Toon posts:

Tier 3 security en Multicast verkeer

Pagina: 1
Acties:

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
Wij hebben een Backoffice systeem draaien met een Tier 3 layer qua security dus:

Tier 1 DMZ
Tier 2 Business Logic
Tier 3 Databases met gevoelige info

Elke tier heeft dus een apart netwerk en wordt gerouteerd door een firewall.

Voor een nieuwe Proof of Concept hebben wij een externe leverancier welke een Unix host in de DMZ wil zetten voor secure verbinding op te zetten met devices via Internet. Deze Unix box heeft echter een tweede box nodig met daarin hardwarematige PKI keys. Deze boxen praten onderling met Multicast verkeer.

Weet iemand hier of dit UDP multicast verkeer:

a) van tier 1 naar tier 2 kan door de firewall en router (ASA)
b) unix box is virtueel en pkibox is fysiek, uitdaging voor vmware ? fysieke switch ?
c) maakt het uit welke kant de multicast opgaat ? dus van T1 naar T2 of T2 naar T1 en levert dit risico's qua security op ?

Ben benieuwd wie hier iets zinnigs over durft te zeggen ?

Acties:
  • 0Henk 'm!

  • pleuris
  • Registratie: Juni 2001
  • Laatst online: 28-12-2022
a) van tier 1 naar tier 2 kan door de firewall en router (ASA)
De Cisco ASA heeft ondersteuning voor Multicast routing (PIM)

b) unix box is virtueel en pkibox is fysiek, uitdaging voor vmware ? fysieke switch ?
VMware vSphere ondersteund IGMP op zijn netwerk interfaces. Vanaf ESX 3.5 Update 2 is IGMP volwassen in VMware. Met o.a. voorzieningen bij vmotion acties.

c) maakt het uit welke kant de multicast opgaat ? dus van T1 naar T2 of T2 naar T1 en levert dit risico's qua security op ?
Je stuurt multicast naar een multicast adres en je moet joinen op een multicast udp stream om iets te ontvangen. Tja wat zijn de risico's.. dat is afhankelijk van de client applicatie die de udp stream ontvangt.

Acties:
  • 0Henk 'm!

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
onze (externe) netwerkman schrijft: " Maar het moet kunnen op de ASA en Cisco 2800. Er schijnen meerdere typen multicast verkeer te zijn, en daar hangt het een beetje vanaf of het gaat werken"

Ik kan op Internet echter niets vinden over verschillende types multicast verkeer ? Weet jij meer ?

Acties:
  • 0Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

je hebt geen PIM nodig als je ASA al je routing doet. PIM heb je nodig tussen routing devices. Multicast op ESX is geen issue. Security is altijd lastig want hoe beperk je wie zich abonneert op een bepaalde stream.

Multicast is wel een van de meest lastige onderdelen van networking en dat blijkt ook een beetje uit dat antwoord van je netwerkman. Ik kan enkel voorstellen dat hij doelt op dense mode en sparse mode. Dit zijn twee methodes om multicast verkeer te verspreiden binnen je netwerk. Bij dense mode wordt multicast verkeer geflood by default en gestopt (gepruned) indien niet gewenst. Bij sparse mode moeten de routers aan een centraal device (het Rendevouz point) vragen of een bepaalde stream beschikbaar is.

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
internet naar tier 1 is inderdaad de ASA met DPI
tier 1 naar tier 2 is cisco 2800
tier 2 naar tier 3 is zelfde cisco 2800

als ik zeg dat de PKISAMbank met gevoelige hardware matige sleutels op XP draait...

de verbinding is volgende de leverancier van de unix host en pkisambank als volgt: (wist ik ten tijde van de oorspronkelijke post nog niet)

1. Een PKISAMbank verzendt een MultiCast bericht met daarin een poortnummer X (configureerbaar).
Dit bericht moet door de UNIXbak ontvangen kunnen worden.
2. Een UNIXbak verzendt een MultiCast bericht (zelfde adres en poortnummer als PKISAM Bank broadcast).
Dit moet door alle PKISAM Banken ontvangen kunnen worden.
3. Een UNIXbak maakt een TCP/IP verbinding met een of meerdere PKISAM banken op het poortnummer X
(als geMultiCast door de desbetreffende SAM Bank) en op het IP adres waarvan het door de SAM Bank
verzonden MultiCast bericht vandaan kwam).

