VS verplicht instanties om interface routers, firewalls en vpn's offline te halen
Federale Amerikaanse overheidsinstanties zijn opgedragen om alle beheerinterfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen. Het bevel is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat stelt dat aanvallers steeds vaker via verkeerd geconfigureerde netwerkapparaten organisaties weten te compromitteren.
De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken. Ook komt het voor dat de apparaten verkeerd zijn geconfigureerd of op andere wijze slecht zijn beveiligd. "Het risico wordt verder vergroot als beheerinterfaces direct vanaf het publieke internet benaderbaar zijn. De meeste beheerinterfaces zijn ontwikkeld om vanaf aparte fysieke interfaces of managementnetwerken te worden benaderd en zouden niet vanaf het publieke internet benaderbaar moeten zijn", aldus het CISA.
Het CISA heeft de mogelijkheid om federale overheidsinstanties via een "Binding Operational Directive" tot het uitvoeren van bepaalde acties te verplichten. De nieuwste Binding Operational Directive, met het nummer "23-02", heeft als doel om de risico's van "internet exposed management interfaces" weg te nemen. Het gaat dan om beheerinterfaces voor routers, switches, firewalls, vpn-servers, proxies, load balancers en out of band server management interfaces, zoals iLo en iDRAC.
Als voorbeeld noemt het CISA interfaces die via http, https, ftp, snmp, telnet, tftp, rdp, rlogin, rsh, ssh, smb en vnc toegankelijk zijn. In het geval het CISA of ander agentschap een overheidsinstantie over dergelijke interfaces inlicht, krijgen die veertien dagen de tijd om de interface offline te halen, zodat die alleen via een intern enterprise netwerk toegankelijk is, waarbij het CISA aanraadt een apart beheernetwerk te gebruiken.
De Amerikaanse overheidsinstantie geeft aan dat het bij federale overheidsinstanties op toegankelijke interfaces gaat scannen. Verder moeten instanties zelf al hun bestaande en nieuwe interfaces alleen vanaf het interne netwerk toegankelijk maken en de interface beveiligen als onderdeel van een Zero Trust Architecture.
ander device wat net weer vulnerable gebleken is bij openstaande management interface er actief zijn...
Zie: het is gelukt. Zelf nadenken doen we niet meer.
Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
nou het zijn anders wel heel vaak de windows RDP die powned worden....
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
Nee Karma4, je zit er weer falikant naast. Er is niemand die zegt dat een beheerinterface aan het internet een goede keuze is, de enige die beweert dat voorstanders van opensource dat zouden willen/beweren ben jij.
Veel plezier op scannen met IntelliTamper etc.
Het is net als met het bestrijden van de narcostaat.
Dat gebeurt ook niet, omdat de bovenwereld er een zeer goed leven door heeft,
zelfs als ze hun hele leven geen gram hebben aangeraakt.
Ze krijgen een jaarsalaris maar dan per maand - het mag wat kosten.
Net zo kansloos als alles digitaal monitoren en totale surveillance van alle burgers.
Helpt ook (cyber)crime de wereld niet uit.
Chaos creëren is veel profijtelijker.
Dus zit op je handen en laat de verloedering en afstomping toenemen.
Waarom komt de hele maatschappij niet tot bovenstaande conclusie?
#webproxy
Ik beweer dat open source fanatici blind zijn voor gedegen security by design. Gezien de reacties wordt dat prima onderbouwd.
De hele lijst met tools welke je voor beheer niet open met zetten op publiek internet betreft open source tools. Natuurlijk ook andere siftware aanduidingen. De supply chain is voor het afschuiven van verantwoordelijkheden kwetsbaar.
Een apart intern beheernetwerk betreft netwerk segmentatie. Zie artikel. Je zou verwachten dat zoiets normaal is. Waarom.niet?
Ik beweer dat open source fanatici blind zijn voor gedegen security by design. Gezien de reacties wordt dat prima onderbouwd.
De hele lijst met tools welke je voor beheer niet open met zetten op publiek internet betreft open source tools. Natuurlijk ook andere siftware aanduidingen. De supply chain is voor het afschuiven van verantwoordelijkheden kwetsbaar.
Een apart intern beheernetwerk betreft netwerk segmentatie. Zie artikel. Je zou verwachten dat zoiets normaal is. Waarom.niet?
Fanatici zijn sowieso blind binnen waar ze fanatiek in zijn. Is een open deur.
Net zo'n open deur: netwerksegmentatie en het beheersegment ver van internet houden.
Dat mensen dat niet doen heeft niets te maken met open- of closed-source, maar met onwetendheid of verkeerde risico-voordeel-afweging.
Dat de lijst met tools veel open-source bevat is niet zo gek. Een fabrikant van apparatuur heeft geen enkel belang bij een spiffy beheerapplicatie die ook het beheer van een apparaat van de concurrent prima uitvoert.
Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...
Lijkt me toch we handig dat routers,switches en firewalls aan het internet hangen
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
Nee, dat heeft niets met OS/CS te maken maar met clue loze engineers.
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
nou het zijn anders wel heel vaak de windows RDP die powned worden....
Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)
#nuttelozeinfo
Je moet ook geen Fortinet aan het internet hangen, dat is vragen om problemen.
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
nou het zijn anders wel heel vaak de windows RDP die powned worden....
Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)
#nuttelozeinfo
nope :
https://www.zdnet.com/article/fbi-and-cisa-warn-this-ransomware-is-using-rdp-flaws-to-break-into-networks/
https://www.malwarebytes.com/blog/news/2021/02/rdp-the-ransomware-problem-that-wont-go-away
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/
Nu is er nogal wat Kung Fu nodig om hieruit te geraken.
Wat is het geluid van 1 klappende hand?
#webproxy
Nou dat zou hier ook geen slecht idee zijn als je ziet wat er allemaal aan het internet hangt...
Lijkt me toch we handig dat routers,switches en firewalls aan het internet hangen
Begrijp je nou echt niet wat er bedoeld wordt?
Waar dit artikel over gaat is dat als je routers, switches en firewalls hebt die een poort op internet hebben, je NIET moet
enablen dat de management/configuratie user interface ook via die poort toegankelijk is.
Dus alleen "van binnenuit", niet "vanaf internet".
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
nou het zijn anders wel heel vaak de windows RDP die powned worden....
Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)
#nuttelozeinfo
Je hebt natuurlijk een prima onderbouwing voor je bewering?
Niet veel anders dan open source fanatici die beweren dat omdat het open source is, beheerinterfaces via publiek internet geen probleem zou zijn.
Gebrek aan netwerksegmentatie is een terugkerend fenomeen.
nou het zijn anders wel heel vaak de windows RDP die powned worden....
Dat valt op zich ook wel mee, Apache servers worden vaker te grazen genomen dan RDP ;-)
#nuttelozeinfo
nope :
https://www.zdnet.com/article/fbi-and-cisa-warn-this-ransomware-is-using-rdp-flaws-to-break-into-networks/
https://www.malwarebytes.com/blog/news/2021/02/rdp-the-ransomware-problem-that-wont-go-away
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/
Wat wil je hiermee zeggen? Dit zijn allemaal artikelen over ransomware. Niemand zegt dat Apache gebruikt wordt om ransomware te verspreiden.
het is wel jammer dat dit soort fanatici een slechte indruk achterlaten.
Peter
VPN
Bij voorkeur heb je zelfs een aparte VPN omgeving voor beheer. Zodat je je gebruikers kunt helpen.
Als de beheer-VPN uitvalt, kunnen je gebruikers gewoon doorwerken in de tijd dat het jou kost om naar de site te gaan om je eigen VPN weer op te brengen. Duurt dat te lang (of kost dat te veel) dan zul je andere maatregelen moeten nemen.
Een beheer-beheer-VPN?
Peter
copy running-config startup-config
reload
als je die vraag moet stellen gewoon niet
als je die vraag moet stellen gewoon niet
Remote beheer moet alleen niet via de WAN kant van de router/firewall/UTM en deze zal altijd permanent afgesloten moeten zijn.
Zorg dat je op een veilige manier kunt inloggen op een achterliggend systeem wat daar speciaal voor is ingericht, en dan;
Via een VPN verbinding met MFA en als mogelijk remote beheer beperken door bijv. bij 5 foute inlogpogingen het account te blokken en beheer alleen mogelijk maken vanaf één remote IP-adres en gebruikmaken van een landentabel. Als beheer alleen vanuit Nederland is dan alle andere landen blokken. Aanvullend alles permanent loggen.
Hoe eerder ook Nederland een vergelijkbare verordening afkondigd, des te beter.
Die mentaliteit is exact waarom het zo vaak fout gaat! all bij ug bedrijven gezien.
Ja maar het gaat al x jaar goed zonder ook maar iets van beveiliging. als het een keer x kost hebben we al die jaren niets doen er uit.
Daarnaast denk ik dat de US een mooi voorbeeld is voor regels met betrekking tot security.
Gezien veel It-ers het wel goed willen doen maar het management / directie het te veel geld vindt kosten.
Wordt er tegen beter weten in, Niets gedaan.
Enige manier om het op orde te krijgen is het afdwingen hier van.
Laat me je één ding verzekeren, zo'n bedrijf is gezien de praktijk ervaringen binnen 2 jaar failliet als deze gehackt wordt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.