Netwerkverkeerbeveiliging

Hoofdstuk 8 Netwerkverkeerbeveiliging 8.1 Inleiding 190 Netwerlcverkeer analyseren se o RE 1 G 1 N G ~ 8.2 Oneigenlijk computer- en netwerkgebruik 191 oplos s 1 N G ~ 8.3 Monitoren 192 8.3.1 Netwerkkaart monitoren 192 8.3.2 LAN monitoren 197 8.3.3 Poorten monitoren 199 8.3-4 Proxyserver 200 PRACTICUM~ 8.4 Wireshark 200 8.4.1 Wireshark basis 201 8.4.2 Netwerkverkeer filteren 206 8.4.3 Datastroom analyseren 209 Netwerk beveiligen BEDREIGING~ 8.5 Hackers 209 OPlOSSING~ 8.6 FfrewaU 210 8.6.1 Firewallfilters 211 8.6;2 Firewall producten 212 8.6.3 Intrusion Detection System 213 8.6.4 Honeypot 214 8.6.5 Unified threat management 214 PRACTICUM~ 8.7 Firewall installeren en testen 214 8.7.1 Zonder firewall l15 8.7.2 Windows Firewall 220 8.7.3 Sygate Personal Firewall 221 8.7.4 Sygate Personaf Firewall regels 224 8.8 Samenvatting 23.0

8 Inleiding Dit hoofdstuk behandelt het beveiligen van netwerkverkeer. We begeven ons dagelijks op computernetwerken, van ons online thuisnetwerk tot de grote computernetwerken van kantoren en scholen. Aangezien er grote stromen met verschillende soorten data kriskras door het netwerk gaan, is het belangrijk dat we ervoor zorgen dat al deze informatie.goed beveiligd is. Daarmee willen we ons beschermen tegen de effecten van malware, hackers en dergelijke en de privacy van de gebruikers van deze computernetwerken waarborgen. Wanneer een computersysteem \J an binnen of buiten a.angevauen wordt, maakt de aanvaller bijna altijd gebruik van een proces dat een netwerk nodig heeft om een verbinding tot stand te brengen. In dit hoofdstuk zullen we deze interactie nader onderzoeken en we zulten onderzoeken hoe we meer inzicht krijgen in het netwerkverkeer, oftewel wat er 'onder de motorkap' gebeurt. We kijken specifiek naar enkele netwerkprotocollen en gaan het netwerkverkeer op bepaalde poorten na. Met poorten worden netwerkpoorten bedoeld, specifiek de TCP en UDP poorten die onderdeel uitmaken van het internetprotocol (lp}. In dit hoofdstuk analyseren we eerst het netwerkverkeer. Vervolgens bekijken we hoe we een netwerk kunnen beveiligen. Bij het analyseren van netwerkverkeer gaan we vaststellen welke activiteiten we op een netwerk kunnen waarnemen. Ook gaan we kijken naar actieve processen in het geheugen en welke poorten deze processen gebruiken. Ook zuuen we het net monitoren op specifieke activiteiten. Bij het gedeelte over netwerkbeveiliging bekijken we hoe de activiteiten van het netwerkverkeer zo gefilterd worden dat daar alleen de door ons toegestane data overheen gaat. Leerdoelen In dit hoofdstuk leer je 1> datastromen herkennen aan de poort waarover deze gaan, 1> de datastroom analyseren, 1> de interactie tussen poorten en processen inzichtelijk te krijgen en op risico te beoordelen, 1> hoe je het netwerkverkeer moet beveiligen. 190 I ICT SECURITY

