LSS - Lecture IV - Linux firewalling.pdf

Summary

# Concept en typen firewalls Een firewall fungeert als een digitale verdedigingslinie die inkomend en uitgaand netwerkverkeer reguleert op basis van vooraf gedefinieerde beveiligingsregels. ## 1. Concept en typen firewalls ### 1.1 Wat is een firewall? Een firewall is een netwerkbeveiligingssysteem dat is ontworpen om inkomend en uitgaand netwerkverkeer te monitoren en te controleren op basis van vooraf bepaalde beveiligingsregels. Het functioneert als een barrière tussen een vertrouwd intern netwerk en een onbetrouwbaar extern netwerk, zoals het internet. De oorspronkelijke betekenis van het woord "firewall" verwees naar een muur die was bedoeld om een brand in een gebouw te beperken [3](#page=3). ### 1.2 Firewalling op verschillende lagen Firewalls kunnen opereren op verschillende lagen van het OSI-model: * **Lagen 1-7:** Het OSI-model bestaat uit zeven lagen: Fysiek, Datalink, Netwerk, Transport, Sessie, Presentatie en Applicatie [5](#page=5). * **Netwerkfirewalls:** Deze opereren typisch op de netwerklaag (laag 3) en/of de transportlaag (laag 4) [5](#page=5). * **Applicatiefirewalls:** Deze opereren op de applicatielaag (laag 7) [5](#page=5). ### 1.3 Typen firewalls Firewalls kunnen worden geclassificeerd op basis van hun locatie (netwerk- of hostgebaseerd) en de lagen waarop ze opereren (netwerk- of applicatiefirewalls). #### 1.3.1 Netwerkgebaseerde firewalls Netwerkgebaseerde firewalls bevinden zich op gateways die meerdere hosts bedienen. Ze inspecteren pakketten die moeten worden doorgestuurd. Deze kunnen worden geïmplementeerd als dedicated hardware of als software op algemene hardware [7](#page=7). * **Voorbeelden:** * **Dedicated hardware:** Cisco, Netgate [7](#page=7). * **Software:** netfilter/iptables, pfSense [7](#page=7). #### 1.3.2 Hostgebaseerde firewalls Hostgebaseerde firewalls worden op een enkele computer geïnstalleerd. Ze inspecteren zowel inkomende als uitgaande pakketten. Ze functioneren vaak als een daemon of service op het besturingssysteem [7](#page=7). * **Voorbeelden:** * netfilter/iptables, Windows Defender Firewall [7](#page=7). #### 1.3.3 Applicatiefirewalls Applicatiefirewalls, ook wel bekend als next-generation firewalls (NGFW), zijn specifiek ontworpen om verkeer op applicatieniveau te inspecteren. Ze kunnen diepgaande inhoudsinspectie uitvoeren, zoals het controleren op virussen of exploits [6](#page=6). * **Netwerkgebaseerde applicatiefirewalls:** * Bevinden zich op gateways voor meerdere hosts, vaak als (reverse) proxy [6](#page=6). * Specifiek voor bepaalde applicatieprotocollen en voeren inhoudsinspectie uit [6](#page=6). * **Voorbeelden:** Web Application Firewall (WAF), ModSecurity (Modsec), Cloudflare’s Cloud WAF [6](#page=6). * **Hostgebaseerde applicatiefirewalls:** * Bevinden zich op een enkele host [6](#page=6). * Bieden sandboxing voor meerdere applicaties [6](#page=6). * Nieuwere generaties maken vaak gebruik van Mandatory Access Control (MAC) [6](#page=6). * **Voorbeelden:** AppArmor, SELinux [6](#page=6). ### 1.4 Samenwerking van firewalls Een applicatiefirewall werkt complementair aan een netwerkfirewall. De netwerkfirewall dient vaak als de eerste verdedigingslinie. Veel netwerkfirewalls zijn al ingebouwd in het besturingssysteem [8](#page=8). --- # Netfilter, iptables en nftables Dit deel van de cursus behandelt de ingebouwde netwerkfirewalls van Linux, Netfilter, en de gebruikersapplicaties iptables en het modernere nftables [9](#page=9). ### 2.1 Netfilter: de kernel-subsystemen Netfilter is de firewall-subsystemen in de Linux-kernel dat pakketfiltering, NAT en andere pakketmanipulaties mogelijk maakt. Het is sinds kernelversie 2.4 aanwezig in Linux en werd destijds geïnitieerd door Paul “Rusty” Russell [10](#page=10) [11](#page=11) [12](#page=12). Netfilter werkt met tabellen, chains en regels [13](#page=13): * **Tabellen**: Groeperen gerelateerde functionaliteiten. * **Chains**: Sequenties van regels binnen een tabel. * **Regels**: De fundamentele configuratie-items die criteria bevatten om verkeer te matchen en acties uit te voeren op het gematchte verkeer [13](#page=13). #### 2.1.1 Packet filtering hooks en chains Netfilter heeft vijf packet filtering "hooks" in de netwerkstack van de Linux-kernel, die corresponderen met vijf iptables chains [14](#page=14): 1. **PREROUTING**: Verwerkt pakketten zodra ze binnenkomen [14](#page=14). 2. **INPUT**: Verwerkt pakketten die bestemd zijn voor lokale sockets [14](#page=14). 3. **FORWARD**: Verwerkt pakketten die via het systeem worden gerouteerd [14](#page=14). 4. **OUTPUT**: Verwerkt pakketten die lokaal worden gegenereerd [14](#page=14). 5. **POSTROUTING**: Verwerkt pakketten vlak voordat ze het systeem verlaten [14](#page=14). Deze chains zijn visueel weergegeven in een vereenvoudigd schema [15](#page=15). #### 2.1.2 Netfilter tabellen Er zijn vijf hoofdtabellen in Netfilter [16](#page=16): 1. **filter**: De standaardtabel voor packet filtering [16](#page=16). 2. **nat**: Wordt geraadpleegd wanneer een pakket een nieuwe verbinding creëert, voornamelijk voor Network Address Translation [16](#page=16). 3. **mangle**: Een speciale tabel voor packet-aanpassingen [16](#page=16). 4. **raw**: Heeft de hoogste prioriteit en wordt gebruikt voor uitzonderingen in connection tracking [16](#page=16). 5. **security**: Gebruikt voor mandatory access control netwerkregels, zoals SECMARK en CONNSECMARK targets, voor SELinux en andere beveiligingsmodules [16](#page=16). Het is belangrijk om onderscheid te maken tussen tabel- en chainnamen; tabelnamen zijn doorgaans in kleine letters (bv. `filter`), terwijl chainnamen in hoofdletters staan (bv. `INPUT`). Een gedetailleerd overzicht van het packet-flow door deze componenten is beschikbaar [18](#page=18) [19](#page=19). ### 2.2 iptables: de klassieke gebruikerstool `iptables` is de traditionele command-line tool voor het beheren van de Netfilter-firewall [22](#page=22). #### 2.2.1 Huidige regels bekijken Men kan de huidige regels van specifieke tabellen of de standaard `filter` tabel bekijken met de volgende commando's [23](#page=23): * `iptables -t -L`: Toon alle regels van een specifieke tabel [23](#page=23). * `iptables -L`: Toon alle regels van de standaard `filter` tabel [23](#page=23). #### 2.2.2 Default