Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.
-
Upload
lodewijk-sasbrink -
Category
Documents
-
view
215 -
download
0
Transcript of Netwerk Consolidatie Het Internet: uw nieuwe, veilige Local Area Network.
Netwerk ConsolidatieHet Internet: uw nieuwe, veilige Local Area Network
© Giritech a/s Network Consolidation 2
Het strategische landschap• Agrarische tijdperk
Land, en het vermogen om hier te zaaien en te oogsten
• Industriële tijdperkKapitaal, en het vermogen om hiermee machines producten efficiënt in massa te laten fabriceren
• KennistijdperkKennis, en het vermogen om hiermee nieuwe diensten en producten te ontwikkelen
© Giritech a/s Network Consolidation 3
Organisaties
• Netwerk van mensen• Medewerkers, toeleveranciers,
afnemers, partnerorganisaties en andere betrokkenen
• Die bekend en vertrouwd zijn, of minder bekend
• Waar informatie mee wordt gedeeld en uitgewisseld
• Met daarbij constant wisselende rollen en vertrouwensrelaties
• Mobiliteit is gewenst• 24 uur per dag
© Giritech a/s Network Consolidation 4
De ICT-Infrastructuur
60’s: Mainframe
70’s: Local Area Network
80’s: Personal Computer
1983: Netwerk OS 1988: InternetwormFirewall
1993: World Wide Web
Het huidige denken is sterkgericht op statische structuren.
Gebruikers bevinden zich echter overal en willen bovendien mobiel zijn.
Deze twee gegevens sluiten elkaar uit.
© Giritech a/s Network Consolidation 5
Toegang tot de ICT-Infrastructuur
De gangbare manier om naar toegang te kijken:
• Identificatie
• Authenticatie
• Autorisatie
© Giritech a/s Network Consolidation 6
Toegang tot de ICT-Infrastructuur
Een andere manier om naar toegang te kijken:
• Vaststellen wie
• Vaststellen vanaf welk systeem
• Versleutelen van de gegevens
• Toegang tot het netwerk
• Toegang tot de bronnen binnen het netwerk
© Giritech a/s Network Consolidation 7
De huidige situatie: SSL
DirectoryserverApplicatieservers
User
LANLAN
Interne gebruikers
User
User
Internet
User
User
User
Externe gebruikers
Web Certificaat
Internet
© Giritech a/s Network Consolidation 8
De huidige situatie: VPN
DirectoryserverApplicatieservers
User
LANLAN
Interne gebruikers
User
User
Internet
User
User
User
Externe gebruikers
VPN
Token
IDP
Certificate
Internet
?
?
?
© Giritech a/s Network Consolidation 9
De huidige situatie: Citrix
DirectoryserverApplicatieserversCitrix serverfarm
User
LANLAN
Interne gebruikers
User
User
Internet
User
User
User
Externe gebruikers
Token
Secure Gateway
Certificaten
Internet
NFuse
Ticketing
© Giritech a/s Network Consolidation 10
Een hoop technologie!
We zetten steeds andere technologieën in:
• Per protocol: HTTP anders dan FTP anders dan ICA anders van VoIP anders dan…
• Per verbinding: ADSL anders dan WIFI anders dan GPRS / UMTS / HSDPA anders dan…
• Per gebruikersgroep: Medewerkers anders dan klanten anders dan consultants anders dan…
© Giritech a/s Network Consolidation 11
Functie versus veiligheid
In deze complexiteit schuilt de onveiligheid.
• Vaak maken organisaties niet volledig gebruik van de ICT-mogelijkheden omdat de veiligheid wordt ondermijnd.
• De oplossingen die worden gerealiseerd zijn een compromis tussen functionaliteit en veiligheid.
Maar stel nu: het is allemaal goed, dan…
© Giritech a/s Network Consolidation 12
Het IT-fort wordt bedreigd
DirectoryserverApplicatieservers
User
LANLAN
Interne gebruikers
User
User
Internet
User
User
User
Externe gebruikers
VPN
Token
IDP
Certificate
User
Internet
© Giritech a/s Network Consolidation 13
En was dit maar alles…
Informatieveiligheid heeft meer componenten. Naast:• Verhulling (encryptie)• Identificatie, authenticatie en autorisatie
Ook:• Authenticiteit• Integriteit• Onloochenbaarheid (non-repudiation)
En ook dáár zijn weer aparte technologieën voor nodig
© Giritech a/s Network Consolidation 14
Er moet iets veranderen
Twee voorbeelden:• Microsoft: Network Access Protection (NAP)• Cisco: Network Admittance Control (NAC)
Beide oplossingen:• Vergen controle over de software op het eindpunt, maar
bieden hiervoor geen oplossing• Vergen dat het LAN wordt aangepast
We zijn bezig om het netwerk “slim” te maken.
