Vreemde hardware
Een onderschatte dreiging voor de integriteit en beschikbaarheid van ICT omgevingen wordt gevormd door ongeautoriseerde (of onbekende) apparatuur. Hier kun je je van alles bij voorstellen. Van privé van huis meegenomen servers (dan kan ik zelf even wat uitproberen), hubs, switches en routers (dat is toch veel praktischer dan alle wall outlets te patchen en het werkt ook nog eens sneller dan wachten op die IT’ers), WiFi hotspots direct op het netwerk, laptops met allerlei “vreemde” besturingssystemen, privé pc’s zonder enige vorm van endpoint security met alle gevolgen van dien, pc’s met allerhande services actief die hun best doen het netwerk over te nemen (DHCP servers, DNS servers, etc.) en pc’s met gereedschappen om daadwerkelijk toegang tot de dataservers te forceren.
Je kunt als informatiebeveiliger beleid formuleren tot je een ons weegt en communiceren tot je erbij neervalt, maar hier helpen alleen technische maatregelen. Het werkt trouwens wel goed als je daar een beleid voor hebt dat helder is gecommuniceerd. Doelgroep van de communicatie wordt gevormd door de usual suspects: externe medewerkers (consultants), ontwikkelaars en technische ondersteuning (bv. printer onderhoudsmonteurs).
Voor de technische kun je denken aan NAC. Network Access Control komt in veel smaken, ik ga in het op het security model, zonder mij druk te maken over merken. Bij NAC wordt een pc aangemeld bij de Active Directory (AD) (of repository die deze beheerdienst uitvoerd). Hierna wordt eenmalig een certificaat aangemaakt op basis van de geregistreerde pc naam en het MAC adres. Bij de volgende maal aanmelden checkt het controlestation de geldigheid van het certificaat. Afhankelijk van het resultaat worden toegangsrechten uitgedeeld of de netwerktoegang geblokkeerd. Bij detectie van een pc zonder certificaat gaat er uit compliance overwegingen een melding naar de afdeling security. Zo blijf je op de hoogte van de beveiligingsopbrengst van je maatregel en kun je eventuele trends vroegtijdig detecteren.
Voordeel van preregistratie is dat iedere machine bekend is bij beheer en is opgenomen in de Configuration Management Database (CMDB). Gebruikers (of vreemden) die geen beheerrechten hebben op de AD kunnen geen pc’s registreren. Zo verklein je de kans op ongeautoriseerde apparatuur in je netwerk.
Op dit thema zijn variaties mogelijk. Want je wilt misschien wel de externe medewerkers toegang tot Internet bieden. Een niet-geregistreerde computer (zonder certificaat) krijgt dan geen rechten op het datacenter, maar kan automatisch gerouteerd worden naar de internetzone. Verder kun je een pc die zich aanmeld bij de autorisatieserver op de aanwezigheid en status van de endpoint security software. Mocht de pc niet voldoen aan je eisen, stuur hem dan naar een sandboxomgeving en installeer (push) de updates. Daarna kan de pc zich opnieuw aanmelden en zal hij, na geslaagde authenticatie en autorisatie, toegang krijgen tot de gewenste netwerkbronnen.
Zoals je ziet kun je op relatief eenvoudige wijze snel een grote beveiligingswinst boeken en een aantal risico’s voor je omgeving verkleinen of neutraliseren. Je moet het alleen even doen.
Informatiebeveiliging 
Plaats een reactie