Computerbeveiliging - Hoe je bad guys buiten de deur houdt

multi-layered security @home

26-11-2013, 10:36 door Anoniem, 13 reacties
Beste bezoekers van dit forum,

Ik hou dit forum al een tijdje in de gaten en heb opgemerkt dat er voldoende kennis aanwezig is om mee te denken met mijn uiteindelijke doel, wat is het opzetten van multi-layered security network @home.

Redenen zijn:
- ervaring opdoen;
- kennis vergroten;
- beveiligingniveau verhogen;
- inzicht in netwerkverkeer.

Ik wil zoveel mogelijk gebruik maken van opensource software om de kosten voor licenties zo laag mogelijk te houden.
Wel is het van belang dat de opensource software voldoet aan de volgende richtlijnen:

- Grote en internationale ontwikkel- en gebruikersgroep;
- Technologisch vooruitstrevend;
- Documentatie op orde;
- Conformeert zich aan open standaarden.

Daarnaast wil ik de verschillende functionaliteiten geïnstalleerd hebben op aparte hardware, waarbij ook gebruikt wordt gemaakt van verschillende platformen. Uiteindelijke doel: verlagen van het risico om gecompromitteerd te worden.
Ik wil ook rekening houden met het stroomverbruik van de verschillende hardware onderdelen.

Om een multi-layered security network @home te ontwerpen, heb ik mezelf eerst de vraag gesteld, over functionaliteiten wil ik beschikken, hierbij een overzicht:

- Hardware 1: First Line of Defense: UTM appliance (Application level Firewall, SPAMblocker, Gateway Antivirus, IPS, Webblocker)
- Hardware 2: VPN server op basis van PKI (public key infrastruction using certificates and private keys),
Clients toegang verschaffen tot het netwerk, Wake On Lan mogelijkheid om daarna via RDP systeem over te nemen;
- Hardware 3: WIFI quest voor alleen het benaderen van het Internet, WIFI voor intern netwerk;
- Hardware 4: Hoog beveiligd LAN d.m.v. de volgende opzet Internet WAN, external NAT router, VPN in DMZ gekoppeld aan de external NAT router, Internal NAT router (pc's, laptop's en NAS zijn hier gekoppeld;
- Realtime inzien van netwerkverkeer (SSL), logging en reporting opgeslagen in een database;
- Windows 7 client security (firewall, antivirus en antispyware, anti-phishing, anti-spam), centraal kunnen controleren en beheren van de verschillende clients;
- Beleid t.a.v. wachtwoorden ( in ieder geval het veranderen van de standaard wachtwoorden);
- Back-up, alle data met waarde verplaatsen buiten de interne omgeving, data zal voorzien moeten van encryptie ivm het verplaatsen van data over het openbare Internet;

Ik hoor graag jullie ideeën, vragen en/of meningen

Met vriendelijke groet.
Reacties (13)
26-11-2013, 11:07 door kangoo909
Een mooie exercitie en de moeite waard. Het enige wat ik je wil meegeven (en je vraagt er zelf ook om bij de producten die wilt gaan gebruiken); maak voor jezelf eerst een TO op papier. De functionele eisen heb je al; zet deze om in een gespecificeerd technisch ontwerp en houd je daaraan.

Bij een change verander je ook je TO. Op zich al een goede exercitie om dat te doen, maar ook omdat je anders verstrikt kunt raken in een woud van configuraties en instellingen.
26-11-2013, 12:32 door Anoniem
Door kangoo909: Een mooie exercitie en de moeite waard. Het enige wat ik je wil meegeven (en je vraagt er zelf ook om bij de producten die wilt gaan gebruiken); maak voor jezelf eerst een TO op papier. De functionele eisen heb je al; zet deze om in een gespecificeerd technisch ontwerp en houd je daaraan. Bij een change verander je ook je TO. Op zich al een goede exercitie om dat te doen, maar ook omdat je anders verstrikt kunt raken in een woud van configuraties en instellingen.

Ben het geheel met je eens, de implementatie is gebasseerd op de TO. Ik heb nog even gewacht met de TO i.v.m. de ideeën en/of aanwijzingen die voortkomen uit deze topic. Bedankt voor je reactie.
26-11-2013, 13:33 door Anoniem
Beste anoniem,

Ik zie dat je je beveiliging wilt stoelen op hardware, software, en instellingen.

