Beveiliging van VenWnet bij externe koppelingen

Maat: px
Weergave met pagina beginnen:

Download "Beveiliging van VenWnet bij externe koppelingen"

Transcriptie

1 Ministerie van Verkeer en Waterstaat Directoraat-Generaal Rijkswaterstaat Meetkundige Dienst Beveiliging van VenWnet bij externe koppelingen

2 Ministerie van Verkeer en Waterstaat Directoraat-Generaal Rijkswaterstaat Meetkundige Dienst Beveiliging van VenWnet bij externe koppelingen Opdrachtgever Directie Organisatie & Informatie drs. R.J. Kuiper Postbus EX Den Haag Opdrachtnemer RWS Meetkundige Dienst Afdeling IBI Postbus GA Delft Datum 13 mei 1997 Rapportnummer: MDIBI-9712

3 Focus van het onderzoek In januari 1996 is door de Meetkundige Dienst in opdracht van de Directie Organisatie & Informatie een onderzoek uitgevoerd, waarin de baseline beveiliging van VenWnet is vastgesteld. Voor het handhaven van deze baseline is het noodzakelijk de koppelingen met externe netwerken en inbelvoorzieningen uitsluitend via VenWnet te laten verlopen en deze adequaat te beveiligen. De Meetkundige Dienst heeft daarom aanvullend onderzoek uitgevoerd dat zich richt op de wijze waarop VenWnet gekoppeld kan worden aan externe (mogelijk niet-venw-) netwerken. Dit rapport is het resultaat van dat onderzoek. Conclusies Bij de interne beveiliging van VenWnet wordt gebruik gemaakt van een combinatie van organisatorische en technische maatregelen. Wanneer echter een koppeling wordt gemaakt tussen VenWnet en externe netwerken zal een groot deel van de organisatorische maatregelen niet langer doeltreffend zijn. Bij het beveiligen van deze koppeling zal de nadruk daarom liggen op technische maatregelen teneinde het interne netwerk af te schermen tegen bedreigingen van buitenaf. Een firewall is de belangrijkste technische maatregel voor het beveiligen van het koppelpunt tussen het interne en het externe netwerk. Het belangrijkste doel van een firewall is het voorkomen dat onbevoegden toegang krijgen tot (de informatie en diensten op) VenWnet en het detecteren van pogingen tot ongeautoriseerde toegang. Afhankelijk van de bedreiging die voorkomt uit koppeling met een specifiek netwerk, zal voor een bepaald type firewall worden gekozen. In het algemeen geldt dat naarmate een firewall meer bescherming biedt tegen bedreigingen uit het te koppelen netwerk, de transparancy (de mate waarin gebruikers en netwerkdiensten hinder ondervinden van de firewall) en performance (de mate waarin de aanwezigheid van de firewall vertraging in het netwerkverkeer oplevert) nadelig worden beinvloed. In dit rapport worden de verschillende typen firewalls en de mate van bescherming die zij bieden beschreven, en er wordt een aanbeveling gedaan over de wijze waarop de koppelingen het best gerealiseerd kunnen worden. Het uitgangspunt voor het beveiligingsmodel van VenWnet is het beveiligen van alle koppelingen tussen VenWnet en andere (zowel lokale als externe) netwerken. De bescherming op de koppelpunten wordt verzorgd door een firewall. Afhankelijk van de bedreigingen, die uit het gekoppelde netwerk kunnen voortkomen, wordt voor een bepaald type firewall gekozen. Voor de koppeling van het netwerk van een organisatie-onderdeel van VenW aan VenWnet wordt vanzelfsprekend voor andere type firewall gekozen dan bij de koppeling van een extern netwerk. Met name de koppeling met Internet vergt, vanwege de hoge mate van dreiging, een hoog niveau van bescherming. In hoofdstuk 8 van het rapport wordt het beveiligingsmodel van VenWnet uitgebreid beschreven.

4 Aanbevelingen Opwaarderen huidige firewall Vanwege de hoge mate van dreiging die van het Internet uitgaat, is de firewall die de koppeling tussen Internet en VenWnet verzorgt het belangrijkste aandachtspunt. Het verdient daarom de aanbeveling in een vervolgopdracht de huidige firewall tussen Internet en VenWnet conform de eisen uit dit rapport in te richten. Vervolgens kan een externe partij worden geselecteerd om de kwaliteit van de opgewaardeerde firewall aan de hand van dit rapport te toetsen. Toegestane protocollen Naast de beveiliging door middel van een firewall moet er voorzichtig worden omgesprongen met het gebruik van bepaalde protocollen, omdat deze gemakkelijk zijn te compromitteren. Het verdient daarom de aanbeveling voor de koppeling met het Internet slechts de volgende protocollen toe te staan: Uitgaand verkeer: Telnet, FTP, r-login, Xll, HTTP, gopher en NNTP; Ingaand verkeer: NTP, Secure Telnet, Secure Shell, anonymous-ftp en HTTP (de laatste twee alleen met zogenaamde 'publieke servers', die op het perimeter netwerk zijn geplaatst en niet op het VenWnet zelf); Bidirectioneel verkeer: DNS en SMTP. Koppelingen aan externe netwerken Uitgangspunt van het beveiligingsmodel is dat alle koppelingen tussen VenWnet en externe netwerken adequaat beveiligd zijn. Op deze wijze wordt een basis beveiligingsniveau (baseline) van VenWnet gecreeerd. Een onvoldoende beveiligde koppeling met een 'onveilig' netwerk, heeft tot gevolg dat VenWnet als geheel 'onveilig' wordt. Het verdient daarom de aanbeveling inbelvoorzieningen en koppelingen met andere netwerken met de centraal opgezette voorzieningen van VenWnet (met vastgesteld en te controleren beveiligingsniveau) te realiseren. Beveiliging van hostsystemen en netwerkdiensten Een firewall biedt geen bescherming tegen 'interne' bedreigingen, de bedreigingen die binnen VenWnet zelf ontstaan. Ook biedt een firewall geen bescherming tegen bedreigingen op netwerkprotocollen die door de firewall zijn toegestaan. Een firewall is daarom geen reden om de beveiliging van de netwerkdiensten en hostsystemen op VenWnet te verwaarlozen. Hostsystemen en netwerkdiensten op VenWnet dienen adequaat beveiligd te zijn. Gebruik van virusscanners Een firewall biedt (over het algemeen) geen bescherming tegen virussen en Trojaanse paarden die door de firewall heen kunnen worden opgehaald. Ook op andere wijzen kunnen systemen en applicaties op VenWnet worden geinfecteerd. Het gebruik van virusscanners op het netwerk en werkplekken is noodzakelijk om het risico van virusinfectie te beperken.

