Beste Tweakers,
Momenteel ben ik bezig met een project. Het is de bedoeling dat er een oplossing komt voor de beveiliging van onbekende apparatuur te regelen. Momenteel is het zo dat iemand zijn eigen laptop aan kan sluiten en in feite op het netwerk kan. Momenteel is er al een gedeelte beveiligd door middel van MAC Authenticatie. Aan mij is het de taak om uit te zoeken of dit wel de beste oplossing is. Het moet uiteraard zo goed mogelijk beveiligd zijn voor zo min hoe mogelijk geld.
Het gaat om een omgeving van ongeveer 1500 clients. De clients zijn fat en thin clients. Ze draaien allemaal op citrix met RES. Als OS wordt gebruik gemaakt van Windows Server 2008 en Windows XP SP3. De clients gaan binnenkort echter over op Windows 7. Als switches wordt gebruik gemaakt van HP Procurve switches.
Wat ik momenteel heb ik het volgende uitgezocht, en de voor en nadelen opgesomd:
MAC Authenticatie
Voordelen:
-Kosten. De kosten voor het gebruik van MAC Authenticatie is het laagste. Het is het makkelijkste te configureren waardoor de configuratie kosten laag uitvallen, het beheer is vrij eenvoudig omdat bij een nieuwe client alleen het MAC adres ingevoerd hoeft te worden.
-Gemakkelijk te implementeren en beheren. Het implementeren van MAC Authenticatie is het meest eenvoudige omdat er geen gebruik gemaakt hoeft te worden van bijvoorbeeld certificaten. Het beheren van MAC Authenticatie is eenvoudig omdat bij nieuwe apparatuur alleen het MAC Adres van het betreffende apparaat hoeft worden toegevoegd.
-Het kan voor alle apparatuur die een MAC Adres heeft gebruikt worden. Binnen de organisatie wordt er gebruik gemaakt van printers / mobiele telefoons / tablets. Op deze apparaten kunnen geen certificaten geïnstalleerd worden. Bij het gebruik van MAC Authenticatie is dit geen enkel probleem. Het MAC adres van deze apparaten hoeft maar worden toegevoegd en de gebruiker heeft toegang tot het netwerk.
-Geen gebruik RADIUS. Gaat via Network Policy Server (NPS). Er hoeven geen extra servers geïnstalleerd worden. Het enige wat gebruikt wordt is een Network Policy Server . Een Network Policy Server is reeds aanwezig.
Nadelen:
Het nadeel van MAC Authenticatie is dat het vrij gemakkelijk omzeild kan worden door gebruik te maken van een MAC Adres dat reeds is toegestaan. Het MAC Adres kan op de volgende manieren achterhaald worden:
-Sniffer. De indringer kan gebruik maken van een sniffer. Een sniffer leest alle verkeer dat over het netwerk gaat uit. Bij het gebruik van MAC authenticatie wordt het MAC adres niet encrypt waardoor dit doormiddel van een sniffer uitgelezen kan worden. De indringer hoeft het MAC Adres dan maar aan zijn apparaat toe te kennen, en kan gebruik maken van het netwerk.
-Fysiek aflezen. De indringer kan het MAC adres aflezen door het af te lezen op een machine. Vaak is het zo dat er een sticker aanwezig is op machines waar het MAC adres op staat aangegeven. De indringer hoeft het MAC Adres dan maar aan zijn apparaat toe te kennen, en kan gebruik maken van het netwerk.
DHCP Enforcement
Voordelen:
Het voordeel van DHCP Enforcement is dat het makkelijk te implementeren is. De kosten vallen laag uit omdat het makkelijk te implementeren en te beheren is.
Nadelen:
Veel te onveilig. Het is namelijk makkelijk te omzeilen om de client een vast IP adres te geven. Als de client een vast IP adres toegekend heeft gekregen dan wordt de health status niet door DHCP gecontroleerd.
802.1X
Voordelen:
De beveiliging van 802.1X is een stuk veiliger dan het gebruik van MAC Authenticatie.
