ICT Zine

Bring Your Own Device is niet meer weg te denken in de huidige bedrijfscultuur. Werknemers en bezoekers brengen mobiele devices mee en willen overal online zijn. Deze trend vraagt om een schaalbare, stabiele en veilige oplossing met een hoge beschikbaarheid. Een draadloos netwerk is daarom niet langer optioneel, maar een must voor de bedrijfsvoering.

Het Amerikaanse Watchguard, bekend van de Extensible Threat Management (XTM) firewalls, komt met 2 nieuwe accesspoints die geheel in het verlengde van de hoge security eisen van het bedrijfsleven liggen.
Om alvast een voorproefje te geven, met deze oplossing kan het draadloze verkeer net zo eenvoudig gebruik maken van virus scanning, Intrusion Prevention Service (IPS), RED en Application Control, als ´bedraad´ verkeer op de firewall.

De accesspoints
Watchguard komt met 2 modellen; de AP100 heeft één radio, instelbaar op 2,4 of 5 Ghz. De AP200 heeft 2 radio’s, één voor 2,4 Ghz en één voor de 5 Ghz met een maximale doorvoer van 600Mbs. Beide accesspoints kunnen door PoE of een externe adapter gevoed worden.
Beide AP’s hebben een doorsnee van 16,5 cm en zien er strak uit. Deze AP´s zijn onopvallend weg te werken tegen het plafond.
Zoals we van Watchguard mogen verwachten, worden alle relevante security standaarden ondersteund zoals: WPA-PSK, WPA2-PSK, WPA Enterprise en WPA2 Enterprise.

Portal pagina
Opvallender is de optie om een portal pagina aan te maken. Deze ´vangpagina´ kan bijvoorbeeld op een gast netwerk (hotspot) getoond worden, waar bezoekers eerst akkoord moeten gaan met de voorwaarden. De vangpagina is aan te passen met een eigen logo en inhoud.

Topologie
Draadloze netwerk toegang voor bezoekers en eigen werknemers moet uiteraard gescheiden zijn, en beveiligd zijn. Werknemers moet toegang hebben tot bedrijfs gegevens en applicaties, terwijl bezoekers in de regel rechtstreeks via de firewall naar internet gaan.

Deze opzet wordt bereikt door verschillende SSID´s uit te zenden, en deze SSID´s elk aan aan separaat VLAN te koppelen. Het accesspoint wordt logisch met behulp van 802.1Q gekoppeld aan de firewall. Dit werkt ook met tussenliggende switches, zolang deze switches trunk poorten kunnen ondersteunen.
In de meest eenvoudige topologie kan het AP ook direct aan een access-poort gekoppeld worden zonder 802.1Q. Het draadloze netwerk komt dan in één (default) VLAN.
Het is met de Watchguard oplossing op dit moment nog niet mogelijk om AP’s en de firewall over een gerouteerd (laag 3) netwerk te koppelen. Dat betekent dat de AP’s in hetzelfde VLAN geplaatst moeten worden als de controller. De concurrentie maakt, om dit mogelijk te maken, vaak gebruik van het GRE of CAPWAP protocol.
De AP’s zijn niet geschikt als ‘stand-alone’ of ‘fat’ accesspoint, de werking is afhankelijk van een fysieke of virtuele Watchguard XTM appliance. Bij uitval van deze appliance, wordt verkeer nog wel geswitched tussen wireless en bedraad netwerk.

Authenticatie en AD integratie
Wanneer gebruikers met een VPN SSL verbinding aanloggen op de Watchguard, heeft deze de mogelijkheid voor Active Directory (AD) authenticatie. Dit geldt ook voor het wireless gedeelte van Watchguard. Per SSID is de authenticatie vorm te bepalen.
Zodoende kunnen bijvoorbeeld interne werknemers met AD authenticeren, en door deze AD integratie is er ook centrale logging in het AD domain. Aan de kant van Watchguard is het configureren van AD security zeer eenvoudig, en in het windows domein is het configureren van een NPS policy voldoende. In deze policy kan men aangeven welke gebruikers groepen connectie mogen maken. Zo is bijvoorbeeld een gebruikers groep ‘wireless-users’ te maken, om eenvoudig te bepalen welke gebruikers wel of niet op het wireless mogen. De Windows event log registreert welke user er verbinding maakt met het wireless netwerk.
Het gebruik van andere authenticatie servers, via radius, is ook mogelijk.
Er kan gebruik gemaakt worden van een syslog server en van de interne Watchguard logging. Met AD integratie wordt de gebruiker login naar de Windows eventlog geschreven, dit is alleen in de Windows event log te zien. Vanuit Windows kan accounting worden geconfigureerd of er kan een accounting server worden geconfigureerd in de Watchguard. MAC adressen en device namen worden ook naar de syslog gelogd.

Roaming en performance tests
TenICT heeft diverse gebruikers tests uitgevoerd met de nieuwe oplossing, en was positief verrast door de snelle en intuïtieve configuratie. Het draadloze bereik, de performance en gebruiksvriendelijkheid zijn uitstekend te noemen. In een setup met meerdere AP’s is een roaming test uitgevoerd. Hierbij werd bij het schakelen tussen verschillende AP’s geen onderbreking gezien van een HD video- en voice stream. Dit is een keurig resultaat.

Monitoring met system management
Voor het monitoren van de AP’s en de client is er in system management een extra tab “Gateway Wireless Controller” die is onderverdeeld in 2 schermen. Deze informatie is ook zichtbaar via de web GUI. Het eerste scherm geeft een overzicht van de AP’s met informatie over naam, status, SSID’s, IP adres, radio’s, versie, uptime en model.
Het tweede scherm geeft een overzicht van de clients, met onder meer het MAC adres, SSID, AP, laatste activiteit en verstuurde en ontvangen data.

Concurrentie
In vergelijking met andere merken die wireless apparatuur aanbieden, kiest Watchguard een andere aanpak dan de vendoren die voor een controller-based oplossing kiezen. De controller-functie wordt ingevuld door een (bestaande) XTM firewall. De controller heeft geen aparte licentie nodig, de aanschaf van de access points zijn de enige kosten.
Een indicatie van het aantal AP’s per Watchguard firewall:

De virtuele versie van Watchguard (XTMv) op VMware ondersteund 25 tot 100 AP’s
De list-prices die de fabrikant hanteert voor de Accesspoints, zijn vergelijkbaar met onder andere Cisco, Avaya en HP. Hierbij hebben de andere merken nog een separate controller en licentie nodig, bij Watchguard is dat niet nodig. Daarnaast is bij Watchguard het eerste jaar Lifesecurity (hardware replacement) inbegrepen in de prijs.

