Security Professionals - ipfw add deny all from eindgebruikers to any

Netwerk beveiliging onbekende apparatuur. MAC / Certificaten / 8021X

11-09-2012, 16:40 door Anoniem, 24 reacties
Hallo,

Momenteel ben ik bezig met een project waarbij de fysieke toegang van onbekende apparatuur verandert moet worden. Als iemand fysieke toegang tot een netwerk aansluiting heeft is deze persoon in de gelegenheid om eigen apparatuur (=niet geautoriseerde apparatuur) aan te sluiten op het betreffende netwerk. Deze niet geautoriseerde apparatuur wordt niet gecontroleerd door de binnen het bedrijfsnetwerk in gebruik zijnde beveiligingssoftware en is niet onderworpen aan de binnen het bedrijfsnetwerk afgedwongen beleid.

Nu was mijn idee om de beveiliging voor de apparaten te beveiligen door middel van MAC Authenticatie. De keuze is hierop gevallen omdat het voor een gedeelte al geïmplementeerd is binnen de organisatie en de kosten daarvoor laag liggen, en er hoeft geen extra software geinstalleerd te worden. Het moet uiteraard zo veilig mogelijk maar het mag niks kosten.

De andere overweging die ik maakte was het gebruik van certificaten. Het voordeel van certificaten is dat het veel veiliger is, nadeel veel duurder, het kan niet voor alle apparatuur gebruikt worden. Bijvoorbeeld iPad etc.

Gebruik van 8021X.

Is er verder nog een variant waar ik zelf niet aan gedacht heb? Momenteel zit ik een beetje vast waardoor verse input behulpzaam kan zijn. Wat zijn jullie meningen hierover?
Reacties (24)
12-09-2012, 11:09 door Anoniem
Het hangt van het soort gebruik af.

Kijk eens naar wat de meeste hospitality oplossingen doen. (gast wifi van hotels, vliegveld lounges etc).
Die authenticeren niet meer op laag 2 (mac, 802.1x etc) , maar daarboven.

Je komt altijd "op" het netwerk, maar in een captive portal, waar je moet inloggen met usernaam/password , of misschien andere credentials, en daarna pas kun je verder.
Voor dat type gebruik is het een geschikte oplossing.

Provocatief, je kunt het model ook omdraaien : beschouw het bedrijfsnetwerk als standaard wijd open met een behoorlijke set van basis services.
Laat authorized clients via een VPN, of beveiligde protocollen werken met bedrijfsservers of andere resources waar de untrusted devices niet bij moeten kunnen.

Ik neem aan dat je weet dat de veiligheid van mac authenticatie beperkt is ?
12-09-2012, 11:38 door Anoniem
zoals jij beschrijft denk ik dat een MAC authenticatie leuk is maar zinloos.
Als er iemand is die vervelend doet dan loopt hij naar de eerste de beste pc toe, schrijft het MAC op. ( staat op elke NIC). zet dat op zijn NIC van zijn pc.. en hij is voorbij je MAC authenticatie.

Als je over Wifi praat dan kun je beter in hogere lagen in het OSI model gaan authenticeren
Maar gaat het om vaste NW aansluitingen in de muur dan moet je jzeker ook e netwerk beter designen.

Denk aan het gebruik van VLANS. ( zorg dat je een apart management VLAN hebt)
gebruik accesslisten enz enz..

wat je ook kan doen is gaan werken met citrix sessies maar dat vergt investeringen en daar zitten bedrijven nu niet op te wachten :)
12-09-2012, 11:49 door Anoniem
Sowieso valt wifi buiten de scope. Als je verbinding maakt met wifi wordt je direct omgeleid en heb je alleen verbinding met het internet. De rest van de functionaliteiten kun je niet gebruiken.

De vaste werkplekken zijn meestal thin clients wat gebruik maken van citrix, en er zijn nog wat thick clients die ook verbinding met citrix maken. De authenticatie gebeurd binnen het netwerk door middel van username + password en vanaf buiten wordt er gebruik gemaakt van een token.