5 Beveiliging van het VenWnet bij externe koppelingen RW. ten Wolde Pinewood Automatisering B V Delft

6 Samenvatting Doel van het onderzoek In navolging op een eerder uitgevoerde opdracht door BSO [Hoo96] waarin de baseline beveiliging van het VenWnet wordt vastgesteld, richt dit onderzoek zich op de netwerkbeveiliging van het VenWnet wanneer dit gekoppeld gaat worden aan externe (mogelijk niet-venw) netwerken. Bedreigingen in de netwerksfeer Bedreigingen vanuit het netwerk die de integriteit, exclusiviteit en beschikbaarheid van de VenW telematicadiensten en data op het VenWnet kunnen aantasten zijn terug te voeren op onderstaande oorzaken: slecht beheerde, en daardoor slecht beveiligde, systemen; aftappen van het netwerk, waardoor onbevoegden met de netwerkdatastroom kunnen meekijken of deze kunnen bei'nvloeden; inherent onveilige applicatieprotocollen door het ontbreken van - of een te zwakke vorm van - toegangscontrole (authenticatie); manipulatie van netwerkprotocollen (op zowel datalink-, netwerk-, transport- en applicatieniveau); opzettelijke overbelasting van het netwerk en uitputting van netwerk gebaseerde systeemresources, waardoor diensten (tijdelijk) kunnen uitvallen; bedreigingen die nog niet onderkend worden of nog niet algemeen bekend zijn en later een rol kunnen gaan spelen. Een bijkomend aspect van bedreigingen in de netwerksfeer is dat indringers vaak onzichtbaar zijn en op grote afstand een aanval kunnen inzetten. Meestal zijn aanvallen moeilijk te detecteren en is de indringer achteraf zeer moeilijk te traceren. Algemene beveiliging van netwerken Bij de beveiliging van interne netwerken (LANs) wordt gebruik gemaakt van een combinatie van technische en organisatorische maatregelen. Technische maatregelen dwingen een veiiig gebruik van de IT-middelen af. Om wille van de werkbaarheid van IT-sy stemen worden vaak met opzet te nemen technische maatregelen achterwege gelaten en wordt de beveiliging gebaseerd op aanvullende organisatorische maatregelen. Deze kunnen bijvoorbeeld bepaalde werkwijzen verbieden. Op ontduiking van de regels staan sancties. Tenslotte geldt voor een intern netwerk, dat dit fysiek is afgeschermd en dat het personeel dat toegang heeft tot het netwerk aan een toegangscontrole is onderworpen. Wanneer een koppeling wordt gemaakt tussen het interne netwerk en een extern netwerk, zullen een groot deel (zo niet alle) organisatorische maatregelen niet langer doeltreffend zijn. Dit effect wordt sterker naar mate de eigen organisatie minder invloed kan uitoefenen op het beheer en de gebruikers van het externe netwerk. Bij het koppelen van externe netwerken zal de nadruk van de beveiliging daarom op technische hulpmiddelen komen te liggen. Een zeer effectieve technische maatregel is het eigen netwerk zo veel mogelijk af te schermen van het externe netwerk door middel van het plaatsen van een netwerk firewall systeem.

7 vi Firewalls Een firewall is een verzameling netwerkcomponenten die tezamen een beveiligde en controleerbare koppeling tussen een intern en extern netwerk vormt, waarbij het interne netwerk beveiligd wordt tegen bedreigingen uit het externe netwerk. De belangrijkste doelstellingen van een firewall zijn: het zoveel mogelijk afschermen van het interne netwerk tegen toegang (lees: netwerk-verkeer) vanaf het externe netwerk. Dit echter met behoud van de gewenste functionaliteit. Dat wil zeggen dat slechts bepaalde veilige netwerkprotocollen worden toegestaan door de firewall. vertragend werken bij een eventuele aanval door een indringer vanaf het externe netwerk.. detectie van een aanval op het interne netwerk of op het beveiligingssysteem zelf. In combinatie met de vertragende werking moet een aanval vroegtijdig verijdeld worden. vastleggen van alle activiteiten in log files zodat een (half uitgevoerde) aanval achteraf zo goed mogelijk is te analyseren en eventueel de identiteit van de indringer is vast te stellen. Een goed ingerichte firewall zal een groot deel van de netwerkbedreigingen wegnemen. Bedreigingen waartegen een firewall geen bescherming biedt zijn: bedreigingen die ontstaan ten gevolge van netwerkverbindingen die buiten de firewall om lopen. bedreigingen die van binnen het interne netwerk ontstaan. door de firewall binnengehaalde virussen en trojan-horses. bedreigingen op netwerkprotocollen die door de firewall zijn toegestaan. geheel nieuwe en nu nog onbekende bedreigingen. Een firewall levert dus een belangrijke bijdrage in de beveiliging van het interne netwerk maar is geen excuus voor het verwaarlozen van de interne beveiliging van hostsystemen en netwerkdiensten. Daarnaast moet een verstandige keuze worden gemaakt in welke netwerkprotocollen door de firewall van en naar het externe netwerk zijn toegestaan. Sommige protocollen zijn te gevaarlijk om doorgelaten te worden. Criteria bij het kiezen van een firewall Er bestaat een ruime keuze in de opbouw en inrichting (de architectuur) van een firewall. Welk type firewall op een gegeven moment moet worden ingezet bij het beveiliging van een intern netwerk, hangt af van onderstaande factoren: de mate waarin de firewall het interne netwerk afschermt (en dus beveiligt) tegen bedreigingen uit het externe netwerk. de kwaliteit van de firewall zelf (in hoeverre is de beveiliging zelf bestand tegen aanvallen). de controleerbaarheid van de beveiliging (op welke wijze en in welke mate kan worden vastgesteld dat het beveiligingssysteem correct werkt). de functionaliteit van de netwerkkoppeling (welke netwerkprotocollen worden door de firewall doorgelaten en welke zijn om beveiligings-technische redenen afgesloten). de transparancy van de firewall (in hoeverre ondervinden telematicadiensten en gebruikers van het netwerk hinder van de aanwezige firewall). de performance van de firewall (wat is het verlies in performance ten gevolge van het inzetten van een firewall).

8 Vll de kosten van de beveiliging. Veelal zijn de gewenste eisen in conflict met elkaar en zal een keuze gemaakt moeten worden voor het type firewall en de configuratie ervan. Er bestaat dus geen 'beste firewall' voor iedere situatie. Beveiligingsmodel van het VenWnet Bij de beveiliging van het VenWnet is uitgegaan van het opdelen van het gehele netwerk in kleinere delen die onderling tegen elkaar beschermd worden door het plaatsen van een beveiligde koppeling in de vorm van een firewall. De basis van het VenWnet wordt gevormd door de backbone. Hierop zijn de afzonderlijke dienstonderdelen van VenW aangesloten. Daarnaast is de backbone gekoppeld aan externe netwerken van organisaties die niet tot VenW behoren (bijvoorbeeld het RCC-net en het Internet). Het beveiligingsmodel gaat uit van het creeren van een basisbeveiliging van de backbone door de koppeling met externe netwerken zeer goed te beveiligen, waarbij de transparency en flexibiliteit van de koppeling van ondergeschikt belang is. De koppeling van ieder dienstonderdeel met de backbone vindt plaats door middel van een firewall waarbij een hogere prioriteit is gegeven aan de flexibiliteit en transparancy, zodat de telematicadiensten tussen verschillende dienstonderdelen zo min mogelijk gehinderd worden door de aanwezigheid van firewalls. De kwaliteit van de beveiliging van deze koppelpunten is lager dan theoretisch mogelijk, maar de bedreigingen uit de backbone zijn laag vanwege de hierop aanwezige basisbeveiliging. Koppeling naar het Internet De koppeling naar het Internet eist, in verband met de hoge mate van bedreigingen, een uitzonderlijk goede beveiliging. De firewall is gekozen met kwaliteit en controleerbaarheid als belangrijkste criteria. De overige eisen (functionaliteit, transparancy, performance en kosten) spelen een ondergeschikte rol.

