Dit is een begeleidende presentatie bij het hoofdstuk 5 van het Sleutelboek Computernetwerken. Deze presentatie mag vrij worden gebruikt, aangepast en verspreid.
Meer informatie over het Sleutelboek Computernetwerken is beschikbaar op www.sleutelboek.eu
2. 5.1 Veiligheidsproblemen van een netwerk
5.2 Beveiligingsbeleid
5.3 Beveiliging van draadloze netwerken
5.4 De firewall
5.5 De proxyserver
5.6 Virtuele netwerken
Netwerkbeveiliging
3. 5.1 Veiligheidsproblemen van een netwerk
bedrijfsspionage
cybercriminelen
geheime diensten
cyberoorlogen
hackers en
crackers
7. 5.1 Veiligheidsproblemen van een netwerk
poortnummer
tussen 0 en 65 535
bepaald door communicatieprotocol
permanent actieve diensten = open poorten
IP-adres + poortnummer = socket
opsporen met poortscanners
9. 5.1 Veiligheidsproblemen van een netwerk
poorten verbergen voor potentiële hackers
firewall
Maar: hackers verbergen meestal hun IP-adres
IP-adres van hacker achterhalen in log-bestanden
10. 5.1 Veiligheidsproblemen van een netwerk
Exploits
null session
attacks
aanval op
gegevens-
integriteit
DDOS-aanval
man-in-the-
middle-aanval
11. 5.1 Veiligheidsproblemen van een netwerk
Social
engineering
persoonlijke
gegevens
achterhalen
vb: fake
telefoontje van
helpdesk
phishing pharming
12. 5.1 Veiligheidsproblemen van een netwerk
phishing
identiteitsgegevens
kredietkaartgegevens
mails met schijnbaar legitieme links
duidelijk afwijkende URL
valse website die lijkt op de echte
15. 5.1 Veiligheidsproblemen van een netwerk
pharming
doel is hetzelfde als bij phishing
gevaarlijker, want URL is wel correct
DNS cache
poisoning
DNS hijacking
16. 5.1 Veiligheidsproblemen van een netwerk
Hoe zich te wapenen tegen deze gevaren?
gezond wantrouwen
spamfilter
firewall
software tegen spyware
browser met anti-phishing filter
17. 5.1 Veiligheidsproblemen van een netwerk
Nieuwe bedreigingen door Internet of Things
hacken via huishoudtoestellen
zombies maken van toestellen
21/10/2016: DDOS-aanval op DNS-rootservers
netwerkbeveiliging wordt nog belangrijker
grote verantwoordelijkheid van fabrikanten
18. 5.1 Veiligheidsproblemen van een netwerk
ethische hackers
ingehuurd door bedrijven
melden netjes beveiligingslekken
Facebook, Google, … betalen eveneens
hackers die lekken melden
19. 5.1 Veiligheidsproblemen van een netwerk
Hacken is altijd een illegale activiteit
Alle crackers zijn hackers, maar niet alle hackers zijn crackers
Hacken van computersystemen die niet beveiligd zijn, is toegelaten
Hacking wordt gebruikt als wapen in cyberoorlogen
Gebruikerscomputers zijn moeilijker te hacken dan webservers
Het gebruik van poortscanners is illegaal
Gewone gebruikerscomputers zijn oninteressant voor hackers
Hackers dragen soms ook bij aan een veiliger internet
Tablets en smartphones kunnen niet gehackt worden.
20. 5.1 Veiligheidsproblemen van een netwerk
Wat is social engineering?
Wat heeft het met hacking te maken?
Wat is hacktivisme?
Geef een voorbeeld uit de actualiteit.
Wat is een botnet?
Bij DOS-aanvallen kan gebruik gemaakt worden van
zogenaamde Ping of Deaths (POD).
Wat is een Ping of Death?
21. 5.1 Veiligheidsproblemen van een netwerk
De mail heeft een algemene aanhef.
De mail wordt in het Engels verstuurd.
De mail wordt meestal ’s nachts verstuurd.
Er wordt gedreigd met ernstige gevolgen …
De link waarop je moet klikken verschilt van de originele website,
De naam van de afzender is een vreemde, buitenlandse naam.
Je wordt gevraagd om je inlog- of krediettaartgegevens door te geven.
De mail komt van een persoon die je kent.
De mail bevat een bijlage waarin een virus of spyware kan zitten.
De mail bevat taal- en stijlfouten.
22. 5.1 Veiligheidsproblemen van een netwerk
In de zomer van 2015 raakte bekend dat de ethische
hackers Charlie Miller en Chris Valasek een belangrijk
en onverwacht veiligheidslek blootlegde. Welk?
