image

Hoe insiders het netwerk infiltreren

donderdag 8 mei 2008, 12:26 door Redactie, 5 reacties

Als we de statistieken mogen geloven is het aantal aanvallen door insiders met 17% toegenomen, wat betekent dat bedrijven eigen personeel net zo streng moeten monitoren als buitenstaanders. Dit is vaak veel lastiger, omdat het personeel toegang en rechten nodig heeft om te functioneren. Volgens Bill Whitney en Tara Flynn Condon worden de onderstaande vijf manieren het vaakst door insiders gebruikt om toegang tot het netwerk te krijgen.

  1. Modem. Een gebrek aan centraal management gecombineerd met eenvoudig te raden wachtwoorden, zorgen ervoor dat modems een ideale springplank zijn voor insiders met kennis van het netwerk.
  2. Open File Transfer. De meeste ondernemingen gebruiken open File Transfer om de netwerkinfrastructuur te patchen. Werknemers en vendors passen deze slecht beveiligde toegang toe om probleem op te lossen, maar een insider kan ze via deze methode juist veroorzaken.
  3. Open telnet en SSH poorten: Bedrijven die externe partijen inhuren om het netwerk en systemen te beheren, zouden alle telnet en SSH poorten moeten sluiten of goed beveiligen.
  4. Server console poort: Handig voor technici om servers te beheren, maar door toegang te krijgen tot een terminal server, kan een insider duizenden systemen infiltreren.
  5. Niet gemonitord extranetverkeer. Een extranet opent het netwerk van ondernemingen voor vendors en andere partijen die toegang nodig hebben. Vaak wordt het gebruik en verkeer niet gemonitord en krijgen partijen teveel rechten.
Reacties (5)
08-05-2008, 13:42 door justin
SSH dichtzetten is beetje onzinnig als je beheer over
afstand als een zwaktepunt ziet. Want de wens en noodzaak in
veel gevallen voor remote beheer blijft, wil je dan dat
mensen op een andere manier het mogelijk gaan maken om
remote beheer te doen?
Je kunt beter vragen aan die beheerders hoe ze hun SSH
geconfigureerd hebben. Als SSH zo geconfigureerd is dat je
niet mag inloggen met een wachtwoord is dat ook secure. Alle
brute-force attacks worden dan effectief onmogelijk. Ook als mensen dus slordig zijn met wachtwoorden hebben ze hier niet genoeg aan om binnen te komen. Enige wat dan nog over blijft is het goed updaten van de SSH daemon en wat een gebruiker mag zodra die met SSH is ingelogd.

Uiteraard is het wel nodig om te zorgen dat alleen de goede groep insiders SSH mogen gebruiken maar dat geld voor alle methodes
08-05-2008, 13:55 door Anoniem
Volgens mij mis ik nog de belangrijkste... HTTPS
08-05-2008, 15:40 door Anoniem
Door Anoniem
Volgens mij mis ik nog de belangrijkste... HTTPS
Precies. Of je inspecteert het, of je laat het à la "default deny" in beginsel niet
door, maar je zet het niet open. HTTPS is op heel veel netwerken dé methode
om ergens vrijwel ongezien en ongelimiteerd naar buiten en dus ook weer
naar binnen toe te kunnen.
08-05-2008, 17:11 door Anoniem
en webmail ???
09-05-2008, 09:19 door Anoniem
"Modem. Een gebrek aan centraal management gecombineerd met
eenvoudig te raden wachtwoorden, zorgen ervoor dat modems een ideale
springplank zijn voor insiders met kennis van het netwerk."

Is het probleem met insiders niet juist dat ze vaak op de hoogte zijn van de
wachtwoorden en dergelijke, en deze in tegenstelling tot een outsider dus
veelal niet hoeven te raden ?

"Open telnet en SSH poorten: Bedrijven die externe partijen inhuren om
het
netwerk en systemen te beheren, zouden alle telnet en SSH poorten
moeten sluiten of goed beveiligen."

Sluiten lijkt mij niet erg verstandig vnl. wat betreft SSH tenzij dit natuurlijk
niet nodig is voor beheer. Het is dus goed om een firewall of router ACL te
configureren om te zorgen dat alleen geautoriseerde personen (intern
danwel extern) de SSH (of indien strikt noodzakelijk Telnet) port te kunnen
bereiken.

Daarnaast lijkt het me niet alleen een kwestie van afschermen, maar ook van
het monitoren van de systemen, zodat er ook sprake is van accountability,
dat aspect mis ik een beetje in bovenstaand artikel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.