Conclusie
Met deze uitbreiding in de markt voor wireless, is de keus voor middelgrote bedrijven die al een Watchguard firewall hebben, snel gemaakt. Integratie met het bestaande product, met AD en gast-functies, en een scherpe prijs is hierbij doorslaggevend. Daarnaast is de oplossing snel en makkelijk te configureren.
Voor grote enterprise omgevingen zal Watchguard meer concurrentie kunnen verwachten, en zal de huidige beperking van laag 2 snel opgelost moeten worden, om in een volwaardig vergelijk mee te kunnen

Arthur Derks is werkzaam bij TenICT

Bring Your Own Device is niet meer weg te denken in de huidige bedrijfscultuur. Werknemers en bezoekers brengen mobiele devices mee en willen overal online zijn. Deze trend vraagt om een schaalbare, stabiele en veilige oplossing met een hoge beschikbaarheid. Een draadloos netwerk is daarom niet langer optioneel, maar een must voor de bedrijfsvoering.

Het Amerikaanse Watchguard, bekend van de Extensible Threat Management (XTM) firewalls, komt met 2 nieuwe accesspoints die geheel in het verlengde van de hoge security eisen van het bedrijfsleven liggen.
Om alvast een voorproefje te geven, met deze oplossing kan het draadloze verkeer net zo eenvoudig gebruik maken van virus scanning, Intrusion Prevention Service (IPS), RED en Application Control, als ´bedraad´ verkeer op de firewall.

De accesspoints
Watchguard komt met 2 modellen; de AP100 heeft één radio, instelbaar op 2,4 of 5 Ghz. De AP200 heeft 2 radio’s, één voor 2,4 Ghz en één voor de 5 Ghz met een maximale doorvoer van 600Mbs. Beide accesspoints kunnen door PoE of een externe adapter gevoed worden.
Beide AP’s hebben een doorsnee van 16,5 cm en zien er strak uit. Deze AP´s zijn onopvallend weg te werken tegen het plafond.
Zoals we van Watchguard mogen verwachten, worden alle relevante security standaarden ondersteund zoals: WPA-PSK, WPA2-PSK, WPA Enterprise en WPA2 Enterprise.

Portal pagina
Opvallender is de optie om een portal pagina aan te maken. Deze ´vangpagina´ kan bijvoorbeeld op een gast netwerk (hotspot) getoond worden, waar bezoekers eerst akkoord moeten gaan met de voorwaarden. De vangpagina is aan te passen met een eigen logo en inhoud.

Topologie
Draadloze netwerk toegang voor bezoekers en eigen werknemers moet uiteraard gescheiden zijn, en beveiligd zijn. Werknemers moet toegang hebben tot bedrijfs gegevens en applicaties, terwijl bezoekers in de regel rechtstreeks via de firewall naar internet gaan.

Deze opzet wordt bereikt door verschillende SSID´s uit te zenden, en deze SSID´s elk aan aan separaat VLAN te koppelen. Het accesspoint wordt logisch met behulp van 802.1Q gekoppeld aan de firewall. Dit werkt ook met tussenliggende switches, zolang deze switches trunk poorten kunnen ondersteunen.
In de meest eenvoudige topologie kan het AP ook direct aan een access-poort gekoppeld worden zonder 802.1Q. Het draadloze netwerk komt dan in één (default) VLAN.
Het is met de Watchguard oplossing op dit moment nog niet mogelijk om AP’s en de firewall over een gerouteerd (laag 3) netwerk te koppelen. Dat betekent dat de AP’s in hetzelfde VLAN geplaatst moeten worden als de controller. De concurrentie maakt, om dit mogelijk te maken, vaak gebruik van het GRE of CAPWAP protocol.
De AP’s zijn niet geschikt als ‘stand-alone’ of ‘fat’ accesspoint, de werking is afhankelijk van een fysieke of virtuele Watchguard XTM appliance. Bij uitval van deze appliance, wordt verkeer nog wel geswitched tussen wireless en bedraad netwerk.

Authenticatie en AD integratie
Wanneer gebruikers met een VPN SSL verbinding aanloggen op de Watchguard, heeft deze de mogelijkheid voor Active Directory (AD) authenticatie. Dit geldt ook voor het wireless gedeelte van Watchguard. Per SSID is de authenticatie vorm te bepalen.
Zodoende kunnen bijvoorbeeld interne werknemers met AD authenticeren, en door deze AD integratie is er ook centrale logging in het AD domain. Aan de kant van Watchguard is het configureren van AD security zeer eenvoudig, en in het windows domein is het configureren van een NPS policy voldoende. In deze policy kan men aangeven welke gebruikers groepen connectie mogen maken. Zo is bijvoorbeeld een gebruikers groep ‘wireless-users’ te maken, om eenvoudig te bepalen welke gebruikers wel of niet op het wireless mogen. De Windows event log registreert welke user er verbinding maakt met het wireless netwerk.
Het gebruik van andere authenticatie servers, via radius, is ook mogelijk.
Er kan gebruik gemaakt worden van een syslog server en van de interne Watchguard logging. Met AD integratie wordt de gebruiker login naar de Windows eventlog geschreven, dit is alleen in de Windows event log te zien. Vanuit Windows kan accounting worden geconfigureerd of er kan een accounting server worden geconfigureerd in de Watchguard. MAC adressen en device namen worden ook naar de syslog gelogd.

Roaming en performance tests
TenICT heeft diverse gebruikers tests uitgevoerd met de nieuwe oplossing, en was positief verrast door de snelle en intuïtieve configuratie. Het draadloze bereik, de performance en gebruiksvriendelijkheid zijn uitstekend te noemen. In een setup met meerdere AP’s is een roaming test uitgevoerd. Hierbij werd bij het schakelen tussen verschillende AP’s geen onderbreking gezien van een HD video- en voice stream. Dit is een keurig resultaat.

