Architectuur van join.me



Vergelijkbare documenten
cbox UW BESTANDEN GAAN MOBIEL! VOOR ANDROID-SMARTPHONES EN -TABLETS GEBRUIKERSHANDLEIDING

cbox UW BESTANDEN GAAN MOBIEL! WEBINTERFACE GEBRUIKERSHANDLEIDING

een overzicht LogMeIn Rescue LogMeIn Rescue-architectuur

cbox UW BESTANDEN GAAN MOBIEL! VOOR SMARTPHONES EN TABLETS MET HET ios BESTURINGSSYSTEEM GEBRUIKERSHANDLEIDING

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

Handleiding. Online backup PC

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

Snelle installatiegids voor Symbian

Installatie Remote Backup

Microsoft Office 365 voor bedrijven. Remcoh legt uit

TeamViewer beveiligingsinformatie

Water Sensor Uitbreiding Quickstart Guide Model No. WLS1300

Handleiding. Opslag Online voor Windows Phone 8. Versie augustus 2014

Handleiding. Opslag Online. voor Android. Versie februari 2014

Online Backup. Informatiebrochure. Met uw keuze voor Webwedo kunt u zeker zijn van een goed betrouwbaar product.

cbox UW BESTANDEN GAAN MOBIEL! VOOR LAPTOPS EN DESKTOPS MET WINDOWS PRO GEBRUIKERSHANDLEIDING

FAQ Accept . Antwoorden op veelgestelde vragen

Dienstbeschrijving Cloud. Een dienst van KPN ÉÉN

HANDLEIDING BEELDBEZOEK PC

ActiviteitenTracking Sensor Uitbreiding Quickstart Guide Model No. ADS1301

Handleiding toegang op afstand van de gemeente Sittard-Geleen. De 1 e keer gebruik maken van de toegang op afstand :

Webmail met Outlook Web Access

Handleiding. Opslag Online. voor Windows. Versie februari 2014

Tien functies die u geprobeerd moet hebben. LogMeIn Rescue

PRIVACY POLICY MENUEZ INTERNATIONAL B.V.

Intranet Instructie ICT dienstverlening

Handleiding beginnen met de Calculus VIP app. Voor zorgverleners. Datum Juli 2017 Calculus Software

Plugwise binnen de zakelijke omgeving

Externe Sirene Uitbreiding Quickstart Guide Model No. SRN1300

VisiBox Online Blad 2 van 6

Twist HD camera Uitbreiding Quickstart Guide Model No. IPC2201

Instructies Windows Live Mail Pagina 1

Werkinstructie thuiswerken voor het installeren van de software en handleiding. Gemeente Beverwijk

Installatie Cloud Backup

Handleiding beginnen met de Calculus VIP app. Voor zorgverleners. Datum Januari 2017 Calculus Software

Beveiligingsbeleid. Online platform Perflectie

ZN Handleiding GERRIT token gebruik

Handleiding inloggen met tweestapsverificatie

Instructies Microsoft Outlook Express Pagina 1

4Problemen met zakendoen op Internet

Dienstbeschrijving MSSL Licenties

Hoofdscherm Bovenste knoppen

Infrarood Beweging Sensor Uitbreiding Quickstart Guide Model No. PIR1301

Werken zonder zorgen met uw ICT bij u op locatie

Handleiding portal Ons Middelbaar Onderwijs

PersonalSign 3 Pro. Handleiding voor het aanvragen en installeren van certificaten

Net2 Anywhere - Installatie

SCHOUWEN MET DE BURGERSCHOUW APP HANDLEIDING VOOR BEWONERS

Handleiding Office 365 IN EEN NOTENDOP ALLES OVER OFFICE 365 CARLO KONIJN CHI COMPUTERS HEERHUGOWAARD

Brand + Koolmonoxide Sensor Uitbreidingen Quickstart Guide Model No. SNH1300

Handleiding DocProof ELA

cbox UW BESTANDEN GAAN MOBIEL VOOR MAC OSX-CLIENT GEBRUIKERSHANDLEIDING

Inleiding. Met vriendelijke groet, functioneel applicatie beheerder.

