Jericho concept (deperimeterisation)

Het lijkt mij een admistratieve nachtmerrie waarbij die van de firewalls helemaal niks is.
In plaats van op een beperkt aantal plaatsen (je firewalls) waar je je security moet regelen, moet je nu alle gegevens individueel gaan beveiligen. Data staat op vele malen meer plekken dan firewalls en dan moet je op die plekken gaan regelen wie er wel en niet bij mag.
Op mijn werk schermen we systemen waar echt kritische data op staan af met een extra eigen firewall. Die schermt die systemen dus nog eens extra af van onze interne systemen die uiteraard ook weer achter een firewall staan ten op zichte van het netwerk.

Op deze manier hou je wel netjes je beveiliging op dataniveau. Hier is wel wat voor te zeggen. Ook authorisatie op een administratief handige manier regelen wordt denk ik makkelijker. Aan de andere kant, als je administratie dan niet op orde is ben je denk ik beter af met 1 centrale lokatie voor je beveiligings toestanden. Ik moet nog zien dat dit iets wordt, maar als het netjes uitgewerkt wordt zie ik hier op zich wel brood in.

Blijft een feit dat het wel een nieuw concept is wat zich nog moet bewijzen en ik weet niet hoeveel bedrijven dit al aandurven, dat is altijd weer de hamvraag niet? Als er één schaap over de dam is, maar ja dat eerste schaap...

Dus je gaat files op files niveau beveiligen, je haalt de firewalls weg, iemand kan dan het netwerk infiltreren en dan deze files proberen te downloaden om ze dan rustig thuis te decrypten?
Of zie ik het fout?

ik denk dat je ook beveiligt wie toegang heeft tot welke bestanden. Dit betekent dan wel dat je een authentication systeem moet hebben wat op alle systemen draait. Als je kijkt hoeveel accounts ik nu al heb om mijn dagelijks werk te kunnen doen.

Ja, dan moet authorisatie wél op een goede manier centraal en niet dat je voor iedere willekeurige applicatie nog eens moet inloggen. Gelukkig heeft iedere applicatie zijn eigen techniek en methode voor authenticatie dus dat zie ik nog lang niet gebeuren...

Ik denk dat databeveiliging erg belangrijk is en dat firewalls en DMZ structuren niet zaligmakend zijn maar om ze nu op te heffen.

Ik zie meer in een model waarin je de Firewalls en DMZ structuur behoudt en daarbij databeveiliging gaat toevoegen.

Er wordt in Microsoft kringen al regelmatig gegooid met SDI en ipsec configs om een dergelijk resultaat mee te behalen.
*SDI: Server and Domain Isolation.
http://technet.microsoft.com/en-us/network/bb545651.aspx

Zolang je nog legacy troep hebt die niet met IPsec of SSL overweg kunnen zal je wmb altijd nog je netwerk gescheiden houden.

Persoonlijk zou ik, vanuit security oogpunt, de firewall lekker laten staan, en data security daar bovenop gebruiken.

Voor wat betreft de firewall problemen: Ik begrijp echt wel dat sommige zaken toegestaan moeten worden, maar als je als firewall beheerder de firewall meer open zet dan dicht dan ben je IMO gewoon slecht bezig. Je levert een dienst waarmee ze het moeten doen.

Maar goed, leuke discussie

Equator schreef op donderdag 24 april 2008 @ 14:34:
Voor wat betreft de firewall problemen: Ik begrijp echt wel dat sommige zaken toegestaan moeten worden, maar als je als firewall beheerder de firewall meer open zet dan dicht dan ben je IMO gewoon slecht bezig. Je levert een dienst waarmee ze het moeten doen.

het lastige is natuurlijk dat er steeds meer verkeer van applicaties over de UFBP* en SUFBP* worden gestuurd, waardoor het hele 'nut' van een firewall weer verschuift.

Je moet dus echt aan de packet inspecting firewalls die op applicatienivo hun werk doen, anders heb je fijn je FW dichtzitten met alleen 80 (*UniversalFirewallBypassPort) en 443 (*SecureUniversalFirewallBypassPort) maar alle verkeer en dus je data kan er nog overheen naar buiten toe.
Denk daarbij maar aan RDP over SSL getunneld, of andere zaken over SSL.

Als je dan alsnog op een andere manier je data kunt beveiligen zonder je afhankelijk te maken van een muur die eigenlijk toch al doorbroken is...

Voorbeeld is de Financial Server die enkel bereikbaar is voor hosts voorzien van een IPsec AH policy met één bepaald Cert die handmatig geinstalleerd moet worden op de werkstations van Finance, en de Server.

