Netwerken & Internetten - lichtenstein.be & Internetten.pdf · Forensische informatica Netwerken &...

59
Forensische informatica Netwerken & Internetten 1 - 59 ___________________________________________________________________________ Netwerken & Internetten Inhoud Netwerken & Internetten ............................................................................................................. 1 Inhoud ......................................................................................................................................... 1 1. Netwerken ............................................................................................................................... 3 1.1. Inleiding ........................................................................................................................... 3 1.2. Wat is een netwerk? ......................................................................................................... 3 1.3. Soorten netwerken ............................................................................................................ 4 1.3.1. Indeling van netwerken naar omvang : ................................................................. 4 1.3.1.a. Mainframe en minicomputer .......................................................................... 4 1.3.1.b. LAN ............................................................................................................... 5 1.3.1.c. WAN .............................................................................................................. 5 1.3.1.d. Wereldwijde netwerken (internet) ................................................................. 6 1.3.2. Indeling van netwerken naar hun vorm: ............................................................... 6 1.3.2.a. Netwerktopologieën ....................................................................................... 6 1.3.2.b . punt-naar-punt ............................................................................................... 7 1.3.2.c. Ster (Star) ....................................................................................................... 7 1.3.2.d. Maasvorm (mesh) .......................................................................................... 7 1.3.2.e.Ring ................................................................................................................. 7 1.3.2.f. Bus .................................................................................................................. 8 1.3.3. Indeling van netwerken naar hun gebruik ............................................................. 8 1.3.3.a. Peer to Peer (P2P) netwerk ............................................................................. 8 1.3.3.b. Dedicated-server netwerk .............................................................................. 8 1.3.3.c. Host-netwerken .............................................................................................. 9 1.4. De geschiedenis van het Internet ..................................................................................... 9 1.5. De geschiedenis van TCP/IP .......................................................................................... 10 1.6. Netwerkarchitecturen ..................................................................................................... 11 1.6.1. Inleiding .............................................................................................................. 11 1.6.2. Referentiemodellen en terminologie ................................................................... 12 1.6.3. Het OSI-netwerk referentiemodel ....................................................................... 13 1.6.3.a. Inleiding ....................................................................................................... 13 1.6.3.b. Bespreking van het OSI-Model .................................................................... 14 1.6.3.c. Uitbreiding van het OSI-Model .................................................................... 18 1.6.4. Het TCP/IP – Model of Internet - Model ............................................................ 18 1.6.4.a. Inleiding ....................................................................................................... 18 1.6.4.b. Bespreking van het TCP/IP protocol ........................................................... 20 1.6.4.c. De voor- en nadelen van TCP/IP .................................................................. 20 1.6.5. Vergelijking van het OSI-model en TCP/IP ....................................................... 21 1.7. TCP/IP - Protocollen ...................................................................................................... 22 1.7.1. Inleiding .............................................................................................................. 22 1.7.2. Protocollen van de application layer ................................................................... 22 1.7.2.a. FTP: File Transfer Protocol ......................................................................... 23 1.7.2.b. HTTP: Hyper Text Transfer Protocol ......................................................... 24 1.7.2.c. HTTPS-protocol ........................................................................................... 25 1.7.2.d. SMTP: Simple Mail Transfer Protocol ....................................................... 25 1.7.2.e. POP: Post Office Protocol ........................................................................... 26 1.7.2.f. IMAP: Internet Message Access Protocol ................................................... 27 Georges Lichtenstein Information Network Forensics versie 1.0 ( 25/07/yyyy )

Transcript of Netwerken & Internetten - lichtenstein.be & Internetten.pdf · Forensische informatica Netwerken &...

Forensische informatica Netwerken & Internetten 1-59___________________________________________________________________________

Netwerken & Internetten

Inhoud

Netwerken & Internetten ............................................................................................................. 1 Inhoud ......................................................................................................................................... 1 1. Netwerken ............................................................................................................................... 3

1.1. Inleiding ........................................................................................................................... 3 1.2. Wat is een netwerk? ......................................................................................................... 3 1.3. Soorten netwerken ............................................................................................................ 4

1.3.1. Indeling van netwerken naar omvang : ................................................................. 4 1.3.1.a. Mainframe en minicomputer .......................................................................... 4 1.3.1.b. LAN ............................................................................................................... 5 1.3.1.c. WAN .............................................................................................................. 5 1.3.1.d. Wereldwijde netwerken (internet) ................................................................. 6

1.3.2. Indeling van netwerken naar hun vorm: ............................................................... 6 1.3.2.a. Netwerktopologieën ....................................................................................... 6 1.3.2.b . punt-naar-punt ............................................................................................... 7 1.3.2.c. Ster (Star) ....................................................................................................... 7 1.3.2.d. Maasvorm (mesh) .......................................................................................... 7 1.3.2.e.Ring ................................................................................................................. 7 1.3.2.f. Bus .................................................................................................................. 8

1.3.3. Indeling van netwerken naar hun gebruik ............................................................. 8 1.3.3.a. Peer to Peer (P2P) netwerk ............................................................................. 8 1.3.3.b. Dedicated-server netwerk .............................................................................. 8 1.3.3.c. Host-netwerken .............................................................................................. 9

1.4. De geschiedenis van het Internet ..................................................................................... 9 1.5. De geschiedenis van TCP/IP .......................................................................................... 10 1.6. Netwerkarchitecturen ..................................................................................................... 11

1.6.1. Inleiding .............................................................................................................. 11 1.6.2. Referentiemodellen en terminologie ................................................................... 12 1.6.3. Het OSI-netwerk referentiemodel ....................................................................... 13

1.6.3.a. Inleiding ....................................................................................................... 13 1.6.3.b. Bespreking van het OSI-Model .................................................................... 14 1.6.3.c. Uitbreiding van het OSI-Model .................................................................... 18

1.6.4. Het TCP/IP – Model of Internet - Model ............................................................ 18 1.6.4.a. Inleiding ....................................................................................................... 18 1.6.4.b. Bespreking van het TCP/IP protocol ........................................................... 20 1.6.4.c. De voor- en nadelen van TCP/IP .................................................................. 20

1.6.5. Vergelijking van het OSI-model en TCP/IP ....................................................... 21 1.7. TCP/IP - Protocollen ...................................................................................................... 22

1.7.1. Inleiding .............................................................................................................. 22 1.7.2. Protocollen van de application layer ................................................................... 22

1.7.2.a. FTP: File Transfer Protocol ......................................................................... 23 1.7.2.b. HTTP: Hyper Text Transfer Protocol ......................................................... 24 1.7.2.c. HTTPS-protocol ........................................................................................... 25 1.7.2.d. SMTP: Simple Mail Transfer Protocol ....................................................... 25 1.7.2.e. POP: Post Office Protocol ........................................................................... 26 1.7.2.f. IMAP: Internet Message Access Protocol ................................................... 27

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 2-59___________________________________________________________________________

1.7.2.g. SNMP: Simple Network Management Protocol ......................................... 28 1.7.2.h. NNTP: Network News Transfer Protocol ................................................... 31 1.7.2.i. Telnet ........................................................................................................... 36

1.7.3. De protocollen van de Transport layer ................................................................ 38 1.7.3.a. TCP (Transmission Control Protocol) ......................................................... 38 1.7.3.b. UDP (User Datagram Protocol) .................................................................. 38

1.7.4. De protocollen van de Netwerk layer ................................................................. 39 1.7.4.a. IP (Internet Protocol). ................................................................................... 39 1.7.4.b. ARP (Address resolution Protocol) ............................................................. 39 1.7.4.c. RARP (Reverse Address Resolution Protocol) ........................................... 42 1.7.4.d. ICMP (Internet Control Message Protocol) ................................................ 42

1.7.5. De protocollen van de Data Link Layer .............................................................. 42 1.7.5.a. SLIP (Serial Line Internet Protocol) ........................................................... 42 1.7.5.b. PPP (Point-To-Point Protocol) .................................................................... 43

1.8. TCP/IP netwerkcomponenten ........................................................................................ 43 1.8.1. DNS ..................................................................................................................... 43

1.8.1.a. Wat is DNS? ................................................................................................. 43 1.8.1.b. Hoe werkt DNS? .......................................................................................... 44

1.8.2.Het DHCP/ BootP –protocol ................................................................................ 45 1.8.2.a. Inleiding. ...................................................................................................... 45 1.8.2.b. Het DHCP-protocol. ..................................................................................... 45 1.8.2.c. BootP -protocol. ........................................................................................... 46 1.8.2.d. Het verband tussen DHCP en BootP ............................................................ 48

1.8.3. Computerpoorten ................................................................................................ 48 1.9. IP-Adressen - Subnetten ................................................................................................. 49

1.9.1. Inleiding .............................................................................................................. 49 1.9.2. Binair rekenen ..................................................................................................... 49 1.9.4. IP-adressen .......................................................................................................... 50 1.9.4. Super- en subnetten ............................................................................................. 52

1.9.4.a; Berekenen van subnetmasks ........................................................................ 53 Bijlage I: Top-level domains geregistreerd in de wereld ...................................................... 56

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 3-59___________________________________________________________________________

1. Netwerken

1.1. Inleiding

In deze bijdrage zullen we stilstaan bij een aantal basisbegrippen die dewerking van netwerken verklaren. Het is de bedoeling na te gaan wat mendient te verstaan onder netwerken, welke netwerkarchitecturengeïmplementeerd worden en hoe deze herkend worden.

Er zal kennis gemaakt worden met het gelaagd TCP/IP-model1 en het OSI-model2 als voorbeelden van gelaagde protocollen. Daarbij zal even aandachtbesteed worden aan de geschiedenis van het Internet, die nauw verbonden ismet de ontwikkeling van deze modellen.

In een volgend hoofdstuk zullen we nagaan hoe een netwerk dient verkend teworden en welke manipulaties er kunnen gesteld worden om een netwerk teonderzoeken. Daarbij zullen Microsoft Windows en Unix (Linux) alsvoorbeeld genomen worden.

Tenslotte wordt dieper ingegaan op een aantal technische aspecten zoalspoorten, IP-adressen en hun identificatie en het gebruik van poorten ennetwerkdiensten.

1.2. Wat is een netwerk?

Het begrip netwerk hangt nauw samen met het begrip telecommunicatie en ditis niet eenduidig te definiëren. Binnen het begrip valt een bijzonder grootaantal menselijke activiteiten die betrekking hebben op het transport vangegevens. Letterlijk betekent het ‘communicatie op afstand’ wat oorspronkelijksynoniem stond voor telefonie.3

Gegevens vormen de basis van elk bedrijf, ongeacht of het gaat om een bank,een stomerij, luchtvaart, of de fabricage van computerchips. Voorraden,salarisadministratie, boekhouding, klantinformatie en adressen van relaties zijngegevens die van vitaal belang zijn voor een onderneming. Vanuit de gedachtedat de computer een hulpmiddel is voor het werken met gegevens, wordtaangetoond hoe netwerken een aanvulling kunnen zijn op de mogelijkhedendie de computer biedt voor het opslaan, uitwisselen, gedeeld gebruiken enbeveiligen van gegevens.4 Een netwerk is een combinatie van technischehulpmiddelen met behulp waarvan gegevens over grote afstanden kunnen

1 Transmission Control Protocol/Internet Protocol2 Open Sytem Interconnection3 BENEDICT, B., ‘Handboek bestrijding telecommunicatiefraude: een nieuwe dimensie voor het onderzoek vantelecommunicatie’, Landelijk Expertisecentrum, Koninklijk vermande, 2002, i.c.p.34 CHELLIS, J., PERKINS, Ch. & STREBE M., ‘ MCSE De essenties van Networking’, Sybex, Soest, 1998,i.c.p.3

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 4-59___________________________________________________________________________

worden uitgewisseld.5 Deze technische hulpmiddelen vormen meestal eencombinatie van computersystemen, besturingssystemen, bekabelingen ensatellietverbindingen en kunnen opgedeeld worden volgens hun volume,geografische plaats (LAN & WAN), naar hun gebruik (Peer2Peer, Dedicated-

server, Host-netwerk…) en naar het gebruikte protocol(breedbandnetwerken,…).

Steeds meer bedrijven, groot en klein, vertrouwen op personal computers ennetwerken voor het opslaan van hun kostbare gegevens.6 Computers die zijnaangesloten op een netwerk kunnen de uitwisseling van gegevens aanzienlijksneller en gemakkelijker maken.7 De gegevens kunnen rechtstreeks verplaatstworden van de ene computer naar de andere zonder dat mensen dezepersoonlijk moeten verspreiden. Het meest elementaire netwerk bestaat uittwee onderling verbonden computers die met elkaar kunnen communiceren viaeen kabel. Bovendien kunnen computers in een netwerk gebruik maken vandezelfde resources, zoals printers en faxmodems, waardoor minder hardwaremoet aangeschaft worden, wat voordeliger is voor het bedrijf.

1.3. Soorten netwerken

Er bestaan sedert het ontstaan van de computer heel wat misverstanden overwat een netwerk juist is. In dit deel zullen we ingaan op een aantal van dezebegripsverwarringen en zullen we aantonen dat het afhankelijk is van het‘computerplatform’ waarvoor het bedrijf gekozen heeft of men al of niet kanspreken van een netwerk en wat de verschillen juist zijn. Tot slot zullen wezeer kort ingaan op de netwerktopologieën die belangrijke randvoorwaardenstelt aan protocollen, die later bij de bespreking van netwerkarchitecturen,OSI-model en TCP/IP nog aan bod zullen komen.

1.3.1. Indeling van netwerken naar omvang :

1.3.1.a. Mainframe en minicomputer

In tegenstelling tot de andere platforms hebben we hier niet te maken met eenecht netwerk. Het gaat hier niet noodzakelijk over verschillende computers diemet elkaar verbonden zijn. Een mainframe is een computer waarvan de centrale verwerkingseenheid (zegmaar de processor, harde schijven, intern geheugen of RAM, …) een enormecapaciteit heeft. Het is een informaticasysteem dat meestal geleverd wordt meteen configuratie die aangepast is aan de noden van de client. Aan de centraleverwerkingseenheid of CPU kunnen dan een aantal terminals gekoppeldworden. Deze terminals kunnen zowel ‘domme terminals’ zijn die zelf nietbeschikken over een geheugen (meestal enkel bestaande uit een scherm en eenklavier), of ‘intelligente terminals’, dit zijn dan meestal PC’s ofminicomputers, voorzien van de nodige hardware om te kunnen samenwerken

5 BENEDICT, B., i.c., p. 46 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 37 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c, p. 6

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 5-59___________________________________________________________________________

met de CPU. Op deze machines gaat men meestal de volledige administratievan het bedrijf laten draaien. De mainframe wordt meestal gebruikt op dehoofdzetel van banken of zeer grote administratieve omgevingen. Om een ideete geven: aan een mainframe kan men gemakkelijk 100 (maximaal 150)domme terminals tegelijk laten werken.

De minicomputer is vergelijkbaar met de mainframe, maar zal iets kleiner zijn,met minder terminals en wordt meestal enkel voor bepaaldedatabasetoepassingen gebruikt (dedicated). Het aantal domme terminals, diesamen kunnen werken, kan afhankelijk van de CPU maximaal oplopen tot 50.

In geval men ‘intelligente terminals’ koppelt, zal de mainframe of minieveneens dienst doen als server. In dat geval kan men wel spreken van een echtnetwerk.

1.3.1.b. LAN

Een LAN (local area network) is een verzameling computers diesysteemelementen zoals schijfruimte, printers, communicatiemiddelen(modems) en andere randapparaten gemeenschappelijk gebruiken. Zoals uit debenaming blijkt gaat het meestal om een fysisch beperkte omgeving. Meestal isde uitgestrektheid van een LAN beperkt tot één gebouw of één site van hetbedrijf.

Na de opkomst van de PC (personal computers) in de jaren tachtig8, bleek er inde bedrijfswereld al snel dat er een probleem was bij het uitwisselen vangegevens en het efficiënt gebruik van databanken. Het koppelen vanverschillende PC’s tot een netwerk was dan ook een logische stap in deevolutie van de informatieverwerking.

LAN’s maken nu deel uit van de IT-strategie van bedrijven. Zonder op detechniciteit in te gaan, kan men stellen dat een LAN een efficiënt hulpmiddel isbij de bedrijfsvoering. De softwaretoepassingen die ontwikkeld zijn voorgebruik in een LAN zijn gericht op het werken in teamverband (cfr.Groupware: electronisch berichten beheer). Via allerlei technische ingrepenkan men het verkeer op een LAN beperken en tot op zekere hoogte degelijkbeveiligen.

1.3.1.c. WAN

Een Wide Area Network, gebaseerd op het X.25 protocol (DCS ofdatacommunicatie switching op basis van packet-switching), is een netwerk

8 12 augustus 1981: de eerste IBM-pc wordt gecommercialiseerd voor 3.000 dollar. De IBM-pc is gebaseerd opde Intel 8088-processor met een kloksnelheid van 4,77 MHz, een 5,25-inch floppydiskette met een capaciteit van160 KB en 16 KB RAM-geheugen.Microsoft introduceert tegelijk met de IBM-pc de eerste versie van het besturingssysteem MS DOS. Ook komenook de programmeertalen Basic, COBOL en Pascal voor de IBM-pc op de markt. Hayes Smartmodem 300 is de eerste modem voor de pc.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 6-59___________________________________________________________________________

van computers gekoppeld over een grotere afstand (soms wereldwijd). Het gaathier om een koppeling via gehuurde datacommunicatie lijnen. De geografischespreiding kan dus enorm zijn. Meestal wordt een WAN beperkt tot één bedrijf,bestaande uit verschillende sites. De beveiliging van een WAN is zeer ingewikkeld en niet alleen afhankelijkvan de bezitter van de computerapparatuur, maar ook voor een belangrijk deelde verantwoordelijkheid van de leveranciers van de communicatielijnen(Telecommunicatie Service Providers ofte TSP).

1.3.1.d. Wereldwijde netwerken (internet)

Als we de schaalvergroting, die gedurende de informatica-evolutie heeftplaatsgevonden, doortrekken dan is een logisch gevolg de wereldwijdenetwerken, waarbij het internet het bekendste voorbeeld is. De realisatie vansnelle verbindingen, zoals koper- en glasvezelkabels, maar ook microgolf- ensatellietcommunicatie, maakt dat de traditionele netwerktechnologie (terminal-host verbinding) voorbijgestreefd is. Bibliotheken, universiteiten,ziekenhuizen, gouvernementele organisaties kortom het gehele bedrijfslevenwordt beheerst door netwerken, die wereld omspannend zijn.

