Security+

Beveiligingsrollen en beveiligingsmaatregelen.
7 Onderwerpen
Vergelijk en maak een onderscheid tussen de rollen op het gebied van informatiebeveiliging.
Identificatie, authenticatie en autorisatie
AAA-Server
Beveiligingscyclus
Vaardigheden op het gebied van informatiebeveiliging
Categorieën van beveiligingscontroles
Gebruikersacceptatie, gebruiksvriendelijkheid en veiligheid
Bedreigingsactoren en dreigingsinlichtingen
8 Onderwerpen
Kwetsbaarheid, Dreiging en Risico
War Story I
War Story II
War Story III
Eigenschappen van Threat Actors
Hackers, Cracker, Script Kiddies, en Hacktivists
Cybercrime en Cyber warfare
Threat Research Sources
Basic Security
beveiligingsbewustzijn en vormen van oplichting
10 Onderwerpen | 1 Quiz
Inleiding
Social engineering
Voorbeeld: Social engineering via telefoon
Bescherming tegen Social Engineering via Telefoon
Dumpster diving
Shoulder surfing
Identity theft
Reverse social engineering
Security awareness
Phishing
Weet jij waarop je moet letten bij internetfraude?
Besturingssysteembeveiliging
21 Onderwerpen
Inleiding
Aanvallen als gevolg van internetgebruik
Malware
Virus
Trojaans paard
Wormen
Ransomware
Spyware
Adware
Basis Computerbeveiliging
Sterke wachtwoorden
Multifactor Authenticatie (MFA)
Software updates
Firewall
Antivirussoftware
Beveiligde Wi-Fi verbinding
Vermijd Phishing
Gegevensback-up
Bewustwording
Windows Beveiliging
Practicum: Basis Windows Beveiliging
Geavanceerde beveiliging
5 Onderwerpen
Zero day exploit
System Hardening
Functiescheiding
Isoleren
Practicum: System Hardening
Security analyse
5 Onderwerpen
Aanvallen van binnenuit
Trojaan en Zombie
Gedrag PC Gebruiker
Computer Analyse
Practicum: Microsoft Security Compliance Toolkit
Netwerkverkeer analyseren
4 Onderwerpen
Onrechtmatig gebruik van computers en netwerken
Netwerkanalyse
LAN monitoren
Practicum: Wireshark
netwerkverkenningshulpmiddelen
4 Onderwerpen
ipconfig, ping, and arp
IP Scanners and Nmap
Service Discovery and Nmap
LAB: Nmap
Digitale authenticatie
6 Onderwerpen
Inleiding
Data-authenticatie
De digitale equivalent van een vingerafdruk, hashing.
MD5
SHA-familie
Practicum: Hashwaarden berekenen en controleren
Gebruikersautheiticatie
5 Onderwerpen
Wachtwoorden zijn niet veilig
Multifactor-authenticatie
Hoe werkt MFA
Sterke Wachtwoorden
Practicum: Rainbow table
Netwerkauthenticatie
4 Onderwerpen
Beveiliging heeft invloed op de efficiëntie van het werkproces
Single sign-on
Kerberos
Hoe kun je aantonen dat je digitaal eigenaar bent van iets?
cryptografie
Cryptografie
Informatie raakt in verkeerde handen
Cryptografie met behulp van handcijfers
Intermezzo: Alice en Bob
Handcijfers
7 Onderwerpen
Caesarrotatie (Caesar Cipher)
Rozenkruisers geheimschrift (Rosicrucian Cipher)
Substitutie-cryptografie
Transpositie-cryptografie
vierkant (Caesar Box Cipher)
Kolomtranspositie (Columnar Transposition Cipher)
Sleuteldistributie binnen klassieke cryptografie
Moderne cryptografie
7 Onderwerpen
Symmetrische cryptografie
Stroomvercijfering (Stream cipher)
Blokvercijfering (Block cipher)
Asymmetrische Cryptografie(Public key & Private key Infrastructure)
Asymmetrische Cryptografie (bis)
Berekeningen met asymmetrische cryptografie
Totaaloverzicht van de cryptografie
CERTIFICATEN
Digitale Certificaten
6 Onderwerpen
Het internet is onbetrouwbaar – BEDREIGING
Authenticatie door digitale certificaten – OPLOSSING
Distributie publieke sleutel
Web of trust
PGP-Certificaat
Key Signing
Public Key Infrastructure
4 Onderwerpen
Inleiding
X.509-certificaat
Certificate Authority
Practicum: Certificate Authority
Ga naar vorige Onderwerp
Ga naar volgende Onderwerp

Kerberos

Security+ Netwerkauthenticatie Kerberos

Single sign-on (SSO) wordt geïmplementeerd via het Kerberos-authenticatieprotocol. Binnen een computernetwerk dat gebruikmaakt van Kerberos, fungeert een centrale server als de uitgever van toegangstickets voor gebruikers tijdens het aanmeldingsproces. Deze toegangstickets stellen een computergebruiker in staat om zich vervolgens te authenticeren op elke server of service die compatibel is met het Kerberos-protocol. De geldigheid van dit ticket blijft behouden zolang de gebruiker actief is ingelogd.