Ik vermoed dat er dus door de multicast berichten geen gevoelige info wordt verspreidt maar dat dit waarschijnlijk pas in stap 3 gaat gebeuren maar dan is het (denk ik) geen multicast maar unicast TCP/IP geworden. Denken jullie dit ook als je dit zo leest ?

Zou het indien dit inderdaad zo is niet meer perse nodig zijn om de twee dozen in aparte tiers onder te brengen omdat de multicast (waarschijnlijk) geen "geheime" info verstuurd.

......Maar omdat de machine een XP machine is en mocht de UNIXbak gehacked zijn ze (denk ik) gemakkelijk op de XP machine kunnen komen. Dan zou het mogelijk zijn om productiesleutels te genereren op de XPbak. Dit dan weer wel een reden zou zijn om toch ze in verschillende tiers te zetten en mukticast te routeren. ?

Vind het nogal lastig om te bepalen of dat multicast nou een security risk in houd ? of dat dit prima veilig kan en of je perse hiervoor een tier onderverdeling nodig hebt. Stel dat de machine geen XP was maar Server 2008 ? ben geen hacker maar je moet soms wel zo denken....

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

het lijkt er er op dat die appliance via multicast announcen dat ze beschikbaar zijn. Vervolgens hoort een client dat en maakt hij verbinding via unicast met zo'n appliance. Lijkt mij niet echt een risico. Bovendien als je zoiets schrijft dan heb je security altijd hoog bij de aandachtspunten staan.

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
ok...dat dacht ik ook al...maar als de devices op internet verbinding maken met de unix bak in Tier 1, is er dan een goede reden om de XP pkisambank perse op tier 2 te zetten qua hacken etc ?

En zo ja, is dit dan door de gevoeligheid van XP of doordat het sowieso een extra barriere is als de unixbak gehacked zou zijn ?

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

zolang jij niet toestaat dat die pkisambak bereikbaar is vanaf het internet zie ik weinig risicos om hem daar te hangen.

Acties:
  • 0Henk 'm!

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
maar kan het niet zo zijn dat als de unixhost gehacked is en er daar hackertools in de dmz kunnen worden gedraaid om die xpbak over te nemen dit veel gemakkelijker is dan dat de xpbak met pkisams op tier 2 zou staan met een extra firewall? Mijn chef is bang dat er productiesleutels meegegeneerd kunnen worden en denkt dat door hem in tier2 te plaatsen deze risico's toch kleiner zijn.

Volgens mij doet alleen de ASA routeren en Intrusion Detection Prevention (Internet-> tier 1) en de cisco 2800 tussen tier 1 en 2 alleen firewall en router.

Acties:
  • 0Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

als je bang bent dat een bak in de DMZ gehacked wordt dan kan je inderdaad beter je pkismasin tier 2 plaatsen. Multicast door een router werkt natuurlijk wel gewoon alleen de config kan lastig zijn kennis er voor is gewoon moeilijk te vinden.

Acties:
  • 0Henk 'm!

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
dank voor je info tot zover. Maar wat ik mij afvroeg: voegt het uberhaupt iets toe aan beveiling: tier 2 in deze situatie? De leverancier van de unixbak en pkisam xphost vertelde: ach als je toch al op die unixbak zit ga ik gewoon kijken welke poorten hij connect naar de pkisambank.

En vanaf die unixbak mag je natuurlijk gewoon naar de tier2 toe. Dus ja voegt het dan iets toe ? Werpt het dan toch een extra barriere op dat je gerouteerd wordt en door een firewall moet ,als je op die unixbak de poortnummers etc al kunt zien ? OF is het een vals gevoel van security?

maar ja dan kun je (denk ik) het hele principe van een DMZ wel ter discussie stellen: als een server niet direct aan internet hangt maar via een andere communiceert (welke wel in DMZ staat met portforward) zou je hem dus gewoon wel in de DMZ kunnen hangen ? en heeft een Tier 2 uberhaupt geen zin?

In welke situaties help een DMZ met tier 1 en tier 2 dan wel vraag ik mij hardop af? en wat ondervangt het niet

Acties:
  • 0Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

servers in de DMZ communiceren altijd met servers die niet in de DMZ staan. Daarom zou je dus eigenlijk twee firewalls willen hebben. 1 van internet naar je DMZ en 1 van DMZ naar de rest van je netwerk.

Acties:
  • 0Henk 'm!

  • cestlavie2010
  • Registratie: Mei 2010
  • Laatst online: 26-11-2013
zit ook tussen elke tier een firewall. maar omdat je eerst schreef:

"zolang jij niet toestaat dat die pkisambak bereikbaar is vanaf het internet zie ik weinig risicos om hem daar te hangen"

vroeg ik mij af waarom je zei dat als ik bang was dat als hij gehacked zou kunnen worden hij dan wel beter in tier 2 zou kunnen ? Is dat niet uberhaupt de reden waarom je zoveel mogelijk uit de dmz wil hebben ? Of zijn er situaties waarin het geen enkele toegevoegde waarde is om hem toch in tier 2 te zetten (een server zonder directe internetverbinding dus)? Sorry dat ik beetje doorzeur probeer je te begrijpen ..... ;-)

Acties:
  • 0Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 11:14

TrailBlazer

Karnemelk FTW

Hoe groot is die kans dat die unix bak gehacked wordt en dat er vervolgens iemand doorhopt naar die XP machine? Hoe wil je trouwens vanaf een unix bak inloggen op een XP bak.
Er is wat voor te zeggen om zo min mogelijk in die DMZ te zetten maar het maakt het zeker met multicast wel lastiger. Het is gewoon een afweging maken van de risico's

  • morphje
  • Registratie: Juni 2001
  • Laatst online: 07-03 20:01

morphje

let's all love lain

IMO denk ik dat je een vals gevoel van veiligheid creeert met die XP bak in tier2

Het voegt geen nut toe om die bak in tier2 te plaatsen, immers is er geen noodzaak voor om deze machine verplicht in dit netwerk te stoppen. Tier security wordt opgezet van binnen naar buiten. Persoonlijk heb ik een hekel aan reverse proxies en application firewalls om van buiten naar binnen te gaan en pas ik ze alleen maar toe als ik het echt moet.

Goede security is het zorgen voor synchronisatie van binnen naar buiten toe en overeenkomstig de datastromen. Waarom? Heel simpel, gevoelige informatie zitten aan de binnenkant en je creert lagen erom heen en je gaat vervolgens zorgen voor een gat van buiten naar binnen.

Worst case (en niet "hoe groot is de kans?") Als je Unix bak valt, dan kunnen ze door naar binnen via de XP bak. Zitten ze eenmaal op je tier2 (of 3), dan hebben ze je data. Wat je wel kan doen is er voor zorgen dat die XP bak niet op het internet komt ( door hop adjustment of verwijderen van de gateway.)

  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 08:53
cestlavie2010 schreef op zondag 15 mei 2011 @ 11:14:
En vanaf die unixbak mag je natuurlijk gewoon naar de tier2 toe. Dus ja voegt het dan iets toe ? Werpt het dan toch een extra barriere op dat je gerouteerd wordt en door een firewall moet ,als je op die unixbak de poortnummers etc al kunt zien ? OF is het een vals gevoel van security?
Je mag vanaf die Unix naar Tier2 toe via bepaalde poorten hé. Die UNIX machine mag z'n dialoog hebben met de PKI machine op de welbepaalde poorten zoals aangegeven door de fabrikant en ik hoop ook dat deze stream voorzien is van de nodige encryptie in de payload als er gevoelige data over gaat.

Met het plaatje <Internet>-<Firewall>-<DMZ-Unix>-<Firewall>-<XP-bak><Firewall>-<DB-layer> ben je al wel goed op weg hoor...

Sowieso veronderstel ik dat de XP niet zomaar een "out of the box" XP is maar voldoende toegezet. Je kan XP behoorlijk toekloppen hoor als je wil...dit gaan ten kost van functionaliteit, maar voor specieke toepassingen kan het wel.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee