Computerbeveiliging - Hoe je bad guys buiten de deur houdt

BYOD

04-03-2021, 07:55 door Anoniem, 19 reacties
Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen?
(Ben zelf tegen het gebruik van onbeheerde systemen in ons netwerk, maar CSTO wilt dit tijdelijk zo implementeren ivm. Corona)
Reacties (19)
04-03-2021, 10:27 door Anoniem
Door Anoniem: Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen?
(Ben zelf tegen het gebruik van onbeheerde systemen in ons netwerk, maar CSTO wilt dit tijdelijk zo implementeren ivm. Corona)

Meenemen _naar_ werk, en verband met Corona ?
En dan nu pas ?

Dat snap ik niet - als jullie toch _naar_ werk gaan, kan alles toch 'normaal' zoals het ging, bedrijfsdesktops of zo ?
Wat is er dan 'anders vanwege Corona' dat er BYOD bij moet ?

En als er bij jullie meer thuisgewerkt wordt - omdat _naar_ werk gaan niet meer kan - waarom moet er dan nu pas iets bedacht wordt ? Dan is er toch sinds maart 2020 al iets nodig geweest ?

Anyway - ga er niet van uit dat het tijdelijk zal zijn , je zult iets moeten inrichten dat voldoet .

Een veelgebruikte oplossing is Citrix of vergelijkbaar, waarbij het client device alleen maar beeldscherm is, en alle data en verwerking op de citrix server gebeurt .
Als je dan ook het client netwerk meer aan de 'onveilige' kant van je firewall policies zet, heb je dingen m.i. weer goed in de hand.
04-03-2021, 11:07 door Anoniem
Als mensen eigen spullen bij ons in het netwerk prikken komen ze niet "op het LAN" maar op een apart netwerk wat alleen internet toegang heeft.
Ze kunnen daarmee hetzelfde als wanneer ze thuis zijn, dwz bepaalde functies via een 2nd factor authenticatie uitvoeren ofwel op cloud web services ofwel op de Citrix omgeving.
Het is niet mogelijk om direct bij interne servers te komen, dat kan alleen "buitenom".
04-03-2021, 11:12 door Anoniem
Ik heb het hier bij mijn eigen bedrijf makkelijk geregeld...
Iedereen tekent een formulier waar in o.a. het volgende staat (maar dan meer juridisch):

Alles wat je zakelijk moet kunnen zal geregeld worden op het zakelijk netwerk.
Werkt dit niet, kom je naar mij en we regelen het.

BYOD mag NIET op het corporate netwerk (niet bekabeld en niet draadloos).
Als je dit wel doet betekent dat direct een gesprek met mij, bij de 2de keer hoef je niet meer naar mij te komen.

2/3/4/5G routers en wifi tethering zijn niet toegestaan.

Al je BOYD (of het nu een iphone, chinafoon of een hak5 is, die meuk mag op het hiervoor gescheiden wifi netwerk (met eigen switches, access points en eigen dubbele egress via ZScaler) , het mag daar alles doen wat het wil met een limiet van 10mbps, tenzij de bandbreedte opgegeten wordt door andere gebruikers, dan deel je de bandbreedte evenredig met alle actieve gebruikers. Poort 25, 587, 465, en 2525) voor E-mail zit dicht en een virusscanner, dns filter en botnetfilter staan aan en worden automatisch bijgewerkt door leverancier hardware. werkt het niet, heb je pech. Uitzondering is muziek streamen voor niet eigen gebruik (als iemand anders het ook kan horen, luide koptelefoon uitgezonderd), dit ivm eerdere ervaringen van auteursrechten mensen.

werkt iets niet voor je BYOD, koop je zelf een simkaart of je gaat buiten het terrein.
04-03-2021, 11:31 door Bitje-scheef
Inderdaad alleen Guest-netwerk. Voor de eigen mobieltjes komt er een device policy manager op. Dus dan ook eigen keuze.
Betrap ik ze erop dan stap ik naar de afdelingsmanager.

Dit moet je kort houden, anders ben je vroeg of laat de sjaak.
04-03-2021, 11:31 door Anoniem
Boot een secured OS vanaf een fysiek write protected USB key en start een remote sessie. Daarmee sluit je de meeste dreigingen uit. Dat werkt voor zowel thuis als op het werk.

Op netwerkniveau kun je alleen bepaald verkeer toelaten naar bepaalde servers. Geen onderling verkeer.
04-03-2021, 11:48 door Anoniem
Misschien is het een idee om dit eens aan een professional te vragen, in plaats van de beveiliging van je netwerk over te laten aan anonieme forumbezoekers?
04-03-2021, 14:00 door Anoniem
Door Anoniem: Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen?
(Ben zelf tegen het gebruik van onbeheerde systemen in ons netwerk, maar CSTO wilt dit tijdelijk zo implementeren ivm. Corona)

Ga eens in discussie met de CSTO zou ik zeggen, en ga samenwerken!