Monitoring met system management
Voor het monitoren van de AP’s en de client is er in system management een extra tab “Gateway Wireless Controller” die is onderverdeeld in 2 schermen. Deze informatie is ook zichtbaar via de web GUI. Het eerste scherm geeft een overzicht van de AP’s met informatie over naam, status, SSID’s, IP adres, radio’s, versie, uptime en model.
Het tweede scherm geeft een overzicht van de clients, met onder meer het MAC adres, SSID, AP, laatste activiteit en verstuurde en ontvangen data.

Concurrentie
In vergelijking met andere merken die wireless apparatuur aanbieden, kiest Watchguard een andere aanpak dan de vendoren die voor een controller-based oplossing kiezen. De controller-functie wordt ingevuld door een (bestaande) XTM firewall. De controller heeft geen aparte licentie nodig, de aanschaf van de access points zijn de enige kosten.
Een indicatie van het aantal AP’s per Watchguard firewall:

De virtuele versie van Watchguard (XTMv) op VMware ondersteund 25 tot 100 AP’s
De list-prices die de fabrikant hanteert voor de Accesspoints, zijn vergelijkbaar met onder andere Cisco, Avaya en HP. Hierbij hebben de andere merken nog een separate controller en licentie nodig, bij Watchguard is dat niet nodig. Daarnaast is bij Watchguard het eerste jaar Lifesecurity (hardware replacement) inbegrepen in de prijs.

Conclusie
Met deze uitbreiding in de markt voor wireless, is de keus voor middelgrote bedrijven die al een Watchguard firewall hebben, snel gemaakt. Integratie met het bestaande product, met AD en gast-functies, en een scherpe prijs is hierbij doorslaggevend. Daarnaast is de oplossing snel en makkelijk te configureren.
Voor grote enterprise omgevingen zal Watchguard meer concurrentie kunnen verwachten, en zal de huidige beperking van laag 2 snel opgelost moeten worden, om in een volwaardig vergelijk mee te kunnen

Arthur Derks is werkzaam bij TenICT

The internet of things is momenteel ongekend populair, maar wordt tegelijkertijd eigenlijk al weer ingehaald door zijn opvolger: the internet of everything. Want machine-to-machine communicatie gaat meer en meer gecombineerd worden met machine-to-people communicatie en people to people communicatie. Cisco ontwikkelt een security-architectuur om deze mix aan communicatievormen goed te kunnen beveiligen.

Is de kreet 'the internet of everything' een semantisch grapje van een overijverige marketeer? Of gaat het werkelijk om iets anders dan 'the internet of things'? Als we mensen als senior vice president van Cisco Carlos Dominguez mogen geloven, gaat het wel degelijk om een substantieel verschil. Bij the internet of things draait het allemaal om machine to machine communicatie. Alle apparaten zijn voorzien van een IP-adres en sturen en ontvangen via internet berichten van en naar andere met internet verbonden apparaten.

Alles en meer
The internet of everything gaat een duidelijke stap verder. Want dan hebben we het over machine to machine plus machine to people communicatie. Anders gezegd: het gaat dan dus ook om machines die via internet berichten sturen aan mensen. Waarbij die mensen natuurlijk ook weer berichten terug gaan sturen of zelf het initiatief nemen tot een communicatiesessie. Bovendien rekent Cisco ook people to people communicate tot het internet of everything. In feite dus een volledige vermenging van communicatie tussen mens en mens, mens en machine, en machine en machine.

Dat levert enorme kansen op, maar zeker ook niet te onderschatten uitdagingen. De eerste is natuurlijk de massaliteit. We hebben het – letterlijk – over vele tientallen, zo niet honderden miljarden apparaten en – vooral – apparaatjes. Want we hebben het natuurlijk niet alleen maar over de spreekwoordelijke koelkast-met-internet-verbinding, maar ook over minuscule sensoren die de toestand van een machineonderdeel of een pacemaker doorsturen.

Vijf kenmerken
Hierbij is het belangrijk om te beseffen dat vijf kenmerken the internet of everything definiëren:

• Uniek internet-adres: ieder aangesloten apparaat beschikt over een eigen uniek internetadres dat gebruikt kan worden om dit object of device te identificeren, zodat deze met andere apparaten kan communiceren.
• Unieke locatie: een unieke locatie kan zowel een vaste locatie als een mobiele locatie zijn, maar belangrijk is dat er een unieke locatie voor ieder apparaat bekend is binnen het netwerk waarin dit device of object is opgenomen.
• Er is sprake van door het aangesloten apparaat of device gegenereerde of verwerkte informatie: de hoeveelheid informatie waar we het hier over hebben, zal de door mensen voorgebrachte informatie al snel gaan overstijgen.
• Complexe nieuwe voorzieningen voor security, analytics en beheer: nieuwe applicaties en systemen die in staat zijn gegevens te verwerken zullen het mogelijk maken om netwerken van met elkaar verbonden apparaten te formeren.
• Tijd en locatie worden steeds belangrijker: alleen al vanwege de enorme hoeveelheden data die verzameld kan worden, is het van cruciaal belang dat deze data gekoppeld kan worden aan het juiste moment en de juiste plek. Lukt dat, dan zijn ongekende verbeteringen mogelijk in vrijwel ieder proces en ieder apparaat of systeem.

Het zal echter niemand verbazen dat dit internet of everything ook een zeer interessant doelwit voor aanvallen oplevert. Dat gebeurt nu al en dat zal in de toekomst alleen maar erger worden. Het is dus van cruciaal belang dat security zeer veel aandacht krijgt, maar dan wel zo dat daarmee het internet of everything ook weer niet onbruikbaar wordt. Binnen Cisco wordt hier hard over nagedacht en vindt ook al veel productontwikkeling plaats.

Dat gebeurt op basis van de in figuur 1 weergegeven architectuur. Deze architectuur bestaat uit vier lagen. De eerste laag bestaat uit embedded systemen, sensoren, actuators en dergelijke. Op deze laag bevindt zich een zeer gevarieerd gezelschap van apparaten, met allerlei cpu-types, OS'en, geheugenstructuren en -omvangen en dergelijke. Veel van die apparaten zijn zeer goedkoop en verrichten slechts één functie.

