Netwerken & Internetten Inhoud

Forensische informatica Netwerken & Internetten 1-59 Netwerken & Internetten Inhoud Netwerken & Internetten... 1 Inhoud...1 1. Netwerken...3 1.1. Inleiding...3 1.2. Wat is een netwerk?...3 1.3. Soorten netwerken... 4 1.3.1. Indeling van netwerken naar omvang :... 4 1.3.1.a. Mainframe en minicomputer... 4 1.3.1.b. LAN...5 1.3.1.c. WAN...5 1.3.1.d. Wereldwijde netwerken (internet)... 6 1.3.2. Indeling van netwerken naar hun vorm:... 6 1.3.2.a. Netwerktopologieën... 6 1.3.2.b. punt-naar-punt... 7 1.3.2.c. Ster (Star)...7 1.3.2.d. Maasvorm (mesh)... 7 1.3.2.e.Ring...7 1.3.2.f. Bus...8 1.3.3. Indeling van netwerken naar hun gebruik... 8 1.3.3.a. Peer to Peer (P2P) netwerk... 8 1.3.3.b. Dedicated-server netwerk... 8 1.3.3.c. Host-netwerken... 9 1.4. De geschiedenis van het Internet... 9 1.5. De geschiedenis van TCP/IP... 10 1.6. Netwerkarchitecturen... 11 1.6.1. Inleiding... 11 1.6.2. Referentiemodellen en terminologie... 12 1.6.3. Het OSI-netwerk referentiemodel... 13 1.6.3.a. Inleiding... 13 1.6.3.b. Bespreking van het OSI-Model... 14 1.6.3.c. Uitbreiding van het OSI-Model... 18 1.6.4. Het TCP/IP Model of Internet - Model... 18 1.6.4.a. Inleiding... 18 1.6.4.b. Bespreking van het TCP/IP protocol...20 1.6.4.c. De voor- en nadelen van TCP/IP... 20 1.6.5. Vergelijking van het OSI-model en TCP/IP... 21 1.7. TCP/IP - Protocollen... 22 1.7.1. Inleiding... 22 1.7.2. Protocollen van de application layer... 22 1.7.2.a. FTP: File Transfer Protocol... 23 1.7.2.b. HTTP: Hyper Text Transfer Protocol... 24 1.7.2.c. HTTPS-protocol... 25 1.7.2.d. SMTP: Simple Mail Transfer Protocol... 25 1.7.2.e. POP: Post Office Protocol... 26 1.7.2.f. IMAP: Internet Message Access Protocol... 27

Forensische informatica Netwerken & Internetten 2-59 1.7.2.g. SNMP: Simple Network Management Protocol... 28 1.7.2.h. NNTP: Network News Transfer Protocol... 31 1.7.2.i. Telnet...36 1.7.3. De protocollen van de Transport layer... 38 1.7.3.a. TCP (Transmission Control Protocol)... 38 1.7.3.b. UDP (User Datagram Protocol)... 38 1.7.4. De protocollen van de Netwerk layer... 39 1.7.4.a. IP (Internet Protocol).... 39 1.7.4.b. ARP (Address resolution Protocol)... 39 1.7.4.c. RARP (Reverse Address Resolution Protocol)... 42 1.7.4.d. ICMP (Internet Control Message Protocol)... 42 1.7.5. De protocollen van de Data Link Layer...42 1.7.5.a. SLIP (Serial Line Internet Protocol)... 42 1.7.5.b. PPP (Point-To-Point Protocol)... 43 1.8. TCP/IP netwerkcomponenten... 43 1.8.1. DNS...43 1.8.1.a. Wat is DNS?... 43 1.8.1.b. Hoe werkt DNS?... 44 1.8.2.Het DHCP/ BootP protocol... 45 1.8.2.a. Inleiding.... 45 1.8.2.b. Het DHCP-protocol.... 45 1.8.2.c. BootP -protocol.... 46 1.8.2.d. Het verband tussen DHCP en BootP... 48 1.8.3. Computerpoorten... 48 1.9. IP-Adressen - Subnetten... 49 1.9.1. Inleiding... 49 1.9.2. Binair rekenen... 49 1.9.4. IP-adressen... 50 1.9.4. Super- en subnetten... 52 1.9.4.a; Berekenen van subnetmasks...53 Bijlage I: Top-level domains geregistreerd in de wereld... 56

Forensische informatica Netwerken & Internetten 3-59 1. Netwerken 1.1. Inleiding In deze bijdrage zullen we stilstaan bij een aantal basisbegrippen die de werking van netwerken verklaren. Het is de bedoeling na te gaan wat men dient te verstaan onder netwerken, welke netwerkarchitecturen geïmplementeerd worden en hoe deze herkend worden. Er zal kennis gemaakt worden met het gelaagd TCP/IP-model 1 en het OSImodel 2 als voorbeelden van gelaagde protocollen. Daarbij zal even aandacht besteed worden aan de geschiedenis van het Internet, die nauw verbonden is met de ontwikkeling van deze modellen. In een volgend hoofdstuk zullen we nagaan hoe een netwerk dient verkend te worden en welke manipulaties er kunnen gesteld worden om een netwerk te onderzoeken. Daarbij zullen Microsoft Windows en Unix (Linux) als voorbeeld genomen worden. Tenslotte wordt dieper ingegaan op een aantal technische aspecten zoals poorten, IP-adressen en hun identificatie en het gebruik van poorten en netwerkdiensten. 1.2. Wat is een netwerk? Het begrip netwerk hangt nauw samen met het begrip telecommunicatie en dit is niet eenduidig te definiëren. Binnen het begrip valt een bijzonder groot aantal menselijke activiteiten die betrekking hebben op het transport van gegevens. Letterlijk betekent het communicatie op afstand wat oorspronkelijk synoniem stond voor telefonie. 3 Gegevens vormen de basis van elk bedrijf, ongeacht of het gaat om een bank, een stomerij, luchtvaart, of de fabricage van computerchips. Voorraden, salarisadministratie, boekhouding, klantinformatie en adressen van relaties zijn gegevens die van vitaal belang zijn voor een onderneming. Vanuit de gedachte dat de computer een hulpmiddel is voor het werken met gegevens, wordt aangetoond hoe netwerken een aanvulling kunnen zijn op de mogelijkheden die de computer biedt voor het opslaan, uitwisselen, gedeeld gebruiken en beveiligen van gegevens. 4 Een netwerk is een combinatie van technische hulpmiddelen met behulp waarvan gegevens over grote afstanden kunnen 1 Transmission Control Protocol/Internet Protocol 2 Open Sytem Interconnection 3 BENEDICT, B., Handboek bestrijding telecommunicatiefraude: een nieuwe dimensie voor het onderzoek van telecommunicatie, Landelijk Expertisecentrum, Koninklijk vermande, 2002, i.c.p.3 4 CHELLIS, J., PERKINS, Ch. & STREBE M., MCSE De essenties van Networking, Sybex, Soest, 1998, i.c.p.3

