Client/server architectuur en sockets info



Dovnload 197.06 Kb.
Pagina3/3
Datum20.08.2016
Grootte197.06 Kb.
1   2   3

UITVOER CGI-script(4)

-> veel voorkomend:

* Content type

* Location (als result v/je CGI-script gebruiker doorverwijzen)

-> status (status HTTP-antwoord, standaard ’’200 OK’’)

-> Non-Parsed Header output (NPH): uitvoer integraal naar client, zonder tussenkomst server

Programmeur moet zelf alle HTTP-headers voorzien (Content-Length,…)

Meer vrijheid, maar moeilijker

Weinig gebruikt




3) http is stateless protocol ….

Stateless protocol = http => HyperText Transform Protocol



    • Omdat elk commando onafhankelijk uitgevoerd wordt zonder kennis te hebben van de voorgaande commando’s

    • Onthoudt niet wat eerder gebeurt is & kent het begrip “sessie” niet.


Netwerkbeheer
1. Welke soorten fouten moet een netwerkbeheerder opsporen? Hoe wordt de detectie van

sommige fouten bemoeilijkt? Welk detectiemiddel wordt hiervoor gehanteerd? Wat is hier

zo eigenaardig aan? Welke terminologie wordt in deze context gehanteerd?

WELK SOORT FOUTEN?

- soft- en hardware fouten in netwerk opsporen en corrigeren

HOE DETECTIE BEMOEILIJKT?

- Sporadische fouten zijn moeilijk op te sporen, omdat TCP/IP-protocollen pakketverlies

incalculeren en hertransmissie-mechanismen bevatten

- Gevaar: verborgen fouten zorgen voor extra netwerkbelasting

- Sporadisch falende HW zal i/d toekomst nog verder defect geraken

WELK DETECTIEMIDDEL?

- Fouten opsporen door via doorlichting devices (router, switch, bridge, host-

computer,…)

- Software op applicatieniveau, maakt zelf gebruik van protocolstack, via client/server

model

SPECIFIEKE TERMINOLOGIE:



- Client = manager

- Netwerk device (server) = agent


2. Welke types van opdrachten zijn er mogelijk in SNMP? Bespreek maw het paradigma dat

door SNMP gehanteerd wordt.(Bespreek het paradigma dat door SNMP gehanteerd wordt.)

SNMP= Simple Network Management Protocol

- Maakt het mogelijk om netwerken efficiënt te kunnen managen, in eerste instantie

voor tcp/ip, maar wordt nu ook veelvuldig toegepast in andere netwerken omdat men

deze standaard herkend heeft.


-> fetch-store-paradigma

Object: karakteristiek van een device dat gemonitord, aangepast of gecontroleerd kan worden. Bijv.: een teller, een netwerkadres,…



Fetch: waarde v/e object ophalen

Store: waarde v/e object wegschrijven

Netwerkstatus controleren: tellerwaarden opvragen (fetch)

- Vb: telkens een CRC niet klopt, verhoogt een router een teller met 1

Complexere operaties worden uitgevoerd adhv deze objecten (‘neveneffecten van

een store’)

- Eenvoudig, Vb: reset=teller op 0 zetten

- Complex,Vb: reboot=bep. teller afgesproken waarde geven
3. Wat is een MIB? Bespreek. Wat is de relatie tussen SNMP en MIB?


  • MIB is databank v/ alle dr agents gemanagde objecten i/h netwerk.

  • Elk object krijgt unieke naam, volgens ASN.1-naamschema, vb:

    • Teller die op een bepaalt device de ontvangen IP paketten telt:

Iso.org.dod.internet.mgmt.mib.ip.ipInReceives

    • In een SNMP-bericht wordt dit vertaald naar: 1.3.6.1.2.1.4.3

  • SNMP-standaard bepaalt berichtformaat en berichtcodering

  • SNMP definieert de MIB niet

  • MIB-variabelen kunnen naar believen gedefiniëerd worden (‘scheiding communicatieprotocol en objectdefinities’)

  • MIB-variabelen voor

protocollen (UDP, TCP, IP, ARP, …)

Netwerk-hardware (Ethernet, FDDI,…)

Hardware-devices (printers, switches,…)



  • objecten kunnen gecontroleerd of ingesteld worden dmv operaties: (manager -> agent)

- GET_REQUEST - Requests the value of an object instance from the agent

- GET_NEXT_REQUEST - Requests the next object instance from a table or list from an agent

- SET_REQUEST - Set the value of an object instance within an agent


  • objecten kunnen gecontroleerd of ingesteld worden dmv operaties: (agent -> manager)

- GET_RESPONSE - Returned answer to get_next_request, get_request, or set_request

- TRAP - Send trap (event) asynchronously to network management application. Agents can send a trap when a condition has occurred, such as change in state of a device, device failure or agent initialization/restart.



Encryptie
1) Kan encryptie onvoorwaardelijk veilig zijn? Bespreek PRIVATE sleutel encryptie.

