Hallo andré,

het is natuurlijk een leuke opdracht, het is minder handig dat er verder geen ICT mensen in dienst zijn.

Je moet rekening houden wat voor aparatuur er wordt gebruikt in het netwerk. Firewall, routers, switches etc.
De basis van deze aparaten moeten natuurlijk goed zijn, om dit te kunnen testen, zou je eens kunnen kijken naar de configuraties van deze apparaten. (bijvoorbeeld met nipper)

Verder kan je een vulnerability scanner gebruiken om de clients te scannen. (nessus)

Voor standaarden kan je kijken naar de 27001 voorheen de 17799.
Voor het eventueel opstellen van een security policy etc voor documenten, zou je de PCI-DSS kunnen hanteren, en cardholder vervangen voor sensitive documents.


Verder is het handig om na te gaan ov er al iets van een security beleid aanwezig is bij het bedrijf, en kijken wat daar instaat. Leg dit eens naast de iso 27001.

Ik wens je veel succes als je ermee aan de slag gaat.

Hi Andre, werp eens op de blik op de volgende url (http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1178862,00.html) en krab dan nogeens achter je oor.
Weet je zeker dat je deze opdracht uit wilt gaan voeren? Er komt meer bij kijken dan je in de eerste instantie kan overzien.

Als ik jou was zal ik de scope van je opdracht goed afbakenen voordat je eraan begint.

Succes.

Probeer een goed beeld van de huidige situatie te krijgen en maak op basis daarvan een gewenste situatie, analyseren en de knelpunten overwegen, hieruit kun je dan tot een advies cq. verbetervoorstellen nodig. Echter het mindere is dat je weinig security kennis hebt, zoek idd even wat op over de kema normen 27001 e.d. en misschien is het goed om eens op FAQ of forums van bekende hardwarefabrikanten te kijken. Forum van tweakers kan ik je ook aanraden.

Wat je verder ook kunt doen is een proces bekijken en maken. Bedenk dat security niet alleen te maken heeft met echnische IT maar ook met het organisatie, het beleid en welke verantwoording/rol vervult de medewerker in het bedrijf met het oog op security

Succes van een Information Manager

Waarde collega,


Misschien dat je iets kan met het OSSTMM. Zie de link hieronder. Dit is vrij uitgebreid en wordt ook wereldwijd door Pen Testers gebruikt. Als je het niet helemaal gebruikt valt er in ieder geval genoeg waardevolle info uit te halen.

[ur]http://www.isecom.org/mirror/OSSTMM_3.0_LITE.pdf[/url]


Succes met je opdracht en vriendelijke groenten,

anonymous maximus

wat je ook kunt doen, een opleiding volgen bij Securitymasterclass
Opleiding: Certified Penetration Testing Expert

Omschrijving
In de CPTE cursus leert de cursist hoe een kwalitatief goede security analyse en penetratietest uit te voeren. Deze vormen de basis voor (continue) rapportage, het al dan niet inzetten van beveiligingsmaatregelen en het toetsen van en invulling geven aan IT Security beleid. Houd er rekening mee dat er strikte eisen zijn verbonden aan achtergrond en werkervaring voor deze training. Deze vindt u terug onder "documentatie".

Onderwerpen:
Module 1: Introduction and Pen Test Overview
Module 2: Refresher: The Attack Stage
Module 3: Core Impact: Initial Pen Test
Module 4: External/DMZ Assessments
Module 5: Wireless Site Surveying
Module 6: Attacking Bluetooth Devices
Module 7: Programming 101
Module 8: Internal Pen Testing
Module 9: Physical Security
Module 10: After the Pen Test

Het is maar een idee!

Succes ermee.

Ik zou beginnen met zoveel mogelijk info te verzamelen over wat er op het netwerk is aangesloten wat er met het netwerk mag enz.
Hierna voer je een pentest/security audit uit om te bekijken of je eerder verkregen gevens kloppen danwel of je nieuwe knelpunten kunt aantonen.
Daarna ga je een aanbeveling schrijven met hoe het uit eindelijk moet worden denk aan patch server firewalls en wat al niet meer

Bel met 0900-RENTAHACKER en hij wijst je de weg ! :-)

Had nog zo gevraagd mijn telefoonnummer niet zo maar met iedereen te delen :P

Hoi Andre,

Je hebt een mooie klus omhanden die ik zeker aan zou nemen. Ik wil eerst wat commentaar geven op bovenstaande reacties.