9 VIII

10 Inhoud Samenvatting v 1 Inleiding 1 2 Netwerkbeveiliging Classificatie van bedreigingen Netwerkbeveiligingsmodel Afwegingen bij beveiligingsmaatregelen Algemeen toepasbare beveiligingsstrategieen 11 3 Overzicht VenWnet 15 4 Afhankelijksheidsanalyse VenWnet 17 5 Betrouwbaarheidseisen VenWnet 19 6 Overzicht van bedreigingen in de TCP/IP protocolfamilie en generieke maatregelen Het netwerk (OSI: physical and datalink layers) Network sniffing op datalink niveau ARP spoofing Network jamming Het IP en ICMP (OSI: network layer) Sniffing op IP laag IP source address spoofing IP source routing IP flooding IP forwarding IP fragmentatie Tiny fragments 28 ix

11 Reassembly attacks ICMP aanvallen 3 f J ICMP destination unreachable 3q ICMP source quench ICMP redirects ICMP router advertisement ICMP address mask reply Routing Protocollen UDP en TCP (OSI: transport layer) UDP and TCP port flooding UDP and TCP reserved ports TCP initial sequence number prediction TCP session hijacking 3g 6.4 De applicatieprotocollen (OSI: application layer) Telnet FTP 3? TFTP 3 g SMTP ( ) 3 g DNS R-utils NTP SNMP A n Finger ^ XI HTTP NNTP RPC NIS NFS A Leverancier specifieke protocollen Overigen ^ Netwerkbeveiliging door middel van een firewall Definitie firewall A n Beveiligingsmogelijkheden van een firewall 47

12 xi Doel van een firewall Waartegen biedt een firewall geen bescherming Invloed van een firewall op het netwerk Firewall technieken Network layer firewalls (IP packet filters) Statische IP packet filters Dynamische IP packet filters Application layer firewalls (proxy systemen) Bastion hosts Basis firewall architecturen Screened network Screened host Screened subnet Dual-homed bastion host 59 8 Beveiligingsmodel voor VenWnet bij koppeling met externe netwerken Koppeling van intern netwerk met de VenWnet backbone Koppeling van het VenWnet met het Internet Koppeling van het VenWnet met overige externe netwerken Virtual private networks 66 9 Kwetsbaarheidsanalyse VenWnet Kwetsbaarheidsanalyse van applicatie-protocollen Kwetsbaarheidanalyse van network layer firewall architecturen Screened network architectuur op basis van een statisch packet filter Screened network architectuur op basis van een dynamisch packet filter Kwetsbaarheidanalyse van application layer firewall architecturen Screened host architectuur Screened subnet architectuur Dual-homed bastion host architectuur Conclusies 79 A Lijst van afkortingen 81 Bibliografie 83

13 Xll 1996, Pinewood Automatisering B.

14 Hoofdstuk 1 Inleiding Probleemstelling Eind 1995 heeft een onderzoek plaatsgevonden naar de baseline beveiliging van het VenWnet. Dit onderzoek is uitgevoerd door BSO en gedocumenteerd in [Hoo96]. Het zwaartepunt van dit onderzoek ligt voornamelijk bij de interne beveiliging van het VenWnet in het geheel. De Meetkundige Dienst (MD), onderdeel van Verkeer en Waterstaat, heeft aan Pinewood Automatisering opdracht gegeven een vervolgonderzoek in te stellen. Hierin moet duidelijk worden aan welke eisen een netwerkkoppeling tussen het VenWnet en een extern netwerk moet voldoen. Vanwege de hoge mate van autonomiteit van een enkele VenW dienstonderdeel met betrekking tot de netwerkbeveiliging ten aanzien van het VenWnet, is tevens onderzocht op welke wijze een onderdeel van VenW gekoppeld moet worden aan de VenWnet backbone zelf. Onderzoeksmethodiek De in dit onderzoek gehanteerde A&K methodiek is conform het op het VIR gebaseerde beleid voor Informatie beveiliging van VenW ([Min94] en [Min95]). In het kort doorloopt deze methodiek vijf afzonderlijke stappen: 1. In de afhankelijkheidsanalyse worden de afhankelijkheden van IT middelen voor de VenW organisatie in kaart gebracht. 2. Hieruit volgen betrouwbaarheidseisen ten aanzien van de criteria beschikbaarheid, integriteit en exclusiviteit van IT middelen. 3. De bedreigingen op eerder genoemde criteria van IT middelen worden vastgesteld. 4. Hierna wordt een set van maatregelen gekozen met als doel de bedreigingen af te schermen teneinde aan de betrouwbaarheidseisen te kunnen blijven voldoen. Dit is een iteratief proces waarbij onder andere een evenwicht moet worden gevonden tussen de mate van inspanning en het veiligstellen van de IT middelen. 5. In de kwetsbaarheidsanalyse wordt getoetst of de gekozen maatregelen in voldoende mate de bedreigingen afschermen. Daarna kan het informatiebeleid worden bijgesteld en kunnen de maatregelen worden gei'mplementeerd. Dit is nog eens weergegeven in figuur

15 2 1. Inleiding Bedreigingen Keuze van maatregelen Maatregelen Inform aliebeveiligingsbeleid Afhankelijkheidsanalyse Betrouwbaarheidseisen Kwetsbaarheidsanalyse Bijstellen beleid Uitvoeren maatregelen Bijstellen budget Figuur 1.1: De A&K analyse in beeld. Structuur van het rapport De structuur van het rapport volgt in grote lijnen de afzonderlijke fasen van de A&K analyse, alhoewel 6 V O l 8 Z ^ l 7 r d e i S a f 8 e w e k e n D i t i s - gedaan om de noodzakelijke achtergrond kennis omtrent bedre.gmgen en eventueel te nemen maatregelen te presenteren. Voorafgaand aan de A&K analyse TThnnrnT Ve T C i l g C g e V e n d C S p e d f i e k e P r o b l <* van netwerkbeveiliging (hoofdstuk 2) oofdsen LTch r m e n t l e a r C h i t e C t U U r h C t V C n W n e t, ^ teerd. D* volgende drie hoofdstukken beschrijven de eerste dne stappen van de A&K analyse: de afhankelijkheidsanalyse de d e Sti.! ) e d r e i g i n g C n d i e e e " netwerkkoppeling met zich meebrengt. Een belangrijk huhpmiddel bi, netwerkbeveihging is de zogenaamde firewall. Alvorens in hoofdstuk 8 het gekozen L w n. 8 S vth ""I 6 " t C Z e " e n ' 22t A&K T " " n 3 d e l e n ^ W r d t C e r S t " h C t V 0 r^ a n d e h o o «een overzicht geschetst van de in hoofdstuk 9 de A&K analyse voortgezet met de kwetsbaarheidsanalyse. V C r S C h i l I e n d e t y P C n fircwai1s ( h 0 f d S t U k? ) T e n s l» e W O r d t Beperkingen Er is in dit onderzoek slrikt gekeken naar de netotrk-mlmische aspecten bij he. gebruik van TCP/IP ond^t7p g rote n e " k 0 P P e " n g e n ' «* «n=.w«rkb«vei^i 8 zijn in d i t

