Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Windows 7 met DirectAccess functie
Windows 7 zal in combinatie met Windows Server 2008 R2 een van de meest handige functies krijgen voor mensen die buiten de deur werken. DirectAccess geeft namelijk direct toegang tot interne resources (Intranet, fileservers) zonder dat hiervoor een VPN verbinding hoeft te worden opgezet.
VPN heeft verschillende nadelen. De VPN verbinding moet altijd eerst worden opgezet (of lukt dat wel?), het is wachten op de VPN verbinding en na het maken van de VPN verbinding gaat alle verkeer over de VPN verbinding.
Direct Access maakt gebruik van IPsec en IPv6 en zet twee IPsec tunnels op naar het bedrijfsnetwerk.
De eerste tunnel gebruikt het machine certificaat om een IPsec Encapsulating Security Payload (ESP) tunnel op te zetten met IP-TLS (Transport Layer Security) encryptie. Deze tunnel biedt toegang tot de DNS server en de Domein Controller zodat de Group policies kunnen worden uitgevoerd en authenticatie namens de gebruiker kan worden gecontroleerd.
De tweede tunnel is ook een IPsec-ESP met IP-TLS en maakt daarvoor zowel gebruik van het machine certificaat als het user certificaat. Via deze tunnel wordt de gebruiket geauthenticeert en geeft toegang tot de interne servers.
Als beheerder kun je aangeven of gebruikers van DirectAccess volledig toegang krijgen tot het netwerk of alleen tot specifieke servers.
_______________________
Ik ben benieuwd vanuit een security oogpunt hoe de security specialisten hierover denken?
VPN heeft verschillende nadelen. De VPN verbinding moet altijd eerst worden opgezet (of lukt dat wel?), het is wachten op de VPN verbinding en na het maken van de VPN verbinding gaat alle verkeer over de VPN verbinding.
Direct Access maakt gebruik van IPsec en IPv6 en zet twee IPsec tunnels op naar het bedrijfsnetwerk.
De eerste tunnel gebruikt het machine certificaat om een IPsec Encapsulating Security Payload (ESP) tunnel op te zetten met IP-TLS (Transport Layer Security) encryptie. Deze tunnel biedt toegang tot de DNS server en de Domein Controller zodat de Group policies kunnen worden uitgevoerd en authenticatie namens de gebruiker kan worden gecontroleerd.
De tweede tunnel is ook een IPsec-ESP met IP-TLS en maakt daarvoor zowel gebruik van het machine certificaat als het user certificaat. Via deze tunnel wordt de gebruiket geauthenticeert en geeft toegang tot de interne servers.
Als beheerder kun je aangeven of gebruikers van DirectAccess volledig toegang krijgen tot het netwerk of alleen tot specifieke servers.
_______________________
Ik ben benieuwd vanuit een security oogpunt hoe de security specialisten hierover denken?
Reacties (9)
09-10-2009, 13:03 door
dim
Marketingpraat. Dit is gewoon een VPN. :)
"Ik ben benieuwd vanuit een security oogpunt hoe de security specialisten hierover denken? "
Ik denk dat er een wereld van verschil is met managed devices welke eigendom zijn van de werkgever en unmanaged devices welke eigendom zijn van de werknemer. Het gaat hierbij vooral om een geautomatiseerde VPN oplossing waardoor het systeem, wanneer deze aanstaat, deel uitmaakt van het corporate netwerk.
Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan lijkt mij dat dit niet zo'n probleem is. Op deze wijze is het veel gemakkelijker om t.b.v. asset management, compliancy management en security management systemen op afstand te beheren en voor de werknemer biedt het ook gemak.
Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan vraag ik mij af in hoeverre werknemers dit wenselijk vinden. Zolang je niet bezig bent met werkgerelateerde zaken dan biedt de verbinding geen enkele meerwaarde. Systemen met beveiligingsissues kunnen door middel van network access control buiten worden gesloten; hiervoor is deze DirectAccess oplossing niet nodig.