Handleiding. Opslag Online. voor Mac - OSX 10.6 en hoger. Versie februari 2014

VisiBox. Procesbeheersing met de juiste planning software

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Wi-Fi Range Extender Uitbreiding Quickstart Guide Model No. WRP1220

SYSTEEMEISEN VOOR FACET FEBR. 2013

Garage Deur Sensor Uitbreiding Quickstart Guide Model No. GDS1300

Inhoudsopgave Disclaimer... 3 Voorwoord... 4 Inleiding... 5 Het downloaden van XAMPP... 7 Het installeren van XAMPP... 8 Joomla installeren op

Inloggen bij het bedrijf waarvoor u beheerder wilt worden. (zonder een Mobi-ID is het niet mogelijk het beheer uit te voeren)

Afstandsbediening Uitbreiding Quickstart Guide Model No. RMC1301

Gebruikershandleiding E-Zorg Remote Access.

Prowise Pro Connect 2.0 Technische documentatie

Handleiding. NZa-uitwisselportaal. Veilig bestanden uitwisselen

FerdiWeb Back-up. Installatie FerdiWeb Back-up

Inleiding. Met vriendelijke groet, functioneel applicatie beheerder.

Handleiding DocZend. Versie 1.2 januarie Copyright KPN Lokale Overheid

Procedure activeren van de MFA applicatie op een mobiele telefoon

Peelland ICT Online Back-up

"SAP" betekent het SAP-bedrijf waarmee u een contract hebt voor de service.

Basis communicatie netwerk

UWV Security SSD Instructies

Databeveiliging en Hosting Asperion

Enterprise SSO Manager (E-SSOM) Security Model

Gebruikersgids. UPS Factureringcentrum

Externe Toegang installeren en gebruiken onder Mac OS X

Dienstbeschrijving Versie 1.2 Oktober 2014

Handleiding: Telewerken op Windows

MSSL Dienstbeschrijving

Externe toegang met ESET Secure Authentication. Daxis Versie 2.0

SYSTEEMEISEN FACET 4.0

NAS 224 Externe toegang Handmatige configuratie

Nederlands Normalisatie Instituut

AFO 142 Titel Aanwinsten Geschiedenis

Handleiding VANAD Comvio SBC Windows

Adobe ID aanmaken en Adobe Digital Editions installeren voor Windows

Transcriptie:

Een technisch overzicht van de beveiligde, betrouwbare architectuur van join.me

1 Inleiding 2 Overzicht van de architectuur 3 Gegevensbeveiliging 4 Sessie- en websitebeveiliging 5 Hosting-overzicht 6 Conclusie Inleiding join.me is een eenvoudige maar krachtige oplossing voor het delen van schermen. Het product is veilig, onbeperkt schaalbaar, biedt een beschikbaarheid van minimaal 99,99% en kan na een bezoekje aan de join.me-website binnen enkele seconden in gebruik worden genomen. In dit document wordt beschreven hoe we dit allemaal mogelijk maken. Overzicht van de architectuur Een typische join.me-sessie heeft in elk geval de volgende onderdelen: Presentator Presentator-software Webserver Database Toepassingsserver Toeschouwer (één of meer) Toeschouwer-software (één of meer) database toeschouwer presentator webserver toeschouwer toepassingsserver toeschouwer 1