16 3 Terminologie De meeste standaard werken over firewalls en netwerkbeveiliging zijn in de Engelse taal geschreven. Er is met opzet voor gekozen om de in dit rapport gebruikte terminologie niet naar het Nederlands te vertalen. Een lijst van gebruikte afkortingen is opgenomen in appendix A. Daar waar het persoonlijk voornaamwoord 'hem' of 'zijn' gebruikt wordt moet vanzelfsprekend 'hem of haar' respectievelijk 'zijn of haar' gelezen worden.

17 1. Inleiding

18 Hoofdstuk 2 Netwerkbeveiliging Netwerkbeveiling behelst het beveiligen van data, hostsystemen en applicaties waarbij bedreigingen ontstaan vanuit het netwerk. De door de Meetkundige Dienst gehanteerde begrippen ten aanzien van de beveiliging zijn (uit [Min94]): exclusiviteit de mate waarin toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden; integriteit de mate waarin een informatiesysteem zonder fouten is; beschikbaarheid de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft. Bij netwerkbeveiliging gaat het om het handhaven van de exclusiviteit, de integriteit en beschikbaarheid van data welke is opgeslagen op hostsystemen of wordt getransporteerd over het netwerk. Daarnaast moet de integriteit en beschikbaarheid van de hostsystemen zelf en de daarop draaiende netwerkdiensten worden beschermd. Voorwaarde voor de beschikbaarheid van eerder genoemde data, hostsystemen en applicaties is de beschikbaarheid van het netwerk zelf. Bij netwerkbeveiliging gaat het om het minimaliseren van de risico's die voortvloeien uit de bedreigingen. Een 100% zekere beveiliging bestaat niet. Het gaat erom in te zien aan welke bedreigingen een netwerk bloot wordt gesteld bij koppeling aan een ander netwerk en hoe deze bedreigingen zo goed mogelijk afgeschermd kunnen worden. Speciale aandacht moet worden besteed aan het controleren of een eventuele aanval plaats vindt op basis van de minder goed af te schermen bedreigingen. 2.1 Classificatie van bedreigingen Bedreigingen kunnen in verschillende klassen worden ingedeeld: uitlekken van informatie, denial-of-service aanvallen, aanvallen op hostsystemen, falen van authenticatiemechanismen, falen van netwerkprotocollen en 5

19 6 2. Netwerkbeveiliging overige bedreigingen. Uitlekken van informatie Met het uitlekken van data op een netwerk wordt bedoeld het aftappen van het netwerk om op die wijze confidents data te verkrijgen. Dit aftappen, ook wel network sniffing genoemd, hoeft niet op het fysieke interne netwerk plaats te vinden, maar kan op ieder willekeurig netwerk waarover IP-verkeer tussen twee hosts wordt uitgewisseld. Door in te grijpen op de IP routeringsregels kan dit verkeer zelfs omgeleid worden om zodoende over een voor een computervandaal toegankelijk netwerk gerouteerd te worden. Bij network sniffing is de exclusiviteit van de getransporteerde data in gevaar. Een bijzondere vorm van confidence data die op die wijze in verkeerde handen kan vallen zijn authenticatiegegevens. Dit zijn bijvoorbeeld passwords die in onversleutelde vorm over het netwerk worden verstuurd wanneer gebruikers ot clients inloggen op serverapplicaties. Algemene maatregelen ter voorkoming van network sniffing zijn het fysiek beveiligen van het gehele netwerk waarover het verkeer tussen twee IP hosts loopt, inclusief alle andere gekoppelde netwerken waarover IPverkeer gerouteerd kan worden. Hierbij moet de beheer-organisatie volledige controle hebben over alle aangesloten hostsystemen en eventueel nieuw aan te sluiten systemen. Netwerk sniffing programmatuur mag met ter beschikking staan aan onbevoegden en er mogen niet ongecontroleerd (nieuwe) hostsystemen worden aangesloten op het netwerk. In het geval er niet aan deze eis kan worden voldaan, moeten in ieder geval de authenticatiegegevens versleuteld verstuurd worden. Wanneer de data zelf confidentieel is, moet ook deze in versleutelde vorm over het netwerk getransporteerd worden. Denial-of-service aanvallen Denial-of-service aanvallen bedreigen de beschikbaarheid van het gehele netwerk, afzonderlijke hostsystemen of netwerkdiensten en daarmee de beschikbaarheid van opgeslagen of te transporteren data. Dit soort aanvallen kan plaatsvinden vanaf iedere host die in staat is op IP-niveau een netwerk, host of netwerkdienst te benaderen. De enige vorm van beveiliging tegen denial-of-service aanvallen is het isoleren dan wel afschermen van een netwerk, host of netwerkdienst van IP-verkeer dat van buiten het eigen, gecontroleerde netwerk komt. Aanvallen op hostsystemen Iedere host die via het netwerk (IP-laag) is te benaderen, is kwetsbaar voor aanvallen op het systeem zelf Hierbij gaat het om het ongeautoriseerd toegang verkrijgen tot de host en de opgeslagen data of bepaalde netwerkdiensten. Dit soort aanvallen is ofwel gebaseerd op het falen van het authenticatieproces of maakt misbruik van bugs in netwerkservers die op de host actief zijn. Bij compromittatie van een host of netwerkdienst is er in het ergste geval een potentieel verlies van de exclusiviteit integriteit en beschikbaarheid van alle opgeslagen data. Tevens is de integriteit en de beschikbaarheid van het gecompromitteerde systeem met alle hierop draaiende applicaties in gevaar. Algemene beveiligingsmaatregelen zijn: het zo veiiig mogelijk configureren van iedere host die op netwerk niveau is te benaderen door systemen die buiten de controle-sfeer van de eigen organisatie vallen, dan wel het afschermen van deze hosts op netwerk niveau; de kans dat een systeem gecompromitteerd wordt is kleiner, als dat systeem met vanaf een extern netwerk benaderd kan worden. Falen van authenticatiemechanismen Authenticatie is het proces van het vaststellen van de identiteit van een persoon of client, die toegang vraaet tot een bepaalde netwerkservice. Er zijn verschillende vormen van authenticatie-

