MLN ] 3) Gebruik moeilijk te voorspellen namen voor de SIDs. 4) Als dit niet nodig is, maak geen gebruik van PLSExtProc. Zo nodig maak gebruik van valid node checking. Draag op een Windows platform er voor zorg dat het proces niet als SYSTEM actief is. Elke toegang tot de listener en pogingen daartoe worden overigens geregistreerd in de listener.log. Een oplettende beheerder zal deze registraties herkennen als afwijkend gedrag. In de praktijk worden logfiles van de listener vaak niet geanalyseerd. In het kader op de volgende pagina is een voorbeeld van de registratie in de listener.log opgenomen bij gebruik van Oscanner (deze tool wordt verderop in het artikel nog besproken) en bij gebruik van de standaard Oracle SQL*PLUS client. Wat hieraan direct opvalt is dat bij gebruik van SQL*PLUS veel meer gebruiksinformatie geregistreerd wordt dan de JDBC koppeling waarvan Oscanner gebruik maakt. De Figuur 3: Deel van de informatie verkregen via de Oracle TNS listener (status commando) 15 de EDP-Auditor nummer

7 SQL*PLUS client stuurt standaard namelijk het complete pad, hostnaam en gebruikersnaam mee. Dit biedt ook weer mogelijkheden door bewust deze gegevens te manipuleren zodanig dat dit overeenkomt met de gebruikelijke registraties op het systeem, teneinde bemerking van activiteiten van het team te bemoeilijken. Stap 4a : Informatievergaring -> Activiteit 5: default Oracle account/wachtwoord Tijdens reguliere systeem IT-audits is een van de standaardonderdelen te onderzoeken hoe het gesteld is met de wachtwoord policy, opslag en distributie van wachtwoorden. Bij een penetratietest is die aandacht daarvoor nog nadrukkelijker. Als dit mechanisme verkeerd ingericht of toegepast wordt, vormt het de meest eenvoudige toegang tot een informatiesysteem en in dit geval de database. Een bekend gegeven van Oracle databases is dat eenmaal binnen (ook met minimale rechten) diverse mogelijkheden bestaan om rechten binnen de database en op het systeem op te waarderen (Engels: Privilege Escalation). Het slagingspercentage daarvan neemt met name toe op het moment dat patches niet of niet tijdig geïnstalleerd worden. Nu de SID (GLOBDB) bekend is uit de analyse van activiteit 4 kan de Oracle database instance rechtstreeks aangesproken worden. Het team start met het controleren of de Oracle database uitgerust is met default gebruikersnaam/ wachtwoordcombinaties. Binnen de Oracle DBMS omgeving en al haar deelapplicaties en verschillende versies, bestaan een groot aantal (honderden) default gebruikersnaam/wachtwoordcombinaties [FINNIGAN],[VULASS],[MLN ]. Ter nuancering: in de praktijk wordt nooit een database aangetroffen waar al deze accounts terugkomen, hooguit een handvol. Met name bij oudere versies van Oracle is vaak sprake van krachtige accounts met standaardwachtwoorden. Een van de redenen hiervoor is dat tijdens installatie tot en met Oracle versie 8 niet afgedwongen wordt dat het wachtwoord van het sys en system account gewijzigd wordt van de standaardwaarde. Oracle geeft namelijk een standaard voorzet, terwijl bij recentere Oracle versies de gebruiker zelf een wachtwoord moet opgeven. In deze fase van het onderzoek is het zaak dat het team alleen op de aanwezigheid van default combinaties controleert en niet dat het op een brute-force basis, alle mogelijke wachtwoord combinaties, probeert om toegang te verschaffen. Het risico is namelijk dat accounts blokkeren doordat het maximale aantal toegestane inlogpogingen bereikt is. Bovendien is op dit moment nog niet duidelijk welke accounts aanwezig zijn. Het controleren op de aanwezigheid van default account/ wachtwoordcombinaties kan met behulp van verschillende tools. Allereerst handmatig door zelf aan te loggen met een SQL client (bijv. SQL*PLUS). Daarnaast bestaan er verschillende tools (al dan niet commercieel) waarmee de aanwezigheid van default wachtwoorden geautomatiseerd vastgesteld kan worden. Voorbeelden van vrij verkrijgbare tools die zich richten op de default account/wachtwoordcombinaties zijn: Oracle Auditing Tool (OAT) [OAT] (commandline, op Java/JDBC gebaseerd); OracSec [ORASEC] (GUI) en Oscanner [OSCAN] (Java gebaseerd). In de casus wordt deze tool ingezet. Oscanner voert standaard meer uit dan alleen een default wachtwoordcontrole. Middels een plugin bestand (oracleplugins.default) wordt aangegeven welke controles uitgevoerd moeten worden. Verstandig is om de eerste poging te beperken tot de EnumerateSIDS en CheckCommonPasswords plugin. Het bestand accounts.default waarin de default account/wachtwoordcombinaties zijn vastgelegd, kan aangevuld worden met de eerder genoemde default account overzichten. In figuur 4 is de output van de tool Oscanner vastgelegd. Het team start met het uitlezen van de SIDS. Dit is feitelijk een selectie van de output van het TNS status commando. Vervolgens wordt met de bekende default accounts ingelogd totdat een eerste hit ontstaat. In de casus is dit het account dbsnmp met het default wachtwoord dbsnmp (zie figuur 4). Nu dit succesvol is, logt oscanner met het dbsnmp account in en laat een database query op de Oracle account database los (select username from all_users) om zodoende de aanwezige accounts binnen de Oracle instance op te vragen (zie groen gearceerde tekst). Vervolgens probeert het tool alleen die accounts die ook daadwerkelijk aanwezig zijn. Bij het gebruik van de tool is het aan te bevelen om de verbose optie van deze tool te gebruiken. Dit is overigens niet in figuur 4 gebruikt. Met de verbose optie wordt namelijk ook duidelijk welke accounts wel geprobeerd zijn, maar waarvan het wachtwoord niet default is. 16 de EDP-Auditor nummer

