Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Internet virtualiseren; hoe doe jij dat?

03-04-2017, 14:17 door Robbert de Waard, 10 reacties
Hallo,

Ik wil geen internet meer rechtstreeks aanbieden op de computer van de eindgebruikers.

Ze mogen van mij de hele dag internetten, maar ik wil geen end-point meer die het risico lopen via malware of andere methodes een achterdeur vormen in het netwerk. De front-end controls zoals geen access to C:\ drive, CMD en PowerShell staan dicht, EMET draait, de Windows security baselines zijn toegepast, etc etc.

Toch merk ik dat er nog steeds af en malware binnenkomt via mail, usb en web sites. Dan krijgen we van **** een melding dat er 'verkeerd' verkeer is opgepikt en kunnen we weer aan de slag.

Wie heeft er kennis of ervaring met het 'virtualiseren' van het internetverkeer? Wat ik bedoel zijn oplossingen waarbij de gebruiker surft in een browser of sessie die ergens centraal draait [zoals Citrix dat doet voor de hele desktop, maar Citrix is een no-go als investering op dit moment].

Zo'n oplossing is interessant voor mij om het verkeer met C&C servers moeilijk te maken, om de impact van custom malware op desktops te verkleinen en om het importeren van bestanden in de browser af te sluiten; alles om exfiltratie lastig te maken.

Wellicht zijn er nog andere methodes om dit voor elkaar te krijgen. Hoe kijken jullie hiernaar?
Reacties (10)
03-04-2017, 14:40 door [Account Verwijderd] - Bijgewerkt: 03-04-2017, 14:42
[Verwijderd]
03-04-2017, 14:43 door [Account Verwijderd]
Een proxy server zoals bijvoorbeeld Barracuda is denk ik wat je wilt.
Met Microsoft Group Policy (met de chrome plugin ook voor Chrome) kan je PC's voor Internet verkeer afschermen op die manier.

Zo'n appliance komt in verschillende smaken; reken op 6000 TCP connecties als je rond de 1000 PC's hebt; wil je een virtuele appliance (die bestaan in HyperV en VMWare smaken) dan moet je wel diep in de buidel voor goede performance.

Wil je geen policies dan ondersteunt de appliance wél een in-line, de VM versie niet !
De in-line versie fungeert dan zo'n beetje als gateway, met alle filter/anti-virus opties etc.

Internet sessies virtualiseren kan wel, maar vergt een heleboel hardware (HyperV/VMWare) die Edge VM sessies aanbiedt bijvoorbeeld én een heleboel beheer (updates); vanwege de beheerslast kozen wij voor een Proxy Appliance en hebben in 15 jaar nooit 1 infectie gehad.
Dit voor 2000 leerlingen die écht van alles proberen :)
03-04-2017, 14:49 door Anoniem
Zet er een proxy (met username/password) tussen zodat al het verkeer via een proxy gaat. Sta b.v. alleen poort 80 en 443 naar buiten toe via de proxy.

Je zult er niet alles mee afvangen maar wel heeel veeeeel.
03-04-2017, 15:00 door PietdeVries
Hm... Zonder vervelend te willen zijn komt je verhaal op me over alsof gebruikers je werk verschaffen dat je bijna als lastig ervaart ("kunnen we weer aan de slag") terwijl jij er eigenlijk zit om *hun* werk mogelijk te maken. Het netwerk ligt er om het product van het bedrijf te maken - niet andersom.

Zou nog meer dichtzetten (geen CMD, geen PowerShell, geen toegang tot c:\, etc) jouw gebruikers helpen hun dagelijks werk beter te doen? Of helpt 't alleen jou?

Anyway - buiten dat zie je bij grote bedrijven een trend richting centrale systemen. De gebruiker heeft geen eigen werkstation maar een client die naar een centrale VMware server gaat om daar een guest OS te draaien. Mooie daarvan is dat je maar 1 golden image hoeft te beveiligen, te onderhouden en te upgraden en dat deze in een keer naar alle gebruikers uitgerold kan worden. Is er een image stuk?? Hopsa - replace met een schoon image en binnen 5 minuten weer aan het werk. Firewalls lekker centraal, backups ook en geen USB poorten meer. Of je buitendienst er blij mee is, is dan vers twee ;-)
03-04-2017, 15:01 door Anoniem
Door Rinjani: Dat lijkt me een dood spoor...

Denk eerder aan application white listing - http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf.

Oftewel zorg ervoor dat je eindgebruikers alleen maar white listed executables kunnen uitvoeren. Dan kan men geen malware meer uitvoeren en is het probleem geen probleem meer.

Een eindgebruiker hoort een zakelijke computer te gebruiken waarvoor die bedoeld is. Internetten om informatie te vergaren is natuurlijk prima maar uitvoeren van executables is een heel ander verhaal. Mocht iemand toch een of ander tooltje willen/moeten draaien dan belt hij of zij maar met de helpdesk.

