| Term | Definition | |------|------------| | YARA | YARA is een tool die wordt gebruikt om bestanden en netwerkverkeer te identificeren op basis van tekstuele of binaire patronen. Het maakt gebruik van signaturen, vergelijkbaar met oudere antivirusprogramma's, en wordt omschreven als 'grep op steroïden'. | | Regel (YARA) | Een YARA-regel bestaat uit een set strings en condities die de logica van de detectie bepalen. Deze regels helpen bij het identificeren van specifieke patronen die wijzen op de aanwezigheid van malware of andere verdachte activiteiten. | | Meta (YARA) | Het meta-gedeelte van een YARA-regel bevat contextuele informatie zoals de auteur, aanmaakdatum, versie, referentie naar samples, een beschrijving van het doel van de regel en eventuele deelrestricties (TLPCode). | | Strings (YARA) | Dit zijn de detecteerbare patronen binnen een YARA-regel, die zowel tekstueel als hexadecimaal kunnen zijn. Modifiers zoals Fullword, Wide, Nocase en Wide ascii kunnen worden gebruikt om de zoekopties te verfijnen. | | Conditie (YARA) | Het conditiegedeelte definieert de logische voorwaarden waaraan voldaan moet worden om een match te genereren. Dit kan variëren van het aantal voorkomende strings tot specifieke bytepatronen en file headers. | | Mutexes | Een uniek identificatieobject dat vaak door malwarefamilies wordt gebruikt. Het controleren op de aanwezigheid van een mutex kan aangeven of een apparaat al is geïnfecteerd. | | Gebruikersagenten | Rare en ongebruikelijke gebruikersagenten in netwerkverkeer kunnen indicaties geven van Command and Control (C2) communicatie van malware. | | Register Sleutels | Register sleutels kunnen worden gebruikt als persistentie-mechanismen door malware, waardoor deze na een herstart van het systeem opnieuw kan worden uitgevoerd. | | PDB Pad | PDB (Program Database) paden kunnen debugging-informatie bevatten die achterblijft in gecompileerde bestanden en nuttig kan zijn voor analyse. | | Hex Strings | Hexadecimale weergave van binaire data. In YARA kunnen hex strings wildcards (??) en specificaties voor bereiken van bytes gebruiken om flexibeler te zoeken. | | Urlscan.io | Een online scanner voor URL's en websites die analyses uitvoert op fetches, DOM, netwerkverkeer en redirects om malafide indicatoren en phishinggedrag te identificeren. | | Censys.io | Een internet-brede scan- en zoekmachine voor hosts, services en certificaten die open poorten, protocollen, softwareversies en misconfiguraties blootlegt. | | Shodan.io | Een zoekmachine voor internet-verbonden apparaten en services die banners indexeert om blootstellingen, misconfiguraties, kwetsbaarheden en open services te onthullen. | | Hunter.how | Een gespecialiseerde, webgebaseerde zoekmachine voor het in kaart brengen, fingerprinten en analyseren van de externe aanvalsoppervlakte van een organisatie voor beveiligingsdoeleinden. | | FOFA | FOFA (Footprint Finder) is een cyberspace-zoekmachine die actief internet-facing apparaten en digitale activa wereldwijd scant, in kaart brengt en verzamelt voor beveiligingsonderzoekers. | | Virustotal | Een multi-engine malware-analyseplatform voor bestanden, URL's, IP's en domeinen dat resultaten aggregeert van antivirus engines, sandboxes, reputatiesystemen en threat-intel feeds. | | Tria.ge | Een cloudgebaseerd platform voor malware-analyse en sandboxing dat samples uitvoert in geïsoleerde omgevingen om gedrag te observeren en gedetailleerde rapporten te produceren. | | Greynoise | Een internet-breed ruis-intelligentieplatform dat massale scans en achtergrondverkeer volgt en IP-adressen classificeert op basis van gedrag en intentie. | | AbuseIPDB | Een gemeenschapsgestuurde IP-dreigingsdatabase die informatie bijhoudt en deelt over malafide IP-adressen die worden gerapporteerd voor spam, hacking, DDoS en andere misbruiken. | | DNS-over-HTTPS (DoH) | Een protocol dat DNS-resolutie uitvoert via HTTPS, waardoor DNS-query's en -antwoorden worden versleuteld om luisteren, manipulatie en ISP-tracking te voorkomen. | | Cloudflare RADAR | Een real-time internetverkeerinzichten en threat intelligence platform van Cloudflare dat wereldwijde internettrends, verkeerspatronen en beveiligingsevenementen volgt. | | Tranco List | Een onderzoeksgerichte, gerangschikte lijst van de meest populaire websites op het internet, bedoeld als een stabiel en reproduceerbaar alternatief voor commerciële site-ranglijsten. | | SPUR | Een high-fidelity IP-intelligentie- en data-feedsplatform dat grootschalige, up-to-date gegevens levert over IP-adressen, proxies, VPN's en geanonimiseerd/residentieel verkeer. | | Lookyloo | Een open-source cybersecuritytool voor het onderzoeken en ontleden van websites door een webpage vast te leggen en de onderlinge domeinrelaties te visualiseren. | | Cyberchef | Een krachtige, webgebaseerde tool, ook wel de 'Cyber Swiss Army Knife' genoemd, voor data-manipulatie en -analyse met meer dan 300 operaties voor codering, decodering, encryptie en hashing. | | Ransomware.live | Een open-source, real-time threat intelligence platform dat wereldwijde ransomware-activiteiten volgt door informatie te schrapen van dreigingsactoren, met name hun dark web dataleksites. | | Ransomlook.io | Een specifieke threat intelligence bron die zich richt op het monitoren van de nasleep van ransomware-aanvallen, met name door het volgen van dark web leak sites. | | Spamhaus | Een internationale, non-profit organisatie die zich toelegt op het bestrijden van e-mailspam en gerelateerde cyberdreigingen door middel van real-time blocklists (DNSBL's). | | Abuse.ch | Een non-profit organisatie die zich toelegt op het bestrijden van malware en botnets door het verstrekken van gratis, gemeenschapsgestuurde cyberdreigingsinformatie via een ecosysteem van platforms. | | Threatfox | Een gespecialiseerd, open-source platform van abuse.ch dat zich toelegt op het in realtime delen van Indicators of Compromise (IOC's) met betrekking tot malware en botnets. | | URLhaus | Een project van abuse.ch dat zich toelegt op het delen van intelligentie over malafide URL's die actief worden gebruikt voor de distributie van malware. | | MalwareBazaar | Een gratis, gemeenschapsgestuurd platform van abuse.ch dat is toegewijd aan de uitwisseling en verrijking van geverifieerde malware-samples. | | YARAify | Het dedicated YARA-regel scan- en jachtplatform van het abuse.ch project, gericht op het helpen van de beveiligingsgemeenschap bij het classificeren en volgen van malware. | | Hunting.Abuse.ch | De gecentraliseerde zoekinterface voor de diverse, onderling verbonden threat intelligence platforms die door het abuse.ch project worden beheerd, gericht op het bestrijden van malware en botnets. | | Hashlookup | Een gratis, open-source project en service die voornamelijk wordt gebruikt in digital forensics en incident response (DFIR) om bekende bestanden efficiënt te identificeren door hun cryptografische hashes te vergelijken met enorme publieke databases. | | Waybackmachine | Een digitaal archief van het World Wide Web, gemaakt door de Internet Archive, dat periodieke snapshots van websites bewaart om de geschiedenis van het internet te bewaren. | | Browserling | Een cloudgebaseerde service ontworpen om webontwikkelaars en kwaliteitsborgingsprofessionals te helpen bij het efficiënt en betaalbaar uitvoeren van cross-browser compatibiliteitstests. | | DNS checker | Een populaire online utility die gratis, real-time DNS-lookup- en propagatiecontroles biedt vanaf meerdere geografische locaties wereldwijd. | | DNSTwister | Een geavanceerd, open-source hulpprogramma ontworpen om proactief malafide domeinen te ontdekken die legitieme websites imiteren, voornamelijk door typfouten of visuele gelijkenissen uit te buiten. | | Mnemonic - PDNS | Mnemonic PDNS (Passive DNS) is een service die historische en real-time DNS-gegevens verzamelt en analyseert om te helpen bij threat hunting en incident response. | | CERTSTREAM | Een real-time intelligentie-feed die nieuw uitgegeven SSL/TLS-certificaten aggregeert en streamt van het Certificate Transparency (CT) lognetwerk om beveiligingsteams in staat te stellen nieuwe dreigingen proactief te detecteren. | | Phishing catcher | Een tool gebouwd voor real-time beveiligingsmonitoring door gebruik te maken van publiek beschikbare certificaatgegevens om potentiële phishing-domeinen te identificeren. | | Crt.sh | Een gratis, publiekelijk doorzoekbare webinterface en database die gegevens aggregeert uit het Certificate Transparency (CT) lognetwerk, waardoor gebruikers de uitgifte van SSL/TLS-certificaten wereldwijd kunnen bevragen en auditen. | | BGPranking - CIRCL | Een open-source beveiligingsintelligentieproject ontwikkeld door CIRCL dat een beveiligingsrisicoscore voor Autonomous System Numbers (ASN's) berekent op basis van de malafide activiteit die zij hosten. | | Malpedia | Een collaboratief, open-toegangsplatform dat fungeert als een uitgebreide kennisbank en gecureerde corpus voor malware-analyse en -onderzoek, met gedetailleerde profielen van malwarefamilies en bedreigingsactoren. | | Silent push | Een proactief cyberdreigingsintelligentieplatform dat zich richt op het proactief identificeren en volgen van malafide infrastructuur voordat deze in een aanval wordt gebruikt, met behulp van 'Indicators of Future Attack' (IOFA™). |