20 2.1. Classificatie van bedreigingen 7 Geen Er vindt geen authenticatie plaats en toegang wordt verleend op basis van anonimiteit. Ieder systeem dat een netwerkverbinding met de host of applicatie kan maken, kan toegang verkrijgen tot de dienst. Hostauthenticatie Authenticatie is gebaseerd op de identiteit van een host. Deze wordt afgeleid uit de hostnaam, het IP-adres of wordt op cryptografische wijze verkregen. Eventueel wordt de authenticatie mede gebaseerd op de user-identiteit van het aanroepende proces (in Unix de UID/GID combinatie). Hierbij wordt verondersteld dat dezelfde persoon een gelijke numerieke UID/GID combinatie heeft op beide systemen. Userauthenticatie Authenticatie voor een individuele gebruiker. Deze vorm maakt meestal gebruik van een password (geheime informatie) die aan de serverapplicatie moet worden aangeboden alvorens toegang kan worden verkregen. Wanneer dit password onversleuteld over het netwerk wordt verstuurd en het netwerk zelf kan worden afgeluisterd, bestaat het risico dat het password in verkeerde handen valt. Een methode om bescherming te bieden tegen het afluisteren van onversleutelde passwords over het netwerk wordt verkregen met zogenaamde one-time password systemen, zoals S/Key, SecurelD en Enigma. Een andere aanpak is gebruik te maken van cryptografische authenticatie waarbij alle authenticatiedata versleuteld over het netwerk wordt getransporteerd. Hierbij kan het sleutelbeheer (Engels: key management) een probleem zijn. Authenticatie kan op verschillende manieren falen: Een netwerkdienst die geen authenticatie vereist, verschaft confidentiele data of de integriteit van de applicatie is anderszins in het geding. Hostauthenticatie vindt plaats op basis van de hostnaam of het IP adres. Beiden kunnen gemakkelijk gespoof'd worden (zie paragrafen en 6.4.5). Er vindt authenticatie plaats op basis van UID/GID, maar deze zijn voor een bepaalde gebruiker niet gelijk op het client- en serversysteem. Ook kan het UID/GID gemakkelijk gespoof'd worden. Er vindt userauthenticatie plaats op basis van een password dat onversleuteld over het netwerk wordt getransporteerd Dit kan worden afgeluisterd middels network sniffing. Er vindt authenticatie plaats op basis van passwords of encryptiesleutels en deze zijn op enigerlei wijze in verkeerde handen gevallen. Authenticatie vindt initieel plaats aan het begin van een TCP-sessie. Door middel van TCP session hijacking kan een derde de sessie (en hiermee de identiteit van de oorspronkelijke client) overnemen. Bij cryptografische authenticatie verreweg de meeste veilige vorm kan de distributie en het beheer van de sleutels een probleem zijn. Wanneer de authenticatie faalt zijn de gevolgen ten aanzien van de exclusiviteit, integriteit en beschikbaarheid van het netwerk, de data, hostsystemen en applicaties catastrofaal. Falen van netwerkprotocollen Een laatste vorm van bedreiging is het falen van de netwerkprotocollen zelf. Door inherente ontwerpfouten of door een slechte implementatie van een protocol kunnen bedreigingen ontstaan. Een goed voorbeeld hiervan is 'TCP initial sequence number prediction', beschreven in paragraaf

21 8 2. Netwerkbeveiliging Overige bedreigingen Overige bedreigingen die niet in een van bovenstaande classificaties zijn in te delen, zijn: Aanvallen op het beveiligingssysteem zelf. De kwaliteit van het beveiligingssysteem zelf bepaalt in belangrijke mate in hoeverre dit is beschermd tegen bedreigingen. Aanvallen op subsystemen ter ondersteuning van een eerder geclassificeerde bedreiging. Een aanval wordt vaak ondersteund door het misleiden van andere onderdelen van de beveiliging of van het netwerk. Aanvallen op encryptiesystemen. Wanneer encryptie is gebaseerd op een te klein aantal bits in het versleutel-algorithme, kan deze door brute rekenkracht worden gebroken. Ook een slecht sleutelbeheer (Eng: key management) kan de oorzaak zijn van compromittatie van encryptiesystemen, wanneer de geheime sleutels in verkeerde handen vallen. Tenslotte is er altijd een overblijvende groep van nieuwe, nog onbekende bedreigingen. Algemene aanwijzingen Wanneer de onderstaande richtlijnen worden gehanteerd bij het ontwerpen van nieuwe netwerkapplicaties, valt een groot deel van de eerder genoemde bedreigingen automatisch weg: Wantrouw in principe iedere vorm van informatie die over het netwerk wordt aangeboden. Voorkom het in oversleutelde vorm versturen van authenticatiedata. Maak gebruik van onetime password systemen, zoals S/Key, SecurelD of Enigma. Eventueel kan voor cryptografische authenticatie gekozen worden, waarbij alleen versleutelde authenticatiedata over het netwerk wordt getransporteerd. Maak geen gebruik van zwakke hostauthenticatie op basis van onder andere de hostnaam, het IP source adres, UID/GID combinatie, enzovoorts. In plaats hiervan moet cryptografische hostauthenticatie gebruikt worden. Maak gebruik van end-to-end point encryptie voor de datastroom. onbeveiligd netwerk is dan altijd mogelijk. Veiiig transport over een Maak gebruik van end-to-end point encryptie voor TCP sessies die initieel de sessie authenticeren. Dit voorkomt het falen van de authenticatie ten gevolge van TCP session hijacking. Helaas voldoen de meest gebruikte standaard protocollen en netwerkservices niet aan deze richtlijnen, zodat extra beveiligingsmaatregelen noodzakelijk zijn. Tegenwoordig raakt men meer doordrongen van de eisen die aan moderne netwerkapplicaties gesteld worden en zijn nieuwe protocollen standaard voorzien van cryptografische authenticatie en end-to-end point dataencryptie. Voorbeelden hiervan zijn de nieuwe 'secure Telnet' (stel(i)), een vervanger voor Telnet en de 'secure shell' (ssh(l)), een vervanger voor de Berkeley r-utilities. 2.2 Netwerkbeveiligingsmodel De wijze waarop bedreigingen vanuit een extern gekoppeld net worden afgeschermd kan op verschillende manieren gebeuren. Geen beveiliging Alleen indien de kosten van een beveiliging niet opwegen tegen de bedreigingen, of wanneer deze zeer laag worden ingeschat dan wel afwezig zijn, kan gekozen worden voor een volledige en onbeveiligde koppeling met een extern netwerk. Op deze optie wordt verder niet ingegaan.

