Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.

Netwerk ConsolidatieHet Internet: uw nieuwe, veilige Local Area Network

© Giritech a/s Network Consolidation 2

Het strategische landschap• Agrarische tijdperk

Land, en het vermogen om hier te zaaien en te oogsten

• Industriële tijdperkKapitaal, en het vermogen om hiermee machines producten efficiënt in massa te laten fabriceren

• KennistijdperkKennis, en het vermogen om hiermee nieuwe diensten en producten te ontwikkelen


Organisaties

• Netwerk van mensen• Medewerkers, toeleveranciers,

afnemers, partnerorganisaties en andere betrokkenen

• Die bekend en vertrouwd zijn, of minder bekend

• Waar informatie mee wordt gedeeld en uitgewisseld

• Met daarbij constant wisselende rollen en vertrouwensrelaties

• Mobiliteit is gewenst• 24 uur per dag


De ICT-Infrastructuur

60’s: Mainframe

70’s: Local Area Network

80’s: Personal Computer

1983: Netwerk OS 1988: InternetwormFirewall

1993: World Wide Web

Het huidige denken is sterkgericht op statische structuren.

Gebruikers bevinden zich echter overal en willen bovendien mobiel zijn.

Deze twee gegevens sluiten elkaar uit.


Toegang tot de ICT-Infrastructuur

De gangbare manier om naar toegang te kijken:

• Identificatie

• Authenticatie

• Autorisatie


Toegang tot de ICT-Infrastructuur

Een andere manier om naar toegang te kijken:

• Vaststellen wie

• Vaststellen vanaf welk systeem

• Versleutelen van de gegevens

• Toegang tot het netwerk

• Toegang tot de bronnen binnen het netwerk


De huidige situatie: SSL

DirectoryserverApplicatieservers

User

LANLAN

Interne gebruikers

User

User

Internet

User

User

User

Externe gebruikers

Web Certificaat

Internet


De huidige situatie: VPN


User

LANLAN

Interne gebruikers

User

User

Internet

User

User

User

Externe gebruikers

VPN

Token

IDP

Certificate

Internet

?

?

?


De huidige situatie: Citrix

DirectoryserverApplicatieserversCitrix serverfarm

User

LANLAN

Interne gebruikers

User

User

Internet

User

User

User

Externe gebruikers

Token

Secure Gateway

Certificaten

Internet

NFuse

Ticketing


Een hoop technologie!

We zetten steeds andere technologieën in:

• Per protocol: HTTP anders dan FTP anders dan ICA anders van VoIP anders dan…

• Per verbinding: ADSL anders dan WIFI anders dan GPRS / UMTS / HSDPA anders dan…

• Per gebruikersgroep: Medewerkers anders dan klanten anders dan consultants anders dan…


Functie versus veiligheid

In deze complexiteit schuilt de onveiligheid.

• Vaak maken organisaties niet volledig gebruik van de ICT-mogelijkheden omdat de veiligheid wordt ondermijnd.

• De oplossingen die worden gerealiseerd zijn een compromis tussen functionaliteit en veiligheid.

Maar stel nu: het is allemaal goed, dan…


Het IT-fort wordt bedreigd


User

LANLAN

Interne gebruikers

User

User

Internet

User

User

User

Externe gebruikers

VPN

Token

IDP

Certificate

User

Internet


En was dit maar alles…

Informatieveiligheid heeft meer componenten. Naast:• Verhulling (encryptie)• Identificatie, authenticatie en autorisatie

Ook:• Authenticiteit• Integriteit• Onloochenbaarheid (non-repudiation)

En ook dáár zijn weer aparte technologieën voor nodig


Er moet iets veranderen

Twee voorbeelden:• Microsoft: Network Access Protection (NAP)• Cisco: Network Admittance Control (NAC)

Beide oplossingen:• Vergen controle over de software op het eindpunt, maar

bieden hiervoor geen oplossing• Vergen dat het LAN wordt aangepast

We zijn bezig om het netwerk “slim” te maken.


