Inhoud leereenheid 7c. Bedreigingen voor computernetwerken voorkomen van een aanval. Introductie 79. Leerkern 80. Zelftoets 91.

Maat: px
Weergave met pagina beginnen:

Download "Inhoud leereenheid 7c. Bedreigingen voor computernetwerken voorkomen van een aanval. Introductie 79. Leerkern 80. Zelftoets 91."

Transcriptie

1 Inhoud leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Introductie 79 Leerkern Network Security Controls 80 Zelftoets 91 Terugkoppeling 93 1 Uitwerking van de opgaven 93 2 Uitwerking van de zelftoets 95 78

2 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval The world is a dangerous place to live, not because of the people who are evil, but because of the people who don't do anything about it. Albert Einstein I N T R O D U C T I E In de vorige leereenheden stonden het voorbereiden en uitvoeren van een aanval centraal. In deze leereenheid bekijken we methoden om een aanval op een computernetwerk te voorkomen. De nadruk ligt hierbij op protocollen waarin cryptografie wordt toegepast. Het vercijferen van berichten beschermt de geheimhouding en integriteit van de inhoud van de verstuurde berichten. Verder vormt het toepassen en beheren van sleutels een belangrijk hulpmiddel voor authenticatie. In de volgende leereenheden zullen we ook enkele softwaretools bekijken om aanvallen te voorkomen en te detecteren. LEERDOELEN Na het bestuderen van deze leereenheid wordt verwacht dat u een analyse van beveiligingsrisico s in een computernetwerk kunt maken kunt uitleggen hoe een gesegmenteerde architectuur de veiligheid van een computernetwerk kan vergroten kunt uitleggen wat de voor- en nadelen zijn van het toepassen van cryptografie in verschillende lagen van de protocolstack kunt uitleggen wat link encryptie en end-to-end encryptie is kunt uitleggen wat een virtual private network is kunt uitleggen wat een public key infrastructure is en welke rol certificaten daarin spelen globaal de werking kunt uitleggen van de protocollen SSH, SSL en IPsec kunt uitleggen hoe cryptografie, foutendetecterende codes, foutencorrigerende codes en checksums de integriteit van berichten beschermen kunt uitlegen hoe authenticatie gerealiseerd kan worden met wachtwoorden en cryptografie globaal de werking kunt uitleggen van Kerberos voor access control in een gedistribueerd systeem kunt aangeven in hoeverre beveiliging mogelijk is in routers met behulp van access control lists kunt aangeven welke vormen van beveiliging er zijn voor draadloze netwerken kunt uitleggen wat een honeypot is kunt uitleggen hoe traffic-flowanalyse voorkomen kan worden. OUN 79

3 Security en IT Studeeraanwijzing U dient sectie 7.3 Network Security Controls uit het tekstboek in zijn geheel te bestuderen met uitzondering van de sectie Mobile Agents op pagina 444 en enkele onderdelen van de secties Kerberos, WEP en WPA and WPA2. De studielast van deze leereenheid inclusief de opdrachten is ongeveer 7 uur. L E E R K E R N 7.3 Network Security Controls Studeeraanwijzing Sectie 7.3 bestaat uit de volgende secties: Security Threat Analysis, Design and Implementation, Architecture, Encryption, Content Integrity, Strong Authentication, Access Controls, Wireless Security, Alarms and Alerts, Honeypots, Traffic Flow Security en Controls Review. In deze secties komen verschillende methoden aan de orde om aanvallen te ontdekken en te voorkomen. De nadruk ligt hierbij op de architectuur van een computernetwerk en het toepassen van cryptografie, authenticatie en toegangscontrole. Firewalls en intrusion detection systems komen nu slechts kort aan bod en worden in de volgende leereenheid uitgebreid behandeld. DESIGN AND IMPLEMENTATION Toelichting Weblink OWASP Het Open Web Applications Security Project (OWASP) is een organisatie die zich bezighoudt met security van softwareapplicaties en die daartoe softwaretools en richtlijnen voor het genereren van veilige programmacode creëert. Segmentering DMZ Aanvulling Segmentation Met segmentering van een computernetwerk bedoelen we dat het computernetwerk wordt opgedeeld in een aantal stukken of segmenten. Eigenschappen zoals beveiliging en toegang kunnen per segment worden aangepast al naar gelang de behoefte. Een veelgebruikte vorm van segmentering om een computernetwerk te beveiligen, is een zogenaamde demilitarized zone (DMZ). Een DMZ is een netwerksegment dat zich bevindt tussen een intern netwerk, bijvoorbeeld het intranet van een bedrijf, en een extern netwerk, bijvoorbeeld het internet. Zowel vanuit het interne als het externe netwerk kan verbinding worden gemaakt met de DMZ. Vanuit de DMZ kan daarentegen alleen verbinding worden gemaakt met het externe netwerk en niet met het interne netwerk. Vanuit het externe netwerk kan dus wel een host in de DMZ worden bereikt, maar niet in het interne netwerk. Een DMZ wordt vaak gebruikt voor servers zoals servers, webservers en DNS-servers. Zulke servers moeten zowel vanuit het externe als het interne netwerk kunnen worden bereikt, maar voorkomen moet worden dat deze servers een brug vormen waarmee een hacker vanuit het externe netwerk op het interne netwerk kan komen. 80 OUN

4 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Firewall Een DMZ kan gecreëerd worden met behulp van een of meerdere firewalls, zoals getoond in figuur 7c.1. Een firewall is een soort verdedigingslinie waarmee het inkomende en uitgaande verkeer gefilterd en gecontroleerd kan worden. In geval van een enkele firewall worden het externe netwerk, het interne netwerk en de DMZ elk op aparte poorten van de firewall aangesloten. Een veiligere aanpak is om twee firewalls toe te passen; een tussen het interne netwerk en de DMZ en een tussen de DMZ en het externe netwerk. Firewalls bestuderen we in leereenheid 7d gedetailleerder. FIGUUR 7c.1 Firewall configuraties en DMZ Mobile Agents Studeeraanwijzing Deze sectie behoort niet tot de leerstof. ENCRYPTION OSI-model Het OSI-model bestaat uit zeven lagen. Het internetprotocolmodel kent slechts vijf lagen. De bovenste drie lagen van het OSI-model (de applicatie-, presentatie- en sessielaag) zijn in het internetprotocolmodel samengevoegd in de applicatielaag. Link Encryption Link encryption Figure 7-21 op pagina 446 toont hoe bericht M uit de applicatielaag is ingekapseld. In elke laag wordt een header toegevoegd. Bij link encryption vindt vercijfering plaats in de datalinklaag of in de fysieke laag. Bericht M wordt dan samen met de headers uit de hogere lagen vercijferd. OUN 81

5 Security en IT OPGAVE 7c.1 Waarom is bij link encryption het bericht in klare tekst leesbaar in een router? End-to-end Encryption End-to-end encryption Figure 7-22 op pagina 447 toont hoe bericht M bij end-to-end encryption in de applicatielaag wordt vercijferd. Vervolgens wordt in elk van de onderliggende lagen een header toegevoegd. De term end-to-end encryption wordt soms ook toegepast als vercijfering plaatsvindt in de transportlaag of netwerklaag. Comparison of Encryption Methods Toelichting In sectie 2.7 Public Key Encryption van leereenheid 2b hebt u dit reeds eerder gezien. Beschouw n gebruikers die berichten naar elkaar toesturen. Als de berichten worden vercijferd met geheime sleutelcryptografie, dient elk paar gebruikers te beschikken over een geheime sleutel waarmee ze de berichten vercijferen die ze onderling uitwisselen. Het totaal aantal sleutels is dan gelijk aan het aantal paren gebruikers. Gebruiker n 1 wisselt berichten uit met n 1 gebruikers waarvoor n 1 sleutels nodig zijn. Gebruiker n 2 wisselt berichten uit met n 1 en de overige n 2 gebruikers, waarvoor n 2 extra sleutels nodig zijn. In totaal zijn er (n 1) + (n 2) + (n 3) sleutels nodig. Deze som wordt ook wel het driehoeksgetal genoemd en is gelijk aan n(n 1)/2. Als gebruik wordt gemaakt van publieke sleutelcryptografie, heeft elke gebruiker een privésleutel en een publieke sleutel. Er zijn dan 2n sleutels nodig, namelijk n privésleutels en n publieke sleutels. Voor grotere waarden van n zijn er nu aanzienlijk minder sleutels nodig dan bij geheime sleutelcryptografie het geval is. OPGAVE 7c.2 Is het zinvol om zowel link encryption als end-to-end encryption toe te passen? Virtual Private Networks VPN Een virtual private network (VPN) bestaat in essentie uit een verzameling computers die veilig met elkaar kunnen communiceren via een onveilig netwerk zoals het internet. Dit is mogelijk door het toepassen van beveiligingsmaatregelen zoals encryptie en speciale protocollen. Gebruikers van een VPN hebben de indruk dat hun communicatie plaatsvindt over een veilig (privé)netwerk. Er zijn diverse manieren om een VPN te realiseren. Het tekstboek vermeldt dat een VPN is gebaseerd op link encryption waarbij vercijfering plaatsvindt in de datalinklaag. Een VPN kan echter ook gebaseerd zijn op end-to-end encyrption in een hogere laag. Zo kan een VPN gerealiseerd worden met behulp van het SSL-protocol in de transportlaag of het IPsecprotocol in de netwerklaag. In de volgende secties gaan we daar dieper op in. OPGAVE 7c.3 Waarom is het geschikter om een VPN te realiseren tussen een client en een firewall dan tussen een client en een server? 82 OUN