Forensische informatica Netwerken & Internetten 4-59 worden uitgewisseld. 5 Deze technische hulpmiddelen vormen meestal een combinatie van computersystemen, besturingssystemen, bekabelingen en satellietverbindingen en kunnen opgedeeld worden volgens hun volume, geografische plaats (LAN & WAN), naar hun gebruik (Peer2Peer, Dedicatedserver, Host-netwerk ) en naar het gebruikte protocol (breedbandnetwerken, ). Steeds meer bedrijven, groot en klein, vertrouwen op personal computers en netwerken voor het opslaan van hun kostbare gegevens. 6 Computers die zijn aangesloten op een netwerk kunnen de uitwisseling van gegevens aanzienlijk sneller en gemakkelijker maken. 7 De gegevens kunnen rechtstreeks verplaatst worden van de ene computer naar de andere zonder dat mensen deze persoonlijk moeten verspreiden. Het meest elementaire netwerk bestaat uit twee onderling verbonden computers die met elkaar kunnen communiceren via een kabel. Bovendien kunnen computers in een netwerk gebruik maken van dezelfde resources, zoals printers en faxmodems, waardoor minder hardware moet aangeschaft worden, wat voordeliger is voor het bedrijf. 1.3. Soorten netwerken Er bestaan sedert het ontstaan van de computer heel wat misverstanden over wat een netwerk juist is. In dit deel zullen we ingaan op een aantal van deze begripsverwarringen en zullen we aantonen dat het afhankelijk is van het computerplatform waarvoor het bedrijf gekozen heeft of men al of niet kan spreken van een netwerk en wat de verschillen juist zijn. Tot slot zullen we zeer kort ingaan op de netwerktopologieën die belangrijke randvoorwaarden stelt aan protocollen, die later bij de bespreking van netwerkarchitecturen, OSI-model en TCP/IP nog aan bod zullen komen. 1.3.1. Indeling van netwerken naar omvang : 1.3.1.a. Mainframe en minicomputer In tegenstelling tot de andere platforms hebben we hier niet te maken met een echt netwerk. Het gaat hier niet noodzakelijk over verschillende computers die met elkaar verbonden zijn. Een mainframe is een computer waarvan de centrale verwerkingseenheid (zeg maar de processor, harde schijven, intern geheugen of RAM, ) een enorme capaciteit heeft. Het is een informaticasysteem dat meestal geleverd wordt met een configuratie die aangepast is aan de noden van de client. Aan de centrale verwerkingseenheid of CPU kunnen dan een aantal terminals gekoppeld worden. Deze terminals kunnen zowel domme terminals zijn die zelf niet beschikken over een geheugen (meestal enkel bestaande uit een scherm en een klavier), of intelligente terminals, dit zijn dan meestal PC s of minicomputers, voorzien van de nodige hardware om te kunnen samenwerken 5 BENEDICT, B., i.c., p. 4 6 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 3 7 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c, p. 6

Forensische informatica Netwerken & Internetten 5-59 met de CPU. Op deze machines gaat men meestal de volledige administratie van het bedrijf laten draaien. De mainframe wordt meestal gebruikt op de hoofdzetel van banken of zeer grote administratieve omgevingen. Om een idee te geven: aan een mainframe kan men gemakkelijk 100 (maximaal 150) domme terminals tegelijk laten werken. De minicomputer is vergelijkbaar met de mainframe, maar zal iets kleiner zijn, met minder terminals en wordt meestal enkel voor bepaalde databasetoepassingen gebruikt (dedicated). Het aantal domme terminals, die samen kunnen werken, kan afhankelijk van de CPU maximaal oplopen tot 50. In geval men intelligente terminals koppelt, zal de mainframe of mini eveneens dienst doen als server. In dat geval kan men wel spreken van een echt netwerk. 1.3.1.b. LAN Een LAN (local area network) is een verzameling computers die systeemelementen zoals schijfruimte, printers, communicatiemiddelen (modems) en andere randapparaten gemeenschappelijk gebruiken. Zoals uit de benaming blijkt gaat het meestal om een fysisch beperkte omgeving. Meestal is de uitgestrektheid van een LAN beperkt tot één gebouw of één site van het bedrijf. Na de opkomst van de PC (personal computers) in de jaren tachtig 8, bleek er in de bedrijfswereld al snel dat er een probleem was bij het uitwisselen van gegevens en het efficiënt gebruik van databanken. Het koppelen van verschillende PC s tot een netwerk was dan ook een logische stap in de evolutie van de informatieverwerking. LAN s maken nu deel uit van de IT-strategie van bedrijven. Zonder op de techniciteit in te gaan, kan men stellen dat een LAN een efficiënt hulpmiddel is bij de bedrijfsvoering. De softwaretoepassingen die ontwikkeld zijn voor gebruik in een LAN zijn gericht op het werken in teamverband (cfr. Groupware: electronisch berichten beheer). Via allerlei technische ingrepen kan men het verkeer op een LAN beperken en tot op zekere hoogte degelijk beveiligen. 1.3.1.c. WAN Een Wide Area Network, gebaseerd op het X.25 protocol (DCS of datacommunicatie switching op basis van packet-switching), is een netwerk 8 12 augustus 1981: de eerste IBM-pc wordt gecommercialiseerd voor 3.000 dollar. De IBM-pc is gebaseerd op de Intel 8088-processor met een kloksnelheid van 4,77 MHz, een 5,25-inch floppydiskette met een capaciteit van 160 KB en 16 KB RAM-geheugen. Microsoft introduceert tegelijk met de IBM-pc de eerste versie van het besturingssysteem MS DOS. Ook komen ook de programmeertalen Basic, COBOL en Pascal voor de IBM-pc op de markt. Hayes Smartmodem 300 is de eerste modem voor de pc.

Forensische informatica Netwerken & Internetten 6-59 van computers gekoppeld over een grotere afstand (soms wereldwijd). Het gaat hier om een koppeling via gehuurde datacommunicatie lijnen. De geografische spreiding kan dus enorm zijn. Meestal wordt een WAN beperkt tot één bedrijf, bestaande uit verschillende sites. De beveiliging van een WAN is zeer ingewikkeld en niet alleen afhankelijk van de bezitter van de computerapparatuur, maar ook voor een belangrijk deel de verantwoordelijkheid van de leveranciers van de communicatielijnen (Telecommunicatie Service Providers ofte TSP). 1.3.1.d. Wereldwijde netwerken (internet) Als we de schaalvergroting, die gedurende de informatica-evolutie heeft plaatsgevonden, doortrekken dan is een logisch gevolg de wereldwijde netwerken, waarbij het internet het bekendste voorbeeld is. De realisatie van snelle verbindingen, zoals koper- en glasvezelkabels, maar ook microgolf- en satellietcommunicatie, maakt dat de traditionele netwerktechnologie (terminalhost verbinding) voorbijgestreefd is. Bibliotheken, universiteiten, ziekenhuizen, gouvernementele organisaties kortom het gehele bedrijfsleven wordt beheerst door netwerken, die wereld omspannend zijn. Het bankwezen gebruikt SWIFT, de reiswereld maakt gebruik van SITA, een reserveringssysteem voor alle luchtvaartmaatschappijen ter wereld en internet voorziet in de behoeften van zowel de wetenschappelijke als de zakenwereld. Al deze wereldwijde netwerken zijn gebaseerd op de concepten en principes die in dit hoofdstuk geschreven zijn. Veel van deze netwerken zijn in werkelijkheid met elkaar verbonden via kleinere netwerken die georgrafisch verspreid liggen (WAN s) dan wel lokaal gebonden zijn aan een gebouwencomplex (LAN s) 9 of gekoppelde mini- en/of mainframecomputers. 10 1.3.2. Indeling van netwerken naar hun vorm: 1.3.2.a. Netwerktopologieën 11 De topologie is de geografische structuur van communicatieverbindingen en systemen die het netwerk vormen. De topologie van een computernetwerk levert belangrijke randvoorwaarden voor de protocollen, het gebruik en het technisch beheer van het netwerk. Op het eerste gezicht lijkt een ideale verbindingsstructuur er een te zijn waarbij ieder computersysteem met ieder ander computersysteem is verbonden. Communicatieverbindingen zijn echter kostbaar. Bovendien, niet iedereen 9 CHESHER, M. AND KAURA, R.;Electronic Commerce and Business Communications, Springer-Verlag, London 1998 10 Kwetsbaarheid op Internet (KWINT), http://www.minvenw.nl/dgtp/home/cgi 11 Dit deel werd volledig overgenomen van: www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf

Forensische informatica Netwerken & Internetten 7-59 communiceert met iedereen, en het aantal computersystemen in een computernetwerk kan voortdurend veranderen. Men streeft daarom naar optimalisatie van de verbindingsstructuren, hetgeen aanleiding geeft tot specifieke topologieën zoals punt-naar-punt, ster, maasvorm, ring, bus en headend (zie Figuur 1.1). 1.3.2.b. punt-naar-punt De punt-naar-punt verbinding (Figuur 1.1a) is de eenvoudigste topologie. Voor de transmissietechnologie levert deze topologie de minste problemen op, omdat iedere ontvanger slechts op een enkele zender hoeft te worden afgestemd. Hierdoor kunnen grote afstanden worden overbrugd. De punt-naarpunt verbinding vormt de basis voor andere, meer complexe topologieën, zoals de ster-, maasvorm- en ringtopologie. 1.3.2.c. Ster (Star) In de stertopologie (Figuur 1.1b) wordt een centraal systeem via een aparte verbinding gekoppeld met ieder ander systeem. Meestal is er een hiërarchische relatie tussen het centrale systeem, of master, en de andere systemen, die dan slaves worden genoemd. De stertopologie is kwetsbaar, omdat uitvallen van het centrale systeem het gehele netwerk platlegt. Deze topologie wordt vaak aangetroffen bij oudere systemen met gecentraliseerde intelligentie, maar komt ook voor bij moderne netwerken met toegangscomputers. 1.3.2.d. Maasvorm (mesh) De maasvormtopologie (Figuur 1.1c) ontstaat meestal als de systemen over een groot gebied (bijv. een land of continent) verspreid zijn en de kostenbeheersing van de verbindingen een onregelmatige structuur noodzakelijk maakt. Bij de maasvormtopologie kunnen berichten via verschillende routes de bestemming bereiken, hetgeen aanleiding geeft tot protocollen voor routering, flow control en congestion control. 1.3.2.e.Ring

Forensische informatica Netwerken & Internetten 8-59 In de ringtopologie (Figuur 1.1d) is ieder systeem met twee andere systemen verbonden, nl. een systeem waarvan berichten ontvangen kunnen worden en een systeem waarnaar berichten gestuurd kunnen worden. De berichten volgen dus een vaste route, waardoor de protocollen voor gegevenstransport relatief eenvoudig kunnen zijn. Een bericht blijft in de ring, totdat een systeem het bericht verwijdert (d.w.z., niet verder doorstuurt). Hierdoor zijn broadcasttoepassingen gemakkelijk te realiseren. 1.3.2.f. Bus De bustopologie (Figuur 1.1e) bestaat uit een niet onderbroken communicatiemedium (bijv. een coaxkabel), waarop verschillende systemen zijn aangesloten. Een systeem kan een bericht op het medium plaatsen, waarna het bericht door ieder systeem gelezen kan worden. De bus heeft hierdoor een inherente broadcasteigenschap, en t.o.v. de ring de voordelen van: geringe vertraging, omdat een bericht rechtstreeks en niet via tussenliggende systemen naar zijn bestemming reist; grote robuustheid, omdat het uitvallen van een systeem niet de rest van het netwerk uitschakelt. Daarentegen heeft de bustopologie een complexer medium access control protocol nodig, om de toegang tot het gemeenschappelijke medium te controleren en te coördineren. Head-end De head-endtopologie (Figuur 1.1f) combineert twee logische (éénrichtings-) bussen, de up-link en de down-link, die aan één zijde door een versterker, de head-end, zijn doorverbonden. Elk systeem is zowel verbonden met de up-link als de down-link. Een systeem kan een bericht op de up-link plaatsen, waarna het bericht zich voortplant naar de head-end, daar wordt versterkt, en op de down-link wordt geplaatst. Daar kan het bericht door ieder systeem worden gelezen. Veel netwerken met een head-endtopologie zijn gebaseerd op de technologie voor kabeltelevisie. Ook satellietnetwerken hebben een head-endtopologie, waarbij de head-end transponder wordt genoemd en in de satelliet is geplaatst. 1.3.3. Indeling van netwerken naar hun gebruik 1.3.3.a. Peer to Peer (P2P) netwerk Peer to Peer netwerken hebben als eigenschap dat er geen server voorzien is. Iedere PC kan direct contact opnemen met de andere PC s en doet dienst zowel als server én als client. Er is dus geen afzonderlijke PC die dienst doet als server. Als een PC uitvalt, blijft het netwerk toch operationeel. Omdat de server ontbreekt is de beheersbaarheid en beheerbaarheid van de data problematischer. Dit netwerk is meestal niet goed beveilligd. 12 1.3.3.b. Dedicated-server netwerk 12 BENEDICT, B., i.c., p.5

Forensische informatica Netwerken & Internetten 9-59 De data wordt hier central opgeslagen op een server. Bestanden die lokaal worden opgeslagen bij de clients zijn niet meer toegankelijk van de andere gebruikers, tenzij sharing wordt toegepast. De meest gebruikte systemen zijn Microsoft Windows NT, Novell Netware of Unix (Linux) netwerken. Er kunnen een groot aantal clients bediend worden en ook de veiligheid kan beter verzekerd worden. 13 De server is een single point of failure, wat betekent dat in dergelijk netwerk een applicatie niet meer functioneert indien een enkel onderdeel van het netwerk uitvalt, nl. de server. 1.3.3.c. Host-netwerken In dat geval staat niet alleen de data op de server, maar draait ook de applicatie op de server. Deze netwerken gebruiken allemaal een krachtige server dit kan eventueel een mainframe zijn. Het gebruikte protocol is TCP/IP of SNA. 14 1.4. De geschiedenis van het Internet Er doen heel wat verhalen de ronde over de geschiedenis van het Internet. Eén van de grote misverstanden is dat het Internet 15 zou ontstaan zijn in de 60er jaren (van de vorige eeuw) als een project van het Ministerie van Defensie van de Verenigde Staten. De bedoeling was een gedecentraliseerd netwerk te creëeren dat nog steeds zou werken als bepaalde delen plat zouden liggen. Dus in plaats van lineair geschakelde computers waarbij het hele netwerk ontregeld is als één schakel ontbreekt, werden de computers als in een web met elkaar verbonden. 16 Internet zou gebouwd zijn als een super-redundant netwerk dat zelfs een kernaanval moest kunnen doorstaan. Zelfs de meest toegewijde pacifist moet toegeven dat kernwapens toch hun nut hebben gehad, of toch niet? 17 De oorsprong van internet dateert weliswaar van de periode van de koude oorlog tussen Amerika en Rusland 18. In 1957 gaat er een schok door de Amerika als de Rusland zijn technologisch leiderschap in de ruimte vestigt door de Sputnik I en Sputnik II binnen een maand na elkaar te lanceren. 19 In die tijd waren de computers van het Amerikaans leger verbonden door één lijn: computer A was verbonden met computer B, computer B met C enz. Computer A kon wel communiceren met computer Z, maar had daarvoor computer B, C,D nodig. Een ketting waarin elke computer de zwakke schakel was. Een militaire ramp wanneer een Russische kernbom computer K zou platleggen, want dan konden A en Z niet meer met elkaar overleggen. De 13 BENEDICT, B. i.c., p. 6 14 SNA: System Network Arcitecture. 15 Internet betekent letterlijk: het netwerk van alle netwerken die met elkaar in verbinding staan en daarbij onafhankelijk blijven 16 http://www.be-wired.nl/info/geschiedenis.htm 17 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html 18 http://users.compaqnet.be/cn001183/geschiedenis.htm 19 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html