Wat is het verschil tussen een brute DDOS-aanval en
een applicatieve DDOS-aanval?
Welke twee structurele maatregelen kunnen bedrijven
nemen tegen DDOS-aanvallen?
25. 5.2 Beveiligingsbeleid
authenticatie
bewijzen dat je bent wie je beweert te zijn
wachtwoord gekoppeld aan gebruikersnaam
beheerder bepaalt voorwaarden voor het
wachtwoord
alternatieven: biometrie, smartcard
2FA: extra code via sms of e-mail
29. 5.2 Beveiligingsbeleid
Wat wordt bedoeld met een vertrouwd apparaat?
Hoe kan je toegang krijgen tot je account als je je
telefoon verliest?
Wat is de grootste hinderpaal voor drietrapsauthen-
ticatie in plaats van tweetrapsauthenticatie?
Waarom is verificatie in twee stappen optioneel en
niet verplicht?
33. vooral thuisnetwerken worden slecht beveiligd
wardriving = op zoek gaan naar niet of slecht
beveiligde netwerken vanop de openbare weg
5.3 Beveiliging van draadloze netwerken
NAP stuurt voortdurend SSID uit
signalen worden ook buiten gebouw opgevangen
sniffing = gegevens aftappen van netwerken
34. 5.3 Beveiliging van draadloze netwerken
WEP
encryptie via statische sleutel
wireless equivalent privacy
35. 5.3 Beveiliging van draadloze netwerken
WEP WPA
encryptie via dynamische sleutel met “wachtzin”
WiFi protected access
36. 5.3 Beveiliging van draadloze netwerken
WEP WPA
WPS voor gebruiksvriendelijke installatie
encryptiemethode AES
WPA2
37. 5.3 Beveiliging van draadloze netwerken
MAC-
filtering
MAC-adressen onversleuteld verstuurd =
mogelijkheid tot hacking
Aanleggen van ACL (access control list)
Enkel werkbaar in kleine netwerkjes
38. 5.3 Beveiliging van draadloze netwerken
Stel een eigen, uniek
wachtwoord in voor
administrator-toegang.
Stel een eigen, uniek
SSID in.
Gebruik WAP2
beveiliging.
Gebruik de firewall-
functie.
39. Tussen twee gebouwen: unidirectionele antennes
Oppassen met publieke hotspots!
NAP zoveel mogelijk centraal plaatsen in een
gebouw: vergroot de afstand met de hacker
5.3 Beveiliging van draadloze netwerken
40. Waarom behoud je best niet de standaard
fabrieksinstellingen van een NAP?
Het is mogelijk om een SSID van een NAP te
verbergen. Wat zijn hiervan de voordelen en de na-
delen met betrekking tot de veiligheid van het
draadloos netwerk?
Wat is PSK (pre-shared key) met betrekking tot het
beveiligen van draadloze netwerken?
5.3 Beveiliging van draadloze netwerken
41. Welke drie methodes bestaan er om een mobiel
apparaat via WPS met een draadloos netwerk te
verbinden? Leg ze bondig uit.
Waarom vormt het gebruik van WPS een
veiligheidsrisico en hoe kan je dat beperken?
5.3 Beveiliging van draadloze netwerken
42. 5.4 De firewall
computerprogramma dat al het netwerkverkeer
controleert
hardware firewall
tussen WAN en LAN
software firewall
personal firewall
43. packet filtering
5.4 De firewall
poortfiltering IP-filtering
web-filtering applicatie-filtering
44. Extra filters
5.4 De firewall
spamfilter virusfilter content filter
informatie over inbraakpogingen in logbestanden
aparte regels voor ingaand en uitgaand verkeer
alles behalve … niets behalve …
46. Wat is Unified Threat Management (UTM)?
Verklaar waarom het BYOD-principe (“bring your own
device”) hoge eisen stelt aan de firewall die een
bedrijfsnetwerk moet beveiligen.
Wat is port forwarding?
Wat is een application aware firewall?
5.4 De firewall
47. Vergelijk deze voorstelling van een DMZ met die in het
Sleutelboek. Wat is het verschil? Wat is het voordeel
van deze opstelling? Noteer in het diagram hoe de
twee firewalls worden genoemd.
5.4 De firewall
48. Vergelijk deze voorstelling van een DMZ met die in het
Sleutelboek. Wat is het verschil? Wat is het voordeel
van deze opstelling? Noteer in het diagram hoe de
twee firewalls worden genoemd.