6 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Certificaat CA PKI Zie ook sectie 2.8 The Use of Encryption van leereenheid 2b Weblink PKInl Weblink VECOZO PKI and Certificates Het gebruik van publieke sleutelcryptografie vereist dat we kunnen verifiëren wie de eigenaar is van een publieke sleutel. Om dit te bewerkstelligen zijn certificaten ingevoerd. Een certificaat is in het algemeen een digitaal ondertekend document waarin wordt vastgelegd dat bepaalde informatie verbonden is aan de houder van het certificaat. Een concreet voorbeeld is een certificaat waarin de publieke sleutel en de naam van de houder van het certificaat worden vermeld. Een certificaat wordt uitgegeven en ondertekend door een Certificate Authority (CA). Een public key infrastructure (PKI) is een systeem voor het uitgeven en beheren van certificaten. In het ideale geval zou er een wereldwijde PKI bestaan. In de praktijk is er echter sprake van enige wildgroei en zijn er vele PKI s operationeel. Ook in Nederland zijn er diverse PKI s. Zo maakt de Nederlandse overheid gebruik van PKI-overheid voor het beveiligen van websites, het plaatsen van rechtsgeldige elektronische handtekeningen, authenticatie op afstand en vercijfering van berichten. In de gezondheidszorg verstrekt VECOZO, een organisatie opgezet door zorgverzekeraars, digitale certificaten om veilige communicatie mogelijk te maken tussen zorgverzekeraars en zorgverleners zoals huisartsen en ziekenhuizen. OPGAVE 7c.4 Host A en host B wisselen berichten uit en willen deze met behulp van geheime sleutelcryptografie beveiligen. Zowel host A als host B dienen de geheime sleutel te kennen. Hoe kan een PKI gebruikt worden om de geheime sleutel uit te wisselen? SSH Encryption SSH Studeeraanwijzing Zie leereenheid 7b Zie leereenheid 2b SSH, SSL en IPsec zijn complexe protocollen. Het voert te ver om deze protocollen in detail te bestuderen. We volstaan daarom met het schetsen van de grote lijnen. In elk van deze protocollen speelt cryptografie een centrale rol om het uitwisselen van berichten te beveiligen. De protocollen hebben verschillende achtergronden en zijn ontwikkeld voor verschillende doeleinden. SSH en SSL spelen zich grotendeels af in de transportlaag; IPsec is een onderdeel van IPv6 en biedt beveiliging in de netwerklaag. SSH (secure shell) is een protocol dat het mogelijk maakt om veilig in te loggen op en gebruik te maken van een remote host via een netwerk. SSH-2 is een complex protocol dat bestaat uit verschillende componenten. SSH-2 biedt onder andere authenticatie van de server gebaseerd op publieke sleutelcryptografie en authenticatie van de client. Via een key exchange protocol zoals Diffie-Hellman wordt een geheime sleutel uitgewisseld waarmee de berichten tussen server en client vercijferd worden. OUN 83

7 Security en IT SSL Encryption SSL TLS SSL (Secure Sockets Layer), ook wel TLS (Transport Layer Security) genoemd, is origineel ontwikkeld door Netscape om de communicatie tussen een webbrowser en een webserver te beveiligen. SSL is tegenwoordig het meest toegepaste protocol om communicatie over het internet te beveiligen. In een client-serverapplicatie verzoekt de client om een verbinding op te zetten die met SSL beveiligd is. De server stuurt vervolgens zijn certificaat ter authenticatie naar de client, zodat de client kan controleren of hij inderdaad met de juiste server te maken heeft. Optioneel kan de client ook zijn certificaat voor wederzijdse authenticatie naar de server sturen, zodat de server kan controleren met welke client hij te maken heeft, maar dat is geen verplicht onderdeel van SSL. De client en server bepalen onderling welke cryptografische algoritmen ze toepassen om hun communicatie te beveiligen. De client en server maken gebruik van publieke sleutelcryptografie om een geheime sleutel uit te wisselen. De verdere berichten tussen client en server worden vervolgens met deze geheime sleutel vercijferd. Als een webbrowser gebruik maakt van SSL, wordt https als protocol identifier in de URL vermeld. Verder vertonen webbrowsers zoals Internet Explorer en Firefox een icoon in de vorm van een gesloten slot. Door op dit slot te klikken, verschijnt gedetailleerde informatie over het certificaat van de webserver. De verificatie van het certificaat gebeurt gewoonlijk achter de schermen. De webbrowser geeft een foutmelding als het certificaat niet in orde is of als de Certificate Authority die het certificaat heeft uitgegeven, onbekend is. OPGAVE 7c.5 Gebruik de webbrowser op uw pc of de webbrowser in het virtuele lab om met SSL te surfen naar de website van het bedrijf VeriSign (https://www.verisign.com). VeriSign is wereldwijd de grootste uitgever van certificaten. Op de website kunt u bijvoorbeeld een certificaat kopen of een gratis certificaat met een beperkte geldigheidsduur aanvragen. Klik in de webbrowser op het icoon met het gesloten slot en bekijk de informatie over het certificaat. Door welke CA is het certificaat verleend, wat is de geldigheidsduur, hoe lang is de publieke sleutel en welk algoritme hoort daarbij? IPSec IPsec Erratum pagina 454 Toelichting Het IPsec-protocol werd in eerdere versies met IPSec aangeduid. IPsec is onderdeel van de netwerklaag en in feite een uitbreiding van het IPprotocol. Het is een optioneel onderdeel van IPv4 maar een verplicht onderdeel van IPv6. Een segment uit de transportlaag wordt in het IPsec-protocol op een andere, veiligere wijze in een netwerklaagdatagram ingekapseld dan in het IP-protocol. Dit datagram wordt vervolgens in de datalinklaag op de gebruikelijke wijze ingekapseld in een frame. De protocollen in de bovenliggende transportlaag en de onderliggende datalinklaag hoeven daarom niet of nauwelijks aangepast te worden. 84 OUN

8 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Security association AH-protocol ESP-protocol IKE-protocol Transport mode Tunnel mode IPsec heeft een open, modulaire opbouw. De IPsec-standaard beschrijft niet in detail welke cryptografische algoritmes en protocollen toegepast moeten worden en laat een grote keuzevrijheid toe. De hosts die via IPsec communiceren, bepalen onderling welke algoritmes en protocollen ze zullen gaan toepassen. Deze informatie wordt opgeslagen in een zogenaamde security association. IPsec ondersteunt twee protocollen om veilige communicatie tussen hosts mogelijk te maken: het authentication header (AH) protocol en het encapsulating security payload (ESP) protocol. Het AH-protocol en het ESPprotocol beveiligen beide de integriteit en authenticiteit van pakketten. Het ESP-protocol past verder ook vercijfering toe, in tegenstelling tot het AH-protocol. Het is daarom vanuit het oogpunt van security aan te bevelen om het ESP-protocol te gebruiken. Daarnaast ondersteunt IPsec ook het IKE-protocol waarmee sleutels veilig uitgewisseld kunnen worden. Figure 7-28 op pagina 456 toont de structuur van een ESP-pakket. Een ESP-pakket bevat de volgende velden: De security parameters index (SPI) duidt de security association aan. Het sequence number geeft het volgnummer van het pakket aan. De payload data bevat het pakket uit de transportlaag. De payload data wordt vercijferd met een blokcijfer. De grootte van de payload data dient een veelvoud te zijn van de blokgrootte waarmee het cryptografische algoritme werkt. Als de grootte van de payload data afwijkt van de blokgrootte worden extra bits (padding) als opvulling toegevoegd. In het padding-lengthveld wordt opgeslagen hoe groot de padding data is. Next header geeft het type aan van de payload data, bijvoorbeeld TCP of UDP. De authentication data bevat ten slotte een checksum die berekend wordt door een hashfunctie toe te passen over alle vorige velden in het ESP-pakket. Deze checksum wordt vercijferd met een geheime sleutel. De SPI duidt aan welk hashalgoritme wordt toegepast. De authentication data zorgt dus voor zowel integriteit als authenticatie. De payload data, padding, padding length en next header velden zijn vercijferd. De SPI duidt aan welk cryptografisch algoritme wordt toegepast. Figure 7-27b toont dat aan het ESP-pakket uit Figure 7-28 ten slotte een IP header wordt toegevoegd volgens het IP-protocol. De structuur van een AH-pakket komt grotendeels overeen met die van een ESP-pakket, er vindt echter geen vercijfering plaats. Het AH-protocol en het ESP-protocol kunnen beide op twee manieren gebruikt worden: transport mode en tunnel mode. In transport mode bevat de payload data het segment uit de transportlaag. Transport mode wordt toegepast om de communicatie tussen twee hosts te beveiligen. De authenticiteit en de integriteit van berichten is dan beveiligd. Het ESP-protocol biedt daarnaast ook confidentialiteit omdat onder andere de payload data vercijferd is, zoals aangegeven in Figure In tunnel mode bevat de payload data het datagram uit de netwerklaag dat bestaat uit het segment uit de transportlaag en de IP header. Tunnel mode wordt toegepast om een VPN te realiseren. Aan het AH- of ESPpakket wordt een IP header toegevoegd zoals weergegeven in Figure Het uiteindelijke pakket bevat dus twee IP headers. OUN 85