8 Stap 4b : Analyse -> Bevindingen activiteit 5 (default accounts) Het resultaat van de inzet van de tool op de database is de vastgestelde aanwezigheid van twee default valide gebruikersnaam/wachtwoordcombinaties waarmee aangemeld kan worden op de database. Stap 4a: Informatievergaring -> Activiteit 6: Aanwezigheid zwakke wachtwoorden Naast het proberen van default gebruikersnaam/wachtwoord combinaties kan ook geprobeerd worden in te loggen met voorspelbare wachtwoorden (bijvoorbeeld uit een woordenboek) of middels brute-force (alle mogelijke combinaties). De ervaring leert dat een woordenboekaanval met name bij gebruikersaccounts succesvol kan zijn. In dat geval moet wel eerst bekend zijn welke gebruikersaccounts op de Oracle database aanwezig zijn. Aangezien veelvuldig geprobeerd wordt in te loggen met een account brengt een dergelijke aanpak ook risico s met zich mee. De kans bestaat dat een blokkade van een account optreedt, doordat men het maximaal aantal foutieve inlogpogingen overschrijdt. Het blokkeren van het SYS account is overigens niet mogelijk [MLN ]. Daarnaast worden toegangspogingen ook geregistreerd in logbestanden, zodat de kans bestaat dat de penetratietestactiviteiten in een vroegtijdig stadium ontdekt worden. Figuur 4: Resultaten Oscanner tool default account-wachtwoord combinaties Overigens heeft Oracle zelf ook een Default password controle tool uitgebracht [MLN ] met daarin bijna 700 default gebruikersnaam/wachtwoordcombinaties. De tool van Oracle is alleen beschikbaar via Metalink (account nodig). De tool is uitgevoerd als SQL script, dat met hoge rechten geactiveerd moet worden. Het script vergelijkt de output van opgehaalde Oracle hashes (select username, password from sys.dba_users) met de bekende door Oracle in het script vastgelegde hashes. Als deze overeenkomen is duidelijk dat het een default wachtwoord betreft. Oracle heeft zelf niet (integraal) de ontcijferde (klare tekst) wachtwoorden gepubliceerd. Voor de werking van de Oracle tool is dit namelijk ook niet nodig. Een belangrijke beperking van de door Oracle geleverde tool in het licht van de inzet voor een penetratietest is dat men al beschikt over hoge rechten om de hash-waarden van de wachtwoorden in de database uit te mogen lezen. Een andere beperking is dat deze controle niets zegt over het gebruik van een zwak wachtwoord (niet zijnde default). Overigens staan (op een enkele na) alle wachtwoorden waarop de Oracle tool controleert reeds in de eerder genoemde wachtwoordlijsten op Internet. Door het blokkeren van een account kan overigens wel achterhaald worden of en zo ja wat de password policy voor wat betreft het maximale aantal toegangspogingen is. Het is in dat geval verstandig om dit bij een regulier gebruikersaccount te proberen. Het blokkeren van service en systeem accounts leidt mogelijk tot problemen in een productieomgeving. Deze activiteit is niet nader in de casus uitgewerkt, aangezien het idee daarachter voor zich spreekt. Stap 4c: Ondernemen vervolgstappen In de casus is vastgesteld dat sprake is van twee accounts die uitgerust zijn met het bijbehorende default wachtwoord. Deze accounts beschikken over beperkte rechten binnen de Oracle omgeving. Het nieuw te stellen doel is met behulp van deze accounts hogere rechten binnen de Oracle omgeving te verkrijgen. Om dat doel te bereiken zijn vervolgactiviteiten nodig. Ook hier wordt op basis van de nu bekende informatie, vooronderzoek, kennis en ervaring een initiële inschatting gemaakt van de mogelijkheden. Het ligt voor de hand te starten met relatief eenvoudig uit te voeren aanvalstechnieken gericht op bekende kwetsbaarheden met een grote impact. De aanwezigheid van een default account lijkt een open deur maar blijkt in de praktijk veelvuldig voor te komen. Een voor de hand liggende aanbeveling is dan ook de volgende aanbeveling: Aanbeveling Wachtwoorden moeten gewijzigd worden van hun standaardwaarde. Het voorliggende artikel beschrijft als voorbeeld een tweetal vervolgstappen welke beide kunnen leiden tot verkrijgen van toegang met hoge rechten op de database. Het betreft hier twee activiteiten gericht op het binnendringen in een informatiesysteem (activiteiten 7 en 8) die geen onderdeel vormen van de stappen informatievergaring (stap 4a) of analyse (stap 4b). 17 de EDP-Auditor nummer

9 Figuur 5: Rol toewijzing gebruiker SCOTT voor de aanval. Figuur 6: Deel van Oracle client netwerksessie met bewuste alter session SQL commando. Figuur 8: Deel van Oracle client netwerksessie waarin aangepast SQL commando verstuurd wordt. De gebruiker SCOTT (met defaultwachtwoord TIGER) beschikt over de volgende privileges. Figuur 7: Aanpassing van SQL commando in Oracle client sturingsprogramma. Stap 4c: Vervolgactiviteit -> Activiteit 7: Oracle client aanval Een relatief eenvoudig uit te voeren aanval met in potentie een grote impact is de Oracle Access Control Bypass in Login kwetsbaarheid [IMPERVA]. De aanval is gericht op een kwetsbaarheid in het login authenticatieproces als onderdeel van het TNS protocol. De technische achtergrond van de kwetsbaarheid is dat gedurende het inlogproces SQL commando s (ALTER SESSION) uitgevoerd worden voor het instellen van de sessie-attributen. Dit SQL commando wordt echter niet uitgevoerd met de rechten van de gebruiker die zich aanmeldt, maar met de hoge rechten van de SYS database gebruiker. Dit gegeven in combinatie met de mogelijkheid het SQL commando aan de clientzijde aan te passen, leidt tot grote risico s. Randvoorwaarde, naast dat de database hiervoor nog niet gepatched is, is de beschikking over een geldig database account/wachtwoord met minimale rechten (create session). In de casus is bij activiteit 5 de aanwezigheid van twee accounts met een defaultwachtwoord vastgesteld. Deze accounts worden in de onderstaande uitwerking gebruikt. Het concept achter de aanval is om tijdens het authenticatieproces het ALTER SESSION commando te vervangen door een eigen commando. In de casus is dit een commando waarmee database beheer (DBA) rechten toegekend worden aan het gevonden SCOTT account. Er zijn verschillende manieren om misbruik te maken van deze kwetsbaarheid [ADP], [OAK]. De eenvoudigste manier is het aanpassen van de binaire bestanden van de Oracle client. Met behulp van een netwerksniffer (b.v. Wireshark, kan de communicatie tussen de Oracle client (SQL*PLUS) en de Oracle database server afgeluisterd worden. In figuur 6 is de bewuste ALTER SESSION SQL statement tijdens het (reguliere) inlogproces gearceerd weergegeven. De Oracle client verstuurt deze opdracht. Dit betekent dat de feitelijke samenstelling van deze opdracht gezocht moet worden aan de cliëntzijde. Het doorzoeken van de Oracle client binaries (in dit geval Windows) levert in één van de ondersteunende DLL s diverse hits op (zie arcering in figuur 7). Met behulp van een binaire editor (hexedit) vervangen we vervolgens alle ALTER SESSION SET statements door een andere opdracht. In het geval van de penetratie test vervangt het team de opdracht door GRANT DBA TO SCOTT. Figuur 9: Rol toewijzing gebruiker SCOTT na aanval. 18 de EDP-Auditor nummer