Cover

LSS - Lecture IV - Linux firewalling.pdf

Summary

# Concept en typen firewalls Een firewall fungeert als een digitale verdedigingslinie die inkomend en uitgaand netwerkverkeer reguleert op basis van vooraf gedefinieerde beveiligingsregels. ## 1. Concept en typen firewalls ### 1.1 Wat is een firewall? Een firewall is een netwerkbeveiligingssysteem dat is ontworpen om inkomend en uitgaand netwerkverkeer te monitoren en te controleren op basis van vooraf bepaalde beveiligingsregels. Het functioneert als een barrière tussen een vertrouwd intern netwerk en een onbetrouwbaar extern netwerk, zoals het internet. De oorspronkelijke betekenis van het woord "firewall" verwees naar een muur die was bedoeld om een brand in een gebouw te beperken [3](#page=3). ### 1.2 Firewalling op verschillende lagen Firewalls kunnen opereren op verschillende lagen van het OSI-model: * **Lagen 1-7:** Het OSI-model bestaat uit zeven lagen: Fysiek, Datalink, Netwerk, Transport, Sessie, Presentatie en Applicatie [5](#page=5). * **Netwerkfirewalls:** Deze opereren typisch op de netwerklaag (laag 3) en/of de transportlaag (laag 4) [5](#page=5). * **Applicatiefirewalls:** Deze opereren op de applicatielaag (laag 7) [5](#page=5). ### 1.3 Typen firewalls Firewalls kunnen worden geclassificeerd op basis van hun locatie (netwerk- of hostgebaseerd) en de lagen waarop ze opereren (netwerk- of applicatiefirewalls). #### 1.3.1 Netwerkgebaseerde firewalls Netwerkgebaseerde firewalls bevinden zich op gateways die meerdere hosts bedienen. Ze inspecteren pakketten die moeten worden doorgestuurd. Deze kunnen worden geïmplementeerd als dedicated hardware of als software op algemene hardware [7](#page=7). * **Voorbeelden:** * **Dedicated hardware:** Cisco, Netgate [7](#page=7). * **Software:** netfilter/iptables, pfSense [7](#page=7). #### 1.3.2 Hostgebaseerde firewalls Hostgebaseerde firewalls worden op een enkele computer geïnstalleerd. Ze inspecteren zowel inkomende als uitgaande pakketten. Ze functioneren vaak als een daemon of service op het besturingssysteem [7](#page=7). * **Voorbeelden:** * netfilter/iptables, Windows Defender Firewall [7](#page=7). #### 1.3.3 Applicatiefirewalls Applicatiefirewalls, ook wel bekend als next-generation firewalls (NGFW), zijn specifiek ontworpen om verkeer op applicatieniveau te inspecteren. Ze kunnen diepgaande inhoudsinspectie uitvoeren, zoals het controleren op virussen of exploits [6](#page=6). * **Netwerkgebaseerde applicatiefirewalls:** * Bevinden zich op gateways voor meerdere hosts, vaak als (reverse) proxy [6](#page=6). * Specifiek voor bepaalde applicatieprotocollen en voeren inhoudsinspectie uit [6](#page=6). * **Voorbeelden:** Web Application Firewall (WAF), ModSecurity (Modsec), Cloudflare’s Cloud WAF [6](#page=6). * **Hostgebaseerde applicatiefirewalls:** * Bevinden zich op een enkele host [6](#page=6). * Bieden sandboxing voor meerdere applicaties [6](#page=6). * Nieuwere generaties maken vaak gebruik van Mandatory Access Control (MAC) [6](#page=6). * **Voorbeelden:** AppArmor, SELinux [6](#page=6). ### 1.4 Samenwerking van firewalls Een applicatiefirewall werkt complementair aan een netwerkfirewall. De netwerkfirewall dient vaak als de eerste verdedigingslinie. Veel netwerkfirewalls zijn al ingebouwd in het besturingssysteem [8](#page=8). --- # Netfilter, iptables en nftables Dit deel van de cursus behandelt de ingebouwde netwerkfirewalls van Linux, Netfilter, en de gebruikersapplicaties iptables en het modernere nftables [9](#page=9). ### 2.1 Netfilter: de kernel-subsystemen Netfilter is de firewall-subsystemen in de Linux-kernel dat pakketfiltering, NAT en andere pakketmanipulaties mogelijk maakt. Het is sinds kernelversie 2.4 aanwezig in Linux en werd destijds geïnitieerd door Paul “Rusty” Russell [10](#page=10) [11](#page=11) [12](#page=12). Netfilter werkt met tabellen, chains en regels [13](#page=13): * **Tabellen**: Groeperen gerelateerde functionaliteiten. * **Chains**: Sequenties van regels binnen een tabel. * **Regels**: De fundamentele configuratie-items die criteria bevatten om verkeer te matchen en acties uit te voeren op het gematchte verkeer [13](#page=13). #### 2.1.1 Packet filtering hooks en chains Netfilter heeft vijf packet filtering "hooks" in de netwerkstack van de Linux-kernel, die corresponderen met vijf iptables chains [14](#page=14): 1. **PREROUTING**: Verwerkt pakketten zodra ze binnenkomen [14](#page=14). 2. **INPUT**: Verwerkt pakketten die bestemd zijn voor lokale sockets [14](#page=14). 3. **FORWARD**: Verwerkt pakketten die via het systeem worden gerouteerd [14](#page=14). 4. **OUTPUT**: Verwerkt pakketten die lokaal worden gegenereerd [14](#page=14). 5. **POSTROUTING**: Verwerkt pakketten vlak voordat ze het systeem verlaten [14](#page=14). Deze chains zijn visueel weergegeven in een vereenvoudigd schema [15](#page=15). #### 2.1.2 Netfilter tabellen Er zijn vijf hoofdtabellen in Netfilter [16](#page=16): 1. **filter**: De standaardtabel voor packet filtering [16](#page=16). 2. **nat**: Wordt geraadpleegd wanneer een pakket een nieuwe verbinding creëert, voornamelijk voor Network Address Translation [16](#page=16). 3. **mangle**: Een speciale tabel voor packet-aanpassingen [16](#page=16). 4. **raw**: Heeft de hoogste prioriteit en wordt gebruikt voor uitzonderingen in connection tracking [16](#page=16). 5. **security**: Gebruikt voor mandatory access control netwerkregels, zoals SECMARK en CONNSECMARK targets, voor SELinux en andere beveiligingsmodules [16](#page=16). Het is belangrijk om onderscheid te maken tussen tabel- en chainnamen; tabelnamen zijn doorgaans in kleine letters (bv. `filter`), terwijl chainnamen in hoofdletters staan (bv. `INPUT`). Een gedetailleerd overzicht van het packet-flow door deze componenten is beschikbaar [18](#page=18) [19](#page=19). ### 2.2 iptables: de klassieke gebruikerstool `iptables` is de traditionele command-line tool voor het beheren van de Netfilter-firewall [22](#page=22). #### 2.2.1 Huidige regels bekijken Men kan de huidige regels van specifieke tabellen of de standaard `filter` tabel bekijken met de volgende commando's [23](#page=23): * `iptables -t -L`: Toon alle regels van een specifieke tabel [23](#page=23). * `iptables -L`: Toon alle regels van de standaard `filter` tabel [23](#page=23). #### 2.2.2 Default policies De `policy` van een chain bepaalt de actie die wordt uitgevoerd op pakketten die niet door een regel in die chain worden gematcht. Standaard is deze vaak ingesteld op `ACCEPT`. Het wijzigen van de default policy, bijvoorbeeld naar `DROP` voor de `FORWARD` chain, is een veelvoorkomende beveiligingsmaatregel [24](#page=24). #### 2.2.3 Firewall regels toevoegen Regels kunnen worden toegevoegd aan chains [25](#page=25): * **Append (`-A`)**: Voegt een regel toe aan het einde van een chain [25](#page=25). * **Insert (`-I`)**: Voegt een regel in op een specifieke positie in een chain [25](#page=25). #### 2.2.4 Targets Targets definiëren de actie die wordt uitgevoerd op een gematcht pakket [26](#page=26): * **LOG**: Logt het pakket [26](#page=26). * **ACCEPT**: Staat het pakket toe [26](#page=26). * **REJECT**: Wijst het pakket af en stuurt een foutmelding terug [26](#page=26). * **DROP**: Negeert het pakket zonder melding terug te sturen [26](#page=26). #### 2.2.5 Regel criteria Regels kunnen specifieke criteria bevatten om pakketten te matchen [27](#page=27): * **Source (`-s` of `--source`)**: Bronadres [27](#page=27). * **Destination (`-d` of `--destination`)**: Bestemmingsadres [27](#page=27). * **Protocol (`-p` of `--protocol`)**: Protocol (bv. `icmp`, `tcp`) [27](#page=27). * **Module opties**: Extra criteria kunnen worden toegevoegd met behulp van modules (zie `man iptables-extensions`) [27](#page=27). Een voorbeeld van een regel die ICMP ping requests met een lengte tussen 200 en 1500 bytes dropt, is: `iptables -A INPUT -s 192.168.111.100 -p icmp -m length --length 200:1500 -j DROP` [27](#page=27). #### 2.2.6 Firewall regels verwijderen Regels kunnen op verschillende manieren worden verwijderd [28](#page=28): * **Regelnummer tonen**: `iptables -L --line-numbers` [28](#page=28). * **Specifieke regel verwijderen**: `iptables -D ` [28](#page=28). * **Alle regels in een chain verwijderen**: `iptables -F ` [28](#page=28). * **Alle regels in alle chains van de filtertabel verwijderen**: `iptables -F` [28](#page=28). > **Tip:** Wees uiterst voorzichtig bij het configureren van `iptables` regels, vooral via SSH. Een verkeerd commando kan leiden tot permanente uitsluiting totdat het fysiek wordt opgelost [29](#page=29). ### 2.3 nftables: de modernere opvolger `nftables` is een nieuwe kernel-subsystem (`nf_tables`) die de Netfilter-infrastructuur hergebruikt, maar een nieuwe gebruikersruimte tool (`nft`) en syntaxis introduceert. Het is geïntegreerd in de Linux-kernel sinds versie 3.13 [31](#page=31). #### 2.3.1 Vergelijking met iptables `nftables` biedt diverse voordelen ten opzichte van `iptables` [33](#page=33): * **Efficiëntie**: Snellere packet classificatie [33](#page=33). * **Flexibiliteit**: Betere ondersteuning voor dynamische ruleset updates [33](#page=33). * **Uniformiteit**: Eén tool voor alle address families (IPv4, IPv6, ARP) [33](#page=33). * **Vereenvoudiging**: Vervangt meerdere tools (`iptables`, `ip6tables`, `arptables`, `ebtables`) [33](#page=33). * **Nieuwe features**: Zoals de `inet` familie voor dual-stack IPv4/IPv6 beheer [33](#page=33). #### 2.3.2 ‘iptables’ op moderne distributies Op recentere distributies, zoals RHEL 8 en Debian 11, gebruikt de `iptables` command-line tool vaak al de `nf_tables` backend. Op Debian wordt de `nft` command standaard gebruikt in plaats van `iptables` [34](#page=34) [35](#page=35). #### 2.3.3 nftables: tabellen In `nftables` specificeer je voor een tabel de address family [36](#page=36): * `ip`: Correspondeert met `iptables` (IPv4) [36](#page=36). * `ip6`: Correspondeert met `ip6tables` (IPv6) [36](#page=36). * `inet`: Combineert IPv4 en IPv6, waarvoor men voorheen zowel `iptables` als `ip6tables` moest gebruiken [36](#page=36). * `arp`: Correspondeert met `arptables` [36](#page=36). * `bridge`: Correspondeert met `ebtables` [36](#page=36). * `netdev`: Gebruikt de nieuwe `ingress` hook [36](#page=36). `nftables` maakt het mogelijk om willekeurig veel custom tabellen te definiëren, in tegenstelling tot de 5 vooraf gedefinieerde tabellen in `xtables`. Een voorbeeld commando is: `nft add table inet mytable` [36](#page=36). #### 2.3.4 nftables: chains Chains in `nftables` kunnen twee types hebben [37](#page=37): * **Base chain**: Haakt in op de netwerkstack en vereist `type`, `hook` en `priority` parameters [37](#page=37) [44](#page=44). * **Regular chain**: Voor betere organisatie van regels [37](#page=37). Het `type` van een chain bepaalt de functionaliteit [38](#page=38): * **filter**: Standaard packet filtering [38](#page=38). * **nat**: Voor Network Address Translation [38](#page=38). * **route**: Voor nieuwe route lookups als pakketten zijn gewijzigd [38](#page=38). De `hook` specificeert het stadium in de packetverwerking waar de chain ingrijpt [39](#page=39): * `ingress`: Nieuw, voor zeer vroege filtering [39](#page=39) [40](#page=40) [41](#page=41). * `prerouting`: Vlak na binnenkomst [39](#page=39). * `input`: Voor lokaal bestemde pakketten [39](#page=39). * `forward`: Voor gerouteerde pakketten [39](#page=39). * `output`: Voor lokaal gegenereerde pakketten [39](#page=39). * `postrouting`: Vlak voor het verlaten van het systeem [39](#page=39). De `priority` parameter bepaalt de volgorde waarin chains met dezelfde hook worden doorlopen, waarbij lagere waarden voorrang hebben. Standaard prioriteitsnamen zijn beschikbaar die overeenkomen met de volgorde van de `xtables` tabellen: "raw" < "mangle" < "dstnat" < "filter" < "security" < "srcnat" [42](#page=42). #### 2.3.5 nftables: regels Regels in `nftables` bestaan uit uitdrukkingen (expressions) en statements [43](#page=43): * **Expressions**: Bepalen wat gematcht moet worden [43](#page=43). * **Statements**: Definiëren de uit te voeren actie [43](#page=43). Een voorbeeld van een regel die echo-request ICMP pakketten dropt: `nft add rule inet mytable mychain icmp type echo-request drop` [43](#page=43) [46](#page=46). #### 2.3.6 nftables syntaxis De `nft` tool biedt commando's voor het beheren van tabellen, chains en regels [44](#page=44): * **Tabellen**: * `nft list tables []` * `nft list table [] [-n [-a]` * `nft (add | delete | flush) table [] ` [44](#page=44). * **Chains**: * `nft (add | create) chain [] [ { type hook priority \; [policy \;] } ]` * `nft (delete | list | flush) chain []