Wellicht is het beter om een User Requirement Specification op te stellen, waarin je je data gaat behandelen op basis van Integrity (kan data worden aangepast zonder tracability/alerting) Availability (Is data ten alle tijden beschikbaar, denk ddos, of backups/disaster recovery) en Confifdentiality. (is mijn data beschikbaar op onverwachte plekken)

Deze uitgangspunten leveren dan een hele lijst aan maatregelen op om een en ander te borgen, en de hardware die je gebruikt om dit alles te ondersteunen komt dan zomaar als laatste aan de beurt.

Weeg ook goed de onderlinge belangen af.

Als voorbeeld: Al je harddisken van het zelfde merk: Je SLA op garantie en performance is beter te managen.
Al je harddisken van een verschillend merk: minder kans dat alles in een keer stuk is vanwege een firmwarebug.

Zaken als gebruiksbeleid, en het afdwingen/auditen hierop is ook belangrijk, want met al je techniek voorkom je niet dat de secretaresse/je vrouw toch dat leuke klikspelletje speelt dat ik haar zojuist mailde.

Een ander belangrijk punt is het vermogen van je organisatie om al die fancy technieken te managen. SSL logs zijn mooi, maar herken je een afwijkend patroon wel? 2 hackers kunnen meer hacken dan een systeembeheerder kan beveiligen.

Denk dus ook aan DMZ/Sandbox.

Als voorbeeld: Mijn laptop is waarschijnlijk voorzien van nare software, maar ook van allerlei leuke spelletjes.
Geen probleem, deze is Vlan afgeschermd van mijn netwerk, en wordt niet gebruikt voor mail of bankzaken.
Niet alles wat je doet hoeft NSA-proof afgegrendeld te worden. ;-)
26-11-2013, 15:16 door Anoniem
Ik begrijp dat deze oplossing in een thuis/privé situatie gebruikt moet worden. In dat geval denk ik niet dat dit erg realistisch is. Ik zou me eerst afvragen waar tegen je je wilt beveiligen. Zoals iedereen al eens heeft gezegd: 100% beveiliging bestaat niet.

Dus, gaat het je om de scriptkiddies, de chinese overheidshackers of de georganiseerde misdaad? Elk Threat profile heeft een andere verdediging nodig.

Daarbij komt, hoe complexer je het inricht het moeilijker het wordt om te beheren. Ga je ook vulnerability management, patch management en dergelijk inrichten? Zo niet, reken er dan maar op dat je binnen de korte keren zo lek als een mandje bent. Een hoop geld voor schijn veiligheid.

Ik ben ook erg benieuwd naar je sanctiebeleid... hoe ga je om met huisgenoten die zich niet aan de wachtwoordpolicy houden. Ga je ook cleandesk en clearscreen invoeren? Aan wie rapporteer je je bevindingen en heb je al een externe auditor ingeschakeld om te controleren of alle procedures effectief zijn?

Mocht het je gaan om privacy, stop dan met facebook en dat soort zaken. Die zijn vele malen relevanter en gevaarlijker dan die oh zo boze NSA.

Ik waardeer je inzet voor een veilig netwerk en dergelijk, houd wel enige mate van realiteitszin aan.

Succes!
26-11-2013, 15:41 door Anoniem
Ik mis nog wat dingen....

802.1x authenticatie + poort security. Er zijn verschillende open source tools die je daar bij kunnen helpen maar packetfence is in mijn bescheiden mening de mooiste. Je kunt dat combineren met SNORT zodat je op basis van IDS/IPS gelijk een poort dicht kunt zetten. Je hebt dan meteen afgedicht dat als iemand zijn laptop aan jouw kabel hangt hij gelijk overal bij kan!

VLAN scheiding. Hiermee kun je in ieder geval voorkomen dat als er 1 vlan aangevallen is dat ze meteen je hele netwerk in kunnen.

En als je dan toch bezig bent:
Managed content webbrowsing (blokeren van bepaalde categorien). Een beetje UTM FW kan dit al.... hiermee kan je al een heleboel aanvallen tegenhouden. Hou er rekening mee dat een abonnement om de content management database up-to-date te houden nogal prijzig kan zijn!

Ik ben ook gecharmeerd van routeros... of zelfs in de vorm van een hardware appliance en dan noem ik met name de mikrotik routers. Grote open source community veel ondersteuning en bijna alles wat je wil zit er in.
26-11-2013, 19:01 door Anoniem
Door Anoniem 15:16 Ik begrijp dat deze oplossing in een thuis/privé situatie gebruikt moet worden. In dat geval denk ik niet dat dit erg realistisch is. Ik zou me eerst afvragen waar tegen je je wilt beveiligen. Zoals iedereen al eens heeft gezegd: 100% beveiliging bestaat niet.!
100% beveiliging bestaat inderdaad niet, het gaat om het verlagen ofwel minimaliseren van de risico's. De oplossing zou je kunnen zien als niet erg realistisch, maar een belangrijke factor is ervaring en kennis opdoen.