10 Na aanpassing van de client software stuurt deze tijdens het opstarten en aanmelden op de database het gewenste commando en voert dit op de database uit met SYS rechten (zie figuur 8). Na het terugbrengen van de Oracle client in zijn originele staat leert een controle van de rechten van de gebruiker SCOTT dat deze nu DBA rechten heeft. Op dit moment is toegang tot de database verschaft met hoge rechten en kunnen besloten delen van de database ingezien en aangepast worden. Dit biedt weer verdere mogelijkheden om bijvoorbeeld door te breken naar het onderliggende platform. Deze kwetsbaarheid is overigens in de Critical Patch Update (CPU) van Oracle in januari 2006 opgelost. In de casus is hiermee vastgesteld dat de Oracle database kwetsbaar is voor deze fout. De onderstaande aanbeveling ligt daarbij voor de hand. Aanbeveling Volg de patch-cyclus van Oracle, let op waarderingen/impact die door Oracle aangegeven zijn (met name remote, unauthenticated/ authenticated exploits hebben hoge impact). Een kanttekening in algemene zin is dat mogelijk sprake is van een valide onderbouwde afweging voor het al dan niet inzetten van een patch. Tijdens de uitvoering van een penetratietest kan het team op basis van een enkele waarneming niet vaststellen of sprake is van een weloverwogen afweging. Bij de risicoafweging kan ook als mitigerende factor sprake zijn van monitoring en alarmering waarbij de beheerorganisatie deze toegang en gebruik van DBA rol privileges opmerkt en op basis daarvan (geautomatiseerde) acties uitzet. Stap 4c: Vervolgactiviteit -> Activiteit 8: SQL Injection Om duidelijk te maken dat er meerdere manieren bestaan om deze rechten te verkrijgen volgt een korte illustratie van een SQL injection aanval. In het kort heeft SQL injection betrekking op het niet of onjuist controleren van gebruikersinput wat kan leiden tot uitvoeren van opdrachten (SQL) op de database. Zie [WIKI] voor een nadere toelichting. De Oracle package CTXSYS.DRILOAD bevat een bekende kwetsbaarheid [ALERT68]. De kwetsbaarheid in een notendop: De betreffende package van CTXSYS is voorzien van publieke toegangsrechten en gebruikt voor het uitvoeren van opdrachten de rechten van de eigenaar (DBA) in plaats van de rechten van degene die de package aanroept. Daarnaast vormt de package zonder enige vorm van invoercontrole elk SQL commando uit. Het betreft daarmee een vorm van directe database SQL injection. Het risico bestaat dat elke geauthenticeerde database gebruiker willekeurige SQL commando s kan uitvoeren met de rechten van een database beheerder (DBA). Zie tevens [DRILOAD], [ALERT68]. In de praktijk (zie casus) kan de aanval met een enkele opdracht uitgevoerd worden. De SQL injection aanval op de CTXSYS.DRILOAD package wordt hieronder geïllustreerd. Eerst controleert de aanvaller de rechten waarover het DBSNMP account beschikt, als volgt: SQL> select * from user_role_privs; USERNAME GRANTED_ROLE ADM DEF OS_ DBSNMP CONNECT NO YES NO Het DBSNMP account beschikt alleen over de connect roltoewijzing. Onderdeel daarvan is het minimale privilege dat nodig is voor het opzetten van een verbinding met de database. De aanvaller maakt middels het uitvoeren van de onderstaande SQL opdracht misbruik van een aanwezige SQL injection in de CTXSYS.DRILOAD package. Een execute immediate geeft opdracht om DBA rechten toe te kennen aan het DBSNMP-account. SQL> exec ctxsys.driload.validate_stmt( grant dba to dbsnmp ); BEGIN ctxsys.driload.validate_stmt( grant dba to dbsnmp ); END; * ERROR at line 1: ORA-06510: PL/SQL: unhandled user-defined exception ORA-06512: at CTXSYS.DRILOAD, line 42 ORA-01003: no statement parsed ORA-06512: at line 1 Een controle van de rechten van het DBSNMP leert dat DBA rechten zijn toegewezen. SQL> select * from user_role_privs; USERNAME GRANTED_ROLE ADM DEF OS_ DBSNMP CONNECT NO YES NO DBSNMP DBA NO YES NO Door het installeren van Oracle alert patch 68 wordt deze kwetsbaarheid verholpen. Zie tevens [MLN ]. Een aanbeveling op basis van deze bevinding ligt in lijn met de aanbeveling gedaan bij de Oracle client hack. 19 de EDP-Auditor nummer