Vereiste voorkennis Om dit hoofdstuk goed te begrijpen en het practicum uit te kunnen voeren, is het noodzakelijk dat je de volgende voorkennis bèzit: t> basis netwerkkennis (o.a. het 051 model en de TCP/IP protocolstack), t> verschillende soorten netwerkhardware (o.a. switch, hub), t> wat malware is (hoofdstuk 4), t> hoe de opdrachtprompt gebruikt moet worden (onder andere hoofdstuk 6 en 7). Netwerkverkeer analyseren 8.2 ~uuumgsnc; ~ Oneigenlijk computer- en netwerkgebruik Wanneer we verantwoordelijk zijn voor het beheer van een computer of een computernetwerk worden we meestal geconfronteerd met computergebruikers die, bewust of onbewust, de beschikbaar gestelde middelen voor andere doeleinden gebruiken. Zo wil het nog wel een voorkomen dat computergebruikers binnen een kantoor- of schoolomgeving hun werk wat willen veraangenamen door naar muziek te luisteren. Omdat ze niet in staat zijn hun gehele cd-collectie mee te nemen naar het kantoor, wordt er wel eens een softwareprogramma geïnstalleerd waarmee muziek gedownload kan worden, met alle problemen van dien. Ook wordt het bedrijfs- of schoolnetwerk gebruikt om de laatste films te downloaden. Daardoor is de kans op malware op het netwerk enorm toegenomen, is het bedrijf ineens verantwoordelijk voor schending van het auteursrecht en wordt er bandbreedte ingenomen. Verder hebben we de Trojanen die bijvoorbeeld in rondgestuurde E-cards of in een grappige PowerPointpresentatie kunnen zitten. Tot slot hebben we ongewenst netwerkverkeer in de vorm van bijvoorbeeld spelletjes die over een computernetwerk gespeeld kunnen worden. Dit komt (heel soms) voor op een schoolnetwerk. Risico Hoog 8 N ET w E R KV ER K E ER BE V E I Ll G I N G I 191

8 op ss!ng ~ Monitoren Het oneigenlijk gebruik van een computer of een netwerk kunnen we tegengaan met een serie aan maatregelen. De eerste stap in dit proces is het vaststellen of er oneigenlijk gebruik gemaakt wordt van deze middelen. Dit vaststellen doen we voornamelijk door het, soms steekproefsgewijs, monitoren van een computer of netwerk. Onder het monitoren verstaan we het nauwlettend bekijken wat er zich allemaal afspeelt. Door de activiteiten goed te bekijken, de individuele processen te onderscheiden en te filteren op bekend ongewenst netwerkverkeer kunnen we de netwerkactiviteiten zo beheersbaar mogelijk houden. s.3.1 --t Netwerkkaart monitoren Er gaat allerlei verkeer over onze netwerkkaart heen, vaak zelfs zonder dat wij dit doorhebben. Van e-mail- en internetverkeer tot een netwerkprinter die zichzelf 192!!CT SECURITY

bekend maakt via het netwerk. Al dit verkeer is zichtbaar te krijgen. Wanneer we het verkeer zichtbaar hebben is het echter wel van belang om te weten wat we zien. Om het resultaat goed te kunnen beoordelen is het van belang om in ieder geval een basiskennis te hebben van het 051 model (figuur 8-1). Het 051 model FIGUUR 8-1 051 model Om dit verkeer te zien kunnen we gebruik maken van een netwerksniffer. Een netwerksniffer, ook wel packetsniffer genoemd, is in staat om alle pakketjes die over een netwerkkaart gaan te bekijken en op te slaan. Een bekend open souree netwerksnifter is Wireshark. Wireshark toont niet alleen de waarde van elke pakketje, ook de data per OSI laag staat gegroepeerd. Met Wireshark is het onder andere mogelijk om filters te schrijven (hierover later meer in het practicum Wireshark). Stel dat ik verbinding maak met de website http://www.brinkman-uitgeverij.nl. Dan laat ik mijn computersysteem een verzoek doen verbinding te maken met de webserver van brinkman-uitgeverij.nl (figuur 8-2). Ik wil jouw webpagina bekijken. ------- ----- -------P- FIGUUR 8-2 Webserver verzoek Wanneer we het pakketje dat verstuurd word nader bekijken zien we dat we, zoals altijd binnen het OSI model, op meerdere lagen tegelijk communiceren. We communiceren nu onder andere op: 1:> laag 7: de applicatielaag, omdat ik http pakketjes wil ontvangen, 8 NET we RI( VERKEER BE V E lll GING I 193

1> laag 4: de transportlaag, omdat ik verbinding maak met de standaardpoort waar webservers op luisteren, poort 80, 1> laag 3: de netwerk1aag,,omdat ik verbinding maak met het lp adres van brinkman-uitgeverij.nl, 81.26.209.71. Het geheel ziet er als volgt uit (figuur 8-3): FIGUUR 8-3 Netwerkpakketje webserver verzoek Wanneer we met een netwerksnifter naar het pakketje kijken zien we het volgende (figuur 8-4): FIGUUR 8-4 Netwerkpakketje bekeken met Wireshark 194 I ICT SECURITY

