Ecryptie toepassen bij IP-VPN

je kan met diverse soorten hardware site-2-site vpn's creeeren die de data wel encrypten. Toepasbare hardware is afhankelijk van de performance, budget e.d.

Site-2-site VPN's: Microsoft ISA, Checkpoint FW, Cisco PIX, draytek routers (low-cost) en zo zijn er nog wel honderden oplossingen.

Verwijderd schreef op donderdag 19 mei 2005 @ 15:56:
Zet 1 van jullie in een dergelijke situatie wel eens een firewall of anderssoortig encryptie apparaat in? Als ik dat zou doen wat is dan nog het voordeel om dit soort lijnen te gebruiken, als je een stevige encryptie toepast kan je het immers gewoon over internet gooien.

Waarom ePacity en geen internet: bandbreedte garanties, degelijke SLA's etc.
Als je core business over die VPN gaat, wil je daar wel wat garanties bij hebben.

[ Voor 50% gewijzigd door BlaTieBla op 19-05-2005 16:08 ]

KPN Epacity is een MPLS wolk zoals de meeste andere providers dit ook hebben. Er wordt niks gedaan met tunnels en ACLs
Een pakketje wat binnen komt op de provider router wordt voorzien van een mpls vpnv4 label en vervolgens door mpls geswitched over de rest van het netwerk. Je hebt gelijk dat dit niet encrypted is De vraag is eerder hoeveel security incidenten zijn er op basis van het sniffen van wachtwoorden zijn. Inloggen op een remote *nix systeem doe je met ssh. Je windows logon zal ook wel niet volledig unecrypted over het netwerk gaan. imap is ook te encryten. Dus tunnels heb je lang niet altijd nodig om de meest basic dingen safe te laten lopen.
Het is veel belangrijker om gewoon je patches op orde te hebben en als allerbelangrijkste je gebruikers op te voeden.
Grote kans dat als je een willekeurige gebruiker opbelt van een bedrijf en een moeilijk verhaal ophangt van met systeembeheer mag ik je wachtwoord hebben want we zien dat je profiel grote problemen heeft en ik meot het nu hebben om data verlies te voorkomen dat ze je het direct geven.

En waarom een provider netwerk ipv internet. Zoals ik ooit tegen een klant verwoorde die klaagde over de hoge kosten enzo.

omdat u nu met mij mag praten

klinkt mischien arrogant maar zo'n klant krijgt wel binnen het halfuur iemand aan de lijn die er echt verstand van heeft en direct mee kan kijken.

[ Voor 14% gewijzigd door TrailBlazer op 19-05-2005 16:14 ]

Ik heb gewerkt bij zo'n provider en mijn ervaring is dat deze provider het beter op orde heeft dan de gemiddelde klant. Ook de klant kan fouten maken immers bij zijn ecnryptie. Zoals ik al zij begin bij de eindgebruiker en ga je dan zorgen maken om het sniffen van verkeer. Sniffen klinkt heel makkelijk en om een of andere reden denkt iedereen dat er niks anders gebeurt op internet.
Bij een goede service provider worden ook regelmatig security audits gedaan door een externe partij. Ocverigens de provisioning bij de KPN wordt gedaan volgens een automagisch systeem dus de kans op human error wordt dan al een stuk kleiner. Tuurlijk kan de provider gaan sniffen op de trunken naar userdata. Alleen het is zelfmoord voor de provider als het uitkomt.
Het is ook niet zo heel eenvoudig (omnbetaalbaar) om aan de apparatuur te komen die in staat is een 155 mbit stm1c te sniffen bijvoorbeeld. Wel nog ff een glasvezel opgraven en de apparatuur er tusssen zetten.

Stel dat er door een foute provisioning de data bij een verkeerde klant uitkomt is al lastig voor te stellen maar toch. Goh de klant krijgt data binnen waar de klantrouter helemaal niks mee kan de router dropt het verkeer. Je denkt toch neit dat de gemiddelde kalnt data binnenkrijgt die niet voor hem is er onmiddelijk een sniffer opzet om de payload te kijken. Hee TCP syn pakketten die niet voor mij zijn jaaaaa spannend. Je hebt toch echt een staande TCP sessie nodig voordat je een wachtwoord in gaat kloppen.
Laat mensen eerst maar eens patche niet overal op klikken dan gaan we in deze niche van de security markt kijken.