Heb je geen Cert?
Kom je niet bij die Server binnen, en dus ook niet bij de data.

[ Voor 19% gewijzigd door alt-92 op 24-04-2008 15:05 ]

alt-92 schreef op donderdag 24 april 2008 @ 14:59:
[...]


het lastige is natuurlijk dat er steeds meer verkeer van applicaties over de UFBP* en SUFBP* worden gestuurd, waardoor het hele 'nut' van een firewall weer verschuift.
...

Ja, maar dat is van binnen naar buiten.. Terwijl een firewall die bijvoorbeeld poort 80 van buitenaf naar binnen blokkeert er ook voor zorgt dat die oude apache 1.x of IIS 4.0 webserver niet te bereiken is en daar dus ook geen vulnerability van kan misbruiken.

Een dergelijke afscherming hebben we nu meestal nog wel omdat we een NAT apparaat gebruiken, maar NAT is straks in IPv6 verleden tijd. Dan kan elk apparaat een eigen uniek IPv6 adres krijgen..

Voorbeeld is de Financial Server die enkel bereikbaar is voor hosts voorzien van een IPsec AH policy met één bepaald Cert die handmatig geinstalleerd moet worden op de werkstations van Finance, en de Server.

Heb je geen Cert?
Kom je niet bij die Server binnen, en dus ook niet bij de data.

True, mooi voorbeeld zij het niet dat ik dan een AH & ESP policy zou gebruiken

[ Voor 20% gewijzigd door Equator op 24-04-2008 16:30 ]

Het Jericho-concept is wel iets meer dan alleen deperimeterisatie en er zijn ook iets meer redenen waarom het huidige systeem van beveiligen moet verbeteren.

Ik denk niet dat het doel is van Jericho om een kale Windows-server zo aan het internet te hangen. Kijk je naar het concept, dan is het een heel complex geheel, waarin geavanceerde vormen van Identity Management (en Trust Management) een belangrijke rol spelen, maar ook onderwerpen als DRM en data encryption belangrijk zijn.

Jericho is er op gericht om samenwerking beter mogelijk te maken. Als jij als bedrijf je boekhouding laat doen door een Indisch bedrijf, dan heeft dat bedrijf toegang nodig tot jouw financiele gegevens. In een logistieke keten wil je eigenlijk inzage hebben in de voorraden van je leveranciers en afnemers, om zo je eigen voorraad te kunnen optimaliseren. Je wilt je medewerkers de mogelijkheid geven tot thuiswerken. Dat zijn allemaal dingen waarvoor een firewall eigenlijk een beetje in de weg staat.

Het Jericho-concept geeft een heel andere blik op je informatiebeveiliging. Jericho-extremisten zullen zeggen: So what dat je server gehackt is, de data die er op staat is met een x bit EAS encryptie beveiligd, dus dat zit wel snor. Nu is het zo dat ik je bedrijf binnen kan lopen en met een USB-stick vol met data naar buiten kan lopen. Met Jericho zou dat niet meer moeten kunnen.

Het verhaal van Jericho uit de Bijbel is niet voor niets als voorbeeld genomen. Daar was het zo dat de stadsmuren omvielen en daardoor was ineens de stad volledig onbeschermd. De parallel met een firewall die gekraakt is lijkt me duidelijk.

Ik heb voor mijn afstuderen behoorlijk veel gelezen over Jericho en het concept an sich is goed. De uitwerking is echter waar het probleem zit. De huidige oplossingen kunnen gewoon geen jericho-achtige netwerkstructuur aan. Identity management (vooral de Federated varianten) is lang een ondergeschoven kindje geweest. Voorlopig zal er geen bedrijf zijn dat Jericho in een keer zal implementeren, maar ik denk dat een evolutionaire ontwikkeling die kant uit al lang op gang is gekomen. Of we het Jerichonirwana van een firewall-loze wereld zullen bereiken en of dat uberhaupt wenselijk is, dat is weer een andere vraag.

Met het Jericho-concept ben ik niet bekend, maar ik zit redelijk into de Cisco wereld. Cisco is samen met bijvoorbeeld Intel / Microsoft markt leidend. Of meneer Cisco gelijk zal krijgen zal te toekomst uit moeten wijzen. Maar waar ze nu mee bezig zijn, geeft in ieder geval een "blik in de toekomst."