Slim versus dom

Slimme netwerken worden ingehaald door slimme applicaties

Op een dom netwerk is de data de baas:• De data vertelt het netwerk waar het heen gaat• De data verlangt services van het domme netwerk

Dus:• Slimme, door gebruikers gecontroleerde eindpunten met

dom transport ertussen• Transport dat wordt gestuurd door de behoeften van de

data en niet door de vooronderstellingen waarop het netwerk is gebouwd


Slim versus dom

Slimme netwerken zullen nooit:

• De flexibiliteit bieden die organisaties vragen

• De mobiliteit ondersteunen die gebruikers vragen


Conclusie

Misschien beveiligen we op de verkeerde plek.

We kunnen zien dat:• De meeste bedreigingen de perimiter security voorbijgaan• IDP nauwlijks waarde creeert aan de perimeter• Het eenvoudiger is om te beschermen bij de bron• De hardened perimeter strategie haaks staat op de huidige

en zeker de toekomstige behoeften van organisaties• De hardened perimeter strategie zelfs onhoudbaar zal zijn


Een plechtig moment…

Het probleem is niet het beveiligen van het LAN…Maar het LAN zelf


Wat zeggen de experts?

ICI: Perimeter verwijderen

• Phase 1Verplaats non-corporate items buiten de perimeter

• Phase 2Verwijder hardened perimeter, alle devices encrypted

• Phase 3Verwijder de gehele grens en schakel van system-level authentication naar data level validation

• Phase 4Ga naar data-level authenticatie



Sun: Encryptie

• Host-based encryptieEncryptie per host geregeld: zeer veilig maar duur, veel overhead en geen compressie meer mogelijk

• In-band Applicance-based encryptie: minder veilig, duur maar vooral niet goed schaalbaar

• Device-based encryptie: Data niet beveiligd tot het op het storage device aankomt, oude devices werken niet



Microsoft: Trusted Stack

Veiligheid zetelt in de hardware, vertrouwd OS, vertrouwde applicaties, vertrouwde gebruikers en vertrouwde data

Vijf mechanismen:1. Identiteitscontrole2. Authenticatie3. Autorisatie policies4. Access control mechanismen5. Audit trail


Een nieuw model

Wat gebeurt er als security dichtbij applicaties en data ligt?

1. Een netwerk – Internet2. Autorisatie en encryptie per user, device en proces3. Ingebouwde audit trail4. In beginsel gesloten, tenzij geautoriseerd5. Management software eindpunten noodzakelijk6. Eindpunt niet verbonden met LAN – er is geen LAN meer

De kostenvoordelen zijn enorm en de veiligheid neemt toe.


Een nieuw model

ApplicatieserversUser

LANLAN User

User

Internet

User

User

User

VPN

Token

IDP

Certificate

Connectivity Server

Internet


Een nieuw model

Connectie• De client wordt gestart van EDC en connect automatisch

naar de server uit de ge-encrypte Identity file• De server genereert een 163 bit ECC keypair, signeert de

publieke sleutel en stuurt deze samen naar de client• De client valideert de signature met de publieke sleutel

tegen het certificaat in de Identity file• De client genereert nu ook een 163 bit ECC keypair en een

CIF en stuurt deze naar de server• De server valideert het pakket en de EDC tegen de ruleset• Als alles goed gaat wordt het sterkste cipher gekozen,

normaal gesproken AES 256 bit Rijndael


Een nieuw model

Connectie• Al het verkeer tussen client en server verloopt nu over

protocol EMCADS (IANA: 3945)• De toegepaste encryptiemodule is FIPS gecertificeerd• EMCADS kan zowel commando’s voor client en server als

ook payload bevatten• TCP/IP wordt gebruikt voor onderliggende transport, maar

EMCADS is niet afhankelijk van enige informatie in headers van TCP/IP. De communicatie is dus transparant voor NAT of aanvullende tunneling of encryptie


Een nieuw model

Authenticatie• De client vraagt usernaam en wachtwoord• De G/On Server heeft een geintegreerd

authenticatieschema, maar kan ook worden geintegreerd met Active Directory, Novell eDirectory of een andere directory via LDAP

• Eventueel kunnen aanvullende authenticatiedevices worden ingezet, zoals on time passwords of challenge/response systemen

Er is GEEN verbinding tussen client en servers.


Een nieuw model

Autorisatie• De server stuurt een menu dat afhankelijk is van gebruiker,

groepslidmaatschappen, device, locatie, tijd etcHierin staan de gepubliceerde netwerkbronnen

• Applicaties die worden gestart praten zonder uitzondering tegen de local loopback interface (127.0.0.2)

• De G/On client kan het proces locken via Lock-to-process, geen enkel ander proces kan tegen de local loopback interface aanpraten

• De G/On client haalt alle ontvangen data door de encryptie engine en stuurt het pakket-voor-pakket naar de server


Een nieuw model

Disconnectie• Als de EDC wordt verwijderd of Exit wordt gekozen, worden

alle connecties verbroken en de betrokken applicaties beeindigd

• Indien gewenst kan het memory of de harddisk worden geschoond, zodat geen data achterblijft op het eindpunt


Een nieuw model

Werken met applicaties• Er kunnen gelijktijdig een onbeperkt aantal applicaties

worden gestart naar een onbeperkt aantal verschillende G/On Servers

• Er is geen installatie op het host device nodig• Er worden geen aanpassingen gedaan in de routetabellen• Er is geen enkele beperking van kracht op het host device• Er zijn geen administrative privileges benodigd• Er staan geen poorten open naar servers• Een aanval op de local loopback interface is zinloos


Een nieuw model

Werken met applicaties• De security en de encryptie zit nu dicht op de applicaties,

zowel aan de clientzijde als de serverzijde• Het management van de EDC’s kan vanuit de server

worden uitgevoerd

• Er is geen nieuwe technoligie ingezet: alles is industry standard en proven technology

• Alleen de toepassing van de technologie is gewijzigd


Een nieuw model

DEMO


Een nieuw model

ApplicatieserversUser

LANLAN User

User

Internet

User

User

User

User User

User

Connectivity Server

Internet

Application Network (AN)


Het resultaat

• Vaststellen wie: met tweede factor en mutueel

• Vaststellen vanaf welk systeem: niet meer relevant

• Versleuteling van alle gegevens

• Toegang tot het netwerk: vindt niet plaats

• Toegang tot bronnen binnen het netwerk: end-to-end

Alles in één simpele oplossing.


Het resultaat

De voordelen:• Real-time management en update van menu’s• Omdat de G/On client en server in de datastroom zitten is

eenvoudig Single Sign On (SSO) mogelijk• G/On kan worden ingesteld om een fallback te doen naar

andere TCP/IP poorten• Als dat niet werkt, kan een fallback worden gedaan naar

TCPoverHTTP• En als het dan nog niet werkt kan zelfs een proxyserver

worden ingesteld• De server is enorm schaalbaar


Het resultaat

De voordelen:• Omdat de client gemanaged kan worden, kunnen

applicaties worden aangeboden• Anti-keylogging en virusscanner• Encryptie van data op de datapartitie van het eindpunt• Overnemen van het beeldscherm van het eindpunt• Aanbieden van ThinApp-ed applicaties

• Het EMCADS-protocol is gesloten, strikt genomen is een firewall niet noodzakelijk


Het resultaat

Voorbeelden van bijzondere toepassingsmogelijkheden:• Terminal services direct naar werkplekken• Webapplicaties ontsluiten naar ‘eigen’ browser• Citrix PN op de key incl. autologon• SAP client op de key• Zeer specifieke toegang tot bronnen mogelijk• Connecties vanuit klantinfrastructuur zijn nu mogelijk


Het resultaat

De voordelen:• Kostenbesparingen ten opzichte van meerdere bestaande

technologieen• Eenvoud van gebruik• Eenvoud van beheer• Bereiken en behouden van compliancy


De toekomst

G/On 5 komt eraan:• Multiplatform• Meer EDC’s, zoals smartcards en biometrie• Nog meer ondersteuning schaalbaarheid, beschikbaarheid• Open platform: integratie via SDK, API en PlugIns• Managementtools voor IT Admin, Security Officer en HRM• In-band Single Sign On vanaf de server• Datacompressie voor encryptie• Support voor ipv6• Support voor CoS


De toekomst

Licentiering• G/On Business Server• G/On Enterprise Server• Licenties per device

Meer informatie op aanvraag.


EINDE

Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.

Documents

Transcript of Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.