SSH, SSL en HTTPS. Johnny Schaap ( )

Maat: px
Weergave met pagina beginnen:

Download "SSH, SSL en HTTPS. Johnny Schaap (3665224)"

Transcriptie

1 SSH, SSL en HTTPS Johnny Schaap ( )

2 Inhoudsopgave 1. Inleiding pagina 2 2. SSL/TLS.. pagina Geschiedenis. pagina API en Sockets pagina Verbinding pagina Message Authentication Code(MAC). pagina Certificaten(PKI).. pagina Zwakheden pagina 5 3. HTTPS. pagina Geschiedenis.. pagina Valide Webpagina s pagina SSL/TLS en Certificaten(PKI).... pagina Zwakheden pagina 7 4. SSH. pagina Geschiedenis.. pagina Authenticatie pagina Gebruik en Werking pagina Zwakheden... pagina Conclusie pagina Bronnen. pagina 12 1

3 1. Inleiding Wanneer een apparaat verbinding maakt met een netwerk of het internet, zijn er een aantal protocollen die van belang zijn om de communicatie tussen twee apparaten te doen verlopen. De communicatie is opgesplitst in zeven lagen (volgens het OSI-model) die samen het doel hebben om data over te brengen. Deze zeven lagen heten: Applicatie-, Presentatie-, Sessie-, Transport-, Netwerk-, Datalink- en Fysieke laag. Natuurlijk kan deze data versleuteld worden en is authenticatie van het apparaat nodig. Deze twee dingen worden vooral in de applicatie- en presentatielaag geregeld. Het Secure Sockets Layer (SSL) protocol is een encryptie protocol. Dit protocol werd verbeterd en later omgedoopt tot Transport Layer Security (TLS). Het protocol wordt gebruikt om onder andere de server te authentiseren. Dit wordt gedaan door middel van certificaten. Wanneer is vastgesteld dat de server echt is wie hij zegt dat hij is, vindt de communicatie tussen de server en cliënt plaats via symmetrische cryptografie in de vorm van block-cipher. De sleutel voor deze communicatie wordt door middel van asymmetrische cryptografie afgesproken. Bij TLS kan de programmeur zelf kiezen welk cryptografisch algoritme hij wilt gebruiken. Het Hypertext Transfer Protocol Secure (HTTPS) is eigenlijk een HTTP-verbinding bovenop een SSLverbinding. Hierbij verstuurt de webserver dus zijn gegevens naar de webcliënt door middel van de encryptie die gebruikt wordt in het SSL/TLS protocol. Het nadeel van HTTPS tegenover HTTP is dat bij HTTPS de hele pagina moet worden geladen. Bij HTTP kan de cliënt de pagina opbouwen uit de gegevens die zijn opgeslagen in de cache. Bij HTTPS moet dus alle data over het netwerk worden verstuurd en ontcijferd worden. Met Secure Shell (SSH)-protocol is het mogelijk commando s van één apparaat aan een ander apparaat te geven. Omdat we niet willen dat elk willekeurig persoon commando s kan geven, wordt gebruik gemaakt van authenticatie door middel van asymmetrische cryptografie. Commando s worden ook versleuteld. Naast het versturen van commando s ondersteunt SSH ook Tunneling, Port Forwarding en File Transfer. 2

4 2. SSL/TLS Secure Socket Layer (SSL) is een protocol dat wordt gebruikt om een TCP-verbinding binnen een netwerk te beveiligen. De opvolger van SSL, Transport Layer Security (TLS), is gestandaardiseerd door het Internet Engineering Task Force (IEFT). Het protocol dat hier wordt behandeld is de nieuwste versie van TLS. Het verschil tussen SSL en TLS is dat men bij TLS zelf bepaalt welk algoritme men gebruikt voor de sleuteluitwisseling. SSL gebruikt namelijk standaard Diffie-Hellman. 2.1 Geschiedenis SSL is ontwikkeld door Netscape en is gebaseerd op eerdere TCP-beveiligingen, zoals Woo. TCP verbindingen zijn verbindingen die vooraf eerst een hand-shake-fase doen en zijn verbinding georiënteerd. SSL wordt tegenwoordig ondersteund door alle (populaire) webbrowsers. Bijna alle betalingen over het web wordt tegenwoordig gedaan met behulp van een SSL-protocol. Een webpagina die gebruik maakt van SSL is te herkennen aan de URL. Die begint namelijk met https: in plaats van 2.2 API en Sockets TLS heeft een simpele Application Programmer Interface (API) die gebruik maakt van sockets (een methode om communicatie tussen verschillende processen te laten verlopen, bijvoorbeeld over het internet). In feiten wordt met TLS een extra sublaag in het OSI-model toegevoegd. We krijgen namelijk tussen de applicatie- en transportlaag een extra socket (de TLS-socket) gevolgd door de TLS sublaag. Hierna komt er zoals bij een normale verbinding een TCP-socket en dan de transportlaag. Er zijn enkele libaries beschikbaar op het internet te vinden om je applicatie te beveiligen met een TLSprotocol. 2.3 Verbinding TLS heeft drie fases waarin het protocol werkt om een verbinding aan te gaan. Deze zijn: Hand shake, key derivation en Data Transfer. Figuur 2.1: Een SSL-verbinding opzetten. 3

5 Bij de hand-shake-fase wil Alice een verbinding aangaan met Bob. Hoe dit gebeurt, is te zien in figuur 2.1. Hierbij moeten drie dingen gebeuren, namelijk: - Er moet een TCP-verbinding worden gemaakt met Bob. (Verbinden) - Alice moet kunnen verifiëren dat Bob echt Bob is. (Authentiseren) - Alice moet Bob een hoofdsleutel sturen die ze beide zullen gebruiken om sleutels te generen voor deze verbinding. De sleutels die zij zullen genereren zullen gebruikt worden voor symmetrische cryptografie en berichtauthenticatie. (sleutel management) In de verbindingsfase stuurt Alice dus een verzoek voor een TCP-verbinding, waarna Bob de verbinding accepteert. Tijdens deze fase wordt er ook een keuze gemaakt uit een beveiligings- en MAC-algoritme (zie 2.4 voor uitleg) die beide apparaten ondersteunen. Alice stuurt hier een lijst van algoritmes die zij ondersteunt plus een nonce. Bob stuurt de gekozen algoritmes terug plus een certificaat en een nonce. Deze nonces zijn unieke nummers en gebruikt worden zodat er geen connection replay attack gedaan kan worden. In de authenticatiefase controleert Alice het certificaat van Bob. Dit certificaat is ondertekend dus Alice weet zeker dat Bob ook echt Bob is. Het certificaat bevat tevens de publieke sleutel van Bob. Alles over de werking van het certificaat is te vinden in paragraaf 2.5. In de sleutelmanagementsfase genereert Alice een hoofdsleutel die dan versleuteld wordt met Bob s publieke sleutel. Deze wordt dan verstuurd naar Bob en hij ontcijfert deze met zijn geheime sleutel. Zo weten ze beide de hoofdsleutel die gebruikt wordt voor deze TLS sessie. Bij de key derivation-fase genereren Bob en Alice allebei vier sleutels aan de hand van de eerdere genoemde hoofdsleutel. Ze genereren een E A en E B, waarbij E A is bedoeld voor de datastroom van Alice naar Bob te versleutelen en E B voor de datastroom van Bob naar Alice te versleutelen. Ook genereren ze M A en M B (De MAC-sleutels). Deze laatste twee worden gebruikt om de integriteit van het bericht te verifiëren. Als er gebruik gemaakt wordt van Cipher Block Chaining moeten er ook nog twee initialisatie vectoren gegenereerd worden. Om er zeker van te zijn dat de hand shake acties niet aangepast zijn door Oscar, sturen Alice en Bob ook nog een MAC van al hun hand-shakeberichten. In de data transferfase wordt de data in kleine stukjes geknipt en bij elk stukje wordt de MAC eraan geplakt. Ook wordt er nog een sequencenummer bij de MAC toegevoegd. Dit laatste wordt gedaan zodat Oscar niet de volgorde van de pakketjes kan veranderen of pakketjes er dubbel kan inzetten. Elk stukje wordt daarna door een hashfunctie gehaald en deze wordt samen met het originele bericht verstuurd. Elk pakketje heeft een type (hand shake of applicatie data), versie (van TLS), lengte (van data), data en een MACstukje. Hiervan worden de laatste twee stukjes versleuteld. Om de TCP-verbinding (en dus ook de TLS -verbinding) te sluiten, moet Bob een TCPFIN-bericht sturen. Deze is niet versleuteld en kan dus door Oscar worden verstuurd. Dan wordt de verbinding dus verbroken voordat alle data binnen is. Om dit te voorkomen wordt er voor een TCPFIN-bericht eerst een TLS-datablock verstuurd waarin staat dat de verbinding verbroken (Closure) wordt. Wordt TCPFIN voor de TLS-closure ontvangen, dan weet Alice dat er iets niet klopt. 4