Uitdagingen
De uitdaging rond deze apparaten zijn groot. Denk aan:

• moet klein en goedkoop zijn
• niet of nauwelijks sprake van fysieke security
• dient 'in het veld' autonoom te functioneren
• moet geïnstalleerd kunnen worden voordat het netwerk beschikbaar is
• moet na installatie remote beheerd kunnen worden
• het apparaat is wellicht niet in staat te werken met traditionele security-algoritmen

Het enorme aantal apparaten en de ongekende variatie in soort en type stelt nogal wat eisen aan de multi-service edge van de internet of everything-architectuur. Deze 'multi-service edge' omvat die delen van het netwerk waar de communicatie met de endpoint devices plaats vindt. Hier zal support moeten bestaan voor een reeks van protocollen en technieken, zowel draadloos als vast, als Zigbee, IEEE 802.11, 3G en 4G. De veelheid aan protocollen die hier een rol speelt, stelt extra eisen omdat lang niet ieder protocol (voldoende) aandacht heeft voor security. In dat geval zullen 'van huis uit' onbeschermde endpoints via security services beschermd moeten kunnen worden. Daarnaast is het in de visie van Cisco van cruciaal belang dat security services in de netwerk core de de cloud-laag aanwezig zijn.

Op deze manier kan het internet of everything beschermd worden tegen een veelheid aan aanvalsmethoden. Denk aan Denial of Service, Man in the Middle, Component and Endpoint Exploitation, spoofing en Confidentiality Compromises. De beste tegenmaatregelen hier zijn redelijk vergelijkbaar met het 'gewone' internet: krachtige encryptie, het gebruik van goed gedefinieerde en vast te stellen identiteiten en rechtenschema's, maar ook met kennis van zaken opgestelde policies die access control regelen.

Beperkte resources
Dé grote uitdaging van het internet of everything zit 'm in het feit dat een uitgebreide security-architectuur moet worden geïmplementeerd op een platform dat bijna per definitie slechts over zeer beperkte resources beschikt. Meer specifiek zal gezorgd moeten worden dat:

• veilige authenticatie mogelijk is op meerdere netwerken
• data beschikbaar is voor endpoint devices
• toegang tot data geprioriteerd kan worden
• privacy kan worden gewaarborgd
• krachtig authenticatie en gegevensbescherming niet gecompromitteerd kunnen worden
• de service en de data beschikbaar zijn en blijven

Ten slotte nog een laatste punt dat om aandacht vraagt. Stel dat een industrieel proces afhankelijk is van een continue stroom van temperatuurmetingen. De sensoren die deze waarde vaststellen en doorsturen, kunnen via een DoS-aanval onbereikbaar worden. De software die de meetwaarden van deze sensoren verzamelt, zal in staat moeten zijn om te herkennen dat op het moment dat de sensoren geen data meer doorsturen er sprake is van een incident dat een bepaalde reactie moet uitlokken. Er zal dan een 'safe shutdown' moeten worden gestart. Gebeurt dit niet, dan kan een ingrijpend industrieel ongeluk plaatsvinden. Security op zich is dus niet voldoende, er zal bovendien de nodige intelligentie toegevoegd moeten worden, zodat de reactie op een security-incident eveneens zoveel mogelijk geautomatiseerd kan worden.

Robbert Hoeffnagel

The internet of things is momenteel ongekend populair, maar wordt tegelijkertijd eigenlijk al weer ingehaald door zijn opvolger: the internet of everything. Want machine-to-machine communicatie gaat meer en meer gecombineerd worden met machine-to-people communicatie en people to people communicatie. Cisco ontwikkelt een security-architectuur om deze mix aan communicatievormen goed te kunnen beveiligen.

Is de kreet 'the internet of everything' een semantisch grapje van een overijverige marketeer? Of gaat het werkelijk om iets anders dan 'the internet of things'? Als we mensen als senior vice president van Cisco Carlos Dominguez mogen geloven, gaat het wel degelijk om een substantieel verschil. Bij the internet of things draait het allemaal om machine to machine communicatie. Alle apparaten zijn voorzien van een IP-adres en sturen en ontvangen via internet berichten van en naar andere met internet verbonden apparaten.

Alles en meer
The internet of everything gaat een duidelijke stap verder. Want dan hebben we het over machine to machine plus machine to people communicatie. Anders gezegd: het gaat dan dus ook om machines die via internet berichten sturen aan mensen. Waarbij die mensen natuurlijk ook weer berichten terug gaan sturen of zelf het initiatief nemen tot een communicatiesessie. Bovendien rekent Cisco ook people to people communicate tot het internet of everything. In feite dus een volledige vermenging van communicatie tussen mens en mens, mens en machine, en machine en machine.

Dat levert enorme kansen op, maar zeker ook niet te onderschatten uitdagingen. De eerste is natuurlijk de massaliteit. We hebben het – letterlijk – over vele tientallen, zo niet honderden miljarden apparaten en – vooral – apparaatjes. Want we hebben het natuurlijk niet alleen maar over de spreekwoordelijke koelkast-met-internet-verbinding, maar ook over minuscule sensoren die de toestand van een machineonderdeel of een pacemaker doorsturen.

Vijf kenmerken
Hierbij is het belangrijk om te beseffen dat vijf kenmerken the internet of everything definiëren:

• Uniek internet-adres: ieder aangesloten apparaat beschikt over een eigen uniek internetadres dat gebruikt kan worden om dit object of device te identificeren, zodat deze met andere apparaten kan communiceren.
• Unieke locatie: een unieke locatie kan zowel een vaste locatie als een mobiele locatie zijn, maar belangrijk is dat er een unieke locatie voor ieder apparaat bekend is binnen het netwerk waarin dit device of object is opgenomen.
• Er is sprake van door het aangesloten apparaat of device gegenereerde of verwerkte informatie: de hoeveelheid informatie waar we het hier over hebben, zal de door mensen voorgebrachte informatie al snel gaan overstijgen.
• Complexe nieuwe voorzieningen voor security, analytics en beheer: nieuwe applicaties en systemen die in staat zijn gegevens te verwerken zullen het mogelijk maken om netwerken van met elkaar verbonden apparaten te formeren.
• Tijd en locatie worden steeds belangrijker: alleen al vanwege de enorme hoeveelheden data die verzameld kan worden, is het van cruciaal belang dat deze data gekoppeld kan worden aan het juiste moment en de juiste plek. Lukt dat, dan zijn ongekende verbeteringen mogelijk in vrijwel ieder proces en ieder apparaat of systeem.