Forensische informatica Netwerken & Internetten 10-59 president van Amerika, Eisenhower, neemt, mede in reactie daarop, het initiatief een R&D bureau (agency) te vestigen: 20 Advanced Research Projects Agency. Enkele universiteiten in Californië dokterden een ingenieus systeem uit. Verbindt alles computer van A tot Z met elkaar. Wanneer computer A informatie naar computer Z wil versturen, dan bepaalt de software zelf wel welke weg het daarvoor wil nemen, bijvoorbeeld van A naar X, van X naar D, van D naar T, om ten slotte van T bij Z te belanden. Werd één schakel onschadelijk gemaakt, dan werd automatisch een andere weg genomen om de informatie door te sturen. Informatie werd ook in pakketjes verstuurd. Computer A verstuurde een pakketje informatie naar computer D. Was het pakketje goed aangekomen, dan vertelde D dit aan A die een nieuw pakketje verzond, eventueel via een andere computer. Alle pakketjes kregen een nummer en een adres, zodat op het einde van de ketting alle pakketjes bij de juiste computer terecht kwamen en in de goede volgorde. 21 Tien jaar later, 1968, stuurt Larry Roberts, werkzaam bij ARPA, een verzoek om offertes naar 140 firma's, om een IMP te maken. Een IMP, Interface Message Processor, moest een aparte computer zijn, die met andere IMP's via packet switching kon communiceren. 22 Het ARPAnet was geboren. In 1972 waren er al 37 netwerken op het systeem aangesloten. Niet alleen de militaire wereld zag de grote voordelen in van zo n groot netwerk. Universiteiten van over de hele wereld werden met elkaar verbonden. 23 Daartoe ontwikkelden ze een eigen netwerk, TCP/IP zag het daglicht -een verbetering van de pakketpost zoals ik hierboven beschreven heb- en is nog steeds het hart van ons huidige internet. Studenten aan de universiteiten van California ontwikkelden nieuwe toepassingen voor dit netwerk: elektronische post, verzenden en ontvangen van software, nieuwsgroepen. Vele van deze studenten zijn nu miljonairs en hoofd van bekende softwarebedrijven. 24 De uitvinding van het netwerk waarvan internet gebruik maakt, is een Amerikaanse uitvinding. Maar het World Wide Web is een zuiver Europese uitvinding waarin zelfs de Belg CALLIAU een hoofdrol gespeeld heeft. In de beginjaren was het gezicht van internet helemaal niet dat wat we nu gewoon zijn. Websites bestonden er niet. Alle informatie werd op een droge manier aan de man (vrouw) gebracht. Daar kwam verandering in toen aan de CERN in Zwitserland eind de jarig tachtig het WWW werd ontwikkeld, gebaseerd op sites die door middel van links met elkaar waren verbonden. De grondslag was gelegd om internet populair te maken. Daarom kreeg eind de jaren 80 de commerciële wereld belangstelling voor internet en toen zat het spel pas goed op de wagen. 25 1.5. De geschiedenis van TCP/IP 20 Katie, H. &Matthew, L. Where Wizards Stay Up Late: The Origins of the Internet, Touchstone Press, 2000, 304 p. 21 http://users.compaqnet.be/cn001183/geschiedenis.htm 22 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html 23 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html 24 http://users.compaqnet.be/cn001183/geschiedenis.htm 25 http://users.compaqnet.be/cn001183/geschiedenis.htm

Forensische informatica Netwerken & Internetten 11-59 Om de historie van TCP/IP te begrijpen, is het nodig eerst eens te kijken wat de IMP's nu precies deden. De enige taak van een IMP was het versturen van pakketjes van de ene naar de andere aangesloten computer (host). Als pakketjes in verkeerde volgorde arriveerden (het laatst verstuurde pakketje arriveert bijvoorbeeld het eerst), dan zorgen de IMP's ervoor dat de pakketjes uiteindelijk in de juiste volgorde aan de client werden aangeboden. De communicatie tussen twee hosts werd vastgelegd met NCP (Network Control Protocol). NCP ging ervan uit dat het onderliggende netwerk betrouwbaar was. De IMP's zorgden hier immers voor. In 1974 publiceerden Vint Cerf en Bob Kahn over een protocol wat ze TCP noemden. 26 Het grote verschil met NCP was dat TCP er vanuit ging dat het onderliggende netwerk onbetrouwbaar was. Cerf en Kahn richten zich namelijk op een heel ander probleem. Eind 1972 werd duidelijk dat er veel meer soorten netwerken zouden komen en al waren. Hoe was het nu mogelijk om die netwerken nu met elkaar praten? Om satellietverbindingen, packet radio s, netwerken in andere landen en ARPANET met elkaar te laten communiceren? Het idee van Cerf en Kahn was om de betrouwbaarheid niet in het netwerk in te bouwen, maar in de hosts. In 1977 wordt de eerste werkende versie van TCP getoond waarbij drie netwerken, een packet radio netwerk, ARPANET en SATNET, aan elkaar geknoopt zijn. In 1978 komen Vint Cerf, Jonathan B., Postel en Danny Cohen met het cruciale idee om het gedeelte van TCP dat zich bezig houdt met het routeren van pakketjes af te splitsen en dat IP ofwel Internet Protocol te noemen. TCP zou zich dan bezig houden met pakketjes die niet of in de verkeerde volgorde aankomen, transmissiefouten, e.d. IP zou zich bezig houden met het versturen van individuele pakketjes. Naast TCP kennen we ook UDP, vrijwel gelijk aan IP. Met UDP kan een pakketje verstuurt worden zonder de overhead van een bevestiging. Bijvoorbeeld RealAudio en RealVideo kunnen UDP gebruiken. Met deze afsplitsing is TCP/IP een feit. In 1983 gaat ook ARPANET over op TCP/IP. 27 1.6. Netwerkarchitecturen 1.6.1. Inleiding Door een toename aan complexiteit van netwerken en de verscheidenheid ervan, soms zelfs binnen één organisatie, dreigde men terecht te komen in een verzameling van eilandjes van elektronisch postsystemen. Het was zo dat intern, binnen de groep die een zelfde systeem had, communicatie mogelijk was, maar van zodra men over het afdelingsmuurtje diende te gaan, het onmogelijk was voor de verschillende systemen om met elkaar te kunnen communiceren. Dit veroorzaakte uiteraard enorme problemen. Men diende verschillende softwarepakketten op één systeem te plaatsen om het mogelijk te maken om niet alleen met de eigen groep te communiceren, maar ook de andere groepen te bereiken. Sommige managers of afdelingshoofden hadden 26 Katie, H. &Matthew, L. Where Wizards Stay Up Late: The Origins of the Internet, Touchstone Press, 2000, 304 p. 27 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html zie ook: Katie, H. &Matthew, L. Where Wizards Stay Up Late: The Origins of the Internet, Touchstone Press, 2000, 304 p.