9 Security en IT Tunnel mode kan omschreven worden als IP in IP. De beeldspraak van een tunnel is hier toepasselijk omdat er in feite een tunnel wordt gegraven waardoor het originele IP-datagram wordt getransporteerd. De authenticiteit en de integriteit van dit IP-datagram is beveiligd. In het ESPprotocol is dit IP-datagram bovendien vercijferd en kan dus niet bekeken of veranderd worden; het bevindt zich in de tunnel en is onzichtbaar aan de buitenkant van de tunnel. Om een VPN te realiseren kunnen we het beste het ESP-protocol in tunnel mode toepassen. Figure 7-25 en Figure 7-26 op pagina 450 tonen een VPN tussen een client en een server in een intranet. Een datagram dat de client naar de server verstuurt, bevat een IP header met de IP-adressen van de client en de server als zender en ontvanger. De tunnel wordt nu opgezet tussen de client en de firewall. Een datagram dat de client naar de server verstuurt, wordt eerst vercijferd en verpakt in een ESP-pakket. Vervolgens voegt de client aan dit ESP-pakket een IP header toe met daarin de IP-adressen van de client en de firewall als zender en ontvanger. De firewall ontvangt het bericht, pakt het uit en ontcijfert het. Hierbij komt het originele IP-datagram uit de tunnel tevoorschijn. De IP header bevat het IP-adres van de client en de server als zender en ontvanger. De firewall kan het bericht controleren en access control uitvoeren om de client toegang tot de server te verlenen. Onder een tunnel in computernetwerken verstaan we in het algemeen de techniek waarbij een bericht M A van een protocol A wordt ingebed in een bericht M B van een protocol B. We maken dan gebruik van de faciliteiten van protocol B om het bericht M B te versturen. Op de bestemming wordt het bericht uitgepakt en komt M A weer tevoorschijn dat volgens protocol A verder wordt afgehandeld. Protocol B vormt hier dus een tunnel voor berichten van protocol A. In IPsec tunnel mode correspondeert protocol A met IP en protocol B met AH of ESP. Er zijn ook tunnels waarbij andere protocollen worden gebruikt. OPGAVE 7c.6 Wat is het nut van het sequencenummer in een IPsec-pakket voor security? Encrypted Studeeraanwijzing In leereenheid 7e komen S/MIME en PGP voor het beveiligen van uitgebreid aan de orde. CONTENT INTEGRITY In sectie 6.3 Reliability and Integrity uit leereenheid 6a hebt u reeds kennisgemaakt met foutendetecterende en foutencorrigerende codes. Foutendetecterende code Met behulp van een foutendetecterende code of het toevoegen van een cryptografische checksum kan worden gedetecteerd of een bericht gewijzigd is. Wijzigingen die een hacker bewust aanbrengt om de betekenis van het bericht te veranderen of om het bericht te verminken, worden hiermee gedetecteerd. Ook wijzigingen in het bericht ten gevolge van fouten in het communicatiepad van zender naar ontvanger worden gedetecteerd. 86 OUN

10 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Foutencorrigerende code Met behulp van een foutencorrigerende code kunnen wijzigingen in een bericht niet alleen worden ontdekt maar ook worden hersteld. In hoeverre deze reparatie mogelijk is, hangt af van het soort code dat wordt toegepast en het aantal bits dat hersteld moet worden. Sommige codes kunnen meer fouten herstellen dan andere codes. STRONG AUTHENTICATION Strong authentication Authenticatie kan op verschillende manieren gerealiseerd worden, maar niet alle manieren zijn even veilig. De term strong authentication duidt op veilige technieken voor authenticatie die niet of nauwelijks door een hacker omzeild kunnen worden. One-Time Password OPGAVE 7c.7 Een gebruiker genereert een one-time password met behulp van een SecureID device en gebruikt dit password vervolgens om zich te authenticeren aan een server. Het password is tijdafhankelijk. De server kan de gebruiker alleen maar authenticeren als de klok van het SecureID device synchroon loopt met de klok van de server. In de praktijk lopen deze klokken echter vaak iets uit de pas. Hoe kunnen we hiermee omgaan? Challenge-Response Systems Challengeresponsesysteem Veel banken maken gebruik van challenge-responsesystemen voor internetbankieren. De Rabobank verstrekt bijvoorbeeld aan klanten een bankpas met pincode en een zogenaamde random reader. De random reader is een apparaatje bestaande uit een numeriek toetsenbord, een display en een lezer waarmee de magneetstrip of de chip op de bankpas uitgelezen kan worden. Via de website van de bank kan een klant een bedrag overschrijven naar een rekening. Dit verloopt globaal als volgt. De klant logt in op de website van de bank waarbij hij gebruikmaakt van het beveiligde protocol SSL. In de webbrowser ziet hij dat in de URL https wordt vermeld. In geval er geen beveiligde verbinding is of als de URL afwijkt, bevindt de klant zich niet op de website van de bank maar heeft hij te maken met een masquerade. Ter identificatie tikt de klant zijn rekeningnummer in op de website. De klant steekt zijn bankpas in de random reader en tikt zijn pincode in. De random reader genereert een getal dat de klant vervolgens intikt in de website. De bank gebruikt dit getal als een one-time password voor authenticatie. Vervolgens krijgt de klant toegang tot zijn rekening. Als de klant een bedrag wil overschrijven, vraagt de bank om een bevestiging. Via de website ontvangt de klant van de bank een getal, een challenge, dat hij op de random reader intikt. De random reader genereert vervolgens een getal als response dat de klant op de website intikt. Alleen als de response klopt, zal de bank het bedrag overschrijven. OUN 87

11 Security en IT OPGAVE 7c.8 Het challenge-responsesysteem dat de klant van de Rabobank gebruikt met behulp van de random reader, zorgt voor identificatie en authenticatie van de klant aan de bank. Hoe zit het met de identificatie en authenticatie van de bank aan de klant? Kerberos Studeeraanwijzing De tekst bij Figure 7-29 en Figure 7-30 kunt u overslaan. Deze tekst begint op regel 8 onderaan pagina 461 ( The first step in using Kerberos... ) en eindigt op regel 9 onderaan pagina 462 (...and servers are handled similarly. ). In plaats daarvan bestudeert u onderstaande tekst, waarin een gesimplificeerde beschrijving wordt gegeven van de werking van Kerberos. Kerberos Ticket-granting ticket Service-granting ticket Kerberos is een applicatie waarmee access control gerealiseerd kan worden in een gedistribueerd systeem. In leereenheid 4a hebt u reeds met access control kennisgemaakt en geleerd dat dit bestaat uit zowel authenticatie, om een identiteit vast te stellen, als autorisatie, om te bepalen welke operaties die identiteit mag uitvoeren. In een gedistribueerd systeem verzorgt Kerberos access control voor clients die gebruik willen maken van services die op servers draaien. Figure 7-31 op pagina 465 toont de architectuur van een gedistribueerd systeem waarin Kerberos wordt toegepast voor access control. De gebruiker (User) zit achter een host machine en wil als client een service gebruiken die door een server (Other Server) wordt aangeboden. Om toegang te verkrijgen tot deze server, vindt access control plaats in drie stappen. Allereerst vindt authenticatie plaats tussen de User en de Kerberos Server. De Kerberos Server verstrekt de User een eerste ticket, het ticket-granting ticket, waarmee hij zich kan authenticeren bij de Ticket- Granting Server. Als tweede stap vindt authenticatie plaats tussen de User en de Ticket-Granting Server. De Ticket-Granting Server verleent de User een tweede ticket, een service-granting ticket, waarmee hij zich kan authenticeren bij een bepaalde Other Server. Als derde stap maakt de User gebruik van de service die door de Other Server wordt aangeboden, waarbij het service-granting ticket wordt gebruikt voor authenticatie. We gaan nu de communicatie tussen de User en de diverse servers nader bekijken. We gebruiken hierbij de volgende aanduidingen: User U zit achter een host machine die client A uitvoert. A wil gebruikmaken van een service die door Other Server B wordt aangeboden. De Kerberos (Authentication) Server duiden we aan met KAS. De Ticket-Granting Server duiden we aan met TGS. Zoals getoond in figuur 7c.2, verloopt de communicatie in de volgende 6 stappen: Nonce is in leereenheid 7b aan de orde geweest. 1 U logt in op A met een gebruikersnaam en wachtwoord. A vertelt KAS dat A gebruik wil maken van TGS. Daartoe stuurt A als klare tekst een bericht naar KAS met daarin nonce n A en de namen van A en TGS. 88 OUN