© Giritech a/s Network Consolidation 15
Slim versus dom
Slimme netwerken worden ingehaald door slimme applicaties
Op een dom netwerk is de data de baas:• De data vertelt het netwerk waar het heen gaat• De data verlangt services van het domme netwerk
Dus:• Slimme, door gebruikers gecontroleerde eindpunten met
dom transport ertussen• Transport dat wordt gestuurd door de behoeften van de
data en niet door de vooronderstellingen waarop het netwerk is gebouwd
© Giritech a/s Network Consolidation 16
Slim versus dom
Slimme netwerken zullen nooit:
• De flexibiliteit bieden die organisaties vragen
• De mobiliteit ondersteunen die gebruikers vragen
© Giritech a/s Network Consolidation 17
Conclusie
Misschien beveiligen we op de verkeerde plek.
We kunnen zien dat:• De meeste bedreigingen de perimiter security voorbijgaan• IDP nauwlijks waarde creeert aan de perimeter• Het eenvoudiger is om te beschermen bij de bron• De hardened perimeter strategie haaks staat op de huidige
en zeker de toekomstige behoeften van organisaties• De hardened perimeter strategie zelfs onhoudbaar zal zijn
© Giritech a/s Network Consolidation 18
Een plechtig moment…
Het probleem is niet het beveiligen van het LAN…Maar het LAN zelf
© Giritech a/s Network Consolidation 19
Wat zeggen de experts?
ICI: Perimeter verwijderen
• Phase 1Verplaats non-corporate items buiten de perimeter
• Phase 2Verwijder hardened perimeter, alle devices encrypted
• Phase 3Verwijder de gehele grens en schakel van system-level authentication naar data level validation
• Phase 4Ga naar data-level authenticatie
© Giritech a/s Network Consolidation 20
Wat zeggen de experts?
Sun: Encryptie
• Host-based encryptieEncryptie per host geregeld: zeer veilig maar duur, veel overhead en geen compressie meer mogelijk
• In-band Applicance-based encryptie: minder veilig, duur maar vooral niet goed schaalbaar
• Device-based encryptie: Data niet beveiligd tot het op het storage device aankomt, oude devices werken niet
© Giritech a/s Network Consolidation 21
Wat zeggen de experts?
Microsoft: Trusted Stack
Veiligheid zetelt in de hardware, vertrouwd OS, vertrouwde applicaties, vertrouwde gebruikers en vertrouwde data
Vijf mechanismen:1. Identiteitscontrole2. Authenticatie3. Autorisatie policies4. Access control mechanismen5. Audit trail
© Giritech a/s Network Consolidation 22
Een nieuw model
Wat gebeurt er als security dichtbij applicaties en data ligt?
1. Een netwerk – Internet2. Autorisatie en encryptie per user, device en proces3. Ingebouwde audit trail4. In beginsel gesloten, tenzij geautoriseerd5. Management software eindpunten noodzakelijk6. Eindpunt niet verbonden met LAN – er is geen LAN meer
De kostenvoordelen zijn enorm en de veiligheid neemt toe.
© Giritech a/s Network Consolidation 23
Een nieuw model
ApplicatieserversUser
LANLAN User
User
Internet
User
User
User
VPN
Token
IDP
Certificate
Connectivity Server
Internet
© Giritech a/s Network Consolidation 24
Een nieuw model
Connectie• De client wordt gestart van EDC en connect automatisch
naar de server uit de ge-encrypte Identity file• De server genereert een 163 bit ECC keypair, signeert de
publieke sleutel en stuurt deze samen naar de client• De client valideert de signature met de publieke sleutel
tegen het certificaat in de Identity file• De client genereert nu ook een 163 bit ECC keypair en een
CIF en stuurt deze naar de server• De server valideert het pakket en de EDC tegen de ruleset• Als alles goed gaat wordt het sterkste cipher gekozen,
normaal gesproken AES 256 bit Rijndael
© Giritech a/s Network Consolidation 25
Een nieuw model
Connectie• Al het verkeer tussen client en server verloopt nu over
protocol EMCADS (IANA: 3945)• De toegepaste encryptiemodule is FIPS gecertificeerd• EMCADS kan zowel commando’s voor client en server als
ook payload bevatten• TCP/IP wordt gebruikt voor onderliggende transport, maar
EMCADS is niet afhankelijk van enige informatie in headers van TCP/IP. De communicatie is dus transparant voor NAT of aanvullende tunneling of encryptie
© Giritech a/s Network Consolidation 26
Een nieuw model
Authenticatie• De client vraagt usernaam en wachtwoord• De G/On Server heeft een geintegreerd
authenticatieschema, maar kan ook worden geintegreerd met Active Directory, Novell eDirectory of een andere directory via LDAP
• Eventueel kunnen aanvullende authenticatiedevices worden ingezet, zoals on time passwords of challenge/response systemen
Er is GEEN verbinding tussen client en servers.