Het probleem wat er nu echter is, als ik mijn laptop aan sluit op een patchpunt kan ik tot laag 4 komen. Dit is uiteraard te ver. Door middel van MAC authentication wilde ik voor een controle zorgen of het apparaat bekend is. Is het apparaat niet bekend komt dit in een apart VLAN met alleen toegang tot internet.

Uiteraard ben ik bekend dat je gemakkelijk het MAC adres kunt achterhalen door spoofing en sniffing, maar als gebruik wordt gemaakt van certificaten worden de mobile devices / printers niet ondersteund. Het voordeel is dat de gebruiker echt fysieke toegang tot het netwerk moet hebben, en dat maakt het voor indringers uiteraard al wat lastiger. Ik hoef me alleen met het interne netwerk bezig te houden namelijk.
12-09-2012, 13:48 door Anoniem
"zoals jij beschrijft denk ik dat een MAC authenticatie leuk is maar zinloos. Als er iemand is die vervelend doet dan loopt hij naar de eerste de beste pc toe, schrijft het MAC op. ( staat op elke NIC). zet dat op zijn NIC van zijn pc.. en hij is voorbij je MAC authenticatie."

Het feit dat MAC authenticatie technisch omzeilbaar is wil helemaal niet zeggen dat dit zinloos is. Immers werkt het wel als afschrikking, en een medewerker die merkt dat hij nieuwe apparatuur niet meer zomaar kan aansluiten zal sneller naar de beheerders lopen om dit netjes te regelen wanneer mac address control wordt gebruikt. Een medewerker die vervolgens alsnog mac adressen gaat clonen om ongeautoriseerd zaken aan te sluiten kan op dit wangedrag worden aangesproken.

Overigens zal die medewerker bij het gebruik van DHCP bijvoorbeeld het device waarvan hij het mac adres wil kopieren van het netwerk af moeten sluiten om geen IP conflict te veroorzaken. Via tools als ARPWatch kan je dergelijke problemen verder als beheerder razendsnel opsporen.

Stellen dat mac address control geen zin heeft omdat je een mac address kan clonen is net zoiets als stellen dat maximum snelheden geen zin hebben, omdat een auto harder kan dan de limiet. Niet alles is te voorkomen, maar maatregelen kunnen wel degelijk nuttig zijn om beleid te handhaven.
12-09-2012, 14:18 door Anoniem
802.1x met gebruik van username/wachtwoord.
12-09-2012, 18:39 door Anoniem
En niet geauthenticeerde devices worden in een geisoleerd 'guest VLAN' geplaatst (dat b.v. alleen HTTP/HTTPS toegang verleent en b.v. geen access tot file-servers, etc.) neem ik aan ?
13-09-2012, 15:01 door Anoniem
Maar hoe ga ik dan om met apparaten die wel toegang mogen hebben maar geen gebruik kunnen maken van 802.1X. Denk bijvoorbeeld aan printers.

En hoe moet ik met 802.1X omgaan met certificaten? Heb hier nooit eerder mee gewerkt, dus ik moet dan zelf een certificaat aanmaken? Of moet dit gekocht worden?

Enige nadeel wat MAC heeft is dat je makkelijk het MAC adres kunt achterhalen, dit invoeren en je kunt op het netwerk.
13-09-2012, 19:33 door Anoniem
Door Anoniem: Sowieso valt wifi buiten de scope. Als je verbinding maakt met wifi wordt je direct omgeleid en heb je alleen verbinding met het internet. De rest van de functionaliteiten kun je niet gebruiken.

De vaste werkplekken zijn meestal thin clients wat gebruik maken van citrix, en er zijn nog wat thick clients die ook verbinding met citrix maken. De authenticatie gebeurd binnen het netwerk door middel van username + password en vanaf buiten wordt er gebruik gemaakt van een token.

Het probleem wat er nu echter is, als ik mijn laptop aan sluit op een patchpunt kan ik tot laag 4 komen. Dit is uiteraard te ver. Door middel van MAC authentication wilde ik voor een controle zorgen of het apparaat bekend is. Is het apparaat niet bekend komt dit in een apart VLAN met alleen toegang tot internet.

Uiteraard ben ik bekend dat je gemakkelijk het MAC adres kunt achterhalen door spoofing en sniffing, maar als gebruik wordt gemaakt van certificaten worden de mobile devices / printers niet ondersteund. Het voordeel is dat de gebruiker echt fysieke toegang tot het netwerk moet hebben, en dat maakt het voor indringers uiteraard al wat lastiger. Ik hoef me alleen met het interne netwerk bezig te houden namelijk.



Het is een design *keuze* tot "tot laag vier" komen "te ver" is.
Het feit dat het in jouw netwerk "te ver" is, volgt uit allerlei keuzes die gebaseerd zijn op IP adres als herkenning van trusted of untrusted device en segment.

Als je die keuze op de schop gooit kun je heel veel dingen anders doen.
14-09-2012, 09:24 door User2048
Het hangt ook een beetje af van het soort organisatie waar je werkt. Hoeveel mensen in jouw bedrijf hebben de benodigde kennis voor MAC spoofing? MAC filtering is niet de ultieme oplossing, maar draagt zeker een stukje bij aan je beveiliging.
14-09-2012, 10:14 door Anoniem
Eeeeuh RIS?
14-09-2012, 12:44 door Anoniem
"Het hangt ook een beetje af van het soort organisatie waar je werkt. Hoeveel mensen in jouw bedrijf hebben de benodigde kennis voor MAC spoofing"

Het grootste deel van de medewerkers die misschien wel een device zomaar inprikken, zullen -ook wanneer ze over de juiste technische kennis beschikken- wel even goed nadenken voordat ze zaken als MAC spoofing gaan gebruiken. Wat dat betreft gaat het niet enkel om technische kennis.
18-09-2012, 13:25 door Anoniem
De kennis is van de medewerkers alles behalve aanwezig. De meeste gebruikers weten net hoe een PC aan gaat zeg maar.

Maar het is idd wel zo dat als ze op het netwerk kunnen ze nog altijd een gebruikersnaam en wachtwoord nodig hebben om echt ergens binnen te dringen. Het is nu sowieso al zo geregeld dat als iemand dmv wifi inlogd, hij in een apart VLAN komt wat alleen verbinding tot internet toe staat.

En de meeste gebruikers maken zover ik weet gebruik van wifi, dus op dat gebied is er al hoop gebeurd voor het veilig te houden.
18-09-2012, 16:53 door BaseMent
Ik weet niet wat voor netwerk het betreft. Maar als het statisch is (dus niet met gebruikers die vandaag in poort x zitten en morgen in poort y) kan je ook port security aanzetten op je switches. Als er iets op een poort aangesloten wordt gaat deze eerst in blocking. Daarna zet je hem open en leert de poort het mac adres in. Wordt er nu iets anders aangesloten gaat de poort weer dicht. Dat kan je instellen, dus of deze helemaal dicht gaat, of alleen zolang het onbekende mac adres erin zit.

Dit kan je faken, maar alleen op de desbetreffende poort. Je zou dus een ander apparaat kunnen aansluiten op dezelfde poort met detzelfde (gespoofde) mac-adres. Maar stop je dat gespoofde adres in een andere poort, dan is dat adres daar niet bekend dus blocked de poort.
Werkt dus vooral goed voor backbone achtige zaken met weinig dynamiek.

Wil je het anders, zal je echt op de machines iets moeten gaan doen. Dat kan wellicht met certificaten, misschien ook met software, maar daar weet ik weinig van.
18-09-2012, 17:24 door Preddie
Je kunt natuurlijk ook NAC (Network Access Control) implementeren, hier zijn verschillende oplossingen voor te vinden. Deze doen precies wat jij wil.