` [44](#page=44). * **Regels**: * `nft add rule []

` * `nft insert rule []

[position ] ` * `nft replace rule []

[handle ] ` * `nft delete rule []

[handle ]` [44](#page=44). #### 2.3.7 nftables configuratie en service Regelsets kunnen automatisch worden geladen via een `nftables.service` systemd unit. De configuratie wordt meestal opgeslagen in een `nftables.conf` bestand, respectievelijk in `/etc/nftables.conf` op Debian en `/etc/sysconfig/nftables.conf` op RHEL [45](#page=45). Een demonstratie van `nft` commando's op Debian is gegeven [46](#page=46). --- # Beheerhulpmiddelen en geavanceerde configuratie Dit onderwerp verkent verschillende methoden en tools voor het beheren van Linux-firewalls, van hogere abstracties zoals firewalld en TCP wrappers tot systemd IP-toegangslijsten. ### 3.1 Netfilter management tools Linux-gebaseerde distributies beschikken doorgaans over een `iptables`/`nftables` pakket. Daarnaast kunnen er specifieke tools zijn voor het configureren van de regels, zoals `firewall-cmd` op RHEL of `ufw` op Ubuntu [48](#page=48). #### 3.1.1 Firewalld Firewalld is een dynamische firewall daemon met een gebruikersinterface. Het maakt gebruik van het concept van 'zones' om vertrouwensniveaus per interface of verbinding te definiëren [49](#page=49). * **Daemon/service:** `firewalld` [49](#page=49). * **Gebruiker CLI tool:** `firewall-cmd` [49](#page=49). * **Gebruiker GUI tool:** `firewall-config` [49](#page=49). **Concept van zones:** Een zone vertegenwoordigt een vertrouwensniveau en kan worden toegepast per interface of verbinding [49](#page=49). * **Voorbeeld:** Alle verbindingen op de interface `ens33` kunnen tot de 'public' zone behoren, terwijl verbindingen vanaf `192.168.11.1` tot de 'internal' zone kunnen behoren [49](#page=49). **Veelgebruikte `firewall-cmd` commando's:** * `firewall-cmd --get-active-zones`: Geeft de actieve zones weer [50](#page=50). * `firewall-cmd --list-all-zones`: Toont alle gedefinieerde zones en hun configuratie [50](#page=50). * `firewall-cmd --info-zone=public`: Toont gedetailleerde informatie over een specifieke zone, zoals 'public' [50](#page=50). * `firewall-cmd --info-service=ssh`: Toont informatie over een specifieke service, zoals SSH [50](#page=50). * `firewall-cmd --permanent --zone=public --add-service=ssh`: Voegt de SSH-service permanent toe aan de 'public' zone [50](#page=50). * `firewall-cmd --permanent --zone=public --remove-service=ssh`: Verwijdert de SSH-service permanent uit de 'public' zone [50](#page=50). * `firewall-cmd --reload`: Herlaadt de firewall-regels na permanente wijzigingen [50](#page=50). ##### 3.1.1.1 Firewalld en extra `nft` regels In RHEL kunnen basis `nft` regels worden gevonden in bestanden zoals `main.nft`, `router.nft`, en `nat.nft` binnen `/etc/nftables/`. Deze kunnen worden ingeschakeld en aangepast bovenop de `firewalld` regelset, en worden uitgevoerd na de `firewalld` regels via een prioriteitsinstelling [51](#page=51). > **Tip:** Het is mogelijk om netfilter te configureren via `iptables`, `nftables`, of `firewalld` [53](#page=53). ### 3.2 TCP wrappers TCP wrappers zijn een methode voor het monitoren en controleren van netwerkactiviteit van daemons die gelinkt zijn aan `libwrap.so` of deze statisch geïmplementeerd hebben. Dit is een host-gebaseerde firewalling op applicatielaag [55](#page=55). * **Verificatie:** U kunt controleren of een daemon gebruikmaakt van `libwrap.so` met het `ldd` commando [55](#page=55). * **Voordeel:** Runtime herconfiguratie van toegangscontrole, waardoor daemons niet opnieuw geladen hoeven te worden [55](#page=55). * **Configuratiebestanden:** TCP wrappers gebruiken de bestanden `/etc/hosts.allow` en `/etc/hosts.deny` [55](#page=55). * **Status:** TCP wrappers worden niet meer onderhouden en worden als verouderd beschouwd [55](#page=55). #### 3.2.1 `hosts.allow` en `hosts.deny` Als een bestand niet bestaat, wordt het als leeg beschouwd. De toegangscontrole software raadpleegt beide bestanden; de zoekactie stopt bij de eerste overeenkomst [57](#page=57): 1. Toegang wordt verleend als een `(daemon:client)` paar overeenkomt met een vermelding in `/etc/hosts.allow` [57](#page=57). 2. Anders wordt toegang geweigerd als een `(daemon:client)` paar overeenkomt met een vermelding in `/etc/hosts.deny` [57](#page=57). 3. Anders wordt toegang verleend [57](#page=57). * `/etc/hosts.allow`: Specificeert expliciet welke hosts mogen netwerken met een bepaalde daemon [57](#page=57). * `/etc/hosts.deny`: Specificeert expliciet welke hosts niet mogen netwerken met een bepaalde daemon [57](#page=57). * Raadpleeg `man hosts_access` voor meer details [57](#page=57). #### 3.2.2 `iptables` versus `hosts.deny` * `iptables` werkt op kernelniveau en filtert op basis van pakketheaders [58](#page=58). * `hosts.deny` opereert op applicatie/procesniveau [58](#page=58). * **Verschil:** `iptables` kan bijvoorbeeld op poort 22 blokkeren, terwijl `hosts.deny` blokkeert op basis van de daemon `sshd` [58](#page=58). * Als `sshd` een andere poort gebruikt, is de `iptables` configuratie belangrijk [58](#page=58). * `iptables` blokkeert pakketten echter veel eerder in het proces [58](#page=58). #### 3.2.3 Log-gebaseerde intrusion detection systems (IDS) * **DenyHosts:** Analyseert SSH-logs en voegt hosts toe aan `/etc/hosts.deny` [59](#page=59). * **Fail2ban:** Is niet beperkt tot SSH-logs. Het kan hosts toevoegen aan `/etc/hosts.deny` en ook `iptables` of `pfSense`/`OPNsense` regels wijzigen [59](#page=59). ### 3.3 Systemd IP-toegangslijsten Als een daemon wordt gedefinieerd binnen een `systemd` service unit configuratiebestand, is het mogelijk om IP-toegangslijsten direct in dat configuratiebestand te definiëren [61](#page=61). **Configuratie:** Deze lijsten worden ingesteld met de directives `IPAddressAllow` en `IPAddressDeny` binnen het `[Service]` sectie van een `systemd` unit-bestand [61](#page=61). * **Voorbeeld uit een service-bestand:** ```ini [Unit Description=Exciting webapp [Service WorkingDirectory=/opt/exciting-webapp ExecStart=/usr/bin/python3 -m http.server Restart=always IPAddressAllow=192.168.11.0/24 IPAddressDeny=any [Install WantedBy=multi-user.target ``` Dit voorbeeld staat verkeer toe van het `192.168.11.0/24` netwerk en weigert al het andere verkeer ("any") [61](#page=61). #### 3.3.1 `IPAddressDeny` & `IPAddressAllow` De beslissingslogica voor toegangscontrole is als volgt [62](#page=62): 1. Toegang wordt verleend als een adres overeenkomt met een vermelding in `IPAddressAllow` [62](#page=62). 2. Anders wordt toegang geweigerd als een adres overeenkomt met een vermelding in `IPAddressDeny` [62](#page=62). 3. Anders wordt toegang verleend [62](#page=62). * Het sleutelwoord 'any' kan worden gebruikt in plaats van de `*` wildcard [62](#page=62). * `IPAddressDeny`: Al het verkeer van en naar dit IP-adres/netwerk wordt geweigerd voor de processen van de service [62](#page=62). * `IPAddressAllow`: Al het verkeer dat overeenkomt met dit IP-adres/netwerk wordt toegestaan [62](#page=62). * Verdere details zijn te vinden in `man systemd.resource-control` [62](#page=62). #### 3.3.2 Overzicht van daemon configuratiebestanden Verschillende methoden voor daemon configuratie en netwerkbeheer kunnen naast elkaar bestaan en interageren: * **Daemons:** `sshd`, `httpd`, etc. [56](#page=56) [63](#page=63). * **TCP Wrappers:** Gebruikt `/etc/hosts.allow` en `/etc/hosts.deny` [56](#page=56) [63](#page=63). * **Netfilter:** Geconfigureerd via `/etc/nftables.conf` (of `iptables` equivalenten) [56](#page=56) [63](#page=63). * **Systemd:** Maakt gebruik van service unit bestanden in `/etc/systemd/system/*.service` en `/lib/systemd/system/*.service` voor IP-toegangslijsten [63](#page=63). * **Applicaties:** Zoals `cockpit` en netwerk services [56](#page=56) [63](#page=63). --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

