>>

08-juni-2017, min leestijd

Zo krijg je inzicht in de beveiliging van je kantoornetwerk (deel 1)

Systeembeheerders weten als geen ander hoe veranderlijk een kantoornetwerk is. Apparaten en applicaties komen en gaan. Daarnaast zijn er nog de operationele systemen die ooit zijn geïnstalleerd voor onder meer HR, sales en finance. Eenmaal werkend bestaat echter al gauw het risico dat een echte hardening van deze systemen niet meer wordt uitgevoerd en updates niet meer worden gedaan. Bovendien heb je ook geen tijd om terug te kijken. Hoe zorg je er als systeembeheerder dan toch voor dat je inzicht krijgt in de beveiliging van je kantoornetwerk? In een reeks blogs bespreek ik een aantal tips en (gratis) tooling waarmee systeembeheerders grotendeels zelf de veiligheid van het kantoornetwerk in kaart kunnen brengen èn in de gaten kunnen houden. In deze eerste blog geef ik aan hoe je de veiligheid van vaste resources binnen het kantoornetwerk in kaart brengt.

Stap 1: Inventariseer het kantoornetwerk

Misschien wel de belangrijkste vraag die iedere systeembeheerder zou moeten kunnen beantwoorden: wat draait er allemaal op het kantoornetwerk? Een eerste stap is hiervan een inventarisatie te maken. Zorg dat je altijd een actueel overzicht hebt van de aanwezige systemen, welke diensten hierop draaien en hoe deze zijn gepositioneerd in het netwerk. Dit kan in gedetailleerde netwerktekeningen, maar een simpel Excel-bestand is vaak al een goed startpunt.

In jouw inventarisatie staan waarschijnlijk een hoop verschillende componenten. Zo zijn er enkele servers, routers, werkstations, printers, appliances, laptops en mobiele apparaten. En natuurlijk een draadloos netwerk voor werknemers en gasten. Een hoop elementen om in de gaten te houden dus.

Tip: Noteer, naast de vaste resources in het netwerk, ook de IP-reeksen die uitgedeeld worden voor werkstations, laptops en andere mobiele apparaten.

Natuurlijk werkt dit systeem alleen wanneer je de lijst ook up-to-date houdt, en de ervaring leert dat dit naarmate het netwerk groeit, moeilijk is. Als je in de gelegenheid bent is het daarom beter een asset management tool in te zetten. Dit kan een eenvoudige open source web app zijn, zoals NIPAP of een onderdeel van een groter ERP of configuration management systeem.

Stap 2: Scan je kantoornetwerk op kwetsbaarheden en fouten

Er zijn veel appliances en tools die je kunnen helpen bij het toetsen van de veiligheid van het kantoornetwerk. Eén van de tools die veel wordt gebruikt om snel inzage te krijgen in aanwezige kwetsbaarheden en configuratiefouten op systemen is Nessus.

Nessus is een vulnerability scanner die gegeven een aantal IP-adressen de systemen scant op bekende kwetsbaarheden. Er is een gratis ‘Home-versie’ beschikbaar die geïnstalleerd kan worden op een willekeurig besturingssysteem. Ik raad je aan om de applicatie op een vers systeem te installeren en deze binnen het bedrijfsnetwerk te hangen.

  • Download en installeer de software en vraag een activatiecode aan.
  • Bezoek vervolgens de Nessus web interface op https://<IP-adres>:8834/, activeer de instance, kies een sterk wachtwoord (!!) en download de plugins.
  • Log tenslotte in op de Nessus web interface met de door jou ingestelde accountgegevens.

Nessus biedt diverse configuratie-opties waarmee kan worden bepaald op welke kwetsbaarheden wordt gescand. Deze zijn ondergebracht in zogenaamde Policies en Templates. Voor nu gebruiken we enkel de standaard meegeleverde ‘Basic Network Scan’ template, deze voldoet aan alle basiseisen.

We gaan Nessus zo instellen dat er iedere week een scan wordt gedaan van het interne netwerk. Op deze manier kunnen we mooi in de gaten houden welke systemen veranderd zijn en of verbeteringen zijn doorgevoerd.

