Skip to content

Endpoint Security & Access Control

Bedrijfsnetwerken worden hoe langer hoe meer doelgericht aangevallen — hacktivisme, spionage, wraak van voormalige werknemers, ... De focus ligt niet op opportunistische aanvallen op thuisgebruikers, maar op gerichte acties met potentieel grote schade. Beveiliging is dan ook een verhaal dat over alle lagen en alle onderdelen loopt, niet enkel over één techniek of één product.


Soorten Aanvallen

Aanval Beschrijving
Eavesdropping Niet-geautoriseerde partij luistert verkeer af (sniffing, snooping)
Data Modification Verkeer onderschept en inhoud aangepast
IP Address Spoofing Valse IP datagrammen om ontvangers op het verkeerde been te zetten
Password-Based Attacks Overnemen van een bestaande account voor verdere aanvallen
Denial of Service Systemen overbelasten zodat ze niet meer functioneren
Man-in-the-Middle Tussenstation positioneren in communicatie om te monitoren of aan te passen
Malware Kwaadaardige software als voertuig voor een aanval op het systeem

Gevolgen van een Aanval

Eindresultaat valt bijna altijd onder een van deze twee categorieën:

  • Denial of Service — bedrijf (deels) buiten gebruik
  • Data breach / Data loss — informatie gelekt of vernietigd

Gevolgen voor een organisatie: reputatieschade, verlies van klanten, verlies van concurrentievoordeel, schadeclaims, recovery-kosten, ...

Reconnaissance attacks zijn niet onschuldig — ook al berokkenen ze direct geen schade, ze zijn vaak de voorbode van iets groters.


Aanvalsvectors

Hoe geraken aanvallers binnen?

Vector Risico
Email Malware of social engineering
Unencrypted devices Gestolen laptop met onversleutelde data
Cloud storage Verkeerde permissie-instellingen
Removable media USB sticks als drager van malware of datadiefstal
Hard copy Papieren documenten niet vernietigd
Fout access controls Zwakke wachtwoorden, slechte ACL's
Social engineering Medewerkers onbewust info laten geven

BYOD Risico

Persoonlijke toestellen die meegebracht worden in de bedrijfsomgeving:

  • Niet onder beheer van de organisatie
  • Beveiliging is verantwoordelijkheid van de eigenaar — laat vaak te wensen over
  • Worden gebruikt voor werk én privé, worden verbonden met het bedrijfsnetwerk
  • 27% wordt gestolen of gaat verloren, 30% wordt door kinderen gebruikt

Endpoint Security

Endpoint security = alle maatregelen om endpoints in het netwerk te beschermen tegen ongeautoriseerde toegang — zowel van buiten als van binnen het netwerk.

Technieken op de netwerkgrens:

Techniek Beschrijving
VPN Beveiligd pad voor remote access
NGFW Next-generation firewall
IPS Intrusion Prevention System
AMP Advanced Malware Protection op de netwerkgrens
NAC Network Access Control — wie mag het netwerk op?

Host-based security (antivirus, host firewall, malware detection) valt buiten de scope van Enterprise Networking.


NAC — Network Access Control

NAC bestaat uit drie componenten (AAA):

Component Vraag
Authenticatie Wie mag er toegang hebben tot het netwerk?
Autorisatie Wat mogen toegelaten gebruikers/toestellen doen?
Accounting Wat deden ze terwijl ze toegang hadden?

Focus binnen Enterprise Networking: NAC op routers en switches.


802.1X — Port-Based Access Control

Het probleem: iedereen die een vrij netwerkpunt vindt in een gebouw kan een toestel koppelen en heeft direct LAN-toegang.

802.1X lost dat op via port-based authentication — een toestel moet zich eerst authenticeren vooraleer het volwaardige toegang krijgt tot het netwerk. Wordt ondersteund door switches en access points.

3 Partijen

Rol Beschrijving
Supplicant Het endpoint — beschikt over 802.1X-compatibele client software
Authenticator De switch of access point — controleert de poort en geeft of weigert toegang op basis van het oordeel van de authentication server
Authentication Server Verifieert de identiteit van de supplicant (typisch een RADIUS server of Network Policy Server)

Werking

  1. Toestel koppelt aan netwerk → enkel EAPoL (EAP over LAN) verkeer wordt doorgelaten
  2. Switch stuurt EAP berichten door naar de authentication server via RADIUS/Diameter
  3. Authentication server verifieert de identiteit
  4. Op basis van het verdict: poort toelaten, blokkeren, of toestel in een specifiek VLAN plaatsen

EAP versies

  • EAP-TLS — wederzijdse certificaten (client + server), TLS-encrypted, sterkste optie
  • PEAP-MSCHAPv2 — TLS-tunnel + wachtwoord via challenge-handshake, geen client-certificaat nodig
  • Andere: EAP-TTLS, EAP-IKEv2, EAP-SIM, EAP-PSK, ...

Als 802.1X Niet Ondersteund Wordt

Niet alle toestellen ondersteunen 802.1X — denk aan printers, IP camera's, IoT sensoren.

MAB (MAC Authentication Bypass) — gebruikt het MAC adres van het toestel als authenticatiemiddel. Minder veilig (MAC adressen zijn te spoofen) maar bruikbaar als fallback voor legacy toestellen.


Alternatief: Switchport Security

Als 802.1X niet beschikbaar is op de switching infrastructuur, kan port security een alternatief bieden:

  • Toegang tot het netwerk beperkt tot specifiek geconfigureerde MAC adressen
  • Bij schending → poort gaat in error

3 violation modes:

Mode Gedrag
Shutdown Poort in err-disabled — handmatige heractivering nodig
Protect Frames gedropped, geen melding
Restrict Frames gedropped + melding via SNMP/syslog