p.s. ik maak vast een hoop mensen hier erg ongelukkig mee

[ Voor 41% gewijzigd door TrailBlazer op 19-05-2005 16:48 ]

TrailBlazer schreef op donderdag 19 mei 2005 @ 16:40:
Ik heb gewerkt bij zo'n provider en mijn ervaring is dat deze provider het beter op orde heeft dan de gemiddelde klant. Ook de klant kan fouten maken immers bij zijn ecnryptie. Zoals ik al zij begin bij de eindgebruiker en ga je dan zorgen maken om het sniffen van verkeer. Sniffen klinkt heel makkelijk en om een of andere reden denkt iedereen dat er niks anders gebeurt op internet.
Bij een goede service provider worden ook regelmatig security audits gedaan door een externe partij. Ocverigens de provisioning bij de KPN wordt gedaan volgens een automagisch systeem dus de kans op human error wordt dan al een stuk kleiner. Tuurlijk kan de provider gaan sniffen op de trunken naar userdata. Alleen het is zelfmoord voor de provider als het uitkomt.
Het is ook niet zo heel eenvoudig (omnbetaalbaar) om aan de apparatuur te komen die in staat is een 155 mbit stm1c te sniffen bijvoorbeeld. Wel nog ff een glasvezel opgraven en de apparatuur er tusssen zetten.

Grotendeels mee eens, alhoewel ik niet voor alle medewerkers van providers mijn hand in het vuur zou durven steken. De vraag is: hoeveel is jouw verkeer jou, maar vooral anderen, waard. Is het ze genoeg waard om:
1. medewerker bij een provider te worden, of
2. er een om te kopen, of
3. voldoende tijd/geld/kennis te investeren om op andere wijze jouw verkeer te onderscheppen

Maar denkt niet al te druk na over hoe veilig MPLS is als iedereen jouw kantoor (met een smoesje of een werkoverall aan) binnen kan lopen en her en der op het netwerk in kan prikken ;-)

Ook ik kan het alleen maar eens zijn Trailblazer. De provider kán je afluisteren maar is niet het grootste probleem. Als je de provider niet vertrouwd, kun je beter een andere provider nemen. Natuurlijk kun je een set VPN gateways neerzetten rondom de MPLS wolk maar als iemand jou gegevens wil hebben zijn er waarschijnlijk eenvoudiger methodes dan het omkopen van een werknemer van de provider. Bijvoorbeeld het omkopen van je eigen personeel.....

Dus als je redelijk gewone data verstuurd is het hoogstwaarschijnlijk overbodig en zijn er andere zaken die meer prioriteit zouden moeten hebben. Verstuur je de methode om goud uit lood te maken is het misschien wel handig om wat extra beveiliging te gebruiken. Echter, zolang bv de meeste SMTP en POP3 servers nog steeds wachtwoorden onbeveiligd over het internet sturen (en mailservers zijn per definitie toegankelijk via het internet) zou ik mijn aandacht eerst op dat soort lekken richten

Alles hangt dus af van de waarde van de gegevens en de kosten van je VPN hardware. Zijn je gegevens veel waard is er weinig reden om het niet te doen. Het is echter ook niet zo dat je zonder deze actie ontzettend slecht beveiligd bent.

Verwijderd schreef op donderdag 19 mei 2005 @ 17:42:
Trailblazer... hou je nou op over patchen? ;-)

Wat mij betreft is dit geen niche maar een vrij essentieele keuze. Wat gebeurt er bijvoorbeeld in een IP-VPN als er weer een worm a-la red alert rond gaat hakken?

Iemand anders die nog iets toe te voegen heeft?

zo'n worm gaat toch ook prima over encrypted tunnels heen. Er is een verschil tussen een firewall en encryptie

Daar kan ik het alleen maar mee eens zijn.

Hoewel de antwoorden hier goed doordacht en uitgebreid zijn vind ik dat de replies zeer snel vervallen in de trend van "als je niet gepatchd hebt" , "als je fysieke beveiliging niet goed is". Dat zijn imho wat offtopic replies, je bent kritisch op van alles wat niet gevraagd wordt maar zodra het op de ISP aankomt "moet het maar vertrouwd" worden. (beetje zwart/wit gezegd dan )

Weet iemand misschien hoe ISP's interne medewerkers screenen oid ? Zijn er isp's met een duidelijk policy hierover ?