Laten we de informatie uit Wireshark eens bekijken aan de hand van de drie eerder gekozen lagen. We beginnen met laag 3 uit het 051 model: de netwerklaag. Zonder de netwerklaag uitgebreider te bekijken (elke laag is open te vouwen door op het plus je te drukken) zien we het lp adres van de zender van het pakketje en het lp adres van de ontvanger van het pakketje (figuur 8-s). FIGUUR 8-5 Netwerkpakketje bekeken met Wireshark, laag 3- netwerklaag Vervolgens bekijken we de vierde laag: de transportlaag. Ook hier zien we meteen in de omschrijving de belangrijkste informatie staan: het poortnummer waar we verbinding mee willen maken, namelijk de webserver poort: poort 80. Wederom staan de gegevens van onze eigen netwerkkaart er ook, in dit geval vanaf welke poort het netwerk pakketje afkomstig is, namelijk poort 1048. Wireshark kent de meeste poorten en hun functies en zet bij poort 8o 'http' neer {figuur 8-6). Tot slot kijken we naar laag 7, de applicatielaag. Hier willen we de informatie iets uitgebreider bekijken. Wanneer we dit'doen zien we onder andere informatie over de browser waarmee er naar de website gekeken wordt {figuur 8-7). 8 NETWERI<VERI<EERBEVEILIGING I 195

FIGUUR 8-6 Netwerkpakketje bekeken met Wireshark, laag 4- transportlaag Accept-unguaiJll: nl\r\n UA CPU: X86\r\n <:onoec1:ion: Keep-Alive\r\n \r\n FIGUUR 8-7 Netwerkpakketje bekeken met Wireshark, laag 7- applicatielaag Met een netwerksnifter is het mogelijk om het verkeer dat over jouw netwerkkaart gaat te monitoren en analyseren. 196 I!CT SECURITY

s.3.l -7 LAN monitoren Met een sniffer is het ook mogelijk het verkeer op een LAN netwerk te monitoren. Op deze manier kunnen we in bijvoorbeeld Wireshark een filter aanmaken op het MSN messenger verkeer op ons LAN. Voor MSN messenger wordt standaard port 1863 gebruikt, dus wanneer we het verkeer van honderden pc's voorbij zien komen filteren we op port 1863 om te zien of er iemand aan het chatten is. Bij een LAN zijn er wel een tweetal zaken van belang wanneer we gaan sniffen: 1> de fysieke locatie van de sniffer in het LAN, 1> de status van de netwerkkaart. Locatie van de snifter Bij het sniffen van het verkeer op een LAN moet de sniffer wel op de juiste plek staan om al het verkeer voorbij te zien komen. Wanneer we een LAN hebben waar gebruik wordt gemaakt van hubs maakt de locatie weinig uit. Bij een hub wordt elk netwerkpakketje van ieder computersysteem naar alle poortjes op de hub gestuurd. Op deze manier ontvangt elk werkstation alle pakketjes van alle werkstations. Terwijl een switch, in tegenstelling tot een hub, de datapakketjes alleen bezorgt op het poortje waar het computersysteem op aangesloten zit en waar de pakketjes voor bedoeld zijn. In deze situatie moeten we zorgen dat we de sniffer op een punt zetten waar bijvoorbeeld al het internetverkeer samen komt, bijvoorbeeld tussen het netwerk en de firewall of reuter. Op deze manier vangen we al het netwerkverkeer van en naar het internet op, en kunnen we deze analyseren op soorten verkeer. De status van de netwerkkaart Een netwerkkaart staat normaal zo ingesteld dat wanneer deze een pakketje ontvangt, dit pakketje eerst door laag 1 gaat, dan door laag 2, enzovoort, om zo uiteindelijk bij laag 7 aan te komen en door de processor verwerkt te worden. Wanneer dit pakketje voor een ander computersysteem bedoeld is, heeft het pakketje een ander MAC adres als bestemming. Wanneer een computer een pakketje ontvangt dat bedoeld is voor een ander MAC adres, accepteert deze het pakketje niet en wordt het pakketje genegeerd (laai het computersysteem het pakketje 'vallen'). Wanneer wij dus gaan sniffen zien wij alleen de pakketjes die voor ons bedoeld zijn, of die wij zelf versturen (figuur 8-8). We kunnen echter de netwerkkaart in Promiscuous Mode zetten. Hiervoor gebruiken we WinPcap, dat meegeleverd wordt met Wireshark. Wanneer een netwerkkaart in Promiscuous Mode staat worden alle netwerkpakketjes, langs atle OSllagen, doorgestuurd naar de processor, ongeacht het MAC adres waar het pakketje voor bedoeld is (figuur 8-9). 8 N ET w E R KV ER K EE RB E V E lll G i N G I 197