Nog niet zo lang geleden had je één plat netwerk. (Standaard hubje of switch.) Toen werd dit netwerk aangesloten op het grote boze internet. Er was dus noodzaak om deze twee netwerken van elkaar te scheiden. (inside/outside - 2 security zones) Bedrijven gingen ook diensten aanbieden (DNS/web/mailserver) dus men had een DMZ nodig. ( Wordt 3 security zones )
Voor veel MKB bedrijven is dit nog steeds het geval.

Netwerken zijn nu veel groter. En data wordt centraal in een datacenter op het hoofdkantoor opgeslagen. Dat betekent dat men het netwerk segmenteert. accountants mogen niet bij HRM komen. En engineers hebben niet te zoeken bij de finance afdeling.

Cisco heeft daarvoor "Identity Based Networking Services" bedacht. Maar eigenlijk zeg je dan: 802.1x Op basis van de juiste credentials (username, wachtwoord / PKI certificaat / token) wordt je het juiste VLAN in gedrukt.

De security is ook niet meer gelimmiteerd tot alleen de border gateway router / firewall. De PIX, IDS (low end) en VPN Concentrator zijn vervangen door een alles in één apparaat. (ASA5500) Op bijna alle router platformen kun je tegenwoordig security features krijgen, zoals firewalling, IPS en diverse vormen van VPN. Zelfs WLAN controllers doen tegenwoordig IPS.

Het datacenter wordt in sterke mate gevirtualiseerd, maar ook het netwerk. Denk dan aan VLAN's, vrf's, VPN Tunnel groepen voor verschillende typen users en virtuele firewall's op de ASA5500 en 6500 firewall blade.

Het netwerk gaat van een gesloten netwerk, naar een vliegveld model met veel verschillende security zones.

Het volgende hoofdstuk aan dit verhaal is NAC (of Microsoft NAP) (evt. in combinatie met 802.1x) User worden hiermee niet alleen geauthentiseerd op basis van username/wachtwoord, maar op veel andere parameters. Voorbeelden zijn:
- Is een bepaalde registery key aanwezig waardoor blijkt dat een PC managed is.
- Is de virusscanner up to date?
- Draait de virus scanner ook?
- Is een PC minimaal voorzien van OS versie X met Service Pack(s) X ?

Is dit niet het geval, dan de user / PC geweigerd worden en / of in een Quarantine VLAN geplaatst worden. Zowel met 802.1x, als met NAC (of een combinatie) kun je netwerk toegang geven aan gasten.

Dit is waar we nu staan.

De volgende stap is het TrustSec framework. Hierbij krijgt data van elke user een tag. Deze tag kan op basis van veel verschillende dingen worden toegewezen, zoals het type netwerk verkeer, locatie van de user, gebruikte access methode (switched/wireless/VPN), de "NAC status" van de user, enz.

In de migratie periode (1e fase) zal dit op Layer 3 werken. Tijdens de 2e fase ook op Layer 2: Ethernet frames worden hierbij, door dedicated ASIC, in de switch op wirerate encrypt. ( Op 1 of 10 Gigabit / seconde )

De communicatie tussen switches wordt encrypt: In de switches is de data plain-text. Hierdoor blijft het mogelijk om bijvoorbeeld port-spans te maken. Een user heeft op basis van de tags die hij krijgt toegang tot bepaalde services in het datacenter.

TrustSec is iets wat de komende jaren wordt uitgerold. De Nexus switches ondersteunen het en nieuwe modellen zullen dit ook ondersteunen. Daarnaast zal het encrypten van ethernet frames in een IEEE standaard gegoten worden.

Ik denk dat dit de 2 / 3 jaren nog niet zal lopen. De hardware moet het ondersteunen en het netwerk moet voldoende grootte en complexiteit hebben. De eerste die het zullen gaan oppakken, zijn denk ik security-aware organisaties zoals financiële bedrijven / banken. Firewall's zullen in dit model nog steeds een belangrijke rol hebben.

Maar nogmaals:
Of meneer Cisco gelijk zal krijgen zal te toekomst uit moeten wijzen.

Persoonlijk denk ik dat NAC de volgende stap is in network security. Het is een bekend feit dat het vaak veel makkelijker is om gewoon bij een bedrijf binnen te stappen en dan vrolijk je laptop in een putje te stoppen dan via het boze internet een bedrijfsnetwerk binnen te komen. Geen gezeur meer met die monteur die langskomt en even zijn laptop op het netwerk aansluit om even zijn mail te checken.

Bl@ckbird schreef op donderdag 24 april 2008 @ 23:45:
TrustSec is iets wat de komende jaren wordt uitgerold.
[...]
Ik denk dat dit de 2 / 3 jaren nog niet zal lopen. De hardware moet het ondersteunen en het netwerk moet voldoende grootte en complexiteit hebben. De eerste die het zullen gaan oppakken, zijn denk ik security-aware organisaties zoals financiële bedrijven / banken. Firewall's zullen in dit model nog steeds een belangrijke rol hebben.

Banken zijn notoir conservatief, dus of dat nou de eersten zullen zijn...

>Cisco heeft daarvoor "Identity Based Networking Services" bedacht. Maar eigenlijk zeg je dan: >802.1x Op basis van de juiste credentials (username, wachtwoord / PKI certificaat / token) wordt je >het juiste VLAN in gedrukt.

Jaren geleden heb ik ook al met switches van Enterasys (Matrix) aan het spelen geweest die al deze functionaliteiten hadden. Zulke concepten zijn inderdaad de way to go.
Security al direct op access-niveau -> kabeltje inprikken op de switch brengt je lekker in een quarantaine VLAN dan is het allemall policy-driven.
Alle gevaren zitten nu niet meer op netwerk-niveau, maar eerder direct op applicatie-layer (of hoger)
De security-devices die we moeten hebben zijn devices/agents die SQL-queries bekijken, die XML-parsen, die HTML parsen en daar (business)policies tov zetten. (hetgeen IDS/IDP reeds kunnen doen)

De firewall zal niet verdwijnen en deze zal als een "groffe borstel" al 1 en ander weren alsook leuk voor segmentatie & logging.

alt-92 schreef op vrijdag 25 april 2008 @ 08:33:
[...]


Banken zijn notoir conservatief, dus of dat nou de eersten zullen zijn...

Banken zijn echter wel heel erg security-aware.. Dus ze zullen er wel goed over na denken gok ik..

ik denk dat banken ook gewoon heel erg de kat uit de boom kijken. Ze zijn niet voor niks pas een paar jaar geleden van X25 afgestapt voor betalingsverkeer. Zolang het niet bewezen is dat het heel erg betrouwbaar is zullen ze niet zo gauw overstappen.

Ik geef mijn bek ook maar een duw maar...

Ik denk dat zo'n Jericho concept heel goed mits het door alle lage van je it afdeling en leveranciers wordt ondersteund.
Je ben namelijk volgens mij niet alleen afhankelijk van hoe je data beveiligd op netwerk niveau maar tevens rekening moet houden met HOE applicaties ontwikkeld zijn die met de data moeten omgaan. (lees b.v. sql injection e.a.e. (en andere ellende))
Voor helaas veel ontwikkelaars (er zijn natuurlijk ook goede) is beveiliging een onderschoven kindje.

Een mooi initiatief, al ben ik niet voor het opheffen van firewalls, maar er zitten een hoop haken en ogen aan.

ander puntje.
De muur valt om en er staat om ieder huis een muur maar de bakker uit de andere stad mag wel naar binnen, blijkt dat een goede vriend van de vijand te zijn....
oftewel wordt social engineering er ook mee afgevangen?

Jericho in combinatie met firewalls en goed beleid is een mooi initiatief. Ik denk dat het goed gebruikt kan worden om het beveiligings concept duidelijk te maken aan derden.

(/me moet sneller typen.... blijk het zelfde te denken als jvanhambelgium )

[ Voor 3% gewijzigd door Acmosa op 25-04-2008 10:40 ]

alt-92 schreef op vrijdag 25 april 2008 @ 08:33:
[...]

Banken zijn notoir conservatief, dus of dat nou de eersten zullen zijn...

Zit wat in... Maar ik zie wel dat ze aan het bijdraaien zijn. Met name de Rabobank groep.
Enige tijd geleden hebben ze een grote order bestelt bij Safeboot (o.a. Disk encryptie)

Daarnaast zie ik online ontwikkelingen, zoals Rabo internet bankieren, Bizner en Alex. (in het verleden)
En dan hebben we nog Rabo mobiel.

Het jericho concept an sich lijkt me wel een bron van waarheid te bevatten.
Maar ik ben toch een voorstander van firewalls en niet alleen buiten naar binnen maar ook andersom.
Dit word heel vaak vergeten en daarnaast zouw ik kiezen voor meer firewalls ipv minder.
Hierdoor kun je cruciale machines afschermen van de buitenwereld.
Dit zodat men alleen intern je belangrijke servers kan bereiken.
En NAC is zoiezo the way to go denk ik.
Scheelt veel kopzorgen ivm met mensen die leuk hun lappie inprikken in een willekeurige poort en dan overal bij kunnen.