Het zal echter niemand verbazen dat dit internet of everything ook een zeer interessant doelwit voor aanvallen oplevert. Dat gebeurt nu al en dat zal in de toekomst alleen maar erger worden. Het is dus van cruciaal belang dat security zeer veel aandacht krijgt, maar dan wel zo dat daarmee het internet of everything ook weer niet onbruikbaar wordt. Binnen Cisco wordt hier hard over nagedacht en vindt ook al veel productontwikkeling plaats.

Dat gebeurt op basis van de in figuur 1 weergegeven architectuur. Deze architectuur bestaat uit vier lagen. De eerste laag bestaat uit embedded systemen, sensoren, actuators en dergelijke. Op deze laag bevindt zich een zeer gevarieerd gezelschap van apparaten, met allerlei cpu-types, OS'en, geheugenstructuren en -omvangen en dergelijke. Veel van die apparaten zijn zeer goedkoop en verrichten slechts één functie.

Uitdagingen
De uitdaging rond deze apparaten zijn groot. Denk aan:

• moet klein en goedkoop zijn
• niet of nauwelijks sprake van fysieke security
• dient 'in het veld' autonoom te functioneren
• moet geïnstalleerd kunnen worden voordat het netwerk beschikbaar is
• moet na installatie remote beheerd kunnen worden
• het apparaat is wellicht niet in staat te werken met traditionele security-algoritmen

Het enorme aantal apparaten en de ongekende variatie in soort en type stelt nogal wat eisen aan de multi-service edge van de internet of everything-architectuur. Deze 'multi-service edge' omvat die delen van het netwerk waar de communicatie met de endpoint devices plaats vindt. Hier zal support moeten bestaan voor een reeks van protocollen en technieken, zowel draadloos als vast, als Zigbee, IEEE 802.11, 3G en 4G. De veelheid aan protocollen die hier een rol speelt, stelt extra eisen omdat lang niet ieder protocol (voldoende) aandacht heeft voor security. In dat geval zullen 'van huis uit' onbeschermde endpoints via security services beschermd moeten kunnen worden. Daarnaast is het in de visie van Cisco van cruciaal belang dat security services in de netwerk core de de cloud-laag aanwezig zijn.

Op deze manier kan het internet of everything beschermd worden tegen een veelheid aan aanvalsmethoden. Denk aan Denial of Service, Man in the Middle, Component and Endpoint Exploitation, spoofing en Confidentiality Compromises. De beste tegenmaatregelen hier zijn redelijk vergelijkbaar met het 'gewone' internet: krachtige encryptie, het gebruik van goed gedefinieerde en vast te stellen identiteiten en rechtenschema's, maar ook met kennis van zaken opgestelde policies die access control regelen.

Beperkte resources
Dé grote uitdaging van het internet of everything zit 'm in het feit dat een uitgebreide security-architectuur moet worden geïmplementeerd op een platform dat bijna per definitie slechts over zeer beperkte resources beschikt. Meer specifiek zal gezorgd moeten worden dat:

• veilige authenticatie mogelijk is op meerdere netwerken
• data beschikbaar is voor endpoint devices
• toegang tot data geprioriteerd kan worden
• privacy kan worden gewaarborgd
• krachtig authenticatie en gegevensbescherming niet gecompromitteerd kunnen worden
• de service en de data beschikbaar zijn en blijven

Ten slotte nog een laatste punt dat om aandacht vraagt. Stel dat een industrieel proces afhankelijk is van een continue stroom van temperatuurmetingen. De sensoren die deze waarde vaststellen en doorsturen, kunnen via een DoS-aanval onbereikbaar worden. De software die de meetwaarden van deze sensoren verzamelt, zal in staat moeten zijn om te herkennen dat op het moment dat de sensoren geen data meer doorsturen er sprake is van een incident dat een bepaalde reactie moet uitlokken. Er zal dan een 'safe shutdown' moeten worden gestart. Gebeurt dit niet, dan kan een ingrijpend industrieel ongeluk plaatsvinden. Security op zich is dus niet voldoende, er zal bovendien de nodige intelligentie toegevoegd moeten worden, zodat de reactie op een security-incident eveneens zoveel mogelijk geautomatiseerd kan worden.

Robbert Hoeffnagel

Het zakelijk tabletgebruik groeit ongekend snel, vanwege zowel het gebruiksgemak van dat type computer, als het toenemend aantal apps voor het raadplegen en invoeren van bedrijfsinformatie. Deze trend noodzaakt ICT-managers tot het inzetten van andere en betere beveiligingsmaatregelen. Een innovatief voorbeeld daarvan is de biometrische vingerafdrukidentificatie die het Nederlandse bedrijf id-me eind mei introduceerde tijdens Identity & Access Management 2013.

Tablets en app stuwen informatierevolutie
Uit zo'n zesduizend interviews die Computer Profile de tweede helft van 2012 hield onder Nederlandse bedrijven met 50 of meer medewerkers blijkt het zakelijk tabletgebruik t.o.v. 2011 met ruim 400% te zijn gegroeid. Die groei was volgens hen het grootst bij bedrijfsvestigingen met 100 tot 200 werknemers en 200 tot 500 werknemers. Begrijpelijk, omdat steeds meer mensen mobiel willen kunnen werken en tablets daar het makkelijkst voor te gebruiken zijn. Tegelijkertijd groeit het aantal apps om eenvoudig op elke gewenste locatie bedrijf- en klanteninformatie te raadplegen, maar ook in te voeren. Zoals verkoop- en servicetoepassingen, maar ook cliëntentoepassingen in de zorgsector. Samengevat stuwen de combinatie van tablets en apps onze informatierevolutie naar een volgende fase. Die ontwikkeling stelt ICT-managers voor de uitdaging om zowel alle vertrouwelijke bedrijfsinformatie beter apparaat- en locatieonafhankelijk te beveiligen, als de identiteit van geautoriseerde gebruikers onmiskenbaar te verifiëren. Op het eind mei door Heliview georganiseerde Identity & Access Management congres, heeft de Nederlandse biometrische identificatiespecialist id-me een innovatieve nieuwe oplossing voor vingerafdrukidentificatie voor zakelijke tablets geïntroduceerd. Daarmee is het zakelijke tabletgebruik beter en makkelijker te beveiligen.

