English· Español· Deutsch· Nederlands· Français· 日本語· ქართული· 繁體中文· 简体中文· Português· Русский· العربية· हिन्दी· Italiano· 한국어· Polski· Svenska· Türkçe· Українська· Tiếng Việt· Bahasa Indonesia

un

gast
1 / ?
terug naar lessen

Netwerken zijn Grafen

Netwerktopologieën zijn Geometrische Grafen

Elk computernetwerk heeft een topologie: de geometrische rangschikking van knooppunten (apparaten) en randen (verbindingen). Topologie bepaalt foutstoleratie, bandbreedte en beveiligingseigenschappen.

Netwerktopologieën

Vijf fundamentele topologieën:

- Ster: Eén centraal knooppunt, alle knooppunten verbinden ermee. Eenvoudig, goedkoop. Enig storingspunt: als het knooppunt uitvalt, valt alles uit. N-1 randen voor N knooppunten.

- Ring: Knooppunten vormen een cirkel, elk verbonden met twee buren. Een enkele onderbreking splitst het netwerk. N randen voor N knooppunten.

- Bus: Alle knooppunten delen een enkele ruggengraatkabel. Goedkoop maar botsing-gevoelig. Eén ruggengraatfout brengt alles neer.

- Mesh: Elk knooppunt verbindt met elk ander knooppunt. Maximale redundantie. Een volledige mesh met N knooppunten heeft N(N-1)/2 randen: dat is O(N²) verbindingen. Duur maar zeer foutbestendig.

- Boom: Hiërarchische vertakking. N-1 randen (minimale verbonden graaf). Uitval van de root splitst substructuren.

Echte netwerken zijn hybriden: een mesh-kern met ster-topologie toegangslagen, boom-gestructureerde routeringhiërarchieën, en ring-topologie redundantie op kritieke verbindingspunten.

Topologie en Foutstoleratie

Een datacentrum heeft 20 servers. Het operationele team debatteert tussen een volledige mesh en een ster-topologie voor het interne netwerk.

Bereken het aantal verbindingen dat nodig is voor een volledige mesh van 20 knooppunten versus een ster-topologie. Leg vervolgens uit waarom meeste echte datacentra geen pure topologie gebruiken: welke hybride benadering gebruiken ze meestal, en waarom?

Geometrie van Blootstelling

Aanvalsoppervlak = Geometrische Begrenzing

In cyberbeveiliging is het aanvalsoppervlak de totale verzameling van punten waar een aanvaller kan interageren met een systeem. Denk er geometrisch over na: je systeem is een vorm, & elk punt op zijn grens is een mogelijke ingang.

Componenten van het aanvalsoppervlak:

- Netwerkoppervlak: Elke open poort op elk openbaar IP-adres. Een server met 5 open poorten heeft 5 punten op zijn netwerkgrens.

- Applicatieoppervlak: Elk API-eindpunt, elke URL-route, elke formulierinvoer. Een web-app met 200 routes heeft 200 toepassingslag-grensenpunten.

- Menselijk oppervlak: Elke werknemer met referenties, elk phishing-doelwit. Social engineering-aanvallen gericht op de menselijke perimeter.

- Fysiek oppervlak: Elke serverruimtedeur, elke USB-poort, elk netwerkaansluitpunt.

Het geometrische principe: Beveiliging verbetert door het minimaliseren van de grens tussen vertrouwde en onvertrouwde zones. Een firewall definieert een geometrische grens: verkeer binnenin is vertrouwd, verkeer erbuiten niet. Hoe minder gaten in die grens, hoe kleiner het aanvalsoppervlak.

Dit verklaart waarom het principe van minimale privileges geometrisch is: geef elk onderdeel de minimale grensblootstelling die het nodig heeft om te functioneren.

Aanvalsoppervlak Verkleinen

Een bedrijf voert een webtoepassing uit met de volgende blootstelling: 12 openbare API-eindpunten, SSH open op alle 50 servers (poort 22), een database met een openbaar IP, & een adminpaneel toegankelijk van het internet.

Beschrijf ten minste vier specifieke geometrische veranderingen om dit aanvalsoppervlak te verkleinen. Leg voor elk uit welke grens je kromp & waarom.

Aanvalsgrafen en Bedreigingsbomen

Bedreigingsmodellering Gebruikt Grafentheorie

Beveiligingsprofessionals modelleren bedreigingen als gerichte grafen. De structuur van deze grafen onthult aanvalspaden, hoogwaardigepunten, & defensieve prioriteiten.