Glossary

| Term | Definition | |------|------------| | Firewall | Een netwerkbeveiligingssysteem dat inkomend en uitgaand netwerkverkeer monitort en controleert op basis van vooraf bepaalde beveiligingsregels, fungerend als een barrière tussen een vertrouwd intern netwerk en een onvertrouwd extern netwerk zoals het internet. | | OSI-model | Een conceptueel model dat de communicatiefuncties van een telecommunicatie- of computersysteem beschrijft, verdeeld in zeven abstractielagen: Fysiek, Datalink, Netwerk, Transport, Sessie, Presentatie en Applicatie. | | Netwerkfirewall | Een firewall die het verkeer tussen twee of meer netwerken inspecteert en controleert, meestal geïmplementeerd op gateways tussen netwerken of op individuele hosts om inkomende en uitgaande pakketten te inspecteren. | | Applicatiefirewall | Een firewall die specifieke applicatieprotocollen inspecteert en controleert, vaak door middel van inhoudinspectie (zoals virus- of exploitdetectie), en kan op netwerkgateways of op individuele hosts worden geplaatst. | | Netfilter | De kerncomponent van de Linux-firewall die packet filtering, netwerkadresvertaling (NAT) en packet manipulatie mogelijk maakt door middel van hooks in de netwerkstack van de kernel. | | iptables | Een gebruikerstoepassing die communiceert met Netfilter om firewallregels te configureren en te beheren, bestaande uit tabellen, ketens en individuele regels die verkeer matchen en acties uitvoeren. | | nftables | Een modernere, flexibelere en krachtigere opvolger van iptables, die een nieuwe syntaxis introduceert en de verschillende packet filtering tools (iptables, ip6tables, arptables, ebtables) consolideert onder één enkele backend genaamd nf_tables. | | Tabellen (iptables/nftables) | Verzamelingen van regels in de Netfilter-architectuur die specifiek zijn ontworpen voor bepaalde functies, zoals het filteren van pakketten (`filter`), netwerkadresvertaling (`nat`), of pakketmanipulatie (`mangle`). | | Ketens (iptables/nftables) | Geordende lijsten van regels binnen een specifieke tabel die de paden definiëren waarlangs pakketten worden verwerkt, met standaardketens zoals `INPUT`, `OUTPUT`, `FORWARD`, `PREROUTING`, en `POSTROUTING`. | | Regels (iptables/nftables) | De fundamentele configuratie-items in Netfilter die criteria bevatten om specifiek netwerkverkeer te matchen en een bijbehorende actie (target) uit te voeren, zoals `ACCEPT`, `DROP`, `REJECT` of `LOG`. | | Targets (iptables/nftables) | De acties die worden uitgevoerd op verkeer dat overeenkomt met een firewallregel, zoals het toestaan (`ACCEPT`), weggooien (`DROP`), afwijzen (`REJECT`) of loggen (`LOG`) van het pakket. | | Hooks (Netfilter) | Specifieke punten in de netwerkstack van de Linux-kernel waar Netfilter packet filtering kan toepassen; deze hooks komen overeen met de verschillende ketens die worden gebruikt in `iptables` en `nftables`. | | Statefull packet filtering | Een methode van firewalling die rekening houdt met de status van netwerkverbindingen om beslissingen te nemen over het toestaan of weigeren van verkeer, waardoor alleen de verkeersstroom die deel uitmaakt van een actieve, legitieme verbinding wordt toegestaan. | | firewalld | Een dynamisch firewallbeheerhulpprogramma voor Linux dat zones gebruikt om verschillende vertrouwensniveaus toe te wijzen aan netwerkinterfaces en verbindingen, waardoor een flexibele en gebruiksvriendelijke configuratie van firewallregels mogelijk is. | | Zones (firewalld) | Concepten binnen firewalld die een vertrouwensniveau vertegenwoordigen dat wordt toegewezen aan netwerkinterfaces of verbindingen, waarbij verschillende regels van toepassing kunnen zijn afhankelijk van de zone waartoe een verkeerspakket behoort. | | TCP wrappers | Een verouderde methode voor hostgebaseerde toegangscontrole die het verkeer naar netwerkservices regelt door middel van de bestanden `/etc/hosts.allow` en `/etc/hosts.deny`, gebaseerd op de daemon en het client IP-adres. | | systemd IP access lists | Een mechanisme binnen systemd service-eenheden waarmee IP-adressen of netwerken expliciet kunnen worden toegestaan (`IPAddressAllow`) of geweigerd (`IPAddressDeny`) voor de processen die door die specifieke service worden beheerd. |