"Windows 7 zal in combinatie met Windows Server 2008 R2 een van de meest handige functies krijgen voor mensen die buiten de deur werken. DirectAccess geeft namelijk direct toegang tot interne resources (Intranet, fileservers) zonder dat hiervoor een VPN verbinding hoeft te worden opgezet."
Deze uitlating is natuurlijk volstrekte onzin. DirectAccess is een VPN oplossing. Verschil is dat de verbinding niet -handmatig- hoeft te worden opgezet.
"... en na het maken van de VPN verbinding gaat alle verkeer over de VPN verbinding. "
Dit klopt niet. Bij een VPN kan alle traffic via het bedrijfsnetwerk worden gerouteerd. Het is ook mogelijk om alleen traffic bedoelt voor het bedrijfsnetwerk te routeren via het VPN, en overige traffic gewoon via de reguliere provider te laten lopen. Wanneer DirectAccess wordt gebruikt heb je dezelfde keuze.
Verder is het denk ik goed om stil te staan bij de vraag in hoeverre je alle traffic wilt routeren via het bedrijfsnetwerk, zeker wanneer de apparatuur prive eigendom is.
Voor de werknemer betekent dit minder privacy, en eventueel filtering van traffic door de werkgever, en voor de werkgever brengt dit extra juridische risico's met zich mee omdat de werknemer nu thuis gebruik maakt van IP space van de werkgever, waardoor mogelijke klachten bij de werkgever binnenkomen (i.e. een werknemer die thuis op zijn prive PC gebruik maakt van direct access, en vervolgens niet-werkgerelateerde spamberichten verstuurt).
Als werkgever wil je je aansprakelijk maken voor gedrag van werknemers buiten werktijd, wanneer dit geen enkele relatie heeft tot het werk, en mogelijke incidenten zijn opeens te herleiden naar de werkgever in plaats van naar de provider van de werknemer.
Ik denk dat er een wereld van verschil is met managed devices welke eigendom zijn van de werkgever en unmanaged devices welke eigendom zijn van de werknemer. Het gaat hierbij vooral om een geautomatiseerde VPN oplossing waardoor het systeem, wanneer deze aanstaat, deel uitmaakt van het corporate netwerk.
Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan lijkt mij dat dit niet zo'n probleem is. Op deze wijze is het veel gemakkelijker om t.b.v. asset management, compliancy management en security management systemen op afstand te beheren en voor de werknemer biedt het ook gemak.
Wanneer het gaat om een systeem dat eigendom is van de werkgever, dan vraag ik mij af in hoeverre werknemers dit wenselijk vinden. Zolang je niet bezig bent met werkgerelateerde zaken dan biedt de verbinding geen enkele meerwaarde. Systemen met beveiligingsissues kunnen door middel van network access control buiten worden gesloten; hiervoor is deze DirectAccess oplossing niet nodig.
"Windows 7 zal in combinatie met Windows Server 2008 R2 een van de meest handige functies krijgen voor mensen die buiten de deur werken. DirectAccess geeft namelijk direct toegang tot interne resources (Intranet, fileservers) zonder dat hiervoor een VPN verbinding hoeft te worden opgezet."
Deze uitlating is natuurlijk volstrekte onzin. DirectAccess is een VPN oplossing. Verschil is dat de verbinding niet -handmatig- hoeft te worden opgezet.
"... en na het maken van de VPN verbinding gaat alle verkeer over de VPN verbinding. "
Dit klopt niet. Bij een VPN kan alle traffic via het bedrijfsnetwerk worden gerouteerd. Het is ook mogelijk om alleen traffic bedoelt voor het bedrijfsnetwerk te routeren via het VPN, en overige traffic gewoon via de reguliere provider te laten lopen. Wanneer DirectAccess wordt gebruikt heb je dezelfde keuze.
Verder is het denk ik goed om stil te staan bij de vraag in hoeverre je alle traffic wilt routeren via het bedrijfsnetwerk, zeker wanneer de apparatuur prive eigendom is.