policies De `policy` van een chain bepaalt de actie die wordt uitgevoerd op pakketten die niet door een regel in die chain worden gematcht. Standaard is deze vaak ingesteld op `ACCEPT`. Het wijzigen van de default policy, bijvoorbeeld naar `DROP` voor de `FORWARD` chain, is een veelvoorkomende beveiligingsmaatregel [24](#page=24). #### 2.2.3 Firewall regels toevoegen Regels kunnen worden toegevoegd aan chains [25](#page=25): * **Append (`-A`)**: Voegt een regel toe aan het einde van een chain [25](#page=25). * **Insert (`-I`)**: Voegt een regel in op een specifieke positie in een chain [25](#page=25). #### 2.2.4 Targets Targets definiëren de actie die wordt uitgevoerd op een gematcht pakket [26](#page=26): * **LOG**: Logt het pakket [26](#page=26). * **ACCEPT**: Staat het pakket toe [26](#page=26). * **REJECT**: Wijst het pakket af en stuurt een foutmelding terug [26](#page=26). * **DROP**: Negeert het pakket zonder melding terug te sturen [26](#page=26). #### 2.2.5 Regel criteria Regels kunnen specifieke criteria bevatten om pakketten te matchen [27](#page=27): * **Source (`-s` of `--source`)**: Bronadres [27](#page=27). * **Destination (`-d` of `--destination`)**: Bestemmingsadres [27](#page=27). * **Protocol (`-p` of `--protocol`)**: Protocol (bv. `icmp`, `tcp`) [27](#page=27). * **Module opties**: Extra criteria kunnen worden toegevoegd met behulp van modules (zie `man iptables-extensions`) [27](#page=27). Een voorbeeld van een regel die ICMP ping requests met een lengte tussen 200 en 1500 bytes dropt, is: `iptables -A INPUT -s 192.168.111.100 -p icmp -m length --length 200:1500 -j DROP` [27](#page=27). #### 2.2.6 Firewall regels verwijderen Regels kunnen op verschillende manieren worden verwijderd [28](#page=28): * **Regelnummer tonen**: `iptables -L --line-numbers` [28](#page=28). * **Specifieke regel verwijderen**: `iptables -D ` [28](#page=28). * **Alle regels in een chain verwijderen**: `iptables -F ` [28](#page=28). * **Alle regels in alle chains van de filtertabel verwijderen**: `iptables -F` [28](#page=28). > **Tip:** Wees uiterst voorzichtig bij het configureren van `iptables` regels, vooral via SSH. Een verkeerd commando kan leiden tot permanente uitsluiting totdat het fysiek wordt opgelost [29](#page=29). ### 2.3 nftables: de modernere opvolger `nftables` is een nieuwe kernel-subsystem (`nf_tables`) die de Netfilter-infrastructuur hergebruikt, maar een nieuwe gebruikersruimte tool (`nft`) en syntaxis introduceert. Het is geïntegreerd in de Linux-kernel sinds versie 3.13 [31](#page=31). #### 2.3.1 Vergelijking met iptables `nftables` biedt diverse voordelen ten opzichte van `iptables` [33](#page=33): * **Efficiëntie**: Snellere packet classificatie [33](#page=33). * **Flexibiliteit**: Betere ondersteuning voor dynamische ruleset updates [33](#page=33). * **Uniformiteit**: Eén tool voor alle address families (IPv4, IPv6, ARP) [33](#page=33). * **Vereenvoudiging**: Vervangt meerdere tools (`iptables`, `ip6tables`, `arptables`, `ebtables`) [33](#page=33). * **Nieuwe features**: Zoals de `inet` familie voor dual-stack IPv4/IPv6 beheer [33](#page=33). #### 2.3.2 ‘iptables’ op moderne distributies Op recentere distributies, zoals RHEL 8 en Debian 11, gebruikt de `iptables` command-line tool vaak al de `nf_tables` backend. Op Debian wordt de `nft` command standaard gebruikt in plaats van `iptables` [34](#page=34) [35](#page=35). #### 2.3.3 nftables: tabellen In `nftables` specificeer je voor een tabel de address family [36](#page=36): * `ip`: Correspondeert met `iptables` (IPv4) [36](#page=36). * `ip6`: Correspondeert met `ip6tables` (IPv6) [36](#page=36). * `inet`: Combineert IPv4 en IPv6, waarvoor men voorheen zowel `iptables` als `ip6tables` moest gebruiken [36](#page=36). * `arp`: Correspondeert met `arptables` [36](#page=36). * `bridge`: Correspondeert met `ebtables` [36](#page=36). * `netdev`: Gebruikt de nieuwe `ingress` hook [36](#page=36). `nftables` maakt het mogelijk om willekeurig veel custom tabellen te definiëren, in tegenstelling tot de 5 vooraf gedefinieerde tabellen in `xtables`. Een voorbeeld commando is: `nft add table inet mytable` [36](#page=36). #### 2.3.4 nftables: chains Chains in `nftables` kunnen twee types hebben [37](#page=37): * **Base chain**: Haakt in op de netwerkstack en vereist `type`, `hook` en `priority` parameters [37](#page=37) [44](#page=44). * **Regular chain**: Voor betere organisatie van regels [37](#page=37). Het `type` van een chain bepaalt de functionaliteit [38](#page=38): * **filter**: Standaard packet filtering [38](#page=38). * **nat**: Voor Network Address Translation [38](#page=38). * **route**: Voor nieuwe route lookups als pakketten zijn gewijzigd [38](#page=38). De `hook` specificeert het stadium in de packetverwerking waar de chain ingrijpt [39](#page=39): * `ingress`: Nieuw, voor zeer vroege filtering [39](#page=39) [40](#page=40) [41](#page=41). * `prerouting`: Vlak na binnenkomst [39](#page=39). * `input`: Voor lokaal bestemde pakketten [39](#page=39). * `forward`: Voor gerouteerde pakketten [39](#page=39). * `output`: Voor lokaal gegenereerde pakketten [39](#page=39). * `postrouting`: Vlak voor het verlaten van het systeem [39](#page=39). De `priority` parameter bepaalt de volgorde waarin chains met dezelfde hook worden doorlopen, waarbij lagere waarden voorrang hebben. Standaard prioriteitsnamen zijn beschikbaar die overeenkomen met de volgorde van de `xtables` tabellen: "raw" < "mangle" < "dstnat" < "filter" < "security" < "srcnat" [42](#page=42). #### 2.3.5 nftables: regels Regels in `nftables` bestaan uit uitdrukkingen (expressions) en statements [43](#page=43): * **Expressions**: Bepalen wat gematcht moet worden [43](#page=43). * **Statements**: Definiëren de uit te voeren actie [43](#page=43). Een voorbeeld van een regel die echo-request ICMP pakketten dropt: `nft add rule inet mytable mychain icmp type echo-request drop` [43](#page=43) [46](#page=46). #### 2.3.6 nftables syntaxis De `nft` tool biedt commando's voor het beheren van tabellen, chains en regels [44](#page=44): * **Tabellen**: * `nft list tables []` * `nft list table [] [-n [-a]` * `nft (add | delete | flush) table [] ` [44](#page=44). * **Chains**: * `nft (add | create) chain [] [ { type hook priority \; [policy \;] } ]` * `nft (delete | list | flush) chain []