Forensische informatica Netwerken & Internetten 12-59 evenveel systemen geïnstalleerd als er externe contactadressen waren. Door de gebruikers werden industriëlen onder druk gezet om de systemen op elkaar af te stemmen. Zo ontstonden er industriële standaards, die de integratie van verschillende systemen toelieten. Het opstellen van deze standaards ging echter ook gepaard met de ontwikkeling van open systemen. Het OSI (Open System Interconnection) netwerk referentiemodel ligt aan de basis voor de verschillende standaarden die ontwikkeld zijn binnen het domein van netwerkcommunicatie in de brede zin van het woord. Digitale netwerken kunnen op vele manieren gerealiseerd worden, wat vanzelfsprekend leidt tot een nood aan grote compatibiliteit en connectiviteit tussen de verschillende netwerken. Deze problematiek ligt aan de basis van de ontwikkeling van de OSI-standaard, op initiatief van de Internationale Organisatie voor Standaardisatie (ISO). 28 Het OSI referentiemodel splitst elk netwerk op in zeven verschillende lagen die een welbepaalde netwerkfunctie toegewezen krijgen.. 29 De bespreking van dit model komt later aan bod. Open systemen zijn systemen die opgebouwd zijn rond componenten die voor de gebruiker fabrieksonafhankelijk zijn. Deze componenten beantwoorden volledig aan de opgestelde open standaards van de computeromgeving. Er kan dus door de gebruiker gespeeld worden met de concurrentie om voor hem, voor elk onderdeel het meest voordelige systeem binnen te halen. In een open systeem worden alle communicatieprotocollen en gebruikersinterfaces openbaar gemaakt. In de literatuur spreekt men over dit verschijnsel met het begrip connectivity of soms crossware. Door het gebruik van dergelijke systemen zal de ICT-omgeving (information and communication technology) flexibeler kunnen aangepast worden aan veranderende functionaliteits- en capaciteitseisen. Standaardisering en daarmee gepaard gaand het opstellen van gecompliceerde protocollen heeft dus het huidige gebruik van de technologische mogelijkheden ten volle tot ontwikkeling gebracht. Men dient echter in het kader van een studie over criminaliteit buiten de voordelen van standaardisering toch ook enigszins de nadelen te bekijken. Door de standaardisatie is het echter zo dat al de constructeurs verplicht zijn om hun apparatuur volgens bepaalde normen te bouwen, op gevaar af om op een eiland te belanden. Dit maakt het voor de criminele organisaties echter veel eenvoudiger om ook gebruik te maken van de opgelegde normen om achterpoorten te zoeken of te creëren. Eens zo n gat in de beveiliging gevonden wordt, is het omzeilen ervan meestal zeer nuttig voor een groot deel van de toepassingen. Standaardisering betekent immers ook het (ongewild) eenvormig maken van de zwakke plekken. 1.6.2. Referentiemodellen en terminologie 28 BENEDICT, B., i.c., p. 8 29 Het OSI-model is ontwikkeld om het mogelijk te maken om op het hoogste niveau de applicatielaag ongelijksoortige systemen met elkaar te kunnen laten communiceren waarbij het netwerk er voor zorgt dat verschillen in operating systemen worden vertaald. Het model dat op grond daarvan is gerealiseerd is het netwerkprotocol. Echter, dit protocol wordt in de praktijk weinig toegepast. In plaats daarvan wordt veelal gebruik gemaakt van het TCP/IP protocol, hetgeen een protocol is dat slechts vier lagen kent en nauwelijks te projecteren is op het OSI-model. (BENEDICT, B., i.c., voetnoot 23)

Forensische informatica Netwerken & Internetten 13-59 Om de complexiteit van protocollen te kunnen beheersen worden de mogelijke interacties tussen computersystemen meestal gestructureerd overeenkomstig een horizontale en verticale structurering. Op deze structuur wordt een aantal abstracte concepten gedefinieerd, die vervolgens overeenkomstig een aantal technische en organisatorische criteria gehanteerd worden. Een referentiemodel is het geheel van de bovengenoemde structuur tezamen met de globale technische criteria op grond waarvan deze structuur is gedefinieerd. 30 Een referentiemodel levert daarmee een stelsel randvoorwaarden voor de verdere invulling van het model met technische specificaties voor standaard services en protocollen. Door het referentiemodel tezamen met de standaard services en protocollen worden de interacties in een systeem ondubbelzinnig en volledig vastgesteld. 31 Twee toonaangevende referentiemodellen zijn het OSI Reference Model (OSI- RM) en het Internet Protocol Suite (IPS). Beide modellen verschillen van elkaar door hun benadering van netwerken. Het OSI-RM wordt gekenmerkt door een meer architecturale en theoretische benadering, terwijl IPS wordt gekenmerkt door een meer implementatiegerichte en pragmatische benadering. 32 Hierdoor is de ontwikkeling van het IP-model veel sneller gegaan dan deze van het OSI-model dat daardoor aan populariteit heeft ingeboet ten voordele van IPS. 1.6.3. Het OSI-netwerk referentiemodel 1.6.3.a. Inleiding Vijfentwintig jaar geleden, in 1974, heeft de internationale standaardisatieorganisatie ISO 33 een model voor gelaagde netwerken gedefinieerd. 34 Dit gelaagd netwerkmodel kreeg de naam OSI 35 en is ondertussen uitgegroeid tot het meest geaccepteerde model voor netwerkcommunicatie. 36 Bovendien ligt het OSI netwerk referentiemodel aan de basis voor de verschillende standaarden die ontwikkeld zijn binnen het domein van netwerkcommunicatie in de brede zin van het woord. 37 Het OSI-model, zoals we het vanaf nu zullen benoemen, is ontwikkeld om het mogelijk te maken om op het hoogste niveau de applicatielaag (infra) ongelijksoortige systemen met elkaar te laten communiceren waarbij het netwerk er voor zorgt dat verschillende besturingssystemen worden vertaald. Het model dat op grond daarvan is gerealiseerd is het netwerkprotocol, dat in 30 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 31 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 32 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 33 ISO: International Organization for Standardization 34 http://www.diskidee.nl/netwerken_ontsluierd.htm 35 OSI: Open System Interconnection 36 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 123 zie ook: BENEDICT, B., i.c., p.8 37 BENEDICT, B., i.c., p. 8