‘Het bankwezen gebruikt SWIFT, de reiswereld maakt gebruik vanSITA, een reserveringssysteem voor alle luchtvaartmaatschappijen terwereld en internet voorziet in de behoeften van zowel dewetenschappelijke als de zakenwereld. Al deze wereldwijde netwerkenzijn gebaseerd op de concepten en principes die in dit hoofdstukgeschreven zijn. Veel van deze netwerken zijn in werkelijkheid metelkaar verbonden via kleinere netwerken die georgrafisch verspreidliggen (WAN’s) dan wel lokaal gebonden zijn aan eengebouwencomplex (LAN’s)’9 of gekoppelde mini- en/ofmainframecomputers.10

1.3.2. Indeling van netwerken naar hun vorm:

1.3.2.a. Netwerktopologieën11

De topologie is de geografische structuur van communicatieverbindingen ensystemen die het netwerk vormen. De topologie van een computernetwerklevert belangrijke randvoorwaarden voor de protocollen, het gebruik en het technisch beheer van het netwerk.

Op het eerste gezicht lijkt een ideale verbindingsstructuur er een te zijn waarbijieder computersysteem met ieder ander computersysteem is verbonden.Communicatieverbindingen zijn echter kostbaar. Bovendien, niet iedereen

9 CHESHER, M. AND KAURA, R.;Electronic Commerce and Business Communications, Springer-Verlag,

London 199810 Kwetsbaarheid op Internet (KWINT), http://www.minvenw.nl/dgtp/home/cgi11 Dit deel werd volledig overgenomen van: www.simpleweb.org/nm/research/results/publications/pras/pbna99.pdf

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 7-59___________________________________________________________________________

communiceert met iedereen, en het aantal computersystemen in eencomputernetwerk kan voortdurend veranderen. Men streeft daarom naaroptimalisatie van de verbindingsstructuren, hetgeen aanleiding geeft totspecifieke topologieën zoals punt-naar-punt, ster, maasvorm, ring, bus en head-end (zie Figuur 1.1).

1.3.2.b . punt-naar-punt

De punt-naar-punt verbinding (Figuur 1.1a) is de eenvoudigste topologie.Voor de transmissietechnologie levert deze topologie de minste problemen op,omdat iedere ontvanger slechts op een enkele zender hoeft te wordenafgestemd. Hierdoor kunnen grote afstanden worden overbrugd. De punt-naar-punt verbinding vormt de basis voor andere, meer complexe topologieën, zoalsde ster-, maasvorm- en ringtopologie.

1.3.2.c. Ster (Star)

In de stertopologie (Figuur 1.1b) wordt een centraal systeem via een aparteverbinding gekoppeld met ieder ander systeem. Meestal is er een hiërarchischerelatie tussen het centrale systeem, of master, en de andere systemen, die danslaves worden genoemd. De stertopologie is kwetsbaar, omdat uitvallen vanhet centrale systeem het gehele netwerk platlegt. Deze topologie wordt vaakaangetroffen bij oudere systemen met gecentraliseerde intelligentie, maar komtook voor bij moderne netwerken met toegangscomputers.

1.3.2.d. Maasvorm (mesh)

De maasvormtopologie (Figuur 1.1c) ontstaat meestal als de systemen over eengroot gebied (bijv. een land of continent) verspreid zijn en de kostenbeheersingvan de verbindingen een onregelmatige structuur noodzakelijk maakt. Bij demaasvormtopologie kunnen berichten via verschillende routes de bestemmingbereiken, hetgeen aanleiding geeft tot protocollen voor routering, flow control

en congestion control.

1.3.2.e.Ring

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 8-59___________________________________________________________________________

In de ringtopologie (Figuur 1.1d) is ieder systeem met twee andere systemenverbonden, nl. een systeem waarvan berichten ontvangen kunnen worden eneen systeem waarnaar berichten gestuurd kunnen worden. De berichten volgendus een vaste route, waardoor de protocollen voor gegevenstransport relatiefeenvoudig kunnen zijn. Een bericht blijft in de ring, totdat een systeem hetbericht verwijdert (d.w.z., niet verder doorstuurt). Hierdoor zijn broadcast-

toepassingen gemakkelijk te realiseren.

1.3.2.f. Bus

De bustopologie (Figuur 1.1e) bestaat uit een niet onderbrokencommunicatiemedium (bijv. een coaxkabel), waarop verschillende systemenzijn aangesloten. Een systeem kan een bericht op het medium plaatsen, waarnahet bericht door ieder systeem gelezen kan worden. De bus heeft hierdoor eeninherente broadcasteigenschap, en t.o.v. de ring de voordelen van:

• geringe vertraging, omdat een bericht rechtstreeks en niet via tussenliggendesystemen naar zijn bestemming reist;

• grote robuustheid, omdat het uitvallen van een systeem niet de rest van hetnetwerk uitschakelt.Daarentegen heeft de bustopologie een complexer medium access control

protocol nodig, om de toegang tot het gemeenschappelijke medium tecontroleren en te coördineren. Head-end

De head-endtopologie (Figuur 1.1f) combineert twee logische (éénrichtings-)bussen, de up-link en de down-link, die aan één zijde door een versterker, dehead-end, zijn doorverbonden. Elk systeem is zowel verbonden met de up-linkals de down-link. Een systeem kan een bericht op de up-link plaatsen, waarnahet bericht zich voortplant naar de head-end, daar wordt versterkt, en op dedown-link wordt geplaatst. Daar kan het bericht door ieder systeem wordengelezen.Veel netwerken met een head-endtopologie zijn gebaseerd op de technologievoor kabeltelevisie. Ook satellietnetwerken hebben een head-endtopologie,waarbij de head-end transponder wordt genoemd en in de satelliet is geplaatst.

1.3.3. Indeling van netwerken naar hun gebruik

1.3.3.a. Peer to Peer (P2P) netwerk

Peer to Peer netwerken hebben als eigenschap dat er geen server voorzien is.Iedere PC kan direct contact opnemen met de andere PC’s en doet dienst zowelals server én als client. Er is dus geen afzonderlijke PC die dienst doet alsserver. Als een PC uitvalt, blijft het netwerk toch operationeel. Omdat deserver ontbreekt is de beheersbaarheid en beheerbaarheid van de dataproblematischer. Dit netwerk is meestal niet goed beveilligd.12

1.3.3.b. Dedicated-server netwerk

12 BENEDICT, B. , i.c., p.5

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 9-59___________________________________________________________________________

De data wordt hier central opgeslagen op een server. Bestanden die lokaalworden opgeslagen bij de clients zijn niet meer toegankelijk van de anderegebruikers, tenzij sharing wordt toegepast. De meest gebruikte systemen zijnMicrosoft Windows NT, Novell Netware of Unix (Linux) netwerken. Erkunnen een groot aantal clients bediend worden en ook de veiligheid kan beterverzekerd worden.13 De server is een single point of failure, wat betekent dat indergelijk netwerk een applicatie niet meer functioneert indien een enkelonderdeel van het netwerk uitvalt, nl. de server.

1.3.3.c. Host-netwerken

In dat geval staat niet alleen de data op de server, maar draait ook de applicatieop de server. Deze netwerken gebruiken allemaal een krachtige server – dit kaneventueel een mainframe zijn. Het gebruikte protocol is TCP/IP of SNA.14

1.4. De geschiedenis van het Internet

Er doen heel wat verhalen de ronde over de geschiedenis van het Internet. Eénvan de grote misverstanden is dat het Internet15 zou ontstaan zijn in de 60erjaren (van de vorige eeuw) als een project van het Ministerie van Defensie vande Verenigde Staten. De bedoeling was een gedecentraliseerd netwerk tecreëeren dat nog steeds zou werken als bepaalde delen plat zouden liggen. Dusin plaats van lineair geschakelde computers waarbij het hele netwerk ontregeldis als één schakel ontbreekt, werden de computers als in een web met elkaarverbonden.16

Internet zou gebouwd zijn als een super-redundant netwerk dat zelfs eenkernaanval moest kunnen doorstaan. Zelfs de meest toegewijde pacifist moettoegeven dat kernwapens toch hun nut hebben gehad, of toch niet?17

De oorsprong van internet dateert weliswaar van de periode van de koudeoorlog tussen Amerika en Rusland18. In 1957 gaat er een schok door deAmerika als de Rusland zijn technologisch leiderschap in de ruimte vestigtdoor de Sputnik I en Sputnik II binnen een maand na elkaar te lanceren.19 Indie tijd waren de computers van het Amerikaans leger verbonden door één lijn:computer A was verbonden met computer B, computer B met C enz.Computer A kon wel communiceren met computer Z, maar had daarvoorcomputer B, C,D… nodig. Een ketting waarin elke computer de zwakkeschakel was. Een militaire ramp wanneer een Russische kernbom computer Kzou platleggen, want dan konden A en Z niet meer met elkaar overleggen. De

13 BENEDICT, B. i.c., p. 614 SNA: System Network Arcitecture.15 Internet betekent letterlijk: het netwerk van alle netwerken die met elkaar in verbinding staan en daarbijonafhankelijk blijven16 http://www.be-wired.nl/info/geschiedenis.htm17 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html18 http://users.compaqnet.be/cn001183/geschiedenis.htm19 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 10-59___________________________________________________________________________

president van Amerika, Eisenhower, neemt, mede in reactie daarop, hetinitiatief een R&D bureau (agency) te vestigen:20 Advanced Research ProjectsAgency. Enkele universiteiten in Californië dokterden een ingenieus systeemuit. Verbindt alles computer van A tot Z met elkaar. Wanneer computer Ainformatie naar computer Z wil versturen, dan bepaalt de software zelf welwelke weg het daarvoor wil nemen, bijvoorbeeld van A naar X, van X naar D,van D naar T, om ten slotte van T bij Z te belanden. Werd één schakelonschadelijk gemaakt, dan werd automatisch een andere weg genomen om deinformatie door te sturen. Informatie werd ook in pakketjes verstuurd.Computer A verstuurde een pakketje informatie naar computer D. Was hetpakketje goed aangekomen, dan vertelde D dit aan A die een nieuw pakketjeverzond, eventueel via een andere computer. Alle pakketjes kregen eennummer en een adres, zodat op het einde van de ketting alle pakketjes bij dejuiste computer terecht kwamen en in de goede volgorde.21 Tien jaar later,1968, stuurt Larry Roberts, werkzaam bij ARPA, een verzoek om offertes naar140 firma's, om een IMP te maken. Een IMP, Interface Message Processor,moest een aparte computer zijn, die met andere IMP's via packet switching koncommuniceren.22 Het ARPAnet was geboren. In 1972 waren er al 37netwerken op het systeem aangesloten. Niet alleen de militaire wereld zag degrote voordelen in van zo’n groot netwerk. Universiteiten van over de helewereld werden met elkaar verbonden.23

Daartoe ontwikkelden ze een eigen netwerk, TCP/IP zag het daglicht -eenverbetering van de pakketpost zoals ik hierboven beschreven heb- en is nogsteeds het hart van ons huidige internet. Studenten aan de universiteiten vanCalifornia ontwikkelden nieuwe toepassingen voor dit netwerk: elektronischepost, verzenden en ontvangen van software, nieuwsgroepen. Vele van dezestudenten zijn nu miljonairs en hoofd van bekende softwarebedrijven.24

De uitvinding van het netwerk waarvan internet gebruik maakt, is eenAmerikaanse uitvinding. Maar het World Wide Web is een zuiver Europeseuitvinding waarin zelfs de Belg CALLIAU een hoofdrol gespeeld heeft. In debeginjaren was het gezicht van internet helemaal niet dat wat we nu gewoonzijn. Websites bestonden er niet. Alle informatie werd op een droge manieraan de man (vrouw) gebracht. Daar kwam verandering in toen aan de CERNin Zwitserland eind de jarig tachtig het WWW werd ontwikkeld, gebaseerd opsites die door middel van links met elkaar waren verbonden. De grondslagwas gelegd om internet populair te maken. Daarom kreeg eind de jaren ’80 decommerciële wereld belangstelling voor internet en toen zat het spel pas goedop de wagen.25

1.5. De geschiedenis van TCP/IP

20 Katie, H. &Matthew, L. ‘Where Wizards Stay Up Late: The Origins of the Internet’, Touchstone Press, 2000,304 p.21 http://users.compaqnet.be/cn001183/geschiedenis.htm22 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html23 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html24 http://users.compaqnet.be/cn001183/geschiedenis.htm25 http://users.compaqnet.be/cn001183/geschiedenis.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 11-59___________________________________________________________________________

Om de historie van TCP/IP te begrijpen, is het nodig eerst eens te kijken watde IMP's nu precies deden. De enige taak van een IMP was het versturen vanpakketjes van de ene naar de andere aangesloten computer (host). Alspakketjes in verkeerde volgorde arriveerden (het laatst verstuurde pakketjearriveert bijvoorbeeld het eerst), dan zorgen de IMP's ervoor dat de pakketjesuiteindelijk in de juiste volgorde aan de client werden aangeboden. Decommunicatie tussen twee hosts werd vastgelegd met NCP (Network ControlProtocol). NCP ging ervan uit dat het onderliggende netwerk betrouwbaar was.De IMP's zorgden hier immers voor. In 1974 publiceerden Vint Cerf en BobKahn over een protocol wat ze TCP noemden.26 Het grote verschil met NCPwas dat TCP er vanuit ging dat het onderliggende netwerk onbetrouwbaar was.Cerf en Kahn richten zich namelijk op een heel ander probleem. Eind 1972werd duidelijk dat er veel meer soorten netwerken zouden komen en al waren.Hoe was het nu mogelijk om die netwerken nu met elkaar praten? Omsatellietverbindingen, packet radio’s, netwerken in andere landen enARPANET met elkaar te laten communiceren? Het idee van Cerf en Kahn wasom de betrouwbaarheid niet in het netwerk in te bouwen, maar in de hosts. In1977 wordt de eerste werkende versie van TCP getoond waarbij drienetwerken, een packet radio netwerk, ARPANET en SATNET, aan elkaargeknoopt zijn. In 1978 komen Vint Cerf, Jonathan B., Postel en Danny Cohenmet het cruciale idee om het gedeelte van TCP dat zich bezig houdt met hetrouteren van pakketjes af te splitsen en dat IP ofwel Internet Protocol tenoemen. TCP zou zich dan bezig houden met pakketjes die niet of in deverkeerde volgorde aankomen, transmissiefouten, e.d. IP zou zich bezighouden met het versturen van individuele pakketjes. Naast TCP kennen we ookUDP, vrijwel gelijk aan IP. Met UDP kan een pakketje verstuurt wordenzonder de overhead van een bevestiging. Bijvoorbeeld RealAudio enRealVideo kunnen UDP gebruiken. Met deze afsplitsing is TCP/IP een feit. In1983 gaat ook ARPANET over op TCP/IP.27

1.6. Netwerkarchitecturen

1.6.1. Inleiding

Door een toename aan complexiteit van netwerken en de verscheidenheidervan, soms zelfs binnen één organisatie, dreigde men terecht te komen in eenverzameling van eilandjes van elektronisch postsystemen. Het was zo datintern, binnen de groep die een zelfde systeem had, communicatie mogelijkwas, maar van zodra men over het afdelingsmuurtje diende te gaan, hetonmogelijk was voor de verschillende systemen om met elkaar te kunnencommuniceren. Dit veroorzaakte uiteraard enorme problemen. Men diendeverschillende softwarepakketten op één systeem te plaatsen om het mogelijk temaken om niet alleen met de eigen groep te communiceren, maar ook deandere groepen te bereiken. Sommige managers of afdelingshoofden hadden

26 Katie, H. &Matthew, L. ‘Where Wizards Stay Up Late: The Origins of the Internet’, Touchstone Press, 2000,304 p.27 http://www.berenddeboer.net/article/het_ware_ontstaan_van_internet.html zie ook: Katie, H. &Matthew, L.‘Where Wizards Stay Up Late: The Origins of the Internet’, Touchstone Press, 2000, 304 p.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 12-59___________________________________________________________________________

evenveel systemen geïnstalleerd als er externe contactadressen waren. Door degebruikers werden industriëlen onder druk gezet om de systemen op elkaar afte stemmen. Zo ontstonden er industriële standaards, die de integratie vanverschillende systemen toelieten. Het opstellen van deze standaards ging echterook gepaard met de ontwikkeling van ‘open systemen’. Het OSI (Open System

Interconnection) netwerk referentiemodel ligt aan de basis voor deverschillende standaarden die ontwikkeld zijn binnen het domein vannetwerkcommunicatie in de brede zin van het woord. Digitale netwerkenkunnen op vele manieren gerealiseerd worden, wat vanzelfsprekend leidt toteen nood aan grote compatibiliteit en connectiviteit tussen de verschillendenetwerken. Deze problematiek ligt aan de basis van de ontwikkeling van deOSI-standaard, op initiatief van de Internationale Organisatie voorStandaardisatie (ISO). 28 Het OSI referentiemodel splitst elk netwerk op inzeven verschillende lagen die een welbepaalde netwerkfunctie toegewezenkrijgen. . 29 De bespreking van dit model komt later aan bod.

‘Open systemen’ zijn systemen die opgebouwd zijn rond componenten dievoor de gebruiker fabrieksonafhankelijk zijn. Deze componentenbeantwoorden volledig aan de opgestelde open standaards van decomputeromgeving. Er kan dus door de gebruiker gespeeld worden met deconcurrentie om voor hem, voor elk onderdeel het meest voordelige systeembinnen te halen. In een open systeem worden alle communicatieprotocollen engebruikersinterfaces openbaar gemaakt. In de literatuur spreekt men over ditverschijnsel met het begrip ‘connectivity’ of soms ‘crossware’. Door hetgebruik van dergelijke systemen zal de ICT-omgeving (information andcommunication technology) flexibeler kunnen aangepast worden aanveranderende functionaliteits- en capaciteitseisen.