Biometrische identificatie
Identificatie van computer- en informatiegebruikers via de decennialang gebruikte user-id en wachtwoord combinatie is zowel onveilig als ongemakkelijk. Omdat die combinatie eenvoudig te stelen is, of via hack-technieken te achterhalen, past die methode eigenlijk niet meer bij onze toenemende mobiliteit en gebruik van cloudtoepassingen. Nog los van alle beheerinspanningen die nodig zijn omdat zoveel mensen hun wachtwoorden regelmatig vergeten. Een moderner en gegarandeerd veiliger alternatief is identificatie en authenticatie via biometrische kenmerken, zoals vingerafdruk, iris-, spraak- en gezichtsherkenning. Die unieke persoonskenmerken zijn namelijk niet te stelen, zeker niet als bij een vingerafdruk eventueel ook het aderpatroon onder de huid wordt meegelezen. Omdat ieder mens de eigen identificatiekenmerken altijd bij zich draagt, zijn ze ook niet meer te vergeten en te verliezen. Dus zowel makkelijker te gebruiken als te beheren. Met een nieuwe oplossing om het gebruik van zakelijke tablets, apps en informatie te beveiligen via vingerafdrukidentificatie heeft id-me een innovatieve oplossing voor de beschreven betere beveiligingsbehoefte. Deze bestaat uit een compacte via USB aan te sluiten Upek Eikon scanner en een altijd online toegankelijke cloudservice voor het verifiëren van de biometrische identificatie.

2-stapsverificatie
De voordelen van biometrische identificatie zijn ook bekend bij analisten van IDC en Gartner en net als id-me verwachten zij dat het scannen van vingerafdrukken de meest gebruikte methode wordt. Een andere trend in de markt is de zogenaamde 2-stapsverificatie, of desnoodsnog meer. Apple, Google, Microsoft, Twitter en een aantal andere bedrijven, zijn daar onlangs toe overgestapt. Hoewel id-me gespecialiseerd is in biometrische technieken ondersteunen zij ook andere methodes zoals de bekende sms-code en tokens voor die 2-stapsverificatie. Het hart van de gepresenteerde nieuwe tabletoplossing bestaat uit een authenticatieserver met een koppeling naar een klantspecifieke authorisatieserver en een plug-in voor elk type webbrowser aan de cliëntzijde. De SaaS-portal van id-me regelt zowel alle authenticatieservices voor de cloudgebruikers, als het beheer van de hele identity managementoplossing van hun klanten. Alle communicatie verloopt daarbij via beveiligde TLS/SSL verbindingen, de data wordt versleuteld met AES 256 encryptie en de portal ondersteunt onder andere de SAML2 en WS-FED single sign-on standaarden. Voor het scannen van de vingerafdrukken van gebruikers ondersteunt id-me tenslotte alleen gecertificeerde en van tevoren geregistreerde scanners.

SaaS portal in private of public cloud
Afhankelijk van het bedrijfsbeleid en wensen is het mogelijk om de tabletoplossing voor biometrische identificatie door id-me als ´trusted´ partner te laten hosten (public cloud), of deze binnen het eigen pand te installeren (private cloud). Voor de installaties binnen bedrijven werken ze altijd samen met system integrators, vanwege de benodigde integraties in de bestaande IT-infrastructuur met backoffice-applicaties. De nieuwe id-me tabletoplossing maakt onderdeel uit van een flexibel schaalbaar platform, waarin zij
zowel meerdere algoritmes per identificatietechniek gebruiken, als verschillende biometrische en niet-biometrische technieken kunnen combineren, voor de hoogst mogelijke beveiligingsgraad. Wie daaraan twijfelt kan overigens bij id-me eenvoudig zelf de proef op de som nemen, omdat deze laagdrempelig via de cloud te testen is. Op het Identity & Access Management 2013 congres draaide de oplossing op een HP ElitePad tablet met Windows 8 en een aantal zakelijke toepassingen. Vanwege id-me's focus op de zakelijke markt en de gebruikte portable vingerafdrukscanner introduceren zij eerst de Windows-uitvoering. Later dit jaar volgen er echter ook de iOs en Android versies. Daarmee komt biometrisch indentificeren via de tablet letterlijk binnen ieders handbereik.

Over id-me
Id-me is in 2006 opgericht en opereert vanuit een internationaal verkoopkantoor in 's Hertogenbosch. Het bedrijf is gespecialiseerd in multifunctionele oplossingen voor biometrische identificatie en authenticatie, voor IT-systemen, Internet services en mobiele communicatietoepassingen. id-me ontwikkelt en levert als pionier in technologie en innovatie uiterst betrouwbare biometrische authenticatieoplossingen en softwarealgoritmen. Het bedrijf heeft vooral klanten in de zakelijke markt, waaronder de financiële, diamantaire en fitnesswereld. id-me maakt deel uit van Eptron SIA, een internationaal opererende ICT-dienstverlener uit Riga in Letland.
Meer informatie is te vinden op: http://www.id-me.com

Het zakelijk tabletgebruik groeit ongekend snel, vanwege zowel het gebruiksgemak van dat type computer, als het toenemend aantal apps voor het raadplegen en invoeren van bedrijfsinformatie. Deze trend noodzaakt ICT-managers tot het inzetten van andere en betere beveiligingsmaatregelen. Een innovatief voorbeeld daarvan is de biometrische vingerafdrukidentificatie die het Nederlandse bedrijf id-me eind mei introduceerde tijdens Identity & Access Management 2013.

Tablets en app stuwen informatierevolutie
Uit zo'n zesduizend interviews die Computer Profile de tweede helft van 2012 hield onder Nederlandse bedrijven met 50 of meer medewerkers blijkt het zakelijk tabletgebruik t.o.v. 2011 met ruim 400% te zijn gegroeid. Die groei was volgens hen het grootst bij bedrijfsvestigingen met 100 tot 200 werknemers en 200 tot 500 werknemers. Begrijpelijk, omdat steeds meer mensen mobiel willen kunnen werken en tablets daar het makkelijkst voor te gebruiken zijn. Tegelijkertijd groeit het aantal apps om eenvoudig op elke gewenste locatie bedrijf- en klanteninformatie te raadplegen, maar ook in te voeren. Zoals verkoop- en servicetoepassingen, maar ook cliëntentoepassingen in de zorgsector. Samengevat stuwen de combinatie van tablets en apps onze informatierevolutie naar een volgende fase. Die ontwikkeling stelt ICT-managers voor de uitdaging om zowel alle vertrouwelijke bedrijfsinformatie beter apparaat- en locatieonafhankelijk te beveiligen, als de identiteit van geautoriseerde gebruikers onmiskenbaar te verifiëren. Op het eind mei door Heliview georganiseerde Identity & Access Management congres, heeft de Nederlandse biometrische identificatiespecialist id-me een innovatieve nieuwe oplossing voor vingerafdrukidentificatie voor zakelijke tablets geïntroduceerd. Daarmee is het zakelijke tabletgebruik beter en makkelijker te beveiligen.