` [44](#page=44). * **Regels**: * `nft add rule []

` * `nft insert rule []

[position ] ` * `nft replace rule []

[handle ] ` * `nft delete rule []

[handle ]` [44](#page=44). #### 2.3.7 nftables configuratie en service Regelsets kunnen automatisch worden geladen via een `nftables.service` systemd unit. De configuratie wordt meestal opgeslagen in een `nftables.conf` bestand, respectievelijk in `/etc/nftables.conf` op Debian en `/etc/sysconfig/nftables.conf` op RHEL [45](#page=45). Een demonstratie van `nft` commando's op Debian is gegeven [46](#page=46). --- # Beheerhulpmiddelen en geavanceerde configuratie Dit onderwerp verkent verschillende methoden en tools voor het beheren van Linux-firewalls, van hogere abstracties zoals firewalld en TCP wrappers tot systemd IP-toegangslijsten. ### 3.1 Netfilter management tools Linux-gebaseerde distributies beschikken doorgaans over een `iptables`/`nftables` pakket. Daarnaast kunnen er specifieke tools zijn voor het configureren van de regels, zoals `firewall-cmd` op RHEL of `ufw` op Ubuntu [48](#page=48). #### 3.1.1 Firewalld Firewalld is een dynamische firewall daemon met een gebruikersinterface. Het maakt gebruik van het concept van 'zones' om vertrouwensniveaus per interface of verbinding te definiëren [49](#page=49). * **Daemon/service:** `firewalld` [49](#page=49). * **Gebruiker CLI tool:** `firewall-cmd` [49](#page=49). * **Gebruiker GUI tool:** `firewall-config` [49](#page=49). **Concept van zones:** Een zone vertegenwoordigt een vertrouwensniveau en kan worden toegepast per interface of verbinding [49](#page=49). * **Voorbeeld:** Alle verbindingen op de interface `ens33` kunnen tot de 'public' zone behoren, terwijl verbindingen vanaf `192.168.11.1` tot de 'internal' zone kunnen behoren [49](#page=49). **Veelgebruikte `firewall-cmd` commando's:** * `firewall-cmd --get-active-zones`: Geeft de actieve zones weer [50](#page=50). * `firewall-cmd --list-all-zones`: Toont alle gedefinieerde zones en hun configuratie [50](#page=50). * `firewall-cmd --info-zone=public`: Toont gedetailleerde informatie over een specifieke zone, zoals 'public' [50](#page=50). * `firewall-cmd --info-service=ssh`: Toont informatie over een specifieke service, zoals SSH [50](#page=50). * `firewall-cmd --permanent --zone=public --add-service=ssh`: Voegt de SSH-service permanent toe aan de 'public' zone [50](#page=50). * `firewall-cmd --permanent --zone=public --remove-service=ssh`: Verwijdert de SSH-service permanent uit de 'public' zone [50](#page=50). * `firewall-cmd --reload`: Herlaadt de firewall-regels na permanente wijzigingen [50](#page=50). ##### 3.1.1.1 Firewalld en extra `nft` regels In RHEL kunnen basis `nft` regels worden gevonden in bestanden zoals `main.nft`, `router.nft`, en `nat.nft` binnen `/etc/nftables/`. Deze kunnen worden ingeschakeld en aangepast bovenop de `firewalld` regelset, en worden uitgevoerd na de `firewalld` regels via een prioriteitsinstelling [51](#page=51). > **Tip:** Het is mogelijk om netfilter te configureren via `iptables`, `nftables`, of `firewalld` [53](#page=53). ### 3.2 TCP wrappers TCP wrappers zijn een methode voor het monitoren en controleren van netwerkactiviteit van daemons die gelinkt zijn aan `libwrap.so` of deze statisch geïmplementeerd hebben. Dit is een host-gebaseerde firewalling op applicatielaag [55](#page=55). * **Verificatie:** U kunt controleren of een daemon gebruikmaakt van `libwrap.so` met het `ldd` commando [55](#page=55). * **Voordeel:** Runtime herconfiguratie van toegangscontrole, waardoor daemons niet opnieuw geladen hoeven te worden [55](#page=55). * **Configuratiebestanden:** TCP wrappers gebruiken de bestanden `/etc/hosts.allow` en `/etc/hosts.deny` [55](#page=55). * **Status:** TCP wrappers worden niet meer onderhouden en worden als verouderd beschouwd [55](#page=55). #### 3.2.1 `hosts.allow` en `hosts.deny` Als een bestand niet bestaat, wordt het als leeg beschouwd. De toegangscontrole software raadpleegt beide bestanden; de zoekactie stopt bij de eerste overeenkomst [57](#page=57): 1. Toegang wordt verleend als een `(daemon:client)` paar overeenkomt met een vermelding in `/etc/hosts.allow` [57](#page=57). 2. Anders wordt toegang geweigerd als een `(daemon:client)` paar overeenkomt met een vermelding in `/etc/hosts.deny` [57](#page=57). 3. Anders wordt toegang verleend [57](#page=57). * `/etc/hosts.allow`: Specificeert expliciet welke hosts mogen netwerken met een bepaalde daemon [57](#page=57). * `/etc/hosts.deny`: Specificeert expliciet welke hosts niet mogen netwerken met een bepaalde daemon [57](#page=57). * Raadpleeg `man hosts_access` voor meer details [57](#page=57). #### 3.2.2 `iptables` versus `hosts.deny` * `iptables` werkt op kernelniveau en filtert op basis van pakketheaders [58](#page=58). * `hosts.deny` opereert op applicatie/procesniveau [58](#page=58). * **Verschil:** `iptables` kan bijvoorbeeld op poort 22 blokkeren, terwijl `hosts.deny` blokkeert op basis van de daemon `sshd` [58](#page=58). * Als `sshd` een andere poort gebruikt, is de `iptables` configuratie belangrijk [58](#page=58). * `iptables` blokkeert pakketten echter veel eerder in het proces [58](#page=58). #### 3.2.3 Log-gebaseerde intrusion detection systems (IDS) * **DenyHosts:** Analyseert SSH-logs en voegt hosts toe aan `/etc/hosts.deny` [59](#page=59). * **Fail2ban:** Is niet beperkt tot SSH-logs. Het kan hosts toevoegen aan `/etc/hosts.deny` en ook `iptables` of `pfSense`/`OPNsense` regels wijzigen [59](#page=59). ### 3.3 Systemd IP-toegangslijsten Als een daemon wordt gedefinieerd binnen een `systemd` service unit configuratiebestand, is het mogelijk om IP-toegangslijsten direct in dat configuratiebestand te definiëren [61](#page=61). **Configuratie:** Deze lijsten worden ingesteld met de directives `IPAddressAllow` en `IPAddressDeny` binnen het `[Service]` sectie van een `systemd` unit-bestand [61](#page=61). * **Voorbeeld uit een service-bestand:** ```ini [Unit Description=Exciting webapp [Service WorkingDirectory=/opt/exciting-webapp ExecStart=/usr/bin/python3 -m http.server Restart=always IPAddressAllow=192.168.11.0/24 IPAddressDeny=any [Install WantedBy=multi-user.target ``` Dit voorbeeld staat verkeer toe van het `192.168.11.0/24` netwerk en weigert al het andere verkeer ("any") [61](#page=61). #### 3.3.1 `IPAddressDeny` & `IPAddressAllow` De beslissingslogica voor toegangscontrole is als volgt [62](#page=62): 1. Toegang wordt verleend als een adres overeenkomt met een vermelding in `IPAddressAllow` [62](#page=62). 2. Anders wordt toegang geweigerd als een adres overeenkomt met een vermelding in `IPAddressDeny` [62](#page=62). 3. Anders wordt toegang verleend [62](#page=62). * Het sleutelwoord 'any' kan worden gebruikt in plaats van de `*` wildcard [62](#page=62). * `IPAddressDeny`: Al het verkeer van en naar dit IP-adres/netwerk wordt geweigerd voor de processen van de service [62](#page=62). * `IPAddressAllow`: Al het verkeer dat overeenkomt met dit IP-adres/netwerk wordt toegestaan [62](#page=62). * Verdere details zijn te vinden in `man systemd.resource-control` [62](#page=62). #### 3.3.2 Overzicht van daemon configuratiebestanden Verschillende methoden voor daemon configuratie en netwerkbeheer kunnen naast elkaar bestaan en interageren: * **Daemons:** `sshd`, `httpd`, etc. [56](#page=56) [63](#page=63). * **TCP Wrappers:** Gebruikt `/etc/hosts.allow` en `/etc/hosts.deny` [56](#page=56) [63](#page=63). * **Netfilter:** Geconfigureerd via `/etc/nftables.conf` (of `iptables` equivalenten) [56](#page=56) [63](#page=63). * **Systemd:** Maakt gebruik van service unit bestanden in `/etc/systemd/system/*.service` en `/lib/systemd/system/*.service` voor IP-toegangslijsten [63](#page=63). * **Applicaties:** Zoals `cockpit` en netwerk services [56](#page=56) [63](#page=63). --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

Glossary

| Term | Definition | |------|------------| | Firewall | Een netwerkbeveiligingssysteem dat inkomend en uitgaand netwerkverkeer monitort en controleert op basis van vooraf bepaalde beveiligingsregels, fungerend als een barrière tussen een vertrouwd intern netwerk en een onvertrouwd extern netwerk zoals het internet. | | OSI-model | Een conceptueel model dat de communicatiefuncties van een telecommunicatie- of computersysteem beschrijft, verdeeld in zeven abstractielagen: Fysiek, Datalink, Netwerk, Transport, Sessie, Presentatie en Applicatie. | | Netwerkfirewall | Een firewall die het verkeer tussen twee of meer netwerken inspecteert en controleert, meestal geïmplementeerd op gateways tussen netwerken of op individuele hosts om inkomende en uitgaande pakketten te inspecteren. | | Applicatiefirewall | Een firewall die specifieke applicatieprotocollen inspecteert en controleert, vaak door middel van inhoudinspectie (zoals virus- of exploitdetectie), en kan op netwerkgateways of op individuele hosts worden geplaatst. | | Netfilter | De kerncomponent van de Linux-firewall die packet filtering, netwerkadresvertaling (NAT) en packet manipulatie mogelijk maakt door middel van hooks in de netwerkstack van de kernel. | | iptables | Een gebruikerstoepassing die communiceert met Netfilter om firewallregels te configureren en te beheren, bestaande uit tabellen, ketens en individuele regels die verkeer matchen en acties uitvoeren. | | nftables | Een modernere, flexibelere en krachtigere opvolger van iptables, die een nieuwe syntaxis introduceert en de verschillende packet filtering tools (iptables, ip6tables, arptables, ebtables) consolideert onder één enkele backend genaamd nf_tables. | | Tabellen (iptables/nftables) | Verzamelingen van regels in de Netfilter-architectuur die specifiek zijn ontworpen voor bepaalde functies, zoals het filteren van pakketten (`filter`), netwerkadresvertaling (`nat`), of pakketmanipulatie (`mangle`). | | Ketens (iptables/nftables) | Geordende lijsten van regels binnen een specifieke tabel die de paden definiëren waarlangs pakketten worden verwerkt, met standaardketens zoals `INPUT`, `OUTPUT`, `FORWARD`, `PREROUTING`, en `POSTROUTING`. | | Regels (iptables/nftables) | De fundamentele configuratie-items in Netfilter die criteria bevatten om specifiek netwerkverkeer te matchen en een bijbehorende actie (target) uit te voeren, zoals `ACCEPT`, `DROP`, `REJECT` of `LOG`. | | Targets (iptables/nftables) | De acties die worden uitgevoerd op verkeer dat overeenkomt met een firewallregel, zoals het toestaan (`ACCEPT`), weggooien (`DROP`), afwijzen (`REJECT`) of loggen (`LOG`) van het pakket. | | Hooks (Netfilter) | Specifieke punten in de netwerkstack van de Linux-kernel waar Netfilter packet filtering kan toepassen; deze hooks komen overeen met de verschillende ketens die worden gebruikt in `iptables` en `nftables`. | | Statefull packet filtering | Een methode van firewalling die rekening houdt met de status van netwerkverbindingen om beslissingen te nemen over het toestaan of weigeren van verkeer, waardoor alleen de verkeersstroom die deel uitmaakt van een actieve, legitieme verbinding wordt toegestaan. | | firewalld | Een dynamisch firewallbeheerhulpprogramma voor Linux dat zones gebruikt om verschillende vertrouwensniveaus toe te wijzen aan netwerkinterfaces en verbindingen, waardoor een flexibele en gebruiksvriendelijke configuratie van firewallregels mogelijk is. | | Zones (firewalld) | Concepten binnen firewalld die een vertrouwensniveau vertegenwoordigen dat wordt toegewezen aan netwerkinterfaces of verbindingen, waarbij verschillende regels van toepassing kunnen zijn afhankelijk van de zone waartoe een verkeerspakket behoort. | | TCP wrappers | Een verouderde methode voor hostgebaseerde toegangscontrole die het verkeer naar netwerkservices regelt door middel van de bestanden `/etc/hosts.allow` en `/etc/hosts.deny`, gebaseerd op de daemon en het client IP-adres. | | systemd IP access lists | Een mechanisme binnen systemd service-eenheden waarmee IP-adressen of netwerken expliciet kunnen worden toegestaan (`IPAddressAllow`) of geweigerd (`IPAddressDeny`) voor de processen die door die specifieke service worden beheerd. |

注册阅读了解更多

Cover

LSS - Lecture IV - Linux firewalling.pdf

Summary

# Introductie tot firewalls en hun functionaliteit Dit gedeelte introduceert het concept van een firewall, de oorsprong van de term en de functie ervan in netwerkbeveiliging, en legt de basis voor de latere discussie over specifieke firewalltechnologieën en hun plaats in het OSI-model [3](#page=3). ### 1.1 Wat is een firewall? Een firewall is een netwerkbeveiligingssysteem dat inkomend en uitgaand netwerkverkeer controleert en regelt op basis van vooraf bepaalde beveiligingsregels. De term "firewall" vindt zijn oorsprong in een muur die oorspronkelijk bedoeld was om een brand in aangrenzende gebouwen te beperken. In netwerkbeveiliging functioneert een firewall als een barrière tussen een vertrouwd intern netwerk en een onvertrouwd extern netwerk, zoals het internet [3](#page=3). ### 1.2 Firewalling op verschillende lagen van het OSI-model Firewalls kunnen opereren op verschillende lagen van het Open Systems Interconnection (OSI) model. Het OSI-model bestaat uit zeven lagen: Fysiek (Layer 1), Datalink (Layer 2), Netwerk (Layer 3), Transport (Layer 4), Sessie (Layer 5), Presentatie (Layer 6) en Applicatie (Layer 7) [5](#page=5). #### 1.2.1 Netwerkfirewalls Netwerkfirewalls opereren voornamelijk op de netwerk- en transportlagen van het OSI-model. Ze inspecteren netwerkpakketten op basis van informatie zoals IP-adressen en poortnummers [5](#page=5) [7](#page=7). * **Netwerkgebaseerde netwerkfirewalls** bevinden zich op gateways voor meerdere hosts en inspecteren de pakketten die zij moeten doorsturen. Ze kunnen bestaan uit speciale hardware of software op algemene hardware. Voorbeelden hiervan zijn Cisco, Netgate, netfilter/iptables, pfSense [7](#page=7). * **Hostgebaseerde netwerkfirewalls** bevinden zich op een enkele host en inspecteren zowel inkomende als uitgaande pakketten. Ze draaien vaak als een daemon of service. Voorbeelden zijn netfilter/iptables en Windows Defender Firewall [7](#page=7). #### 1.2.2 Applicatiefirewalls Applicatiefirewalls, ook wel bekend als next-generation firewalls (NGFW), opereren op hogere lagen van het OSI-model, met name de applicatielaag. Ze voeren inspectie uit van de inhoud van de data, voorbij de basispakketinformatie die netwerkfirewalls gebruiken [5](#page=5) [6](#page=6). * **Netwerkgebaseerde applicatiefirewalls** bevinden zich op gateways voor meerdere hosts en fungeren vaak als een (reverse) proxy. Ze zijn specifiek voor bepaalde applicatieprotocollen en voeren contentinspectie uit, bijvoorbeeld op virussen of exploits. Voorbeelden zijn Web Application Firewalls (WAF), ModSecurity (Modsec) en Cloudflare's Cloud WAF [6](#page=6). * **Hostgebaseerde applicatiefirewalls** draaien op een enkele host en bieden sandboxing voor meerdere applicaties. Next-generation firewalls maken hierbij vaak gebruik van Mandatory Access Control (MAC). Voorbeelden zijn AppArmor en SELinux [6](#page=6). ### 1.3 Samenwerking tussen firewalls Een applicatiefirewall werkt complementair aan een netwerkfirewall. De netwerkfirewall wordt vaak beschouwd als de eerste verdedigingslinie en is vaak ingebouwd in het besturingssysteem. Dit gelaagde beveiligingsmodel biedt een meer robuuste bescherming door verschillende aspecten van het netwerkverkeer op verschillende niveaus te inspecteren en te controleren [8](#page=8). --- # Netfilter en iptables in Linux Dit deel van de studiehandleiding behandelt Netfilter, de ingebouwde netwerkfirewall van Linux, en de bijbehorende gebruikersruimte-tool iptables. We duiken dieper in de architectuur van Netfilter, inclusief tabellen, chains en hooks, en demonstreren hoe iptables wordt gebruikt voor het configureren van regels [9](#page=9). ### 2.1 Introductie tot Netfilter Netfilter is een stateful packet-filtering firewall die sinds kernelversie 2.4 deel uitmaakt van de Linux kernel. Het werd ontwikkeld door Paul “Rusty” Russell en is een fundamenteel onderdeel van de netwerkbeveiliging in Linux. De oorspronkelijke documentatie beschrijft de ontwikkeling als een "grote strijd en heldhaftige daden" met als doel "de derde leeftijd van Linux firewalling" in te luiden [12](#page=12). Netfilter is meer dan alleen iptables; het is een framework dat op verschillende niveaus kan worden benaderd. Naast iptables zijn er ook andere gebruikersruimte-tools zoals `nft / nftables`, `xtables`, en oudere tools zoals `ip6tables`, `arptables`, en `ebtables` die specifiek waren voor IPv6, ARP en Ethernet-frames [10](#page=10). > **Tip:** Onthoud dat Netfilter een kernelcomponent is, terwijl iptables een gebruikersruimte-tool is om deze te configureren. ### 2.2 Architectuur van Netfilter De kern van Netfilter bestaat uit tabellen, chains en regels [13](#page=13). #### 2.2.1 Tabellen Netfilter organiseert zijn functionaliteit in verschillende tabellen, elk met een specifiek doel: * **filter**: Dit is de standaardtabel en wordt gebruikt voor algemene pakketfiltering [16](#page=16). * **nat**: Deze tabel wordt geraadpleegd wanneer een pakket wordt aangetroffen dat een nieuwe verbinding creëert, en wordt gebruikt voor Netwerkadresvertaling (NAT) [16](#page=16). * **mangle**: Een speciale tabel die kan worden gebruikt voor het aanpassen van pakketten [16](#page=16). * **raw**: Dit is de tabel met de hoogste prioriteit en wordt aangeroepen vóór alle andere tabellen. Het wordt voornamelijk gebruikt voor uitzonderingen in connection tracking [16](#page=16). * **security**: Deze tabel wordt gebruikt voor verplichte toegangscontrole netwerkregels (Mandatory Access Control), zoals die ingeschakeld door `SECMARK` en `CONNSECMARK` targets [16](#page=16). Tabelnamen worden in kleine letters geschreven [18](#page=18). #### 2.2.2 Chains Binnen elke tabel bevinden zich chains, die fungeren als logische groepen van regels. Netfilter heeft vijf belangrijke "hooks" in de netwerkstack van de Linux kernel, die corresponderen met vijf iptables chains [14](#page=14): 1. **PREROUTING**: Voor pakketten zodra ze binnenkomen in het netwerkapparaat [14](#page=14). 2. **INPUT**: Voor pakketten die bestemd zijn voor lokale sockets op de machine zelf [14](#page=14). 3. **FORWARD**: Voor pakketten die via de machine worden gerouteerd naar een andere bestemming [14](#page=14). 4. **OUTPUT**: Voor pakketten die lokaal worden gegenereerd door processen op de machine [14](#page=14). 5. **POSTROUTING**: Voor pakketten vlak voordat ze het systeem verlaten, na routingbeslissingen [14](#page=14). Chains worden in hoofdletters geschreven [18](#page=18). > **Tip:** De `PREROUTING` en `POSTROUTING` chains worden gebruikt voor pakketten die door de machine worden gerouteerd (niet bestemd voor de machine zelf), terwijl `INPUT` en `OUTPUT` worden gebruikt voor verkeer dat de lokale machine betreft. De `FORWARD` chain is specifiek voor pakketten die worden doorgestuurd [15](#page=15). #### 2.2.3 Hooks en Packet Flow De packet filtering "hooks" zijn de punten in de Linux kernel netwerkstack waar Netfilter pakketten kan inspecteren en manipuleren. Een gedetailleerd overzicht van de packet flow toont hoe pakketten door de verschillende tabellen en chains gaan, afhankelijk van hun oorsprong en bestemming [14](#page=14) [19](#page=19). > **Example:** Een inkomend pakket dat bestemd is voor de lokale machine zal de `PREROUTING` hook passeren, vervolgens de `filter` tabel doorlopen (indien van toepassing) en uiteindelijk de `INPUT` chain bereiken. Een pakket dat lokaal wordt gegenereerd, doorloopt de `OUTPUT` chain en kan daarna de `POSTROUTING` chain passeren voordat het het netwerk verlaat [19](#page=19). ### 2.3 De iptables Tool `iptables` is de gebruikersruimte-applicatie die wordt gebruikt om de regels in de Netfilter kernelmodules te configureren [10](#page=10). #### 2.3.1 Huidige regels bekijken Om de momenteel geconfigureerde regels te bekijken, gebruikt men de `iptables -L` commando. Optioneel kan men met de `-t` vlag een specifieke tabel specificeren, bijvoorbeeld `iptables -t raw -L` om de regels in de `raw` tabel te tonen. Standaard toont `iptables -L` de regels van de `filter` tabel [23](#page=23). > **Example:** > ```bash > sudo iptables -L > ``` > Dit commando toont de chains `INPUT`, `FORWARD` en `OUTPUT` met hun standaard policies en eventuele regels [23](#page=23). #### 2.3.2 Standaard Policies (Default Policy) Elke chain heeft een standaard policy die bepaalt wat er met pakketten gebeurt die niet door een specifieke regel worden gematcht. Veelvoorkomende policies zijn `ACCEPT` (doorgelaten) en `DROP` (stilletjes genegeerd) [24](#page=24). > **Tip:** Het is een goede beveiligingspraktijk om de default policy van de `FORWARD` en `INPUT` chains in te stellen op `DROP` en alleen expliciet benodigde verkeer toe te staan [24](#page=24). > **Example:** > ```bash > sudo iptables -P FORWARD DROP > ``` > Dit commando stelt de standaard policy van de `FORWARD` chain in op `DROP`, wat betekent dat al het verkeer dat bedoeld is om te worden doorgestuurd, standaard wordt geweigerd [24](#page=24). #### 2.3.3 Firewallregels toevoegen Regels kunnen worden toegevoegd aan chains met de `-A` (append) of `-I` (insert) opties [25](#page=25). * **Append (`-A`)**: Voegt een regel toe aan het einde van een chain [25](#page=25). > **Example:** `iptables -A FORWARD -j LOG` voegt een regel toe aan het einde van de `FORWARD` chain die al het verkeer logt [25](#page=25). * **Insert (`-I`)**: Voegt een regel in op een specifieke positie binnen een chain [25](#page=25). > **Example:** `iptables -I FORWARD 3 -j LOG` voegt een regel toe als de derde regel in de `FORWARD` chain [25](#page=25). #### 2.3.4 Targets Een target bepaalt de actie die wordt uitgevoerd op een pakket dat aan de regels voldoet. Veelgebruikte targets zijn [26](#page=26): * **ACCEPT**: Sta het pakket toe [26](#page=26). * **DROP**: Negeer het pakket stilzwijgend [26](#page=26). * **REJECT**: Sta het pakket niet toe en stuur een foutmelding terug naar de afzender [26](#page=26). * **LOG**: Log het pakket voor analyse, maar laat het daarna doorgaan naar het volgende target [26](#page=26). #### 2.3.5 Regelcriteria Regels specificeren criteria waaraan een pakket moet voldoen om gematcht te worden. Belangrijke criteria zijn [27](#page=27): * `-s` of `--source`: Bronadres of netwerk [27](#page=27). * `-d` of `--destination`: Bestemmingsadres of netwerk [27](#page=27). * `-p` of `--protocol`: Het protocol (bv. `tcp`, `udp`, `icmp`) [27](#page=27). Daarnaast kunnen modules worden gebruikt voor meer gedetailleerde matching. Raadpleeg `man iptables` en `man iptables-extensions` voor een volledig overzicht [27](#page=27). > **Example:** > ```bash > iptables -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT > ``` > Deze regel staat ICMP-verkeer toe vanaf het netwerk `192.168.1.0/24` naar de `INPUT` chain [27](#page=27). > **Example met module:** > ```bash > iptables -A INPUT -s 192.168.111.100 -p icmp -m length --length 200:1500 -j DROP > ``` > Deze regel dropt ICMP-pakketten van het adres `192.168.111.100` met een lengte tussen 200 en 1500 bytes, die de `INPUT` chain bereiken [27](#page=27). #### 2.3.6 Firewallregels verwijderen Het verwijderen van regels is een kritiek onderdeel van het beheer van de firewall [28](#page=28). * **Regelnummers weergeven**: Gebruik `iptables -L --line-numbers` om regels met hun nummers te zien [28](#page=28). * **Specifieke regel verwijderen**: Gebruik de `-D` (delete) optie met het chain- en regelnummer [28](#page=28). > **Example:** `iptables -D FORWARD 3` verwijdert de derde regel uit de `FORWARD` chain [28](#page=28). * **Alle regels in een chain verwijderen**: Gebruik de `-F` (flush) optie [28](#page=28). > **Example:** `iptables -F FORWARD` verwijdert alle regels uit de `FORWARD` chain [28](#page=28). * **Alle regels in alle chains van een tabel verwijderen**: Gebruik de `-F` optie zonder chain specificatie voor de standaard (filter) tabel [28](#page=28). > **Example:** `iptables -F` verwijdert alle regels uit alle chains van de `filter` tabel [28](#page=28). #### 2.3.7 Waarschuwingen Wees extreem voorzichtig bij het configureren van iptables, vooral via SSH. Een verkeerde commando kan ervoor zorgen dat u permanent buitengesloten wordt totdat de machine fysiek wordt benaderd [29](#page=29). > **Warning:** Configureer altijd eerst de regels die toegang verlenen tot de server (bijvoorbeeld SSH-toegang) voordat u andere regels instelt die mogelijk de toegang kunnen blokkeren. Test wijzigingen grondig en houd een fallback-methode beschikbaar [29](#page=29). --- # Nieuwere firewalltechnologie: nftables Dit gedeelte introduceert nftables als de opvolger van iptables, met een focus op de nieuwe kernel-backend (nf_tables) en de bijbehorende gebruikersruimte-tool nft, waarbij de voordelen, verschillen en syntax worden besproken [30](#page=30). ### 3.1 Introductie tot nftables Nftables is de moderne opvolger van iptables en maakt gebruik van de nieuwe kernel-backend `nf_tables`, wat staat voor Netfilter. Het hergebruikt de bestaande hook-infrastructuur van Netfilter, de zogenaamde "chains". Nftables is beschikbaar in de Linux kernel vanaf versie 3.13 en wordt beheerd door de `nft` gebruikersruimte-tool. Een significant verschil is de introductie van een nieuwe, meer compacte syntax. Hoewel de nieuwe syntax de voorkeur heeft, kan de oude iptables-syntax nog steeds worden gebruikt en wordt deze vertaald naar de `nf_tables` backend [31](#page=31). ### 3.2 Voordelen van nftables ten opzichte van iptables Nftables biedt verschillende verbeteringen ten opzichte van iptables: * **Verbeterde prestaties**: Sneller pakketclassificatie wordt mogelijk gemaakt [33](#page=33). * **Betere ondersteuning voor dynamische regelaanpassingen**: Het bijwerken van regelsets is efficiënter [33](#page=33). * **Uniforme syntax**: Adres, protocol en extensiespecifieke inconsistenties van iptables worden aangepakt, wat leidt tot een nettere en compactere syntax [33](#page=33). * **Universele tool**: Met `nft` kunnen alle adresfamilies (IPv4, IPv6, ARP, etc.) worden beheerd, wat de afzonderlijke tools zoals `iptables`, `ip6tables` en `arptables` vervangt [33](#page=33). * **Vereenvoudigd dual-stack beheer**: De nieuwe `inet` familie maakt het beheer van zowel IPv4 als IPv6 gemakkelijker [33](#page=33). ### 3.3 Nftables in distributies Vanaf Red Hat Enterprise Linux (RHEL) 8 gebruikt het `iptables`-commando de `nf_tables` backend, wat betekent dat de oude iptables-syntax wordt vertaald naar de nieuwe nftables-backend. Dit is te controleren met commando's als `which iptables` en `realpath USD(which iptables)` [34](#page=34). In Debian 11 is het `iptables`-commando niet langer standaard geïnstalleerd. De `nft`-commando is de voorgeschreven methode voor firewallbeheer [35](#page=35). > **Tip:** Controleer welke firewall-backend uw systeem gebruikt, vooral bij het migreren van oudere configuraties. Op moderne systemen is de kans groot dat `iptables` een alias is voor de `nftables` backend. ### 3.4 Nftables syntax: tabellen, chains en regels De configuratie in nftables is gestructureerd rond tabellen, chains en regels. #### 3.4.1 Tabellen (tables) Een tabel specificeert de adresfamilie waarvoor de regels gelden. De veelvoorkomende families zijn [36](#page=36): * `ip`: voor IPv4. Komt overeen met het oude `iptables` [36](#page=36). * `ip6`: voor IPv6. Komt overeen met het oude `ip6tables` [36](#page=36). * `inet`: voor zowel IPv4 als IPv6. Dit is een nieuwe familie die het beheer van dual-stack vereenvoudigt [33](#page=33) [36](#page=36). * `arp`: voor ARP-pakketten. Komt overeen met het oude `arptables` [36](#page=36). * `bridge`: voor bridge-filtering. Komt overeen met `ebtables` [36](#page=36). * `netdev`: maakt gebruik van de nieuwe `ingress`-hook [36](#page=36). Als er geen familie wordt gespecificeerd, is de standaardfamilie `ip` [36](#page=36). **Voorbeeld:** Een tabel aanmaken met de `inet` familie: `nft add table inet mytable` [36](#page=36). #### 3.4.2 Chains Chains zijn collecties van regels. Er zijn twee types [37](#page=37): * **Base chain**: Deze wordt gekoppeld aan de netwerkstack via hooks en heeft parameters als `type`, `hook` en `priority` [37](#page=37). * **Regular chain**: Deze worden voornamelijk gebruikt voor een betere organisatie van regels [37](#page=37). **Parameters van Base Chains:** * **Type**: Definieert het doel van de chain. Veelvoorkomende types zijn `filter` (standaard packet filtering), `nat` (voor Network Address Translation) en `route` (voor route lookup) [38](#page=38). * `filter`: Kan gebruikt worden met alle families en hooks [38](#page=38). * `nat`: Kan gebruikt worden met `ip`, `ip6` en `inet` families voor specifieke hooks [38](#page=38). * `route`: Kan gebruikt worden met `ip` en `ip6` families voor de `output` hook [38](#page=38). * **Hook**: Specificeert in welke fase van de pakketverwerking de chain actief wordt. De hooks zijn [39](#page=39): * `ingress`: Een nieuwe hook die beschikbaar is sinds kernel 4.2 via `nf_tables`, waarmee pakketten al zeer vroeg in de netwerkstack kunnen worden gefilterd. Dit biedt een vroeg detectiepunt voor verkeer [40](#page=40). * `prerouting`: Verwerking voor de routeringsbeslissing [39](#page=39). * `input`: Pakketten bestemd voor de lokale machine [39](#page=39). * `forward`: Pakketten die door de machine heen gerouteerd worden [39](#page=39). * `output`: Pakketten die door de machine zelf worden gegenereerd [39](#page=39). * `postrouting`: Verwerking na de routeringsbeslissing [39](#page=39). > **Tip:** De `ingress`-hook is krachtig omdat het alle verkeer voor een NIC ziet, zonder aannames over L2/L3 protocollen, wat zeer vroege filtering mogelijk maakt [40](#page=40). * **Priority**: Een integerwaarde die de volgorde van chains op dezelfde hook bepaalt. Lagere prioriteitswaarden hebben voorrang. Standaard prioriteitsnamen, die de volgorde aangeven, zijn: `raw` < `mangle` < `dstnat` < `filter` < `security` < `srcnat` [42](#page=42). **Voorbeeld:** Een base chain aanmaken: `nft add chain inet mytable mychain { type filter hook input priority filter \; policy accept \; }` [37](#page=37). #### 3.4.3 Regels (rules) Regels worden opgebouwd uit twee componenten: expressies en statements [43](#page=43). * **Expressies**: Bepalen wat er gematcht moet worden [43](#page=43). * **Statements**: Definiëren de actie die ondernomen moet worden bij een match [43](#page=43). **Voorbeeld van een regel:** `nft add rule inet mytable mychain tcp dport {80, 443} ct state new,established counter accept`. Deze regel accepteert TCP-verkeer naar poorten 80 en 443, telt het verkeer mee (`counter`) en markeert het als nieuw of gevestigd (`ct state new,established`) [43](#page=43). ### 3.5 Commando's en beheer De `nft` tool biedt een reeks commando's voor het beheren van tabellen, chains en regels [44](#page=44). * **Tabellen:** * `nft list tables []`: Toon tabellen [44](#page=44). * `nft list table [] [-n [-a]`: Toon specifieke tabel [44](#page=44). * `nft (add | delete | flush) table [] `: Voeg toe, verwijder of wis een tabel [44](#page=44). * **Chains:** * `nft (add | create) chain []

[ { type hook priority \; [policy \;] } ]`: Voeg een chain toe met specificaties [44](#page=44). * `nft (delete | list | flush) chain []

`: Verwijder, toon of wis een chain [44](#page=44). * **Regels:** * `nft add rule []

`: Voeg een regel toe [44](#page=44). * `nft insert rule []

[position ] `: Voeg een regel in op een specifieke positie [44](#page=44). * `nft replace rule []

Summary

# Name Service Switch (NSS) The Name Service Switch (NSS) in Linux is a mechanism that allows administrators to configure the sources from which the system obtains various types of naming and identity information. It defines which services are consulted and in what order for name lookups [4](#page=4). ### 1.1 Configuration of NSS The primary configuration file for NSS is located at `/etc/nsswitch.conf`. This file dictates how the system resolves names for users, groups, hosts, and other network information. The `man nsswitch.conf` and `man nss` commands provide detailed information on its usage [4](#page=4). ### 1.2 Functionality of NSS NSS determines which sources are used to obtain naming service information and the order in which these services are contacted. For instance, it specifies whether user credential information should be retrieved from local files or across a network. It is crucial to note that the program or service that relies on NSS must be specifically programmed to utilize it; this is the responsibility of the program's developer [4](#page=4). ### 1.3 The `/etc/nsswitch.conf` file structure The `/etc/nsswitch.conf` file is organized into sections that define the databases to be queried and the sources to be used for each database [7](#page=7) [8](#page=8). #### 1.3.1 Databases Databases are categories of information that the system needs to look up. Common databases include: * `passwd`: User account information. * `group`: Group information. * `hosts`: Hostname-to-address mappings. * `services`: Network service names and their port numbers. * `networks`: Network names and numbers. * `protocols`: Protocol names and numbers. #### 1.3.2 Sources Sources are the actual locations or mechanisms from which the system can retrieve information for a given database. The NSS configuration specifies the order in which these sources are queried. Common sources include [8](#page=8): * `files`: Information is retrieved from local configuration files (e.g., `/etc/passwd`, `/etc/group`, `/etc/hosts`) [9](#page=9). * `dns`: Information is retrieved using the Domain Name System [10](#page=10). * `nis`: Information is retrieved from Network Information Service (formerly Yellow Pages). * `nisplus`: Information is retrieved from Network Information Service Plus. * `compat`: A compatibility mode that allows older applications to work with NSS [9](#page=9). * `local`: Similar to `files`, but often refers to system-specific local sources. #### 1.3.3 Specifying the order of sources The order in which sources are listed for a database is significant. The system queries them sequentially until the requested information is found or all configured sources have been exhausted. > **Tip:** The `compat` source can be useful for ensuring backward compatibility, but it's generally recommended to use explicit sources like `files` and `dns` for clarity and better control [9](#page=9). ### 1.4 Example: Host name lookup A typical scenario involves looking up a hostname, such as resolving `www.example.com` to its IP address. The `/etc/nsswitch.conf` file would specify the order of services to consult for host lookups [10](#page=10) [5](#page=5). For example, a configuration line might look like this: ``` hosts: files dns ``` This line indicates that when the system needs to look up a hostname: 1. It will first consult the local `files` (typically `/etc/hosts`) [10](#page=10). 2. If the hostname is not found in the local files, it will then query the `dns` [10](#page=10). > **Example:** If `/etc/hosts` contains `192.168.1.10 www.example.com`, and a lookup for `www.example.com` is performed, the system will return `192.168.1.10` directly from the files without querying DNS. If `www.example.com` is not in `/etc/hosts`, then DNS will be queried [10](#page=10). --- # Pluggable Authentication Module (PAM) Pluggable Authentication Modules (PAM) bieden een flexibel en modulair systeem voor authenticatie in Linux, waardoor systeembeheerders de manier waarop gebruikers worden geverifieerd kunnen aanpassen zonder applicaties te hoeven wijzigen [14](#page=14). ### 2.1 PAM-concept en doel PAM staat voor Pluggable Authentication Module en is ontworpen om authenticatiefuncties modulair te maken. Dit stelt systeembeheerders in staat om de authenticatieprocedure voor specifieke situaties aan te passen en zelf te kiezen hoe individuele service-aanbiedende applicaties gebruikers authenticeren. Een belangrijke eigenschap is dat het lokale authenticatiesysteem volledig kan worden geüpgraded zonder de applicaties of services zelf aan te raken. Applicaties moeten specifiek zijn geschreven en gecompileerd om PAM te gebruiken, wat betekent dat ze gelinkt moeten zijn tegen `libpam.so` of deze functionaliteit statisch hebben geïmplementeerd. PAM definieert de authenticatie voor alle services die iets met authenticatie te maken hebben, niet alleen voor de loginprocedure. Voorbeelden hiervan zijn `su`, `chsh`, `sshd`, en meer. Elk systeem waarvoor een PAM-module bestaat, kan voor authenticatie worden gebruikt, zoals smartcards, vingerafdrukken of tweefactorauthenticatie. Het gebruik van PAM kan voor specifieke services worden ingeschakeld of uitgeschakeld in het configuratiebestand van die service, bijvoorbeeld in `/etc/ssh/sshd_config` voor SSH [14](#page=14) [15](#page=15) [16](#page=16). ### 2.2 PAM-modules PAM-modules zijn dynamisch laadbare objectbestanden met de extensie `.so` (shared object). Ontwikkelaars kunnen meerdere dynamische bibliotheken in hun C-code laden. Deze modules worden opgeslagen in specifieke "library" mappen, zoals `/usr/lib64/security/` op RHEL of `/usr/lib/x86_64-linux-gnu/security/` op Debian. Elk PAM-module heeft zijn eigen man-pagina, bijvoorbeeld `man pam_unix` of `man pam_deny` [18](#page=18). #### 2.2.1 Voorbeelden van PAM-modules Er zijn diverse PAM-modules beschikbaar met verschillende functionaliteiten [19](#page=19): * `pam_unix`: Traditionele wachtwoordauthenticatie [19](#page=19). * `pam_deny`: Een module die altijd faalt [19](#page=19). * `pam_permit`: Een module die altijd slaagt [19](#page=19). * `pam_time`: Controleert toegang op basis van tijdstip van de dag [19](#page=19). * `pam_pwquality`: Handhaaft de sterkte van wachtwoorden [19](#page=19). * `pam_rootok`: Controleert of de echte gebruikers-ID nul (root) is [19](#page=19). * `pam_nologin`: Voorkomt dat niet-root gebruikers inloggen als `/etc/nologin` bestaat [19](#page=19). #### 2.2.2 Functionaliteitstypes van PAM-modules PAM-modules kunnen vier verschillende soorten functies bieden [20](#page=20): * **auth (authenticatie)**: Verifieert of de gebruiker is wie hij zegt te zijn [20](#page=20). * **account (account)**: Controleert de status van het gebruikersaccount en of de gebruiker geautoriseerd is om iets te doen [20](#page=20). * **session (sessie)**: Voert acties uit die specifiek zijn voor de huidige sessie van de gebruiker, zoals het weergeven van een bericht van de dag (`/etc/motd`) [20](#page=20). * **password (wachtwoord)**: Wijzigt het wachtwoord of andere inloggegevens van een gebruiker [20](#page=20). Een module kan meerdere functies combineren. Bijvoorbeeld, `pam_unix.so` biedt functies voor `auth`, `account`, `session` en `password`, terwijl `pam_securetty.so` alleen de `auth` functie biedt [21](#page=21). > **Tip:** Controleer de sectie "MODULE TYPES PROVIDED" in de man-pagina van een PAM-module voor een overzicht van de aangeboden functies [21](#page=21). ### 2.3 PAM-configuratiebestanden PAM-configuratiebestanden definiëren de koppeling tussen applicaties (services) en de PAM-modules die de daadwerkelijke authenticatietaken uitvoeren. Deze bestanden worden opgeslagen in de map `/etc/pam.d` of, op oudere systemen, in een enkel bestand `/etc/pam.conf`. Als `/etc/pam.d` bestaat, wordt `/etc/pam.conf` genegeerd. De naam van het configuratiebestand verwijst naar de applicatie waarvoor PAM is geconfigureerd, bijvoorbeeld `/etc/pam.d/login`, `/etc/pam.d/sshd`, etc.. Als een applicatie geen eigen bestand heeft in `/etc/pam.d`, wordt `/etc/pam.d/other` gebruikt [22](#page=22). #### 2.3.1 Gedeelde configuratie Veel services maken gebruik van gemeenschappelijke configuratie die in aparte bestanden wordt geplaatst en vervolgens door andere configuratiebestanden wordt geïncludeerd. Op RHEL is dit vaak `/etc/pam.d/system-auth`. Op Debian zijn de gemeenschappelijke configuratiebestanden `common-auth`, `common-password`, `common-session` en `common-account` [23](#page=23). #### 2.3.2 Structuur van configuratiebestanden Een configuratiebestand in `/etc/pam.d` bestaat uit meerdere regels met een vergelijkbare structuur. Deze regels specificeren de functionaliteitstypes (`auth`, `account`, `password`, `session`) en de PAM-modules die gebruikt moeten worden, samen met de bijbehorende control flags [25](#page=25). De structuur van een regel is: `moduletype control_flag module_path [module_arguments]` [28](#page=28). * `moduletype`: Geeft het type functie aan dat de module uitvoert (bv. `auth`, `account`, `password`, `session`) [25](#page=25). * `control_flag`: Bepaalt hoe het succes of falen van de module de authenticatie beïnvloedt [27](#page=27). * `module_path`: Het pad naar het PAM-modulebestand [28](#page=28). * `module_arguments`: Optionele argumenten die aan de module worden meegegeven [28](#page=28). Het configuratiebestand bepaalt dus welke PAM-functies van welke PAM-modules worden gebruikt en in welke volgorde. Hierdoor worden vier "stacks" gevormd: `auth`, `account`, `password` en `session`, die doorlopen moeten worden [26](#page=26). #### 2.3.3 Control flags Elke PAM-module in een stack retourneert `SUCCESS` of `FAILURE`. De uiteindelijke uitkomst van de stack wordt bepaald door de control flags. Er zijn vier verschillende control flags [27](#page=27) [29](#page=29): * **`required`**: Een `required` module moet slagen voor de authenticatie om te slagen. Als een `required` module faalt, zal de stack uiteindelijk falen, maar de uitvoering van de overige modules in de stack wordt voortgezet [29](#page=29) [32](#page=32). * **`requisite`**: Als een `requisite` module faalt, faalt de authenticatie onmiddellijk. De resterende modules in de stack worden niet uitgevoerd [29](#page=29) [31](#page=31). * **`sufficient`**: Als een `sufficient` module slaagt, slaagt de authenticatie onmiddellijk, mits er geen `required` modules vóór de `sufficient` module hebben gefaald. Als een `sufficient` module faalt, heeft dit geen invloed op de uitkomst; de volgende modules worden geëvalueerd [29](#page=29) [30](#page=30). * **`optional`**: Het succes of falen van een `optional` module heeft geen directe invloed op de uitkomst van de authenticatie. Het resultaat wordt meegenomen in de uiteindelijke beslissing, maar is niet doorslaggevend [29](#page=29) [33](#page=33). > **Voorbeeld:** In `/etc/pam.d/chsh` [34](#page=34): > ``` > auth sufficient pam_rootok.so > auth requisite pam_shells.so > auth sufficient pam_unix.so > auth required pam_deny.so > ``` > De `pam_rootok.so` module wordt als eerste gecontroleerd. Als deze slaagt, is de authenticatie succesvol (`sufficient`). Als `pam_shells.so` faalt, faalt de authenticatie onmiddellijk (`requisite`). Als `pam_unix.so` slaagt, is de authenticatie succesvol (`sufficient`). Ten slotte controleert `pam_deny.so` of de authenticatie moet falen (`required`). #### 2.3.4 Module-specifieke configuratiebestanden Naast de configuratiebestanden in `/etc/pam.d`, die bepalen *welke* PAM-modules te gebruiken, in welke volgorde en met welke gevolgen, zijn er ook configuratiebestanden voor de PAM-modules zelf. Deze worden meestal opgeslagen in `/etc/security` [40](#page=40). * `/etc/security/time.conf`: Configuratie voor de `pam_time.so` module om toegang op specifieke tijden van de dag te beperken [40](#page=40). * `/etc/securetty`: Kan worden aangemaakt voor de `pam_securetty.so` module om een lijst van TTY's op te geven waarvandaan root kan inloggen. Let op: dit is niet meer beschikbaar sinds Debian 11 [40](#page=40). --- # PAM configuratiebestanden en controlemechanismen PAM configuratiebestanden in `/etc/pam.d` bepalen welke PAM-modules worden gebruikt voor specifieke applicaties (services), in welke volgorde, en met welke consequenties, waarbij controlemechanismen (flags) de uitkomst van authenticatie sturen [25](#page=25) [26](#page=26). ### 3.1 Structuur van PAM configuratiebestanden PAM configuratiebestanden, doorgaans gevestigd in de `/etc/pam.d/` directory, bevatten regels die de functionaliteit van PAM voor een specifieke applicatie of service definiëren. Elke regel heeft doorgaans de volgende structuur: `moduletype control_flag module_path [module_arguments...]` [25](#page=25) [26](#page=26) [28](#page=28). * **Moduletype:** Dit geeft aan voor welk doel de module wordt gebruikt. De vier hoofdtypes zijn: * `auth`: Voor authenticatie (verifiëren van de identiteit van de gebruiker) [26](#page=26). * `account`: Voor accountbeheer (controleren of het account geldig is, niet verlopen, etc.) [26](#page=26). * `password`: Voor het beheren van wachtwoorden (wijzigen, updaten) [26](#page=26). * `session`: Voor sessiebeheer (handelingen die aan het begin en einde van een gebruikerssessie moeten worden uitgevoerd, zoals het mounten van home directories of het loggen van sessie-informatie) [26](#page=26). * **Control flag (controlemechanisme):** Dit bepaalt hoe het succes of falen van een specifieke module de algehele uitkomst van de stap in de PAM-stack beïnvloedt. Er zijn vier verschillende controlemechanismen [27](#page=27) [29](#page=29): * `required`: Een `required` module moet slagen voor de hele authenticatie-stap om te slagen. Als een `required` module faalt, faalt de gehele stack uiteindelijk, maar de uitvoering van de stack wordt voortgezet om alle modules te kunnen uitvoeren [29](#page=29) [32](#page=32). * `requisite`: Als een `requisite` module faalt, faalt de authenticatie-stap onmiddellijk. De uitvoering van de stack stopt [29](#page=29) [31](#page=31). * `sufficient`: Als een `sufficient` module succesvol is, slaagt de authenticatie-stap onmiddellijk, *tenzij* er voorgaande `required` modules zijn gefaald. Als er geen voorgaande `required` modules zijn die gefaald zijn, en de `sufficient` module slaagt, wordt de rest van de modules in de stack voor dit moduletype genegeerd [29](#page=29) [30](#page=30). * `optional`: Het succes of falen van een `optional` module heeft geen invloed op de algehele uitkomst van de authenticatie-stap. Deze modules worden vaak gebruikt voor logging of andere informele taken [29](#page=29) [33](#page=33). * **Module Path:** Het pad naar de PAM-module die moet worden geladen (bijvoorbeeld `pam_unix.so`) [28](#page=28). * **Module Arguments:** Optionele argumenten die specifieke gedragingen van de module kunnen beïnvloeden [28](#page=28). Elk van de vier moduletypes (`auth`, `account`, `password`, `session`) vormt een "stack" van modules die in de gedefinieerde volgorde moeten worden doorlopen [26](#page=26). #### 3.1.1 De rol van controlemechanismen bij het bepalen van de uitkomst De controlemechanismen zijn cruciaal voor het bepalen van het uiteindelijke resultaat van een PAM-stap. De interactie tussen deze flags en de resultaten van de individuele modules bepaalt of een gebruiker succesvol wordt geauthenticeerd, of dat de toegang wordt geweigerd [27](#page=27). > **Tip:** Het begrijpen van de interactie tussen `required` en `sufficient` flags is essentieel. Een `sufficient` module kan een succesvolle stap garanderen, tenzij een eerdere `required` module al heeft gefaald. Dit zorgt voor flexibiliteit en robuustheid in het authenticatieproces. ### 3.2 Voorbeeld: `/etc/pam.d/chsh` configuratie Een vereenvoudigd voorbeeld van een PAM-configuratiebestand, specifiek voor de `chsh` (change shell) commando, illustreert de toepassing van deze concepten [34](#page=34) [35](#page=35) [36](#page=36) [37](#page=37) [38](#page=38) [39](#page=39): ``` auth sufficient pam_rootok.so auth requisite pam_shells.so auth sufficient pam_unix.so auth required pam_deny.so ``` Laten we dit voorbeeld analyseren: 1. `auth sufficient pam_rootok.so`: Als `pam_rootok.so` succesvol is (wat betekent dat de gebruiker root is), dan slaagt de `auth`-stap onmiddellijk [35](#page=35) [36](#page=36). 2. `auth requisite pam_shells.so`: Als de gebruiker geen root is, wordt deze regel geëvalueerd. `pam_shells.so` controleert of de gewenste shell van de gebruiker in de lijst van toegestane shells staat. Als deze module faalt (de shell is niet toegestaan), faalt de authenticatie onmiddellijk [37](#page=37). 3. `auth sufficient pam_unix.so`: Als de `pam_shells.so` module succesvol was (en de gebruiker dus root is óf de shell toegestaan is), dan controleert `pam_unix.so` de gebruikersnaam en het wachtwoord tegen de `/etc/shadow` database. Als dit succesvol is, slaagt de `auth`-stap onmiddellijk (omdat het een `sufficient` module is en de vorige `required` modules (of in dit geval `requisite`) succesvol waren) [38](#page=38). 4. `auth required pam_deny.so`: Deze regel wordt alleen bereikt als de voorgaande `sufficient` modules niet tot een onmiddellijk succes hebben geleid. `pam_deny.so` faalt altijd, wat impliceert dat als de vorige stappen het niet al tot succes hebben gebracht, deze regel de authenticatie definitief zal laten falen [39](#page=39). > **Voorbeeld:** Stel, een gebruiker probeert `chsh` te gebruiken. > * Als de gebruiker `root` is: `pam_rootok.so` slaagt (sufficient), dus de `auth`-stap is succesvol [35](#page=35). > * Als de gebruiker geen `root` is maar de gewenste shell is toegestaan: `pam_rootok.so` faalt (en wordt genegeerd omdat het `sufficient` is). `pam_shells.so` slaagt (requisite). Vervolgens slaagt `pam_unix.so` (sufficient) na correcte wachtwoordinvoer, dus de `auth`-stap is succesvol [37](#page=37) [38](#page=38). > * Als de gebruiker geen `root` is en de gewenste shell NIET is toegestaan: `pam_rootok.so` faalt. `pam_shells.so` faalt (requisite), dus de `auth`-stap faalt onmiddellijk [37](#page=37). > * Als om een andere reden de eerdere modules falen, maar de stappen nog niet definitief zijn afgesloten, zal `pam_deny.so` (required) de `auth`-stap laten falen [39](#page=39). ### 3.3 Module-specifieke configuratiebestanden Naast de algemene PAM-configuratiebestanden in `/etc/pam.d`, kunnen individuele PAM-modules hun eigen configuratiebestanden hebben om specifieke instellingen te beheren. Deze bestanden bevinden zich vaak in de `/etc/security/` directory [40](#page=40). * **Voorbeeld:** `/etc/security/time.conf` wordt gebruikt door de `pam_time.so` module om toegang te beperken tot specifieke tijden van de dag [40](#page=40). * **Voorbeeld:** `/etc/securetty` kan worden aangemaakt voor de `pam_securetty.so` module om een lijst van TTY's te specificeren van waaruit `root` mag inloggen (hoewel dit mechanisme sinds Debian 11 niet meer beschikbaar is) [40](#page=40). --- # Praktische toepassing en bronnen Deze sectie behandelt de praktische implementatie van tweefactorauthenticatie (2FA) met Time-based One-Time Passwords (TOTP) en biedt een lijst met nuttige bronnen voor verdere studie. ### 4.1 Implementatie van tweefactorauthenticatie (2FA) met TOTP De implementatie van tweefactorauthenticatie (2FA) maakt gebruik van Time-based One-Time Passwords (TOTP). Dit kan worden gerealiseerd door het gebruik van applicaties op mobiele telefoons, zoals de Google Authenticator app. Daarnaast is de integratie met Pluggable Authentication Modules (PAM) een gebruikelijke methode binnen Linux-omgevingen [41](#page=41). > **Tip:** TOTP-mechanismen genereren codes die slechts een beperkte tijd geldig zijn, wat de veiligheid aanzienlijk verhoogt door het risico op hergebruik van credentials te verminderen. ### 4.2 Bronnen voor verdere studie Voor diepgaandere kennis over Linux en gerelateerde onderwerpen, waaronder PAM, zijn de volgende bronnen aanbevolen: * **Boeken:** * "How Linux works 3rd edition" [42](#page=42). * "Practical Linux Topics" [42](#page=42). * "Beginning the Linux Command Line" [42](#page=42). * **Online documentatie (Linux-PAM):** * De officiële Linux-PAM website biedt uitgebreide documentatie, waaronder: * System Administrator Guide (SAG): http://www.linux-pam.org/Linux-PAM-html//Linux-PAM_SAG.html [42](#page=42). * Application Developer Guide (ADG): http://www.linux-pam.org/Linux-PAM-html//Linux-PAM_ADG.html [42](#page=42). * Module Writer's Guide (MWG): http://www.linux-pam.org/Linux-PAM-html//Linux-PAM_MWG.html [42](#page=42). > **Tip:** De documentatie van Linux-PAM is essentieel voor systeembeheerders en ontwikkelaars die de authenticatiemechanismen van hun systemen willen begrijpen en configureren. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