Nadelen:
-Kosten
De kosten van 802.1X zullen veel hoger zijn dan de kosten voor MAC Authenticatie. De implementatie kosten zullen veel hoger liggen omdat het gehele systeem opnieuw gebouwd dient worden, de beheerskosten zullen tevens veel hoger liggen dan bij MAC Authenticatie.
-Compatibiliteit
Niet alle apparaten ondersteunen 802.1X. Printers / telefoons / tablets ondersteunen het niet.
IPSEC
Voordelen:
-Veilig, het is niet mogelijk deze methode te omzeilen zoals dat wel mogelijk is bij DHCP enforcement
-Geen infrastructuur upgrade nodig, IPSec werkt over elke type Infra. Bij 802.1x kan het nodig zijn om switches te vervangen door switches die 802.1x spreken. Dit is bij IPSec niet noodzakelijk
-Flexibel, een computer in het secure network kan communicatie initialiseren naar een computer in het restricted network (dit kan niet andersom)
-Encryptie, IPSec kan ook gebruikt worden voor encryptie
Nadelen:
- Microsoft Active Directory Certification Service CA dient geïnstalleerd worden
- Kan niet voor alle apparatuur gebruikt worden. Apparatuur waarvoor geen certificaten geïnstalleerd kunnen worden kunnen niet gebruikt worden
- Kosten (Beheer / implementatie / licenties servers)
Multifactor (802.1X + MAC Authenticatie)
Voordelen:
- Veilig. Voor apparaten die om kunnen gaan met certificaten wordt gebruik gemaakt van certificaten, apparaten die niet om kunnen gaan met certificaten wordt MAC authenticatie gebruikt
Nadelen:
- Beheer complexer. Omdat twee verschillende beveiligingstechnieken worden toegepast is het beheer complexer
- Kosten. Omdat het beheer complexer is, gaan de kosten omhoog
Mis ik nog dingen, en wat zouden jullie kiezen? Ik neig momenteel het meest naar Multifactor 802.1X en MAC. Dit is het meest veilige / alle apparatuur kun je ondersteunen, en 802.1X is een beetje de standaard qua security tegenwoordig. Het gaat trouwens alleen over een wired netwerk!
Momenteel ben ik bezig met een project. Het is de bedoeling dat er een oplossing komt voor de beveiliging van onbekende apparatuur te regelen. Momenteel is het zo dat iemand zijn eigen laptop aan kan sluiten en in feite op het netwerk kan. Momenteel is er al een gedeelte beveiligd door middel van MAC Authenticatie. Aan mij is het de taak om uit te zoeken of dit wel de beste oplossing is. Het moet uiteraard zo goed mogelijk beveiligd zijn voor zo min hoe mogelijk geld.
Het gaat om een omgeving van ongeveer 1500 clients. De clients zijn fat en thin clients. Ze draaien allemaal op citrix met RES. Als OS wordt gebruik gemaakt van Windows Server 2008 en Windows XP SP3. De clients gaan binnenkort echter over op Windows 7. Als switches wordt gebruik gemaakt van HP Procurve switches.
Wat ik momenteel heb ik het volgende uitgezocht, en de voor en nadelen opgesomd:
MAC Authenticatie
Voordelen:
-Kosten. De kosten voor het gebruik van MAC Authenticatie is het laagste. Het is het makkelijkste te configureren waardoor de configuratie kosten laag uitvallen, het beheer is vrij eenvoudig omdat bij een nieuwe client alleen het MAC adres ingevoerd hoeft te worden.
-Gemakkelijk te implementeren en beheren. Het implementeren van MAC Authenticatie is het meest eenvoudige omdat er geen gebruik gemaakt hoeft te worden van bijvoorbeeld certificaten. Het beheren van MAC Authenticatie is eenvoudig omdat bij nieuwe apparatuur alleen het MAC Adres van het betreffende apparaat hoeft worden toegevoegd.
-Het kan voor alle apparatuur die een MAC Adres heeft gebruikt worden. Binnen de organisatie wordt er gebruik gemaakt van printers / mobiele telefoons / tablets. Op deze apparaten kunnen geen certificaten geïnstalleerd worden. Bij het gebruik van MAC Authenticatie is dit geen enkel probleem. Het MAC adres van deze apparaten hoeft maar worden toegevoegd en de gebruiker heeft toegang tot het netwerk.
-Geen gebruik RADIUS. Gaat via Network Policy Server (NPS). Er hoeven geen extra servers geïnstalleerd worden. Het enige wat gebruikt wordt is een Network Policy Server . Een Network Policy Server is reeds aanwezig.
Nadelen:
Het nadeel van MAC Authenticatie is dat het vrij gemakkelijk omzeild kan worden door gebruik te maken van een MAC Adres dat reeds is toegestaan. Het MAC Adres kan op de volgende manieren achterhaald worden:
-Sniffer. De indringer kan gebruik maken van een sniffer. Een sniffer leest alle verkeer dat over het netwerk gaat uit. Bij het gebruik van MAC authenticatie wordt het MAC adres niet encrypt waardoor dit doormiddel van een sniffer uitgelezen kan worden. De indringer hoeft het MAC Adres dan maar aan zijn apparaat toe te kennen, en kan gebruik maken van het netwerk.
-Fysiek aflezen. De indringer kan het MAC adres aflezen door het af te lezen op een machine. Vaak is het zo dat er een sticker aanwezig is op machines waar het MAC adres op staat aangegeven. De indringer hoeft het MAC Adres dan maar aan zijn apparaat toe te kennen, en kan gebruik maken van het netwerk.
DHCP Enforcement
Voordelen:
Het voordeel van DHCP Enforcement is dat het makkelijk te implementeren is. De kosten vallen laag uit omdat het makkelijk te implementeren en te beheren is.
Nadelen:
Veel te onveilig. Het is namelijk makkelijk te omzeilen om de client een vast IP adres te geven. Als de client een vast IP adres toegekend heeft gekregen dan wordt de health status niet door DHCP gecontroleerd.
802.1X
Voordelen:
De beveiliging van 802.1X is een stuk veiliger dan het gebruik van MAC Authenticatie.
Nadelen:
-Kosten
De kosten van 802.1X zullen veel hoger zijn dan de kosten voor MAC Authenticatie. De implementatie kosten zullen veel hoger liggen omdat het gehele systeem opnieuw gebouwd dient worden, de beheerskosten zullen tevens veel hoger liggen dan bij MAC Authenticatie.
-Compatibiliteit
Niet alle apparaten ondersteunen 802.1X. Printers / telefoons / tablets ondersteunen het niet.
IPSEC
Voordelen:
-Veilig, het is niet mogelijk deze methode te omzeilen zoals dat wel mogelijk is bij DHCP enforcement
-Geen infrastructuur upgrade nodig, IPSec werkt over elke type Infra. Bij 802.1x kan het nodig zijn om switches te vervangen door switches die 802.1x spreken. Dit is bij IPSec niet noodzakelijk
-Flexibel, een computer in het secure network kan communicatie initialiseren naar een computer in het restricted network (dit kan niet andersom)
-Encryptie, IPSec kan ook gebruikt worden voor encryptie
Nadelen:
- Microsoft Active Directory Certification Service CA dient geïnstalleerd worden
- Kan niet voor alle apparatuur gebruikt worden. Apparatuur waarvoor geen certificaten geïnstalleerd kunnen worden kunnen niet gebruikt worden
- Kosten (Beheer / implementatie / licenties servers)
Multifactor (802.1X + MAC Authenticatie)
Voordelen:
- Veilig. Voor apparaten die om kunnen gaan met certificaten wordt gebruik gemaakt van certificaten, apparaten die niet om kunnen gaan met certificaten wordt MAC authenticatie gebruikt
Nadelen:
- Beheer complexer. Omdat twee verschillende beveiligingstechnieken worden toegepast is het beheer complexer
- Kosten. Omdat het beheer complexer is, gaan de kosten omhoog
Mis ik nog dingen, en wat zouden jullie kiezen? Ik neig momenteel het meest naar Multifactor 802.1X en MAC. Dit is het meest veilige / alle apparatuur kun je ondersteunen, en 802.1X is een beetje de standaard qua security tegenwoordig. Het gaat trouwens alleen over een wired netwerk!
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)
?