Pakketje voor MAC adres: 00-13-9F-80-9C-4C Pakketje voor MAC adres: OO-A3-FF-BS-44-38 FIGUUR 8-8 Normaal netwerkverkeer wordt gefilterd op laag 2 Pakketje voor MAC adres: 00-13-9F-80-9C-4C Pakketjes voor overige MAC adressen: XX-XX-XX-XX-XX-XX FIGUUR 8-9 Netwerkkaart in Promiscuous Mode past geen filter toe op laag 2 Op deze manier kunnen we al het verkeer langs zien komen. Het computersysteem reageert echter alteen op pakketjes die voor het eigen MAC adres bedoeld zijn, alle overige pakketjes worden alleen waargenomen en opgeslagen. 198 I ICT SECURITY

~L3.3-7 Poorten monitoren Een manier om te zien of er bijvoorbeeld geen Trojaan vriendelijk een achterdeur openhoudt voor willekeurige bezoekers, is om te kijken welke poorten er open staan. Het monitoren van poorten kan met een aantal verschillende software tools. Netstat De meest voor de hand liggende softwaretoo.l is Netstat, dat zowel onder Windowsals Linuxbesturingssystemen werkt. Figuur 8-10 laat de actieve poorten zien: ieue verbindingen Lekaal a~a 1.8.8.8:1.35. 8.1.8.8:445 8.1.8.8:3319 127.8.8.1:11126 12'1.8.8.1t1i:l4 12'1.8.8.1;31616 1U.161.11.13811i9. 192.168.233.129:139 192.168.233.129:3389 Jhr.tem adrea 8.1.8.8:8 a.8.. 8.8:8 8.1.8.8:8 8.8.8.8:8 12'1.8.8.1:1113 8.1.8.111:8...,. 8.8.8.8:0 192.168.233.1:1323 figuur 8-10 Netstat We zien nu dat er een aantal poorten (het nummer achter de dubbele punt) openstaat met de status Bezig met luisteren. Hoewel we nu weten dat deze poorten actief zijn, zegt ons dit nog weinig over wat er gebeurt op deze poorten. Fport Wanneer we echter gebruik maken van de software tooi FPort van het bedrijf Foundstone, zien we niet alleen de openstaande poort, maar ook het proces 10, de naam van het proces en het pad naar de executabel. We zagen bij Netstat al dat bijvoorbeeld poort 30606 open staat. Wanneer we naar de resultaten van FPort kijken zien we dat poort 30606 opengehouden wordt door ekrn.exe: een proces van onze virusscanner NOD32 (figuur 8-n). Zoals we kunnen zien biedt FPoft redelijk wat extra functies ten opzichte van het standaard Netstat. 8 NETWERKVERKEERBEVEILIGING I 199

,--.; ;u r,._,,._f'ciiuiids"llll8.colli P PPDcess to Port Mapper Poundstone~ loc. Port ->,Ufi; -> Ut -> 445 -> 11126 -> 11 -> 11 -> -> -> 3 FIGUUR 8-11 Netstat s. 3. 4-7 Proxyserver Een proxyserver is een server die zich in een netwerk tussen twee computersystemen bevindt. Proxy is het Engelse woord voor tussenpersoon, proxyserver is dus 'een server die als tussenpersoon fungeert'. Een veel gebruikte toepassing voor een proxyserver is web proxy. Een web proxy is een softwarematige oplossing die men op een computersysteem instàlleert en die vervolgens de tussenpersoon is tussen de netwerkgebruikers en het internet. Alle gebruikers delen dezelfde internetverbinding en elke connectie met het internet loopt dan via de web proxy. Dit biedt allerlei voordelen, maar met het oog op het monitoren biedt een webproxy het voordeel dat alle internetgebruik van het netwerk redelijk eenvoudig in beeld te brengen is. Een open souree web proxy is Squid cache. Deze gratis oplossing maakt het mogelijk om op een netwerk een web proxy te hebben. Een voorbeeld van een commerciële web proxy is Microsoft lnternetsecurity and Acceleration Server 2006. Deze tooi is niet alleen een uitgebreide firewall, maar kan ook als web proxy dienen en volledig geïntegreerd worden met de Active Directory. PRAcracuM -7 Wireshark In dit practicum gaan we met de netwerksnifter Wireshark het netwerkverkeer monitoren. Dit is een practicum in drie delen: 1> eerst gaan we Wireshark installeren en configureren, 1> vervolgens analyseren we met een aantal filters het netwerkverkeer, 1> tot slot analyseren we, aan de hand van een reeds bestaande verzameling netwerkpakketjes, wat er voor verkeer heeft plaats gevonden. 200 I ICT SECURITY