6 2.4 Message Authentication Code(MAC) Message Authentication Code(MAC) wordt gebruikt om te kunnen verifiëren of de data die ontvangen is niet is aangepast door een man-in-the-middle. Wat de zender als het ware doet is zijn bericht b plus sleutel k hashen met bijvoorbeeld SHA-1. De zender stuurt vervolgens zijn bericht b samen met de gehashte waarde van (b, k) naar de ontvanger, dus (b, H(b, k)). Als de ontvanger het bericht ontvangt zal hij (b, k) hashen. Wanneer de berekende H(b, k) niet overeenkomt met de ontvangen H(b, k), betekent dit dat het bericht b niet klopt. Hieruit kunnen we concluderen dat iemand het bericht heeft veranderd (het is natuurlijk ook mogelijk dat er een aantal bits zijn omgevallen, maar over het algemeen zal er error correctie plaatsvinden in deze gevallen). Echter kan Oscar, onze man-in-the-middle, zelf een b verzinnen en de bijbehorende H(b, k) berekenen. Dat is waar encryptie van pas komt. Omdat in TLS het bericht(b) en het gehashte bericht(mac) allebei ook nog eens worden versleuteld, kan Oscar niet zijn eigen gekozen bericht b en de bijbehorende MAC verzenden. Hij moet het eerst versleutelen. Dit kan niet want hij weet de juiste sleutel niet. Wat hij nog wel kan doen is wat waardes veranderen in het versleutelde bericht die Bob naar Alice stuurt. Omdat hij de bijbehorende MAC niet kan toevoegen (want hij weet het originele bericht b niet, hij kan H(b, k) niet berekenen zonder (b, k) en kan hij deze H(b, k) niet juist versleutelen zonder de sleutel), weet de ontvanger dat er iemand het bericht heeft veranderd en het bericht dus niet klopt. 2.5 Certificaten (PKI) De certificaten zijn van cruciaal belang. Maar wat is een certificaat nu eigenlijk? Een certificaat heeft een aantal gegevens. Zo bevat deze de naam van de eigenaar, zijn publieke sleutel, de geldigheidsduur, de uitgever van het certificaat (de Certificate Authority (CA)), de locatie van de Certificate Revocation List (een lijst met alle ongeldige certificaten) en een versleuteling (met de private sleutel van de CA) van gehashte bovenstaande gegevens. Dit laatste is als het ware het watermerk. Dit watermerk is te controleren door zelf de eerdere gegevens te hashen, daarna met de openbare sleutel van de CA het watermerk te ontcijferen en als laatste de beide uitkomsten te vergelijken. Wanneer deze niet overeen komen, is het geen geldig certificaat. Eigenlijk bestaat er een ketting van certificaten. De root CA heeft een certificaat uitgegeven aan een kind, ook wel tekenen genoemd. Deze kan vaak ook certificaten uitgeven. Dit zijn dan intermediaire CA s. De webpagina waarvan we het certificaat wil valideren is dan het bladcertificaat. De meeste browsers accepteren een ketting van maximaal 20 CA s. Wat er gebeurt bij het valideren, is eigenlijk naar de laag boven het huidige certificaat kijken en controleren of het een geldig certificaat is. Weet deze laag het ook niet, dan wordt er in een laag daarboven gekeken tot we bij de root zijn gekomen. Uiteindelijk weten we dan of een certificaat echt is of niet. 2.6 Zwakheden Omdat TLS met certificaten werkt, kan men zich niet zomaar voordoen als een ander. Door de werking van de certificaten kan het certificaat ook niet worden vervalst. Wat echter nog wel mogelijk is, is een eigen certificaat uitgeven en zelf dienen als intermediaire CA. Wanneer er een certificaat wordt uitgegeven, staat er in dat certificaat ook een booleaanse waarde waarin staat of deze ook 5

7 andere certificaten mag uitdelen. Bij wat oudere implementaties van TLS en bij SSL wordt er geen check gedaan op deze waarde. Wanneer er een valide website, zeg een certificaat heeft, kan deze een certificaat uitgeven voor, zeg Wanneer we onszelf als server van paypal.com voordoen en de door ons gemaakte certificaten sturen, wordt er bij de CA example.com gekeken of het certificaat geldig is. Omdat wij ook de CA zijn, kunnen wij zeggen dat het certificaat geldig is. Hierdoor kunnen wij dus eigenlijk de cliënt laten denken dat wij de server zijn voor paypal.com en gaan zij een SSL-verbinding met ons aan. Dit is precies wat de SSLsniff-applicatie, gemaakt door toughtcrime, doet. In figuur 2.2 zien we een certificaat keten waar er een vals certificaat wordt uitgegeven. Deze aanval is nog succesvol op oudere implementaties, maar in de nieuwere implementaties wordt gekeken of de laag erboven wel een certificaat mocht uitgeven door een check te doen op de booleaanse waarde. Daarnaast is er een hand-shake-situatie nodig, waarin alles in plaintext verstuurd wordt. Bovendien kan de bestemming van pakketjes niet versleuteld worden, omdat het dan niet duidelijk is waar het heen gestuurd moet worden over het netwerk. Hierdoor kun je weten tussen wie, en hoe lang, er data wordt verstuurd. Figuur 2.2: Een certificaat keten met een vals certificaat. Het rode certificaat en de rode pijl zijn acties en entiteiten die eigenlijk niet mogen. 6