We leven in een maatschappij waar je zaken met elkaar bespreekt, alleen zo kom je verder.
04-03-2021, 15:00 door Anoniem
NAC lost dit op.
05-03-2021, 13:40 door Anoniem
Door Anoniem: NAC lost dit op.
Ja en nee, ik krijg mijn Windows met kali subsystem nogsteeds de meeste NAC netwerken op. Helpt het wel? Jazeker, <h1>een goed ingesteld NAC lol</h1> maakt het al behoorlijk veel moeilijker
05-03-2021, 15:14 door Anoniem
Het hele concept van een eigen bedrijfsnetwerk is zo achterhaald. Dat wordt versterkt door het voor velen sinds bijna 1 jaar (alweer) thuiswerken ivm bekende reden.

Iedere computer die op de bedrijfscloud wil aansluiten wordt als een extern device beschouwd, met bijbehorende veiligheidseisen. Voldoet het niet, dan geen toegang.
05-03-2021, 17:41 door Anoniem
Door Anoniem:
Door Anoniem: NAC lost dit op.
Ja en nee, ik krijg mijn Windows met kali subsystem nogsteeds de meeste NAC netwerken op. Helpt het wel? Jazeker, <h1>een goed ingesteld NAC lol</h1> maakt het al behoorlijk veel moeilijker

Als je certificaat gebaseerde NAC hebt is het kansloos. :P
05-03-2021, 17:48 door Anoniem
Door Anoniem: Het hele concept van een eigen bedrijfsnetwerk is zo achterhaald. Dat wordt versterkt door het voor velen sinds bijna 1 jaar (alweer) thuiswerken ivm bekende reden.

Iedere computer die op de bedrijfscloud wil aansluiten wordt als een extern device beschouwd, met bijbehorende veiligheidseisen. Voldoet het niet, dan geen toegang.

“De bedrijfscloud” bestaat niet tenzij je een heel klein bedrijf hebt. Huidige opdrachtgever: on prem, azure, google, aws etc. Gecentraliseerde toegang via bedrijfsnetwerk. En dat is dan nog niet eens een echt groot bedrijf.
05-03-2021, 20:48 door Anoniem
Door Anoniem:
Door Anoniem: Het hele concept van een eigen bedrijfsnetwerk is zo achterhaald. Dat wordt versterkt door het voor velen sinds bijna 1 jaar (alweer) thuiswerken ivm bekende reden.

Iedere computer die op de bedrijfscloud wil aansluiten wordt als een extern device beschouwd, met bijbehorende veiligheidseisen. Voldoet het niet, dan geen toegang.

“De bedrijfscloud” bestaat niet tenzij je een heel klein bedrijf hebt. Huidige opdrachtgever: on prem, azure, google, aws etc. Gecentraliseerde toegang via bedrijfsnetwerk. En dat is dan nog niet eens een echt groot bedrijf.

Inderdaad!

De term cloud is trouwens ook heel vaag. Wat vroeger een serverrack was bij een hosting partij, heet tegenwoordig cloud. Als men nu praat over eigen servers op lokatie, dan heet het local-cloud.

Allemaal marketing termen, veel geschreeuw en weinig wol.
06-03-2021, 07:43 door Anoniem
Door Anoniem: De term cloud is trouwens ook heel vaag. Wat vroeger een serverrack was bij een hosting partij, heet tegenwoordig cloud. Als men nu praat over eigen servers op lokatie, dan heet het local-cloud.