Een typische sessie verloopt als volgt: De presentator downloadt de presentator-software vanaf de webserver De presentator-software maakt verbinding met een toepassingsserver De toepassingsserver vraagt een nieuwe sessie aan bij de database De presentator ontvangt de sessiecode Een toeschouwer maakt verbinding met de webserver en geeft de sessiecode op (de toeschouwersoftware wordt in de browser uitgevoerd, zodat de sessie snel kan worden gestart) De webserver meldt de nieuwe toeschouwer aan bij de database en voorziet de toeschouwer van sessiegegevens De toeschouwer krijgt verbinding met de toepassingsserver waarmee de presentator verbinding heeft gemaakt De presentator stuurt gegevens (zoals schermafbeeldingen, chatberichten, bestanden) naar de toepassingsserver De toepassingsserver stuurt de gegevens door naar de juiste toeschouwers De toeschouwers communiceren met de presentator via de toepassingsserver (bijvoorbeeld door het versturen van chatberichten of bestanden) In wezen communiceert de presentator-software, nadat de sessie tot stand is gebracht, via een specifieke toepassingsserver met één of meer toeschouwers. Het systeem biedt meerdere lagen van redundantie. Wanneer we de architectuur aan de serverzijde bekijken, worden de redundantielagen op het hoogste niveau duidelijk. datacenter 1 datacenter 2 actieve database passieve database datacenter 3 datacenter 4 2

Op het moment van publicatie van dit artikel zijn de join.me-servers gehuisvest op vier geografisch verspreide datacenters die met elkaar zijn verbonden via een volledig vermaasd VPN-netwerk (als datacenter DC1 bijvoorbeeld de verbinding met DC2 zou verliezen, verloopt de communicatie via DC3 of DC4). De communicatie tussen de datacenters onderling is cruciaal, omdat maar één van de datacenters de actieve join.me-database huisvest, die de kern van het systeem vormt. In het voorbeeld is dit datacenter DC1. Een van de andere datacenters (in het voorbeeld DC2) huisvest een zogenaamde passieve database, die doorlopend logboekgegevens over de databasetransacties van de actieve database ontvangt. Als DC1 enige tijd niet beschikbaar is, kan de passieve database in DC2 snel online worden gebracht om de activiteiten voort te zetten. In elk van de vier datacenters zijn webservers (ws) en toepassingsservers (ts) gehuisvest. Servers communiceren binnen dezelfde faciliteit via een lokaal netwerk en daarbuiten via het vermaasde VPN-netwerk. Presentators maken verbinding met een toepassingsserver op basis van geografische load-balancing. Eerst wordt een datacenter toegewezen op basis van beschikbaarheid, nabijheid en werklast. Vervolgens wordt een bepaalde toepassingsserver binnen dit datacenter toegewezen op basis van beschikbaarheid en werklast. Door middel van logica in de toepassingen wordt gewaarborgd dat toeschouwers altijd verbinding maken met dezelfde toepassingsserver als de presentator. Dit is belangrijk, omdat de toepassingsserver de sessiestatus in het geheugen houdt (bijvoorbeeld het actuele scherm van de presentator). Wanneer een toepassingsserver of datacenter offline gaat of onbereikbaar wordt voor de presentator, wordt de sessie binnen enkele seconden gemigreerd naar een andere toepassingsserver. De gebruikers merken dit alleen aan een korte onderbreking. Webservers binnen een datacenter zijn eveneens uitwisselbaar omdat ze de sessiestatus met elkaar delen via een cache-cluster met grote capaciteit. Gegevensbeveiliging join.me voldoet aan de volgende vereisten voor beveiligde communicatiesystemen: Authenticatie van de communicerende partijen Vertrouwelijke uitwisseling van berichten Detectie van beschadigde berichten Op protocolniveau maakt join.me gebruik van SSL voor de beveiliging van de communicatie. RSA wordt gebruikt als protocol voor de sleuteluitwisseling en de gegevenscodering vindt doorgaans plaats op basis van AES256 (of AES256-SHA). Alle moderne browsers ondersteunen AES256-SHA, met inbegrip van de huidige versies van Internet Explorer, Firefox en Chrome. Elke sessie wordt beveiligd via het SSL-certificaat van de toepassingsserver. De toepassingsserver fungeert als eindpunt voor de SSL-verbindingen die door de toeschouwers en de presentator tot stand zijn gebracht (in tegenstelling tot alle andere producten van LogMeIn). De reden hiervoor ligt voor de hand: hoewel één enkel toeschouwer/presentator-paar in principe gebruik zou kunnen maken van end-to-end encryptie met de toepassingsserver als eenvoudige netwerkrelay, wordt dit onwerkbaar zodra er meerdere toeschouwers zijn. Het systeem is zodanig ontworpen dat er meerdere toeschouwers worden ondersteund zonder dat de bandbreedte voor de presentator wordt beperkt. Alle join.me-communicatie wordt beveiligd via SSL, met inbegrip van de toegang tot de website zelf. Er worden geen sessiegegevens zoals schermen of chatlogbestanden op onze servers opgeslagen, tenzij u ervoor kiest de sessie op te nemen met de opnamefunctie van join.me. Opnamen worden op de LogMeIn-servers opgeslagen via de eigen LogMeIn Cubby-service voor cloudopslag. U kunt uw opnamen op elk gewenst moment van onze servers verwijderen. Sessie- en websitebeveiliging Sessies worden geïdentificeerd en beveiligd via sessiecodes. Tijdelijke sessiecodes bestaan uit negen cijfers en worden na afloop van de sessie gerecycled. 3

