Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Interne Citrix site http verkeer

04-10-2021, 16:00 door Anoniem, 13 reacties
Onze internet netwerk verloopt over http onze externe over https.
Nou krijg ik de melding dat lokaal netwerk onveilig is.

Is het nodig om in het interne netwerk de CITRIX verbinding ook over https te laten verlopen? Waarom wel of juist niet?
Reacties (13)
04-10-2021, 16:37 door Anoniem
Door Anoniem: Onze internet netwerk verloopt over http onze externe over https.
Nou krijg ik de melding dat lokaal netwerk onveilig is.

Is het nodig om in het interne netwerk de CITRIX verbinding ook over https te laten verlopen? Waarom wel of juist niet?

Is dit een huiswerkvraag ?
Ben je een eindgebruiker en wil je iets roepen tegen je IT afdeling ?
_Ben_ je de IT afdeling en wordt er tegen jou geroepen ?

In welke rol wordt Citrix trouwens gebruikt ? Citrix thin client verkeer loopt niet over HTTP of HTTPS , hooguit de portal login.
04-10-2021, 18:35 door Anoniem
Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
04-10-2021, 20:11 door Anoniem
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.
04-10-2021, 22:16 door Anoniem
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

En hoe wordt de veiligheid daar slechter van? (Oprechte vraag)
05-10-2021, 08:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

En hoe wordt de veiligheid daar slechter van? (Oprechte vraag)
Als je gebruik maakt van een interne CA moet je er ook voor zorgen dat je de prive sleutels hiervan goed bewaard. Als al je clients deze CA vertrouwen, kan het uitlekken van die sleutels er voor zorgen dat al je clients vatbaar worden voor een Man-in-the-Middle aanval. Voor alle sites, niet alleen de website met een certificaat uitgegeven voor je eigen CA. Goed sleutelbeheer is dus essentieel.

Omdat je niet op mij reageerde, wil ik ook nog wel reageren op je vraag. Ja, dat is belangrijk. Het is niet meer van deze tijd om het interne netwerk dermate te vertrouwen dat je daar alles onversleuteld overheen kan versturen. Dat is een van de basis principes van een 'zero trust'.
05-10-2021, 08:52 door Bitje-scheef
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

Lastiger is het goede woord, niet onveiliger.
05-10-2021, 09:39 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

Lastiger is het goede woord, niet onveiliger.

Als je op je interne netwerk geen (praktisch) risico hebt op "afluisteren", maar je hebt wel een risico (zoals altijd) dat er
op een server wordt ingebroken, dan maak je het slechter omdat je hiermee de deur opent voor aanvallers om kwaadaardige
certificaten te genereren waarmee men services die je wel beveiligd had, of externe services, kan aanvallen.
05-10-2021, 12:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

En hoe wordt de veiligheid daar slechter van? (Oprechte vraag)
Als je gebruik maakt van een interne CA moet je er ook voor zorgen dat je de prive sleutels hiervan goed bewaard. Als al je clients deze CA vertrouwen, kan het uitlekken van die sleutels er voor zorgen dat al je clients vatbaar worden voor een Man-in-the-Middle aanval. Voor alle sites, niet alleen de website met een certificaat uitgegeven voor je eigen CA. Goed sleutelbeheer is dus essentieel.

Omdat je niet op mij reageerde, wil ik ook nog wel reageren op je vraag. Ja, dat is belangrijk. Het is niet meer van deze tijd om het interne netwerk dermate te vertrouwen dat je daar alles onversleuteld overheen kan versturen. Dat is een van de basis principes van een 'zero trust'.

Ben je het nou wel of niet eens dat je gewoon moet versleutelen?
05-10-2021, 13:02 door Anoniem
Je kan een interne DNS naam gebruiken voor je Storefont / Netscaler die overeenkomt met een DNS naam die je zelf in beheer hebt., zodat je met 1 officieel wildcard certificaat uit kan komen.
Dus bv citrix.bedrijfsnaam.nl SF1.corp.bedrijfs.nl ipv citrix.bedrijfsnaam.loc en SF1.corp.bedrijfsnaam.loc

Dit kan los staan de interne AD dns naam.

Dit voorkomt de overhead van een eigen CA, die je voor alle cliënts trusted moet zien te krijgen.
05-10-2021, 13:03 door Anoniem
Door Anoniem:
Ben je het nou wel of niet eens dat je gewoon moet versleutelen?
Daar ben ik het volledig mee eens, ook verbindingen over een intern netwerk moeten beveiligd worden.
05-10-2021, 13:50 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Kan lastig zijn om een certificaat te krijgen voor een lokaal netwerk, en als je er zelf een maakt moet je daarvan het
bovenliggende certificaat weer laten vertrouwen door de client, wat in totaal de veiligheid juist slechter kan maken.

Lastiger is het goede woord, niet onveiliger.

Als je op je interne netwerk geen (praktisch) risico hebt op "afluisteren", maar je hebt wel een risico (zoals altijd) dat er
op een server wordt ingebroken, dan maak je het slechter omdat je hiermee de deur opent voor aanvallers om kwaadaardige
certificaten te genereren waarmee men services die je wel beveiligd had, of externe services, kan aanvallen.

Dat is een grote misconceptie. Niets heerlijker voor een hacker om via een o.a. werkstation het interne verkeer af te luisteren.
Dus als logins met paswoorden onversleuteld worden verstuurt....hoppakee..
05-10-2021, 14:26 door Tintin and Milou
Door Anoniem: Onze internet netwerk verloopt over http onze externe over https.
Wat bedoel je moet ons internet netwerk?

Nou krijg ik de melding dat lokaal netwerk onveilig is.
Waarin krijg je dit?

Is het nodig om in het interne netwerk de CITRIX verbinding ook over https te laten verlopen? Waarom wel of juist niet?
Wat heeft Citrix hiermee te maken?

Hebben jullie geen IT afdeling die verstand heeft van IT, of ben jij de IT afdeling?
05-10-2021, 15:52 door Anoniem
Door Anoniem: Gewoon versleutelen die hap. Kost niks extra en maakt het lastiger om te sniffen voor een aanvaller.
Correct !

Een interne CA is zo geconfigureerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.