Netwerkprotocollen/Applicatielaag

Uit Wikibooks
Naar navigatie springen Naar zoeken springen

VPN[bewerken]

WAN topologie

Bij de opkomst van ICT werden binnen veel bedrijven de computer en het LAN-netwerk al snel noodzakelijk: dit kon volledig binnen het beheer van het bedrijf uitgewerkt worden. De informatisering hield hier niet op: men wou de LANs van verschillende vestigingen verbinden met elkaar, een verkoper onderweg wou toegang krijgen tot het netwerk, een thuiswerker eveneens. Nu was niet meer het volledige netwerk in beheer van het bedrijf, waardoor men moest uitwijken naar huurlijnen, helaas heel duur.

Vandaar heeft men nagedacht over een protocol die zou kunnen gebruikmaken van het Internet, maar waar het voor de host lijkt alsof hij zich in het LAN-netwerk bevindt. Hierdoor heeft hij ook toegang tot bestanden, applicaties en printers van het interne netwerk. Dit protocol is VPN.

Bij een IP-blokkering kan via VPN een tunnel gelegd worden naar een netwerk, waar deze blokkering niet ingesteld is, om zo toch een bepaalde website te bezoeken.

Netflix pakt VPN aan
Netflix is een bedrijf dat wereldwijd streaming video on demand via internet aanbiedt. Het exacte aanbod verschilt echter van land tot land, omdat Netflix per regio afzonderlijk de rechten moet verkrijgen. Zo kunnen in Amerika andere series beschikbaar zijn dan in België of Nederland. Enkele klanten omzeilen dat door VPN-diensten, die het Netflix-systeem voorhouden dat de gebruiker zich in een ander land bevindt. Begin 2016 treedt Netflix echter op tegen deze technologieën.

(nl) Netflix pakt technologie aan die geografische beperkingen omzeilt. standaard.be (2016-01-15). (nl) Netflix gaat proxy's blokkeren. tweakers.net (2016-01-14).


DNS[bewerken]

Werking DNS[bewerken]

Als mens zijn we niet zo bijzonder goed in cijfers. Zo kennen we maar weinig telefoonnummers van buiten, maar via een naam hebben we de juiste persoon voor ogen. Dan gebruiken we een adresboek om die persoon te contacteren. Bij het internet is het niet anders. We zullen niet surfen naar http://91.198.174.192, maar naar http://nl.wikibooks.org.

In de begindagen van het Internet waren er zo weinig domeinnamen en IP-adressen, dat men al deze koppelingen in een hosts-bestand bijhield. Tot op de dag van vandaag bestaat dit persoonlijk “internettelefoonboek” nog steeds in de meeste besturingssystemen. Vaak heeft het al standaard bepaalde koppelingen (bv. de localhost), maar je kan er koppelingen IP-adres en domeinnaam aan toevoegen. Bij Windows kan je dit vinden bij C:\Windows\System32\drivers\etc\hosts en bij Linux bij /etc/hosts. Een voorbeeld bij Linux:

127.0.0.1	localhost
127.0.1.1	juxta

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Door de groei van het internet bleek al begin de jaren '80 dat zo'n "internettelefoonboek" niet álle domeinnamen kan bevatten. Dus is er een systeem uitgewerkt die een vertaling doet van domeinnamen (bv. nl.wikibooks.org) naar IP-adressen. Dit systeem is DNS. Als we dus surfen naar http://nl.wikibooks.org, dan zal het besturingssysteem achter de schermen en via DNS het bijhorende IP-adres te weten komen (nadat het hosts-bestand is gecontroleerd).

Eén mega-groot, centraal “internettelefoonboek” bestaat niet. Het DNS-systeem is een verspreid, gedecentraliseerd systeem, met verschillende DNS-servers op het internet. In eerste instantie wordt een aanvraag gedaan aan de pc zelf. Als deze het niet weet wordt het gevraagd aan de router. Als deze het vervolgens niet weet is de DNS-server van de ISP aan de beurt, enz. Zo ontstaat een ketting van DNS-aanvragen, totdat het juiste IP-adres dat hoort bij de gevraagde domeinnaam achterhaald kan worden.

Korte storing Googles dns-server leidt tot dip in AMS-IX-verkeer
Dat DNS een belangrijk protocol is bleek toen er op 23 mei 2014 een storing was op Googles dns-server. Daardoor waren heel wat diensten die van deze dns-server gebruikmaakten, onbereikbaar. In de realtimegrafieken van het internetknooppunt AMS-IX is die dip omstreeks 14.00 uur duidelijk zichtbaar.

(nl) Korte storing Googles dns-server leidt tot dip in AMS-IX-verkeer. tweakers.net (2014-05-23).