(1) De link naar het Techtarget artikel. Vergeet dat artikel voor een groot deel. Ja, je kunt er handige dingen uit halen, maar het richt zich op zogenaamde kwantitatieve risico analyse. Oftewel, aan alle assets, risico's, threats en dergelijke worden getallen gehangen. Dat is ondoenlijk in zelfs een kleine organisatie. Wat is de prijs van imago schade? Niemand kan daar een zinnig antwoord op geven. Je kunt je beter richten op kwalitatieve risico analyse. Dat richt zich meer op het fingerspitzengefühl van mensen die erbij betrokken zijn, zoals netwerk beheerders, security managers, juridische mensen, platformbeheerders etc. Risico en impact worden op die manier niet gekwantificeerd. Daarentegen wordt met ervaring en kennis van internen ingeschat hoe ernstig iets is.

(2) Er is al een heleboel geschreven over maatregelen die een organisatie zou moeten nemen om zo veilig mogelijk te zijn. Wat dat veilig precies is hangt van de organisatie en het management af; hoeveel risico willen zij accepteren, in welke branche werken ze, wat is hun budget? Zijn er bepaalde richtlijnen die zijn opgelegd vanuit de branche om ergens aan te voldoen? Hoe zit het met wet- en regelgeving? De Code van Informatiebeveiliging (ISO 27002, niet 27001 zoals hierboven wordt aangegeven) geeft hiervoor een prima opzet, alsmede 27005 (Information security risk management). Het nadeel is dat je dik moet betalen voor deze documenten. De NIST heeft wat dat betreft ook een hoop goede documenten. Kijk maar eens op http://csrc.nist.gov/publications/PubsSPs.html, en dan met name naar documenten als SP800-30.

(3) Het blind uitvoeren van vulnerability scans op basis van Nessus is gevaarlijk. Ik heb al vele documenten gezien van gerenommeerde bedrijven van wie de security consultants lukraak een vulnerability scanner als Nessus opstartten en de output aan het management gaven. "Dat zijn je zwakten, los maar op". Het ontbrak het bedrijf echter aan de mankracht om alles op te pakken, het kader waarbinnen zaken opgepakt moesten worden, richtlijnen hoe dingen te implementeren etc. Er worden soms zelfs beslissingen genomen die niet heel veilig zijn, maar op dat moment de enige juiste optie blijken. Dat dient allemaal meegenomen te worden in de beoordeling van de output. Kortom, voordat je daaraan begint zou ik eerst goed nadenken wat je scope wordt en hoe je dingen op wilt zetten.


Dat gezegd hebbende kun je verschillende kanten op gaan. Voer b.v. enkele gesprekken met managers en beheerders om te achterhalen wat erg belangrijk is voor ze. Is beschikbaarheid van systemen heel belangrijk? Dan kun je gaan kijken hoe het zit met dubbel uitgevoerde routers/ switches, redundantie van stroomvoorziening, backups, aanwezigheid van generatoren, uitwijktesten, capaciteitstesten, kwaliteit van de beheerders (er wordt nogal eens her en der een vinkje gezet, waardoor iets onderuit sodemietert), aanwezigheid van documentatie etc. Als integriteit belangrijk is, richt je dan op zaken als hash waarden op logfiles, aanname beleid van externen/ nieuwe medewerkers, rechtenstructuren die worden gebruikt,

Of hanteer een zelfgemaakte top-10 of top-20 van punten die zeker geregeld dienen te zijn (al dan niet geleend van de top-20 van het SANS), zoals patch beleid, wachtwoord beleid, firewall rule beleid etc, waarbij allereerst in kaart is gebracht wat het management wil hebben en wat er nu ligt. Discrepanties kun jij dan gestructureerd in kaart gaan brengen.