Standaardisering en daarmee gepaard gaand het opstellen van gecompliceerdeprotocollen heeft dus het huidige gebruik van de technologische mogelijkhedenten volle tot ontwikkeling gebracht. Men dient echter in het kader van eenstudie over criminaliteit buiten de voordelen van standaardisering toch ookenigszins de nadelen te bekijken. Door de standaardisatie is het echter zo dat alde constructeurs verplicht zijn om hun apparatuur volgens bepaalde normen tebouwen, op gevaar af om op een eiland te belanden. Dit maakt het voor decriminele organisaties echter veel eenvoudiger om ook gebruik te maken vande opgelegde normen om achterpoorten te zoeken of te creëren. Eens zo’n gatin de beveiliging gevonden wordt, is het omzeilen ervan meestal zeer nuttigvoor een groot deel van de toepassingen. Standaardisering betekent immersook het (ongewild) eenvormig maken van de zwakke plekken.

1.6.2. Referentiemodellen en terminologie

28 BENEDICT, B. , i.c., p. 8 29 Het OSI-model is ontwikkeld om het mogelijk te maken om op het ‘hoogste’ niveau – de applicatielaag –ongelijksoortige systemen met elkaar te kunnen laten communiceren waarbij het netwerk er voor zorgt datverschillen in operating systemen worden ‘vertaald”. Het model dat op grond daarvan is gerealiseerd is hetnetwerkprotocol. Echter, dit protocol wordt in de praktijk weinig toegepast. In plaats daarvan wordt veelalgebruik gemaakt van het TCP/IP protocol, hetgeen een protocol is dat slechts vier lagen kent en nauwelijks teprojecteren is op het OSI-model. (BENEDICT, B. , i.c., voetnoot 23)

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 13-59___________________________________________________________________________

Om de complexiteit van protocollen te kunnen beheersen worden de mogelijkeinteracties tussen computersystemen meestal gestructureerd overeenkomstigeen horizontale en verticale structurering. Op deze structuur wordt een aantalabstracte concepten gedefinieerd, die vervolgens overeenkomstig een aantaltechnische en organisatorische criteria gehanteerd worden. Eenreferentiemodel is het geheel van de bovengenoemde structuur tezamen met deglobale technische criteria op grond waarvan deze structuur is gedefinieerd.30

Een referentiemodel levert daarmee een stelsel randvoorwaarden voor deverdere invulling van het model met technische specificaties voor standaardservices en protocollen. Door het referentiemodel tezamen met de standaardservices en protocollen worden de interacties in een systeem ondubbelzinnigen volledig vastgesteld.31

Twee toonaangevende referentiemodellen zijn het OSI Reference Model (OSI-

RM) en het Internet Protocol Suite (IPS). Beide modellen verschillen vanelkaar door hun benadering van netwerken. Het OSI-RM wordt gekenmerktdoor een meer architecturale en theoretische benadering, terwijl IPS wordtgekenmerkt door een meer implementatiegerichte en pragmatischebenadering.32 Hierdoor is de ontwikkeling van het IP-model veel snellergegaan dan deze van het OSI-model dat daardoor aan populariteit heeftingeboet ten voordele van IPS.

1.6.3. Het OSI-netwerk referentiemodel

1.6.3.a. Inleiding

Vijfentwintig jaar geleden, in 1974, heeft de internationalestandaardisatieorganisatie ISO33 een model voor gelaagde netwerkengedefinieerd.34 Dit gelaagd netwerkmodel kreeg de naam OSI35 en isondertussen uitgegroeid tot het meest geaccepteerde model voornetwerkcommunicatie.36 Bovendien ligt het OSI netwerk referentiemodel aande basis voor de verschillende standaarden die ontwikkeld zijn binnen hetdomein van netwerkcommunicatie in de brede zin van het woord.37

Het OSI-model, zoals we het vanaf nu zullen benoemen, is ontwikkeld om hetmogelijk te maken om op het ‘hoogste’ niveau – de applicatielaag (infra) –ongelijksoortige systemen met elkaar te laten communiceren waarbij hetnetwerk er voor zorgt dat verschillende besturingssystemen worden ‘vertaald’.Het model dat op grond daarvan is gerealiseerd is het netwerkprotocol, dat in

30 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf31 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf32 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf33 ISO: International Organization for Standardization34 http://www.diskidee.nl/netwerken_ontsluierd.htm35 OSI: Open System Interconnection36 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 123 zie ook: BENEDICT, B., i.c., p.8 37 BENEDICT, B., i.c., p. 8

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 14-59___________________________________________________________________________

de praktijk echter weinig wordt geïmplementeerd. In de plaats van ditnetwerkprotocol wordt TCP/IP (infra) gebruikt.38

Vergis je niet: dit OSI-model is geen definitie van een netwerkachitectuur!Daarvoor zou het immers de juiste interfaces en protocollen moeten definiërendie in elke laag van toepassing zijn en dat doet het OSI-model niet.39 Het isgewoon een concept dat u kan helpen tot een beter begrip te komen van decomplexe interacties die zich voordoen tussen de apparaten in een netwerk.Het OSI – model heeft geen enkele functie in het communicatieproces. Hetfeitelijke werk wordt verricht door de daarvoor bestemde hardware ensoftware. Het definieert alleen welke taken moeten worden uitgevoerd.40

1.6.3.b. Bespreking van het OSI-Model

Het OSI referentie model splitst elk netwerk op in zeven verschillende lagendie een welbepaalde netwerkfunctie toegewezen krijgen. Elk van deze lagenvoorziet de bovenliggende laag van de nodige functionaliteit en gebruikt defuncties van de onderliggende laag.41 De drie onderste lagen zijn netwerk-afhankelijk en bevatten de protocol-stack die de verbinding tot stand brengen.Een protocol-stack is een verzameling protocollen die van boven naar benedenworden verwerkt als onderdeel van een communicatieproces.42 Omcommunicatie tussen twee computers mogelijk te maken, moeten op beidecomputers dezelfde protocol-stacks actief zijn.

Het OSI-model bestaat uit exact zeven lagen. Hoe komt men aan die zevenlagen? Welnu, men heeft vijf principes vastgelegd:43

1.We creëren een nieuwe laag voor elk benodigd niveau van abstractie; 2.Deverzameling van gedefinieerde lagen moet groot genoeg zijn om afzonderlijkefuncties ook in afzonderlijke lagen te stoppen, maar weer niet zó groot dat deomvang van de architectuur onhandig wordt; 3.Internationale standaardendefiniëren elke laag; 4.Elke laag heeft een welgedefinieerde functie; 5.Dehoeveelheid informatie die tussen de verschillende lagen wordt uitgewisseldvia de interfaces moet zo klein mogelijk zijn.

38 BENEDICT, B., i.c., p. 839 http://www.diskidee.nl/netwerken_ontsluierd.htm40 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 12441 BENEDICT, B., i.c., p. 942 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 12543 http://www.diskidee.nl/netwerken_ontsluierd.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 15-59___________________________________________________________________________

OSI-Model

Het OSI-model heeft 7 lagen waarbij iedere laag een specifiek aspect van denetwerk communicatie voor zijn rekening neemt:44

1. Fysieke laag

verzorgt het fysieke transport van bits tussen systemen

Dit is de onderkant van het OSI-model. De fysieke laag definieert de methodesvoor het verzenden en ontvangen van data over het netwerk. Dat omvat alleswat nodig is om de data fysiek over een netwerk te transporteren. Ook debekabelingsmethodes, maar niét de bekabeling zelf. De fysieke laag behandeltimmers de functies en diensten die nodig zijn om bytes via de bekabeling ofeen ander fysiek medium te versturen, maar dus niet dat medium zelf. Als jebijvoorbeeld een modem gebruikt, dan mag je de benodigde protocols (zoalsV.90 en V.42bis maar ook de RS-232-protocols) tot de fysieke laag rekenenmaar niet de modem en de seriële kabel zelf. ISDN-protocollen als X.75 enV.120 horen hier ook in thuis. Naast de bekabelingsmethodes omvat de fysiekelaag alle toestellen (zoals modems, hubs, switches en repeaters) die dienen omde netwerkaansluiting van een station op de netwerkbekabeling aan te sluiten,maar ook alle signalisatie voor het verzenden en ontvangen van data (zoalsRTS/CTS of XON/XOFF bij seriële verbindingen) en de mogelijkheid omsignalisatie fouten in de netwerkmedia te detecteren. Het meest bekendevoorbeeld van protocols voor de fysieke laag is de IEEE 802-serie.

2. Datalinklaag

beheert en controleert de datatransmissie en probeert fouten te corrigeren ofmeldt ze

Deze laag verzorgt de eigenlijke dataverbinding. Dat omvat de synchronisatievan de transmissie en het foutenbeheer op frameniveau alsook de foutcorrectiezodat informatie verstuurd kan worden via de fysieke laag. Het formatterenvan het frame en de CRC-afhandeling (CRC controleert op fouten in het heleframe) gebeuren in deze laag. Je hebt meer dan waarschijnlijk al gehoord vanEthernet en Token Ring: dat zijn netwerktoegangsmethodes en deze laag voertdie uit. De verbindingslaag voorziet ook de adresinformatie voor de fysiekelaag bovenop het verstuurde frame. Voor Internet zijn twee voorbeelden van

44 Dit stuk werd volledig overgenomen van: http://www.diskidee.nl/netwerken_ontsluierd.htm zie ook:http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 16-59___________________________________________________________________________

een protocol voor de dataverbindingslaag SLIP en PPP, al horen die eigenlijkook een stukje bij de netwerklaag (we hadden al gezegd dat TCP/IP niethelemaal past in het OSI-model). Microsoft en Novell hebben hier geenspecifieke protocollen voor.

3. Netwerklaag

verzorgt het transport, de adressering en de routering van pakketten doorheeneen netwerk

De netwerklaag beheert de transmissie van berichten (pakketten) tussennetwerkstations. Hier wordt de routering verzorgd. Routering wil zeggen datgebruik gemaakt wordt van bepaalde informatie om de data sequentieel vaneen netwerkstation naar een ander te laten lopen, liefst via het meesteconomische pad en dat zowel logisch als fysiek. Via deze laag kun je ookpakketten versturen via andere netwerken mits het gebruik van specialetoestellen die men routers noemt. Routers worden in deze laag gedefinieerd enze koppelen twee netwerken die op het niveau van de netwerklaag verschillen,maar wel dezelfde transportlaag gebruiken. Bijvoorbeeld de koppeling van eenEthernet-netwerk aan een openbaar ISDN-netwerk. De bekendstenetwerklaagprotocollen zijn IPX en SPX van Novell en IP voor Internet. Denetwerklaag is meteen de grens van het communicatiesubnet: boven deze laagneemt de graad van abstractie drastisch toe. Voor laag 3 en lager is er meestaleen bovengrens gesteld voor de grootte van de berichten (pakketten) die zekunnen verwerken. In broadcast-netwerken is het routeren eenvoudig, zodat denetwerklaag dun is of helemaal niet bestaat. Dat is dan ook de reden waarom uhet hieronder vermelde transportlaagprotocol TCP zo vaak gecombineerd zietmet IP tot wat men schrijft als TCP/IP.

4. Transportlaag

verzorgt een data-onafhankelijk eind-naar-eindtransportsysteem voor dehogere lagen

De eind-naar-eindtransmissie van data hoort thuis in de transportlaag. Dezelaag valt buiten het bestek van het communicatiesubnet en heeft meestal geenbovengrens voor de omvang van de pakketten die ze kan ontvangen. De vorigelaag (de derde of netwerklaag) heeft wel zo'n bovengrens, dus moet detransportlaag alle binnenkomende pakketten in stukken breken zodat elk stukkleiner of gelijk is aan die maximum omvang. Elk stuk moet bovendien vanbijkomende adreshoofdingen voorzien worden en alle stukken moeten dandoorgestuurd worden naar het lagere niveau. De voornaamste functie van detransportlaag is ervoor te zorgen dat de data betrouwbaar overgedragen wordt.Zo moet de transportlaag onder andere garanderen dat data in dezelfdevolgorde aankomen als ze verzonden werden. Daarnaast moet ze de datafoutloos verzenden en ontvangen maar ook binnen een zekere tijdsspanne. Heterg bekende transportlaagprotocol voor Internet heet TCP, maar er is ook UDPen in de Microsoft-implementatie van Internetprotocollen ook nog WINS enRAS.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 17-59___________________________________________________________________________

5. Sessielaag

verzorgt de communicatie tussen twee applicatieprocessen en doet aanfoutenbeheer

De sessielaag begint en beëindigt communicatiesessies tussen tweenetwerkstations. Dat betekent dat deze laag de verbinding tot stand brengt,onderhoudt en ook weer verbreekt. De sessielaag is daarnaast nogverantwoordelijk voor de vertalingen tussen netwerknamen en stationadressen.Je kunt dit vergelijken met telefoneren naar iemand als je alleen zijn naamkent. Je hebt immers zijn of haar telefoonnummer nodig om de verbinding totstand te brengen. De sessielaag regelt bovendien de hele dialoog tussen tweestations in functie van het uitvoeren van hun communicatie: zo kunnen destations tegelijkertijd informatie uitwisselen, of om beurten, of metonderbrekingen. De sessielaag zorgt ervoor dat ieder op zijn beurt aan het"woord" komt en dat onderbrekingen opgevangen worden zonder dat alleinformatie die daaraan vooraf ging moet worden herhaald.

6. Presentatielaag

codeert en decodeert gegevens voor de applicatielaag

Deze zesde laag verzorgt alle functies die zo vaak terugkomen, dat het demoeite waard is deze functies apart op te nemen en beschikbaar te stellen vooralle gebruikers. Voorbeelden zijn dataconversies (formaat-omzettingen), data-encryptie (het encoderen van data terwijl die verzonden worden, of hetdecoderen tijdens de ontvangst). Bij die encryptie kun je aan beveiligingdenken, maar bijvoorbeeld ook aan compressie. De presentatielaag is dus nietecht precies gedefinieerd en wordt daarom niet altijd voorzien.

7. Applicatielaag

verbindt de netwerkapplicaties met de gebruikers

Deze zevende laag, de applicatielaag, heeft het hoogste abstractieniveau.Hierin draaien alle netwerkapplicaties. Je moet voor netwerkapplicaties denkenaan bestandsoverdracht, terminalemulatie, elektronische post (e-mail), alleInternetapplicaties (zoals DNS, SNMP, SMTP en POP3, telnet, FTP, finger,NFS, HTTP en MIME) maar ook NetBIOS-gebaseerde toepassingen(NetBIOS of NetBEUI is het netwerkprotocol dat door Windows-systemenonderling gebruikt wordt) zoals NET, NETCOPY, NETRUN en dergelijke.

De zeven lagen communiceren met elkaar en vormen een totale verbinding,inclusief de applicatie. Iedere verbinding kan op deze wijze in kaart gebrachtworden door de verschillende componenten te verdelen over de lagen. Doordeze standaard te gebruiken kan op een meer abstracte wijze de kwetsbaarheidvan een verbinding onderzocht worden.45

45 BENEDICT, B., i.c. p. 9

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 18-59___________________________________________________________________________

Elk van deze lagen heeft zijn eigen kwetsbaarheden en mogelijkheden totbeveiliging. In onderstaand schema geven we een samenvatting van het OSI –model met de daarbij behorende risico’s verbonden aan elke laag.

Laag46 Risico

Applicatielaag Wachtwoord kopiëren

Presentatielaag Encryptie kraken en wijzigen

Sessielaag Starten van een eigen verbinding

Transportlaag Wijzigen inhoud bericht

Netwerklaag Beinvloeden route

Datalink laag Koppelen aan netwerk

Fysieke laag Aftappen signaal

1.6.3.c. Uitbreiding van het OSI-Model

In februari 1980 startte IEEE47 een project met de naam Project 802 met debedoeling een bijdrage te leveren aan de definitie van een aantal LAN-normen.48 De IEEE-commissie was de mening toegedaan dat de tweede laagvan het OSI-model (data link layer) in meer detail moest worden beschrevenen verdeelde de laag op in 2 sublagen:

LLC (Logical Link Control) Deze laag moest voorzien in foutenbeheersing en flow control. Zij voorziet inSAP’s (Service Access Point) die door andere computers kunnen wordengebruikt als referentie en om gegevens over te brengen van de LCC-laag naarde bovenliggende OSI-lagen.