Forensische informatica Netwerken & Internetten 14-59 de praktijk echter weinig wordt geïmplementeerd. In de plaats van dit netwerkprotocol wordt TCP/IP (infra) gebruikt. 38 Vergis je niet: dit OSI-model is geen definitie van een netwerkachitectuur! Daarvoor zou het immers de juiste interfaces en protocollen moeten definiëren die in elke laag van toepassing zijn en dat doet het OSI-model niet. 39 Het is gewoon een concept dat u kan helpen tot een beter begrip te komen van de complexe interacties die zich voordoen tussen de apparaten in een netwerk. Het OSI model heeft geen enkele functie in het communicatieproces. Het feitelijke werk wordt verricht door de daarvoor bestemde hardware en software. Het definieert alleen welke taken moeten worden uitgevoerd. 40 1.6.3.b. Bespreking van het OSI-Model Het OSI referentie model splitst elk netwerk op in zeven verschillende lagen die een welbepaalde netwerkfunctie toegewezen krijgen. Elk van deze lagen voorziet de bovenliggende laag van de nodige functionaliteit en gebruikt de functies van de onderliggende laag. 41 De drie onderste lagen zijn netwerkafhankelijk en bevatten de protocol-stack die de verbinding tot stand brengen. Een protocol-stack is een verzameling protocollen die van boven naar beneden worden verwerkt als onderdeel van een communicatieproces. 42 Om communicatie tussen twee computers mogelijk te maken, moeten op beide computers dezelfde protocol-stacks actief zijn. Het OSI-model bestaat uit exact zeven lagen. Hoe komt men aan die zeven lagen? Welnu, men heeft vijf principes vastgelegd: 43 1.We creëren een nieuwe laag voor elk benodigd niveau van abstractie; 2.De verzameling van gedefinieerde lagen moet groot genoeg zijn om afzonderlijke functies ook in afzonderlijke lagen te stoppen, maar weer niet zó groot dat de omvang van de architectuur onhandig wordt; 3.Internationale standaarden definiëren elke laag; 4.Elke laag heeft een welgedefinieerde functie; 5.De hoeveelheid informatie die tussen de verschillende lagen wordt uitgewisseld via de interfaces moet zo klein mogelijk zijn. 38 BENEDICT, B., i.c., p. 8 39 http://www.diskidee.nl/netwerken_ontsluierd.htm 40 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 124 41 BENEDICT, B., i.c., p. 9 42 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 125 43 http://www.diskidee.nl/netwerken_ontsluierd.htm

Forensische informatica Netwerken & Internetten 15-59 OSI-Model Het OSI-model heeft 7 lagen waarbij iedere laag een specifiek aspect van de netwerk communicatie voor zijn rekening neemt: 44 1. Fysieke laag verzorgt het fysieke transport van bits tussen systemen Dit is de onderkant van het OSI-model. De fysieke laag definieert de methodes voor het verzenden en ontvangen van data over het netwerk. Dat omvat alles wat nodig is om de data fysiek over een netwerk te transporteren. Ook de bekabelingsmethodes, maar niét de bekabeling zelf. De fysieke laag behandelt immers de functies en diensten die nodig zijn om bytes via de bekabeling of een ander fysiek medium te versturen, maar dus niet dat medium zelf. Als je bijvoorbeeld een modem gebruikt, dan mag je de benodigde protocols (zoals V.90 en V.42bis maar ook de RS-232-protocols) tot de fysieke laag rekenen maar niet de modem en de seriële kabel zelf. ISDN-protocollen als X.75 en V.120 horen hier ook in thuis. Naast de bekabelingsmethodes omvat de fysieke laag alle toestellen (zoals modems, hubs, switches en repeaters) die dienen om de netwerkaansluiting van een station op de netwerkbekabeling aan te sluiten, maar ook alle signalisatie voor het verzenden en ontvangen van data (zoals RTS/CTS of XON/XOFF bij seriële verbindingen) en de mogelijkheid om signalisatie fouten in de netwerkmedia te detecteren. Het meest bekende voorbeeld van protocols voor de fysieke laag is de IEEE 802-serie. 2. Datalinklaag beheert en controleert de datatransmissie en probeert fouten te corrigeren of meldt ze Deze laag verzorgt de eigenlijke dataverbinding. Dat omvat de synchronisatie van de transmissie en het foutenbeheer op frameniveau alsook de foutcorrectie zodat informatie verstuurd kan worden via de fysieke laag. Het formatteren van het frame en de CRC-afhandeling (CRC controleert op fouten in het hele frame) gebeuren in deze laag. Je hebt meer dan waarschijnlijk al gehoord van Ethernet en Token Ring: dat zijn netwerktoegangsmethodes en deze laag voert die uit. De verbindingslaag voorziet ook de adresinformatie voor de fysieke laag bovenop het verstuurde frame. Voor Internet zijn twee voorbeelden van 44 Dit stuk werd volledig overgenomen van: http://www.diskidee.nl/netwerken_ontsluierd.htm zie ook: http://kurtkoenig.homeunix.net/dataentelecom/tcpip.htm#1

Forensische informatica Netwerken & Internetten 16-59 een protocol voor de dataverbindingslaag SLIP en PPP, al horen die eigenlijk ook een stukje bij de netwerklaag (we hadden al gezegd dat TCP/IP niet helemaal past in het OSI-model). Microsoft en Novell hebben hier geen specifieke protocollen voor. 3. Netwerklaag verzorgt het transport, de adressering en de routering van pakketten doorheen een netwerk De netwerklaag beheert de transmissie van berichten (pakketten) tussen netwerkstations. Hier wordt de routering verzorgd. Routering wil zeggen dat gebruik gemaakt wordt van bepaalde informatie om de data sequentieel van een netwerkstation naar een ander te laten lopen, liefst via het meest economische pad en dat zowel logisch als fysiek. Via deze laag kun je ook pakketten versturen via andere netwerken mits het gebruik van speciale toestellen die men routers noemt. Routers worden in deze laag gedefinieerd en ze koppelen twee netwerken die op het niveau van de netwerklaag verschillen, maar wel dezelfde transportlaag gebruiken. Bijvoorbeeld de koppeling van een Ethernet-netwerk aan een openbaar ISDN-netwerk. De bekendste netwerklaagprotocollen zijn IPX en SPX van Novell en IP voor Internet. De netwerklaag is meteen de grens van het communicatiesubnet: boven deze laag neemt de graad van abstractie drastisch toe. Voor laag 3 en lager is er meestal een bovengrens gesteld voor de grootte van de berichten (pakketten) die ze kunnen verwerken. In broadcast-netwerken is het routeren eenvoudig, zodat de netwerklaag dun is of helemaal niet bestaat. Dat is dan ook de reden waarom u het hieronder vermelde transportlaagprotocol TCP zo vaak gecombineerd ziet met IP tot wat men schrijft als TCP/IP. 4. Transportlaag verzorgt een data-onafhankelijk eind-naar-eindtransportsysteem voor de hogere lagen De eind-naar-eindtransmissie van data hoort thuis in de transportlaag. Deze laag valt buiten het bestek van het communicatiesubnet en heeft meestal geen bovengrens voor de omvang van de pakketten die ze kan ontvangen. De vorige laag (de derde of netwerklaag) heeft wel zo'n bovengrens, dus moet de transportlaag alle binnenkomende pakketten in stukken breken zodat elk stuk kleiner of gelijk is aan die maximum omvang. Elk stuk moet bovendien van bijkomende adreshoofdingen voorzien worden en alle stukken moeten dan doorgestuurd worden naar het lagere niveau. De voornaamste functie van de transportlaag is ervoor te zorgen dat de data betrouwbaar overgedragen wordt. Zo moet de transportlaag onder andere garanderen dat data in dezelfde volgorde aankomen als ze verzonden werden. Daarnaast moet ze de data foutloos verzenden en ontvangen maar ook binnen een zekere tijdsspanne. Het erg bekende transportlaagprotocol voor Internet heet TCP, maar er is ook UDP en in de Microsoft-implementatie van Internetprotocollen ook nog WINS en RAS.