12 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval 2 KAS heeft een database met bekende hosts en zoekt daarin A en TGS op. De database bevat geheime sleutel K A,KAS, die alleen A en KAS kennen, en geheime sleutel K TGS,KAS, die alleen TGS en KAS kennen. KAS genereert vervolgens een geheime sleutel K A,TGS waarmee A en TGS veilig kunnen communiceren. Ook genereert KAS een ticket-granting ticket T A,TGS waarmee A zich aan TGS kan authenticeren. Dit ticket bevat de geheime sleutel K A,TGS, de naam van A en een tijdaanduiding L 1 die aangeeft hoelang het ticket geldig is. KAS vercijfert het ticket met K TGS,KAS en stuurt dit ticket naar A. KAS verstuurt verder een bericht naar A dat KAS met K A,KAS vercijfert. Dit bericht bevat K A,TGS, nonce n A, tijdaanduiding L 1 en de naam van TGS. 3 A ontvangt het bericht van KAS en ontcijfert dit met de geheime sleutel K A,KAS. A verifieert de nonce n A om er zeker van te zijn dat het bericht door KAS is verstuurd. A beschikt nu over K A,TGS, tijdaanduiding L 1 en de naam van TGS. A beschikt ook over het ticket T A,TGS maar kan dit niet ontcijferen; het ticket is immers vercijferd met K TGS,KAS. A verstuurt een bericht naar TGS en vercijfert dit met K A,TGS. Dit bericht bevat de naam van A en de huidige tijd T A volgens de klok van A. Daarnaast verstuurt A ook het ticket T A,TGS, de naam van B en een nonce n A naar TGS. 4 TGS ontvangt het ticket T A,TGS van A en ontcijfert dit met de geheime sleutel K TGS,KAS. TGS beschikt dan over K A,TGS, tijdaanduiding L 1 en de naam van A. Met behulp van K A,TGS ontcijfert TGS vervolgens het bericht van A. TGS beschikt dan over de naam van A en tijdstip T A. TGS verifieert met behulp van L 1 en T A of het ticket nog geldig is en de naam van A. TGS genereert een service-granting ticket T A,B en verstuurt dit naar A. Dit ticket is vercijferd met geheime sleutel K B,TGS die alleen B en TGS kennen. Het ticket bevat geheime sleutel K A,B, tijdaanduiding L 2 die aangeeft hoelang het ticket geldig is en de naam van A. TGS verstuurt ook een bericht naar A dat vercijferd is met K A,TGS. Dit bericht bevat de geheime sleutel K A,B, nonce n A, tijdaanduiding L 2 en de naam van B. 5 A ontvangt het bericht van TGS en ontcijfert dit met K A,TGS. A verifieert nonce n A om er zeker van te zijn dat het bericht door TGS is verstuurd. A beschikt nu over de geheime sleutel K A,B, tijdaanduiding L 2, de naam van B en ticket T A,B. A kan ticket T A,B niet ontcijferen; dit is immers vercijferd met K B,TGS. A verstuurt nu naar B een bericht dat vercijferd is met K A,B. Dit bericht bevat de naam van A en de huidige tijd T A volgens de klok van A. A verstuurt ook ticket T A,B naar B. 6 B ontcijfert ticket T A,B met sleutel K B,TGS. B kent nu de geheime sleutel K A,B, tijdaanduiding L 2 en de naam van A. Met behulp van K A,B ontcijfert B het bericht van A. B verifieert met L 2 en T A of het ticket nog geldig is en de naam van A. B stuurt T A terug naar A in een bericht dat vercijferd is met K A,B. A ontvangt het bericht van B en ontcijfert het. T A doet nu dienst als nonce waarmee A kan verifiëren dat het bericht afkomstig is van B. OUN 89

13 Security en IT FIGUUR 7c.2 Berichtenverkeer in Kerberos De notatie E_K X (y) geeft aan dat bericht y is vercijferd met sleutel K X. OPGAVE 7c.9 In Kerberos dient een client met twee authentication servers, de Kerberos authentication server en de ticket-granting server, te communiceren alvorens gebruik te kunnen maken van een server. Wat is hierbij het voordeel voor de gebruiker? WEP Studeeraanwijzing De tweede en derde alinea van deze sectie ( First, the WEP standard uses... wireless session can be broken. ) kunt u overslaan. WEP WEP maakt gebruik van geheime sleutelcryptografie waarbij de client en het access point over een geheime sleutel beschikken. Bij het opzetten van een verbinding stuurt het access point een getal (een nonce) naar de client. De client vercijfert deze nonce met de geheime sleutel en stuurt de vercijferde nonce naar het access point. Het access point ontcijfert deze. Als het resultaat gelijk is aan de oorspronkelijk nonce, weet het access point dat de client over de juiste geheime sleutel bezit, waarmee authenticatie van de client een feit is. In veel gevallen zal de gebruiker van een draadloos netwerk zelf een geheime sleutel kiezen en deze handmatig invoeren bij het access point en de client. Net zoals gebruikers vaak zwakke wachtwoorden kiezen, worden ook vaak zwakke geheime sleutels genomen die relatief eenvoudig te achterhalen zijn. Verder is de effectieve sleutellengte relatief kort, waardoor een hacker alle mogelijke sleutels in relatief korte tijd kan uitproberen. 90 OUN

14 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval WPA and WPA2 Studeeraanwijzing De tekst op pagina 468 vanaf de tweede alinea ( The encryption algorithm for WEP... with limited processor capabilities ) kunt u overslaan. CONTROLS REVIEW Studeeraanwijzing Table 7-7 geeft een overzicht van voorbereidende acties voor een aanval, soorten aanvallen en mogelijkheden om zulke aanvallen te detecteren en te voorkomen. Het is niet nodig dat u deze tabel uit uw hoofd kent, maar u moet wel alle termen kunnen plaatsen en kunnen beredeneren of een bepaalde combinatie van voorbereiding, aanval en verdediging zinvol is. Z E L F T O E T S 1 In het onderstaande netwerk communiceren Alice en Bob met elkaar en is Charlie een hacker. Welke beveiligingsrisico s lopen Alice en Bob? FIGUUR 7c.3 Communicatie tussen Alice en Bob 2 Geef twee voorbeelden waarbij de veiligheid verbeterd is door de architectuur van een computernetwerk op te delen in segmenten. 3 Geef twee voor- en twee nadelen van het gebruik van link encryption ten opzichte van end-to-end encryption. 4 Welke stappen vinden plaats bij het opzetten van een verbinding in een virtual private network? 5 Wat is een PKI en wat is het nut van certificaten? 6 Wat is het verschil tussen transport mode en tunnel mode in het IPsecprotocol? 7 Welke bescherming biedt het coderen van berichten met een foutencorrigerende code? OUN 91

15 Security en IT 8 Wat is het verschil tussen authenticatie met een one-time password en authenticatie met een challenge-response? Wat is het verschil in veiligheid? 9 a Welke tickets worden gebruikt in Kerberos en hoe worden deze tickets vercijferd? b Kan een client een ticket gebruiken om zich te authenticeren? 10 Is het wenselijk om beveiliging in routers te implementeren met behulp van access control lists? 11 Welke tekortkomingen heeft WEP voor beveiliging van draadloze netwerken? 12 Wat is het verschil tussen een intrusion detection system en een honeypot? 13 Wat is onion routing? 92 OUN

16 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval T E R U G K O P P E L I N G 1 Uitwerking van de opgaven 7c.1 Bij link encryption vindt vercijfering plaats in de datalinklaag of de fysieke laag. In de netwerklaag is een bericht niet vercijferd. Een router implementeert de fysieke laag, de datalinklaag en de netwerklaag. Als een router een bericht ontvangt, wordt dit bericht in de fysieke laag of datalinklaag ontcijferd. In de netwerklaag kan de router dan het IP-adres van de bestemming in de IP header als klare tekst lezen en aan de hand daarvan bepalen waar het bericht heen gestuurd moet worden. Vervolgens wordt het bericht, inclusief de IP header, weer vercijferd in de datalinklaag of de fysieke laag en verstuurd. 7c.2 Toepassen van zowel end-to-end encryption als link encryption biedt extra veiligheid en is dus zinvol. Bij end-to-end encryption wordt een bericht gewoonlijk in de applicatielaag vercijferd. De headers die in de onderliggende lagen worden toegevoegd aan het bericht, zijn echter niet vercijferd. De IP header zou bijvoorbeeld gemodificeerd kunnen worden door een hacker die IP address spoofing wil plegen. Als ook link encryption wordt toegepast, worden deze headers wel vercijferd. In systemen die alleen end-to-end encryption toepassen, heeft link encryption dus toegevoegde waarde. Bij link encryption wordt een bericht in de datalinklaag of fysieke laag vercijferd. In de bovenliggende lagen is het bericht in klare tekst te lezen. Ook in routers is het bericht als klare tekst zichtbaar in de netwerklaag. Dit kan voorkomen worden door ook end-to-end encryption toe te passen. In systemen die alleen link encryption toepassen, heeft end-toend encryption dus ook toegevoegde waarde. 7c.3 Een firewall bevindt zich aan de rand van een beschermd netwerksegment zoals een intranet. De firewall is de toegangspoort tot het intranet. Het is efficiënter om de VPN te implementeren in de firewall dan in elke afzonderlijke server in het intranet. Een client in het externe netwerk zal via VPN verbinding maken met de firewall en vervolgens, als de firewall dat toestaat, via het intranet verbinding maken met de server. Het intranet is een afgeschermde, relatief veilige omgeving waarbinnen het vercijferen van berichten gewoonlijk niet noodzakelijk is. Het VPN hoeft zich daarom niet binnen het intranet tot aan de server voort te zetten. 7c.4 Een PKI is een infrastructuur voor het uitgeven en beheren van certificaten. Een certificaat bevat de publieke sleutel en andere informatie van de houder van het certificaat. Host A kan zijn certificaat aan host B sturen. Host B kan uit dit certificaat de publieke sleutel van A afleiden. Host B kan de integriteit van het certificaat verifiëren met behulp van de publieke sleutel van de Certificate Authority die het certificaat heeft uitgegeven. Host B kan vervolgens een geheime sleutel vercijferen met de publieke sleutel van A en deze naar A sturen. A kan het bericht ontcijferen met zijn privésleutel. Op deze wijze kunnen A en B veilig een geheime sleutel uitwisselen die ze voor hun verdere communicatie kunnen toepassen. OUN 93