  • zender en ontvanger gebruiken dezelfde sleutel

  • synoniemen: * geheime of private sleutel cryptografie

* symmetrische codering

-> De zender gebruikt een functie versleutelen met twee argumenten: een sleutel, S, en een te

versleutelen bericht, B. De functie produceert een versleutelde versie van het bericht, V.

V = versleutelen(S, B)

B = ontcijferen(S, V)

Wiskundig is ontcijferen de inverse van versleutelen:



B = ontcijferen(S, versleutelen(S, B))

(vb. DES)


2) Kan encryptie onvoorwaardelijk veilig zijn? Bespreek PUBLIEKE sleutel encryptie.

  • zender en ontvanger gebruike verschillende sleutel

  • één van de sleutels is publiek, de andere is geheim

  • synoniemen: * asymmetrische codering

* dubbele sleutel encryptie

-> Elke gebruiker heeft twee sleutels: de ene – de private sleutel – is geheim, de andere – de publieke sleutel – wordt gepubliceerd samen met de naam van de gebruiker.


De versleutelingsfunctie heeft de wiskundige eigenschap dat een met de publieke sleutel gecodeerd bericht niet gemakkelijk ontcijferd kan worden, behalve met de private sleutel, en een met de private sleutel versleuteld bericht kan alleen met de publieke sleutel gedecodeerd worden.

Wiskundig:



B = ontcijferen(prv-g1, versleutelen(pub-g1, B))

 

3) Bespreek verificatie met een digitale handtekening.



De afzender gebruikt een publiekelijk gekende (‘hash’) functie om een digest van zijn plaintext op te stellen.
Deze digest encrypteert hij met zijn private sleutel.
Vervolgens concateneert de afzender zijn plaintext en de geëncrypteerde digest en verzendt het geheel.
De ontvanger scheidt de twee delen. Dan past hij de volgende controle toe om te kijken of het bericht wel afkomstig is van wie hij denkt dat het is:

    • hij maakt gebruik van de publieke van de afzender om de digest te decrypteren.

    • Hij berekent zelf, met dezelfde publieke hash-functie, een digest van de boodschap

    • Hij kijkt of de twee resultaten gelijk zijn.

Firewalls
1) Wat is een firewall? Welke verschillende soorten firewalls ken je? Welke extra functionaliteiten kan een firewall zoal vervullen?

  • Letterlijk: brandvrije (vuurbestendige) muur

  • Tussen intern en extern netwerk (waar het steeds brandt)

  • Controleert aard en hoeveelheid trafiek

  • Policy bepaalt de manier van doorvoerbeperking van data

    • Pakketten die nt i/d policy passen worden toegang geweigerd.

  • Firewall policy maakt deel uit van bedrijfsstrategie:

    • Welke gegevens/diensten wel/niet delen met buitenwereld?

    • Wat is toegelaten voor interne gebruikers?

  • Twee mogelijke benaderingen om te bepalen welke gegevens worden doorgelaten of tegengehouden:

    • Permit * vermelden wat wordt doorgelaten

* Je bepaalt zelf welke protocols en hosts veilig zijn

    • Deny * Vermelden wat wordt tegengehouden

* Niet vermelde protocols en hosts passeren

SOORTEN:

  • Packet-filter:

- Regels vr pakketfiltering opstellen adhv IP-adressen en poortnummers

  • Statefull packet-filter:

    • sessies en verbindingen bijhouden in interne tabellen

    • betere intrusiedetectie

  • Proxyfirewall

    • Verkeer wordt via een toepassingsspecifieke proxy doorgegeven naar intern netwerk

    • Firewall begrijpt de toepassingen(HTTP, FTP, SMTP, POP,…) zelf en wijst alles af wat niet met de protocolspecificaties overeenstemt.

ANDERE FUNCTIONALITEITEN:

  • Filteren van inhoud

    • Bepaalde websites blokkeren

  • Virtual Private Networks (VPN)

    • Verkeer dr beveiligde tunnel v/ A->B leiden,via vijandige netw(bv.: Internet).

    • klant-onderneming of LAN-LAN (verbinding tss bedrijvensites)

  • Network Address Translation (NAT)

    • Gereserveerde adresblokken omzetten in geldige adressen (zie later)

  • Load Balancing

  • High Availability

    • Als firewll uitvalt,kan z’n taak via hardware failover overgedr w. op e/andere

  • Intrusiedetectie

    • Detecteren van aanvalspogingen, IP-adres op zwarte lijst zetten




  • KISS: Keep It Simple, Stupid

    • De veiligste firewall is de eenvoudigste, extra toeters en bellen maken de firewall veelal kwetsbaarder voor hackers.

2) Wat verstaan we onder een firewall met een single box architectuur? Hoe werkt een packet filter? Welke pakketten worden wel/niet doorgelaten? Welke aanvallen kunnen tegengehouden worden? Bespreek mogelijkheden en voor- en nadelen.

  • Dual homed gateway / dual ported host

  • Choke (screening router / packet filter)



  • Host fungeerd zowel als choke en als gate

  • Eenvoudig te implementeren

  • 2 variaties voor internettoegang:

    • Gebruikers loggen in op host (gevaarlijk)

    • Host fungeerd als proxyserver

  • Voordeel: slechts 1 kritisch punt

  • Best gebruikt als:

    • Er weinig trafiek naar het internet is

    • Internettrafiek niet echt kritisch is

    • Het intern netwerk bevat niet echt extreem waardevolle gegevens

Dual homed gateway / dual ported host als proxyserver




2. Screening router / packet filter





  • Blokkeert pakketten

    • Voor niet gebruikte services

    • Die expliciet IP-source-routing opties zetten

  • Laat pakketten door

    • Van inkomende TCP-connecties naar welbepaalde servers

    • Van uitgaande TCP-connecties vanaf welbepaalde clients

  • Oordeelt op basis rule-set




  • [ Pakketten doorgeven/filteren op basis van:

    • Pakketinformatie

* IP-adres bron & bestemming

* Protocol (TCP, UDP)

* Service: TCP/UDP bron-&bestemmingspoortnummers

* Pakkettype

* IP options (source routing,…)


    • Interface (in/out)

    • Historiek (statefull packet filtering)

* Is pakket een antwoord op ander pakket?

* Hoeveel pakketten van zelfde host?

* Zelfde pakket reeds gekregen?

* Gefragmenteerd pakket? ]



  • Aanvallen:

    • IP-spoofing: aanvaard geen pakketten op externe interface met een intern bronadres

    • Source routing: aanvaard geen pakketten met deze optie

    • Tiny fragment attack

* IP pakket fragmenteren om TCP-header te verdelen over meerdere pakketten

* Aanvaardt niet: protocol==TCP && IP-fragment-offset==1



  • Packet filters kunnen

    • Pakket naar vermelde bestemming sturen

    • Pakket vergeten, zender niet verwittigen

    • Pakket weigeren, afzender wel verwittigen

    • Informatie loggen

    • Alarmeren, verantwoordelijke verwittigen

    • Optioneel: * Pakket wijzigen (adresvertaling, masquerading)

* Pakket versturen naar ander adres (naar de proxy)

* Filterregels zelf aanpasen (bv systeem als nt te vertrouwen markeren als vijandig pakket werd onderschept)



  • Voordelen:

    • Eenvoudig en goedkoop

    • Kan volledig netwerk beschermen

    • Eenvoudige filtering (weinig regels) is zeer efficiënt

    • Veel gebruikt (HW en SW)

  • Nadelen

    • Niet steeds perfect

* Moeilijk configureerbaar

* Eens opgezet, moeilijk te testen (trial and error)

* Bug in filtersoftware kan nare gevolgen hebben


    • Reduceert de performantie v/d router

    • Geen controle op gebruikers of toepassingen (SMTP op 25?)

    • Hoe achterhalen of filter gecompromitteerd is?




  • [ Packet filters

    • Best gebruiken in volgende situaties:

* Te beschermen netwerk heeft al een hoge graad van hostbeveiliging

* Aantal gebruikte protocols is klein

* Er geen diensten aan het Internet moeten geleverd worden (goed voor interne firewalls) ]
3) Wat verstaan we onder een firewall met een screened host architectuur? Evalueer deze manier van werken. Wat verstaan we onder een firewall met een screened subnet architectuur? Bespreek de taken van de verschillende onderdelen
Choke en single homed gateway



  • Twee delen:

    • Router blokkeert alle verkeer

* Van buiten tenzij bestemd voor de bastion host

* Van binnen tenzij afkomstig van de bastion host

* Ongewenste pakketten en IP source routing


    • Bastion host

* Voorziet in proxy services

* Mail server of mail forwarder

* Externe DNS


  • Evaluatie

    • Duurdere implementatie

    • Twee systemen te beheren

    • Flexibele configuratie

    • Zwakke punten:

* Niet alle verker moet langs bastion host

* Slechts 1 in te nemen entiteit (router) = open netwerk

* Bastion host voorziet best niet in vitale diensten (vb. WWW)


Screened subnet architectuur



  • Twee chokes en een bastion host

  • Beste (enige goede) oplossing

  • Creatie van gedemilitariseerde zone tussen intern en extern netwerk

  • Buiten-router toont alleen DMZ aan buitenwereld

  • Binnen-router toont alleen DMZ aan binnenwereld (gateway zit in DMZ)

  • Bastion host mag single-homed zijn

  • Routers van verschillende fabrikanten

  • DUUR

TAKEN


  • Taken routers (cfr 1 choke)

* Blokkeert pakketten naar intern netwerk of interne router

* Laat alleen pakketten door met IP-bron/bestemmingsadres van gateway



    • Interne router

* Blokkeert pakketten naar extern netwerk of externe router

* Laat alleen pakketten door met IP-bron/bestemmingsadres van gateway voor gedefinieerde proxy-poorten



  • Taken bastion host

    • Proxy service voor interne gebruikers van diensten op extern netwerk

    • Mail server of mail forwarder

    • Externe DNS







1   2   3


De database wordt beschermd door het auteursrecht ©opleid.info 2017
stuur bericht

    Hoofdpagina