11 Stap 4c: Vervolgactiviteiten Het ondernemen van vervolgactiviteiten is afhankelijk van het al dan niet bereiken van de onderzoeksdoelstelling. Gegeven de beschikbare DBA rechten op de database (geïllustreerd op een tweetal manieren) behoren bijvoorbeeld de volgende activiteiten tot de mogelijkheden: Het volledig in kaart brengen van het systeemlandschap van de database inclusief eventuele vertrouwensrelaties met andere databases. In de geschetste casus zou gekozen kunnen worden voor het bevragen van de aanwezige database profielen, waarin bijvoorbeeld eisen ten aanzien van wachtwoordsamenstelling, frequentie van wachtwoord wijzigen et cetera is vastgelegd. Ook het verkrijgen van inzicht in de toewijzing van database rollen en privileges past binnen de geschetste onderzoeksdoelstelling. Daarnaast kan het team ook achterhalen wat op welke wijze gelogd wordt en welke database alarmering (triggers) ingesteld zijn. Het opvragen van de vercijferde wachtwoorden (hashes) van alle Oracle accounts. Deze hashes kunnen vervolgens met geautomatiseerde hulpmiddelen offline gekraakt worden. Zie bijvoorbeeld [ORABENCH] voor een benchmark van verschillende tools. De gekraakte wachtwoorden geven inzicht in de sterkte van de gekozen wachtwoorden. Daarnaast is het mogelijk om deze identificatie- en authenticatiegegevens te gebruiken op het platform, applicaties of andere systemen. De kans dat dezelfde account/wachtwoordcombinaties aanwezig zijn op andere toepassingen is groot. Vanuit de databaseomgeving kunnen we uitstapjes maken naar het onderliggende platform of netwerk. In [ORAHB] is een heel hoofdstuk ingeruimd dat beschrijft op welke wijze het uitvoeren van besturingssysteem commando s vanuit de database mogelijk is. Deze activiteit kan als opstap dienen voor het verkrijgen van volledige controle over het onderliggende besturingssysteem, applicaties en andere databases. Overigens is het ook mogelijk om vanuit het platform een aanvalsplan op te stellen. In figuur 2 is daartoe, op basis van de uitgevoerde poortscan (zie figuur 1) een voorzet gegeven. Activiteiten binnen dit aanvalsplan zijn, zoals in figuur 2 schematisch weergegeven, gericht op mogelijke kwetsbaarheden in aanwezige netwerkservices zoals SMTP, FTP en HTTP. In de uitwerking van de casus is direct toegewerkt naar DBA-toegang tot de database. In de praktijk zullen verschillende paden bewandeld worden, waarvan diverse paden doodlopen. In technische zin kunnen diverse technieken en methoden toegepast worden die in het kader van dit artikel te ver voeren. Fase 5: Afronding In de afrondingsfase legt het team de resultaten van het onderzoek en aanbevelingen voor aan de systeemeigenaar voor hoor en wederhoor. De afgestemde rapportage wordt voorgelegd aan de opdrachtgever. Alle verrichtte werkzaamheden en elektronische evidence voor het onderzoek komen in het onderzoeksdossier terecht. Het onderzoek wordt afgesloten middels een zelfevaluatie van het project om te leren van gemaakte fouten. Conclusie Een penetratietest richt zich op het vaststellen van de eventuele aanwezigheid van een (technische) kwetsbaarheid en de negatieve uitwerking die dit heeft op het onderzoeksobject. Een garantie over de afwezigheid van kwetsbaarheden kan de auditor niet bieden. In tegenstelling tot een reguliere IT-audit naar opzet en bestaan zijn bij een penetratietest met een red teamkarakter, de opzet, de inrichting van de beheerorganisatie, processen, procedures en werkinstructies geen object van onderzoek. Op zich ook logisch aangezien de auditor, gelet op gehanteerde profielen en scenario s niet beschikt over deze informatie. De mate van zekerheid die een penetratietest biedt, is daarmee dan ook lager dan een reguliere IT-audit. De auditor zal deze beperkingen dan ook zowel vooraf als achteraf in de rapportage duidelijk moeten maken. Het voordeel van de penetratietesttechniek is dat door het in praktijk brengen van een realistisch scenario en dreigingprofiel de onderzoeksbevindingen het management overtuigen en bovenal erg aansprekend werken. De auditor heeft vanuit de praktische insteek en bijbehorende waarnemingen ook uitstekende handvaten om de kans en impact van het manifest worden van bedreigingen te duiden. Het benodigde kennisniveau, middelen, mate van complexiteit en ervaringscijfers vormen bij het inschatten van risico s de belangrijkste referentiepunten voor de auditor. Daarnaast dwingt een dergelijke audittechniek af dat de IT-auditor omgevingsfactoren in zijn onderzoek betrekt. Waarnemingen vinden namelijk in eerste instantie vanuit de omgeving plaats. Penetratietesting als techniek biedt daarmee de mogelijkheid om een accuraat en realistisch beeld van de kwaliteit van de technische beveiligingsinrichting van een geautomatiseerd systeem te verkrijgen. Casussamenstelling Voor de voorbeelden is gebruik gemaakt van een standaard Oracle installatie op een Windows 2000 server met SP4 in VMWare. Voor de duidelijkheid: Voor het demonstratieve karakter is een default installatie van een Oracle database op een Windows 2000 platform ingericht. De toegepaste en beschreven technieken en middelen zijn vrij verkrijgbaar en binnen de gebruikersgroep algemeen bekend. 20 de EDP-Auditor nummer

12 Literatuurlijst [ADP] ADP Blog. On a breakable Oracle, 24 januari 2006, [ALERT68] Oracle security alert 68, deploy/security/pdf/2004alert68.pdf [AMAP] The Hackers Choice AMAP portscanner, thc.org/ [DRILOAD] sql_injection_via_ctxsys_driload.html [FINNIGAN] Default Oracle Passwords, default/default_password_list.htm [FINNIGAN2] Oracle 11g password algorithm revealed, 24 september archives/ htm [IANA] IANA Port number assignment, assignments/port-numbers [IMPERVA] Full disclosure Oracle DBMS Access Control bypass in Login, 17 januari [MLN ] Oracle Created Database Users: Password, Usage and Files References, Oracle Metalink Note , 20 maart [MLN ] How to LOCK the SYS PASSWORD using Password Management with Profiles, Metalink note MLN , 24 juni [MLN ] Description and usage of the ADMIN_RESTRICTIONS_ listener_name parameter, Oracle Metalink note , 25 maart [MLN ] FAQ for security alert 68, Oracle Metalink note , 9 mei [MLN ] Frequently Asked Questions about Oracle Default Password Scanner, Oracle Metalink Note , 18 april [MLN ] Listening Port numbers, Metalink Note , 8 april [MLN ] Overview of Default Ports Used by EM 10g Grid Control, DB Control and AS Control, Oracle MetaLink Note , 1 februari [NMAP] NMAP Security Scanner, [OAK] Oracle Assesment Kit, David Litchfield, nerabilityassessment.co.uk/oak.htm [OAT] Oracle Auditing Tool 1.3.1, [ORABENCH] Oracle password hackers benchmark, red-database-security.com/whitepaper/oracle_password_ benchmark.html [ORAHB] The Oracle Hacker s Handbook, David Litchfield, Wiley publishing. ISBN: [ORASEC] OraSEC, [ORASEC57] Oracle security alert 57, 4 September oracle.com/technology/deploy/security/pdf/2003alert57. pdf [OSCAN] Oracle scanner 1.06, [SANS] An Assesment of the Oracle Password Hashing Algorithm, Joshua Wright, Carlos Cid, 18 oktober [SIDGUESS] SIDGuesser 1.05, [TNSCMD] TNSCMD Perl script, hacks/security/tnscmd [VULASS] Default Oracle passwords overview, bilityassessment.co.uk/default_oracle_passwords.htm [WIKI] SQL Injection, [WINSID] WinSID Pro, (de tool is niet meer beschikbaar via de website). Noot 1 Een drempel wordt opgeworpen wanneer de toegang tot de listener met een wachtwoord zou zijn beveiligd. Om in deze gevallen toch een geldige SID te verkrijgen, kan geprobeerd worden om de SID te raden. Een tool waarmee dit mogelijk is, is SIDGuesser [SIDGUESS]. Een andere mogelijkheid is het raden van het listener wachtwoord. Dit kan bijvoorbeeld met de commerciële tool WinSID Pro [WINSID]. ADVERTENTIE 21 de EDP-Auditor nummer

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

Methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten)

Methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Artikel Methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Een praktijkcasus (deel II) Maarten Wftrnan In het eerste deel van Red-Green teaming bij Defensie (zie EDP-auditor

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Handleiding voor het inloggen op Terminal Server van GLT-PLUS

Handleiding voor het inloggen op Terminal Server van GLT-PLUS Handleiding voor het inloggen op Terminal Server van GLT-PLUS Voor inloggen vanuit huis, GLT en NAM Geschreven door: Business Information Datum: 4-5-2011 ENOVIA: 01335559-0001 rev D ENOVIA nummer: 01335559-0001