Cover

LSS - Lecture IV - Linux firewalling.pdf

Summary

# Introductie tot firewalls en hun functionaliteit Dit gedeelte introduceert het concept van een firewall, de oorsprong van de term en de functie ervan in netwerkbeveiliging, en legt de basis voor de latere discussie over specifieke firewalltechnologieën en hun plaats in het OSI-model [3](#page=3). ### 1.1 Wat is een firewall? Een firewall is een netwerkbeveiligingssysteem dat inkomend en uitgaand netwerkverkeer controleert en regelt op basis van vooraf bepaalde beveiligingsregels. De term "firewall" vindt zijn oorsprong in een muur die oorspronkelijk bedoeld was om een brand in aangrenzende gebouwen te beperken. In netwerkbeveiliging functioneert een firewall als een barrière tussen een vertrouwd intern netwerk en een onvertrouwd extern netwerk, zoals het internet [3](#page=3). ### 1.2 Firewalling op verschillende lagen van het OSI-model Firewalls kunnen opereren op verschillende lagen van het Open Systems Interconnection (OSI) model. Het OSI-model bestaat uit zeven lagen: Fysiek (Layer 1), Datalink (Layer 2), Netwerk (Layer 3), Transport (Layer 4), Sessie (Layer 5), Presentatie (Layer 6) en Applicatie (Layer 7) [5](#page=5). #### 1.2.1 Netwerkfirewalls Netwerkfirewalls opereren voornamelijk op de netwerk- en transportlagen van het OSI-model. Ze inspecteren netwerkpakketten op basis van informatie zoals IP-adressen en poortnummers [5](#page=5) [7](#page=7). * **Netwerkgebaseerde netwerkfirewalls** bevinden zich op gateways voor meerdere hosts en inspecteren de pakketten die zij moeten doorsturen. Ze kunnen bestaan uit speciale hardware of software op algemene hardware. Voorbeelden hiervan zijn Cisco, Netgate, netfilter/iptables, pfSense [7](#page=7). * **Hostgebaseerde netwerkfirewalls** bevinden zich op een enkele host en inspecteren zowel inkomende als uitgaande pakketten. Ze draaien vaak als een daemon of service. Voorbeelden zijn netfilter/iptables en Windows Defender Firewall [7](#page=7). #### 1.2.2 Applicatiefirewalls Applicatiefirewalls, ook wel bekend als next-generation firewalls (NGFW), opereren op hogere lagen van het OSI-model, met name de applicatielaag. Ze voeren inspectie uit van de inhoud van de data, voorbij de basispakketinformatie die netwerkfirewalls gebruiken [5](#page=5) [6](#page=6). * **Netwerkgebaseerde applicatiefirewalls** bevinden zich op gateways voor meerdere hosts en fungeren vaak als een (reverse) proxy. Ze zijn specifiek voor bepaalde applicatieprotocollen en voeren contentinspectie uit, bijvoorbeeld op virussen of exploits. Voorbeelden zijn Web Application Firewalls (WAF), ModSecurity (Modsec) en Cloudflare's Cloud WAF [6](#page=6). * **Hostgebaseerde applicatiefirewalls** draaien op een enkele host en bieden sandboxing voor meerdere applicaties. Next-generation firewalls maken hierbij vaak gebruik van Mandatory Access Control (MAC). Voorbeelden zijn AppArmor en SELinux [6](#page=6). ### 1.3 Samenwerking tussen firewalls Een applicatiefirewall werkt complementair aan een netwerkfirewall. De netwerkfirewall wordt vaak beschouwd als de eerste verdedigingslinie en is vaak ingebouwd in het besturingssysteem. Dit gelaagde beveiligingsmodel biedt een meer robuuste bescherming door verschillende aspecten van het netwerkverkeer op verschillende niveaus te inspecteren en te controleren [8](#page=8). --- # Netfilter en iptables in Linux Dit deel van de studiehandleiding behandelt Netfilter, de ingebouwde netwerkfirewall van Linux, en de bijbehorende gebruikersruimte-tool iptables. We duiken dieper in de architectuur van Netfilter, inclusief tabellen, chains en hooks, en demonstreren hoe iptables wordt gebruikt voor het configureren van regels [9](#page=9). ### 2.1 Introductie tot Netfilter Netfilter is een stateful packet-filtering firewall die sinds kernelversie 2.4 deel uitmaakt van de Linux kernel. Het werd ontwikkeld door Paul “Rusty” Russell en is een fundamenteel onderdeel van de netwerkbeveiliging in Linux. De oorspronkelijke documentatie beschrijft de ontwikkeling als een "grote strijd en heldhaftige daden" met als doel "de derde leeftijd van Linux firewalling" in te luiden [12](#page=12). Netfilter is meer dan alleen iptables; het is een framework dat op verschillende niveaus kan worden benaderd. Naast iptables zijn er ook andere gebruikersruimte-tools zoals `nft / nftables`, `xtables`, en oudere tools zoals `ip6tables`, `arptables`, en `ebtables` die specifiek waren voor IPv6, ARP en Ethernet-frames [10](#page=10). > **Tip:** Onthoud dat Netfilter een kernelcomponent is, terwijl iptables een gebruikersruimte-tool is om deze te configureren. ### 2.2 Architectuur van Netfilter De kern van Netfilter bestaat uit tabellen, chains en regels [13](#page=13). #### 2.2.1 Tabellen Netfilter organiseert zijn functionaliteit in verschillende tabellen, elk met een specifiek doel: * **filter**: Dit is de standaardtabel en wordt gebruikt voor algemene pakketfiltering [16](#page=16). * **nat**: Deze tabel wordt geraadpleegd wanneer een pakket wordt aangetroffen dat een nieuwe verbinding creëert, en wordt gebruikt voor Netwerkadresvertaling (NAT) [16](#page=16). * **mangle**: Een speciale tabel die kan worden gebruikt voor het aanpassen van pakketten [16](#page=16). * **raw**: Dit is de tabel met de hoogste prioriteit en wordt aangeroepen vóór alle andere tabellen. Het wordt voornamelijk gebruikt voor uitzonderingen in connection tracking [16](#page=16). * **security**: Deze tabel wordt gebruikt voor verplichte toegangscontrole netwerkregels (Mandatory Access Control), zoals die ingeschakeld door `SECMARK` en `CONNSECMARK` targets [16](#page=16). Tabelnamen worden in kleine letters geschreven [18](#page=18). #### 2.2.2 Chains Binnen elke tabel bevinden zich chains, die fungeren als logische groepen van regels. Netfilter heeft vijf belangrijke "hooks" in de netwerkstack van de Linux kernel, die corresponderen met vijf iptables chains [14](#page=14): 1. **PREROUTING**: Voor pakketten zodra ze binnenkomen in het netwerkapparaat [14](#page=14). 2. **INPUT**: Voor pakketten die bestemd zijn voor lokale sockets op de machine zelf [14](#page=14). 3. **FORWARD**: Voor pakketten die via de machine worden gerouteerd naar een andere bestemming [14](#page=14). 4. **OUTPUT**: Voor pakketten die lokaal worden gegenereerd door processen op de machine [14](#page=14). 5. **POSTROUTING**: Voor pakketten vlak voordat ze het systeem verlaten, na routingbeslissingen [14](#page=14). Chains worden in hoofdletters geschreven [18](#page=18). > **Tip:** De `PREROUTING` en `POSTROUTING` chains worden gebruikt voor pakketten die door de machine worden gerouteerd (niet bestemd voor de machine zelf), terwijl `INPUT` en `OUTPUT` worden gebruikt voor verkeer dat de lokale machine betreft. De `FORWARD` chain is specifiek voor pakketten die worden doorgestuurd [15](#page=15). #### 2.2.3 Hooks en Packet Flow De packet filtering "hooks" zijn de punten in de Linux kernel netwerkstack waar Netfilter pakketten kan inspecteren en manipuleren. Een gedetailleerd overzicht van de packet flow toont hoe pakketten door de verschillende tabellen en chains gaan, afhankelijk van hun oorsprong en bestemming [14](#page=14) [19](#page=19). > **Example:** Een inkomend pakket dat bestemd is voor de lokale machine zal de `PREROUTING` hook passeren, vervolgens de `filter` tabel doorlopen (indien van toepassing) en uiteindelijk de `INPUT` chain bereiken. Een pakket dat lokaal wordt gegenereerd, doorloopt de `OUTPUT` chain en kan daarna de `POSTROUTING` chain passeren voordat het het netwerk verlaat [19](#page=19). ### 2.3 De iptables Tool `iptables` is de gebruikersruimte-applicatie die wordt gebruikt om de regels in de Netfilter kernelmodules te configureren [10](#page=10). #### 2.3.1 Huidige regels bekijken Om de momenteel geconfigureerde regels te bekijken, gebruikt men de `iptables -L` commando. Optioneel kan men met de `-t` vlag een specifieke tabel specificeren, bijvoorbeeld `iptables -t raw -L` om de regels in de `raw` tabel te tonen. Standaard toont `iptables -L` de regels van de `filter` tabel [23](#page=23). > **Example:** > ```bash > sudo iptables -L > ``` > Dit commando toont de chains `INPUT`, `FORWARD` en `OUTPUT` met hun standaard policies en eventuele regels [23](#page=23). #### 2.3.2 Standaard Policies (Default Policy) Elke chain heeft een standaard policy die bepaalt wat er met pakketten gebeurt die niet door een specifieke regel worden gematcht. Veelvoorkomende policies zijn `ACCEPT` (doorgelaten) en `DROP` (stilletjes genegeerd) [24](#page=24). > **Tip:** Het is een goede beveiligingspraktijk om de default policy van de `FORWARD` en `INPUT` chains in te stellen op `DROP` en alleen expliciet benodigde verkeer toe te staan [24](#page=24). > **Example:** > ```bash > sudo iptables -P FORWARD DROP > ``` > Dit commando stelt de standaard policy van de `FORWARD` chain in op `DROP`, wat betekent dat al het verkeer dat bedoeld is om te worden doorgestuurd, standaard wordt geweigerd [24](#page=24). #### 2.3.3 Firewallregels toevoegen Regels kunnen worden toegevoegd aan chains met de `-A` (append) of `-I` (insert) opties [25](#page=25). * **Append (`-A`)**: Voegt een regel toe aan het einde van een chain [25](#page=25). > **Example:** `iptables -A FORWARD -j LOG` voegt een regel toe aan het einde van de `FORWARD` chain die al het verkeer logt [25](#page=25). * **Insert (`-I`)**: Voegt een regel in op een specifieke positie binnen een chain [25](#page=25). > **Example:** `iptables -I FORWARD 3 -j LOG` voegt een regel toe als de