Google het eens zou ik zeggen. succes!
18-09-2012, 18:43 door Anoniem
802.1x wordt wel door ipads en andere mobile devices ondersteunt mits je de authenticatie op basis van certificaten doet. Kijk eens naar clearpass van Aruba, die bieden een tool aan waarmee uitrol van user based certificates eenvoudig gerealiseerd kan worden. 802.1x met certificates vereist een root ca server en thats it.
Desnoods combineer je het met username/password (radius) of mac adres.

NAC is mooi maar is altijd een combinatie van verschillende zaken. Authenticatie, policies en management (alle disciplines binnen je organisatie moeten meewerken) zijn de belangrijkste factoren. Daarnaast is logging and rapporting ook een must have, tenzij je passief wilt reageren op threats gedetecteerd door je NAC software.
19-09-2012, 12:23 door BaseMent
Een NAC is natuurlijk ook een goede oplossing maar kan ook overkill zijn. Je hebt wel een machine die je moet inrichten en patchen. De software is niet goedkoop en het bijhouden van alle MAC adressen is vaak een dagtaak. Zeker in een grote organisatie met veel machines.

Volgens mij is security ook niet meer implemteren als nodig is.
Port security kan je eigenlijk altijd inrichten zonder dat het veel geld kost. Is natuurlijk wel afhankelijk van type switch maar met een NAC is dat niet anders.
20-09-2012, 11:02 door Anoniem
Door Anoniem: 802.1x wordt wel door ipads en andere mobile devices ondersteunt mits je de authenticatie op basis van certificaten doet. Kijk eens naar clearpass van Aruba, die bieden een tool aan waarmee uitrol van user based certificates eenvoudig gerealiseerd kan worden. 802.1x met certificates vereist een root ca server en thats it.
Desnoods combineer je het met username/password (radius) of mac adres.

NAC is mooi maar is altijd een combinatie van verschillende zaken. Authenticatie, policies en management (alle disciplines binnen je organisatie moeten meewerken) zijn de belangrijkste factoren. Daarnaast is logging and rapporting ook een must have, tenzij je passief wilt reageren op threats gedetecteerd door je NAC software.

Ik denk dat het makkelijkste is om de authenticatie te doen door middel van gebruikersnaam en wachtwoord icm 802.1X.
Als ik het goed begrijp hoef ik dus dan alleen 802.1x te configureren op de switch en een radius server op te zetten door middel van NPS?
Als er een certificaat geïnstalleerd moet worden dan kan dit als ik het goed begrepen heb op de DC en daar een Root CA aanmaken. En 802.1x op de client toepassen.

Als extra nog de authenticatie door middel van mac. Hierdoor kunnen de apparaten die 802.1x niet ondersteunen toch verbinding maken met het netwerk. Of is het mogelijk dit zonder mac authenticatie te doen en alleen met 802.1x te werken?
20-09-2012, 11:41 door Anoniem
De vooralsnog beste oplossing die ik ben tegengekomen (ook een pen-test op los gelaten), heeft wel wat voeten in aarde qua inrichting van techniek, beleid, processen en beheer, maar je dekt daarmee wel alle risico's bij gebruik van NAC, 802.1x en MAC adressering af..

1. Security groepen in AD (met speciieke toegangsrechten)
2. DRM (digital rights management)
3. Toegang op basis van rol of functie (RBAC)
4. Elke toegang tot..verloopt via een Portal (meestal Sharepoint)
5. Op basis van wie je bent krijg je toegang tot..
6. Access op 2 manieren: interne medewerkers met een dongle, externen via https en username wachtwoord (u leest het goed..intranet en extranet samen gevoegd in 1 portal)
7. Richt een ISMS in met minimaal de volgende documenten:
-Netwerk security policy
- Systems security policy
- BCM procedure
- Statement of applicability
- KPI overzicht
- toeganscontrole policy
- procedure registratie gebruikers
- Incident response procedure
- Audit kalender (voor het periodiek toetsen van de KPI's uit bovengenoemde documentatie)
- Document review procedure

8. Logging (weet wat je logt en waarom en zorg voor een methode om de logging uit verschillende systemen te kunnen correleren, gebruik hiervoor ook de KPI's uit de Incident response procedure)
9. Het begint allemaal met een gedegen security architectuur!
08-10-2012, 10:31 door Anoniem
De beste oplossing lijkt mij 802.1x (EAP-TLS) + MAC Authenticatie. Hier heb ik voor gekozen omdat EAP-TLS de meeste veilige oplossing is, en door middel van MAC Authenticatie alle apparatuur kan worden toegestaan.