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010 Terminal Services Dit document beschrijft hoe op afstand kan worden ingelogd op een Terminal Server. Lees dit document zorgvuldig, voordat u voor het eerst hiervan gebruik maakt! Isaeus Solutions Tel:

Nadere informatie

Handleiding Inloggen met SSL VPN

Handleiding Inloggen met SSL VPN Handleiding Inloggen met SSL VPN Beveiligd verbinding maken met het bedrijfsnetwerk via de Desktop Portal Versie: 24 april 2012 Handleiding SSL-VPN Pagina 1 van 10 Inleiding SSL VPN is een technologie

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Installatie en configuratie documentatie

Installatie en configuratie documentatie Installatie en configuratie documentatie Assistance Web Portal v. 2.58, 2.60 Voor Windows 2003 / 2008 / XP / Vista / Windows 7 Assistance PSO handleiding, uitgegeven door Assistance Software. Alle rechten

Nadere informatie

Technisch implementatiedocument Opdrachtgever: Tricon

Technisch implementatiedocument Opdrachtgever: Tricon Opdrachtgever: Auteur: Norbert van Korlaar Versie: 1.0 Datum: donderdag 23 februari Inhoudsopgave 1 INLEIDING... 3 2 ALGEMENE INFORMATIE... 4 3 DATABASE MANAGEMENT SYSTEM - CONFIGURATIE (DB-SERVER)...

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0

Datum 15 juni 2006 Versie 1.0.6. Exchange Online. Handleiding voor gebruiker Release 1.0 Datum 1.0.6 Exchange Online Handleiding voor gebruiker Release 1.0 1.0.6 Inhoudsopgave 1 Instellingen e-mail clients 2 1.1 Gebruik via Outlook 2003 2 1.2 Gebruik via ActiveSync 15 1.3 Gebruik via andere

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Handleiding Beveiligen van Wordpress

Handleiding Beveiligen van Wordpress Handleiding Beveiligen van Wordpress Deze handleiding beschrijft de stappen die u dient te nemen om uw Wordpress website te beveiligen Versie 1.0 Kies een sterk wachtwoord Gebruik als wachtwoord een combinatie

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

5/8 Patch management

5/8 Patch management Management Services 5/8 Patch management 5/8.1 Beheer van patches met Subscription Management Tool 5/8.1.1 Inleiding Een moderne Linux-server moet regelmatig worden bijgewerkt met de laatste versie van

Nadere informatie

Installatie en configuratie 1.1. Licentie Systeem. Dé specialist in ruimtelijke informatievoorziening

Installatie en configuratie 1.1. Licentie Systeem. Dé specialist in ruimtelijke informatievoorziening 1.1 Installatie en configuratie, Licentie Systeem Dé specialist in ruimtelijke informatievoorziening Copyright Deze publicatie is een uitgave van Crotec BV, s-hertogenbosch (KvK Oost Brabant 1715 9294)

Nadere informatie

Inrichting Windows XP Pro werkstation in schoollan

Inrichting Windows XP Pro werkstation in schoollan Inrichting Windows XP Pro werkstation in schoollan Om een Windows XP Pro computer toe te voegen aan schoollan moet de computer van tevoren bekend zijn in het domein en moet deze geautoriseerd worden door

Nadere informatie

Xiris handleiding Onderhoudsmodule & database onderhoud

Xiris handleiding Onderhoudsmodule & database onderhoud Xiris handleiding Onderhoudsmodule & database onderhoud Copyright 2011 FP-Ruys. FP-Ruys kan geen aansprakelijkheid aanvaarden voor schade die het gevolg is van enig fout in deze handleiding of verkeerd

Nadere informatie

Installatiehandleiding Business Assistent

Installatiehandleiding Business Assistent Installatiehandleiding Business Assistent Wijzigingsgeschiedenis Versie Datum Omschrijving Status 0.1 25-09-2014 Eerste opzet van het installatie Concept document. 1.0 04-11-2014 Geen: Commercieel maken

Nadere informatie

Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010

Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010 Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010 Inhoud Hoofdstuk 1 Inleiding... 3 Hoofdstuk 2 Algemene informatie over DNS... 4 Hoofdstuk 3 Verschillende

Nadere informatie

5/5 Red Carpet. 5/5.1 Inleiding

5/5 Red Carpet. 5/5.1 Inleiding Management Services 5/5 Red Carpet 5/5.1 Inleiding Met de overname van Ximian is Novell ook eigenaar geworden van de Red Carpet-technologie. Hoewel het aannemelijk is dat het hier een tijdelijke oplossing

Nadere informatie

Netwerkbeheer Examennummer: 77853 Datum: 17 november 2012 Tijd: 10:00 uur - 11:30 uur

Netwerkbeheer Examennummer: 77853 Datum: 17 november 2012 Tijd: 10:00 uur - 11:30 uur Netwerkbeheer Examennummer: 77853 Datum: 17 november 2012 Tijd: 10:00 uur - 11:30 uur Dit examen bestaat uit 4 pagina s. De opbouw van het examen is als volgt: - 10 meerkeuzevragen (maximaal 40 punten)

Nadere informatie

Instellen back up Microsoft SQL database Bronboek Professional

Instellen back up Microsoft SQL database Bronboek Professional Instellen back up Microsoft SQL database Bronboek Professional In deze handleiding word een drietal punten besproken. Deze punten zijn allen noodzakelijk voor het inrichten van een goede back up voor de

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client VPN Remote Dial In Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde (geautoriseerd en/of versleuteld) verbinding

Nadere informatie

Denit Backup instellen op een Linux server

Denit Backup instellen op een Linux server Denit Backup instellen op een Linux server Deze handleiding beschrijft de stappen om de back-up software van Ahsay in te stellen. AANMAKEN BACK-UP SET... 2 DE SCHEDULER INSTELLEN... 4 HET FILTER INSTELLEN...

