IKBENSTIL BLOG | Opendoors
1789
post-template-default,single,single-post,postid-1789,single-format-standard,ajax_leftright,page_not_loaded,

BLOG

 
Ikbenstil IDS systeem

Opendoors

Niet alleen de NSA is vrolijk aan het hacken er bestaan natuurlijk ook nog normale met een laptop of workstation uitgeruste hackers die goed of kwaadaardig het internet of je omgeving af struinen. Vooropgesteld dat hacking op zich niet kwaadaardig van nature hoeft te zijn, immers zijn het vaak juist de hackers die ons erop attenderen dat er gaten in netwerken of servers zitten die misbruikt kunnen worden en verzoeken fabrikanten van software of hardware dit aan te passen.

Generiek voelt men zich achter een router met firewall en de gebruikelijke antivirus software veilig, zo ook wij. Tot dat wij een aantal maanden geleden door een grote klant gevraagd werden om naar de beveiliging van wifi- en vaste-netwerken te kijken. In beveiliging jargon heet dit pen-testing. Pen-testing (kort voor penetration test) wordt uitgevoerd door een Redteam en een Blueteam. Redteam heeft als taak het netwerk aan te vallen en Blueteam om het te verdedigen. Het klinkt als soldaatje spelen en precies dat is het ook. Redteam maakt gebruik van alle beschikbare middelen: portscanning, exploit-software, social engineering, man in the middle enzovoort.

Om een lang verhaal kort te maken: er is altijd ergens een gaatje dat misbruikt kan worden maar hoe moeilijk of eigenlijk hoe makkelijk is het om dat gaatje te vinden en te ge-(mis)bruiken? Het antwoord: Erg makkelijk. Het begint met de routers. In veel gevallen is de router het eigendom van de ISP (Internet Service Provider). Zowel bij Ziggo als bij UPC, om er maar twee te noemen is dat het geval, maar ook vaak bij zakelijke providers. Deze routers kunnen op afstand beheerd worden. Dit klinkt onschuldig alleen houdt dit in dat er in feite een port of deur openstaat voor de provider om, legaal, aanpassingen te kunnen doen. Een test op een van onze routers levert dan ook dit beeld op:

nmap-scan

 

Is dit gevaarlijk? Een open port is een open port en kan dan ook misbruikt worden. Port 8089 is dan ook een van die poorten die door ISP’s gebruikt worden voor onderhoud. Het is niet netjes maar er is niet veel aan te doen. Een veel betere opstelling is dan ook om een eigen router achter de ISP router te plaatsen. Deze is dan bij voorkeur uitgerust met een DD-WRT of Open-WRT firmware. Beiden zijn Open Source en hierdoor vele malen betrouwbaarder dan fabrikanten firmware.

Voor bedrijven of instellingen die aan compliance eisen moeten voldoen en deze volgen, raden wij aan een Security Server met pfSense te gebruiken. Pfsense is een zeer geavanceerd pakket dat zich zonder meer kan meten met de duur betaalde pakketten:

Firewall and routing:
Stateful firewall
Network Address Translation
Filtering by source/destination IP, protocol, OS/network fingerprinting
Flexible routing
Per-rule configurable logging and per-rule limiters (IPs, connections, states, new connections, state types), Layer 7 protocol inspection, policy filtering (or packet marking), TCP flag state filtering, scheduling, gateway
Packet scrubbing
Layer 2/bridging capable
State table “up to several hundred thousand” states (1KB RAM per state approx)
State table algorithms customizable including low latency and low-dropout

Functionality and connectivity:
Virtual Private Networks using IPsec, L2TP, OpenVPN, or PPTP
PPPoE server
High availability clustering; redundancy and failover including CARP and pfsync
Outbound and inbound load balancing
Quality of Service (QoS)
Dynamic DNS
Captive portal
uPnP
Multi-WAN
VLAN (802.1q)
DHCP server and relay
IPv6 support
Multiple public IPs/multi-NAT
RADIUS/LDAP
Multiple resolvers (DNS forwarder, Unbound, TinyDNS, other)
Aliases supported for rules, IPs, ports, computers, and other entities

Daarnaast kunnen er nog extra pakketten geïnstalleerd worden waardoor Pfsense in een IDS/IPS (intrusion detection en intrusion prevention) systeem verandert kan worden. Wij, Ikbenstil.nl, gebruiken een dual WAN opstelling met caching. Mocht een internetverbinding uitvallen over overbelast zijn dan neemt de andere internetverbinding het automatisch over, in de cache staan de meeste updates, software pakketten en veel gebruikte sites.

Binnenkort meer over dit onderwerp.

 

TAGS > , , ,