Computerbeveiliging - Hoe je bad guys buiten de deur houdt

PKI

17-10-2013, 14:14 door realista, 7 reacties
Ik ben beginner wat betreft Netwerk & security. Ik hoop dat jullie mij kunnen helpen. Ik weet in grote lijnen wat PKI is en heb basis Cisco kennis. Ik heb wat inspiratie nodig:

Willen jullie vanuit eigen ervaring met mij delen hoe PKI i.c.m. Cisco devices is ingericht?
Hoe hebben jullie dit ingericht?
Waar moet ik aan denken?
Wordt het alleen toegepast bij VPN’s? of ook bij meerdere dingen?

Eigenlijk de centrale vraag: wat zijn de “best practises”?
Reacties (7)
17-10-2013, 14:50 door Anoniem
Oh jee, iemand die denkt dat PKI een silveren kogel is.

http://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdf

PKI gaat over certificaten en hoe ze in een hierarchie te organiseren. Let er even op dat hierarchiën niet voor alle toepassingen geschikt zijn, zie bv. de CA-problematiek, mooi geillustreerd door de Honest Achmed CA aanvraag*.

Je plempt dan ook niet zomaar wat PKI op een cisco, je gebruikt het ergens voor, idd, bijvoorbeeld VPNs. Maar laat je niet door "PKI" leiden, want het is een (brakke) oplossing voor een specifiek probleem; laat je door de toepassing leiden, en zoek dan uit hoe PKI daarin gebruikt wordt, als dat het geval is. Je kan VPNs opzetten met, maar ook zonder PKI. Dus je vraag staat eigenlijk haaks op zichzelf. Wellicht leuk om hem om te draaien en nog eens te kijken wat je nou precies weten wil?


* https://bugzilla.mozilla.org/show_bug.cgi?id=647959 -- doordenkertje.
17-10-2013, 16:56 door Anoniem
"... hoe PKI i.c.m. Cisco devices is ingericht?"

Je vraag verraadt idd dat je nog beginner bent, da's geen enkel probleem uiteraard. Je wordt pas kenner door eerst beginner te zijn geweest. Toch lijkt het me raadzaam dat je eerst begrijpt wat er niet klopt aan je vraag, dan ben je al een heel eind.

Iig is PKI een techniek om trust te delegaten waardoor je 'circle of trust' groter kan worden. Hét voorbeeld is HTTPS dat middels PKI werkt. (De client vertrouwd de root-CA, de cert van de webserver is getekend door de root-CA dus kan je de cert va de webserver vertrouwen)

Op een Cisco router zie ik het niet zo snel toegepast worden, Cisco maakt gebruik van IPSec voor beveiligde (VPN)verbinding. En aangezien die twee endpoints altijd gelijk zijn lijkt me dat daar vooral een pre-shared key voor wordt gebruikt. Maar dit is aanname so anyone correct me if I'm wrong.

Oh.. en BTW. Door alle recente geneuzel rond de NSA mogen we concluderen dat het PKI systeem dood is. Immers zal niks de NSA beletten de CA-certs van Verizon en dat soort jongens op te vragen via een national security letter.
17-10-2013, 20:22 door Anoniem
Volgens mij ben ik heel vaag. :( Ik ben bij mezelf te rade gegaan wat ik nou eigenlijk wil. Even een concreet scenario:

50 cisco devices. Key is uiteraard nodig voor o.a. SSH. Wat zouden jullie doen: Self Signed certificaten of een CA trustpoint toevoegen? En waarom? Ik heb namelijk geen flauw idee waarom ik een CA zou willen toevoegen. Dat is eigenlijk waar ik mee zit.
17-10-2013, 21:43 door Anoniem
Door Anoniem: 50 cisco devices. Key is uiteraard nodig voor o.a. SSH. Wat zouden jullie doen: Self Signed certificaten of een CA trustpoint toevoegen? En waarom? Ik heb namelijk geen flauw idee waarom ik een CA zou willen toevoegen. Dat is eigenlijk waar ik mee zit.
ssh werkt met ssh sleutels, niet met PKI. Wat je beter doet in dat scenario is iets als RADIUS of TACACS+ uitrollen. Dat en gecentraliseerd configuratiemanagement zijn veel handiger om goed in de vingers te hebben.

Wil je iets met PKI (om wat voor reden dan ook) dan zou ik ervoor kiezen om zelf een CA certificate (in essentie een self-signed certificate) op te zetten en daarmee certificaten signeren voor de verschillende machines. Helaas ontkom je er niet aan een "trusted" certificaat bij een certificatenboer te halen in het geval van een publieke https-server of iets in die richting, maar zodra er geen dwingende reden is ze uit handen te geven, hou ik liever de sleuteltjes zelf in handen. Niet iedereen wil dat, want het is en blijft gehannes, daar niet van. PKI is gewoon niet zo'n handig systeem.
18-10-2013, 01:28 door Anoniem
Door Anoniem: Volgens mij ben ik heel vaag. :( Ik ben bij mezelf te rade gegaan wat ik nou eigenlijk wil. Even een concreet scenario:

50 cisco devices. Key is uiteraard nodig voor o.a. SSH. Wat zouden jullie doen: Self Signed certificaten of een CA trustpoint toevoegen? En waarom? Ik heb namelijk geen flauw idee waarom ik een CA zou willen toevoegen. Dat is eigenlijk waar ik mee zit.

Maar wat WIL je nou eigenlijk met die "cisco devices" ?
En wat doe je ermee, en blijkbaar wil je iets beveiligen ?

Een key voor ssh heeft in elk geval niets te maken met PKI.
Een cisco IOS router kan een SSH key (die gebruik je om management via SSH te doen, in plaats van via telnet) gewoon genereren.
Of je kunt een key buiten de router maken en uploaden naar de router.
18-10-2013, 09:07 door Anoniem
Door Anoniem:
ssh werkt met ssh sleutels, niet met PKI. Wat je beter doet in dat scenario is iets als RADIUS of TACACS+ uitrollen. PKI is gewoon niet zo'n handig systeem.

Huh? Dat helpt zeg... twee PKI implementaties aanbevelen en dan PKI afraden .... gottegotteochoch.
18-10-2013, 09:33 door Anoniem
Door Anoniem:
Door Anoniem:
ssh werkt met ssh sleutels, niet met PKI. Wat je beter doet in dat scenario is iets als RADIUS of TACACS+ uitrollen. [context stilletjes gewist] PKI is gewoon niet zo'n handig systeem.
Huh? Dat helpt zeg... twee PKI implementaties aanbevelen en dan PKI afraden .... gottegotteochoch.
Gaat het goed daar? RADIUS en TACACS+ zijn geen van beide "Public Key Infrastructure". Ze zijn daarentegen wel geschikt om die (al dan niet hypotetische) 50 cisco doosjes met dezelfde login informatie te kunnen bedienen. En die laatste opmerking hoorde bij de volgende paragraaf, waar het over weer iets heel anders ging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.