derde regel in de `FORWARD` chain [25](#page=25). #### 2.3.4 Targets Een target bepaalt de actie die wordt uitgevoerd op een pakket dat aan de regels voldoet. Veelgebruikte targets zijn [26](#page=26): * **ACCEPT**: Sta het pakket toe [26](#page=26). * **DROP**: Negeer het pakket stilzwijgend [26](#page=26). * **REJECT**: Sta het pakket niet toe en stuur een foutmelding terug naar de afzender [26](#page=26). * **LOG**: Log het pakket voor analyse, maar laat het daarna doorgaan naar het volgende target [26](#page=26). #### 2.3.5 Regelcriteria Regels specificeren criteria waaraan een pakket moet voldoen om gematcht te worden. Belangrijke criteria zijn [27](#page=27): * `-s` of `--source`: Bronadres of netwerk [27](#page=27). * `-d` of `--destination`: Bestemmingsadres of netwerk [27](#page=27). * `-p` of `--protocol`: Het protocol (bv. `tcp`, `udp`, `icmp`) [27](#page=27). Daarnaast kunnen modules worden gebruikt voor meer gedetailleerde matching. Raadpleeg `man iptables` en `man iptables-extensions` voor een volledig overzicht [27](#page=27). > **Example:** > ```bash > iptables -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT > ``` > Deze regel staat ICMP-verkeer toe vanaf het netwerk `192.168.1.0/24` naar de `INPUT` chain [27](#page=27). > **Example met module:** > ```bash > iptables -A INPUT -s 192.168.111.100 -p icmp -m length --length 200:1500 -j DROP > ``` > Deze regel dropt ICMP-pakketten van het adres `192.168.111.100` met een lengte tussen 200 en 1500 bytes, die de `INPUT` chain bereiken [27](#page=27). #### 2.3.6 Firewallregels verwijderen Het verwijderen van regels is een kritiek onderdeel van het beheer van de firewall [28](#page=28). * **Regelnummers weergeven**: Gebruik `iptables -L --line-numbers` om regels met hun nummers te zien [28](#page=28). * **Specifieke regel verwijderen**: Gebruik de `-D` (delete) optie met het chain- en regelnummer [28](#page=28). > **Example:** `iptables -D FORWARD 3` verwijdert de derde regel uit de `FORWARD` chain [28](#page=28). * **Alle regels in een chain verwijderen**: Gebruik de `-F` (flush) optie [28](#page=28). > **Example:** `iptables -F FORWARD` verwijdert alle regels uit de `FORWARD` chain [28](#page=28). * **Alle regels in alle chains van een tabel verwijderen**: Gebruik de `-F` optie zonder chain specificatie voor de standaard (filter) tabel [28](#page=28). > **Example:** `iptables -F` verwijdert alle regels uit alle chains van de `filter` tabel [28](#page=28). #### 2.3.7 Waarschuwingen Wees extreem voorzichtig bij het configureren van iptables, vooral via SSH. Een verkeerde commando kan ervoor zorgen dat u permanent buitengesloten wordt totdat de machine fysiek wordt benaderd [29](#page=29). > **Warning:** Configureer altijd eerst de regels die toegang verlenen tot de server (bijvoorbeeld SSH-toegang) voordat u andere regels instelt die mogelijk de toegang kunnen blokkeren. Test wijzigingen grondig en houd een fallback-methode beschikbaar [29](#page=29). --- # Nieuwere firewalltechnologie: nftables Dit gedeelte introduceert nftables als de opvolger van iptables, met een focus op de nieuwe kernel-backend (nf_tables) en de bijbehorende gebruikersruimte-tool nft, waarbij de voordelen, verschillen en syntax worden besproken [30](#page=30). ### 3.1 Introductie tot nftables Nftables is de moderne opvolger van iptables en maakt gebruik van de nieuwe kernel-backend `nf_tables`, wat staat voor Netfilter. Het hergebruikt de bestaande hook-infrastructuur van Netfilter, de zogenaamde "chains". Nftables is beschikbaar in de Linux kernel vanaf versie 3.13 en wordt beheerd door de `nft` gebruikersruimte-tool. Een significant verschil is de introductie van een nieuwe, meer compacte syntax. Hoewel de nieuwe syntax de voorkeur heeft, kan de oude iptables-syntax nog steeds worden gebruikt en wordt deze vertaald naar de `nf_tables` backend [31](#page=31). ### 3.2 Voordelen van nftables ten opzichte van iptables Nftables biedt verschillende verbeteringen ten opzichte van iptables: * **Verbeterde prestaties**: Sneller pakketclassificatie wordt mogelijk gemaakt [33](#page=33). * **Betere ondersteuning voor dynamische regelaanpassingen**: Het bijwerken van regelsets is efficiënter [33](#page=33). * **Uniforme syntax**: Adres, protocol en extensiespecifieke inconsistenties van iptables worden aangepakt, wat leidt tot een nettere en compactere syntax [33](#page=33). * **Universele tool**: Met `nft` kunnen alle adresfamilies (IPv4, IPv6, ARP, etc.) worden beheerd, wat de afzonderlijke tools zoals `iptables`, `ip6tables` en `arptables` vervangt [33](#page=33). * **Vereenvoudigd dual-stack beheer**: De nieuwe `inet` familie maakt het beheer van zowel IPv4 als IPv6 gemakkelijker [33](#page=33). ### 3.3 Nftables in distributies Vanaf Red Hat Enterprise Linux (RHEL) 8 gebruikt het `iptables`-commando de `nf_tables` backend, wat betekent dat de oude iptables-syntax wordt vertaald naar de nieuwe nftables-backend. Dit is te controleren met commando's als `which iptables` en `realpath USD(which iptables)` [34](#page=34). In Debian 11 is het `iptables`-commando niet langer standaard geïnstalleerd. De `nft`-commando is de voorgeschreven methode voor firewallbeheer [35](#page=35). > **Tip:** Controleer welke firewall-backend uw systeem gebruikt, vooral bij het migreren van oudere configuraties. Op moderne systemen is de kans groot dat `iptables` een alias is voor de `nftables` backend. ### 3.4 Nftables syntax: tabellen, chains en regels De configuratie in nftables is gestructureerd rond tabellen, chains en regels. #### 3.4.1 Tabellen (tables) Een tabel specificeert de adresfamilie waarvoor de regels gelden. De veelvoorkomende families zijn [36](#page=36): * `ip`: voor IPv4. Komt overeen met het oude `iptables` [36](#page=36). * `ip6`: voor IPv6. Komt overeen met het oude `ip6tables` [36](#page=36). * `inet`: voor zowel IPv4 als IPv6. Dit is een nieuwe familie die het beheer van dual-stack vereenvoudigt [33](#page=33) [36](#page=36). * `arp`: voor ARP-pakketten. Komt overeen met het oude `arptables` [36](#page=36). * `bridge`: voor bridge-filtering. Komt overeen met `ebtables` [36](#page=36). * `netdev`: maakt gebruik van de nieuwe `ingress`-hook [36](#page=36). Als er geen familie wordt gespecificeerd, is de standaardfamilie `ip` [36](#page=36). **Voorbeeld:** Een tabel aanmaken met de `inet` familie: `nft add table inet mytable` [36](#page=36). #### 3.4.2 Chains Chains zijn collecties van regels. Er zijn twee types [37](#page=37): * **Base chain**: Deze wordt gekoppeld aan de netwerkstack via hooks en heeft parameters als `type`, `hook` en `priority` [37](#page=37). * **Regular chain**: Deze worden voornamelijk gebruikt voor een betere organisatie van regels [37](#page=37). **Parameters van Base Chains:** * **Type**: Definieert het doel van de chain. Veelvoorkomende types zijn `filter` (standaard packet filtering), `nat` (voor Network Address Translation) en `route` (voor route lookup) [38](#page=38). * `filter`: Kan gebruikt worden met alle families en hooks [38](#page=38). * `nat`: Kan gebruikt worden met `ip`, `ip6` en `inet` families voor specifieke hooks [38](#page=38). * `route`: Kan gebruikt worden met `ip` en `ip6` families voor de `output` hook [38](#page=38). * **Hook**: Specificeert in welke fase van de pakketverwerking de chain actief wordt. De hooks zijn [39](#page=39): * `ingress`: Een nieuwe hook die beschikbaar is sinds kernel 4.2 via `nf_tables`, waarmee pakketten al zeer vroeg in de netwerkstack kunnen worden gefilterd. Dit biedt een vroeg detectiepunt voor verkeer [40](#page=40). * `prerouting`: Verwerking voor de routeringsbeslissing [39](#page=39). * `input`: Pakketten bestemd voor de lokale machine [39](#page=39). * `forward`: Pakketten die door de machine heen gerouteerd worden [39](#page=39). * `output`: Pakketten die door de machine zelf worden gegenereerd [39](#page=39). * `postrouting`: Verwerking na de routeringsbeslissing [39](#page=39). > **Tip:** De `ingress`-hook is krachtig omdat het alle verkeer voor een NIC ziet, zonder aannames over L2/L3 protocollen, wat zeer vroege filtering mogelijk maakt [40](#page=40). * **Priority**: Een integerwaarde die de volgorde van chains op dezelfde hook bepaalt. Lagere prioriteitswaarden hebben voorrang. Standaard prioriteitsnamen, die de volgorde aangeven, zijn: `raw` < `mangle` < `dstnat` < `filter` < `security` < `srcnat` [42](#page=42). **Voorbeeld:** Een base chain aanmaken: `nft add chain inet mytable mychain { type filter hook input priority filter \; policy accept \; }` [37](#page=37). #### 3.4.3 Regels (rules) Regels worden opgebouwd uit twee componenten: expressies en statements [43](#page=43). * **Expressies**: Bepalen wat er gematcht moet worden [43](#page=43). * **Statements**: Definiëren de actie die ondernomen moet worden bij een match [43](#page=43). **Voorbeeld van een regel:** `nft add rule inet mytable mychain tcp dport {80, 443} ct state new,established counter accept`. Deze regel accepteert TCP-verkeer naar poorten 80 en 443, telt het verkeer mee (`counter`) en markeert het als nieuw of gevestigd (`ct state new,established`) [43](#page=43). ### 3.5 Commando's en beheer De `nft` tool biedt een reeks commando's voor het beheren van tabellen, chains en regels [44](#page=44). * **Tabellen:** * `nft list tables []`: Toon tabellen [44](#page=44). * `nft list table [] [-n [-a]`: Toon specifieke tabel [44](#page=44). * `nft (add | delete | flush) table [] `: Voeg toe, verwijder of wis een tabel [44](#page=44). * **Chains:** * `nft (add | create) chain []