Domeinnaam-IP[bewerken]

Als je als bedrijf/instelling/persoon een eigen domeinnaam wenst, moet je een registrar contacteren. Dit bedrijf zal de nodige administratie doen, zodat je een domeinnaam kan huren. Dan wordt de koppeling tussen de domeinnaam en het (vaak statisch) IP-adres gelegd.

Vlaming laat Trump "Oilsjters" carnavalsliedje tweeten over Russische prostituees
Domeinnamen kunnen komen te vervallen (bv. omdat de eigenaar deze niet meer wenst of niet betaalt). Op het Internet blijven vele links vaak staan, die dus niet meer zullen werken. Iemand kan deze vrije domeinnaam echter terug aanvragen/huren en kan dus bepaalde links terug laten werken. Deze persoon kan nu volledig kiezen wat die inhoud is, wat totaal iets anders kan zijn dan de oorspronkelijke website. Ethisch hacker Inti De Ceukelaire heeft er zo voor gezorgd dat een link uit een tweet van president Trump verwees naar een Aalsters carnavallied.

(nl) Vlaming laat Trump "Oilsjters" carnavalsliedje tweeten over Russische prostituees. http://datanews.knack.be+(2017-01-23).


DNS blocking[bewerken]

Om binnen bedrijven/scholen/landen bepaalde websites onvindbaar te maken, kan gebruik gemaakt worden van DNS blocking. Zo kan de DNS-server op school bij het surfen naar http://hoeleerikspieken.net weigeren om een IP te geven. Voor de eindgebruiker zal het lijken alsof de website niet bestaat. Als hij thuis zou kijken en de DNS-server van zijn ISP blokkeert deze niet, dan kan hij daar wel gewoon naartoe surfen. Mocht je dan op school rechtstreeks surfen naar het IP-adres van hoeleerikspieken.net, dan is DNS niet nodig en kan zo de bijhorende DNS-blokkade omzeild worden. Bovendien kan je - mits administratorrechten - een andere DNS-server instellen, die die blokkade niet heeft. Het gebruik van énkel DNS blocking is dus geen sluitende manier om toegang tot websites te verbieden.

Turkije blokkeert toegang tot Twitter
Turkije heeft een Twitter-blokkade ingesteld nadat de premier van het land gezegd zou hebben dat hij Twitter zou 'uitroeien'. De blokkade was op bevel van meerdere rechtbanken ingesteld nadat Twitter geweigerd zou hebben bepaalde links te verwijderen. Alle Turkse internetproviders werkten mee aan de blokkade.

De blokkade was relatief eenvoudig te omzeilen: het gaat om een dns-blokkade, dus het instellen van een alternatieve dns-server van bijvoorbeeld Google of OpenDNS is voldoende om de dienst toch te gebruiken. Daarnaast gebruikten Turkse twitteraars vpn-verbindingen om de blokkade te omzeilen. De blokkade van Twitter blijkt zelfs een averechts effect te hebben (het Streisandeffect): het aantal tweets van Turkse gebruikers lag 138 procent hoger dan in dezelfde periode voor de blokkade.

Later was Turkije overgegaan tot het blokkeren van het IP-adres van Twitter. Ondanks de blokkade bleef het mogelijk om via een vpn of Tor de Twitter-site te bezoeken.

(nl) Turkije blokkeert toegang tot Twitter. tweakers.net (2014-03-21). (nl) 'Twitter-gebruik in Turkije neemt toe na blokkade'. tweakers.net (2014-03-21). (nl) 'Turkije blokkeert Twitter op ip-niveau'. tweakers.net (2014-03-23).


DNS spoofing[bewerken]

Bij DNS spoofing worden antwoorden van een DNS-server door een hacker gewijzigd. Stel dat een hacker erin slaagt om bij een DNS-request van http://www.facebook.com niet het echte IP terug te geven, maar een IP van zijn server. Dan kan hij op die server een website draaien die een exacte kopie lijkt van Facebook. De eindgebruiker zal inloggen (in de adresbalk ziet hij namelijk netjes http://www.facebook.com staan), maar zo kan de hacker gemakkelijk het wachtwoord achterhalen. Er bestaan mogelijkheden om DNS veiliger te maken[1], maar dit behandelen valt buiten het kader van dit boek.