Aanvalsgrafen: Knooppunten vertegenwoordigen systeemtoestanden (of individuele systemen). Gerichte randen vertegenwoordigen mogelijke overgangen: exploits, laterale verplaatsingen, escalaties van privileges. Een aanvalspad is een wandeling door deze graaf van een extern knooppunt naar een doelknooppunt.

Bedreigingsbomen: Een gespecialiseerde graafstructuur. Het wortelnknooppunt is het doel van de aanvaller (bijv. 'database stelen'). Onderliggende knooppunten zijn methoden om het doel van de ouder te bereiken. Bladeren zijn concrete aanvalsacties. AND-knooppunten vereisen dat alle onderliggende slagen; OR-knooppunten vereisen slechts één.

Grafencentraliteit identificeert hoogwaardige doelen:

- Tussencentraliteit: Een knooppunt waardoor veel kortste paden gaan. In een netwerk is dit het knelpunt: compromitteer het, en je controleert de verkeersstroom. Een firewall of domeincontroller heeft vaak hoge tussencentraliteit.

- Gradencentraliteit: Een knooppunt met veel verbindingen. In een aanvalsgraaf is een knooppunt bereikbaar vanuit veel andere knooppunten een waardevol lateraal bewegingsdoel.

Kortste pad = meest waarschijnlijke aanvalsvector: Aanvallers optimaliseren voor minste stappen. Het kortste pad in een aanvalsgraaf van het internet naar de database is de meest waarschijnlijke aanvalsroute. Verdediging betekent dat kortste pad langer maken: knooppunten toevoegen (beveiligingscontroles) die de aanvaller moet doorkruisen.

Analyse van Aanvalsgrafen

Beschouw een netwerk met deze structuur: Internet → Webserver → App Server → Database. De Webserver verbindt ook met een Bestandsserver. De App Server verbindt met een Backup Server. Het doel van een aanvaller is de Database.

Visualiseer de aanvalsgraaf mentaal. Wat is het kortste pad van Internet naar Database? Welk knooppunt heeft de hoogste tussencentraliteit, & waarom maakt dat het de prioriteit voor het hardenen? Als je een firewall tussen Webserver & App Server toevoegt, hoe verandert dat de lengte van het kortste pad?

Elliptische Curve Cryptografie Gebruikt Geometrie

Elliptische Curven: Waar Geometrie Versleuteling Wordt

Elliptische curve cryptografie (ECC) is een van de zeldzame plaatsen waar beveiliging letterlijk is gebouwd op geometrische operaties.

Een elliptische curve is de verzameling van punten (x, y) die voldoen aan: y² = x³ + ax + b (plus een speciaal 'punt op oneindig'). Over de reële getallen ziet dit eruit als een soepele, symmetrische curve.

Puntoptelling: de geometrische operatie die cryptografie mogelijk maakt:

1. Neem twee punten P & Q op de curve.

2. Trek een rechte lijn door P & Q.

3. Die lijn snijdt de curve op precies één ander punt R'.

4. Reflecteer R' over de x-as om R = P + Q te krijgen.

Deze 'optelling' operatie vormt een wiskundige groep: het is associatief, heeft een identiteitselement (het punt op oneindig), en elk punt heeft een inverse.

Scalaire vermenigvuldiging: Een punt P k keer bij zichzelf optellen geeft kP. Vooruitgaan (kP berekenen gegeven k en P) is snel: O(log k) operaties met behulp van dubbel-en-optellen. Achteruitgaan (k vinden gegeven P en kP) is het elliptische curve discreet logaritme probleem (ECDLP): verondersteld rekenkundig onhaalbaar te zijn voor grote curves.

Deze asymmetrie is de beveiligingsfondament van moderne TLS. Uw browserverbinding via HTTPS gebruikt waarschijnlijk ECDHE (Elliptic Curve Diffie-Hellman Ephemeral): beide zijden spreken af op een gedeeld geheim door punten op een elliptische curve uit te wisselen, en geen afluisteraar kan het geheim terugwinnen zonder ECDLP op te lossen.

Waarom Geometrie Goed voor Cryptografie Zorgt

ECC biedt dezelfde beveiliging als RSA met veel kleinere sleutelgroottes. Een 256-bits ECC-sleutel biedt ruwweg dezelfde beveiliging als een 3072-bits RSA-sleutel.

Leg uit waarom het elliptische curve discreet logaritme probleem moeilijk is: wat maakt het geometrisch moeilijk om de scalaire vermenigvuldiging kP terug naar k om te keren? & waarom vertaalt deze geometrische moeilijkheid zich in kleinere sleutelgroottes vergeleken met RSA's aanpak voor getalfactorisatie?