17 Security en IT 7c.5 Figuur 7c.4 toont de uitvoer van Internet Explorer op 29 april Het getoonde certificaat is verleend door de CA VeriSign en is geldig in de periode van tot en met De publieke sleutel is 1024 bits lang en hoort bij het RSA-algoritme. FIGUUR 7c.4 Certificaat van de webserver van VeriSign 7c.6 Het sequencenummer is het volgnummer waarmee de ontvanger de volgorde van pakketten kan bepalen. Het gebruik van volgnummers voorkomt dat er onopgemerkt pakketten in de berichtenstroom toegevoegd, gedupliceerd of verwijderd kunnen worden. 7c.7 Het SecureID device genereert elke minuut een ander getal dat als onetime password dienst kan doen. Als de klokken van het SecureID device en de server niet synchroon lopen, of als de gebruiker te lang wacht om het one-time password in te voeren, zal de server een password verwachten dat hoort bij een eerder of later tijdstip. De server zal daarom niet alleen het verwachte password berekenen voor het huidige tijstip, maar ook de passwords van eerdere en latere tijdstippen in een zeker tijdinterval T. Als de klokken niet teveel uit elkaar lopen, zal het password dat het SecureID device genereert overeenkomen met een van de passwords die de server berekend heeft. Aan de hand daarvan kan de server ook zijn klok synchroniseren met de klok van het SecureID device. Naarmate het tijdinterval tussen twee zulke synchronisatiemomenten groter wordt, zal de server het tijdinterval T waarvoor hij passwords berekent, laten toenemen. 7c.8 Dit challenge-responsesysteem zorgt niet voor automatische identificatie en authenticatie van de bank aan de klant. De challenge die de klant ontvangt, kan net zo goed van een hacker als van de bank afkomstig zijn. De klant kan alleen nagaan of hij met de bank communiceert door verificatie van de URL, hetgeen in de praktijk nogal eens wordt vergeten. 94 OUN

18 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Zelfs als de klant verifieert dat de URL correct is, is dit nog geen waterdicht bewijs dat de klant inderdaad met de bank communiceert. Het DNS wordt immers gebruikt om het IP-adres op te zoeken dat bij deze URL hoort. Een hacker zou via DNS cache poisoning alsnog het dataverkeer naar een masquerade van de website kunnen leiden. De communicatie tussen de klant en de bank is wel beveiligd met het SSL- protocol, waarbij authenticatie van de server aan de client plaatsvindt met behulp van een certificaat. Echter, er wordt alleen geverifieerd of het certificaat geldig is. Ook een hacker kan een geldig certificaat overleggen. De client zou dus ook moeten verifiëren of de Rabobank inderdaad de eigenaar van het certificaat is. 7c.9 Het voordeel voor de gebruiker is dat hij niet telkens zijn wachtwoord hoeft in te tikken als hij van een bepaalde service gebruik wil maken. Een gebruiker zal normaliter veelvuldig van een printserver, een server, een fileserver en een webserver gebruikmaken. Het is voor de gebruiker erg vervelend als hij hiervoor steeds zijn wachtwoord dient in te tikken. In Kerberos worden geen wachtwoorden uitgewisseld. De Kerberos authentication server en de client delen een geheime sleutel. Deze geheime sleutel wordt bepaald door een one-way hashfunctie toe te passen op het wachtwoord van de gebruiker. Het is in Kerberos voldoende dat de gebruiker zich eenmalig authenticeert bij de Kerberos authentication server en dus eenmalig zijn wachtwoord intikt. De Kerberos authentication server verleent aan de client een ticket-granting ticket waarmee de client zich vervolgens kan authenticeren bij de ticket-granting server. De ticket-granting server verleent op zijn beurt aan de client een service-granting ticket waarmee de client zich uiteindelijk kan authenticeren bij de server die de gewenste service aanbiedt. Voor deze authenticatie hoeft de gebruiker geen wachtwoord in te tikkken; het is voldoende als de client de tickets verstuurt. Als de gebruiker nu een fileserver, een server, een printserver of een webserver wil gebruiken, hoeft hij dus niet telkens zijn wachtwoord in te tikken. Tickets hebben een eindige levensduur. Na verloop van tijd dient een gebruiker een nieuw ticket-granting ticket aan te vragen, waarvoor hij wel weer zijn wachtwoord moet intikken. 2 Uitwerking van de zelftoets 1 Dit eenvoudige netwerk bestaat uit de host machines van Alice en Bob, een communicatielink daartussen en de host machine van hacker Charlie. Charlie zou de berichten tussen Alice en Bob kunnen afluisteren, modificeren, tegenhouden of nieuwe berichten verzinnen waarbij hij zich als Alice of Bob voordoet. In een denial-of-service-aanval zou Charlie zelfs de communicatie tussen Alice en Bob onmogelijk kunnen maken. Charlie zou verder kunnen indringen in de host machines van Alice en Bob en daar gegevens kunnen lezen, veranderen, verwijderen of toevoegen. Deze gegevens kunnen bestaan uit data of programma s. Charlie zou een programma op een host kunnen uitvoeren. Al deze bedreigingen moeten met de juiste beveiligingsmaatregelen voorkomen worden. OUN 95

19 Security en IT 2 Een DMZ is een eerste voorbeeld van een gesegmenteerde architectuur om de veiligheid van een computernetwerk te verbeteren. Een DMZ is een netwerksegment tussen een intern netwerk en een extern netwerk. In een DMZ worden servers geplaatst zoals servers, webservers en DNS-servers. Deze servers zijn toegankelijk vanuit het interne en externe netwerk, maar vanuit een server in de DMZ kan alleen toegang tot het externe netwerk verkregen worden. Een voorbeeld van een toepassing van een DMZ is e-commerce, waar klanten via een website artikelen kunnen bestellen. De website bevindt zich op een webserver in de DMZ. In het interne netwerk bevinden zich de servers met databases waarin bestellingen, klanten, rekeningen en voorraad worden geadministreerd. Een tweede voorbeeld is het onderverdelen van een netwerk in segmenten waarbij in elk segment een andere systeemversie of applicatie wordt uitgevoerd. Een eerste segment bevat het productiesysteem voor gebruikers; een tweede segment bevat een testversie waarin de volgende versie van het systeem door ontwikkelaars wordt getest; een derde segment bevat de daaropvolgende versie van het systeem die nog volop in ontwikkeling is. Elk segment is slechts toegankelijk voor bepaalde gebruikersgroepen. Zo hebben normale gebruikers geen toegang tot de testversie en de ontwikkelversie, terwijl ontwikkelaars niet zomaar een verandering in het productiesysteem kunnen maken. 3 Bij link encryption vindt vercijfering plaats in de datalinklaag of de fysieke laag. Bij end-to-end encryption vindt vercijfering meestal plaats in de applicatielaag. Een eerste voordeel van link encryption is dat niet alleen het bericht uit de applicatielaag, maar ook de headers uit de transportlaag en netwerklaag worden vercijferd. Spoofing van IP-adressen is hiermee dus onmogelijk. Een tweede voordeel is dat de berichten van alle applicaties van alle gebruikers op de host machine worden vercijferd. De gebruikers en de applicaties hebben er geen omkijken naar. Een nadeel van link encryption is dat een bericht op een host machine pas in de datalinklaag wordt vercijferd. In de hard- en software die de bovenliggende lagen implementeren, is het bericht in klare tekst te lezen. Dat geldt niet alleen voor de host machines van de zender en ontvanger, ook in routers kan het bericht als klare tekst gelezen worden. Verder moeten alle routers in het pad tussen de zendende en ontvangende host het bericht ontcijferen en vercijferen (hetgeen tijd kost) en de routers moeten over de juiste sleutels beschikken. 4 Zoals getoond in Figure 7-25, bestaat de communicatie in een VPN globaal uit drie stappen. Allereerst dient de client zich te authenticeren aan de firewall. De firewall verleent de client vervolgens een sleutel en toegang tot de server. Met behulp van deze sleutel kunnen client en server vercijferde berichten uitwisselen. Er zijn verschillende manieren om een VPN te implementeren. 5 Een PKI, een public key infrastructure, is een systeem voor het uitgeven en beheren van certificaten. Een certificaat is een belangrijk hulpmiddel voor authenticatie. Een certificaat bevat de publieke sleutel en de naam van de houder van het certificaat. Met behulp van een certificaat kan een publieke sleutel worden uitgewisseld en kan de ontvanger de authenticiteit van de zender verifiëren. De ontvanger kan de echtheid van het certificaat verifiëren met de publieke sleutel van de Certificate Authority die het certificaat uitgegeven heeft. 96 OUN