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Installatiehandleiding FWG 3.0/2011-2012. Netwerkversie. Nieuwe installatie van FWG 3.0/2011-2012 met Oracle

Installatiehandleiding FWG 3.0/2011-2012. Netwerkversie. Nieuwe installatie van FWG 3.0/2011-2012 met Oracle Installatiehandleiding FWG 3.0/2011-2012 Netwerkversie Nieuwe installatie van FWG 3.0/2011-2012 met Oracle Wij willen u er op wijzen dat ons systeem FWG3.0 Cd-rom versie dit jaar (2011) voor de laatste

Nadere informatie

Softphone Installatie Handleiding

Softphone Installatie Handleiding Softphone Installatie gids Softphone Installatie Handleiding Specifications subject to change without notice. This manual is based on Softphone version 02.041 and DaVo I en II software version 56.348 or

Nadere informatie

Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server

Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server Connectivity SQL Er kan geen verbinding worden gemaakt met de SQL server Introductie Probleem: Het lukt het niet om verbinding te maken met de SQL server. Of: op het werkstation komt de melding na het

Nadere informatie

Beoordeling van de beveiliging van Oracle-databases

Beoordeling van de beveiliging van Oracle-databases Compact 2005/3 Beoordeling van de beveiliging van Oracle-databases A.A. van Dijke en ing. L.S. Binken CISSP Een auditaanpak voor de Oracle-database waarin aandacht is voor beveiligingsmaatregelen op de

Nadere informatie

Central Station. Handleiding e-mail configuratie Exchange / Central Station

Central Station. Handleiding e-mail configuratie Exchange / Central Station Central Station Handleiding e-mail configuratie Exchange / Central Station Versie 1.0, september 2011 Inhoudsopgave 1 Inleiding... 3 1.1 Doel van de handleiding... 3 1.2 Afkortingen... 3 1.3 Meer informatie...

Nadere informatie

Multi user Setup. Firebird database op een windows (server)

Multi user Setup. Firebird database op een windows (server) Multi user Setup Firebird database op een windows (server) Inhoudsopgave osfinancials multi user setup...3 Installeeren van de firebird database...3 Testing van de connectie met FlameRobin...5 Instellen

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé

Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Onderzoek naar de veiligheid c.q. beveiliging van de SURFnet IDS dienst. Lourens Bordewijk & Jimmy Macé Amsterdam 8-2-2006 Achtergrond IDS dienst SURFnet netwerk Aangesloten instellingen te maken met security

Nadere informatie

WAVIX Installatie Handleiding

WAVIX Installatie Handleiding Modelit Rotterdamse Rijweg 126 3042 AS Rotterdam Telefoon +31 10 4623621 info@modelit.nl www.modelit.nl in opdracht van RIKZ WAVIX Installatie Handleiding Modelit KvK Rotterdam 24290229 Datum 27 September

Nadere informatie

HANDLEIDING WERKEN OP AFSTAND

HANDLEIDING WERKEN OP AFSTAND HANDLEIDING WERKEN OP AFSTAND ASP4all Hosting B.V. Energieweg 8 1271 ED Huizen Augustus 2009 Versie 1.0 Copyright 2009, ASP4all Hosting B.V. Niets uit deze uitgave mag worden vermenigvuldigd en/of op andere

Nadere informatie

Deel 4 Active Directory inleiding

Deel 4 Active Directory inleiding Deel 4 Active Directory inleiding 1 Wat is AD? 2 Structuur van AD? 3 Domain Controllers 4 Verschil met werkgroep 5 Install van een nieuw domain 6 AD Consoles Active Directory (AD) staat beheerders toe

Nadere informatie

Installatiehandleiding FWG 3.0/2009-2010

Installatiehandleiding FWG 3.0/2009-2010 Installatiehandleiding FWG 3.0/2009-2010 Netwerkversie Nieuwe installatie van FWG 3.0/2009-2010 met Oracle Inhoudsopgave 1. Inleiding... 2 2. Voorbereiden van de installatie... 2 2.1 Gegevens verzamelen...

Nadere informatie

Getting Started. AOX-319 PBX Versie 2.0

Getting Started. AOX-319 PBX Versie 2.0 Getting Started AOX-319 PBX Versie 2.0 Inhoudsopgave INHOUDSOPGAVE... 2 OVER DEZE HANDLEIDING... 3 ONDERDELEN... 3 INSTALLATIE EN ACTIVERING... 3 BEHEER VIA DE CONSOLE... 4 BEHEER VIA DE BROWSER... 5 BEVEILIGING...

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access.

Gebruikershandleiding E-Zorg Remote Access. Gebruikershandleiding E-Zorg Remote Access. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) De eerste keer inloggen Pagina 3 4) Terminal Sessions Pagina 5 5) Gebruik vanaf Apple of Linux systemen

Nadere informatie

Installatie Handleiding voor Modelit Applicatieprogrammatuur

Installatie Handleiding voor Modelit Applicatieprogrammatuur Modelit Elisabethdreef 5 4101 KN Culemborg Telefoon +31 345 521121 info@modelit.nl www.modelit.nl Installatie Handleiding voor Modelit Applicatieprogrammatuur Datum 27 April 2007 Modelit KvK Rivierenland

Nadere informatie

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon

Intramed OnLine instellen en gebruiken. Voor Android tablet of telefoon Intramed OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop

Nadere informatie

Gebruiksaanwijzing Remote Backup

Gebruiksaanwijzing Remote Backup Gebruiksaanwijzing Remote Backup December 2015 Versie 1.3 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Ondersteunde browsers... 3 Inloggen in portal... 3 Gebruik op meerdere

Nadere informatie

Handleiding Inloggen met SSL VPN

Handleiding Inloggen met SSL VPN Handleiding Inloggen met SSL VPN Beveiligd verbinding maken met het bedrijfsnetwerk via de CloudPortal Versie: 10 april 2015 Handleiding SSL-VPN Pagina 1 van 11 Inleiding SSL VPN is een technologie die

Nadere informatie

Xampp Web Development omgeving opzetten onder Windows.

Xampp Web Development omgeving opzetten onder Windows. Xampp Web Development omgeving opzetten onder Windows. Inhoudsopgave 1. Lees dit eerst... 2 2. Inleiding... 2 3. Installatie Xampp... 3 1.1 Installatie Xampp Launcher... 7 1.2 Controle geïnstalleerde bestanden...

Nadere informatie

Elektronisch factureren

Elektronisch factureren Elektronisch factureren Inleiding Elektronisch Factureren in RADAR is mogelijk vanaf versie 4.0. Deze module wordt niet standaard meegeleverd met de RADAR Update maar is te bestellen via de afdeling verkoop

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

SLA level Iron Bronze Silver Gold Platinum

SLA level Iron Bronze Silver Gold Platinum Prijs 95,- per jaar 195,- per jaar 395,- per jaar 995,- per jaar 2495,- per jaar Alleen geschikt voor zeer kleine sites waar geen tot bijna geen nieuwe informatie wordt toegevoegd Geschikt voor sites van

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access.

Gebruikershandleiding E-Zorg Remote Access. Gebruikershandleiding E-Zorg Remote Access. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) De eerste keer inloggen Pagina 2 4) Terminal Sessions Pagina 5 5) Gebruik vanaf Apple of Linux systemen

Nadere informatie

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases

Martiris 2011. Secure Private Data. Gegevensbescherming in Oracle Databases Martiris 2011 Secure Private Data Gegevensbescherming in Oracle Databases Inhoudsopgave INTRODUCTIE... 3 HISTORIE... 4 SECURE PRIVATE DATA: FUNCTIONEEL... 4 A) ROW LEVEL SECURITY... 4 B) COLUMN MASKING...

