Endpoint Security & Access Control
Bedrijfsnetwerken worden hoe langer hoe meer doelgericht aangevallen — hacktivisme, spionage, wraak van voormalige werknemers, ... De focus ligt niet op opportunistische aanvallen op thuisgebruikers, maar op gerichte acties met potentieel grote schade. Beveiliging is dan ook een verhaal dat over alle lagen en alle onderdelen loopt, niet enkel over één techniek of één product.
Soorten Aanvallen
| Aanval | Beschrijving |
|---|---|
| Eavesdropping | Niet-geautoriseerde partij luistert verkeer af (sniffing, snooping) |
| Data Modification | Verkeer onderschept en inhoud aangepast |
| IP Address Spoofing | Valse IP datagrammen om ontvangers op het verkeerde been te zetten |
| Password-Based Attacks | Overnemen van een bestaande account voor verdere aanvallen |
| Denial of Service | Systemen overbelasten zodat ze niet meer functioneren |
| Man-in-the-Middle | Tussenstation positioneren in communicatie om te monitoren of aan te passen |
| Malware | Kwaadaardige software als voertuig voor een aanval op het systeem |
Gevolgen van een Aanval
Eindresultaat valt bijna altijd onder een van deze twee categorieën:
- Denial of Service — bedrijf (deels) buiten gebruik
- Data breach / Data loss — informatie gelekt of vernietigd
Gevolgen voor een organisatie: reputatieschade, verlies van klanten, verlies van concurrentievoordeel, schadeclaims, recovery-kosten, ...
Reconnaissance attacks zijn niet onschuldig — ook al berokkenen ze direct geen schade, ze zijn vaak de voorbode van iets groters.
Aanvalsvectors
Hoe geraken aanvallers binnen?
| Vector | Risico |
|---|---|
| Malware of social engineering | |
| Unencrypted devices | Gestolen laptop met onversleutelde data |
| Cloud storage | Verkeerde permissie-instellingen |
| Removable media | USB sticks als drager van malware of datadiefstal |
| Hard copy | Papieren documenten niet vernietigd |
| Fout access controls | Zwakke wachtwoorden, slechte ACL's |
| Social engineering | Medewerkers onbewust info laten geven |
BYOD Risico
Persoonlijke toestellen die meegebracht worden in de bedrijfsomgeving:
- Niet onder beheer van de organisatie
- Beveiliging is verantwoordelijkheid van de eigenaar — laat vaak te wensen over
- Worden gebruikt voor werk én privé, worden verbonden met het bedrijfsnetwerk
- 27% wordt gestolen of gaat verloren, 30% wordt door kinderen gebruikt
Endpoint Security
Endpoint security = alle maatregelen om endpoints in het netwerk te beschermen tegen ongeautoriseerde toegang — zowel van buiten als van binnen het netwerk.
Technieken op de netwerkgrens:
| Techniek | Beschrijving |
|---|---|
| VPN | Beveiligd pad voor remote access |
| NGFW | Next-generation firewall |
| IPS | Intrusion Prevention System |
| AMP | Advanced Malware Protection op de netwerkgrens |
| NAC | Network Access Control — wie mag het netwerk op? |
Host-based security (antivirus, host firewall, malware detection) valt buiten de scope van Enterprise Networking.
NAC — Network Access Control
NAC bestaat uit drie componenten (AAA):
| Component | Vraag |
|---|---|
| Authenticatie | Wie mag er toegang hebben tot het netwerk? |
| Autorisatie | Wat mogen toegelaten gebruikers/toestellen doen? |
| Accounting | Wat deden ze terwijl ze toegang hadden? |
Focus binnen Enterprise Networking: NAC op routers en switches.
802.1X — Port-Based Access Control
Het probleem: iedereen die een vrij netwerkpunt vindt in een gebouw kan een toestel koppelen en heeft direct LAN-toegang.
802.1X lost dat op via port-based authentication — een toestel moet zich eerst authenticeren vooraleer het volwaardige toegang krijgt tot het netwerk. Wordt ondersteund door switches en access points.
3 Partijen
| Rol | Beschrijving |
|---|---|
| Supplicant | Het endpoint — beschikt over 802.1X-compatibele client software |
| Authenticator | De switch of access point — controleert de poort en geeft of weigert toegang op basis van het oordeel van de authentication server |
| Authentication Server | Verifieert de identiteit van de supplicant (typisch een RADIUS server of Network Policy Server) |
Werking
- Toestel koppelt aan netwerk → enkel EAPoL (EAP over LAN) verkeer wordt doorgelaten
- Switch stuurt EAP berichten door naar de authentication server via RADIUS/Diameter
- Authentication server verifieert de identiteit
- Op basis van het verdict: poort toelaten, blokkeren, of toestel in een specifiek VLAN plaatsen
EAP versies
- EAP-TLS — wederzijdse certificaten (client + server), TLS-encrypted, sterkste optie
- PEAP-MSCHAPv2 — TLS-tunnel + wachtwoord via challenge-handshake, geen client-certificaat nodig
- Andere: EAP-TTLS, EAP-IKEv2, EAP-SIM, EAP-PSK, ...
Als 802.1X Niet Ondersteund Wordt
Niet alle toestellen ondersteunen 802.1X — denk aan printers, IP camera's, IoT sensoren.
MAB (MAC Authentication Bypass) — gebruikt het MAC adres van het toestel als authenticatiemiddel. Minder veilig (MAC adressen zijn te spoofen) maar bruikbaar als fallback voor legacy toestellen.
Alternatief: Switchport Security
Als 802.1X niet beschikbaar is op de switching infrastructuur, kan port security een alternatief bieden:
- Toegang tot het netwerk beperkt tot specifiek geconfigureerde MAC adressen
- Bij schending → poort gaat in error
3 violation modes:
| Mode | Gedrag |
|---|---|
| Shutdown | Poort in err-disabled — handmatige heractivering nodig |
| Protect | Frames gedropped, geen melding |
| Restrict | Frames gedropped + melding via SNMP/syslog |