Is inderdaad een hele mooie oplossing, maar kost ook erg veel beheer en "gezeur" bij je gebruikers. Zoals je al aangeeft, ieder tooltje moet toegelaten worden, en al je pech hebt ook iedere update.
Dit beleid moet zeker vanuit Management uitgedragen worden, als wordt heb je als ICTer straks een groot probleem. Iets wat je niet moet onderschatten. De Organisatie moet hier dus wel gereed voor zijn. Iets wat bij de meeste organisaties niet het geval is.
03-04-2017, 21:03 door Anoniem
Aan je woordkeus en termen zoals 'custom malware' te zien, lijkt het alsof de aanvallen die je ervaart, getarget zijn. Dan is whitelisting inderdaad niet genoeg.

Virtualisatie van internet is iets dat ik me van een tijd geleden herinner van SINA dat door de BSI werd gesponserd. Kijk daar eens naar. De combi van VMware/Guest OS gaat ook die kant op.

Barracuda en dergelijke zijn goede toevoegingen maar voor targetted attacks gaan ze niet zo veel doen. Paola Alto Traps is een soort EMET on steroids die je end-point infiltratie op een andere manier detecteerd; interessant als je aangevallen wordt met state of the art aanvallen.

Je schrijft tussen neus en lippen nog even dat je liever niet hebt dat gebruikers materiaal oploaden naar het internet: Iets zegt mij dat je een regime wilt invoeren waarbij materiaal alleen naar buiten kan via kanalen waar je de accountability op een volwassen wijze kunt regelen.
04-04-2017, 09:58 door Anoniem
Door PietdeVries: Hm... Zonder vervelend te willen zijn komt je verhaal op me over alsof gebruikers je werk verschaffen dat je bijna als lastig ervaart ("kunnen we weer aan de slag") terwijl jij er eigenlijk zit om *hun* werk mogelijk te maken. Het netwerk ligt er om het product van het bedrijf te maken - niet andersom.

Dacht je dat de tuinman het leuk vond als de medewerkers door de tuin heen lopen of fietsen die hij aanlegt om het
bedrijf een mooi aanzicht te geven?

Het werk van de ICT'er is om de medewerkers mogelijk te maken hun *normale* werk te doen, niet om altijd maar bezig
te zijn om te voorkomen dat ze de boel verkloten door foute sites te bezoeken, proberen programma's te downloaden
omdat ze zo leuk zijn, etc.

Dus ik kan best snappen dat hij niet zit te wachten op dit extra werk.

Overigens is mijn ervaring dat eeh group policy die executables verbiedt op plekken waar de user kan schrijven een
prima oplossing is. Dit kun je dan nog uitbreiden met een proxy die het downloaden van executables verbiedt als een
extra line of defense.
04-04-2017, 11:18 door SecOff - Bijgewerkt: 04-04-2017, 11:26
Door Robbert de Waard: Hallo,Ik wil geen internet meer rechtstreeks aanbieden op de computer van de eindgebruikers.
Ik heb voor verschillende opdrachtgevers met (zeer) hoge beveiligingseisen gewerkt en daar wordt de virtualisatie optie die je noemt ook in de praktijk gebruikt. Als eerste beveiligingslaag hanteert men een fysiek gescheiden netwerk voor hoog geclassificeerde informatie en op het "normale" netwerk kan alleen internet worden gesurft via een RDP koppeling met een farm van dedicated internet access servers. Als je de browser op je werkplek opstart wordt deze dus via RDP op een terminal server gestart.

Dit zijn windows terminal servers die in een door firewalls gescheiden netwerk staan waarbij alleen inkomend RDP verkeer vanaf het kantoornetwerk en uitgaand http verkeer naar het internet wordt toegelaten. De servers zijn daarnaast in hoge mate beveiligd waarbij de gebruikersrechten zover mogelijk zijn ingeperkt en er worden uitsluitend browsersessies op gehost. Tussen deze servers en het internet wordt daarnaast natuurlijk al het verkeer uitgebreid geïnspecteerd en gefilterd (inclusief ssl interceptie) d.m.v. een proxy & security appliance.

Het werkt wel maar houdt er rekening mee dat door de strakke beveiliging niet alles out of the box werkt. Hoe strakker je de beveiliging zet hoe meer werk je ervan hebt om de benodigde functionaliteit voor de gebruikers te ondersteunen.
Door geen local drive redirection toe te staan kunnen er geen bestanden worden geupload of download. Als je copy en paste ook niet toe wilt staan kan dat ook. Je hebt er dus echt geen Citrix voor nodig maar wel terminal server licenties.

Ik ben wel benieuwd naar het type organisatie waar dit over gaat. Dit zijn zware maatregelen die ik alleen tegengekomen ben bij hele specifieke overheidspartijen en aanbieders van kritische infrastructuur.

suc6
04-04-2017, 15:52 door [Account Verwijderd]
[Verwijderd]
05-04-2017, 09:14 door Robbert de Waard
Door SecOff:

<KNIP>


Bedankt man!

Daar kan ik op voortborduren.

Groet,
Robbert.

PS: Ik zag je post over herhaalde telefoongesprekken. Dat hadden we vaak met internationale verbindingen, soms hoorden we het gesprek 2 of 3 keer en dan alleen het gesprek van de partij aan de andere kant. Dan leek het alsof er iets werd gecached. Een fake base station en tappen lag echter niet voor de hand vanwege de specifieke omstandigheden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.