Stel je deze situatie eens voor: je bent een aantal jaren beheerder van een netwerkomgeving. Je hebt de afgelopen jaren je helemaal in het zweet gewerkt en je servers netjes en veilig ingericht, WSUS ingesteld zodat alle servers en werkstations netjes up-to-date zijn, je firewall en Proxy server aardig dichtgetimmerd, en je antivirus en antispam functioneren prima. Je waant je dus aardig veilig.
Vervolgens komt er buiten jouw medeweten een account manager van een ander bedrijf binnen die even zijn laptop in het netwerk prikt, en vervolgens alles om zeep helpt door bijvoorbeeld een defecte netwerkkaart die loopt te broadcasten. Of er komt een kwaadwillend persoon binnen omdat er geen toegangsbeveiliging is, die gewoon van binnenuit je netwerk aanvalt. Al je harde werk voor niets!
Nu zijn er een aantal mogelijkheden om dit te voorkomen. De meest voor de hand liggende is natuurlijk toegangscontrole bij binnenkomst. Pasjessystemen zijn tegenwoordig niet zo duur meer, en ook niet zo lastig te implementeren. Natuurlijk is dit altijd een goede aanvulling voor de beveiliging, maar niet DE oplossing. Een pasje kan namelijk geleend/gestolen worden, en iemand die als gast binnenkomt kan alsnog zo zijn laptop overal in prikken.
De tweede mogelijkheid is het implementeren van Port Security. Met Port Security kun je switchpoorten dusdanig instellen dat alleen expliciet bekende PC’s (op basis van mac-adres) worden toegelaten op het netwerk. Om dit te implementeren stel je op elke poort port-security in, en het eerste mac-adres dat de switch leert op die poort, ofwel de pc die op dat moment is aangesloten, wordt opgeslagen en gekoppeld aan die poort. Alle poorten die op dat moment niet bezet zijn zet je volledig dicht.
Als er nu een andere pc wordt aangesloten wordt ofwel de toegang geblokkeerd, ofwel de poort volledig geshutdownd (waarna hij alleen door de netwerkbeheerder kan worden aangezet), of er wordt via SNMP een alarm gegenereerd zodat de netwerkbeheerder dit ziet in zijn monitoring tool en in actie kan komen. Nu heb je dus weer volledige controle over je eigen netwerk!
Er zit echter helaas ook een nadeel aan deze oplossing: het kan behoorlijk beheer-intensief zijn. Elke nieuwe pc/laptop die in het netwerk moet komen moet worden aangemeld bij de netwerkbeheer afdeling zodat deze het betreffende switchpoortje kan instellen. Bovendien moet je zorgen dat je patchadministratie goed in orde is! Hoe weet je anders welke outlet met welke poort op de switch geassocieerd is?
De laatste mogelijkheid die ik zal bespreken is Dynamische VLANS met een VMPS (VLAN Member Policy Server). Een VLAN is een virtueel netwerk, dat zonder tussenkomst en configuratie van een router alleen kan communiceren met werkstations en servers in hetzelfde VLAN. Door je netwerk in te delen in VLANS kun je dus logisch gescheiden netwerken creeren, terwijl ze fysiek gewoon met elkaar in contact staan. Op deze manier kun je precies op laag 2 niveau al bepalen welke werkstations waarmee mogen communiceren. Er zijn nog meer voordelen aan het gebruik van VLANS, maar die vallen even buiten het doel van dit artikel. Meestal wordt een VLAN statisch toegewezen door een poort in een bepaald VLAN te zetten. Dit werkt prima en zorgt voor volledige controle. Dit is echter ook vrij beheerintensief zoals je je kunt voorstellen. Daarvoor is een VMPS verzonnen. Deze koppelt mac-adressen aan een VLAN. Ik zal het eerste nadeel maar meteen noemen: de initiele configuratie is monnikenwerk: alle bekende mac-adressen moeten worden ingevoerd en toegewezen aan een bepaald VLAN. Maar het kan de moeite waard zijn! Een werkstation kan nu namelijk zonder problemen verhuisd worden: hij komt automatisch toch weer in het juiste VLAN door de VMPS server.
