Hoofdindex » Servers » TechTalk » Beveiliging van gegevens
Webservers en meer
TechTalk
Beveiliging van gegevens
Met beveiliging worden er twee verschillende zaken bedoeld:
  • Beveiliging van gegevens door middel van encryptie (versleuteling). Wordt hier besproken.
  • Beveiliging van een netwerk door het opzetten van een tunnelverbinding.
Wij hebben het hier specifiek over de beveiliging over een onveilig medium (het internet). Deel I (beveiliging op applikatie niveau) komt hier ter sprake.

Voorbeelden

Normaal mailbericht

normale brief
Dit is een normale email brief met afzender, bestemmeling en inhoud. De inhoud bevat twee attachments.
Met PGP beveiligde brief

versleutelde brief
De inhoud wordt gekodeerd verzonden. Afzender en bestemmeling kunnen niet versleuteld worden, anders kan de brief niet verstruurd worden!
Zo ziet de beveiligde brief eruit

versleutelde brief
De tekst en bijlagen zijn onleesbaar geworden voor wie niet over de correcte sleutel beschikt.

OSI model

Op één punt is het OSI model totaal voorbijgestreefd. De beveiliging (versleuteling van de gegevens) gebeurt namelijk niet op de presentatielaag (presentation layer, de tweede laag van het OSI model) maar in de applikatielaag (eerste laag) of de sessielaag (derde laag, bij https).

Het windows operating system maakt geen verschil tussen deze drie lagen: de applikaties moeten de functionaliteiten van de drie lagen zelf vervullen.

Beveiliging gebeurt door versleuteling, het onleesbaar maken van het bericht door een speciale kodeeralgoritme. Dit gebeurt door de applikatie zelf. Le leggen de beveiliging uit aan de hand van een paar voorbeelden.

Niet beveiligd: FTP

Het FTP protocol heeft een vorm van beveiliging, je moet namelijk een login en password geven om de gegevens in de web directory te kunnen wijzigen. Login en password (en nadien de gegevens die verstuurd worden) worden echter in klare taal verstuurd. Voor het internet vormt het FTP protocol dus geen beveiliging. De toegang tot de bestanden is "beveiligd" (zonder sleutel kan je niet binnen), maar alle gegevens die over het internet verstuurd worden (dus ook de login en passwoord!) zijn niet veilig.

Soms beveiligd: MAIL

Het is beter gesteld met de mail afhandeling, indien de login-procedure zelf versleuteld is (indien je mail server dit toelaat). De normale login procedure om je mail te lezen is via LOGIN: PLAIN (passwords worden niet versleuteld), maar een beveiligde login-procedure is ook mogelijk: CRAM (Challenge-Response Authentification Method). Bij dit systeem van inloggen wordt een vraag- en antwoordspel uitgevoerd. Zonder het passwoord te kennen kunnen de vragen niet beantwoord worden, maar het paaswoord zelf wordt nooit over het netwerk gestuurd. Het inloggen gebeurt dus op een veilige manier.

Het bericht zelf kan ook beveiligd worden door versleuteling, bijvoorbeeld door PGP (Pretty Good Privacy), hoewel deze methode tegenwoordig nog nauwelijks nog gebruikt wordt. Deze versleuteling gebeurt tussen de uiteinden van de verbinding (de mail applikatie): beide mail programma's moeten dezelfde versleuteling gebruiken. Vroeger, toen de mails op bijvoorbeeld een publieke bulletin board opgeslagen werden, werden de mailberichten wel beveiligd.

Het moet duidelijk zijn dat we hier te maken hebben met verschillende niveau's van beveiliging: CRAM om je login-gegevens te beveiligen tussen je computer en de server en PGP tussen beide mail programma's om de gegevens te versleutelen. De mailserver zelf doet enkel aan passwoord-beveiliging (indien zo ingesteld): de berichten zelf zijn niet gecodeerd en kunnen "afgetapt" worden. De PGP-data wordt aangezien als een deel van het bericht, alsof het een attachment zou zijn. Wij hebben te maken met encapsulatie, het inpakken van de gegevens die beschermd moeten worden. Het hele internet is gebaseerd op encapsulatie (niet altijd met beveiliging als doel): de gegevens worden in stukken gesneden en ingepakt in TCP-packets.

Niet beveiligd: RDP

De bedoeling van RDP (Remote Desktop Protocol) is het aangaan van een verbinding met een server vanaf een werkpost in een LAN. Servers staan meestal in speciale torens opgesteld en het is voor de administrator soms niet gemakkelijk om aan de servers te werken. Daarom werd RDP in het leven geroepen. Hoewel er een login en paswoord gegeven moet worden is er nauwelijks sprake van beveiliging. Scherminhoud, bewegingen van de muis en toetsenbord-inputs kunnen opgevangen worden door packet sniffers.

Wel beveiligd: VNC

VNC (Virtual Network Computing) is vergelijkbaar met RDP: bij beide toepassingen heb je toegang tot de desktop van de server. De bedoeling van VNC is toegang te krijgen tot een ander computer over het internet. De gegevens worden versleuteld doorgestuurd. VNC heeft verder talrijke verschillen met RDP.

Altijd beveiligd: HTTPS

Een vaak voorkomende manier om de gegevens die over het internet verstuurd worden te beveiligen is via het https-protocol (SSL of secure socket layer). Dit protocol gebruik je bijvoorbeeld om een online-betaling uit te voeren of voor telebanking. Hier gebeurt de versleuteling ook tussen de uiteinden van de verbinding, namelijk in het programma zelf (internet explorer of firefox). Het https is een gestandardiseerde manier om gegevens op een beveiligde manier uit te wisselen. De versleuteling gebeurt "in theorie" in de sessielaag, maar voor windows maakt het niets uit, applikatie, presentatie en sessie worden als één geheel beschouwd.

versleuteling van gegevens
Versleuteling van gegevens door een speciale module
Onbeveiligde gegevens - Versleutelde gegevens
Soms wordt een aparte module gebruikt voor de versleuteling: je browser (internet explorer of firefox) maakt geen directe verbinding met de bankserver, maar via een lokale server (dat op de PC zelf draait), en het is die module die de gegevens codeert. Het voordeel is dat deze manier van doen met alle browsers werkt (er wordt immers geen plugin gebruikt). Als er via een lokale beveiligingsmodule gewerkt wordt, dan geeft je adresbar een lokale adres aan (bijvoorbeeld http://localhost:12345) De module gedraagt zich als "server" op poort 12345 en versleutelt de gegevens, om dan als "client" een verbinding aan te gaan met de bankserver.

De volgende stap

De beveiligingsmethoden beveiligen één toepassing (mailbericht, transactie met de bank, en dergelijke). Er is geen beveiliging van alle toepassingen. Het is onmogelijk alle toepassingen altijd en overal te beschermen (de andere kant van de lijn moet immers over dezelfde beveiligingsmechanisme beschikken), maar het is wel nuttig om een soort tunnel te bouwen tussen twee vestigingen: twee netwerken worden op een veilige manier aan elkaar gekoppeld. Dit is het onderwerp van het volgend hoofdstuk.

Links to relevant pages - Liens vers d'autres pages au contenu similaire - Links naar gelijkaardige pagina's