Nadere informatie

KraamZorgCompleet OnLine instellen en gebruiken. Voor Android tablet of telefoon

KraamZorgCompleet OnLine instellen en gebruiken. Voor Android tablet of telefoon KraamZorgCompleet OnLine instellen en gebruiken Voor Android tablet of telefoon Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote

Nadere informatie

Handleiding Migratie. Bronboek Professional

Handleiding Migratie. Bronboek Professional Handleiding Migratie Bronboek Professional Laatste wijziging: 25/02/2015 Inhoudsopgave Controles en acties vooraf pag. 1 Installatie en configuratie Microsoft SQL met de Bronboek Helpdesk Tool pag. 3 Migratie

Nadere informatie

Installatiehandleiding Cane Webservices.nl Integratie

Installatiehandleiding Cane Webservices.nl Integratie Installatiehandleiding Cane Webservices.nl Integratie Inhoud INHOUD... 1 1. INTRODUCTIE... 2 DOELSTELLING DOCUMENT... 2 GERELATEERDE DOCUMENTEN... 2 GEBRUIK VAN HET DOCUMENT... 2 LEZERS DOELGROEP... 2

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Installatiehandleiding TiC Narrow Casting Manager

Installatiehandleiding TiC Narrow Casting Manager Installatiehandleiding TiC Narrow Casting Manager Inhoudsopgave 1. Algemeen - 3-2. Installatie PostgreSQL database server - 4-3. Installatie FTP server - 9-4. Aanmaken account in FileZilla server - 13

Nadere informatie

XAMPP Web Development omgeving opzetten onder Windows.

XAMPP Web Development omgeving opzetten onder Windows. XAMPP Web Development omgeving opzetten onder Windows. Inhoudsopgave 1. Lees dit eerst... 2 2. Inleiding... 2 1 Xampp downloaden... 2 2 Installatie Xampp 1.7.4 op externe harddisk... 3 3 XAMPP herconfiguren...

Nadere informatie

Er zijn diverse andere software platformen en providers die werken met SIP, maar in dit voorbeeld gaan we uit van de volgende software:

Er zijn diverse andere software platformen en providers die werken met SIP, maar in dit voorbeeld gaan we uit van de volgende software: Er zijn diverse andere software platformen en providers die werken met SIP, maar in dit voorbeeld gaan we uit van de volgende software: Counterpath Bria SIP client. Net2 Entry Configuration Utility (SIP

Nadere informatie

Wat te doen na de aanschaf van:

Wat te doen na de aanschaf van: Wat te doen na de aanschaf van: - Een nieuw werkstation - Een nieuwe server Inhoud Inleiding... 2 De juiste werkomgeving... 2 Eén computer, één gebruiker... 2 De database op een server en één of meerdere

Nadere informatie

Installatiehandleiding. Facto minifmis

Installatiehandleiding. Facto minifmis Installatiehandleiding Facto minifmis 1. Installatie Facto MiniFMIS 1.1 Achtergrond Facto MiniFMIS biedt facilitaire organisaties een eenvoudige en gebruikersvriendelijke hulpmiddel bij het uitvoeren van

Nadere informatie

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans HOWTO: Microsoft Domain Controller en Linux DNS-server geschreven door Johan Huysmans 1. Over deze howto. Deze howto behandelt verschillende aspecten van een MS Windows Domain Controller gebruik makend

Nadere informatie

Syslog / Mail Alert Setup

Syslog / Mail Alert Setup Syslog / Mail Alert Setup Syslog Wat is Syslog? Syslog is een utility waarmee de router activiteit kan worden bijgehouden. Tevens kan de utility worden gebruikt als debug utility. Wanneer gebruikt u Syslog?

Nadere informatie

In de General Setup kunt u het IP-adres aanpassen. Standaard staat het IP-adres op 192.168.1.1 zoals u ziet in onderstaande afbeelding.

In de General Setup kunt u het IP-adres aanpassen. Standaard staat het IP-adres op 192.168.1.1 zoals u ziet in onderstaande afbeelding. LAN LAN Setup In deze handleiding kunt u informatie vinden over alle mogelijke LAN instellingen van de DrayTek Vigor 2130 en 2750. Hierin zullen wij alle algemene instellingen bespreken die van toepassing

Nadere informatie

Firewall Traffic Control

Firewall Traffic Control Firewall IPv4 Firewall IPv4 Setup In deze handleiding kunt u informatie vinden over alle mogelijke Firewall instellingen van de DrayTek Vigor 2130 en 2750. Hierin zullen wij alle algemene instellingen

Nadere informatie

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565) Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565) Indien de ADSL router en computer correct zijn aangesloten en u via de computer toegang heeft tot het internet, kan het configuratie menu van de

Nadere informatie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

USB Storage Hoe werkt USB storage

USB Storage Hoe werkt USB storage USB Storage USB Storage Hoe werkt USB storage Een USB opslag medium, zoals een USB stick of een externe hardeschijf met een USB aansluiting, kan worden aangesloten op de USB poort van de 2910 en kan dan

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

SERVER MONITOR SMS SERVER

SERVER MONITOR SMS SERVER TEC Server Monitor: Een flexibele oplossing om uw server zorgvuldig te monitoren en te bewaken. De TEC Server Monitor is een flexibele applicatie voor het bewaken van uw server. Indien de server offline

Nadere informatie

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe.

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe. m:\helpdesk\vgmbox\documenten\handleiding - inzet binnen beveiligd netwerk (dmv proxyserver) - 20110112 - tbv pdf.doc Inzet van De VGM Box binnen een beveiligd netwerk Dit document beschrijft het functioneren

Nadere informatie

Pinakes Integrator Client

Pinakes Integrator Client Pinakes Integrator Client Installatie procedure Pinakes NV Paviljoenstraat 7 1030 Schaarbeek TEL : +32 (0) 2 211 55 95 FAX : +32 (0) 2 211 56.56 INFO@PINAKES.BE WWW.PINAKES.BE 1. Inhoudstafel 1. Inhoudstafel...