Allemaal marketing termen, veel geschreeuw en weinig wol.
Inderdaad. Ik ben halverwege de jaren '80 de automatisering ingerold (mainframes toen) en heb met verbazing die maar niet wil overgaan gezien hoe ongelofelijk gevoelig een vakgebied dat toch bevolkt wordt door behoorlijk rationele mensen is voor hypes. Bijvoorbeeld:
• Objectoriëntatie was opeens helemaal hot. Leveranciers van allerlei pakketten die al lang bestonden voor die rage zich aandiende gingen opeens in hun brochures vermelden hoe objectgeoriënteerd hun pakketten wel niet waren. Managers, die kennelijk op de een of andere manier getraind werden om op de signaalwoorden te letten, raakten enthousiast van allerlei software op grond van toegevoegde kreten die niks met het produkt te maken hadden. OO-ontwerpcursussen leken vaak een volkomen andere opvatting over OO te hebben dan de talen waarin de applicaties geprogrammeerd werden, met alle communciatieproblemen tussen ontwerpers en programmeurs die dat oplevert. Heeft het toegevoegde waarde? Zeker, maar het is niet de ultieme oplossing voor alles. Het is niet voor niets dat multiparadigmatalen tegenwoordig populair zijn, daarin kan je OO of andere paradigma's toepassen waar ze iets toevoegen en is het geen keurslijf.
• XML. Opeens was XML een soort wondermiddel voor gegevensuitwisseling en -opslag. Er is een periode geweest waarin op het web hevig werd gediscussiëerd over de vraag of je veldwaarden nou beter in attributen van tags kon opslaan of als elementwaarde tussen een start- en eindtag. Later zijn programmeurs die XML voor datastructuren gebruiken keuzes daarin als vanzelfsprekend en natuurlijk gaan zien terwijl uit die eerdere discussies blijkt dat dat dat echt niet zo natuurlijk is. Dat komt omdat XML helemaal niet is ontworpen voor datastructuren zoals die intern in computerprogramma's gebruikt worden maar om markeringen in tekst aan te brengen die goed geautomatiseerd verwerkt kunnen worden. Op meerdere manieren sluit XML slecht aan bij de datastructuren die programma's intern gebruiken. Toch werd het toegepast alsof het de ultieme oplossing voor alle datauitwisselingsproblemen was. De breedsprakigheid van XML is daarvoor helemaal niet ideaal, en die is ook niet bevorderlijk voor de leesbaarheid ervan voor mensen. Het is niet voor niets dat het in veel toepassing is verdrongen door dataserialisatietalen als JSON en YAML.
• En inderdaad de cloud. In de periode dat de vakpers vol stond met artikelen over wat dat geweldige concept ons aan voordelen ging brengen maar er nog geen leveranciers waren die concrete cloudoplossingen aanboden, las ik die verhalen en viel me, als techneut, op dat het volstrekt onmogelijk voor me was om uit al die juichverhalen een concreet beeld te vormen van hoe dat dan ging werken. Het ging volop over welke voordelen het op ging leveren maar niet over hoe die voordelen dan concreet gerealiseerd zouden worden en er voor de afnemer van clouddiensten uit gingen zien. Het was een en al marketing, inderdaad. Pas toen er concrete cloudoplossingen op de markt kwamen werd de invulling duidelijk. Er is wel degelijk het nodige vernieuwd, maar aangezien we auto's hardnekkig auto's blijven noemen, tv's hardnekkig tv's blijven noemen enzovoorts zie ik niet in waarom vernieuwingen in hostingtechnieken geen hosting meer zouden moeten heten.

En BYOD, waar de vraag over gaat, is ook zo'n hype. Ook dat is in de vak- en managementpers gepusht door de figuren die zich "analisten" noemen (het zijn wat we nu "influencers" noemen, maar dan op management gericht). Het is een manier van werken waar techreuzen brood in zien omdat er allerlei diensten en produkten aan op te hangen zijn waar ze aan kunnen verdienen.

Er wordt met enige regelmaat een nieuwe hype gelanceerd, een nieuw concept, niet per se omdat de staat van automatisering er beter van wordt maar omdat als iedereen dingen anders gaat doen er weer een hoop te verkopen valt. De techreuzen creëren hun eigen markten op die manier, net zoals andere grote bedrijven dat doen. De wet van vraag en aanbod is allang vervangen door de wet van aanbod en vraag.

Ondanks dat er tussen al die vernieuwingen wel degelijk een hoop interessante concepten en verbeteringen zitten wordt in mijn ogen de staat van de automatisering er niet alleen maar beter van. In de decennia dat ik in het vak zit lijkt een steeds groter deel van de mentale capaciteit van automatiseerders opgeslokt te worden door het moeten bijbenen van de niet aflatende stroom van vernieuwingen, en dat gaat ten koste van hun aandacht voor en inzicht in de bedrijfsprocessen en functionaliteit, en dus onvermijdelijk in de kwaliteit die ze weten te leveren.

En natuurlijk hebben de techreuzen ook daar oplossingen voor, gebruik de standaardsoftware van hun of hun partners voor al die dingen die te duur zijn om zelf nog te bouwen. Het is goedkoper, je werkt marktconform, je bent een sukkel als je het nog zelf doet. De gedachte is bij me opgekomen dat het overladen van ontwikkelaars met een niet aflatende stroom van nieuwe dingen om te leren een bewuste strategie is om de kwaliteit van zelfbouw onderuit te halen en de markt voor standaardsoftware zo aan te jagen. Ik weet niet of het zo is, maar in het licht van die andere hypes zou het zomaar kunnen.

