Security door je netwerkapparatuur

03-01-2008 17:46 | Door Erik Westhovens | Lees meer artikelen over: Firewall, Malware, SNMP | Er zijn 4 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Erik Westhovens

Stel je deze situatie eens voor: je bent een aantal jaren beheerder van een netwerkomgeving. Je hebt de afgelopen jaren je helemaal in het zweet gewerkt en je servers netjes en veilig ingericht, WSUS ingesteld zodat alle servers en werkstations netjes up-to-date zijn, je firewall en Proxy server aardig dichtgetimmerd, en je antivirus en antispam functioneren prima. Je waant je dus aardig veilig.

Vervolgens komt er buiten jouw medeweten een account manager van een ander bedrijf binnen die even zijn laptop in het netwerk prikt, en vervolgens alles om zeep helpt door bijvoorbeeld een defecte netwerkkaart die loopt te broadcasten. Of er komt een kwaadwillend persoon binnen omdat er geen toegangsbeveiliging is, die gewoon van binnenuit je netwerk aanvalt. Al je harde werk voor niets!

Nu zijn er een aantal mogelijkheden om dit te voorkomen. De meest voor de hand liggende is natuurlijk toegangscontrole bij binnenkomst. Pasjessystemen zijn tegenwoordig niet zo duur meer, en ook niet zo lastig te implementeren. Natuurlijk is dit altijd een goede aanvulling voor de beveiliging, maar niet DE oplossing. Een pasje kan namelijk geleend/gestolen worden, en iemand die als gast binnenkomt kan alsnog zo zijn laptop overal in prikken.

De tweede mogelijkheid is het implementeren van Port Security. Met Port Security kun je switchpoorten dusdanig instellen dat alleen expliciet bekende PC’s (op basis van mac-adres) worden toegelaten op het netwerk. Om dit te implementeren stel je op elke poort port-security in, en het eerste mac-adres dat de switch leert op die poort, ofwel de pc die op dat moment is aangesloten, wordt opgeslagen en gekoppeld aan die poort. Alle poorten die op dat moment niet bezet zijn zet je volledig dicht.

Als er nu een andere pc wordt aangesloten wordt ofwel de toegang geblokkeerd, ofwel de poort volledig geshutdownd (waarna hij alleen door de netwerkbeheerder kan worden aangezet), of er wordt via SNMP een alarm gegenereerd zodat de netwerkbeheerder dit ziet in zijn monitoring tool en in actie kan komen. Nu heb je dus weer volledige controle over je eigen netwerk!

Er zit echter helaas ook een nadeel aan deze oplossing: het kan behoorlijk beheer-intensief zijn. Elke nieuwe pc/laptop die in het netwerk moet komen moet worden aangemeld bij de netwerkbeheer afdeling zodat deze het betreffende switchpoortje kan instellen. Bovendien moet je zorgen dat je patchadministratie goed in orde is! Hoe weet je anders welke outlet met welke poort op de switch geassocieerd is?

De laatste mogelijkheid die ik zal bespreken is Dynamische VLANS met een VMPS (VLAN Member Policy Server). Een VLAN is een virtueel netwerk, dat zonder tussenkomst en configuratie van een router alleen kan communiceren met werkstations en servers in hetzelfde VLAN. Door je netwerk in te delen in VLANS kun je dus logisch gescheiden netwerken creeren, terwijl ze fysiek gewoon met elkaar in contact staan. Op deze manier kun je precies op laag 2 niveau al bepalen welke werkstations waarmee mogen communiceren. Er zijn nog meer voordelen aan het gebruik van VLANS, maar die vallen even buiten het doel van dit artikel. Meestal wordt een VLAN statisch toegewezen door een poort in een bepaald VLAN te zetten. Dit werkt prima en zorgt voor volledige controle. Dit is echter ook vrij beheerintensief zoals je je kunt voorstellen. Daarvoor is een VMPS verzonnen. Deze koppelt mac-adressen aan een VLAN. Ik zal het eerste nadeel maar meteen noemen: de initiele configuratie is monnikenwerk: alle bekende mac-adressen moeten worden ingevoerd en toegewezen aan een bepaald VLAN. Maar het kan de moeite waard zijn! Een werkstation kan nu namelijk zonder problemen verhuisd worden: hij komt automatisch toch weer in het juiste VLAN door de VMPS server.

Maar het belangrijkste is: ongeauthoriseerde werkstations krijgen nu geen toegang. Omdat de poort niet aan een VLAN wordt toegewezen als het mac-adres niet bekend is, heeft hij geen toegang tot de netwerkresources. Maar er is meer: dit is namelijk niet altijd wenselijk. Het kan zijn dat je regelmatig gasten hebt die wel bijvoorbeeld moeten kunnen internetten, maar die je liefst wel buiten de rest van het netwerk houdt. Daarvoor heeft de VMPS een optie die fallback VLAN heet. Onbekende werkstations worden dan aan dit VLAN toegewezen. Dit VLAN configureer je vervolgens zo dat je alleen toegang hebt tot bepaalde delen van het netwerk, en klaar is kees! Ook dit is natuurlijk vrij beheerintensief, omdat de VMPS database moet worden bijgehouden. De patchadministratie wordt echter al een stuk minder belangrijk. Natuurlijk zullen bovenstaande opties lang niet voor elk bedrijf wenselijk zijn. Ze zijn vrij beheerintensief en brengen (zeker in het geval van VMPS, de switches die VMPS server kunnen spelen zijn behoorlijk prijzig en zeker niet aan te raden voor MKB’s) behoorlijk wat kosten met zich mee. Daarom zal voor de implementatie van een van bovenstaande opties eerst een afweging gemaakt moeten worden of alle gemaakte kosten wel opwegen tegen het risico dat je loopt als je het niet implementeert.

Echter, vooral voor overheidsinstellingen en bedrijven met veel financiele gegevens kan ik me voorstellen dat bovenstaande opties zeker overwogen moeten worden.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Gerelateerde artikelen

09-10-08  Gartner: Antivirus is te duur

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1929 6.93
Klik voor meer info 2 1461 6.64
Klik voor meer info 3 1187 6.60
Klik voor meer info 4 860 6.58
Klik voor meer info 5 1131 6.57
Klik voor meer info 6 538 6.29
Klik voor meer info 7 401 6.26
Klik voor meer info 8 1056 6.02
Klik voor meer info 9 665 5.99
Klik voor meer info 10 444 5.96