Voor dit practicum heb je nodig: t> een werkstation, t> een internetverbinding, t> het werkblad 'Werkblad Wireshark.doc'. Tijdsduur:± 1:30 uur. 8.4.1-7 Wireshark basis We gaan eerst Wireshark downloaden en de basisfuncties verkennen. 1. Log in op je werkstation. 2. Open je favoriete webbrowser en ga naar http://www.wireshark.org. 3. Download Wireshark door op Get Wireshark Now te klikken. 4. Start de Wireshark installer. Indien Windows met een beveiligingswaarschuwing komt, kies dan voor Uitvoeren. 5. Installeer Wireshark met de volledige opties, tot de installatie van WinPcap verschijnt. 6. WinPcap is een aparte module die er voor zorgt dat de netwerkkaart in Promiscuous Mode gezet kan worden, indien de hardware dat kan. Wanneer het wizardvenster lnstall WinPcap verschijnt, zorg dan dat lnstall WinPcap X.X.X aangevinkt is en maak de installatie vervolgens af met de standaardopties (figuur 8-12). FIGUUR 8-12 WinPcap installatie 8 N ET w E R i< V E R I< E E R B E V E lll G i N G I 201

7. Start Wireshark. 8. Klik achtereenvolgens op Capture --7 Interfaces. 9. Het venster met de verschillende netwerkkaarten, of interfaces, verschijnt. Als we dit venster bekijken is de kans groot dat we verschillende pakketjes voorbij zien komen doordat het nummer onder Packets oploopt {figuur 8-13). Klik op Options achter de netwerkkaart waarmee je aan het internet verbonden bent. FIGUUR 8-13 Wireshark interfaces 10. Het Wiresharkvenster Capture Options verschijnt. Zorg dat in dit venster Capture packets in promiscuous mode aangevinkt staat (figuur 8-14). Noteer in het 'Werkblad Wireshark.doc' wat de status is van de netwerkkaart. Klik op Start om te beginnen met het verzamelen van pakketjes. FIGUUR 8-14 Wireshark Capture Options -------------------------------------------------------------- 202 I ICT SECU RITY

11. Open, zodra Wireshark gestart is met het verzamelen van data, een webbrowser en navigeer naar een website naar keuze. Noteer het website-adres in het 'Werkblad Wireshark.doc'. 12. Wanneer de website geladen is, laat je de browser open staan en ga je terug naar Wireshark. Klik op Capture -7 Stop. 13. je krijgt de resultaten te zien. 14. Zoek de eerste twee lichtblauw gekleurde pakketjes. Hier is een ONS verzoek gedaan om het lp adres van de bezochte website te verkrijgen. Navigeer naar het tweede ONS pakketje en vouw achtereenvolgens de Domain Name System (response) -7 Answers -7 www.domeinnaam.nl open. 15. Wanneer we de data in het pakketje bekijken, zien we dat de ONS server antwoord heeft gegeven en we zien het lp adres van de website, in het voorbeeld 81.26.209.71 (figuur 8-15). Noteer het lp adres in het 'Werkblad Wireshark.doc'. ËJ AA:SWE!I"S r,a \V!WI.br1nkmq.n-uitgeverij.n1: 'type A, class IN, addr 81. 26.209.71 Name: WIWI. br"'nkman-u1tgeverij. n1 Type: A (Host address) class: IN (Ox0001) Time to live: 4 hours Data length: 4 Addr: 81.26.209.71 FIGUUR 8-15 Wireshark ONS antwoord 16. Ga terug naar de browser en bekijk de broncode van de pagina. Voor Internet Explorer 7: Klik achtereenvolgens op Pagina -7 Bron weergeven. Voor Firefox 2: Klik achtereenvolgens op Beeld -7 Paginabron. 8 N ET w ER I< V E R!( E E R B E V E lu G I N G I 203