MAC (Media Access Control)

Dit is de laagste van de twee sublagen, maakt gedeeld gebruik van denetwerkadapter mogelijk en communiceert rechtstreeks met denetwerkadapter.49

1.6.4. Het TCP/IP – Model of Internet - Model

1.6.4.a. Inleiding

Het begrip 'netwerkprotocollen' is erg ruim. Meestal bedoelt men er zowat allesmee dat een netwerk laat functioneren op softwareniveau. Nadat je eennetwerk geconstrueerd hebt door allerlei hardware met kabels aan elkaar tekoppelen, zorgt software er immers voor dat er data over dat netwerk gestuurdkan worden. Het netwerk heeft zelf ook al een organisatie - bijvoorbeeldEthernet - die eigenlijk met software te maken heeft, maar omdat dat in de

46 BENEDICT, B., i.c., p. 1247 IEEE: Institute for Electrical and Electronic Engineers, Inc.48 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 134, Project 802 verwijst naar het jaar en de maandwaarin het project begon.49 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 137

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 19-59___________________________________________________________________________

hardware ingebouwd zit staan we daar verder nooit bij stil. Een Ethernetnetwerk zorgt er zelf al voor dat data in mooie pakketjes (de Ethernet-frames)ingepakt wordt en verzonden doorheen de kabeling met behulp van eencollisiedetectiemechanisme. Hoewel het dus mogelijk is om rechtstreekshiervan gebruik te maken om data over het netwerk te sturen, heeft dat eenaantal nadelen op een hoger niveau. Zo zou je netwerkaansturing alleen maargeschikt zijn voor een Ethernet netwerk, niet voor Token Ring of iets anders.Routeren naar een ander netwerk zou zo goed als onmogelijk zijn. Bovendienzou je alleen rauwe data kunnen versturen, er zou geen organisatie in die datazitten om aan te geven dat die bij bepaalde applicaties hoort of een bepaalddoel heeft. Daarvoor dienen de hogere netwerkprotocollen. Die zijnonafhankelijk van de netwerktopologie en -organisatie, wat wil zeggen dat zevoor zowel Ethernet als Token Ring als een hele hoop andere hetzelfde zijn. Zefunctioneren dus binnen de OSI-lagen 3 en 4 (netwerk- en transportlaag). Dehogere netwerkprotocollen zullen data in bij dat protocol horende pakkettenindelen, waarbij ieder pakket voorzien zal zijn van adressen voor zender enontvanger, maar ook van inlichtingen in verband met het doel van de data.Hogere netwerkprotocollen laten dus toe data te identificeren als bedoeld vooreen bepaald doel of een bepaalde applicatie.50

TCP/IP51 is het netwerkprotocol waarmee computers op Internet onderlingcommuniceren en bestaat uit een verzameling verwante protocollen die zijnontwikkeld door DARPA52 in het kader van een project voornetwerkinterconnectiviteit dat in 1969 is gestart. TCP/IP is verreweg het meestgebruikte protocol voor het realiseren van verbindingen tussen computers en iszoals gezegd het Internet protocol.53

TCP/IP is het netwerkprotocol van de Unix-wereld en omdat het internetoorspronkelijk groeide uit de koppeling van Unix-machines, is TCP/IP dus ookhet netwerkprotocol voor het internet.54 TCP/IP voldoet niet exact aan het OSI-lagenmodel. Vaak wordt TCP wel ingedeeld bij de transportlaag en IP bij denetwerklaag, maar de waarheid is dat bij TCP/IP het onderscheid vaakvervaagt en een en ander in elkaar overvloeit. Zoals je je wellicht herinnertzorgt de netwerklaag voor het transport, de adressering en de routeringdoorheen een netwerk, terwijl de transportlaag zorgt voor de data-onafhankelijke eind-naar-eindtransmissie voor de hogere lagen. Bij TCP/IPkun je zeggen dat IP instaat voor transport, adressering en routering en datTCP de eind-naar-eindtransmissies verzorgt, maar zo simpel is het niet altijd.TCP heeft bijvoorbeeld nog een 'broertje' dat UDP heet en ook voor eind-naar-eindtransmissies zorgt. We zullen daarom eerst beginnen met de basis vanalles: IP of het Internet Protocol.55

50 alinea overgenomen van: http://www.diskidee.nl/netwerken_ontsluierd.htm51 TCP/IP: Transmission Control Protocol en Internet Protocol52 DARPA: Department of Defence’s Advanced Projects Research Agency, voorheen ARPA, zie terzake:CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 1 5153 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 15154 http://www.diskidee.nl/netwerken_ontsluierd.htm55 http://www.diskidee.nl/netwerken_ontsluierd.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 20-59___________________________________________________________________________

Internet is een wereldwijde aaneenschakeling van een groot aantalcomputernetwerken. Het bijzondere is dat er binnen dat Internet één universeletaal geldt, namelijk TCP/IP.56

1.6.4.b. Bespreking van het TCP/IP protocol

57

Internet Model

TCP/IP gebruikt slechts 4 lagen:

Applocation layer

Bestaat uit de applicatieprotocollen die over een TCP/IP netwerk wordenaangeboden, zoals DNS, SNMP, FTP, SMTP, NEWS, http, HTML.58

Transport layer

De transport layer levert een end-to-end gegevensoverdracht service tussenapplicatieprocessen (applicatieprogramma’s). Meerdere applicatieprocessenkunnen tegelijkertijd binnen een computersysteem draaien. Deze laag bestaato.a. uit de protocollen TCP en UDP59

Netwerk layer

De network layer levert een end-to-end gegevensoverdracht service tussencomputersystemen (zgn. hosts). Deze laag bestaat o.a. uit de protocollen IP,ICMP en verscheidene routeringsprotocollen.60

Subnetwerk interface layer

De subnetwork interface layer bevat de nodig functies voor het versturen enontvangen van network layer pakketjes via het lokale subnetwerk waarop eencomputersysteem is aangesloten. Voorbeelden van protocollen in deze laagzijn ISDN, xDSL, Ethernet, ATM, WDM.61

1.6.4.c. De voor- en nadelen van TCP/IP

In het algemeen kan gezegd worden dat het Internet werkt volgens het client-

server principe. Dit principe beschrijft de relatie tussen twee computers

56 BENEDICT, B., i.c., p. 4957 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf58 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf59 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf60 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf61 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 21-59___________________________________________________________________________

waarbij de ene computer, de client, een dienst vraagt aan de andere computer,de server, die vervolgens die dienst uitvoert.Een Host is een centrale computerdie on line kan worden benaderd en bestanden, diensten of programma’saanbiedt. Een router is een computer die aan de hand van het IP-adres besluitvia welk netwerk het packet het beste kan worden verstuurd.Het Internet enWWW62 zijn geen identieke begrippen(supra).63

De voordelen van TCP/IP zijn:64

• Uitgebreide connectiviteit onder alle types computers en servers

• Rechtstreekse toegang tot het Internet

• Sterke ondersteuning van routering

• Ondersteuning van SNMP65

• Ondersteuning van SHCP66, dat de dynamische toewijzing van clientIP-adressen mogelijk maakt

• Ondersteuning van WINS67 dat het opzoeken van namen op Microsoft-clients en –servers mogelijk maakt

• Ondersteunen van de meeste andere internet protocollen

• Gecentraliseerde toewijzing van TCP/IP- domeinen, waardoorbedrijven internetwerken kunnen vormen (Intranetten)

TCP/IP dat het langzaamste procotol is dat bijv. bij Microsoft Windows wordtgeleverd heeft echter ook enkele nadelen:68

• De gecentraliseerde toewijzing van TCP/IP-domeinen betekent kostenen inspanning voor de centrale registratie

• Door de explosieve uitbreiding van Internet is het aantal beschikbareunieke domeinnummers afgenomen. Een nieuwe versie van IP (infra)

moet aan dit probleem een einde maken

• De installatie is niet gemakkelijk

• Er is een relatief hoge overhead nodig voor een naadloze connectiviteiten routering

• De snelheid is lager dan bij IPX en NetBEUI.

1.6.5. Vergelijking van het OSI-model en TCP/IP

Als we beide modellen vergelijken, valt de onmiddellijk de vereenvoudigingop naar 4 lagen bij het TCP/IP gelaagd netwerkmodel.

62 WWW: World Wide Web (is het grafische deel van het Internet)63 BENEDICT, B. , i.c., p. 49-5064 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 15165 SNMP: Simple Netwerk Management Protocol 66 SHCP: Dynamic Host Configuration Protocol67 WINS: Windows Internet Name Service68 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 152

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 22-59___________________________________________________________________________

69

Uit de figuur valt af te leiden dat de applicatielaag van het Internet model defuncties combineert van de drie bovenste OSI-lagen. De Subnetwerklaag vanTCP/IP verenigt de fysieke en gegevensverbindingslagen van het OSI-Model.Enkel de Transport en Netwerklagen komen in beide modellen overeen.

In onderstaande figuur geven we aan welke protocollen uit TCP/IP terug tevinden zijn in de overeenkomstige OSI-lagen.70

OSI Laag TCP/IP Network node

7 Application

6 Presentation

5 Session

httpFTPSMTPSNMPTelnet

Gateway

4 TransportTCPUDP

3 Network IP Router

2 Data-link (MAC)SLIPPPP

Bridge

1 Physical repeaterUTP-kabel

1.7. TCP/IP - Protocollen

1.7.1. Inleiding

Zoals uit de figuur hierboven blijkt kunnen de TCP/IP-lagen onderverdeeldworden in een aantal protocollen, die de functionaliteiten bevatten dienoodzakelijk zijn voor de ondersteuning en de overgang naar een volgendebovenliggende laag. In dit deel zullen we elk van deze protocollen kortbespreken. Hierbij zullen we elk protocol binnen zijn respectievelijke TCP/IPlaag behandelen.

1.7.2. Protocollen van de application layer

69 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf70 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 23-59___________________________________________________________________________

1.7.2.a. FTP: File Transfer Protocol

Dit protocol laat toe bestanden te verzenden tussen twee systemen via TCP. Erbestaat een gelijkaardig maar minder populair protocol namelijk TFTP (Trivial

File Transfer Protocol), dat gebruik maakt van UDP.71

FTP kan voor zowel het up- als downloaden van bestanden worden gebruikt enis niet alleen beperkt tot tekstbestanden maar ondersteund ook binairebestanden. Voor het gebruik van FTP is een “login account” of anonymous

toegang op een FTP-server nodig. Het commando dat hiervoor gebruikt wordtin alle operating systems (UNIX, Microsoft Windows, OS/2, DOS, VMS) isftp.72

FTP verschilt van andere applicaties doordat het van twee TCP-verbindingengebruik maakt om een bestand te verzenden of ontvangen. Een control

connection onderhoudt de normale Client/Server-verbinding, terwijl een apartedata connection wordt gemaakt voor iedere bestandsoverdracht.73 FTP maaktgebruik van de TCP service, wanneer een FTP sessie wordt gestart wordt er viaeen TCP verbinding een controle verbinding opgezet. Deze verbinding wordtgebruikt voor alle 42 commando’s en de respons hierop tussen local en remotehost (zie Figuur).

74

FTP-Model

Voorts zijn er drie situaties waarvoor een tweede FTP verbinding wordtopgezet:

• versturen van een bestand van local naar remote host,

• versturen van een bestand van remote naar local host, en

• versturen van de directory inhoud van remote naar local host.75

Aangezien het voor de besturing van een FTP sessie noodzakelijk is om eengarantie te hebben dat beide hosts hetzelfde ’beeld’ van de toestand van sessiehebben moet de communicatie tussen beide betrouwbaar zijn, het is daaromvoor de hand liggend dat de controle verbinding gebruik maakt van een TCPverbinding. Bestanden die worden uitgewisseld kunnen van willekeurigeomvang zijn. Het zal vaak zo zijn dat een bestand in meerdere pakketten moetworden gesplitst om te kunnen worden verstuurd. Wanneer dit transportonbetrouwbaar gebeurt (bijvoorbeeld door gebruik te maken van UDP), dan

71 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#172 DONS, B., ‘Het Linux Handboek’, Addison Wesley, 1996, 487 p., i.c., p. 23673 DONS, B., i.c., p. 23774 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf75 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 24-59___________________________________________________________________________

kan het gebeuren dat in het ontvangen bestand hiaten zitten. In z’nalgemeenheid zal dit ongewenst zijn, derhalve is voor bestandstransfer TCP delogische keuze.76

Met PPP of SLIP (infra) is FTP over een seriële verbinding mogelijk en heeftdaarmee toegang tot het Internet.

1.7.2.b. HTTP: Hyper Text Transfer Protocol

HTTP maakt het mogelijk om op een relatief eenvoudige manier multimediabestanden bruikbaar te maken voor het Internet (tekst, foto's, geluid, video, ...).De kern van HTTP is dat het bestanden beheert die hyperlinks bevatten naarandere bestanden, die bij het selecteren een nieuwe transfer zullenveroorzaken. Om dit mogelijk te maken draaien alle webservers een HTTPdaemon: een programma dat enkel en alleen tot taak heeft te wachten tot erHTTP aanvragen binnenkomen en deze daarna te behandelen.77

HTTP-requests78

Een HTTP-request bestaat uit de request-soort, de URL, de headervelden(koptitelvelden) en eventueel een inhoud. Een overzicht van de meestgebruikte HTTP-requests:

• GET – Ontvang het document gespecificeerd door de URL. • HEAD – Ontvang alleen de headers van het op te vragen document. • POST – Zend data naar de server.

Een complete aanvraag inclusief de headervelden kan er als volgt uit zien:GET /wiki/HTTP HTTP/1.1

Host: nl.wikipedia.org

Connection: close

User-Agent: Mozilla/5.0 (X11; U; Linux i686; rv:1.6)

Gecko/20040401 Debian/1.6-4

Accept:

text/xml,text/html,text/plain,image/png,image/jpeg,image/gif

Accept-Charset: ISO-8859-1,utf-8

Keep-Alive: 300

HTTP-responses

Een HTTP-response bestaat uit een resultaat-code, headervelden en een body(de boodschap). Een overzicht van de meest voorkomende resultaat codes:

• 404 Not Found – Het opgevraagde document bestaat niet. • 304 Not Modified – Tov de versie in de cache is de pagina niet gewijzigd. • 200 OK – Het gevraagde document is succesvol opgevraagd.

De reactie van bovenstaande aanvraag ziet er dan als volgt uit:HTTP/1.0 200 OK

Date: Thu, 08 Apr 2004 18:24:33 GMT

Server: Apache/1.3.29 (Unix) PHP/4.3.4

76 www.simpleweb.org/nm/research/ results/publications/pras/pbna99.pdf77 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#178 http://nl.wikipedia.org/wiki/Hyper_text_Transfer_Protocol

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 25-59___________________________________________________________________________

X-Powered-By: PHP/4.3.4

Content-Language: nl

Content-Type: text/html; charset=iso-8859-1

X-Cache: MISS from wikipedia.org

Connection: close

Content Type: TEXT/HTML

Content Length: 3'127 bytes (received)

--- De HTML code ---

Een complete aanvraag inclusief de headervelden kan er als volgt uit zien:

GET /wiki/HTTP HTTP/1.1Host: nl.wikipedia.orgConnection: closeUser-Agent: Mozilla/5.0 (X11; U; Linux i686; rv:1.6) Gecko/20040401Debian/1.6-4Accept: text/xml,text/html,text/plain,image/png,image/jpeg,image/gifAccept-Charset: ISO-8859-1,utf-8Keep-Alive: 300

1.7.2.c. HTTPS-protocol

Het HTTPS protocol is een beveiligde (versleutelde) versie van HTTP.HTTPS is een afkorting van Hyper Text Transport Protocol Secure. Allegegevens die een web client en een web server uitwisselen worden nuversleuteld volgens de SSL standaard. Met HTTPS is het nog steeds mogelijkdat andere Internet gebruikers de communicatie afluisteren, maar alle gevens(denk aan credit card nummer en password) zijn onbruikbaar. Bovendien zoude software op zowel de server als de client het direct merken als de gegevensonderweg veranderd zijn.79

1.7.2.d. SMTP: Simple Mail Transfer Protocol 80

is de de-facto standaard voor het versturen van e-mail over het internet.

SMTP is een relatief simpel, tekstgebaseerd protocol: eerst wordt één ofmeerdere ontvangers van een e-mail gegeven, en daarna de tekst van hetbericht. Het is makkelijk om een SMTP-server te testen door middel van hettelnet programma. SMTP gebruikt TCP poort 25.

Om de SMTP-server voor een domein te bepalen wordt het MX record (MaileXchange) van de DNS gebruikt.

SMTP begon wereldwijd gebruikt te worden in de vroege jaren 1980. Toenwas het een aanvulling voor UUCP. UUCP was geschikter om e-mail teversturen tussen computers die niet altijd verbonden waren. SMTP daarentegen

79 http://www.zonder.nl/Explain/Https.html80 http://nl.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 26-59___________________________________________________________________________

is ontwikkeld voor als zowel de ontvanger als de zender altijd verbonden zijnmet het netwerk.

Sendmail was een van de eerste (zoniet de eerste) mail transfer agentprogramma's die SMTP gebruikt.

Sinds 2001 bestaan ten minste 50 verschillende programma's die SMTPondersteunen als client (zender van berichten) of server (ontvanger vanberichten). Enkele populaire SMTP-serverprogramma's zijn Postfix (van IBM),Qmail (van Daniel J. Bernstein), en Microsoft Exchange Server.

Omdat het SMTP-protocol enkel als een puur ASCII-tekst protocol ontwikkeldwas kan het niet werken met binaire (niet-tekst) bestanden (attachments).Standaarden zoals MIME werden ontwikkeld om binaire bestanden om tevormen zodat ze verstuurd kunnen worden over SMTP. De hedendaagseSMTP-servers ondersteunen de 8-bit MIME-extensie, wat het versturen vanbinaire bestanden bijna net zo gemakkelijk maakt als gewone tekst.

SMTP dient niet om berichten van een server op te halen, enkel om berichtente versturen. Voor het ophalen van e-mail bestaat er POP3 en IMAP.

Spam en de veiligheid van SMTP

Eén van de beperkingen van het originele SMTP is dat er geen mogelijkheid isom na te gaan of de zender wel echt is wie hij beweert te zijn. Daarom werd deSMTP-AUTH-extensie ontwikkeld.Deze beperking wordt uitgebuit bij het versturen van spam waarbij een fictieveafzender bij een e-mail kan worden opgegeven. Hierdoor is spam nog steedseen groot probleem. Het SMTP-protocol grondig veranderen of vervangendoor een compleet nieuw protocol wordt niet mogelijk geacht omdat het zoveelvuldig verspreid en geïmplementeerd is.