Doordat security zo ruim is, adviseer ik je om heel duidelijk de scriptie af te bakenen. Het is namelijk heel makkelijk om zaken HEEL breed te trekken, waardoor er geen eind meer aankomt. Gebruik hiervoor het diamant-model (ooit een term toen ik aan het studeren was): bekijk eerst wat je wil doen. Daarbij lees je steeds meer over bepaalde dingen. Daarna dien je 90% te laten vallen en je toe te spritsen op het uiteindelijke onderwerp. Dus eerst <, en dan >.

Mocht je nog meer informatie nodig hebben, laat maar weten.

Succes!!

Hoi Andre,

Je zou het volgende boek kunnen bekijken, waarin een hoop belangrijke zaken worden besproken met betrekking tot je opdracht. Het boek behandelt Risicoanalyse, privacykwesties, hackingtechnieken en nog veel meer:
-Bouw en onderhoud een veilig netwerk
- Werk met firewalls, antivirussoftware, opsporingssystemen voor binnendringing en meer
- enzovoorts

Titel: Netwerkbeveiliging voor professionals
Uitgever: Academic Services
Auteur: Eric Maiwald - Chief Technology Officer, Fortex Technologies Inc.
Taal: Nederlands
ISBN: 9039518653
Oorspronkelijk Engels Boek: Network Security: A beginners Guide

Succes

Begin bij het begin en wel bij een risico analyse c.q. een risico audit met als basis de ISO 27001.
Deze norm vormt de basis voor IT security.
Bij een audit komt als vanzelf de mogelijke probleempunten naar voren.
Hiervoor is het nodig dat je in ieder geval in contact komt met het bedrijf wat de IT geleverd heeft of op dit moment in onderhoud heeft.
Dit kan als vertrekpunt dienen voor scanners en wat al niet meer.

Succes,
Sjoerd

Andre,

idd het afbakenen van je opdracht is essentieel. Infosec staat niet op zich, maar dient onderdeel te zijn van een 'corporate security policy'. Aangezien het een klein bedrijf is zal die er naw niet zijn. Probeer te achterhalen tegen wie of wat men zich wil beveiligen (dreigingscenario) en hoe groot men de risico's inschat. Wat is de waarde van de gegevens die men wil beveiligen? Zeg maar een kleine en korte A&K analyse (afhankelijk- en kwetsbaarheidanalyse). De code voor infobeveiliging ISO 27001 voorheen de 17799 is verder een goede leidraad.
Nadat bovenstaande is geinventariseerd probeer je maatregelen te bedenken/zoeken die de dreigingen zouden moeten weerstaan. Vergeet daarbij ook de storingsmonteur(s) die toegang hebben tot het gehele systeem en alle ruimte. Geen eigen ICT afd. houdt in externen over de vloer. Denk ook aan mobiele toepassingen zoals mobiel/thuiswerken, laptops, PDA's, smart phones etc.
Kortom een top-down benadering en laat je niet te snel verleiden tot allerlei tools. Probeer systematisch en analytisch te werk te gaan. Het is een hele leuke uitdagende opdracht die je zeker moet aannemen; doe je gelijk uitstekende ervaring op. Wel lastig dat je geen tot nauwelijks begeleiding hebt. Mijn advies is wel om iemand ter zake kundig te vinden die je hierbij helpt.

Suc6.

Leuk dat er hierboven zoveel prima reacties staan!

Afbakenen is inderdaad het keyword hier. Ik ga ervan uit dat je te maken hebt met een Ethernet- en evt. WiFi-netwerk.