LogMeIn heeft op basis van actuele gebruikscijfers vastgesteld dat bij negen cijfers de kans op conflicten verwaarloosbaar klein is. Vanwege de toenemende populariteit van join.me zullen de tijdelijke sessiecodes op een gegeven moment langer worden gemaakt. Statische sessiecodes ( persoonlijke links ) zijn beschikbaar voor betalende klanten. Een persoonlijke link is een door de gebruiker gedefinieerde alfanumerieke string van maximaal 127 tekens. Een goed gekozen persoonlijke link is vrijwel onmogelijk te raden, maar kan vanwege het statische karakter alleen worden gebruikt tussen volledig betrouwbare partijen. Wanneer een statische code wordt gebruikt, starten de sessies in de geblokkeerde modus en moet de presentator elke toeschouwer afzonderlijk goedkeuren. Toeschouwers worden op het systeem geauthenticeerd aan de hand van de sessiecode. De authenticatie tegenover de presentator gebeurt impliciet ( als de toeschouwer de code heeft, moet deze wel van de presentator afkomstig zijn ), maar toeschouwers kunnen ook een schermnaam invoeren. Dit is handig wanneer er meerdere deelnemers zijn. Presentators kunnen de website gebruiken voor spontane sessies zonder zich aan te melden: in dat geval zijn ze anoniem en worden ze alleen geauthenticeerd via de sessiecode die door het systeem wordt gegenereerd. Wanneer presentators ervoor kiezen zich aan te melden (om aan geplande sessies deel te nemen of om een statische code te gebruiken), dan worden ze geauthenticeerd via een combinatie van e-mailadres en wachtwoord. join.me vraagt om een geldig e-mailadres (dat geverifieerd wordt) en een wachtwoord van minimaal zes tekens. Tijdens de registratie wordt de gebruiker via een eenvoudige indicatie van de wachtwoordsterkte aangemoedigd een sterk wachtwoord te kiezen. Presentators kunnen ervoor kiezen hun aanmeldingsgegevens door de website te laten onthouden, zodat ze automatisch worden aangemeld wanneer ze de join.me-website de volgende keer bezoeken vanaf dezelfde combinatie van browser en apparaat. De Onthoud mij -functie kan niet worden gebruikt voor het uitvoeren van risicogevoelige functies, zoals het wijzigen van accountgegevens. De gebruiker moet altijd een geldig wachtwoord invoeren om risicogevoelige functies uit te kunnen voeren. De Onthoud mij -functie werkt met een persistent cookie, beveiligd met AES-codering. De integriteit van het cookie wordt geverifieerd via HMAC-SHA256. Het cookie bevat de unieke identificatiecode van de gebruiker en andere relevante metagegevens en wordt aan de serverzijde gecodeerd en gedecodeerd via een symmetrische algoritme. Presentators kunnen ook software downloaden en op hun computers installeren om sessies voor het delen van schermen te kunnen uitvoeren zonder steeds de website te bezoeken. Deze software (de join.me bureaubladapp) kan aan de account van een presentator worden gekoppeld om toegang te krijgen tot geplande sessies en statische codes. Wanneer de presentatorsoftware aan een account is gekoppeld, ontvangt de software een token van 32 tekens dat door een cryptografisch willekeurige algoritme wordt gegenereerd op basis van een alfabet van 62 tekens (hoofd- en kleine letters en cijfers). Dit token wordt permanent op de computer van de presentator opgeslagen en wordt door de software gebruikt voor authenticatie op het systeem. Hosting-overzicht De join.me-service gebruikt gemeenschappelijke hostingfaciliteiten met alle andere LogMeIn-services. Deze tier-1 colocatiefaciliteiten hebben de volgende kenmerken: Gelaagde beveiligingsprocedures, biometrische toegangssystemen, 24-uurs cameratoezicht en alarmbewaking Niet-onderbreekbare redundante stroomvoorziening (wissel- en gelijkstroom), noodstroomaggregaten op locatie Redundant HVAC-ontwerp met luchtdistributie onder een verhoogde vloer voor maximale controle over de temperatuur Rookdetectiesysteem boven en onder de verhoogde vloer en dubbel-gekoppelde, anticiperende brandbeveiliging met droge blusleidingen. De LogMeIn-servers (inclusief alle join.me-servers) bevinden zich in alle datacenters in aparte rekken. Deze rekken worden beveiligd met een dubbel elektronisch slot (biometrisch en pincode). 4