1.7.2.e. POP: Post Office Protocol

Dit is een protocol dat gebruikt wordt om e-mail berichten effectief tedownloaden van de server naar de cliënt en ze daar lokaal te beheren (integenstelling tot het lezen, bewerken en verzenden van op de server zelf) metde optie om de berichten al dan niet van de server te verwijderen, wat handig isindien men zijn e-mail vanaf meerdere plaatsen wil kunnen inkijken. POP3 kanmet of zonder SMTP worden gebruikt.81

Om mails vanaf een andere plaats te kunnen lezen is het POP protocol ("PostOffice Protocol") ontwikkeld. Met dit protocol kan de gebruiker vanaf eenderwelke locatie zijn nieuwe mail eerst ophalen van de server, en dan lokaalbekijken. De communicatie met de server die nodig is om de mail op te halenverloopt via het POP-protocol. Hiertoe dient op de server een zogenaamdePOP-server te draaien, software die de mail van een bepaalde gebruiker overhet netwerk kan sturen.82

81 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#182 http://docent.hogent.be/~sdck780/1tin/h013041sb/werkingmail.html

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 27-59___________________________________________________________________________

Bij gebruik van POP kan men dus de nieuwe mail die op de server staat zien,maar niet de oude (eventueel reeds gelezen) mail. Nadeel: Als een gebruikermail leest op machine A, en de volgende dag mail wil lezen op machine B, kanhij alle eerder opgehaalde mail niet meer "zien". Deze is terug te vinden op delokale werkplek (POP protocol heeft als beperking, dat het plaatsgebondenis.).83

84

1.7.2.f. IMAP: Internet Message Access Protocol

Dit protocol lijkt sterk op POP3 maar ondersteunt nog wat extra zaken, zoalshet doorzoeken van e-mail berichten op kernwoorden (IMAP4). De berichtendie de woorden bevatten worden zo geselecteerd en gedownload, wat tijd kanbesparen. Berichten kunnen ook in folders worden ingedeeld, mailboxenkunnen gedeeld worden met anderen en een gebruiker kan toegang krijgen totmeerdere mail servers. Verder is er een betere integratie met MIME (eenmanier om duidelijk te maken van welk type een bestand is: grafische file,audio, ...) zodat de cliënt enkel de titels van de berichten kan downloadenzonder te moeten wachten tot ongewenste attachments gedownload zijn. IMAPgebruikt SMTP voor de communicatie tussen e-mailclient en server.85

Net zoals bij POP3 zijn er enkele staten nodig tussen de IMAP-server en deIMAP ondersteunende cliënt. Dit gebeurt weer door middel van een connectiemiddels TCP/IP. Poort 143 is de gebruikte IMAP4 poort. Wanneer de cliënteen connectie wil maken, klopt het aan op deze poort waardoor de server weetdat hij ook klaar moet zijn. Gedurende de tijd dat de gebruiker zijn folders opde IMAP server wil bekijken of archiveren is de verbinding open. 86

83 http://docent.hogent.be/~sdck780/1tin/h013041sb/werkingmail.html84 http://docent.hogent.be/~sdck780/1tin/h013041sb/werkingmail.html85 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#186 http://www.janaserver.nl/tips_trucs/wat_verschil_tussen_imap_pop3.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 28-59___________________________________________________________________________

87

1.7.2.g. SNMP: Simple Network Management Protocol

Dit protocol wordt veel ingezet voor de besturing van netwerkapparatuur diegebruik maakt van TCP/IP.88 Met dit protocol kan men aan netwerkbeheerdoen en in de gaten houden hoe bepaalde netwerk apparaten het stellen. Ditprotocol is niet noodzakelijk beperkt tot TCP/IP netwerken.89 De meestesoftware voor netwerkanalyse is compatibel met SNMP en een SNMP-monitoris een zeer handig hulpmiddel in netwerken van enige complexiteit.90

De werking van SNMP91

De manier waarop SNMP werkt is uiterst simpel. Het wisselt netwerk-informatie uit doormiddel van ‘messages’ ( technische benaming is: ProtocolData Units of PDU’s). Vanuit de hogere liggende lagen van het communicatiemodel, kunnen de PDU’s worden gezien als objecten welke variabelenbevatten met waarden, afhankelijk van het netwerk. De SNMP agent zorgtervoor dat de verschillende variabelen, die voorkomen in de verschillendeonderdelen van het internet, te bereiken zijn via andere hosts waarop eenSNMP manager draait die de waarden op kan vragen. De communicatie kan optwee manieren geschieden: de manager kan de agent vragen om een specifiekewaarde, of de agent stuurt zelf een bericht naar de manager. Verder kan, alshier toegang toe verleent is, door de manager een waarde ingesteld worden inde agent. De waarden, die uit te lezen zijn, hebben over het algemeenbetrekking op de data, die via de verschillende protocollen worden verstuurd.Om deze variabelen te kunnen lezen bestaat het TCP/IP netwerk managementuit drie onderdelen.

87 Bron: SURFnet, 199888 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 15389 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#190 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 15391 http://web.inter.nl.net/users/Rohiet.Seosahai/SNMP.htm#8.4

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 29-59___________________________________________________________________________

1. Een Management Information Base (MIB) die specificeerd wat voorvariabelen het netwerk element bevat. De opbouw van deze MIB’s staan ookbeschreven in RFC 1213

2. Een set van gelijke struktuur en een identificatie schema die gebruikt wordtom de variabelen in de MIB te kunnen refereren. Dit wordt de Structure ofManagement Information (SMI) genoemd en wordt beschreven in RFC 1155.

3. Het Simple Network Management Protocol dat tussen de manager en hetonderdeel van het TCP/IP netwerk draait en die wordt beschreven in RFC1157.

Het SNMP protocol bestaat maar uit vijf type berichten (PDU’s) tussen demanager en de agent (zie ook figuur 8.1), dit zijn de “ get-request “, “ get-next-request “, “ set request “, “ get-response “ en de “ trap “ operator. De eerstedrie berichten worden van de manager naar de agent gezonden en de laatstetwee van de agent naar de manager. Doordat er hier twee verschillende UDPpoortnummers (SNMP gebruikt UDP) gebruikt worden kan er makkelijker eenmanager en een agent tegelijkertijd draaien op één enkel systeem.

De get en get-next request, zijn vragen van de manager naar een specifiekewaarde van één van de variabelen die de agent heeft bijgehouden en waarop deagent een response stuurt met de waarde van deze variabele. De set-request iseen vraag om een bepaalde variabele van de agent van een nieuwe waarde tevoorzien en de agent reageert hierop met het terug sturen van de nieuwewaarde (Als hier teminste toestemming voor is verleend) De Trap message iseen heel verschillend bericht ten opzichte van de vorige, omdat deze niet eerstvoorgegaan wordt door een request van de manager maar rechtstreeks door deagent wordt verzonden. Deze berichten worden naar de manager verzonden alsde agent opnieuw opstart of als er een link down gaat.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 30-59___________________________________________________________________________

De SNMP manager en agent werken met de zogenaamde object identifiërs. Ditzijn rijtjes van cijfers gescheiden door punten en die een bepaald padvoorstellen waar de informatie vandaan moet komen. Figuur 8.2 laat destructuur zien van zo’n pad (tree) zoals hij gebruikt wordt voor SNMP. Allevariabelen die starten in de MIB beginnen hierbij met 1.3.6.1.2.1 die weerovereen komen met de namen die in deze tree voorkomen. Bij deze 1.3.6.1.2.1hoor dus het pad “ iso.org.dod.internet.mgmt.mib “

In deze tree is ook nog plaats voor zelf gedefinieerde MIB variabelen om eigengewenste variabelen uit te lezen of te schrijven. Deze zelf gedefinieerde MIBvariabelen moeten gespecificeerd zijn onder de tak van“iso.org.dod.internet.private.enterprises “ (1.3.6.1.4.1) .

De Manager Information Base (MIB) is een soort van database waaruit deagent en de manager hun informatie halen. Deze MIB is, zoals te zien is infiguur 8.2, onderverdeeld in verschillende groepen genaamd “system”,“interfaces”, “at (address translation), ip enz. (zie ook RFC 1213 waarin deMIB wordt beschreven). In figuur 8.3 is een voorbeeld te zien van het UDPgedeelte van de MIB tree. Hierin zijn vier simpele variabelen te zien en ééntabel met twee simpele variabelen.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 31-59___________________________________________________________________________

In een tabel geeft van de verschillende UDP objects met hun datatype, of hijread only of read/write is en met een beschrijving van wat voor waarde hijaangeeft.

Elke object in de MIB heeft twee belangrijke karakteristieken: zijn objectindentifiër (OID) en zijn type. Object typen worden opgebouwd van defundamentele typen welke worden gedefinieerd in de SMI.

De system groep bevat informatie over een netwerk-node. Bijvoorbeeld waarhet geplaatst is, bv. "R&D Facility, 3rd floor machine room". De interfacesgroep bevat informatie over de netwerk interfaces, zoals Ethernet en point-to-point links. Informatie van deze interfaces worden bijgehouden, zoals hetaantal ontvangen pakketten, of de interfaces up of down zijn, e.d.De anderegroepen bevatten informatie over de specifieke protocollen, en houdeninformatie bij zoals hoeveel TCP pakketten er zijn binnengekomen, hoeveelTCP pakketten er zijn verminkt, e.d.

1.7.2.h. NNTP: Network News Transfer Protocol

NNTP is geschikt om met zogeheten "newsreaders" berichten op Usenetnewsgroups (het elektronisch equivalent van een berichtenbord) te lezen,berichten te schrijven, en erop te reageren. NNTP servers, meestal door ISPsbeheert, bewaren de nieuwsberichten en voorzien software om ze te beheren.NNTP cliënt software is meestal in een browser geïntegreerd, maar is ook alsaparte software te vinden. NNTP heeft het oorspronkelijke Usenet protocolUUCP (UNIX-to-UNIX Copy Protocol) vervangen.92

92 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 32-59___________________________________________________________________________

De werking van NNTP93

Het Network News Transfer Protocol wordt gebruikt om nieuws artikelen teposten en op te vragen van een nieuws server. Tevens voorziet NNTP ook incommando's voor de communicatie tussen nieuws servers onderling bij deuitwisseling van nieuws berichten.

Het NNTP protocol wordt beschreven in document RFC977. Onderstaandecommando's vormen een selectie uit dit document. Onderstaande commando'shebben alleen betrekking op het lezen van nieuws artikelen. NNTPcommando's zijn case insensitive.

Standaard maakt het NNTP protocol gebruik van poort nummer 119.

list - show newsgroup listgroup nwsgrp - show statistics of newsgroupstat n - show statistics of article and set current article pointernext - set current article pointer to next articlelast - set current article pointer to previous articlearticle [n] - show header and body of articlehead [n] - show header of articlebody [n] - show body of articlehelp - list available commands on serverquit - close connection with server

newgroups date time [<distributions>] - show new newsgroups

newnews nwsgrps date time [<distribution>] - show new articles

Commando's en parameters moeten van elkaar worden gescheiden door één ofmeer spaties. Parameters zonder haken moeten verplicht worden gebruikt.Parameters tussen haken [ ] hoeven niet verplicht te worden gebruikt.

Het commando list wordt gebruikt om een lijst van nieuwsgroepen weer tegeven die zich op de host computer bevinden. Achter de naam van elkenieuwsgroep worden de artikel nummers weer gegeven van het eerste enlaatste artikel in die nieuwsgroep. Tenslotte wordt nog weer gegeven of hetposten van nieuws artikelen naar deze nieuwsgroep is toegestaan. Dit wordtweer gegeven met de letter y of n. Het kan zijn dat de NNTP server een y laatzien terwijl het posten van nieuws artikelen niet is toegestaan voor nietabonnee's van de nieuwsgroep.

Het commando group wordt gebruikt om een nieuwsgroep te selecteren. Alsparameter moet de naam van een nieuwsgroep worden opgegeven. De naamvan de nieuwsgroep is case insensitive. Als antwoord op het commando group

93 http://www.cs.vu.nl/~norbert/computer/telnet.html#nntp

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 33-59___________________________________________________________________________

worden drie getallen weer gegeven. Eigenlijk vier getallen want het aller eerstegetal vertegenwoordigt de status response code. De drie getallen geven weerhet totaal aantal artikelen op dat moment, het artikel nummer van het eersteartikel en het artikel nummer van het laatste artikel in de nieuwsgroep. Tevenszet het commando group de "current article pointer" op het eerste artikel in denieuwsgroep.

Het commando stat wordt gebruikt om de "current article pointer" te zetten. Inhet Nederlands vertaalt de "nieuws artikel aanwijzer". Als parameter moet hetnummer van een nieuws artikel worden opgegeven.

Het commando next wordt gebruikt om de "current article pointer" op hetvolgende nieuws artikel in de nieuwsgroep te zetten. Staat de pointer op hetlaatste artikel in de nieuwsgroep dan volgt er een error melding.

Het commando last wordt gebruikt om de "current article pointer" op hetvoorgaande nieuwsartikel te zetten in de nieuwsgroep. Staat de pointer op heteerste artikel in de nieuwsgroep dan volgt er een error melding.

Het commando article wordt gebruikt om de header en body van een nieuwsartikel weer te geven. Zonder gebruik van een parameter wordt het artikel weergegeven dat wordt aangewezen door de "current article pointer". Met gebruikvan een parameter wordt het artikel weer gegeven dat door de parameter wordtaangewezen. Als parameter kan een artikel nummer worden opgegeven.

Het commando body wordt gebruikt om de body van een nieuws artikel weerte geven. Zonder gebruik van een parameter wordt de body weer gegeven vanhet artikel dat wordt aangewezen door de "current article pointer". Met gebruikvan een parameter wordt de body weer gegeven van het artikel dat door deparameter wordt aangewezen. Als parameter kan een artikel nummer wordenopgegeven.

Het commando head wordt gebruikt om de header van een nieuws artikel weerte geven. Zonder gebruik van een parameter wordt de header weer gegeven vanhet artikel dat wordt aangewezen door de "current article pointer". Met gebruikvan een parameter wordt de body weer gegeven van het artikel dat door deparameter wordt aangewezen. Als parameter kan een artikel nummer wordenopgegeven

Het commando help wordt gebruikt om een lijst weer te geven vanbeschikbare commando's op een NNTP server.

Het commando quit wordt gebruikt om de verbinding met een NNTP server teverbreken.

Het commando newgroups wordt gebruikt om een lijst weer te geven vannieuw toegevoegde nieuwsgroepen op de host computer. Als parameter moetendatum en tijd worden opgegeven. Datum en tijd moeten met 6 cijfers wordenopgegeven. Het formaat waarin datum en tijd moeten worden opgegeven is

YYMMDD en HHMMSS. Als parameter kunnen ook チ é チ én of meerdere

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 34-59___________________________________________________________________________

domein namen worden opgegeven. Domein namen moeten tussen hakenworden gezet en met een komma worden gescheiden. Bijvoorbeeld <nl> ,<dds> , <hccnet> .

Het commando newnews wordt gebruikt om een lijst weer te geven van nieuwgeposte nieuws artikelen. Als parameter moeten datum en tijd wordenopgegeven. Datum en tijd moeten op dezelfde manier worden opgegeven alsbij het commando newgroups. Als parameter kan ook een nieuwsgroepenselectie worden opgegeven. Een nieuwsgroepen selectie moet tussen hakenworden gezet. Een nieuwsgroepen selectie kan worden opgegeven met gebruikvan een asteriks als wildcard. Met een uitroep teken als wildcard kunnennieuwsgroepen worden uitgezonderd. Bijvoorbeeld<nl.internet.*,!nl.internet.www.*>.

Systeem beheerders mogen eigen commando's implementeren in een NNTPserver die niet in het NNTP protocol staan beschreven. De naam van zo'ncommando moet beginnen met een x.

Het antwoord van een NNTP server op een client commando wordt altijdvooraf gegaan door een status response code. Deze status response code wordtaltijd gegeven in een getal met drie cijfers. Hieronder staat een selectie uit destandaard verzameling NNTP status response codes.

100 - help tekst

205 - closing connection215 - list of newsgroups220 - article head and body retreived221 - article head retreived222 - article body retreived231 - list of new newsgroups

400 - service discontinued411 - no such newsgroup412 - no newsgroup has been selected420 - no current article has been selected421 - no next article in this group422 - no previous article in this group423 - no such article number in this group430 - no such article found440 - posting not allowed

500 - command not recognized501 - command syntax error

Het posten van nieuws artikelen gaat met het commando post. Het formaatwaarin nieuws artikelen moeten worden gepost wordt beschreven in documentRFC850.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 35-59___________________________________________________________________________

De Telnet Test

Het blijkt goed mogelijk te zijn om nieuws berichten te lezen met het telnetprogramma van Windows 95. Het is echter wel erg bewerkelijk om op dezewijze nieuws berichten te lezen.

Met het commando list is het uitkijken geblazen. Een news server kan al snel25.000 nieuwsgroepen bevatten. Het downloaden van een lijst metnieuwsgroepen kan dan behoorlijk lang duren. Met het telnet programma vanWindows 95 is het mogelijk een opgevraagde lijst in een log bestand op teslaan. Dan hoeft de lijst slechts één keer te worden gedownload.

Een betere manier om een lijst van nieuwsgroepen op te vragen is met hetcommando newgroups en de parameter <distribution>. Hiermee kan de weerte geven lijst van nieuwsgroepen worden gespecificeerd en hoeft hetdownloaden niet zo lang te duren.

Een nog betere manier om een lijst van nieuwsgroepen op te vragen is, indienaanwezig op de server, met het commando xgtitle. Commando's die beginnenmet een x zijn zelf geïmplementeerde commando's en geen officieelvoorgeschreven NNTP protocol commando's.

Hieronder volgt een lijstje van x commando's die gebruikt worden op eenaantal news servers ben tegengekomen. Ik moest een tijdje klooien om erachterte komen wat de commando's precies doen. En het is dus mogelijk dat dewerking van x commando's per news server verschillen.

xgtitle [group_pattern] - list newsgroupsxover [range] - list news articlesxhdr header [range] - list news articlesxpat header range pat [morepat ...] - list news articles

Het commando xgtitle lijkt te worden gebruikt om een lijst van nieuwsgroepenop te vragen. Als parameter kan een nieuwsgroepen domein worden opgegevenmet een een wildcard (*).

Het commando xover lijkt te worden gebruikt om informatie op te vragen overnieuwsberichten in een nieuwsgroep. Als parameter kan een bereik van nieuwsberichten worden opgegeven dmv artikel nummers. Een bereik wordt als volgt

opgegeven : nr-nr (bijvoorbeeld 345-456). Per artikel nummer wordt チ é チ én

regel aan informatie verstrekt.

Het commando xhdr lijkt te worden gebruikt om header informatie op tevragen over nieuwsberichten in een nieuwsgroep. Als eerste parameter moeteen header veld worden opgegeven, bijvoorbeeld 'subject:' (zonderaanhalingstekens). Als tweede parameter kan een bereik van nieuws berichtenworden opgegeven dmv artikel nummers (zie commando xover). Per artikelnummer wordt de inhoud van het opgegeven header veld getoont.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 36-59___________________________________________________________________________

Het commando xpat lijkt te worden gebruikt om gespecificieerde headerinformatie op te kunnen vragen over nieuwsberichten in een nieuwsgroep. Alseerste parameter moet een header veld worden opgegeven, bijvoorbeeld'subject:' (zonder aanhalingstekens). Als tweede parameter moet een bereik vannieuws berichten worden opgegeven dmv artikel nummers (zie commandoxover).

Als derde parameter moet een string worden opgegeven. Bijvoorbeeld eendiscussie onderwerp, wanneer als header 'subject:' (zonder aanhalingstekens) isopgegeven. Er volgt dan een lijst van artikel nummers met dat onderwerp in desubject header. Op deze wijze kunnen dus alle artikel nummers van eendiscussie lijn (in het Engels een 'thread' genoemd) worden opgevraagd.