8 3. HTTPS Hypertext Transfer Protocol Secure (HTTPS) is een combinatie van twee ander bestaande protocollen. Het huidige HTTP-protocol wordt namelijk uitgebreid met een TLS-verbinding. Bij het HTTP-protocol worden de gegevens in plaintext verstuurd. HTTPS zorgt er voor dat de gegevens versleuteld worden. Tegenwoordig wordt HTTPS alleen toegepast bij hoge-risico-pagina s zoals betalingen omdat het versleutelen en ontcijferen veel processingtijd kost. Bovendien kan men bij HTTP de gegevens uit een cache laden en is dit niet het geval bij HTTPS. Dit zorgt ervoor dat HTTPS voor meer dataverkeer en processingtijd zorgt. 3.1 Geschiedenis De geschiedenis van HTTPS is eigenlijk hetzelfde als die van TLS. HTTP bestond al een tijdje, en omdat Netscape beveiligde dataoverdracht wilde hebben voor hun webbrowsers, werd HTTP gecombineerd met het door Netscape ontwikkelde SSL. Hierdoor ontstond HTTPS. HTTPS zoals we die nu kennen verschilt alleen in de SSL-verbinding die gebruikt wordt. Dit is namelijk niet meer de oorspronkelijke SSL, maar de nieuwe, verbeterde TLS. 3.2 Valide Webpagina s De bedoeling van HTTPS is om door middel van SSL/TLS veilig informatie versturen over een onveilig kanaal. Hier is het erg belangrijk dat authenticatie plaatsvindt van de server. Dit gebeurt door certificaten die door CA s (Certificate Authorities) zijn uitgegeven. De meeste browsers zijn zo geïmplementeerd dat zij een waarschuwing geven wanneer er een certificaat wordt gestuurd dat niet overeenkomt met wie de server claimt te zijn. 3.3 SSL/TLS en Certificaten(PKI) Zoals al eerder gezegd kan men zien wanneer een HTTPS-protocol wordt gebruikt. Wanneer dit het geval is begint de URL met https://. Omdat er een verbinding moet worden gemaakt voordat de SSL/TLS een verbinding kan opzetten, weet de man-in-the-middle wel wie er met elkaar aan het communiceren zijn aan de hand van de IP-adressen en de domeinnaam. De inhoud van de berichten is echter onbekend. Het is natuurlijk belangrijk dat men een certificaat heeft. Maar hoe komt men nou aan een dergelijk certificaat? Er zijn een aantal mogelijkheden. Men kan naar een CA gaan om een certificaat te krijgen of kopen, ze kunnen een eigen CA maken of ze maken gebruik van een peerto-peer CA. Soms wil de server ook nog authenticatie hebben van de cliënt, zodat niet iedereen alles kan zien. Dit wordt gedaan met behulp van namen, adressen, wachtwoorden etc. 3.4 Zwakheden Een zwakheid van HTTPS is vergelijkbaar met die van SSL/TLS. Net als bij SSL/TLS is hier namelijk ook een hand-shake-fase nodig. Dus ook hier kan men, vanwege de plaintext in deze fase, weten hoe lang, en tussen wie, er data wordt verstuurd. 7

9 Een andere zwakheid zit hem in een psychologisch aspect. Mensen bezoeken vaak een HTTPS-pagina via een link op een HTTP-website. Mensen typen vaak niet https:// voor hun URL. Dit zorgt er voor dat ze automatisch naar een website gaan. Op die website zit vaak een button die de cliënt doorstuurt naar de https:// website. Echter kijkt nooit iemand naar deze URL, en kan men deze ook niet zomaar zien bij een button. Wat men hierop heeft bedacht is feedback. Men maakte eerst gebruikt van positieve feedback (zoals een veiligheidsicoontje en andere feedback in de browser zelf), maar tegenwoordig wordt ook negatieve feedback gebruikt (bijvoorbeeld een waarschuwing in de browser wanneer er een vals certificaat wordt verstuurd). Vaak klikken mensen dit alsnog door omdat ze geen idee hebben wat dit inhoudt. Wat we dus kunnen doen is de cliënt naar onze server doorsturen, een vals certificaat afgeven en, omdat men de waarschuwing toch weg klikt, de SSLverbinding met ons aan te laten gaan. Een aanval met een technischer aspect is een man-in-the-middle aanval. Wat we hierbij doen is al het verkeer dat voorbij komt doorsturen naar de server. Zodra de cliënt een SSL-verbinding aanvraagt (dus een https:// aanvraag) gaat Oscar een SSL-verbinding aan met de server in naam van de cliënt. Oscar stuurt de cliënt echter een versie van de aanvraag terug naar de cliënt. Zo komt al de informatie die de cliënt stuurt naar Oscar in plaintext en stuurt hij deze door via de SSLverbinding naar de server. Hierdoor komt er geen negatieve feedback meer. De valse positieve feedback kunnen we alleen op de webpagina zelf geven (door middel van tekst en icoontjes) en niet in de browser. Waar we nu nog wel omheen moeten werken zijn de cookies en caches. Men kan namelijk al eens eerder hebben ingelogd en door middel van cookies kan men dan inloggen zonder het wachtwoord te geven. Hier kunnen we omheen komen door alle cookies een TTL geven. Als wij dan de verbinding overnemen, sturen we een bericht naar de cliënt om de cookies te verwijderen nadat hun TTL is verlopen. Zo moet men na een tijdje hun wachtwoord alsnog invullen. Zo verkrijgt Oscar ongemerkt de wachtwoorden. Dit is precies wat de SSLStrip-applicatie van thoughtcrime doet. Dit kun je zien in figuur 3.1. Er is echter nog één probleem. Dat is namelijk de positieve feedback die de browser en de URL geeft. De URL bevat namelijk geen https:// link en de browser geeft geen positieve feedback(geen groene adres balk als er een SSL verbinding is). Hier is een oplossing voor. Figuur 3.1: De werking van SSL Strip. 8

10 Om dit op te lossen moeten we eerst een andere aanval bespreken. Dit zijn de zogenaamde Homograph-attacks. Wat men hierbij doet is een website maken waarbij de URL hetzelfde oogt als de originele webpagina en vraagt hiervoor een certificaat aan. Een simpel voorbeeld is paypai.com. Wanneer je de i als hoofdletter typt, ziet men vaak het verschil niet en kun je de website nabouwen. Een wat subtielere aanpak is om de / -es in de URL te vervangen. Er zijn namelijk heel veel andere tekens die hierop lijken. Als Oscar deze link op zijn pagina plaatst, en de cliënt klikt deze aan, zal de cliënt denken dat hij op een https:// webpagina zit van bijvoorbeeld paypal.com/inloggen terwijl deze eigenlijk gewoon een kopie is. Zo kan Oscar alle gegevens ontvangen die hij kiest. Echter is dit een gerichte aanval en kan men vaak niet alle data maar een gericht deel van de data onderscheppen. Een combinatie van de vorige twee is een aanval die een ernstig probleem oplevert. Als men de echte https:// vervangt door een zelfgemaakte https:// webpagina in plaats van de versie van de echte pagina, zal ook de browser positieve feedback geven. De cliënt denkt dat hij met de echte website communiceert via een SSL-verbinding. Oscar heeft dus alle informatie die in real time wordt verstuurd. Een voordeel is dat Oscar ook weer de verbinding kan verbreken wanneer hij heeft wat hij nodig heeft en, zonder dat ze het door hebben, communiceren de cliënt en de echte server met elkaar verder. Bij een test door thoughtcrime bleek iedereen voor deze aanval te vallen. Wat kunnen we tegen deze aanvallen doen? We kunnen ten eerste al het dataverkeer in een netwerk laten verlopen via HTTPS. Echter kost dit heel veel processingtijd en wil men dit niet. Bovendien zijn er wat minder populaire browsers die niet eens SSL/TLS ondersteunen. Een andere oplossing is cliënt certificaten te gebruiken. Dit is echter een praktisch onmogelijke taak. 9