Voor de werknemer betekent dit minder privacy, en eventueel filtering van traffic door de werkgever, en voor de werkgever brengt dit extra juridische risico's met zich mee omdat de werknemer nu thuis gebruik maakt van IP space van de werkgever, waardoor mogelijke klachten bij de werkgever binnenkomen (i.e. een werknemer die thuis op zijn prive PC gebruik maakt van direct access, en vervolgens niet-werkgerelateerde spamberichten verstuurt).
Als werkgever wil je je aansprakelijk maken voor gedrag van werknemers buiten werktijd, wanneer dit geen enkele relatie heeft tot het werk, en mogelijke incidenten zijn opeens te herleiden naar de werkgever in plaats van naar de provider van de werknemer.
09-10-2009, 14:15 door
Thasaidon
In mijn optiek is het niets meer dan een normale VPN welke in dit geval in het OS geïntegreerd is.
Dus hoe ze het ook noemen, het is en blijft een VPN.
Daarnaast speelt idd het "probleem" of de werknemer een systeem van het werk heeft of niet.
Ik wil met mijn thuis pc geen verbinding maken met mijn werk omdat dit een security issue met zich mee brengt.
De prive pc word immers niet beheerd door de beheerders van het werk en dus zou er van alles en nog wat op kunnen zitten wat je niet op je bedrijfsnetwerk hebben wil.
Andersom ook... Ik zou thuis geen pc van de zaak willen, want dat is alleen maar ongemakkelijk. Dan heb ik 2 systemen thuis staan.
Een laptop zou dan idd een optie zijn, maar ook die zal dan beveiligd moeten zijn om ongeautoriseerd gebruik te voorkomen.
Mocht de laptop (onderweg) gestolen worden, dan zou iemand bij wijze van spreken dus ook zo op jou werk netwerk kunnen komen omdat de VPN immers "automatisch" opgezet word.
Daarnaast draaien wij hier op onze clients nog XP en dat zal voorlopig niet veranderen.
Ik denk dat we moeten afwachten op de 1e "ervaringsdeskundige" :-)
Dus hoe ze het ook noemen, het is en blijft een VPN.
Daarnaast speelt idd het "probleem" of de werknemer een systeem van het werk heeft of niet.
Ik wil met mijn thuis pc geen verbinding maken met mijn werk omdat dit een security issue met zich mee brengt.
De prive pc word immers niet beheerd door de beheerders van het werk en dus zou er van alles en nog wat op kunnen zitten wat je niet op je bedrijfsnetwerk hebben wil.
Andersom ook... Ik zou thuis geen pc van de zaak willen, want dat is alleen maar ongemakkelijk. Dan heb ik 2 systemen thuis staan.
Een laptop zou dan idd een optie zijn, maar ook die zal dan beveiligd moeten zijn om ongeautoriseerd gebruik te voorkomen.
Mocht de laptop (onderweg) gestolen worden, dan zou iemand bij wijze van spreken dus ook zo op jou werk netwerk kunnen komen omdat de VPN immers "automatisch" opgezet word.
Daarnaast draaien wij hier op onze clients nog XP en dat zal voorlopig niet veranderen.
Ik denk dat we moeten afwachten op de 1e "ervaringsdeskundige" :-)
09-10-2009, 14:52 door
[Account Verwijderd]
[Verwijderd]
Een stap vooruit vindt ik het. Alles wat op een makkelijke manier encryptie (inclusief aanmelding) makkelijker maakt is gewoon beter. En ja, dit is gewoon een vpn. Niet de modernste oplossing maar wel een veiligere als bijvoorbeeld ftp (zonder encryptie).
quote:
"VPN-netwerken maken gebruik van geverifieerde koppelingen om ervoor te zorgen dat alleen bevoegde gebruikers verbinding kunnen maken met uw netwerk. Bovendien worden gegevens gecodeerd om te voorkomen dat anderen gegevens onderscheppen en gebruiken die via internet worden verzonden. Voor deze beveiliging gebruikt Windows XP het PPTP-protocol (Point-to-Point Tunneling) of het L2TP-protocol (Layer Two Tunneling Protocol). Een Tunneling Protocol is een technologie waarmee de overdracht van gegevens via internet van de ene computer naar de andere veiliger wordt.