Als vierde parameter kunnen waarschijnlijk meer strings worden opgegeven,maar dat heb ik (nog) niet uitgeprobeerd.

Een handige manier om het NNTP protocol uit te proberen met telnet, is omeen news server te installeren op je eigen pc. Je hoeft dan niet steeds hetinternet op. News servers zijn echter ingewikkelde programma's om teinstalleren.

De enige news server die ik snel geïnstalleerd kreeg was Dnews 5.2 vanNetWin (voor Windows 95/NT). Deze server is van oorsprong een Unixprogramma dat geport is naar Windows. De (unix) configuratie files wordeningesteld via een gebruiksvriendelijk Windows menu. Voor niet commerciëledoeleinden is de server gratis te gebruiken.

1.7.2.i. Telnet

Telnet is het TCP/IP protocol dat toelaat om vanop afstand op een systeem inte loggen (remote logon) als een normale gebruiker met de rechten die degebruiker heeft op dat systeem. Vroeger werd Telnet veel meer gebruikt dannu. Telnet is ook niet echt een veilig protocol: om op afstand op een systeem inte loggen moet je uiteraard je login en paswoord doorgeven. Dit wordt nietgecodeerd (geëncrypteerd) en kan dus door hackers worden onderschept (man

in the middle attack) zonder dat iemand het merkt. Zo kunnen die vrijeenvoudig toegang krijgen tot een systeem. Log daarom nooit als "root" invanop afstand via Telnet op een Linux-systeem. Iemand die dat onderschept enzo inlogt kan met dat Linux systeem alles doen wat hij wil...Daarom heeft men een nieuwe methode voor remote logon in het levengeroepen: SSH (Secure SHell) waarbij de gegevens wel wordengeëncrypteerd.94

De werking van Telnet95

Het telnet protocol wordt gebruikt om remote logins tot stand te brengen. Hetprotocol is bedoeld om als basis te dienen voor ingewikkelder protocollen. Het

94 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#195 http://www.cs.vu.nl/~norbert/computer/telnet.html#telnet

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 37-59___________________________________________________________________________

telnet protocol wordt beschreven in document RFC854. Onderstaandecommando's vormen een selectie uit dit document. Standaard maakt het telnet protocol gebruik van poort nummer 23.

Code Name

241 - no operation (NOP) 243 - break (BRK) 244 - interrupt process (IP) 245 - abort output (AO) 246 - are you there (AYT) 247 - erase character (EC) 248 - erase line (EL) 249 - go ahead signal (GA) 255 - interpret as command (IAC)

251 - WILL (option code) 252 - WON'T (option code) 253 - DO (option code) 254 - DON'T (option code)

Telnet commando's worden opgegeven met ascii codes en bestaan altijd uittenminste twee opeenvolgende codes. Elk telnet commando begint met eenIAC code gevolgd door de eigenlijke commando code. Achter de commandocodes 251 t/m 254 moet als parameter nog een derde code worden opgegeven. De codes 251 t/m 254 zijn zogenaamde onderhandelings codes. Hiermeekunnen de verbonden partijen onderhandelen over de wederzijdse terminalopmaak eigenschappen. Wanneer deze eigenschappen zijn overeengekomen,kunnen de terminals met elkaar gaan communiceren zonder dat er vreemdetekens op het scherm verschijnen.

Behalve voor de eigen telnet commando's volgt het telnet protocol destandaard ascii code weergave voor toetsenbord aanslagen. Tekst ingetypt opde locale terminal verschijnt precies zo op de remote terminal. Deze codeshoeven daarom ook niet te worden voorafgegaan door een IAC code.

De Telnet Test

Tera Term Pro 2.3 (voor Windows 95/NT) is een telnet programma en (hyper)terminal programma ineen. Het programma heeft bijzonder veel instellingsmogelijkheden en kan meerdere verbindingen tegelijk onderhouden.Handelingen kunnen worden geautomatiseerd met behulp van scripts, die meteen eigen script taal worden geschreven. Het programma is freeware.

J-Term Pro 1.0.4 (voor Windows 95/NT) is een telnet programma met eeneenvoudig FTP client en server programma ingebouwd. Ook dit programmaheeft bijzonder veel instellings mogelijkheden en ondersteunt 'multiplesimultaneous connections'. Ook dit programma ondersteunt het gebruik vanscripts, die met een eigen script taal worden geschreven. Het programma isshareware met een evaluatie periode van dertig dagen.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 38-59___________________________________________________________________________

Netcat 1.1 (voor DOS) is een klein telnet achtig programmaatje. Het is vanoorsprong een Unix utility. De maker ervan omschrijft het programma alszijnde een 'tcp/ip swiss army knife'. Het kan onder andere worden gebruikt alseenvoudig telnet servertje of als poort scanner, ook op remote computers enook voor UDP poorten. Het programma is freeware. Een leuke manier om met telnet te spelen, is om een telnet server te installerenop je eigen pc. Telnet servers zijn niet zo moeilijk te installeren. Telnet servershebben als belangrijkste functie het mogelijk maken van remoteadministration, oftewel aan bestands beheer kunnen doen op een remotecomputer.

Fictional Daemon is een bijzonder gebruiksvriendelijke telnet server en(eenvoudig) FTP server programma ineen. Naast remote administrationkunnen ingelogde telnet clients met elkaar chatten en kan de server zelf opafstand worden beheerd met behulp van een telnet client programma. Hetprogramma is vrij te gebruiken voor niet commerciële doeleinden.

1.7.3. De protocollen van de Transport layer

1.7.3.a. TCP (Transmission Control Protocol)

TCP is een "betrouwbaar" protocol, in die zin dat het garandeert dat eentransmissie volledig is bezorgd bij de cliënt door middel van foutcontrole enhandshaking (een systeem waarbij beide zijden van de transmissie elkaar op dehoogte stellen van het al dan niet verzenden/ontvangen van pakketten). Meestalkan ieder TCP segment in één IP datagram (pakket) verzonden worden, indiennodig zal TCP een segment opsplitsen in meerdere IP datagrammen(gefragmenteerde pakketten) zodat deze compatibel blijven met de fysiekedataframes van de bitstream. TCP/IP garandeert echter niet dat dedatagrammen in dezelfde volgorde zullen worden ontvangen als ze zijnverzonden. Dan moet TCP ze opnieuw gaan samenstellen bij de bestemmingom een ononderbroken datastroom te verwezenlijken. Typische gebruikers vanTCP zijn FTP en telnet. TCP zorgt voor de connectie tussen beide zijden vaneen transmissie en gebruikt checksums. Checksums zijn wiskundigeberekeningen op de data die een getal binnen een vast bereik opleveren die danaan beide zijden worden opgemaakt en vergeleken. TCP zorgt ook voor dehandshaking.96

1.7.3.b. UDP (User Datagram Protocol)

UDP is minder betrouwbaar dan TCP, enerzijds garandeert het niet dat depakketten in de juiste volgorde arriveren, anderzijds garandeert UDP niet eensdat de pakketten aankomen. Voor de rest lijkt UDP op TCP, zij het ietsprimitiever. Het wordt nog zeer frequent gebruikt. Een ander verschil met TCPis dat UDP de datapakketten niet opdeelt, gezien de juiste volgorde ook nietwordt gegarandeerd, is het de applicatie die voor de data-integriteit moet

96 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 39-59___________________________________________________________________________

zorgen. UDP is bijvoorbeeld zeer populair bij real-time streaming van audio ofvideo over Internet omdat de error-control van TCP de continue datastroomzou kunnen belemmeren. Ook andere applicaties die zoveel mogelijkprocessorkracht wensen te sparen kunnen UDP boven TCP verkiezen.97

Samenvatting

UDP wordt vaak gebruikt voor online gaming. De programmeurs kunnenhiermee makkelijk gegevens van clients ontvangen zonder een verbinding totstand te brengen, wat dus veel meer bandbreedte zou vreten. Het enige nadeelvan dit handige pakketjes-verzenden-protocol is dat er niet wordt gegarandeerddat een data-pakket aan kan komen: Het verzend, en sinds het geen streamingconnectie heeft, in tegenstelling tot het veel gebruikte Transmission ControlProtocol, kan er niet worden gecheckt of het wel werkelijk is aangekomen,tenzij de programmeur van de server zoiets heeft in-geprogrammeerd.98

1.7.4. De protocollen van de Netwerk layer

1.7.4.a. IP (Internet Protocol).

IP verzorgt de packet routing: het kiezen van de juiste en meest efficiënte wegvan de zender naar de ontvanger via de verschillende routers. Routers zorgenervoor dat verschillende netwerken aan elkaar worden gelinkt om zo eenintranet of het Internet te vormen. Iedere router waarlangs een pakket passeertwordt een hop genoemd, omdat het pakket van het ene netwerk naar het andere"springt" (Eng:to hop).99

Een IP pakket bevat altijd een bron- en een bestemmingsadres (over dieadressen later meer). Iedere gateway of router bekijkt het bestemmingsadres enzendt het pakket op de meest efficiënte manier over het netwerk naar deeindbestemming. Ieder systeem in hetzelfde TCP/IP-netwerk moet een uniekadres hebben. Een IP-adres is 32 bits lang. Iedere router wordt normaalhandmatig geconfigureerd om aan de hand van het bestemmingsadres (of eendeel ervan) het pakket naar het juiste netwerk door te verwijzen. Het valt tevergelijken met de post: de brieven worden eerst gecheckt op de naam van degemeente en naar een centraal punt in die gemeente gestuurd. Daar worden zeverder onderverdeeld in deelgemeenten, wijken en straten om uiteindelijk bijde juiste persoon in de bus te vallen. TCP is dan een aangetekende brief, UDPeen gewone.IP is in principe het meest fundamentele protocol van TCP/IP.100

1.7.4.b. ARP (Address resolution Protocol)

ARP is een protocol dat nodig is om het IP-adres om te zetten in het echteadres van de computer met een hardware adres. Bijvoorbeeld als de computerdeel uitmaakt van een Ethernet netwerk dan moet het 32 bit IP-adres omgezetworden naar het 48 bit MAC (Media Access Control)) adres van de

97 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#198 http://www.hackers4hackers.org/reader.php?h4h=1099 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1100 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 40-59___________________________________________________________________________

Ethernetkaart van die computer. Een tabel (de ARP cache) wordt gebruikt omieder aanwezig MAC-adres aan zijn overeenkomstige IP-adres te linken. ARPvoorziet de regels van het protocol om deze connectie te maken en om deconversie te realiseren.101

Het probleem van IP adressen is dat het alleen werkt op het TCP/IP protocolomdat het een 32 bit adres is. Als het over een Ethernet link gestuurd moetworden, dat een 48 bit adres heeft, dan moet er een omzetting plaats vindentussen deze twee. Hiervoor dient dan het Address Resolution Protocol (ARP)(zie ook figuur 7.1) die een 32 bit internet adres omzet naar een 48 bit ethernetadres (ook wel hardware adres genoemd). Het omgekeerde van ARP is RARP(Reverse Address Resolution Protocol).

102

Omzetten van 32 bit naar 48 bit adres 103

Het 32 bit IP adres wordt omgezet naar een 48 bit internet adres om te kunnencommuniceren met andere computer netwerken die gebruik maken van 48 bitadressen. In de figuur wordt een voorbeeld gegeven van een FTP verbindingdie wordt opgezet, en waarbij een omzetting plaats moet vinden tussen deverschillende adressen en die gebruikt maakt van ARP. Hierbij vinden devolgende stappen plaats:

1. De FTP cliënt roept de functie op om de hostname om te zetten in een 32 bitIP adres. Deze functie wordt de resolver genoemd in het Domain NameSystem.

2. De FTP cliënt vraagt aan zijn TCP protocol om een verbinding te makenmet het IP adres.

3. TCP zendt een connectie request segment naar de remote host door een IPdatagram te verzenden naar zijn IP adres.

4. Als de bestemmings host zich op een lokaal netwerk bevindt (b.v. ethernet,token ring of het andere eind van een point to point verbinding) dan kan het IP

101 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1102 http://web.inter.nl.net/users/Rohiet.Seosahai/ARP.htm103 http://web.inter.nl.net/users/Rohiet.Seosahai/ARP.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 41-59___________________________________________________________________________

datagram rechtstreeks verzonden worden naar de host. Maar als de bestemmingzich op een remote netwerk bevindt dan wordt de IP datagram naar een lokalerouter gestuurd.

5. Als er, zoals in de tekening, een ethernet gebruikt wordt, dan moet het 32 bitIP adres door ARP omgezet worden naar een 48 bit ethernet adres om van hetlogische internet adres een corresponderend hardware adres te maken.

ARP wordt gebruikt om een netwerk af te scannen waar veel hosts of routerszijn op aangesloten.

6. ARP zendt een ARP request frame naar elke host op het netwerk (dit heeteen broadcast). Deze broadcast wordt in de tekening aangegeven met eengestippelde lijn. De ARP request bevat het IP adres van de bestemming en eenvraag aan de ontvangers met “als je de eigenaar van dit IP adres bent stuur daneen response met je hardware adres”.

7. De ARP van de bestemmings host herkent het IP adres en bevestigt dit meteen ARP reply die zijn IP adres bevat met het daarbij behorende hardwareadres.

8. De ARP reply is ontvangen en het IP datagram die de ARP request - reply ingang heeft gezet kan nu worden verzonden.

9. De IP datagram wordt verzonden naar de bestemmings host.

104

104 http://web.inter.nl.net/users/Rohiet.Seosahai/ARP.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 42-59___________________________________________________________________________

Voor een snellere werking van de omzetting van 32 bit naar 48 bit adressen,wordt er door de hosts een ARP Cache bijgehouden, zodat er niet steeds eenbroadcast gegeven hoeft te worden maar er eerst gekeken kan worden of hetadres in de lijst van de cache voorkomt.

1.7.4.c. RARP (Reverse Address Resolution Protocol)

Het Reverse Address Resolution Protocol (RARP) is het omgekeerde van ARPen zet dus een 48 bit adres om naar een 32 bit adres. Dit komt maar zeldenvoor omdat als een systeem wordt opgestart het IP adres van dat systeem wordtingelezen van disk en het dus bij voorbaat al bekend is. Alleen als er eensysteem gebruikt wordt zonder disk, zoals een X-terminal, dan is er een anderemanier nodig om het IP adres aan te roepen. Hierbij wordt dan het hardwareadres gelezen en zendt dan een RARP broadcast op het netwerk met de vraagof er iemand het IP adres van het systeem wil terug zenden.105

1.7.4.d. ICMP (Internet Control Message Protocol)

ICMP is een uitbreiding op IP en zorgt voor de mogelijkheid om foutberichtente genereren en pakketten te testen en informatie over IP te verzenden. Het iseen support-protocol dat IP gebruikt om informatie over fouten en het beheervan IP pakkettransmissies mee te delen. Het stelt IP-routers in staat om fout-en controleberichten te zenden naar andere routers en hosts. Als een routerbijvoorbeeld niet in staat is een IP datagram (pakket) door te zenden, dan zaldeze met ICMP de zender op de hoogte brengen dat er een probleem is. ICMPberichten bevinden zich in de datavelden van IP pakketten en zijn eennoodzakelijk deel van alle IP implementaties. Het bekende programmaatje'ping,' maakt gebruik van ICMP om na te gaan hoe vlug een server reageert ofom na te gaan of hij al dan niet draait.106

1.7.5. De protocollen van de Data Link Layer

1.7.5.a. SLIP (Serial Line Internet Protocol)

Dit is het oudste van de twee data linkprotocollen. SLIP kapselt de IPpakketten in met headers en trailers zodat ze geschikt zijn om via een modemverzonden te worden.107 Dus dit protocol wordt gebruikt om de pakketjes teverzenden via seriële lijnen en telefoonverbindingen, meestal als onderdeel vaneen kiesverbinding via Internet.108

Met SLIP moet U het IP-adres weten dat u van uw internet-provider heeftgekregen en het IP-adres van het systeem op afstand waarmee u contact wiltmaken. Als de IP-adressen dynamisch worden toegewezen, moet u ze zelf

105 http://web.inter.nl.net/users/Rohiet.Seosahai/ARP.htm106 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1 zie terzake ook: DOMS, B., i.c., p. 187, zie ookCHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 493107 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1108 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 420

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 43-59___________________________________________________________________________

instellen, aangezien SLIP-software de IP-toewijzingen gewoonlijk nietautomatisch registreert. Het kan zijn dat u nog een aantal andere instellingenzelf moet configureren.109

1.7.5.b. PPP (Point-To-Point Protocol)

PPP is een verbeterde versie van SLIP: het heeft hetzelfde doel, maar is ietsmeer gesofisticeerd. Het kan bijvoorbeeld ook met andere protocollen dan IPwerken (bijvoorbeeld IPX, Appltalk), hoewel het vooral met TCP/IP wordtgebruikt. Het is een full-duplex protocol: het kan tegelijk data verzenden enontvangen. Het kan ook met verschillende soorten fysieke verbindingenwerken: UTP, glasvezel, satellietverbindingen, ... 110 Het kan ook verschillendetypen van verkeer tegelijkertijd over dezelfde verbinding versturen.

Het voordeel van PPP ten opzichte van SLIP is dat PPP synchrone enasynchrone communicatie aan kan, het kan een communicatiekanaal metandere protocollen delen, het voorziet in Address Notification (laat de servertoe om een dial-up cliënt een IP-adres toe te kennen voor die verbinding), enheeft een ingebouwde foutdetectie.111

In tegenstelling tot SLIP worden bij PPP de configuratiegegevens aan hetbegin van de verbinding automatisch vastgesteld.

PPP kan header-compressie vaststelen. Pakketstromen in een enkelvoudigeTCP-verbinding bevatten weinig gewijzigde velden in de IP- en TCP- headers,waardoor eenvoudige compressie algoritmen de gewijzigde delen van deheader kunnen versturen in plaats van de volledige headers. Hierdoor kan depakketsnelheid aanzienlijk worden vergroot. Bovendien biedt PPPondersteuning voor IP-beveiliging.112

1.8. TCP/IP netwerkcomponenten

1.8.1. DNS113

1.8.1.a. Wat is DNS?