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Firewallpolicy VICnet/SPITS

Firewallpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Firewallpolicy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd

Nadere informatie

Part 17-A INTERNET: basisbegrippen techniek & beveiliging

Part 17-A INTERNET: basisbegrippen techniek & beveiliging Part 17-A INTERNET: basisbegrippen techniek & beveiliging Fridoline van Binsbergen Stierum KPN AUDIT vrije Universiteit amsterdam 7 April 2003 File 17-A Internet techniek & beveiliging 2003 Programma PROGRAMMA

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Computernetwerken Deel 2

Computernetwerken Deel 2 Computernetwerken Deel 2 Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryp>e: gegevens verbergen Firewall Waarom? Filteren van pakkeben Wildcard mask: omgekeerd subnetmasker

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

CompuDiode. Technical whitepaper 2015. ICS / SCADA Security. Nederlands

CompuDiode. Technical whitepaper 2015. ICS / SCADA Security. Nederlands CompuDiode Technical whitepaper 2015 ICS / SCADA Security Nederlands Hackers slagen er steeds vaker in om.gevoelige bedrijfsdata.te stelen, manipuleren.en te verwijderen // ICS / SCADA security Vitale

Nadere informatie

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8 Inhoudsopgave Inhoudsopgave... 2 1 mpix VPN... 3 2 Productbeschrijving... 4 2.1 mpix en IP-VPN... 5 2.2 Kwaliteit... 7 2.3 Service

Nadere informatie

Revisie geschiedenis. [XXTER & KNX via IP]

Revisie geschiedenis. [XXTER & KNX via IP] Revisie geschiedenis [XXTER & KNX via IP] Auteur: Freddy Van Geel Verbinding maken met xxter via internet met de KNX bus, voor programmeren of visualiseren en sturen. Gemakkelijk, maar niet zo eenvoudig!

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

Infosessie Systeembeheerders. 26 juni 2002. VPN aan de KULeuven

Infosessie Systeembeheerders. 26 juni 2002. VPN aan de KULeuven Infosessie Systeembeheerders VPN aan de KULeuven Doel (1) vertrouwelijke informatie ter beschikking stellen van 'KUL-vreemde' netwerken thuiswerkers mobiele gebruikers externe contracten kotnet constante

Nadere informatie

E-mail, SMTP, TLS & S/MIME

E-mail, SMTP, TLS & S/MIME E-mail, SMTP, TLS & S/MIME Inhoudsopgave Inhoudsopgave... 2 1. Inleiding... 3 1.1. E-mail via het internet... 3 2. E-mail transport... 4 2.1. Kwetsbaarheden van het e-mail transport via het internet...

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

IP/LAN dienst Aansluitpolicy VICnet/SPITS

IP/LAN dienst Aansluitpolicy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van

Nadere informatie

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565) Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565) Indien de ADSL router en computer correct zijn aangesloten en u via de computer toegang heeft tot het internet, kan het configuratie menu van de

Nadere informatie

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Schrijver: Hans Heising 24-07-2008 Copyright RAM Mobile Data B.V. 1 Copyright RAM Mobile Data B.V. 2 Inhoudsopgave Mobiele datacommunicatie

Nadere informatie

Hoofdstuk 15. Computernetwerken

Hoofdstuk 15. Computernetwerken Hoofdstuk 15 Computernetwerken 1 Figuur 15.1: Bustopologie. Figuur 15.2: Stertopologie. Figuur 15.3: Ringtopologie. Transport layer Network layer Datalink layer Physical layer OSI model 4 3 2 1 TCP IP

Nadere informatie

Inhoud Het netwerk verkennen 1 2 Confi gureren van het IOS 41

Inhoud Het netwerk verkennen 1 2 Confi gureren van het IOS 41 v Inhoud 1 Het netwerk verkennen 1 1.1 Netwerk-resources 1 1.1.1 Netwerken van verschillende grootten 1 1.1.2 Clients en servers 2 1.1.3 Peer-to-peer 3 1.2 LAN s, WAN s en Internet 4 1.2.1 Netwerkcomponenten

Nadere informatie

Vervolg: Uw Machines integreren in een bestaand netwerk?

Vervolg: Uw Machines integreren in een bestaand netwerk? Vervolg: Uw Machines integreren in een bestaand netwerk? Op 26 maart jl. heb ik tijdens het Industrial Ethernet Event in het Evoluon een presentatie mogen geven over hoe je op een veilige en efficiënte

Nadere informatie

Edegem, 8 juni 2010. PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010

Edegem, 8 juni 2010. PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link. De PROFIBUS, PROFINET & IO- Link dag 2010 Edegem, 8 juni 2010 PROFIBUS Belgium VZW PROFIBUS, PROFINET & IO-Link De PROFIBUS, PROFINET & IO- Link dag 2010 Security bij Profinet - inhoudstabel 2 1. 2. Intro What is security? 3. Why security? 4.

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

NAT (Network Address Translation)

NAT (Network Address Translation) Technical Note #019 Auteur: Olaf Suchorski Gemaakt op: 11 juli 2000 Bijgewerkt op: 11 juli 2000 NAT (Network Address Translation) In deze Technical Note worden de meest voorkomende situaties met NAT doorgelicht.

Nadere informatie

Installatierichtlijn routers, alarmering i.v.m. Pin verkeer

Installatierichtlijn routers, alarmering i.v.m. Pin verkeer Installatierichtlijn routers, alarmering i.v.m. Pin verkeer Inhoud 1. Inleiding 3 2. Beveiliging in combinatie met ander gebruik van de router 4 3. Configureren van de router 4 3.1. Gecertificeerd netwerk

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

De Nationale Wasstraat (NaWas)

De Nationale Wasstraat (NaWas) De Nationale Wasstraat (NaWas) Donderdag 18 juni 2015 Copyright NBIP - 2015 1 Introductie BIT (kleine ISP / datacenter in Ede) NBIP (cooperatief shared service center voor ISP s) Contact: alex@bit.nl Donderdag

Nadere informatie

Verborgen gebreken in de defence in depth theorie

Verborgen gebreken in de defence in depth theorie Verborgen gebreken in de defence in depth theorie Iedere beveiligingsprofessional kent waarschijnlijk het schillenconcept. Dit staat bekend onder verschillende benamingen zoals defence in depth of layers

Nadere informatie

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer

Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer PIN B.V. BIJLAGE J Rules & Regulations bepalingen Generieke eisen ten aanzien van datacomnetwerken voor het transport van het PINbetalingsverkeer Versie : 3.2 Datum : januari 2009 Inhoudsopgave 1 Inleiding...

Nadere informatie

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact 1 Security: Laat je inspireren en neem actie! Brecht Schamp Network & Security Specialist Phoenix Contact 2 Security Auditor tijdens Blackhat 2006 Source: David Maynor & Robert Graham, Internet Security

Nadere informatie

Hoofdstuk 15. Computernetwerken

Hoofdstuk 15. Computernetwerken Hoofdstuk 15 Computernetwerken 1 Figuur 15.1 Bustopologie Figuur 15.2 Stertopologie Figuur 15.3 Ringtopologie isolatie kern afscherming Figuur 15.4 Coaxkabel Figuur 15.5 Tweeaderige UTP Coating Core Cladding

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Dienstbeschrijving Diginetwerk

Dienstbeschrijving Diginetwerk Dienstbeschrijving Diginetwerk Versie 1.2 Datum 4 oktober 2010 Status Definitief Colofon Projectnaam Diginetwerk Versienummer 1.2 Organisatie Logius Service Management servicecentrum@logius.nl Bijlage(n)

Nadere informatie

CBizz Dienstbeschrijving Cogas Footprint

CBizz Dienstbeschrijving Cogas Footprint CBizz Dienstbeschrijving Cogas Footprint Diensten: CBizz Office Versie 1.0 2014 Inhoud 1. Inleiding... 3 1.1 Dienstbeschrijving... 3 1.2 Doelgroep... 3 2. Opbouw van CBizz office... 4 2.1 Toegang tot het

Nadere informatie

Voorbeelden generieke inrichting Digikoppeling

Voorbeelden generieke inrichting Digikoppeling Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

NETWERKOPLOSSINGEN. IP Private Network. IPSEC Virtual Private Network. Metro Ethernet Connect

NETWERKOPLOSSINGEN. IP Private Network. IPSEC Virtual Private Network. Metro Ethernet Connect NETWERKOPLOSSINGEN IPSEC Virtual Private Network IP Private Network Metro Ethernet Connect Signet Netwerkoplossingen OP MAAT GEMAAKTE OPLOSSINGEN VOOR KLEINE, GROTE OF COMPLEXE NETWERKEN Wanneer u op zoek

Nadere informatie

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen.