Dus, gaat het je om de scriptkiddies, de chinese overheidshackers of de georganiseerde misdaad? Elk Threat profile heeft een andere verdediging nodig.
deze benadering komt mij niet bekend voor, je zou aan de hand van een risk assessment de risico's inzichtelijk kunnen maken en bepalen wat de impact is van deze risico's. Hierna kun je mbv controls/countermeusures/safeguards de risico verlagen tot een acceptabel niveau. The simple model: threats --> controls --> risk --> assets.
Maar aan deze standaard benadering (bedrijfsleven) zat ik niet te denken!

Daarbij komt, hoe complexer je het inricht het moeilijker het wordt om te beheren. Ga je ook vulnerability management, patch management en dergelijk inrichten? Zo niet, reken er dan maar op dat je binnen de korte keren zo lek als een mandje bent. Een hoop geld voor schijn veiligheid.
Vulnerability management en patch management zullen een onderdeel zijn van het geheel.

Ik ben ook erg benieuwd naar je sanctiebeleid... hoe ga je om met huisgenoten die zich niet aan de wachtwoordpolicy houden. Ga je ook cleandesk en clearscreen invoeren? Aan wie rapporteer je je bevindingen en heb je al een externe auditor ingeschakeld om te controleren of alle procedures effectief zijn?
Dit is gezien de thuissituatie overbodig naar mijn inziens.

Mocht het je gaan om privacy, stop dan met facebook en dat soort zaken. Die zijn vele malen relevanter en gevaarlijker dan die oh zo boze NSA.
Privacy is ook een onderdeel van het geheel, maar is een ander hoofdstuk. In ieder geval kan ik je mededelen dat ik niet deelneem aan Social Media praktijken.

Ik waardeer je inzet voor een veilig netwerk en dergelijk, houd wel enige mate van realiteitszin aan.
Ik waardeer je reactie, mijn realiteitszin in volledig in orde, de opzet die beschreven staat in mijn vraag is voor het opdoen van ervaring en kennis.

Succes!
Dank je wel!
26-11-2013, 19:12 door Anoniem
Door Anoniem 15:41 802.1x authenticatie + poort security. Er zijn verschillende open source tools die je daar bij kunnen helpen maar packetfence is in mijn bescheiden mening de mooiste. Je kunt dat combineren met SNORT zodat je op basis van IDS/IPS gelijk een poort dicht kunt zetten. Je hebt dan meteen afgedicht dat als iemand zijn laptop aan jouw kabel hangt hij gelijk overal bij kan!
Bedankt voor deze aanvulling, omdat het interne netwerk alleen gebruikt wordt door geautoriseerde gebruikers, heb ik dit niet meegenomen in de vraagstelling. Maar voor het opdoen van kennis en ervaring, ga ik dit zonder meer testen.

VLAN scheiding. Hiermee kun je in ieder geval voorkomen dat als er 1 vlan aangevallen is dat ze meteen je hele netwerk in kunnen.
Gezien de situatie die beschreven staat in de vraag, waarbij ik al gebruik maak van 2 NAT routers die zich allebei in 2 verschillende netwerksegmenten bevinden, hoe zie jij de VLAN configuratie instellen?

En als je dan toch bezig bent: Managed content webbrowsing (blokeren van bepaalde categorien). Een beetje UTM FW kan dit al.... hiermee kan je al een heleboel aanvallen tegenhouden. Hou er rekening mee dat een abonnement om de content management database up-to-date te houden nogal prijzig kan zijn!
Klopt, in de vraagstelling heb ik gebruik gemaakt van de term: webblocker.

Ik ben ook gecharmeerd van routeros... of zelfs in de vorm van een hardware appliance en dan noem ik met name de mikrotik routers. Grote open source community veel ondersteuning en bijna alles wat je wil zit er in.
Bedankt voor deze tip.
26-11-2013, 23:07 door Anoniem
Kijk ook eens naar routers van Sitecom met Cloud Security: http://www.sitecom.com/nl/advice-scs/325
Die bieden 4 virusscanners (Bitdefender, Emsisoft, HitmanPro em Ikarus; volgend jaar Kaspersky), bevat een zeer uitgebreid URL filter met data van 40 antivirus labs, universele exploit prevention tegen exploit kits, zeer handig advertentiefilter en kan do-not-track privacy forceren. Je hebt er geen onderhoud aan, just connect-and-forget - dus ook ideaal voor leken.
27-11-2013, 09:51 door schele
Door Anoniem:
Ik ben ook erg benieuwd naar je sanctiebeleid... hoe ga je om met huisgenoten die zich niet aan de wachtwoordpolicy houden. Ga je ook cleandesk en clearscreen invoeren? Aan wie rapporteer je je bevindingen en heb je al een externe auditor ingeschakeld om te controleren of alle procedures effectief zijn?

Lol :)

Ik weet het, draagt niet bij aan de discussie maar volgens mij dacht deze persoon hetzelfde als ik: hoogst onwaarschijnlijk dat iemand dit doet voor een thuis netwerk en gewoon graag wat advies wil voor een corporate architectuur. Mag hoor, maar zet dat er gewoon bij...

Wat meer on topic: dit opzetten in een thuis omgeving is misschien niet de beste manier om kennis en ervaring op te doen. Deze opzet ontstijgt het thuis niveau en wat je leert om dat thuis op te zetten is waarschijnlijk maar een fractie van wat er bij komt kijken als je dat op een bedrijfsnetwerk plaatst met web, mail, file, printerservers en bovenal andere en complexere software mbt IDS, firewalls, VPN etc.

Vergeet ook niet op bepaalde momenten met een Kali achtige omgeving wat eenvoudige pentests uit te voeren. Krijg je snel een idee van hoe goed het opgezet is.
27-11-2013, 11:00 door Roensel - Bijgewerkt: 27-11-2013, 11:02
...
Om een multi-layered security network @home te ontwerpen, heb ik mezelf eerst de vraag gesteld, over functionaliteiten wil ik beschikken, hierbij een overzicht:

- Hardware 1: First Line of Defense: UTM appliance (Application level Firewall, SPAMblocker, Gateway Antivirus, IPS, Webblocker)
- Hardware 2: VPN server op basis van PKI (public key infrastruction using certificates and private keys),
Clients toegang verschaffen tot het netwerk, Wake On Lan mogelijkheid om daarna via RDP systeem over te nemen;
- Hardware 3: WIFI quest voor alleen het benaderen van het Internet, WIFI voor intern netwerk;
- Hardware 4: Hoog beveiligd LAN d.m.v. de volgende opzet Internet WAN, external NAT router, VPN in DMZ gekoppeld aan de external NAT router, Internal NAT router (pc's, laptop's en NAS zijn hier gekoppeld;
- Realtime inzien van netwerkverkeer (SSL), logging en reporting opgeslagen in een database;
- Windows 7 client security (firewall, antivirus en antispyware, anti-phishing, anti-spam), centraal kunnen controleren en beheren van de verschillende clients;
- Beleid t.a.v. wachtwoorden ( in ieder geval het veranderen van de standaard wachtwoorden);
- Back-up, alle data met waarde verplaatsen buiten de interne omgeving, data zal voorzien moeten van encryptie ivm het verplaatsen van data over het openbare Internet;
...

Mooi streven! Zo doe je ook een flinke dosis praktijkkennis op!

Wat betreft de inhoud: een groot deel van de eisen kan je oplossen door een pfSense appliance te gebruiken. pfSense is gebouwd op FreeBSD, maakt gebruik van pf (firewall, oorspronkelijk ontwikkeld door OpenBSD) en is eenvoudig uit te bereiden met bijvoorbeeld Snort (IDS/IPS). Dit alles in een gebruiksvriendelijke web-interface. Ook zit er (Open)VPN server functionaliteit ingebouwd.

Zelf heb ik ook een soortgelijke opstelling, alleen iets minder geavanceerd. Na mijn modem zit er gelijk een pfSense appliance (draait op Soekris) die de rol van firewall, IDS en IPS op zich neemt. Daarachter nog een OpenBSD based router, Wifi hotspot en OpenVPN server.

Backups vinden in de eerste instantie plaats op een Qnap NAS, op gezette tijden synchroniseert 'ie de data naar AWS, vooraf encrypted met AES. Als er bij ons een brandje uitbreekt, of er een andere ramp gebeurd is de data in ieder geval veilig, mocht ik zelf nog in leven zijn.