DNS is een TCP/IP standaard die ontworpen is om IP adressen om te zetten inhostnamen. De TCP/IP netwerkservice kan numerieke internetwerk-adressenomzetten naar tekstuele internetwerk-adressen (bvb 216.239.39.99 is op ditmoment www.google.be)114

DNS is in de praktijk een gedistribueerd database-systeem dat zorgt voor detoewijzing van namen aan adressen voor clienten. In de database worden

109 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 421110 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1111 http://kurtkoenig.homeunix.net/dataentelecom/TCPIP.htm#1112 CHELLIS, J., PERKINS, Ch. & STREBE M., i.c. p. 421113 DNS: staat voor Domain Name System, of Distributed Name Server114 http://kurtkoenig.homeunix.net/dataentelecom/DNS.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 44-59___________________________________________________________________________

gegevens (adressen) bijgehouden die toelaten om een apparaat te herkennenaan de hand van een logische naam. De voornaamste toepassing van DNS-servers op het internet is het converteren van namen van sites naarnetwerkadressen. Het internet zou niet kunnen werken als iedere gebruiker het IP-adres (infra)dient te kennen van elke website (zie hoger de vorm en toewijzing). Men heeftdaarom een systeem ontworpen dat toelaat om een herkenbare naam in te typendie door de DNS-server wordt herkend en wordt omgezet naar het correcte IP-adres van het apparaat waar de website zich op bevindt. Voorbeeld. Men kan via www.juridat.be naar de website van de rechterlijkemacht van België. Deze naam is gemakkelijker te onthouden dan het IP-adres194.7.188.126, dat bij opvraging op het internet leidt naar dezelfde website.

DNS heeft net als het UNIX-bestandssysteem een hiërarchische structuur. Hetbestaat uit domains en subdomains, waarin de namen van hosts zijnopgenomen. Een domain is een verzameling van sites die op een bepaaldemanier een relatie met elkaar onderhouden, bijvoorbeeld tot dezelfdeorganisatie behoren, georgrafisch dicht bij elkaar gelegen zijn of bepaalduniversitair samenwerkingsverband vormen. (bijvoorbeeld: Universiteiten zijnondergebracht onder het edu-domain). Onder deze subdomeinen vinden we inhet systeem de hosts. Afhankelijk van de plaats in de uit namen bestaandehiërarchie maakt men onderscheid tussen “top-level”, “second-level” en “third-level”. Meerdere niveaus is toegestaan hoewel ze slechts zelden gebruiktworden. De namen van hosts, domains en subdomains worden gescheiden dooreen punt. Een volledige benaming noemt men een “fully qualified domain”(FQDN), dit wordt met een punt afgesloten (bijvoorbeeld: cad1.design.x.nl.)115

Naamgeving: host.third-level.second-level.top-level

Vaak worden volgende top-level domains gebruikt:116

edu Onderwijsinstituten zoals universiteitencom Commerciële organisaties, bedrijvenorg Niet commerciële organisatiesnet Gateways en andere hosts op het netwerkgov Overheden

Met de naamgeving van hosts, gevat in een hiërarchische structuur, wordt metDNS het probleem van de unieke naamgeving opgelost, maar het maakt hetook mogelijk om bevoegdheden over een subdomain naar anderenetwerkbeheeders te delegeren.117

1.8.1.b. Hoe werkt DNS?

Op het eerste gezicht lijkt het gebruik van domains en zones nogalingewikkeld. Als men echter denkt aan wat we schreven over DNS als

115 DONS, B., i.c., p. 218116 voor een volledig lijst van top-level domains verwijzen we naar de bijlagen aan deze bijdrage117 DONS, B., i.c.,p 219

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 45-59___________________________________________________________________________

“gedistribueerde database” wordt alles meer bevattelijk. Men maakt namelijkgebruik van name servers.118 In ieder zone waarin minstens twee name serversaanwezig zijn bevatten name servers alle noodzakelijke informatie van hosts inde betreffende zone.

Hoe vindt u de name server van bedrijf “x”?.119 Eerst gaat de resolver naar eenname server op de lokale host. Hierop wordt een interactieve opvraging gestart.Als de name server onderkent dat “X” niet valt onder zijn bevoegdheid, maarbehoort tot het domain van een andere name server, dan gaat hij contactopnemen met de andere lokale server, om te kijken welke servers er informatiehebben over het top-level domain. Vervolgens wordt aan deze servers de vraaggesteld of zij het IP-adres kennen van “x”. Deze actie gaat verder voor hetsecond-level, third-level en host tot met het volledige IP-adres heeft gevonden.Dit lijkt veel verkeer te genereren op het netwerk, doch in verhouding met deoude methode van één host en een .txt-bestand is dit toch aanzienlijk minder.

1.8.2.Het DHCP/ BootP –protocol120

1.8.2.a. Inleiding.

Het bootstrap protocol (BootP) en het dynamic host configuration protocol(DHCP) maken het voor de netwerk administrator mogelijk de configuratie,van hosts die ver afgelegen zijn, te regelen vanaf een centraal geconfigureerdeserver. BootP en DHCP worden typisch gebruikt voor het toekennen van IP-adressen aan workstations zonder diskette stations, aan X-terminals, mobilecomputers en computers die tijdelijk aan het Internet moeten gekoppeldworden. Door het BootP en DHCP is er geen noodzaak meer voor computergebruikers om hun systemen manueel te configureren. De DHCP en BootPprotocols zijn sterk gelijkend. Eigenlijk is het DHCP protocol meer algemeendan het BootP protocol.

1.8.2.b. Het DHCP-protocol.

Het dynamic host configuration protocol, of kortweg het DHCP voorziet in deconfiguratie van parameters aan internet hosts. DHCP bestaat uit twee delen :

1. een protocol om de host-specifieke configuratie parameters van een DHCPserver aan een host toe te kennen

2. een mechanisme om adressen aan een host toe te kennen.

DHCP is op een client-server model gebouwd, waar een DHCP-server, hostsadressen en configuratie parameters toekent aan de dynamisch geconfigureerdehosts. In deze tekst, zal de term ‘server’ slaan op een host die initialisatie

118 Name Server : Een computer (of adres van een computer) die een lijst van IP-adressen (zowel de letter als decijfernotatie) van andere computers of servers beheert. Een name server kan een domeinnaam in een IP-adresomzetten en omgekeerd.119 Informatie overgenomen van DONS, B, i.c., p. 220-221120 Volledige tekst overgenomen van: http://home.scarlet.be/~molkof/dhcp.htm zie ook:

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/cddm/cddm111/adguide/dh zie ook:http://ds.internic.net/rfc/rfc2131 zie ook: http://charlott.acns.nwu.edu/internet/tech

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 46-59___________________________________________________________________________

parameters voorziet door middel van DHCP, en de term ‘client’ zal slaan opeen host die de initialisatie parameters vraagt aan de DHCP server.Een host gedraagt zich niet als een DHCP server behalve als hij expliciet alszodanig geconfigureerd is door een system administrator. De diversiteit vanhardware en de protocol implementaties op het Internet maken het moeilijk ombetrouwbare handelingen te doen indien eender welke host toegelaten zouworden om te reageren op een DHCP aanvragen. Bijvoorbeeld, bij IP moetenverschillende parameters in de protocol implementatie software gezet worden.IP kan op verschillende uiteenlopende netwerk hardwareapparaten gebruiktworden, zodoende mag niet verondersteld worden dat de parameters eencorrecte default-waarde hebben. IP hosts kunnen niet altijd hun eigen netwerkadres vasthouden zodat die dan ook voor andere hosts gebruikt worden. Het isaldus goed mogelijk dat er bepaalde netwerk adressen tweemaal gebruiktworden.

DHCP maakt gebruik van drie mechanismen voor IP-adres toekenning. Bij‘automatische toekenning’ geeft DHCP een permanent IP-adres aan een client.Bij ‘dynamische toekenning’, geeft DHCP een tijdelijk IP-adres aan een clientvoor een bepaalde tijd of tot de client expliciet afstand doet van dit adres. Bij‘manuele toekenning’, is het IP-adres van een client toegekend aan eennetwerk administrator. In dit geval wordt DHCP enkel gebruikt om dit adresaan de client mede te delen. Een of meer van deze mechanismen wordengebruikt al naar gelang de werkwijze van de netwerk administrator.

Dynamische toekenning is de enige van de drie mechanismen dat automatischhergebruik van een adres, dat niet langer nodig is bij een client, waarnaar hetwas toegekend, toelaat. Daarom is dynamische adrestoekenning bijzondergeschikt voor het toekennen van adressen aan clients die slechts tijdelijk op hetnetwerk aangesloten zijn of voor het delen van IP-adressen aan een groep vanclients die geen permanent IP-adres nodig hebben. Dynamischeadrestoekenning is ook nuttig voor het toekennen van IP-adressen aan eenclient dat permanent aan het netwerk wordt gekoppeld en waar deze IP-adressen schaars zijn. Het is hier belangrijk om deze IP-adressen tehergebruiken wanneer oude clients niet meer gekoppeld zijn. Manueletoekenning van DHCP boodschappen zijn gebaseerd op het formaat van deBootP boodschappen.

1.8.2.c. BootP -protocol.

Indien een computer geconfigureerd als BootP-client het Internet wil gebruikenzendt hij een broadcast over het lokale netwerk. Als er een BootP servergeïnstalleerd is op hetzelfde netwerk zal deze de broadcast horen, zijnreferentietabellen raadplegen en een pakket naar de BootP-client terugsturenmet de volgende informatie:

IP Host Adres

IP Gateway Adres

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 47-59___________________________________________________________________________

Domain Name Server Adres(sen)

Subnet Mask

Het BootP protocol laat toe andere informatie te verpakken in het BootP replypacket, maar deze hogervermelde vier elementen zijn de enige noodzakelijkeinformatie voor de Client om het Internet te gaan gebruiken. BootP-Clients dieniet onder UNIX draaien negeren meestal toch de andere informatie in hetreply packet. Deze broadcast aanvraag gebeurd slechts eenmaal per sessie. Deconfiguratie wordt onthouden tot bij het rebooten, in geval van een Macintoshsysteem, of tot het einde van een WinSock applicatie in een Windowsomgeving.

In de praktijk zullen er slechts enkele BootP servers in het gehele netwerkopgenomen zijn. Dus voor netwerken waar er geen lokale BootP server is moeteen BootP relay agent geïnstalleerd worden. Deze BootP relay agent hoort deBootP request broadcast en stuurt het request packet direct door naar een ofmeerdere BootP servers. Sommige routers bieden deze relay service als optiein de software van hun operating systeem.

Referentietabellen

In het originele design leest de BootP server software het ethernet adres (ookMAC adres genoemd) van het request packet waarna hij de configuratieinformatie behorend bij dit adres in zijn tabellen opzoekt en de informatieterugstuurt naar de aanvragende computer. Bij dit systeem moet deadministrator een nieuwe lijn in de BootP tabellen maken voor iedere host diehet BootP systeem gebruikt. Indien een BootP server gewijzigd wordt en hijontvangt een vraag van een computer die hij nooit eerder gezien heeft, zal hijhet volgende beschikbare adres (en gerelateerde configuratie informatie)permanent toewijzen aan de vragende host.

Omdat IP configuratie informatie permanent geassocieerd wordt met het MACadres van de BootP Client computer, is er speciale aandacht nodig indienBootP gebruikt wordt in een openbare omgeving voor mobielcomputergebruik. (een van de uitdagingen van DHCP is een beter design voordit mobiel computergebruik). Een eenvoudige oplossing zou kunnen zijn omiedere nacht, als de mobiele stations gesloten zijn, de tabellen volledig tewissen. In een omgeving waar de mobiele stations 24 uur op 24 beschikbaarblijven is er een meer gesofistikeerd systeem nodig om adressen terug tewinnen voor hergebruik. Indien de mobiele stations relatief veel verkeerverwerken is het eveneens noodzakelijk adressen terug te winnen voordat degroep volledig uitgeput is.

Het BootP protocol vormt een relatief kleine belasting voor de BootP server.Zoals het Domain Name System gebruikt ook BootP het UDP protocol. Dus deserver moet slechts één pakket sturen als antwoord op een request in plaats vaneen verbinding in stand te houden gedurende enige tijd. BootP requests vooreen adres zijn veel minder frequent dan Domain Name lookups.

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 48-59___________________________________________________________________________

1.8.2.d. Het verband tussen DHCP en BootP

Een DHCP/BootP server bestaat uit twee verschillende servers die verbondenzijn met de gemeenschappelijke functionaliteit van het BootP pakket formaaten transport. De server kan de BootP clients de standaardset van de BootPparameters geven. Dit is onafhankelijk van de DHCP server die de DHCPclients parameters geeft in overeenstemming met het DHCP protocol.

DHCP is een uitbreiding van Boot. DHCP boodschappen zijn daarom inhetzelfde formaat als de BootP boodschappen. De DHCP server kan de BootPclients voorzien, maar de DHCP server kan enkel de standaard set van deBootP parameters, die een onderdeel is van de DHCP parameters, geven.

Hoewel DHCP en BootP analoog werken, bevat de DHCP server tochverschillende kenmerken :

-IP adres groep : de DHCP/BootP server laat toe om IP-adres-groepen temaken voor DHCP-servers. Het gebruik van deze groepen maakt hetmanagement gemakkelijk. De BootP service maakt geen gebruik vandergelijke groepen.-Leases : De DHCP/BootP server huurt IP adressen en configuratie informatieaan ver af gelegen DHCP clients voor een bepaalde periode. Deze ‘leases’maken deel uit van het DHCP-protocol. Aangezien het BootP protocol ditconcept van huren niet gebruikt, maken BootP clients gebruik van IP-adressenen configuratie informatie dat zij krijgen tot de volgende reboot. Het is dusalsof zij oneindige leases hebben.

Sommige clients zenden aanvragen waar zowel BootP als DHCP servers opkunnen antwoorden. Of ze kunnen antwoorden van elk type server ontvangen.Indien een DHCP/BootP server een DHCP pakket ontvangt, controleert deserver of het hardware adres gespecificeerd is in de BootP database. Indien dithet geval is, zal de DHCP server het pakket naar de BootP server sturen omdaar dan de boodschap af te handelen. Indien dit niet het geval is, zal de DHCPserver het als DHCP-pakket behandelen.

1.8.3. Computerpoorten

Als er verschillende diensten worden geleverd op een bepaalde computer, danwordt voor elk van deze diensten een bepaalde poort gereserveerd. Eéncomputer kan immers verschillende servers aanbieden. Een server is in feiteniet meer dan een softwaretoepassing die door een computer wordt uitgevoerd.Elk van deze servers wordt door een poortnummer van de andere serversonderscheiden. De poort is dus eigenlijk een softwarebestemming die degegevenstransmissie verzekert en heeft niets te maken methardwarepoorten..121

121 http://www.i-academie.be/content_cursus_toepassingen_telnet.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 49-59___________________________________________________________________________

1.9. IP-Adressen - Subnetten

1.9.1. Inleiding

Als men gegevens over een netwerk wenst te versturen, dient de netwerklaagalle verschillen die niet opgevangen werden door de datalinklaag op te vangen.Hiervoor maakt de netwerklaag gebruik van het IP-protocol dat op zijn beurtelk bericht dat opgesplitst is in IP-pakketten heen en weer stuurt. Dezepakketten zijn ingekapseld in een frame. Nu om deze pakketten op de juistebestemming te krijgen heeft men adressen nodig.Net als bij het verzenden van brieven, waar elk huis of gebouw een uniek adresnodig heeft alvorens de post de brief op de correcte bestemming kan brengenheeft ook elke PC een uniek adres nodig. In elk netwerk heeft elke PCdergelijk IP-adres.

Het IP-protocol is zo ontworpen dat het netwerk eigenlijk geen rol speelt.Indien bijvoorbeeld in twee verschillende netwerpen IP-adressen wordenaangemaakt, zou na samenvoeging elk IP-adres onveranderd én uniek moetenblijven. Hoe dit wordt opgelosd via IP-adressering en subnetting zullen we indit deel bespreken. Om te begrijpen hoe een IP-adres wordt gevormd, zullenwe eerst even iets zeggen over binair rekenen.

1.9.2. Binair rekenen

Het binaire stelsel bestaat uit nullen en enen. De positie van een nul of een 1bepaalt de decimale waarde. Het meest rechtse bit uit een binair getal is het"least significant bit", oftewel de bit met de minste waarde. Het meest linksebit wordt het "most significant bit" genoemd. Dit bit is dus het meeste waard.Ieder bit in een binair getal stelt een macht van 2 voor. Het linkse bit stelt 2^0voor: 1 dus. Het bit daar links van is 2^1: 2 dus. Het bit daar weer links van is2^2: 4. Dit loopt zo door tot het meest linkse bit en hiermee kan dus iedergeheel getal gemaakt worden.122

Een voorbeeld 1011.0011:

1 * 2^0 = 11 * 2^1 = 2

0 * 2^2 = 00 * 2^3 = 01 * 2^4 = 16

1 * 2^5 = 32

0 * 2^6 = 0

1 * 2^7 = 128

Bij elkaar opgeteld wordt dat: 1+2+16+32+128=179.123

122 www.xs4all.nl/~itbg077/studieavond/IP/Uitleg%20TCP.doc123 www.xs4all.nl/~itbg077/studieavond/IP/Uitleg%20TCP.doc

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 50-59___________________________________________________________________________

1.9.4. IP-adressen124

De ip-adressen die het TCP/IP protocol gebruikt bestaan uit 4 bytes (een bytebestaat uit 8 bit en iedere byte kan 256 combinaties van enen en nullenbevatten). De gebruikte manier om ip-adressen te schrijven is de "dottendecimal notation", wat zoiets betekent als "punt-gescheiden decimale notitie.In deze vorm worden de bytes als een decimaal getal geschreven, dus eennummer dat van 0 tot 255 loopt, en wordt gescheiden door een punt. Iedere nuldie het getal bevat wordt weggelaten, behalve als het niet aan het begin van eengetal staat (056 -> 56, 103 -> 103). De afspraak is dat ieder apparaat dat hetTCP/IP protocol gebruikt een IP-adres heeft. IP-netwerken bestaan uitopeenvolgende IP-nummers. Alle adressen in een netwerk hebben een aantalgetallen die overeen komen met het netwerkadres. Het stuk van het IP-adresdat voor elk adres binnen het netwerk hetzelfde is, heet het "netwerk deel" vanhet adres. De overgebleven nummer heten het "host deel". Het aantal bits vanhet IP-nummer dat het netwerkdeel aangeeft, wordt weergegeven door het"netmask". Het netmask wordt meestal weergegeven achter het IP-adresgescheiden door een "/".