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen. Bijlage 6 Classificatie van beveiligingsrisico s Dit document zorgt voor grotere bewustwording in de gehele organisatie door te benoemen en te registreren welke informatie als vertrouwelijk, intern of

Nadere informatie

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014 Aanpak A58 security issues Door P. Goossens, 31 oktober 2014 Het PCP A58 Spookfile project Security, wat is dat en delen we hetzelfde beeld? Security aanpak > Analyse High Level Architecture > Over The

Nadere informatie

Eminent Advanced Manual

Eminent Advanced Manual Eminent Advanced Manual 2 EMINENT ADVANCED MANUAL Eminent Advanced Manual Inhoudsopgave Waarom een Eminent Advanced Manual?... 3 Uw tips en suggesties in de Eminent Advanced Manual?... 3 Service en ondersteuning...

Nadere informatie

Basis communicatie netwerk

Basis communicatie netwerk Basis communicatie netwerk In het Hypotheken Data Netwerk communiceert een tussenpersoon direct met een maatschappij. De tussenpersoon gebruikt hiervoor het pakket HDN Basic. De maatschappij gebruikt het

Nadere informatie

Technical Note VPN Siemens i.c.m NetASQ

Technical Note VPN Siemens i.c.m NetASQ Technical Note VPN Siemens i.c.m NetASQ Author: Jorn de Vries VPN verbinding tussen een NETASQ en een Siemens 583x router. Instellingen van de NETASQ: Kies in het menu voor VPN > Pre-shared Keys De Pre-shared

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Handleiding IPsec instellen

Handleiding IPsec instellen Handleiding IPsec instellen Versie 0 DUT Definities van opmerkingen Overal in deze gebruikershandleiding wordt de volgende aanduiding gebruikt: en leggen uit wat u in een bepaalde situatie moet doen of

Nadere informatie

Security bij Profinet

Security bij Profinet Security bij Profinet Edegem, 10 juni 2009 1 Security bij Profinet - inhoudstabel 1. Intro 2. What is security? 3. Why security? 4. Security in practice 5. Conclusion De PROFINET & IO-Link dag 2009 2 IT

Nadere informatie

DEEL II. Teletechniek

DEEL II. Teletechniek Standaardbestek 270 DEEL II Hoofdstuk 48 Teletechniek Deel II Hoofdstuk 48 - Teletechniek INHOUDSTAFEL 1 HET GEBRUIK VAN HET IP TELEMATICANETWERK... 1 1.1 Inleiding... 1 1.2 Algemeen... 1 1.3 Verantwoordelijkheden

Nadere informatie

Les D-06 Veilig internetten

Les D-06 Veilig internetten Les D-06 Veilig internetten Internet is niet meer weg te denken uit ons dagelijks leven. Er wordt heel wat informatie over het net verspreid, waaronder ook informatie die voor andere partijen interessant

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

The OSI Reference Model

The OSI Reference Model Telematica Applicatielaag Hoofdstuk 16, 17 Applicatielaag 4Bevat alle toepassingen die van het netwerk gebruik maken n E-mail n Elektronisch nieuws n WWW n EDI (Electronic Data Interchange) n Napster,

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

EIGENSCHAPPEN CONVERGED HARDWARE

EIGENSCHAPPEN CONVERGED HARDWARE EIGENSCHAPPEN CONVERGED HARDWARE Eigenschappen Converged Hardware 1 van 8 Document Informatie Versie Datum Omschrijving Auteur(s) 0.1 29-09-2015 Draft Remco Nijkamp 0.2 29-09-2015 Volgende Versie opgesteld

Nadere informatie

Intelligente Verkeers Regel Installatie (ivri) Fase 1

Intelligente Verkeers Regel Installatie (ivri) Fase 1 Intelligente Verkeers Regel Installatie (ivri) Fase 1 Deliverable C: Standaard tekst uitvraag Standaardtekst voor uitvraag bij vervanging VRI's voor wegbeheerders (t.b.v. voorbereiding infrastructuur op

Nadere informatie

Handleiding DSL Access Versatel

Handleiding DSL Access Versatel Handleiding DSL Access Versatel INHOUDSOPGAVE 1. 1.1. INSTALLATIE...3 Installatie door monteur...3 1.2. Doe-het-zelf installatie...3 1.2.1 Het doe-het-zelf pakket... 3 1.2.2 Installatie splitter... 4 1.2.3

Nadere informatie

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion Deze beknopte handleiding voor het configureren van de router bestaat uit 4 delen: - Stapsgewijze beschrijving voor het resetten

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client VPN Remote Dial In Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde (geautoriseerd en/of versleuteld) verbinding

Nadere informatie

Syslog / Mail Alert Setup

Syslog / Mail Alert Setup Syslog / Mail Alert Setup Syslog Wat is Syslog? Syslog is een utility waarmee de router activiteit kan worden bijgehouden. Tevens kan de utility worden gebruikt als debug utility. Wanneer gebruikt u Syslog?

Nadere informatie

Bijlage Risicoanalyse steekproeftrekking

Bijlage Risicoanalyse steekproeftrekking Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Communications and Networking: An Introduction

Communications and Networking: An Introduction Communications and Networking: An Introduction Hoofdstuk 7 Internet Application Layer Protocols 1. a) Op het moment van schrijven:.eu (Europese Unie). b) B.v.:.au (Australië),.at (Oostenrijk > Austria)

Nadere informatie

Firewall Traffic Control

Firewall Traffic Control Firewall IPv4 Firewall IPv4 Setup In deze handleiding kunt u informatie vinden over alle mogelijke Firewall instellingen van de DrayTek Vigor 2130 en 2750. Hierin zullen wij alle algemene instellingen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

VoIP Netwerking Configuratie Gids. Vox Davo VoIP Netwerking Configuratie Gids

VoIP Netwerking Configuratie Gids. Vox Davo VoIP Netwerking Configuratie Gids VoIP Netwerking Configuratie Gids Vox Davo VoIP Netwerking Configuratie Gids 1 VoIP Netwerking Configuratie gids Specificaties kunnen wijzigen zonder voorgaande. DM-983 NL Draft 2 VoIP Netwerking Configuratie