17. Bekijk de broncode, kopieer deze en plak de inhoud van de broncode in 'Werkblad Wireshark.doc' {figuur 8-16). <met a htt:p-equiva"com:em-type'' cont:em~"text:/ht:ml; charset:~i so-8 <met a http-equiv="cont:ent-language" content "nl" /> <meta http-equ1v="exp1res" content="+5 days" /> <met a name""resource-typ,e" content="document" />.qneta name="descript:ion' content="" />.qneta name="keywords" content:="" /> <meta name~"aut.hor" content="synetic" /'>-.qnet:a name "copyri9ht:" cont:ent="synetic" />. <met a name="robots content="a 11" /> <title;.erinkman uitgeverij</tit1e:> <link relw"st:yl es heet" href="hnp :/;w.m. brinkman-uitgeverij. nl/cs <script src "ht:tp ://w.hl. brinkman-uitgeverij. nl/j avascript/swfobje <!--[if IE)> FIGUUR 8-16 Broncode 18. Terug bij Wireshark. Klik met de rechtermuisknop op het eerste HTIP pakketje na de DNS pakketjes. Kies uit het contextmenu de optie Follow TCP Stream (figuur 8-17}. Deze optie filtert alle pakketjes die in dezelfde datastroom zitten. (9 Set r.me Refsrence (rogç,!e) Apply as Filter Prepare a R&er Conversation R!ter. E u..@...... Q. G P.4 E.K.gAP GE TI HTTP /LL.Ac : im FIGUUR 8-17 Wireshark Follow TCP Stream optie 19. Het venster Follow TCP Stream verschijnt. Wanneer we iets naar beneden scrollen, zien we dezelfde broncode van onze webpagina weer (figuur 8-18). Kopieer 204 I I ct s Ecu R I T y

en plak de inhoud van het Follow TCP Stream venster in het werkblad Wireshark. doe'. bril'lk~h;;;uttgevétij.ri111ndéx. phl)?i'doo:t''>br1nkma:n lj1tgévét1j</l!>< maanterk</em> FIGUUR 8-18 Wireshark Follow TCP Stream Het is dus mogelijk om de netwerkdata die over een netwerkkaart heen gaat te filteren en vervolgens te reconstrueren. We hebben met een snifter netwerkverkeer bekeken. Nu gaan we filters toepassen op ons netwerkverkeer. Om te controteren of een computersysteem 'aan' staat, kunnen we naar een computersysteem het PING commando sturen. Als deze aan staat krijgen we een reactie en anders niet. Het PING commando werkt als een soort echo. We kunnen dit commando uitvoeren door in de opdrachtprompt te typen: ping lp-adres Wanneer het systeem aan staat en reageert op het PING commando krijgen we een antwoord, anders krijgen we een time-out. 8 N ET w E R KV ER K EER BE V E lll G I N G I 205

s.4.1 ~ Netwerkverkeer filteren 20. We gaan nu wat meer data verzamelen. Voor een periode van minimaal vijf en maximaal tjen minuten m,aak je ~epruik van het netwerk terwijl je met ~ireshark aan het luisteren bent. In deze tijd doe je in ieder geval de volgende dingen: bezoek minimaal tien verschillende websites, maak minimaal drie verschillende zoekopdrachten met Google, PING een ander computersysteem op het LAN (mag ook de router zijn). Zorg ervoor dat alle bezochte websites, zoektermen in Google en pinggegevens genoteerd zijn in het 'Werkblad Wireshark.doc'. 21. Start in Wireshark een nieuwe sessie. Klik wederom achtereenvolgens op Capture ~ Interfaces en klik op Start achter de juiste netwerkkaart. 22. Voer al1e acties uit en noteer de acties in het werkblad. 23. Wanneer er voldoende tijd is verstreken en alle acties zijn uitgevoerd, klik je op Capture ~ Stop. 24. We gaan kijken hoe we de pingpakketjes uit de data kunnen filteren. Aangezien pingpakketjes onderdeel van het ICMP protocol uitmaken, typen we in het filterveld 'icmp'. Het filterveld is rood tijdens het typen, wat aangeeft dat de filter nog niet compleet is. Zodra we echter de laatste letter intypen wordt het veld vanzelf groen om aan te geven dat het een juist filter is. Klik op Apply. 25. We zien nu alleen nog alle pingpakketjes. Aangezien het PING commando onder Windows standaard vier maal uitgevoerd wordt, zien we vier maal een request en vier maal een reply (figuur 8-19). 26. Klik met de rechtermuisknop op het eerste ping request pakketje en klik in het contextmenu op Copy ~ Summa!y (Text}. De samenvatting van dit pakketje is naar het clipboard gekopieerd. Plak de inhoud nu in het 'Werkblad Wireshark. doe'. 27. Kopieer en plak de samenvatting van het eerste ping reply pakketje in het 'Werkblad Wireshark.doc'. 206 I I ct 5 Ecu RIT y