Forensische informatica Netwerken & Internetten 17-59 5. Sessielaag verzorgt de communicatie tussen twee applicatieprocessen en doet aan foutenbeheer De sessielaag begint en beëindigt communicatiesessies tussen twee netwerkstations. Dat betekent dat deze laag de verbinding tot stand brengt, onderhoudt en ook weer verbreekt. De sessielaag is daarnaast nog verantwoordelijk voor de vertalingen tussen netwerknamen en stationadressen. Je kunt dit vergelijken met telefoneren naar iemand als je alleen zijn naam kent. Je hebt immers zijn of haar telefoonnummer nodig om de verbinding tot stand te brengen. De sessielaag regelt bovendien de hele dialoog tussen twee stations in functie van het uitvoeren van hun communicatie: zo kunnen de stations tegelijkertijd informatie uitwisselen, of om beurten, of met onderbrekingen. De sessielaag zorgt ervoor dat ieder op zijn beurt aan het "woord" komt en dat onderbrekingen opgevangen worden zonder dat alle informatie die daaraan vooraf ging moet worden herhaald. 6. Presentatielaag codeert en decodeert gegevens voor de applicatielaag Deze zesde laag verzorgt alle functies die zo vaak terugkomen, dat het de moeite waard is deze functies apart op te nemen en beschikbaar te stellen voor alle gebruikers. Voorbeelden zijn dataconversies (formaat-omzettingen), dataencryptie (het encoderen van data terwijl die verzonden worden, of het decoderen tijdens de ontvangst). Bij die encryptie kun je aan beveiliging denken, maar bijvoorbeeld ook aan compressie. De presentatielaag is dus niet echt precies gedefinieerd en wordt daarom niet altijd voorzien. 7. Applicatielaag verbindt de netwerkapplicaties met de gebruikers Deze zevende laag, de applicatielaag, heeft het hoogste abstractieniveau. Hierin draaien alle netwerkapplicaties. Je moet voor netwerkapplicaties denken aan bestandsoverdracht, terminalemulatie, elektronische post (e-mail), alle Internetapplicaties (zoals DNS, SNMP, SMTP en POP3, telnet, FTP, finger, NFS, HTTP en MIME) maar ook NetBIOS-gebaseerde toepassingen (NetBIOS of NetBEUI is het netwerkprotocol dat door Windows-systemen onderling gebruikt wordt) zoals NET, NETCOPY, NETRUN en dergelijke. De zeven lagen communiceren met elkaar en vormen een totale verbinding, inclusief de applicatie. Iedere verbinding kan op deze wijze in kaart gebracht worden door de verschillende componenten te verdelen over de lagen. Door deze standaard te gebruiken kan op een meer abstracte wijze de kwetsbaarheid van een verbinding onderzocht worden. 45 45 BENEDICT, B., i.c. p. 9

Forensische informatica Netwerken & Internetten 18-59 Elk van deze lagen heeft zijn eigen kwetsbaarheden en mogelijkheden tot beveiliging. In onderstaand schema geven we een samenvatting van het OSI model met de daarbij behorende risico s verbonden aan elke laag. Laag 46 Applicatielaag Presentatielaag Sessielaag Transportlaag Netwerklaag Datalink laag Fysieke laag Risico Wachtwoord kopiëren Encryptie kraken en wijzigen Starten van een eigen verbinding Wijzigen inhoud bericht Beinvloeden route Koppelen aan netwerk Aftappen signaal 1.6.3.c. Uitbreiding van het OSI-Model In februari 1980 startte IEEE 47 een project met de naam Project 802 met de bedoeling een bijdrage te leveren aan de definitie van een aantal LANnormen. 48 De IEEE-commissie was de mening toegedaan dat de tweede laag van het OSI-model (data link layer) in meer detail moest worden beschreven en verdeelde de laag op in 2 sublagen: LLC (Logical Link Control) Deze laag moest voorzien in foutenbeheersing en flow control. Zij voorziet in SAP s (Service Access Point) die door andere computers kunnen worden gebruikt als referentie en om gegevens over te brengen van de LCC-laag naar de bovenliggende OSI-lagen. MAC (Media Access Control) Dit is de laagste van de twee sublagen, maakt gedeeld gebruik van de netwerkadapter mogelijk en communiceert rechtstreeks met de netwerkadapter. 49 1.6.4. Het TCP/IP Model of Internet - Model 1.6.4.a. Inleiding Het begrip 'netwerkprotocollen' is erg ruim. Meestal bedoelt men er zowat alles mee dat een netwerk laat functioneren op softwareniveau. Nadat je een netwerk geconstrueerd hebt door allerlei hardware met kabels aan elkaar te koppelen, zorgt software er immers voor dat er data over dat netwerk gestuurd kan worden. Het netwerk heeft zelf ook al een organisatie - bijvoorbeeld Ethernet - die eigenlijk met software te maken heeft, maar omdat dat in de 46 BENEDICT, B., i.c., p. 12 47 IEEE: Institute for Electrical and Electronic Engineers, Inc. 48 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 134, Project 802 verwijst naar het jaar en de maand waarin het project begon. 49 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 137