Ik bedoel, van een beveiligingsbedrijf wat alle sleutels heeft tot je kantoor verwacht je ook dat de mensen gescreend worden alvorens ze de sleutels krijgen ?

Vertrouwelijke data wat over een shared media verstuurd wordt, moet altijd encrypt worden, no matter what. Ik begrijp deze hele discussie niet.
Waarom zou je het niet encrypten? Voor dat beetje bandbreedte die je mist?

Zoals Budd al zegt, weet jij wie er allemaal werken ben je provider? Je beveiliging is zo zwak als de zwakste schakel en die wil je niet bij je provider hebben zitten.

[ Voor 29% gewijzigd door Abom op 20-05-2005 19:52 ]

Abom schreef op vrijdag 20 mei 2005 @ 19:51:
Vertrouwelijke data wat over een shared media verstuurd wordt, moet altijd encrypt worden, no matter what. Ik begrijp deze hele discussie niet.
Waarom zou je het niet encrypten? Voor dat beetje bandbreedte die je mist?

Zoals Budd al zegt, weet jij wie er allemaal werken ben je provider? Je beveiliging is zo zwak als de zwakste schakel en die wil je niet bij je provider hebben zitten.

En wanneer heb jij je laatste PGP encrpyted email gekregen? Zowel Pop3 als SMTP zijn normaal gesproken niet encrypted. VOIP: Nope,geen beveiliging. Ik noem maar wat. Als je beveiliging invoert is het een kwestie van prioriteiten en geld. Het is logisch dat je een IP-VPN bij een bedrijf met een goede reputatie afsluit, maar heel veel andere zaken zijn een keuze. Je kan twijfels hebben als mensen (relatief) veel geld uitgeven aan het blokkeren van een redelijk klein probleem terwijl er veel grotere problemen zijn die structureel niet worden aangepakt.

Mijn advies:
Maak een lijstje met de bekende potentiele veiligheidsgaten.
Bepaal van elk gat de kans dat het misbruikt wordt * de potentiele schade en de kosten om het te dichten. Dan zie je snel genoeg welke problemen prioriteit hebben.
Tenzij het bedrijf erg belangrijke informatie verstuurd (wat hier het geval schijnt te zijn) én de meeste veiligheidsgaten al gedicht zijn kun je meestal je tijd en geld wel nuttiger besteden.

Als je een oneindig budget hebt, is het waar dat het altijd encrypted moet worden. In de andere gevallen zul je keuzes moeten maken.

buddhole schreef op vrijdag 20 mei 2005 @ 14:11:
Weet iemand misschien hoe ISP's interne medewerkers screenen oid ? Zijn er isp's met een duidelijk policy hierover ?

Ik moet de eerste provider/isp nog tegen komen die de medewerkers screent die bij gevoelige klantgegevens kunnen. Vandaar mijn opmerking over het niet mijn hand in het vuur durven steken (hierboven in de post).

Een IP VPN heeft de zelfde nadelen als een huurlijn vroeger. Het is goed voor b2b en extern bedrijfsnetwerk, maar kwa veiligheid ben je inderdaad over geleverd aan de veiligheid van de provider.
Zolang deze zaken voor email, www enzo gebruikt worden kan het geen kwaad. Als je er gevoelige informatie over stuurt, moet je ALTIJD encrypten. Het is het zelfde als een dure auto op een afgelegen parkeerplaats laten staan. Er komt eigenlijk niemand bij, maar als er iemand komt is het meteen goed mis.

Als je echt veilig wilt, moet je gewoon een kale lijn halen. Dan heb je zelf de touwtjes in handen.

EDIT: en dan nog kan iemand die de kabel opgraaft tappen. Fiber komt al dichter in de buurt, en quantumencryptie schijnt tha bomb te zijn...

[ Voor 11% gewijzigd door JackBol op 20-05-2005 23:44 ]

Verwijderd schreef op donderdag 19 mei 2005 @ 16:31:
Als ik wat rondblader op MPLS komt precies het probleem naar buiten waar ik mee zit. Vertrouw je je ISP/carrier voldoendde om het de verantwoordelijkheid te gegeven over je gegevens?

Een paar quotes:

"Most security holes are caused by human error. With MPLS VPNs, there's a potential for a network administrator doing the provisioning wrong and losing the privacy of the communication,"

Been there, did that.

Bij de oplevering van een nieuwe ipvpn connectie aka mpls leased line van onze global (wereldwijde) carrier hadden we spontaan toegang tot ip-ranges die ons totaal niet bekend voorkwamen: we zaten, natuurlijk geheel per ongeluk, niet op onze eigen AS.

Leuk, sniffer d'r op en gaan met die banaan. Probleem was wel binnen 30minuten opgelost, maar toch.

Dit soort fouten kan trouwens alleen door de carrier gemaakt worden vanaf hun kant, niet vanaf de klant zijn kant.

Dus blijft de vraag open: hoe vertrouw je je carrier.

Indien er ook maar enige reden tot twijfel is: gooi een encrypte tunnel over over je ip/vpn connectie met een firewall aan elk endpoint.

Als je bv een 2mbit leasedline hebt, zou je aan bv een cisco pix 506e of iets vergelijkwaardigs genoeg moeten hebben. Kleine investering van zeg 1k-e per endpoint.

_Arthur schreef op zondag 22 mei 2005 @ 01:47:
[...]


Been there, did that.

Bij de oplevering van een nieuwe ipvpn connectie aka mpls leased line van onze global (wereldwijde) carrier hadden we spontaan toegang tot ip-ranges die ons totaal niet bekend voorkwamen: we zaten, natuurlijk geheel per ongeluk, niet op onze eigen AS.

Leuk, sniffer d'r op en gaan met die banaan. Probleem was wel binnen 30minuten opgelost, maar toch.

Dit soort fouten kan trouwens alleen door de carrier gemaakt worden vanaf hun kant, niet vanaf de klant zijn kant.

Dus blijft de vraag open: hoe vertrouw je je carrier.

tuurlijk kan dit kwestie van een verkeerde route distinguisher onder je vrf klussen en zo gebeurd. Echter toegang tot een systeem op laag 3 wil niet zeggen dat je onmiddelijk data binnen ziet komen waar je iets mee kan.
Let op ik ben absoluut niet tegen encryptie alleen ik ben van mening dat hetgevaar van sniffen vele malen overschat wordt.
Overigens als je gaat encrypten dmv tunnels haal je wel een groot deel van de voordelen weg van een MPLS vpn. MPLS is namelijk gebaseerd op een any to any structuur ipv hub and spoke structuur. Hierdoor wordt je bandbreedte gebruik een stuk minder gunstig. Als je gaat werken met encryptie op de tcp sessie zelf zoals met imaps smtps ssh etc ect heb je wel de voordelen van any to any en encryptie. Sterker nog als je met ipsec tunnels gaat werken worden deze getermineerd op de routers en gaat het unencrypted over het lan heen. Heb je nog een deel waar het niet helemaal lekker is.

[ Voor 7% gewijzigd door TrailBlazer op 22-05-2005 11:42 ]

Moah, trailblazer heeft al een paar keer de voor en nadelen aangegeven.
Ik vind het een beetje een onzinnige discussie.

Soms heb je een situatie waar je graag (minder belangrijke) data op veel verschillende plaatsen wilt hebben. Dan is een IP VPN een uitkomst.
Soms wil je gewoon belangrijke data van het ene naar het andere punt. Pak dan een IPSec VPN.

Je kan kort en lang discussieren over de veiligheid van een IP VPN en de fouten die medewerkers kunnen maken. Waar het op neer komt is dat je in elke situatie gewoon opnieuw moet inschatten wat technisch gezien het interresantst is en wat de gevolgen zouden zijn indien een security breach zou optreden.

Het ligt er ook aan WAT je over je lijn wil laten lopen.

Indien er bijvoorbeeld een citrix / TS constructie gebouwd wordt, kun je gemakkelijk de ip vpn un-encrypted laten, maar de terminal server met certificaten encrypten.

Gemakkelijker in onderhoud:

Je opent een nieuwe branch office, laat je carrier de ip vpn opleveren, levert je thin clients uit met RDP en certificaten geconfigureerd en klaar is kees. Het enige wat je dan nog in je branch office hebt staan is een router van je isp, en een switch. Simpeler in onderhoud dan ook nog een site-to-site vpn welke problemen kan geven.

(bovenstaande slechts ter indicatie dat je niet altijd een extra firewall en site-to-site vpns nodig hebt, het kan ook simpeler).

Pssst, het topic was al bijna 2 jaar oud...

hehe weet ik, maar soms google je wat in de rondte en kom je toch nog redelijk actuele dingen tegen.

Het is meer voor "future reference".

Beetje oude koe he