FIGUUR 8 19 Wireshark ICMP filter.. <.<. v.... o\,.. abcdef ~.~ ~fqrstuv!!1111~21 28. Er zijn honderden verschillende filters die Wireshark aan kan. Vete filters zijn ook zetf samen te stellen met behulp van een wizard. Laten we eens een filter maken voor al het verkeer over poort 80. Met een selectie van poort 80 hopen we het meeste webverkeer te kunnen filteren. Eerst maken we de filter weer leeg, klik op de knop Clear naast het filterveld. 29. Klik op de knop Expression, deze bevindt zich ook naast het filterveld. Het venster Filter Expression verschijnt. Ga bij Field name naar TCP en kies daar vervolgens tcp.port, omdat we een TCP poort gaan filteren. Kies bij Relation voor ==, omdat het precies gelijk moet zijn aan de waarde. Type in het rechtervak 80, dit is het poort nummer. Klik tot slot op OK (figuur 8.20). 30. In het filtervenster verschijnt de fîiter tcp.port == 80, de filter is nog niet toegepast. Klik op Apply om deze toe te passen. 31. De filter is toegepast. We zien nu alleen het poort 8o verkeer (figuur 8.21). 8 N ET w E R KV E R KEER BE V E I Ll G I N G I 207

FIGUUR 8-20 Wireshark filter expressie FIGUUR 8-21 Wireshark filter 32. Ontwikkel zelf een filter voor al het DNS verkeer. Schrijf de filter op in het 'Werkblad Wireshark.doc'. 33. Pas de filter toe, maak een screenshot van het resultaat in Wireshark, en plak de screenshot in het 'Werkblad Wireshark.doc'. 208 I ICT SECURITY

34. Ontwikkel, om echt de Wiresharkfilters onder de knie te krijgen, een filter voor alle zoekopdrachten in Google. Schrijf de filter op in het 'Werkblad Wireshark. doe'. 35. Pas de filter toe, maak ook van het resultaat van deze filter een screenshot en plak het resultaat in het 'Werkblad Wires,hark.doc'. We hebben een aantal filters toegepast op het netwerkverkeer. Nu gaan we een grotere datastroom analyseren. 8.4.3 --7 Datastroom analyseren 36. Ga naar http://www.ict-security-boek.nlfoefeningen/wireshark, en download het bestand netwerkverkeer.zip. 37. Pak het bestand netwerkverkeer.zip uit en open het uitgepakte bestand in Wireshark. 38. Geef een zo uitgebreid mogelijke beschrijving van de netwerkactiviteiten die in dit bestand geregistreerd zijn. Het practicum samengevat: 1> er is een netwerksnifter geïnstalleerd, 1> er zijn filters toegepast om specifieke informatie uit het netwerkverkeer te filteren, 1> er is een uitgebreide analyse geweest van stroom netwerkverkeer. Netwerk beveiligen 8.5 se~>ln:hgii\ig --7 Hackers Een netwerk kan om meerdere redenen onderwerp van interesse worden voor hackers en andere malafide personen. Wanneer een hacker een gewone pc kraakt kan de hacker de data misbruiken. Ook kan hij de hardware gebruiken om iets op te slaan of om vandaar het volgende systeem te hacken. Bij een netwerk is dit hetzelfde, echter 8 NETWERKVER KEERBEVEILIGING I 209

op veel grotere schaal. Wanneer de beschikbare data misbruikt wordt kan dit kan veel meer geld opleveren. En wanneer een hacker de hardware van een heel netwerk in handen heeft gekregen kan bijvoorbeeld de dataopslag van een netwerk gebruikt worden om grote hoeveelheden illegale data op te slaan. Daarnaast kan de rekenkracht misbruiktworden om eenaanvalopeen ander netwerk uitte voeren; denk bijvoorbeeld aan een DOoS aanval, waar'over meer in h'oofdstuk 15. Hackers kunnen niet alleen zorgen voor een grote schadepost wanneer ze verschillende soorten malware loslaten op ons netwerk, maar wanneer er data verloren gaat, of openbaar wordt, kan dit een nog veel grotere schadepost betekenen. Zoals we in hoofdstuk 4 hebben kunnen tezen gaat een hacker stapsgewijs te werk. In het kort nogmaals de vier stappen op een rij: 1. doelwit verkennen 2. scannen van doelwit 3. toegang verkrijgen 4. toegang behouden Risico Middel ora.ossung ~ Firewall Een firewall schermt twee netwerken of systemen van elkaar af (figuur 8-22). Een firewall beschermt een netwerk voor ongewenst verkeer vanuit de buitenwereld. Op deze manier krijgt ongewenst verkeer uit de buitenwereld geen toegang tot het netwerk en gewenst verkeer wel. Maar,een firewall beschermt ook tegen van binnen naar buiten gaan van ongewenst verkeer, denk bijvoorbeeld aan een Trojaan die verbinding zoekt met de aanvaller. Een firewall kan op twee {OSI} lagen werken, te weten laag 3, de netwerklaag en laag 7, de applicatielaag. 210 I ICT SECURITY