Biometrische identificatie
Identificatie van computer- en informatiegebruikers via de decennialang gebruikte user-id en wachtwoord combinatie is zowel onveilig als ongemakkelijk. Omdat die combinatie eenvoudig te stelen is, of via hack-technieken te achterhalen, past die methode eigenlijk niet meer bij onze toenemende mobiliteit en gebruik van cloudtoepassingen. Nog los van alle beheerinspanningen die nodig zijn omdat zoveel mensen hun wachtwoorden regelmatig vergeten. Een moderner en gegarandeerd veiliger alternatief is identificatie en authenticatie via biometrische kenmerken, zoals vingerafdruk, iris-, spraak- en gezichtsherkenning. Die unieke persoonskenmerken zijn namelijk niet te stelen, zeker niet als bij een vingerafdruk eventueel ook het aderpatroon onder de huid wordt meegelezen. Omdat ieder mens de eigen identificatiekenmerken altijd bij zich draagt, zijn ze ook niet meer te vergeten en te verliezen. Dus zowel makkelijker te gebruiken als te beheren. Met een nieuwe oplossing om het gebruik van zakelijke tablets, apps en informatie te beveiligen via vingerafdrukidentificatie heeft id-me een innovatieve oplossing voor de beschreven betere beveiligingsbehoefte. Deze bestaat uit een compacte via USB aan te sluiten Upek Eikon scanner en een altijd online toegankelijke cloudservice voor het verifiëren van de biometrische identificatie.

2-stapsverificatie
De voordelen van biometrische identificatie zijn ook bekend bij analisten van IDC en Gartner en net als id-me verwachten zij dat het scannen van vingerafdrukken de meest gebruikte methode wordt. Een andere trend in de markt is de zogenaamde 2-stapsverificatie, of desnoodsnog meer. Apple, Google, Microsoft, Twitter en een aantal andere bedrijven, zijn daar onlangs toe overgestapt. Hoewel id-me gespecialiseerd is in biometrische technieken ondersteunen zij ook andere methodes zoals de bekende sms-code en tokens voor die 2-stapsverificatie. Het hart van de gepresenteerde nieuwe tabletoplossing bestaat uit een authenticatieserver met een koppeling naar een klantspecifieke authorisatieserver en een plug-in voor elk type webbrowser aan de cliëntzijde. De SaaS-portal van id-me regelt zowel alle authenticatieservices voor de cloudgebruikers, als het beheer van de hele identity managementoplossing van hun klanten. Alle communicatie verloopt daarbij via beveiligde TLS/SSL verbindingen, de data wordt versleuteld met AES 256 encryptie en de portal ondersteunt onder andere de SAML2 en WS-FED single sign-on standaarden. Voor het scannen van de vingerafdrukken van gebruikers ondersteunt id-me tenslotte alleen gecertificeerde en van tevoren geregistreerde scanners.

SaaS portal in private of public cloud
Afhankelijk van het bedrijfsbeleid en wensen is het mogelijk om de tabletoplossing voor biometrische identificatie door id-me als ´trusted´ partner te laten hosten (public cloud), of deze binnen het eigen pand te installeren (private cloud). Voor de installaties binnen bedrijven werken ze altijd samen met system integrators, vanwege de benodigde integraties in de bestaande IT-infrastructuur met backoffice-applicaties. De nieuwe id-me tabletoplossing maakt onderdeel uit van een flexibel schaalbaar platform, waarin zij
zowel meerdere algoritmes per identificatietechniek gebruiken, als verschillende biometrische en niet-biometrische technieken kunnen combineren, voor de hoogst mogelijke beveiligingsgraad. Wie daaraan twijfelt kan overigens bij id-me eenvoudig zelf de proef op de som nemen, omdat deze laagdrempelig via de cloud te testen is. Op het Identity & Access Management 2013 congres draaide de oplossing op een HP ElitePad tablet met Windows 8 en een aantal zakelijke toepassingen. Vanwege id-me's focus op de zakelijke markt en de gebruikte portable vingerafdrukscanner introduceren zij eerst de Windows-uitvoering. Later dit jaar volgen er echter ook de iOs en Android versies. Daarmee komt biometrisch indentificeren via de tablet letterlijk binnen ieders handbereik.

Over id-me
Id-me is in 2006 opgericht en opereert vanuit een internationaal verkoopkantoor in 's Hertogenbosch. Het bedrijf is gespecialiseerd in multifunctionele oplossingen voor biometrische identificatie en authenticatie, voor IT-systemen, Internet services en mobiele communicatietoepassingen. id-me ontwikkelt en levert als pionier in technologie en innovatie uiterst betrouwbare biometrische authenticatieoplossingen en softwarealgoritmen. Het bedrijf heeft vooral klanten in de zakelijke markt, waaronder de financiële, diamantaire en fitnesswereld. id-me maakt deel uit van Eptron SIA, een internationaal opererende ICT-dienstverlener uit Riga in Letland.
Meer informatie is te vinden op: http://www.id-me.com

Het rinkelen van de mobiele telefoon kondigt het nieuws aan dat elke netwerkbeveiligingsprofessional vreest: "Ik denk dat het netwerk is gehackt". Plotseling moet u antwoord vinden op vijf vragen die u nooit gesteld had willen zien.

Die vijf vragen zijn:

1. Welke schade is aangericht?
2. Wie was de indringer?
3. Hoe is de indringer langs de beveiliging gekomen?
4. Heeft de indringer een virus achtergelaten?
5. Heb ik voldoende gegevens om de aanval te analyseren en na te bootsen?

De klassieke manier om het dataverkeer van een netwerk te onderzoeken, omvat het ophalen van duizenden data-elementen uit een veelheid van bronnen, zoals firewall logs, router logs, Intrusion Detection Systems (IDS), server logs, harde schijven en system dumps. Het resultaat moet daarna aan elkaar worden gesmeed tot een samenhangend beeld. Het resultaat is vaak onvolledig.