In de meeste bedrijven is het uitgangspunt en dus het primaire doel van een Ethernetnetwerk dat alle daarop aangesloten devices met elkaar kunnen communiceren. Indien nodig (op basis van een risicoanalyse) kunnen daarop uitzonderingen worden gemaakt (met vaak compleze maatregelen die Ethernet ruim overstijgen), maar bij een veertigtal devices (inclusief enkele lokale servers en printers) zul je al snel zien dat een kosten/baten analyse voor de meeste bedrijven van die omvang (zeker als er geen ervaren netwerkbeheerder aanwezig is) al snel zal betekenen dat de risico's maar genomen zullen moeten worden (wees dus voorbereid op deze uitkomst, voorkom teleurstelling bij jezelf!). Bij een netwerk zonder managed switches heb je gewoon geen "eigen" netwerkbeheerder nodig, hooguit af een toe externen die switches vervangen, kabeltjes trekken, het (A)DSL modem inregelen en ervoor zorgen dat enkele VPN-verbindingen (blijven) werken.

Strikt genomen beperkt Ethernetbeveiliging zich tot alles wat zich tussen de NIC's van de op het netwerk aangeloten endpoint devices bevindt (exclusief die NIC's zelf). Buiten bewust of onbewust veroorzaakt netwerkverkeer dat de functionaliteit van dat netwerk kan ontregelen (zoals DoS attacks) en het doorknippen van kabels zal het je een worst zijn welk Ethernetverkeer er tussen de op het netwerk aangesloten devices wordt uitgewisseld. De reden hiervoor is dat Ethernet niet met security in mind ontworpen is en daarmee inherent onveilig is. Layer-2 (Ethernet) bridges en switches (switch = meerdere bridges in 1 doos) zijn bedoeld om de performance van je netwerk te verbeteren. Hoewel ze enige security by obscurity bieden heb je daar in de praktijk weinig aan; MAC-adressen zijn eenvoudig te spoofen en ethernetpakketten zijn verder unauthenticated. Een extra nadeel van wireless Ethernet boven wired Ethernet is natuurlijk dat je geen fysieke toegang tot een kabel nodig hebt.

In de praktijk loopt netwerkbeveiliging uiteen van de bovengenoemde (minimale) Ethernetbeveiliging via allerlei maatregelen bovenop Ethernet, d.w.z. truuks als WEP/WPA maar vaak maatregelen op Layer-3 en hoger, allerlei maatregelen op endpoint devices, het toevoegen van extra devices (zoals IDS appliances en Radius servers voor 802.1X), t/m het screenen van personen die gebruik zullen maken van dat netwerk. Waar houdt het op?

Ik zou beginnen met de volgende vraag te stellen aan jouw opdrachtgever: "Wat verstaat u precies onder netwerkveiligheid?". Het antwoord zou als volgt kunnen luiden:
(1) "We hebben hier een tijd geleden Blaster en recentelijk Conficker op het netwerk gehad en dat moet afgelopen zijn"
(2) "Wij ontwikkelen computergames en ik wil niet dat de sources daarvan gestolen kunnen worden door derden"
(3) "Het moet omdat we vertrouwelijke gegevens (gaan) verwerken" (denk aan de [url=https://www.pcisecuritystandards.org/]PCI[/url])
(4) "Ik vermoed dat een van onze medewerkers fraudeert en ik wil weten wie"
(5) "De beveiliging van onze werkstations en servers is geheel op orde. Gebruikers kunnen geen shares aanmaken en alle gebruikers loggen in als ordinary users m.b.v. recentelijk geïnstalleerde 2-factor authentication (alleen beide beheerders kunnen als Administrator inloggen maar doen dat alleen indien nodig). Het doel van jouw opdracht is te onderzoeken of het mogelijk is om de netwerken bestemd voor VoIP, P&O, boekhouding, management en een zowel vast als draadloos netwerk voor gasten "te compartimenteren", dus er scheidingen tussen aan te brengen. Kijk ook of het mogelijk is om, Indien een gast per ongeluk of opzettelijk een notebook aansluit op één van de interne netwerken, hij dan geen verbinding krijg".

(5) lijkt me een heldere opdracht die te doen is in een paar maanden (maar die is erg fictief); bij (1)..(4) kun je je borst natmaken...

vaag verhaal.

je loopt stage, en er is geen stage begeleiding ?
je wil een 'stage' opdracht aannemen, en er is geen ICT afdeling ... !
anoniempje, wie ben jij ?