20 Leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval 6 In IPsec transport mode bevat de payload data een segment uit de transportlaag. In IPsec tunnel mode bevat de payload data een datagram uit de netwerklaag dat bestaat uit een IP header en een segment uit de transportlaag. Een pakket in IPsec tunnel mode heeft daarom twee IP headers. 7 Hosts kunnen hun berichten coderen met een foutencorrigerende code. De ontvangende host kan detecteren of een bericht tijdens de transmissie is gewijzigd. Als het aantal wijzigingen niet al te groot is, kan de ontvangende host het bericht zelf herstellen. Het gebruik van foutencorrigerende codes is met name bedoeld voor het detecteren en corrigeren van toevallige fouten in het communicatiemedium zoals fouten ten gevolge van ruis. Een foutencorrigerende code biedt ook bescherming tegen een hacker die moedwillig een bericht verminkt. Een hacker echter die als een man-in-the-middle optreedt, kan een bericht aanpassen of toevoegen en dit bericht weer coderen met de foutencorrigerende code. Ook kan de hacker berichten weggooien. Hiertegen biedt een foutencorrigerende code geen bescherming. 8 Bij authenticatie met een one-time password, authenticeert een gebruiker zich met een wachtwoord dat slechts eenmalig geldig is. Een hacker die het wachtwoord afluistert, kan dit wachtwoord dus niet meer gebruiken. Bij authenticatie met een challenge-response, ontvangt een gebruiker een challenge. De gebruiker voert op deze challenge een operatie uit, hetgeen de response oplevert. Een voorbeeld is een response die verkregen wordt doordat de gebruiker de challenge vercijfert. De gebruiker stuurt de response terug om zich te authenticeren. Een one-time password moet zowel bij zender als ontvanger bekend zijn. In de praktijk worden hiervoor apparaatjes gebruikt zoals een SecureID device. Als het apparaat in handen van een hacker komt, kan deze zich zonder meer als de gebruiker voordoen. Verder vormt de synchronisatie tussen zender en ontvanger een probleem. Het synchronisatieprobleem treedt niet op in een challenge-responsesysteem. Verder is een challenge-responsesysteem veiliger, omdat de gebruiker een geheim, zoals een wachtwoord of een sleutel, moet toepassen. Een hacker kan zich slechts dan als gebruiker voordoen als ook hij dit geheim kent. 9 a In Kerberos worden ticket-granting tickets en service-granting tickets gebruikt. Een ticket-granting ticket wordt door de Kerberos authentication server (KAS) aan een client verleend. De KAS vercijfert dit ticket met een geheime sleutel die alleen KAS en de ticket-granting server (TGS) kennen. De client die het ticket ontvangt, kan het ticket dus niet ontcijferen. Een service-granting ticket wordt door de TGS aan de client verleend. De TGS vercijfert dit ticket met een geheime sleutel die alleen bekend is bij TGS en de doelserver waarvan de client een service wil gebruiken. De client kan ook dit ticket niet zelf ontcijferen. OUN 97

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Inhoud. Eindtoets. Introductie 229. Opgaven 229. Terugkoppeling 239. Uitwerking van de opgaven 239

Inhoud. Eindtoets. Introductie 229. Opgaven 229. Terugkoppeling 239. Uitwerking van de opgaven 239 Inhoud Eindtoets Introductie 229 Opgaven 229 Terugkoppeling 239 Uitwerking van de opgaven 239 228 Eindtoets I N T R O DU C T I E De eindtoets bestaat net als het tentamen uit 40 meerkeuzevragen en kunt

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18

Inhoud leereenheid 1. Security en IT: inleiding. Introductie 15. Leerkern 15. Terugkoppeling 18. Uitwerking van de opgaven 18 Inhoud leereenheid 1 Security en IT: inleiding Introductie 15 Leerkern 15 1.1 What Does Secure Mean? 15 1.2 Attacks 16 1.3 The Meaning of Computer Security 16 1.4 Computer Criminals 16 1.5 Methods of Defense

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client VPN Remote Dial In Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde (geautoriseerd en/of versleuteld) verbinding

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

SSH, SSL en HTTPS. Johnny Schaap (3665224)

SSH, SSL en HTTPS. Johnny Schaap (3665224) SSH, SSL en HTTPS Johnny Schaap (3665224) Inhoudsopgave 1. Inleiding pagina 2 2. SSL/TLS.. pagina 3 2.1. Geschiedenis. pagina 3 2.2. API en Sockets pagina 3 2.3. Verbinding pagina 3 2.4. Message Authentication

Nadere informatie

Technische Informatie

Technische Informatie Het Beveiligen van een draadloos netwerk Het grootste Risico van een draadloos netwerk is dat het signaal in principe voor iedereen beschikbaar is. Anders dan bij een bekabeld netwerk, waar men een fysieke

Nadere informatie

Computernetwerken Deel 2

Computernetwerken Deel 2 Computernetwerken Deel 2 Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryp>e: gegevens verbergen Firewall Waarom? Filteren van pakkeben Wildcard mask: omgekeerd subnetmasker

Nadere informatie

VPN Remote Dial In User. Windows VPN Client

VPN Remote Dial In User. Windows VPN Client VPN Remote Dial In User Windows VPN Client VPN Remote Dial In User Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding te

Nadere informatie

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, pril 2006 Ruud Goudriaan Digitale handtekeningen Korte uitleg symmetrische Cryptografie Hoe gebruik je

Nadere informatie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie 1. inleiding Misschien zonder het te beseffen, maak je dagelijks gebruik van computernetwerken. Of je nu WhatsApp gebruikt om je vrienden een bericht te sturen of Google Chrome om iets op te zoeken, je

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client Inleiding Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding communiceren

Nadere informatie

computernetwerken F. Vonk versie 4 21-11-2015

computernetwerken F. Vonk versie 4 21-11-2015 2015 computernetwerken F. Vonk versie 4 21-11-2015 inhoudsopgave 1. inleiding... - 2-2. datacommunicatie... - 3-3. het TCP/IP model... - 6-4. protocollen... - 8-5. computernetwerken... - 15-6. netwerkapparatuur...

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Werken op afstand via internet

Werken op afstand via internet HOOFDSTUK 12 Werken op afstand via internet In dit hoofdstuk wordt uitgelegd wat er nodig is om op afstand met de ROS artikel database te kunnen werken. Alle benodigde programma s kunnen worden gedownload

Nadere informatie

VPN Remote Dial In User. Windows VPN Client

VPN Remote Dial In User. Windows VPN Client VPN Remote Dial In User Windows VPN Client VPN Remote Dial In User Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding te

Nadere informatie

ISSX, Experts in IT Security. Wat is een penetratietest?

ISSX, Experts in IT Security. Wat is een penetratietest? De Stuwdam 14/B, 3815 KM Amersfoort Tel: +31 33 4779529, Email: info@issx.nl Aanval- en penetratietest U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie

Nadere informatie

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen 2connect-IT informatiedag 2012 Agenda Introductie Mobiele communicatie Combinatie met 2connect-IT Introductie

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

IC Mail Gateway Gebruikershandleiding

IC Mail Gateway Gebruikershandleiding IC Mail Gateway Gebruikershandleiding Versiebeheer Versie Datum Naam Wijziging 1.0 27 oktober 2008 ICA Initieel document 1.1 18 juni 2010 ICA Document geheel herzien 2.0 30 januari 2013 ICA Aanpassing

Nadere informatie

Windows XP & Windows Vista

Windows XP & Windows Vista Rem ote Dial- in User Windows XP & Windows Vista Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Verbinding maken met de router... 4 Remote Dial In User PPTP... 5 Nieuwe VPN-verbinding maken in Windows

Nadere informatie

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is.

Tevens hebben wij onderzocht of het automatiseren van een dergelijk afluisterproces eenvoudig te produceren is en wat er vervolgens mogelijk is. Wi-Fi Sniffing De mogelijkheden van het afluisteren van Wi-Fi Abstract Wegens verontrustende berichten over winkels die continu Wi-Fi signalen opvangen om klanten te meten, hebben wij besloten te onderzoeken

Nadere informatie

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP Rem ote Dial- in User DrayTek Sm art VPN Client PPTP / I PSec / L2TP Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Verbinding maken met de router... 4 Remote Dial In User PPTP... 5 VPN verbinding opzetten

Nadere informatie

Datacommunicatie Cryptografie en netwerkbeveiliging

Datacommunicatie Cryptografie en netwerkbeveiliging Datacommunicatie Cryptografie en netwerkbeveiliging ir. Patrick Colleman Inhoud Voorwoord 1 1. Inleiding Wat 2 2. Model 5 3. Systemen 5 3.1 Substitutiesystemen 6 3.1.1 Caesar 6 3.1.2 Monoalfabetische vercijfering

Nadere informatie

E-mail, SMTP, TLS & S/MIME

E-mail, SMTP, TLS & S/MIME E-mail, SMTP, TLS & S/MIME Inhoudsopgave Inhoudsopgave... 2 1. Inleiding... 3 1.1. E-mail via het internet... 3 2. E-mail transport... 4 2.1. Kwetsbaarheden van het e-mail transport via het internet...