11 4. SSH Zoals in de inleiding is gezegd zorgt het Secure Shell-protocol (SHH) ervoor dat men commando s van één apparaat aan een ander apparaat kan geven via een shell. Een shell is in principe een interface. We praten hier voornamelijk over command-line shell, maar is ook toe te passen op graphical shells. Om er zeker van te zijn dat niet iedereen elk apparaat kan bedienen wordt er gebruikt gemaakt van authenticatie door middel van asymmetrische cryptografie. Het gevolg is dat er geen wachtwoord gehardcoded hoeft te worden. Er is natuurlijk wel de mogelijkheid om een wachtwoord op de server te zetten voor extra veiligheid. Het programma dat op de cliënt, Alice, draait wordt ook SSH genoemd. Het programma dat op de server draait heet SSHD (Secure Shell Daemon). 4.1 Geschiedenis SSH is ontwikkeld door een Finse onderzoeker nadat er een password-sniffing attack werd gedaan op de universiteit waar hij werkte. Zijn doel was om de wachtwoorden die over het internet werden verstuurd, te versleutelen zodat een afluisteraar niet achter het wachtwoord kan komen. Deze versie werd gauw wereldwijd gebruikt maar over de jaren bleken er drie zwakheden in het ontwerp te zitten. Men kon namelijk data toevoegen aan de datastroom, men kon het laatste blok van 3DES aanpassen en een tussenliggende kwaadwillende server kon authenticatie naar de echte server doorsturen, waardoor deze toegang krijgt tot de server. Men ontwikkelede Open SSH, wat eigenlijk gewoon een open source versie is van SSH. Omdat de huidige versie van SSH een aantal zwakheden had werd deze aangepast. Versie 2 had een betere manier om sleutels te delen, deze kon men namelijk nu zelf kiezen, en werd er MAC (zie 3.4 voor uitleg) gebruikt voor het controleren of de data niet aangepast werd. 4.2 Authenticatie Authenticatie vindt plaats door middel van asymmetrische cryptografie. De server stuurt een random nummer, versleuteld met de publieke sleutel van de cliënt, naar de cliënt. De cliënt stuurt daarna dit random nummer terug naar de server(deze is natuurlijk ook versleuteld). Wanneer blijkt dat dit nummer niet klopt, blijkt dat de cliënt niet de eigenaar is van de publieke sleutel, en krijgt deze dus geen toegang tot de server. De toegestane publieke en private sleutels staan opgeslagen in een file en de gebruiker kan deze zelf aanpassen. 4.3 Gebruik en Werking SSH wordt tegenwoordig voornamelijk gebruikt om commando s te sturen naar een ander apparaat. Dit wordt gedaan via een shell. Andere features die SSH heeft is Tunnel en Port Forwarding. Bovendien ondersteunt het X11-verbindingen en kan SSH veilig grotere blokken data versturen door middel van SSH-filetransfer of Secure-copy-protocollen. 10

12 In principe heeft SSH drie lage: Transport-, User Authenticatie- en connectielaag. De transport laag zorgt ervoor dat de sleutel wordt verstuurd en dat de server geauthentiseerd wordt. Tevens stuurt deze laag een nieuwe sleutel na een bepaalde tijd of aantal bytes. De user authenticatielaag vraagt om een authenticatie van de cliënt. Dit wordt gedaan door bijvoorbeeld wachtwoorden, publieke sleutels of keyboardinteractie. In de connectie laag worden er kanalen aan gemaakt waarover data kan worden verstuurd. Hier zijn drie verschillende type kanalen: direct-tcpip (cliënt-to-server), forwarded-tcpip (server-to-cliënt) en shell (terminal shells). 4.4 Zwakheden Een zwakheid in SSH ligt in de authenticatie. De SSH-server kan namelijk ook vragen om een wachtwoord. Door middel van een man-in-the-middle aanval kan Oscar zich voordoen als de server. Omdat authenticatie plaatsvindt via asymmetrische cryptografie, kan Oscar zeggen dat hij de server is en de publieke sleutel van zichzelf geven. Als de cliënt dat het wachtwoord stuurt naar Oscar, kan hij dit ontcijferen. Zo heeft hij het wachtwoord en kan hij inloggen op de echte server en doen wat hij wil. Deze aanval is echter niet mogelijk wanneer de server en cliënt ooit eerder met elkaar hebben gecommuniceerd want SSH onthoudt de sleutels van het apparaat waarmee is gecommuniceerd. 11

13 5. Conclusie SSL/TLS, HTTPS en SSH zijn gestandaardiseerde protocollen die wereldwijd worden gebruikt. Alle drie zijn ze redelijk betrouwbaar. SSL/TLS beveiligen de TCP-verbinding door een sleutel uit te wisselen via asymmetrische cryptografie en vervolgens te communiceren met een symmetrisch cryptografisch algoritme. HTTPS is eigenlijk een HTTP-verbinding die SSL/TLS gebruikt om zijn HTTP-elementen te verzenden. SSH is een protocol dat ervoor zorgt dat één apparaat in het netwerk een ander kan besturen door middel van commands in een shell. Echter zijn de SSL/TLS soms nog wel kwetsbaar voor aanvallen waar Oscar valse certificaten uitgeeft. Dit komt omdat bij sommige implementaties van autorisatie controle niet wordt gekeken of degene die het certificaat heeft uitgegeven ook werkelijk een certificaat mocht uitgeven. De oplossing is er al, en zolang iedereen de nieuwe implementatie gebruikt, is dit geen probleem. Vooral HTTPS is erg kwetsbaar. Oscar kan met een man-in-the-middle attack in combinatie met een Homograph-attack de gebruiker aan de cliënt kant compleet voor de gek houden. Zo kan Oscar alle gegevens zien die worden verstuurd door de cliënt. Op het moment is de enige oplossing alle verbindingen over HTTPS te laten verlopen zodat we niet via de HTTP onze aanval kunnen starten of we kunnen cliënt certificaten gebruiken. Beide zijn echter niet praktisch en het kost te veel onnodige processingtijd en moet er veel meer data over het netwerk worden verstuurd. Ook SSH is niet zonder zwakheden. Door spoofing kan men namelijk de wachtwoorden onderscheppen. Ook hier is een oplossing voor. Dit is namelijk user authenticatie gebruiken op een andere manier dan wachtwoorden. 6. Bronnen Kurose J.F. & Ross K.W. (2009) Computer Networking: A top down approach, Addison-Wesley. M. Marlinspike, SSLSnif, M. Marlinspike, SSLStrip, on Blackhat CERT, Multiple Vulnerabilities in SSH Implementations, HTTP Secure, Secure Shell, Secure Socket Layer, OSI, Certificaat (PKI), Certificate Revocation List, 12

Transport Layer Security. Presentatie Security Tom Rijnbeek

Transport Layer Security. Presentatie Security Tom Rijnbeek Transport Layer Security Presentatie Security Tom Rijnbeek World Wide Web Eerste webpagina: 30 april 1993 Tegenwoordig: E-mail Internetbankieren Overheidszaken (DigiD) World Wide Web Probleem: World Wide

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting Telematica Hoofdstuk 20 4Passief: n Afluisteren Bedreigingen n Alleen gegevens (inclusief passwords) opgenomen n Geen gegevens gewijzigd of vernietigd n Op LAN kan elk station alle boodschappen ontvangen

Nadere informatie

Inhoudsopgave. Onderzoeksrapport: SSL; Dion Bosschieter; ITopia

Inhoudsopgave. Onderzoeksrapport: SSL; Dion Bosschieter; ITopia SSL veilig of niet? Dion Bosschieter Dit is een onderzoeksrapport dat antwoord geeft op de vraag: Kan een gebruiker er zeker van zijn dat SSL veilig is? ITopia Dion Bosschieter 23-04- 2012 Inhoudsopgave

Nadere informatie

Security paper - TLS en HTTPS

Security paper - TLS en HTTPS Security paper - TLS en HTTPS Tom Rijnbeek - 3657086 18 juni 2013 Inhoudsopgave 1 Introductie 2 2 Beschrijving TLS 2 2.1 Doelen................................. 2 2.2 Lagen Model.............................

Nadere informatie

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief

DigiD SSL. Versie 2.1.1. Datum 16 augustus 2010 Status Definitief DigiD SSL Versie 2.1.1 Datum 16 augustus 2010 Status Definitief Colofon Projectnaam DigiD Versienummer 2.1.1 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl Pagina 2 van 9 Inhoud

Nadere informatie

4Problemen met zakendoen op Internet

4Problemen met zakendoen op Internet Intranet Telematica Toepassingen Hoofdstuk 18 4gebruik Internet toepassingen voor netwerk binnen een organisatie 4In plaats van gespecialiseerde netwerkprogramma's 4Vooral WWW en e-mail 4WWW browser toegang

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

E-mail, SMTP, TLS & S/MIME

E-mail, SMTP, TLS & S/MIME E-mail, SMTP, TLS & S/MIME Inhoudsopgave Inhoudsopgave... 2 1. Inleiding... 3 1.1. E-mail via het internet... 3 2. E-mail transport... 4 2.1. Kwetsbaarheden van het e-mail transport via het internet...

Nadere informatie

Aandachtspunten PKIoverheid

Aandachtspunten PKIoverheid Aandachtspunten PKIoverheid Tips en aanbevelingen bij PKIoverheid-certificaten en PKI-enabled applicaties Auteur GBO.overheid / PKIoverheid Versie Versie 1.0 Status Definitief Den Haag, 18 oktober 2007

Nadere informatie

Werken op afstand via internet

Werken op afstand via internet HOOFDSTUK 12 Werken op afstand via internet In dit hoofdstuk wordt uitgelegd wat er nodig is om op afstand met de ROS artikel database te kunnen werken. Alle benodigde programma s kunnen worden gedownload

Nadere informatie

Certs 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 wren@cacert.org. Copyright, 1996 Dale Carnegie & Associates, Inc.

Certs 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 wren@cacert.org. Copyright, 1996 Dale Carnegie & Associates, Inc. Certs 101 Een introductie in Digitale Certificaten J. Wren Hunt oktober 2004 wren@cacert.org vertaling Hans Verbeek h.j.verbeek@kader.hcc.nl Copyright, 1996 Dale Carnegie & Associates, Inc. Wat behandelen

Nadere informatie

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ)

Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) Verzending van gestructureerde berichten via SFTP Veel gestelde vragen (FAQ) 1 Algemeen Wat is SFTP? SFTP staat voor SSH File Transfer Protocol of Secure File Transfer Protocol en maakt deel uit van SSH

Nadere informatie

Aanmelden Na installatie wordt de service automatisch gestart en kunt u meteen aanmelden van op afstand:

Aanmelden Na installatie wordt de service automatisch gestart en kunt u meteen aanmelden van op afstand: Remote administratie Als administrator hebt u verschillende mogelijkheden om een Linux systeem van op afstand te beheren. Populaire toepassingen zijn bijvoorbeeld Webmin en VNC. Het gebruik van deze twee

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Update Hoofdstuk 11 Beveiligde E mail. 11.4.1 Software installeren. gebaseerd op de volgende versie: Mozilla Thunderbird 3.1.10

Update Hoofdstuk 11 Beveiligde E mail. 11.4.1 Software installeren. gebaseerd op de volgende versie: Mozilla Thunderbird 3.1.10 Update Hoofdstuk 11 Beveiligde E mail gebaseerd op de volgende versie: Mozilla Thunderbird 3.1.10 11.4.1 Software installeren 5. Vervalt De Importeerassistent zit niet meer in de nieuwe versie 6. Vervalt

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

Inhoud leereenheid 7c. Bedreigingen voor computernetwerken voorkomen van een aanval. Introductie 79. Leerkern 80. Zelftoets 91.

Inhoud leereenheid 7c. Bedreigingen voor computernetwerken voorkomen van een aanval. Introductie 79. Leerkern 80. Zelftoets 91. Inhoud leereenheid 7c Bedreigingen voor computernetwerken voorkomen van een aanval Introductie 79 Leerkern 80 7.3 Network Security Controls 80 Zelftoets 91 Terugkoppeling 93 1 Uitwerking van de opgaven

Nadere informatie

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security Pentest. 18 Januari 2016. Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest DEMO PENTEST VOOR EDUCATIEVE DOELEINDE. HET GAAT HIER OM EEN FICTIEF BEDRIJF. 'Inet Veilingen' Security Pentest 18 Januari 2016 Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Nadere informatie

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren. SSL VPN SSL VPN SSL VPN is een web based versie van VPN waarbij er geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren. SSL staat voor

Nadere informatie

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen 2connect-IT informatiedag 2012 Agenda Introductie Mobiele communicatie Combinatie met 2connect-IT Introductie

Nadere informatie

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan

Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, April 2006 Ruud Goudriaan Digitale Handtekening Praktische problemen bij toepassingen TestNet: Testen van Security ING Group, pril 2006 Ruud Goudriaan Digitale handtekeningen Korte uitleg symmetrische Cryptografie Hoe gebruik je

Nadere informatie

1945, eerste DC. Eigen logo

1945, eerste DC. Eigen logo 1945, eerste DC Eigen logo Doelstelling: Binnen uw computer ruimte verzamelt u diverse informatie over bijvoorbeeld stroomverbruik van uw apparatuur. Via welk netwerk kunt u deze data verwerken. Welk

Nadere informatie

Informatie coderen en kraken

Informatie coderen en kraken 1 Introductie Informatie coderen en kraken een cryptografie workshop door Ben van Werkhoven en Peter Peerdeman In dit practicum cryptografie raak je bekend met een aantal simpele vormen van cryptografie

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities De Nessus scan We hebben ervoor gekozen om de webserver met behulp van Nessus uitvoerig te testen. We hebben Nessus op de testserver laten draaien, maar deze server komt grotendeels overeen met de productieserver.

Nadere informatie

Trusted Third Party SFTP Extranet via de Filezilla-client

Trusted Third Party SFTP Extranet via de Filezilla-client Trusted Third Party SFTP Extranet via de Filezilla-client Maart 2013 1 INDEX 1.Inleiding...3 2.Een sleutelpaar genereren (publiek-privé)...3 2.1 Starten...3 2.2 Het sleutelpaar genereren en configureren...3

Nadere informatie

Communications and Networking: An Introduction

Communications and Networking: An Introduction Communications and Networking: An Introduction Hoofdstuk 7 Internet Application Layer Protocols 1. a) Op het moment van schrijven:.eu (Europese Unie). b) B.v.:.au (Australië),.at (Oostenrijk > Austria)

Nadere informatie

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: 20-3-2007 KB nummer: 100010 Terminal Services Dit document beschrijft hoe op afstand kan worden ingelogd op een Terminal Server. Lees dit document zorgvuldig, voordat u voor het eerst hiervan gebruik maakt! Isaeus Solutions Tel:

Nadere informatie

Computernetwerken! E-mail: SMTP Simple Mail Transfer Protocol, POP Post Ofice Procotol

Computernetwerken! E-mail: SMTP Simple Mail Transfer Protocol, POP Post Ofice Procotol Computernetwerken 1. Fundamentals Communicatie vereist regels, deze regels noemt met protocollen. Mensen kunnen met relatief losse regels (protocollen) communiceren, bij computers moet dit strikt vastliggen.