Om het bedrijf niet een vals gevoel van veiligheid te geven zou ik deze opdracht als stagiaire NOOIT durven aannemen. Dit is iets wat ervaring vereist, en dat krijg je niet met een paar goedbedoelde adviezen op een website.

Alleen al het doornemen van de benodigde documentatie, zoals 'Hacking exposed' zou je al meer dan een paar maanden kosten. En daarna (ja, pas daarna) kun je een begin maken met het in kaart brengen van het netwerk. Zoals je zelf al opmerkt is er niemand die je hierbij kan begeleiden.

Als leeropdracht voor jou: prachtig, maar de vraag is of je er diep genoeg in kunt, wilt en mag duiken binnen de toch beperkte hoeveelheid tijd die je krijgt. Zo te lezen is het verwachtingspatroon bij je klant ook niet realistisch.

Laat je vooral niet verblinden door de audit programma's, je moet de impact BEGRIJPEN voordat je de resultaten van deze pakketten (ook die van de uitstekende vrije pakketten zoals nessus) kunt gebruiken voor zinnige uitkomsten.

Kortom: brand je er niet aan. Dat was het commentaar ook van bijvoorbeeld ctp(m) en diverse anderen hier.

EJ

Andre,

Of je de taak op je neemt hangt af van een paar dingen. Ten eerste ben ik benieuwd hoeveel tijd je krijgt voor je stage opdracht. Toen ik afstudeerde kreeg ik 6 maanden de tijd om mijn opdracht af te ronden, maar dat zijn er uiteindelijk 8 geworden. In dat tijdsbestek zou een opdrachtomschrijving zoals jij geeft (met natuurlijk een duidelijke afbakening van je opdracht!) wel te doen zijn. Je hebt dan namelijk veel tijd om je in te lezen, iets dat ik toen ook moest doen. Als er sprake is van een tussentijdse stage voor een studiepunt of 4 à 8, dan is het een onbegonnen zaak, temeer doordat je aangeeft dat je je nog niet helemaal veilig voelt op het gebied van beveiliging. Een opleiding informatica kan daarbij wel als pré werken, afhankelijk van de vakken die je gevolgd hebt, maar een zekerheid is het niet.

Ten tweede vind ik de volgende opmerking vreemd:

Na wat informeren kwam ik erachter dat de bedrijf ook geen eigen ICT-afdeling heeft, dus ook niemand die me eventueel kan begeleiden met de opdracht.

Bij een stage dient er ALTIJD een begeleider te zijn aan zowel de kant van je school als aan de kant van de klant. Het kan niet zo zijn dat de klant je laat zwemmen, doordat ze toevallig geen IT afdeling hebben. Wellicht is het mogelijk om een begeleider van het bedrijf, waar alle IT gerelateerde zaken aan uitbesteed zijn, te krijgen, maar dat dient van tevoren heel duidelijk te worden gemaakt. Het zou de eerste keer niet zijn dat die persoon er niet is wanneer je hem nodig hebt, even op vakantie is en een invaller regelt die andere taken aan zijn hoofd heeft.

Ten derde is de vraag wat je precies moet gaan doen en of je daar de kennis voor hebt. Ik heb zelf de technische variant van Bestuurlijke Informatiekunde gestrudeerd. Ik dacht heel wat voor te stellen, totdat ik in de praktijk Windows netwerken en GPO infrastructuren moest ontwerpen als net afgestudeerde. Daar had ik dus geen kaas van gegeten. Het risico bestaat dat jij ook tegen dat probleem aanloopt. Als het een technische opdracht is, dan dien je al behoorlijk wat kennis te hebben van b.v. Cisco apparatuur met bijbehorende CatOS en IOS, backward compatibility issues en de beveiliginsproblemen die daarbij komen kijken etc, anders wordt je opdracht onvolledig. Heb je in ieder geval die basis?

Kortom, bedenk goed waarmee je je inlaat en zorg voor een zorgvuldige afbakening van je opdracht. Dit kan een succes worden, maar ook het compleet tegenovergestelde met alle gevolgen vandien voor jou en de klant.

Succes met de afweging die je gaat maken.