Forensische informatica Netwerken & Internetten 19-59 hardware ingebouwd zit staan we daar verder nooit bij stil. Een Ethernet netwerk zorgt er zelf al voor dat data in mooie pakketjes (de Ethernet-frames) ingepakt wordt en verzonden doorheen de kabeling met behulp van een collisiedetectiemechanisme. Hoewel het dus mogelijk is om rechtstreeks hiervan gebruik te maken om data over het netwerk te sturen, heeft dat een aantal nadelen op een hoger niveau. Zo zou je netwerkaansturing alleen maar geschikt zijn voor een Ethernet netwerk, niet voor Token Ring of iets anders. Routeren naar een ander netwerk zou zo goed als onmogelijk zijn. Bovendien zou je alleen rauwe data kunnen versturen, er zou geen organisatie in die data zitten om aan te geven dat die bij bepaalde applicaties hoort of een bepaald doel heeft. Daarvoor dienen de hogere netwerkprotocollen. Die zijn onafhankelijk van de netwerktopologie en -organisatie, wat wil zeggen dat ze voor zowel Ethernet als Token Ring als een hele hoop andere hetzelfde zijn. Ze functioneren dus binnen de OSI-lagen 3 en 4 (netwerk- en transportlaag). De hogere netwerkprotocollen zullen data in bij dat protocol horende pakketten indelen, waarbij ieder pakket voorzien zal zijn van adressen voor zender en ontvanger, maar ook van inlichtingen in verband met het doel van de data. Hogere netwerkprotocollen laten dus toe data te identificeren als bedoeld voor een bepaald doel of een bepaalde applicatie. 50 TCP/IP 51 is het netwerkprotocol waarmee computers op Internet onderling communiceren en bestaat uit een verzameling verwante protocollen die zijn ontwikkeld door DARPA 52 in het kader van een project voor netwerkinterconnectiviteit dat in 1969 is gestart. TCP/IP is verreweg het meest gebruikte protocol voor het realiseren van verbindingen tussen computers en is zoals gezegd het Internet protocol. 53 TCP/IP is het netwerkprotocol van de Unix-wereld en omdat het internet oorspronkelijk groeide uit de koppeling van Unix-machines, is TCP/IP dus ook het netwerkprotocol voor het internet. 54 TCP/IP voldoet niet exact aan het OSIlagenmodel. Vaak wordt TCP wel ingedeeld bij de transportlaag en IP bij de netwerklaag, maar de waarheid is dat bij TCP/IP het onderscheid vaak vervaagt en een en ander in elkaar overvloeit. Zoals je je wellicht herinnert zorgt de netwerklaag voor het transport, de adressering en de routering doorheen een netwerk, terwijl de transportlaag zorgt voor de dataonafhankelijke eind-naar-eindtransmissie voor de hogere lagen. Bij TCP/IP kun je zeggen dat IP instaat voor transport, adressering en routering en dat TCP de eind-naar-eindtransmissies verzorgt, maar zo simpel is het niet altijd. TCP heeft bijvoorbeeld nog een 'broertje' dat UDP heet en ook voor eind-naareindtransmissies zorgt. We zullen daarom eerst beginnen met de basis van alles: IP of het Internet Protocol. 55 50 alinea overgenomen van: http://www.diskidee.nl/netwerken_ontsluierd.htm 51 TCP/IP: Transmission Control Protocol en Internet Protocol 52 DARPA: Department of Defence s Advanced Projects Research Agency, voorheen ARPA, zie terzake: CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 1 51 53 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 151 54 http://www.diskidee.nl/netwerken_ontsluierd.htm 55 http://www.diskidee.nl/netwerken_ontsluierd.htm

Forensische informatica Netwerken & Internetten 20-59 Internet is een wereldwijde aaneenschakeling van een groot aantal computernetwerken. Het bijzondere is dat er binnen dat Internet één universele taal geldt, namelijk TCP/IP. 56 1.6.4.b. Bespreking van het TCP/IP protocol Internet Model 57 TCP/IP gebruikt slechts 4 lagen: Applocation layer Bestaat uit de applicatieprotocollen die over een TCP/IP netwerk worden aangeboden, zoals DNS, SNMP, FTP, SMTP, NEWS, http, HTML. 58 Transport layer De transport layer levert een end-to-end gegevensoverdracht service tussen applicatieprocessen (applicatieprogramma s). Meerdere applicatieprocessen kunnen tegelijkertijd binnen een computersysteem draaien. Deze laag bestaat o.a. uit de protocollen TCP en UDP 59 Netwerk layer De network layer levert een end-to-end gegevensoverdracht service tussen computersystemen (zgn. hosts). Deze laag bestaat o.a. uit de protocollen IP, ICMP en verscheidene routeringsprotocollen. 60 Subnetwerk interface layer De subnetwork interface layer bevat de nodig functies voor het versturen en ontvangen van network layer pakketjes via het lokale subnetwerk waarop een computersysteem is aangesloten. Voorbeelden van protocollen in deze laag zijn ISDN, xdsl, Ethernet, ATM, WDM. 61 1.6.4.c. De voor- en nadelen van TCP/IP In het algemeen kan gezegd worden dat het Internet werkt volgens het clientserver principe. Dit principe beschrijft de relatie tussen twee computers 56 BENEDICT, B., i.c., p. 49 57 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 58 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 59 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 60 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 61 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf

Forensische informatica Netwerken & Internetten 21-59 waarbij de ene computer, de client, een dienst vraagt aan de andere computer, de server, die vervolgens die dienst uitvoert.een Host is een centrale computer die on line kan worden benaderd en bestanden, diensten of programma s aanbiedt. Een router is een computer die aan de hand van het IP-adres besluit via welk netwerk het packet het beste kan worden verstuurd.het Internet en WWW 62 zijn geen identieke begrippen(supra). 63 De voordelen van TCP/IP zijn: 64 Uitgebreide connectiviteit onder alle types computers en servers Rechtstreekse toegang tot het Internet Sterke ondersteuning van routering Ondersteuning van SNMP 65 Ondersteuning van SHCP 66, dat de dynamische toewijzing van client IP-adressen mogelijk maakt Ondersteuning van WINS 67 dat het opzoeken van namen op Microsoftclients en servers mogelijk maakt Ondersteunen van de meeste andere internet protocollen Gecentraliseerde toewijzing van TCP/IP- domeinen, waardoor bedrijven internetwerken kunnen vormen (Intranetten) TCP/IP dat het langzaamste procotol is dat bijv. bij Microsoft Windows wordt geleverd heeft echter ook enkele nadelen: 68 De gecentraliseerde toewijzing van TCP/IP-domeinen betekent kosten en inspanning voor de centrale registratie Door de explosieve uitbreiding van Internet is het aantal beschikbare unieke domeinnummers afgenomen. Een nieuwe versie van IP (infra) moet aan dit probleem een einde maken De installatie is niet gemakkelijk Er is een relatief hoge overhead nodig voor een naadloze connectiviteit en routering De snelheid is lager dan bij IPX en NetBEUI. 1.6.5. Vergelijking van het OSI-model en TCP/IP Als we beide modellen vergelijken, valt de onmiddellijk de vereenvoudiging op naar 4 lagen bij het TCP/IP gelaagd netwerkmodel. 62 WWW: World Wide Web (is het grafische deel van het Internet) 63 BENEDICT, B., i.c., p. 49-50 64 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 151 65 SNMP: Simple Netwerk Management Protocol 66 SHCP: Dynamic Host Configuration Protocol 67 WINS: Windows Internet Name Service 68 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 152

Forensische informatica Netwerken & Internetten 22-59 69 Uit de figuur valt af te leiden dat de applicatielaag van het Internet model de functies combineert van de drie bovenste OSI-lagen. De Subnetwerklaag van TCP/IP verenigt de fysieke en gegevensverbindingslagen van het OSI-Model. Enkel de Transport en Netwerklagen komen in beide modellen overeen. In onderstaande figuur geven we aan welke protocollen uit TCP/IP terug te vinden zijn in de overeenkomstige OSI-lagen. 70 OSI Laag TCP/IP Network node 7 Application http Gateway 6 Presentation FTP SMTP 5 Session SNMP Telnet 4 Transport TCP UDP 3 Network IP Router 2 Data-link (MAC) 1 Physical SLIP PPP Bridge repeater UTP-kabel 1.7. TCP/IP - Protocollen 1.7.1. Inleiding Zoals uit de figuur hierboven blijkt kunnen de TCP/IP-lagen onderverdeeld worden in een aantal protocollen, die de functionaliteiten bevatten die noodzakelijk zijn voor de ondersteuning en de overgang naar een volgende bovenliggende laag. In dit deel zullen we elk van deze protocollen kort bespreken. Hierbij zullen we elk protocol binnen zijn respectievelijke TCP/IP laag behandelen. 1.7.2. Protocollen van de application layer 69 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf 70 http://kurtkoenig.homeunix.net/dataentelecom/tcpip.htm#1