Nadere informatie

Vraag 1. Vraag 1a TERUGKOPPELING PROEFTENTAMEN. Software architecture

Vraag 1. Vraag 1a TERUGKOPPELING PROEFTENTAMEN. Software architecture Software architecture IM0203 TERUGKOPPELING PROEFTENTAMEN Vraag 1 Vraag 1a Veel van de in het werkboek besproken patterns kunnen ingezet worden voor het referentiesysteem. We lopen de patterns hier stuk

Nadere informatie

ONDER DE MOTORKAP VAN HET INTERNET

ONDER DE MOTORKAP VAN HET INTERNET ONDER DE MOTORKAP VAN HET INTERNET Van IP-adressen tot DNS-servers, van encryptie tot de cloud Versie 16 mei 2013 zie voor de laatste versie bof.nl Iedereen gebruikt het internet. Maar hoe werkt het internet

Nadere informatie

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013).

In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Auteur: Evert Jan Steenvoorden Datum: 23-12-2014 E-mail instellen in Outlook (2013) In dit artikel zullen we u uitleggen hoe u uw e-mail in moet stellen in Microsoft Outlook (2013). Stap 1 Configuratiescherm

Nadere informatie

Thinking of development

Thinking of development Thinking of development Netwerken en APIs Arjan Scherpenisse HKU / Miraclethings Thinking of Development, semester II 2012/2013 Agenda voor vandaag Netwerken Protocollen API's Opdracht Thinking of Development,

Nadere informatie

TRANSPORT LAYER. LEAKFREE IT Security made simple SECURITY WHITEPAPER

TRANSPORT LAYER. LEAKFREE IT Security made simple SECURITY WHITEPAPER TRANSPORT LAYER LEAKFREE IT Security made simple SECURITY WHITEPAPER INHOUDSOPGAVE Inhoudsopgave Introductie... 1 Best Practices... 4 Certificaten... 5 Protocolversies... 8 Versleuteling... 9 Configuratie...

Nadere informatie

TRANSPORT LAYER. LEAKFREE IT Security made simple SECURITY HEALTHCHECK

TRANSPORT LAYER. LEAKFREE IT Security made simple SECURITY HEALTHCHECK TRANSPORT LAYER LEAKFREE IT Security made simple SECURITY HEALTHCHECK Januari, 215 INHOUDSOPGAVE Inhoudsopgave Introductie... 1 Testoverzicht... 2 Methodologie... 2 Test-sets... 4 Resultaten... 5 Conclusie...

Nadere informatie

VPN Remote Dial In User. Windows VPN Client

VPN Remote Dial In User. Windows VPN Client VPN Remote Dial In User Windows VPN Client VPN Remote Dial In User Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding te

Nadere informatie

Het gebruik van OSB ebms contracten in complexe infrastructuren

Het gebruik van OSB ebms contracten in complexe infrastructuren Inleiding Het gebruik van OSB ebms contracten in complexe infrastructuren Whitepaper Ernst Jan van Nigtevecht Maart 2009 Contracten die gepubliceerd worden voor een OSB ebms service hebben tot doel om

Nadere informatie

4 Encryptie tijdens communicatie

4 Encryptie tijdens communicatie 4.1 Inleiding Dit hoofdstuk gaat in op de diverse specifieke aspecten van encryptie tijdens de communicatie tussen informatiesystemen. De vorm waarin dergelijke communicatie kan plaatsvinden, is sinds

Nadere informatie

Veiliger authenticeren met de Yubikey

Veiliger authenticeren met de Yubikey radboud universiteit nijmegen bachelorscriptie informatica Veiliger authenticeren met de Yubikey Auteur: Kevin Reintjes (0814954) K.Reintjes@student.ru.nl Begeleider: Prof. dr. B.P.F. Jacobs Bart@cs.ru.nl

Nadere informatie

Handleiding Mijn Websign

Handleiding Mijn Websign Handleiding Mijn Websign Gemnet BV Postbus 19535 2500 CM Den Haag Tel: 070-3436900 www.gemnet.nl info@gemnet.nl Versie 1.1, augustus 2011 Handleiding Mijn WebSign Document nummer 1.1 Augustus 2011 Handleiding

Nadere informatie

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen. LEZA ONLINE BACKUP Servicedefinitie 1. Data-encryptie 2. Beveiligde internetverbinding 3. Datacenter 4. Recovery 5. Richtlijnen reactietijden & bereikbaarheid 6. Controle Back-up 7. Onderhoudswerkzaamheden

Nadere informatie

Koppelvlakspecificatie CGI - DigiD

Koppelvlakspecificatie CGI - DigiD Koppelvlakspecificatie CGI - DigiD Versie 2.3 Datum 17 december 2013 Colofon Projectnaam DigiD Versienummer 2.3 Organisatie Logius Postbus 96810 2509 JE Den Haag T 0900 555 4555 (10 ct p/m) servicecentrum@logius.nl

Nadere informatie

VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT

VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT 17/12/2013 VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT CONTEXT Alle certificaten die door FEDICT worden uitgegeven, maken deel uit van een hiërarchische vertrouwensstructuur.

Nadere informatie

MSSL Dienstbeschrijving

MSSL Dienstbeschrijving MSSL Dienstbeschrijving Versie : 1.0 Datum : 28 augustus 2007 Auteur : MH/ME Pagina 2 van 7 Inhoudsopgave Inhoudsopgave... Fout! Bladwijzer niet gedefinieerd. Introductie... 3 Divinet.nl Mssl... 3 Hoe

Nadere informatie

Windows XP & Windows Vista

Windows XP & Windows Vista Rem ote Dial- in User Windows XP & Windows Vista Inhoudsopgave Inhoudsopgave... 2 Inleiding... 3 Verbinding maken met de router... 4 Remote Dial In User PPTP... 5 Nieuwe VPN-verbinding maken in Windows

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

De volgende MTA s installeren in een groepje van 4 studenten: Onderzoek van vorig jaar naar gebruikte mail software evalueren.

De volgende MTA s installeren in een groepje van 4 studenten: Onderzoek van vorig jaar naar gebruikte mail software evalueren. Hoofdstuk 4 Mail Transfer Agents Email is een van de belangrijkste services die je als systeembeheer voor je gebruikers moet verzorgen. Als er geen mail verstuurd of ontvangen kan worden, kunnen de gebruikers

Nadere informatie

Thuiswerkplek; Antwoorden op veelgestelde vragen.