  • Klik linksboven op ‘New Scan’.
  • Kies als template de ‘Basic Network Scan’.
  • Geef je scan een naam (bijv. “Bedrijfsnetwerkscan”) en vul bij ‘Targets’ de IP-reeks in van het interne netwerk. Het is hierbij verstandig om de IP-reeks ruim te nemen (bijvoorbeeld 192.168.0.1/24 in plaats van het opgeven van losse IP-adressen) zodat eventuele onverwachte systemen op het netwerk ook worden meegenomen in de scans.
  • Kies in het linkermenu voor ‘Schedule’ en vink ‘Enable Schedule’ aan.
  • Zet de optie ‘Launch’ op ‘Weekly’ en kies ‘Save’.
  • Terug in het scanoverzicht is de aangemaakte test toegevoegd. Kies in de rij van de aangemaakte test voor de play-knop om de eerste scan direct te starten.

Stap 3: Evalueer je security scan

Het uitvoeren van de scan is afgerond. Daarna volgt de belangrijke stap om de bevindingen te evalueren. Het is belangrijk om de resultaten goed te vergelijken met de inventarisatie die je eerder hebt opgesteld. Want je verwacht het misschien niet, maar de werkelijke situatie verschilt

altijd

van hoe jij het hebt bedacht. Misschien heeft de scanner onbedoeld toegankelijke diensten gevonden, of zelfs systemen die jij helemaal niet in de inventarisatielijst hebt staan. De evaluatie kan dan ook een aardige klus zijn waarbij je bovendien geconfronteerd zult worden met veel false positives. Om jezelf geen uren extra werk op de hals te halen is het ook een optie een expert te vragen eens met je mee te kijken.

Nessus hangt zelf al een prioriteit aan de gevonden kwetsbaarheden. Belangrijk zijn de roodgekleurde kwetsbaarheden, deze zijn bestempeld als CRITICAL. Dergelijke kwetsbaarheden zijn vaak eenvoudig te misbruiken door het gebruik van bestaande tools en hebben een hoge impact, bijvoorbeeld het uitvoeren van willekeurige code op het systeem. De geelgekleurde kwetsbaarheden verdienen ook aandacht, terwijl de groen- en blauwgekleurde kwetsbaarheden veelal enkel informatie geven over de aangetroffen diensten.

Stap 4: Onderneem actie

Het spreekt voor zich dat de aangetroffen problemen moeten worden opgelost. Dit kan in sommige gevallen door het installeren van updates of patches. Andere problemen vereisen configuratieaanpassingen en soms moet je echt de diepte in duiken om een probleem te verhelpen. Dit kost tijd en is daarom niet altijd snel gedaan. Ook hier geldt weer dat je dit deel indien nodig kunt uitbesteden.

Stap 5: Valideer en herhaal

Nadat problemen zijn verholpen is het altijd verstandig om een nieuwe beveiligingsscan van je kantoornetwerk uit te voeren. Soms is een oplossing niet goed geïmplementeerd of zijn er meerdere manieren om voorbij de ingebouwde bescherming te komen. Valideer dus altijd je oplossing.

Ook is het mogelijk dat het oplossen van problemen of het bijwerken van software weer een nieuw beveiligingsprobleem introduceert. Het is daarom belangrijk om periodieke controles uit te voeren en de resultaten opnieuw te evalueren en te vergelijken met de vorige scan.

Grip op veiligheid

Een bedrijfsnetwerk is omvangrijk en bevat veel verschillende componenten die ieder afzonderlijk een beveiligingsfout kunnen bevatten. Door het gebruik van een tool als Nessus krijg je als systeembeheerder grip op de veiligheid van de vaste resources binnen het interne netwerk. Door periodiek het netwerk te scannen en al dan niet met hulp de resultaten op te volgen, zorg je dat makkelijk te misbruiken kwetsbaarheden zo snel mogelijk worden geïdentificeerd en opgelost.

Let wel: Nessus is geen alles-in-één oplossing. Zo zijn er binnen een bedrijfsnetwerk vaak complexe authenticatiesystemen aanwezig die Nessus onvoldoende kan toetsen, kunnen draadloze netwerken een probleem vormen en is Nessus beperkt tot een set voor gedefinieerde basiscontroles. Maar je moet ergens beginnen, en voor een goede security baseline die weinig tijd en geld kost, is Nessus een uitstekende oplossing.

In mijn volgende blogs ga ik dieper in op andere onderdelen van een veilig kantoornetwerk, bijvoorbeeld hoe je laptops en werkstations kunt beheren middels een Mobile Device Management-oplossing en hoe je als systeembeheerder kunt toetsen of je Active Directory inrichting voldoende veilig is.

Stay tuned!

Thomas Stols
Thomas Stols
Security Specialist