Wat betreft het filter, OpenDNS biedt die functionaliteit ook, met daarbij een supersnelle DNS met anti-phishing en anti-malware. Je kunt eenvoudig categorieën selecteren om te blokkeren, of juist andersom (whitelist functionaliteit). Ook kun je -uiteraard- zelf websites toevoegen om te blokkeren of whitelisten. OpenDNS kan domeinqueries ook voor je loggen en in een mooie grafiek gooien.

Om pakketten inhoudelijk te loggen zou je eens naar Squid kunnen kijken, of een Linux-based gateway gebruiken zoals Untangle of ClearOS.

Ik hoop dat je hier wat aan hebt :-)

Door Anoniem: Kijk ook eens naar routers van Sitecom met Cloud Security: http://www.sitecom.com/nl/advice-scs/325
Die bieden 4 virusscanners (Bitdefender, Emsisoft, HitmanPro em Ikarus; volgend jaar Kaspersky), bevat een zeer uitgebreid URL filter met data van 40 antivirus labs, universele exploit prevention tegen exploit kits, zeer handig advertentiefilter en kan do-not-track privacy forceren. Je hebt er geen onderhoud aan, just connect-and-forget - dus ook ideaal voor leken.

Weet wel dat Cloud Security ALLEEN http verkeer scant en dat het de latency enorm verhoogt. CS kan (nog) geen HTTPS verkeer scannen, of verkeer op een andere poort dan 80.
27-11-2013, 13:38 door Anoniem
Als ik jou was, dan zou ik als eerste en voornaamste requirement de WAF invullen - de Wife Acceptance Factor. Als je vrouw of kinderen het onwerkbaar vinden, dan kan jij er wel heel blij mee zijn, en het heel erg veilig vinden - zij zullen alleen klagen. Bij elke site en elke update die niet werkt komen ze bij jou uit. Sterker nog, ze zullen actief proberen om je beveiligingen heen te werken. En daar sta je dan met je multi-layered security approach...

Ik zou zeggen maak 't jezelf (en anderen) niet te moeilijk, configureer op veilige wijze wat je hebt maar ga niet te ver. Leer de gebruikers (!!) wat veilig is in plaats van alles proberen af te vangen in hardware of instellingen. En voor educatie denk ik dat je privé netwerk toch te weinig lijkt op de werkgever praktijk om echt van belang te zijn...
27-11-2013, 17:15 door SurfRight
Door Roensel: Weet wel dat Cloud Security ALLEEN http verkeer scant en dat het de latency enorm verhoogt. CS kan (nog) geen HTTPS verkeer scannen, of verkeer op een andere poort dan 80.
Dat is incorrect. De latency verandert niet - DNS en classificatierequest wordt gelijktijdig verstuurd. En als er al sprake is van een verhoogde latency is dat ook alleen op http.
27-11-2013, 18:23 door Anoniem
Door Anoniem 13:38 Als ik jou was, dan zou ik als eerste en voornaamste requirement de WAF invullen - de Wife Acceptance Factor. Als je vrouw of kinderen het onwerkbaar vinden, dan kan jij er wel heel blij mee zijn, en het heel erg veilig vinden - zij zullen alleen klagen. Bij elke site en elke update die niet werkt komen ze bij jou uit. Sterker nog, ze zullen actief proberen om je beveiligingen heen te werken. En daar sta je dan met je multi-layered security approach...

Ik zou zeggen maak 't jezelf (en anderen) niet te moeilijk, configureer op veilige wijze wat je hebt maar ga niet te ver. Leer de gebruikers (!!) wat veilig is in plaats van alles proberen af te vangen in hardware of instellingen. En voor educatie denk ik dat je privé netwerk toch te weinig lijkt op de werkgever praktijk om echt van belang te zijn...

Ik wil even benadrukken dat er aannamens worden gedaan, die in de praktijk helemaal niet van toepassing zijn.
Ik wil niet teveel in detail gaan, maar wie zegt dat ik te maken heb met meerdere personen die gebruik gaan maken van dit multi-layered security network.

Meningen staan vrij, maar ik zou het zeer waarderen wanneer er ideeën, vragen en/of meningen gegeven worden op basis van deze configuratie. Zoals bijvoorbeeld door:
- kangoo909
- 15:41 door Anoniem
- 23:07 door Anoniem
- Roensel

Reacties dat deze configuratie overdreven is of moeilijk te beheren is, zijn geen antwoorden die relevant zijn op mijn vraagstelling.

Iedereen vriendelijk bedankt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.