Thuiswerkplek; Antwoorden op veelgestelde vragen. Thuiswerkplek; Antwoorden op veelgestelde vragen. Installeer Citrix Receiver om toegang te krijgen. Onderstaand scherm verschijnt iedere keer als ik inlog op login.rijnstate.nl Dit probleem wordt veroorzaakt

Nadere informatie

Taak 2.1.3 Versleutelen en dan weer terug... 1

Taak 2.1.3 Versleutelen en dan weer terug... 1 Taak 2.1.3 Versleutelen en dan weer terug Inhoud Taak 2.1.3 Versleutelen en dan weer terug... 1 Inhoud... 1 Inleiding... 2 Encryptie en Decryptie... 3 Symmetrisch... 3 Asymmetrisch... 3 Waarom Encryptie

Nadere informatie

De webpagina kan niet worden weergegeven

De webpagina kan niet worden weergegeven Beveiligingsinformatie voor gebruikers van de volgende : Internet Explorer versie 7 Internet Explorer versie 8 Internet Explorer versie 9 Internet Explorer versie 10 Gebruikers van de bovenstaande browsers

Nadere informatie

Externe Toegang installeren en gebruiken onder Mac OS X

Externe Toegang installeren en gebruiken onder Mac OS X Externe Toegang installeren en gebruiken onder Mac OS X Deze handleiding beschrijft de inlog en uitlogprocedure voor Externe Toegang. Daarnaast beschrijft het de mogelijkheden binnen de virtuele werkplek

Nadere informatie

1 "log-file": "/var/log/pilight.log" 2 "log-file": "c:/pilight/pilight.log"

1 log-file: /var/log/pilight.log 2 log-file: c:/pilight/pilight.log Instellingen Instellingen...1 Introductie...2 Basis...2 port...2 standalone...2 pid-file...2 log-file...2 log-level...2 whitelist...3 stats-enable...3 watchdog-enable...3 Module paden...4 action-root...4

Nadere informatie

Inleiding. Hoofdstuk 1

Inleiding. Hoofdstuk 1 Hoofdstuk 1 Inleiding In dit verslag bespreken wij de beveiliging van een wereldwijd gebruikt communicatiemiddel, namelijk de mobiele telefoon. We bespreken kort de algoritmes voor identificatie en versleuteling

Nadere informatie

Code signing. Door: Tom Tervoort

Code signing. Door: Tom Tervoort Code signing Door: Tom Tervoort Wat is code signing? Digitale handtekening onder stuk software Geeft garanties over bron Voorkomt modificatie door derden Bijvoorbeeld met doel malware toe te voegen Ontvanger

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor medewerkers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor medewerkers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor medewerkers Je bent zichtbaarder dan je denkt Informatie voor medewerkers 2 Inleiding Iedereen maakt steeds

Nadere informatie

Insecurities within automatic update systems

Insecurities within automatic update systems Can patching let a cracker in?. Peter Ruissen Robert Vloothuis RP2 Project OS3 System and Network Engineering University of Amsterdam June 28, 2007 1 2 3 4 Linux distributies Java Runtime Environment Mozilla

Nadere informatie

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN Remote Dial In User. DrayTek Smart VPN Client VPN Remote Dial In User DrayTek Smart VPN Client VPN Remote Dial In Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde (geautoriseerd en/of versleuteld) verbinding

Nadere informatie

Snelstart Server Online voor Windows en Linux Versie september 2014

Snelstart Server Online voor Windows en Linux Versie september 2014 Snelstart Server Online voor Windows en Linux Versie september 2014 Inhoudsopgave Hoofdstuk 1. Inleiding 3 Hoofdstuk 2. Server Online Windows voor het eerst gebruiken 4 2.1 Inloggen op Zelfservice Cloud

Nadere informatie

PRIVACY POLICY MENUEZ INTERNATIONAL B.V.

PRIVACY POLICY MENUEZ INTERNATIONAL B.V. PRIVACY POLICY MENUEZ INTERNATIONAL B.V. Privacy policy Artikel 1 Inleiding 1. MENUEZ exploiteert een systeem (het systeem) ten behoeve van orderopvolging voor de creatie van marketing communicatiemiddelen.

Nadere informatie

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2)

Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Definities en afkortingen (bijlage bij CP DigiNotar gekwalificeerd 2.16.528.1.1001.1.2) Abonnee (=Cliënt=Subscriber) De natuurlijke persoon of rechtspersoon of groep van natuurlijke en/of rechtspersonen

Nadere informatie

een overzicht LogMeIn Rescue LogMeIn Rescue-architectuur

een overzicht LogMeIn Rescue LogMeIn Rescue-architectuur LogMeIn Dit artikel geeft een overzicht van de architectuur achter LogMeIn. 1 Inleiding 2 Vertrouwelijkheid van gegevens 3 Verificatie 4 Sleutelovereenkomst 5 Berichten uitwisselen 6 Verificatie en autorisatie

Nadere informatie

ICT en de digitale handtekening. Door Peter Stolk

ICT en de digitale handtekening. Door Peter Stolk ICT en de digitale handtekening Door Peter Stolk Onderwerpen Elektronisch aanleveren van akten Issues bij de start Aanbieders van akten Hoe krijgen we ze zover? Demonstratie Welke technieken hebben we

Nadere informatie

Server Online Aan de slag met Server Online

Server Online Aan de slag met Server Online Server Online Aan de slag met Server Online Inhoudsopga ve 1 Inleiding... 3 2 Server Online Windows voor het eerst gebruiken... 4 2.1 Inloggen op Zelfservice ICT-diensten... 4 2.2 Verbinding maken met

Nadere informatie

2 Eisenanalyse. 2.1 Functionele eisen het UseCaseDiagram

2 Eisenanalyse. 2.1 Functionele eisen het UseCaseDiagram 2 Eisenanalyse 2.1 Functionele eisen het UseCaseDiagram beschrijvingen van de UseCases en/of prototype Inloggen Inloggen Deze usecase zorgt ervoor dat de gebruiker zich kan inloggen op het systeem. lid

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie

1. inleiding. Dit werk is gelicenseerd onder een Creative Commons Naamsvermelding NietCommercieel GelijkDelen 3.0 Unported licentie 1. inleiding Misschien zonder het te beseffen, maak je dagelijks gebruik van computernetwerken. Of je nu WhatsApp gebruikt om je vrienden een bericht te sturen of Google Chrome om iets op te zoeken, je

Nadere informatie

Datacommunicatie Cryptografie en netwerkbeveiliging

Datacommunicatie Cryptografie en netwerkbeveiliging Datacommunicatie Cryptografie en netwerkbeveiliging ir. Patrick Colleman Inhoud Voorwoord 1 1. Inleiding Wat 2 2. Model 5 3. Systemen 5 3.1 Substitutiesystemen 6 3.1.1 Caesar 6 3.1.2 Monoalfabetische vercijfering

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding . Gebruikershandleiding Inhoudsopgave 1 Inleiding... 3 1.1 Wat is Citrix?... 3 1.2 Voordelen van Citrix... 3 1.3 Wat heeft u nodig om toegang te krijgen... 3 2 Systeemeisen... 4 2.1 Ondersteunde Web browsers...

Nadere informatie

VPN Remote Dial In User. Windows VPN Client

VPN Remote Dial In User. Windows VPN Client VPN Remote Dial In User Windows VPN Client VPN Remote Dial In User Met een Virtual Private Network (VPN) is het mogelijk om door middel van een beveiligde(geautoriseerd en/of versleuteld) verbinding te

Nadere informatie

VU POINT Camera Toevoegen

VU POINT Camera Toevoegen VU POINT Camera Toevoegen Installatie: Verbind de camera via een UTP kabel met de router. Sluit de 12v aan op de camera. Hierna zal de VU Point camera opstarten, waarna deze via DHCP een adres zal verkrijgen

Nadere informatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:

Nadere informatie

Gebruikershandleiding E-Zorg Remote Access op Android.