Nieuwe techniek
Er is echter een nieuwe techniek in opkomst op het gebied van network forensics die aansluit bij de bestaande technieken om dataverkeer te analyseren en zo beveiligingsincidenten te reconstrueren. In dit artikel zullen we deze techniek 'Digital Network Packet Forensics' (DNPF) noemen.

DNPF-analyse is gebaseerd op de mogelijkheden van bestaande network analyzers zoals Wireshark voor het vastleggen, analyseren en reconstrueren van de gegevensstroom in een computernetwerk. Aangezien dit soort producten is ontworpen om dataverkeer vast te leggen en een gedetailleerde analyse te maken van verschillende gegevenstypen, is het zeer geschikt voor deze extra taak. Dit onderzoek naar de individuele datastromen en de elementen waaruit ze zijn samengesteld, maakt een reconstructie mogelijk van de volgorde van incidenten gedurende een bepaald tijdsbestek.

Recontructie en diepte-analyse
Als dit geïntegreerd wordt met de nieuwe generatie van high-performance, line-rate capture appliances die veel schijfruimte (meerdere terabyte) bevatten, dan kan de netwerkprofessional met de resterende capture files een beveiligingsincident reconstrueren en een diepte-analyse toepassen tot, indien nodig, op het individuele bit-niveau. Het resultaat van deze analyse kan worden gebruikt voor het beantwoorden van elk van de vijf eerder gestelde vragen. Daarnaast kunnen hiermee alle aangetaste knooppunten in het netwerk worden geïdentificeerd en kan het zelfs worden gebruikt als basis voor het actualiseren van de bestaande IDS.

De DNPF-analyse bouwt voort op enkele belangrijke aspecten van de manier waarop netwerken momenteel worden geanalyseerd. Terwijl de meeste netwerkanalyses bestaan uit het verzamelen en analyseren van statistieken, van bijvoorbeeld het gebruik van het netwerk,protocoldistributie en dergelijke, richt DNPF zich op het gedetailleerde gedrag van bepaalde netwerken of knooppunten, vaak binnen een bepaalde periode.

Men kan nu de DNPF-analyse inzetten door de volgende zes stappen (afgeleid van de klassieke zes-stappen-probleemoplossingsmethode) te nemen:

Stap 1 – Kiezen
Het selecteren van de relevante knooppunten, gesprekken en/of datastromen is de kritische eerste stap die de netwerkbeveiliger zet om de eerste signalen uit het netwerk te evalueren en de mogelijke reikwijdte van het beveiligingsincident te bepalen. Alle verdachte afwijkingen in zowel netwerk- of knooppuntprestaties worden genoteerd voor verdere evaluatie. Tijdens deze stap worden de eerste theorieën over het incident in kwestie geformuleerd.

Stap 2 – Plaatsen
Het opsporen en vaststellen van de betrokken trace files kan plaatsvinden na inschatting van de tijd waarop het beveiligingsincident plaatsvond. Vervolgens kunnen de files uit de storage-locatie worden opgehaald. Een storage-locatie kan zich simpelweg in de huidige packet capture buffer bevinden of in de huidige online netwerk data recorders of in een off-line Storage Area Network (SAN).

Stap 3 – Analyseren
Een analyse van de geselecteerde trace files richt zich op het identificeren en selecteren van de belangrijkste knooppunten, datastromen en gesprekken voor verder onderzoek. Dit kan worden bereikt met behulp van een aantal hulpmiddelen, bijvoorbeeld de eerder genoemde Wireshark.

Gedetailleerde analyse kan op verschillende manieren worden uitgevoerd, waaronder het een voor een inspecteren van de databestanden. Deze methode, die de meest gedetailleerde resultaten oplevert, vereist veel deskundigheid op het gebied van data-analyse en is ook zeer tijdrovend. Een alternatief hiervoor is een visuele analyse en evaluatie van de tracé files, maar dat vereist deskundigheid op het gebied van visuele analyse.

Het evalueren van het resultaat vereist gedetailleerd onderzoek naar de vele kenmerken binnen de data, waaronder dataheaders, MAC en netwerklaagadressen, TCP/IP-optievelden. Ook moet, indien aanwezig, de inhoud van de ACSII payload worden onderzocht. Kritieke informatie is doorgaans te vinden in het ASCII payload gedeelte van de data, omdat veel netwerkprotocollen nog steeds hun payload data in dit formaat overbrengen.

Stap 4 – Reconstrueren
Het herstel en een gedetailleerde evaluatie van het incident is nauw verbonden met de vorige stap en kan worden uitgevoerd met verschillende methoden. De meest effectieve manier om dit te doen is met behulp van visuele payload reconstructietechnieken. Hiermee kan de individuele payload data opnieuw worden opgebouwd tot een eenvoudig coherent beeld dat onderzocht kan worden.

Stap 5 – Construeren
Het bouwen en testen van specifieke datafilters, netwerk IDS waarschuwingssystemen en/of capture triggers is erg belangrijk. Hiermee kan de bron van het incident worden geïdentificeerd, alsmede andere geïnfecteerde knooppunten en netwerken die voor verbeteringen in aanmerking komen. Verder kunnen de resultaten van deze tests worden gebruikt om de veiligheid van netwerken, waaronder firewalls en IDS-apparatuur, te wijzigen en bij te werken.

Stap 6 – Samenvatten
Het samenvatten en rapporteren van bevindingen zijn twee van de meest vergeten aspecten bij het analyseren van dataverkeer. Deze elementen vormen vaak de basis voor toekomstige juridische acties, bieden na afloop doorgaans een grondig inzicht in de veiligheid van het netwerk en worden gebruikt om beveiligingsoplossingen verder te testen en te implementeren.

Trainingen
Digital Network Packet Forensics (DNPF) analyse vormt een krachtige aanvulling op de instrumenten die traditionele netwerkanalyse biedt. DNPF bouwt voort op de mogelijkheden en technieken die netwerktechnici al gebruiken. Verborgen in de sporen van de data zitten de belangrijkste aanwijzingen die een netwerkbeveiligingsprofessional nodig heeft om te analyseren, te evalueren en de meeste netwerkbeveiligingsincidenten op te lossen. SCOS Software te Hoofddorp (Wireshark Authorized Training Center) organiseert regelmatig trainingen waarin de Digital Network Packet Forensics wordt behandeld.

Phillip D. Shade, Certified Wireshark University Trainer bij SCOS Software bv