Een voorbeeld machine adres: 192.168.0.32netmask: 255.255.255.0netwerkdeel: 192.168.0.

netwerknummer: 192.168.0.0host-deel: .32

Nu zijn er nog een paar speciale IP-adressen. Als we het voorbeeld vanhierboven er nog even bijpakken zien we dat het netwerknummer er nog nietbijstaat. Ook is er nog een adres dat het "broadcast adres" genoemd wordt. Hetnetwerknummer is in dit geval: "192.168.0.0". Dit is het nummer waar hetcomplete netwerk mee aangegeven wordt en wordt veel gebruikt in routerings-tabellen. Deze tabellen komen we nog op terug. Het broadcast-adres is hetlaatste nummer in het netwerk en waar ieder apparaat (met een adres in hetnetwerkadres) op reageert. Dit nummer is in het bovenstaande geval"192.168.0.255". Nu zijn er verschillende klassen waar IP-adressen in kunnen vallen. Dit zijnklasse A, klasse B, klasse C en de multicast adressen. In welke klasse eennummer valt hangt af van het netmask. Hier onder een tabel waar deverschillende klassen in samengevat worden:

Klasse Netmask IP-adressen Bits

A 255.0.0.0 0.0.0.0 - 127.255.255.255 0 -

B 255.255.0.0 128.0.0.0 - 191.255.255.255 10-

C 255.255.255.0 192.0.0.0 - 223.255.255.255 110-

Multicast 224.0.0.0 224.0.0.0 - 239.255.255.255 111 -

124 tekst volledig overgenomen van : www.xs4all.nl/~itbg077/studieavond/IP/Uitleg%20TCP.doc

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 51-59___________________________________________________________________________

De multicast-adressen kom ik later nog op terug.

Nu staat er dus dat de eerste 8 bits van een klasse A adres gebruikt wordenvoor het netwerk- adres aan te geven. Dat houdt dus in dat er nog 24 bits voorde adressen in het netwerk over zijn. Een klasse A netwerk kan dus 16.777.214adressen bevatten (256*256*256=16777216, dan min 1 voor het netwerkadresen min 1 voor het broadcast adres).

Een klasse A netwerk: machine adres: 11.2.3.4

netmask: 255.0.0.0

netwerkdeel: 11.

netwerknummer: 11.0.0.0

host-deel: .2.3.4

IP-adresruimte: 11.0.0.1 - 11.255.255.254

broadcast-adres: 11.255.255.255

Een klasse B netwerk machine adres: 180.45.87.12

netmask: 255.255.0.0

netwerkdeel: 180.45

netwerknummer: 180.45.0.0

host-deel: .87.12

IP-adresruimte: 180.45.0.1 - 180.45.255.254

broadcast-adres: 180.45.255.255

Een klasse C netwerk machine adres: 193.180.45.2

netmask: 255.255.255.0

netwerkdeel: 193.180.45

netwerknummer: 19.180.45.0

host-deel: .2

IP-adresruimte: 195.180.45.1 - 195.180.45.254

broadcast-adres: 195.180.45.255

Welke klasse dus gekozen moet worden hangt geheel van het aantal machinesaf en eventueel de ruimte voor uitbreidingen.

Nu zijn er voor iedere klasse "prive-netwerknummer". Dit zijnnetwerknummers die niet op het internet voorkomen en dus geschikt zijn voorbijv. bedrijfsnetwerken. De Internet Assigned Numbers Authority (IANA)heeft ervoor gezorgd dat deze netwerknummers gereserveerd zijn en niet ophet internet voorkomen. Dit zijn:

10.0.0.0 - 10.255.255.255 (10/8 prefix)

172.16.0.0 - 172.31.255.255 (172.16/12 prefix)

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 52-59___________________________________________________________________________

192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

De eerste is dus een klasse A en de derde een klasse B.

1.9.4. Super- en subnetten125

Nu bestaat er ook nog zoiets als supernetten en subnetten. Deze kunnengemaakt worden door het netmask aan te passen.

Supernetten zijn 2 (of meer) samengetrokken netwerken uit een bepaaldeklasse nummers. Op een klasse C netwerk kunnen maar 255 adressenuitgedeeld worden. Als het nu nodig is om ruimte voor 510 adressen te maken,wordt er een bit van het netmask afgehaald. Het netmask wordt dan (binearweergegeven) "11111111.11111111.11111110.0000000". Dit is decimaalweergegeven "255.255.248.0". Nu kunnen er dus 2 klasse C netwerkensamengevoegd worden.

Voorbeeld supernet: Machine adres: 193.180.1.2

netmask: 255.255.248.0

netwerkdeel: 193.180.1

netwerknummer: 19.180.0.0

host-deel: 1.2

IP-adresruimte: 195.180.0.1 - 195.180.1.254

broadcast-adres: 195.180.255.255

De mogelijkheid om gebruik te kunnen maken van subnetten is voor eenonderneming interressant wanneer ze groeit. Met subnetten kan u het bereikvan uw IP-adressen opsplitsen over verschillende fysieke netwerken in uwonderneming. U kan het netwerk uitbreiden met behulp van routers en bridges, om hiermeeeen deel toe te voegen aan het netwerk U kan met deze toestellen uw netwerkook opdelen in kleinere stukken om zo de doelmatigheid van het netwerk teverbeteren. Delen van een netwerk die gescheiden zijn met een andersubnetmask zijn subnetten. Om het nieuwe netwerk-ID van een subnet te identificeren moet u eensubnetmask gebruiken die het nieuwe netwerk-ID aanduid voor elk subnet.126

Subnetten zijn netwerken uit een bepaalde klasse die opgedeeld zijn inmeerdere netwerken. Dit wordt ook weer gerealiseerd door het netmask aan tepassen. In het volgende voor beeld wordt een klasse C netwerk opgedeeld in 2aparte netwerken.

125 tekst volledig overgenomen van : www.xs4all.nl/~itbg077/studieavond/IP/Uitleg%20TCP.doc126 http://kurtkoenig.homeunix.net/dataentelecom/IPadressen.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 53-59___________________________________________________________________________

Voorbeeld subnet: machine adres: 192.1.108.2

netmask: 255.255.255.128

netwerkdeel: 192.1.108

netwerknummer: 192.1.108.0

host-deel: .2

IP-adresruimte: 192.1.108.1 - 192.1.108.127

broadcast-adres: 192.1.108.128

Tegenwoordig worden de verschillende klassen op het internet niet meergebruikt. Alles loopt tegenwoordig door elkaar en alles is opgedeeld in sub- ensupernetten.

De laatste tijd is een klassenloze notatie van IP-adressen gebruikelijk. In dezenotatie (CIDR (Classless Inter-Domain Routing)) wordt door het getal achterde "/" het aantal enen aan het begin van het netwerkmasker weergegeven. Zokomt 192.168.0.0/16 dus overeen met 192.168.0.0/255.255.0.0 (het decimalegetal 255 bestaat immers in het binaire stelsel uit 8 enen).

Nu de multicast-adressen. Waar multicast voor gebruikt wordt is voorinformatie die naar meerdere machines op een netwerk verstuurd moet worden.Denk hierbij aan streaming audio en video. Het is natuurlijk nutteloos als het1.000 mensen naar een radiostation luisteren via het internet, om deze data danduizend keer te versturen. Het is immers duizend keer dezelfde informatie. Hetis een beetje te zien als het afstemmen op een radio-frequentie. Aangezien diteen nogal complex systeem is en het door weinig bedrijven of hobbyistengebruikt wordt, ga ik hier verder niet op in.

Dan is er nog een speciaal netwerknummer en dat is 127.0.0.1. Dit is hetloopback-netwerk. Dit is een klasse A nummer en heeft dus als netwerkmasker255.0.0.0. De loopback heeft als functie dat een pakket dat naar een 127netwerk verstuurd wordt, eerst door de machine loopt. Pakketten met als bron-of doeladres dat uit het loopback-adres komt, horen nooit ergens op eennetwerk voor te komen.

1.9.4.a; Berekenen van subnetmasks127

Denk er voor het maken van het subnetmask aan dat het doel van een subnethet scheiden van een (32 bit) IP adres in een netwerk-ID, en een host-ID is. Alseen bit in het subnet 1 is, dan is de overeenstemmende bit in het IP-adres eendeel van het netwerkadres. Als een bit in het subnetadres 0 is, dan is deovereenstemmende bit in het IP-adres een deel van het host address.

Neem een gegeven IP-adres.Bvb 10.11.12.13 en converteer dit naar binair:

Ø IP-adres: 00001010.00001011.00001100.00001101

127 http://kurtkoenig.homeunix.net/dataentelecom/IPadressen.htm

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 54-59___________________________________________________________________________

Ons voorbeeld is een Klasse A adres. Het binaire standaard subnet maskhiervoor is:subnet mask: 11111111.00000000.00000000.00000000 De formule om het aantal ‘netwerk’ bits in een subnet mask te vinden is

Ø 2^n = aantal subnetten -2 (2^n betekend '2' tot de macht 'n') U weet hoeveel subnetten u nodig heeft, nu moet u ‘n’ nog vinden.We willen 4 subnetten, daarom voegen we twee ééntjes (bits) toe aan hetstandaard subnetmask omdat 4 = 2 ^ 2. Dit geeft het volgende subnetmask: subnet mask: 11111111.11000000.00000000.00000000

Hetwelke in decimale notatie 255.192.0.0 geeft. � Dit wordt ook slash ten of /10 genoemd, de slash notatie is het totale aantal

1-en in het binaire subnet adres.

� Deze notatie heeft een bruikbaar bereik van /8 (255.0.0.0) tot /31

(255.255.255.254). /32is een single host

route.

Netwerk-ID, host-ID, en broadcast adres voor een IP-adres en

subnetmask. Op de volgende manier berekent u welk deel het netwerk-ID, het host-ID, enhet broadcast adres zijn voor een IP-adres en subnetmask. In het voorbeeld gebruiken we 10.11.12.13 met subnetmask 255.254.0.0(dit is een Klasse A netwerk met een niet-standaard subnetmask)

Ø Zet eerst IP-adres om naar binaire vorm.Ø Zet ook het subnetmask om naar binair.

IP adres: 00001010.00001011.00001100.00001101

subnetmask: 11111111.11111110.00000000.00000000----------------------------------------------------------- AND

netwerk adres:00001010.00001010.00000000.00000000 Na uitvoeren van een binaire AND vergelijking tussen deze twee nummers

krijgt u het netwerk-ID.

Na terug omzetten naar ‘dotted decimal notation’ geeft dit 10.10.0.0

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 55-59___________________________________________________________________________

Om het host-ID deel te krijgen moet u in het subnetmask alle enen veranderenin nullen en omgekeerd, en opnieuw de binaire AND vergelijking uitvoeren.

IP adres: 00001010.00001011.00001100.00001101“omgekeerd” subnetmask: 00000000.00000001.11111111.11111111

------------------------------------------------------------ AND

host-ID: 00000000.00000001.00001100.00001101

Na uitvoeren van een binaire AND vergelijking tussen binair IP-adres,

En “omgekeerde waarden” subnetmask krijgt u het host-ID.

Na terug omzetten naar ‘dotted decimal notation’ geeft dit 0.1.12.13

Om het broadcastadres te bekomen moet u een binaire XOR vergelijking doenvan het netwerk-ID met het “omgekeerde” subnetmask.

netwerk adres: 00001010.00001010.00000000.00000000“omgekeerd” subnetmask: 00000000.00000001.11111111.11111111

------------------------------------------------------------- XOR

broadcast address: 00001010.00001011.11111111.11111111 Na uitvoeren van een binaire XOR vergelijking tussen binair netwerk-

ID,

En “omgekeerde waarden” subnetmask krijgt u het host-ID.

Na terug omzetten naar ‘dotted decimal notation’ geeft dit 10.11.255.255

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 56-59___________________________________________________________________________

Bijlage I: Top-level domains geregistreerd in de wereld128

gTLDs.aero Aviation.biz Business

Organizations.com Commercial.coop Co-Operative

Organizations.edu Educational.gov US

Government.info Open TLD.int International

Organizations.mil US Dept of

Defense.museumMuseums.name Personal.net Networks.org Organizations

.ac AscensionIsland

.ad Andorra

.ae United ArabEmirates

.af Afghanistan

.ag Antigua andBarbuda

.ai Anguilla

.al Albania

.amArmenia

.an NetherlandsAntilles

.ao Angola

.aq Antarctica

.ar Argentina

.as AmericanSamoa

.at Austria

.au Australia

.aw Aruba

.az Azerbaijan

.ba Bosnia andHerzegovina

.bb Barbados

.bd Bangladesh

.be Belgium

.bf Burkina Faso

.bg Bulgaria

.bh Bahrain

.bi Burundi

.bj Benin

.bmBermuda

.bn BruneiDarussalam

.bo Bolivia

.br Brazil

.bs Bahamas

.bt Bhutan

.bv BouvetIsland

.bw Botswana

.by Belarus

.bz Belize

.ca Canada

.cc Cocos (Keeling)Islands

.cd Congo,Democraticrepublic of the(former Zaire)

.cf Central AfricanRepublic

.cg Congo, Republicof

.ch Switzerland

.ci Côte d'Ivoire

.ck Cook Islands

.cl Chile

.cmCameroon

.cn China

.co Colombia

.cr Costa Rica

.cs Czechoslovakia(former - non-existing)

.cu Cuba

.cv Cape Verde

.cx Christmas Island

.cy Cyprus

.cz Czech Republic

128 http://www.norid.no/domenenavnbaser/domreg.html

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 57-59___________________________________________________________________________

.de Germany

.dj Djibouti

.dk Denmark

.dmDominica

.do Dominican Republic

.dz Algeria

.ec Ecuador

.ee Estonia

.egEgypt

.ehWesternSahara

.er Eritrea

.es Spain

.et Ethiopia

.euEuropeanUnion

.fi Finland

.fj Fiji

.fk FalklandIslands

.fmMicronesia

.fo Faroe Islands

.fr France

.ga Gabon

.gb United Kingdom

.gd Grenada

.ge Georgia

.gf French Guiana

.gg Guernsey

.gh Ghana

.gi Gibraltar

.gl Greenland

.gmGambia

.gn Guinea

.gp Guadeloupe

.gq EquatorialGuinea

.gr Greece

.gs South Georgiaand the SouthSandwichIslands

.gt Guatemala

.gu Guam

.gw Guinea-Bissau

.gy Guyana

.hk Hong Kong

.hmHeard andMcDonald Islands

.hn Honduras

.hr Croatia

.ht Haiti

.hu Hungary

.id Indonesia

.ie Ireland

.il Israel

.im Isle of Man

.in India

.io British IndianOceanTerritory

.iq Iraq

.ir Iran

.is Iceland

.it Italy

.je Jersey

.jmJamaica

.jo Jordan

.jp

.ke Kenya

.kg Kyrgyzstan

.kh Cambodia

.ki Kiribati

.kmComoros

.kn Saint Kitts andNevis

.kp Korea,DemocraticPeople'sRepublic of

.kr Korea, Republicof

.kw Kuwait

.ky Cayman Islands

.kz Kazakhstan

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 58-59___________________________________________________________________________

.la Lao People'sDemocratic Republic

.lbLebanon

.lc Saint Lucia

.li Liechtenstein

.lk Sri Lanka

.lr Liberia

.ls Lesotho

.lt Lithuania

.luLuxembourg

.lv Latvia

.ly Libyan ArabJamahiriya

.ma Morocco

.mc Monaco

.md Moldova

.mg Madagascar

.mh MarshallIslands

.mk Macedonia

.ml Mali

.mmMyanmar

.mn Mongolia

.mo Macau

.mp NorthernMarianaIslands

.mq Martinique

.mr Mauritania

.ms Montserrat

.mt Malta

.mu Mauritius

.mv Maldives

.mw Malawi

.mx Mexico

.my Malaysia

.mz Mozambique

.na Namibia

.nc NewCaledonia

.ne Niger

.nf Norfolk Island

.ngNigeria

.ni Nicaragua

.nl TheNetherlands

.noNorway

.npNepal

.nr Nauru

.nuNiue

.nz New Zealand

.omOman

.pa Panama

.pe Peru

.pf French Polynesia

.pg Papua New Guinea

.ph Philippines

.pk Pakistan

.pl Poland

.pmSt. Pierre andMiquelon

.pn Pitcairn

.pr Puerto Rico

.ps Palestine

.pt Portugal

.pw Palau

.py Paraguay

.qaQatar .re Reunion.ro Romania.ru Russia.rwRwanda

.sa Saudi Arabia

.sb Solomon Islands

.sc Seychelles

.sd Sudan

.se Sweden

.sg Singapore

.sh St. Helena

.si Slovenia

.sj Svalbard andJan MayenIslands

.sk Slovakia

.sl Sierra Leone

.smSan Marino

.sn Senegal

.so Somalia

.sr Surinam

.st Sao Tome andPrincipe

.su USSR (former)

.sv El Salvador

.sy Syrian ArabRepublic

.sz Swaziland

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)

Forensische informatica Netwerken & Internetten 59-59___________________________________________________________________________

.tc The Turks & CaicosIslands

.td Chad

.tf French SouthernTerritories

.tg Togo

.th Thailand

.tj Tajikistan

.tk Tokelau

.tmTurkmenistan

.tn Tunisia

.to Tonga

.tp East Timor

.tr Turkey

.tt Trinidad and Tobago

.tv Tuvalu

.tw Taiwan

.tz Tanzania

.ua Ukraine

.ug Uganda

.uk UnitedKingdom

.umUnited StatesMinor OutlyingIslands

.us United States

.uy Uruguay

.uz Uzbekistan

.va Holy See(Vatican CityState)

.vc Saint Vincentand theGrenadines

.ve Venezuela

.vg Virgin IslandsBritish

.vi Virgin IslandsU.S

.vn Vietnam

.vu Vanuatu

.wf Wallis andFutuna Islands

.wsSamoa

.ye Yemen

.yt Mayotte

.yu Yugoslavia

.za South Africa

.zm Zambia

.zr Zaire (non-existent, seeCongo)

.zw Zimbabwe

Georges Lichtenstein Information Network Forensics versie 1.0 (25/07/yyyy)