5.4 De firewall
49. Een firewall configureren
Installeer een personal firewall op een computer.
Controleer de instellingen. Op welke basis werkt de
firewall (“alles behalve” of “niets behalve”)?
5.4 De firewall
Controleer de instellingen van de firewall in een
gewone draadloze router. Op welke basis werkt de
firewall (“alles behalve” of “niets behalve”)?
Controleer de instellingen van een hardware firewall.
Op welke basis werkt de firewall (“alles behalve” of
“niets behalve”)?
50. 5.5 De proxyserver
vaak bezochte pagina’s in proxycache
web proxy
locatie: tussen LAN en internet
doel: internetverbinding delen
maakt ook webfiltering mogelijk
51. open proxyservers om web proxy’s te omzeilen
groot aantal maakt blokkeren onbegonnen werk
5.5 De proxyserver
IP-adres verbergen
anonieme proxyserver
IP-adres vervalsen
distorting proxyserver
52. proxyservers tussen internet en webservers
reversed proxy
internetverkeer gelijkmatig verdelen
webservers niet rechtstreeks zichtbaar
5.5 De proxyserver
53. 5.5 De proxyserver
transparante proxy niet-transparante proxy
gebruikers zijn er zich
niet bewust van
gebruikers maken er
bewust gebruik van
web proxy
reversed proxy
open proxy
anonieme proxy
54. 5.6 Virtuele netwerken
VLAN = logisch netwerk binnen fysiek netwerk
voordeel: gegevensstromen scheiden
verhoogt de veiligheid
moderne switches kunnen segmenteren
trunking: verschillende trunks over 1 kabel
extra VLAN-tag in Ethernet-frame
55. redenen voor het gebruik van VLAN
overzicht en structuur
op een groot netwerk
verhogen van de
performantie
scheiden van
dataverkeer en VOIP
scheiden van draadloos
en bekabeld netwerk
scheiden van IPv4 en IPv6 netwerkverkeer
5.6 Virtuele netwerken
58. statisch VLAN
fysiek vastgelegd in de
switch
enkel indien alle
computers een vaste
fysieke plaats hebben
5.6 Virtuele netwerken
dynamisch VLAN
VMPS (VLAN mana-
gement policy server)
wijst computer toe aan
een VLAN a.d.h.v. het
MAC-adres
61. VPN: virtual private network
rechtstreekse verbinding tussen twee computers
van verschillende netwerken via het internet
5.6 Virtuele netwerken
voordeel: van op afstand toegang krijgen tot
netwerkbronnen van bedrijfsnetwerk
ook: LAN’s met elkaar verbinden (vb. filialen)
site-to-site VPN
62. VPN: virtual private network
IP-pakketjes ingekapseld in nieuwe pakketjes
5.6 Virtuele netwerken
gebruik van encryptie: tunneling
VPN terminator + firewall
65. In hoofdstuk 2 leerde je dat je met subnetting
verschillende logische netwerken kan maken. Wat is
het verschil met VLAN’s?
5.6 Virtuele netwerken
Wat is een provider-provisioned VPN (PPVPN)?
67. Waarom schakel je IPv6 best uit wanneer je een VPN-
verbinding maakt?
5.6 Virtuele netwerken
68. 5.6 Virtuele netwerken
Een lokaal netwerk beveiligen
1 Stel de proxyserver correct in en blokkeer het netwerkverkeer
naar twee sociale netwerksites.
2 Stel op de server een firewall correct in voor de beveiliging van
het achterliggende netwerk.
3 Koppel het NAP aan de switch van je experimentele netwerk en
zorg voor een degelijke beveiliging van je draadloze netwerk.
4 Installeer op de server en het werkstation een antivirusscanner,
waarbij de updates van het werkstation via de server verloopt.
5 Deel je experimentele netwerkje op in 2 VLAN’s: eentje voor
het bekabelde netwerk en eentje voor het draadloze netwerk.
6 Maak een VPN-verbinding tussen de werkstations van twee expe-
rimentele netwerken die je hebt aangelegd en test deze uit.
69. Sleutelboek Computernetwerken 2.0
Dit is een begeleidende presentatie bij
het hoofdstuk 5 van het Sleutelboek
Computernetwerken 2.0. Deze
presentatie mag vrij worden gebruikt,
aangepast en verspreid. Deze dia bevat de
bronvermelding en moet ten allen tijde
deel blijven uitmaken van de presentatie.
Meer informatie over het Sleutelboek
Computernetwerken 2.0 is beschikbaar op
www.sleutelboek.eu
Klik op de knop EXIT om
de presentatie af te sluiten.