FJGUUR 8 22 Flrewall 8.6.1 --1 Firewallfilters Een firewall kan op meerdere manieren filters toepassen. We bespreken elk van de manieren. Packet filtering firewalt Een packet filtering firewall werkt op laag 3, de netwerklaag. Deze firewall kijkt op de netwerklaag naar de pakketjes die voorbij komen en aan de hand van filters mag een pakketje wel of niet door. Wanneer we naar het stappenplan van een hacker kijken, zijn er stappen waar we meer en waar we minder aan kunnen doen. Stap 1 -doelwit verkennen, is een stap die voornamelijk door het gebruik van open bronnen wordt gekenmerkt. Hoewel we wel enige invloed hebben op wat er in openbare bronnen voor informatie beschikbaar is, is deze invloed beperkt. Op stap 2 en 3, respectievelijk scannen van doelwit en toegang verkrijgen, hebben we wel veel invloed. Wanneer de hacker tijdens het scannen van het netwerk pakketjes verstuurt, hoopt hij dat het antwoord dat terug komt meer informatie verschaft over de hardware en software die er bij het doelwit gebruikt wordt. Een goede packet filteringfirewall geeft zo min mogelijk informatie weg. Met een packet filtering firewall kunnen we instellen welke poorten er open staan, vanaf welke lp adressen er verbinding met het netwerk gemaakt mag worden, om welke tijden er verbinding gemaakt mag worden, en oog vele andere opties. 8 N ET w E R I< VER K E ER BE V E lll G I N G I 211

Applicatielaag firewall Een applicatielaag firewall, ook wel een application layer firewall, werkt op laag 7, de applicatielaag. Voor elke applicatie wordt gekeken of deze verbinding mag maken. Zo kunnen bijvoorbeeld ook virussen aan de poort tegen gehouden worden. Wanneer we in onze packet filtering firewall instellen dat een standaard P~.er to peer (in het vervolg P2P) poort dicht zit, kunnen we niet voorkomen dat de P2P software over een andere poort gebruikt wordt. Een applicatiefaag firewall is echter in staat de P2P software überhaupt geen toegang te verlenen. De beste firewall is natuurlijk een combinatie. Wanneer we zorgen dat we met packet filtering 99 /o van de poorten dicht gooien, kunnen we het overige verkeer dat over de openstaande poort gaat, filteren met een applicatielaag firewall. Statetuil firewall Een statefull firewall is een firewall die aan statefuif packet inspeetion doet. Met andere woorden: het is een firewall die de status van een netwerkpakketje bijhoudt. Een statefull firewall kan bijhouden of de pakketjes die door de firewall heen gaan een legitieme inhoud hebben. Statefull packet inspeetion ziet er op toe dat de juiste stappen in het opzetten van een verbinding worden genomen. Dit voorkomt dat hackers een verbinding opzetten met niet standaard pakketjes. s.6.l ~ Firewall producten Er zijn meerdere firewall producten beschikbaar. Eerst bespreken we twee softwarematige firewalls en vervolgens wat een hardwarematige firewall is. Twee populaire softwarematige producten voor bedrijven zijn lptables en Microsoft Internet Security and Acceleration Server 2006. lptables. Strikt genomen is lptables de tooi waarmee in Linux het raamwerk netfilter beheerd wordt. Maar meestal bedoelt men met lptables het geheel waarmee binnen Linux een firewall ingericht en beheerd kan worden. Er zijn verschillende manieren en tools waarmee lptables geconfigureerd kan worden tot een zeer gedegen statefull firewall. Microsoft Internet Security and Acceleration Server 2006 We hebben bij de uitleg over proxyservers het al even kort over Microsoft Internet Security and Acceleration Server 2006 (ISA server) gehad. ISA server is in de eerste plaats een firewall. Echter, naast de standaard firewallfuncties kunnen we met ISA 212 I ICT SECURITY