Nadere informatie

1945, eerste DC. Eigen logo

1945, eerste DC. Eigen logo 1945, eerste DC Eigen logo Doelstelling: Binnen uw computer ruimte verzamelt u diverse informatie over bijvoorbeeld stroomverbruik van uw apparatuur. Via welk netwerk kunt u deze data verwerken. Welk

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Technologieverkenning

Technologieverkenning Technologieverkenning Videocontent in the cloud door de koppeling van MediaMosa installaties Versie 1.0 14 oktober 2010 Auteur: Herman van Dompseler SURFnet/Kennisnet Innovatieprogramma Het SURFnet/ Kennisnet

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Cookiebeleid: Privacybeleid:

Cookiebeleid: Privacybeleid: Cookiebeleid: Om je meer service te bieden bij het bezoeken van websites maken de meeste sites gebruik van cookies. Dat zijn handige technieken die informatie verzamelen en gebruiken. Websites worden daardoor

Nadere informatie

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl.

privacy statement WerkvoorWerk.nl Privacy Statement aandachtig door te nemen. De schuin geschreven gebruiksvoorwaarden van WerkvoorWerk.nl. privacy statement WerkvoorWerk.nl WerkvoorWerk.nl neemt de privacy van haar gebruikers zeer serieus en zal informatie over u op een veilige manier verwerken en gebruiken. In dit document wordt het Privacy

Nadere informatie

Communicatienetwerken

Communicatienetwerken Communicatienetwerken Oefeningen 4 : ALGEMEEN (niet voor MTI) Woensdag 2 december 2009 1 VRAAG 1 : MAC/IP adressen toekennen 2 VRAAG 1 : MAC/IP adressen toekennen Scenario Link 1 Link 2 Link 3 Link 4 Link

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Configureren van de Wireless Breedband Router.

Configureren van de Wireless Breedband Router. Configureren van de Wireless Breedband Router. 1.1 Opstarten en Inloggen Activeer uw browser en de-activeer de proxy of voeg het IP-adres van dit product toe aan de uitzonderingen. Voer vervolgens het

Nadere informatie

Instellingen Microsoft ISA server

Instellingen Microsoft ISA server Instellingen Microsoft ISA server Om Teleblik media door de Microsoft ISA server te kunnen afspelen is er een speciale regel nodig, die dit verkeer expliciet toestaat. Het verdient aanbeveling om deze

Nadere informatie

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router

Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion. Resetten van de router Handleiding configuratie Linksys router BEFSR41v4 t.b.v. SSHN-complex Orion Deze beknopte handleiding voor het configureren van de router bestaat uit 3 delen: - Stapsgewijze beschrijving voor het resetten

Nadere informatie

Xelion 6 MT beheer handleiding v0.3

Xelion 6 MT beheer handleiding v0.3 Xelion 6 MT beheer handleiding v0.3 Inhoudsopgave 1. Xelion 6 MT Beheer 3 1.1 Wat doe je via de Master Tenant? 3 2. Een nieuwe tenant activeren 4 2.1 Je tenant verder afronden 5 2.1.1 Label & Naam toekennen

Nadere informatie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN IPSec De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit)

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit) Let op: de versie op de gebruikerswebsite kan worden bijgewerkt! Het kan dus zijn dat uw geprinte versie verouderd is. Van toepassing op ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster

Nadere informatie

Port Redirection & Open Ports

Port Redirection & Open Ports Port Redirection & Open Ports Port Redirection & Open Ports In de DrayTek kunt u gebruik maken van zowel Port Redirection (ook wel Port Forwarding genoemd) en Open Ports. In deze handleiding zullen wij

Nadere informatie

IP & Filtering. philip@pub.telenet.be

IP & Filtering. philip@pub.telenet.be IP & Filtering philip@pub.telenet.be Inleiding Wie ben ik en waar hou ik me mee bezig? Un*x hacker, uitgesproken voorkeur voor BSD varianten Paranoide security freak Ervaring als systems en network administrator

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid

4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid Internet Protocol Telematica Quality Of Service (Netwerk laag) Hoofdstuk 5 4IP = Internet Protocol 4Protocol gebruikt op netwerk laag in het internet 4Geen betrouwbaarheid n Pakketten kunnen verloren raken

Nadere informatie

Covert Channels. Waarom technische filterhulpmiddelen niet werken. Inleiding

Covert Channels. Waarom technische filterhulpmiddelen niet werken. Inleiding Covert Channels Waarom technische filterhulpmiddelen niet werken Systeem- en netwerkbeheerders zullen vaak geneigd zijn om het communicatie gedeelte van het beveiligingsbeleid van een organisatie af te

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Security voor kantoren, bedrijven en winkels. Bespaar op kosten, niet op veiligheid. Bewaak eigendommen, bewaak het netwerk

Security voor kantoren, bedrijven en winkels. Bespaar op kosten, niet op veiligheid. Bewaak eigendommen, bewaak het netwerk Security voor kantoren, bedrijven en winkels Bespaar op kosten, niet op veiligheid Bewaak eigendommen, bewaak het netwerk Bedrijfsnetwerken van instellingen. Gesloten netwerken. Klantspecifieke systemen.

Nadere informatie

Security paper - TLS en HTTPS

Security paper - TLS en HTTPS Security paper - TLS en HTTPS Tom Rijnbeek - 3657086 18 juni 2013 Inhoudsopgave 1 Introductie 2 2 Beschrijving TLS 2 2.1 Doelen................................. 2 2.2 Lagen Model.............................

Nadere informatie

Handleiding Mijn Websign

Handleiding Mijn Websign Handleiding Mijn Websign Gemnet BV Postbus 19535 2500 CM Den Haag Tel: 070-3436900 www.gemnet.nl info@gemnet.nl Versie 1.1, augustus 2011 Handleiding Mijn WebSign Document nummer 1.1 Augustus 2011 Handleiding

Nadere informatie

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ)

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) 1 Algemeen Wat is SFTP? SFTP staat voor SSH File Transfer Protocol of Secure File Transfer Protocol en maakt deel uit van SSH

Nadere informatie

Seclore FileSecure: beveiliging zonder grenzen!

Seclore FileSecure: beveiliging zonder grenzen! Seclore FileSecure: beveiliging zonder grenzen! Naam auteur : S. Liethoff Type document : Whitepaper Datum versie : 14-02-2013 1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een

Nadere informatie

Sweex Broadband Router + 4 poorts 10/100 Switch

Sweex Broadband Router + 4 poorts 10/100 Switch Sweex Broadband Router + 4 poorts 10/100 Switch Toepassingsmogelijkheden Creëer een netwerk voor meerdere gebruikers, en deel het Internet in een handomdraai, zonder hier een ander stukje software voor

Nadere informatie

Webrelais IPIO-32R-M-v8.0 Compacte modul met 32 Relais Outputs.

Webrelais IPIO-32R-M-v8.0 Compacte modul met 32 Relais Outputs. Webrelais IPIO-32R-M-v8.0 Compacte modul met 32 Relais Outputs. Algemene informatie Configuratie versie 8.0 DHCP / STATIC Wanneer u de 12V= en de Netwerkkabel heeft aangesloten zal het moduul een IP-adres,

Nadere informatie