Nadere informatie

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Part 17-A INTERNET: basisbegrippen techniek & beveiliging Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003 File 17-A Internet techniek & beveiliging 2003 Programma PROGRAMMA

Nadere informatie

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding Gebruikershandleiding versie: 18 maart 2013 Multrix Desktop Portal Toegang tot uw applicaties via het internet Handleiding Multrix Desktop Portal - NED Pagina 1 van 12 Inleiding Dit document biedt u een

Nadere informatie

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren. SSL VPN SSL VPN SSL VPN is een web based versie van VPN waarbij er geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren. SSL staat voor

Nadere informatie

Aandachtspunten PKIoverheid

Aandachtspunten PKIoverheid Aandachtspunten PKIoverheid Tips en aanbevelingen bij PKIoverheid-certificaten en PKI-enabled applicaties Auteur GBO.overheid / PKIoverheid Versie Versie 1.0 Status Definitief Den Haag, 18 oktober 2007

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server

Nadere informatie

1945, eerste DC. Eigen logo

1945, eerste DC. Eigen logo 1945, eerste DC Eigen logo Doelstelling: Binnen uw computer ruimte verzamelt u diverse informatie over bijvoorbeeld stroomverbruik van uw apparatuur. Via welk netwerk kunt u deze data verwerken. Welk

Nadere informatie

Xerox Externe diensten Een stap in de goede richting

Xerox Externe diensten Een stap in de goede richting Xerox Externe diensten Een stap in de goede richting Problemen onderzoeken Apparaatgegevens beoordelen Problemen oplossen Beveiliging van klant gegarandeerd 701P41700 Overzicht Externe diensten Info over

Nadere informatie

Security paper - TLS en HTTPS

Security paper - TLS en HTTPS Security paper - TLS en HTTPS Tom Rijnbeek - 3657086 18 juni 2013 Inhoudsopgave 1 Introductie 2 2 Beschrijving TLS 2 2.1 Doelen................................. 2 2.2 Lagen Model.............................

Nadere informatie

TORNADO Wireless Netwerk

TORNADO Wireless Netwerk Het beveiligen van uw TORNADO Wireless Netwerk Pagina 1 Inhoudsopgave 1. Wireless Netwerken...3 2. Wireless Netwerk ontdekt!...3 3. Risico's...3 4. Wireless Beveiligingsopties...4 5. WEP...5 Pagina 2 1.

Nadere informatie

Dienstbeschrijving MSSL Connect 1 Platform

Dienstbeschrijving MSSL Connect 1 Platform CBG Connect B.V. Tel: +31228 56 60 70 Fax: +31228 56 60 79 Verkoop@cbgconnect.nl Dienstbeschrijving MSSL Connect 1 Platform Versie: 1 Maand: Juli 2015 Versie: 1.0 Maand: april 2010 Inhoudsopgave 1 Inleiding...

Nadere informatie

TORNADO Wireless Netwerk

TORNADO Wireless Netwerk Het beveiligen van uw TORNADO Wireless Netwerk Pagina 1 Inhoudsopgave 1. Wireless Netwerken...3 2. Wireless Netwerk ontdekt!...3 3. Risico's...3 4. Wireless Beveiligingsopties...4 5. WEP...5 6. WPA-PSK...6

Nadere informatie

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf VPN verbinding voor Windows XP INHOUDSOPGAVE 1. Inleiding 2 2. Wat is de bedoeling? 3 2.1 Waarom een VPN verbinding 3 2.2 Wat is zeker niet de bedoeling? 3 2.3 Wat heb je nodig? 3 3. Instellen van de VPN

Nadere informatie

VPN LAN-to-LAN PPTP Protocol

VPN LAN-to-LAN PPTP Protocol VPN LAN-to-LAN PPTP Protocol VPN LAN-to-LAN De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server

Nadere informatie

Handleiding toegang op afstand van de gemeente Sittard-Geleen. De 1 e keer gebruik maken van de toegang op afstand :

Handleiding toegang op afstand van de gemeente Sittard-Geleen. De 1 e keer gebruik maken van de toegang op afstand : Handleiding toegang op afstand van de gemeente Sittard-Geleen. In dit document wordt het gebruik van toegang op afstand met behulp van de Citrix Access Gateway beschreven. Toegang op afstand maakt het

Nadere informatie

Secure eid Pinpad Reader

Secure eid Pinpad Reader Secure eid Pinpad Reader ontents Aan de slag... 3 Installatie... 5 Ondersteunde kaarttypes... 6 Belgische Eidkaartdetectie... 7 Het contrast aanpassen... 8 Rekenmachine... 9 Taal... 10 Authenticatiepincode...

Nadere informatie

HANDLEIDING WERKEN OP AFSTAND

HANDLEIDING WERKEN OP AFSTAND HANDLEIDING WERKEN OP AFSTAND ASP4all Hosting B.V. Energieweg 8 1271 ED Huizen Augustus 2009 Versie 1.0 Copyright 2009, ASP4all Hosting B.V. Niets uit deze uitgave mag worden vermenigvuldigd en/of op andere

Nadere informatie

Inhoudsopgave. Onderzoeksrapport: SSL; Dion Bosschieter; ITopia

Inhoudsopgave. Onderzoeksrapport: SSL; Dion Bosschieter; ITopia SSL veilig of niet? Dion Bosschieter Dit is een onderzoeksrapport dat antwoord geeft op de vraag: Kan een gebruiker er zeker van zijn dat SSL veilig is? ITopia Dion Bosschieter 23-04- 2012 Inhoudsopgave

Nadere informatie

Handleiding DocZend. Versie 1.2 januarie 2014. 2014 Copyright KPN Lokale Overheid

Handleiding DocZend. Versie 1.2 januarie 2014. 2014 Copyright KPN Lokale Overheid Handleiding DocZend Versie 1.2 januarie 2014 2014 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit dit document

Nadere informatie

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ)

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) 1 Algemeen Wat is SFTP? SFTP staat voor SSH File Transfer Protocol of Secure File Transfer Protocol en maakt deel uit van SSH

Nadere informatie

Ervaringen met draadloos

Ervaringen met draadloos Onderzoek in grote steden zoals Amsterdam, maar ook in Eindhoven heeft uitgewezen, dat ca. 40% van de draadloze netwerken open en bloot op straat liggen, hieronder een scan van mijn PC in mijn woonwijk,

Nadere informatie

Revisie geschiedenis. [XXTER & KNX via IP]

Revisie geschiedenis. [XXTER & KNX via IP] Revisie geschiedenis [XXTER & KNX via IP] Auteur: Freddy Van Geel Verbinding maken met xxter via internet met de KNX bus, voor programmeren of visualiseren en sturen. Gemakkelijk, maar niet zo eenvoudig!

Nadere informatie

Certificaten: Aanmaak en beheer

Certificaten: Aanmaak en beheer Certificaten: Aanmaak en beheer 11 juni 2013 Bart Callewaert Wat is een certificaat? Een bewijsstuk: dat de echtheid van een voorwerp garandeert dat de betrouwbaarheid van een partij garandeert Gebaseerd

Nadere informatie

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe.

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe. m:\helpdesk\vgmbox\documenten\handleiding - inzet binnen beveiligd netwerk (dmv proxyserver) - 20110112 - tbv pdf.doc Inzet van De VGM Box binnen een beveiligd netwerk Dit document beschrijft het functioneren

Nadere informatie

CompuDiode. Technical whitepaper 2015. ICS / SCADA Security. Nederlands

CompuDiode. Technical whitepaper 2015. ICS / SCADA Security. Nederlands CompuDiode Technical whitepaper 2015 ICS / SCADA Security Nederlands Hackers slagen er steeds vaker in om.gevoelige bedrijfsdata.te stelen, manipuleren.en te verwijderen // ICS / SCADA security Vitale

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access.

Gebruikershandleiding E-Zorg Remote Access. Gebruikershandleiding E-Zorg Remote Access. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) De eerste keer inloggen Pagina 3 4) Terminal Sessions Pagina 5 5) Gebruik vanaf Apple of Linux systemen

Nadere informatie

Instructies Eudora OSE Pagina 1

Instructies Eudora OSE Pagina 1 Instructies Eudora OSE Pagina 1 Instructies Eudora OSE Deze handleiding gaat er vanuit dat u al een e-mail account geconfigureerd heeft in Eudora OSE en we laten zien hoe u de SMTP server kunt wijzigen

Nadere informatie

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen Smart cards en EMV Joeri de Ruiter Digital Security, Radboud University Nijmegen Smart cards Processor en geheugen Contact of draadloos Tamper resistant Gebruikt voor Bankpassen OV Chipkaart SIM kaarten

Nadere informatie

PO1168 EnVivoUSB netwerk hub 1. Ik kan de aangesloten USB apparaten in mijn netwerk niet gebruiken

PO1168 EnVivoUSB netwerk hub 1. Ik kan de aangesloten USB apparaten in mijn netwerk niet gebruiken PO1168 EnVivoUSB netwerk hub 1. Ik kan de aangesloten USB apparaten in mijn netwerk niet gebruiken envivo@teknihall.nl NL : 0900/400 2001 p.1 In het venster van de applicatie wordt gemeld dat de toestellen

Nadere informatie

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl

Digitaal e-mail certificaat Ondertekenen en encryptie. De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Digitaal e-mail certificaat Ondertekenen en encryptie De meest recente versie van dit document kunt u vinden op: www.ensbergen.nl Index 1 Inleiding... 4 1.1 Algemeen...4 1.2 Leeswijzer...4 2 Private key

Nadere informatie

Vertrouwende Partij Voorwaarden UZI-register

Vertrouwende Partij Voorwaarden UZI-register Vertrouwende Partij Voorwaarden UZI-register Het UZI-register koppelt op unieke wijze de fysieke identiteit aan een elektronische identiteit en legt deze vast in een certificaat. Hierbij maakt het UZI-register

Nadere informatie

PKI: vloek of zegen? (if PKI is the answer, then what was the question?)