Je raakte kennelijk een gevoelige snaar met je opmerking, want ik ging even helemaal los. Het is geen antwoord op de vraag van de topicstarter. Mijn excuses voor het afdwalen van het onderwerp.
06-03-2021, 11:08 door Anoniem
Door Anoniem: Als je certificaat gebaseerde NAC hebt is het kansloos. :P
Maar dat snapt je printer niet. En dus komt er een MAC bypass op.

Bovendien heb je pas echt een degelijke oplossing als je ook MACSEC gebruikt. Anders kan je alsnog een MITM uitvoeren door een laptop tussen de switch en een geauthenticeerd apparaat te stoppen en de authenticatie frames door te sturen. Complex, maar in principe wel mogelijk.
06-03-2021, 14:19 door Anoniem
Door Anoniem:
Door Anoniem: Als je certificaat gebaseerde NAC hebt is het kansloos. :P
Maar dat snapt je printer niet. En dus komt er een MAC bypass op.

Bovendien heb je pas echt een degelijke oplossing als je ook MACSEC gebruikt. Anders kan je alsnog een MITM uitvoeren door een laptop tussen de switch en een geauthenticeerd apparaat te stoppen en de authenticatie frames door te sturen. Complex, maar in principe wel mogelijk.

In een kantooromgeving heb je zelden te maken met dergelijke mate van hostile devices.

Verder - ik lees de vraag van TS *niet* als "hoe houd ik hobby-apparaten die meegenomen worden en niet nodig zijn voor het werk weg van het netwerk" . Daar is NAC een antwoord op .

Op de vraag "Wat ga ik om met de situatie wanneer mensen eigen laptops mee (moeten/mogen) nemen om te WERKEN " .
ga je niet zeggen "gebruik NAC zodat die mensen helemaal niet kunnen werken" .
Dan ontstaat er een vacature - in de afdeling security.
06-03-2021, 21:40 door Anoniem
Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen?
(Ben zelf tegen het gebruik van onbeheerde systemen in ons netwerk, maar CSTO wilt dit tijdelijk zo implementeren ivm. Corona)

Ik vraag me af wat de relevantie is van de mededeling dat je daar tegen bent. Als je IT beveiliger bent, ga uit van zero trust in je security policy, dan moet het geen probleem zijn.
06-03-2021, 21:43 door Anoniem
Door Anoniem:
Verder - ik lees de vraag van TS *niet* als "hoe houd ik hobby-apparaten die meegenomen worden en niet nodig zijn voor het werk weg van het netwerk" . Daar is NAC een antwoord op .

Op de vraag "Wat ga ik om met de situatie wanneer mensen eigen laptops mee (moeten/mogen) nemen om te WERKEN " .
ga je niet zeggen "gebruik NAC zodat die mensen helemaal niet kunnen werken" .
Dan ontstaat er een vacature - in de afdeling security.

Je gebruikt NAC om er voor te zorgen dat willekeurige ingeprikte apparaten niet op het vertrouwde lokale netwerk komen maar op een gasten netwerk met internet toegang.
Dan kunnen die apparaten op dezelfde manier als thuis gebruikt worden, dwz via 2nd factor authenticatie en beveiligde portals zoals een netscaler of een cloud applicatie.
Je hebt dan geen beheer van die apparaten nodig.
Als je gelooft in virusscanners of er is ergens een pennelikker die dat als checkmark op een lijst heeft staan dan kun je daar ook op checken. ("geen virusscanner? dan mag u niet inloggen op de netscaler!")
Uiteraard biedt dat verder niks, maar de auditors moeten tevreden zijn.
07-03-2021, 06:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als je certificaat gebaseerde NAC hebt is het kansloos. :P
Maar dat snapt je printer niet. En dus komt er een MAC bypass op.

Bovendien heb je pas echt een degelijke oplossing als je ook MACSEC gebruikt. Anders kan je alsnog een MITM uitvoeren door een laptop tussen de switch en een geauthenticeerd apparaat te stoppen en de authenticatie frames door te sturen. Complex, maar in principe wel mogelijk.

In een kantooromgeving heb je zelden te maken met dergelijke mate van hostile devices.

Verder - ik lees de vraag van TS *niet* als "hoe houd ik hobby-apparaten die meegenomen worden en niet nodig zijn voor het werk weg van het netwerk" . Daar is NAC een antwoord op .

Op de vraag "Wat ga ik om met de situatie wanneer mensen eigen laptops mee (moeten/mogen) nemen om te WERKEN " .
ga je niet zeggen "gebruik NAC zodat die mensen helemaal niet kunnen werken" .
Dan ontstaat er een vacature - in de afdeling security.

Dan snap je NAC niet. In een goede configuratie blokkeert NAC niet, maar zet je in een ander, afgeschermd vlan waardoor je de betere/veiliger manier van werken gebruikt zoals bijvoorbeeld een Citrix oplossing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.