De LogMeIn-infrastructuur in elk van de datacenters is met het internet verbonden via meerdere 10-Gb uplinks van diverse tier-1 NSP s. De routers aan de netwerkperimeter zijn in een actieve/passieve configuratie geclusterd en volledig vermaasd verbonden met een actieve/passieve firewall-cluster. De firewalls zijn volledig vermaasd verbonden met een actieve/passieve loadbalancer-cluster op IPniveau. Achter de firewalls bevindt zich een DMZ met de webservers en de toepassingsservers. De databaseservers communiceren met de servers in de DMZ via een non-routable privé-lan. Er is een intern IDS-systeem geïmplementeerd om inbraken en toegang door onbevoegden te detecteren en te voorkomen. De fysieke toegang tot de rekken wordt streng bewaakt en is beperkt tot een team van vier netwerktechnici. De logische toegang voor beheer en software-implementatie op afstand vindt plaats via de eigen services van LogMeIn (LogMeIn Pro) en een out-of-band SSH-gateway. De toegang op afstand door beheerders wordt beveiligd via dubbele authenticatie (gebruikersnaam/wachtwoordcombinatie plus een hardware- of softwaretoken). Alle servers worden maandelijks intern gecontroleerd en er zijn driemaandelijkse en jaarlijkse externe audits. Tijdens de audits en controles worden de serverconfiguraties nagelopen en worden er penetratietests op het netwerk uitgevoerd. Conclusie De join.me-service oogt misschien bedrieglijk eenvoudig, maar is gebaseerd op een hoogwaardige architectuur die tegemoetkomt aan de wensen van zelfs de meest veeleisende gebruikers. Nadere informatie kan worden verstrekt na ondertekening van een geheimhoudingsverklaring. Vragen? +1-877-251-8373 of help.join.me Alle rechten voorbehouden, LogMeIn 2014 320 Summer Street, Boston, MA 02210, V.S.

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback