Rijksuniversiteit Groningen
Rugbalk
Reacties op DEZE pagina Abonneren op email bij wijziging 23 Jan 2003

Telnet/ftp en Ict-security

Doeko Homan 
d.h.homan@rc.rug.nl

In het vorige Pictogram-nummer schreef Frank Brokken in zijn security-column over o.a. de onveiligheid van telnet- en ftp-servers. Naar aanleiding hiervan ontving de redactie de volgende reactie van Doeko Homan, werkzaam bij de afdeling Computerzaken van het RC.Chepstow 4: Roger Bigod III (1270-1300)

Uit de parallel van ICT-security en een middeleeuws kasteel (zie Pictogram april/mei 2002) valt het nodige te leren. Maar zoals iedere analogie gaat ook deze vergelijking mank. In dat kasteel zal het een komen en gaan geweest zijn, denk maar aan leveranciers en ambachtslieden. De poortwachter zal alleen bij vreemden moeilijk doen, en bekenden zonder verder vragen doorlaten.
Toegepast op ICT-security, het 'zonder verder vragen doorlaten' is de telnet/ftp-toegang. En het is zwaar overdreven dat te rangschikken onder het kopje 'Maar werkelijk het stomste wat onze kasteelheer kan doen'. Bij ICT-security word je voortdurend geconfronteerd met de afweging 'ideale situatie' versus 'in de praktijk gegroeide situatie'. Het gaat niet aan te doen alsof de wereld pas vandaag is ontstaan en alles nog ideaal te regelen is. Het van toepassing verklaren van waardeoordelen als bovenstaande is dan ook krenkend voor iedereen die in een niet-ideale wereld probeert er het beste van te maken.

Je kan niet zomaar de telnet/ftp-gebruikers in de kou laten staan. Want het moge duidelijk zijn dat handhaven van telnet/ftp naast een andere toegang de beveiliging niet verbetert. Een gebouw is nog nooit veiliger geworden door het creëren van een extra toegang.
We zullen eens volgen wat er gebeurt als je 'het stomste wat je kan doen, telnet/ftp beschikbaar houden', vervangt door een andere faciliteit die we ssh zullen noemen. Je weet in principe aan wie je toegang geeft, maar er kan misbruik van gemaakt worden zoals door

  • Afluisteren van of inbreken op de communicatielijn van toetsenbord naar computer.
  • Slordigheden van de gebruiker, zoals opschrijven of overdragen aan bekenden van username/password.

Het eerste punt, de communicatielijn, valt voor een groter of kleiner deel onder netwerkbeheer. Het tweede punt onttrekt zich aan iedere controle.
Met het verbieden van telnet/ftp creëer je schijnzekerheid. Het onderdeel 'afluisteren van de communicatielijn' leidt niet meer direct tot misbruik. Maar, ook via de toegang ssh kan misbruik gemaakt worden als er ingebroken is op de communicatielijn. De gebruiker krijgt bij opnieuw inloggen dan mogelijk een vraag waarop ok gegeven moet worden. Net als bij de last-login-melding van telnet, wordt dan de alertheid van de gebruiker op de proef gesteld. En daar moet je geen illusies over te hebben. De kans lijkt mij het grootst dat de gebruiker denkt 'weer zo’n rare melding van de computer', en gewoon ok geeft.

Dat wordt verergerd door het feit dat ssh van de gebruiker een actieve houding vereist. In ssh worden nog steeds security holes gevonden, en de gebruiker zal de laatste update of nieuwste versie moeten installeren. Het is de ogen sluiten voor de realiteit als je denkt dat de massa van gebruikers dat zal doen.
Wat ik constateer bij ICT-security is, dat heel gemakkelijk voorbijgegaan wordt aan de consequenties voor gebruikers van een opgelegde maatregel. Bijvoorbeeld ook het aantal username/passwords in gebruik per gebruiker (pc’s, elektronische agenda e.d.) is dermate groot, en de afgedwongen wijziging van passwords is dermate frequent, dat opschrijven haast onontkoombaar is.

Betreffende de communicatielijnen denk ik dat het juist een taak van een Rekencentrum is om te zorgen dat communicatielijnen niet afgeluisterd of gekraakt kunnen worden. Voorlichting naar gebruikers is dan aangeven welke lijnen als 'veilig', en welke als 'onzeker' beschouwd moeten worden.
Overigens ben ik van mening dat bewustwording van ICT-security prima is, maar dat het gegeven voorbeeld van de gestolen laptop paniekzaaierij is. Mijn inschatting is dat die laptop gewoon gestolen is om het apparaat zelf, niet om de datafiles. De conclusie dat versleuteling van die data 'de nodige slapeloze nachten' voorkomen heeft, is onjuist. Als het inderdaad te doen geweest is om de files, is er pas echt reden tot slapeloze nachten. Want de dief zal dan zeker terugkeren om de sleutel dan wel de onversleutelde data in handen te krijgen ….

Begin pagina


index Pictogram  3