[ { type hook priority \; [policy \;] } ]`: Voeg een chain toe met specificaties [44](#page=44). * `nft (delete | list | flush) chain []

`: Verwijder, toon of wis een chain [44](#page=44). * **Regels:** * `nft add rule []

`: Voeg een regel toe [44](#page=44). * `nft insert rule []

[position ] `: Voeg een regel in op een specifieke positie [44](#page=44). * `nft replace rule []

Summary

# Andere symmetrische blokversleutelingen Dit gedeelte behandelt diverse symmetrische blokversleutelingsalgoritmen buiten AES, waaronder hun specifieke eigenschappen zoals blok- en sleutelgrootte, en het aantal rondes. ### 1.1 Overzicht van diverse symmetrische blokversleutelingen Er zijn diverse symmetrische blokversleutelingsalgoritmen die buiten de standaard AES vallen, elk met unieke kenmerken en toepassingen. Deze algoritmen variëren in blokgrootte, sleutelgrootte en het aantal rondes, wat hun beveiligingssterkte en prestaties beïnvloedt [2](#page=2). ### 1.2 Specifieke blokversleutelingsalgoritmen #### 1.2.1 Camellia Camellia is een symmetrisch blokversleutelingsalgoritme dat enigszins vergelijkbaar is met AES. Het biedt varianten met sleutelgroottes van 128, 192 en 256 bits, en hanteert een blokgrootte van 128 bits. Ondanks zijn verwantschap met AES, wordt Camellia momenteel niet opgenomen in de lijst van TLS1.3-ciphers. Het algoritme wordt echter ondersteund door Europese en Japanse normen en wordt beschouwd als een sterke concurrent voor AES [2](#page=2) [4](#page=4). #### 1.2.2 Kasumi Kasumi, ook bekend als A5/3 voor 3G-netwerken, is een blokversleutelaar met een sleutelgrootte van 128 bits en een blokgrootte van 64 bits. Er zijn aanvallen gepubliceerd op Kasumi [2](#page=2). #### 1.2.3 Blowfish Blowfish is een algoritme dat in het verleden een concurrent was van AES tijdens de NIST-competitie en wordt nog steeds gebruikt in sommige IPsec-configuraties [2](#page=2) [4](#page=4). #### 1.2.4 RC5 RC5 is een zeer parametriseerbaar algoritme. De variant RC5-32/16/16, die twee 32-bit woorden gebruikt, heeft 16 rondes en een sleutel van 16 bytes. RC5 werd ontwikkeld door Ron Rivest, de "R" van RSA [2](#page=2) [4](#page=4). #### 1.2.5 Skipjack Het Skipjack-algoritme werd voorgesteld voor gebruik in de "Clipper Chip" en werd in 1998 publiek gemaakt. Het wordt verondersteld te zijn ontworpen door de NSA [2](#page=2). #### 1.2.6 IDEA IDEA (International Data Encryption Algorithm) is vergelijkbaar met DES, maar met een sleutellengte van 128 bits. Het heeft een blokgrootte van 64 bits en vereist 8 rondes [2](#page=2). #### 1.2.7 PRESENT PRESENT is ontworpen als een lichtgewicht blokversleutelaar voor omgevingen met beperkte middelen, met als doel een hoge doorvoer te bereiken met een kleinere hardware-voetafdruk. Het heeft een blokgrootte van 64 bits. Algoritmen met een blokgrootte van 64 bits kunnen problemen met blokcollisies ondervinden bij grote hoeveelheden data, dus implementaties moeten ervoor zorgen dat de hoeveelheid data die met dezelfde sleutel wordt versleuteld, beperkt blijft en dat re-keying correct wordt geïmplementeerd. Een cryptanalyse-aanval op PRESENT-80 heeft een datacomplexiteit van maximaal 2^22 gekozen platte tekst en een computationele complexiteit van 2^79.34 [6](#page=6) [7](#page=7). #### 1.2.8 KATAN KATAN is ontworpen voor efficiënte hardware-implementaties en biedt een redelijke doorvoer. Echter, Bogdanov en Rechberger hebben de KATAN-familie van ciphers gebroken met een meet-in-the-middle-aanval die een tijdcomplexiteit van 2^75.170 en een datacomplexiteit van 3 heeft [6](#page=6). #### 1.2.9 PRINCE PRINCE is het eerste lichtgewicht blokversleutelingsontwerp dat zich richt op het verminderen van latentie. Het maakt gebruik van een niet-uitgerolde structuur vanaf het begin, wat de ontwerpmogelijkheden vergroot doordat niet elke ronde identiek hoeft te zijn. Een cryptanalyse-aanval op PRINCE bereikt een reductie van de sleutelzoekruimte met 2^1.28 [7](#page=7). #### 1.2.10 RECTANGLE RECTANGLE, gepubliceerd in 2014 en gecorrigeerd in 2015 na zwakheden in de differentiële cryptanalyse S-box, maakt gebruik van de bit-slice-techniek op een lichtgewicht manier. Dit resulteert in lage hardwarekosten en competitieve prestaties in software. Er zijn tot nu toe geen cryptanalyse-aanvallen op de volledige ronde bekend [7](#page=7). #### 1.2.11 SIMON en SPECK SIMON is een Feistel-cipher die goede flexibiliteit biedt met variaties in blok- en sleutelgroottes. SPECK biedt eveneens goede flexibiliteit. SIMON is geoptimaliseerd voor hardware-implementaties, terwijl SPECK geoptimaliseerd is voor software. Er zijn geen cryptanalyse-aanvallen op de volledige ronde bekend voor zowel SIMON als SPECK [7](#page=7). #### 1.2.12 Overige algoritmen en overwegingen * **DESX:** Een methode om de sterkte van DES te verhogen met behulp van drie sleutels: K, K1 en K2. De formule is $DES\text{-}X(M) = K2 \oplus DES_K(M \oplus K1)$ [4](#page=4). * **CAST en Twofish:** Deze waren concurrenten van AES in de NIST-competitie [4](#page=4). * **Gost89:** Een Russische versie van DES, vergelijkbaar in ontwerp en zwakheden, met een blokgrootte van 64 bits [4](#page=4). * **SM4:** Een Chinese alternatieve standaard voor AES [4](#page=4). * **ChaCha:** Een goed alternatief voor AES, dat zonder hardwareondersteuning sneller kan zijn dan AES [4](#page=4). * **SEED:** Een concurrerende 128-bits blokversleutelaar die prestatieverschillen met AES vertoont, vooral bij grotere bestanden. SEED ondersteunt geen 256-bits sleutels [3](#page=3). > **Tip:** Bij het overwegen van lichtgewicht blokversleutelaars voor IoT-domeinen is het belangrijk te onthouden dat "lichtgewicht" niet gelijk staat aan "zwakke cryptografie", maar verwijst naar lage eisen qua batterijverbruik, rekenkracht en geheugen [6](#page=6). > **Tip:** Wanneer blokversleutelaars met een 64-bits blokgrootte worden gebruikt, is het cruciaal om de hoeveelheid versleutelde data met dezelfde sleutel te beperken om potentiële problemen met blokcollisies te voorkomen [7](#page=7). --- # Lightweight block ciphers Dit onderwerp verkent lichtgewicht blokcijfers die specifiek ontworpen zijn voor Internet of Things (IoT) domeinen, waarbij de nadruk ligt op het minimaliseren van energieverbruik, rekenkracht en geheugengebruik, zonder concessies te doen aan de beveiliging [6](#page=6). ### 2.1 Definitie en doel van lichtgewicht blockversleuteling Lichtgewicht blokcijfers zijn cryptografische algoritmen die zijn geoptimaliseerd voor omgevingen met beperkte middelen, zoals die vaak voorkomen in IoT-toepassingen. Het "lichtgewicht" aspect verwijst naar een lage vereiste voor batterijvermogen, rekenkracht en geheugen. Het is cruciaal om te benadrukken dat "lichtgewicht" niet synoniem staat voor "zwak". Veelal worden prestatiebeperkingen ten onrechte gebruikt als excuus om zwakke oplossingen te rechtvaardigen. Een blokgrootte van 128 bits is niet altijd noodzakelijk voor deze toepassingen [6](#page=6). ### 2.2 Overzicht van specifieke lichtgewicht blockcijfers De volgende algoritmen worden genoemd als voorbeelden van lichtgewicht blockcijfers, hoewel de vermelding ervan puur ter informatie is [6](#page=6). #### 2.2.1 AES AES (Advanced Encryption Standard) is weliswaar het bekendste blockcijfer, maar wordt als te duur beschouwd voor kleine, resource-beperkte apparaten, voornamelijk ontworpen voor softwarematige implementaties. De beste bekende shortcut-aanval op de volledige versies van AES is een biclique-aanval uit 2011, die alle 10 rondes van AES128 breekt met een tijdscomplexiteit van $2^{126.18}$ en een datacomplexiteit van $2^{88}$. Deze cijfers zijn echter nog steeds te hoog om praktisch relevant te zijn. Alleen side-channel aanvallen hebben een redelijke kans om AES te breken [6](#page=6). #### 2.2.2 KATAN KATAN is ontworpen met efficiënte hardware-implementatie in gedachten, terwijl het toch een redelijke doorvoer levert. De KATAN-familie van cijfers werd voor het eerst gebroken door Bogdanov en Rechberger met een meet-in-the-middle aanval, die een tijdscomplexiteit van $2^{75.170}$ en een datacomplexiteit van $2^{34}$ heeft [6](#page=6). #### 2.2.3 PRESENT Net als KATAN is PRESENT ontworpen als een lichtgewicht blockcijfer voor omgevingen met beperkingen. PRESENT vertoont zeer vergelijkbare kenmerken als KATAN, maar biedt een hogere doorvoer met een kleiner hardware-oppervlak. PRESENT heeft een blokgrootte van 64 bits [7](#page=7). > **Tip:** Alle blockcijfers met een blokgrootte van 64 bits kunnen problemen veroorzaken met blokcollisies bij gebruik met grote hoeveelheden data. Implementaties moeten ervoor zorgen dat de hoeveelheid data die met dezelfde sleutel wordt versleuteld, beperkt blijft en dat het opnieuw sleutelen correct wordt geïmplementeerd [7](#page=7). Een cryptanalyse-aanval op PRESENT-80 heeft een datacomplexiteit van maximaal $2^{22}$ gekozen plainteksten en een computationele complexiteit van $2^{79.34}$. PRESENT is een anagram van SERPENT, een concurrent van AES in de NIST-competitie [7](#page=7). #### 2.2.4 PRINCE PRINCE is het eerste lichtgewicht blockcijferontwerp dat zich richt op het verminderen van latentie. Traditionele blockcijfers zijn iteratieve algoritmen met vrijwel identieke rondfuncties. Door vanaf het begin te kiezen voor een "unrolled" structuur, neemt de ontwerruimte aanzienlijk toe, omdat niet elke ronde identiek hoeft te zijn. Een cryptanalyse-aanval op PRINCE bereikt een reductie van de sleutelzoekruimte met $2^{1.28}$ [7](#page=7). #### 2.2.5 RECTANGLE RECTANGLE werd gepubliceerd in 2014 en gecorrigeerd in 2015 na zwakheden in de S-box bij differentiële cryptanalyse. Het ontwerp van RECTANGLE maakt gebruik van de bit-slice techniek op een lichtgewicht manier, wat niet alleen resulteert in zeer lage hardwarekosten, maar ook in zeer concurrerende prestaties in software. Er zijn tot op heden geen volledige ronde cryptanalyse-aanvallen bekend op RECTANGLE [7](#page=7). #### 2.2.6 SIMON en SPECK SIMON is een Feistelcijfer met goede flexibiliteit, wat zich uit in variaties van blok- en sleutelgroottes die tot veel verschillende varianten leiden. SPECK vertoont eveneens goede flexibiliteit met variaties in blok- en sleutelgroottes. SIMON is geoptimaliseerd voor hardware-implementaties, terwijl SPECK geoptimaliseerd is voor software. Er zijn geen volledige ronde cryptanalyse-aanvallen bekend op SIMON en SPECK [7](#page=7). --- # Format-preserving encryption (FPE) Format-preserving encryption (FPE) is een type blokversleuteling dat ervoor zorgt dat de cijfertekst hetzelfde 'formaat' behoudt als de platte tekst. Dit is met name nuttig voor het opslaan van gegevens in legacy systemen die niet zijn aangepast om om te gaan met versleutelde formaten [8](#page=8). ### 3.1 Concept en werking In essentie maakt FPE gebruik van een geheime sleutel om een pseudo-willekeurige permutatie of substitutie te genereren, waarbij de output (cijfertekst) dezelfde structuur heeft als de input (platte tekst). Een 16-cijferig creditcardnummer dat met FPE is versleuteld, blijft bijvoorbeeld een 16-cijferig nummer [8](#page=8). > **Tip:** FPE is specifiek ontworpen om de oorspronkelijke datastructuur te behouden, wat integratie in bestaande systemen vereenvoudigt. FPE is niet compatibel met gangbare cipher modes of operation (zoals CBC). Dit komt doordat deze modes vaak een initialisatievector (IV) toevoegen, wat de omvang van de cijfertekst vergroot en mogelijk ongeldige karakters introduceert. Aangezien het versleutelen van meerdere blokken doorgaans geen vereiste is bij het gebruik van FPE, is dit geen significant probleem [8](#page=8). ### 3.2 Vergelijking met tokenization Tokenization wordt soms als alternatief voor FPE genoemd. Bij tokenization wordt gevoelige informatie verplaatst naar een aparte kluis en vervangen door tokenreferenties. Dit vereist een wijziging in de database structuur, aangezien het token qua grootte en formaat niet overeenkomt met de originele gegevens [8](#page=8). ### 3.3 Beperkingen Het gebruik van FPE wordt afgeraden voor kleine domeinen, zoals een "Ja/Nee" antwoord. Sommige FPE-algoritmes vereisen een domeingrootte van minimaal één miljoen [9](#page=9). --- # Openssl ciphers en geauthenticeerde modi Dit onderwerp introduceert het gebruik van openssl om beschikbare ciphers te inspecteren en bespreekt geauthenticeerde modi zoals GCM en CCM, en de ChaCha20-Poly1305 combinatie. ### 4.1 Openssl ciphers De lijst met beschikbare ciphers op een specifiek systeem kan worden opgevraagd met het commando `openssl enc –ciphers`. Deze lijst kan variëren afhankelijk van de openssl-versie [4](#page=4). #### 4.1.1 Voorbeelden van ciphers Verschillende ciphers en hun kenmerken worden genoemd: * **DESX:** Een methode om de sterkte van DES te verhogen door drie sleutels te gebruiken (K, K1, K2). K1 en K2 worden gebruikt om de boodschap of het resultaat te XOR-en volgens de formule $DESX(M) = K2 \oplus DESK(M \oplus K1)$ [4](#page=4). * **BF (Blowfish):** Een voorganger van Twofish [4](#page=4). * **CAST en Twofish:** Competitors van AES in de NIST-competitie [4](#page=4). * **Camellia:** Een Feistel-cipher met een vergelijkbare sterkte als AES, met meer ondersteuning vanuit Europa en Japan [4](#page=4). * **RC2:** Een oudere block cipher, ontwikkeld door Ron Rivest, die losstaat van de stream cipher RC4. RC2 werd gunstig behandeld door Amerikaanse exportregelgeving vanwege de beperkte sleutelgrootte van 40 bits [4](#page=4). * **Gost89:** Een Russische implementatie van DES, met een vergelijkbaar ontwerp en zwakheden, en een blokgrootte van 64 bits [4](#page=4). * **SM4:** Een Chinese tegenhanger van AES [4](#page=4). * **Chacha:** Een goed alternatief voor AES. Zonder hardwareondersteuning, die standaard voor AES beschikbaar is, kan Chacha sneller zijn dan AES [4](#page=4). > **Tip:** De commando `ssh -Q cipher` kan worden gebruikt om de ciphers te vinden die door de SSH-versie worden ondersteund [5](#page=5). ### 4.2 Geauthenticeerde modi Geauthenticeerde modi bieden naast vertrouwelijkheid ook integriteit en authenticiteit van de data. GCM, CCM en de combinatie van ChaCha20 en Poly1305 zijn voorbeelden van dergelijke modi [5](#page=5). * **GCM (Galois Counter Mode):** Een uitbreiding van de CTR-modus [5](#page=5). * **ChaCha20-Poly1305:** Deze combinatie maakt het mogelijk dat ChaCha20 de symmetrische encryptie verzorgt en Poly1305 de authenticatie. Deze modi zullen later in de cursus gedetailleerder worden behandeld [5](#page=5). --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