PKI: vloek of zegen? (if PKI is the answer, then what was the question?) PKI: vloek of zegen? (if PKI is the answer, then what was the question?) dr. Jaap-Henk Hoepman 1 Faculteit Informatica, Universiteit Twente hoepman@cs.utwente.nl Samenvatting In het bedrijfsleven en binnen

Nadere informatie

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006 Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006 Agenda > Over Fedict - eid Presentatie Spreker: Peter Strickx > eid juridische aspecten Spreekster: Samoera Jacobs

Nadere informatie

Temperatuur logger synchronisatie

Temperatuur logger synchronisatie Temperatuur logger synchronisatie Juni 10, 2010 1 / 7 Temperatuur logger synchronisatie Introductie Twee of meerdere ontvangers van het Multilogger systeem kunnen met de temperature logger synchronisatie

Nadere informatie

Communications and Networking: An Introduction

Communications and Networking: An Introduction Communications and Networking: An Introduction Hoofdstuk 7 Internet Application Layer Protocols 1. a) Op het moment van schrijven:.eu (Europese Unie). b) B.v.:.au (Australië),.at (Oostenrijk > Austria)

Nadere informatie

Overzicht printeract, Xerox Externe diensten

Overzicht printeract, Xerox Externe diensten Overzicht printeract, Xerox Externe diensten 701P28660 Overzicht printeract, Xerox Externe diensten Een stap in de goede richting Problemen onderzoeken Apparaatgegevens beoordelen Problemen oplossen Beveiliging

Nadere informatie

DrayTek Vigor AP700 Wireless beveiligen

DrayTek Vigor AP700 Wireless beveiligen DrayTek Vigor AP700 Wireless beveiligen DrayTek Vigor AP700 Wireless beveiligen Wanneer u gebruik maakt van een AP700 is het Wireless netwerk standaard niet afgeschermd met een wachtwoord. Hierdoor is

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Inhoud Het netwerk verkennen 1 2 Confi gureren van het IOS 41

Inhoud Het netwerk verkennen 1 2 Confi gureren van het IOS 41 v Inhoud 1 Het netwerk verkennen 1 1.1 Netwerk-resources 1 1.1.1 Netwerken van verschillende grootten 1 1.1.2 Clients en servers 2 1.1.3 Peer-to-peer 3 1.2 LAN s, WAN s en Internet 4 1.2.1 Netwerkcomponenten

Nadere informatie

Documentnaam: Technisch Ontwerp Datum: 25-10-2011 Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Documentnaam: Technisch Ontwerp Datum: 25-10-2011 Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening... TECHNISCH ONTWERP INHOUD Overzicht Tekening... 2 1.0 Inleiding... 3 1.1 Aanleiding... 3 1.2 Bronnen... 3 2.0 Thread Management Gateway (forefront)... 3 2.1 Inleiding... 3 2.2 Hardware... 3 2.3 Services...

Nadere informatie

Technical Note #047 Auteur:Mark Vork Gemaakt op:14 februari 2003 Gewijzigd op:9 februari 2004

Technical Note #047 Auteur:Mark Vork Gemaakt op:14 februari 2003 Gewijzigd op:9 februari 2004 Technical Note #047 Auteur:Mark Vork Gemaakt op:14 februari 2003 Gewijzigd op:9 februari 2004 Een IPsec tunnel opzetten met een Netasq door middel van een Safenet client Met behulp van deze technical note

Nadere informatie

Hier kunt u alle schijven en mappen afscannen op audio bestanden die ondersteund worden door de MP (mp3 en wma).

Hier kunt u alle schijven en mappen afscannen op audio bestanden die ondersteund worden door de MP (mp3 en wma). Netgear MP101 Dit apparaat speelt MP3's en WMV digitale bestanden en koppelt de stereo rechtstreeks aan de PC. Het apparaat werkt alleen in combinatie met een router of een wireless acces point. Er zit

Nadere informatie

Hands-on TS adapter IE advanced

Hands-on TS adapter IE advanced Hands-on TS adapter IE advanced Tijdens deze hands-on opdracht wordt een Teleservice verbinding opgebouwd naar de S700 en KTP700 Basic PN. De basis instelling zoals het toekennen van een IP-adres en het

Nadere informatie

Gratis bescherming tegen zero-days exploits

Gratis bescherming tegen zero-days exploits Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen

Nadere informatie

4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid

4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid Internet Protocol Telematica Quality Of Service (Netwerk laag) Hoofdstuk 5 4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid n Pakketten kunnen verloren raken

Nadere informatie

WWW.EMINENT-ONLINE.COM. Handleiding EM4030

WWW.EMINENT-ONLINE.COM. Handleiding EM4030 WWW.EMINENT-ONLINE.COM NL Handleiding EM4030 Handleiding: EM4030 Rev. 1 Accesspoint 802.11g Waarschuwing: Als gevolg van Europese regelgeving kan een draadloos apparaat in sommige Europese lidstaten onderwerp

Nadere informatie

Trusted Third Party SFTP Extranet via de Filezilla-client

Trusted Third Party SFTP Extranet via de Filezilla-client Trusted Third Party SFTP Extranet via de Filezilla-client Maart 2013 1 INDEX 1.Inleiding...3 2.Een sleutelpaar genereren (publiek-privé)...3 2.1 Starten...3 2.2 Het sleutelpaar genereren en configureren...3

Nadere informatie

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden

Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden Handleiding ICT Shared Service Center Universiteit Leiden Postbus 9512 2300 RA Leiden 071 527 6969 Handleiding toegang eduroam met Windows 7 voor eindgebruikers Universiteit Leiden Opdrachtgever: ICT Shared

Nadere informatie

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010 Terminal Services Dit document beschrijft hoe op afstand kan worden ingelogd op een Terminal Server. Lees dit document zorgvuldig, voordat u voor het eerst hiervan gebruik maakt! Isaeus Solutions Tel:

Nadere informatie

15 July 2014. Betaalopdrachten web applicatie gebruikers handleiding

15 July 2014. Betaalopdrachten web applicatie gebruikers handleiding Betaalopdrachten web applicatie gebruikers handleiding 1 Overzicht Steeds vaker komen we de term web applicatie tegen bij software ontwikkeling. Een web applicatie is een programma dat online op een webserver

Nadere informatie

VPN Remote Access Control

VPN Remote Access Control VPN VPN Setup In deze handleiding kunt u informatie vinden over alle mogelijke VPN instellingen van de DrayTek Vigor 2130 en 2750. Hierin zullen wij alle algemene instellingen bespreken die van toepassing

Nadere informatie

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013).

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Auteur: Evert Jan Steenvoorden Datum: 23-12-2014 E-mail instellen in Outlook (2013) In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Stap 1 Configuratiescherm

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access.

Gebruikershandleiding E-Zorg Remote Access. Gebruikershandleiding E-Zorg Remote Access. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) De eerste keer inloggen Pagina 2 4) Terminal Sessions Pagina 5 5) Gebruik vanaf Apple of Linux systemen

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Microsoft Outlook 2011 voor Mac instellen

Microsoft Outlook 2011 voor Mac instellen Microsoft Outlook 2011 voor Mac instellen Index Stap 1: Controleer of u de laatste versie heeft Stap 2: Voeg uw e-mailaccount toe Stap 3: Voer uw accountinformatie in Stap 4: Voer een naam en beschrijving

Nadere informatie

Instellingen voor de C100BRS4 met Wanadoo kabel Internet.

Instellingen voor de C100BRS4 met Wanadoo kabel Internet. Instellingen voor de C100BRS4 met Wanadoo kabel Internet. Algemeen: Maak gebruik van de laatste firmware voor de C100BRS4 die beschikbaar is op http://www.conceptronic.net! Use Firmware versie 3.20C or

Nadere informatie

Internet bankieren. Is bankieren via internet veilig?

Internet bankieren. Is bankieren via internet veilig? Internet bankieren Is bankieren via internet veilig? In de eerste plaats is veiligheid uw eigen verantwoordelijkheid: u moet toegangscodes (uw pincode of gebruikersnaam en wachtwoord) geheim houden, goed

Nadere informatie

Introduktie: Wireless Knowhow (Zie voor daadwerkelijke Wireless Sophisti netwerk koppeling de laatste 2 pagina s)

Introduktie: Wireless Knowhow (Zie voor daadwerkelijke Wireless Sophisti netwerk koppeling de laatste 2 pagina s) Introduktie: Wireless Knowhow (Zie voor daadwerkelijke Wireless Sophisti netwerk koppeling de laatste 2 pagina s) Om een apparaat als Sophisti op een beveiligd draadloos netwerk te kunnen gebruiken, moet

Nadere informatie

Vigor 2850 serie Dual PPPoA/PVC - RoutIT

Vigor 2850 serie Dual PPPoA/PVC - RoutIT Vigor 2850 serie Dual PPPoA/PVC - RoutIT PPPoA en NAT + PPPoA en routing RoutIT maakt gebruik van 2 keer PPPoA, waarbij de eerste PPPoA wordt gebruikt voor NAT en de tweede PPPoA wordt toegepast voor routing.

Nadere informatie