Glossary

| Term | Definition | |------|------------| | Name Service Switch (NSS) | Een mechanisme in Linux dat definieert waar en in welke volgorde naamgevingsinformatie, zoals gebruikersgegevens en hostnamen, wordt opgehaald. Het wordt geconfigureerd in het bestand `/etc/nsswitch.conf`. | | Pluggable Authentication Module (PAM) | Een flexibel framework in Linux dat het mogelijk maakt om authenticatiemechanismen modulair te beheren. Het scheidt de authenticatielogica van de applicaties zelf, waardoor systeembeheerders authenticatiemethoden kunnen aanpassen zonder applicaties te hoeven wijzigen. | | `/etc/nsswitch.conf` | Het configuratiebestand dat de Name Service Switch (NSS) beheert. Het specificeert de bronnen (zoals lokale bestanden, DNS, LDAP) die gebruikt moeten worden voor het opzoeken van diverse soorten informatie en de volgorde waarin deze bronnen worden geraadpleegd. | | `libpam.so` | Een gedeelde bibliotheek (shared object) die de functionaliteit van Pluggable Authentication Modules (PAM) bevat. Applicaties die PAM ondersteunen, worden hiertegen gelinkt om de PAM-authenticatie te kunnen gebruiken. | | Authenticatie | Het proces waarbij de identiteit van een gebruiker of entiteit wordt geverifieerd, meestal door middel van een wachtwoord, biometrische gegevens of een ander bewijs van identiteit. | | Account | Verwijst naar de status en rechten van een gebruiker in een systeem, inclusief zaken als vervaldatum, toegestane inlogtijden en toegangsrechten. | | Sessie | De context waarin een gebruiker interactie heeft met het systeem nadat authenticatie is geslaagd. Dit kan bijvoorbeeld het uitvoeren van opdrachten of het weergeven van berichten omvatten. | | Wachtwoord | Een geheime reeks tekens die wordt gebruikt om de identiteit van een gebruiker te verifiëren tijdens het authenticatieproces. PAM kan regels afdwingen voor wachtwoordsterkte en -wijzigingen. | | Dynamisch laadbare objectbestanden | Bestanden die tijdens de uitvoering van een programma in het geheugen kunnen worden geladen. PAM-modules zijn vaak van dit type, wat zorgt voor flexibiliteit en efficiëntie. | | Gedeelde objecten (`.so` bestanden) | Bestanden die code en gegevens bevatten die door meerdere programma"s tegelijk kunnen worden gebruikt. PAM-modules zijn typisch gedeelde objecten die specifieke authenticatietaken uitvoeren. | | Control flags | Parameters in PAM configuratiebestanden die bepalen hoe de uitkomst (succes of falen) van een specifieke PAM-module de algehele authenticatie voor de betreffende taak (auth, account, session, password) beïnvloedt. | | `required` (control flag) | Een controlemechanisme in PAM. Als een `required` module faalt, zal de hele authenticatiestack uiteindelijk falen, maar de uitvoering van de resterende modules in de stack wordt voortgezet. | | `requisite` (control flag) | Een controlemechanisme in PAM. Als een `requisite` module faalt, faalt de hele authenticatiestack onmiddellijk. De uitvoering van verdere modules wordt gestopt. | | `sufficient` (control flag) | Een controlemechanisme in PAM. Als een `sufficient` module slaagt, wordt de authenticatiestack als succesvol beschouwd, zelfs als andere modules falen. De uitvoering van verdere modules wordt gestopt. | | `optional` (control flag) | Een controlemechanisme in PAM. Het succes of falen van een `optional` module heeft geen directe invloed op de algehele uitkomst van de authenticatiestack. | | Tweefactorauthenticatie (2FA) | Een beveiligingsmethode die vereist dat een gebruiker twee verschillende vormen van identificatie levert om toegang te krijgen, wat de beveiliging aanzienlijk verhoogt vergeleken met een enkele authenticatiefactor. | | TOTP (Time-based One-Time Password) | Een algoritme dat een eenmalig wachtwoord genereert dat geldig is voor een beperkte tijd, gebaseerd op een gedeeld geheim en de huidige tijd. Dit is een veelgebruikte methode voor tweefactorauthenticatie. |

注册阅读了解更多