Glossary

| Term | Definition | |------|------------| | Symmetrische encryptie | Een vorm van cryptografie waarbij dezelfde geheime sleutel wordt gebruikt voor zowel encryptie als decryptie van gegevens, wat een snelle en efficiënte methode is voor het beveiligen van grote hoeveelheden data. | | Blokversleuteling | Een type symmetrische encryptie dat gegevens verwerkt in vaste blokken van een bepaalde grootte, waarbij elk blok afzonderlijk wordt versleuteld met behulp van een algoritme en een geheime sleutel. | | AES | Advanced Encryption Standard, een veelgebruikte blokversleutelingsalgoritme dat door de Amerikaanse overheid is goedgekeurd en bekend staat om zijn sterke beveiliging en efficiëntie, met sleutelgroottes van 128, 192 en 256 bits. | | Camellia | Een symmetrisch blokversleutelingsalgoritme dat vergelijkbaar is met AES, met varianten voor sleutelgroottes van 128, 192 en 256 bits en een blokgrootte van 128 bits, dat voornamelijk ondersteuning geniet in Europa en Japan. | | Kasumi | Een blokversleutelingsalgoritme met een blokgrootte van 64 bits en een sleutelgrootte van 128 bits, dat gebruikt wordt in 3G-netwerken (A5/3) en waarvoor enkele aanvallen zijn gepubliceerd. | | Blowfish | Een blokversleutelingsalgoritme dat een voorganger was van Twofish en werd overwogen als concurrent voor AES, en dat wordt gebruikt in sommige IPsec-configuraties. | | RC5 | Een sterk parametriseerbaar blokversleutelingsalgoritme, waarbij een specifieke variant (RC5-32/16/16) wordt gebruikt met twee 32-bit woorden, 16 rondes en een 16-byte sleutel. | | Skipjack | Een blokversleutelingsalgoritme dat werd voorgesteld voor gebruik in de Clipper Chip en in 1998 openbaar werd gemaakt, vermoedelijk ontworpen door de NSA, met een blokgrootte van 64 bits en een sleutelgrootte van 80 bits. | | IDEA | International Data Encryption Algorithm, een blokversleutelingsalgoritme dat vergelijkbaar is met DES maar met een langere sleutelgrootte van 128 bits en een blokgrootte van 64 bits. | | PRESENT | Een lichtgewicht blokversleutelingsalgoritme ontworpen voor beperkte omgevingen, met een blokgrootte van 64 bits, dat een hogere doorvoer biedt met een lager hardwaregebruik in vergelijking met KATAN. | | KATAN | Een blokversleutelingsalgoritme dat is ontworpen voor efficiënte hardware-implementaties en een redelijke doorvoer biedt, met verschillende varianten zoals KTANTAN. | | PRINCE | Een lichtgewicht blokversleutelingsontwerp dat zich richt op het verminderen van latentie door een 'unrolled' structuur te gebruiken in plaats van identieke rondes, wat de ontwerpmogelijkheden vergroot. | | RECTANGLE | Een blokversleutelingsalgoritme dat gebruik maakt van de 'bit-slice' techniek op een lichtgewicht manier, ontworpen voor lage hardwarekosten en concurrerende softwareprestaties, gecorrigeerd in 2015 na kwetsbaarheden. | | SIMON en SPECK | Een reeks flexibele Feistel-cijfers met variaties in blok- en sleutelgroottes, waarbij SIMON is geoptimaliseerd voor hardware-implementaties en SPECK voor software-implementaties. | | Lightweight crypto | Cryptografische algoritmen die zijn ontworpen om te functioneren in omgevingen met beperkte middelen, zoals IoT-apparaten, waarbij rekening wordt gehouden met laag energieverbruik, rekenkracht en geheugengebruik. | | Format Preserving Encryption (FPE) | Een methode van encryptie waarbij de cijfertekst hetzelfde formaat behoudt als de platte tekst, zodat versleutelde gegevens in legacy systemen kunnen worden opgeslagen zonder de structuur van de database te wijzigen. | | Tokenization | Een beveiligingsmethode waarbij gevoelige informatie wordt vervangen door een unieke token, waarbij de originele gegevens worden opgeslagen in een aparte, beveiligde opslag (vault), wat vaak een wijziging van de database-structuur vereist. | | GCM | Galois Counter Mode, een geauthenticeerde modus van werking die wordt gebruikt voor zowel encryptie als authenticatie van gegevens, gebaseerd op de CTR-modus. | | CCM | Counter mode with CBC-MAC, een andere geauthenticeerde modus van werking die de beveiliging van encryptie en authenticatie combineert, vaak gebruikt in netwerkprotocollen. | | ChaCha20 en Poly1305 | Een combinatie van een stroomversleuteling (ChaCha20) en een message authentication code (Poly1305) die wordt gebruikt voor het realiseren van geauthenticeerde encryptie, met goede prestaties in software zonder specifieke hardwareondersteuning. | | DESX | Een methode om de sterkte van DES te verhogen door het toevoegen van extra XOR-bewerkingen met behulp van drie sleutels, wat resulteert in DES-X(M)=K2⊕DESK(M⊕K1). | | Gost89 | Een Russisch encryptie-algoritme dat qua ontwerp en zwakheden vergelijkbaar is met DES, met een blokgrootte van 64 bits. | | SM4 | Een Chinees alternatief voor AES, ontwikkeld door het Chinese leger, met een blokgrootte van 128 bits en sleutelgroottes van 128 bits. |