Nadere informatie

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit)

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit) Let op: de versie op de gebruikerswebsite kan worden bijgewerkt! Het kan dus zijn dat uw geprinte versie verouderd is. Van toepassing op ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster

Nadere informatie

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren. SSL VPN SSL VPN SSL VPN is een web based versie van VPN waarbij er geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren. SSL staat voor

Nadere informatie

SYSTEEMVEREISTEN TRACK VERZUIM 4

SYSTEEMVEREISTEN TRACK VERZUIM 4 SYSTEEMVEREISTEN TRACK VERZUIM 4 Copyright Tredin B.V. te Lelystad Niets uit deze uitgave mag verveelvoudigd en/of openbaar worden gemaakt (voor willekeurig welke doeleinden) door middel van druk, fotokopie,

Nadere informatie

Planbord installatie instructies

Planbord installatie instructies Planbord installatie instructies Uit Comprise Wiki Inhoud 1 Basis installatie 1.1 Installeren 1.1.1 Microsoft Data Access Components 1.2 De eerste keer starten 2 Veelgestelde vragen 2.1 "Network resource

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

Mededeling met betrekking tot het auteursrecht

Mededeling met betrekking tot het auteursrecht Parallels Panel Mededeling met betrekking tot het auteursrecht ISBN: Niet beschikbaar Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefoon: +1 (425) 282 6400 Fax: +1 (425) 282

Nadere informatie

Aandachtspunten voor installatie suse in vmware server

Aandachtspunten voor installatie suse in vmware server Aandachtspunten voor installatie suse in vmware server Voorbereiden van vware virtueel machine: 1. Select linux Suse linux 2. Maak disksize 5Gb Denk er als je virtual machine wilt draaien op FAT32 vink

Nadere informatie

Testomgevingen beheer

Testomgevingen beheer Testomgevingen beheer Testen brengt het verwachte resultaat en de huidige toestand bij elkaar. Het geeft aanknopingspunten om de planning te maken, het product te verbeteren en om zorgen bij belanghebbenden

Nadere informatie

Frequently Asked Questions e-line (10 november 2014) e-line omgeving. e-line omgeving. Configuratie-eisen e-line

Frequently Asked Questions e-line (10 november 2014) e-line omgeving. e-line omgeving. Configuratie-eisen e-line Frequently Asked Questions e-line (10 november 2014) e-line omgeving Inloggen Rapporteren/importeren Uitvoer/printen e-line omgeving Configuratie-eisen e-line Inloggen Bij het inloggen verschijnt de foutmelding:

Nadere informatie

Beschrijving Remote Access functionaliteit RWS DELTAMODEL

Beschrijving Remote Access functionaliteit RWS DELTAMODEL Beschrijving Remote Access functionaliteit RWS DELTAMODEL Versie 1.0 Oktober 2012 Frits van de Peppel (KNMI) Pagina 1 van 5 Inleiding Dit document beschrijft de te nemen stappen en beperkingen die van

Nadere informatie

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties

1 Inleiding. 3 Handmatig... invoeren zaken basis 4 Verwerken... zaken 5 Afhandelen... van zaken. 7 Uitgebreidere... zaak opties 2 Supportdesk Pro Introductie Inhoudsopgave I Supportdesk Pro 3 1 Inleiding... 3 2 Werkwijze... 3 II Zaken 4 1 Introductie... 4 2 Zaken beheren... 4 3 Handmatig... invoeren zaken basis 4 4 Verwerken...

Nadere informatie

Handleiding bij het gebruik van het bibsource portaal

Handleiding bij het gebruik van het bibsource portaal Handleiding bij het gebruik van het bibsource portaal Inhoudsopgave 1.0 introductie... 2 2. 0 Voor je begint Software vereisten... 2 2.1 VPN client installeren (voor toegang thuis)... 2 2.2 Citrix Receiver

Nadere informatie

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met:

Configureren van een VPN L2TP/IPSEC verbinding. In combinatie met: Configureren van een VPN L2TP/IPSEC verbinding In combinatie met: Inhoudsopgave 1. Voorbereiding.... 3 2. Domaincontroller installeren en configuren.... 4 3. VPN Server Installeren en Configureren... 7

Nadere informatie

Technical-audits en monitoring: simpele, effectieve voorbeelden

Technical-audits en monitoring: simpele, effectieve voorbeelden CONCEPT VURORE/NOREA IT Audit Themadag Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil EDP Audit Pool Verwachtingsmanagement - Disclaimer! Praktijkervaringen : Informeel : Ongesorteerd

Nadere informatie

Technische randvoorwaarden dg DIALOG BGT versie 7.0

Technische randvoorwaarden dg DIALOG BGT versie 7.0 Technische randvoorwaarden dg DIALOG BGT versie 7.0 Een beschrijving van de technische randvoorwaarden voor de installatie en het gebruik van dg DIALOG BGT versie 7.0 Definitief Grontmij GIS & ICT Grontmij

Nadere informatie

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0 Externe toegang met ESET Secure Authentication Daxis helpdesk@daxis.nl Versie 2.0 Inhoudsopgave: Inhoudsopgave:... 1 Inleiding:... 2 Stap 1: Download eenmalig Eset Secure Authentication op uw smartphone...

Nadere informatie

Veelgestelde vragen Server Back-up Online

Veelgestelde vragen Server Back-up Online Veelgestelde vragen Server Back-up Online Welkom bij de Veel gestelde vragen Server Back-up Online van KPN. Geachte Server Back-up Online gebruiker, Om u nog sneller te kunnen helpen zijn veel problemen

Nadere informatie

1. Hoe krijg ik toegang tot mijn VPS-controlepaneel?

1. Hoe krijg ik toegang tot mijn VPS-controlepaneel? VPS Business FAQ Sectie 1: Installatie...2 1. Hoe krijg ik toegang tot mijn VPS-controlepaneel?...2 2. Hoe krijg ik toegang tot mijn Windows-VPS?...6 3. Hoe krijg ik toegang tot mijn Linux-VPS?...8 Sectie

Nadere informatie

1) Domeinconfiguratie van Windows 9x clients & Windows Millennium

1) Domeinconfiguratie van Windows 9x clients & Windows Millennium 1) Domeinconfiguratie van Windows 9x clients & Windows Millennium Hier gaat het dus over Windows 95, Windows 98 of Millennium. Hoe kun je het aanmelden op het domein activeren? Vooreerst dient men Client

Nadere informatie

Intramed OnLine instellen en gebruiken. Voor Mac OSX

Intramed OnLine instellen en gebruiken. Voor Mac OSX Intramed OnLine instellen en gebruiken Voor Mac OSX Inhoudsopgave Hoofdstuk 1 Algemeen...1 1.1 Toegang tot inlogportalen...1 Hoofdstuk 2 Basic account...3 2.1 Microsoft Remote Desktop installeren en Intramed

Nadere informatie

Elfde-Liniestraat 24 3500 Hasselt Schooljaar 2009-2010 TINFO POKER GAME Oracle Scripts

Elfde-Liniestraat 24 3500 Hasselt Schooljaar 2009-2010 TINFO POKER GAME Oracle Scripts Elfde-Liniestraat 24 3500 Hasselt Schooljaar 2009-2010 TINFO POKER GAME Oracle Scripts Studenten: Peter Asnong Rik Broens Tom De Keyser Daan Gielen Kris Gregoire Koen Olaerts Toon Wouters Inhoudsopgave

Nadere informatie