Nu zit ik echter met het probleem hoe ik moet omgaan met apparatuur die geen lid zijn van het domein. Er wordt gebruik gemaakt van Thin clients met Windows CE5.0 en 6.0 waar citrix op draait, Clients met Windows XP SP3. Echter hoe kun je automatisch de certificaten installeren op de Thin Clients en laptops? Omdat de laptops en thin clients geen lid zijn van het domein kunnen de certificaten niet automatisch geïnstalleerd worden door policies. Elke keer een nieuw certificaat handmatig installeren is geen oplossing. Daarvoor staan teveel machines op teveel verschillende locaties.

Nu was ik aan het denken om gebruik te maken van 802.1x PEAP (MS-CHAPv2). Hiervoor hoeft het apparaat zich niet meer een certificaat maar met username en password te authentiseren. Klopt dit, of gaat dat evengoed niet werken in deze situatie?
12-10-2012, 13:30 door Anoniem
Cisco netwerk? Zo ja, kijk dan eens naar Cisco ISE.
15-10-2012, 11:28 door Anoniem
Nee, allemaal HP Procurve switches.
19-10-2012, 11:07 door Anoniem
1X is voor dit soort dingen bedacht, maar je kan natuurlijk ook alle poortjes waar onbekenden toegang to hebben preventief in een gast-vlan dumpen en dan per portal danwel service ticket in een ander vlan zetten. Of ze gewoon uitzetten.

Maar je moet je eens goed afvragen wat je nou waartegen wil beschermen. Ik zie vooral middelen en gemaakte keuzes (waarom vraag je dan nog advies?), maar niet zoveel doelstellingen. Beschrijf eens welke groepen gebruikers die je hebt, en hoe ze geacht worden gebruik te maken van de faciliteiten?
19-10-2012, 11:52 door Anoniem
MAC Authenticatie is vrijwel GEEN Authenticatie.

Mac adressen staan wellicht allemaal op een sticker op de client.

De persoon die kwaad wil zal iets langer bezig zijn maar stelt weinig voor.

Voorbeeld:
macchanger -m 00:11:22:33:44:55

:o
20-10-2012, 12:09 door WhizzMan
Je zult denk ik een aantal technieken en methodes moeten combineren.

- 802.1X certificaten waar mogelijk.
- Als je switches het ondersteunen, poort dichtgooien als het macadres wat aan die poort gekoppeld is niet in de lijst met toegestane adressen voor die poort staat.
- VLANS met daarop stricte firewalls en routing zodat bijvoorbeeld printers alleen maar printerverkeer op hun ethernetpoort kunnen krijgen en ontvangen, alleen maar via de printservers.
- Logging van alles wat hiermee te maken heeft
- Alerting op die logs zetten, zodat je niet zelf alles hoeft te lezen. Een parser die je een mailtje stuurt als er iemand een laptop in een printerpoort steekt is handig, elke dag een overzicht van de incidenten lees je na een maand niet meer.
- Een goede policy zodat mensen die dingen "fout" doen ook op hun donder krijgen en uitleg krijgen waarom het niet mag.

Probeer waar mogelijk zoveel mogelijk van deze maatregelen te combineren, een 802.1X certificaat is niet genoeg, zet er ook de firewall en routering bij, bijvoorbleeld. Kies je nieuwe hardware zodanig dat die ook 802.1X ondersteunt, zodat je minder risico loopt op MAC-spoofing in de toekomst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.