DDOS DNS attack[bewerken]

I.p.v. de DNS-server te hacken, kan je die ook lastig vallen met zodanig veel DNS-aanvragen op een heel korte tijd, dat hij ze niet allemaal kan verwerken én zelfs neergaat. Hierdoor kunnen netwerkapparaten het IP-adres niet meer achterhalen van een domein en vinden ze dus ook 'de andere kant' niet meer. Het is alsof alle wegen er nog zijn, maar dat iemand alle verkeersborden heeft weggenomen. Uiteraard: als deze vragen afkomstig zijn van één IP-adres valt dit IP-adres snel te blokkeren, maar niet als dit van verschillende IP-adressen komt. Hackersgroeperingen hebben zo gehackte netwerkapparaten in handen (=een botnet) die ze zo'n aanvragen kunnen laten uitvoeren. En met het stijgend aantal IoT-toestellen kunnen dat er heel wat zijn. Het geheel noemt men dan een DDOS DNS attack (DDOS=Distributed Denial of Service), wat uiteraard niet is toegestaan[2].

Populaire sites tijdelijk onbereikbaar door ddos op DynDNS
In oktober 2016 was er een grote DDOS DNS-attack op Dyn, een belangrijke DNS server provider. Dit verhinderde enkele uren lang dat gebruikers aan de oostkust van de VS terechtkonden op populaire websites als Twitter, Reddit, Soundcloud en GitHub. De problemen hielden al met al ongeveer twee uur aan.[3]

(nl) Populaire sites tijdelijk onbereikbaar door ddos op DynDNS. tweakers.net (2016-10-21).


Dynamic DNS[bewerken]

Stel dat je van buitenaf jouw thuisnetwerk wenst te bereiken. Van je provider krijg je een dynamisch IP-adres, dus zou het kunnen dat het IP-adres al is veranderd wanneer je het wenst te gebruiken. Een mogelijkheid is dan dat je een account via diensten zoals No-IP of Dyn instelt. Je krijgt dan een domeinnaam zoals naam.hopto.org of naam.ddns.net. Er moet dan nog een koppeling zijn met het publiek IP-adres. Hiervoor draait een dienst op jouw netwerk (bv. op jouw router) die regelmatig controleert of het dynamisch IP niet is veranderd. Is dat het geval, dan wordt hopto.org of ddns.net op de hoogte gebracht. Dit systeem is een onderdeel van Dynamic DNS, kortweg DDNS.

DHCP[bewerken]

DHCP is een protocol dat netwerkbeheerders toelaat om de verdeling van IP-nummers centraal te beheren en automatisch toe te kennen aan hosts die daar om vragen. Zonder gebruik van DHCP moet elk IP-nummer manueel ingevoerd worden op elke client-computer. Dit betekent ook dat ze bij verplaatsing in het netwerk manueel moeten aangepast worden.

Aangezien een computer in een netwerk niet per definitie weet waar de DHCP-server zich bevindt, zal hij een IP-aanvraag via een broadcast doen. De enige die op deze broadcast zal antwoorden, is de DHCP-server (vaak als onderdeel van de router of modem bij de mensen thuis).

Het belang van DHCP en IP
De gewone gebruiker heeft geen weet van IP, maar op zondag 3 februari 2013 werd het belang ervan pijnlijk duidelijk voor ruim de helft van de klanten van Telenet: geen internet, telefoon of digitale televisie die werkte zoals het hoort. Oorzaak van de storing zouden falende dhcp-servers zijn: de servers deelden niet langer IP-adressen uit waardoor alle toepassingen die gebruik maken van een kabelmodem niet langer verbinding konden maken. Telenet zou vrij snel de oorzaak van de verbindingsproblemen hebben gevonden, maar de provider zou enige tijd nodig hebben gehad om tests uit te voeren. Een ploeg van honderd man zou bezig zijn geweest om de problemen op te lossen. Bij sommige klanten waren er defecte modems, wellicht doordat deze klanten hun modem teveel hebben gereset.

(nl) Telenet herstart dhcp-servers na storing in geheel Vlaanderen. tweakers.net (2013-02-03).

(nl) Opvallend veel meldingen van kapotte modems bij Telenet. De STandaard (2013-02-04).


UPnP[bewerken]

Universal Plug and Play (UPnP) is een verzameling van netwerkprotocollen, zodat onderdelen van een netwerk (bv. pc's, printers, WAPs, mobiele toestellen,...) elkaar automatisch kunnen "ontdekken" en zelfs automatisch netwerkdiensten kunnen opzetten (bv. voor het delen van data of communicatie). Het is vooral bedoeld voor de particuliere markt en minder in de bedrijfswereld.

Bronnen, noten en/of referenties
  1. Tweakers.net: "Dnssec: voor het laatste onveilige protocol"
  2. Zie bv. het Tweakers.net artikel Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos-aanvallen van 5 februari 2018.
  3. Ook Arstechica schrijft in een artikel Double-dip Internet-of-Things botnet attack felt across the Internet meer over deze DDOS DNS-aanval. In hun related stories kan je nalezen dat dit niet de eerste keer is.
Informatie afkomstig van http://nl.wikibooks.org Wikibooks NL.
Wikibooks NL is onderdeel van de wikimediafoundation.