Gebruikershandleiding E-Zorg Remote Access op Android. Inhoud 1) Inleiding Pagina 2 2) Het token Pagina 2 3) Junos Pulse installeren en configureren Pagina 3 4) Een verbinding maken met Junos Pulse Pagina 4 5) Een werkstation op afstand overnemen Pagina 6

Nadere informatie

Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6

Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6 Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6 Versie 1.0 Datum 18-06-2008 Status definitief Bestandsnaam 20080618 - ZOVAR Instructie IIS6.doc (ZV30.01) Inhoudsopgave 1 Inleiding

Nadere informatie

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop 1 Agenda Injection Cross Site Scripting Session Hijacking Cross Site Request Forgery #1 OWASP #2 top 10 #3 #5 Bezoek www.owasp.org

Nadere informatie

Handleiding Cryptoboss

Handleiding Cryptoboss 1 Handleiding Cryptoboss Inhoudsopgave Het opstarten van de cryptoboss 3 t/m 5 De eerste stap binnen Cryptoboss 6 t/m 7 Verbinding maken met Internet 8 Het gebruik binnen Cryptoboss 9 Wickr 10 t/m 11 Claws

Nadere informatie

Handleiding. Kliksafe Webmail

Handleiding. Kliksafe Webmail Handleiding Kliksafe Webmail Inhoudsopgave 1. Introductie Nieuwe Web mail 2 1.1. Gebruikmaken van de webmail 2 1.2. Mappenweergave 3 1.3. Nieuwe mail opstellen en verzenden 4 1.4. Bijlagen toevoegen aan

Nadere informatie

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014

Aanpak A58 security issues. Door P. Goossens, 31 oktober 2014 Aanpak A58 security issues Door P. Goossens, 31 oktober 2014 Het PCP A58 Spookfile project Security, wat is dat en delen we hetzelfde beeld? Security aanpak > Analyse High Level Architecture > Over The

Nadere informatie

Internetbankieren móét en kán veiliger

Internetbankieren móét en kán veiliger Internetbankieren móét en kán veiliger Ruud Kous IT-Architect IBM Nederland Presentatie scriptie IT-Architectenleergang 12 en 13 juni 2008 Agenda Internetbankieren móét veiliger Internetbankieren kán veiliger

Nadere informatie

Computernetwerken Deel 2

Computernetwerken Deel 2 Computernetwerken Deel 2 Beveiliging Firewall: toegang beperken IDS: inbraak detecteren en alarmeren Encryp>e: gegevens verbergen Firewall Waarom? Filteren van pakkeben Wildcard mask: omgekeerd subnetmasker

Nadere informatie

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server

Nadere informatie

HDN DARTS WEB AUTHENTICATIE

HDN DARTS WEB AUTHENTICATIE HDN DARTS WEB AUTHENTICATIE HDN Helpdesk T: 0182 750 585 F: 0182 750 589 M: helpdesk@hdn.nl Copyright Communications Security Net B.V. Inhoudsopgave 1. INLEIDING OP HET ONTWERP... 3 1.1 HET DOEL VAN DIT

Nadere informatie

computernetwerken F. Vonk versie 4 21-11-2015

computernetwerken F. Vonk versie 4 21-11-2015 2015 computernetwerken F. Vonk versie 4 21-11-2015 inhoudsopgave 1. inleiding... - 2-2. datacommunicatie... - 3-3. het TCP/IP model... - 6-4. protocollen... - 8-5. computernetwerken... - 15-6. netwerkapparatuur...

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

Handleiding E-mail clients

Handleiding E-mail clients Handleiding E-mail clients Inhoudsopgave Handleiding E-mail clients... 1 1 POP of IMAP... 2 2 Outlook... 2 2.1 Instellen Mailaccount... 2 Stap 1... 2 Stap 2... 2 Stap 3... 3 Stap 4... 3 Stap 5... 3 Stap

Nadere informatie

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen

Smart cards en EMV. Joeri de Ruiter. Digital Security, Radboud University Nijmegen Smart cards en EMV Joeri de Ruiter Digital Security, Radboud University Nijmegen Smart cards Processor en geheugen Contact of draadloos Tamper resistant Gebruikt voor Bankpassen OV Chipkaart SIM kaarten

Nadere informatie

Laten we eens beginnen met de mouwen op te stropen en een netwerk te bouwen.

Laten we eens beginnen met de mouwen op te stropen en een netwerk te bouwen. Practicum Filius In deze proefles gaan we jullie kennis laten maken met computernetwerken. Na afloop van dit practicum heb je een goede basis van waar een netwerk uit kan bestaan, hoe je een netwerk bouwt

Nadere informatie

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Schrijver: Hans Heising 24-07-2008 Copyright RAM Mobile Data B.V. 1 Copyright RAM Mobile Data B.V. 2 Inhoudsopgave Mobiele datacommunicatie

Nadere informatie

Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010

Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010 Aan de slag met DNS Jeroen van Herwaarden, Robbert-Jan van Nugteren en Yannick Geerlings 19-3-2010 Inhoud Hoofdstuk 1 Inleiding... 3 Hoofdstuk 2 Algemene informatie over DNS... 4 Hoofdstuk 3 Verschillende

Nadere informatie

Analyse probleem remote execution

Analyse probleem remote execution Analyse probleem remote execution Karel Nijs 2005-09-28 1.1 Beschrijving van het project De bedoeling van de GUI is een gemakkelijke uitvoering van verschillende checks van ICs. De GUI moet in Tcl/Tk ontworpen

Nadere informatie

Web Handleiding. semper vigilant Fall 2014 LOCALBOX 1.1.3

Web Handleiding. semper vigilant Fall 2014 LOCALBOX 1.1.3 Web Handleiding semper vigilant Fall 2014 Functionaliteiten web-based 2 Inloggen 2 Home 3 Uploaden: 4 Opties: 6 Map Delen: 6 Beheer Links 8 Functionaliteiten App-based 12 Hoger niveau 16 Acties op bestanden

Nadere informatie

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN IPSec Protocol VPN LAN-to-LAN De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server

Nadere informatie

Cloud2 Online Backup - CrashplanPRO

Cloud2 Online Backup - CrashplanPRO Cloud2 Online Backup - CrashplanPRO Handleiding- CrashplanPRO - Online Backup Download de clients hier: Windows 32- bit: http://content.cloud2.nl/downloads/back01- cra.backupnoc.nl/crashplan_x86.exe Windows

Nadere informatie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP Vigor 1000, 2130 en 2750 serie VPN LAN-to-LAN PPTP De DrayTek producten beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder

Nadere informatie

Intern communicatie systeem voor de horeca

Intern communicatie systeem voor de horeca Intern communicatie systeem voor de horeca Gebruikershandleiding Versie 2.7 Werkt in horeca! Inhoudsopgave 1 Inloggen 3 1.1 Inloggen 3 1.2 Module selecteren 3 2 Feebz Settings 4 2.1 Mailgroepen 5 2.2 Gebruikers

Nadere informatie

Aandachtspunten voor installatie suse in vmware server

Aandachtspunten voor installatie suse in vmware server Aandachtspunten voor installatie suse in vmware server Voorbereiden van vware virtueel machine: 1. Select linux Suse linux 2. Maak disksize 5Gb Denk er als je virtual machine wilt draaien op FAT32 vink

Nadere informatie

BULLETIN. SSL or no SSL hoe beveilig je je website? Nog meer in dit nummer: Veilig gebruik van WIFI-hotspots Verschillende soorten SSL

BULLETIN. SSL or no SSL hoe beveilig je je website? Nog meer in dit nummer: Veilig gebruik van WIFI-hotspots Verschillende soorten SSL Nieuwsmagazine 2Business NUMMER: 2 BULLETIN SSL or no SSL hoe beveilig je je website? Nog meer in dit nummer: Veilig gebruik van WIFI-hotspots Verschillende soorten SSL bulletin 1 Copyright 2Business Harmelen

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie