Server - Server data-in-motion encryptie, obstakels ?

Is dit je huiswerk?

Verwijderd schreef op maandag 13 juni 2016 @ 14:49:
....

Ikke snappe er echt helemaal niets van.......

Om server - server encryptie mogelijk te maken wordt er veelal met X.509 certificaten gewerkt.

Zijn er hier mensen die ervaring hebben met certificaat gebaseerde server - server encryptie?

Wat bedoel je hier in vredens naam mee?

Wat is de rede waarom je hiervoor hebt gekozen?
En wat zijn de obstakels die je tegen komt met dit soort implementaties?

Recent werd dit in het licht van de EU datalek wetgeving geopperd en de vraag was of wij dit binnen het VLAN moesten doen of niet. Ben benieuwd naar jullie ervaring.

Ook hier wel, wat wil je bereiken? Want wat heeft een VLAN nu weer met encryptie, certificaten of server te maken?

Ofwel, wat is nu eigenlijk precies je vraag?

Of laten we anders beginnen: TS begint.....

Je kun een encrypted tunnel/vpn leggen tussen de servers of anders zit je op applicatieniveau te werken. Vlans hebben helemaal niks met encryptie te maken.

Ik zou daar eens op zoeken.

Waarom is je verkeer niet versleuteld tussen je servers? En wat voor verkeer is het? Eigenlijk kan alles wel prima met TLS... Zet een CA op en deel naar smaak certificaten uit?

Verwijderd schreef op maandag 13 juni 2016 @ 14:49:
Om server - server encryptie mogelijk te maken wordt er veelal met X.509 certificaten gewerkt.

Zijn er hier mensen die ervaring hebben met certificaat gebaseerde server - server encryptie?

Wat is de rede waarom je hiervoor hebt gekozen?
En wat zijn de obstakels die je tegen komt met dit soort implementaties?

Recent werd dit in het licht van de EU datalek wetgeving geopperd en de vraag was of wij dit binnen het VLAN moesten doen of niet. Ben benieuwd naar jullie ervaring.

Alvast bedankt.

Ik doe het, denk ik, want de term server-server encryptie is niet duidelijk en misschien wel de bron van de verwarring. Het bestaat niet en/of die term betekent niks.

SSL heeft twee functies: encryptie en identificatie. Meestal wordt SSL in de eerste plaats voor encryptie gebruikt. Voor het encryptie-deel heeft één van beide partijen een SSL-certificaat nodig maar dat hoeft niet eens geen geldig certificaat te zijn (dat hoort bij het identificatie deel). Als twee servers via SSL-communiceren dan doen ze precies hetzelfde als wanneer je browser een http-website bezoekt.

De tweede functie is identificatie: je wil zeker weten dat je met de juiste partner spreekt en niet met een ander.
Het typische voorbeeld is het groene balkje in je browser als je de website van je bank bezoekt. In dat geval controleert je webbrowser de identiteit van de website met behulp van het SSL-certificaat van die site. Dat is dus wel éénrichting controle. Je webbrowser controleert de webserver, niet andersom.
Soms wil je die controle echter wél twee kanten op laten gaan. In dat geval moeten beide systemen een SSL-certificaat hebben. In praktijk controleer je dan of bepaalde aspecten van dat certificaat overeen komen met je verwachtingen (zoals: staat de juiste naam op het certificaat).

Wat is de rede waarom je hiervoor hebt gekozen?

Ik gebruik overal encryptie waar ik kan, het zou de default moeten zijn. Encryptie uit hebben staan als je het eigenlijk nodig hebt is heel pijnlijk. Encryptie aan hebben staan terwijl je het niet nodig hebt kost je nagenoeg niks. Zelfs als een systeem nu geen gevoelige data bevat dan weet ik nog niet wat de toekomst zal brengen en of men mij daar tijdig van op de hoogte stelt. Daarbij is een productie-systeem veranderen altijd lastig, ik doe het liever in één keer goed op het moment dat ik het systeem inricht.

En wat zijn de obstakels die je tegen komt met dit soort implementaties?

Het grootste obstakel zijn mensen, die snappen SSL niet en willen het ook niet snappen. De meeste technische partners kijken verdwaasd om zich heen als je er over begint.

[ Voor 11% gewijzigd door CAPSLOCK2000 op 13-06-2016 18:49 ]

Welk server platform?
Op windows kun je ipsec afdwingen

IPSEC is dan eventueel een mogelijkheid. Dit dit eigenlijk exact wat je wilt. Nadeel is, dat firewall niet meer echt iets met het verkeer kan doen.
Alternatief, maar dat is applicatie afhankelijk.... Gewoon de SSL verbinding weer terug zetten naar de achterligende webserver. Databases ondersteunen tegenwoordig ook encryptie.

Nee dat gaat niet.
Encryptie gebeurt op de communicatiestroom tussen applicaties. Als je deze met ssl/tls wilt beveiligen moeten de betrokken applicaties dit ondersteunen. (Denk maar aan encryptie tussen je browser en apache/iis/...)
Begin niet met ipsec/pptp op te zetten in mesh tussen alle systemen, dat loopt gegarandeerd mis!

Ik ga het topic verplaatsen naar Beveiliging & Virussen

Het gebruik van IPsec voor specifiek verkeer tussen systemen (servers) is op Windows erg makkelijk af te dwingen. Daarvoor kan je gebruik maken van X.509 certificaten maar ook een pre-shared key. In een grote omgeving wil je dit niet op basis van PSK doen vanwege de beheerbaarheid. Bovendien biedt een certificaat ook nog een extra stukje beveiliging in de vorm van identificatie (zie verhaal CAPSLOCK2000 hierboven).

Over het algemeen zou ik er voor kiezen alles gewoon op applicatieniveau te versleutelen (waar dat kan) en dan alleen waar dat nodig is. LDAPS op je interne netwerk is wellicht overdreven. Maar tussen een perimeter device en je DC zou ik het zeker doen.

Kijkend naar oudere protocollen die van zichzelf geen versleuteling (en of client/server authenticatie) ondersteunen kan je dit middels IPsec afdwingen binnen een Windows omgeving.