Een passende analogie voor het Kerberosticket is die van een reispas. Net als een treinkaartje biedt het ticket de gebruiker de mogelijkheid om vrijelijk door het gehele netwerk te navigeren. Echter, op het moment dat de gebruiker uitlogt, vervalt de geldigheid van het ticket, en daarmee de verleende toegangsrechten.

Kerberos, ontwikkeld door het Massachusetts Institute of Technology (MIT), is een veelzijdig authenticatieprotocol dat compatibel is met de meeste computerplatforms, waaronder Windows, Unix, Linux en OS X. Het wordt vaak beschouwd als de standaardmethode voor authenticatie.

De werking van Kerberos is drievoudig: er is een client die toegang wenst, er is een service die een dienst aanbiedt, en er is een vertrouwde derde partij die bekend staat als het Key Distribution Center (KDC). Het KDC verstrekt een toegangsticket aan de client. De client kan zijn identiteit bewijzen aan de service aan de hand van dit ticket. Het KDC bestaat uit twee componenten: de Authentication Server en de Ticket Granting Server. In een typisch Microsoft Windows-netwerk fungeren de Domain Controllers als het KDC.

Net zoals we eerder hebben besproken, volgt het toegangscontroleproces in Kerberos drie stappen: identificatie, authenticatie en autorisatie. We zullen kort de stappen van het toegangscontroleproces in Kerberos bekijken.

Kerberos toegangscontroleproces

  1. Identificatie | De gebruiker maakt bekend wie hij is 
    • De gebruiker voert zijn of haar gebruikersnaam en wachtwoord in.
    • De computerclient stuurt de gebruikersnaam door naar de Key Distribution Center (KDC). (Het KDC bewaart uitsluitend de namen en de hashwaarden van de wachtwoorden, niet de wachtwoorden zelf.)
  2. Authenticatie | De KDC controleert of de gebruiker is, wie hij zegt dat hij is.
    • Het KDC raadpleegt de naam en de opgeslagen hashwaarde van het wachtwoord.
    • Het KDC genereert een sessiesleutel door deze te versleutelen met behulp van de wachtwoord-hashwaarde. Bovendien versleutelt het KDC zowel de sessiesleutel als de gebruikersnaam met het wachtwoord van de service, wat resulteert in het zogenaamde ticket.
    • Het KDC zendt zowel de versleutelde sessiesleutel als het versleutelde ticket terug
    • De computerclient decodeert uitsluitend de sessiesleutel met behulp van de hashwaarde van het ingevoerde wachtwoord. 
  3. Autorisatie | De service besluit of de gebruiker toegang tot de service moet worden verleend.
    • De computerclient maakt gebruik van de sessiesleutel om onder andere de huidige tijd te coderen (de authenticator).
    • De computerclient zendt zowel de authenticator als het ticket naar de service.
    • De service decodeert het ticket met zijn eigen wachtwoord, en verkrijgt hieruit de sessiesleutel en de gebruikersnaam.
    • De service maakt nu gebruik van de sessiesleutel om de authenticator te decoderen.
    • De service vergelijkt de gedecodeerde tijd met de actuele tijd om te controleren of deze overeenkomen, en zo wordt gevalideerd dat de sessiesleutel geldig is. Aangezien alleen de computerclient, de KDC en de service in het bezit zijn van de sessiesleutel, heerst er wederzijds vertrouwen en krijgt de gebruiker toegang tot de service.

wist-je-dat·je: Cerberus

De keuze voor de naam ‘Kerberos’ voor dit authenticatieprotocol is niet willekeurig gemaakt. De naam ‘Kerberos’ vindt zijn oorsprong in de Griekse mythologie, waar het verwijst naar ‘Cerberus’. Cerberus was een driekoppige hond met een slangenstaart, belast met de bewaking van de onderwereld. Zijn taak was om ervoor te zorgen dat de doden niet terugkeerden naar de wereld van de levenden en dat levende wezens niet in de rijk van de doden konden binnendringen.

Het Kerberos-protocol weerspiegelt symbolisch de drie betrokken partijen: de computerclient, het Key Distribution Center en de service, als een analogie naar de drie koppen van Cerberus uit de Griekse mythologie. Deze mythologische hond bewaakte eveneens de grens tussen twee werelden, wat een relevante parallel vormde met het beveiligingsprincipe van het protocol. Het is dan ook omwille van deze symbolische overeenkomsten dat de ontwikkelaars bij het MIT hebben gekozen voor de naam ‘Kerberos’ voor hun authenticatieprotocol.

In ons eerdere overzicht van het Kerberos-protocol werd beloofd dat we een beknopte behandeling zouden geven, hoewel het protocol zelf behoorlijk complex is. Toch is het van cruciaal belang dat elke ICT Security-professional bekend is met deze basisprincipes.

Een opvallend kenmerk van het Kerberos-protocol, met name in een Windows Server-netwerk, is dat het wachtwoord nooit over het netwerk wordt verzonden, en zelfs de hashwaarde van het wachtwoord blijft veilig. Deze rigoureuze procedures zijn een van de redenen waarom het Kerberos-protocol als zeer veilig wordt beschouwd en waarom het door alle belangrijke besturingssystemen wordt omarmd.

De huidige iteratie van Kerberos is versie 5, die symmetrische cryptografie gebruikt, specifiek AES. In voorgaande versies werd DES gebruikt.

 

Ga naar vorige Onderwerp
Ga terug naar Les
Ga naar volgende Onderwerp