Maar het belangrijkste is: ongeauthoriseerde werkstations krijgen nu geen toegang. Omdat de poort niet aan een VLAN wordt toegewezen als het mac-adres niet bekend is, heeft hij geen toegang tot de netwerkresources. Maar er is meer: dit is namelijk niet altijd wenselijk. Het kan zijn dat je regelmatig gasten hebt die wel bijvoorbeeld moeten kunnen internetten, maar die je liefst wel buiten de rest van het netwerk houdt. Daarvoor heeft de VMPS een optie die fallback VLAN heet. Onbekende werkstations worden dan aan dit VLAN toegewezen. Dit VLAN configureer je vervolgens zo dat je alleen toegang hebt tot bepaalde delen van het netwerk, en klaar is kees! Ook dit is natuurlijk vrij beheerintensief, omdat de VMPS database moet worden bijgehouden. De patchadministratie wordt echter al een stuk minder belangrijk. Natuurlijk zullen bovenstaande opties lang niet voor elk bedrijf wenselijk zijn. Ze zijn vrij beheerintensief en brengen (zeker in het geval van VMPS, de switches die VMPS server kunnen spelen zijn behoorlijk prijzig en zeker niet aan te raden voor MKB’s) behoorlijk wat kosten met zich mee. Daarom zal voor de implementatie van een van bovenstaande opties eerst een afweging gemaakt moeten worden of alle gemaakte kosten wel opwegen tegen het risico dat je loopt als je het niet implementeert.
Echter, vooral voor overheidsinstellingen en bedrijven met veel financiele gegevens kan ik me voorstellen dat bovenstaande opties zeker overwogen moeten worden.
En als de goedwillende hacker dan gewoon een mac-adres op zijn NIC zet, van een PC die al in het netwerk hangt? (En die staan vaak op een stickertje op de PC zelf)Dan is heel je VLAN en VMPS infrastructuur (op dat punt) nutteloos geworden…
Goed punt. Dat stickertje kun je er natuurlijk gewoon afhalen. Als je port security of een VMPS implementeert is dat inderdaad erg verstandig. Op die manier moet iemand die in je netwerk wil komen dus eerst fysieke toegang tot een pc krijgen, ingelogd zijn en het mac-adres bekijken. Vervolgens moet hij dat mac-adres klonen in zijn eigen laptop en dan kan hij het kabeltje uit de pc trekken om eindelijk zijn eigen laptop in te prikken. Bovendien moet hij dan ook weten dat er een controle is op mac-adressen, dus de eerste poging gaat sowieso mis omdat de poort waarop hij zijn laptop aansluit geshutdownd wordt of in een beveiligd VLAN gezet wordt. Dit is natuurlijk nogal omslachtig. Als hij al toegang zou kunnen krijgen tot een pc kan hij natuurlijk net zo goed gelijk die pc gebruiken om in te gaan breken. Daarom blijft het belangrijk je computer te locken als je van je plek gaat. Bovendien is de VMPS niet alleen vanuit security oogpunt handig, maar ook bij verhuizingen. Vergeet niet dat de VMPS de pc’s waarvan de mac-adressen bekend zijn automatisch weer in het goede VLAN terecht komen, in welke poort ze hem ook prikken.
zoals hierboven aangegeven, is het niet slim om je interne security op te hangen aan een MAC adres. Deze kan je binnen 5 seconden clonen en hiermee dus volledig toegang krijgen. Mac adres authenticatie is misschien leuk voor een personal wireless netwerk, maar zeker niet iets voor een bedrijfsnetwerk. Hier zou ik eerder aan de gang gaan met 802.1x port authenticatie welke je eventueel later kan uitbreiden met NAC functionaliteit
Je moet je hele security er ook niet aan ophangen, maar het helpt natuurlijk wel. Bovendien zijn er aan deze opzet nog andere voordelen zoals ik ook al heb aangegeven. Verder: een potentiele hacker vertraagt dit hoogstens, maar denk eens aan de nietsvermoedende gebruiker met een virus op zijn laptop of een defecte netwerkkaart. Of mensen die van thuis een switchje meenemen en onbewust een loop creeren.