Met VPN-technologie kan een bedrijf ook verbinding maken met filialen of andere bedrijven via een openbaar netwerk (zoals internet) terwijl de communicatie toch beveiligd blijft. De VPN-verbinding via internet werkt als een exclusieve WAN-koppeling (Wide Area Network)."
http://technet.microsoft.com/en-us/network/bb545442.aspx
http://support.microsoft.com/kb/314076/nl
Tot uw dienst;
Het orakel
quote:
"VPN-netwerken maken gebruik van geverifieerde koppelingen om ervoor te zorgen dat alleen bevoegde gebruikers verbinding kunnen maken met uw netwerk. Bovendien worden gegevens gecodeerd om te voorkomen dat anderen gegevens onderscheppen en gebruiken die via internet worden verzonden. Voor deze beveiliging gebruikt Windows XP het PPTP-protocol (Point-to-Point Tunneling) of het L2TP-protocol (Layer Two Tunneling Protocol). Een Tunneling Protocol is een technologie waarmee de overdracht van gegevens via internet van de ene computer naar de andere veiliger wordt.
Met VPN-technologie kan een bedrijf ook verbinding maken met filialen of andere bedrijven via een openbaar netwerk (zoals internet) terwijl de communicatie toch beveiligd blijft. De VPN-verbinding via internet werkt als een exclusieve WAN-koppeling (Wide Area Network)."
http://technet.microsoft.com/en-us/network/bb545442.aspx
http://support.microsoft.com/kb/314076/nl
Tot uw dienst;
Het orakel
09-10-2009, 16:13 door
jvdwijk
Slechte zaak, securitytechnisch gezien, vind ik.
Een onwetende gebruiker heeft dus op een gegeven moment totaal niet meer in de gaten dat er nog een verbindinkje openstaat naar de zaak. En belangrijker nog: virussen/malware kan nu dus een tunneltje openzetten zonder dat de gebruiker dat in de gaten heeft dat er een tunneltje openstaat.
Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico.
Een onwetende gebruiker heeft dus op een gegeven moment totaal niet meer in de gaten dat er nog een verbindinkje openstaat naar de zaak. En belangrijker nog: virussen/malware kan nu dus een tunneltje openzetten zonder dat de gebruiker dat in de gaten heeft dat er een tunneltje openstaat.
Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico.
09-10-2009, 18:27 door
MrBil
*hoest*
"Een onwetende gebruiker heeft dus op een gegeven moment totaal niet meer in de gaten dat er nog een verbindinkje openstaat naar de zaak. En belangrijker nog: virussen/malware kan nu dus een tunneltje openzetten zonder dat de gebruiker dat in de gaten heeft dat er een tunneltje openstaat."
Er wordt niet voor niets gebruik gemaakt van network access protection, hierdoor zijn er beveiligingseisen aan de PC voordat deze toegang krijgt tot het bedrijfsnetwerk.
"Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico."
Met dit soort oplossingen is awareness handig, maar je moet ook een technische blokkade hebben om PC's te weren die security-technisch niet voldoen.
Er wordt niet voor niets gebruik gemaakt van network access protection, hierdoor zijn er beveiligingseisen aan de PC voordat deze toegang krijgt tot het bedrijfsnetwerk.
"Kortom, ik denk wel dat de gebruiker wel "aware" moet zijn dát er een verbinding wordt opgengezet, anders vind ik dit een behoorlijk security risico."
Met dit soort oplossingen is awareness handig, maar je moet ook een technische blokkade hebben om PC's te weren die security-technisch niet voldoen.
11-10-2009, 11:21 door
cpt_m_
Ik wil iedereen bedanken voor hun reactie met verklaring.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