© Giritech a/s Network Consolidation 27
Een nieuw model
Autorisatie• De server stuurt een menu dat afhankelijk is van gebruiker,
groepslidmaatschappen, device, locatie, tijd etcHierin staan de gepubliceerde netwerkbronnen
• Applicaties die worden gestart praten zonder uitzondering tegen de local loopback interface (127.0.0.2)
• De G/On client kan het proces locken via Lock-to-process, geen enkel ander proces kan tegen de local loopback interface aanpraten
• De G/On client haalt alle ontvangen data door de encryptie engine en stuurt het pakket-voor-pakket naar de server
© Giritech a/s Network Consolidation 28
Een nieuw model
Disconnectie• Als de EDC wordt verwijderd of Exit wordt gekozen, worden
alle connecties verbroken en de betrokken applicaties beeindigd
• Indien gewenst kan het memory of de harddisk worden geschoond, zodat geen data achterblijft op het eindpunt
© Giritech a/s Network Consolidation 29
Een nieuw model
Werken met applicaties• Er kunnen gelijktijdig een onbeperkt aantal applicaties
worden gestart naar een onbeperkt aantal verschillende G/On Servers
• Er is geen installatie op het host device nodig• Er worden geen aanpassingen gedaan in de routetabellen• Er is geen enkele beperking van kracht op het host device• Er zijn geen administrative privileges benodigd• Er staan geen poorten open naar servers• Een aanval op de local loopback interface is zinloos
© Giritech a/s Network Consolidation 30
Een nieuw model
Werken met applicaties• De security en de encryptie zit nu dicht op de applicaties,
zowel aan de clientzijde als de serverzijde• Het management van de EDC’s kan vanuit de server
worden uitgevoerd
• Er is geen nieuwe technoligie ingezet: alles is industry standard en proven technology
• Alleen de toepassing van de technologie is gewijzigd
© Giritech a/s Network Consolidation 31
Een nieuw model
DEMO
© Giritech a/s Network Consolidation 32
Een nieuw model
ApplicatieserversUser
LANLAN User
User
Internet
User
User
User
User User
User
Connectivity Server
Internet
Application Network (AN)
© Giritech a/s Network Consolidation 33
Het resultaat
• Vaststellen wie: met tweede factor en mutueel
• Vaststellen vanaf welk systeem: niet meer relevant
• Versleuteling van alle gegevens
• Toegang tot het netwerk: vindt niet plaats
• Toegang tot bronnen binnen het netwerk: end-to-end
Alles in één simpele oplossing.
© Giritech a/s Network Consolidation 34
Het resultaat
De voordelen:• Real-time management en update van menu’s• Omdat de G/On client en server in de datastroom zitten is
eenvoudig Single Sign On (SSO) mogelijk• G/On kan worden ingesteld om een fallback te doen naar
andere TCP/IP poorten• Als dat niet werkt, kan een fallback worden gedaan naar
TCPoverHTTP• En als het dan nog niet werkt kan zelfs een proxyserver
worden ingesteld• De server is enorm schaalbaar
© Giritech a/s Network Consolidation 35
Het resultaat
De voordelen:• Omdat de client gemanaged kan worden, kunnen
applicaties worden aangeboden• Anti-keylogging en virusscanner• Encryptie van data op de datapartitie van het eindpunt• Overnemen van het beeldscherm van het eindpunt• Aanbieden van ThinApp-ed applicaties
• Het EMCADS-protocol is gesloten, strikt genomen is een firewall niet noodzakelijk
© Giritech a/s Network Consolidation 36
Het resultaat
Voorbeelden van bijzondere toepassingsmogelijkheden:• Terminal services direct naar werkplekken• Webapplicaties ontsluiten naar ‘eigen’ browser• Citrix PN op de key incl. autologon• SAP client op de key• Zeer specifieke toegang tot bronnen mogelijk• Connecties vanuit klantinfrastructuur zijn nu mogelijk
© Giritech a/s Network Consolidation 37
Het resultaat
De voordelen:• Kostenbesparingen ten opzichte van meerdere bestaande
technologieen• Eenvoud van gebruik• Eenvoud van beheer• Bereiken en behouden van compliancy
© Giritech a/s Network Consolidation 38
De toekomst
G/On 5 komt eraan:• Multiplatform• Meer EDC’s, zoals smartcards en biometrie• Nog meer ondersteuning schaalbaarheid, beschikbaarheid• Open platform: integratie via SDK, API en PlugIns• Managementtools voor IT Admin, Security Officer en HRM• In-band Single Sign On vanaf de server• Datacompressie voor encryptie• Support voor ipv6• Support voor CoS
© Giritech a/s Network Consolidation 39
De toekomst
Licentiering• G/On Business Server• G/On Enterprise Server• Licenties per device
Meer informatie op aanvraag.
© Giritech a/s Network Consolidation 40
EINDE